Windows對(duì)應(yīng)用程序和計(jì)算機(jī)系統(tǒng)的管理,都是通過(guò)這個(gè)叫“注冊(cè)表”的核心數(shù)據(jù)庫(kù)來(lái)統(tǒng)一進(jìn)行的����。它直接控制著Windows的啟動(dòng)、硬件驅(qū)動(dòng)程序的裝載以及一些Windows應(yīng)用程序的運(yùn)行�����,對(duì)系統(tǒng)的運(yùn)行起著至關(guān)重要的作用���,是Windows計(jì)算機(jī)行為和能力的數(shù)據(jù)交換中心�����。注冊(cè)表是一個(gè)二進(jìn)制的數(shù)據(jù)庫(kù)文件�����,用戶(hù)是無(wú)法直接讀取注冊(cè)表的�,為了方便大家編輯注冊(cè)表����,Windows提供了注冊(cè)表編輯器。
左腦記憶 打開(kāi)注冊(cè)表編輯器的方法:?jiǎn)螕簟伴_(kāi)始”菜單→“運(yùn)行”�,在“運(yùn)行”對(duì)話(huà)框內(nèi)輸入“Regedit”,回車(chē)即可打開(kāi)注冊(cè)表編輯器�����。
注冊(cè)表的具體結(jié)構(gòu)和作用是什么呢�?
注冊(cè)表編輯器如圖1所示,看得出來(lái)注冊(cè)表是層疊式的結(jié)構(gòu)����,分別由配置單元、項(xiàng)����、子項(xiàng)和值組成,對(duì)注冊(cè)表相應(yīng)的項(xiàng)���、子項(xiàng)���、值作出更改可以解決一些系統(tǒng)問(wèn)題����。但如何知道從哪些地方著手更改呢����?新手起碼應(yīng)該了解的就是Windows 2000/XP/2003的5個(gè)注冊(cè)表配置單元具體有什么作用。
1.HKEY_CLASSES_ROOT
這個(gè)單元的主要作用是在計(jì)算機(jī)上注冊(cè)所有COM服務(wù)器和與應(yīng)用程序相關(guān)聯(lián)的所有文件擴(kuò)展名���、文件類(lèi)型�����、文件圖標(biāo)���。如果要用添加新的文件擴(kuò)展名、更改系統(tǒng)圖標(biāo)���,或者查看打開(kāi)某類(lèi)型文件的程序�����,就可以在此單元下編輯相關(guān)項(xiàng)�����。
2.HKEY_CURRENT_USER
這個(gè)單元記錄了當(dāng)前登錄用戶(hù)的登錄信息�����、配置文件�。其子項(xiàng)包含著環(huán)境變量���、個(gè)人程序組����、桌面設(shè)置�����、網(wǎng)絡(luò)連接�、打印機(jī)和應(yīng)用程序首選項(xiàng)。我們對(duì)IE選項(xiàng)的控制(如屏蔽主頁(yè)����、代理�、安全自定義�����、IE臨時(shí)文件大?����。?、隱藏控制面板、禁止將打開(kāi)的文檔存入歷史記錄���、資源管理器����、隱藏桌面圖標(biāo)等操作�����,都是在該配置單元里進(jìn)行修改����。
3.HKEY_LOCAL_MACHINE
該單元中存放的是控制系統(tǒng)和硬件的設(shè)置,如內(nèi)存����、驅(qū)動(dòng)程序���、安全數(shù)據(jù)庫(kù)、系統(tǒng)配置等信息���。它涉及的面比較廣���,是注冊(cè)表里修改最頻繁的地方����。這里保存有鍵盤(pán)使用的語(yǔ)言以及各種中文輸入法、Windows應(yīng)用程序卸載信息等����,我們給鼠標(biāo)右鍵添加新的命令、屏蔽3721等IE插件���、清理已刪除程序殘留的注冊(cè)信息和“開(kāi)始”菜單的修改等操作���,都在該配置單元里進(jìn)行,而且這些修改都會(huì)應(yīng)用于計(jì)算機(jī)上的所有用戶(hù)�。
4.HKEY_USERS
這個(gè)單元保存的是當(dāng)前登錄用戶(hù)的默認(rèn)配置和設(shè)置�����,如桌面�、背景����、開(kāi)始菜單程序項(xiàng)、字體等信息�����。該配置單元的大部分設(shè)置都可以通過(guò)“控制面板”來(lái)修改����。
5.HKEY_CURRENT_CONFIG
這里保存的是計(jì)算機(jī)的當(dāng)前硬件配置情況,比如顯示器����、打印機(jī)等外部設(shè)備及設(shè)置信息,你對(duì)硬件進(jìn)行的修改如更改顯示器的屏幕刷新頻率���,都保存在這里�。
在修改時(shí)注冊(cè)表如果不小心出錯(cuò)���,系統(tǒng)很容易出現(xiàn)各種問(wèn)題甚至崩潰����,該怎么辦呢?
備份����!修改注冊(cè)表前一定要記住備份當(dāng)前注冊(cè)表,避免修改錯(cuò)誤引起的不必要的損失�����。那如何備份注冊(cè)表呢�����?這里主要有備份注冊(cè)表的項(xiàng)與備份整個(gè)注冊(cè)表2種備份�。
目前Windows2000/XP/2003注冊(cè)表編輯的功能除了一些基礎(chǔ)的修改圖標(biāo)���、查殺病毒等應(yīng)用外����,很多都能在系統(tǒng)的組策略(以后“菜菜學(xué)堂”會(huì)教大家用)中實(shí)現(xiàn)����,所以像更改IE�、隱藏控制面板組和磁盤(pán)驅(qū)動(dòng)器等高級(jí)應(yīng)用就交給組策略來(lái)辦�,會(huì)更安全和穩(wěn)定。
左腦記憶 備份與恢復(fù)注冊(cè)表項(xiàng):如果你只想保存一個(gè)鍵值或注冊(cè)表項(xiàng)�����,比如HKEY_USERS\.DEFA
ULT\Software�,定位到該項(xiàng)上,如圖2所示���,右鍵點(diǎn)擊該項(xiàng)���,在菜單上選擇“導(dǎo)出”命令,將該項(xiàng)保存為REG文件即可����。若要還原導(dǎo)出的注冊(cè)表子項(xiàng),只要雙擊剛才導(dǎo)出的REG文件即可�����。
備份整個(gè)注冊(cè)表:點(diǎn)擊“開(kāi)始→所有程序→附件→系統(tǒng)工具→備份”,打開(kāi)“備份或還原向?qū)А?��,如果啟?dòng)的是“高級(jí)模式”���,可以點(diǎn)擊“工具→切換到向?qū)J健贝蜷_(kāi)向?qū)А|c(diǎn)擊下一步選擇“備份文件和設(shè)置→讓我選擇要備份的內(nèi)容”���。
在左邊的欄目中展開(kāi)“我的電腦”���,選中“System State”,“System State”包括注冊(cè)表�����、“COM+ 類(lèi)注冊(cè)數(shù)據(jù)庫(kù)”以及電腦的啟動(dòng)文件���,最后將選定的“System State”(系統(tǒng)狀態(tài))保存起來(lái)即大功告成�。
如果要還原整個(gè)注冊(cè)表���,只要打開(kāi)“備份或還原向?qū)А保c(diǎn)擊下一步選擇“還原文件和設(shè)置”���,根據(jù)提示�,找到備份的“System State”(系統(tǒng)狀態(tài))文件,在“要還原的項(xiàng)目”框中����,展開(kāi)要還原的介質(zhì),然后單擊系統(tǒng)狀態(tài)復(fù)選框�����,將其選中�����,再點(diǎn)擊下一步即可還原整個(gè)注冊(cè)表���。
病毒�����、木馬以及黑客程序最喜歡入侵的地方就是注冊(cè)表���,通過(guò)注冊(cè)表,它們能實(shí)現(xiàn)自動(dòng)運(yùn)行���、破壞和傳播等目的�。能舉例說(shuō)明如何在注冊(cè)表里查找可疑程序并刪除它嗎?
注冊(cè)表中有幾處是病毒���、木馬等最喜歡入侵的�,它們分別是:
1.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows是一個(gè)高危項(xiàng)���。右鍵點(diǎn)擊該項(xiàng)���,按“權(quán)限”命令,選擇所有的用戶(hù)����,將其權(quán)限“完全控制”設(shè)置為“拒絕”,“應(yīng)用”后就可以避免一些不必要的病毒加載���。
該項(xiàng)的右邊窗口有“Load”和“Run”的字符串值���,這兩個(gè)字符串值的鍵值默認(rèn)是空白的(圖3)。如果你的注冊(cè)表該字符串的值不為空����,那就可能被病毒加載了,這時(shí)一定要把值改回默認(rèn)的�����。
還有一個(gè)“Programs”的字符串值默認(rèn)數(shù)值為“com exe bat pif cmd”����。病毒喜歡在這里添加一個(gè)特殊的文件類(lèi)型,比如“病毒.cpw”����,可以逃過(guò)很多病毒防護(hù)軟件的掃描。一旦發(fā)現(xiàn)這種情況����,右鍵選中“Run”字符串值,將該字符串值刪除����;雙擊“Load”和“Programs”,將數(shù)值數(shù)據(jù)改回空即可���。
2.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中有許多自動(dòng)啟動(dòng)的程序�。對(duì)可疑的程序�����,直接鼠標(biāo)右鍵選中,刪除即可���。類(lèi)似“Run”這樣的項(xiàng)在注冊(cè)表中還有幾處�,均以“Run”開(kāi)頭�����,分別是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run����、項(xiàng)及該項(xiàng)下面的RunOnce、RunOnceEx �����、RunServices等(圖4)�����,同樣需要注意����。
3.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon�����,右邊的“Shell”字符串值數(shù)據(jù)值為“Explorer.exe”。很容易被木馬等捆綁后隨系統(tǒng)一起啟動(dòng)�,并且無(wú)法查殺。最好的解決辦法是雙擊“Shell”字符串值�,把值改為explorer.exe的絕對(duì)路徑,如“C:\WINDOWS\explorer.exe”���。
4.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager���,右邊“BootExecute”的多字符串值默認(rèn)鍵值為“autocheck autochk *”。此外�,還要注意有沒(méi)有“PendingFileRenameOperations”這個(gè)多字符串值,它一般由軟件的安裝程序自動(dòng)生成�。木馬或病毒可以通過(guò)“PendingFileRenameOperations”來(lái)實(shí)現(xiàn)自身的文件改名,再配合前面所說(shuō)的“BootExecute”多字符串值來(lái)自動(dòng)加載啟動(dòng)�����。
5.HKEY_CLASSES_ROOT\exefile\shell\open\command�����,右邊“默認(rèn)”字符串值的數(shù)據(jù)是““%1” %*”,該數(shù)據(jù)也容易被更改����,解決方法就是將數(shù)值數(shù)據(jù)改回默認(rèn)值““%1” %*”。
左腦記憶 對(duì)初學(xué)者來(lái)說(shuō)����,我們不必記下注冊(cè)表的所有項(xiàng)值。當(dāng)遇到需要修改注冊(cè)表解決問(wèn)題的時(shí)候����,只要完整地記下下面5個(gè)步驟,照著操作就可以完成具體應(yīng)用�。
第一步:上Google、百度等查出要修改的具體項(xiàng)或鍵的位置�,健的鍵值。
第二步:備份注冊(cè)表����。
第三步:打開(kāi)注冊(cè)表編輯器。
第四步:查找并編輯相關(guān)項(xiàng)和鍵值�。
第五步:修改完畢后按F5鍵刷新注冊(cè)表,驗(yàn)證是否修改成功�����,完畢。
我是系統(tǒng)管理員�����,為什么在編輯注冊(cè)表時(shí)�����,會(huì)彈出禁止訪(fǎng)問(wèn)的警告���?
如果你在注冊(cè)表中編輯非當(dāng)前賬戶(hù)的某些注冊(cè)表項(xiàng),系統(tǒng)會(huì)彈出禁止訪(fǎng)問(wèn)的警告框����。可以登錄系統(tǒng)管理員賬戶(hù)���,右鍵點(diǎn)擊該項(xiàng)�,在彈出菜單上選擇“權(quán)限”�����,讓自己取得該項(xiàng)的完全控制權(quán)限����。
