Registry memang database yang amat luas yang menyimpan begitu banyak key, subkey, value yang menarik untuk dieksplorasi. Tulisan berikut ini akan mencermati struktur registry. Windows yang dipakai sebagi model adalah Windows XP.
Untuk itu kita panggil Regedit. Caranya klik menu Start, lalu aktifkan Run… dan ketikkan Regedit pada isian Open. Klik Ok untuk menuntaskannya.
Gambar 1.1.: memanggil regedit
Regedit akan aktif dan menampilkan struktur registry. Nah, inilah yang akan kita tengok. Siap ?
Gambar 1.2.: struktur registry
Dari gambar 1.2. dapat kita lihat bahwa ternyata registry itu terdari 5 key utama. Yaitu :
• HKEY_CLASSES_ROOT. Berisi informasi asosiasi file dan data aplikasi OLE (Object Linking Embedding). Data diambil dari salah subkey HKEY_LOCAL_MACHINE\ Software\Classes key.
• HKEY_CURRENT_USER. Berisi suatu profil dari user yang saat ini sedang aktif. Daimbil dari HKEY_USERS\SID.
• HKEY_LOCAL_MACHINE menunjukkan hardware, software, dan informasi keamanan. Subkey ini adalah tempat dimana biasanya kita melakukan perubahan untuk mengatasi masalah. Atau untuk melakukan kostumasi servis dari suatu komponen.
• HKEY_USERS berisi suatu default user profile (.DEFAULT) dan satu profile dari user aktif yang disimpan di Security Identifier (SID).
• HKEY_CURRENT_CONFIG. Berisi data-data konfigurasi yang saat ini sedang dipakai.
Kita akan melihatnya secara lebih rinci lagi, sehingga kita akrab dan tahu benar dengan apa yang sedang kita lakukan ..?
\HKEY_LOCAL_MACHINE
Terdiri dari beberapa subkey sebagai berikut :
• HARDWARE. Berisi data keterangan detail tentang perangkat keras terpasang. Seperti: motherboard, video adapter, SCSI adapters, serial ports, parallel ports, sound cards, network adapters, dll. Data-data ini bersifat volatile, karena akan hilang dan dan dihtung ulang saat komputer di booting. Jadi, saat kita mengadakan perubahan perangkat keras, maka akan dicatat pada subkey ini pada saat kita melakukan booting ulang,
•SAM. Berisi data yang menangani account user. Sesuai dengan kepanjangannya Security Account Manager. Secara mode standar regedit tidak akan mampu menampilkan datanya. Untuk dapat melihatnya diperlukan beberapa syarat tertentu. Seperti : merubah privilige.
• SECURITY. Berisi data-data keamanan yang berhubungan dengan kebijakan keamanan dan autentifikasi pemakai.
• SOFTWARE berisi daftar ekstensi file dan aplikasi terkait. Satu subkey untuk setiap aplikasi yang ada dan mengikuti prosedur registrasi database konfigurasi. Banyak subkey yang diacak disimpan disini oleh program aplikasi. Subkey ini juga berisi informasi konfigurasi komputer untuk komponen sistem operasi. Termasuk didalamnya seluruh komponen kunci Windows.
• SYSTEM. Menerangkan konfigurasi bootable dan non-bootable dalam suatu grup data yang bernama ControlSets. Dimana setiap ControlSet mewakili suatu konfigurasi yang unik. Dalam tiap controls set terdapat dua kunci yang menerangkan komponen sistem operasi dan layanan (servis) untuk konfigurasi tersebut. Subkey ini juga mencatat konfigurasi apa yang dipakai saat booting untuk menjalankan system saat ini (CurrentControlSet). Pada subkey ini, terdapat juga subkey yang mecatat konfiguirasi yang gagal dijalankan dan konfigurasi penyelamat atau lebih dikenal dengan sebutan LastKnownGood configuration. Juga akan terdapat beberapa Setup key, yang mencatat perintah-perintah yang dipakai untuk menginstal Windows, boot disk dan menyediakan daftar file OEMSETUP yang biasanya digunakan untuk menginstall komponen hardware.
\HKEY_USERS
Subkey-subkey yang ada di dalamnya adalah sebagai berikut :
• .DEFAULT. Menyimpan data pemakai standar.
• S-1-5-18. User dengan SID ini adalah untuk user dengan kategori LOCAL SYSTEM.
• S-5-5-19. Data untuk Local Service.
• S-5-5-19_Classes. Data kelas untuk local service.
• S-1-5-20. Data untuk Network service.
• S-5-5-20_Classes. Data kelas untuk servis network.
• S-5-5-21-107808….NT Domain Sid.
• S-5-5-21-107808…._Classes. Kelas untuk NT domain SID
\HKEY_LOCAL_MACHINE\HARDWARE\
• ACPI. Berkaitan dengan spesifikasi mother board. Intinya tentang pengaturan power, BIOS, dll.
• DESCRIPTION. Berisi tentang jeroan sistem komputer. Misalnya untuk : central processor, jenis prosesor.
• DEVICEMAP. Berisi peranti yang terpasang, seperti : keyboard, port paralel, serial com, scsi, video.
• RESOURCE MAP. Berisi data-data hardware abstraction layer, PnP manager, system resources.
\HKEY_LOCAL_MACHINE\SAM\DOMAINS\ACCOUNT
Berisi beberapa nama subkey, sebagai berikut :
• Aliases. Nama lain untuk pemakai. (user)
• Groups berhubungan dengan jenis group
• Users. Pemakai yang ada di komputer.
• 000001F4. User account untuk built-in Administrator.
• 000001F5. User account untuk Guest.
• 000003E8. Account untuk HelpAssistant. Berhubungan dengan remote desktop connection.
• 000003EA. Account untuk Support.
• 000003EB. Account untuk custom account. Pada contoh ini adalah account tersebut bernama cybersufi.
• 000003EC. Account untuk user Visual studio Analyzer. Biasanya account ini muncul jika kita memakai program Visual studio. Jika kita tidak memakainya, maka account ini tidak akan pernah ada.
• 000003F1. Account custom user yang (pada contoh ini) bernama coba. Pada komputer Anda isinya sesuai dengan user yang Anda buat.
• 000003F2. Account custom user yang (pada contoh ini) bernama Test. Pada komputer Anda isinya sesuai dengan user yang Anda buat.
• NAMES. Berisi nama-nama account yang ada pada komputer.
• Administrator. Subkey ini berisi ID Administrator built-in dan merujuk ke subkey 000001F4.
• Coba. Berisi ID Custom user dan merujuk ke subkey 000003F1.
• CyberSufi. Berisi ID Custom user dan merujuk ke subkey 000003EB
• Guest. Berisi ID Guest dan merujuk ke subkey 1F5.
• HelpAssistant. Berisi ID HelpAssistant dan merujuk ke subkey 3E8
• SUPPORT_388945a0 Berisi ID HelpAssistant dan merujuk ke subkey 3EA.
• Test. ID Berisi ID Custom user dan merujuk ke subkey 000003F2.
• VUSR_HOPE0DSMP9SKZ2L. Berisi ID Server account dan merujuk ke subkey 3EC.
\HKEY_LOCAL_MACHINE\SAM\DOMAINS\BUILTIN
Subkey-subkey yang ada pada bagian ini, merupakan subkey default yag akan ada secara otomatis.
• Aliases. Berisi data-data account built-in standar.
• 00000220. Account untuk Administrator.
• 00000221. Account untuk user
• 00000222. Account untuk guest
• 00000223. Account untuk power user
• 00000227. Account untuk backup operator
• 00000228. Account untuk Replicator support
• 0000022B. Account untuk remote desktop user
• 0000022C. Account untuk netwok configuration operator.
• Members. Subkey ini menunjukkan keanggotaan user.
• S-1-5.. Merupakan subkey yang berisi NT Authority. Berisi subkey yang termasuk dalam anggotanya.
• S-1-5-21-….. merupakan subkey yang berisi NT Domain SID. Berisi subkey yang termasuk dalam keanggotaan kelompoknya.
• Names. Subkey ini berisi subkey-subkey yang berhubungan dengan nama pemakai.
• Administrator. Berisi data kode RID untuk Administrator.
• Backup Operators. Berisi data kode RID untuk Backup Operators
• Guest. Berisi data kode RID untuk guest.
• Network Configuration operators. Berisi data kode RID untuk Network Configuration operator.
• Power Users. Berisi data kode RID untuk power user.
• Remote Desktop Users. Berisi data kode RID Remote Desktop User.
• Replicator. Berisi data kode RID untuk Replicator.
• Users. Berisi data kode RID pemakai.
\HKEY_LOCAL_MACHINE\SECURITY\POLICY
Subkey ini berguna untuk menyimpan data-data kebijakan (policy). Rincian singkat diantaranya adalah sebagai berikut :
• Policy. Subkey yang mempunyai beberapa subkey pengaturan policy.
• Accounts. Berisi pengaturan policy untuk user account.
• Def quota. Berisi pengaturan policy untuk quota.
• Domain. Berisi pengaturan policy untuk Domains
• PolAdtEv. Berisi pengaturan policy untuk Audit events
• PolAdtEv. Berisi pengaturan policy untuk Audit events
• Secrets. Berisi pengaturan policy “rahasia” (?)
• SAM. Isinya sama dengan SAM yang telah dilihat di atas.
\HKEY_LOCAL_MACHINE\SECURITY\ACCOUNT
Subkey ini berisi data-data user berdasarkan SID-nya. Sedangkan keterangan yang ada didalam subkey SID tersebut secara umum akan berisi 4 subkey : yaitu ActSysAc, Privilgs, SecDesc dan Sid. Sebagai contoh adalah SID S-1-1-0.
• S-1-1-0. sama dengan Null Sid (everyone)
• ActSysAc. Tindakan yang bisa dilakukan oleh user everyone.
• Privilgs. Privilise untuk everyone
• SecDesc. Desktipsi Keamanan everyone
• Sid. Security Identifier everyone
Untuk SID yang lain dibaca dengan cara yang sama. Sid-sid yang ada adalah seperti keterangan berikut.
• S-1-5-19. SID Local service
• S-1-5-20. SID Network service
• S-1-5-21-1078081533-1965331169-1417001333-11002. SID NT Domain
• S-1-5-21-1078081533-1965331169-1417001333-501 SID NT Domain
• S-1-5-32-544. SID BuiltIn Administrator
• S-1-5-32-545 SID BuiltIn User
• S-1-5-32-547. SID BuiltIn Power User
• S-1-5-32-551. SID Built in Backup Operator
• S-1-5-32-555. SID Remote Desktop user
\HKEY_LOCAL_MACHINE\SECURITY\SECRETS
Pada subkey ini terlihat beberapa subkey dengan nama yang “aneh-aneh” dan agak menakutkan. Contoh ada subkey bernama :
L$RTMTIMEBOMB_1320153D-8DA3-4e8e- B27B-0D888223A588
Sayang sekali sampai saat ini saya belum dapat mengartikan secara pasti kegunaannya. Mungkin, suatu saat, Anda yang mewakili saya menemukannya yach…?
\HKEY_LOCAL_MACHINE\SOFTWARE
Berisi subkey-subkey yang menyimpan data-data program aplikasi. Jadi isinya akan bervariasi. Bergantung kepada software apa saja yang kita installkan. Jadi no comment-lah untuk subkey ini. Alias kita tidak akan membahasnya.
HKEY_LOCAL_MACHINE\SYSTEM
Pada subkey ini akan terdapat beberapa subkey standar, sebagai berikut :
•ControlSet001. Subkey ini berisi konfigurasi bootable atau nonbootable.
•ControlSet002. Subkey ini berisi konfigurasi bootable atau nonbootable.
•CurrentControlSet. Sini berisi konfigurasi bootable atau yang dipakai saat ini.
•LastKnowGoodRecovery. Informasi tentang data yang baik yang bisa disimpan.
•MountedDevices. Berisi data-data device yang terpasang dan dikenali.
•Select. Data-data seting boot yang dipilih
•Setup. Informasi proses setup. Mencatat perintah yang digunakan untuk menginstal Windows. Boot disk dan info file OEMSETUP yang dipakai untuk menginstal perangkat keras.
•WPA. Mungkinkah ini berisi data-data Windows Program Activation ?
\HKEY_CURRENT_CONFIG
Berisi data-data konfigurasi yang saat ini sedang dipakai. Berisi dua subkey utama yaitu Software dan System. Seperti yang terlihat pada gambar. Tidak ada yang menarik untuk dikaji ! lupakan saja bagian ini.
Itulah secara singkat gambaran tentang key maupun subkey yang ada di registry Windows. Jika banyak istilah yang tidak Anda ketahui. Itu tidak apa-apa. Ikuti terus tulisan mendatang, Anda akan tahu sendiri nanti.
Note : [Remake BDRW:MKWXP-1]
Tri Amperiyanto
Tidak ada komentar:
Posting Komentar