| |
目前Windows2000/XP/2003注册表编辑的功能除了一些基础的修改图标、查杀病毒等应用外,很多都能在系统的组策略(以后“菜菜学堂”会教大家用)中实现,所以像更改IE、隐藏控制面板组和磁盘驱动器等高级应用就交给组策略来办,会更安全和稳定。
左脑记忆 备份与恢复注册表项:如果你只想保存一个键值或注册表项,比如HKEY_USERS\.DEFA
ULT\Software,定位到该项上,如图2所示,右键点击该项,在菜单上选择“导出”命令,将该项保存为REG文件即可。若要还原导出的注册表子项,只要双击刚才导出的REG文件即可。
备份整个注册表:点击“开始→所有程序→附件→系统工具→备份”,打开“备份或还原向导”,如果启动的是“高级模式”,可以点击“工具→切换到向导模式”打开向导。点击下一步选择“备份文件和设置→让我选择要备份的内容”。
在左边的栏目中展开“我的电脑”,选中“System State”,“System State”包括注册表、“COM+ 类注册数据库”以及电脑的启动文件,最后将选定的“System State”(系统状态)保存起来即大功告成。
如果要还原整个注册表,只要打开“备份或还原向导”,点击下一步选择“还原文件和设置”,根据提示,找到备份的“System State”(系统状态)文件,在“要还原的项目”框中,展开要还原的介质,然后单击系统状态复选框,将其选中,再点击下一步即可还原整个注册表。
病毒、木马以及黑客程序最喜欢入侵的地方就是注册表,通过注册表,它们能实现自动运行、破坏和传播等目的。能举例说明如何在注册表里查找可疑程序并删除它吗?
注册表中有几处是病毒、木马等最喜欢入侵的,它们分别是:
1.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows是一个高危项。右键点击该项,按“权限”命令,选择所有的用户,将其权限“完全控制”设置为“拒绝”,“应用”后就可以避免一些不必要的病毒加载。
该项的右边窗口有“Load”和“Run”的字符串值,这两个字符串值的键值默认是空白的(图3)。如果你的注册表该字符串的值不为空,那就可能被病毒加载了,这时一定要把值改回默认的。
还有一个“Programs”的字符串值默认数值为“com exe bat pif cmd”。病毒喜欢在这里添加一个特殊的文件类型,比如“病毒.cpw”,可以逃过很多病毒防护软件的扫描。一旦发现这种情况,右键选中“Run”字符串值,将该字符串值删除;双击“Load”和“Programs”,将数值数据改回空即可。
2.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中有许多自动启动的程序。对可疑的程序,直接鼠标右键选中,删除即可。类似“Run”这样的项在注册表中还有几处,均以“Run”开头,分别是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、项及该项下面的RunOnce、RunOnceEx 、RunServices等(图4),同样需要注意。
3.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,右边的“Shell”字符串值数据值为“Explorer.exe”。很容易被木马等捆绑后随系统一起启动,并且无法查杀。最好的解决办法是双击“Shell”字符串值,把值改为explorer.exe的绝对路径,如“C:\WINDOWS\explorer.exe”。
4.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager,右边“BootExecute”的多字符串值默认键值为“autocheck autochk *”。此外,还要注意有没有“PendingFileRenameOperations”这个多字符串值,它一般由软件的安装程序自动生成。木马或病毒可以通过“PendingFileRenameOperations”来实现自身的文件改名,再配合前面所说的“BootExecute”多字符串值来自动加载启动。
5.HKEY_CLASSES_ROOT\exefile\shell\open\command,右边“默认”字符串值的数据是““%1” %*”,该数据也容易被更改,解决方法就是将数值数据改回默认值““%1” %*”。
左脑记忆 对初学者来说,我们不必记下注册表的所有项值。当遇到需要修改注册表解决问题的时候,只要完整地记下下面5个步骤,照着操作就可以完成具体应用。
第一步:上Google、百度等查出要修改的具体项或键的位置,健的键值。
第二步:备份注册表。
第三步:打开注册表编辑器。
第四步:查找并编辑相关项和键值。
第五步:修改完毕后按F5键刷新注册表,验证是否修改成功,完毕。
我是系统管理员,为什么在编辑注册表时,会弹出禁止访问的警告?
如果你在注册表中编辑非当前账户的某些注册表项,系统会弹出禁止访问的警告框。可以登录系统管理员账户,右键点击该项,在弹出菜单上选择“权限”,让自己取得该项的完全控制权限。 |
|
