Tìm hiểu về HKEY_LOCAL_MACHINE (HKLM Registry Hive)

HKEY_LOCAL_MACHINE, thường được viết tắt là HKLM, là một trong một số những registry hive tạo nên Windows Registry. Registry hive đặc biệt này chứa phần lớn thông tin cấu hình cho phần mềm bạn đã cài đặt, cũng như cho chính hệ điều hành Windows.

Ngoài dữ liệu cấu hình phần mềm, HKEY_LOCAL_MACHINE hive còn chứa nhiều thông tin có giá trị về driver thiết bị và phần cứng được phát hiện.

Trong Windows 10, Windows 8, Windows 7 và Windows Vista, thông tin về cấu hình khởi động máy tính của bạn cũng được bao gồm trong hive này.

Cách truy cập HKEY_LOCAL_MACHINE

Là một registry hive, HKEY_LOCAL_MACHINE rất dễ tìm và mở bằng công cụ Registry Editor có trong tất cả các phiên bản Windows:

  1. Mở Registry Editor.
  2. Xác định vị trí HKEY_LOCAL_MACHINEở phía bên trái của Registry Editor.
  3. Nhấn vào từ HKEY_LOCAL_MACHINEhoặc mũi tên nhỏ ở bên trái để mở rộng nó.

Nếu bạn hoặc ai đó đã sử dụng Registry Editor trước đây trên máy tính của bạn, bạn có thể cần phải thu gọn bất kỳ registry key đang mở nào cho đến khi bạn tìm thấy HKEY_LOCAL_MACHINE hive.

Registry subkey trong HKEY_LOCAL_MACHINE33Các registry key sau được đặt trong hive HKEY_LOCAL_MACHINE:

  • HKEY_LOCAL_MACHINE\BCD00000000
  • HKEY_LOCAL_MACHINE\COMPONENTS
  • HKEY_LOCAL_MACHINE\DRIVERS
  • HKEY_LOCAL_MACHINE\HARDWARE
  • HKEY_LOCAL_MACHINE\SAM
  • HKEY_LOCAL_MACHINE\Schema
  • HKEY_LOCAL_MACHINE\SECURITY
  • HKEY_LOCAL_MACHINE\SOFTWARE
  • HKEY_LOCAL_MACHINE\SYSTEM

Lưu ý: Các key nằm trong HKEY_LOCAL_MACHINE trên máy tính có thể khác nhau đôi chút tùy thuộc vào phiên bản Windows và cấu hình máy tính cụ thể của bạn. Ví dụ, các phiên bản Windows mới hơn không bao gồm key HKEY_LOCAL_MACHINE\COMPONENT.

Subkey (khóa con) HARDWARE chứa dữ liệu liên quan đến BIOS, bộ xử lý và các thiết bị phần cứng khác. Ví dụ, trong HARDWARE là DESCRIPTION > System > BIOS, nơi bạn sẽ tìm thấy phiên bản và nhà cung cấp BIOS hiện tại.

Subkey SOFTWARE là một trong những subkey được truy cập phổ biến nhất từ HKLM hive. Nó được tổ chức theo thứ tự bảng chữ cái của nhà cung cấp phần mềm và là nơi mỗi chương trình ghi dữ liệu vào registry để lần sau mở ứng dụng, các cài đặt cụ thể cho nó có thể được áp dụng tự động, giúp người dùng không phải cấu hình lại chương trình mỗi lần sử dụng. Nó cũng hữu ích khi tìm SID của người dùng.

Subkey SOFTWARE cũng chứa một subkey Windows mô tả các chi tiết UI khác nhau của hệ điều hành, một subkey Classes nêu chi tiết những chương trình nào được liên kết với phần mở rộng file, v.v…

HKLM\SOFTWARE\Wow6432Node\ được tìm thấy trên các phiên bản Windows 64 bit nhưng cũng được các ứng dụng 32 bit sử dụng. Nó tương đương với HKLM\SOFTWARE\ nhưng không giống hoàn toàn, vì nó được phân tách cho mục đích duy nhất là cung cấp thông tin cho những ứng dụng 32 bit trên hệ điều hành 64 bit. WoW64 hiển thị key này cho các ứng dụng 32 bit dưới dạng “HKLM\SOFTWARE\”.

Các subkey ẩn trong HKLM

11Trong hầu hết các cấu hình, các subkey sau là các key ẩn và do đó không thể duyệt như các key khác trong registry hive HKLM:

  • HKEY_LOCAL_MACHINE\SAM
  • HKEY_LOCAL_MACHINE\SECURITY

Trong hầu hết mọi trường hợp, các key này xuất hiện trống khi bạn mở chúng và/hoặc chứa các subkey trống.

Subkey SAM đề cập đến thông tin về cơ sở dữ liệu Security Accounts Manager (SAM) cho các domain. Trong mỗi cơ sở dữ liệu là bí danh nhóm, người dùng, tài khoản khách và tài khoản admin, cộng với tên được sử dụng để đăng nhập vào domain, cryptographic hash (hàm băm mật mã học) của mỗi mật khẩu người dùng, v.v…

Subkey SECURITY được sử dụng để lưu trữ chính sách bảo mật của người dùng hiện tại. Nó được liên kết với cơ sở dữ liệu bảo mật của domain nơi người dùng đăng nhập hoặc tới registry hive trên máy tính cục bộ nếu người dùng đăng nhập vào domain hệ thống cục bộ.

Để xem nội dung của key SAM hoặc SECURITY, thay vào đó, Registry Editor phải được mở bằng System Account, có quyền lớn hơn bất kỳ người dùng nào khác, ngay cả người dùng có quyền admin.

Khi Registry Editor đã được mở bằng các quyền thích hợp, các key HKEY_LOCAL_MACHINE\SAM và HKEY_LOCAL_MACHINE\SECURITY có thể được khám phá như bất kỳ key nào khác trong hive.

Một số tiện ích phần mềm miễn phí, như PsExec của Microsoft, có thể mở Registry Editor với quyền thích hợp để xem các key ẩn này.

Thông tin thêm về HKEY_LOCAL_MACHINE

Thật thú vị khi biết rằng HKEY_LOCAL_MACHINE không thực sự tồn tại ở bất kỳ đâu trên máy tính, mà thay vào đó chỉ là một container để hiển thị dữ liệu registry thực tế, được load thông qua các subkey nằm trong hive, đã liệt kê ở trên.

Nói cách khác, HKEY_LOCAL_MACHINE hoạt động như một shortcut đến một số nguồn dữ liệu khác về máy tính của bạn.

Do tính chất không tồn tại này của HKEY_LOCAL_MACHINE, cả bạn và bất kỳ chương trình nào bạn cài đặt, đều không thể tạo các key bổ sung trong HKEY_LOCAL_MACHINE.

Hive HKEY_LOCAL_MACHINE luôn không đổi cho dù người dùng nào trên máy tính xem nó, không giống như registry hive HKEY_CURRENT_USER dành riêng cho từng người dùng xem khi đăng nhập.

Mặc dù HKEY_LOCAL_MACHINE thường được viết là HKLM, nhưng đây không thực sự là một từ viết tắt “chính thức”. Điều này rất quan trọng vì một số chương trình trong nhiều trường hợp, thậm chí các công cụ có sẵn trực tiếp từ Microsoft, không cho phép bạn viết tắt tên hive trong đường dẫn registry. Nếu bạn gặp lỗi trong khi sử dụng “HKLM”, hãy sử dụng đường dẫn đầy đủ thay thế và xem liệu nó có khắc phục được vấn đề không.

Nguồn: quantrimang.com

AEH

Khóa học Hacker Mũ Trắng – AEH