Windows系统常见自启动程序注册表键值
一、直接加载的位置
1、Load注册键
介绍该注册键的资料不多,实际上它也能够自动启动程序,位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
建一个字符串名为load键值,为自启动程序的路径但是要注意短文件名规则,如c:\programfiles应为c:\progra~1,这种方式用优化大师看不到。
据说建立run=键值也是可行的,需要注意没有测试过。
2、Winlogon\Userinit注册键
存放位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 找到“Userinit”这个键值,这个键值默认为c:\WINNT\system32\userinit.exe,后面加路径,再加逗号也可以。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe”(不含引号)。
注意下面的Notify、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
3、Explorer\Run注册键
和load、Userinit不同,Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE 下都有,具体位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl
orer\Run。
4、RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序,RunServicesOnce注册键的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnc e;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Once。
5、RunServices注册键
RunServices指定的程序紧接RunServicesOnce指定的程序后运行,两者都在用户登录之前,位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionRunServices;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 。
6、RunOnceSetup注册键
RunOnceSetup指定了用户登录之后运行的程序,它的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSet up。
7、RunOnce注册键
安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。
HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时间在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。
8、Run注册键
Run是自动运行程序最常用的注册键,位置在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。
HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在“启动”文件夹运行之前执行。Run的程序是在每次系统启动时被启动,RunServices则会在每次登录系统时被启动。
9、ImageFileExecutionOptions下的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFile ExecutionOptions下的注册表项,项名为A.exe,然后在下面新建一个字符串,字符串名为Debugger,字符串值就是程序B.exe的全路径。这个是针对系统可以设置每个程序指定的纠错程序来实现的。让我感到意外的是A.exe不用指明路径!
10、开始菜单启动组
现在的木马大多不再通过启动菜单进行随机启动,但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项,可以右击它选择“查找目标”到相应的文件的目录下查看一下,如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看,它的位置为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFol ders,键名为Startup。
11、Winlogon\shell
在以下键值位置:
HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogo n;
里面的shell建值在Explorer.exe的后面加上我们程序的路径这样我们的程序就可以随系统启动了。
比如我的c:\windows\system32\下有个hehe.exe木马。
12、COMMAND的AUTORUN
利用CMD.EXE的autorun:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessor下面建一个字串AUTORUN,值为要运行的.bat或.cmd文件的路径,木马可以加载在AUTORUN键值下。这样在运行CMD命令的时候一起加载运行。
注意:
1、如果需要运行.dll文件,则需要特殊的命令行:
Rundll32.exeC:\WINDOWS\FILE.DLL,Rundll32
2、解除这里相应的自启动项只需删除该键值即可,但注意不要删除系统键值。
3、如果只想不启动而保留键值,只需在该键值加入rem即可:
“remC:\Windows\a.exe”
13、System\Shell
存放位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 键值名称:Shell,下面的数据为启动文件名。
14、System\Scripts下Logoff(Logon)键值
注意以下分支的Logoff(Logon)键值可能加载文件:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts;
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts。
15、AppInit_DLLs键值
在以下位置:
HKLM\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINDOWS,
有一个键值APPINIT_DLLS,一些DLL木马可以在这个位置上直接加载,这种方式加载的木马无法在任务管理器中看到。如求职信病毒就是让系统执行DllMain来达到启动木马的目的,因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
16、bootexecute键值
在以下位置:
HKLM\SYSTEM\CONTROLSET001\SESSIONMANAGE下面,有一个名为bootexecute 的多字符键值,默认数值是:autocheckautochk*。
17、Winlogon\Notify
位置:
HKLM\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINLOGON\NOT IFY,
此处位置也需要特别的留意。
18、RunOnceEx
XP操作系统,还需要检查一下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 键值位置的内容
19、Explorer\shellfolders和usershellfolder
以下四个键值位置需要注意:
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS;
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\Usersh ellfolder
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\Usersh ellfolder
20、ShellServiceObjectDelayLoad
以下注册表分支:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService ObjectDelayLoad
下可能有可疑键值。
二、文件关联
1、EXE文件关联
另外[HKLM\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马,比如把键值修改为“X:\windows\system\ABC.exe"%1"%”。这里的意思是:更改文件的打开方式,这样就可以使程序跟随您打开的那种文件类型一起启动。举例来说,打开注册表,展开注册表到HKEY_CLASSES_ROOT\exefile\shell\open\command,这里是exe文件的打开方式,默认键值为:“%1”%*。如果把默认键值改为Trojan.exe“%1”%*,您每次运行exe 文件,这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式,而大名鼎鼎的木马冰河采用的是也与此相似的一招——关联txt文件。
关联表:
[HKEY_CLASSES_ROOT\exefile\shell\open\command]@=\"%1\"%*
[HKEY_CLASSES_ROOT\comfile\shell\open\command]@=\"%1\"%*
[HKEY_CLASSES_ROOT\cmdfile\shell\open\command]@=\"%1\"%*
[HKEY_CLASSES_ROOT\batfile\shell\open\command]@=\"%1\"%*
[HKEY_CLASSES_ROOT\htafile\shell\open\command]@=\"%1\"%*
[HKEY_CLASSES_ROOT\piffile\shell\open\command]@=\"%1\"%*
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]@=\"%1\"%* [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]@=\"%1\"% *
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]@=\"%1\"% *
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\shell\open\command]@=\"%1\"%* [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]@=\"%1\"%* JSEFile\Shell\Edit\Command%SystemRoot%\System32\Notepad.exe%1
JSEFile\Shell\Open\Command%SystemRoot%\System32\WScript.exe"%1"%*
JSEFile\Shell\Open2\Command%SystemRoot%\System32\CScript.exe"%1"%*
JSFile\Shell\Edit\Command%SystemRoot%\System32\Notepad.exe%1
JSFile\Shell\Open\Command%SystemRoot%\System32\WScript.exe"%1"%*
JSFile\Shell\Open2\Command%SystemRoot%\System32\CScript.exe"%1"%*
VBEFile\Shell\Edit\Command%SystemRoot%\System32\Notepad.exe%1
VBEFile\Shell\Open\Command%SystemRoot%\System32\WScript.exe"%1"%*
VBEFile\Shell\Open2\Command%SystemRoot%\System32\CScript.exe"%1"%* VBSFile\Shell\Edit\Command%SystemRoot%\System32\Notepad.exe%1
VBSFile\Shell\Open\Command%SystemRoot%\System32\WScript.exe"%1"%*
VBSFile\Shell\Open2\Command%SystemRoot%\System32\CScript.exe"%1"%*
scrfile\Shell\config\Command%1
scrfile\Shell\install\Commandrundll32.exedesk.cpl,InstallScreenSaver%l
scrfile\Shell\Open\Command"%1"/S
txtfile\Shell\print\Command%SystemRoot%\system32\NOTEPAD.EXE/p%1
txtfile\Shell\printto\Command%SystemRoot%\system32\notepad.exe/pt"%1""%2""%3""% 4"
txtfile\Shell\open\Command%SystemRoot%\system32\NOTEPAD.EXE%1
inifile\Shell\Open\Command%SystemRoot%\System32\NOTEPAD.EXE%1
inifile\Shell\print\Command%SystemRoot%\System32\NOTEPAD.EXE/p%1
chm.file\Shell\open\Command"C:\WINNT\hh.exe"%1
2、CMD.EXE关联
在执行CMD.EXE命令时,可以顺便执行附带的程序文件:
存放位置:
HKLM\Software\Microsoft\CommandProcessor\AutoRun
HKCU\Software\Microsoft\CommandProcessor\AutoRun
HKEY_USERS\DEFAULT下也可以加载
这两个键值的内容在你不是用cmd.exe/D格式来启动cmd程序的话,会在启动cmd.exe之前先去执行这两个键值指定的程序。
三、木马加载为系统服务
1、常规启动:
有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices ]下查找可疑键值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。
通过更直接的管理界面操作:在“运行”中输入“Services.msc”打开服务设置窗口,里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务,双击打开它,把启动类型改为“已禁用”,确定后退出。
通过注册表进行修改,依次展开“HKLM\SYSTEM\CurrentControlSet\Services\服务显示名称”键,在右边窗格中找到二进制值“Start”,该数值内容记录的就是服务项目驱动程序该在什么时间被加载,修改它的数值数:“0”表示BOOT状态,“1”表示SYSTEM启动,“2”表示自动启动,“3”表示手动方式加载,“4”表示已禁用。当然最好直接删除整个主键,平时可以通过注册表导出功能,备份这些键值以便随时对照。
2、安全模式启动:
当系统启动到“安全模式”和“命令行安全模式”时,
所启动的服务列表可以在下面的注册表键得到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
当系统启动到“有网络的安全模式”时,
所启动的服务列表可以在下面的注册表键得到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
四、木马加载为系统驱动
位置是:
KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\的位置上有这样的地址。
该地址是系统启动VxD驱动文件放置的地址,就像PrettyPark这个蠕虫一样,可以建立一
个主键之后把VxD文件添加到注册表中在这里。
注意:不可以直接把一个EXE文件改名为VxD文件,需要另外进行编程,生成的VxD文件。
五、恶意脚本加载为配置
写一个guest.vbs文件,启动时创建一个帐号或者激活guest用户或者tsinternetuser用户。在[HKEY_LOCAL_MACHINE\Software\Microsoft\CommandProcessor]下建立"AutoRun"="C:\ProgramFiles\guest.vbs"这样运行cmd.exe就会运行脚本guest.vbs程序了。
六、GINA启动可疑程序
GINA(Graphicalidentificationandauthorization图形化认证和授权)就是那个三键登录,作用是计算机用户和WIN系统认证之间的中间人。
ARMEVIDSTROM程序:
HKLM\software\microsoft\windowsnt\currentversion\winlogon\ginadll=REG_SZ:fakegina. dll
这个fakegina.dll就会在三键登录时候将帐户信息写到文本文件的,原来的正常程序是MSGINA.DLL文件。
七、进程的崩溃调试
HKLM\software\microsoft\windowsnt\currentversion\aedebug
debugger=程序崩溃时候运行的调试器名字
AUTO1=立即运行调试器,0=首先询问用户。
默认情况下缺省配置是AUTO=1DEBUGGER=DRWTSN32.EXE
安装了编译程序平台后AUTO=0DEBUGGER=MSDEV.EXE
Win10各种注册表小设置,不断更新中...
去除搜索按钮 复制粘贴一下内容,保存为reg文件,双击,确定(注意导入后需要重新启动资源管理器)Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Search] "EnableProactive"=dword:00000000 恢复搜索按钮1.导入如下即可(两个注册表任选其一即可恢复注意导入后需要重新启动资源管理器) Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Search] "EnableProactive"=dword:00000000 2. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Search] "EnableProactive"=dword:00000001 去除多任务(虚拟桌面)按钮(同一楼,复制粘贴保存为reg文件)
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MultitaskingView\AllUpView] "Enabled"=dword:00000000 恢复多任务按钮 1. Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\MultitaskingView\AllUpView] "Enabled"=dword:00000000 2. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MultitaskingView\AllUpView] "Enabled"=dword:00000001 预览版更新选择功能,预览版微软锁定了选择权,现提供注册表方法更
VB编程常用的注册表键值
VB编程常用的注册表键值 1.HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD 功能:禁用或启用命令提示符(CMD) 设置:0:启用CMD 1:禁用CMD 数据类型:REG_DWORD 2.HKEY_CURRENT_USER\ Software \Microsoft\ Windows \CurrentV ersion \Policies \System\DisableRegistryTools 功能:禁用或启用注册表编辑器(Regedit) 设置:0:启用注册表编辑器 1:禁用注册表编辑器 数据类型:REG_DWORD 友情提示: 在试这个之前,最好先新建一个VB工程,然后将以下代码粘贴到Form_Load()事件下,然后再试禁用注册表,如果发现运行注册表编辑器时显示注册表编辑器被禁用,就运行这个工程,当窗体出来时就可以解禁注册表管理器: Set WSHShell = CreateObject("WScript.Shell") WSHShell.regwrite " HKEY_CURRENT_USER\ Software \Microsoft\ Windows \ CurrentV ersion \ Policies \System\ DisableRegistryTools", 0, "REG_DWORD" 3.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV ersion\Policies\System\ DisableTaskMgr 功能:禁用或启用任务管理器(TaskMgr) 设置:0:启用任务管理器 1:禁用任务管理器 数据类型:REG_DWORD 4.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV ersion\Run 功能:Windows开机自启动路径 设置:将程序的路径加入到此路径下,保存为REG_SZ类型,就可以开机自启动 数据类型:REG_SZ 5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV ersion\Explorer\Advanced\Hidden 功能:是否将属性为隐藏的文件真的隐藏 设置:0:不真的隐藏(半透明显示) 1:真的隐藏 数据类型:REG_DWORD 6.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV ersion\Explorer\Advanced\HideFileExt 功能:是否隐藏文件的拓展名
注册表键值大全
注册表键值大全 使系统没有“运行”选项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRu n 让操作系统无“关闭系统”选项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCl ose 让操作系统无“注销”选项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLo gOff 让操作系统无逻辑驱动器C HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDr ives 让操作系统无法切换至传统DOS的实模式下 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\N oRealMode 让系统登录时显示一个登录窗口,以下是写入启动弹出对话框标题 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\Legal Noti ceCaption 写入启动弹出对话框内容 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\Legal Noti ceText 二、对IE 相关注册表项值项的修改 设置浏览器默认主页 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\First Home Page
Win10各种注册表小设置
Win10各种注册表小设置 很多人不适应Win10的新功能,且还有强迫症,讨厌任 务栏的搜索和多任务按钮。现提供屏蔽方法。去除搜索按钮 复制粘贴一下内容,保存为reg文件,双击,确定(注意导 入后需要重新启动资源管理器)Windows Registry Editor Version CurrentVersion\Search]"EnableProactive"=dword:00000000如何你想恢复,导入如下即可(两个注册表任选其一即可恢复 注意导入后需要重新启动资源管理器)Windows Registry Editor Version CurrentVersion\Search]"EnableProactive"=dword:00000000或者导入Windows Registry Editor Version CurrentVersion\Search]"EnableProactive"=dword:00000001去除多任务(虚拟桌面)按钮(同一楼,复制粘贴保存为reg 文件)Windows Registry Editor Version CurrentVersion\Explorer\MultitaskingView\AllUpView]"Enable d"=dword:00000000恢复多任务按钮Windows Registry Editor
Version CurrentVersion\Explorer\MultitaskingView\AllUpView]"Enable d"=dword:00000000或者Windows Registry Editor Version CurrentVersion\Explorer\MultitaskingView\AllUpView]"Enable d"=dword:00000001预览版更新选择功能,预览版微软锁定 了选择权,现提供注册表方法更改从不检查更新(不推 荐)Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\WindowsUpdate\Auto Update]"AUOptions"=dword:00000001检查更新,但是让我选择是否下载和安装更新Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\WindowsUpdate\Auto Update]"AUOptions"=dword:00000002下载更新,但是让我选择是否安装更新Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\WindowsUpdate\Auto Update]"AUOptions"=dword:00000003自动安装更新(推荐)Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
WINDOWS 注册表---注册表数据结构(一)
注册表数据结构(一) 使用注册表编辑器之前,首先得了解注册表的数据结构,例如注册表的显示方式、主键与子键、键值项数据的类型等等。 注册表显示方式 在Windows系统中,注册表是采用“关键字”及其“键值”来描述登录项及其数据的。所有的关键字都是以“HKEY”作为前缀开头。实际上,“关键字”是一个句柄。这种约定使得系统及应用程序的开发人员,可以在使用注册表中的API函数时把它用于应用程序的开发中。为此,Windows提供了若干API函数,以便在开发 for Windows 应用程序时添加、修改、查询和删除注册表的登录项。 在注册表中,关键字可以分为两类:一类是由系统定义的,一般都称为“预定义关键字”;另一类是由应用程序定义的,由于安装的应用软件不同,其登录项也就不同。在Windows系统中,打开注册表编辑器,可以看到注册表中的关键字,如图: 注册表通过主关键字(最上层的为“根键”,例如下图中的HKEY_CURRENT_USERS就是一个根键,标题栏上也有显示)和子键来管理各种信息,下图中的“Keyboard Layout”是一个主键,展开后就可以看到它里面的子键。注册表中的所有信息是以各种形式的“键值项数据”保存下来,如下图中的键值项Attributes的数据为“REG_DWORD:0”。其中“REG_DWORD”是该键值的数据类型;“0”是代表该键值被赋予的数值。
在注册表的左边窗口中,所有的数据都是通过一种树状结构,以键和子键的方式组织起来,十分类似于资源管理器内的目录结构,如下图。每个键都包含有一组特定的信息,每个键的键名都是与它所包含的信息相关的(注册表内是以英文的方式出现,比如‘Control Panel’表示的是控制面板内的一些内容)。 如果这个键包含子键,则在注册表编辑器窗口的左边出现一个“+”号,用来表示在这个文件夹内还有好多内容。如果这个文件夹被用户打开了,那么“+”号就变为“-”号,与我们使用资源管理器的方法是一样的,如图:
注册表五大根键详解
HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG HKEY_CLASSES_ROOT 展开HKEY_CLASSES_ROOT根键会发现其中包含的子项目非常多,这些子项中所储存的都是已经在系统中注册的各类文件的扩展名,以及文件关联等信息,本人的HKEY_CLASSES_ROOT根键里有,最少有几千个项 HKEY_CURRENT_USER HKEY_CURRENT_USER根键中储存了,计算机当前用户的配置信息,其中包括、应用程序配置,网络连接等 HKEY_LOCAL_MACHINE HKEY_LOCAL_MACHINE是注册表的一个重要分支,储存了windows系统和绝大多数数应用程序的数据信息,包括windows内存信息、硬件设备驱动程序,系统安全数据库、系统配置信息和已经安装的应用程序软件信息等。 HKEY_USERS 同HKEY_CURRENT_USER根键相比HKEY_USERS根键保存了所有用户的配置信息,而后者保存的则是当前用户的配置信息。如果用户的计算机只以一个用户名登录,则HKEY_USERS根键中存放的数据信息同HKEY_CURRENT_USER根键中存放的数据信息完全一致 HKEY_CURRENT_CONFIG HKEY_CURRENT_CONFIG根键存放着当前系统中硬件配置文件的信息,在注册表的几个根键中,HKEY_CURRENT_CONFIG根键同其他几个根键相比在本质上有一些差别,因为HKEY_CURRENT_CONFIG根键不是一个单独存在的根键,该根键中的内容只是HKEY_LOCAL_MACHINE根键下 SYSTEN\CurrentControlSet\Hardware Profiles\Current子项内容的一个映像,二者的内容完全相同
windows注册表详解
作者: DesertFlower 时间: 2005-8-25 01:32 标题: windows注册表详解 no1chengl 注册表对有的人还是比较陌生的,因为现在第三方软件太多了,如优化大师、魔法兔子等等,但个人觉得改善系统的第三方软件还不够完善,如果初级用户使用不当,会出现严重的后果,所以提供这篇文章,希望大家多多学习,本人能力有限,还希望大家多提宝贵意见: 一、注册表的由来 PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的图形操作系统,如Win3.x中,对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的,但INI文件管理起来很不方便,因为每种设备或应用程序都得有自己的INI文件,并且在网络上难以实现远程访问。 为了克服上述这些问题,在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。按照这一原则,Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。 与INI文件不同的是: 1.注册表采用了二进制形式登录数据; 2.注册表支持子键,各级子关键字都有自己的“键值”; 3.注册表中的键值项可以包含可执行代码,而不是简单的字串; 4.在同一台计算机上,注册表可以存储多个用户的特性。 注册表的特点有: 1.注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置,这使得修改某些设置后不用重新启动成为可能。 2.注册表中登录的硬件部分数据可以支持高版本Windows的即插即用特性。当Windows检测到机器上的新设备时,就把有关数据保存到注册表中,另外,还可以避免新设备与原有设备之间的资源冲突。 3.管理人员和用户通过注册表可以在网络上检查系统的配置和设置,使得远程管理得以实现。 二、使用注册表 1.大家可以在开始菜单中的运行里输入regedit 2.也可以在DOS下输入regedit 三、注册表根键说明 hkey_classes_root 包含注册的所有OLE信息和文档类型,是从hkey_local_machine\software\classes复制的。 hkey_current_user 包含登录的用户配置信息,是从hkey_users\当前用户子树复制的。 hkey_local_machine 包含本机的配置信息。其中config子树是显示器打印机信息;enum子树是即插即用设备信息;system子树是设备驱动程序和服务参数的控制集合;software子树是应用程序专用设置。 hkey_users 所有登录用户信息。 hkey_current_config 包含常被用户改变的部分硬件软件配置,如字体设置、显示器类型、打
注册表的作用
从Windows 95开始,Microsoft在Windows中引入了注册表(英文为REGISTRY)的概念(实际上原来在Windows NT中已有此概念)。注册表是Windows 95及Windows 98 的核心数据库,表中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序运行的正常与否,如果该注册表由于鞭种原因受到了破坏,轻者使Windows的启动过程出现异常,重者可能会导致整个Windows系统的完全瘫痪。因此正确地认识、修改、及时地备份以及有问题时恢复注册表,对Windows用户来说就显得非常重要了。 一、注册表的结构划分及相互关系 WINDOWS的注册表有六大根键,相当于一个硬盘被分成了六个分区。 在“运行”对话框中输入RegEdit,然后单击“确定”按钮,则可以运行注册表编辑器。 Windows 98中文版的注册表Registry(System.dat、User.dat、Config.pol)的数据组织结构。注册表的根键共六个。这些根键都是大写的,并以HKEY_为前缀;这种命令约定是以Win32 API的Registry函数的关键字的符号变量为基础的。 虽然在注册表中,六个根键看上去处于一种并列的地位,彼此毫无关系。但事实上,HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG中存放的信息都是 HKEY_LOCAL_MACHINE中存放的信息的一部分,而HKEY_CURRENT_USER中存放的信息只是HKEY_USERS存放的信息的一部分。 HKEY_LOCAL_MACHINE包括HKEY_CLASSES_ROOT和HKEY_CURRENT_USER中所有的信息。在每次系统启动后,系统就映射出HKEY_CURRENT_USER中的信息,使得用户可以查看和编辑其中的信息。 实际上,HKEY_LOCAL_MACHINE\SOFTWARE\Classes就是HKEY_CLASSES_ROOT,为了用户便于查看和编辑,系统专门把它作为一个根键。同理, HKEY_CURRENT_CONFIG\SY-STEM\Current Control就是 HKEY_LOCAL_MACHINE\SYSTEM\Current Control。 HKEY_USERS中保存了默认用户和当前登录用户的用户信息。HKEY_CURRENT_USER 中保存了当前登录用户的用户信息。 HKEY_DYN_DATA保存了系统运行时的动态数据,它反映出系统的当前状态,在每次运行时都是不一样的,即便是在同一台机器上。 根据上面的分析,注册表中的信息可以分为HKEY_LOCAL_MACHINE和HKEY_USERS 两大类,这两大类的详细内容请看后面的介绍。 二、六大根键的作用 在注册表中,所有的数据都是通过一种树状结构以键和子键的方式组织起来,十分类似于目录结构。每个键都包含了一组特定的信息,每个键的键名都是和它所包含的信息相关的。如果这个键包含子键,则在注册表编辑器窗口中代表这个键的文件夹的左边将有“+”符号,以表示在这个文件夹中有更多的内容。如果这个文件夹被用户打开了,那么这个“+”就会变成“-”。 1.HKEY_USERS
windows7注册表优化大全
为了方便对windows7的操作,我们可以利用注册表优化使系统性能、速度、稳定性更加突出。 把下面的文字用记事本保存成.reg文件,导入即可 Windows Registry Editor Version 5.00 ;--------------------------------------------------------------------------------------------- ; 侧边栏设置 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar\Settings] "AllowElevatedProcess"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar\Compatibil ity] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar\Settings] ;--------------------------------------------------------------------------------------------- ; 资源管理器设置 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Start_SearchFiles"=dword:00000002 "ServerAdminUI"=dword:00000000 "ShowCompColor"=dword:00000001 "DontPrettyPath"=dword:00000000 "ShowInfoTip"=dword:00000001 "HideIcons"=dword:00000000 "MapNetDrvBtn"=dword:00000000 "WebView"=dword:00000001 "Filter"=dword:00000000 "SeparateProcess"=dword:00000000 "AutoCheckSelect"=dword:00000000 "IconsOnly"=dword:00000000 "ShowTypeOverlay"=dword:00000001 "ListviewAlphaSelect"=dword:00000001 "ListviewShadow"=dword:00000001 "TaskbarAnimations"=dword:00000001 "StartMenuInit"=dword:00000004 "Start_ShowRun"=dword:00000001 "Start_LargeMFUIcons"=dword:00000000 "Start_MinMFU"=dword:0000000a
注册表键值和作用详解
注册表键值和作用详解 《增加CD/DVD-ROM缓存》(WIN9X) [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\CDFS] "CacheSize"=hex:6b,02,00,00(默认) "Prefetch"=hex:e4,00,00,00(默认) 《优化文件系统》(WIN9X) [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem] "ConfigFileAllocSize"=dword:000001f4 《提高软盘驱动器的读写速度(使之具备后台存储管理功能)》(WIN9X) [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\fdc\0000] "ForeFifo"=dword:00000000 《删除系统无用的动态链接库(DLL文件)》 [HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLL] [注]每个DLL文件的键值说明此DLL被几个应用程序共享,若为"01 00 00 00"则此DLL文件被一个应用程序共享。若为 "00 00 00 00"则该DLL文件对系统不起作用,说明它是一个^^文件,删除该键值,并且删除硬盘中的这个DLL文件。 《查看系统中的16位和32位DLL文件》 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Known16DLLs](16位)(WIN9X)[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs](32位) 《Windows自动刷新/手动刷新》 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update] "UpdateMode"=hex:00,00,00,00(自动刷新)/01,00,00,00(手动刷新) ] 《在系统属性里显示更多的CPU信息》(WIN9X) [HKEY_LOCAL_MACHINE\Hardware\Description\System\CentralProcessor\0] "VendorIdentifier"="Genuine Intel"(注意空格) 《解决一些英文软件在中文版Windows下乱码问题》 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\fontassoc\Associated CharSet] "GB2312(86)"="no"(WIN9X) "SYMBOL(02)"="no"(WIN2000) 《解决删除虚拟光驱后原光驱无法使用的问题》 [HKEY_LOCAL_MACHINE\Enum\SCSI](WIN9X)
Windows注册表检验(实验)
Windows注册表检验 一、实验目的 通过实验,使用学员了解Windows操作系统注册表检验的内容,熟练掌握注册表提取和分析的方法,为Windows操作系统取证打下坚实的基础。 二、实验内容 (一)掌握Windows系统注册表存储的位置和文件名称; (二)使用不同的工具检验Windows注册表内容。 三、实验器材 (一)台式电脑,Windows 2000 / 2003 / XP/2003 操作系统; (二)EnCase、X-Ways Forensics、AccessData Registry Viewer工具; (三)移动存储设备。 四、实验方法步骤 以班为单位,每2人一组展开作业。 (一)Windows操作系统注册表存储位置 1、windows95/98/ME操作系统 在Windows操作系统中不同的操作系统注册表文件由不同的文件组成。windows95/98/ME操作系统的注册表文件在Windows目录中,包括System.dat和User.dat 两个文件。 2、windowsNT/2000/XP/2003操作系统 windowsNT/2000/XP/2003操作系统的注册表文件包括在\%SYSTEMROOT%\system32\config\目录中的system.SAM、SECURITY、software和default 五个文件和Documents and Settings目录中每个用户都有的一个NTUSER.DAT文件。 3、Vista和Win7操作系统 Vista和Win7操作系统注册表中增加了一些注册表文件,以下的列表代表了在默认的Vista系统中的注册表的所有配置单元: C:\Windows\System32\config\Regback\SECURITY C:\Windows\System32\config\Regback\SOFTWARE C:\Windows\System32\config\Regback\DEFAULT C:\Windows\System32\config\Regback\SAM C:\Windows\System32\config\Regback\COMPONENTS C:\Windows\System32\config\Regback\SYSTEM C:\Windows\System32\config\BCD-Template C:\Windows\System32\config\COMPONENTS C:\Windows\System32\config\DEFAULT C:\Windows\System32\config\SAM C:\Windows\System32\config\SECURITY
注册表修改指南——注册表各键值详解
注册表修改指南——注册表各键值详解 您可以可以按Ctrl+F键进行页面内搜索来方便地找到您想要的内容。 开始菜单及相关设置 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"=dword:00000001(隐藏开始->文档菜单) "NoRecentDocsHistory"=dword:00000001(禁止将打开的文档存入历史记录)"ClearRecentDocsOnExit"=dword:00000001(退出系统自动清除历史记录,包括文档、运行和查找)"NoFavoritesMenu"=dword:00000001(隐藏开始->收藏夹菜单) "NoSMHelp"=dword:00000001(隐藏开始->帮助菜单)(WIN2000/ME/XP) "NoFind"=dword:00000001(禁用查找/搜索) "NoRun"=dword:00000001(禁用运行,禁止IE访问本地资源,除非输入"桌面",禁止WIN2000/XP 通过任务管理器创建新任务) "NoLogOff"=dword:00000001(禁用注销)(WIN9X) "StartMenuLogOff"=dword:00000001(禁用注销)(WIN2000/XP) "NoClose"=dword:00000001(禁用关闭系统/关闭计算机) "NoSetFolders"=dword:00000001(隐藏控制面板、打印机/网络连接,WIN2000/XP仅从开始菜单隐藏;此外还禁用WIN+E快捷键) "NoSetTaskbar"=dword:00000001(禁止设置任务栏和开始菜单) "NoFolderOptions"=dword:00000001(从开始->设置菜单和资源管理器菜单中删除文件夹选项)"NoWindowsUpdate"=dword:00000001(从开始菜单中删除Windows Update,禁止到Windows Update网站升级) "NoSetActiveDesktop"=dword:00000001(从开始->设置菜单中删除活动桌面)(WIN9X)"NoActiveDesktop"=dword:00000001(禁用活动桌面,WIN9X/2000在桌面右键菜单和显示属性里不出现相关项目) "NoActiveDesktopChanges"=dword:00000001(禁止更改活动桌面,在显示属性里不出现相关项目) 资源管理器设置 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFileMenu"=dword:00000001(隐藏Explorer中的文件菜单)"NoNetConnectDisconnect"=dword:00000001(禁止使用资源管理器或网上邻居映射或断开网络驱动器) "NoWebView"=dword:00000001(禁止按Web页查看)(WIN2000/XP) 隐藏桌面图标 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "Nodesktop"=dword:00000001(隐藏桌面所有图标) "NoNetHood"=dword:00000001(隐藏桌面网上邻居图标) "NoInternetIcon"=dword:00000001(隐藏桌面Internet Explorer图标) 禁止使用鼠标右键
注册表各项详解
注册表 9X、2000、XP、2003所有注册表设置(很全很详细) 《开始菜单及相关设置》 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"=dword:00000001(隐藏开始->文档菜单) "NoRecentDocsHistory"=dword:00000001(禁止将打开的文档存入历史记录)"ClearRecentDocsOnExit"=dword:00000001(退出系统自动清除历史记录,包括文档、运行和查找) "NoFavoritesMenu"=dword:00000001(隐藏开始->收藏夹菜单) "NoSMHelp"=dword:00000001(隐藏开始->帮助菜单)(WIN2000/ME/XP) "NoFind"=dword:00000001(禁用查找/搜索) "NoRun"=dword:00000001(禁用运行,禁止IE访问本地资源,除非输入"桌面",禁止WIN2000/XP 通过任务管理器创建新任务) "NoLogOff"=dword:00000001(禁用注销)(WIN9X) "StartMenuLogOff"=dword:00000001(禁用注销)(WIN2000/XP) "NoClose"=dword:00000001(禁用关闭系统/关闭计算机) "NoSetFolders"=dword:00000001(隐藏控制面板、打印机/网络连接,WIN2000/XP仅从开始菜单隐藏;此外还禁用WIN+E快捷键) "NoSetTaskbar"=dword:00000001(禁止设置任务栏和开始菜单) "NoFolderOptions"=dword:00000001(从开始->设置菜单和资源管理器菜单中删除文件夹选项)"NoWindowsUpdate"=dword:00000001(从开始菜单中删除Windows Update,禁止到Windows U
SQL注册表键值
SQL注册表键值 SQLServer的注册表项使用技巧六则 SQL Server的管理和Windows的管理是息息相关的.通过Windows的注册表来管理SQL Server有时候非常方便,废话不多说,给出一些我长期使用或者收藏的注册表技巧给大家分享(注:所 有项目在windows2003+SQL Server2000开发版下验证通过) wriiten by:billpu 1 获得修改 SQL Server 注册: HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\SQLEW\Registered Servers X\SQL Server Group 每一个键值对应SQL Server数据库注册表项,直接删除即可。(80对应SQL Server2000版本) 2 更改SQL Server的登录验证方式,这个大家应该相对熟悉, csdn上经常有人问这样的问题. sa用户密码也忘记了,然后由于安全原因把windows登陆的 那个登录名去掉了 ,这时只需要更改下列注册表项就可以. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer 编辑LoginMode值,将原值从1改成2 (1为windows验证,2为混合验证),最后重启SQL Server服务不要忘记) 3 查看SQL Server 版本及其他信息 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Setup Editon值:版本比如Enterprise Edition就是企业版
Windows系统常见自启动程序注册表键值
一、直接加载的位置 1、Load注册键 介绍该注册键的资料不多,实际上它也能够自动启动程序,位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows 建一个字符串名为load键值,为自启动程序的路径但是要注意短文件名规则,如c:\programfiles应为c:\progra~1,这种方式用优化大师看不到。 据说建立run=键值也是可行的,需要注意没有测试过。 2、Winlogon\Userinit注册键 存放位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 找到“Userinit”这个键值,这个键值默认为c:\WINNT\system32\userinit.exe,后面加路径,再加逗号也可以。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe”(不含引号)。 注意下面的Notify、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。 3、Explorer\Run注册键 和load、Userinit不同,Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE 下都有,具体位置是: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl
注册表功能大全
1、隐藏回收站 隐藏回收站,是指不会显示在桌面及资源管理器里,隐藏并不等于停止这个功能,如使用登录文件更改者请先汇出有关登录文件作备份,登录文件更改(适用于Windows XP家用及商业版本):在[开始]-->[运行]-->键入[Regedit]-->[HKEY_LOCAL_MACHINE]-->[SOFTW ARE]-->[Microsoft]-->[Windows]-->[CurrentV ersion]-->[ Explorer]-->[Desktop]-->[NameSpace],将[{645FF040-5081-101B-9F08-00AA002F954E}]删除便可重新登录后生效。 2、停止“磁盘空间不足”的通知功能 当磁盘驱动器的容量少于200MB时Windows XP便会发出“磁盘空间不足”的通知,如需停止此功能,可按下程序更改登录文件:在[开始]-->[运行]-->键入[Regedit]-->[HKEY_LOCAL_MACHINE]-->[Software]-->[Microsoft]-->[Windows]-->[CurrentV ersion],在[Policies]下增加一个项名[Explorer](如果已有就不用增加了),在[Explorer]增加一个DWORD值,[NoLowDiskSpaceChecks]数值资料为[1]=停止通知,值资料为[0]=默认值启动通知。 3、取消Windows图片及传真查看器的默认值 在我的电脑和资源管理器看图时均以Windows图片及传真查看器为默认值,如需取消此项默认值,可按下修改:在[开始]-->[运行]-->键入[regedit]-->选[HKEY_LOCAL_MACHINE]-->[SOFTW ARE]-->[Classes]-->[CLSID]-->[{e84fda7c-1d6a-45f6-b725-cb260c23 6066}]-->[shellex],删除[MayChangeDe**ultMenu]的项便可。 4、彻底删了自定义隐藏不活动的图标 在任务栏里,有一个通知区域里有个隐藏不活动图标,里面有很多是以前运行软件时留下的,有些软件都卸掉了,这里面还有它的影子。彻底删除的方法: 运行regedit 打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentV ersionExplorerTrayNotify 删除IconStreams和PastIconsStream 的值 同时按下DEL+ALT+CTRL或右击任务栏/任务管理器,打开任务管理器/进程,结束EXPLORER.EXE 程序,不要管它的警告,按确定。这时任务栏不见了。 然后,单击任务管理器的“文件”/新建任务,输入EXPLORER.EXE,这时又恢复了任务栏,再然后,最好重启一下。 5、删除共享分享及用户活页夹 除正常[我的文件]及[共享文件夹]外,每个用户都会有一个独立的活页夹,按如下设定则只会保留我的
注册表常用键值意义
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policie s\ Explorer] "ForceActiveDesktopOn"=dword:00000001 ;强制使用【活动桌面】"NoActiveDesktop"=dword:00000001 ;禁用Active Desktop "NoActiveDesktopChanges"=dword:00000001 ;禁止修改Active Desktop "ClassicShell"=dword:00000001 ;使用传统外壳 "NoComponents"=dword:00000001 ;禁用【活动桌面】所有功能"NoInternetIcon"=dword:00000001 ;隐藏桌面【IE图标】 "NoNetHood"=dword:00000001 ;隐藏【网上邻居】"NoComputersNearMe"=dword:1 ;隐藏【网上邻居】里的【邻近的计算机】"NoRecentDocsNetHood"=dword:00000001 ;不将文件记录到网上邻居窗口(2000) "NoDesktop"=dword:00000001 ;禁用显示属性(隐藏桌面上所有图标)! "NoCommonGroups"=dword:00000001 ;隐藏菜单中的共享程序"NoFavoritesMenu"=dword:00000001 ;取消〖收藏夹〗项 "NoRun"=dword:00000001 ;取消〖运行〗项 "NoFind"=dword:00000001 ;取消〖查找〗项 "NoSetActiveDesktop"=dword:00000001 ;关闭Setting中Active Desktop项"NoChangeStartMenu"=dword:00000001 ;禁止拖放更改开始菜单中项"NoFolderOptions"=dword:00000001 ;关闭Setting中文件夹选项"NoSMHelp"=dword:00000001 ;取消〖帮助〗项 "NoSMMyDocs"=dword:00000001 ;取消〖文档〗项 "NoRecentDocsMenu"=dword:00000001 ;取消〖文档〗项"NoRecentDocsHistory"=dword:00000001 ;不在文档项中记录信息"MaxRecentDocs"=dword:00000001 ;0X0到0XFFFFFFFF--文档中记录数目"ClearRecentDocsOnExit"=dword:00000001 ;退出时清除〖文档〗内容"StartMenuLogoff"=dword:00000001 ;取消〖注销〗项(不影响安全模式) "NoLogoff"=dword:00000001 ;取消〖注销〗项