手工杀毒拾零——注册表中的自启动项及其详解
1、
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows\load
这个,load是指“值”,在注册表中,位于右边窗口的“名称”一列。一般新安装的操作系统,他的数据是空的。病毒可以把自身路径写到他的数据里,这样实现开机自启动。如下图所示:
其它的注册表中的自启动项都是如此实现开机启动了。后面的教程不再重复。
2、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run
这里"Run"是在左边窗口中找,也就是说它是个“项”。我们的输入法指示器,也就是右下角更改输入法的地方的图标,就是从这里自启动的。启动项名称为“ctfmon.exe”。注意不是ctfmon。要想找ctfmon.exe,请在注册表的窗口的右边找。
3、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce
这里"Run"是在左边窗口中找,也就是说它是个“项”。它的启动项请从右侧找。当然可能没有。
4、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run
这里"Run"是在左边窗口中找,也就是说它是个“项”。它的启动项请从右边找,当然可能没有。这个启动项可能会被很多人包括很多杀毒辅助工具所忽略
5、
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows\run
这个,run是指“值”,在注册表中,位于右边窗口的“名称”一列。默认的可能没有此run值。病毒会修改run的数据一列的数据。
6、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command
Processor\autorun
这个启动项,是随cmd程序一起启动的。也就是说,只有当打开cmd 窗口的时候,才会启动相应的项。要想找到“autorun”,请从右侧
窗口找。
7、
HKEY_CURRENT_USER\Software\Microsoft\Command
Processor\autorun
这个和上面的一样。
8、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
这个和前面第2个相同。
9、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\RunOnce
这个和前面第3个相同。
10、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\policies\Explorer\Run
这个和前面第4个相同。
11、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell
找到这个项之后,请从右边找到名称为“shell”的一个字符串值。它的默认值是“Explorer.exe”。也就是我们的桌面。而病毒会利用这个项来启动自身,比如病毒路径名是:c:\windows\abc.exe,那么病毒会如此修改数据:"Explorer.exe c:\windows\abc.exe"。注意explorer.exe和后面的部分中间有空格。这样在打开桌面的同时,abc.exe这个病毒也同时启动了。
12、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
要找到“userinit”,请从右边窗口找。该值的数据默认是“C:\WINDOWS\system32\userinit.exe,”病毒可以通过修改这个来达到启动自身的目的。比如病毒路径名是:c:\windows\abc.exe,那么病毒会如此修改数据:“C:\WINDOWS\system32\userinit.exe,c:\windows\abc.exe”,这样,开机的时候病毒也一起启动了。
13、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
要找到“AppInit_DLLs”,请从窗口右侧找。这个启动项会启动一个dll文件。而据我遭遇到的病毒,他们一般不只有一个dll文件存在于该启动项里。而且通常这些病毒会不断地监视这个键值有没有被发动,如有发动,立即恢复。关于这个启动项如何处理,请参阅:https://www.doczj.com/doc/2619100368.html,/thread-5167-1-2.html
14、
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
这是当前用户的启动文件夹,只有当前用户启动系统之后才会启动这里的病毒。卡巴斯基7.0不会对其监控。估计它不认为这是一个启动项,至少不是一个有技术含量的启动项,病毒用一个copy命令就写进去了。但是忽略这个启动项,可能导致卡巴被和谐。其中,如果你的用户名不是administrator,那么请把路径中的administrator替换成你的用户名即是。
15、
C:\Documents and Settings\All Users\「开始」菜单\程序\启动这个是所有用户的启动文件夹。所有用户启动系统后都可以激活这里的病毒。卡巴斯基这时会认为这是一个有技术含量的启动项了,因为是所有用户。权限有所提升哈。
第14和15个启动项,hijackthis称之为common start up 项。
如何设置电脑开机启动项(2009-10-19 19:40:50) 标签:电脑开机启动项无法进入系 统杀毒软件输入法显卡驱动it 开机速度有点慢,可能是随Windows启动项有点多的缘故,运行msconfig,就可以看到电脑启动时加载的程序。下面是一些常用的系统程序和应用程序。如果你的电脑中有一些来路不明的启动项,就得考虑是否中毒或者中了木马。 启动项中除了杀毒软件和输入法(cftmon不可关闭否则你就不会在任务栏看语言 栏了)外,其它的都可以关闭或者使用者可以根据自己的需要自由地选择取舍。其实关闭并不是删除,只是开机时不运行罢了。你若想运行可以从程序菜单中打开。 1.系统常见的启动项: ctfmon.exe------------是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。输入法会出现在屏幕右下角,建议不删。 NvCpl -------------是显卡桌面管理调节程 序; nvcpl.dll------------是NVIDIA显示卡相关动态链接库文件。可以停用; nvmctray - nvmctray.dll ------- DLL文件信息是显示卡相关文 件。 internat.exe ------------输入法指示器程序 LoadPowerProfile--------- Win98/Me电源管理 PCHealth ------------ WinMe系统自愈功能 ScanRegistry -----------启动时检查并备份注册表 SchedulingAgent ---------系统计划任务程序 Synchronization Manager------ Win2000同步管理 SystemTray-----------系统托盘,管理内存驻留程序 Taskbar Display Controls -----屏幕-属性-设置-高级-在任务栏中显示图标
启动项哪些可以关闭 1、建议你下载金山清理专家,在他的启动项中有程序软件的图标,你可以很方便的将不需要开机启动的程序关闭(还可以随时打开),即方便又安全试试吧。 2、启动项过多也可造成开机慢,点击"开始"/运行/输入msconfig后回车/点击"启动"/只保留"ctfmon/杀毒软件/防火墙,"其它前面的勾都去掉./然后点击"应用"/按"确定"(如果查找到某一选项的名和路径单独关闭更好)。 3、重启电脑,启动到桌面时会出现一个对话框,在对话框中添加对勾,确定即可。 4、怎么去掉自启动项 开始/运行输入regedit回车打开注册表编辑器,依次展开 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]在右侧,看看有没有你要找的选项,和你要找选项的路径一致,如果有删除(备份,如果今后需要自启动再恢复备份),重启电脑即可。 进入系统慢(优化系统) 1、建议你下载Windows清理助手,查杀恶意软件和木马(下载网址:https://www.doczj.com/doc/2619100368.html,)。 2、每次启动Windows XP,蓝色的滚动条都要走上好多次,其实这里我们也可以把它的滚动时间减少,以加快启动速度。打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters,在右边找到EnablePrefetcher主键,把它的默认值3改为1,这样滚动条滚动的时间就会减少。 3、解决开关机慢和系统结束程序慢的问题。开始/运行输入regedit打开注册表编辑器找到[HKEY-CURRENT-USER\Control Panel\Desktop]键,将WaitToKillAppTimeout改为:1000,即关闭程序时仅等待1秒。另:程序出错和系统自动关闭停止响应的程序如何实现快速关闭。 1、将HungAppTimeout 值改为:200,表示程序出错时等待0.5秒。 2、将AutoEndTasks 值设为:1,让系统自动关闭停止响应的程序。建议你下载超级兔子,让她帮助你优化电脑的开关机速度,自己就不用进行上述设置了,超级兔子就帮助你做了。 4、右击“我的电脑”/属性/硬件/设备管理器/点击“IDE ATA/A TAPI”选项/双击“次要IDE通道”/高级设置/设备类型,将“自动检测”改为“无”,主要要IDE通道也做相同的设置。 5、启动项过多也可造成开机慢,点击"开始"--运行--输入msconfig后回车--点击"启动"--只保留"ctfmon\杀毒软件\防火墙,"其它前面的勾都去掉.--然后点击"应用"--点击"确定"。 6、用系统自带的系统还原,还原到你没有出现这次故障的时候修复(如果正常模式恢复失败,请开机按F8进入到安全模式中使用系统还原)。 按照下面的方法设置,可以对系统性能有明显的提升。
开始--运行--输入msconfig 回车打开的对话框里 “一般”选项里选择:有选择启动,去掉“处理SYSTEM文件”,去掉“处理WIN文件”。 “启动”选项里先选择全部禁用,然后留下CTFMON,如果装有杀毒软件则留下杀毒软件启动项,其他可全关。 然后重起或者注销,会有提示,把对话框打上钩---确定 其他就别乱动了 开机启动项
【启动项目就是开机的时候系统会在前台或者后台运行的程序】 当Windows(操作系统)完成登录过程,进程表中出现了很多的进程!Windows在启动的时候,自动加载了很多程序。 许多程序的自启动,给我们带来了很多方便,这是不争的事实,但不是每个自启动的程序对我们都有用;更甚者,也许有病毒或木马在自启动行列! 其实Windows2000/XP中的自启动文件,除了从以前系统中遗留下来的Autoexec.bat文件中加载外,按照两个文件夹和9个核心注册表子键来自动加载程序的。 【启动项分解】 1)“启动”文件夹──最常见的自启动程序文件夹。 它位于系统分区的“documents and Settings-->User-->〔开始〕菜单-->程序”目录下。这时的User指的是登录的用户名。 2)“All Users”中的自启动程序文件夹──另一个常见的自启动程序文件夹。
它位于系统分区的“documents and Settings-->All User-->〔开始〕菜单-->程序”目录下。前面提到的“启动”文件夹运行的是登录用户的自启动程序,而“All Users”中启动的程序是在所有用户下都有效(不论你用什么用户登录)。 3)“Load”键值── 一个埋藏得较深的注册表键值。 位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\loa d〕主键下。 4)“Userinit”键值──用户相关 它则位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogo n\Userinit〕主键下,也是用于系统启动时加载程序的。一般情况下,其默认值为“userinit.exe”,由于该子键的值中可使用逗号分隔开多个程序,因此,在键值的数值中可加入其它程序。 5)“Explorer\Run”键值──与“load”和“Userinit”两个键值不同的是,“Explorer\Run”同时位于〔HK EY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕两个根键中。
HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG HKEY_CLASSES_ROOT 展开HKEY_CLASSES_ROOT根键会发现其中包含的子项目非常多,这些子项中所储存的都是已经在系统中注册的各类文件的扩展名,以及文件关联等信息,本人的HKEY_CLASSES_ROOT根键里有,最少有几千个项 HKEY_CURRENT_USER HKEY_CURRENT_USER根键中储存了,计算机当前用户的配置信息,其中包括、应用程序配置,网络连接等 HKEY_LOCAL_MACHINE HKEY_LOCAL_MACHINE是注册表的一个重要分支,储存了windows系统和绝大多数数应用程序的数据信息,包括windows内存信息、硬件设备驱动程序,系统安全数据库、系统配置信息和已经安装的应用程序软件信息等。 HKEY_USERS 同HKEY_CURRENT_USER根键相比HKEY_USERS根键保存了所有用户的配置信息,而后者保存的则是当前用户的配置信息。如果用户的计算机只以一个用户名登录,则HKEY_USERS根键中存放的数据信息同HKEY_CURRENT_USER根键中存放的数据信息完全一致 HKEY_CURRENT_CONFIG HKEY_CURRENT_CONFIG根键存放着当前系统中硬件配置文件的信息,在注册表的几个根键中,HKEY_CURRENT_CONFIG根键同其他几个根键相比在本质上有一些差别,因为HKEY_CURRENT_CONFIG根键不是一个单独存在的根键,该根键中的内容只是HKEY_LOCAL_MACHINE根键下 SYSTEN\CurrentControlSet\Hardware Profiles\Current子项内容的一个映像,二者的内容完全相同
作者: DesertFlower 时间: 2005-8-25 01:32 标题: windows注册表详解 no1chengl 注册表对有的人还是比较陌生的,因为现在第三方软件太多了,如优化大师、魔法兔子等等,但个人觉得改善系统的第三方软件还不够完善,如果初级用户使用不当,会出现严重的后果,所以提供这篇文章,希望大家多多学习,本人能力有限,还希望大家多提宝贵意见: 一、注册表的由来 PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的图形操作系统,如Win3.x中,对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的,但INI文件管理起来很不方便,因为每种设备或应用程序都得有自己的INI文件,并且在网络上难以实现远程访问。 为了克服上述这些问题,在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。按照这一原则,Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。 与INI文件不同的是: 1.注册表采用了二进制形式登录数据; 2.注册表支持子键,各级子关键字都有自己的“键值”; 3.注册表中的键值项可以包含可执行代码,而不是简单的字串; 4.在同一台计算机上,注册表可以存储多个用户的特性。 注册表的特点有: 1.注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置,这使得修改某些设置后不用重新启动成为可能。 2.注册表中登录的硬件部分数据可以支持高版本Windows的即插即用特性。当Windows检测到机器上的新设备时,就把有关数据保存到注册表中,另外,还可以避免新设备与原有设备之间的资源冲突。 3.管理人员和用户通过注册表可以在网络上检查系统的配置和设置,使得远程管理得以实现。 二、使用注册表 1.大家可以在开始菜单中的运行里输入regedit 2.也可以在DOS下输入regedit 三、注册表根键说明 hkey_classes_root 包含注册的所有OLE信息和文档类型,是从hkey_local_machine\software\classes复制的。 hkey_current_user 包含登录的用户配置信息,是从hkey_users\当前用户子树复制的。 hkey_local_machine 包含本机的配置信息。其中config子树是显示器打印机信息;enum子树是即插即用设备信息;system子树是设备驱动程序和服务参数的控制集合;software子树是应用程序专用设置。 hkey_users 所有登录用户信息。 hkey_current_config 包含常被用户改变的部分硬件软件配置,如字体设置、显示器类型、打
下面我说的是WIN7的服务.... Adaptive Brightness 监视氛围光传感器,以检测氛围光的变化并调节显示器的亮度。如果此服务停止或被禁用,显示器亮度将不根据照明条件进行调节。该服务的默认运行方式是手动,如果你没有使用触摸屏一类的智能调节屏幕亮度的设备,该功能就可以放心禁用。 Application Experience 在应用程序启动时为应用程序处理应用程序兼容性缓存请求。该服务的默认运行方式是自动,建议手动。 Application Information 使用辅助管理权限便于交互式应用程序的运行。如果停止此服务,用户将无法使用辅助管理权限启动应用程序,而执行所需用户任务可能需要这些权限。该服务的默认运行方式是手动,不建议更改。 Application Layer Gateway Service 为Internet 连接共享提供第三方协议插件的支持
如果装有第三方防火墙且不需要用ICS方式共享上网,完全可以禁用掉。 Application Management 为通过组策略部署的软件处理安装、删除以及枚举请求。如果该服务被禁用,则用户将不能安装、删除或枚举通过组策略部署的软件。如果此服务被禁用,则直接依赖于它的所有服务都将无法启动。该服务默认的运行方式为手动,该功能主要适用于大型企业环境下的集中管理,因此家庭用户可以放心禁用该服务。 Ati External Event Utility 装了ATI显卡驱动的就会有这个进程,建议手动。 Background Intelligent Transfer Service 使用空闲网络带宽在后台传送文件。如果该服务被禁用,则依赖于 BITS 的任何应用程序(如 Windows Update 或 MSN Explorer)将无法自动下载程序和其他信息。这个服务的主要用途还是用于进行WindowsUpdate或者自动更新,如果是采用更新包来更新的话,完全可以禁用。 Base Filtering Engine
IE注册表详解 减小字体增大字体作者:佚名来源:本站整理发布时间: 2010-04-1115:20:01 解除主页设置被屏蔽 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=dword:00000000 ;默认的IE搜索引擎被修改 如要恢复默认IE上的搜索,可通过修改注册表的方法来还原,方法如下: Windows XP为例,“开始”,打开“运行”,在“运行”一栏中输入“regedit.exe”(注:在修改注册表前最好先备份一下,以防止修改失败),打开注册表编辑器。而后依次展开 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\search”,我们可以将右边窗口的CustomizeSearch和SearchAssistant的键值均为 https://www.doczj.com/doc/2619100368.html,/{SUB_RFC1766}/srchasst/srchcust.htm,在这里我们可以将SearchAssistant键值改为自己想要的网址,如改为 “https://www.doczj.com/doc/2619100368.html,/”(输入时不要带引号),而后退出注册表 ;OE标题栏被添加非法信息 [HKEY_CURRENT_USER\Software\Microsoft\Outlook Express] "WindowTitle"="" "Store Root"="" ;鼠标右键菜单被添加非法网站链接 ;[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt]分支,在左边窗口凡是属于非法链接的主键一律删除,按F5键刷新生效 ;鼠标右键弹出菜单功能被禁用失常 [HKEY_CURRENT_USER\Software\Policies\MicrosoftInternet Explorer\Restrictions] "NoBrowserContextMenu"=dword:00000000 ;IE收藏夹被强行添加非法网站的地址链接c ;清除方法:请用手动直接清除,用鼠标右键移动至该非法网站信息上,点击右键弹出菜单,选择删除即可。 ;在IE工具栏非法添加按钮 ;清除方法:直接点击鼠标右键弹出菜单,选择“删除”即可 ;锁定地址栏的下拉菜单及其添加文字信息 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] "Locked"=dword:00000001 "LinksFolderName"="链接" 删除IE地址栏右边的按钮的方 法:"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{BB936323-19FA-4521-BA29-ECA6A121BC78}"="上网助手"删除这一段就可以了,同时删除的是菜单"查看->工具栏->上网助手"
手把手教你设置BIOS开机启动项,从此装系统不求人 制作完U盘启动后,不会BIOS设置怎么办?现在我们就聊一聊BIOS开机启动项的设置一般的品牌机,例如联想电脑,无论台式机或笔记本,选择启动项的键都是F12,开机的时候按F12键会出现启动项选择界面,从中我们可以选择电脑从什么介质启动,一般可供选择的有光驱、硬盘、网络、可移动磁盘(U盘)。如果对英文不是很了解无法确定各个选项代表什么,可以通过一个单词来快速选择U盘启动,也就是在出现的启动项列表里找到一项带USB字样的就可以了。 注:根据自己的电脑类型,选择热键,直接启动U盘,(重要提醒:利用按键选择U盘启动前,请先插入U盘)如图1所示, 以上是以联想电脑为例,其余品牌机或者部分组装机也有按键选择启动项的功能,简单列举几种: 惠普笔记本:F9 ,戴尔:F12,有一部分组装机是F8,大体而言也就这么几种按键。有些电脑开机的时候在电脑屏幕下方会显示哪个键可以用来设置启动选项,有些电脑不显示,那就需要进BIOS将F12 的BOOT MENU 功能开启。还有一些电脑是没有热键选择启动项功能的,对于这种电脑只能通过下面的第二种方法来设置了。 一、电脑如何进入BIOS?在BIOS模式下USB的启动热键是什么? 用户可以根据不同的电脑型号,选择相应的热键,直接启动一键U盘装系统工具设置(重要提示:在选择启动热键前,需先插入U盘方可)
二、设置U盘启动,不同的BIOS设置U盘启动方法均不同,以下为常见的三种方法: 1、Phoenix – AwardBIOS(2010年之后的电脑): 2、旧的Award BIOS(2009年电脑主板): 3、2002年电脑主板的一款BIOS: 1、Phoenix – AwardBIOS(2010年之后的电脑设置方法):
注册表键值和作用详解 《增加CD/DVD-ROM缓存》(WIN9X) [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\CDFS] "CacheSize"=hex:6b,02,00,00(默认) "Prefetch"=hex:e4,00,00,00(默认) 《优化文件系统》(WIN9X) [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem] "ConfigFileAllocSize"=dword:000001f4 《提高软盘驱动器的读写速度(使之具备后台存储管理功能)》(WIN9X) [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\fdc\0000] "ForeFifo"=dword:00000000 《删除系统无用的动态链接库(DLL文件)》 [HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLL] [注]每个DLL文件的键值说明此DLL被几个应用程序共享,若为"01 00 00 00"则此DLL文件被一个应用程序共享。若为 "00 00 00 00"则该DLL文件对系统不起作用,说明它是一个^^文件,删除该键值,并且删除硬盘中的这个DLL文件。 《查看系统中的16位和32位DLL文件》 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Known16DLLs](16位)(WIN9X)[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs](32位) 《Windows自动刷新/手动刷新》 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update] "UpdateMode"=hex:00,00,00,00(自动刷新)/01,00,00,00(手动刷新) ] 《在系统属性里显示更多的CPU信息》(WIN9X) [HKEY_LOCAL_MACHINE\Hardware\Description\System\CentralProcessor\0] "VendorIdentifier"="Genuine Intel"(注意空格) 《解决一些英文软件在中文版Windows下乱码问题》 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\fontassoc\Associated CharSet] "GB2312(86)"="no"(WIN9X) "SYMBOL(02)"="no"(WIN2000) 《解决删除虚拟光驱后原光驱无法使用的问题》 [HKEY_LOCAL_MACHINE\Enum\SCSI](WIN9X)
windows注册表详解 注册表对有的人还是比较陌生的,因为现在第三方软件太多了,如优化大师、魔法兔子等等,但个人觉得改善系统的第三方软件还不够完善,如果初级用户使用不当,会出现严重的后果,所以提供这篇文章,希望大家多多学习,本人能力有限,还希望大家多提宝贵意见: 一、注册表的由来 PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的图形操作系统,如Win3.x中,对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的,但INI文件管理起来很不方便,因为每种设备或应用程序都得有自己的INI文件,并且在网络上难以实现远程访问。 为了克服上述这些问题,在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。按照这一原则,Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。 与INI文件不同的是: 1.注册表采用了二进制形式登录数据; 2.注册表支持子键,各级子关键字都有自己的“键值”; 3.注册表中的键值项可以包含可执行代码,而不是简单的字串; 4.在同一台计算机上,注册表可以存储多个用户的特性。 注册表的特点有: 1.注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置,这使得修改某些设置后不用重新启动成为可能。 2.注册表中登录的硬件部分数据可以支持高版本Windows的即插即用特性。当Windows检测到机器上的新设备时,就把有关数据保存到注册表中,另外,还可以避免新设备与原有设备之间的资源冲突。 3.管理人员和用户通过注册表可以在网络上检查系统的配置和设置,使得远程管理得以实现。 二、使用注册表 1.大家可以在开始菜单中的运行里输入regedit 2.也可以在DOS下输入regedit 三、注册表根键说明 hkey_classes_root 包含注册的所有OLE信息和文档类型,是从hkey_local_machine\software\classes复制的。hkey_current_user 包含登录的用户配置信息,是从hkey_users\当前用户子树复制的。 hkey_local_machine 包含本机的配置信息。其中config子树是显示器打印机信息;enum子树是即插即用设备信息;system子树是设备驱动程序和服务参数的控制集合;software子树是应用程序专用设置。 hkey_users 所有登录用户信息。 hkey_current_config 包含常被用户改变的部分硬件软件配置,如字体设置、显示器类型、打印机设置等。是从hkey_local_machine\config复制的。 hkey_dyn_data 包含现在计算机内存中保存的系统信息。 四、注册表详细内容 Hkey_local_machine\software\microsoft\windows\currentVersion\explorer\user shell folders 保存个人文件夹、收藏夹的路径
MicrosoftWindows注册表说明(理论) Microsoft Windows 注册表说明 注册表说明 《英汉双解微软计算机辞典》(第 5 版)对注册表的定义是: Microsoft Windows 9x、Windows CE、Windows NT 和 Windows 2000 中使用的中央分层数据库,用于存储为一个或多个用户、应用程序和硬件设备配置系统所必需的信息。 注册表包含Windows 在运行期间不断引用的信息,例如,每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口。 注册表取代了Windows 3.x 和MS-DOS 配置文件(例如,Autoexec.bat 和Config.sys)中使用的绝大多数基于文本的 .ini 文件。虽然几个Windows 操作系统都有注册表,但这些操作系统的注册表有一些区别。 注册表数据存储在二进制文件中。 关于编辑注册表的信息 要编辑注册表,Microsoft 建议您只按照Microsoft 文档中的步骤执行。如果可能,请使用 Windows 用户界面,而不要直接编辑注册表。(转者注:这句的意思是大家修改计算机的设置的时候最好用工具,如组策略,优化大师也是一种工具,而不要直接用注册表编辑器) 可以使用注册表编辑器(Regedit.exe 或Regedt32.exe)编辑注册表。注册表编辑器使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。 管理员可以通过使用注册表编辑器(Regedit.exe 或Regedt32.exe)、组策略、系统策略、注册表文件(.reg) 或通过运行脚本(例如,VisualBasic 脚本文件)来修改注册表。 注册表编辑器的导航区显示文件夹。每个文件夹代表本地计算机上的一个预定义项。访问远程计算机的注册表时,只显示两个预定义项:HKEY_USERS 和HKEY_LOCAL_MACHINE。下表列出了系统使用的预定义项。项名的最大长度是255 个字符。 文件夹/预定义项 HKEY_CURRENT_USER 包含当前登录的用户的配置信息的根目录。该用户的文件夹、屏幕颜色和“控制面板”设置都存储在这里。这些信息与用户的配置文件相关联。此项有时缩写为“HKCU”。 HKEY_USERS 包含计算机上的所有以活动方式加载的用户配置文件。HKEY_CURRENT_USER 是HKEY_USERS 的子项。HKEY_USERS 有时缩写为“HKU”。 HKEY_LOCAL_MACHINE
注册表 9X、2000、XP、2003所有注册表设置(很全很详细) 《开始菜单及相关设置》 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"=dword:00000001(隐藏开始->文档菜单) "NoRecentDocsHistory"=dword:00000001(禁止将打开的文档存入历史记录)"ClearRecentDocsOnExit"=dword:00000001(退出系统自动清除历史记录,包括文档、运行和查找) "NoFavoritesMenu"=dword:00000001(隐藏开始->收藏夹菜单) "NoSMHelp"=dword:00000001(隐藏开始->帮助菜单)(WIN2000/ME/XP) "NoFind"=dword:00000001(禁用查找/搜索) "NoRun"=dword:00000001(禁用运行,禁止IE访问本地资源,除非输入"桌面",禁止WIN2000/XP 通过任务管理器创建新任务) "NoLogOff"=dword:00000001(禁用注销)(WIN9X) "StartMenuLogOff"=dword:00000001(禁用注销)(WIN2000/XP) "NoClose"=dword:00000001(禁用关闭系统/关闭计算机) "NoSetFolders"=dword:00000001(隐藏控制面板、打印机/网络连接,WIN2000/XP仅从开始菜单隐藏;此外还禁用WIN+E快捷键) "NoSetTaskbar"=dword:00000001(禁止设置任务栏和开始菜单) "NoFolderOptions"=dword:00000001(从开始->设置菜单和资源管理器菜单中删除文件夹选项)"NoWindowsUpdate"=dword:00000001(从开始菜单中删除Windows Update,禁止到Windows U
如何设置开机启动项 开机速度有点慢,可能是随Windows启动项有点多的缘故,运行msconfig,就可以看到电脑启动时加载的程序。下面是一些常用的系统程序和应用程序。如果你的电脑中有一些来路不明的启动项,就得考虑是否中毒或者中了木马。 启动项中除了杀毒软件和输入法(cftmon不可关闭否则你就不会在任务栏看语言栏了)外,其它的都可以关闭或者使用者可以根据自己的需要自由地选择取舍。其实关闭并不是删除,只是开机时不运行罢了。你若想运行可以从程序菜单中打开。 1.系统常见的启动项: ctfmon.exe------------是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。输入法会出现在屏幕右下角,建议不删。 NvCpl -------------是显卡桌面管理调节程序; nvcpl.dll------------是NVIDIA显示卡相关动态链接库文件。可以停用; nvmctray - nvmctray.dll -------DLL文件信息是显示卡相关文件。 internat.exe ------------输入法指示器程序 LoadPowerProfile---------Win98/Me电源管理 PCHealth ------------WinMe系统自愈功能 ScanRegistry -----------启动时检查并备份注册表 SchedulingAgent ---------系统计划任务程序 Synchronization Manager------Win2000同步管理 SystemTray-----------系统托盘,管理内存驻留程序 Taskbar Display Controls -----屏幕-属性-设置-高级-在任务栏中显示图标 TaskMonitor -----------任务检测程序,记录使用软件情况 *StateMgr ----------WinMe系统还原 msmsgs Windows Messenger ---是微软公司推出的一个在线聊天和即时通讯客户端。 Rundll32 cmicnfg---------是32位的链接库,使电脑能运行..dll类型的文件,建议不要禁用;
注册表修改指南——注册表各键值详解 您可以可以按Ctrl+F键进行页面内搜索来方便地找到您想要的内容。 开始菜单及相关设置 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"=dword:00000001(隐藏开始->文档菜单) "NoRecentDocsHistory"=dword:00000001(禁止将打开的文档存入历史记录)"ClearRecentDocsOnExit"=dword:00000001(退出系统自动清除历史记录,包括文档、运行和查找)"NoFavoritesMenu"=dword:00000001(隐藏开始->收藏夹菜单) "NoSMHelp"=dword:00000001(隐藏开始->帮助菜单)(WIN2000/ME/XP) "NoFind"=dword:00000001(禁用查找/搜索) "NoRun"=dword:00000001(禁用运行,禁止IE访问本地资源,除非输入"桌面",禁止WIN2000/XP 通过任务管理器创建新任务) "NoLogOff"=dword:00000001(禁用注销)(WIN9X) "StartMenuLogOff"=dword:00000001(禁用注销)(WIN2000/XP) "NoClose"=dword:00000001(禁用关闭系统/关闭计算机) "NoSetFolders"=dword:00000001(隐藏控制面板、打印机/网络连接,WIN2000/XP仅从开始菜单隐藏;此外还禁用WIN+E快捷键) "NoSetTaskbar"=dword:00000001(禁止设置任务栏和开始菜单) "NoFolderOptions"=dword:00000001(从开始->设置菜单和资源管理器菜单中删除文件夹选项)"NoWindowsUpdate"=dword:00000001(从开始菜单中删除Windows Update,禁止到Windows Update网站升级) "NoSetActiveDesktop"=dword:00000001(从开始->设置菜单中删除活动桌面)(WIN9X)"NoActiveDesktop"=dword:00000001(禁用活动桌面,WIN9X/2000在桌面右键菜单和显示属性里不出现相关项目) "NoActiveDesktopChanges"=dword:00000001(禁止更改活动桌面,在显示属性里不出现相关项目) 资源管理器设置 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFileMenu"=dword:00000001(隐藏Explorer中的文件菜单)"NoNetConnectDisconnect"=dword:00000001(禁止使用资源管理器或网上邻居映射或断开网络驱动器) "NoWebView"=dword:00000001(禁止按Web页查看)(WIN2000/XP) 隐藏桌面图标 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "Nodesktop"=dword:00000001(隐藏桌面所有图标) "NoNetHood"=dword:00000001(隐藏桌面网上邻居图标) "NoInternetIcon"=dword:00000001(隐藏桌面Internet Explorer图标) 禁止使用鼠标右键
如何设置U盘启动设置电脑开机从U盘启动方法 在今天的上文中,我们为大家介绍了如何制作U盘启动盘,U盘启动盘制作好,并且将系统镜像文件放入到U盘之后,接下来就需要重启电脑,设置电脑开机启动项为从U盘启动了,之后就是最后的系统安装了。由于设置U盘启动,不同主板方法有所不同,因此本文才专文为大家介绍设置电脑开机从U盘启动方法,如果您也还不懂,那么赶紧往下阅读吧。 如果你感觉到设置BIOS比较麻烦困难,根据你的电脑类型,在将制作好的U盘系统插入电脑后,然后使用电脑开启启动项热键快捷键直接启动一键U盘装系统,由于不同品牌主板与品牌笔记本设置方法有所不一样,以下我们汇总了各品牌主板与笔记本热键进入开机启动项设置的方法,如下图: 除了以上快捷方法外,我们还可以通过我们最常见的设置BIOS方式,由于BIOS默认是从硬盘启动,因此我们首先需要设置开机启动项为从U盘启动,同样由于不同品牌主板BIOS内部界面设置有些不相同,以下电脑百事网编辑为大家整理了各品牌主板BIOS设置为U盘启动的方法,详情如下:
1、Phoenix – AwardBIOS主板(适合2010年之后的主流主板): 开机按Del键进入该BIOS设置界面,选择高级BIOS设置Advanced BIOS Features,如下图,之后进入如下图界面: 如上图,在高级BIOS设置(Advanced BIOS Features)界面里,首先点击(硬盘启动优先级)Hard Disk Boot Priority,之后即可进入BIOS开机启动项优先级选择,我们可以通
过键盘上的上下键选择USB-HDD(U盘即可,会自动识别我们插入电脑中的U盘),如下图: 如上图,选择USB设备为第一启动项后,按Entel键即可确认选择,之后我们再按F10键,然后会弹出是否保存,选择YES即可。 另外有的主板还会进入如下界面,我们主要将First Boot Device这只为U盘即可,如下图。
手工杀毒拾零——注册表中的自启动项及其详解 1、 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load 这个,load是指“值”,在注册表中,位于右边窗口的“名称”一列。一般新安装的操作系统,他的数据是空的。病毒可以把自身路径写到他的数据里,这样实现开机自启动。如下图所示: 其它的注册表中的自启动项都是如此实现开机启动了。后面的教程不再重复。 2、 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run 这里"Run"是在左边窗口中找,也就是说它是个“项”。我们的输入法指示器,也就是右下角更改输入法的地方的图标,就是从这里自启动的。启动项名称为“ctfmon.exe”。注意不是ctfmon。要想找ctfmon.exe,请在注册表的窗口的右边找。 3、 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce 这里"Run"是在左边窗口中找,也就是说它是个“项”。它的启动项请从右侧找。当然可能没有。 4、 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run 这里"Run"是在左边窗口中找,也就是说它是个“项”。它的启动项请从右边找,当然可能没有。这个启动项可能会被很多人包括很多杀毒辅助工具所忽略 5、 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run 这个,run是指“值”,在注册表中,位于右边窗口的“名称”一列。默认的可能没有此run值。病毒会修改run的数据一列的数据。 6、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\autorun 这个启动项,是随cmd程序一起启动的。也就是说,只有当打开cmd 窗口的时候,才会启动相应的项。要想找到“autorun”,请从右侧
开机启动项怎么设置 开机启动项设置教程如下: 方法一:最简单最原始的方法,使用开机启动命令 在开始--运行--输入:msconfig 命令,进入如下系统配置界面: 启动项中除了杀毒软件和输入法(cftmon不可关闭否则就不会在任务栏看语言栏了)外,其它的都可以关闭或者使用者可以根据自己的需要自由地选择取舍。其实关闭并不是删除,只是开机时不运行罢了。你若想运行可以从程序菜单中打开。 不同电脑可能安装的程序不一样,所以所看到的程序或许不一一样,以下总结了一些系统常见启动项。 ctfmon.exe----是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。输入法会出现在屏幕右下角,建议不删。 Nv Cpl ------是显卡桌面管理调节程序;
nv cpl.dll---------- 是NVIDIA显示卡相关动态链接库文件。可以停用; nvmctray - nvmctray.dll ------- DLL文件信息是显示卡相关文件。 internat.exe ----------输入法指示器程序 LoadPowerProfile------- Win98/Me电源管理 PCHealth ----------- WinMe系统自愈功能 ScanRegistry ---------启动时检查并备份注册表 SchedulingAgent ------- 系统计划任务程序 Synchronization Manager---- Win2000同步管理 SystemTray----------系统托盘,管理内存驻留程序 Taskbar Display Controls ----屏幕-属性-设置-高级-在任务栏中显示图标 TaskMonitor ---------任务检测程序,记录使用软件情况 *StateMgr ---------- WinMe系统还原 msmsgs Windows Messenger -是微软公司推出的一个在线聊天和即时通讯客户端。 Rundll32 cmicnfg-------是32位的链接库,使电脑能运行..dll类型的文件,建议不要禁用; soundman.exe------是Realtek声卡相关程序。该进程在系统托盘驻留,用于进行快速访问和诊断。可关掉. igfxtray.exe ------- 是intel显卡配置和诊断程序,会在安装intel 810芯片组的集成显卡驱动时一起安装。关掉试试. hkcmd.exe-----此进程是主板上集成显卡的一个驱动控制台文件,常和igfxtray.exe 一起出现,如intel865G芯片集成的显卡。但该命令常会被黑客或木马利用,需要注意。可以禁用,不是病毒,但可能被病毒替代。 nwiz.exe--------是NVIDIA nView控制面板在NVIDA显卡驱动中被安装,用于调整和设定。可停用.;