网络安全入门到精通|Windows与网络基础（注册表基础和注册表维护与优化）运维|windows

学习目标
1.理解注册表概念
2.掌握注册表维护及优化方法

文章图片

一、注册表基础
- 1、概述
- 2、早期的注册表
- 3、Windows 95后的注册表
- 4、注册表结构
- - 4.1、注册表以树状结构进行呈现
  - - 4.1.1子树（实际只有两棵子树，为了方便操作，分成了5棵子树)
    - 4.1.2、项
    - 4.1.3、值
二、注册表基本操作
- 1、创建项
- 2、创建值(有六种类型的值）
- 3、修改、删除和重命名值
三、注册表应用
- 1、案例
- - 1.1、个性化时间设置
  - 1.2、在欢迎屏幕显示自定义信息
  - 1.3、禁用任务管理器
  - 1.4、禁用控制面板
  - 1.5、去除快捷方式左下角小箭头
- 2、注册表编辑技巧
- - 2.1、查找字符串、值或项
  - 2.2、将子项添加到收藏夹
  - 2.3、打印注册表
  - 2.4、复制项名字
四、注册表维护
- 1、注册表被破坏后的常见现象
- 2、注册表被破坏的原因
- 3、备份注册表
- 4、恢复注册表
- 5、锁定和解锁注册表
五、注册表优化
- 1、清楚多余的DLL文件
- 2、安装卸载应用程序的垃圾信息
- 3、系统安装时产生的无用信息

一、注册表基础 1、概述

注册表是Windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”，也可以说是一个非常巨大的树状分层结构的数据库系统
注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息，它包括了计算机的硬件配置，包括自动配置的即插即用的设备和和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注册表数据库来统─集中地管理系统硬件设施、软件配置等信息，从而方便了管理，增强了系统的稳定性。

2、早期的注册表

以ini为扩展名的文本文件的配置文件

文章图片

3、Windows 95后的注册表

自Windows 95操作系统开始，注册表真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用
（1）注册表数据库由多个文件组成
（2）Windows提供了注册表编辑器

在运行处输入命令打开注册表编辑器
regedit

文章图片

文章图片

拓展：
实际上输入的命令行都是调用操作系统里面的程序来执行的。
我们来看看regedit程序的位置。
1、在此电脑页面中，搜索输入regedit，进行搜索

文章图片

2、找到是在c盘

文章图片

文章图片

4、注册表结构

文章图片

4.1、注册表以树状结构进行呈现
4.1.1子树（实际只有两棵子树，为了方便操作，分成了5棵子树) (1）HKEY_LOCAL_MACHINE:记录关于本地计算机系统的信息，包括硬件和操作系统数据
(2)HKEY_USERS:记录关于动态加载的用户配置文件和默认配置文件的信息
(3)HKEY_CURRENT_USER: HKEY_USERS子树，它指向"HKEY_USERS\I当前用户的安全ID"包含当前以交互方式登录的用户配置文件

示例：
1、打开任务管理器，发现只有Administrator在登录

文章图片

2、命令行输入regedit，打开注册表编辑器查看如下图

文章图片

(4)HKEY_CURRENT_CONFlG : HKEY_LOCAL_MACHINE子树，指向
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current包含在启动时由本地计算机系统使用的硬件配置文件的相关信息加载的设备驱动程序、显示时要使用的分辨率

文章图片

(5)HKEY_CLASSES_ROOT: HKEY_CURRENT_USER子树包含用于各种OLE技术和文件类关联数据的信息
4.1.2、项可以简单的理解文件夹，项中可以包含项和值
4.1.3、值

每个注册表项或子项都可以包含称为值的数据
部分值应用于某个用户的信息
每个注册表项或子项都可以包含称为值的数据部分值应用于某个用户的信息
部分值应用于计算机所有用户的信息
值由三部分组成（值的名称、值类型、值的数据)

文章图片

二、注册表基本操作 1、创建项

1、先点击某一子树，之后在右侧右击创建项

文章图片

2、直接创建成功

文章图片

2、创建值(有六种类型的值）

字符串值(REG_SZ):固定长度的文本字符串
二进制值（REG_BINARY)∶原始二进制数据。多数硬件组件信息都以二进制数据存储
DWORD值(REG_DWORD):数据由4字节长的数表示。设备驱动程序和服务的很多参数都是这种类型
QWORD值(REG_QWORD)︰数据由8字节长的数表示
多字符串值(REG_MULTl_SZ):多重字符串。包含列表或多值的值通常为该类型
可扩充字符串值(REG_EXPAND_SZ)∶长度可变的数据串。该数据类型包含在程序或服务使用该数据时解析的变量

文章图片

3、修改、删除和重命名值

文章图片

三、注册表应用 1、案例 1.1、个性化时间设置

1、regedit打开注册表编辑器，选择“编辑->查找”

文章图片

2、在查找页面中输入sTimeFormat，勾选“值”进行查找

文章图片

3、等待片刻找到后，直接双击进入页面，进行设置

文章图片

4、不重启，发现已经生效了

文章图片

1.2、在欢迎屏幕显示自定义信息

1、regedit打开注册表编辑器，锁定"HKEY_LOCAL_MACHINEI\SOFTWARE\Microsoft\Windows\CurrentVersion\IPolicies\System"下的值legalnoticecaption(标题) legalnoticetext(文本)

文章图片

注销之后，再登录，会有欢迎页面，欢迎页面之后就是输入密码页面

文章图片

1.3、禁用任务管理器

功能：防止有心人入侵后，对任务服务器进行操作，导致系统不能正常运作

1、regedit打开注册表编辑器，锁定"HKEY_CURRENT_USERLSOFTWARE\MicrosoftWindowslCurrentVersion\Policies\System"下新建DwORD值DisableTaskMgr，设置值为1
没有System就新建一个System，这里发现不区分大小写，system也可以。

文章图片

2、不注销，发现已经生效了。

文章图片

1.4、禁用控制面板

1、regedit打开注册表编辑器，锁定"HKEY_CURRENT_USERI\SOFTWARE\MicrosoftWindows\CurrentVersion\Policies\Explorer"”下新建DWORD值 NoControlPanel，设置值为1

文章图片

2、这次要注销之后才能生效

文章图片

1.5、去除快捷方式左下角小箭头

1、在桌面上，新建一个快捷方式

文章图片

2、打开注册表编辑器，锁定"HKEY_CLASSES_ROOT\Inkfile”找到项下的IsShortcut值，直接删除

文章图片

3、注销，再登录之后生效。虽然小箭头消失了，本质上还是快捷方式

文章图片

2、注册表编辑技巧 2.1、查找字符串、值或项

1、regedit打开注册表编辑器，“编辑->查看”

文章图片

2、在查找页面中，可以根据需求自由查找了

文章图片

2.2、将子项添加到收藏夹

1、锁定某个子项后，点击“收藏夹->添加到收藏夹”

文章图片

文章图片

文章图片

2.3、打印注册表

1、注册表编辑器中，“文件->打印”

文章图片

2.4、复制项名字

1、打开注册表之后，就右键某一项，点击复制项名称即可。实际上就是该项的地址。

文章图片

四、注册表维护 1、注册表被破坏后的常见现象

无法启动系统
无法运行或正常运行合法的应用程序
找不到启动系统或运行应用程序所需的文件
没有访问应用程序的权限
不能正确安装或装入驱动程序
不能进行网络连接
注册表条目有错误

2、注册表被破坏的原因

应用程序错误:在系统中安装过多的软件后，可能会出现彼此之间的冲突
驱动程序不兼容:安装系统时有很多驱动都是自动安装，容易产生不同硬件驱动程序不兼容情况，建议到官方网站下载对应稳定版驱动进行安装
硬件问题:主要出现在硬件质量上，比如硬盘或内存质量不过关造成读写错误、超频、CMOS、病毒等
误操作:误操作是最常见的原因，可能会导致注册表出现错误，严重者造成系统崩溃或无法启动系统

3、备份注册表

直接将注册表数据库文件进行备份
导出注册表

1、找到对应的项直接选择导出

文章图片

或者文件->导出

文章图片

2、选择保存的位置和文件的命名

文章图片

3、文件是以.reg为后缀的文件进行保存

4、恢复注册表

直接将数据库文件进行覆盖
将之前导出的项进行导入

双击reg文件文件进行导入

文章图片

或者
注册表编辑器中进行导入

文章图片

文章图片

5、锁定和解锁注册表

1、打开注册表编辑器，锁定到"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"项中新建DWORD值DisableRegistryTools，将值设置为1，表示锁定，设置为0表示解锁

文章图片

2、没注销，就直接生效了。

3、当注册表被锁定后，Windows自带的注册表编辑器就无法打开，需要使用外部第三方注册表编辑工具来进行打开，找到对应项，修改值为1

文章图片

五、注册表优化 1、清楚多余的DLL文件打开注册表编辑器，锁定到"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs"项，在这个项下存放的是共享的DLL信息，注意看括号里面的数据，它表示共享文件的数目，如果为0，则可将其删除

文章图片

2、安装卸载应用程序的垃圾信息打开注册表编辑器，锁定到"HKEY_CURRENT_USER\SOFTWARE"项和"HKEY_LOCAL_MACHINE\SOFTWARE"项，这两个项中
包含系统中的应用程序，对于已知的程序是知道的，主要是针对一些未知的程序进行删除和一些已经卸载了的残留

文章图片

文章图片

3、系统安装时产生的无用信息可以但是没必要系列

【网络安全入门到精通|Windows与网络基础（注册表基础和注册表维护与优化）】1、删除多余时区(必要情况下只保留北京时区)
到"HKEY_LOCAL_MACHINEISOFTWARE\MicrosoftWindows NT\CurrentVersion\Time Zones“项

文章图片

2、清除多余的语言代码(英语—0409、中文—0804)
锁定到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Locale"项

文章图片

3、删除多余的键盘布局
锁定到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout”项，下列每一个子项代表一种键盘布局

文章图片