多年来,我们已经介绍了大量注册表黑客攻击,虽然大多数人都能掌握有关如何更改注册表的逐步说明,或者双击.reg文件将其插入注册表,但如果您扎实地了解注册表是什么以及它是如何工作的,您将会得到更好的服务。在此之前,我们已经介绍了许多注册表黑客攻击方法,虽然大多数人都能掌握有关如何更改注册表或双击.reg文件将其插入注册表的分步说明。
关于注册表,需要了解的最重要的一点是,您可能不应该无缘无故地胡闹、删除或更改内容。删除注册表的很大一部分永远不会让您的计算机运行得更快,也没有注册表黑客会提高您的计算机的速度,或者给您提供一些不存在的主要新功能。
几乎所有注册表攻击都涉及调整Windows中某些组件的行为,或者禁用您不喜欢的行为。例如,如果您想从Windows中完全禁用SkyDrive/OneDrive,您可以使用注册表黑客来实现。如果您厌倦了Windows Update强制重新启动您的计算机,您可以侵入注册表以使其停止。
什么是注册处?
Windows注册表是一个分层数据库,其中包含Windows中的组件、服务、应用程序以及几乎所有内容使用的所有配置和设置。
注册表有两个需要注意的基本概念:项和值。注册表项是基本上是文件夹的对象,在界面中甚至看起来与文件夹完全一样。值有点像文件夹中的文件,它们包含实际设置。
当您第一次打开注册表编辑器时,您将在左侧窗格上看到一个树形视图,其中包含所有项,值在右侧。它几乎是一个接口所能得到的最简单的东西。
您在屏幕截图左侧看到的根级密钥很重要。每个页面都包含一组不同的信息,因此根据您要尝试执行的操作,您需要知道要向下浏览到哪个部分。
有趣的是,大多数人不知道的是,根级别上的五个项目中有三个实际上并不存在…。它们只是链接到另一个键中更下面的项。
HKEY_CLASSES_ROOT
Windows使用此部分来管理文件类型关联,在文档中引用此部分时通常将其缩写为HKCR。此密钥实际上只是指向HKLM\Software\CLASS的链接。
如果要调整特定文件类型的上下文菜单,也可以使用此部分。
HKEY_CURRENT_USER
保存当前登录用户的用户设置,通常缩写为HKCU。这实际上只是一个指向HKEY_USERS\<SID-for-current-user>的链接。这里最重要的子键是HKCU\Software,它包含大多数软件的用户级别设置。
HKEY本地机
所有系统范围的设置都存储在这里,通常缩写为HKLM。您将主要使用HKLM\Software键来检查计算机范围的设置。
HKEY_USERS
存储系统上所有用户的所有设置。您通常会改用HKCU,但如果您需要检查计算机上其他用户的设置,您可以使用此设置。
HKEY_CURRENT_CONFIG
存储有关当前硬件配置的所有信息。此文件不经常使用,它只是指向HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current的链接。
创建新的键和值
右键单击窗口左侧的任意键都会给出一组选项,其中大多数都相当简单易懂。
您可以创建一个新密钥,它将显示为左侧的文件夹,或者创建一个新值,它将显示在右侧。这些值可能有点令人困惑,但实际上只有几个值是经常使用的。
字符串值(REG_SZ)-它包含适合常规字符串的任何内容。在大多数情况下,您可以编辑人类可读的字符串,而不会破坏所有内容。 二进制值(REG_BINARY)-该值包含任意二进制数据,您几乎不会想要尝试编辑这些键中的任何一个。 DWORD(32位)值(REG_DWORD)-它们几乎总是用于常规整数值,无论是0或1,还是0到4,294,967,295之间的数字。 QWORD(64位)值(REG_QWORD)-这些值不经常用于注册表入侵目的,但它基本上是一个64位整数值。 多字符串值(REG_MULTI_SZ)-这些值相当少见,但其工作方式基本上类似于记事本窗口。您可以在字段中键入多行文本信息,如下所示。 可扩展字符串值(REG_EXPAND_SZ)-这些变量有一个可以包含环境变量的字符串,通常用于系统路径。因此,字符串可能是%SystemDrive%\Windows,并将展开为C:\Windows。这意味着当您在注册表中找到设置为此类型的值时,您可以更改或插入环境变量,它们将在使用字符串之前被“展开”。
有趣的事实:DWORD是“双字”的缩写,因为“字”是处理器使用的默认数据单位的术语,而Windows创建时是16位。所以“字”是16位,而“双字”是32位。虽然现代处理器都是64位的,但为了兼容,注册表仍然使用较旧的格式。
收藏夹菜单
其中一个真正有用的功能似乎没有人注意到,那就是收藏夹菜单,当您想要定期检查注册表位置时,它非常有用。真正有趣的是,您可以导出收藏夹列表并在另一台计算机上再次使用它,而不必向下浏览到键并将它们添加到收藏夹菜单中。
如果您在多个位置四处查看,这也是在注册表中为某些内容添加书签的一种很好的方式,这样您就可以轻松地返回到您所在的最后一个位置。
导出注册表文件
通过右键单击注册表项并选择导出,可以导出注册表项及其下面包含的所有值。如果您要对系统进行更改,这一点非常重要。
获得导出的注册表文件后,您可以双击该文件将信息输入回注册表,也可以选择编辑以查看记事本中的内容。
注册表破解文件格式非常简单-值名称在左侧,实际值在右侧。
相关:如何进行您自己的Windows注册表黑客攻击
有关注册表黑客文件的更多信息,请务必阅读我们关于该主题的指南。
设置权限
默认情况下,某些注册表项不允许您进行更改。这通常是因为您没有访问这些键的权限,但是如果需要,您可以通过右键单击某个键并选择权限,然后从那里调整它们来调整权限方案。
我们应该注意,这不是一个好主意,您通常应该远离需要这么多工作才能编辑的关键点。
正在加载注册表配置单元
您可以使用文件->加载配置单元功能从脱机系统加载注册表。可能您正在对另一台计算机进行故障排除,并且希望查看无法启动的系统的注册表中发生了什么情况。因此,您可以从救援盘或Linux live CD引导系统,然后将注册表文件复制到您的拇指驱动器上。
现在,您可以在另一台计算机上打开它们,并使用“加载配置单元”选项四处查看。
这些注册表文件存储在哪里?
您可以在Windows\System32\Config文件夹中找到它们中的大多数。
看到那些SAM、安全、软件和系统文件了吗?它们对应于HKEY_LOCAL_MACHINE文件夹下的相同密钥。
HKEY_CURRENT_USER分支的数据存储在名为NTUSER.DAT的隐藏文件中的用户文件夹中。
正在备份您的注册表
相关:为Windows 7或Vista的系统还原创建还原点
多年来,您可能已经注意到,每个以某种方式建议您入侵注册表的站点都会告诉您备份注册表。但要做到这一点,最好的方法是什么呢?
您不能将整个注册表导出到一个文件中,再次导入也不能很好地工作。您也不能轻松访问硬盘上的文件本身,因为它们是完全锁定的。所以这是行不通的。
备份注册表的最佳选择是什么?创建系统还原点。
回滚系统还原点非常容易。
要注意的几个重要事项
虽然许多人拒绝同意,但事实是注册表清理器是没有意义的,不应该使用。从数百万的数据库中清除几百个键不会带来任何性能提升,注册表中任何导致组件无法正确加载的错误都会在事件查看器或其他地方被捕获,并且可以在不清除注册表的情况下修复。
甚至不要让我们开始注册“碎片整理”,这完全是无稽之谈。也许回到配备超慢硬盘的Windows95上,这是有意义的。但现在,是用现代硬盘,还是用根本不需要碎片整理的固态硬盘呢?别这么做。