Роман Клименко - Недокументированные и малоизвестные возможности Windows XP
■ %systemroot%CURSORS — хранит доступные на компьютере файлы указателей. Чтобы можно было установить свой указатель, нужно созданный файл указателя поместить в эту папку.
■ %systemroot%FONTS — содержит все установленные на компьютере шрифты. Чтобы установить шрифт, нужно в меню Файл данной папки выбрать команду Установить шрифт.
■ %systemroot%Inf — включает в себя все установленные на компьютере INF-файлы. Данная папка скрыта.
■ %systemroot%Installer — хранит большинство из пакетов установщиков Windows, которые вы когда-либо инсталлировали на компьютер. Если вам необходимо установить или переустановить какую-нибудь программу, инсталлируемую при помощи MSI-пакетов, и при этом вы не имеете ее установочного диска, но раньше уже устанавливали эту программу, то можно попытаться найти соответствующий установочный файл в данной папке. По умолчанию эта папка скрыта, а пакеты, которые в ней содержатся, имеют числовые номера (а не реальные номера, которые им были даны), поэтому самым простым способом определить принадлежность пакета является вкладка Сводка диалога Свойства пакета.
■ %systemroot%LastGood — если в системе присутствует эта папка, то она может хранить копии различных файлов. Сейчас администраторы многих компаний удаляют стандартные игры с пользовательских компьютеров. Но даже после их удаления копии могут находиться в нескольких различных местах файловой системы Windows XP. Например, в этой папке или в папке, используемой для хранения точек восстановления программой Восстановление системы, и папке, используемой службой индексации.
■ %systemroot%ntds — содержит файлы базы данных и журналы каталога, используемые контроллером домена Active Directory. Данный каталог является критически важным для работы контроллера домена.
■ %systemroot%sysvol — используется для тиражирования файлов между контроллерами доменов Active Directory. Он также используется службой индексирования.
■ %systemroot%repair — хранит архивные копии файлов кустов реестра, создаваемых ASR при работе программы архивации ntbackup.exe и используемых ею при восстановлении системы. Данный каталог также хранит некоторые файлы, не относящиеся к кустам реестра.
• autoexec.nt — используется по умолчанию для инициализации среды MS-DOS при восстановлении системы.
• config.nt — применяется по умолчанию для инициализации среды MS-DOS при восстановлении системы.
• setup.log — хранит перечень всех файлов, которые были установлены при установке операционной системы (описывается только содержимое каталога Windows и его подкаталогов).
• secDC.inf — включает в себя параметры безопасности для доменных контроллеров, которые будут к ним применены после восстановления системы.
• secSetup.inf — содержит параметры безопасности по умолчанию, которые будут применены после восстановления системы.
• smss.ASR — является обычной программой smss.exe, расширение которой было изменено. Smss.exe — диспетчер сеансов, начинающий работу при входе пользователя в систему и управляющий запуском различных сервисов и служб.
• NTDLL.ASR — является копией библиотеки ntdll.dll, расширение которой было изменено.
В этом каталоге также содержатся файлы кустов DEFAULT, SAM, SECURITY, SOFTWARE, SYSTEM. Их описание будет приведено при рассказе о содержимом каталога %systemroot%system32config.
■ %systemroot%system32CatRoot — хранит все цифровые подписи драйверов и системных файлов операционной системы Windows (в виде файлов с расширением CAT). Все они хранятся в одном из вложенных разделов данного каталога, название которого создано в формате CLSID-номера ActiveX-объекта (GUID-формате). Кроме цифровых подписей для стандартных драйверов и системных файлов, в этом каталоге также могут находиться цифровые подписи для драйверов и других файлов устройств, которые были протестированы в лаборатории Microsoft и помещены в список HCL (список совместимых аппаратных средств). После успешного тестирования устройства Microsoft передает производителю этого устройства файл каталога (СAT-файл) для его продукции, который впоследствии должен поставляться вместе с каждым экземпляром данного устройства. Именно наличие этого файла каталога и проверяется при установке устройства, если в диалоге Параметры подписывания драйверов установлен переключатель Предупреждать — каждый раз предлагать выбор действия или переключатель Блокировать — запретить установку неподписанного драйвера программного обеспечения.
■ %systemroot%system32config — является, наверное, самым важным каталогом в Windows — именно в нем находятся главные файлы кустов реестра.
Кроме них, каталог хранит и другие файлы, к реестру не имеющие никакого отношения. Вкратце рассмотрим его содержимое.
• AppEvent.Evt — является журналом событий приложений. Именно с ним мы и работали при изучении оснастки eventwvr.msc (Просмотр событий (локальных)►Приложение).
• DEFAULT — содержит раздел реестра HKEY_USERS.DEFAULT.
ПРИМЕЧАНИЕ
Кроме файла DEFAULT, в описанном выше каталоге находятся также файлы DEFAULT.LOG и DEFAULT.SAV. Первый из них является журналом транзакций и содержит все изменения параметров данного куста за текущий сеанс работы компьютера. Второй же включает в себя куст HKEY_USERS.DEFAULT, который был создан во время тестовой фазы установки операционной системы. Тоже относится и к другим файлам кустов — все они имеют своих тезок с расширениями SAV и LOG.
• DnsEvent.Evt — является журналом событий сервера DNS. В этой книге не рассматривалась возможность работы с журналом сервера DNS, поскольку это не являлось главной темой книги.
• FileRep.Evt — представляет собой первый журнал событий репликации.
• NTDS.Evt — является журналом событий службы каталогов Windows XP.
• NtFrs.Evt — представляет собой второй журнал событий репликации.
• SAM — является разделом реестра HKEY_LOCAL_MACHINESAM. По умолчанию данный раздел не может просмотреть даже администратор, хотя это может сделать система. Да вам и самим доступно это проверить — просто приспособьте приведенный ранее метод получения прав администратора, если у вас есть права опытного пользователя, не к взлому, а к получению окна редактора реестра, открытого от имени учетной записи системы.
• SecEvent.Evt — представляет собой журнал событий безопасности. Именно с ним мы и работали при изучении оснастки eventwvr.msc (Просмотр событий (локальных)►Безопасность).
• SECURITY — является разделом реестра HKEY_LOCAL_MACHINESECURITY. По умолчанию данный раздел не может просмотреть даже администратор, хотя это может сделать система. Содержимое этой ветви вы также сможете просмотреть, модернизировав метод получения прав администратора, если у вас есть права пользователя.
• SOFTWARE — содержит раздел реестра HKEY_LOCAL_MACHINESOFTWARE.
• SysEvent.Evt — является журналом системных событий. Именно с ним мы работали при изучении оснастки eventvwr.msc (Просмотр событий (локальных)►Система).
• System — содержит раздел реестра HKEY_LOCAL_MACHINESYSTEM.
• Userdiff — используется для обновления профилей пользователей более ранних версий операционных систем с целью их применения в Windows NT 4.0 и в более новых операционных системах Windows.
■ %systemroot%SYSTEM32dhcpBackup — содержит резервную копию базы данных этого DHCP-сервера (DHCP-сервер предназначен для выдачи временных IP-адресов и автоматического конфигурирования стека TCP/IP на компьютерах сети). В резервную копию входят следующие данные:
• сведения о выданных IP-адресах и времени окончания их аренды;
• настройки параметров данного DHCP (параметрами корпорация Microsoft назвала дополнительные сведения о конфигурировании стека TCP/IP, которые получают компьютеры вместе с IP-адресом);
• сведения об областях действия (перечень компьютеров, которые могут воспользоваться услугами данного DHCP-сервера).
Интервал обновления резервной копии базы данных DHCP-сервера по умолчанию равен 60 минутам, но его можно переопределить с помощью DWORD-параметра BackupInterval (значение указывается в минутах) из ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDhcpServerParameters.
■ %systemroot%system32DllCache — содержит копии всех системных файлов Windows XP (не только библиотек, но и программ) и необходим при повреждении или несанкционированном системой изменении оригинального системного файла для его переустановки. Данный каталог сжат и скрыт.
■ %systemroot%system32DNS — хранит файлы настройки DNS (служба для трансляции символьных адресов компьютеров (например, www.mail.ru) в числовые IP-адреса (например, 192.100.1.34) или, если используется зона обратного разрешения, наоборот), а также сами файлы зон данного DNS. Файлы зон являются обычными текстовыми файлами с расширением DNS, которые содержат ресурсные записи (существует много типов ресурсных записей, но наиболее используемыми являются записи типа А, которые как раз и предназначеныдля трансляции символьных адресов в числовые) только о компьютерах данной зоны DNS.
Следует учитывать, что способ хранения зон в виде текстовых файлов считается устаревшим. Если в сети используется Active Directory, то предпочтительнее хранить зоны в виде объектов объекта контейнерного типа dnsZone, что дает определенные преимущества.