Windows对应用程序和计算机系统的管理,都是通过这个叫“注册表”的核心数据库来统一进行的。它直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,对系统的运行起着至关重要的作用,是Windows计算机行为和能力的数据交换中心。注册表是一个二进制的数据库文件,用户是无法直接读取注册表的,为了方便大家编辑注册表,Windows提供了注册表编辑器。
左脑记忆 打开注册表编辑器的方法:单击“开始”菜单→“运行”,在“运行”对话框内输入“Regedit”,回车即可打开注册表编辑器。
注册表的具体结构和作用是什么呢?
注册表编辑器如图1所示,看得出来注册表是层叠式的结构,分别由配置单元、项、子项和值组成,对注册表相应的项、子项、值作出更改可以解决一些系统问题。但如何知道从哪些地方着手更改呢?新手起码应该了解的就是Windows 2000/XP/2003的5个注册表配置单元具体有什么作用。
1.HKEY_CLASSES_ROOT
这个单元的主要作用是在计算机上注册所有COM服务器和与应用程序相关联的所有文件扩展名、文件类型、文件图标。如果要用添加新的文件扩展名、更改系统图标,或者查看打开某类型文件的程序,就可以在此单元下编辑相关项。
2.HKEY_CURRENT_USER
这个单元记录了当前登录用户的登录信息、配置文件。WWW.iTcOMpUTeR.coM.CN其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项。我们对IE选项的控制(如屏蔽主页、代理、安全自定义、IE临时文件大小)、隐藏控制面板、禁止将打开的文档存入历史记录、资源管理器、隐藏桌面图标等操作,都是在该配置单元里进行修改。
3.HKEY_LOCAL_MACHINE
该单元中存放的是控制系统和硬件的设置,如内存、驱动程序、安全数据库、系统配置等信息。它涉及的面比较广,是注册表里修改最频繁的地方。这里保存有键盘使用的语言以及各种中文输入法、Windows应用程序卸载信息等,我们给鼠标右键添加新的命令、屏蔽3721等IE插件、清理已删除程序残留的注册信息和“开始”菜单的修改等操作,都在该配置单元里进行,而且这些修改都会应用于计算机上的所有用户。
4.HKEY_USERS
这个单元保存的是当前登录用户的默认配置和设置,如桌面、背景、开始菜单程序项、字体等信息。该配置单元的大部分设置都可以通过“控制面板”来修改。
5.HKEY_CURRENT_CONFIG
这里保存的是计算机的当前硬件配置情况,比如显示器、打印机等外部设备及设置信息,你对硬件进行的修改如更改显示器的屏幕刷新频率,都保存在这里。
在修改时注册表如果不小心出错,系统很容易出现各种问题甚至崩溃,该怎么办呢?
备份!修改注册表前一定要记住备份当前注册表,避免修改错误引起的不必要的损失。那如何备份注册表呢?这里主要有备份注册表的项与备份整个注册表2种备份。
如何清理注册表
注册表是Windows系统用来存储配置信息的几个“数据库”,硬件设备的调整、应用程序的增删、系统运行状态的修改等内容都保存在注册表数据库中。现在木马和病毒这么多,有的杀毒工具也不能完全检测和清除病毒,那我们能通过注册表监视工具直接掌控系统的工作情况吗?笔者推荐了一款很靓的工具——Regmon(Registry Monitor),它是一个出色的绿色注册表数据库监视软件,自动将系统对注册表数据库的读取、修改等操作逐笔记录下来,此后我们就可以凭借它所作的记录从事有关系统维护操作了。www.sq120.com推荐文章
一、如何判断程序写入注册表是否正常
下面我们以使用《超级兔子》为例,看看怎样用Regmon来了解《超级兔子》的“魔法设置”是如何对注册表修改数据的。
首先运行Regmon,一个很标准的Windows程序界面。点击“选项→过滤器/高亮”命令,然后在弹出的“Regmon过滤”窗口设置所需的过滤条件。在“包含”栏中输入《超级兔子》“魔法设置”的进程名称“srms.exe”(如图1),并选中“日志写入”和“日志成功”,其他的监视选项都取消,这样可以大大减少无用的监视数据信息,提高用户对信息的分析效率。
设置完成后单击“应用”按钮,Regmon会提示用户“要应用更新的过滤设置到当前输出吗?”,点击“是”按钮返回主界面,然后点击工具栏中的“清除”按钮清除当前窗口中已经显示的全部监视数据。
下面运行《超级兔子》的“魔法设置”功能,选中“系统”,在“系统选项”标签中勾选“关机时自动清除文档菜单”并“应用”。切换到Regmon的操作界面,你会发现窗口中显示有363条相关记录。
那怎样才能判断出究竟哪个才是对应的数据呢?用户只须再次取消勾选“关机时自动清除文档菜单”并“应用”,这时在Regmon的操作界面中就会又出现363条记录。下面对这两次的记录进行对比,发现程序修改的注册表键值都是相同的,即HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ClearRecentDocsOnExit。由此我们得知,该键值为“1”表示自动清除文件记录,键值为“0”表示保留文件记录。
二、哪些是注册表高危键值
如何防止木马、病毒、流氓软件等众多恶意程序修改注册表?我们只须在安装软件之前先行启动Regmon,将该软件在安装过程中对注册表数据库的修改全部记录下来,由于恶意程序很多都是开机就运行的,所以用户如果发现了开机就运行的可疑程序,那么就需要注意了。
下面是恶意程序最常见的在注册表中驻扎的启动项:
1.注册表启动项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]
阿萌小提示:
我们如何分辨这些启动项目到底是正常的还是恶意的呢?每个启动项目都分为名称、类型、数据三部分。
正确的方法是直接在“数据”部分查看该启动项所对应的文件目录,比如杀毒软件卡巴斯基的启动名称为“kav”,数据的内容为“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”,接着根据目录所指找到相应的文件,然后点击右键查看它的“属性”。正规文件的“属性”窗口都可以看到常规、版本、兼容性等几个标签,从“版本”标签我们就可以轻易的查看到该文件的“公司名称”、“文件描述”等信息(如图2)。如果该文件的“属性”窗口没有“版本”标签的信息,那么这个文件就一定有问题,应当及早进行删除。
2.系统服务启动
在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\”下,就可以查看到系统全部的服务,包括木马安装的可疑服务主键。如果发现有程序向这里添加键值,用户就应该引起注意了。在右边窗格中找到二进制值“Start”,修改它的数值,“2”表示自动,“3”表示手动,而“4”表示已禁用,当然最好直接删除整个主键。
3.开始菜单启动组
“HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell folders”,键名为“StartUp”,就是该项目在注册表的位置。
一旦在注册表以上位置发现含有奇怪的程序路径的话,首先我们选中该键值,接着点击Regmon操作界面中的“注册表跳转”命令,然后用户就可以对其进行操作了。从上面的介绍中可以看出,充分利用Regmon的注册表数据库监视功能有助于简化我们对系统的维护操作,提高系统运行效率,更何况它还是一个免费软件。
如何禁用注册表
相信很多朋友都使用过“文件夹选项→查看”这个功能,比如需要查看所有文件和文件夹的时候(包括隐藏文件和文件夹)。但是能不能添加自定义的功能呢?答案是可以。这里以在“文件夹选项→查看”中添加禁用注册表编辑器的开关为例,介绍一下:注册表“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”主键下的“DisableRegistryTools”,当其值为“1”时表示禁用注册表,相反,当其值为“0”时表示不禁用注册表。(本文为WWW.SQ120.COM电脑知识网推荐文章)
具体实现方法为:在注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder”主键下新建一个名为“禁用注册表”的主键,然后选中这个新建的主键,在右边分别新建以下键值:
1.值为“禁止使用注册表编辑器”的字符串类型键值“Text”。
2.值为“checkbox”的字符串类型键值“Type”。
3.值为“80000001”的DWORD类型键值“HKeyRoot”。
4.值为“Software\Microsoft\Windows\CurrentVersion\Policies\System”的字符串类型键值“RegPath”。
5.值为“DisableRegistryTools”的字符串类型键值“ValueName”。
6.值为“00000001”的DWORD类型键值“CheckedValue”。
7.值为“00000000”的DWORD类型键值“UnCheckedValue”。
8.值为“00000000”的DWORD类型键值“DefaultValue”。
9.值为“这将禁止使用注册表编辑器,确认吗?”的字符串类型键值“WarningIfNotDefault”。
打开“工具→文件夹选项→查看”,你会看到在“高级设置”列表框中多了一个“禁止使用注册表编辑器”的选项。当你勾选“禁止使用注册表编辑器”时,会弹出“警告”对话框,选择“是”后再点击“确定”按钮,注册表编辑器就会被禁用了。相反,清除“禁止使用注册表编辑器”选项前的钩后,注册表编辑器即可正常使用。
怎么样,其实如何禁用注册表其实也很简单吧
From:http://www.itcomputer.com.cn/Article/Software/201309/758.html