一、
注册表的重要性:
1.注册表是操作系统的"灵魂",记录着操作系统的
软件和
硬件的信息,是操作系统的大动脉
2.大部分的木马和
病毒都要通过修改注册表来实现开机的自启动
3.对注册表有了一定的了解之后,你可以通过注册表来查找出电脑是否中了木马和病毒,并进行删除。
二、打开注册表的五种方式:
1.开始菜单
2.快捷键win键+R
3.系统目录windows下
4.快捷方式
5.任务管理器
三、注册表的基本脉络:
注册表是以根键和子键的方式组织起来的,类似于资源管理器中的目录结构。
根键:注册表中最底层的键,类似于磁盘上的根目录,通过“HKEY_来表示。
子键:子键位于根键下,也可以嵌套于其他子键中。在注册表的5大根键中,有若干的子键,而每个子键中又可以嵌套成千上万的子键。
键值数据项:键值数据项简称为键值项或数据项,在每个根键和子键下可以有若干键值项。键值项由键值名称,键值类型和键值数据3个部分组成。
四、注册表的5大根键。
在注册表中,所有的数据都是通过一种树状结构以键和子键的方式组织起来,十分类似于目录结构。每个键都包含了一组特定的信息,
每个键的键名都是和它所包含的信息相关的。如果这个键包含子键,则在注册表编辑器窗口中代表这个键的文件夹的左边将有“△”符号,
以表示在这个文件夹中有更多的内容。如果这个文件夹被用户打开了,那么这个“△”就会变成“▲”。
1.HKEY_CLASSES_ROOT
HKEY_CLASSES_ROOT根键中记录的是Windows操作系统中所有数据文件的信息,主要记录不同文件的文件名后缀和与之对应的应用程序。当用户双击一个文档时,系统可以通过这些信息启动相应的应用程序。HKEY_CLASSES_ROOT根键中存放的信息与HKEY_LOCAL_MACHINESoftwareClasses分支中存放的信息是一致的。
HKEY_CLASSES_ROOT根键由多个子键组成,具体可分为两种:一种是已经注册的各类文件的扩展名,一种是各种文件类型的有关信息。
2.HKEY_CURRENT_USER
根键包含当前登录用户的用户配置文件信息,这些信息保证不同的用户登录计算机时,使用自己的修改设置,例如自己定义的墙纸,自己的收件箱,自己的
安全访问权限.
比较重要的子键有下面三个:
1.AppEvents子键
它包含了各种应用事件(包括事件名称、描述以及各种系统功能的声音)的列表。其下面又包含两个子键EventLabels(按字母顺序列表)和Schemes(按事件分类列表)。
2.Control Panel子键
它所包含的内容与桌面、光标、键盘和鼠标等设置有关。改变它们的键值就将改变对应的工作环境或参数。
3.software子键
它所包含的内容是有关于
软件信息的
3.HKEY_LOCAL_MACHINE
此根键包含了当前计算机的配置信息,包括所安装的
硬件以及
软件设置.这些信息是为所有的用户登录系统服务的.这是个注册表中最庞大也是最重要的根键!
该根键下面包含了五个子键:
1.HARDWARE子键
该子键包含了系统使用的浮点处理器、串口等有关信息。在它下面存放一些有关超文本终端、数字协处理器和串口等信息。
2.SAM子键
该子键已经被系统保护起来,我们不可能看到里面的内容。
3.SECURITY子键
该子键位于HKEY_LOCAL_MACHINESecurity分支上,该分支只是为将来的高级功能而预留的。
4.SOFTWARE子键
该子键中保留的是所有已安装的32位应用程序的信息。各个程序的控制信息分别安装在相应的子键中。由于不同的机器安装的应用程序互不相同,因此这个子键下面的子键信息会有很大的差异。
5.SYSTEM子键
该子键存放的是启动时所使用的信息和修复系统时所需的信息,其中包括各个驱动程序的描述信息和配置信息等。System子键下面有一个CurrentControlSet子键,系统在这个子键下保存了当前的驱动程序控制集的信息。
4.HKEY_USERS
HKEY_CURRENT_USER根键中保存的信息(当前用户的子键信息)与HKEY_USERS.Default分支中所保存的信息是相同的。任何对HKEY_CURRENT_USER根键中的信息的修改都会导致对HKEY_USERS.Default中子键信息的修改,反之也是如此。
另外,它还包含所有以前登陆用户的信息.
5.HKEY_CURRENT_CONFIG
五、注册表的数据类型:
注册表通过键和子键来管理各种信息。但是,注册表中的所有信息是以各种形式的键值项数据保存下来。在注册表编辑器右窗格中,保存的都是键值项数据。这些键值项数据可分为如下五种类型:
1.字符串值(REG_SZ)
该值一般用来作为文件描述和
硬件标志,可以是字母、数字,也可以是汉字,但它是长度固定的文本字符串,最大长度不能超过255个字符。Reg文件中一般表现为:“a”=“****”
2.二进制值(REG_BINARY)
一般情况下,大多数
硬件组件信息以二进制数据存储,然后通过十六进制的格式显示在注册表编辑器中。该类型值没有长度限制,可以是任意字节长,Reg文件中一般表现为:“a”=hex:01,00,00,00
3.DWOED值(REG_D
word)
由4字节长(32 位整数)的数字表示的数据。设备驱动程序和服务的许多参数都是此类型,以十六进制或十进制格式显示在注册表编辑器中。Reg文件中一般表现为“a”=d
word:00000001
4.多字符串值(reg_multi_sz):允许将一系列项目作为单独的一个值使用。对于多种网络协议、多个项目、设备列表以及其他类似的列表项目来说,可以使用多字符串值
5.可扩充字符串值(reg_expand_sz):代表一个可扩展的字符串 (附注册表的基本操作)
修改注册表时,字符串值、二进制值、D
word值最为常用,而多字符串值、可扩充字符串值比较少用
提示:在Windows XP系统中包含上面的五种类型,而Windows 98系统仅包含字符串值、二进制值、D
word值三种类型。
六、小试牛刀:
-------------------------------------------
例一:更改IE浏览器的主页:
子键:[HKEY_CURRENT_USERSoftwareMicrosoft
internet ExplorerMain]
数据项:"Start Page"
类型:字符串
数据:
www.atcpu.com-------------------------------------------
例二:更改IE浏览器的标题栏
子键:[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
数据项:"Window Title"
类型:字符串
数据:注册表系列
教程-------------------------------------------
例三:隐藏硬盘驱动器:
子键:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
数据项:"NoDrives"
类型:D
word数据:00000004(十六进制) 隐藏C盘
00000004+00000008=00000012(十进制)=0000000C(十六进制)同时隐藏C盘和隐藏D盘
若值为00000000,不隐藏任何盘
若值为2的2次方00000004(十进制)=00000004(十六进制),隐藏C盘
若值为2的3次方00000008(十进制)=00000008(十六进制),隐藏D盘
若值为2的4次方00000016(十进制)=00000010(十六进制),隐藏E盘
若值为2的5次方00000032(十进制)=00000020(十六进制),隐藏F盘
依次类推......
若要同时隐藏几个盘,将对应的几个值同时相加就行
退出注册表编辑器后,重新启动计算机即可生效。
