最近幾天集中研究了下Windows注冊(cè)表,，小有心得,；分享如下，希望對(duì)朋友們有所幫助,。

1,、定義：

Microsoft Windows 9x、Windows CE,、Windows NT,、Windows 2000、Windows XP 和 Windows Vista 中使用的中央分層數(shù)據(jù)庫(kù),，用于存儲(chǔ)為一個(gè)或多個(gè)用戶,、應(yīng)用程序和硬件設(shè)備配置系統(tǒng)所必需的信息。

注冊(cè)表包含 Windows 在運(yùn)行期間不斷引用的信息,，例如,，每個(gè)用戶的配置文件、計(jì)算機(jī)上安裝的應(yīng)用程序以及每個(gè)應(yīng)用程序可以創(chuàng)建的文檔類型,、文件夾和應(yīng)用程序圖標(biāo)的屬性表設(shè)置,、系統(tǒng)上存在哪些硬件以及正在使用哪些端口。

注冊(cè)表取代了 Windows 3.x 和 MS-DOS 配置文件（例如,，Autoexec.bat 和 Config.sys）中使用的絕大多數(shù)基于文本的 .ini 文件,。雖然幾個(gè) Windows 操作系統(tǒng)都有注冊(cè)表，但這些操作系統(tǒng)的注冊(cè)表有一些區(qū)別,。
注冊(cè)表數(shù)據(jù)存儲(chǔ)在二進(jìn)制文件中,。

注冊(cè)表因?yàn)樗鼜?fù)雜的結(jié)構(gòu)和沒有任何聯(lián)系的CLSID鍵使得它可能看上去很神秘。不幸的是,，微軟并沒有完全公開講述關(guān)于注冊(cè)表正確設(shè)置的支持信息,，這樣使得注冊(cè)表看上去更不可琢磨。處理和編輯注冊(cè)表如同“黑色藝術(shù)”一樣,，它在系統(tǒng)中的設(shè)置讓用戶感覺象在黑暗中摸索一樣找不到感覺,。這樣，因?yàn)橛脩魧?duì)這方面的缺乏了解使得注冊(cè)表更多的出現(xiàn)故障,。

注冊(cè)表是一套控制操作系統(tǒng)外表和如何響應(yīng)外來事件工作的文件,。這些“事件”的范圍從直接存取一個(gè)硬件設(shè)備到接口如何響應(yīng)特定用戶到應(yīng)用程序如何運(yùn)行等等,。注冊(cè)表因?yàn)樗哪康暮托再|(zhì)變的很復(fù)雜，它被設(shè)計(jì)為專門為32位應(yīng)用程序工作,，文件的大小被限制在大約40MB,。

2、注冊(cè)表與系統(tǒng)其他組件的聯(lián)系

在Windows系統(tǒng)里,，組策略,、控制面板及其他各種系統(tǒng)及軟件的設(shè)置，本質(zhì)上修改的都是注冊(cè)表里的數(shù)據(jù),。注冊(cè)表?yè)p壞將引起系統(tǒng)的嚴(yán)重問題,，特別是在WinXP、Win2003及Vista版本中,，注冊(cè)表?yè)p壞將導(dǎo)致系統(tǒng)無法啟動(dòng)等災(zāi)難性問題,。所以，非專業(yè)人士,，輕易不要修改注冊(cè)表,，盡量利用組策略、控制面板等方式來修改系統(tǒng)及軟件等設(shè)置,。

3,、注冊(cè)表組件介紹

在注冊(cè)表編輯器中注冊(cè)表項(xiàng)是用控制鍵來顯示或者編輯的?？刂奇I使得找到和編輯信息項(xiàng)組更容易,。因此，注冊(cè)表使用這些條目,。下面是六個(gè)控制鍵 （Windows NT以前的系統(tǒng)為6個(gè),，目前常見系統(tǒng)都是5個(gè)）

HKEY_LOCAL_MACHINE

HKEY_CLASSES_ROOT

HKEY_CURRENT_CONFIG

HKEY_DYN_DATA （基于Windows NT的系統(tǒng)，包括Winxp,、Win2000,、Win2003、Vista等都沒有這一項(xiàng)）

HKEY_USERS

HKEY_CURRENT_USER

Winnt和Win95的注冊(cè)表并不兼容,。從Win95向Winnt升級(jí)需要你重新安裝32位應(yīng)用程序,，重新在桌面上創(chuàng)建圖標(biāo)，并重新建立用戶環(huán)境,。

通過控制鍵可以比較容易編輯注冊(cè)表。雖然它們顯示和編輯好像獨(dú)立的鍵,，其實(shí)HKEY_CLASSES_ROOT 和HKEY_CURRENT_CONFIG是 HKEY_LOCAL_MACHINE的一部分,。HKEY_CURRENT_USER是HKEY_USERS的一部分。

HKEY_LOCAL_MACHINE包含了HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG的所有內(nèi)容,。每次計(jì)算機(jī)啟動(dòng)時(shí),，HKEY_CURRENT_CONFIG和HKEY_CLASSES_ROOT的信息被映射用以查看和編輯,。

HKEY_CLASSES_ROOT其實(shí)就是HKEY_LOCAL_MACHINE\SOFTWARE\Classes，但是在HKEY_CLASSES_ROOT窗編輯相對(duì)來說顯得更容易和有條理,。

HKEY_USERS保存著缺省用戶信息和當(dāng)前登陸用戶信息,。當(dāng)一個(gè)域成員計(jì)算機(jī)啟動(dòng)并且一個(gè)用戶登陸，域控制器自動(dòng)將信息發(fā)送到HKEY_CURRENT_USER里,，而且HKEY_CURRENT_USER信息被映射到系統(tǒng)內(nèi)存中,。其他用戶的信息并不發(fā)送到系統(tǒng)，而是記錄在域控制器里,。

這也就是注冊(cè)表的雙重入口概念,，即在注冊(cè)表的不同位置定義了相同內(nèi)容（或稱交叉內(nèi)容），提供了額外的系統(tǒng)可靠性及安全性,；而這些交叉內(nèi)容存在優(yōu)先級(jí),，系統(tǒng)信息優(yōu)于用戶信息生效，即HKEY_LOCAL_MACHINE中定義的信息生效優(yōu)先級(jí)大于HKEY_USERS中定義的信息,；在注冊(cè)表中修改鍵值時(shí),，優(yōu)先級(jí)高的有效；而在“控制面板”修改時(shí),，則沒有優(yōu)先級(jí)的說法,，因?yàn)樵诳刂泼姘逯行薷臅r(shí)，注冊(cè)表里的幾個(gè)對(duì)應(yīng)值將同時(shí)被改變,。

4,、注冊(cè)表常用鍵

（1）木馬常用的“映像劫持技術(shù)”
HKEY_LOCAL_MACHINE\microsoft\windows Nt\currentversion\Image File Execution Options子鍵下，建立要劫持程序的對(duì)應(yīng)debugger項(xiàng)（reg_sz類型）,，鍵值設(shè)為要執(zhí)行程序（如木馬等）的絕對(duì)路徑,。

（2）將鼠標(biāo)放在某一文件（不包括文件夾或驅(qū)動(dòng)器等）時(shí)顯示的提示信息
Hkey_classes_root\*子鍵下的infotip項(xiàng)，默認(rèn)值為[prop:type;docauthor;doctitle;docsubject;doccomment;write;size]分別對(duì)應(yīng)類型,；作者,；標(biāo)題；主題,；注釋,；修改時(shí)間；大??；
同一子鍵下的openwithlist和shellex項(xiàng)分別對(duì)應(yīng)“打開方式”中選擇使用程序列表和外殼擴(kuò)展（包括上下文菜單擴(kuò)展和屬性頁(yè)擴(kuò)展）

（3）修改右鍵菜單選項(xiàng)
Hkey_classes_root\clsid\shellfolder子鍵下，修改attributes的值中第一個(gè)字節(jié)（01復(fù)制,；02剪切,；03復(fù)制和剪切；10重命名；20刪除,；30重命名和刪除,；40屬性；50重命名和屬性,；60刪除和屬性,；70重命名、刪除和屬性,；73重命名,、刪除、屬性,、復(fù)制和剪切）

（4）不保留用戶桌面設(shè)置（重啟后恢復(fù)默認(rèn)值）
Hkey_users\.default\software\microsoft\windows\currentversion\policies\explorer子鍵下,，新建Dword項(xiàng)“NoSaveSettings”，值設(shè)為1

（5）精確定位桌面壁紙的坐標(biāo)
Hkey_current_user\control panel\desktop子鍵下,，新建字符串值“WallPaperOriginX”和“WallPaperOriginY”,，設(shè)置精確坐標(biāo)值（注意值不要超過桌面最大坐標(biāo)范圍，且不能為負(fù)值）

（6）30項(xiàng)實(shí)用禁用
注冊(cè)表里找到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer".
1.新建二進(jìn)值NoDriveTypeAutoRun,設(shè)置鍵值b5,00,00,00,為禁用光盤自動(dòng)運(yùn)行,。(該值為一個(gè)4字節(jié)二進(jìn)制值,，對(duì)應(yīng)位為1表示關(guān)閉自動(dòng)運(yùn)行，為0表示開啟自動(dòng)運(yùn)行,；其中第0位代表未知驅(qū)動(dòng)器,，第1位代表沒有權(quán)限的驅(qū)動(dòng)器，第2位代表可移動(dòng)驅(qū)動(dòng)器（如U盤等）,，第3位代表固定驅(qū)動(dòng)器（如硬盤）,，第4位代表遠(yuǎn)程驅(qū)動(dòng)器，第5位代表光盤驅(qū)動(dòng)器,，第6位代表RAM驅(qū)動(dòng)器,，第7位保留） 可參考http://hi.baidu.com/jszhangyifei/blog/item/63fd6d385965dc22b9998f35.html
2.新建鍵值dword鍵值為EditLevel，設(shè)置鍵值為１,，禁用開始菜單中“程序”上的水平線,。
3.新建二進(jìn)制值鍵值NoStartBanner,設(shè)置鍵值為01,00,00,00,禁用單機(jī)“從這里開始”動(dòng)畫箭頭。
4.新建dword設(shè)鍵值為NoFavoritesMenu,設(shè)置鍵值為１,，禁用開始菜單中的“收藏夾”.
5.新建dword鍵值NoRecentDocsMenu,設(shè)置鍵值為1,禁用開始菜單中的“文檔”. 6.新建dword鍵值Nofind,設(shè)置鍵值1為禁用開始菜單中的“查找”.
7.新建dword鍵值NoRun,設(shè)置鍵值1,為禁用開始菜單中的“運(yùn)行”.
8..新建dword鍵值NoLogOff,設(shè)置鍵值為1,禁用開始菜單中的"注銷”.
9..新建dword鍵值NoClose,設(shè)置鍵值為1,禁用開始菜單中的"關(guān)閉“.
10..新建二進(jìn)制值NoRecentDocsHistory,設(shè)置鍵值01,00,00,00,不保存新近打開的文檔歷史記錄,。
11.新建二進(jìn)制設(shè)置鍵值為退出時(shí)自動(dòng)刪除“運(yùn)行”，“查找”中的歷史記錄,，與１０題一起設(shè)置,，自動(dòng)清除新近打開的所有文檔的歷史記錄。
12.新建dword鍵值NoNetHood,設(shè)置鍵值為1,禁用開始菜單中的“網(wǎng)上鄰居”.
13.新建dword鍵值NoInternetIcon,設(shè)置鍵值為1,禁用IE瀏覽器圖標(biāo),。
14.新建dword鍵值NoSaveSettings,設(shè)置鍵值為1,禁用退出時(shí)保存設(shè)置（鎖定桌面）,。
15.新建二進(jìn)制鍵鍵值Nodrives,設(shè)置為01,00,00,00,禁用Ａ驅(qū)動(dòng)盤,，設(shè)置為ff,ff,ff,ff禁用所有驅(qū)動(dòng)器。
16.新建dword鍵值NoFileMenu,設(shè)置鍵值為1,禁用"我的電腦”,，“資源管理器”及“我的文檔中”中的“文件”菜單。
17.新建dword鍵值NoActiveDesktop,設(shè)置鍵值為1,禁用顯示屬性中的“Web"選項(xiàng)卡.
18.新建dword鍵值NoChangeStartMenu,設(shè)置鍵值為1,禁用在開始菜單拖放快捷菜單,；
19.新建dword鍵值NoViewContextMenu,設(shè)置鍵值為1,禁用右鍵快捷菜單.
20.新建dword鍵值NoTraycontextMenu,設(shè)置鍵值為1,禁用任務(wù)欄日快捷菜單,；
21.新建dword鍵值NoDesktop,設(shè)置鍵值為1,禁用桌面上的所有圖標(biāo)選項(xiàng)。
22.新建dword鍵值NoAddPrinter,設(shè)置鍵值為1,在打印機(jī)文夾中禁用“添加打印機(jī)”,。
23.新建dword鍵值NoDeletePtinter,設(shè)置鍵值為1,在打印機(jī)文夾中禁用“刪除打印機(jī)”,。
24.新建dword鍵值NoPrinterTabs,設(shè)置鍵值為1,禁用打印機(jī)屬性中的“常規(guī)”和“詳細(xì)”選項(xiàng)卡。
25.新建dword鍵值NoSetFolders,設(shè)置鍵值為1,禁用“設(shè)置”中的“控制面板”和“打印機(jī)”,。
26.新建dword鍵值NoSetTaskbar,設(shè)置鍵值為1,禁用“設(shè)置”中的“任務(wù)欄屬性和開始菜單”,。
27.新建dword鍵值NofolderOptions,設(shè)置鍵值為1,禁用“設(shè)置”菜單中的“文件夾選項(xiàng)”。
28.新建dword鍵值NoSetActiveDesktop,設(shè)置鍵值為1,禁用“設(shè)置”菜單中的“活動(dòng)桌面”,。
29.新建dword鍵值NoWindowsUpdate,設(shè)置鍵值為1,禁用“設(shè)置”菜單中的“WindowsUpdate選項(xiàng),。
30.上述第25.26.27.28.29五項(xiàng)全部禁用后則可以在開始菜單中刪除“設(shè)置”選項(xiàng)

（7）解開被禁用的注冊(cè)表
建立一個(gè)“unlockreg.reg”文件，此文件是用記事本建立一個(gè)以REG為后綴名的文件,，文件名可自定義,，內(nèi)容如下：
REGEDIT4
空一行[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000
要注意的是，在“REGEDIT4”一定要大寫（如果你是Windows 2000或Windows XP用戶,，請(qǐng)將“REGEDIT4”寫為“Windows Registry Editor Version 5.00）”,，且后面要空一行，并且“REGEDIT4”中“T”和“4”之間一定不能有空格,，否則……

（8）更改windows下用戶文件的默認(rèn)路徑
Hkey_users\.default\software\microsoft\windows\currentversion\explorer\user shell folders子鍵下的各鍵值,，用戶可自行修改路徑。

（9）添加應(yīng)用程序的快捷路徑
Hkey_local_machine\software\microsoft\windows\currentversion\app paths子鍵下,，創(chuàng)建各應(yīng)用程序的對(duì)應(yīng)子鍵,，修改“默認(rèn)”值為對(duì)應(yīng)程序的路徑

（10）刪除快捷方式圖表中的小箭頭
A、啟動(dòng)注冊(cè)表編輯器（開始－－運(yùn)行－輸入regedit）,，然后依次展開如下分支：“HKEY_CLASSES_ROOT\lnkfile”,；
B、刪除“l(fā)nkfile”子項(xiàng)中的“IsShortcut”字符串值項(xiàng),，因?yàn)椤癐sShortcut”項(xiàng)是用來控制是否顯示普通應(yīng)用程序和數(shù)據(jù)文件快捷方式中小箭頭的,；
C、再依次展開如下分支：“HKEY_CLASSES_ROOT\piffile”,；
D,、刪除“piffile”子項(xiàng)中的“IsShortcut”字符串值項(xiàng)，IsShortcut值項(xiàng)用來控制是否顯示MS_DOS程序快捷方式的小箭頭,；
E,、退出注冊(cè)表編輯器,，這時(shí)快捷方式圖標(biāo)上的小箭頭就消失不見了

（11）隱藏驅(qū)動(dòng)器
Hkey_current_user\software\microsoft\windows\currentversion\policies\explorer子鍵下，新建“NoDrivers”項(xiàng),，該鍵值有4個(gè)字節(jié),，每個(gè)字節(jié)的每一位對(duì)應(yīng)于一個(gè)盤符（A~Z），即第一個(gè)字節(jié)從低位到高位依次代表從A~H的8個(gè)盤（01為A,，02為B,，04為C……80為H），第二個(gè)字節(jié)代表從I~P的8個(gè)盤,，第三個(gè)字節(jié)代表從Q~X的8個(gè)盤,，第4個(gè)字節(jié)代表Y和Z兩個(gè)盤

（12）快速進(jìn)入命令行方式
Hkey_classes_root\directory\shell子鍵下，新建子鍵“commandprompt”,，修改右邊串口的“默認(rèn)”鍵值為想在菜單上顯示的文字,；再新建子鍵“command”，修改“默認(rèn)”鍵值為“cmd /k cd %1”

（13）給命令行方式添加自動(dòng)完成功能
Hkey_current_user\software\microsoft\command\processor子鍵下,，新建雙字節(jié)值項(xiàng)“completionchar”,，值設(shè)為“9”