注册表学习,注册表学习的知识

注册表学习的知识 - 应用软件 - 电脑教程网

注册表学习的知识

日期:2007-03-26   荐:

  Windows对应用程序和计算机系统的管理,都是通过这个叫“注册表”的核心数据库来统一进行的。它直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,对系统的运行起着至关重要的作用,是Windows计算机行为和能力的数据交换中心。注册表是一个二进制的数据库文件,用户是无法直接读取注册表的,为了方便大家编辑注册表,Windows提供了注册表编辑器。

  左脑记忆 打开注册表编辑器的方法:单击“开始”菜单→“运行”,在“运行”对话框内输入“Regedit”,回车即可打开注册表编辑器。
注册表的具体结构和作用是什么呢?
  注册表编辑器如图1所示,看得出来注册表是层叠式的结构,分别由配置单元、项、子项和值组成,对注册表相应的项、子项、值作出更改可以解决一些系统问题。但如何知道从哪些地方着手更改呢?新手起码应该了解的就是Windows 2000/XP/2003的5个注册表配置单元具体有什么作用。
1.HKEY_CLASSES_ROOT
  这个单元的主要作用是在计算机上注册所有COM服务器和与应用程序相关联的所有文件扩展名、文件类型、文件图标。如果要用添加新的文件扩展名、更改系统图标,或者查看打开某类型文件的程序,就可以在此单元下编辑相关项。
2.HKEY_CURRENT_USER
  这个单元记录了当前登录用户的登录信息、配置文件。其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项。我们对IE选项的控制(如屏蔽主页、代理、安全自定义、IE临时文件大小)、隐藏控制面板、禁止将打开的文档存入历史记录、资源管理器、隐藏桌面图标等操作,都是在该配置单元里进行修改。
3.HKEY_LOCAL_MACHINE
  该单元中存放的是控制系统和硬件的设置,如内存、驱动程序、安全数据库、系统配置等信息。它涉及的面比较广,是注册表里修改最频繁的地方。这里保存有键盘使用的语言以及各种中文输入法、Windows应用程序卸载信息等,我们给鼠标右键添加新的命令、屏蔽3721等IE插件、清理已删除程序残留的注册信息和“开始”菜单的修改等操作,都在该配置单元里进行,而且这些修改都会应用于计算机上的所有用户。
4.HKEY_USERS
  这个单元保存的是当前登录用户的默认配置和设置,如桌面、背景、开始菜单程序项、字体等信息。该配置单元的大部分设置都可以通过“控制面板”来修改。
5.HKEY_CURRENT_CONFIG
  这里保存的是计算机的当前硬件配置情况,比如显示器、打印机等外部设备及设置信息,你对硬件进行的修改如更改显示器的屏幕刷新频率,都保存在这里。
在修改时注册表如果不小心出错,系统很容易出现各种问题甚至崩溃,该怎么办呢?
  备份!修改注册表前一定要记住备份当前注册表,避免修改错误引起的不必要的损失。那如何备份注册表呢?这里主要有备份注册表的项与备份整个注册表2种备份。

*

目前Windows2000/XP/2003注册表编辑的功能除了一些基础的修改图标、查杀病毒等应用外,很多都能在系统的组策略(以后“菜菜学堂”会教大家用)中实现,所以像更改IE、隐藏控制面板组和磁盘驱动器等高级应用就交给组策略来办,会更安全和稳定。
  左脑记忆 备份与恢复注册表项:如果你只想保存一个键值或注册表项,比如HKEY_USERS\.DEFA
  ULT\Software,定位到该项上,如图2所示,右键点击该项,在菜单上选择“导出”命令,将该项保存为REG文件即可。若要还原导出的注册表子项,只要双击刚才导出的REG文件即可。
  备份整个注册表:点击“开始→所有程序→附件→系统工具→备份”,打开“备份或还原向导”,如果启动的是“高级模式”,可以点击“工具→切换到向导模式”打开向导。点击下一步选择“备份文件和设置→让我选择要备份的内容”。
  在左边的栏目中展开“我的电脑”,选中“System State”,“System State”包括注册表、“COM 类注册数据库”以及电脑的启动文件,最后将选定的“System State”(系统状态)保存起来即大功告成。
  如果要还原整个注册表,只要打开“备份或还原向导”,点击下一步选择“还原文件和设置”,根据提示,找到备份的“System State”(系统状态)文件,在“要还原的项目”框中,展开要还原的介质,然后单击系统状态复选框,将其选中,再点击下一步即可还原整个注册表。
病毒、木马以及黑客程序最喜欢入侵的地方就是注册表,通过注册表,它们能实现自动运行、破坏和传播等目的。能举例说明如何在注册表里查找可疑程序并删除它吗?
  注册表中有几处是病毒、木马等最喜欢入侵的,它们分别是:
  1.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows是一个高危项。右键点击该项,按“权限”命令,选择所有的用户,将其权限“完全控制”设置为“拒绝”,“应用”后就可以避免一些不必要的病毒加载。
  该项的右边窗口有“Load”和“Run”的字符串值,这两个字符串值的键值默认是空白的(图3)。如果你的注册表该字符串的值不为空,那就可能被病毒加载了,这时一定要把值改回默认的。
  还有一个“Programs”的字符串值默认数值为“com exe bat pif cmd”。病毒喜欢在这里添加一个特殊的文件类型,比如“病毒.cpw”,可以逃过很多病毒防护软件的扫描。一旦发现这种情况,右键选中“Run”字符串值,将该字符串值删除;双击“Load”和“Programs”,将数值数据改回空即可。
  2.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中有许多自动启动的程序。对可疑的程序,直接鼠标右键选中,删除即可。类似“Run”这样的项在注册表中还有几处,均以“Run”开头,分别是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、项及该项下面的RunOnce、RunOnceEx 、RunServices等(图4),同样需要注意。
  3.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,右边的“Shell”字符串值数据值为“Explorer.exe”。很容易被木马等捆绑后随系统一起启动,并且无法查杀。最好的解决办法是双击“Shell”字符串值,把值改为explorer.exe的绝对路径,如“C:\WINDOWS\explorer.exe”。
  4.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager,右边“BootExecute”的多字符串值默认键值为“autocheck autochk *”。此外,还要注意有没有“PendingFileRenameOperations”这个多字符串值,它一般由软件的安装程序自动生成。木马或病毒可以通过“PendingFileRenameOperations”来实现自身的文件改名,再配合前面所说的“BootExecute”多字符串值来自动加载启动。
  5.HKEY_CLASSES_ROOT\exefile\shell\open\command,右边“默认”字符串值的数据是““%1” %*”,该数据也容易被更改,解决方法就是将数值数据改回默认值““%1” %*”。
  左脑记忆 对初学者来说,我们不必记下注册表的所有项值。当遇到需要修改注册表解决问题的时候,只要完整地记下下面5个步骤,照着操作就可以完成具体应用。
  第一步:上Google、百度等查出要修改的具体项或键的位置,健的键值。
  第二步:备份注册表。
  第三步:打开注册表编辑器。
  第四步:查找并编辑相关项和键值。
  第五步:修改完毕后按F5键刷新注册表,验证是否修改成功,完毕。
  我是系统管理员,为什么在编辑注册表时,会弹出禁止访问的警告?
  如果你在注册表中编辑非当前账户的某些注册表项,系统会弹出禁止访问的警告框。可以登录系统管理员账户,右键点击该项,在弹出菜单上选择“权限”,让自己取得该项的完全控制权限。*
标签: