注冊表控制用戶模式的例子有：
　　控制面板功能；
　　桌面外觀和圖標(biāo)；
　　網(wǎng)絡(luò)參數(shù)；
　　瀏覽器功能性和特征；
　　那些功能中的某些是和用戶無關(guān)的，有些是針對用戶的。
　　計算機相關(guān)控制項基于計算機名，和登陸用戶無關(guān)?？刂祁愋偷睦邮前惭b一個應(yīng)用程序，不管是哪個用戶，程序的可用性和存取是不變的，然而，運行程序圖標(biāo)依賴于網(wǎng)絡(luò)上登陸的用戶。網(wǎng)絡(luò)協(xié)議可用性和優(yōu)先權(quán)基于計算機，但是當(dāng)前連接和用戶信息相關(guān)。
　　這里是在注冊表中基與計算機控制條目的一些例子：
　　存取控制；
　　登陸確認(rèn)；
　　文件和打印機共享；
　　網(wǎng)卡設(shè)置和協(xié)議；
　　系統(tǒng)性能和虛擬內(nèi)存設(shè)置；
　　在系統(tǒng)中注冊表控制所有32位應(yīng)用程序和它們的功能及多個應(yīng)用程序的交互，比如復(fù)制和粘貼，它也控制所有的硬件和驅(qū)動程序。雖然多數(shù)可以通過控制面板來安裝和設(shè)置，理解注冊表仍是做Winnt和Win95系統(tǒng)管理基本常識。
與注冊表有關(guān)的術(shù)語
　　1、HKEY ：“根鍵”或“主鍵”，它的圖標(biāo)與資源管理器中文件夾的圖標(biāo)有點兒相像。Windows98將注冊表分為六個部分，并稱之為 HKEY_name，它意味著某一鍵的句柄。
　　2、key(鍵)：它包含了附加的文件夾和一個或多個值。
　　3、subkey（子鍵）：在某一個鍵（父鍵）下面出現(xiàn)的鍵（子鍵）。
　　4、branch（分支）：代表一個特定的子鍵及其所包含的一切。一個分支可以從每個注冊表的頂端開始，但通常用以說明一個鍵和其所有內(nèi)容。
　　5、value entry（值項）：帶有一個名稱和一個值的有序值。每個鍵都可包含任何數(shù)量的值項。每個值項均由三部分組成：名稱，數(shù)據(jù)類型，數(shù)據(jù)。
　　6、 字符串(REG_SZ)：顧名思義，一串ASCII碼字符。如“Hello World”，是一串文字或詞組。在注冊表中，字符串值一般用來表示文件的描述、硬件的標(biāo)識等。通常它由字母和數(shù)字組成。注冊表總是在引號內(nèi)顯示字符串。
　　7、二進制(REG_BINARY）：如 F03D990000BC ，是沒有長度限制的二進制數(shù)值，在注冊表編輯器中，二進制數(shù)據(jù)以十六進制的方式顯示出來。
　　8、雙 字(REG_DWORD)：從字面上理解應(yīng)該是Double Word ，雙字節(jié)值。由1-8個十六進制數(shù)據(jù)組成，我們可用以十六進制或十進制的方式來編輯。如 D1234567 。
　　9、 Default（缺省值）：每一個鍵至少包括一個值項，稱為缺省值（Default），它總是一個字串。
注冊表的結(jié)構(gòu)
　　注冊表是Windows程序員建造的一個復(fù)雜的信息數(shù)據(jù)庫，它是多層次式的。在不同系統(tǒng)上注冊表的基本結(jié)構(gòu)相同。其中的復(fù)雜數(shù)據(jù)會在不同方式上結(jié)合，從而產(chǎn)生出一個絕對唯一的注冊表。
　　計算機配置和缺省用戶設(shè)置的注冊表數(shù)據(jù)在Winnt中被保存在下面這五個文件中：
　　DEFAULT，SAM，SECURITY，SOFTWARE，SYSTEM，NTUSER.DAT。
　　
注冊表的數(shù)據(jù)結(jié)構(gòu)

　　注冊表由鍵（或稱“項”）、子鍵（子項）和值項構(gòu)成。一個鍵就是分支中的一個文件夾，而子鍵就是這個文件夾中的子文件夾，子鍵同樣是一個鍵。一個值項則是一個鍵的當(dāng)前定義，由名稱、數(shù)據(jù)類型以及分配的值組成。一個鍵可以有一個或多個值，每個值的名稱各不相同，如果一個值的名稱為空，則該值為該鍵的默認(rèn)值。
　　在注冊表編輯器（Regedit.exe）中，數(shù)據(jù)結(jié)構(gòu)顯示如下，其中，command鍵是open鍵的子鍵，(默認(rèn))表示該值是默認(rèn)值，值名稱為空，其數(shù)據(jù)類型為REG_SZ，數(shù)據(jù)值為%systemroot%/system32/NOTEPAD.EXE "%1
　　數(shù)據(jù)類型
　　注冊表的數(shù)據(jù)類型主要有以下四種：
　　顯示類型（在編輯器中） 數(shù)據(jù)類型 說明
REG_SZ 字符串 文本字符串
REG_MULTI_SZ 多字符串 含有多個文本值的字符串
REG_BINARY 二進制數(shù) 二進制值，以十六進制顯示。
REG_DWORD 雙字 一個32位的二進制值，顯示為8位的十六進制值。

　　[1][2]各主鍵的簡單介紹HKEY_LOCAL_MACHINE
　　HKEY_LOCAL_MACHINE是一個顯示控制系統(tǒng)和軟件的處理鍵。HKLM鍵保存著計算機的系統(tǒng)信息。它包括網(wǎng)絡(luò)和硬件上所有的軟件設(shè)置。（比如文件的位置，注冊和未注冊的狀態(tài)，版本號等等）這些設(shè)置和用戶無關(guān)，因為這些設(shè)置是針對使用這個系統(tǒng)的所有用戶的。
　　HKEY_LOCAL_MACHINE\AppEvents
　　為了以后在客戶機上運行客戶機/服務(wù)器這樣的應(yīng)用程序，在Win95/98中AppEvents鍵是空的。應(yīng)用程序?qū)嶋H上都駐留網(wǎng)絡(luò)服務(wù)器上，這些鍵會保存部分指針。
　　HKEY_LOCAL_MACHINE\Config
　　這個鍵保存著你計算機上所有不同的硬件設(shè)置（這些從控制面板的系統(tǒng)屬性中硬件配置文件中可以創(chuàng)建）。這些配置在啟動時通常被復(fù)制到HKCC。每個配置會被用一個鍵（比如0001或者0002等等）來保存，每個都是一個獨立的配置。如果你只有一個單一的配置，那就只會有0001這個鍵
　　HKEY_LOCAL_MACHINE\Config01\Display
　　這個鍵表示顯示的設(shè)置，如熒屏字體，窗體大小，窗體位置和分辨率等
　　HKEY_LOCAL_MACHINE\Config01\System
　　這個鍵保存著系統(tǒng)里打印機的信息
　　HKEY_LOCAL_MACHINE\Config01\System\CurrentControlSet\Control\Print\Printers
　　在這個鍵下面，有一個鍵是為系統(tǒng)上每一個打印機設(shè)置的，通過控制面板添加和刪除打印機會調(diào)整這個列表
　　HKEY_LOCAL_MACHINE\Enum
　　Enum鍵包含啟動時發(fā)現(xiàn)的硬件設(shè)備和那些既插即用卡的信息。Win95使用總線列舉在啟動時通過不同的.ini文件來檢測硬件信息。那些在啟動時被安裝的和被檢測到的硬件會顯示在這里。子鍵包括BIOS, ESDI, FLOP, HTREE, ISAPNP, Monitor, Network, Root, SCSI, 和 VIRTUAL。子鍵名表示它們各自的硬件設(shè)備信息。
　　HKEY_LOCAL_MACHINE\Enum\BIOS
　　BIOS鍵保存著系統(tǒng)中所有即插即用設(shè)備的信息。它們用一套代碼數(shù)列出，包括每一個鍵的詳細說明，舉例，*pnp0400是并行口LPT1的鍵。如果LPT1并不具備即插即用功能，它就會別列入到Enum下的Root鍵中
　　HKEY_LOCAL_MACHINE\Enum\Root
　　Root鍵包括所有非即插即用設(shè)備的信息。在這里，我們可以迅速斷定哪些設(shè)備是即插即用，那些不是。比如SCSI適配器，這個設(shè)備必須符合Win95中一個鍵名為ForcedConfig的硬件設(shè)置，這個不會改變。
　　HKEY_LOCAL_MACHINE\Enum\Network
　　win95的網(wǎng)絡(luò)功能在這個鍵有詳細說明，子鍵包括了每個已經(jīng)安裝的主要的服務(wù)和協(xié)議。
　　HKEY_LOCAL_MACHINE\HARDWARE
　　hardware子鍵包括了兩個多層的子鍵：DESCRIPTION鍵，它包含了中央處理器和一個浮點處理器的信息。還有一個設(shè)備映射鍵，它下面的串行鍵列出你所有的com端口。這個hardware鍵僅保存超級終端程序的信息，及數(shù)學(xué)處理器和串行口。
　　HKEY_LOCAL_MACHINE\Network
　　這個鍵僅保存網(wǎng)絡(luò)登陸信息。所有網(wǎng)絡(luò)服務(wù)細節(jié)都保存在HKEY_LOCAL_MACHINE\Enum\Network這個鍵中。這個鍵有一個子鍵，logon，包括了lmlogon（本地機器登陸？0=false 1=true）的值，logonvalidated（必須登陸驗證），策略處理，主登陸方式（Windows登陸 ，微軟網(wǎng)絡(luò)客戶方式等），用戶名和用戶配置。
　　HKEY_LOCAL_MACHINE\SECURITY
　　security 有兩個子鍵，第一個是存取（它最終致使一個遠程鍵列出網(wǎng)絡(luò)安全資源，存取權(quán)限等）和提供（包括列出網(wǎng)絡(luò)地址和地址服務(wù)器），這個鍵被保留用在以后使用高級安全功能和NT兼容性上
　　HKEY_LOCAL_MACHINE\SOFTWARE
　　這個鍵列出了所有已安裝的32位軟件和程序的.ini文件。它包括了變化，依靠軟件安裝。那些程序的控制功能在這里的子鍵中列出。多數(shù)子鍵簡單的列出了安裝軟件的版本號。
　　我們在\Microsoft\Windows\Current Version下發(fā)現(xiàn)了一些有意思的設(shè)置，它有如下子鍵：
　　1.App paths： 你曾經(jīng)安裝過的所有32位軟件的位置。
　　2.Applets, Compression, Controls Folder : 包括下控制面板象顯示屬性那樣屬性條的附件。
　　3.Detect, explorer :很多有意思的子鍵如Namespace keys of Desktop和My Computer----它們指出了回收站和撥號網(wǎng)絡(luò)的CLSID行----和提示子鍵可以讓你建立自己的提示。
　　4.Extensions : 一個擴展聯(lián)系的列表，當(dāng)前相關(guān)聯(lián)的擴展名和比特定的執(zhí)行文件更適合的目標(biāo)類型。
　　5.Fonts, fontsize, FS Templates :系統(tǒng)屬性條中所選擇文件系統(tǒng)模板， 服務(wù)器，桌面計算機或者筆記本電腦信息。
　　6.MS-DOS Emulation :包括一個應(yīng)用程序兼容子鍵 為大量過時的程序二進制鍵所設(shè)。
　　7.MS-DOS Options :在dos模式下的設(shè)置，如himem.sys，cd-roms等。
　　8.Network :網(wǎng)絡(luò)驅(qū)動的配置。
　　9.Nls, Policies :系統(tǒng)管理員認(rèn)為你不應(yīng)該去做的事。
　　10.ProfileList :所有可以登陸你計算機的用戶名列表。
　　11.在Windows啟動時運行的程序的神秘之處是它們并不在開始菜單的啟動文件夾中。它們在HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\下的子鍵中被執(zhí)行。
　　Run : 程序在啟動時運行
　　RunOnce : windows初始化時程序在啟動時只運行一次，這個經(jīng)常用在當(dāng)安裝軟件之后需要重新啟動系統(tǒng)的時候，所以這個鍵一般都是空的。
　　RunServices : 它就象Run一樣，但是包含了“服務(wù)”，它不象一般的程序它們是比較重要的或者是“系統(tǒng)”程序。但是它們不是VXDs,就象McAfee或者RegServ工作一樣。
　　RunServicesOnce : 它只運行一次，但是是“系統(tǒng)自身”的安裝（大量的windows安裝參數(shù):通常鍵值包括了系統(tǒng)目錄位置，和win95更新，可選項安裝組件，和windows啟動目錄的子鍵。
　　注意：在很多黑客木馬軟件中，常常在這里添加鍵值（一般是在Run中），這樣使得木馬軟件可以隨著windows啟動而啟動并且很隱秘。在這里可以查看不正常的啟動項和去掉無用的運行程序（比如我就很不喜歡超級解霸的自動伺服器，在這里可以去掉它）。
　　12.SharedDLLs：共享DLL的列表，每一個都給出了在一個不可知系統(tǒng)的一個數(shù)字等級。
　　13.Shell Extensions:列出了“被認(rèn)可的”O(jiān)LE注冊條，和相應(yīng)的CLSID連接。
　　14.ShellScrap :這個包含了一個PriorityCacheformats的子鍵，它包括了一個空的有限值，它更象過去SmartDrive命令行參數(shù)的派生。
　　15.Time Zones : 主鍵值是你現(xiàn)在的時區(qū)；子鍵定義了所以可能的時區(qū)。
　　16.Uninstall：這個保存了程序在添加/刪除程序?qū)υ捒虻娘@示；子鍵包含了指向反安裝程序的路徑。和安裝向?qū)嗨?......）winlogon（包含了合法登陸布告的文本句）
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　這個子鍵包括設(shè)備驅(qū)動和其他服務(wù)的描述和控制。不同于windows nt，win95只包括限制驅(qū)動的控制設(shè)置信息。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
　　這個子鍵包括了win95控制面板中的信息。不要編輯這些信息，因為一些小程序的改變在很多地方，一個丟失的項會使這個系統(tǒng)變的不穩(wěn)定
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　這個鍵包括了所有win95的標(biāo)準(zhǔn)服務(wù)。所有被添加的服務(wù)和設(shè)備，每個標(biāo)準(zhǔn)的服務(wù)鍵包括了它的設(shè)置和辨認(rèn)設(shè)置。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Arbitrators
　　atbitrators鍵包括了當(dāng)兩個設(shè)備共同占用同樣的設(shè)置需要解決的信息。四個子鍵包括了內(nèi)存地址，沖突，DMA，I/O端口沖突和IRQ沖突。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Class
　　class鍵包括了所有win95支持的設(shè)備classes控制，這些和你在添加新硬件出現(xiàn)的硬件組很類似，還包括了這些設(shè)備如何安裝的信息。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\inetaccs
　　這個鍵包括了關(guān)于這個系統(tǒng)變化的ie附件的可用性，它僅在你安裝過ie2。0或者更高版本才出現(xiàn)。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSNP32
　　msnp32描述了客戶機如何在microsoft網(wǎng)絡(luò)中實現(xiàn)功能，它包括了認(rèn)證過程和認(rèn)證者的信息。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWNP32
　　nenp32鍵描述了windows客戶如何在netware網(wǎng)絡(luò)中工作功能，它包括了關(guān)于認(rèn)證過程和證明者的信息。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
　　在這個鍵里包括需要遠程工作在win95系統(tǒng)上的信息，有認(rèn)證參數(shù)，主機信息，和為了建立一個撥號連接工作的協(xié)議信息。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP
　　這個鍵包括了所以snmp（簡單網(wǎng)絡(luò)管理協(xié)議）的參數(shù)。它包括了允許的管理，配置陷阱，和有效的團體。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD
　　vxd鍵包括了win95中所有32位虛擬設(shè)備驅(qū)動信息，win95自動管理它們，所以不必要用注冊表編輯器編輯它們，所以的靜態(tài)vxds用子鍵列出。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebPost
　　webpost鍵包括了所有裝載的internet郵局的設(shè)置，如果你連接一個isp，并且它列出載這里，你應(yīng)該給自己選則一個服務(wù)器。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock
　　這個鍵列出了當(dāng)連接到internet上winnsock文件的信息，如果列出了不正確的文件，你將不會連接上internet。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinTrust
　　wintrust功能是檢查從Internet上下載來的文件是否有病毒，它可以確保你得到干凈安全的文件。
　　HKEY_CLASSES_ROOT
　　在注冊表中HKEY_CLASSES_ROOT是系統(tǒng)中控制所有數(shù)據(jù)文件的項。這個在Win95和Winnt中是相通的。HKEY_CLASSES_ROOT控制鍵包括了所有文件擴展和所有和執(zhí)行文件相關(guān)的文件。它同樣也決定了當(dāng)一個文件被雙擊時起反應(yīng)的相關(guān)應(yīng)用程序。
　　HKEY_CLASSES_ROOT被用作程序員在安裝軟件時方便的發(fā)送信息，在Win95和Winnt中，HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\Classes是相同的。程序員在運行他們的啟動程序時不需要擔(dān)憂實際的位置，相反的，他們只需要在HKEY_CLASSES_ROOT中加入數(shù)據(jù)就可以了。
　　在Windows用戶圖形界面下，每件事----每個文件，每個目錄，每個小程序，每個連接，每個驅(qū)動---都被看做一個對象；每個對象都有確定的屬性和它聯(lián)系。HKCR包含著對象類型和它們屬性的列表。HKCR主要的功能被設(shè)置為：
　　一個對象類型和一個文件擴展名關(guān)聯(lián)
　　一個對象類型和一種圖標(biāo)關(guān)聯(lián)
　　一個對象類型和一個命令行動作的關(guān)聯(lián)
　　定義對象類型相關(guān)菜單選項和定義每一個對象類型屬性選項
　　在Win95中，相關(guān)菜單就是當(dāng)你鼠標(biāo)右擊一個對象時所彈出的菜單；屬性就是當(dāng)你選擇屬性項后一個展開的對話框。用簡單術(shù)語來說就是在改變HKCR中的設(shè)置可以改變一個給定文件擴展名缺省的關(guān)聯(lián)。改變一個文件類型的缺省圖標(biāo)，和添加或者刪除給定對象類型的彈出菜單內(nèi)容（或者所有的對象類型）
　　HKCR包括了三種基本類型的子鍵
　　??? 或者文件擴展名子鍵
　　文件擴展名子鍵在彈出菜單上連接文件擴展名到對象類型和相關(guān)操作，屬性項，和相關(guān)操作。
　　\object 類型子鍵
　　對象類型子鍵定義了一個對象類型在它缺省圖標(biāo)的項，它的彈出菜單和屬性項，它的相關(guān)操作和它的CLSID連接。
　　\CLSID 子鍵
　　在Windows下每件事都被用一個數(shù)字取代它的名字來對待。就象人往往是用名字來處理事情一樣。CLSID是標(biāo)識所有列出的圖標(biāo)，應(yīng)用程序，目錄，文件類型等等對象的數(shù)字。是微軟為制造商分配的，每一個都必須是唯一的。制造商將CLSID放入安裝程序文件這樣就可以在安裝時更新注冊表。
　　注冊表是應(yīng)用程序進行時它們需要關(guān)于做什么的指示的數(shù)據(jù)庫。比如說，假定你有一個微軟Excel 7電子數(shù)據(jù)表的Word 7文檔，當(dāng)你在Word中雙擊這個電子數(shù)據(jù)表，應(yīng)用程序菜單就會變成Excel的菜單而且電子數(shù)據(jù)表進入編輯狀態(tài)，就好像你在Excel中一樣。它是如何知道該做什么呢？每個Excel 7創(chuàng)建的文件都有Excel的CLSID連接。Word讀這個CLSID后，到注冊表中尋找指示，依賴CLSID下的數(shù)據(jù)運行.DLL文件或者應(yīng)用程序。
　　CLSID子鍵為對象類型提供了OLE和DDE信息和圖標(biāo)。相關(guān)菜單，或者包含在它子鍵中的屬性項信息。這個可能是多數(shù)讓人看到后覺得“恐怖”的鍵。每個CLSID數(shù)必須是唯一的，實際上，為了這個目的微軟已經(jīng)出產(chǎn)了CLSID-產(chǎn)生程序--這個結(jié)果導(dǎo)致你往往得到32位16進制的數(shù)字串，除非你是程序員，否則多數(shù)部分鍵看起來是很枯燥的。它們包括內(nèi)存管理模式，客戶機/服務(wù)器配置，和OLE處理的.dll連接。
關(guān)于子鍵的一點注解
　　1)shell:Shell鍵有個一”action“子鍵，如同”open“一樣，這里有一個command子鍵；command子鍵有一個缺省句值，它包含了運行程序的命令行。將一個”open“子鍵放在一個對象類型的shell子鍵中會在這個對象類型的彈出菜單上多出一個”open“選項，給這個open子鍵一個command（缺省命令行"C:\Windows \Notepad.exe %1")子鍵會使得打開這個對象類型時使用筆記本做為缺省應(yīng)用程序。其他操作選項包括View,Print,Copy,Virus,Scan等等。
　　2)shellex:Shellex鍵有一個子鍵。它們包含的每一個子鍵指向一個為對象類型執(zhí)行OLE和DDE功能的CLSID項（比如說快速查看，一個菜單處理子鍵下指向一個有句值的CLSID鍵列出了包含了文件瀏覽功能的.dll文件）
　　3)shellnew:ShellNew包含了一個“command”句，它包含了一個打開對象類型“新”文件的命令行。
　　4)DefaultIcon:DefaultIcon子鍵包含了一個“default”句，它包括了一個指向圖標(biāo)的命令行（比如說，"C:\Windows \System \shell32.dll,2" 2就是從0數(shù)的第三個圖標(biāo)，記住，是在Shell32.dll中的）
　　除了和它們擴展名關(guān)聯(lián)擴展名和文件類型以外，它們在HKEY_CLASSES_ROOT還有很多項。所有它們的項也都適用于nt，如界面和應(yīng)用程序的執(zhí)行。通常你將編輯僅僅一小部分這樣的項。除了彈出菜單提示以外，所有包含在這里的項只會在安裝應(yīng)用程序，在程序中設(shè)置調(diào)整或者創(chuàng)造關(guān)聯(lián)時被改變。
　　沒有HKEY_CLASSES_ROOT你是不能啟動系統(tǒng)的；你手工編輯它真的是很困難。HKEY_CLASSES_ROOT是你需要注冊標(biāo)一個很重要的原因：應(yīng)用程序的控制和操作這個系統(tǒng)。看到它的尺寸和這個處理鍵的復(fù)雜程度，SYSTEM.INI 和 WIN.INI不再夠用也是不用驚奇的。
　　HKEY_CURRENT_CONFIG
　　win95一般只使用一個硬件配置文件。如果有多個硬件配置文件。HKEY_LOCAL_MACHINE\Config中就會添加一個鍵。HKEY_LOCAL_MACHINE\Config包含了HKEY_LOCAL_MACHINE中相同的數(shù)據(jù)
　　在啟動時，你可以選擇你愿意使用的配置文件。如果有多個安裝，每次系統(tǒng)重新啟動時，你就必須選擇.HKEY_CURRENT_CONFIG是在啟動時控制目前硬件配置的鍵
　　在系統(tǒng)啟動以后，任何地方的變化都會自動影響到它。程序員經(jīng)常使用HKEY_CURRENT_CONFIG方便的來存取配置信息。
　　HKEY_CURRENT_CONFIG包括了系統(tǒng)中現(xiàn)有的所有配置文件的細節(jié)。你的選擇影響了哪一個硬件配置文件成為現(xiàn)在的。舉例來說，如果配置0002被選擇了，所有0002的配置信息會被映射到這些鍵上
　　HKEY_CURRENT_CONFIG允許軟件和設(shè)備驅(qū)動程序員很方便的更新注冊表，而不涉及到多個配置文件信息。 HKEY_LOCAL_MACHINE中同樣的數(shù)據(jù)和任何注冊表的變化都會同時的變化。
　　HKEY_DYN_DATA
　　在HKEY_DYN_DATA鍵中所有信息都是在啟動時被寫入的。它再現(xiàn)了Win95在系統(tǒng)中控制硬件所使用的動態(tài)數(shù)據(jù)。它僅只有三個鍵。它們保留了系統(tǒng)目前狀態(tài)監(jiān)視所需要的很簡單的信息
　　在HKEY_DYN_DATA中除了暫時文件，沒有任何數(shù)據(jù)被寫入硬盤。在系統(tǒng)每次重新啟動時所有的數(shù)據(jù)被重新寫入。另外，在既插即用的情況下，當(dāng)設(shè)備改變狀態(tài)時一些數(shù)據(jù)可能會寫入。（比如說系統(tǒng)運行時在一個PCMCIA槽中插入一塊網(wǎng)卡）
　　Config Manager
　　配置管理包括了在Win95中每個安裝設(shè)備啟動時的信息。在啟動時它從HKEY_CURRENT_CONFIG中獲得它的列表并且檢查每個項。如果找到一個沒有在列表中列出的設(shè)備，它向系統(tǒng)報告這些信息來安裝。如果列表中的一個設(shè)備不在系統(tǒng)中，它就會在這個鍵值中顯示這個情況。
　　Enum
　　系統(tǒng)中已安裝的每個設(shè)備的啟動狀態(tài)都在這個鍵中被列出。如果某個設(shè)備沒準(zhǔn)備好，它就在這里顯示出來。如果它準(zhǔn)備好了，它也會顯示出來。每個設(shè)備指針也被列出顯示哪個注冊這個設(shè)備用來做它的控制
　　PerfStats
　　系統(tǒng)中所有設(shè)備的性能特征保存在這個鍵。它是十分難讀的，但是通過系統(tǒng)監(jiān)視器就十分容易看懂
　　Security
　　這個鍵顯示了登陸在這臺機器和網(wǎng)絡(luò)上的登陸用戶從哪個證明者得到有效的證明
　　HKEY_USERS
　　HKEY_USERS將缺省用戶和目前登陸用戶的信息輸入到注冊表編輯器，在win95中，它僅被那些配置文件激活的登陸用戶使用，同樣在nt下，它也是這樣。
　　win95從user.dat中取得他們的信息，winnt從ntuser.dat中取得信息。.dat文件包含了所有基于用戶的注冊表設(shè)置并且允許你取配置這些用戶的環(huán)境。如果你改變了缺省用戶的設(shè)置，所有新用戶會繼承同樣的設(shè)置。而且，那些已經(jīng)被建立的用戶變的失效。
　　HKEY_USERS.DEFAULT
　　這個鍵的設(shè)置被用于所有新用戶，用戶們的配置文件從這個配置文件中建立。它包括所有的環(huán)境，屏幕，聲音，和其他用戶相關(guān)的功能。
　　HKEY_USERS.DEFAULT\AppEvents
　　這個鍵列出了事件響應(yīng)，描述，和各種系統(tǒng)功能的聲音
　　HKEY_USERS.DEFAULT\AppEvents\Schemes
　　缺省和當(dāng)前的聲音方案在這個鍵和它的子鍵中列出。在事件的時間中系統(tǒng)播發(fā)這些聲音
　　HKEY_USERS.DEFAULT\Console
　　這個鍵保存了MS-DOS窗口的選項、布局、熒屏顏色和字體設(shè)置。
　　HKEY_USERS.DEFAULT\Control Panel
　　所有在控制面板里配置設(shè)置的信息全保存在這個鍵和它的子鍵中
　　HKEY_USERS.DEFAULT\Control Panel\Accessibility
　　這個鍵保存了所有在控制面板中輔助功能的設(shè)置。
　　HKEY_USERS.DEFAULT\Control Panel\Appearance
　　這個鍵保存了所有在控制面板里顯示外觀的設(shè)置
　　HKEY_USERS.DEFAULT\Control Panel\Appearance\Schemes
　　這個鍵列出了缺省可用的方案，和每個方案包括的顏色和字體。
　　HKEY_USERS.DEFAULT\Control Panel\Colors
　　這個鍵保存了Windows每個缺省顏色的設(shè)置。每個值（顏色名）像一個RGB（紅、綠、藍）值列出來。比如說，黑色是0 0 0，意思就是紅色值是0，綠色值是0，藍色值也是0。相反的白色就是255 255 255。其他的顏色都是RGB值合成的。
　　HKEY_USERS.DEFAULT\Control Panel\Sound
　　這個鍵決定了在錯誤時系統(tǒng)是否發(fā)出響聲
　　HKEY_USERS.DEFAULT\Environment
　　這個鍵保存了環(huán)境設(shè)置，特定的臨時性文件的位置
　　HKEY_USERS.DEFAULT\Keyboard Layout
　　鍵盤布局設(shè)置被設(shè)置成標(biāo)準(zhǔn)美國英國標(biāo)準(zhǔn)傳統(tǒng)鍵盤布局。如果你選擇了其他的布局，那么數(shù)字列表會不同
　　HKEY_USERS.DEFAULT\Software
　　軟件的安裝設(shè)置被保存在這個鍵中，缺省用戶只有微軟程序的設(shè)置
　　HKEY_USERS.DEFAULT\Software\Microsoft
　　微軟的應(yīng)用程序的相關(guān)設(shè)置被放在這個鍵里。如果其他微軟程序被安裝，它們就更新這個用戶的微軟鍵。在下面的項目顯示了缺省的控制
　　HKEY_USERS.DEFAULT\Software\Microsoft\Windows
　　這個鍵保存了只和windows有聯(lián)系，和windows nt沒關(guān)系的設(shè)置，這些設(shè)置在win95中是相同的，使用同樣的驅(qū)動和功能
　　HKEY_USERS.DEFAULT\Software\Microsoft\Windows NT
　　基于nt 功能的設(shè)置在這個鍵中。windows nt沒有這些設(shè)置就不能夠運行，它建立環(huán)境和網(wǎng)絡(luò)上的進程，用戶權(quán)限，打印機，字體等等
　　HKEY_USERS.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
　　這個設(shè)置控制了windows nt的登陸功能
　　HKEY_USERS.DEFAULT\UNICODE Program Groups
　　缺省unicode程序組只是在使用程序管理器時被使用，explorer并不使用它們
　　S-1-5-21-1658001358-1336221227-1912232085-500 (SID)
　　HKEY_USERS\S-1-5-21-1658001358-1336221227-1912232085-500
　　這個是目前登陸用戶的sid，每一個網(wǎng)絡(luò)上的用戶都被域用戶管理器分配了一個sid，每一個sid都是唯一的，所以它依賴與登陸用戶，這個信息改變。它是從用戶配置文件的ntuser.dat文件調(diào)出的。一般來說，它的子鍵很多，是基與安裝的軟件的，選擇的和最終設(shè)置
　　HKEY_USERS\SID\Network
　　這個鍵顯示了所有連接到其他系統(tǒng)的映射。舉例來說，如果你映射驅(qū)動器H: 到\server1\docs，它會作為一個子鍵顯示出來
　　HKEY_USERS\SID\Printers
　　這個鍵顯示了所有安裝的，共享的和連接的打印機
　　HKEY_USERS\SID\Software
　　這個鍵為單獨的用戶擴展，基于為用戶或者被用戶安裝的其他軟件。
　　HKEY_USERS保存了所有目前登陸用戶和缺省用戶的設(shè)置。登陸用戶的改變就如同不同用戶使用這個系統(tǒng)，sid是用戶信息的表現(xiàn)。使用程序重新找到任何用戶的ntuser.dat文件并且把他放如到注冊表中觀看和編輯。
　　HKEY_CURRENT_USER
　　HKEY_CURRENT_USER包含著在HKEY_USERS安全辨別里列出的同樣信息。任何在HKEY_CURRENT_USER里的改動也都會立即HKEY_USERS改動。相反也是這樣。
　　HKEY_CURRENT_USER允許程序員和開發(fā)者易于存取目前登陸用戶的設(shè)置。通過建立這個鍵，微軟很容易在不涉及到用戶的SID下改變，添加和設(shè)置。
病毒經(jīng)常修改的注冊表鍵值
　　1）IE起始頁的修改
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 右半部分窗口中的Start Page 就是IE主頁地址了
　　（2）Internet選項按鈕灰化&失效
　　HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值 “Setting”=dword:1 “Links”=dword:1 “SecAddSites”dword:1 全部改為0之后 再將HKEY_USERS\DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值“homepage”鍵值改為0 則無法使用“Internet選項”修改IE設(shè)置
　　（3）“源文件”項不可用
　　HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions 的“NoViewSource”被設(shè)置為1了，改為0就可恢復(fù)正常
　　（4）“運行”按鈕被取消&失效
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoRun”鍵值被改為1了，改為0就可恢復(fù)
　　（5）“關(guān)機”按鈕被取消&失效
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoClose”鍵值被改為1了，改為0就可恢復(fù)
　　（6）“注銷”按鈕被取消&失效
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoLogOff”鍵值被改為1了，改為0就可恢復(fù)
　　（7）磁盤驅(qū)動器被隱藏
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoDrives”鍵值被改為1了，改為0就可恢復(fù)

轉(zhuǎn)載于:https://www.cnblogs.com/8426224ll/p/8939608.html

總結(jié)

以上是生活随笔為你收集整理的《注册表》的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。