Windows注册表

Windows注册表（精选4篇）

Windows注册表 篇1

摘要：随着Windows系统的不断升级和改进, 用户在使用过程中对注册表的接触也越加频繁。注册表在操作系统中处于很重要的位置, 程序在安装和使用的过程中经常需要对注册表进行设置, 并且注册表能否正常运行直接会影响系统的安全性和稳定性。在本文中主要对注册表的操作和维护方面做了简要说明。

关键词：Windows系统,注册表,安全维护

一、引言

在对操作系统进行安装和维护的过程中, 经常会使用到注册表。作为Windows中的一个重要数据库, 注册表 (Registry) 被用来存放系统以及相关应用程序的设置信息。注册表最早出现在Windows 3.0推出OLE技术的时候随后被广泛应用在Windows NT系统中。

二、注册表的组成

注册表是Windows的核心组成部分。在硬件方面全部的硬件信息都会被保存在注册表中。Windows通过注册表中所描述的硬件驱动程序和参数来合理分配现有资源, 并装载硬件驱动。对于软件方面, Windows的系统性能、用户界面和网络功能等都受到注册表内信息的控制。系统中各种应用程序的安装、注册、启动参数、文件名关联等信息都需要使用到注册表。

1、注册表的组成一般包含数据库结构, 即层次结 构、注册表文件和数据类型三个部分

注册表的层次结构由项和子项、值项名称、值项数据类型和值项的值组成。类似于Windows系统中文件与文件夹的概念, 注册表中的数据信息也使用了层次结构, 结构如下图所示:

其中注册表的最顶层为系统定义的配置单元, 用HKEY来命名。在相值中名称的组成可以由任意数字、字符、空格和下划线构成, 单反斜杠不能使用。在相值中可存储不同类型的值, 数据包含64KB空间。项值中均含有一个为空或非空的缺省值, 即默认Default, 此外项值可以为空, 长度为零。

2、注册表文件

注册表中包含以下两个文件;

System.dat和System.da0, 前者主要包含了软件、硬件以及设备驱动等相关的计算机配置数据。后者是它的备份文件。当注册表文件由于各种原因损坏时, 系统可以通过重新启动来修复受损文件。

User.dat和User.da0, 在User.dat中主要含有系统桌面设置信息等用户特定的数据。User.da0为其备份文件。注册表文件的属性在系统中默认为隐藏, 在查看隐藏文件时需要现在组织选项布局中更改文件和文件夹的隐藏属性。

3、注册表数据类型

在Windows系统中常用的注册表数据类型有以下几种:

REG_BINARY, 该数据类型用来保存二进制数据, 可以用二进制数据来表示硬件信息和任意长度整数。

REG_DWORD , 用来保存双字节数据。在注册表编辑器中格式为二进制、十进制或十六进制。一般应用于设备服务的参数和驱动程序。数据所表达的整数范围为0至4294967296, 长度为4字节。

REG_EXPAND_SZ, 该数据类型可以存放扩展字符串, 数据类型包含在程序或服务使用该数据时确定的变量。

REG_MULTI_SZ, 可以储存多个字符串, 在多个字符串之间可以用逗号、空格等其他标记分开。

三、注册表的基本操作

在Microsoft中注册表的编辑器分为Regedit与Regedit32两种。两者的应用环境不同, Regedit32的功能与Regedit比较更全面一些。在打开注册表编辑器时先执行开始菜单中的运行命令, 在运行对话框中输入Regedit或Regedit32, 然后按回车键就可以进入注册表编辑器。

1、注册表项和项值的创建

在进行注册表项创建时先选定左侧窗口中的项, 然后依次运行编辑、新建、项命令。或是直接在所需创建子项的项上单击鼠标右键, 在弹出的快捷菜单中运行新建子菜单的项命令, 在所选定项的下方即会显示以“新项 #1”命名的子项。

项值的创建过程与项基本一致, 不同之处在于需要在新建子菜单中运行REG_SZ、REG_DWORD或REG_BINARY命令。所创建的项值名称默认为“新值 #1”。

2、注册表中项和项值的修改

项的修改是指修改项的名称, 项值的修改则涉及到名称和值两部分。在进行项值类型修改时只能通过删除再新建的方法来更改。项和项值的名称在更改时先选定所修改的区域, 然后运行编辑菜单中的重命名命令即可。在对项值的值进行修改时注册表编辑器会调用对应的编辑器来根据不同类型进行修改。

3、注册表中项和项值的删除

在删除项或项值时先要选定需删除的区域, 运行编辑菜单中删除命令即可。也可以直接使用Delete键, 在打开的确认项删除或确认项值删除对话框中选择是选项。

4、注册表的查找

注册表中包含有很多种内容, 查找是用户使用的比较多的操作, 对对象的查找操作步骤有以下三点:

(1) 首先确定所查找内容的起点。在查找整个注册表时, 需要在左侧窗口中选择“我的电脑”选项。

(2) 按Ctrl+F键或者下拉编辑菜单, 运行查找命令。

(3) 打开查找对话框, 将要查找的内容输入查找目标文本框中, 所查找的对象类型可以再查看栏中选择。之后运行查找下一个选项开始自动查找。继续查找时可以直接按F3键。

5、注册表项的导入和导出

在注册表中备份和修改等操作均可以利用注册表的导入和导出功能完成。注册表在导出后就可以成为使用文本编辑器的文本文件, 便于编辑和修改。在将经过修改的注册表导入, 对注册表进行修改。注册表文件在导出后一般后缀名为.REG, 即REG脚本文件或注册表脚本文件。

注册表的导入方式有两种, 一种是使用注册表编辑器, 另一种是使用资源管理器。在使用编辑器导入注册表时先运行注册表中导入注册表文件命令。将导入注册表文件对话框打开。然后在所打开的对话框中对所需导入的文件进行查找, 单击选中后运行打开命令即可完成导入。在使用资源管理器导入时先对要导入的文件进行双击操作, 在弹出的注册表编辑器对话框中会提示是否进行导入操作, 单击是选项即可完成操作。

在进行注册表导出时先在打开的注册表编辑器中首先选定需要导出的注册表项, 运行注册表中导出注册表文件命令。然后在弹出的导出注册表文件对话框中找到文件名文本框, 将需要导出的文件的文件名输入, 同时在保存类型的下拉框血象中确定文件的类型。

四、注册表安全性能的维护

注册表和系统中其他程序一样, 由于某些后台程序的漏洞在运行的过程中都会存在安全风险, 为了降低运行过程中的风险性, 注册表会提供一些内建的安全限制。例如对Regedit32注册表编辑器的应用范围做了限定, 对注册表中某一项或是整个表做权限设置。为了避免系统运行过程中用户对注册表的误操作, 可以使用注册表编辑器将注册表设置为只读模式。系统对注册表提供的基本权限有读取和完全控制两种。用户在被授予只读权限时无权修改注册表内的内容, 在授予用户完全控制权限后才可以对注册表进行编辑和修改。此外系统还提供了一些特殊权限, 例如数值的查询和设置、子项的创建和枚举、通知、创建连接、删除、写入和读取控制等。

1、对注册表设定权限

在进行注册表制定权限操作时首先要选定需要设定权限的注册表项。在安全项菜单栏中运行权限命令, 在打开的相关权限对话框中就可以对相关用户或用户组的权限进行设置。在对用户权限做特殊设置时可以通过权限界面中高级选项按钮来实现。如果希望父相和子项同时拥有可继 承权, 就可以复选允许将来自父系的可继承权限传播给该对象项, 如子项的现有权限需要被继承权限替换, 就需要选择重置所有子对象的权限并允许传播可继承权限。在做特殊权限设置时先在权限项目中选定用户或用户组, 然后单击查看 / 编辑按钮, 在打开的权限项目对话框中完成。

2、注册表项活动的审核

在审核注册表项的活动时首先选定所需审核的注册表项, 然后在安全菜单中运行权限命令。单击高级选项后选择审核标签, 在审核项目列表中添加用户或用户组。同样类似于权限的设置, 审核的项目也需要进行设置。在设置完成后返回到访问控制界面, 此时可以在审核项目列表框中看到已完成的审核项目。

3、注册表项所有者的更改

在进行注册表所有者更改时选择需要获得其所有权的注册表项, 然后在安全菜单中运行权限命令, 在高级选项按钮下打开所有者对话框, 将列表框下所有新用户做单击操作, 然后确定即可。注册表项的所有者可以对项的权限进行设置并授权给其他人, 作为管理员登陆时可以获得改注册表的所有权。

五、结束语

用户可以通过注册表定制桌面, 调整软件的运行性能以及检测和恢复系统。Windows中所有安装模块和应用程序在启动时都会根据注册表中的信息来设置运行环境, 注册表作为Windows系统操作系统中的重要组成部分对系统运行过程中的稳定和安全性都起到了很大的作用, 所以在日常的系统操作中注册表的应用也会越来越广泛。

参考文献

[1]一派注册表从入门到精通[J].北京:网络与信息, 2009年.

[2]汪振东.计算机注册表结构分析[J].河北:无线互联科技, 2012年.

[3]韦鹏宽.注册表与网络安全设置[J].天津:数字技术与应用, 2013年.

Windows注册表 篇2

WINDOWSNT/2000注册表控制项

1.HKEY_LOCAL_MACHINE

2.HKEY_CLASSES_ROOT

3.HKEY_CURRENT_CONFIG

4.HKEY_USERS

5.HKEY_CURRENT_USER

怎样进入注册表的编辑状态WindowsNT/2000提供了两个注册表修改工具，regedt32.exe和regedit.exe，

Windows注册表 篇3

计算机和网络的普及给人们带来了极大的方便, 但随之而来的却是计算机犯罪呈现日趋严重的趋势。在打击计算机犯罪中, 计算机取证技术研究就显得尤为重要。计算机取证是指运用计算机辨析技术, 对计算机犯罪行为进行全面分析以确认罪犯及计算机证据, 并据此提起诉讼, 这是对存在于计算机及其相关的设备中的电子证据进行获取、保全、鉴别、分析和提交的有效过程, 且取得的证据具有不可抵赖性[1,2]。计算机取证在打击计算机和网络犯罪中可实现的作用十分关键, 其目的是要将犯罪者留在计算机中的痕迹作为有效的诉讼证据提供给法庭[3], 因此, 计算机证据作为一种新的证据形式, 逐渐成为新的诉讼证据之一。

1 Windows系统注册表在计算机取证中的作用

Windows操作系统的注册表是一个集中管理计算机各种硬件设施、软件配置以及应用程序、并使其得以正常运行的核心数据库, 存储有不同的参数信息, 直接控制着开机过程中硬件设备驱动程序的加载、系统的正常启动以及部分应用程序的运行, 几乎所有的软件、硬件以及系统设置与注册表均高度相关[4,5]。

注册表不仅是Windows操作系统的核心, 同时也是Windows操作系统中最脆弱的部分[6]。目前, 注册表已经成为越来越多的黑客程序攻击的对象, 也是因为所有程序运行时都要对注册表进行操作。入侵和攻击事件往往是从修改注册表数据文件开始的, 对注册表的分析可以跟踪和定位攻击者, 再结合有效的技术手段把注册表文件作为有效证据起诉攻击者[7]。所以, 对于计算机取证分析而言, 注册表提供了大量丰富的信息, 记录着犯罪者实施犯罪的大量证据, 成为打击计算机犯罪非常重要的线索和证据来源, Windows注册表文件作为电子证据的一种, 在计算机取证中有着重要的意义[8]。

2 计算机证据的特点

计算机证据是指在计算机或计算机系统运行过程中产生或储存的, 并以其记录的内容来证明案件事实的记录物, 且该记录物具有多种输出表现形式[9]。与传统证据一样, 计算机证据必须是可信的、准确的、完整的、使法官信服的、符合法律法规的, 即可为法庭所接受的。

作为有别于传统证据的电子证据, 其典型特征如下[10]:

(1) 载体的依赖性。电子数据总是依托于一定的存储介质和电子设备而存在, 对电子数据的鉴定也将是立足于对存储媒介和电子设备的分析。

(2) 隐蔽性。计算机证据一般是非常规地隐藏存放在各种存储介质和电子设备中。

(3) 多样性。表现形式多样, 综合了文本、图像、图形、音频、视频等多种媒体信息。

(4) 脆弱易逝性。电子证据的内容很容易被破坏、删除, 甚至篡改, 且对其进行不可恢复的改动后不留下痕迹。

3 注册表分析

3.1 注册表键值分析

从Windows 95操作系统伊始, 注册表即应用于微软各版本操作系统中。文中以Windows XP (Service Pack 2) 系统的注册表为例, 对注册表的逻辑结构和物理存储方式进行解析。首先点击“开始”—“运行”—输入regedit, 打开注册表编辑器, 查看W i n d o w s注册表的逻辑视图, 如图1所示。

由图1可见, 在注册表编辑器中的左侧, 分别是注册表文件 (Hives) 和子键 (Keys) 。其中注册表文件主要包括5个根键。对其分别描述如下:

(1) HKEY_CLASSES_ROOT。储存在此Hive中的数据将确保在Windows资源管理器中执行的正确程序的打开。

(2) HKEY_CURRENT_USER。存储当前登录系统用户的配置信息, 包括用户文件夹、控制面板设置、环境变量等。取证调查人员可以从此文件中获取嫌疑人上网设置, 以及历史记录等重要内容。

(3) HKEY_LOCAL_MACHINE。存储当前运行的操作系统关于硬件配置的信息, 包括驱动列表、硬件安装与应用生成的配置信息等。取证调查人员可以在此获取嫌疑人设备的网络连接情况、移动存储设备使用情况等。

(4) HKEY_USERS。存储系统的登录用户信息和缺省用户的配置信息。

(5) HKEY_CURRENT_CONFIG。储存系统当前的硬件配置信息。

注册表编辑器的右侧是注册表存储的具体数据部分, 其中包括键值 (Values) 、数据类型 (Type) 以及具体的数据 (Data) 。注册表键值的主要类型有REG_DWORD、REG_BINA-RY和REG_SZ。分别地, REG_DWORD储存数字或布尔值;REG_BINARY储存超过32位的数字或者是原始数据, 如加密密码;REG_SZ储存Unicode编码的字符串, 如名字、文件名、路径和类型等。

3.2 注册表取证分析

3.2.1 时间的获取

在取证分析过程中需要确定检材的使用时间与嫌疑人所陈述时间是否吻合, 是否存在其他时间范围内使用的情况。从注册表中获取最近的关机时间:HKLMSYSTEMControl Set00xControlWindows。在这个子键下, 包含着一个名为“Shutdown Time”的键值, 隐藏着最近一次开机的时间, 如图2所示。

当查看“Shutdown Time”这个键值储存的数据时, 显示的是被加密的数据。注册表采取不同类型的加密方式对数据进行加密, 以起到隐藏数据、保护内容的作用。对于这种加密, 调查员可以利用工具Dcode.exe将数据解码出来, 如图3所示。

最近关机时间显示为:Tue, 16 March 2010 15:46:19+0800, 也即是北京时间2010年3月16日 (星期二) 下午15:46:19。

3.2.2 临时文件提取

在恢复获取案件硬盘的数据后, 首先要搜查的目标就是———临时文件。对临时文件的相关分析可以帮组取证人员获得符合作案时间范围内的嫌疑文件, 或者记录作案行径的痕迹。Windows XP系统“开始”菜单中所包含的临时文件应当首先进入排查:HECUSoftwareMicrosoftWindowsCurrent VersionExplorerRecent Docs, 这里记录了所有对应签名的临时文件。

另外, 随着系统启动, 很多程序、添加组件会自行运行, 而相应记录就会由注册表存储在下列文件中:

在注册表取证分析过程中, 作案时间的确定对案件的侦破具有极其重要作用。通过注册表的HKCUSoftwareMicrosoftWindowsCurrent VersionExplorerUser Assist可以获得记录时间。User Assist下一般包括两个子键, 其中第二个子键储存有关操作系统所运行的程序、进程、连接的记录, 但是所有键值以及数据的记录都是加密的。采用的加密算法是ROT-13, 一种类似于凯撒加密算法的替换加密技术。对于这种加密可以借助ROT-13.exe解码器来破解数据, 恢复原始的记录, 如图4所示。

图4中划线的程序记录, 数据为:HRZR_EHACVQY:Q:Pb'f GbbyfPbzchgre SberafvpfSvany Sberafvpf I3.1Svany Sber-afvpf.rkr, 解码后得到如图5所示的结果。

依据此解码结果, 取证调查人员可确定嫌疑人使用的软件或者连接, 下一步确定记录的时间。同样使用工具DCode.exe来得到这个十分关键的时间 (与之前的ShutdownTime处一样) 。

例如, 以上面Final Forensics V3.1.exe的时间获取为例, 如图6所示。

在图6中, 此处记录时间的数据为:03 00 00 00 06 00 0000 60 4a 35 c6 66 a9 ca 01。判断此软件使用次数的方法:第5个数值减去5即可。而判断此软件最近一次使用的时间, 则与后8位数值有关, 需通过DCcode.exe解码得到。利用此方法首先得到Final Forensics V3.1.exe共使用了1次。其次, 获取最近一次使用时间。后8位数值为:60 4a 35 c6 66a9 ca 01, 再次利用工具Dcode.exe便可以得到Final Forensics V3.1.exe在目标系统的最近使用时间是:2010年2月9号 (星期二) 下午17:03:41。这样, 取证调查人员便可以准确定位嫌疑人最近一次的作案时间。

3.2.3 硬件设备

注册表中LMSYSTEMControl Set00xEnumUSBSTOR下记录了所有本机加载的USB存储设备。该项可以和项Mounted Devices一起作为取证证据。

图7中USBSTOR下包括的移动存储设备使用信息是按照设备品牌分类的, 而信息的记录也是有规可循的。一般的记录规则是:设备类型&The Vendor ID (供应商) &The Product ID (产品) &Revision (版本) 。在每个品牌子键下, 则包含了在本地计算机所用过的此品牌所有型号的移动存储设备信息。

图7中标注的设备:Disk&Ven_Kingston&Prod_DT_101II&Rev_1.00。在设备标注中:Disk:表示U盘或者移动硬盘等;Ven_Kingston:显示了供应商是金士顿;Prod_DT_101II:则是产品的批次;Rev_1.00:版本是1.00;产品的序列号:001D0F1FEBFDF9A167470D1B&0。对于现在绝大多数Windows操作系统计算机的取证调查, 注册表部分是非常重要的, 因其隐藏着大量的重要线索, 对证据的提取、固定, 以及案件的侦破将发挥重大作用。

4 注册表取证实例分析

<案情>:嫌疑人利用U盘将涉密资料外泄, 并造成严重后果。

<待判证的要点>:嫌疑人从PC机A将涉密资料转移到PC机B上, 进行储存, 并且进行了一些操作。

<设备>:PC机A;PC机B;嫌疑U盘数个;

<使用工具>:Bit Sure I勘验取证系统;Check UDisk.exe;Final Forensics V3.1.exe。

对此案件的取证分析, 重点是根据外泄的资料、以及U盘使用记录锁定目标 (U盘) , 再根据恢复的数据固定证据 (外泄的资料) , 以确定犯罪行径。另外, 如果作为 (国家执法部门的) 取证人员, 还必须得到嫌疑人的口供。

第一步:首先必须对原始证据 (PC机A;PC机B;送检的数个U盘) 进行备份, 利用Bit Sure I勘验取证系统进行“位对位”的完全复制, 并封存原始证据。注意:取证人员须将操作步骤以报告的形式进行备案, 以达到法律效应。

第二步:分别将送检的数个U盘进行比对。首先查证某U盘是否曾在PC机A中使用, 查询一个U盘的信息如图8所示。得到U盘的信息后, 便可参照Vendor ID和Product ID在PC机A中查询是否存在使用痕迹。

利用Final Forensics V3.1对PC机A进行分析, 发现此U盘的使用痕迹, 如图9所示。包括U盘的供应商信息, 版本, 序列号, 最重要的是最近写入时间 (加框处) 。根据案情, 对比U盘的最近使用时间与作案时间的范围。

第三步:判断被锁定的U盘是否也在PC机B上使用过, 最近写入时间是否也在作案时间范围内。经查证, 确实存在此U盘的使用痕迹, 并且满足时间的范围。

第四步:对送检的PC机A、B以及锁定的U盘进行取证分析, 寻找证据 (涉密资料) 。此处, 结合Bit Sure I勘验取证系统, 以及专业取证分析工具Final Forensics V3.1的使用, 根据时间轴, 按照文件涉及类型进行分析。找到证据, 进行比对后将证据固定, 最终提取并生成完整的具有法律效应的报告。

5 结束语

本文阐述了计算机证据的特点和注册表文件在计算机取证中的作用, 在分析注册表结构的基础上, 对记录时间获取、临时文件提取和移动存储设备三种常见的计算机取证进行了深入分析, 注册表记录着犯罪者进行犯罪的大量证据, 成为打击计算机犯罪非常重要的线索和证据来源。通过实例分析验证了注册表在获取计算机犯罪证据过程中的重要性, 对当前的计算机取证具有一定的现实指导意义。

参考文献

[1]Bill Nelson, Amelia Phillips, 等著.计算机取证调查指南[M].杜江, 白志, 刘刚, 译.重庆:重庆大学出版社, 2009.

[2]汤振华.Windows注册表取证分析技术研究[D].杭州:杭州电子科技大学, 2009.

[3]麦永浩, 孙国锌, 许榕生, 等.计算机取证与司法鉴定[M].北京:清华大学出版社, 2009:3.

[4]胡亮, 王文博, 赵阔.计算机取证综述[J].吉林大学学报 (信息科学版) , 2010, 28 (4) :378-384..

[5]文少勇, 王箭, 李剑.基于Winsows平台的动态取证系统[J].计算机系统应用, 2012, 21 (2) :13-17.

[6]张登银, 高德华, 李鹏.一种新的注册表隐藏Rootkit检测方案[J].江苏大学学报, 2010, 31 (3) :328-332.

[7]丁丽萍, 王永吉.计算机取证的相关法律技术问题研究[J].软件学报, 2005, 16 (2) :260-274.

[8]王璐瑶.分布式动态计算机取证技术的研究与实现[D].成都:电子科技大学, 2012.

[9]尹丹.计算机取证中的注册表信息挖掘[J].计算机安全, 2010 (6) :58-61.

Windows注册表 篇4

10)禁止死网关监测技术

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters

EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)

说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份

网关.有时候这并不是一项好主意,建议禁止死网关监测.

11)不支持路由功能

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters

IPEnableRouter REG_DWORD 0x0(默认值为0x0)

说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题.

12)做NAT时放大转换的对外端口最大值

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters

MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)

说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常

情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最

接近的有效数值(5000或65534).使用NAT时建议把值放大点.

13)修改MAC地址

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass

找到右窗口的说明为“网卡”的目录,

比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}

展开之,在其下的0000,0001,0002...的分支中找到“DriverDesc”的键值为你网卡的说明,

比如说“DriverDesc”的值为“Intel(R) 82559 Fast Ethernet LAN on Motherboard”

然后在右窗口新建一字符串值,名字为“Networkaddress”,内容为你想要的MAC值，比如说

是“004040404040”