SECURITY子键，保存了Windows系统安全信息， 有Active Directory用户管理器进行管理。
• 1.HARDWARE子键
• 保存了所有硬件设备的配置信息，是注册 表的一个动态分支，每当计算机引导时， 都会对其进行重新配置。一般情况下，该 键右边窗口内容为空，即不允许对这些信 息进行直接控制。
（1）AVI子键 设置AVI文件的类标识。 （2）WAVE子键 设置WAVE文件的类标识。
6.shell子键 设置视频文件的外壳。
（1）open子键 设置打开avi文件的程序。 （2）play子键 指定播放名令的程序。
• 7.shellex子键
• 8.Interface子键
存储了系统中的接口标识（IID），每个标识 都与系统中的一个接口对应。
三、HKEY_LOCAL_MACHINE
• 其下共有5个主键，包含系统和绝大多数应用软件 的配置信息，这些设置与当前登录的具体用户无 光。
• HARDWARE:保存了计算机的所有硬件信息。 • SOFTWARE：保存了几乎所有的软件配置信息。 • SYSTEM：保存了当前的系统信息。 • 这3项均可由用户自行修改和设定。对SAM和
4.Keyboard Layout主键 定义了当前活动键盘布局的值。 work主键 描述永久性和最近网络连接的子键。 6.RemoteAccess主键 用于远程网络访问的地址和配置文件子键。 7.Software主键 描述当前用户的软件设置的子键，并包含了某些初
始化文件中存储的特定程序信息。
• （2）Schemes(声音分配方案)：包含了特定系统事件 （如出现错误信息时）加载的声音文件的路径。
2.ControlPanel主键 • 存储与控制面板设置有关的内容。
• 3.installLocationMRU(most recently used,最近使 用的)主键
包含了最近安装程序的位置，及与安装路径有关的 信息。
• （6）在【输入要选择的对象名称】中也可直接输入需要 添加的用户或组，单击【确定】。
• （7）用户可根据实际需要，选取【应用到】下拉列 表框 中的【只有该项】、【该项及其子项】、【只有子项】3 个选项。在【权限】列表框中可通过选中【允许】或【拒 绝】，来为当前用户或组设置其所拥有的权限。
• （8）单击【确定】，即可生效。
• 而CELL有好几种类型
• 比如 key cell(cm_key_node) value cell(CM_KEY_VALUE) subbkey-list cell,value-list cell等
• HIVE中文名曰“储巢”。每个HIVE文件可以被理 解为一棵单独注册表树，它也有自己的组织形式 。
• 2.SOFTWARE子键
• 列出了计算机中已安装组件和应用程序的集合， 该项对不同的机器，随着安装软件的不同而不同。
• （1）Classes分支
• 与HKEY_CLASSES_ROOT的根键下的内类容一 致。
• （2）Microsoft分支
该项保存了系统中所有与Microsoft应用程序和组件相关的配 置信息。
• 2.SID子键
• SID指当前登录用户的SID。网络内每位用 户都会由用户管理器分配一个独一无二的 SID来标识用户。
• 3.SID_CLASSES子键
• 系统自动生成一个SID_CLASSES子键，用 于保存与该用户相关的系统类标识。
五、HKEY_CURRENT_CONFIG
• 主要保存了系统的当前配置，如果Windows系统启动时设 置了多个配置文件，则启动时的【最后一次正确系统配置】 菜单将会被激活以供用户选择，该根键下保存的就是系统 启动时所需的硬件配置信息。
（5）Identities子键 保存了outlook Express用户的主标识。 （6）Keyboard Layout子键 设置系统键盘的布局方案。
（7）Software子键 列出了系统中已经安装的应用程序。
（8）UNICODE Program Group子键 在系统执行程序管理器是使用，一般情况下不用。
• 1.AVIFile主键
当选中某个扩展名键时，在“注册表编辑器” 窗口的右窗格中将显示相关键值信息。
• CLSID是一个“分类标识”符，存储了系统 中的所有类标识（CLSID），每个类标识用 于惟一标识一个“com”对象。
2.Defaulticon子键
设置AVIFile的默认图标。用户可通过修改数 值来更换图标。
操作系统下用来描述设备或文件等数据信
息的文件。INF文件是由标准的ASCII码组 成。
• 物理上的HIVE文件
• 1 注册表是由许多个HIVE文件组成的。
• 一个HIVE文件由许多个BIN组成,一般一个HIVE文 件的开头会有一个文件头,用与描述这个HIVE文件 的一些全局信息。
• 一个BIN由许多个CELL组成
二、HKEY_CURRENT_USER
• 存储当前登录用户的信息。它是在登录过程中从 HKEY_USERS项生成的，是对HKEY_USER\.DEFAULT 子键的映射。它们之间任何一个得改动都会影响到另一个。
1.AppEvents主键 • 存储已注册的各种应用事件。
• (1)EventLables:各个事件的名称和与之对应的详细说明。
• D.RUN：存储系统启动时需要运行的程序，删除其中的某 文件就可在系统启动时禁止运行该程序。
• 3.System子键
保存了计算机启动时所需要的各种信息，以 及在出现故障时恢复系统所需要的信息， 这些信息主要通过控制集的方式实现搜集 和存储。
• Inf：/Windows/INF文件夹中存放有大量的 INF文件。该文件夹一般处在隐含状态，如 果你想查看该文件夹，可选择“查看→文 件夹选项→查看”，然后在“文件和文件 夹”选项下选择“显示所有文件”。INF是 Device INFormation File的英文缩写，是 Microsoft公司为硬件设备制造商发布其驱 动程序推出的一种文件格式，是Windows
第6章全面了解注册表编辑器
6.1注册表编辑器的视窗结构
默认键值项
默认键值
根键
子键 活动键
数据口
键值窗口
6.2注册表结构通览
• 在注册表中，每个键都包含了一组特定的信息， 每个键的键名都与其所包含的信息相关联。
• 一、HKEY_CLASSES_ROOT 记录了Windows系统中所有数据文件的信息，包括
• 一个HIVE文件由多个巢箱（BIN）组成，HIVE文 件的首部有一个文件头（基本块、base block）， 用于描述这个HIVE文件的一些全局信息
• 一个BIN由多个巢室（CELL）组成，CELL可以 分为具体的5种，用于存储不同的注册表数据。
四、HKEY_USERS
• 存储了当前的用户标识、密码列表等用户 信息。包括用户自定义的配置信息。各个 用户都是用其安全标识（SID）列出的，并 不显示用户名信息。
名称】列表中选定之后，在“XXX权限”列表框中通过选 中或取消【允许】和【拒绝】复选框，来添加或取消该用 户或组某一权限的所有权。
• （4）如需要对某个组或用户进行特殊权限的高级设置， 单击【高级】按钮，即可进行设置。在【权限】选项卡中 单击【添加】，即可打开【选择用户或组】对话框。
• （5）单击【对象类型】可设置选择对象类型；单击【位 置】可设置所添加的用户或组所在的位置。
• 一、设置注册表的使用权限 修改组成员权限设置的步骤如下： （1）如为某个用户或组分配单独主键或子键的使用权限，
则可先选定该根键或子键分支。 （2）执行【编辑】|【权限】命令项，打开权限设置对话框，
可设置为“完全控制”、“读取”、“特别的权限”。 （3）如要更改组或单个用户的当前权限，可在【组或用户
• 1.Software子键 • 列出了一些特殊硬件专用的软件和字体，通常情
况下很少出现。
• 2.System子键
• 保存了当前配置文件的专用设置。
• （1）Control子键
• 存储了Windows操作系统硬件相关的设置参数。 同时还包括Class（列出了控制面板所使用的图标） 和Print（列出了控制面版所安装的打印机设置）。
二、注册表的审核
• 管理员可以查看哪个用户曾对注册表进行过编辑，也可以 是在本地编辑的，还可以是在一个远程位置编辑的。
• 激活审核机制的具体操作步骤如下： • （1）先选择需要审核的键或子键，可以直接选中。 • （2）执行【编辑】【权限】，在打开的权限对话框中，
单击【高级】按钮，打开【审核】选项卡。 • （3）单击【添加】按钮，选择相应的用户或分组后，单
•⑦ Hkey_local_machine\Software\microsoft\windows\Curren tVersion下的子键：
• a.App Paths：存储已安装程序的路径，在此处可以删除 卸载不完全的程序安装文件。
• b. Control Panel：存储控制面板中的部分参数。
• C.Explorer：存储资源管理器中的参数。
• （2）Enum子键
• 是一个设备数据库，存储了计算机中所有 安装且被系统认识的设备。
• （3）SERVICES子键
• 根据不同硬件配置文件，已装载的驱动程 序的所有差异都将在SERVICES下显示出 来，这一项的具体内容和安装的硬件有关。
6.3注册表的安全管理
• 用户可以将键及子键的权限赋于组/用户，可以决定权限 是否可继承，还可以根据用户的不同级别设计权限的整体 结构。
pressors子键 （1）auds子键：设置音频数据压缩程序的类标识。 （2）vids子键：设置视频数据压缩程序的类标识。
4.protocol子键 其分支下的子键包含了执行程序和编辑程序的路径
和文件名。
（1）StdExecute子键 指定AVIFile的标准执行程序。 （2）StdFileEditing子键 设置标准文件编辑程序。