Regedit

登錄檔
二進位資料庫
以層狀結構組織所有的系統設定
系統設定的集中存放區
應用程式,系統元件,裝置驅動程式,系統核心都會使用

常見工具
regedit 系統內建的登錄檔編輯器
RegCompact.NET重整並優化Windows登錄檔
RegCleaner 清除無用的登錄檔

………..

登錄結構
root key(根機碼):類似檔案系統中的磁碟
subkey(子機碼):類似資料夾,被包含在root key中
value(值):類似檔案, 被包含在subkey中

機碼類型
儲存在記憶體中,啟動時建立,關機時消失
儲存在磁碟上,大多數機碼屬於此類型

主要的root key
HKEY_LOCAL_MACHINE 存放屬於本機電腦的所有設定
HKEY_USERS 與使用者有關的設定
HKEY_CURRENT_CONFIG 儲存系統目前開機設定的資訊
HKEY_CURRENT_USER 目前登入的使用者設定檔
HKEY_CLASSES_ROOT 負責將副檔名和OLE類別識別碼連在一起

HKEY_LOCAL_MACHINE的主要subkey
HARDWARE 儲存有關在系統中所找到的硬體資訊,儲存在ram中,主要有以下
 DESCRIPTION 包含cpu,浮點處理器,…等
 DEVICEMAP 將某個特定裝置連線到另一個特定裝置上
 RESOURCEMAP 負責hal(硬體抽像層),隨插即用,…等
SAM 存放本機建立的帳戶和群組
SECURITY 包含大量的安全資訊
SOFTWARE 應用程式和系統元件存放它們所有系統設定的基礎
SYSTEMCurrentControlSet 用於啟動時反映是否成功
SYSTEMMountedDevices 用於動態磁區技術

value類型有
REG_BINARY 以原始格式儲存2進位資料
REG_DWORD 存放一個8bit整數或雙字的值
REG_SZ 任意長度的unicode字串
REG_EXPAND_SZ 可擴充長度字串值
REG_MULTI_SZ 任一數量的REG_SZ值集合
REG_FULL_RESOURCE_DESCRIPTOR
REG_NONE

……………….


自製.reg檔
檔案格式如下
[subkey path] //若在開頭有-,表示刪除的意思
“REG_SZ”=””
“REG_BINARY”=hex:
“REG_DWORD”=dword:00000000
“REG_MULTI_SZ”=hex(7):00,00
“REG_EXPAND_SZ”=hex(2):00,00
ex:
新增登錄檔
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
“NoDriveTypeAutoRun”=dword:00000091
刪除登錄檔
[-HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
“ctfmon.exe”=”C:WINDOWSsystem32CTFMON.EXE”

………………

常用登錄檔

關閉usb
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR]
“Start”=dword:00000004
ps:dword:00000003 是開啟

放入光碟時不要自動執行
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet/001Services/Cdrom] 
“AutoRun”=dword:00000000
ps:dword:00000001是自動執行

開機時自動進行磁碟重新整理
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/DfrgBoot/OptimizeFunction]
“Enable”=”Y”

設定傳送緩衝區為16kb,可加速http上傳速度
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet/Settings]
“SocketSendBufferLength”=dword:00004000調整tcp windows size為64K
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
“TCPWindowSize”=dword:0000FFFF

設定開機時執行程式
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
“commandname”=”commandpath”