1.开始>>运行.中输入regedit2.开始>>运行.中输入regedt32两种方式比较第一种方法打开的注册表编辑器和Win98下的一样，而且功能相同，而使用第二种方法打开的注册表编辑器则可以方便的设置权限，建议使用第2种方法打开注册表编辑器修改需要修改的权限设置部分以免被他人恶意修改。HKEY_CLASSES_ROOT在注册表中HKEY_CLASSES_ROOT是系统中控制所有数据文件的项。这个在Win95和Winnt中是相通的。HKEY_CLASSES_ROOT控制键包括了所有文件扩展和所有和执行文件相关的文件。它同样也决定了当一个文件被双击时起反应的相关应用程序。HKEY_CLASSES_ROOT被用作程序员在安装软件时方便的发送信息，在Win95和Winnt中，HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\Classes是相同的。程序员在运行他们的启动程序时不需要担忧实际的位置，相反的，他们只需要在HKEY_CLASSES_ROOT中加入数据就可以了。HKEY_CURRENT_USERHKEY_CURRENT_USER包含着在HKEY_USERS安全辨别里列出的同样信息。任何在HKEY_CURRENT_USER里的改动也都会立即HKEY_USERS改动。相反也是这样。HKEY_CURRENT_USER允许程序员和开发者易于存取目前登陆用户的设置。通过建立这个键，微软很容易在不涉及到用户的SID下改变，添加和设置。也就是说，所有当前的操作改变只是针对当前用户而改变，并不影响其他用户。HKEY_LOCAL_MACHINE是一个显示控制系统和软件的处理键。HKLM键保存着计算机的系统信息。它包括网络和硬件上所有的软件设置。（比如文件的位置，注册和未注册的状态，版本号等等）这些设置和用户无关，因为这些设置是针对使用这个系统的所有用户的。HKEY_USERSHKEY_USERS将缺省用户和目前登陆用户的信息输入到注册表编辑器，在win95中，它仅被那些配置文件激活的登陆用户使用，同样在nt下，它也是这样。win95从user.dat中取得他们的信息，winnt从ntuser.dat中取得信息。.dat文件包含了所有基于用户的注册表设置并且允许你取配置这些用户的环境。如果你改变了缺省用户的设置，所有新用户会继承同样的设置。而且，那些已经被建立的用户变的失效。HKEY_CURRENT_CONFIGwin95一般只使用一个硬件配置文件。如果有多个硬件配置文件。HKEY_LOCAL_MACHINE\Config中就会添加一个键。HKEY_LOCAL_MACHINE\Config包含了HKEY_LOCAL_MACHINE中相同的数据在启动时，你可以选择你愿意使用的配置文件。如果有多个安装，每次系统重新启动时，你就必须选择.HKEY_CURRENT_CONFIG是在启动时控制目前硬件配置的键在系统启动以后，任何地方的变化都会自动影响到它。程序员经常使用HKEY_CURRENT_CONFIG方便的来存取配置信息。HKEY_CURRENT_CONFIG包括了系统中现有的所有配置文件的细节。你的选择影响了哪一个硬件配置文件成为现在的。举例来说，如果配置0002被选择了，所有0002的配置信息会被映射到这些键上HKEY_CURRENT_CONFIG允许软件和设备驱动程序员很方便的更新注册表，而不涉及到多个配置文件信息。 HKEY_LOCAL_MACHINE中同样的数据和任何注册表的变化都会同时的变化。针对每种计算机配置使用的磁盘缓冲参数被放在注册表中的Hkey_Local_Mac-hine\Software\Microsoft\Windows\CurrentVersion\FSTemplates目录分支下面，而在HKEY_Local_Machine\System\CurrentControlSet\Control\FileSystem目录分支下面则包括了当前系统实际使用的计算机配置文件。@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@堵住漏洞——Administrator帐户要管好Administrator是系统内置的超级管理员帐户，它拥有最高的权限，而Windows XP系统默认并没有为它设置密码。这样，如果黑客入侵后就可以使用Administrator对系统为所欲为。应该为它设置一个强健的密码。步骤1：在桌面右击“我的电脑”选择“管理”，在弹出的窗口依次展开“计算机管理（本地）/系统工具/本地用户和组/用户”，然后在右侧窗格右击Administrator选择“设置密码”，按提示为Administrator添加复杂的密码。步骤2：为了更好保护Administrator，还可以在帐户列表右击Administrator选择“重命名”，将帐户更改为其它名称如“ADM”，然后再新建一个名为Administrator的受限帐户。这样即使黑客破解了Administrator的密码，他拥有的也只是受限帐户的权限。步骤3:如果要彻底解除Administrator的威胁，还可以启动注册表编辑器，依次展开[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users]，然后删除其下的[000001F4]和[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator]键值。这样重启后Administrator帐户即被彻底删除了。让用户名不出现在登录框中Win9x以上的操作系统可以对以前用户登录的信息具有记忆功能，下次重新启动计算机时，我们会在用户名栏中发现上次用户的登录名，这个信息可能会被一些非法分子利用，而给用户造成威胁，为此我们有必要隐藏上机用户登录的名字 。设置时，请用鼠标依次访问键值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon，并在右边的窗口中新建字符串"DontDisplayLastUserName",并把该值设置为"1"，设置完后，重新启动计算机就可以隐藏上机用户登录的名字。删除ipc$空连接 （ 禁止建立空连接）第一步：将HKEY_LOCAL _MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous 项设置为“1”，就能禁止空用户连接。第二步：打开注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\ LanmanServer\Parameters 项。对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。445端口的关闭HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0关闭“文件和打印共享”“HKEY_CURRENT_USER  Software  Microsoft Windows CurrentVersion Policies NetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。取消文件夹隐藏共享如果使用了Windows XP系统，右键单击C盘或者其他盘，选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事?原来，在默认状态下，Windows XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。怎么来消除默认共享?方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Sevices\Lanmanworkstation\parameters”，新建一个名为“AutoShareWKs”的DWORD值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。防范木马程序木马程序会窃取所植入电脑中的有用信息，因此也要防止被黑客植入木马程序，常用的办法有：  在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。抵御BackDoor的破坏如果计算机上网了，那么计算机就会存在着被黑客攻击的危险，而一旦被攻击中的，计算机就会面临着瘫痪或者被监视的安全威胁，其中有一个名叫BackDoor的后门程序，专门拣系统的漏洞进行攻击。为防止这种程序对系统造成破坏，我们有必要通过相应的设置来预防BackDoor对系统的破坏。设置时：1、用鼠标依次单击键值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run；2、在对应Run键值的右边窗口中，如果发现了“Notepad”键值，您只要将它删除就能达到预防BackDoor的目的了。抵御WinNuke黑客程序对计算机的攻击WinNuke是一个破坏力极强的程序，该程序能对计算机中的Windows系统进行破坏，从而会导致整个计算机系统瘫痪，所以我们有必要预防WinNuke的破坏性。我们可以在注册表中对其进行设置，以保证系统的安全。1、在注册表编辑器操作窗口中，用鼠标依次单击键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP；2、在对应MSTCP键值的右边窗口中，用鼠标单击窗口的空白处，从弹出的快捷菜单中选择“新建”/“DWORD值”，并给DWORD值取名为“BSDUrgent”，如果该键值已经存在，可以直接进行下一步；3、然后将BSDUrgent值设置为0，重新启动计算机后就可以实现目的了。防范非法入侵介绍如何防止本地用户非法入侵 Windows NT 系统的文章已经并不少见，但如何防范远程用户呢？当然，一般的做法是，可以在用户拨号进入系统（或通过局域网进入系统）时限制其对文件的访问权限，以达到保护文件的目的。但毕竟这种安全级别不够高，如何能将这些用户锁在系统的门外，以达到绝对安全的目的呢？NT为驱动器和系统目录创建默认共享的目的，是为了使系统管理员、备份程序和其他授权用户及服务性工作能顺利访问其他个人用户的文件。当其他用户访问您的系统时这些共享对象并不显现出来。但是任何一个远程 用户只要知道这些共享对象的确切名称，并且有访问权的话，他就可以与这些共享对象建立连接。令人遗憾的是，NT系统的安全机制非常脆弱。虽然SecurityPack5的出台为老用户提高到管理员水平而提供了一些补漏措施，并且还 有一些NT的安全检查方法，但仍然还会有其他漏洞存在。所以如果您的计算机在局域网上，或者是通过Modem连接 上网的，那么可通过取消这些组件的共享来保护数据。 为了达到此目的，打开NT的注册表编辑器。在注册表编辑 器中，将当前目录定位在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanagerserver\parameters，如果没有AutoShareWks键值名，那么请你新建立一个；然后再双击它并输入“3D0”，最后单 “确定”按钮、关闭注册表编辑器，然后重新启动计算机。ICQ中有“漏洞”ICQ是由以色列一家叫Mirabilis的公司出品的网络软件，其作用是为Internet上的用户提供实时的信息传递服务。有了它，你就可以同千里之外的朋友交流信息，还可以在对方不在线的情况下“呼叫” 他（她）上线，难怪广大网友都亲切地叫它“网络寻呼机”。但是，你是否知道在ICQ for Windows版本中 有一个“漏洞”。ICQ在Windows注册表中有一个键值被称为“Auto Update”（自动更新）。如果该键值被设 置成“Yes”，那么每一次登录到服务器的时候，就会将你的计算机中一些重要信息发送到登录的服务器上。 这些信息包括：你正在使用的操作系统类型、版本、序列号、用户登记名称、公司名称、所使用的浏览器版本等等。这些重要信息的发送可能会被黑客或某些别有心的人所利用，给你带来不必要的麻烦。为了避免此问题的发生可采用修改注册表关掉ICQ的“自动更新”功能。首先在注册表内找到 HKEY_CURRENT_USER\Software\Mirabilis\ICQ\DefaultPrefs位置，并在窗口右边找到“Auto Update”键值； 将“Auto Update”键值由“Yes”修改为“No”即可。为了你系统的稳定性，在进行修改时请注意要在关闭ICQ 应用程序的情况下进行修改。修改完毕后，请重新启动计算机。HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼Main主键，可以看到右边的“Window Title”键值数据已经被修改成为“欢迎访问XXXX网站”，要想恢复IE默认的标题栏显示，直接删除该“Window Title”键值即可，同时在HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Main主键下也会有一个“Window Title”键值被修改了，你也要一并将这里的“Window Title”键值删除。拒绝通过网络访问软盘为了防止病毒入侵整个网络，导致整个网络处于瘫痪状态，所以我们必须严格管理计算机的输入设备，以断绝病毒的源头，为此就要禁止通过网络访问软盘。设置时，首先单击开始按钮，从弹出的菜单中选择运行命令；随后，程序将弹出一个运行对话框，在该对话框中输入regedit命令，然后在打开的注册表编辑器中依次打开键值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]，在右边的窗口中看看有没有键值AllocateFloppies，如果没有请创建DWORD值，名字取为AllocateFloppies，把它的值修改为０或１，其中0代表可被域内所有管理员访问，1代表仅可被当地登陆者访问。修改浏览器中的搜索引擎在注册表中依次展开“HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Search”，在右侧窗口中把“CustomizeSearch”、“SearchAssistant”改为我们定义的搜索引擎，如http://www.yahoo.com.cn/，以后当我们每次点IE5.0的搜索引擎时，即可自动调出我们定义的搜索引擎，如上面设定的中国雅虎。为一台机器设置两个IP地址一般情况下只能为一个网络适配器绑定一个IP地址，但通过修改系统注册表，却可以为一个网卡绑定多个IP地址：打开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans目录分支，在此目录中可以看到多个名为0000、0001、0002…的目录，它们用于记录协议的安装情况。在它们中间找到DriverDesc为"TCP/IP"的目录，修改IPAddress和IPMask两个键。其中IPAddress为用逗号隔开的多个IP地址，IPMask是对应的掩码。例如设置IPAddress为"192.168.0.3，192.168.0.5"，IPMask为"255.255.255.0，255.255.255.0"时，表示为系统设置了两个IP地址192.168.0.3 和192.168.0.5提高开始菜单中子菜单的弹出速度点击“开始→运行”，再输入“regedit”，运行注册表编辑器，打开HKEY_CURRENT_USER\Control Panel\Desktop，从“编辑”菜单中选“新建”串值，串值名取“MenuShowDelay”，回车，再双击这个键值，改动其数值就可调节速度， 范围是1到2000，默认是400，数值越小越快。如果改为65535就表示要按键才显示了，此处将键值改为1。关闭注册表编辑器，并重新启动Windows后，你将发现开始菜单中子菜单的显示速度明显提高了。清理访问“网络邻居”后留下的信息打开HKEY_CURRENT_USER\Net work\Recent，其中记录了一系列命令操作的信息，包含被访问机器的名字、访问过的应用程序及文件名等，把Recent的子项删除掉。删除软件的残骸每一个Windows操作系统的的使用者可能都有这样的经历，由于种种原因直接在硬盘中删除了某个文件夹，或者是在“添加／删除程序”里面对一些软件进行反安装。但是有些程序却还有注册信息留在注册表内，当你再次从“添加/删除程序”中卸载该程序时，老是提示“试图删除XXXXXX时出错，放弃卸载”，从而导致了卸载程序错误。当机器中安装大量的软件后随着时间的后移，就在系统的注册表中就形成了垃圾，影响了机器的运行速度。下面介绍彻底清除这些垃圾的方法。用注册表编辑器来清除注册表中关于卸载应用程序的相关键值数据HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall位置，一般的软件在注册表内的反安装子键里有“DisplayName”、“UninstallString”这两个键值，第一个显示的是软件的名称、第二个 显示的是反安装的一些信息。双击第二个键值后，便会明白反安装是怎么回事，反安装实际上是你所安装的软件自带有一个反安装程序，在安装该软件时，它会自己记录一些安装信息存放Install.log文件中，卸载时用这个反安装程序再带上.log文件的参数即可。另外，有些软件反安装时使用的是系统提供的反安装程序。再如，许多应用软件在卸载之后仍会在注册表文件内留下一些无用信息。比较集中的地方在HKEY_LOCAL_MACHINE\Software、HKEY_CURRENT_USER\Software和HKEY_USERS\.Default \Software。这几项里面的内容基本上一致，在其中一处作查找删除就行了。比较常用到的方法是进入HKEY_LOCAL_MACHINE\Software分支中，然后重点查找那些已经确信被安全卸载了的软件的残留信息，在确认无误后删除。为了阻止恶意代码修改注册表，采取预防措施鉴于这种典型的恶意代码调用了“ActiveXComponent”类，所以我们可以在“查找：所有文件”对话框包含一栏输入“ActiveXComponent”，对“C:＼Windows＼Java＼Packages”文件夹进行查找，并将含有“ActiveXComponent.class”类的ZIP文件重命名。如果不放心的话，可以直接将“Java”文件夹进行更名。尽管这样可能会使一些精彩的网页不能正常显示，但相对于用户的安全性，这种代价也是值得的。注册表的远程连接注册表假如可以通过远程连接的话也是很麻烦的一件事,所以我们必须把注册表的远程连接关闭[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg]"RemoteRegAccess"=dword:00000001修改注册表防御D.D.O.S在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击SynAttackProtect REG_DWORD 2EnablePMTUDiscovery REG_DWORD 0NoNameReleaseOnDemand REG_DWORD 1EnableDeadGWDetect REG_DWORD 0KeepAliveTime REG_DWORD 300,000PerformRouterDiscovery REG_DWORD 0EnableICMPRedirects REG_DWORD 0点击“开始→设置→控制面板→管理工具→服务”，本地计算机上的所有服务都显示出来了，找到名称为“Remote Registry Service”、描述为“允许远程注册表操作”的服务，右键点击，选择“属性”。在对话框“常规→启动类型”处选择“已禁用”就OK了!若你以后想启动此服务，选择“自动”即可。http://www.yesky.com/SoftChannel/72348964619288576/20030507/1667265.shtmlhttp://www.yesky.com/20010929/199458.shtmlPC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的图形操作系统，如Win3.x中，对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的，但INI文件管理起来很不方便，因为每种设备或应用程序都得有自己的INI文件，并且在网络上难以实现远程访问。为了克服上述这些问题，在Windows 95及其后继版本中，采用了一种叫做“注册表”的数据库来统一进行管理，将各种信息资源集中起来并存储各种配置信息。按照这一原则，Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表，用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。与INI文件不同的是：1.注册表采用了二进制形式登录数据；2.注册表支持子键，各级子关键字都有自己的“键值”；3.注册表中的键值项可以包含可执行代码，而不是简单的字串；4.在同一台计算机上，注册表可以存储多个用户的特性。注册表的特点有：1.注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置，这使得修改某些设置后不用重新启动成为可能。2.注册表中登录的硬件部分数据可以支持高版本Windows的即插即用特性。当Windows检测到机器上的新设备时，就把有关数据保存到注册表中，另外，还可以避免新设备与原有设备之间的资源冲突。3.管理人员和用户通过注册表可以在网络上检查系统的配置和设置，使得远程管理得以实现。我们在前面已经详细介绍了注册表的由来与基本结构。发现注册表比较复杂，但又安排得非常有条理，能有效地提高工作效率，为系统的维护提供了必要条件。由于注册表是一个二进制的配置数据库文件（Windows的命根子），因而，用户无法直接存取注册表。为了让高级用户能够编辑注册表,Windows2000提供了注册表编辑器“c”和“Regedt32”。对这种只使用Windows提供的注册表编辑器进行编辑的操作。编辑器在安装Windows时已经被安装到硬盘中了，但是并未在“附件”程序组中建有快捷方式。用户如果需要使用注册表编辑器，可以在“运行”对话框内输入Regedt32或Regedit即可打开注册表编辑器,或者在“命令提示符”中执行Regedt32.exe也可以进入注册表编辑器.学习网站：http://www.itwen.com/01os/14reg/http://www.aopen007.com/bbs/showthread.asp?threadid=86http://www.yesadmin.com/Article/294/350/可以在DOS下完美恢复2000/XP注册表的工具ERUNT V1.1hhttp://down.egogoo.com/software/1638.Htmlhttp://soft.minicun.com/soft/17805.htm软件大小： 769 KB软件语言： 英文软件类别： 国外软件 / 免费版 / 系统备份应用平台： DOS/Win9x/NT/2000/XP升级说明：修正了ERUNT V1.1g汉化版无法在DOS下恢复注册表的问题。软件介绍：我们知道Win98/ME的注册表用手工就可以快速完成，而Win2000/XP/2003/NT的注册表用手工备份相当麻烦。ERUNT 是目前唯一可以在DOS下完美恢复2000/XP注册表的专用工具。使用方法：1、在WINDOWS下，运行ERUNT后，在其界面的“Backup to”后面指定备份注册表的位置和名称（默认为C:\WINDOWS\ERDNT\），然后在“Backup Options”选择备份选项，建议将下面的三个项目都选中，单击 “OK”按钮即可开始备份。需要注意的是，该软件仅能备份系统注册表中当前用户的注册表文件。需要恢复注册表时，运行ERDNT，选择恢复的注册表项目，单击“OK”按钮，再根据提示重新启动计算机即可。2、由于注册表损坏无法正常进入系统时，可在DOS下用CD进入相应的注册表备份文件夹，然后输入“erdnt.exe”命令，回车后即可在DOS下运行注册表恢复程序进行恢复。3、压缩包内BackupReg.bat是自动备份的批处理文件。4、NTREGOPT.EXE是软件自带的注册表优化工具。

第1章 认识注册表1.1 什么是注册表1.2 怎样访问注册表1.3 注册表的界面1.4 注册表的基本结构1.5 注册表文件的结构1.6 注册表的数据类型1.7 怎样编辑注册表1.8 注册表.REG文件

第2章 注册表编辑器的基本操作2.1.1建立键和键值2.1.2修改键和键值2.1.3删除键和键值2.1.4查找键和键值

第3章 注册表的备分与恢复3.1.1用scanreg备份win98注册表2.2.2导出备份注册表2.3.1用scanreg恢复win98注册表2.3.2导入恢复注册表