什么是注冊表？

注冊表因為它復雜的結構和沒有任何聯(lián)系的CLSID鍵使得它可能看上去很神秘。不幸的是，微軟并沒有完全公開講述關于注冊表正確設置的支持信息，這樣使得注冊表看上去更不可琢磨。處理和編輯注冊表如同“黑色藝術”一樣，它在系統(tǒng)中的設置讓用戶感覺象在黑暗中摸索一樣找不到感覺。這樣，因為用戶對這方面的缺乏了解使得注冊表更多的出現(xiàn)故障。
Windows注冊表是幫助Windows控制硬件、軟件、用戶環(huán)境和Windows界面的一套數(shù)據(jù)文件，注冊表包含在Windows目錄下兩個文件system.dat和user.dat里，還有它們的備份system.da0和user.da0。通過Windows目錄下的regedit.exe程序可以存取注冊表數(shù)據(jù)庫。在以前，在windows的更早版本（在win95以前），這些功能是靠win.ini，system.ini和其他和應用程序有關聯(lián)的.ini文件來實現(xiàn)的.
在windows操作系統(tǒng)家族中，system.ini和win.ini這兩個文件包含了操作系統(tǒng)所有的控制功能和應用程序的信息，system.ini管理計算機硬件而win.ini管理桌面和應用程序。所有驅動、字體、設置和參數(shù)會保存在.ini文件中，任何新程序都會被記錄在.ini文件中。這些記錄會在程序代碼中被引用。因為受win.ini和system.ini文件大小的限制，程序員添加輔助的.INI文件以用來控制更多的應用程序。舉例來說，微軟的Excel有一個excel.ini文件，它包含著選項、設置、缺省參數(shù)和其他關系到Excel運行正常的信息。在system.ini和win.ini中只需要指出excel.ini的路徑和文件名即可。
最開始，system.ini和win.ini控制著所有windows和應用程序的特征和存取方法，它在少數(shù)的用戶和少數(shù)應用程序的環(huán)境中工作的很好。隨著應用程序的數(shù)量和復雜性越來越大，則需要在.ini文件中添加更多的參數(shù)項。這樣下來，在一個變化的環(huán)境中，在應用程序安裝到系統(tǒng)中后，每個人都會更改.ini文件。然而，沒有一個人在刪除應用程序后刪除.ini文件中的相關設置，所以system.ini和win.ini這個兩個文件會變的越來越大。每增加的內容會導致系統(tǒng)性能越來越慢。而且每次應用程序的升級都出現(xiàn)這樣的難題：升級會增加更多的參數(shù)項但是從來不去掉舊的設置。而且還有一個明顯的問題，一個.ini文件的最大尺寸是64KB。為了解決這個問題，軟件商自己開始支持自己的.ini文件，然后指向特定的ini文件如win.ini和system.ini文件。這樣下來多個.ini文件影響了系統(tǒng)正常的存取級別設置。如果一個應用程序的.ini文件和WIN.INI文件設置起沖突，究竟是誰的優(yōu)先級更高呢？
注冊表最初被設計為一個應用程序的數(shù)據(jù)文件相關參考文件，最后擴展成對于32位操作系統(tǒng)和應用程序包括了所有功能下的東東.注冊表是一套控制操作系統(tǒng)外表和如何響應外來事件工作的文件。這些“事件”的范圍從直接存取一個硬件設備到接口如何響應特定用戶到應用程序如何運行等等。注冊表因為它的目的和性質變的很復雜，它被設計為專門為32位應用程序工作，文件的大小被限制在大約40MB。

注冊表都做些什么？
注冊表是為Windows NT和Windows95中所有32位硬件/驅動和32位應用程序設計的數(shù)據(jù)文件。16位驅動在Winnt下無法工作，所以所有設備都通過注冊表來控制，一般這些是通過BIOS來控制的。在Win95下，16位驅動會繼續(xù)以實模式方式設備工作，它們使用system.ini來控制。16位應用程序會工作在NT或者Win95 下，它們的程序仍然會參考win.ini和system.ini文件獲得信息和控制。
在沒有注冊表的情況下，操作系統(tǒng)不會獲得必須的信息來運行和控制附屬的設備和應用程序及正確響應用戶的輸入。
在系統(tǒng)中注冊表是一個記錄32位驅動的設置和位置的數(shù)據(jù)庫。當操作系統(tǒng)需要存取硬件設備，它使用驅動程序，甚至設備是一個BIOS支持的設備。無BIOS支持設備安裝時必須需要驅動，這個驅動是獨立于操作系統(tǒng)的，但是操作系統(tǒng)需要知道從哪里找到它們，文件名、版本號、其他設置和信息，沒有注冊表對設備的記錄，它們就不能被使用。
當一個用戶準備運行一個應用程序，注冊表提供應用程序信息給操作系統(tǒng)，這樣應用程序可以被找到，正確數(shù)據(jù)文件的位置被規(guī)定，其他設置也都可以被使用。
注冊表保存關于缺省數(shù)據(jù)和輔助文件的位置信息、菜單、按鈕條、窗口狀態(tài)和其他可選項。它同樣也保存了安裝信息（比如說日期），安裝軟件的用戶，軟件版本號和日期，序列號等。根據(jù)安裝軟件的不同，它包括的信息也不同。
然而，一般來說，注冊表控制所有32位應用程序和驅動，控制的方法是基于用戶和計算機的，而不依賴于應用程序或驅動，每個注冊表的參數(shù)項控制了一個用戶的功能或者計算機功能。用戶功能可能包括了桌面外觀和用戶目錄。所以，計算機功能和安裝的硬件和軟件有關，對所以用戶來說項都是公用的。
有些程序功能對用戶有影響，有些時作用于計算機而不是為個人設置的，同樣的，驅動可能是用戶指定的，但在很多時候，它們在計算機中是通用的。
注冊表控制用戶模式的例子有：
控制面板功能；
桌面外觀和圖標；
網絡參數(shù)；
瀏覽器功能性和特征；
那些功能中的某些是和用戶無關的，有些是針對用戶的。
計算機相關控制項基于計算機名，和登陸用戶無關。控制類型的例子是安裝一個應用程序，不管是哪個用戶，程序的可用性和存取是不變的，然而，運行程序圖標依賴于網絡上登陸的用戶。網絡協(xié)議可用性和優(yōu)先權基于計算機，但是當前連接和用戶信息相關。
這里是在注冊表中基與計算機控制條目的一些例子：
存取控制；
登陸確認；
文件和打印機共享；
網卡設置和協(xié)議；
系統(tǒng)性能和虛擬內存設置；
沒有了注冊表，Win95和Winnt 就不太可能存在。它們實在太復雜了，以致于用過去的.ini文件無法控制，它們的擴展能力需要幾乎無限制的安裝和使用應用程序，注冊表實現(xiàn)了它。然而，注冊表比.ini文件更復雜，理解它如何工作，它做什么和如何用它來做是有效管理系統(tǒng)的關鍵。
在系統(tǒng)中注冊表控制所有32位應用程序和它們的功能及多個應用程序的交互，比如復制和粘貼，它也控制所有的硬件和驅動程序。雖然多數(shù)可以通過控制面板來安裝和設置，理解注冊表仍是做Winnt和Win95系統(tǒng)管理基本常識。
二、注冊表的結構
注冊表的結構
注冊表是Windows程序員建造的一個復雜的信息數(shù)據(jù)庫，它是多層次式的。在不同系統(tǒng)上注冊表的基本結構相同。其中的復雜數(shù)據(jù)會在不同方式上結合，從而產生出一個絕對唯一的注冊表。
計算機配置和缺省用戶設置的注冊表數(shù)據(jù)在Winnt中被保存在下面這五個文件中：
DEFAULT，SAM，SECURITY，SOFTWARE，SYSTEM，NTUSER.DAT。
Win95中所有系統(tǒng)注冊信息保存在windows目錄下的SYSTEM.DAT文件里。所有硬件設置和軟件信息也保存在這個文件。它要比NT注冊表文件簡單的多，因為這里并不需要更多的控制。Win95被設計為一個網絡的客戶或者單獨工作的系統(tǒng)，所以用戶控制或者安全級別和NT不一樣。這使得Win95注冊表工作比NT更容易，所以這個文件也比較小。
Win95用戶的注冊數(shù)據(jù)一般被保存在windows目錄下的user.dat里。如果你在控制面板|密碼|用戶配置文件中創(chuàng)建并使用多于一個用戶的配置文件，每個用戶就會有在\WINDOWS\Profiles\username\USER.DAT下它自己的user.dat文件。在啟動時，系統(tǒng)將記錄你的登陸，從你目錄中的配置文件（USER.DAT信息）將被裝入，以用來保持你自己的桌面和圖標。

控制鍵
在注冊表編輯器中注冊表項是用控制鍵來顯示或者編輯的。控制鍵使得找到和編輯信息項組更容易。因此，注冊表使用這些條目。下面是六個控制鍵
HKEY_LOCAL_MACHINE
HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
HKEY_DYN_DATA
HKEY_USERS
HKEY_CURRENT_USER

Winnt和Win95的注冊表并不兼容。從Win95向Winnt升級需要你重新安裝32位應用程序，重新在桌面上創(chuàng)建圖標，并重新建立用戶環(huán)境。
通過控制鍵可以比較容易編輯注冊表。雖然它們顯示和編輯好象獨立的鍵，其實HKEY_CLASSES_ROOT 和HKEY_CURRENT_CONFIG是 HKEY_LOCAL_MACHINE的一部分。HKEY_CURRENT_USER是HKEY_USERS的一部分。
HKEY_LOCAL_MACHINE包含了HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG的所有內容。每次計算機啟動時，HKEY_CURRENT_CONFIG和HKEY_CLASSES_ROOT的信息被映射用以查看和編輯。
HKEY_CLASSES_ROOT其實就是HKEY_LOCAL_MACHINE\SOFTWARE\Classes，但是在HKEY_CLASSES_ROOT窗編輯相對來說顯得更容易和有條理。
HKEY_USERS保存著缺省用戶信息和當前登陸用戶信息。當一個域成員計算機啟動并且一個用戶登陸，域控制器自動將信息發(fā)送到HKEY_CURRENT_USER里，而且HKEY_CURRENT_USER信息被映射到系統(tǒng)內存中。其他用戶的信息并不發(fā)送到系統(tǒng)，而是記錄在域控制器里。

鍵和子鍵
數(shù)據(jù)被分割成多層次的鍵和子鍵，建立分層次（就象Exploer一樣）結構更易于編輯。每個鍵有成組的信息而且根據(jù)在其中的數(shù)據(jù)類型被命名。每個鍵在它的文件夾圖標上都有一個加號（+）標志子鍵說明在它下面還有更多內容的東西。當點開它的時候，文件夾的加號標志被替換成一個減號（-）標志，然后顯示出下一級的子鍵。
所有軟件，硬件，windows工作的設置都存放在HKEY_LOCAL_MACHINE。所有安全策略，用戶權限和共享信息也包括在這個鍵中。用戶權限，安全策略，共享信息可以通過Windows NT域用戶管理器，Explorer和Win95中控制面板來設置。
HKEY_CLASSES_ROOT
HKEY_CLASSES_ROOT包含了所有應用程序運行時必需的信息：
在文件和應用程序之間所有的擴展名和關聯(lián);
所有的驅動程序名稱;
類的ID數(shù)字（所要存取項的名字用數(shù)字來代替）;
DDE和OLE的信息;
用于應用程序和文件的圖標;
HKEY_CURRENT_CONFIG.
HKEY_CURRENT_CONFIG是在HKEY_LOCAL_MACHINE中當前硬件配置信息的映射。如果系統(tǒng)只有一個配置文件，也就是原始配置，數(shù)據(jù)將一直在同樣的地方。在控制面板|系統(tǒng)|硬件配置文件|創(chuàng)建一個額外的配置使額外配置信息放入HKEY_LOCAL_MACHINE。當Win95中存在多個配置文件時，當每次計算機啟動時將給出一個提示讓你選擇一個配置文件。在Winnt中，在啟動時你可以按空格鍵來選擇上次正常啟動時硬件配置文件。根據(jù)硬件配置文件選擇的不同，特定的信息被映射到HKEY_CURRENT_CONFIG。
HKEY_DYN_DATA
HKEY_DYN_DATA和其他的注冊表控制鍵不同，因為實際上它并不被寫入硬盤驅動器中。Win95的一個優(yōu)點是，在系統(tǒng)啟動時HKEY_DYN_DATA這個控制鍵儲存收集到的即插即用信息并配置它們。它保存在內存中，Win95用它來控制硬件。因為是在內存中，所以它不從硬盤中讀取，每次當你啟動計算機時，配置都有可能會不一樣。在啟動時Win95必須計算超過1600種可能的配置。所以，如果系統(tǒng)改變既定的設置而沒有報告給Win95那么潛在的問題就可能發(fā)生。系統(tǒng)大多數(shù)時間工作良好，但是并非一直如此。
HKEY_USERS
HKEY_USERS僅包含了缺省用戶設置和登陸用戶的信息。雖然它包含了所有獨立用戶的設置，但在用戶未登陸網絡時用戶的設置是不可用的。這些設置告訴系統(tǒng)哪些圖標會被使用，什么組可用，哪個開始菜單可用，哪些顏色和字體可用，和控制面板上什么選項和設置可用。
HKEY_CURRENT_USER
用來保存當前用戶和缺省用戶的信息，HKEY_CURRENT_USER僅映射當前登陸用戶的信息。

各主鍵的簡單介紹
HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE是一個顯示控制系統(tǒng)和軟件的處理鍵。HKLM鍵保存著計算機的系統(tǒng)信息。它包括網絡和硬件上所有的軟件設置。（比如文件的位置，注冊和未注冊的狀態(tài)，版本號等等）這些設置和用戶無關，因為這些設置是針對使用這個系統(tǒng)的所有用戶的。
HKEY_LOCAL_MACHINE\AppEvents
為了以后在瘦客戶機上運行客戶機/服務器這樣的應用程序，在Win95/98中AppEvents鍵是空的。應用程序實際上都駐留網絡服務器上，這些鍵會保存部分指針。
HKEY_LOCAL_MACHINE\Config
這個鍵保存著你計算機上所有不同的硬件設置（這些從控制面板的系統(tǒng)屬性中硬件配置文件中可以創(chuàng)建）。這些配置在啟動時通常被復制到HKCC。每個配置會被用一個鍵（比如0001或者0002等等）來保存，每個都是一個獨立的配置。如果你只有一個單一的配置，那就只會有0001這個鍵
HKEY_LOCAL_MACHINE\Config\0001\Display
這個鍵表示顯示的設置，如熒屏字體，窗體大小，窗體位置和分辨率等
一個小技巧：當設置了計算機不支持的大分辨率導致Windows不能啟動時(黑屏），可以修改分辨率來解決。進入安全模式，運行regedit.exe，在這個鍵的Resolution鍵值中把數(shù)據(jù)值修改為640,480或者800,600這樣的低分辨率，然后重新啟動計算機即可。
HKEY_LOCAL_MACHINE\Config\0001\System
這個鍵保存著系統(tǒng)里打印機的信息
HKEY_LOCAL_MACHINE\Config\0001\System\CurrentControlSet\Control\Print\Printers
在這個鍵下面，有一個鍵是為系統(tǒng)上每一個打印機設置的，通過控制面板添加和刪除打印機會調整這個列表
HKEY_LOCAL_MACHINE\Enum
Enum鍵包含啟動時發(fā)現(xiàn)的硬件設備和那些既插即用卡的信息。Win95使用總線列舉在啟動時通過不同的.ini文件來檢測硬件信息。那些在啟動時被安裝的和被檢測到的硬件會顯示在這里。子鍵包括BIOS, ESDI, FLOP, HTREE, ISAPNP, Monitor, Network, Root, SCSI, 和 VIRTUAL。子鍵名表示它們各自的硬件設備信息。
HKEY_LOCAL_MACHINE\Enum\BIOS
BIOS鍵保存著系統(tǒng)中所有即插即用設備的信息。它們用一套代碼數(shù)列出，包括每一個鍵的詳細說明，舉例，*pnp0400是并行口LPT1的鍵。如果LPT1并不具備即插即用功能，它就會別列入到Enum下的Root鍵中
HKEY_LOCAL_MACHINE\Enum\Root
Root鍵包括所有非即插即用設備的信息。在這里，我們可以迅速斷定哪些設備是即插即用，那些不是。比如SCSI適配器，這個設備必須符合Win95中一個鍵名為ForcedConfig的硬件設置，這個不會改變。
HKEY_LOCAL_MACHINE\Enum\Network
win95的網絡功能在這個鍵有詳細說明，子鍵包括了每個已經安裝的主要的服務和協(xié)議。
HKEY_LOCAL_MACHINE\HARDWARE
hardware子鍵包括了兩個多層的子鍵：DESCRIPTION鍵，它包含了中央處理器和一個浮點處理器的信息。還有一個設備映射鍵，它下面的串行鍵列出你所有的com端口。這個hardware鍵僅保存超級終端程序的信息，及數(shù)學處理器和串行口。
HKEY_LOCAL_MACHINE\Network
這個鍵僅保存網絡登陸信息。所有網絡服務細節(jié)都保存在HKEY_LOCAL_MACHINE\Enum\Network這個鍵中。這個鍵有一個子鍵，logon，包括了lmlogon（本地機器登陸？0=false 1=true）的值，logonvalidated（必須登陸驗證），策略處理，主登陸方式（Windows登陸 ，微軟網絡客戶方式等），用戶名和用戶配置。
HKEY_LOCAL_MACHINE\SECURITY
security 有兩個子鍵，第一個是存取（它最終致使一個遠程鍵列出網絡安全資源，存取權限等）和提供（包括列出網絡地址和地址服務器），這個鍵被保留用在以后使用高級安全功能和NT兼容性上
HKEY_LOCAL_MACHINE\SOFTWARE
這個鍵列出了所有已安裝的32位軟件和程序的.ini文件。它包括了變化，依靠軟件安裝。那些程序的控制功能在這里的子鍵中列出。多數(shù)子鍵簡單的列出了安裝軟件的版本號。
我們在\Microsoft\Windows\Current Version下發(fā)現(xiàn)了一些有意思的設置，它有如下子鍵：
1.App paths： 你曾經安裝過的所有32位軟件的位置。
2.Applets, Compression, Controls Folder : 包括下控制面板象顯示屬性那樣屬性條的附件。
3.Detect, explorer :很多有意思的子鍵如Namespace keys of Desktop和My Computer----它們指出了回收站和撥號網絡的CLSID行----和提示子鍵可以讓你建立自己的提示。
4.Extensions : 一個擴展聯(lián)系的列表，當前相關聯(lián)的擴展名和比特定的執(zhí)行文件更適合的目標類型。
5.Fonts, fontsize, FS Templates :系統(tǒng)屬性條中所選擇文件系統(tǒng)模板， 服務器，桌面計算機或者筆記本電腦信息。
6.MS-DOS Emulation :包括一個應用程序兼容子鍵 為大量過時的程序二進制鍵所設。
7.MS-DOS Options :在dos模式下的設置，如himem.sys，cd-roms等。
8.Network :網絡驅動的配置。
9.Nls, Policies :系統(tǒng)管理員認為你不應該去做的事。
10.ProfileList :所有可以登陸你計算機的用戶名列表。
11.在Windows啟動時運行的程序的神秘之處是它們并不在開始菜單的啟動文件夾中。它們在HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\下的子鍵中被執(zhí)行。
Run : 程序在啟動時運行
RunOnce : windows初始化時程序在啟動時只運行一次，這個經常用在當安裝軟件之后需要重新啟動系統(tǒng)的時候，所以這個鍵一般都是空的。
RunServices : 它就象Run一樣，但是包含了“服務”，它不象一般的程序它們是比較重要的或者是“系統(tǒng)”程序。但是它們不是VXDs,就象McAfee或者RegServ工作一樣。
RunServicesOnce : 它只運行一次，但是是“系統(tǒng)自身”的安裝（大量的windows安裝參數(shù):通常鍵值包括了系統(tǒng)目錄位置，和win95更新，可選項安裝組件，和windows啟動目錄的子鍵。
注意：在很多黑客木馬軟件中，常常在這里添加鍵值（一般是在Run中），這樣使得木馬軟件可以隨著windows啟動而啟動并且很隱秘。在這里可以查看不正常的啟動項和去掉無用的運行程序（比如我就很不喜歡超級解霸的自動伺服器，在這里可以去掉它）。
12.SharedDLLs：共享DLL的列表，每一個都給出了在一個不可知系統(tǒng)的一個數(shù)字等級。
13.Shell Extensions:列出了“被認可的”O(jiān)LE注冊條，和相應的CLSID連接。
14.ShellScrap :這個包含了一個PriorityCacheformats的子鍵，它包括了一個空的有限值，它更象過去SmartDrive命令行參數(shù)的派生。
15.Time Zones : 主鍵值是你現(xiàn)在的時區(qū)；子鍵定義了所以可能的時區(qū)。
16.Uninstall：這個保存了程序在添加/刪除程序對話框的顯示；子鍵包含了指向反安裝程序的路徑。和安裝向導相似.......）winlogon（包含了合法登陸布告的文本句）
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
這個子鍵包括設備驅動和其他服務的描述和控制。不同于windows nt，win95只包括限制驅動的控制設置信息。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
這個子鍵包括了win95控制面板中的信息。不要編輯這些信息，因為一些小程序的改變在很多地方，一個丟失的項會使這個系統(tǒng)變的不穩(wěn)定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
這個鍵包括了所有win95的標準服務。所有被添加的服務和設備，每個標準的服務鍵包括了它的設置和辨認設置。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Arbitrators
atbitrators鍵包括了當兩個設備共同占用同樣的設置需要解決的信息。四個子鍵包括了內存地址，沖突，DMA，I/O端口沖突和IRQ沖突。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Class
class鍵包括了所有win95支持的設備classes控制，這些和你在添加新硬件出現(xiàn)的硬件組很類似，還包括了這些設備如何安裝的信息。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\inetaccs
這個鍵包括了關于這個系統(tǒng)變化的ie附件的可用性，它僅在你安裝過ie2。0或者更高版本才出現(xiàn)。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSNP32
msnp32描述了客戶機如何在microsoft網絡中實現(xiàn)功能，它包括了認證過程和認證者的信息。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWNP32
nenp32鍵描述了windows客戶如何在netware網絡中工作功能，它包括了關于認證過程和證明者的信息。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
在這個鍵里包括需要遠程工作在win95系統(tǒng)上的信息，有認證參數(shù)，主機信息，和為了建立一個撥號連接工作的協(xié)議信息。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP
這個鍵包括了所以snmp（簡單網絡管理協(xié)議）的參數(shù)。它包括了允許的管理，配置陷阱，和有效的團體。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD
vxd鍵包括了win95中所有32位虛擬設備驅動信息，win95自動管理它們，所以不必要用注冊表編輯器編輯它們，所以的靜態(tài)vxds用子鍵列出。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebPost
webpost鍵包括了所有裝載的internet郵局的設置，如果你連接一個isp，并且它列出載這里，你應該給自己選則一個服務器。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock
這個鍵列出了當連接到internet上winnsock文件的信息，如果列出了不正確的文件，你將不會連接上internet。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinTrust
wintrust功能是檢查從Internet上下載來的文件是否有病毒，它可以確保你得到干凈安全的文件。

HKEY_CLASSES_ROOT
在注冊表中HKEY_CLASSES_ROOT是系統(tǒng)中控制所有數(shù)據(jù)文件的項。這個在Win95和Winnt中是相通的。HKEY_CLASSES_ROOT控制鍵包括了所有文件擴展和所有和執(zhí)行文件相關的文件。它同樣也決定了當一個文件被雙擊時起反應的相關應用程序。
HKEY_CLASSES_ROOT被用作程序員在安裝軟件時方便的發(fā)送信息，在Win95和Winnt中，HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\Classes是相同的。程序員在運行他們的啟動程序時不需要擔憂實際的位置，相反的，他們只需要在HKEY_CLASSES_ROOT中加入數(shù)據(jù)就可以了。
在Windows用戶圖形界面下，每件事----每個文件，每個目錄，每個小程序，每個連接，每個驅動---都被看做一個對象；每個對象都有確定的屬性和它聯(lián)系。HKCR包含著對象類型和它們屬性的列表。HKCR主要的功能被設置為：
一個對象類型和一個文件擴展名關聯(lián)
一個對象類型和一種圖標關聯(lián)
一個對象類型和一個命令行動作的關聯(lián)
定義對象類型相關菜單選項和定義每一個對象類型屬性選項
在Win95中，相關菜單就是當你鼠標右擊一個對象時所彈出的菜單；屬性就是當你選擇屬性項后一個展開的對話框。用簡單術語來說就是在改變HKCR中的設置可以改變一個給定文件擴展名缺省的關聯(lián)。改變一個文件類型的缺省圖標，和添加或者刪除給定對象類型的彈出菜單內容（或者所有的對象類型）
HKCR包括了三種基本類型的子鍵
\??? 或者文件擴展名子鍵
文件擴展名子鍵在彈出菜單上連接文件擴展名到對象類型和相關操作，屬性項，和相關操作。
\object 類型子鍵
對象類型子鍵定義了一個對象類型在它缺省圖標的項，它的彈出菜單和屬性項，它的相關操作和它的CLSID連接。
\CLSID 子鍵
在Windows下每件事都被用一個數(shù)字取代它的名字來對待。就象人往往是用名字來處理事情一樣。CLSID是標識所有列出的圖標，應用程序，目錄，文件類型等等對象的數(shù)字。是微軟為制造商分配的，每一個都必須是唯一的。制造商將CLSID放入安裝程序文件這樣就可以在安裝時更新注冊表。
注冊表是應用程序進行時它們需要關于做什么的指示的數(shù)據(jù)庫。比如說，假定你有一個微軟Excel 7電子數(shù)據(jù)表的Word 7文檔，當你在Word中雙擊這個電子數(shù)據(jù)表，應用程序菜單就會變成Excel的菜單而且電子數(shù)據(jù)表進入編輯狀態(tài)，就好象你在Excel中一樣。它是如何知道該做什么呢？每個Excel 7創(chuàng)建的文件都有Excel的CLSID連接。Word讀這個CLSID后，到注冊表中尋找指示，依賴CLSID下的數(shù)據(jù)運行.DLL文件或者應用程序。
CLSID子鍵為對象類型提供了OLE和DDE信息和圖標。相關菜單，或者包含在它子鍵中的屬性項信息。這個可能是多數(shù)讓人看到后覺得“恐怖”的鍵。每個CLSID數(shù)必須是唯一的，實際上，為了這個目的微軟已經出產了CLSID-產生程序--這個結果導致你往往得到32位16進制的數(shù)字串，除非你是程序員，否則多數(shù)部分鍵看起來是很枯燥的。它們包括內存管理模式，客戶機/服務器配置，和OLE處理的.dll連接。
關于子鍵的一點注解
1)shell:Shell鍵有個一”action“子鍵，如同”open“一樣，這里有一個command子鍵；command子鍵有一個缺省句值，它包含了運行程序的命令行。將一個”open“子鍵放在一個對象類型的shell子鍵中會在這個對象類型的彈出菜單上多出一個”open“選項，給這個open子鍵一個command（缺省命令行"C:\Windows \Notepad.exe %1")子鍵會使得打開這個對象類型時使用筆記本做為缺省應用程序。其他操作選項包括View,Print,Copy,Virus,Scan等等。
2)shellex:Shellex鍵有一個子鍵。它們包含的每一個子鍵指向一個為對象類型執(zhí)行OLE和DDE功能的CLSID項（比如說快速查看，一個菜單處理子鍵下指向一個有句值的CLSID鍵列出了包含了文件瀏覽功能的.dll文件）
3)shellnew:ShellNew包含了一個“command”句，它包含了一個打開對象類型“新”文件的命令行。
4)DefaultIcon:DefaultIcon子鍵包含了一個“default”句，?/td>
　　每次出現(xiàn)死機、應用程序非法操作，或者計算機啟動時報告某個文件找不到，這個時候你是不是會特別心煩，又覺得無從下手。這些問題的出現(xiàn)，一般都與Windows 的注冊表有關。 那么，現(xiàn)在我們就來學習一下Windows的注冊表，這可能是很多對Windows非常熟悉的人都感到神秘，而又特別想掌握的。了解了注冊表，我們對以后出現(xiàn)的各式各樣的問題就不會再束手無策。

　　熟悉Windows3.X的用戶可能對它的配置文件“INI”不會陌生，這些文件記錄了系統(tǒng)的軟、硬件的各種信息，以確保系統(tǒng)的正常運行。在Windows95/98中，也保留了部分的“INI”文件。但是最主要的，如system.ini、program.ini、win.ini、control.ini 等文件所記錄的信息都已集成在注冊表中，這樣更加便于對Windows進行全面的管理。

　　Windows95的注冊表實際上是一個很龐大的數(shù)據(jù)庫，包含了應用程序和計算機系統(tǒng)的配置、Win95系統(tǒng)和應用程序的初始化信息、應用程序和文檔文件的關聯(lián)關系、硬件設備的說明、狀態(tài)和屬性以及各種狀態(tài)信息和數(shù)據(jù)。 注冊表系統(tǒng)由兩個部分組成：注冊表數(shù)據(jù)庫和注冊表編輯器。其中注冊表數(shù)據(jù)庫包括三個文件：SYSTEM.DAT和USER.DAT，還有一個是在C盤的根目錄下的“SYSTEM.1ST”，它只不過是具有WINDOWS的一個大致框架而已，在后面我們將專門講它，這里我們先分析一下SYSTEM.DAT和USER.DAT。 SYSTEM.DAT用來保存電腦的系統(tǒng)信息，如安裝的硬件和設備驅動程序的有關信息等。這個文件在Windows目錄下。 USER.DAT用來保存每個用戶特有的信息，如桌面設置、墻紙或窗口的顏色設置等。這個文件也在Windows目錄下。 SYSTEM.DAT的自備份文件為SYSTEM.DA0，USER.DAT的自備份文件為USER.DA0。Windows95還提供了一個對注冊表編輯的工具：注冊表編輯器，用它可以對注冊表進行各種編輯工作。

?