“注冊表”實際上是一個龐大的樹狀分層數(shù)據(jù)庫，它是WIN9X開始引入的概念，注冊表中存放著各種信息，如計算機的全部硬件配置、軟件配置、當前配置和用戶特定設置等，因而它直接控制著WINDOWS啟動、硬件驅動程序的裝載以及一些WINDOWS應用程序的運行，在整個系統(tǒng)中起著核心作用。由于注冊表保存所有硬件驅動程序及應用程序各種信息的數(shù)據(jù)庫，所以當WINDOWS處理硬件驅動程序和處理應用程序的時候，需從注冊表中提取有關信息。因此，若WINDOWS操作系統(tǒng)離開了注冊表,得不到它需求的信息，將無法正常工作。

８.1注冊表的組成1.Windows9X

注冊表數(shù)據(jù)庫注冊表編輯器注冊表數(shù)據(jù)庫包括兩個文件：SYSTEM.DAT和USER.DAT

注冊表編輯器(Regedit.exe)是一個用來編輯注冊表的程序

2．WindowsXP

WINDOWSXP的注冊表分為兩個部分，多個文件.

用戶配置文件:包括兩個隱藏文件Ntuser.dat和Ntuser.ini以及日志文件Ntuser.pol。

系統(tǒng)配置文件:包括Default、Software、System、Appevent.evt、SecEvent.Evt及SysEvent.Evt等多個隱藏文件及相應的.LOG

文件和.SAV文件。８.2WINDOWS中注冊表的存放位置1．Windows9X

一般在C盤的Windows夾下(SYSTEM.DAT和USER.DAT)，備份文件在C:\WINDOWS\SYSBCKUP下，以rb***.cab命名，第一次安裝完以后，在C盤根目錄下還有一個SYSTEM.1ST文件作為第一次啟動的備份。

2．WindowsXP

用戶配置文件保存在根目錄“Documents

and

Settings”下系統(tǒng)配置文件位于

Windows

xp

系統(tǒng)目錄下的“SYSTEM32\CONFIG”中備份文件位于WINDOWS\Repair下面。

8.3注冊表的結構關鍵字可以分為兩類：一類是由系統(tǒng)定義的，通常稱為“預定義關鍵字”；另一類是由應用程序定義的，安裝的應用軟件不同，其登錄項也就不同。1.根鍵（主關鍵字）類似于硬盤上的根目錄，在WINDOWS9X的注冊表中有六個預定義的根鍵。1).HKEY_CLASSES_ROOT

該根鍵包含了有關的OLE信息，以便在系統(tǒng)工作過程中實現(xiàn)對各種文件和文檔信息的訪問.它與下面的分支相同HKEY_LOCAL_MACHINE\SOFTWARE\Classes分支一致

其具體的內容有已經(jīng)注冊的文件擴展名、文件類型、文件圖標等。這些擴展名與能使用這種類型文件應用程序相關聯(lián)。

2).HKEY_USERS

該根鍵用于保存默認用戶（.DEFAULT）與當前登錄用戶及軟件的信息。根據(jù)當前登錄的用戶不同，這個關鍵字又可以指向不同的分支部分。可以通過“控制面板”來修改其中.DEFAULT子鍵與HKEY_CURRENT_USER根鍵中主鍵路類似。

3).HKEY_CURRENT_USER是一個指向HKEY_USERS結構中某個分支的指針，它包含當前用戶的登錄信息和配置信息，實際上它就是HKEY_USERS＼.Default下面的一部分內容。

根鍵4).HKEY_LOCAL_MACHINE

該根鍵包含了本地計算機（相對網(wǎng)絡環(huán)境而言）的硬件和軟件的全部信息.

當系統(tǒng)的配置和設置發(fā)生變化時，本關鍵字下面的登錄項也將隨之改變。根鍵5).HKEY_CURRENT_CONFIG

該根鍵實際上也是指向HKEY_LOCAL_MACHINE＼Config結構中的某個分支的指針.

HKEY_CURRENT_CONFIG下面的子關鍵字及內容與HKEY_LOCAL_MACHINE＼Config＼0001分支下面的子關鍵字及內容是完全相同的。(win98)

該主關鍵字包含的主要內容是計算機的當前配置情況.2.主鍵和子鍵

在注冊表的左窗格中，所有的數(shù)據(jù)都是通過一種樹狀結構以鍵和子鍵的方式組織起來的，十分類似于目錄結構。主鍵和子鍵類似于資源管理器中的文件夾與子文件夾，在主鍵下面是子鍵，就象文件夾下有子文件夾。如果某個主鍵包含子鍵，則在代表主鍵的文件夾的左邊有一個“+”號，單擊“+”號，則可展開該主鍵下的子鍵，此時“+”變成“-”號；單擊“-”號，則可收斂該主鍵下的子鍵。

3.鍵值項

4.鍵值項數(shù)據(jù)類型WindowsXP注冊表內的鍵值類型有如下幾種鍵值類型：二進制值、DWORD值、字符串值、多字符串值和可擴充的字符串值。在通過修改注冊表來維護計算機時，常用到的鍵值類型是DWORD值和字符串值，其它的鍵值類型用的并不多。8.4注冊表編輯器1．啟動注冊表編輯器單擊“開始”按鈕，然后單擊“運行”，在“打開”框內輸入regedit

或者regedit.exe或者C:\windows\regedit.exe!即可打開注冊表!也可以進入系統(tǒng)盤系統(tǒng)目錄雙擊regedit

程序即可打開!打開注冊表如圖所示。2．搜索注冊表

很多人在啟動WIN98時遇到*.vxd錯誤，這說明注冊表出現(xiàn)了問題，你可根據(jù)提示信息或者錯誤現(xiàn)象分析可能是注冊表中某個驅動程序出現(xiàn)了問題。我們可以將這些錯誤對應的子鍵刪除來排除錯誤。但如果你對注冊表的結構不是很熟悉的話，不知道對應的子鍵在哪里？怎么辦，不要緊REGEDIT具有非常強大的查找功能，用戶可利用“查找”命令，在注冊表數(shù)據(jù)庫中快速查找所需的內容，找到后將其刪除。3.編輯主鍵與鍵值

創(chuàng)建主鍵和子鍵為主鍵和子鍵命名創(chuàng)建注冊表鍵值項數(shù)據(jù)4.修改注冊表

1)修改鍵值項數(shù)據(jù)

2)刪除鍵值項數(shù)據(jù)

3)刪除主鍵和子鍵8.5注冊表的維護與優(yōu)化

注冊表是WINDOWS操作系統(tǒng)的核心文件，他存儲和管理著整個操作系統(tǒng)、應用軟件的重要數(shù)據(jù)，一旦注冊表受到損壞，將會引起各種故障，為了防止各種故障的發(fā)生，管理和維護好注冊表就顯得非常重要。下面就介紹一些管理和維護注冊表的方法。

8.5.1使用注冊表編輯器備份和恢復注冊表備份注冊表步驟如下：1）啟動REGEDIT，在其窗口中選擇“我的電腦”或需要備份的某一個子鍵。

2）在“注冊表”菜單上單擊“導出注冊表文件”，則出現(xiàn)保存對話框。如圖3）在“文件名”文本框中輸入導出注冊表后的文本文件名稱，在“存為類型”列表框中選擇“注冊表文件”。4）在“導出范圍”框中選擇導出注冊表的范圍全身“全部”或者“選定的分支”。默認為導出分支?；謴妥员聿僮鞑襟E如下：1)在執(zhí)行該菜單項后，將出打開對話框。2)在“文件名”文本框中輸入注冊表文件，例如，我們輸入aa（后綴默認為.reg），按回車鍵或單擊“打開”按鈕，則出現(xiàn)如圖所示的“引入注冊表文件”進程窗口。注冊表的優(yōu)化

前面已經(jīng)講過注冊表在操作系統(tǒng)中的核心地位，它存放著各種參數(shù)，控制著整個系統(tǒng)的運行，隨著系統(tǒng)的使用時間的延長，注冊表也越來越大，其中可能存放著許多垃圾信息，這些垃圾信息不僅占用硬盤空間，而且還降低系統(tǒng)地運行速度，為了保證系統(tǒng)的高效運行，必須對注冊表進行定期地清除垃圾信息來優(yōu)化注冊表.刪除注冊表文無效的鍵值可以在HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER根鍵下有很多你用不到或者不需要的鍵值，找到后將其刪除，如在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts子鍵下對應著語言的種類和輸入法等，可以根據(jù)自己的需要有選擇地刪除。2.刪除已卸載軟件的殘留鍵值許多軟件在卸載后，仍然會在注冊表文件中留下一些信息，這些信息實際已經(jīng)沒有用處。它們一般都保存在“HKEY_LOCAL_MACHINE\SOFTWARE”和“HKEY_CURRENT_USER\Software”子鍵中。通過注冊表編輯器的“編輯”菜單中的“查找”命令，在這些子鍵中查找那些已經(jīng)被卸載的軟件殘留信息子鍵并將其刪除。3.刪除多余的DLL文件在WindowsXP的system32文件夾下有大量的DLL文件，這些文件可能被系統(tǒng)或應用程序共享。但是由于經(jīng)常安裝和卸載軟件，就會在system32文件夾下留下一些DLL垃圾文件。刪除方法是在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls”子鍵的右窗口中記錄的是有關程序共享的DLL信息，每個DLL文件的鍵值說明它已被幾個應用程序共享，如果鍵值是“0X00000000”，則表明不被任何程序共享，接著就可在刪除對應的DLL文件即可。4.刪除注冊表中安裝軟件的信息垃圾雖然大多數(shù)基于Windows的軟件都自帶了卸載程序或是為Windows的“添加/刪除程序”提供了卸載信息，但它們大多數(shù)在卸載時并不會將注冊表中有關信息文件刪除，這些信息主要是軟件在安裝時寫到注冊表中的有關生產(chǎn)商、ID號、用戶名等，這樣長期下來，這樣無用的軟件信息越來越多，使系統(tǒng)變得非常臃腫。

5.修改注冊表相關鍵值，優(yōu)化系統(tǒng)性能通過修改注冊表相關鍵值優(yōu)化系統(tǒng)性能的方法很多，下面舉幾個例子。（1）加快窗口顯示速度找到“HKEY_CURRENT_USER\ControlPanel\Desktop\WindowMetrics”子鍵，在右窗口中將MinAnimate鍵值改為0，可以改變窗口從任務欄彈出以及最小化等動作的速度，加快窗口顯示速度。（2）啟動磁盤的自動優(yōu)化功能“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Dfrg\BootOptimizeFunction”子鍵，在右邊窗口中將“Enable”鍵值項的值改為“Y”，可以啟動磁盤的自動優(yōu)化功能。（3）優(yōu)化CPU

在BIOS中打開了“二級緩存”，但在系統(tǒng)中并不一定能很好的識別“二級緩存”的容量，對于AMD的CPU這一點尤其嚴重，這時需在注冊表中修改。方法是在注冊表編輯器中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement”子鍵，在右窗口中找到“SecondLevelDataCache”，然后雙擊此項，輸入CPU標示的的二級緩存的容量。8.6設置注冊表維護計算機

在日常工作中，我們也可以通過正確設置注冊表來維護計算機系統(tǒng)，下面我們就結合實例加以說明。

一、隱藏驅動器盤符在上一章介紹分區(qū)軟件時，我們曾講到使用分區(qū)軟件可以隱藏重要的分區(qū)（如備份文件的分區(qū)），或者不讓其他人使用硬盤某個分區(qū)，機器的光驅、軟驅，可以把它們隱藏起來，使得它們不受外界的干擾，減少病毒的傳染機會。在這里我們可以通過注冊表來實現(xiàn)隱藏分區(qū)的方法。操作方法如下：

運行注冊表編輯器，查找HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRNETVERSION\POLICIES\EXPLORER，在右邊的窗口中找到“NoDrives”項或新建一個“DWORD值編輯器”對話框的“進制”選項中選擇“十進制”單選框，在“數(shù)據(jù)”編輯框中輸入需要隱藏的驅動器號碼，一般用2n來表示驅動器的盤符。如20（1）表示A盤，21（2）表示B盤，22（4）表示C盤，依次類推，D盤為8，E盤為16，F(xiàn)盤為32，G盤為64，H盤為128。如果想隱藏幾個驅動器，則需將幾個驅動器的值相加即可如要隱藏C盤、D盤，則在數(shù)據(jù)框中輸入12（4+8）即可，如要隱藏所有驅動器輸入16進制“FFFFFFFF”。

二、隱藏“網(wǎng)上鄰居”圖標

為了安全考慮，有時我們想將“網(wǎng)上鄰居”隱藏起來，使網(wǎng)絡不可見，禁止非法用戶使用網(wǎng)絡資源。可通過修改注冊表的方法。具體操作如下：運行注冊表編輯器，查找HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRNETVERSION\POLICIES\EXPLORER，在右邊的窗口中單擊鼠標右鍵，選擇：新建/DWORD值命令，會出現(xiàn)一個名稱為“新值#1”的鍵值項，將“新值#1”更名為“NoNetHood”。雙擊“NoNetHood”，將其值設置為“1”（16進制）即可，將該鍵值刪除或該值制設置為0，則不隱藏。

三、給“網(wǎng)上鄰居”加鎖即禁用

上面介紹了通過隱藏“網(wǎng)上鄰居”，禁止非法用戶使用網(wǎng)上鄰居，現(xiàn)在我們通過給注冊表加鎖來禁用，達到維護的目的。方法如下：運行注冊表編輯器，查找HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\NETWORK，在右邊的窗口中單擊鼠標右鍵，選擇：新建/DWORD值命令，會出現(xiàn)一個名稱為“新值#1”的鍵值項，將“新值#1”更名為“NoNetSetup”。雙擊“NoNetSetup”，將其值設置為“1”（16進制）即可，將該鍵值刪除或該值制設置為0，則可用。四、怎樣禁止文件夾共享

如果計算機管理維護人員不允許其他用戶共享文件夾，那么可以通過注冊表來設置

(1)在注冊表編輯器中，查找HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRNETVERSION\POLICIES\NETWORK。

(2)在該子鍵下，新建DWORD值“NoFileSharingControl”,把鍵值設置為“1”后，用鼠標右鍵單擊文件夾時，右鍵菜單中的“共享”就被隱藏了。

(3)如果想顯示“共享”命令，就設置NoFileSharingControl鍵值項的鍵值為0或刪除該鍵值項即可.五、怎樣禁止查看指定磁盤驅動器的內容

如果某個驅動器中存放了重要的數(shù)據(jù)，因而不希望用戶查看該驅動器的內容，除了隱藏驅動器外，還可以通過注冊表來禁止查看。操作步驟如下：

(1)運行注冊表編輯器，找到HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRNETVERSION\POLICIES\EXPLORER子鍵。

（2）在該子鍵的右邊窗口，新鍵一個DWORD類型的鍵值項“NoViewOnDrive”。

六、怎樣禁用更改主頁設置功能

如果我們不希望IE的主頁設置被其他用戶隨便更改，則可以在注冊表中進行如下修改。

(1)在注冊表編輯器中，查找如下子鍵：HKEY_CURRENT_USER\SOFTWARE\POLICIES\MICROSOFT\INTERNETEXPLORER\CONTROLPANEL。

(2)在該子鍵下單擊鼠標右鍵，新建一個類型為DWORD的HomePage鍵值項，并將其值設為1即可。七、怎樣設置開機提示信息

機器在啟動時可能需要顯示一些提示信息，來達到特定的目的，可通過修改注冊表達到。

(1)在注冊表編輯器中查找子鍵HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRNETVERSION\WINLOGON。

(2)在其右邊窗口新建或修改“字符串”LegalNoticCaption,將其值設為“警告”。

(3)建字符串“LegalNoticeText”并賦值你要顯示的文本，如“非法使用機器”。

(4)關機重啟機器即可。八、怎樣禁止使用“控制面板”

為了保護系統(tǒng)的安全，防止他人私自使用而造成不必要的麻煩，我們可利用注冊表把“控制面板”完全禁止使用。具體方法如下：

(1)在注冊表編輯器中查找子鍵：HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER。

(2)在其右邊窗口新建或修改“DWORD”值“NosetFolders”將其修改為1即可。九、禁用注冊表編輯器（REGEDIT）由于計算機的很多故障是由于非法用戶修改注冊表造成的，為了減少因非法修改注冊表造成計算機故障，可修改注冊表，使非法用戶無法使用。方法如下：

1、打開注冊表，找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System，如果在Policies下面沒有System的話，請在它下面新建一項（主鍵），將其命名為System；

2、然后在右邊空白處新建一個雙字節(jié)（DWORD）值，將其命名為DisableRegistryTools；

3、雙擊DisableRegistryTools，將其數(shù)值數(shù)據(jù)修改為1（原來為0）通過上述之后，退出注冊表編輯器，再次打開注冊表時，則提示“注冊表編輯已被管理員禁用”，以后別人、甚至是你都無法再用regedit.exe

。

說明：注冊表禁用后的解鎖運行gpedit.msc/用戶配置/管理模板/系統(tǒng)/右窗口中雙擊“阻止訪問注冊表編輯工具”已禁用/應用，這樣注冊表又可打開了。十．關閉共享漏洞HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/LANMANSERVER/PARAMETERS/在右窗口中autodisconnect

雙擊其將其值改為0（原來為F）

十一．加快開機速度

HKEY_CURRENT_USER/CONTROLPANEL/DESKTOP/右窗口中將AUTOENDTASKS值由0改為1，hungapptimeout將其值由5000改為3500

十二．縮短關機時間HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/右窗口找到waittokillservicetimeout將其值由20000改為4000。

十三．加快菜單顯示速度HKEY_CURRENT_USER/CONTROLPANEL/DESKTOP/右窗口中將menushowdelay將其值由400改為0。

十四．清除內存不必要的DLL文件HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/EXPLORER/右鍵新建一項ALWAYSUNLOADDLL將其值改為1十五、在注冊表中清除病毒：

Hkey_local_machine/software/Microsoft/sharedtools/msconfig分支下的“+”的分支展開，刪除

Hkey_current_user/software/Microsoft/windows/currentversion/explorer/mountpoint2分支下的“+”的分支展開，刪除Hkey_current_user/software/Microsoft/windows/currentversion/polices分支下的“+”的分支展開，刪除

在注冊表中處理瀏覽器故障HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command在該分支下往往是流氓軟件和木馬加載的地方。Ie瀏覽器的執(zhí)行路徑是C:\ProgramFiles\InternetExplorer的iexplore.exeIE地址欄總有惡意網(wǎng)站:HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\TypedURLs下刪除.

很多人要查看文件時，可通過“工具/文件夾選項/查看/

顯示所有文件和文件夾/”，但是修改完后還是看不到隱藏文件，再通過工具查看，改不了，此時說明系統(tǒng)已被病毒感染了，要通過修改注冊表來解決，方法：Hkey_local_machine/softwar