打开注册表编辑器的方法:单击“开始”菜单→“运行”,在“运行”对话框内输入“Regedit”,回车即可打开注册表编辑器。 /SCZ&
注册表的具体结构和作用是什么呢? /SCZ&
注册表编辑器如图1所示,看得出来注册表是层叠式的结构,分别由配置单元、项、子项和值组成,对注册表相应的项、子项、值作出更改可以解决一些系统问题。但如何知道从哪些地方着手更改呢?新手起码应该了解的就是Windows 2000/XP/2003的5个注册表配置单元具体有什么作用。 /SCZ&
1.HKEY_CLASSES_ROOT /SCZ&
这个单元的主要作用是在计算机上注册所有COM服务器和与应用程序相关联的所有文件扩展名、文件类型、文件图标。如果要用添加新的文件扩展名、更改系统图标,或者查看打开某类型文件的程序,就可以在此单元下编辑相关项。 /SCZ&
2.HKEY_CURRENT_USER /SCZ&
这个单元记录了当前登录用户的登录信息、配置文件。其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项。我们对IE选项的控制(如屏蔽主页、代理、安全自定义、IE临时文件大小)、隐藏控制面板、禁止将打开的文档存入历史记录、资源管理器、隐藏桌面图标等操作,都是在该配置单元里进行修改。 /SCZ&
3.HKEY_LOCAL_MACHINE /SCZ&
该单元中存放的是控制系统和硬件的设置,如内存、驱动程序、安全数据库、系统配置等信息。它涉及的面比较广,是注册表里修改最频繁的地方。这里保存有键盘使用的语言以及各种中文输入法、Windows应用程序卸载信息等,我们给鼠标右键添加新的命令、屏蔽3721等IE插件、清理已删除程序残留的注册信息和“开始”菜单的修改等操作,都在该配置单元里进行,而且这些修改都会应用于计算机上的所有用户。 /SCZ&
4.HKEY_USERS /SCZ&
这个单元保存的是当前登录用户的默认配置和设置,如桌面、背景、开始菜单程序项、字体等信息。该配置单元的大部分设置都可以通过“控制面板”来修改。 /SCZ&
5.HKEY_CURRENT_CONFIG /SCZ&
这里保存的是计算机的当前硬件配置情况,比如显示器、打印机等外部设备及设置信息,你对硬件进行的修改如更改显示器的屏幕刷新频率,都保存在这里。 /SCZ&
在修改时注册表如果不小心出错,系统很容易出现各种问题甚至崩溃,该怎么办呢? /SCZ&
备份!修改注册表前一定要记住备份当前注册表,避免修改错误引起的不必要的损失。那如何备份注册表呢?这里主要有备份注册表的项与备份整个注册表2种备份。 /SCZ&
备份与恢复注册表项:如果你只想保存一个键值或注册表项,比如HKEY_USERS\.DEFA /SCZ&
ULT\Software,定位到该项上,如图2所示,右键点击该项,在菜单上选择“导出”命令,将该项保存为REG文件即可。若要还原导出的注册表子项,只要双击刚才导出的REG文件即可。 /SCZ&
备份整个注册表:点击“开始→所有程序→附件→系统工具→备份”,打开“备份或还原向导”,如果启动的是“高级模式”,可以点击“工具→切换到向导模式”打开向导。点击下一步选择“备份文件和设置→让我选择要备份的内容”。 /SCZ&
在左边的栏目中展开“我的电脑”,选中“System State”,“System State”包括注册表、“COM+ 类注册数据库”以及电脑的启动文件,最后将选定的“System State”(系统状态)保存起来即大功告成。 /SCZ&
如果要还原整个注册表,只要打开“备份或还原向导”,点击下一步选择“还原文件和设置”,根据提示,找到备份的“System State”(系统状态)文件,在“要还原的项目”框中,展开要还原的介质,然后单击系统状态复选框,将其选中,再点击下一步即可还原整个注册表。 /SCZ&
病毒、木马以及黑客程序最喜欢入侵的地方就是注册表,通过注册表,它们能实现自动运行、破坏和传播等目的。能举例说明如何在注册表里查找可疑程序并删除它吗? /SCZ&
注册表中有几处是病毒、木马等最喜欢入侵的,它们分别是: /SCZ&
1.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows是一个高危项。右键点击该项,按“权限”命令,选择所有的用户,将其权限“完全控制”设置为“拒绝”,“应用”后就可以避免一些不必要的病毒加载。 /SCZ&
该项的右边窗口有“Load”和“Run”的字符串值,这两个字符串值的键值默认是空白的(图3)。如果你的注册表该字符串的值不为空,那就可能被病毒加载了,这时一定要把值改回默认的。 /SCZ&
还有一个“Programs”的字符串值默认数值为“com exe bat pif cmd”。病毒喜欢在这里添加一个特殊的文件类型,比如“病毒.cpw”,可以逃过很多病毒防护软件的扫描。一旦发现这种情况,右键选中“Run”字符串值,将该字符串值删除;双击“Load”和“Programs”,将数值数据改回空即可。 /SCZ&
2.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中有许多自动启动的程序。对可疑的程序,直接鼠标右键选中,删除即可。类似“Run”这样的项在注册表中还有几处,均以“Run”开头,分别是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、项及该项下面的RunOnce、RunOnceEx 、RunServices等(图4),同样需要注意。 /SCZ&
3.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,右边的“Shell”字符串值数据值为“Explorer.exe”。很容易被木马等捆绑后随系统一起启动,并且无法查杀。最好的解决办法是双击“Shell”字符串值,把值改为explorer.exe的绝对路径,如“C:\WINDOWS\explorer.exe”。 /SCZ&
4.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager,右边“BootExecute”的多字符串值默认键值为“autocheck autochk *”。此外,还要注意有没有“PendingFileRenameOperations”这个多字符串值,它一般由软件的安装程序自动生成。木马或病毒可以通过“PendingFileRenameOperations”来实现自身的文件改名,再配合前面所说的“BootExecute”多字符串值来自动加载启动。 /SCZ&
5.HKEY_CLASSES_ROOT\exefile\shell\open\command,右边“默认”字符串值的数据是““%1” %*”,该数据也容易被更改,解决方法就是将数值数据改回默认值““%1” %*”。