转 http://blog.sina.com.cn/s/blog_c10ac1d90101e8yg.html

Windows注册表详解木
范书平杨文君 《狡丹江薅范学院计算祝秘学与技术系牡丹江157012)
注船表是Windows中最强大的工具．注册表 是一个统一集巾地管理系统硬徉设施、软件配嚣 等信息的数据库．其中存放着各种参数，直接控 制着windows的启动、硬件驱动程序的装载以及 一些Windows应用程序的运行；记录了与橇器 有关的硬件和软件的配置信息，及联网计算机的 整个系统的设鬣和各种许可，文件扩展名与应用 程序的关联；硬件部彳牛的描述、状态、属性；性能 记录和其他底层的系统状态信息以及其他数据 等．注册表这个数据库是不能用其他编辑软件打 开的，他被存放在Windows文件夹下的system． dat和user．dat两个毖藏文件中，在Windows中 只有用“运行”命令行regedit才能进行编辑，也 可以用编辑软件创建。reg来修改． 淀勰表的内部组织结构是一个类似予文件 夹管理的树状分层的结构注蕊表的信息被存放 在System．dat和User．dat两个二进制文件中，它 们没有主强录、子目录的称号，只有自己的名字 主键、子键、键僚名称及键俊数据。 Windows注册表的主键(相当予主目录)主要 宫努HKEE￡OCAL_MACHINE、HKE疋移SERS、 ItKEY～CURRENT—USER、HKEY—CLASSES—ROOT、 HKEY CURRENT CONFIG和HKEY_DYN_DATA六 大主键．这六大主键。在所有的WindOWS操作系 统枣是弱定不变的。其孛最主要的怒 HKEY_LOCAL_MACHINE和HKELUSERS两 大主键，它们是注册表的核心． HKEY_LOCAL_MACHINE对应着system．dat文 件，HKEY--USERS对应着User．dat文件．因炎 Windows注册表是由六大主键组成的，因此，我 们也按照六大主键的结构来详解注册表．
1 HKEY CLASSES ROOT
一抒开这个主键，会发现很多潋。e、。doc、．dll等 为名字的子键．HKELCLASSES_ROOT是 HKEYjDCAL_MACHINE、Software＼Classes下的 一个快捷方式，在它的主键里记录豹是系统孛备
·收稿日期：2004-11_08
类文件与其应用程序之间的关联关系．它包括 了成千上万的与程序、文件福关联的键秘德以 及ActiveX类的储存等内容，使它成为注册表 的～个最大分支．当双击一文件后，Windows会 首先在该烹键下查找该类文绺的扩震名，然 后以此扩展名子键中的文件类型信息为基 础，再查找该类文件相对应的应用程序信 息，最后使翅相应的程序来打开我们双击的 文件．如，我们可以单击“开始”_“程序”_ “运行”命令，然后输入“regedit”来启动系统注 册表，并单击HKEY_CLAsSES ROOT主键，找 到“．bmp”子键，会发现，它的she 11一open— command子键的command子键的默认值为 “C：＼WINDOWS＼SYSTEM32kMSPAINT．EXE％l”， 表示它是漏熙Q弩瞧NDOWS塔￥期毽麓32hMSPAINT． EXE程序来打开双击的BMP文件的． HKELCLASSES_ROCT主键下的子键很简单， 主要包括两类，一类是文件扩展名子键，另～类 是文件类鍪}子键．文件扩展名子键主要包括系统 内定的文件扩展名和应用程序自储存的扩展名． 文件扩展名子键均以“．”开头，后跟文件扩展名， 可以包括任意多个字符、“霉”子键翻其德酶不以 “．”开头的子键——类储存子键，其中包括文件 类型、类标识符以及程序标识符．文件名扩展子 键中指暖了该类文件的关联文件类型以及打开 方式等． HKE—_CLASSES_ROOT主键中的文件类型 予键下常见子键的含义， Defatdticon：默认的该类文件的显示图标， 即在文件夹中看到的图标． Shell：程序外壳子键． Shell＼open＼command：打开该类文件的外壳程 序，默认值为相应程序的路径、名称及其参数． Shell＼edit＼command：编辑该类文件的外壳程 序，默认值药楣应程序的路径、名称及其参数。 Shell＼ptint＼command：打印该类文件的外壳程 序，默认值为相应程序的路径、名称及其参数．

万方数据
(自然科学版)2005．1 牡丹江师范学院学报
2 HK嚣Y USERS
该主键下记录的是Windows中所有用户 的设置信怠，它的值是变饱的，并取决于计算 机是否激活了用户配置文件，若末激活用户配 置文件，则可以蓊到称为．DEFAULT的单一子 键．该子键包括和所有用户摆关的各种设置， 并且和＼windows下的USER．DAT文件相配合． 若激活了用户配置文件并且正确地执行了登录， 黑还有～个“赐户名”的子键，该用户名必用户登 录的名称．有关该用户名的相关键值放在 HKEY CURRENT 中．
3 HKEY_CURREN￡缓SER
在HKEY』URREMLUSER主键中保存了 当前登泶罨户的所有配置信怠，它也是鑫动变化 的，取决于当前登录的用户，它其实就是 HKEY_USERS＼用户名键下的快捷方式．如果机 器未激活震户配置，猁它是HKEkUSELLS＼． DEFAULT的快捷方式．在该主键下有8个子键， 它们的作用分别是： “ (1)AppEvents子键储存系统事件的声音设 置。 (2)Control Panel子键储存系统桌面、光标、 图标、键盘鼠标等的设置信息． (3)Identities子键储存并储存与Outlook Express有关的设黢信息． (4)InstallLocationsMRU子键包括安装软件 或硬律设备驱动程序的路径等，每个键值代表一 个路径，其键值名称为一个小写的字母，如“a”、 “d”等，键值“MRUList”表示一个路径的顺序，如 “daebc”． (5)Keyboard layout子键储存Windows中键 盘布局设置． (6)Network子键储存当前用户的网络设置 信息。 (7)RemoteAecess子键储存当前用户的拨 号网络配置． (8)Software子键镰存系统孛各种软件的配 置信息，它是HKEY-CURRENT-USER主键下 最主要的子键，也是USER．DAT文件的主要部
分，该主键下的子键随着不圈鳇杌器会差舅l很 大，假无论怎样不同，该主键下的子键都有着藻 本相同的结构．
4 HKEEzOCAL_MACHINE
HKEY LOCAL MACHINE是注澍表的核心 主键，记录了计算机上所有硬件和软件的配置． 它由8个部分组成，而每部分中又有许多相应的 子键。 (1)Config键．在该键值中储存了Windows 配置文件，它下面的子键个数视机器而定，如 0001，0002，等等。每一个子键均代表一个硬件配 萋文件．在每～个子键下面有Display，Enum， Infrared，Software和System子键．其中Enum键 包括安装在机器上的每种设备的配置数据，其内 容随不霹的枧器也不同． (2)HARDWARE键．在该键僮中储存了计 算机硬件配置中的一些不确定的信息． (3)NetWork键。该键值储存了包括安全提 供者和当前的用户名及缀策略等。 (4)Security键．该键值储存了具有管理权限 的每个用户和组等信息。 (5)Software键．安装在计算枫中软昝酶设 置．每个软件程序统一使用“公司名称＼软件名称 ＼软件版本”的组织形式，本部分的设鼹对于排除 故障秘定刽系统很有用． (6)System键．该键傻储存了系统中的设备 驱动程序等信息．
5 HKEY—CURREN|】LCONFIG
该主键是HKEY_LOCAL MACHINE＼Config 的侠捷方式。
6 HKEY DYN DATA
HKEY_DYN_DATA是系统的动态数据．
了解了这些键的意义，就可以是已来研究， 若出现仔么阎题廷要找好主键和子键，改动改 动，问题便可迎刃而解了．