# X. Windows Registry
## 1. What is Windows Registry?
Windows Registry là một cơ sở dữ liệu phân cấp chứa hệ điều hành và cấu hình hệ thống liên quan đến các chương trình được cài đặt trong hệ thống. Nó lưu trữ thông tin và cài đặt của các chương trình và phần cứng trong cơ sở dữ liệu này.
* Ví dụ, khi một chương trình được cài đặt trên Windows, chương trình có thể chọn lưu trữ ngày hết hạn của giấy phép sử dụng trong Windows Registry.
Windows Registry là một thành phần quan trọng trong Windows đối với các kẻ tấn công. Registry chứa rất nhiều thông tin về hệ điều hành Windows.
* Ví dụ, thông tin về các chương trình đã được cài đặt trên hệ thống và sau đó bị gỡ cài đặt vẫn có thể tồn tại trong registry.
Thông tin mà kẻ tấn công muốn thu thập thông qua hệ thống thường là thông tin cần thiết cho việc tiếp tục cuộc tấn công.
* Ví dụ, khi các kẻ tấn công chiếm được các tài khoản người dùng với quyền hạn hạn chế, họ có thể tiếp tục tìm kiếm những tài khoản có đặc quyền cao hơn bằng cách thu thập thông tin về người dùng khác trong hệ thống.
Registry chứa các cấu hình quan trọng và thông tin về hệ thống, cũng như thông tin về các chương trình khác được cài đặt trên hệ thống. Kẻ tấn công cũng có thể muốn thêm các mục nhập của riêng họ vào registry để đảm bảo tồn tại lâu dài trong hệ thống.
Nhân viên phân tích an ninh mạng (SOC) cần giám sát các thay đổi đáng ngờ trong registry để có thể **phát hiện bất kỳ hoạt động và hành vi nghi ngờ của kẻ tấn công**.
## 2. Accessing the Registry
Nên sử dụng một phần mềm riêng biệt để truy cập các tệp đăng ký vì chúng không ở định dạng dựa trên văn bản thông thường.
"**Registry Editor**" được cài đặt trong Windows giúp thực hiện các thao tác trên sổ đăng ký. Ví dụ: hãy mở chương trình có tên "**Registry Editor**":
## 3. Registry Structure
Windows registry entries được đặt tại "**%SystemRoot%\System32\Config**"
Sổ đăng ký chứa hai thành phần thiết yếu: "key" và "values". **Registry keys** là các đối tượng container tương tự như các thư mục.
**Registry values** là các đối tượng non-container tương tự như tệp.
Keys có thể chứa values và subkeys.
Ví dụ. **HKEY\_LOCAL\_MACHINE\Software\Microsoft\Windows** đề cập đến khóa con "**Windows**" của khóa con "**Microsoft**" của khóa con "**Software**" của khóa gốc **HKEY\_LOCAL\_MACHINE**.
Có 7 root keys được xác định trước:
* **HKEY\_LOCAL\_MACHINE** or HKLM
* **HKEY\_CURRENT\_CONFIG** or HKCC
* **HKEY\_CLASSES\_ROOT** or HKCR
* **HKEY\_CURRENT\_USER** or HKCU
* **HKEY\_USERS** or HKU
* **HKEY\_PERFORMANCE\_DATA** (only in Windows NT, but invisible in the Windows Registry Editor)
* **HKEY\_DYN\_DATA** (only in Windows 9x, and visible in the Windows Registry Editor)
### HKEY\_LOCAL\_MACHINE or HKLM
Đây là phần lưu giữ thông tin cấu hình phần cứng và phần mềm dành riêng cho máy tính. Các cài đặt áp dụng cho từng người dùng đăng nhập được duy trì trong phần này. Có một số khóa con quan trọng bên dưới khóa này:
**HARDWARE** Phần này chứa thông tin về các thiết bị phần cứng kết nối với hệ thống.
**SAM** Phần này chứa các phiên bản encrypted của mật khẩu của người dùng.
**SECURITY** Đây là phần chứa các chính sách bảo mật của hệ thống.
**SOFTWARE** Phần này chứa các cấu hình của các dịch vụ hệ điều hành cũng như các chương trình được cài đặt trong hệ thống.
**SYSTEM** Đây là phần chứa thông tin cấu hình của hệ thống.
### HKEY\_CURRENT\_CONFIG or HKCC
Đây là phần lưu giữ các cấu hình phần cứng trong quá trình hệ thống hoạt động. Nó chứa thông tin được thu thập khi chạy; thông tin được lưu trữ trong khóa này không được lưu trữ vĩnh viễn trên disk mà được tạo lại khi khởi động. Đó là a handle to the key.
### HKEY\_CLASSES\_ROOT or HKCR
Nó chứa cài đặt phần mềm, shortcuts và tất cả thông tin liên quan đến giao diện người dùng khác. Nếu phân vùng này bị xóa, sẽ không có tệp nào mở được, ngay cả khi Windows đang chạy.
### HKEY\_CURRENT\_USER or HKCU
Đây là phần lưu giữ cấu hình của người dùng đã đăng nhập.
### HKEY\_USERS or HKU
Đây là phần lưu giữ cấu hình của tất cả người dùng đã đăng ký vào hệ thống.
## 4. Reg extension files
Các tệp có phần mở rộng "**Reg**" là định dạng tệp được lưu khi xuất tệp đăng ký. Cấu trúc của phần mở rộng "**Reg**" là loại tệp dựa trên văn bản như sau:
Ví dụ: hãy export "Computer Name" dưới dạng loại tệp mở rộng "**reg**" thông qua registry rồi mở và đọc nó bằng notepad:
## 5. Registry Operations on the Command Line
Nhiều thao tác có thể được thực hiện bằng registry editor program cũng có thể được thực hiện thông qua dòng lệnh. Đọc registry keys and values, ghi values to the registry cũng như exporting và importing keys là một số thao tác có thể được thực hiện thông qua command line.
Ví dụ: hãy đọc tên máy tính mà chúng ta đã lưu trong tệp ở bài thực hành trước từ sổ đăng ký bằng dòng lệnh:
**"reg query HKEY\_LOCAL\_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName"**
Có thể tìm hiểu thêm các lệnh dùng REG ở link:
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/os/windows-fundamentals/x.-windows-registry.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.