Secure Poco documentata, la sottochiave HKEY_LOCAL_MACHINE\SOFTWARE\Secure è utilizzabile dalle applicazioni per memorizzare impostazioni modificabili solo da utenti amministratori. Voice La sottochiave Voice contiene informazioni sul motore te …
Secure
Poco documentata, la sottochiave HKEY_LOCAL_MACHINE\SOFTWARE\Secure
è utilizzabile dalle applicazioni per memorizzare impostazioni modificabili
solo da utenti amministratori.
Voice
La sottochiave Voice contiene informazioni sul motore testo-voce
di Windows XP; non è presente in tutte le installazioni.
SYSTEM
La chiave HKEY_LOCAL_MACHINE\SYSTEM contiene informazioni
riguardanti l’avvio del sistema, l’ordine di caricamento dei device
driver e dei servizi di sistema e comportamenti del sistema operativo. In SYSTEM
sono contenuti i dati che il sistema deve trovare pronti durante l’avvio, anziché
rilevarli o calcolarli come avviene per altre sezioni del registro. Questi dati
sono organizzati sotto forma di Control Set (insiemi di controllo),
che contengono un insieme completo di impostazioni dei device driver e dei servizi
di sistema.
Durante la sequenza di boot (avvio) di Windows, dopo la selezione del sistema
operativo da avviare (se ci sono più OS installati), segue la selezione
del profilo hardware da utilizzare (se ce n’è più di uno) e la
possibilità di avviare Windows con l’opzione Ultima configurazione valida
(Last Known Good Configuration).
Già a questo punto viene letta la chiave SYSTEM per individuare,
in HKEY_LOCAL_MACHINE\SYSTEM\Select, qual è, tra i Control presenti nel registro, quello corrispondente all’ultima configurazione
Set
valida, le cui informazioni sono state registrate subito dopo l’ultimo boot
regolare di Windows.
Durante l’avvio di Windows, dopo che il boot loader (NTLDR) si
è procurato le informazioni sull’hardware installato e sul profilo hardware
selezionato (il più delle volte c’è solo quello di default), fa
partire il kernel di Windows (Ntoskrnl.exe) passandogli le
informazioni raccolte da Ntdetect.com, quindi carica l’hardware abstraction
layer (HAL) corrispondente all’architettura hardware del PC corrente.
A questo punto NTLDR carica la sezione SYSTEM di HKEY_LOCAL_MACHINE
leggendola dal file WINDOWS\System32\Config\System.
Ora il boot loader abilita l’interfaccia API con il registro
e, in base alle impostazioni contenute nella chiave HKEY_LOCAL_MACHINE\SYSTEM\Select,
determina qual è il Control Set da usare per avviare il
sistema. Per default il loader utilizza il Control Set specificato
in Default, ma se è stato richiesto l’uso dell’ultima configurazione
valida verrà usato il Control Set specificato in LastGoodKnown.
Negli esempi il Control Set di default è il numero 1, mentre
quello corrispondente all’ultima configurazione valida è il numero 3.
Una volta stabilito qual è il Control Set da usare, il loader lo copia
nella chiave CurrentControlSet ed esegue una scansione di HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services
alla ricerca dei device driver con un valore Start di 0x0, che contrassegna
i driver da caricare. Questi sono normalmente driver di basso
livello, come quelli per gli hard disk. Il valore dell’impostazione Group
per ogni device driver stabilisce l’ordine di caricamento, secondo la sequenza
definita nella chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\.
Control\ServiceGroupOrder
In questa lunga lista, con oltre 60 categorie di driver, gli hard disk si trovano
vicino ai primi posti.
Control Set
Ogni Control Set contiene quattro sottochiavi. La prima è
Control, che contiene le numerose impostazioni di configurazione
utilizzate per la gestione del sistema, inclusi il nome con cui il computer
è identificato nella rete e i sottosistemi da avviare. Tra queste informazioni
ci sono i parametri di avvio di Windows, le variabili di sistema e le dimensioni
e ubicazione del file di paging.
La sottochiave Enum (da enumeration, l’assegnazione di un
numero ai dispositivi rilevati su ciascun bus) contiene dati di configurazione
sui dispositivi hardware. Le sue sottochiavi formano una struttura
gerarchica chiamata albero dei device, che inizia alla radice
e termina alla fine dei rami inferiori, contenenti dati di configurazione per
istanze specifiche di ogni tipo di dispositivo. Le sottochiavi di Enum
sono Htree, che rappresenta l’alberatura hardware, e una
sottochiave per ogni enumeratore (a cui corrisponde un bus) e i relativi device;
la chiave Root corrisponde all’enumeratore di default, usato
per i dispositivi non Plug & Play.
La chiave Harware Profiles contiene impostazioni hardware e configurazioni
di driver relativi ai profili hardware (quello di default e quelli
eventualmente definiti dall’utente); sono indicate solo le differenze
rispetto alle impostazioni standard dei driver e dei servizi.
L’ultima sottochiave, Services, contiene un elenco di device
driver, driver di file system e programmi di servizio eseguiti in user mode.
Sono indicati i driver da caricare, l’ordine di caricamento e i metodi
di chiamata tra i programmi. Le sottochiavi di HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP
fanno riferimento a voci contenute nella chiave Services dei Control. Per esempio sotto
SetDEVICEMAP, nei raggruppamenti per
categoria di periferica, c’è la sottochiave PointerClass
di cui fa parte \Device \PointerClass0, il cui valore punta alla sottochiave
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\.
Services\Mouclass
Sotto il ramo SYSTEM, dopo i Control Set e LastKnownGoodRecovery,
si trova la chiave MountedDevices, che mostra i drive accessibili
al sistema, inclusi quelli di Rete.
Seguono la chiave Select, che come abbiamo visto contiene i riferimenti
ai Control Set, la chiave Setup, che conserva informazioni
sull’installazione iniziale di Windows XP (da non modificare) e la
chiave WPA che non è difficile indovinare serva per la Windows
Product Activation (una sottochiave WPA è presente anche in
CurrentControlSet\Control\Session Manager).
