正在上网工作 瑞星提示修改注册表 同意还是拒绝 是黑客在修改注册表吗

不是黑客··是你机器有软件自动修改了注册表信息~！要同意还是拒绝·那得视要修改注册表的软件而断定。有些软件如果不通过瑞星同意，就使用不了。瑞星反正是很麻烦的杀毒软件··不怎么好·！

修改注册表的常识?

注册表修改常识

1 提高子菜单速度

位 置：HKEY_CURRENT_USER\Control Panel\Desktop

键值名：Menushowdelay

双击键值Menushowdelay后，弹出该键值的编辑窗口，在文本输入框内输入“0”后，再单击“确定”按钮即可。注意在系统默认的菜单弹出效果下，不易感觉到菜单弹出速度的提高；这时，请在桌面上单击“属性”命令，弹出“显示 属性”窗口，然后在“效果”标签下将“动画显示菜单和工具提示”下的“淡入淡出效果”改为“滚动效果”。

2 去掉“关闭系统”

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoClose

取 值：1为隐藏、0为显示

3 自动刷新窗口内容

位 置：HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Update

键值名：UpdateMode

取 值：0、1

若“UpdateMode”键值为0，则设置为自动刷新，

若“UpdateMode”键值为1，则设置为手工刷新；

这等于在资源管理器窗口内按“F5”键或者在“查看”菜单中选择“刷新”命令。

4 去掉“设置”

一 位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoSetFolders

取 值：1为隐藏、0为显示

二 位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoSetTaskbar

取 值：1为隐藏、0为显示

5 去掉升级

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoCommonGroups

取 值：1为隐藏、0为显示

6 去掉“文档”

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoRecentDocsMenu

取 值：1为隐藏、0为显示

7 自动清除“文档”

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：ClearRecentDocsOnExit

取 值：1为自动清除、0为不自动清除

8 去掉“查找”

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoFind

取 值：1为隐藏、0为显示

9 锁定“文档”

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoRecentDocsHistory

取 值：1为锁定、0为不锁定

10 去掉“运行”

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoRun

取 值：1为隐藏、0为显示

11 搜索“自启动”程序

位 置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

在注册表内，我们可以查询系统启动后加载了哪些程序。单击注册表内的目录树，这里最重要的是“装载源”，从“软件环境”、“启动程序”显示的结果看，绝大多数“自启动”程序都是通过注册表加载的，即“装载源”显示为“Registry （Machine Run）”的程序。

12 去掉“注销”

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoLogOff

取 值：1为隐藏、0为显示

13 缩短“新建”选项

当你用鼠标右键点击资源管理器空白处，并选取新建菜单时，会弹出建立多种程序文件的菜单，但是里面有一些你可能并不常用，比如现在我要去除掉菜单中的“Wave Sound”项目，来缩短菜单。 打开注册表，请选择查看下的搜索项，然后输入“shellnew”，并选择“全字匹配”选项；在HKEY_LOCAL_MACHINE与HKEY_LOCAL_ROOT下进行查找，找到后将该其下面的shellnew子键删除掉即可。

14 清除配色方案

位 置：HKEY_CURRENT_USER\Control Panel\Appearance\Schemes

首先请找到该子键，在窗口的右边会出现系统自带的各种配色方案，将你认为无用的配色方案删除掉，一般只保留“Windows默认”一项。 然后再打开“控制面板”窗口中的“显示”，然后在“显示 属性”窗口中单击“外观”标签，在“窗口配色方案”下拉列表中进行查看。

15 修改桌面图标

例如，我们修改Windows桌面上“回收站”的名字及图标，可执行如下操作步骤。

位 置：HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}

先打开注册表编辑器；然后根据上面提供的位置找到该主键，双击窗口右边的“回收站”，弹出字符串编辑器， 然后在文本输入框内，将“回收站”改为“垃圾筒”， 重新启动机器后，桌面上的回收站就变成了垃圾筒，但图标依旧！单击{645FF040-5081-101B-9F08-00AA002F954E}前面的“+”，则展开这个主键，在它下面还有一个子键DefaultIcon。然后单击此子键，在右窗格中的“数据”栏下将出现三个图标文件名，分别为“未命名”、“Full”（满）、“Empty”（空）的回收站图标，这三个图标包含在动态链接库Shell32.dll文件里面，图标资源所在的序号分别是31、31、32， 其数据格式是“C:\Windows\System\Shell32.dll,31”等（调用动态链接库中的图标资源，采用这种格式就可以啦！）。如果您想把它改成自己的图标，则只要将此数据改为自己图标或者动态链接库即可，例如使用图标文件为“C:\Windows\help.ico”，这样再重新启动机器就可以看到垃圾筒的图标被改变了。利用同样的 *** 可以修改桌面上其它的图标和文字。

16 删除“系统”

当你想删除桌面上的“回收站”、“Internet Explorer”等图标时，会发现它们不能用一般的 *** 删除。这时还可以通过修改注册表来办到。

位 置：HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace在该分支下面有多个子键，这些子键将对应桌面上的“系统”图标，在窗口右边你就可以看到。删除不需要的图标，即对应的键值；重新启动后，会看到桌面上的一些图标不见啦！

17 隐藏桌面

位 置：HKEY_CURRENT_USER\Software\Microsoft

\Windows\CurrentVersion \Policies\Explorer

键值名：NoDesktop

取 值：0、1

这种隐藏桌面图标的 *** 与简单地在“显示 属性”窗口内，使用“Active desktop”下的隐藏图标的 *** 不一样。这里的隐藏除了将图标隐藏外，连整个桌面都一并隐藏了起来，并且同时禁止了在桌面上点击鼠标右键功能。

18 去掉“网上邻居”

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoNetHood

取 值：1为隐藏、0为显示

19 关闭系统版本号

位 置：HKEY_CURRENT_USER\Control Panel\desktop

键值名：PaintDesktopVersion

取 值：0为隐藏、1为显示

说 明：它能把你的Windows的版本号在桌面的右下角显示出来，如果你使用的是测试版， 那么就可以将桌面右下角的文字去掉。

20 隐藏指定驱动器

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

键值名：NoDrives

取 值：需要说明一下，在这里使用的是2的N次方来代表一个驱动器名称，而非寻常的A、B、C、D……，下面就给出各驱动器名与2的N次方的对应关系，以方便读者：A: 1, B: 2,C: 4, D: 8, E: 16, F: 32, G: 64,H: 128, I: 256,J: 512,K: 1024, L: 2048, M: 4096, N: 8192,O: 16384, P: 32768, Q:65536,R: 131072,S: 262144,T: 524288, U: 1048576, V: 2097152, W:4194304,X: 8388608, Y: 16777216, Z: 33554432按照上面的取值规则，如果你要隐藏A、B、C三个驱动器，输入7即可，因为7=1+2+4，如果你要隐藏所有驱动器，输入67108863。

21 修改“回收站”

位 置：HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder

键值名：Attributes

取 值：40 01 00 20、70 01 00 20

说 明：缺省情况下是40 01 00 20，把它改为70 01 00 20后，就可以把桌面上的“回收站”象资源管理器内的文件一样，能任意地更名或者删除了。

22 修改桌面

位 置：HKEY_CURRENT_USER\ControlPanel\desktop

说 明：打开注册表编辑器，然后打开该分支。在此分支右窗格内可以看到一些项目，现介绍几个如下：HungAppTimeout：这是指一个应用程序出错时试图等待响应的时间，值为毫秒，缺省值为5000毫秒(即5秒)，可以减少为3000毫秒，以加快系统的响应能力。MenuShowDelay：这是指“开始”菜单中当鼠标指向一个具有下级 菜单的菜单项时等待出现下级菜单的延迟时间，单位也是毫秒，可以设成100，即等待0.1秒就会出现（前面已经提到过）。ScreenSaveActive：这是现在屏幕保护功能是否可用，值为0或1，0即为不用屏幕保护功能，1为可用，但必须你已经使用了屏幕保护功能。ScreenSaveTimeOut：这是指屏幕保护的延时，值类型为一个数值。单位是秒，最小值是60秒，但必须你已经使用了屏幕保护功能；如果你将数值改为1，那么每停顿1秒钟，便会启动屏幕保护。WaitToKillAppTimeout：这是指当按下 Crtl+Alt+Del后以后，出现“关闭程序”对话框，出现提示“结束任务”、“等待”时选择“等待”的等待时间，单位是毫秒，默认值是10000。可以减少等待时间。

23 定制按钮颜色

尽管Windows在外观中可以定义多种窗口显示方案,但要定义某一个部位的颜色，如将黑色的按钮字体改变为其它的颜色， 它就无能为力啦！通过修改注册表能很容易实现。 在注册表内找到HKEY_CURRENT_USER\Control Panel\Colors的子键，然后将窗口右边的“Bottontext”键值由原来的“0 0 0”改为“255 0 0”（代表红色）。

24 汉字后加空格

位 置：HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion

键值名：插空格

取 值：0不插入空格、1插入空格

25 活用Enter键

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion键值名：

取 值：0保留原功能，输入法不处理、1等同于Esc键，用于清除当前外码输入状态说 明：当取值为1时，如果有候选窗口，会自动隐藏输入窗口，清除所有外码，但不隐藏外码输入窗口。当无候选窗口，清除外码，并隐藏外码输入窗口。

26 活用Space键

位 置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion键值名：

取 值：0指明这是作为结束外码输入的标志键，这种设置适合于形码、1指明这是作为候选选择键，这种设置适合于音码。

27 系统时间格式

位 置：HKEY_CURRENT_USER\ControlPanel\International键值名：sTimeformat

取 值：H:mm:ss、HHmm不等

说 明：在通常情况下，Windows在任务栏中使用“23:12”的时间格式来显示时间， 但是您可以通过修改注册表编辑器来更改此时间格式。

28 更改登录背景

位 置：HKEY_USERS\.DEFAULT\Control Panel\Desktop

键值名：Wallpaper

取 值：目标背景图文件路径

29 修改注册码

位 置：HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion

键值名：ProductId

取 值：任意字符

30 禁止自动运行

在通常情况下，绝大多数在Windows启动时自动运行的应用程序有如下两种设置办法：在“启动”程序组中添加快捷方式 如果使用的是这种 *** 。则我们只需将它们的快捷方式从 “启动”程序组中删除即可达到禁止它们自动运行的目的。修改Windows的注册表数据库如果您使用过一些诸如CD播放机等的用户都知道，在使用这些软件时，都将在任务栏右边 将出现一个图标，这有时会带来不便。其实，这些软件的自启动程序的注册项放在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支中。您只要到此分支中找出对应的自启动程序即可，另外，在“Run”主键下还可能有“SysExplr”子键。如果有该子键，可以将其中的内容清空，同样也能取消Windows启动时自启动的程序。那么反过来，我们怎样在注册表内添加自启动程序呢？先找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run主键，然后在它的窗口右边建立一 个名为“SysExplorer”的键值名，并将其值设为“Explorer.exe”，退出注册表编辑器，注销用户后重新启动计算机，系统将自动运行资源管理器。 另外Windows还提供了一次性的自启动功能。紧跟在“Run”主键后面有一个“RunOnce”和“RunOnceEx”子键，你可以在这两个子键内设置新的键值，让系统自动运行一次某个程序，即仅在下一次启动Windows时才有效。

31 软件显示乱码

解决的 *** 是在注册表内找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\fontassoc\Associated CharSet位置，将窗口右边内的“SYMBOL(02)” 键值（这是系统的机内码）改为“NO”即可。

32 删除软件的残骸

每一个Windows操作系统的的使用者可能都有这样的经历，由于种种原因直接在硬盘中删除了某个文件夹，或者是在“添加／删除程序”里面对一些软件进行反安装。但是有些程序却还有注册信息留在注册表内，当你再次从“添加/删除程序”中卸载该程序时，老是提示“试图删除XXXXXX时出错，放弃卸载”，从而导致了卸载程序错误。当机器中安装大量的软件后随着时间的后移，就在系统的注册表中就形成了垃圾，影响了机器的运行速度。下面介绍彻底清除这些垃圾的 *** 。用注册表编辑器来清除注册表中关于卸载应用程序的相关键值数据HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall位置，一般的软件在注册表内的反安装子键里有“DisplayName”、“UninstallString”这两个键值，之一个显示的是软件的名称、第二个 显示的是反安装的一些信息。双击第二个键值后，便会明白反安装是怎么回事，反安装实际上是你所安装的软件自带有一个反安装程序，在安装该软件时，它会自己记录一些安装信息存放Install.log文件中，卸载时用这个反安装程序再带上.log文件的参数即可。另外，有些软件反安装时使用的是系统提供的反安装程序。再如，许多应用软件在卸载之后仍会在注册表文件内留下一些无用信息。比较集中的地方在HKEY_LOCAL_MACHINE\Software、HKEY_CURRENT_USER\Software和HKEY_USERS\.Default \Software。这几项里面的内容基本上一致，在其中一处作查找删除就行了。比较常用到的 *** 是进入HKEY_LOCAL_MACHINE\Software分支中，然后重点查找那些已经确信被安全卸载了的软件的残留信息，在确认无误后删除。

33 恢复CD Key

如果你不小心将Windows的CDKey丢失了，担心在以后需要安装系统时会遇到什么麻烦。我该如何才能找回它呢？您可以从NT的注册表中找到这个CDKey。打开注册表，然后再找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion”位置，在右侧的ProductId键值中，就包含了CDKey的信息，另外，如果您所使用的NT是OEM版本，则有可能整个ProductId的串值就是CDKey！

34 加入登录信息

因为加入这样的功能需要修改NT的注册表，所以请您小心并做好备份。首先在注册表中的找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon子键，然后在窗口右边找到“LegalNoticeCaption”和“LegalNoticeText”两个键值。如果没有， 请添加这两个键值。然后在这两个键值内分别输入“这是我的服务器”、“欢迎光临！”。关闭注册表，重启机器，这次您就看到在登录窗口之前，将会出现一个新的窗口，包含上面您所输入的这两条信息。

35 防范非法入侵

介绍如何防止本地用户非法入侵 Windows NT 系统的文章已经并不少见，但如何防范远程用户呢？当然，一般的做法是，可以在用户拨号进入系统（或通过局域网进入系统）时限制其对文件的访问权限，以达到保护文件的目的。但毕竟这种安全级别不够高，如何能将这些用户锁在系统的门外，以达到绝对安全的目的呢？NT为驱动器和系统目录创建默认共享的目的，是为了使系统管理员、备份程序和其他授权用户及服务性工作能顺利访问其他个人用户的文件。当其他用户访问您的系统时这些共享对象并不显现出来。但是任何一个远程 用户只要知道这些共享对象的确切名称，并且有访问权的话，他就可以与这些共享对象建立连接。令人遗憾的是，NT系统的安全机制非常脆弱。虽然SecurityPack5的出台为老用户提高到管理员水平而提供了一些补漏措施，并且还 有一些NT的安全检查 *** ，但仍然还会有其他漏洞存在。所以如果您的计算机在局域网上，或者是通过Modem连接 上网的，那么可通过取消这些组件的共享来保护数据。 为了达到此目的，打开NT的注册表编辑器。在注册表编辑 器中，将当前目录定位在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanagerserver\parameters，如果没有AutoShareWks键值名，那么请你新建立一个；然后再双击它并输入“3D0”，最后单 “确定”按钮、关闭注册表编辑器，然后重新启动计算机。

36 ICQ中有“漏洞”

ICQ是由以色列一家叫Mirabilis的公司出品的 *** 软件，其作用是为Internet上的用户提供实时的信息传递服务。有了它，你就可以同千里之外的朋友交流信息，还可以在对方不在线的情况下“呼叫” 他（她）上线，难怪广大网友都亲切地叫它“ *** 寻呼机”。但是，你是否知道在ICQ for Windows版本中 有一个“漏洞”。ICQ在Windows注册表中有一个键值被称为“Auto Update”（自动更新）。如果该键值被设 置成“Yes”，那么每一次登录到服务器的时候，就会将你的计算机中一些重要信息发送到登录的服务器上。 这些信息包括：你正在使用的操作系统类型、版本、序列号、用户登记名称、公司名称、所使用的浏览器版本等等。这些重要信息的发送可能会被黑客或某些别有心的人所利用，给你带来不必要的麻烦。为了避免此问题的发生可采用修改注册表关掉ICQ的“自动更新”功能。首先在注册表内找到 HKEY_CURRENT_USER\Software\Mirabilis\ICQ\DefaultPrefs位置，并在窗口右边找到“Auto Update”键值； 将“Auto Update”键值由“Yes”修改为“No”即可。为了你系统的稳定性，在进行修改时请注意要在关闭ICQ 应用程序的情况下进行修改。修改完毕后，请重新启动计算机。

37 增加执行文件路径

如果需要运行的程序不在指定的目录中，则DOS系统一般采用在自动批处理文件中设置路径的 *** 来达到自动寻找此程序的目的；在Windows中则可以更秘密地增加程序路径，而不是通过设置自动批处理的方式，这就需要通过修改注册表来实现上述目的。 比如要为“C:\ProgramFiles\pdoc\pdoc.exe”文件增加路径。先打开注册表，然后找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\AppPaths的位置，在窗口右边新建一个名为“pdoc.exe”的主键，选择该主键，将其默认值设为“C:\ProgramFiles\pdoc\pdoc.exe”；再新建名为“Path”的主键，将其设为“C:\ProgramFiles\pdoc”。这样就可以通过在“运行”命令行中键入“pdoc.exe” 或“pdoc”来运行该程序了。另外你还可以为已经存在的程序设置新的主键，比如可以为MicrosoftWord 97添加名称为“Word.exe”的主键。假设Word 97安装在“C:\ProgramFiles\MicrosoftOffice\Office\”目录中，则其操作为：打开注册表，在“我的电脑”文件夹中依次选择“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\AppPaths”，新建名称为“Word.exe”主键，选择该主键，将其默认值设为“C:\ProgramFiles\MicrosoftOffice\Office\Winword.exe”即可，建立执行目录的 *** 与上例一样。

38 更改系统安装目录

如果使用光盘安装Windows，当添加新的硬件时，系统配置驱动程序时会提醒需要在光驱中插入Win 98光盘，而且每次都 要这样做，的确太麻烦了。您可以将Win 98安装盘中的所有“*.CAB”文件都拷贝到硬盘的某个目录下，比如“D:\Backup\PWin98”，然后运行注册表编辑器，在“我的电脑”文件夹中依次选择“HKEY_LOCAL_MACHINE”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Setup”，将“SourcePath”主键的值改为“D:\Backup\PWin98\”，

重新启动计算机即可。 如果 *** 上有一个文件服务器，假定Win98安装盘备份在“D:\Backup\PWin98\”目录中，文件服务器的机器名为“MMX233”，D盘共 享名为“DiskD”，则将“SourcePath”主键值改为“\\MMX233\DiskD\Backup\PWin98\”，注销用户或重新启动Windows即可。

39 去掉IE内的分级审查口令

首先找到在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \Currentversion\Policies\Ratings位置，这里保存的是IE下“Internet属性”对话框的“内容”选项页中的“分级审查”中的口令，该口令是经过加密的，在下图中你可以看到记录该口令的有两个键值，而二进制的“key”键值则是加过密的，去掉口令的 *** 即是将子键下的这两个键值删除，如果没有口令，这个子键无键值。下次进入IE，你就可以安全地进入分级审查，并且可以直接跳过输入“旧密码”，直接加入密码即可.

40 设置中文Windows内的系统语言

如果你安装了一个英文游戏，并且不支持中文，例如QUAKE。就可以将中文Windows内的汉字按照英文一样来处理。比如每个汉字都被当成了两个字符来处理，删掉一个汉字也需要按两下删除键，而且每到行末，就会出现汉字丢掉一半的奇怪现象。如果遇到这样的情况，千万别着急重新安装Windwos，你还可以先试一试下面的 *** 。首先在注册找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\Nls\Locale的位置，将原来的“00000804”改为默认的“00000409”（系统默认使用的语言系统）.

41 更改IE标题栏中的文字

首先在注册表中找到下面的位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main，然后再新建一个字符串值，将其命名为Window title

(注意两个词中间有一个空格）.

42 如何删除多余的DLL文件

在WIN98的System子目录下存有大量的DLL文件，这些文件可能被系统或应用程序共享。但是由于经常安装和卸载软件，就会在System目录下留下一些DLL垃圾文件。它们不但占用了硬盘空间，而且还降低系统的运行速度。删除它们的步骤如下：

1．运行“REGEDIT”， 打开注册表编辑器。

2．打开

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs分支。

这里SharedDLLs子键记录的就是有关程序共享的DLL信息，每个DLL文件的键值说明它已被几个应用程序共享。如果是二进制键值为“00 00 00 00”，则表明不被任何程序共享。（另外“0x00000001 （1）”是十六进制表示法）

3．System目录中删除对应的文件。

43 去掉桌面快捷方式的小箭头

在一些程序的安装过程中，会自动在桌面上创建该程序的快捷方式，方便了我们的使用。但是那个小箭头不太好看。我们可以利用修改注册表来去掉它。首先要注意此快捷方式是什么类型的，一般说来以.LNK居多，也有一些是.PIF（指向MS－DOS程序的快捷方式）。具体步骤如下：

1．运行注册表编辑器，打开HKEY_CLASSES_ROOT\lnkfile分支。

2．在lnkfile子键下面找到一个名为“IsShortcut”的键值，它表示在桌面的.LNK快捷方式图标上将出现一个小箭头。右键单击“IsShortcut”，然后从弹出的菜单中选择“删除”，将该键值删除。

3．关闭注册表编辑器，重新启动Win98，就可发现快捷方式图标上已经没有小箭头了。

同理，对指向MS－DOS程序的快捷方式（即.PIF）图标上的小箭头，则除了是打开HKEY_CLASSES_ROOT\piffile分支外，其余同上。

注册表为什么会被修改

安装程序的时候软件自带了修改注册表选项，不勾选即可。回收站应该还有。可能是桌面了没有了，去安装盘里找吧。

电脑中病毒之后,在注册表会留下那些痕迹,还会修改那些值?

1、 检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除。比如“爱虫”病毒会修改上面所提的之一项，BO2000木马会修改上面所提的第二项)。

2、 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。

3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”、BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。

检查你的系统配置文件

其实检查系统配置文件更好的 *** 是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，并且可以选择启动系统的时间。

1、检查win.ini文件(在C:\windows下)，打开后，在“WINDOWS”下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。比如攻击 *** 的“GOP木马”就会在这里留下痕迹。

2、检查system.ini文件(在C:\windows下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，然后你就要在硬盘找到这个程序并将其删除了。

目前，只要新出的蠕虫/特洛伊类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方：

HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce/

说明：在系统启动时自动执行的程序

HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/

说明：在系统启动时自动执行的系统服务程序

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/

说明：在系统启动时自动执行的程序，这是病毒最有可能修改/添加的地方。 例如：Win32.Swen.B病毒将增加：HKLM/Software/Microsoft/Windows/CurrentVersion/Run/ucfzyojza= "cxsgrhcl.exe autorun"

HKEY_CLASSES_ROOT/exefile/shell/open/command

说明：此键值能使病毒在用户运行任何EXE程序时被运行，以此类推，../txtfile/.. 或者 ../comfile/.. 也可被更改，以便实现病毒自动运行的功能。

另外，有些健值还可能被利用来实现比较特别的功能：

有些病毒会通过修改下面的键值来阻止用户查看和修改注册表：

HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/

System/DisableRegistryTools =

为了阻止用户利用.REG文件修改注册表键值，以下键值也会被修改来显示一个内存访问错误窗口

例如：Win32.Swen.B 病毒 会将缺省健值修改为：

HKCR/regfile/shell/open/command/(Default) = "cxsgrhcl.exe showerror"

通过对以上地方的修改，病毒程序主要达到的目的是在系统启动或者程序运行过程中能够自动被执行，已达到自动激活的目的。

Windows操作系统的“注册表”是什么东东？若是被修改了有何后果？

在windows的开始/运行菜单中输入"regedit"你就可以通过注册表编辑器看到注册表,注册表是什么呢?简单地说,它是用来对windows操作系统进行配置的一个工具.通过它,可以对操作系统及应用软件进行优化,可以自己设置windows的使用权限,可以解决硬件及 *** 设置不当带来的故障甚至可以改造自己的操作系统.

在windows 3.X时代,主要通过WIN.INI及SYSTEM.INI对windows进行配置,但WIN.INI及SYSTEM.INI文件存在着安全性不高,大小受限制等问题,为了解这一问题MICROSOFT公司在WINDOWS98以后的版本中引入了注册表这一便更好的对windows系统进行配置,这就是为什么我们要使用注册表的原因.

注册表的作用是保存程序所需要的信息,当程序需要这些信息时,就从注册表里读出.因此,注册表最基本的功能就是保存信息.

当了解了注册表的主要功能--保存信息后,再来了解其保存信息后,再来了解保存信息所发挥的作用!

1,记录安装信息;

2,设置硬件属性;

3,定制WINDOWS以及应用软件.

注册表逻辑结构中最基本的是主键,子键,键值项以及键值.它们是按照分组的方式来管理和组织的.首先是更底根键, 每个根键下有若干个子键,每个子键下又可以有若干(一个或多个)子键,子键下可以有一个或多个键值项和键值.

根键:注册表中更底层的键,类似于磁盘上的根目录.

子键:子键位于根键下又可以嵌套其他子键中,在注册表的六大根键中,有若干的子键,而每个子键中又可以嵌套成千上万的子键.

键值项与键值:在每个根键和子键下,可以有若干键值,这种结构类似于磁盘上根目录和子目录里的文件和文件内容.

windows 9x注册表逻辑结构中包含六个根键,每个根键包含着分类不同的信息!在windowsNT/2000/XP中,如果用windows自带的编辑器打开的时候,只能看到五个,还有一个隐藏的根键:HKEY_PERFOR_MANCE_DATA.

*HKEY_CLASS_ROOT

记录windows操作系统中所有数据文件的格式和关联信息,主要记录不同文件的文件名后缀和与之对应的应用程序其下子键可分为两类:一类是已经注册的各类文件的扩展名,这类子键前面都带有一个".";另一类是各类文件类型有关信息.

*HKEY_CURRENT_USER

些根根键包含当前登录用户的用户配置文件信息,这些信息保证不同的用户登录计算机时,使用自己的修改化设置,例如自己定义的墙纸,自己的收件箱,自己的安全访问权限.

*HKEY_LOCAL_MACHINE

此根键包含了当前计算机的配置灵气,包括所安装的硬件以软件设置.这些信息是为所有的用户登录系统服务的.这是事个注册表中最庞大也是最重要的根键!

*HKEY_USERS

HKEY_USERS根键包括默认用户的信息(DEFAULT子键)和所有以前登陆用户的信息.

*HKEY_CURRENT_CONFIG

此根键实际上是HKDY_LOCAL_MACHINE/CONFIG/0001分支下的数据完全一样.

*HKEY_DYN_DATA根键

这个键保存每次系统启动时,创建的系统配置和当前性能信息.这个根键只存在于windows 9X中

*HKEY_PERFORMANCE_DATA

在windowsNT/2000/XP注册表中虽然没有HKEY_DYN_DAT键,但是它却隐藏了一个名为"HKEY_PERFORMANCE_DATA的键.所有系统中的动态信息都是存放在此子键中,系统自带的注册表编辑器无法看到些键.介可以用专门的程序来查看此键,比如使用性能监视器.

病毒和黑客都喜欢改注册表的 ～～～～！后果有时候挺严重的！！甚至系统会崩溃！！！

注册表有什么用啊？修改注册表有什么用啊？

什么是注册表？

注册表因为它复杂的结构和没有任何联系的CLSID键使得它可能看上去很神秘。不幸的是，微软并没有完全公开讲述关于注册表正确设置的支持信息，这样使得注册表看上去更不可琢磨。处理和编辑注册表如同“黑色艺术”一样，它在系统中的设置让用户感觉象在黑暗中摸索一样找不到感觉。这样，因为用户对这方面的缺乏了解使得注册表更多的出现故障。

Windows注册表是帮助Windows控制硬件、软件、用户环境和Windows界面的一套数据文件，注册表包含在Windows目录下两个文件system.dat和user.dat里，还有它们的备份system.da0和user.da0。通过Windows目录下的regedit.exe程序可以存取注册表数据库。在以前，在windows的更早版本（在win95以前），这些功能是靠win.ini，system.ini和其他和应用程序有关联的.ini文件来实现的.

在windows操作系统家族中，system.ini和win.ini这两个文件包含了操作系统所有的控制功能和应用程序的信息，system.ini管理计算机硬件而win.ini管理桌面和应用程序。所有驱动、字体、设置和参数会保存在.ini文件中，任何新程序都会被记录在.ini文件中。这些记录会在程序代码中被引用。因为受win.ini和system.ini文件大小的限制，程序员添加辅助的.INI文件以用来控制更多的应用程序。举例来说，微软的Excel有一个excel.ini文件，它包含着选项、设置、缺省参数和其他关系到Excel运行正常的信息。在system.ini和win.ini中只需要指出excel.ini的路径和文件名即可。

最开始，system.ini和win.ini控制着所有windows和应用程序的特征和存取 *** ，它在少数的用户和少数应用程序的环境中工作的很好。随着应用程序的数量和复杂性越来越大，则需要在.ini文件中添加更多的参数项。这样下来，在一个变化的环境中，在应用程序安装到系统中后，每个人都会更改.ini文件。然而，没有一个人在删除应用程序后删除.ini文件中的相关设置，所以system.ini和win.ini这个两个文件会变的越来越大。每增加的内容会导致系统性能越来越慢。而且每次应用程序的升级都出现这样的难题：升级会增加更多的参数项但是从来不去掉旧的设置。而且还有一个明显的问题，一个.ini文件的更大尺寸是64KB。为了解决这个问题，软件商自己开始支持自己的.ini文件，然后指向特定的ini文件如win.ini和system.ini文件。这样下来多个.ini文件影响了系统正常的存取级别设置。如果一个应用程序的.ini文件和WIN.INI文件设置起冲突，究竟是谁的优先级更高呢？

注册表最初被设计为一个应用程序的数据文件相关参考文件，最后扩展成对于32位操作系统和应用程序包括了所有功能下的东东.注册表是一套控制操作系统外表和如何响应外来事件工作的文件。这些“事件”的范围从直接存取一个硬件设备到接口如何响应特定用户到应用程序如何运行等等。注册表因为它的目的和性质变的很复杂，它被设计为专门为32位应用程序工作，文件的大小被限制在大约40MB。

注册表都做些什么？

注册表是为Windows NT和Windows95中所有32位硬件/驱动和32位应用程序设计的数据文件。16位驱动在Winnt下无法工作，所以所有设备都通过注册表来控制，一般这些是通过BIOS来控制的。在Win95下，16位驱动会继续以实模式方式设备工作，它们使用system.ini来控制。16位应用程序会工作在NT或者Win95 下，它们的程序仍然会参考win.ini和system.ini文件获得信息和控制。

在没有注册表的情况下，操作系统不会获得必须的信息来运行和控制附属的设备和应用程序及正确响应用户的输入。

在系统中注册表是一个记录32位驱动的设置和位置的数据库。当操作系统需要存取硬件设备，它使用驱动程序，甚至设备是一个BIOS支持的设备。无BIOS支持设备安装时必须需要驱动，这个驱动是独立于操作系统的，但是操作系统需要知道从哪里找到它们，文件名、版本号、其他设置和信息，没有注册表对设备的记录，它们就不能被使用。

当一个用户准备运行一个应用程序，注册表提供应用程序信息给操作系统，这样应用程序可以被找到，正确数据文件的位置被规定，其他设置也都可以被使用。

注册表保存关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。它同样也保存了安装信息（比如说日期），安装软件的用户，软件版本号和日期，序列号等。根据安装软件的不同，它包括的信息也不同。

然而，一般来说，注册表控制所有32位应用程序和驱动，控制的 *** 是基于用户和计算机的，而不依赖于应用程序或驱动，每个注册表的参数项控制了一个用户的功能或者计算机功能。用户功能可能包括了桌面外观和用户目录。所以，计算机功能和安装的硬件和软件有关，对所以用户来说项都是公用的。

有些程序功能对用户有影响，有些时作用于计算机而不是为个人设置的，同样的，驱动可能是用户指定的，但在很多时候，它们在计算机中是通用的。

注册表控制用户模式的例子有：

控制面板功能；

桌面外观和图标；

*** 参数；

浏览器功能性和特征；

那些功能中的某些是和用户无关的，有些是针对用户的。

计算机相关控制项基于计算机名，和登陆用户无关。控制类型的例子是安装一个应用程序，不管是哪个用户，程序的可用性和存取是不变的，然而，运行程序图标依赖于 *** 上登陆的用户。 *** 协议可用性和优先权基于计算机，但是当前连接和用户信息相关。

这里是在注册表中基与计算机控制条目的一些例子：

存取控制；

登陆确认；

文件和打印机共享；

网卡设置和协议；

系统性能和虚拟内存设置；

没有了注册表，Win95和Winnt 就不太可能存在。它们实在太复杂了，以致于用过去的.ini文件无法控制，它们的扩展能力需要几乎无限制的安装和使用应用程序，注册表实现了它。然而，注册表比.ini文件更复杂，理解它如何工作，它做什么和如何用它来做是有效管理系统的关键。

在系统中注册表控制所有32位应用程序和它们的功能及多个应用程序的交互，比如复制和粘贴，它也控制所有的硬件和驱动程序。虽然多数可以通过控制面板来安装和设置，理解注册表仍是做Winnt和Win95系统管理基本常识。

二、注册表的结构

注册表的结构

注册表是Windows程序员建造的一个复杂的信息数据库，它是多层次式的。在不同系统上注册表的基本结构相同。其中的复杂数据会在不同方式上结合，从而产生出一个绝对唯一的注册表。

计算机配置和缺省用户设置的注册表数据在Winnt中被保存在下面这五个文件中：

DEFAULT，SAM，SECURITY，SOFTWARE，SYSTEM，NTUSER.DAT。

Win95中所有系统注册信息保存在windows目录下的SYSTEM.DAT文件里。所有硬件设置和软件信息也保存在这个文件。它要比NT注册表文件简单的多，因为这里并不需要更多的控制。Win95被设计为一个 *** 的客户或者单独工作的系统，所以用户控制或者安全级别和NT不一样。这使得Win95注册表工作比NT更容易，所以这个文件也比较小。

Win95用户的注册数据一般被保存在windows目录下的user.dat里。如果你在控制面板|密码|用户配置文件中创建并使用多于一个用户的配置文件，每个用户就会有在\WINDOWS\Profiles\username\USER.DAT下它自己的user.dat文件。在启动时，系统将记录你的登陆，从你目录中的配置文件（USER.DAT信息）将被装入，以用来保持你自己的桌面和图标。

控制键

在注册表编辑器中注册表项是用控制键来显示或者编辑的。控制键使得找到和编辑信息项组更容易。因此，注册表使用这些条目。下面是六个控制键

HKEY_LOCAL_MACHINE

HKEY_CLASSES_ROOT

HKEY_CURRENT_CONFIG

HKEY_DYN_DATA

HKEY_USERS

HKEY_CURRENT_USER

Winnt和Win95的注册表并不兼容。从Win95向Winnt升级需要你重新安装32位应用程序，重新在桌面上创建图标，并重新建立用户环境。

通过控制键可以比较容易编辑注册表。虽然它们显示和编辑好象独立的键，其实HKEY_CLASSES_ROOT 和HKEY_CURRENT_CONFIG是 HKEY_LOCAL_MACHINE的一部分。HKEY_CURRENT_USER是HKEY_USERS的一部分。

HKEY_LOCAL_MACHINE包含了HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG的所有内容。每次计算机启动时，HKEY_CURRENT_CONFIG和HKEY_CLASSES_ROOT的信息被映射用以查看和编辑。

HKEY_CLASSES_ROOT其实就是HKEY_LOCAL_MACHINE\SOFTWARE\Classes，但是在HKEY_CLASSES_ROOT窗编辑相对来说显得更容易和有条理。

HKEY_USERS保存着缺省用户信息和当前登陆用户信息。当一个域成员计算机启动并且一个用户登陆，域控制器自动将信息发送到HKEY_CURRENT_USER里，而且HKEY_CURRENT_USER信息被映射到系统内存中。其他用户的信息并不发送到系统，而是记录在域控制器里。

键和子键

数据被分割成多层次的键和子键，建立分层次（就象Exploer一样）结构更易于编辑。每个键有成组的信息而且根据在其中的数据类型被命名。每个键在它的文件夹图标上都有一个加号（+）标志子键说明在它下面还有更多内容的东西。当点开它的时候，文件夹的加号标志被替换成一个减号（-）标志，然后显示出下一级的子键。

所有软件，硬件，windows工作的设置都存放在HKEY_LOCAL_MACHINE。所有安全策略，用户权限和共享信息也包括在这个键中。用户权限，安全策略，共享信息可以通过Windows NT域用户管理器，Explorer和Win95中控制面板来设置。

HKEY_CLASSES_ROOT

HKEY_CLASSES_ROOT包含了所有应用程序运行时必需的信息：

在文件和应用程序之间所有的扩展名和关联;

所有的驱动程序名称;

类的ID数字（所要存取项的名字用数字来代替）;

DDE和OLE的信息;

用于应用程序和文件的图标;

HKEY_CURRENT_CONFIG.

HKEY_CURRENT_CONFIG是在HKEY_LOCAL_MACHINE中当前硬件配置信息的映射。如果系统只有一个配置文件，也就是原始配置，数据将一直在同样的地方。在控制面板|系统|硬件配置文件|创建一个额外的配置使额外配置信息放入HKEY_LOCAL_MACHINE。当Win95中存在多个配置文件时，当每次计算机启动时将给出一个提示让你选择一个配置文件。在Winnt中，在启动时你可以按空格键来选择上次正常启动时硬件配置文件。根据硬件配置文件选择的不同，特定的信息被映射到HKEY_CURRENT_CONFIG。

HKEY_DYN_DATA

HKEY_DYN_DATA和其他的注册表控制键不同，因为实际上它并不被写入硬盘驱动器中。Win95的一个优点是，在系统启动时HKEY_DYN_DATA这个控制键储存收集到的即插即用信息并配置它们。它保存在内存中，Win95用它来控制硬件。因为是在内存中，所以它不从硬盘中读取，每次当你启动计算机时，配置都有可能会不一样。在启动时Win95必须计算超过1600种可能的配置。所以，如果系统改变既定的设置而没有报告给Win95那么潜在的问题就可能发生。系统大多数时间工作良好，但是并非一直如此。

HKEY_USERS

HKEY_USERS仅包含了缺省用户设置和登陆用户的信息。虽然它包含了所有独立用户的设置，但在用户未登陆 *** 时用户的设置是不可用的。这些设置告诉系统哪些图标会被使用，什么组可用，哪个开始菜单可用，哪些颜色和字体可用，和控制面板上什么选项和设置可用。

HKEY_CURRENT_USER

用来保存当前用户和缺省用户的信息，HKEY_CURRENT_USER仅映射当前登陆用户的信息。

各主键的简单介绍

HKEY_LOCAL_MACHINE

HKEY_LOCAL_MACHINE是一个显示控制系统和软件的处理键。HKLM键保存着计算机的系统信息。它包括 *** 和硬件上所有的软件设置。（比如文件的位置，注册和未注册的状态，版本号等等）这些设置和用户无关，因为这些设置是针对使用这个系统的所有用户的。

HKEY_LOCAL_MACHINE\AppEvents

为了以后在瘦客户机上运行客户机/服务器这样的应用程序，在Win95/98中AppEvents键是空的。应用程序实际上都驻留 *** 服务器上，这些键会保存部分指针。

HKEY_LOCAL_MACHINE\Config

这个键保存着你计算机上所有不同的硬件设置（这些从控制面板的系统属性中硬件配置文件中可以创建）。这些配置在启动时通常被复制到HKCC。每个配置会被用一个键（比如0001或者0002等等）来保存，每个都是一个独立的配置。如果你只有一个单一的配置，那就只会有0001这个键

HKEY_LOCAL_MACHINE\Config\0001\Display

这个键表示显示的设置，如荧屏字体，窗体大小，窗 *** 置和分辨率等

一个小技巧：当设置了计算机不支持的大分辨率导致Windows不能启动时(黑屏），可以修改分辨率来解决。进入安全模式，运行regedit.exe，在这个键的Resolution键值中把数据值修改为640,480或者800,600这样的低分辨率，然后重新启动计算机即可。

HKEY_LOCAL_MACHINE\Config\0001\System

这个键保存着系统里打印机的信息

HKEY_LOCAL_MACHINE\Config\0001\System\CurrentControlSet\Control\Print\Printers

在这个键下面，有一个键是为系统上每一个打印机设置的，通过控制面板添加和删除打印机会调整这个列表

HKEY_LOCAL_MACHINE\Enum

Enum键包含启动时发现的硬件设备和那些既插即用卡的信息。Win95使用总线列举在启动时通过不同的.ini文件来检测硬件信息。那些在启动时被安装的和被检测到的硬件会显示在这里。子键包括BIOS, ESDI, FLOP, HTREE, ISAPNP, Monitor, Network, Root, SCSI, 和 VIRTUAL。子键名表示它们各自的硬件设备信息。

HKEY_LOCAL_MACHINE\Enum\BIOS

BIOS键保存着系统中所有即插即用设备的信息。它们用一套代码数列出，包括每一个键的详细说明，举例，*pnp0400是并行口LPT1的键。如果LPT1并不具备即插即用功能，它就会别列入到Enum下的Root键中

HKEY_LOCAL_MACHINE\Enum\Root

Root键包括所有非即插即用设备的信息。在这里，我们可以迅速断定哪些设备是即插即用，那些不是。比如SCSI适配器，这个设备必须符合Win95中一个键名为ForcedConfig的硬件设置，这个不会改变。

HKEY_LOCAL_MACHINE\Enum\Network

win95的 *** 功能在这个键有详细说明，子键包括了每个已经安装的主要的服务和协议。

HKEY_LOCAL_MACHINE\HARDWARE

hardware子键包括了两个多层的子键：DESCRIPTION键，它包含了中央处理器和一个浮点处理器的信息。还有一个设备映射键，它下面的串行键列出你所有的com端口。这个hardware键仅保存超级终端程序的信息，及数学处理器和串行口。

HKEY_LOCAL_MACHINE\Network

这个键仅保存 *** 登陆信息。所有 *** 服务细节都保存在HKEY_LOCAL_MACHINE\Enum\Network这个键中。这个键有一个子键，logon，包括了lmlogon（本地机器登陆？0=false 1=true）的值，logonvalidated（必须登陆验证），策略处理，主登陆方式（Windows登陆 ，微软 *** 客户方式等），用户名和用户配置。

HKEY_LOCAL_MACHINE\SECURITY

security 有两个子键，之一个是存取（它最终致使一个远程键列出 *** 安全资源，存取权限等）和提供（包括列出 *** 地址和地址服务器），这个键被保留用在以后使用高级安全功能和NT兼容性上

HKEY_LOCAL_MACHINE\SOFTWARE

这个键列出了所有已安装的32位软件和程序的.ini文件。它包括了变化，依靠软件安装。那些程序的控制功能在这里的子键中列出。多数子键简单的列出了安装软件的版本号。

我们在\Microsoft\Windows\Current Version下发现了一些有意思的设置，它有如下子键：

1.App paths： 你曾经安装过的所有32位软件的位置。

2.Applets, Compression, Controls Folder : 包括下控制面板象显示属性那样属性条的附件。

3.Detect, explorer :很多有意思的子键如Namespace keys of Desktop和My Computer----它们指出了回收站和拨号 *** 的CLSID行----和提示子键可以让你建立自己的提示。

4.Extensions : 一个扩展联系的列表，当前相关联的扩展名和比特定的执行文件更适合的目标类型。

5.Fonts, fontsize, FS Templates :系统属性条中所选择文件系统模板， 服务器，桌面计算机或者笔记本电脑信息。

6.MS-DOS Emulation :包括一个应用程序兼容子键 为大量过时的程序二进制键所设。

7.MS-DOS Options :在dos模式下的设置，如himem.sys，cd-roms等。

8.Network : *** 驱动的配置。

9.Nls, Policies :系统管理员认为你不应该去做的事。

10.ProfileList :所有可以登陆你计算机的用户名列表。

11.在Windows启动时运行的程序的神秘之处是它们并不在开始菜单的启动文件夹中。它们在HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\下的子键中被执行。

Run : 程序在启动时运行

RunOnce : windows初始化时程序在启动时只运行一次，这个经常用在当安装软件之后需要重新启动系统的时候，所以这个键一般都是空的。

RunServices : 它就象Run一样，但是包含了“服务”，它不象一般的程序它们是比较重要的或者是“系统”程序。但是它们不是VXDs,就象McAfee或者RegServ工作一样。

RunServicesOnce : 它只运行一次，但是是“系统自身”的安装（大量的windows安装参数:通常键值包括了系统目录位置，和win95更新，可选项安装组件，和windows启动目录的子键。

注意：在很多黑客木马软件中，常常在这里添加键值（一般是在Run中），这样使得木马软件可以随着windows启动而启动并且很隐秘。在这里可以查看不正常的启动项和去掉无用的运行程序（比如我就很不喜欢超级解霸的自动伺服器，在这里可以去掉它）。

12.SharedDLLs：共享DLL的列表，每一个都给出了在一个不可知系统的一个数字等级。

13.Shell Extensions:列出了“被认可的”OLE注册条，和相应的CLSID连接。

14.ShellScrap :这个包含了一个PriorityCacheformats的子键，它包括了一个空的有限值，它更象过去SmartDrive命令行参数的派生。

15.Time Zones : 主键值是你现在的时区；子键定义了所以可能的时区。

16.Uninstall：这个保存了程序在添加/删除程序对话框的显示；子键包含了指向反安装程序的路径。和安装向导相似.......）winlogon（包含了合法登陆布告的文本句）

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

这个子键包括设备驱动和其他服务的描述和控制。不同于windows nt，win95只包括限制驱动的控制设置信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

这个子键包括了win95控制面板中的信息。不要编辑这些信息，因为一些小程序的改变在很多地方，一个丢失的项会使这个系统变的不稳定

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

这个键包括了所有win95的标准服务。所有被添加的服务和设备，每个标准的服务键包括了它的设置和辨认设置。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Arbitrators

atbitrators键包括了当两个设备共同占用同样的设置需要解决的信息。四个子键包括了内存地址，冲突，DMA，I/O端口冲突和IRQ冲突。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Class

class键包括了所有win95支持的设备classes控制，这些和你在添加新硬件出现的硬件组很类似，还包括了这些设备如何安装的信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\inetaccs

这个键包括了关于这个系统变化的ie附件的可用性，它仅在你安装过ie2。0或者更高版本才出现。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSNP32

msnp32描述了客户机如何在microsoft *** 中实现功能，它包括了认证过程和认证者的信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWNP32

nenp32键描述了windows客户如何在netware *** 中工作功能，它包括了关于认证过程和证明者的信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess

在这个键里包括需要远程工作在win95系统上的信息，有认证参数，主机信息，和为了建立一个拨号连接工作的协议信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP

这个键包括了所以snmp（简单 *** 管理协议）的参数。它包括了允许的管理，配置陷阱，和有效的团体。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD

vxd键包括了win95中所有32位虚拟设备驱动信息，win95自动管理它们，所以不必要用注册表编辑器编辑它们，所以的静态vxds用子键列出。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebPost

webpost键包括了所有装载的internet邮局的设置，如果你连接一个isp，并且它列出载这里，你应该给自己选则一个服务器。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock

这个键列出了当连接到internet上winnsock文件的信息，如果列出了不正确的文件，你将不会连接上internet。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinTrust

wintrust功能是检查从Internet上下载来的文件是否有病毒，它可以确保你得到干净安全的文件。

HKEY_CLASSES_ROOT

在注册表中HKEY_CLASSES_ROOT是系统中控制所有数据文件的项。这个在Win95和Winnt中是相通的。HKEY_CLASSES_ROOT控制键包括了所有文件扩展和所有和执行文件相关的文件。它同样也决定了当一个文件被双击时起反应的相关应用程序。

HKEY_CLASSES_ROOT被用作程序员在安装软件时方便的发送信息，在Win95和Winnt中，HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\Classes是相同的。程序员在运行他们的启动程序时不需要担忧实际的位置，相反的，他们只需要在HKEY_CLASSES_ROOT中加入数据就可以了。

在Windows用户图形界面下，每件事----每个文件，每个目录，每个小程序，每个连接，每个驱动---都被看做一个对象；每个对象都有确定的属性和它联系。HKCR包含着对象类型和它们属性的列表。HKCR主要的功能被设置为：

一个对象类型和一

黑客是否就是修改别人的注册表来破坏

黑客和修改你注册表没啥太大关系啊,他要是查不到你IP,啥都没用.查到你IP.别说注册表了.啥都完了.呵呵!