Registry hive là thành phần cốt lõi trong hệ điều hành Windows, lưu trữ toàn bộ cấu hình phần cứng, phần mềm, người dùng và hệ thống. Nếu bạn từng sửa lỗi Windows qua regedit hay muốn phân tích sâu hệ thống, Bản chất và vai trò
Registry hive là một file đặc biệt trên đĩa cứng, chứa một nhánh (branch) của registry. Mỗi hive bao gồm một tập hợp các key, subkey và value. Khác với registry key, hive là đơn vị lưu trữ vật lý. Windows có bốn hive hệ thống chính được tải khi khởi động và nhiều hive người dùng được tải khi đăng nhập.
Các file hive thường tập trung tại thư mục %SystemRoot%System32config (ví dụ: SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT) và thư mục user profile (NTUSER.DAT, UsrClass.dat). Mỗi hive đi kèm file.LOG,.LOG1,.LOG2 để ghi lại thay đổi và hỗ trợ phục hồi khi xảy ra sự cố.
Tài khoản người dùng, mật khẩu (hash), nhóm bảo mật
HKEY_LOCAL_MACHINESECURITY
%SystemRoot%System32configSECURITY
Chính sách bảo mật, logon, quyền
HKEY_LOCAL_MACHINESOFTWARE
%SystemRoot%System32configSOFTWARE
Cài đặt ứng dụng, cấu hình hệ thống (không phải bảo mật)
HKEY_LOCAL_MACHINESYSTEM
%SystemRoot%System32configSYSTEM
Cấu hình boot, driver, services
HKEY_LOCAL_MACHINEHARDWARE
Dynamic (tạo khi boot)
Thông tin phần cứng được phát hiện
HKEY_CURRENT_USER
%UserProfile%NTUSER.DAT
Cấu hình riêng của user đang đăng nhập
HKEY_USERS.DEFAULT
%SystemRoot%System32configDEFAULT
Profile mặc định cho hệ thống và user mới
HKEY_CURRENT_CONFIG
Liên kết đến HKLMSYSTEMCurrentControlSetHardware Profiles
Profile phần cứng hiện tại
Lưu ý: HKEY_HARDWARE không tồn tại dưới dạng file mà được dựng động mỗi lần khởi động, do đó không có file hive tương ứng.
Cách tìm hiểu registry hive thông qua registry editor (Regedit)
Cách đơn giản nhất để bắt đầu cách tìm hiểu registry hive là mở Regedit (nhấn Win+R, gõ regedit). Trong Regedit, bạn thấy năm nhánh chính (root keys) – mỗi nhánh tương ứng với một hoặc nhiều hive. Chẳng hạn, nhánh HKLM gồm nhiều hive con như SAM, SECURITY, SYSTEM, SOFTWARE.
Registry hive là file vật lý trên đĩa (ví dụ: C:WindowsSystem32configSOFTWARE). Registry key là cấu trúc cây bên trong hive (ví dụ: HKEY_LOCAL_MACHINESOFTWAREMicrosoft). Một hive có thể chứa nhiều key, và một root key (như HKLM) thực chất là tổ hợp nhiều hive.
Làm sao để xem file hive trực tiếp mà không cần tải vào Regedit?
Dùng Registry Explorer (Eric Zimmerman) hoặc mở file bằng notepad? Không, notepad chỉ hiển thị nhị phân rác. Cần công cụ chuyên dụng. Bạn cũng có thể dùng lệnh reg query nếu hive đã được load, nhưng với hive offline thì Registry Explorer là lựa chọn hàng đầu.
Có. Nếu bạn có quyền truy cập vào ổ đĩa vật lý (qua USB boot, ổ cứng ngoài), bạn copy file hive (SAM, SYSTEM,…) sang máy tình trạng tốt, sau đó dùng Regedit > File > Load Hive, hoặc công cụ offline. Chú ý quyền sở hữu: file SAM thường bị khóa bởi TrustedInstaller, bạn cần lấy quyền.
Tại sao không thể mở file SAM bằng regedit khi Windows đang chạy?
Hệ thống khóa hive SAM khi đang dùng để ngăn truy cập trực tiếp vào hash mật khẩu. Chỉ có tiến trình SYSTEM mới được đọc. Để phân tích, bạn phải copy file SAM từ ổ đĩa ngoài hoặc sử dụng các công cụ như Mimikatz (chạy với quyền SYSTEM).
Làm thế nào để tạo bản sao lưu an toàn của một hive?
Sử dụng lệnh: reg save HKLMSOFTWARE C:backupSOFTWARE.hiv. Lệnh này tạo file hive gốc, có thể khôi phục sau. Tuyệt đối không copy file khi hệ thống đang chạy vì file đang được ghi, có thể bị hỏng. Luôn dùng reg save hoặc công cụ Volume Shadow Copy.
Lưu ý quan trọng khi tìm hiểu registry hive
Luôn làm việc trên máy ảo trước khi thực hành trên máy thật.
Sử dụng user có quyền hạn thấp để đọc hive, chỉ nâng quyền khi thực sự cần sửa.
Kiểm tra CRC và checksum của hive sau khi copy để đảm bảo file không corrupt.
Trên Windows 10/11, nhiều hive chứa dữ liệu mã hóa (VSM giới thiệu Virtual Secure Mode), khiến việc phân tích offline trở nên khó hơn. Cần cập nhật công cụ mới nhất.
Nắm vững cách tìm hiểu registry hive không chỉ giúp bạn xử lý sự cố hệ thống hiệu quả mà còn mở ra cánh cửa điều tra số, phân tích bảo mật và tối ưu hóa Windows. Bắt đầu từ Regedit, tiến đến công cụ dòng lệnh, rồi các phần mềm chuyên dụng như Registry Explorer, RegRipper. Hãy luôn chú trọng sao lưu, hiểu rõ cấu trúc file hive và quyền truy cập. Việc kết hợp kiến thức lý thuyết và thực hành sẽ biến bạn thành chuyên gia trong lĩnh vực này.
