第十八章第十八章注册表注册表一、什么是注册表一、什么是注册表在在Windows系统中有一个记录了所有设备配置、用户配置信息系统中有一个记录了所有设备配置、用户配置信息和计算机运行的各种动态信息的中心数据库叫注册表。和计算机运行的各种动态信息的中心数据库叫注册表。1、定义：、定义：2、作用：、作用： 用来管理应用程序的安装、文件类型的关联、硬件设备的管理用来管理应用程序的安装、文件类型的关联、硬件设备的管理和用户的配置等信息。和用户的配置等信息。注册表的来历注册表的来历DOS：系统配置信息存放在和两个文件中。：系统配置信息存放在和两个文件中。：系统配置信息越来越多，初始化文件越来越大，管理和修：系统配置信息越来越多，初始化文件越来越大，管理和修改困难。改困难。存放者存放者Windows和和Windows应用程序的配置。应用程序的配置。负责存储系统硬件的配置信息。负责存储系统硬件的配置信息。二、注册表的特点二、注册表的特点注册表由注册表由ini文件演化而来，但又与文件演化而来，但又与ini文件有着根本的区别文件有着根本的区别1、.ini文件是以文件的形式存储的，用普通的文本编辑器就文件是以文件的形式存储的，用普通的文本编辑器就可以打开，而注册表采用的是二进制形式登陆数据，因此必可以打开，而注册表采用的是二进制形式登陆数据，因此必须采用专门的应用软件进行编辑操作。须采用专门的应用软件进行编辑操作。2、注册表的管理更加灵活，同时支持子项，且每个关键项、注册表的管理更加灵活，同时支持子项，且每个关键项都有自己的值。都有自己的值。3、注册表可以同时管理多个用户，并可为用户建立不同的、注册表可以同时管理多个用户，并可为用户建立不同的分支，使用户之间的设置互不干扰。分支，使用户之间的设置互不干扰。4、注册表可以很方便的实现备份与恢复。同时，默认情况、注册表可以很方便的实现备份与恢复。同时，默认情况设置下，设置下，Windows操作系统会自动备份注册表。操作系统会自动备份注册表。5、由于注册表记录了系统硬件和系统相关信息等内容，造、由于注册表记录了系统硬件和系统相关信息等内容，造成了注册表的不断增大，从而占用较多的磁盘空间。随着软成了注册表的不断增大，从而占用较多的磁盘空间。随着软件的安装与删除，会在注册表中留有无用的信息。件的安装与删除，会在注册表中留有无用的信息。6、注册表可以轻松实现远程管理。、注册表可以轻松实现远程管理。三、注册表的结构三、注册表的结构注册表以层叠式结构排列的，由根键、键、子键、键值等组注册表以层叠式结构排列的，由根键、键、子键、键值等组成。成。注册表根键以注册表根键以“HKEY_”来表示（以来表示（以WindowsXP为例）为例）注意：打开注册表的命令：注意：打开注册表的命令：regedit或者或者regedt32。1、 HKEY_CLASSES_ROOT 管理文件系统分支。定义已注册文件的扩展名、管理文件系统分支。定义已注册文件的扩展名、文件名、文件类型、文件图标等，并指定相应的打文件名、文件类型、文件图标等，并指定相应的打开程序。开程序。2、HKEY_CURRENT_USER 管理系统当前的用户信息分支，定义了当前用管理系统当前的用户信息分支，定义了当前用户的所有权限，包括登录用户的配置信息等。户的所有权限，包括登录用户的配置信息等。3、HKEY_LOCAL_MACHINE 管理当前系统硬件配置分支。定义了本地计管理当前系统硬件配置分支。定义了本地计算机软、硬件的全部信息。算机软、硬件的全部信息。4、HKEY_USERS 管理系统的用户信息分支。定义了计算机上所有管理系统的用户信息分支。定义了计算机上所有用户的配置信息包括用户标示和密码列表。用户的配置信息包括用户标示和密码列表。5、HKEY_CURRENT_CONFIG 管理多套硬件配置文件方案。默认情况下此处管理多套硬件配置文件方案。默认情况下此处保存的是当前用户的配置文件的所有信息。保存的是当前用户的配置文件的所有信息。四、注册表编辑器的操作四、注册表编辑器的操作注册表编辑器是用来更改系统注册表设置的高级工具。注册注册表编辑器是用来更改系统注册表设置的高级工具。注册表中包含了有关计算机如何运行的信息。一般，最好允许表中包含了有关计算机如何运行的信息。一般，最好允许windowsXP程序修改系统注册表，而避免使用注册表编辑程序修改系统注册表，而避免使用注册表编辑器进行更改。器进行更改。如果不是绝对必要，请不要编辑注册表。如果不是绝对必要，请不要编辑注册表。如果注册表有错误，如果注册表有错误，可能会导致计算机无法正常工作。如果发生这种情况，可以可能会导致计算机无法正常工作。如果发生这种情况，可以将注册表还原到您上次成功启动计算机时的状态。将注册表还原到您上次成功启动计算机时的状态。在开始菜单在开始菜单运行运行regedit或者或者regedt32。1、打开、打开查找目标：编辑查找目标：编辑查找查找更改键值：编辑更改键值：编辑更改更改创建新项：编辑创建新项：编辑新建新建项项2、操作、操作添加键值：空白处右键单击添加键值：空白处右键单击新建新建项项字串值字串值字串值一般用来表示文件的描述、硬件的标识等。通常它由字串值一般用来表示文件的描述、硬件的标识等。通常它由字母和数字组成，最大长度不能超过字母和数字组成，最大长度不能超过255个字符。个字符。二进制值二进制值二进制值是没有长度限制的，可以是任意个字节长。在注册二进制值是没有长度限制的，可以是任意个字节长。在注册表编辑器中，二进制以十六进制的方式显示出来。表编辑器中，二进制以十六进制的方式显示出来。DWORD值值（双字节值）（双字节值）DWORD值是一个值是一个32位（位（4个字节，即双字）长度的数值。个字节，即双字）长度的数值。在注册表编辑器中，你将发现系统会以十六进制的方式显示在注册表编辑器中，你将发现系统会以十六进制的方式显示DWORD值。值。注意：在编辑注意：在编辑DWORD数值时，可以选择用十进制还是数值时，可以选择用十进制还是16进制的方式进行进制的方式进行输入，如图所示。输入，如图所示。删除键值：编辑删除键值：编辑删除删除五、注册表的维护五、注册表的维护1、损坏注册表的原因：、损坏注册表的原因：软件软件应用程序错误应用程序错误 驱动程序不兼容或使用了错误的应用程序驱动程序不兼容或使用了错误的应用程序 应用程序在注册表中添加了错误的内容应用程序在注册表中添加了错误的内容 应用程序添加了错误的数据文件和应用程序之间的联系应用程序添加了错误的数据文件和应用程序之间的联系 硬件硬件病毒：病毒更改了病毒：病毒更改了CMOSCMOS信息信息 断电：导致硬件损坏，从而影响注册表断电：导致硬件损坏，从而影响注册表 CPUCPU温度过高导致系统不稳定，影响注册表温度过高导致系统不稳定，影响注册表 硬盘工作不稳定导致系统受到破坏硬盘工作不稳定导致系统受到破坏 注意：一般情况下，不正确的修改注册表是注册表顺坏的主要原因。注意：一般情况下，不正确的修改注册表是注册表顺坏的主要原因。2.备份注册表备份注册表注册表注册表导出注册表文件导出注册表文件此时有两个选项：此时有两个选项：全部全部和和所选分支所选分支。3.恢复注册表恢复注册表在在Windows下：下：注册表注册表导入注册表文件导入注册表文件在在DOS下：下：Scanreg/Restore：可以选择一个备份文件进行恢复；：可以选择一个备份文件进行恢复；Scanreg/FIX：修复注册表。：修复注册表。六、实际应用六、实际应用HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem新建一个名为新建一个名为DisableRegistryTools的的Dword值，并将其值改为值，并将其值改为“1”，即可禁止修改注册表编辑器。即可禁止修改注册表编辑器。注册表的禁用注册表的禁用打开记事本，经下列文字输入，保存为打开记事本，经下列文字输入，保存为.reg文件，双击将其文件，双击将其导入注册表，即可解除。导入注册表，即可解除。HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools=dword:00000000注册表的禁用的解除注册表的禁用的解除HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer在右窗格中新建一个在右窗格中新建一个dword类型的串值，命名为类型的串值，命名为Nodesktop，双击，双击“Nodesktop“将其值改为将其值改为1。隐藏桌面图标隐藏桌面图标HKEY_USER/.default/contolpanel/desktop/wallpaper如改为如改为“d:3.bmp”注意：文件必须为注意：文件必须为.bmp位图格式位图格式修改开机画面修改开机画面HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer新建二进制值新建二进制值Nodrives，将要隐蔽的驱动器所代表的号码相加其中将要隐蔽的驱动器所代表的号码相加其中A驱为驱为1，B驱为驱为2，C驱为驱为4，D驱为驱为8，等；将相加所得到的数字转化为，等；将相加所得到的数字转化为16进制值，进制值，地位在前高位在后，比如要隐藏地位在前高位在后，比如要隐藏A、B、C三个盘，则为三个盘，则为07000000，若要隐藏所有驱动器则为，若要隐藏所有驱动器则为FFFFFFFF,将所得到的将所得到的16进制值赋予二进制进制值赋予二进制Nodrives。隐藏隐藏“我的电脑我的电脑”中的驱动中的驱动器器HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpolicies在在policies项上单击右键项上单击右键新建新建项项Activedesktop，在右边点右键，在右边点右键新建新建Dword值，命名为值，命名为“Nochangingwallpaper”并将其数值数据改为并将其数值数据改为“”。禁止更改桌面墙纸禁止更改桌面墙纸进入注册表编辑器进入注册表编辑器HKEY_current_usersoftwaremicrosoftwindowscurrentversionPolicesexlorer在右侧栏中添加在右侧栏中添加Dword类类,键名为键名为“Norecentdocsmenu”键值为键值为“1”。隐藏隐藏“开始开始”中的中的“文档文档”菜单菜单HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion在其中的在其中的“programfilesdir”项健入项健入“D:Programfiles”。修改应用程序安装路径修改应用程序安装路径HKEY_LOCAL_MACHINESoftwareMicrosoftinternetExplorerVersionVector在对话框右边的栏中即可看到有一项在对话框右边的栏中即可看到有一项6.0000的数值项的数值项,在其在其上双击鼠标打开上双击鼠标打开“编辑字符串编辑字符串”对话框对话框,在其内输入在其内输入“5.0000”即可重起即可重起,即可正常安装了即可正常安装了。重装重装IE浏览器浏览器IE浏览器上方的标题栏被改成浏览器上方的标题栏被改成“欢迎访问欢迎访问网站网站”的样式，的样式，这是最常见的篡改手段，受害者众多。受到更改的注册表项这是最常见的篡改手段，受害者众多。受到更改的注册表项目为：目为：HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerMainStartPageHKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainStartPageIE默认连接首页被修改默认连接首页被修改如果这样修改之后重新启动计算机，首页又被改了回去，是因如果这样修改之后重新启动计算机，首页又被改了回去，是因为他们在你的机器里加了一个自动运行的程序，这个程序会在为他们在你的机器里加了一个自动运行的程序，这个程序会在计算机启动之后重新设置计算机启动之后重新设置IE的首页。的首页。解决方法：解决方法：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键，然后将其下的子键删除，然后删除主键，然后将其下的子键删除，然后删除自运行程序，最后从自运行程序，最后从IE选项中重新设置起始页。选项中重新设置起始页。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon创建几个值项：创建一个双字节值项创建几个值项：创建一个双字节值项AutoAdminLogon。值为。值为1表示启表示启用自动登录功能，值为用自动登录功能，值为0或值项不存在表示不使用自动登录功能。修改或值项不存在表示不使用自动登录功能。修改字符串值项字符串值项DefaultDomainName的值为默认的域名。如果该机器不在的值为默认的域名。如果该机器不在域中，则该值项的值为该计算机的名称。修改字符串值项域中，则该值项的值为该计算机的名称。修改字符串值项DefaultUserName的值为默认的用户名。修改字符串值项的值为默认的用户名。修改字符串值项DefaultPassword的值为默认的口令。重新启动使更改生效。的值为默认的口令。重新启动使更改生效。启动后自动登录启动后自动登录HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer在在policies项上单击右项上单击右键键新建新建项项Activedesktop，在右边点右键，在右边点右键新建新建Dword值，值，命名为命名为“NoRun”并将其数值数据改为并将其数值数据改为“”。隐藏隐藏“运行运行”菜单菜单HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer在在policies项上单击右项上单击右键键新建新建项项Activedesktop，在右边点右键，在右边点右键新建新建Dword值，值，命名为命名为“NoFind”并将其数值数据改为并将其数值数据改为“”。隐藏隐藏“查找查找”菜单菜单HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer在在policies项上单击右项上单击右键键新建新建项项Activedesktop，在右边点右键，在右边点右键新建新建Dword值，值，命名为命名为“NoLogOff”并将其数值数据改为并将其数值数据改为“”。隐藏隐藏“注销注销”菜单菜单HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem在右边点右键在右边点右键新建新建Dword值值新建一个双字节值项新建一个双字节值项“DisableTaskMgr”并将其并将其数值数据改为数值数据改为“”。禁用禁用“任务管理器任务管理器”