南瓜园

 找回密码
 注册
查看: 1182|回复: 0

Windows的注冊表介紹

[复制链接]
发表于 2010-8-22 02:32:49 | 显示全部楼层 |阅读模式
基本介绍
  Windows的注册表实质上是一个庞大的数据库,它存储这下面这些内容:软、硬件的有关配置和状态信息,应用程序和资源管理器外壳的初始条件、首选项和卸载数据;计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联, 硬件的描述、状态和属性;计算机性能纪录和底层的系统状态信息,以及各类其他数据。    "regedit.exe"是Windows系统的注册表编辑器。

注册表的所有设置信息
  系统设置和缺省用户配置数据一般存放在系统\系统文件夹\SYSTEM32\CONFIG文件夹下的6个文件(属性均为隐藏,且无扩展名),“DEFAULT”、“SAM”、“SECURITY”、“SOFTWARE”、“USERDIFF”和“SYSTEM”中,而用户的配置信息存放在系统所在磁盘的\Documents and Setting\文件夹,包括ntuser.dat ntuser.ini ntuser.dat.log   Regedit.exe 在安装过程中自动安装并与 Windows 存储在同一个文件夹中。

注册表各个分支的作用
  修改注册表使XP避免“黑屏”   运行输入regedit回车,打开注册表 定 位 [HKEY_LOCAL_MA-CHINE\SOFTWARE\Microsoft\   windowsNT\CurrentVersion\winl-ogon\Notify\wgaLogon]分支将一个名为“wgaLogon”删除,重新启动电脑。再把C:\windows\system32中的“wgatray.exe”删除,在系统盘搜索查找,在别的文件夹中如还有,删除即可。   
        HKEY_CURRENT_USER 包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置文件。   
        HKEY_USERS 包含计算机上所有用户的配置文件的根目录。
        HKEY_CURRENT_USER 是 HKEY_USERS 的子项。   
        HKEY_LOCAL_MACHINE 包含针对该计算机(对于任何用户)的配置信息。   
        HKEY_CLASSES_ROOT 是 HKEY_LOCAL_MACHINE\Software 的子项。此处存储的信息可以确保当使用 Windows 资源管理器打开文件时,将打开正确的程序。   
        HKEY_CURRENT_CONFIG 包含本地计算机在系统启动时所用的硬件配置文件信息。   注册表中定义和使用的数据类型有:   
        REG_BINARY 未处理的二进制数据。多数硬件组件信息都以二进制数据存储,而以十六进制格式显示在注册表编辑器中。   
        REG_DWORD 数据由 4 字节长的数表示。许多设备驱动程序和服务的参数是这种类型并在注册表编辑器中以二进制、十六进制或十进制的格式显示。   
        REG_EXPAND_SZ 长度可变的数据串。该数据类型包含在程序或服务使用该数据时确定的变量。   
        REG_MULTI_SZ 多重字符串。其中包含格式可被用户读取的列表或多值的值通常为该类型。项用空格、逗号或其他标记分开。   
        REG_SZ 固定长度的文本串。   
        REG_FULL_RESOURCE_DESCRIPTOR 设计用来存储硬件元件或驱动程序的资源列表的一列嵌套数组。   要打开“注册表编辑器”,依次单击“开始”、“运行”,键入 regedit,然后单击“确定”即可   路径 %SYSTEMROOT%\regedit.exe

编辑注册表注意事项
  1,编辑注册表不当可能会严重损坏系统。在更改注册表之前,应备份计算机上任何有价值的数据   
        2,在更改注册表之前,建立备份副本。   可以使用程序(如“备份”)来备份注册表。更改注册表之后,请创建“自动系统恢复” (ASR) 磁盘。   
        3,不要使用其他版本的 Windows 或 Windows NT 操作系统的注册表来替换 Windows 注册表。   
        4,使用工具和程序而不是注册表编辑器来编辑注册表。   编辑注册表不当可能会严重损坏您的系统。应该使用可提供更安全的编辑注册表方法的工具和程序。   
        5,请不要让注册表编辑器在无人值守的状态下运行。   打开 32 位版本的注册表编辑器,可以单击“开始”,单击“运行”,键入“%systemroot%\syswow64\regedit”,然后单击“确定”。

注册表杀毒
  regedit和资源管理器很类似,也提供了类似目录和文件方式的界面。其中系统把每一种清单保存在不同的目录下面,而具体清单的信息就是那些“文件”了。那么系统每次启动时加载的程序清单在哪里呢?其中一个清单你可以根据下面的这个路径找到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 你可能会看到这样的画面:其中最左边一栏是程序的名字,当然他们作用不大,而最右边的就是程序的路径了。系统启动后就会按照这张清单一次加载文件。不过很不巧的时,其实病毒已经隐藏在了上面这个清单中了。或许你已经有所发现。你也可以看看自己注册表中的那些条目。就上面这张图中,下面这些路径下的文件都可能是病毒: AutoUpdate c:\windows\winsys.exe Explorer c:\windows\system32\explorer.exe (默认) c:\commond.com 首先,这里只能说是可能是病毒,并不能马上确定,但是为什么说这些文件的嫌疑最大呢?下面给出一些规则在加载清单中大部分程序都是系统中安装的应用程序,而很少是系统自身的组件由第一条得出,系统组件几乎不会出现在清单中有第一条得出,清单中的程序并不是系统所必须的,也就是说即使不去加载他们,你的windows还是照样可以运行。正常情况下,(默认)这个条目应该是空白的病毒喜欢隐藏:多藏于windows目录之下或者是很简单的路径格式:如C:\virus.com。这样有利于其传播为了伪装自己,目前大多是病毒喜欢将自己的名字伪造成系统中的一些组件名所以对于第一次尝试手工杀毒的人来说,如果很难确定哪些是病毒的话不妨删除所有的清单条目(注意,那个叫做“默认”的条目是无法清除的,但你可以把它的内容删除)那么为什么那些文件可能为病毒呢?首先我们看“AutoUpdate ”这个文件。第一从他的名字上,很多人会以为他是windows的自动更新程序。而且它的途径:windows系统目录下,又叫做winsys.exe(暗示你它是windows system的一部分),似乎他是个正常的程序?如果你这么想就是中了圈套。按照上面给出的第2条规则,如果真的是“自动更新程序”,他不太可能出现在这个清单中(真正的自动更新程序是一个系统服务,具体会在今后的文章中论述)。那么这个家伙就非常可疑了其次是explorer。或许你也会觉得这很正常,造成这种想法的原因可能是他正好是windows资源管理器的名字。而且细心的你可能发现每次系统开机的确会有个叫做explorer.exe的文件在运行(其实它是在其他地方加载的,今后的文章中你会知道,explorer.exe叫做系统外壳:shell,除了资源管理器的功能外,你的桌面也是他“变”成的)。但是真正的资源管理器是位于windows\目录下而非windows\system32\下。并且根据第二条规则,自然也就有很大嫌疑了那么这个叫做(默认)项目为什么也会是病毒呢?其实注册表的每个目录下都会有一个(默认)的项目。它是注册表自动产生的。而根据规则第四条,这里的“默认”条目一般是留空的,所以马上就能确定c:\commond.com有很大嫌疑了。并且很搞笑的是,这个程序的作者似乎想和以前DOS系统的命令行提示程序command.com取同样名字来欺骗我们。但是,他拼错了…… 事实上,上面提到的的确就是病毒,不过这里只是我为了演示所以加进去的,但现实中如果你真看到了这样的项目,那么别犹豫,他们99%就是病毒或恶意程序!接下来要做的就是先找到那些文件的位置,然后将他们清除即可,最后再删除注册表中的那些项目。不过为了预防万一,往往删除前我们还需要一个确认的过程。而且很糟糕的时,windows一项混乱的作风使得启动程序的清单并不是只有这一个,并且还有一类叫做系统服务的程序,他们也会自我启动。所以在下回中,我将告诉你所有的启动清单的地方,同时介绍系统服务的一些事情不过60%-70%的病毒都是在上述的清单中加入自己的作案痕迹的,所以今后如果怀疑自己系统中毒那么先看看这里吧 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        希望对大家有帮助!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

请大家牢记南瓜园网址 www.nan2008.com

QQ|小黑屋|手机版|Archiver|南瓜园

GMT+8, 2024-12-19 17:53 , Processed in 0.087515 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表