登錄檔結構(說明)
在 Windows 95/98/2000/NT 中,關於電腦設定資訊的資料庫存放庫。登錄包含了在操作期間 Windows 會持續參照的資訊,
如:
每個使用者的設定檔。
安裝在電腦上的程式,以及每個程式可以建立的文件類型。
資料夾及程式圖示的屬性設定。
系統上有哪些硬體存在。
正在使用的連接埠是哪幾個。
登錄是類似樹狀目錄的階級組織,是由識別碼以及它們的子機碼、Hive及數值項目所組成。
在識別碼中的識別碼。在登錄結構中,子機碼是樹狀子目錄及識別碼的次級。在 .ini 檔案中,識別碼及子機碼有相似的區段標頭;不過子機碼可以執行功能。
登錄檔編輯器可以由開始功能表中的執行項目輸入Regedit來開啟
登錄檔結構
登錄檔是一種階層式、樹狀結構化的資料庫。登錄值主要儲存在兩個檔中。
正在使用的檔案是以目前的系統組態資料為主,系統會將這些有關電腦目前的使用設定資料記錄於System.dat裡;
至於所有使用者的設定資料則通通存在User.dat裡
--------------------------------------
HKEY_CLASSES_ROOT
這裡所含的資料種類跟Win 3.x的Reg.dat一樣。這樣記載的主要是OLE跟檔案對應配置的資訊。
對應資料主要是在你選擇一種特定檔案格式時,Windows可從對應的應用程式來執行或列印該檔。
HKEY_CURRECT_USER
這個鍵值裡是有關系統與程式的使用者特定設定值。
這個鍵值是執行時(使用者登錄時),由該使用者在 HKEY_USERS 裡的登錄值資訊所建立的。因此這裡是有關該使用者對他自喜好使用環境的設定值。
舉例來說,今天某甲將他進入Windows時所播放的音樂設定為 Faye.wav,則在他登錄時,這個設定就會列在這個鍵值裡,當然裡面還包括了顏色配置、標題、桌面配置等等。
HKEY_LOCAL_MACHINE
在這個鍵值裡詳細的列載了有關電腦、驅動程式及其他系統設定。
這算是機器描述資訊,主要是有關於已安裝的硬體種類、連接埠的對應情形、軟體組態設定及其他資訊。
這些資料主要是針對機器而不是使用者,但是通常要破解軟體,很多時候可以從這裡下手。
HKEY_USERS
這裡記載著該台工作站所有使用者的資料。
每個使用者的資料都存在這裡。此外還有一個一般使用者設定。這個設定主要是給以新使用者身份登錄工作站時用的參考樣版。而此資料主要是程式、事件規畫、桌面還境等等的設定值。
HKEY_CURRECT_CONFIG
本鍵值裡記錄著該電腦實際連接的硬體設定。
主要用在當電腦有多重的組態可使用時,如一部可攜式電腦利用船塢方式連接或脫離一部電腦時,即可用到這裡的不同資訊。這裡的資料是複製位於HKEY_LOCAL_MACHINE裡的組態資訊。
----------------------------
登錄檔的修復
在你每次開機時 Windows 會自動執行 \Windows目錄\Scanregw.exe這個程式來備份每天的登錄檔,並壓縮成微軟的 *.Cab 壓縮檔後存到磁碟中的一個專放備份檔案的目錄。
該目錄為 \Windows目錄\Sysbckup
--------------------------
登錄檔的深入探索
前面說過許多軟體的資訊都會存在於
HKEY_LOCAL_MACHINE或 HKEY_CURRECT_USER 裡,這也意謂著我們可以從此處取得各軟體的一些資訊,例如軟體的時間限制、功能限制等....
通常軟體的資訊會存在這兩個根機碼下的
\Software\該軟體公司名稱\軟體名稱
例如微軟的軟體就會存在於 \Software\Microsoft\軟體名稱
範例>>
\Software\Microsoft\InternetExplorer
會看到有許多子機碼,這些就是 Microsoft 公司的 InternetExplorer 這套軟體的一些設定值,以Main這個子機碼來做示範
進去後會看到有許多字串值、Dword值及二進位值,我們可以按照這些值的名稱的意義來判斷該值的功能
例如 : FullScreen這個字串值的內容有 yes/no這兩個可能性
當FullScreen的值為yes時當你打開InternetExplorer時會以全螢幕開啟
當FullScreen的值為no時當你打開InternetExplorer時就會以一般視窗開啟
PS : 不適當的修改登錄檔會造成程式錯誤嚴重時會發生作業系統錯誤
================================================
登錄檔究極完全密技
修改微軟的登錄機碼
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (註:Win8裡沒有該Policies)
"NoDriveTypeAutoRun"=hex:b5" 取消自動播放資料光碟為"b5",自動播放為"95"
"NoRecentDocsMenu"=hex:1" 隱藏文件選單"
"NoLogoff"=hex:0" 隱藏開始選單的登出"
"NoFavoritesMenu"=hex:1" 隱藏我的最愛選單"
"NoRecentDocsHistory"=hex:1" 隱藏文件歷史記錄"
"NoPrinterTabs"=dword:1" 隱藏一般及詳細資料畫面"
"NoDeletePrinter"=dword:1" 關閉刪除印表機"
"NoAddPrinter"=dword:1" 關閉其它印表機"
"NoStartMenuSubFolders"=dword:1" 隱藏開始功能表子資料夾"
"NoRun"=dword:1" 移除 "執行" 指令"
"NoSetFolders"=dword:1" 從開始功能表的 "設定" 移除資料夾"
"NoSetTaskbar"=dword:1" 從開始功能表的 "設定" 移除工作列"
"NoFind"=dword:1" 移除 "尋找" 指令"
"NoDrives"=hex: 取消的磁碟機代號
"NoDrives"=dword:03ffffff" 隱藏 "我的電腦" 的磁碟機"
"NoNetHood"=dword:1" 隱藏網路上的芳鄰"
"NoDesktop"=dword:1" 隱藏桌面上所有的項目"
"NoClose"=dword:1" 關閉「關機」指令"
"NoSaveSettings"=dword:1" 結束不要儲存設定值"
"RestrictRun"=dword:00000001 "只執行容許的應用程式檔名,需配合另一個機碼RestrictRun
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun
"1"="regedit.exe"
"2"="command.com"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\System
顯示器
"NoDispCPL"=dword:1" 關閉顯示器控制台"
"NoDispBackgroundPage"=dword:1" 隱藏背景畫面"
"NoDispScrSavPage"=dword:1" 隱藏螢幕保護裝置畫面"
"NoDispAppearancePage"=dword:1" 隱藏外觀畫面"
"NoDispSettingsPage"=dword:1" 隱藏設定值畫面"
"NoSecCPL"=dword:1" 關閉密碼控制台"
"NoPwdPage"=dword:1" 隱藏變更密碼畫面"
"NoAdminPage"=dword:1" 隱藏遠端管理畫面"
"NoProfilePage"=dword:1" 隱藏使用者設定檔畫面"
"NoDevMgrPage"=dword:1" 隱藏裝置管理員畫面"
"NoConfigPage"=dword:1" 隱藏硬碟設定檔畫面"
"NoFileSysPage"=dword:1" 隱藏檔案系統按鈕"
"NoVirtMemPage"=dword:1" 隱藏虛擬記憶體按鈕"
"DisableRegistryTools"=dword:1" 關閉登錄編輯工具"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\WinOldApp
"Disabled"=dword:1" 關閉 MS-DOS 模式"
"NoRealMode"=dword:1" 關閉單一模式 MS-DOS 應用程式"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Network
"NoNetSetup"=dword:1" 關閉網路控制台"
"NoNetSetupIDPage"=dword:1" 隱藏識別資料畫面"
"NoNetSetupSecurityPage"=dword:1" 隱藏存取控制畫面"
"NoFileSharingControl"=dword:1" 關閉檔案分享控制"
"NoPrintSharingControl"=dword:1" 關閉列印分享控制"
"NoEntireNetwork"=dword:1" 網路上的芳鄰沒有 "整個網路""
"NoWorkgroupContents"=dword:1" 網路上的芳鄰沒有工作群組內容"
HKEY_CLASSES_ROOT\*\shell\以記事本開啟\command] (註:Win8一樣找不到Command的檔)
預設="Notepad.exe %1" 不明的檔案以記事本開啟
任何檔案的動作,都幫它配上聲音
例如當WinAmp開啟和關閉時都有自己的聲音
先增加機碼winamp
[HKEY_CURRENT_USER\AppEvents\Schemes\Apps\winamp]
再增加機碼open 開啟程式
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\winamp\open]
再增加機碼close 關閉程式
[HKEY_CURRENT_USER\AppEvents\Schemes\Apps\winamp\close]
最後到控制台->聲音->winamp->開啟程式選取所要的聲音
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup]
"SourcePath"="e:\\WIN98\\" 更改win98原始程式的路徑
--------------------------
自動登錄
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="ohmen"
"DefaultPassword"="YourPassword"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]
"RegisteredOwner"="ohmen" 註冊者的名稱
--------------------------
刪除螢幕保護程式的密碼
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveUsePassword" 改成 00000000
"ScreenSave_Data" 改成 00
--------------------------
取消IE5的分級密碼
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ratings]
[HKEY_CURRENT_USER\Control Panel\Sound]
"Beep"="No" 取消錯誤時beep聲,開啟為"yes"
--------------------------
更改特殊資料夾的名稱
[HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}]
--------------------------
預設="身邊" "變更控制台名稱"
[HKEY_CLASSES_ROOT\CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48}]
--------------------------
預設="雨過天晴" "變更撥號網路名稱"
[HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]
--------------------------
預設="或許妳是對的" "變更資源回收筒名稱"
[HKEY_CLASSES_ROOT\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}]
--------------------------
預設="天使" "變更印表機名稱"
[HKEY_CLASSES_ROOT\CLSID\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}]
--------------------------
預設="乾脆" "變更排程名稱"
HKEY_CLASSES_ROOT\exefile\shell\open\command
預設="%1" %*" 這個機碼若不是這值的話,表示有病毒入侵,趕快改回來吧
--------------------------
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx (註:win8沒有此機碼)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices (註:win8沒有此機碼)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Runonce (註:win8沒有此機碼)
上面這幾個機碼的值,為每次開機時都會執行的檔案,也是常常病毒寄生的地方 (註:查得的結果有些值為空白)
檢查一下有沒有奇怪的程式,很有可能是病毒哦
--------------------------
Hardware\De*ion\System\CentralProcessor\0
這下面的機碼為CPU的型號資訊
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan (註:win8沒有此機碼)
這個機碼下的子機碼為所開的資源分享名稱,檢查一下分享資料夾下有一個名稱為Flags的值,通常為3位數,如102,但若百位數為3的話,則表示這個分享的資料夾為隱藏的資料夾,使用者無法知道開了這個資料夾,但是別台電腦還是可以存取。
解決方法,可以將個LanMan下資源分享的機碼殺掉
--------------------------
隱藏桌面
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer
增加 "DWORD" = "NoDesktop" 值 "1"
--------------------------
關閉-開始選單中的"執行"、"關機"、"尋找"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer
增加"DWORD" ="NoRun" 關閉執行
增加"DWORD" ="NoClose" 關閉關機
增加"DWORD" ="NoFind" 關閉尋找
值為1,要復原的話,把值改為0
--------------------------
輸入法排序
HKEY_CURRENT_USER\Keyboard layout\Preload
這個地方所對應的輸入法順序為桌面上的順序,
所以要改變輸入法排序,在這個地方排序就好. (問題是不知怎麼修)
--------------------------
使I.E瀏覽器無分級限制
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ratings
去除Ratingsru就可以了
--------------------------
關掉某個磁碟機
HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
預設的鍵值是0x00000000
01=A 02=B 04=C 08=D....
要關掉那一個磁碟,把數據填入即可
--------------------------
一台電腦數個IP
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\*\NetTrans
在這個鍵值下尋找 IPAddress和IPMask兩個鍵
IPAddress 是代表IP位址(要幾個自己加)
IPMask是代表子網路遮罩
--------------------------
鎖定桌面
Hkey\Users\default\Software\Microsoft\Windows\Current Version\Policies\Explorer
把"No Save Setting " 鍵值改為1就行了
--------------------------
IE下載地各數太少嗎?
1.按 "開始" -> "執行",在開啟的地方鍵入 "regedit.exe" 再按確定。
2.在左邊的視窗,請找到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVers ion\Internet Settings
3.在右邊的視窗,按右鍵應該會出現 "新增" 訊息。
4.選擇 "DWORD值",然後鍵入 "MaxConnectionsPer1_0Server",再按右鍵修改為 "63"。
5.按步驟4,新增另一 "MaxConnectionsPerServer",並設值為 "63"。
死了我可不管唷@@ 自己利用scanreg /restore回復
留言列表
(證券軟件) (1)
