計算機病毒與防治重慶電子工程職業(yè)學院計算機病毒與防治課程小組教學單元3-1注冊表的維護注冊表結構

注冊表功能注冊表常用操作及維護注冊表功能結構及基本操作計算機病毒與防治課程小組

系統(tǒng)相關命令介紹注冊表功能計算機病毒與防治課程小組微軟公司自推出視窗95起，便引入了注冊表(Registry)對操作系統(tǒng)進行管理，注冊表可以看成是一個龐大的數(shù)據(jù)庫，包含了系統(tǒng)所有軟硬件的配置與狀態(tài)信息以及與用戶相關的各種設置信息，對系統(tǒng)的正常運行起著至關重要的作用。類似于一般軟件的配置信息文件，注冊表中記錄的內容相當于Windows操作機系統(tǒng)所需的配置信息。注冊表結構計算機病毒與防治課程小組Windows98：Windows目錄下的兩個二進制文件System.dat和User.dat；Windows2000：“WINNT\system32\config”文件夾，包括“Default”、“SAM”、“Software”和“System”四個文件。WinXP：“Windows\System32\config”文件夾，包括“Default”、“SAM”、“Security”、“Software”和“System”五個文件。用戶配置文件為“NTUSER.dat”，它存儲于“C:\DocumentsandSettings\用戶名”文件夾，Windows2000默認以“Administrator”內置系統(tǒng)管理員登錄系統(tǒng)，而WindowsXP則相反，用戶需要創(chuàng)建自己的賬戶登錄系統(tǒng)。注冊表的外部形式注冊表結構一個類似目錄管理的樹狀分層的結構，由鍵、子鍵、分支、值項和缺省值幾部分組成。

注冊表內部結構計算機病毒與防治課程小組內部組織結構注冊表結構1)HKDY_CLASSES_ROOT:包含了啟動應用程序所需的全部信息，包括擴展名、應用程序與文檔之間的關系、驅動程序名、DDE和OLE信息，類ID編號和應用程序與文檔的圖標等Windows操作系統(tǒng)中所有數(shù)據(jù)文件的信息內容。2)HKEY_CURRENT_USER:包含當前登錄用戶的配置信息，包括環(huán)境變量、個人程序、桌面設置等。3)HKEY_LOCAL_MACHINE:包含本地計算機的系統(tǒng)信息，包括硬件和操作系統(tǒng)信息，如設備驅動程序，安全數(shù)據(jù)和計算機專用的各類軟件設置信息，用來控制系統(tǒng)和軟件的設置。4)HKEY_USERS:包含計算機的所有用戶使用的配置數(shù)據(jù)，這些數(shù)據(jù)只有在用戶登錄進系統(tǒng)時方能訪問。5)HKEY_CURRENT_CONFIG:存放當前硬件的配置信息，其中的信息是從HKEY_LOCAL_MACHINE中映射出來的。計算機病毒與防治課程小組注冊表主要包括5大類鍵注冊表常用操作及維護計算機病毒與防治課程小組在[開始]—[運行]中輸入regedit命令打開注冊表編輯器，在這個編輯器中實現(xiàn)對注冊表的一些常用操作。1)注冊表的編輯2)注冊表的備份3)注冊表的恢復使用注冊表編輯器注冊表常用操作注冊表相關命令及定制計算機病毒與防治課程小組windows中常用命令：（參見教材）定制Windows命令：在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths]下新建一個不同名的次級主鍵（例如：Smallfrogs.EXE）。然后修改右邊的“默認”為你要啟動的程序的路徑,接著新建一個字符串Path，修改為那個程序所處的目錄（例如:C:\ProgramFiles\MyAPP\）。在運行里面輸入：Smallfrogs.EXE來啟動C:\ProgramFiles\MyAPP\Smallfrogs.EXE這個程序了。注冊表操作函數(shù)計算機病毒與防治課程小組WindowsAPI提供了大約25個函數(shù)，它提供了對注冊表的讀取、寫入、刪除以及打開注冊表及鍵值時所需的處理操作，并且可以達到對注冊表的備份、連接和對遠端注冊表進行查看等等。常用的函數(shù)有：RegCloseKey、RegConnectRegistry、RegCreateKey、RegCreateKeyEx、RegDeleteKey、RegDeleteVale、RegEnumKey、RegFlushKey、RegGetKeySecurity（此函數(shù)，98不適用）、RegLoadKey、RegNotifyChangeKeyValue（98不適用）、RegOpenKey、RegOpenKeyEx、RegQueryInfoKey、RegQueryValue、RegQueryValueEx、RegReplaceKey、RegRestoreKey（98不適用）、RegSaveKey、RegSetKeySecurity（98不適用）、RegSetValue、RegSetValueEx、RegUnLoadKey。注冊表操作實例計算機病毒與防治課程小組實例一將寫字板命令項加入右鍵菜單中打開注冊表編輯器，在HKEY_CLASSES_ROOT/*下新建“shell”子鍵，在其下新建“wordpad”子鍵，雙擊該鍵右面窗口的“默認”處并在“鍵值”欄內輸入“寫字板”；接著在“wordpad”子鍵下建立下一級子鍵“command”,在“默認”的“鍵值”欄內輸入“c:/programfiles/WindowsNT/accessories/wordpad.exe%1”。如下圖所示：注冊表操作實驗不用重啟系統(tǒng)，現(xiàn)在回到“我的電腦”或“資源管理器”中右鍵單擊任意文件可見在“寫字板”命令在菜單中，如下圖：注冊表操作實驗計算機病毒與防治課程小組實例二、禁止更改[Internet選項]里[常規(guī)]中的[主頁]項（1）打開注冊表編輯器。（2）打開HKEY_CURRENT_USER\Software\Policies\Microsoft子鍵，在其下面新建子鍵InternetExplorer并進入。（3）在InternetExplorer下面新建子鍵ControlPanel并進入。（4）新建類型為雙字節(jié)的鍵值項HomePage，將數(shù)值設為1。當數(shù)值為1時，表示禁止更改主頁設置；為0時則允許修改此設置。

（5）重啟電腦后可見效果。注冊表操作實驗計算機病毒與防治課程小組實例三使用VC++修改注冊表項（1）在VC++中通過AppWizard創(chuàng)建基于對話框的程序Regedit。（2）設置兩個命令按鈕，名為“查詢”(ID_QUERY)和“修改”(ID_CHANGE)，用來查詢和修改注冊表中用戶姓名和公司名稱。

（3）設置兩個編輯框，用于顯示和修改信息。定義兩個CString變量m_strOwner,m_Company。

注冊表操作實驗（4）“查詢”按鈕代碼如下：voidCRegeditDlg::OnQuery(){UpdateData(true);HKEYhKEY;//定義有關的hKEY,在查詢結束時要關閉//打開與路徑data_Set相關的hKEYLPCTSTRdata_Set="Software\\Microsoft\\WindowsNT\\CurrentVersion\\";//訪問注冊表，hKEY則保存此函數(shù)所打開的鍵的句柄Longret0=(::RegOpenKeyEx(HKEY_LOCAL_MACHINE,data_Set,0,KEY_READ,&hKEY));if(ret0!=ERROR_SUCCESS)//如果無法打開hKEY,則中止程序的執(zhí)行{AfxMessageBox("錯誤：無法打開有關的hKEY");return;}注冊表操作實驗計算機病毒與防治課程小組//查詢有關的數(shù)據(jù)LPBYTEowner_Get=newBYTE[80];//定義用戶姓名owner_GetDWORDtype_1=REG_SZ;//定義數(shù)據(jù)類型DWORDcbData_1=80;//定義數(shù)據(jù)長度longret1=::RegQueryValueEx(hKEY,"RegisteredOwner",NULL,&type_1,owner_Get,&cbData_1);if(ret1!=ERROR_SUCCESS){AfxMessageBox("錯誤：無法查詢有關的注冊表信息");return;}//查詢公司名LPBYTEcompany_Get=newBYTE[80];//定義公司名稱company_GetDWORDtype_2=REG_SZ;//定義數(shù)據(jù)類型DWORDcbData_2=80;//定義數(shù)據(jù)長度注冊表操作實驗計算機病毒與防治課程小組longret2=::RegQueryValueEx(hKEY,"RegisteredOrganization",NULL,&type_2,company_Get,&cbData_2);if(ret2!=ERROR_SUCCESS){AfxMessageBox("錯誤：無法查詢有關的注冊表信息");return;}//顯示信息m_strOwner=CString(owner_Get);m_strCompany=CString(company_Get);delete[]owner_Get;delete[]company_Get;//程序結束，關閉打開的hKEY::RegCloseKey(hKEY);UpdateData(false);}注冊表操作實驗計算機病毒與防治課程小組（5）“設置”按鈕代碼如下：voidCRegeditDlg::OnModify(){UpdateData(true);HKEYhKEY;//定義有關的hKEY,在查詢結束時要關閉//打開與路徑data_Set相關的hKEYLPCTSTRdata_Set="Software\\Microsoft\\WindowsNT\\CurrentVersion\\";//訪問注冊表，hKEY則保存此函數(shù)所打開的鍵的句柄longret0=(::RegOpenKeyEx(HKEY_LOCAL_MACHINE,data_Set,0,KEY_READ,&hKEY));if(ret0!=ERROR_SUCCESS)//如果無法打開hKEY,則中止程序的執(zhí)行{AfxMessageBox("錯誤：無法打開有關的hKEY");return;}注冊表操作實驗計算機病毒與防治課程小組//設置有關的數(shù)據(jù)//CString_To_LPBYTE,請參考下面的函數(shù)LPBYTEowner_Set=CString_To_LPBYTE(m_strOwner);//定義用戶姓名owner_SetDWORDtype_1=REG_SZ;//定義數(shù)據(jù)類型DWORDcbData_1=m_strOwner.GetLength()+1;//定義數(shù)據(jù)長度longret1=::RegSetValueEx(hKEY,"RegisteredOwner",NULL,type_1,owner_Set,cbData_1);if(ret1!=ERROR_SUCCESS){AfxMessageBox("錯誤：無法設置有關的注冊表信息");return;}注冊表操作實驗計算機病毒與防治課程小組//查詢公司名LPBYTEcompany_Set=CString_To_LPBYTE(m_strCompany);//定義公司名稱DWORDtype_2=REG_SZ;//定義數(shù)據(jù)類型DWORDcbData_2=m_strCompany.GetLength()+1;//定義數(shù)據(jù)長度longret2=::RegSetValueEx(hKEY,"RegisteredOrganization",NULL,type_2,com