Zonapc.it - Struttura del registro

Gli Hive, qualcuno di voi sicuramente ne avrà sentito parlare, ogni guida al registro di sistema che si rispetti deve trattare questo termine, a tale proposito prima di iniziare la stesura su questo argomento mi sono ampiamente documentato, ho acquisito materiale sia su internet che a livello cartaceo (riviste, manuali). Dopo aver visionato il materiale reperito mi sono reso conto che esiste una gran confusione su cosa sia realmente un Hive del registro, in particolare gli stessi articoli Microsoft definiscono l'Hive in più modi, fra le varie definizione esistono spesso molte contraddizioni, potete dare un lettura agli articoli presenti nei seguenti link.

Da questi stessi articoli possiamo dedurre che anche in casa Microsoft non esiste un'unica e inconfutabile definizione per gli Hive, in effetti viene detto che:

Gli Hive validi sono: HKEY_CLASSES_ROOT ; HKEY_CURRENT_CONFIG ; HKEY_CURRENT_USER ; HKEY_DYNDATA ; HKEY_LOCAL_MACHINE ; HKEY_PERFORMANCE_DATA ; HKEY_USERS .
HKEY_CLASSES_ROOT corrisponde ad un Hive ; HKEY_CURRENT_USER corrisponde ad un Hive ; HKEY_LOCAL_MACHINE corrisponde ad un Hive ; HKEY_USERS corrisponde ad un Hive ; HKEY_CURRENT_USER corrisponde ad un Hive.
Il termine Hive descrive un insieme di chiavi, sottochiavi e valori che ha origine nel livello superiore della gerarchia del Registro di sistema. Un Hive è basato su un singolo file e un file con estensione log contenuti in systemroot\System32\Config o nelle cartelle systemdrive\Documents and Settings\nomeutente. Le stringhe systemroot e systemdrive sono segnaposti che indicano rispettivamente la directory e la partizione contenenti i file di sistema della famiglia Windows Server 2003. Se ad esempio i file si sistema della famiglia Windows Server 2003 per l'utente Venturi si trovano nella directory Windows della partizione C, i file hive saranno memorizzati nelle cartelle C:\Windows\System32\Config e C:\Documents and Settings\Venturi. I file Hive sono detti anche file del Registro di sistema o file registro. Viene quindi proposta la seguente tabella dove però Microsoft dimentica la partecipazioni del file UsrClass.dat.
Un Hive del registro è un gruppo di chiavi, sottochiavi e valori che dispone di una serie di files di supporto contenenti backup dei dati relativi.
Viene quindi proposta la seguente tabella che si differenzia dalla precedente.
Gli Hive sono chiavi di massimo livello del Registro di sistema, quali HKEY_CURRENT_USER e HKEY_LOCAL_MACHINE.

Analizzato le varie definizioni non mi sono trovato in completo accordo con nessuna di esse, gli articoli Microsoft presentano spesso e volentieri delle contraddizioni fra loro, detto questo ho deciso di elaborare una mia definizione sugli Hive che potesse essere priva di contraddizioni.
Fatta questa premessa è giunta l'ora di iniziare a capire cos'è un Hive.
Il registro di sistema è costituito da dei files dove al loro interno sono contenuti i dati necessari per la configurazione dell'intero computer, hardware software compresi.
Questi files che abbiamo già potuto vedere in precedenza, sono posizionati all'interno della cartella Config e nei percorsi del profilo utente, ossia C:\Documents and Settings\nomeutente e C:\Documents and Settings\nomeutente\Impostazioni locali\Dati applicazioni\Microsoft\Windows.
Aprendo il registro di sistema con un editor, ad esempio con regedit (Start -> esegui -> regedit -> ok ) ci si presenta una struttura simile a quella del disco rigido, possiamo notare come egli sia inizialmente suddiviso in 5 parti principali, noi potremo immaginare gli Hive come essere i principali rami di un grande albero chiamato Registro di Sistema, da questi rami principali partiranno poi una serie di ramificazioni che troveranno come margine estremo le foglie.
Un semplice disegno per farsi un'idea.
Il registro di sistema come un albero

Ma vediamo ora cosa significa il termine Hive.

Il termine Hive sta a significare un gruppo di chiavi, sottochiavi e valori che ha origine ai livelli superiori della struttura gerarchica del registro, un Hive deve prelevare i suoi dati da un unico file fra quelli che costituiscino il registro di sistema ad eccezione dei due files relativi al profilo utente, ovvero NTUSER.DAT e UsrClass.dat che danno origine ad un Hive del registro solo quando vengono utilizzati entrambi nel medesimo ramo.
Tenete poi conto che assieme ai files che costituiscono il registro di sistema vi sono degli altri files di supporto che hanno le seguenti estensioni: . log e .sav.
I files senza estensione presenti nella cartella config (C:\Windows\system32\config) sono la fonte da cui il registro preleva i dati ( sam, security,system, software, default), poi vi sono altri 2 files con estensione .dat, che sono NTUSER.DAT e UsrClass.dat presenti rispettivamente nei percorsi C:\Documents and Settings\nomeutente e C:\Documents and Settings\nomeutentei\Impostazioni locali\Dati applicazioni\Microsoft\Windows, i files con estensione .log servono per la transizione delle modifiche apportate, una sorta di parcheggio per le modifiche delle chiavi già esistenti o per l'inserimento di quelle nuove, i files con estensione .sav sono delle copie di backup che serviranno a XP in caso di corruzzione dei files che costituiscono il registro di sistema.

Nella seguente tabella sono indicati i 7 Hive che formano il registro di Windows XP, come potete vedere ogni Hive preleva i dati da un unico file fra quelli che costituisco il registro di sistema ad eccezione dell'Hive HKEY_CURRENT_USER che preleva i suoi dati dai files NTUSER.DAT e UsrClass.dat.
Colgo l'occasione inoltre per segnalare che la chiave HKEY_USERS\N° SID, in realtà, sebbene non compaia nella seguente tabella, è l'esatta copia di HKEY_CURRENT_USER, quest'ultima non è altro che un Alias di HKEY_USERS\N° SID . Gli Hive del registro

Da una prima interpretazione della tabella, possiamo capire che da Hkey_local_machine partono ben 4 dei 7 Hive, Hkey_local_machine diventa dunque la parte del registro più importante e anche più conosciuta.
Qualcuno di voi magari si starà chiedendo il perché ad esempio Hkey_local_machine non possa essere definito un Hive, la risposta è semplice, Hkey_local_machine preleva i suoi dati da ben 4 files che costituiscono il registro di sistema, mentre una delle condizioni fondamentali per essere definito Hive è che la fonte di dati deve essere presa da un unico file.
E per HKEY_CLASSES_ROOT ?, non facciamoci ingannare, sebbene questa chiave sembri avere tutte le carte in regola per essere un Hive, non è così, infatti è vero che questa chiave a occhio sembra essere l'esatta copia di HKEY_LOCAL_MACHINE\SOFTWARE\Classes, in effetti si tratta di un Alias, ma se guardiamo bene HKEY_CLASSES_ROOT ha anche al suo interno i dati che possiamo trovare in HKEY_CURRENT_USER\Software\Classes e quindi preleva i suoi dati non più da un file del registro di sistema ma da due files, ovvero software e UsrClass.dat.

Riassumendo:

Il registro di sistema di Windows XP è un database gerarchico costituito da più files con al suo interno le informazioni, impostazioni e la configurazione del sistema operativo, dei software installati e dell'hardware.
La struttura gerarchica del registro è rappresentata da 7 rami principali denominati Hive, un Hive sta a significare un gruppo di chiavi, sottochiavi e valori che ha origine nel livello superiore della struttura gerarchica del registro, un Hive oltre che nascere sul livello superiore deve prelevare i sui dati da un unico file fra quelli che costituiscono il registro di sistema, fatta eccezione per i files NTUSER.DAT e UsrClass.dat, che solo quando utilizzati assieme formano l'Hive relativo al profilo utente corrente ( HKEY_CURRENT_USER ).

(continua alla pagina successiva...)

Il registro di Sistema di Windows XP

Struttura del registro

Gli Hive