Недокументированные и малоизвестные возможности Windows XP
Шрифт:
■ %systemroot%\LastGood — если в системе присутствует эта папка, то она может хранить копии различных файлов. Сейчас администраторы многих компаний удаляют стандартные игры с пользовательских компьютеров. Но даже после их удаления копии могут находиться в нескольких различных местах файловой системы Windows XP. Например, в этой папке или в папке, используемой для хранения точек восстановления программой Восстановление системы, и папке, используемой службой индексации.
■ %systemroot%\ntds — содержит файлы базы данных и журналы каталога, используемые
■ %systemroot%\sysvol — используется для тиражирования файлов между контроллерами доменов Active Directory. Он также используется службой индексирования.
■ %systemroot%\repair — хранит архивные копии файлов кустов реестра, создаваемых ASR при работе программы архивации ntbackup.exe и используемых ею при восстановлении системы. Данный каталог также хранит некоторые файлы, не относящиеся к кустам реестра.
• autoexec.nt — используется по умолчанию для инициализации среды MS-DOS при восстановлении системы.
• config.nt — применяется по умолчанию для инициализации среды MS-DOS при восстановлении системы.
• setup.log — хранит перечень всех файлов, которые были установлены при установке операционной системы (описывается только содержимое каталога Windows и его подкаталогов).
• secDC.inf — включает в себя параметры безопасности для доменных контроллеров, которые будут к ним применены после восстановления системы.
• secSetup.inf — содержит параметры безопасности по умолчанию, которые будут применены после восстановления системы.
• smss.ASR — является обычной программой smss.exe, расширение которой было изменено. Smss.exe — диспетчер сеансов, начинающий работу при входе пользователя в систему и управляющий запуском различных сервисов и служб.
• NTDLL.ASR — является копией библиотеки ntdll.dll, расширение которой было изменено.
В этом каталоге также содержатся файлы кустов DEFAULT, SAM, SECURITY, SOFTWARE, SYSTEM. Их описание будет приведено при рассказе о содержимом каталога %systemroot%\system32\config.
■ %systemroot%\system32\CatRoot — хранит все цифровые подписи драйверов и системных файлов операционной системы Windows (в виде файлов с расширением CAT). Все они хранятся в одном из вложенных разделов данного каталога, название которого создано в формате CLSID-номера ActiveX-объекта (GUID-формате). Кроме цифровых подписей для стандартных драйверов и системных файлов, в этом каталоге также могут находиться цифровые подписи для драйверов и других файлов устройств, которые были протестированы в лаборатории Microsoft и помещены в список HCL (список совместимых аппаратных средств). После успешного тестирования устройства Microsoft передает производителю этого устройства файл каталога (СAT-файл) для его продукции, который впоследствии должен поставляться вместе с каждым экземпляром данного устройства. Именно наличие этого файла каталога и проверяется при установке устройства, если в диалоге Параметры подписывания драйверов установлен переключатель Предупреждать — каждый
■ %systemroot%\system32\config — является, наверное, самым важным каталогом в Windows — именно в нем находятся главные файлы кустов реестра.
Кроме них, каталог хранит и другие файлы, к реестру не имеющие никакого отношения. Вкратце рассмотрим его содержимое.
• AppEvent.Evt — является журналом событий приложений. Именно с ним мы и работали при изучении оснастки eventwvr.msc (Просмотр событий (локальных)►Приложение).
• DEFAULT — содержит раздел реестра HKEY_USERS\.DEFAULT.
ПРИМЕЧАНИЕ
Кроме файла DEFAULT, в описанном выше каталоге находятся также файлы DEFAULT.LOG и DEFAULT.SAV. Первый из них является журналом транзакций и содержит все изменения параметров данного куста за текущий сеанс работы компьютера. Второй же включает в себя куст HKEY_USERS\.DEFAULT, который был создан во время тестовой фазы установки операционной системы. Тоже относится и к другим файлам кустов — все они имеют своих тезок с расширениями SAV и LOG.
• DnsEvent.Evt — является журналом событий сервера DNS. В этой книге не рассматривалась возможность работы с журналом сервера DNS, поскольку это не являлось главной темой книги.
• FileRep.Evt — представляет собой первый журнал событий репликации.
• NTDS.Evt — является журналом событий службы каталогов Windows XP.
• NtFrs.Evt — представляет собой второй журнал событий репликации.
• SAM — является разделом реестра HKEY_LOCAL_MACHINE\SAM. По умолчанию данный раздел не может просмотреть даже администратор, хотя это может сделать система. Да вам и самим доступно это проверить — просто приспособьте приведенный ранее метод получения прав администратора, если у вас есть права опытного пользователя, не к взлому, а к получению окна редактора реестра, открытого от имени учетной записи системы.
• SecEvent.Evt — представляет собой журнал событий безопасности. Именно с ним мы и работали при изучении оснастки eventwvr.msc (Просмотр событий (локальных)►Безопасность).
• SECURITY — является разделом реестра HKEY_LOCAL_MACHINE\SECURITY. По умолчанию данный раздел не может просмотреть даже администратор, хотя это может сделать система. Содержимое этой ветви вы также сможете просмотреть, модернизировав метод получения прав администратора, если у вас есть права пользователя.
• SOFTWARE — содержит раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE.
• SysEvent.Evt — является журналом системных событий. Именно с ним мы работали при изучении оснастки eventvwr.msc (Просмотр событий (локальных)►Система).
• System — содержит раздел реестра HKEY_LOCAL_MACHINE\SYSTEM.
• Userdiff — используется для обновления профилей пользователей более ранних версий операционных систем с целью их применения в Windows NT 4.0 и в более новых операционных системах Windows.