从Win 95开始,微软在Windows中引入了注册表(registry)的概念,注册表是Windows的核心数据库,包含各种参数,直接控制Windows的启动、硬件驱动程序的装载、应用程序的各种状态信息和数据等。
注册表被组成子树及其项、子项、值项的分层结构,就像磁盘文件系统的目录结构一样,每个键都包含一组特定的信息,每个键的键名都是和它所包含的信息相关联的。
注册表的根主键不能被删除,也不可以添加新的根主键。
结构含义如下:
1.HKEY_CLASSES_ROOT(简称:HKCR,包含扩展名和COM组件类的信息)
该主键用于管理文件系统,记录的是Windows 操作系统中所有数据文件的信息,主要记录不同文件的文件名后缀和与之对应的应用程序。当用户双击一个文档时,系统可以通过这些信息启动相应的应用程序。
2.HKEY_CURRENT_USER(简称:HKCU,包含当前登录用户相关的软件配置和参数)
该主键用于管理当前用户的配置情况。在这个主键中我们可以查阅计算机中登录的用户信息、密码等相关信息。
3.HKEY_LOCAL_MACHINE(简称:HKLM)
该主键用于管理系统中的所有硬件设备的配置情况,在该主键中存放的是用来控制系统和软件的设置。由于这些设置是针对那些使用Windows 系统的用户而设置的,是一个公共配置信息,所以它与具体用户无关。
其中,HKLMSOFTWARE子键存储了一些Windows系统软件的配置信息,还存储了第三方应用程序的系统设置,如:应用程序中文件的路径和目录路径,以及相关使用许可证和期限信息。
4.HKEY_USERS(简称:HKU,包含了关于动态加载的用户配置文件和默认的配置文件的信息,同时还包含了出现在HKEY_CURRENT_USER中的信息)
该主键用于管理系统中所有用户的配置信息,电脑系统中每个用户的信息都保存在该文件夹中,如用户在该系统中的一些口令、标识等。
5.HKEY_CURRENT_CONFIG(包含了启动时由本地计算机系统使用的硬件配置文件的相关信息)
该主键用于管理当前系统用户的系统配置情况,如该用户自定义的桌面管理、需要启动的程序列表等信息
另外,HKEY_DYN_DATA是Windows 9x注册表的子目录树,不被windows 2000/xp使用;
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER是注册表中两个最重要的部分,应用程序一般在这里存储配置信息。
每个注册表项或子项都可以包含称为值项的数据,值项:一部分存储每个用户的特殊信息,一部分则存储应用于计算机所有用户的信息。
值项包括:指的名称、值的数据类型、值本身
注册表的数据类型:
REG_SZ:
(说明:固定长度的文本串)
REG_FULL_RESOURCE_DESCRIPTOR:
(说明:设计用来存储硬件元件或驱动程序的资源列表的一列嵌套数据)
REG_MULTI_SZ:
(说明:多个字符串,包含格式可被用户读取的列表或多值的值通常为该类型。项目用空格、逗号或其他标记分开)
REG_BINARY:
(说明:未处理的二进制数据,多数硬件组件信息都以二进制数据格式存储,而以十六进制格式显示在注册表编辑器中)
REG_DWORD:
(说明:数据由4字节长度的数表示,许多设备驱动程序和服务的参数是这种类型,并在注册表编辑器中以二进制、十六进制或十进制的格式显示)
REG_EXPAND_SZ:
(说明:长度可变的数据串,该数据类型包含在程序或服务使用该该数据时确定的变量)
注册表相关函数
1.RegOpenKeyEx函数
此函数在ADVAPI32.DLL用户模块中,它的作用是打开子键,函数原型:
LONG RegOpenKeyEx(
HKEY hKey, //要打开的主键句柄或标准项名
LPCWSTR lpSubKey, //要打开的子键名地址
DWORD ulOptions, //保留,必须为0
REGSAM samDesired, //存取掩码
PHKEY phkResult //存放打开子键句柄的地址
);
返回值:如果成功就返回0(ERROR_SUCCESS);失败则返回非零错误代码
2、RegQueryValueEx函数
此函数在ADVAPI32.DLL用户模块中,它的作用是获取一个项的设置值,函数原型:
LONG RegQueryValueEx(
HKEY hKey, //需要查找的主键的句柄或标准项名
LPCWSTR lpValueName, //需要查找的子键名地址
LPDWORD lpReserved, //保留,必须为0
LPDWORD lpType, //存放子键类型的缓冲区地址
LPBYTE lpData, //存放返回结果的缓冲区地址
LPDWORD lpcbData //存放返回结果字节长度的缓冲区地址
);
返回值:如果成功就返回0(ERROR_SUCCESS);失败则返回非零错误代码
3、RegSetValueEx函数
此函数在ADVAPI32.DLL用户模块中,它的作用是设置指定项的值,函数原型:
RegSetValueEx(
HKEY hKey, //需要设置键值的主键句柄或一个标准项名
LPCWSTR lpValueName, //需要设置的子键名地址
DWORD Reserved, //保留,必须为0
DWORD dwType, //键值类型
CONST BYTE * lpData, //所设置的数据地址
DWORD cbData //所设置的数据字节长度
);
返回值:如果成功就返回0(ERROR_SUCCESS);失败则返回非零错误代码
用Win32 API操作windows注册表步骤:
1、用RegOpenKey()或RegOpenKeyEx()打开想要操作的主键,获得一个句柄
2、将句柄传递给RegQueryValueEx(),RegSetValueEx()等函数来读写相应的键值
3、操作完毕后用RegCloseKey()关闭先前获得的句柄
注册表分析软件(两大类):
一类:注册表读写监视软件
另一类:注册表比较软件
1、注册表“监视员”-- Regmon
注册表实时监视软件,它将与注册表相关的一切操作(如:读取、修改、出错信息等)全部记录下来供用户参考,并允许用户对记录的信息进行保存、过滤、查找
2、注册表照相机 RegSnap
是一款分析windows注册表及系统配置文件更改的工具,原理:在不同时间段对注册表“拍照”,然后比较“拍照”结果,进而分析出注册表与系统文件的变化
3、注册表比较工具RegShot
是一个小巧的注册表静态比较工具,能够快速地帮助发现注册表变化,国产免费软件;作者:TiANWEI