danny 2008-4-13 23:03
Regedit 登錄檔
在 Windows 95/98/2000/NT 中,關於電腦設定資訊的資料庫存放庫。登錄包含了在*作期間 Windows 會持續參照的資訊,如:
每個使用者的設定檔。
安裝在電腦上的程式,以及每個程式可以建立的文件類型。
資料夾及程式圖示的屬性設定。
系統上有哪些硬體存在。
正在使用的連接埠是哪幾個。
登錄是類似樹狀目錄的階級組織,是由識別碼以及它們的子機碼、Hive及數值項目所組成。
在識別碼中的識別碼。在登錄結構中,子機碼是樹狀子目錄及識別碼的次級。在 .ini 檔案中,識別碼及子機碼有相似的區段標頭;不過子機碼可以執行功能。
登錄檔結構
登錄檔是一種階層式、樹狀結構化的資料庫。登錄值主要儲存在兩個檔中。正在使用的檔案是以目前的系統組態資料為主,系統會將這些有關電腦目前的使用設定資料記錄於System.dat裡;至於所有使用者的設定資料則通通存在User.dat裡
登錄值是以樹狀結構輸出,就好像Win 3.x的簡易登錄值,更像Win NT的登錄值。以下為 Windows95/98/2000/NT 登錄檔裡的根目錄鍵值。
HKEY_CLASSES_ROOT
這裡所含的資料種類跟Win 3.x的Reg.dat一樣。這樣記載的主要是OLE跟檔案對應配置的資訊。對應資料主要是在你選擇一種特定檔案格式時, Windows可從對應的應用程式來執行或列印該檔。
HKEY_CURRECT_USER
這個鍵值裡是有關系統與程式的使用者特定設定值。這個鍵值是執行時(使用者登錄時),由該使用者在 HKEY_USERS 裡的登錄值資訊所建立的。因此這裡是有關該使用者對他自喜好使用環境的設定值。舉例來說,今天某申將他進入Windows時所播放的音樂設定為 Faye.wav,則在他登錄時,這個設定就會列在這個鍵值裡,當然裡面還包括了顏色配置、標題、桌面配置等等
HKEY_LOCAL_MACHINE
在這個鍵值裡詳細的列載了有關電腦、驅動程式及其他系統設定。這算是機器描述資訊,主要是有關於已安裝的硬體種類、連接埠的對應情形、軟體組態設定及其他資訊。這些資料主要是針對機器而不是使用者,但是通常要破解軟體,很多時候可以從這裡下手。
HKEY_USERS
這裡記載著該台工作站所有使用者的資料。每個使用者的資料都存在這裡。此外還有一個一般使用者設定。這個設定主要是給以新使用者身份登錄工作站時用的參考樣版。而此資料主要是程式、事件規畫、桌面還境等等的設定值。
HKEY_CURRECT_CONFIG
本鍵值裡記錄著該電腦實際連接的硬體設定。主要用在當電腦有多重的組態可使用時,如一部可攜式電腦利用船塢方式連接或脫離一部電腦時,即可用到這裡的不同資訊。這裡的資料是複製位於 HKEY_LOCAL_MACHINE裡的組態資訊。
登錄檔的修復
在你每次開機時 Windows 會自動執行 \Windows目錄\Scanregw.exe 這個程式來備份每天的登錄檔,並壓縮成微軟的 *.Cab 壓縮檔後存到磁碟中的一個專放備份檔案的目錄。該目錄為 \Windows目錄\Sysbckup
登錄檔的深入探索
許多軟體的資訊都會存在於 HKEY_LOCAL_MACHINE 或 HKEY_CURRECT_USER 裡,這也意謂著我們可以從此處取得各軟體的一些資訊,例如軟體的時間限制、
功能限制等....通常軟體的資訊會存在這兩個根機碼下的\Software\該軟體公司名稱\軟體名稱例如微軟的軟體就會存在於 \Software\Microsoft\軟體名稱
範例:
\Software\Microsoft\InternetExplorer
會看到有許多子機碼,這些就是 Microsoft 公司的 InternetExplorer 這套軟體的一些設定值,我們以Main這個子機碼來做示範進去後會看到有許多字串值、Dword值及二進位值,我們可以按照這些值的名稱的意義來判斷該值的功能
例如 : FullScreen這個字串值的內容有 yes/no 這兩個可能性當FullScreen的值為yes時當你打開InternetExplorer時會以全螢幕開啟當FullScreen的值為no時當你打開InternetExplorer時就會以一般視窗開啟