注册表知识和技巧大全

注册表知识和技巧 注册表知识和技巧 对我们大多数人而言，注册表就像我们汽车上的密封垫片：我们知道它在那里，它至关重要而且我们感觉不到它的存在。就像一辆车的密封垫片如果不合适，那它就不能跑很远，错误的注册表可以终止Windows，甚至让它无法启动。但如果你知道你正在做什么，注册表会在高效处理方面成为你的重要的帮手。 该指南将告诉你该如何安全地编辑注册表以个性化你的计算机。也就是说，要明白注册表并不是Windows中可有可无的元素。一个错误的修改可以导致PC的崩溃，所以在你完整地读完这篇指南之前请不要尝试做任何修改。 即使目前你还缺乏做任何修改的自信，我们建议你往下读，在理解了注册表如何控制你的PC之后，将会扩展你各方面的计算机知识并且在以后可以帮助你修复各种问题。 并非所有修改都是好的，在我们开始之前，请允许我详细叙述我们对注册表进行修改的警告。注册表中包含的大多数信息对平稳运行Windows至关重要，修改或删除这些值会完全终止你的计算机。 另一项需要记住的重要事情是对注册表的任何修改输入之后，它们就开始发生作用。注册表和Word文档不一样，Word是你必须选择保存，而且也没有撤销功能。这里不是可以胡乱进行修补的地方，但是有一个很容易就实施的保险策略。和其他类型的数据一样，注册表信息可以被备份，创建一个拷贝从而如果出现问题就可以进行恢复。 实际上，注册表非常重要，以至于Windows在每次开始的时候都会自动对它进行备份。Windows可以利用该备份自动修复某些问题，但你所做的多数修改都需要你自己来修复。 在进行修改之前，最简单的保护自己的方法是创建一个系统恢复点，这让注册表在某个点建立单独的、不可修改的记录，如果需要你可以返回到这个点。 你或许还希望用笔和纸记下你对注册表所作的所有修改。虽然计算机没有完全停止工作，你可能想撤销某些修改，而且很容易就可以实现这一点，只需通过快速查阅记录，而不必恢复整个注册表。 注册表的任务是什么？ 考虑到这些警告，你可能奇怪注册表真正做了什么，以及为什么所有人都想胡乱地修补它。它是所有和Windows以及你在计算机上安装的软件、硬件相关的设置和信息的一个中央记录。在Windows 95之前，这些信息被保存在大量不同的文本文件当中。它们很容易被编辑，而你首先必须要找到它们，而且在你编程试图和它们进行交互的时候经常会发生问题。 　　注册表的一个好处是添加或删除程序功能，这是开始菜单中控制面板功能的一部分。你安装软件的时候，在注册表中做了一个记录，所以在添加或删除程序中作为一个专门列表的一部分出现。 　　 注册表的功能是什么？ 注册表保存在你的硬盘的几个文件当中，但访问和修改它们的唯一途径是使用注册表编辑器程序。要访问它，点击开始按钮，然后点击运行。在出现的对话框中输入regedit并按Enter键。这会进入注册表编辑器，你现在就看到了注册表。 　　注册表组织得更像磁盘上的文件，如果你曾经在Windows浏览器中使用过文件夹视图的话，你会根据很熟悉。然而在注册表中，这些文件夹被称为键。要打开某个键，只需点击它旁边的小加号(+)。然后你会看到每个键下包含更多的键，称为子键或值。 　　这些数以千计的键根据逻辑进行排列，在你第一次看到注册表的时候可能会使你感觉无从下手。要把头绪理清楚，首先要知道有五个根键以及注册表的基本组成结构。 值是指各种不同键的单独设置，因此是可自定义的。它们在注册表窗口左侧以名称排列，它们还说明了包含数据的类型以及数据本身。不用担心使用的是哪种数据类型，因为这对数据本身是明显的，或者在编辑过程中会作出解释。 　　修改注册表。 　　你肯定已经对注册表作过修改，但只是通过控制面板或安装其它软件这样的间接途径。第三方软件也可以实现这一点，但你应该只使用那些值得信任的软件。让某个不知名的应用程序编辑注册表可能会给间谍软件留下后门。 　　一些可用的软件提供了你在别的地方看不到的设置。Registry Mechanic就是这样一个程序。其他诸如Norton SystemWorks这样的工具可以扫描注册表中不再需要并且可以删除的键值。注册表越庞大，你的计算机的运行就会变得越慢，所以 SystemWorks非常有用。 　　间谍软件通常在注册表中建立键值以确保自己已经启动以便在Windows开始的时候监视你的计算机。在寻找有关如何删除这些程序的建议的时候，你可能会被告知需要编辑注册表。请先确定该建议是来自某个可信赖的来源，例如Windows的注册表指南或Systweak.com。 　　在有些时候，间谍软件也安装一个小程序以监视注册表并且重新写入你删除的键值，所以你应该使用诸如Spybot Search and Destroy这样的软件完全地清理你的计算机。 　　你可以通过注册表做些什么。 　　如果你了解了注册表的基本工作原理，你可以很快地调整计算机的行为以适应你的个人需求。你还可以像在Internet Explorer中那样在注册表中设置收藏夹。如果你正在修改一个需要进行调整的设置，例如在下面例子中，你可以利用这个特性快速返回到你修改的值。 　　要设置收藏夹，点击键，然后是收藏夹菜单并选择添加收藏夹。给定一个名称并点击OK。回到这个键，你现在可以很容易地从收藏夹菜单中选择收藏。 　　需要注意的是十进制和十六进制数之间的区别，同样一个数字在这两者中将产生不同的结果。这里的所有例子都使用十进制数。 　　掌握缩略图。 　　Windows可以在资源管理器的窗口中显示图像为缩略图。如果你感觉这些缩略图的大小或质量不是你喜欢的，你可以利用注册表修改它们。首先，通过创建一个系统恢复点做一个文件备份。现在使用前面介绍的过程打开注册表并且通过点击“+”寻找到下面的键。 　　现在右击资源管理器图标，选择New并点击DWORD值。在看到NewValue1之后输入文本ThumbnailQuality。你应该只能输入源名称；如果不是，点击新键并按F2以编辑该名称。右击ThumbnailQuality并选择修改。在出现的窗口中，输入一个介于50到100的数字以指定缩略图的质量。默认值是90。该数字越小，图片显示的速度会越快，但是图片显示的质量会越低。点击十进制选项，然后点击OK。 　　要改变缩略图的大小，右击资源管理器的图标，选择New并点击DWORD值。命名新的值ThumbnailSize，右击它并选择修改。输入一个数字以设置你希望每个缩略图使用的象素数量。默认值是96。点击十进制选项，然后点击OK。在这些修改生效前，你可能需要重新启动计算机。 　　清除IE历史web站点。 　　尽管我们可以在Internet Explorer中删除你曾经访问过的web站点的历史列表，但系统仍然保存着它们并且当你在地址栏中输入相同的名称时自动显示它们。这个列表被保存在注册表中，如果你愿意你可以删除它。 　　点击开始按钮，然后点击运行，在窗口中输入regedit并按enter键。接着查找键“HKEY_CURRENT_USER\Software\ Microsoft\Internet Explorer\TypedURLs”。在右边的窗格中，你将看到曾经访问的所有web站点的列表。要删除该列表中的web站点，点击每一行并按Del 键。点击Yes，该记录将被删除。 　　禁用任务管理器。 　　在处理没有响应的程序时，任务管理器非常有用，但是有时候你可能希望防止其他人使用它，以避免他们停止某个关键的程序，例如你正在运行的病毒扫描器。但是需要了解的是，因为你可以停止任何正在运行的程序，所以稍不注意就很容易导致Windows崩溃。你可以通过下面的方法修改注册表，禁止其他人访问任务管理器： 　　点击开始按钮，然后是运行。在接下来的窗口中输入regedit并按Enter键。找到下面的键：‘HKEY_CURRENT_USER\Software\Microsoft \Windows\ CurrentVersion\Policies\System’。你需要创建一个System键。右击Policies，选择New，然后点击Key。输入键的名字System。 　　右击System键，选择New，然后点击DWORD值。输入值的名称为DisableTaskMgr。如果你无法输入名称，左击新的值并在输入新的名称之前按F2键。右击它并选择修改。在值的数据对话框中输入1，选择十进制选项并点击OK。 　　现在，如果某人通过按下Ctrl+Alt+Del试图打开任务管理器，他们将收到一条消息，告诉他们这已经被禁止了。如果你的计算机上的用户不止一个，你就必须以每个帐户登录，然后重复这个过程。 　　小心对待它。 　　我们已经用一些例子说明了你可以利用注册表做些什么。随着你更多地学习，你会发现了解你的计算机是如何与注册表相结合是一个很有用的工具，从长远的观点来看会增强你的自信。 　　通过下面的指导，我希望你能够获得对你的计算机的进一步的理解。需要记住的是，一定要尽可能心怀敬意地对待注册表并且在做修改的时候小心谨慎。一定要先做一个备份并且只在你确切地知道它们是什么以及它们是做什么的时候才修改或添加值。 　　去了解更多。 　　有大量的web站点介绍如何编辑注册表以及注册表能做些什么。如果你不确定某个特定的修改，你可以到互联网的论坛上和其他用户进行讨论，例如Computeractive论坛。 　　要想获得更多对注册表进行修改的例子，请查看WinGuides Network for Windows。每项技巧都有你需要修改的键和值的截屏以及它们的外部特征。你也可以下载WinGuides Tweak Manager，它无需使用注册表就可以应用这些修改。 　　如果你觉得有足够的把握，请查看Windows XP的The Elder Geek。该站点有大量的建议，并且即使你不是在寻找特定的注册表编辑，你或许会发现你希望进行的修改，而你一直不知道该如何实现。 注册表六键浅解 在注册表中，所有的数据都是通过一种树状结构以键和子键的方式组织起来，十分类似于目录结构。每个键都包含了一组特定的信息，每个键的键名都是和它所包含的信息相关的。如果这个键包含子键，则在注册表编辑器窗口中代表这个键的文件夹的左边将有“＋”符号，以表示在这个文件夹中有更多的内容。如果这个文件夹被用户打开了，那么这个“＋”就会变成“－”。 　　1.HKEY_USERS 　　该根键保存了存放在本地计算机口令列表中的用户标识和密码列表。每个用户的预配置信息都存储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。 　　2.HKEY_CURRENT_USER 　　该根键包含本地工作站中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码(注：此密码在输入时是隐藏的)。用户登录Windows98时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。 　　3.HKEY_CURRENT_CONFIG 　　该根键存放着定义当前用户桌面配置(如显示器等)的数据,最后使用的文档列表（MRU）和其他有关当前用户的Windows98中文版的安装的信息。 　　4.HKEY_CLASSES_ROOT 　　根据在Windows98中文版中安装的应用程序的扩展名,该根键指明其文件类型的名称。 　　在第一次安装Windows 98中文版时,RTF(Rich Textformat)文件与写字板(WordPad)&127;联系起来,但在以后安装了中文Word6.0 后，双击一个RTF文件时，将自动激活Word。存放在SYSTEM.DAT中的HKEY_CLASSES_ROOT，将替代WIN.INI文件中的 [Extensions]&127;小节中的设置项,它把应用程序与文件扩展名联系起来,它也替代了Windows3.x中的Reg.dat文件中的相似的设置项。 　　5.HKEY_LOCAL_MACHINE 　　该根键存放本地计算机硬件数据,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中。 　　该根键中的许多子键与System.ini文件中设置项类似。 　　6.HKEY_DYN_DATA 　　该根键存放了系统在运行时动态数据，此数据在每次显示时都是变化的，因此，此根键下的信息没有放在注册表中。 用注册表清除计算机病毒。 木马藏身地及通用排查技术。 　　木马取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，具有很强的隐藏性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的方法。 　　●在Win.ini中启动木马： 在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如： 　　run=C:Windows ile.exe 　　load=C:Windows ile.exe 　　则这个file.exe很有可能就是木马程序。 　　●在Windows XP注册表中修改文件关联： 　　修改注册表中的文件关联是木马常用的手段，如何修改的方法已在本系列的前几文中有过阐述。举个例子，在正常情况下txt文件的打开方式为Notepad.exe（记事本），但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。当然，不仅是txt文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。 　　对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。 　　●在Windows XP系统中捆绑木马文件： 　　实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次Windows XP启动都会启动木马。 　　●在System.ini中启动木马： 　　System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样： 　　Shell=Explorer.exe file.exe 　　这里的file.exe就是木马服务端程序。 　　另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。 　　●利用Windows XP注册表加载运行： 　　注册表中的以下位置是木马偏爱的藏身之所： 　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。 　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。 　　HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。 　　●在Autoexec.bat和Config.sys中加载运行木马： 　　要建立控制端与服务端的连接，将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽，所以这种方式并不多见，但也不能掉以轻心。 　　●在Winstart.bat中启动木马： 　　Winstart.bat也是一个能自动被Windows XP加载运行的文件，多数时由应用程序及Windows自动生成，在执行了Win.com或者Kernel386.exe，并加载了多数驱动程序之后开始执行（这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知）。由于Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。 　　木马病毒的通用排查技术 　　现在，我们已经知道了木马的藏身之处，查杀木马自然就容易了。如果您发现计算机已经中了木马，最安全最有效的方法就是马上与网络段开，防止计算机骇客通过网络对您进行攻击，执行如下步骤： 　　l 编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。 　　l 编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。 　　l 在Windows XP注册表中进行修改：先在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但可恶的是，并不是所有的木马程序都只要删除就能万事大吉的，有的木马程序被删除后会立即自动添上，这时，您需要记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。 计算机木马清除实例 　　●冰河v1.1的注册表清除实例： 在注册表编辑器中打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，在右 边的窗口中找到并删除C:WINNTSystem32Kernel32.exe，C:WINNTSystem32sysexplr.exe，再重新启动到MS-DOS方式后，删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。 　　AOL Trojan的注册表清除实例： 　　首先到MS-DOS方式下，删除以下文件： 　　C:command.exe 　　C:Americ~1.0uddyl~1.exe 　　C:Windowssystem orton~1 egist~1.exe 　　打开Win.ini文件，在[Windows]小节下面将特洛伊木马程序的路径清除掉，改为“run=”，“load=”，保存Win.ini文件。 然后打开Windows XP注册表，打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右表窗口中的键值项“WinProfile=C:Command.exe”删除，关闭注册表，重启计算机即可。 　　●Doly v1.1-v1.5的注册表实例（v1.6和v1.7类似）： 　　首先进入MS-DOS方式，删除以下三个木马程序，但v1.35版还多一个木马文件Mdm.exe。 　　C:WindowsSystem esk.sys 　　C:WindwosStart MenuProgramsStartupmstesk.exe 　　C:Program FilesMStesk.exe 　　C:Program FilesMdm.exe 　　重新启动Windows，打开Win.ini文件，将[windows]小节下的“load=C:WindowsSystem esk.exe”删除，即改为“load=”，保存Win.ini文件。 然后，在注册表中打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边 的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除，打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支，将其下的全部内容都删除（全为木马参数选择和设置的服务器）；再打开HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除。 　　关闭注册表，打开C:Autoexec.bat文件，删除如下两行： 　　@echo off copy c:sys.lon C:WindowsStart MenuStartup Items 　　Del c:win.reg 　　保存并关闭Autoexec.exe文件。 　　●IndocTrination v0.1-v0.11注册表清除实例： 　　在注册表中打开如下子键： 　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once 　　将这些子键右边窗口中的如下键值项删除： Msgsrv16=“Msgsrv16”，关闭注册表后重启Windows，删除C:WindowsSystemmsgserv16.exe文件。 　　●SubSeven-Introduction v1.8注册表清除实例： 　　打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支，在右窗口中查找到含有“C:WindowsSystem.ini”的键值项数据，将它删除。 　　打开Win.ini文件，将其中的“run=kernel16.dl”改为“run=”，保存并关闭Win.ini文件。 　　打开System.ini文件，将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”，保存并关闭System.ini文件，重启Windows，删除C:Windowskernel16.dl文件。 　　●广外女生注册表清除实例： 　　退到MS-DOS模式下，删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件，因此，现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”，将其改名为“Regedit.com”。 回到Windows模式下，运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand，将其默认值改为“%1 %*”，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。 　　回到Windows目录，将“Regedit.com”改回“Regedit.exe”。 　　●Netbull（网络公牛）注册表清除实例： 　　该病毒在Windows 9X下：捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑：notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开： 　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 　　HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun 　　在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。 　　另外，要察看自己的机器是否中了该病毒，可以察看上面列出的文件，如果发现该文件长度发生变化（大约增加了40K左右），就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器]，在弹出的对话框中选择“从安装软盘提取一个文件”，在框中填入要提取的文件（前面你删除的），点“确定”，按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件，如realplay.exe、QQ等被捆绑上了，那就必须把这些文件删除后重新安装了。 　　●聪明基因注册表清除实例： 　　删除C:Windows下的MBBManager.exe和Explore32.exe，再删除C:WindowsSystem下的editor.exe文件。如果服务端已经运行，则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。 　　打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，删除键值项“MainBroadBackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:WindowsNotepad.exe %1”，恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:Windowswinhlp32.exe %1”，恢复hlp文件关联。 　　以上是一些比较典型的手动清除特洛伊木马操作步骤，希望大家能在动手的过程中得到启发，慢慢摸索木马的藏身和激活规律，以达到以不变应万变的境地。