注册表实用详解

woodenbird

注册表实用详解

一、注册表基础
微软采用注册表来统一管理软硬件配置，从而大大提高了系统的稳定*和安全*，同时也使我们能更容易的对系

统进行维护和管理。

（一）注册表基础ABC

　　总的来说注册表实际上是一个庞大的数据库，它包含了应用程序和系统软硬件的全部配置信息，初始化信

息及其它重要数据。从一般用户的角度看，注册表系统由两部分组成:注册表数据库和注册表编辑器。其中注册

表数据库包括两个文件:System.dat和User.dat。前者是用来保存计算机的系统信息，如安装的硬件和设备驱动

程序的有关信息等;后者则是用来保存每个用户特有的信息，如桌面设置、墙纸或窗口的颜色设置等。它们一般

都放在C盘Windows目录下。同时，微软为了防止注册表文件的损坏，特地准备了两个备份文件System.da0和

User.da0(文件类型是.da)，也是放在C盘Windows目录下。
  在Windows 98中还有一个专门用来储备备份文件的文件夹，即C:\Windows\Bak，相比之下，注册表编辑器

是用来对注册表进行各种编辑的工具。你可以在“开始”菜单中点击运行，在运行的对话框中填入“Regedit"

即可看到注册表编辑器。
　　如果你在“系统配置实用程序"的启动项里发现ScanRegistry前的小勾没有被去掉的话，那么系统每天会自

动调用Scanreg.exe对注册表备份一次，备份后的注册表被打成cab包，放在C:\Windows\sysbckup目录下，文件

名为rb00x.cab并且被加上隐藏属*的就是(一般有五个)。
　　下面让我们具体看看系统预定义的六个主关键字(即根键)吧:
　　(1)HKEY_CLASSES_ROOT:基层类别键，定义了系统中所有已经注册的文件扩展名、文件类型、文件图标等。
　　(2)HKEY_CURRENT_USER:定义了当前用户的所有权限，实际上就是HKEY_USERS\.Default下面的一部分内容

，包含了当前用户的登录信息。
　　(3)HKEY_LOCAL_MACHINE:定义了本地计算机(相对网络环境而言)的软硬件的全部信息。当系统的配置和设

置发生变化时，其下面的登录项也会随之改变。
　　(4)HKEY_USERS:定义了所有的用户信息，其中部分分支将映射到HKEY_CURRENT_USER关键字中，它的大部分

设置都可以通过控制面板来修改。
　　(5)HKEY_CURRENT_CONFIG:定义了计算机的当前配置情况，如显示器、打印机等可选外部设备及其设置信息

等。它实际上也是指向HKEY_LOCAL_MACHINE\Config结构中的某个分支的指针。
　　(6)HKEY－DYN－4DATA:定义了系统运行中的动态数据，即已发生的事件的有关信息。它不仅包含系统硬件

的当前状态，也包含了那些需要更新和检索的数据。系统每次启动时都要创建此关键字。
　　另外，每个根键再由若干主键组成，键名代表一特定的注册项目，键值可分为字符串值、二进制值和DWORD

值，都能用注册表编辑器进行修改。
　　Windows的注册表是控制系统启动、运行的最底层设置，其文件就是System.dat和User.dat，它们不仅至关

重要，而且极其脆弱.

（二）修改注册表的基本方法

　　在注册表文本文件的首行必须用命令字符串 “REGEDIT”，其作用是通知系统调用regedit来完成注册信息

的合并工作。 接下来的每一行或代表一个键值的声明或者为注释*的说明信息。
　　主键及其默认键值的声明格式为：
　　根键\一级主键\二级主键\......=默认键值
　　例如，欲在根键HKEY_CLASSES_ROOT的“＊”主键下添加一个“压缩”主键，以便通过上下文菜单直接压缩

选定的文件，其主键的声明如下：
　　HKEY_CLASSES_ROOT\＊\shell\压缩 (＆U)\command = C:\dos\arj.exe a Temp＄％1 其中，“shell”和

“command”都是固定的，不能更改和替换，“shell”指明将要为上下文菜单中添加命令， “command”指明

具体的命令行信息。另外还要注意，在等号右边的键值字符串中， 如果要指明文件的路径，其中的“\”字符

要使用“\\"代替，等号的前后还要添加一个起分隔作用的空格。
　　凡是用分号开头的行，均为说明信息行，用户可以利用说明行给文件中的命令给予必要的注解，使命令便

于理解。
　　使用任何一个编辑器，编辑生成一个包含一系列主键声明行、说明行的列表，并将文件保存为以“.reg”

为扩展名的文本文件，即创建了一个注册表文本文件。

woodenbird

二、注册表初级应用

Win 9x中注册表的重要*，众所周知。所以也是为了这个原因，Win 98特别新增加了个小工具——注册表检查器

Scanreg.exe(Scanregw)。　　在每次开机启动Win 98时Scanreg自动运行，对系统注册表进行检查，并为每个

开机日作一次备份，将System.dat、User.dat、System.ini、Win.ini四个文件打包成Cab文件，以rb00？.Cab

命名，存放于系统备份文件夹Sysbckup中，默认保存最近的5个备份文档。当检查到注册表出错时，它就用备份

进行恢复。平时，若注册表有了问题或不合己意时，我们也可利用它来恢复。　　
　　
（一）用好“注册表检查程序”

  Scanreg的常用命令如下：
　　Scanreg /backup /restore /comment /fix
  参数包括：
　　/Backup：对注册表以及相关的系统配置文件进行备份。
　　/Restore：选择一个备件文件进行系统恢复。
　　/Fix：修复注册表
　　/Comment=“<评述>”：在做系统备份的时候，将特定的评语和标注文字加入到CAB包中。
　　/Autoscan：自动扫描注册表，并自动备份(如果已有当天的备份，则不带任何提示)
　　/Scanonly:扫描注册表，如果有错误则提示，不对注册表进行备份。
　　/opt：压缩注册表，在每回引导检查时如果有大于500KB的空间，则自动执行。这个命令在运行/Fix时它也

将运行。
　　
1、手工启动“注册表检查程序”
　　在某些情况下(如用户已经人为禁止了“注册表检查程序”的自动运行功能之后)，我们仍需要手工启动“

注册表检查程序”对系统进行检查，
　　“开始”-“运行”-“Scanregw”-“确定”，启动“注册表检查程序”,会自动对注册表数据库进行检查

，如果正确，它就会询问用户是否重新备份注册表数据库，如果有问题，它将建议用户采用上次备份的信息进

行恢复，确保Windows 98正常运行。
　　需要说明的是，“注册表检查程序”的检查、备份范围并不局限于注册表数据库，它同时还会处理Win.ini

和System.ini等文件以确保Windows 98的安全运行。另外，“注册表检查程序”在备份文件时采用了压缩备份

方式，它会将需要备份的文件统统压缩到一个CAB压缩包中，然后再以Rb???.cab为名保存到Windows 98的

Sysbackup子目录中(???为CAB压缩包文件的序号)，这样既节省了磁盘空间，又提高了备份文件的安全*。

2、DOS运行注册表检查程序
MS_DOS下的注册表检查器Scanreg.exe可以用来备份及恢复注册表。

（二）利用注册表维护与优化软件
　　
最好的注册表维护与优化工具当然是Norton Utilities提供的Windows Doctor和Norton Cleansweep提供的

Registry Sweep。前者主攻诊断与修复，后者擅长减肥与优化。对于Windows Doctor，它的优点在于不但提供

了对系统注册表错误设置的强大自检功能，而且还能全自动地修复。而Registry Sweep能非常彻底地为你的注

册表减肥，将注册表中那些无用的系统垃圾完全清除。它们都相当智能，即使你对注册表的维护一无所知，只

要一路“Next"下去，就能轻松完成对注册表的修复和优化，完完全全的“傻瓜"。

Nuts ＆ Bolts中的Registry Wizard也是非常称心的注册表维护的好工具，同样具有修复与减肥功能，清理注

册表来又快又好。

当然，如果你不想选择集成式的系统维护工具，可以使用专门的注册表维护与优化软件。优化大师和超级兔仔

注册表优化软件就很不错，不仅能够修复错误，而且能够清除非常多的注册表垃圾。

经典的注册表优化工具RegClean也是上选，凭着微软在操作系统领域中的霸主地位，它的注册表清理工具就值

得你信赖。

还有其他的不在介绍了

（三）手动注册表修改步步高

　　我们有时真希望电脑的界面和设置能发生一些变化，这样也能满足我们张扬的个*。修改注册表就不失为一

个很好的方法，工具软件的原理绝大多数都是通过对注册表的操作而实现对系统的更改，只不过这些工作并不

需要你去做，也没让你看到罢了。如果你真要成为电脑高手，怎能不学会对注册表的修改?

　　1、启动Windows时增加警告标题或问候信息
　　在 Hkey－Local－Machine\Software\Microsoft\Windows\CurrentVersion\Winlogon 下新建两个字符串值

，一个是信息框的标题:“LegalNoticeCaption”，它的值不妨设为“请你注意!";另一个自然是信息框的内容

了:“LegalNoticeText”=“上机没关系，可不要太久哦，你还有很多事没做呢!"。这样在你启动系统时，就会

有一个信息框提醒你注意上机的时间和效率，不至于玩物丧志。当然，你完全可以输入其他的座右铭或问候语

，来个极具个*化的“开场白"。

　　2、删除开始菜单中不需要的子项
　　有时当你出于某种原因不再需要开始菜单中的某个子项时，你可以修改注册表将其删除。在

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下 添加相应的DWORD值

，其中可以删除的子项有：收藏夹、文档、控制面板、查找、运行、注销、关闭系统及单击从这里开始的活动

图标，相应的键为：“NoFavoritesMenu”、“NoRecentDocsMenu”、“NoSetFolders”、“NoFind”、

“NoRun”、“NoLogoff”、“NoClose”及“NoStartBanner”，所有的键值均是“1”为关闭，“0”为激活（

即原Windows默认状况)。HKEY_CURRENT_USER的设置是对应于所有用户的，若要针对当前登录用户，则在

HKEY_USERS子树相应的目录下更改即可。

　　3、隐藏驱动器和禁用任务栏
　　在必要的时候你甚至可以隐藏某个驱动器以防止别人偷看你的个人隐私或机密文档。在

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 下新建二进制串值 “

NoDrives”。此键值与相应要隐藏的驱动器的关系有:“01 00 00 00”为隐藏A驱，“02 00 00 00”为B驱，“

04 00 00 00”为C驱，“05 00 00 00”为D驱，隐藏全部的为“FF FF FF FF”。相同路径下DWORD值为“1”的

“NoSetTaskbar"能让他人无法使用你的任务栏。

　　4、锁定桌面和禁止使用注册表编辑器
　　当你不希望别人修改你机器上的个人设置时，可直接把桌面锁起来，甚至对别人禁用注册表编辑器

Regedit(但千万不要忘了为自己留条后路，储备第二个修改器吧)。在

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下加入DWORD值为“1”

的“NoSaveSettings”和"NoChangeStartMenu"。此后系统对用户所作修改将不进行保存，也就是说用户对系统

所作的一些修改都仅对当次运行有效，重启后就会自动恢复成修改前的状态。在

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies下新建一主键“System"，就可用

一个DWORD值为“1”的“DisableRegistryTools"禁止regedit的使用。

　　5、取消CD的自动播放功能，或禁止AUTORUN(自动运行)功能但保留CD的自动播放功能
　　将HKEY_LOCAL_MACHINE\Enum\SCSI\LITEON__CD－ROM_LTN403L__F(这是光驱信息，你的可能跟我不一样)

\MF＆CHILD0000＆PCI＆VEN_1106＆DEV_0571＆SUBSYS_00000000＆REV_06＆BUS_00＆DEV_07＆FUNC_01主键下的

二进制值“AutoInserNotification"的值设为 00.或将HKEY_CLASSES_ROOT\AudioCD\shell下主键“play"的内

容删掉即可。
　　禁止Autorun(自动运行)功能，但保留CD的自动播放可在

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 下将串

“NoDriveTypeAutoRun”的值改为 “bd 00 00 00”。

　　6、手动控制系统启动时自动加载的运行程序
　　在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下Run的若干主键，它们就是系统启

动时被加载的自动运行程序。相对应的Run－可以根据不同的情况灵活处理，自己控制自动运行的程序。
  需要提醒你的是，RunServies中的程序是在操作系统启动时就开始加载的，而Run下的程序是Windows初始化

后才运行的，所以Runservies中的程序要先于Run中的程序运行，删除它们时一定要多加小心!

　　7、删除不完全删除的软件讯息
　　有时我们在直接删除某些文件夹或手动卸载软件时并没有完全将要删除的软件信息清除出系统，这时除了

用反安装软件帮你打扫垃圾外，你也可以就用注册表编辑器在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall 下删去相应软件的主键。从此

再也不怕垃圾污染了!

　　8、设置关联文件的多路打开
　　现以BMP文件为例，简述其设置方法，你完全可以举一反三，灵活运用。在HKEY_CLASSES_ROOT\＊ 下单击

＊ 新建主键并命名为“Shell”，用右键单击“Shell”再新建一主键并输入自己喜欢的名字，这里以“打开方

式"为例。接下来右键单击“打开方式”新建一主键命名为“Command”，编辑“默认”输入“Rundll32.exe

Shell32.dll，OpenAs_RunDLL ％1”。以后有BMP文件时，用右键点击图标，则会在弹出的菜单中多出一项我们

刚建成的“打开方式”，点击它你就会发现用处了。

woodenbird

三、注册表高级应用



工具软件可对注册表进行一系列的优化等操作。但碰到特殊的个案，就不灵了，还是需要我们手动进行。在对

注册表操作之前，切记切记做好备份，否则极容易“一失足成千古恨”。

（一）修改注册表表现个*

　　改变一般图标大小(像素)：更改[HKEY－CURRENT－USER\Control Panel\desktop\WindowMetrics] ，令

Shell Icon Size=″32″即可。

　 改变小图标大小(像素)：在[HKEY－CURRENT－USER\Control Panel\desktop\WindowMetrics]中，更改或新

建Shell Small Icon Size=″16″即可。

　 禁止系统右键弹出菜单：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]中，建立键值NoViewContextMenu=

01 00 00 00。

　　禁止任务栏右键弹出菜单 ：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]中，新建NoTrayContextMenu=01 00

00 00。

　　隐藏[设置]菜单中[控制面板]和[打印机]菜单项：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]中，新建键值NoSetFolders=01 00

00 00。

　　隐藏[设置]菜单中[任务栏和开始菜单]菜单项：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]中，新建键值NoChangeStartMenu=01

00 00 00，NoSetTaskbar=01 00 00 00。
　　
  隐藏[设置]菜单中[文件夹选项...]：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]中，新建NoFolderOptions=01 00 00

00。

　　隐藏[设置]菜单中[活动桌面]项：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]中，新建NoSetActiveDesktop=01 00

00 00。

　　隐藏[设置]菜单中[Windows Update]项：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]中，新建NoWindowsUpdate=01 00 00

00。

　　禁止“文档”记录功能：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]中，新建NoRecentDocsHistory=01

00 00 00。

　　退出时自动清除文档内容：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]中，新建ClearRecentDocsonExit=

01 00 00 00。

　　禁止数据光盘自动运行：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]中，新建NoDriveTypeAutoRun=00 00

00 00。

　　禁止CD光盘自动运行：在[HKEY－CLASSES－ROOT\AudioCD\shell]中，新建键值@=″ ″

　　去除新建快捷方式时自动添加的“快捷方式”字符串：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Explorer]中，令Link=00 00 00 00。或者
  HKEY－LOCAL－MACHINE\Software\Classes\lnkfile
　　HKEY－LOCAL－MACHINE\Software\Classes\piffile
　　以上两处的键值中都有一个 “IsShortCut”的字符串值，删除它，

　　 禁止使用MS－DOS方式：在[HKEY－CURRENT－

USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]中，建立键值Disabled=01 00 00

00。

　　关闭“无反应的应用程序”的等待时间(毫秒)：在[HKEY－CURRENT－USER\Control Panel\desktop]中，新

建WaitToKillAppTimeOut=″10000″

　　关闭出错应用程序的等待响应时间(毫秒)：在[HKEY－CURRENT－USER\Control Panel\desktop]中，新建

HungAppTimeout=″10000″。

  给Windows 98启动框换个名 打开HKEY_LOCAL－MACHINE/SOFTWARE/Microsoft/Windows/Current Version，

选中Version字串，双击将Windows 98换成你希望的名字，

通过“我的电脑”直接启动资源管理器   　　打开HKEY_CLASS_ROOT/CLSID/{20D04FE0－3AEA－1069－A2D8

－08002B30309D}/shell，右击shell，建立新主键“Open”，再在Open下建“Command”主键，键值改为

“explorer /e c:\”(其缺省打开路径为“c:\”，要想改变，将“c:\”换为指定的路径名即可）。生效后双

击“我的电脑”打开的就不再是“我的电脑”窗口，而是资源管理器了。

　　改变 Windows 98的安装路径 　　打开HKEY－LOCAL－

MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup在右边的窗口中找到“SourcePath”，然后将它

改为你想要的即可。

  清除积累在运行”和“查找”对话框中的文件名
　　打开HKEY_USERS/Default/Software/Microsoft/Windows/Current Version/Explorer/Runmru，在右窗口的

“运行……”对话框删除；
打开 HKEY_USERS/Default/Software/Microsoft/Windows/CurrnetVersion/Explorer/DOC Find Spec MRU，在

右窗口的“查找……”对话框删除。

让“回收站”换名或从桌面上删除它   打开HKEY－CLASSES－ROOT/CLSID/{645FF040－5081－101B－9F08－

00AA002F954E}将“默认”字符串的键值由“回收站”变为其它。
　　打开

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/Namespace/{645FF040

－5081－101B－9F08－00AA002F954E}，右击右边窗口的“默认”字符串，并选“删除”，可删除“回收站”，

如要恢复，进行其逆过程，在NameSpace主键下新建名为{645FF040－5081－101B－9F08－00AA002F954E}的主键

即可。

  隐藏桌面的所有图标 　　HKEY－

CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，右窗口空白处新建/Dword

为Nodesktop，将其键值改为1。恢复时只需将值改为0，或直接删除Nodesktop即可。如果更名为

Nosavesettings，双击将其键值改为1，则会使桌面保持在第一次设置时的状态，即锁住桌面。如果更名为

Noclose，双击将其键值改为1，则生效后开始菜单无“关闭系统”选项。恢复法同上。

  加速阶层式菜单的速度
　　打开HKEY－CURRENT－USER/ontrol Panel/desktop，单击编辑，选“新增”，选“串值”，命名为

MenuShowDelay，双击它，在调整栏设数值1－10，1为最快

  启动Windows时自动登录用户名及口令
　　打开 HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\Current Version\Winlogon，建一字符串

“Default Password”，改其值为缺省用户口，
而缺省的用户名位置为：HKEY－LOCAL－MACHINE\etwork\Logon。

  改变“我的电脑”、“回收站”的图标
　　 “HKEY－LOCAL－MACHINE\SOFTWARE\Classes\CLSID”选项,然后选择“编辑”\“查找”,键入“回收站”

并确认。当找到该项后, 选择该项的DefaultIcon选项, 双击名称栏中的 “Full”(或“Deafult”、“Empty”

),在弹出的对话框中显示的是“回收站”所对应的图标文件,更改该值为您喜欢的图标文件(注意要写全文件路

径)。用同样的方法可以修改“我的电脑”的图标,只要在查找时键入“我的电脑”并确认即可。
　　
　　为文件夹菜单添加“快速清空回收站”   进入 “HKEY—CLASSES—ROOT\＊\shellex

\ContextMenuHandlers”，在左栏中右击ContextMenuHandlers文件夹，然后“新建” \“主键”，将新文件夹

的名称一字不差地改为：“{645FF040－5081－101B－9 F08－00AA002F954E}”，然后回车确认即可。

  删除运行窗口中多余的选项 在HKEY—

USER\.Default\Software\Microsoft\Windows\CurrentVersion\Exploer\RunMRU的右窗口中保存着这些操作，

删掉不需要的串值即可。

把控制面板中的各个组件直接加到“运行”菜单中   用资源管理器在c: \Windows\Start Menu下建立一个名

为 “控制面板.{21EC2020－3AEA－1069－A2DD－08002B30309d}”的文件夹(注意:空格、句点、大括号都要输

入， 不能有错， 这里大括号中的数字是注册表中控制面板对应的类标识符，可在注册表编辑器的

HKEY_CLASSES_ROOT\CLSID下面查出， 各机器的值可能会有所不同，应以查到的结果为准。

删除桌面上的“系统级”图标 　　不能用一般的方法删除回收站、收件箱、网上邻居的图标时，先把HKEY

—LOCAL—MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace下分支的关键

字和右窗口的串值 (用纸笔)记下(供恢复时用)，然后删掉所不需要的分支。

  修改软件的所有权名称   将HKEY—LOCAL—MACHINE\SOFTWARE\Microsoft\Deveoper\Setup右窗口所有权键

值修改一下

改变窗口变化时的动画效果 HKEY—CURRENT—USER\Control Panel\Desktop\WindowsMetrics。在右边“新

建”(New)\“串值”(String value)，输入Minanimate后回车，为Minanimate的键值改为0。

为一台机器设置两个IP地址 HKEY—LOCAL—MACHINE\System\CurrentControlSet\Services\Class\NetTrans

，0000、0001 、0002……的目录，它们用于记录协议的安装情况。找到DriverDesc为“TCP/IP”的目录，修改

IPAddress和IPMask两个键。 其中IPAddress为用逗号隔开的多个IP地址， IPMask是对应的掩码。例如设置

IPAddress为“202.10.1.10，202.10.1.25”，IPMask为“255.255.255.0，255.255.255.0”时，表示为系统设

置了两个IP地址202.10.1.10和202.10.1.25。

时间也能个*化
打开HKEY_CURRENT_USER\ControlPanel\International主键，在右边窗口的空白处新建名为“sTimeFormat”的

字符串。将其键值修改为“hh点mm分”。

让心爱的壁纸永驻桌面
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies子键，新建一个名为

“ActiveDesktop”的子键，在其下新建一个双字节值（也就是WORD值），命名为“NoChangingWallPaper”，

将数值设为“1”。

防止他人更改用户的桌面设置
打开HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Policies\Explorer中的

“NoSaveSettings”（如没有此键，用户可自行添加），并将其键值从0改为1，就可以把桌面设置全部锁定了

。

查看缩略图
Win 2K的用户可以在资源管理器中直接查看图片文件的缩略图，而Win 98的用户就不可能直接查看了，不过通

过下面的修改就可以了。
打开HKEY_CLASSES_ROOT\Paint.Picture\DefaultIcon,双击右窗格中的“默认”，将键值参数末尾的“1”改为

“%1”,重启就可以了。

找回失去的提示信息
在Windows中当你把鼠标停留在“我的电脑”等图标上时，会出现一行提示信息，如果提示没有了，该怎么办？
打开HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Explorer\Advanced子键，在右侧的窗

口中，双击“showInfoTip”，在弹出的对话框中将其值设为1，提示又回来了吧。

终止被锁死的程序
当我们在关机、重启计算机时，有时会弹出错误对话框，提醒用户“某个程序还在运行，请先关闭所有程序，

然后退出Windows”，这说明由于某个程序处于锁死状态致使用户无法退出系统，通常的方法是用三个热键，然

后点击结束任务来强行关闭锁死的程序，我们可以通过修改注册表终止锁死的程序，让系统安全关闭打开

HKEY_CURRENT_USER\Controlpanel\desktop,双击右窗口中的“AutoEndTasks”项，将其值改为1，如果没有该

项，可以新建再改之即可。

删除多余的.dll文件
打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\SharedDlls子键，在右边的窗口中，

每个值项的数据都说明了该值项的.dll文件有几个程序共享，如果数据为0，则可知道该文件没有程序共享，可

以删掉了。

删除多余的配色方案
打开HKEY_CURRENT_USER\Control Panel\Appearance\Schemes子键，在右侧的窗口中显示了系统自带的各种配

色方案，选择某个方案，然后把它删除。删除时注意保留“默认”项。

woodenbird

（二）注册表实战之网络与安全设置

1.网络设置

设置登录时恢复连接
在Windows中可以把远程的共享目录映射成本地的一个驱动器，给局域网用户的日常操作带来方便。如果要经常

使用网络资源，可以设置计算机下次登录时自动恢复连接。
打开HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Control\NetworkProvider子键，新建一个双字节值，

命名为Restore Connection。将数值设为1即可。

加快上网速度
打开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP子键，右侧窗口中的DefaultTTL，

将数值设为128。然后再打开HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Class\NetTrans子键

，将MaxMTU和MaxMSS项的数值分别设为576和536。

设置自动拨号功能
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVesion\Internet Settings子键，双击右侧窗

口中的NoNetAutodial,将数值设为01　00　00　00。

2.安全设置

设置Win 98开机密码
Win 98在启动时和注销后，会要求用户输入用户名和密码，但是点“取消”就可以进入，并不能阻止非授权用

户的使用。只要调整几个设置，就可以防止非法用户的使用。
（1）需要将登录方式改为“Microsoft友好登录”。打开控制面板，双击网络图标，在“基本网络登录方式”

下的下拉列表中选中“Microsoft友好登录”，然后点“确定”，这样就把它设置成基本的登录方式。如果没有

找到，说明没有安装，那么需要添加它。
（2）接下来建立用户。在控制面板中，双击“用户”图标。点“新建”按钮，给每个可以使用此机器的用户建

立一个用户名，可以立刻就输入密码，也可以留到用户登录后自己修改密码。
（3）打开HKEY_LOCAL_MACHINE\Network\ Logon，在右边新建一个DWORD值，改名为“MustBeValidated”，双

击它，将值改为1，就行了，重启看看用“取消”能不能进入系统。

设置密码的安全要求
Windows系统在缺省配置下允许任何字符或字符串作为密码，包括空格，这是相当不安全的，下面我们通过修改

注册表使得用户设定的密码中必须同时包含字母和数字，从而增强系统的安全*。

打开HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Policies,新建Network子键，在右

侧窗口中新建一个名为AlphanumPwds的双字节值，数值为1即可。

清除特洛伊木马程序BO
BO的文件是一个图标为全透明的文件，它将自己复制入硬盘后把自己重命名为“空格.EXE”。
打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run子键，如果该键下的默认为.exe

，说明你已经中了BO木马，删除该键。然后重启计算机，删除windows\system下的空格.exe和windll.dll即可

。清除其它的木马程序与此类似，不再详述。

开机自动运行屏保
打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run子键，新建一个名为“密码确认

”的字符串项，在数值一栏中输入屏保程序的路径和名称即可。

解除屏保密码
打开HKEY_USERS\.Default\Control Panel\ desktop，找到右侧窗口中的ScreenSave_Data，将该键删除。这样

屏保的密码就轻松地解除了。

（三）注册表的灵活备份和快速恢复

  由于Windows在运行时注册表是处于打开的状态，所以我们不能对它进行写入的操作，即不能对注册表进行

恢复和修复操作。在实际使用中，可以对注册表的维护采用了一种更为灵活与快速的方法。　　

灵活备份
　　1．取消了注册表检查器的自启动特权，而让它随叫随到，完全听命于我，该出手时才出手。这样做也另有

好处，即加快了Win 98的启动速度。
　　2．安装调试完Win 98和常用应用程序并优化注册表后，运行Scanregw程序，作一个备份文档rb000.cab。

这一备份作为最基本的文档资料，一般不动。
　　3．以后系统每有更动，运行正常确认无误后，即再作一个备份。此次为活动备份，但仅保留1个，即后面

的始终替换前面的，为rb001或rb002。
　　这样，就始终保留2个备份，既节省了一定的磁盘空间，又能合我们的意愿，还缩短了Win 98的启动时间。

且恢复时，就在rb000和rb001（或rb002）之间酌情选择，简单明了，省时省力。

快速恢复
　　当注册表遭到损坏或不合我们的意愿而必须作恢复时，在纯DOS方式下，键入scanreg/restore，然后依照

提示去做。这法子确实省事，可以这样做：
　　进入纯DOS方式(“关闭系统”→“重新启动计算机并切换至MS－DOS方式”)，在C:\WINDOWS下键入：
　　attrib －s －h －r ＊.dat
　　extract/e/y sysbckup\rb00x.cab ＊.dat
　　若system.ini与win.ini也要恢复，则将＊.dat改成＊.＊，即：
　　attrib －s －h －r ＊.＊
　　extract/e/y sysbckup\rb00x.cab ＊.＊
　　(其中rb00x中x为未知数，操作时应具体为备份文件名）
　　完后键入exit或按Ctrl＋Alt＋Del重新启动Win 98。


（四）注册表恢复手法大公开

　　1、Scanreg
　　如果你的系统是Windows 98，那么你可以用它提供的Scanreg.exe进行系统的备份与恢复，其最大优点是简

单快速。其默认目录是C:\Windows\command.

　　2、dos下导出导入法
　　运行“Regedit"打开注册表编辑器，点击“注册表"的菜单，选中“导出注册表文件"，在打开的对话框中

输入文件名，保存后即可。当你需要恢复你的注册表时，从备份的路径中“导入注册表文件"就搞定了。

  导出注册表文件 命令格式：
Regedit /L:system /R:user /E filename.reg Regpath
参数详解：
/L:system指定system.dat文件所在的路径。
/R:user指定user.dat文件所在的路径。
/E:此参数指定注册表编辑器要进行导出注册表操作，在此参数后面空一格，输入导出注册表的文件名。
Regpath指定要导出哪个注册表的分支，如果不指定，则将导出全部注册表分支。
注意事项：
/L:system和/R:user参数为可选项，如果缺省，那么注册表编辑器认为是对Windows目录下的system.dat和

User.dat进行操作。但是如果你从软盘开始启动，那么必须使用/L和/R参数来指定System.dat和User.dat文件

的具体路径，否则注册表编辑器将无法找到它们。

  导入注册表文件 命令格式：
Regedit /L:system /R:user file.reg
参数详解：
/L:system指定system.dat文件所在的路径。
/R:user指定user.dat文件所在的路径。
注意事项：
导入注册表和导出注册表在参数上有所不同，它仅仅需要指定被导入的.reg文件的路径即可，而不需要像“/E

”、“/C”这样的参数。
  
  3、 dos下重建注册表 命令格式：
Regedit /L:system /R:user /C file.reg
参数详解：
/L:system指定system.dat文件所在的路径。
/R:user指定user.dat文件所在的路径。
/C:此参数将告诉注册表编辑器，用所指定的.reg文件中的内容重新建立注册表。
注意事项：
参数/C是个危险选项，它将会导入指定注册表文件的全部内容，从头到尾开始创建一个新的注册表。

  4.dos下删除注册表分支
此命令可以将注册表中的一个子键分支删除。
命令格式：
Regedit /L:system /R:user /D REGPATH
参数详解：
/L:system指定system.dat文件所在的路径。
/R:user指定user.dat文件所在的路径。
/C:此参数告诉注册表编辑器，将REGPATH所指定的注册表子键分支删除。
注意事项：
参数/C将删除指定子键下所包含的所有内容，包括所有子键、键值项和键值。

5、DOS下修复注册表文件(见初级应用) 命令格式：

6、覆盖还原法   具体来说，又可分为两种。
  第一种，利用两个DAT文件恢复。若你已经不能进入Win 98系统时，可以用DOS或Win 98启动盘引导，或者

干脆从“DOS Prompt"启动，进入C:\Windows目录下，修改System.dat和User.dat这两个文件的属*后将其删除

，再把两个备份文件.da0覆盖到相应的.dat文件上即可(留一个User.dat没覆盖)。若你对DOS下的Xcopy命令熟

悉，用它也行。当然，如果你还能进入系统，那么直接在Windows下操作不是更容易吗?修改属*，删除源文件，

为备份文件改名。
　　第二种，即提取Sysbackup中的Rb00x.cab文件。由于Sysbackup是隐含目录，如果你进不了系统，同样需要

用Attrib命令去除隐藏属*。当你用Win 98启动盘开机进入DOS后，可利用启动盘中自带的Extract.exe命令将

C:\Windows\sysbackup\下的rb00x.cab解压到C:\Windows\，把源文件覆盖以完成对注册表的恢复。你该注意的

是rb00x.cab文件一般有5个，尽量选择日期最接近稳定时期的那一个。举一个例子如:A:\>extract/e/l dir

C:\Windows C:\Windows\sysbackup\rb004.cab ＊.＊.当然，你也有可能不是用启动盘启动的，那么到

C:\Windows\Command\下去找Extract命令吧，同样轻松搞定。至于在Win 98下解压rb00x.cab压缩包，那就更简

单了，直接找到你想还原的那个rb00x.cab文件，双击打开，将四个文件(还有两个系统配置文件)分别解压到

C:\Windows\下即可。

woodenbird

被恶意网站击中的解决办法——注册表使用全攻略

一、注册表被修改的原因及解决办法

　　恶意网页是含有有害代码的ActiveX网页文件，这些广告信息的出现是因为浏览者的注册表被恶意更改的结

果。

　　1、IE默认连接首页被修改

　　IE浏览器上方的标题栏被改成"欢迎访问……网站"的样式，受到更改的注册表项目为：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
　　通过修改"Start Page"的键值，达到修改IE默认连接首页的目的
　　①在Windows启动后，点击"开始"→"运行"菜单，在"打开"栏中键入regedit，然后按"确定"键；
　　②展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，
在右半部分窗口中找到串值"Start Page" ，将键值改为"about:blank"即可；
　　③同理，展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　在右半部分窗口中找到串值"Start Page"，然后按②中所述方法处理。
　　④退出注册表编辑器，重新启动计算机，一切OK了！
　　特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网

址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们

的网站。
　　解决办法：运行注册表编辑器regedit.exe，然后依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子

键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。

  2、篡改IE的默认页

　　有些IE被改了起始页后，即使设置了"使用默认页"仍然无效，这是因为IE起始页的默认页也被篡改啦。就

是以下注册表项被修改：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
　　"Default_Page_URL"这个子键的键值即起始页的默认页。
　　解决办法：
　　将"Default_Page_UR"键值中的那些篡改网站的网址改掉.

　　3、修改IE浏览器缺省主页，并锁定设置项，禁止用户更改回来。

　　主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Settings"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Links"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"SecAddSites"=dword:1
　　解决办法：　　将上面这些DWORD值改为"0"即可恢复功能。

　　4、IE的默认首页灰色按扭不可选

　由于HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel　下的DWORD

值"homepage"的键值被修改的缘故。原来的键值为"0"，被修改为"1"（即为灰色不可选状态）。
　　解决办法：将"homepage"的键值改为"0"即可。

  5、IE标题栏被修改

　　在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加

信息，而一些恶意的网站正是利用了这一点来得逞的：它们将串值Window Title下的键值改为其网站名或更多

的广告信息，从而达到改变浏览者IE标题栏的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
　　解决办法：
　　①在Windows启动后，点击"开始"→"运行"菜单项，在"打开"栏中键入regedit，然后按"确定"键；
　　②展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值"Window

Title" ，将该串值删除即可，或将Window Title的键值改为"IE浏览器"等你喜欢的名字；
　　③同理，展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,按②中所述方法处理。
　　④退出注册表编辑器，重新启动计算机，运行IE，即可

　　6、IE右键菜单被修改

　　受到修改的注册表项目为：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt下被新建了网页的广告信息，并由此在

IE右键菜单中出现！
　　解决办法：打开注册标编辑器，找到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt，删除相关的广告条文，注意不要把下

载软件FlashGet和Netants也删除掉，这两个是正常的。

  7、IE默认搜索引擎被修改

　　在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具

按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
　　解决办法：
　　运行注册表编辑器，展开上述子键，将"CustomizeSearch"和"SearchAssistant"的键值改为某个搜索引擎

的网址即可。

　　8、系统启动时弹出对话框

　　受到更改的注册表项目为：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon在其下被建立了字符

串"LegalNoticeCaption"和"LegalNoticeText"，其中"LegalNoticeCaption"是提示框的标

题，"LegalNoticeText"是提示框的文本内容。它们的存在，得我们每次登陆到Windwos桌面前都出现一个提示

窗口，显示那些网页的广告信息。
　　解决办法：打开注册表编辑器，找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon主键，在右边窗口中找

到"LegalNoticeCaption"和"LegalNoticeText"这两个字符串，删除就可。

　　9、浏览网页注册表被禁用

　　这是由于注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD

值"DisableRegistryTools"被修改为"1"的缘故，将其键值恢复为"0"即可。
　　解决办法:用记事本程序建立以REG为后缀名的文件，将下面这些内容复制在其中就可以了：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

　

woodenbird

10、浏览网页开始菜单被修改

　　1)禁止"关闭系统" 　　2)禁止"运行"
　　3)禁止"注销" 　　4)隐藏C盘--你的C盘找不到了！
　　5)禁止使用注册表编辑器regedit 　　6)禁止使用DOS程序
　　7)使系统无法进入"实模式" 　　8)禁止运行任何程序
　　   
注：以下是该网页修改受害者的注册表项所用的招数
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion
\\Policies\\Explorer\\NoRun", 01, "REG_BINARY"）;
注：使受害者系统没有“运行”项，这样用户就不能通过注册表编辑器来修改该有害网页对系统注册表的修改

。
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\Explorer\\NoClose",

01, "REG_BINARY"）;
注：使受害者系统没有“关闭系统”项
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\Explorer\\NoLogOff",

01, "REG_BINARY"）;
注：使受害者系统没有“注销”项
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\Explorer\\NoDrives",

"00000004", "REG_DWORD"）;
注：使受害者系统没有逻辑驱动器C
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\WinOldApp\\

Disabled","REG_BINARY"）;
注：禁止运行所有的DOS应用程序；
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\

\WinOldApp\\NoRealMode","REG_BINARY"）;
注：使系统不能启动到“实模式”（传统的DOS模式）下；
又注：进入该网页，它还会修改以下的注册表项，使WINDOWS系统登录时显示一个登录窗口（在MicroSoft网络

用户登录之前）
Shl.RegWrite （"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\Winlogon\\LegalNoticeCaption",

"呜啦啦..."）;
注：这些代码会使窗口的标题是“呜啦啦…”
Shl.RegWrite （"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\Winlogon\\LegalNoticeText", "

《呜啦啦...》
注：上面一行是会在窗口中显示出来的文字
注：下面两行代码修改注册表，使受害者所有的IE窗口都加上以下的标题：“呜啦啦…”
Shl.RegWrite （"HKLM\\Software\\Microsoft\\Internet Explorer\\Main\Window Title", "呜啦啦..."）;
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\Window Title", "呜啦啦..."）;
注：到上面一行为止，完成了对受害者的注册表的所有修改！
注：下面代码用来将其网页增加到受害者的收藏夹中
var WF, Shor, loc;
WF = FSO.GetSpecialFolder（0）;
loc = WF + "\\Favorites";
if（!FSO.FolderExists（loc））
{
loc = FSO.GetDriveName（WF） + "\\Documents and Settings\" + Net.UserName + "\\Favorites";
if（!FSO.FolderExists（loc））
{
return;
}
}

注：下面就是使其网页加入到你的收藏夹的具体代码
AddFavLnk（loc, "找到感www.findfeel.com", "http://www.findfeel.com";）
　　
受害用户的修复方法：
　　1：对于Win9x用户，建议在电脑启动时按F8键，选择到MS-DOS方式下，使用Scanreg/restore命令来恢复以

前备份的、正常的注册表。
　　2：对于Win2000用户，把以下内容copy下来，存为unlock.reg文件，选带命令行的安全模式，用命令

regedit unlock.reg导入，如何重启机器就OK了。
unlock.reg文件内容如下：
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\WinOldApp]
"Disabled"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\WinOldApp]
"NoRealMode"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionWinlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"="IE浏览器"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="IE浏览器"

　11、IE中鼠标右键失效
　　浏览网页后在IE中鼠标右键失效，点击右键没有任何反应！

　　12、查看""源文件"菜单被禁用

　　在IE窗口中点击"查看"→"源文件"，"源文件"菜单已经被禁用。具体的位置为：在注册表
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer下建子键"Restrictions"，然后

在"Restrictions"下面建立两个DWORD值："NoViewSource"和"NoBrowserContextMenu"，并为这两个DWORD值赋

值为"1"。
　　在注册表
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions下，将两个DWORD值：

"NoViewSource"和"NoBrowserContextMenu"的键值都改为了"1"。
　　解决办法：
　　将以下内容另存为后缀名为reg的注册表文件，如unlock.reg，双击unlock.reg导入注册表，重新运行IE就

会恢复正常。
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoViewSource"=dword:00000000
"NoBrowserContextMenu"=dword:00000000
[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoViewSource"=dword:00000000
"NoBrowserContextMenu"=dword:00000000
　　要特别注意的是，在你编制的注册表文件unlock.reg中，"REGEDIT4"一定要大写，并且它的后面一定要空

一行，还有，"REGEDIT4"中的"4"和"T"之间一定不能有空格，否则将前功尽弃！注意如果是Win2000或WinXP用

户，请将"REGEDIT4"改为Windows Registry Editor Version 5.00。

woodenbird

二、预防办法





　　1、要避免中招，关键是不要轻易去一些自己并不了解的站点，特别是那些看上去美丽诱人的网址更不要贸

然前往.

　　2、由于该类网页是含有有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java脚本等

全部禁止就可以避免中招。
　　具体方法是：在IE窗口中点击"工具→Internet选项，在弹出的对话框中选择"安全"标签，再点击"自定义

级别"按钮，就会弹出"安全设置"对话框，把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。

不过，这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。

　　3、对于Windows98用户，打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中

的"ActiveXComponent.class"删掉；对于WindowsMe用户，打开C:\WINDOWS\JAVAPackages\5NZVFPF1.ZIP，把其

中的"ActiveXComponent.class"删掉。请放心，删除这个组件不会影响到你正常浏览网页的。

　　4、对于所有用户，都建议安装Norton AntiVirus 2002 v8.0杀毒软件，此软件已经把通过IE修改注册表的

代码定义为Trojan.Offensive ，增加了Script Blocking功能，将对此类恶作剧进行监控，并予以拦截。

　　5、既然这类网页是通过修改注册表来破坏我们的系统，那么我们可以事先把注册表加锁：禁止修改注册表

，可以达到预防的目的。
　　加锁方法如下：
　　(1)运行注册表编辑器regedit.exe；
　　(2)展开注册表到   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

下，新建一个名为DisableRegistryTools的DWORD值，并将其值改为"1"，即可禁止使用注册表编辑器

regedit.exe。
　　解锁方法如下：
　　用记事本编辑一个任意名字的.reg文件，如unlock.reg，内容如下：
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
　　存盘，你就有了一把解锁的钥匙了！如果要使用注册表编辑器，则双击unlock.reg即可。注意如果你是

Win2000或WinXP用户，请将"REGEDIT4"写为Windows Registry Editor Version 5.00。

　　6、对Win2000用户，还可以通过在Win2000下把服务里面的远程注册表操作服务"Remote Registry

Service"禁用，来对付该类网页。具体方法是：点击"管理工具→服务→Remote Registry Service(允许远程注

册表操作)"，将这一项禁用即可。

  7、虽然经过一番辛苦的劳动修改回了标题和默认连接首页，但如果以后又不小心进入该站就又得麻烦一次

。可以在IE中做设置以便永远不进该站点：
　　打开IE，点击"工具"→"Internet选项"→"内容"→"分级审查"，点"启用"按钮，会调出"分级审查"对话框

，然后点击"许可站点"标签，输入网站网址。
　　
  8、修改注册表后留后门，目的让你修改注册表好像成功，重新启动后又恢复到被修改的状态。
这主要是在启动项里留了后门，大家可以打开注册表到
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersionRun-
看看有没有可疑的启动项目，这一点最多朋友忽略，哪些启动可疑呢？
我这里给出几个大家需要注意的,启动项里键值有出现.hml和.htm后缀的，最好都去掉，还有有.vbs后缀的 启

动项也去掉，还有一个很重要的，如果有这一个启动项，出现有类似键值的，比如：
system 键值是regedit -s c:\windows……请注意，这个regedit -s 是注册表的一个后门参数，是用来导 入

注册表的，这样的选项一定要去掉
还有一类修改会在c:\windows\产生.vbs后缀的文件，或是.dll文件，其实.dll文件实际是.reg文件,此时你要

看看c:\windows\win.ini文件，看看load=，run=，这两个选项后面应该是空的，如果有其他程序 修改load=，

run=，将=后面程序删除，删除前看看路径和文件名，删除后在到system下删除对应的文件
还有一种方法，大家如果屡次修改重启又恢复回去，可以搜索C盘下所有的.vbs文件，可能有隐藏的，用记 事

本打开，看到里面有关于修改注册表的都把它删除或保险起见把后缀改掉，你可以按中恶意网页的病毒的 时间

来搜索文件,
下面的这个漏洞大家非常值得注意，在启动IE时还有一个陷阱，就是IE主界面的工具的菜单里的广告，一定要

去 掉，因为这些会在你启动IE时启动，所以你修改完其他的先别着急打开IE窗口，否则白费力气，方法：打开

注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions看到广告就删，别留情
一个很重要的问题，在中了恶意网页的陷阱后一定要先清空IE所有临时文件，切记！


剖析各类恶意网页对策分析—注册表使用全攻略之七
互联网利用IE等的漏洞完全可以让你通过浏览网页让你的电脑面目全非，或者格盘，甚至中下木马，传播病毒

，而且这种形式的传播愈演愈烈，闲话少说了，现在来分析一下各类恶意网页。
分析前先介绍一下注册表的修改方法，因为注册表在网页病毒中是中枢，就是通过它让你的电脑面目全非。
第一种方法：直接修改法
就是在运行里敲入regedit，然后进行编辑，这是大家通常修改注册表的方法。
第二址椒ǎ簉eg包导入法
现在以解锁注册表为例(其实解锁用兔子等工具更好更方便，这里只是说明如何建立reg包)
对于WIN 9x/ME/NT 4.0来说，在记事本把下面的内容另存为*.reg文件，导入即可

REGEDIT4
；这里一定要空一行，否则将修改失败
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

对于WIN 2000或XP，把 REGEDIT4 改为Windows Registry Editor Version 5.00即可

第三种方法：inf安装法
对于98/ME，把下面的内容保存为.inf后缀文件，右键单击给文件选择安装即可

[version]
signature="$CHICAGO$"
[DEFAULTINSTALL]
ADDREG=unlock.ADD.REG
DELREG=unlock.DEL.REG
[unlock.ADD.REG]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system
[unlock.DEL.REG]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system

若为2000或XP，将CHICAGO修改为Windows NT
至于其他修改格式，这里不多说，可以自己找找资料，真的不会建立其它的inf包可以和我联系:)

woodenbird

第四种方法：vbs脚本法
把下面的内容保存为.vbs后缀文件
Dim unlock
Set unlock = WScript.CreateObject("WScript.Shell")
unlock.Popup "将为您解开注册表"
unlock.RegWrite

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWOR

D"

第五种方法：呵呵，是以其人之道还治其人之身的方法，这里不介绍

至于在DOS下编辑注册表，这里不再举例说明

请大家切记，修改注册表前一定要备份注册表！！切记！！

知道了方法，现在就来分析各类恶意网站和对付的方针
恶意网站大致可以分成以下几类：

一 利用IE的文本漏洞通过编辑的脚本程序修改注册表的行为
1。轻度修改注册表：比如标题拦，默认主页，搜索页，添加广告等，先来看看其中的一段原代码
//a.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")；恶意网页就是通过这个ID修改注册表的。
//Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\Explorer\\NoRun",

01, "REG_BINARY"）; 这一句代码可以让你的运行菜单消失。
清除方法：
本文对一般的被修改浏览器的解决方案不作提供，因为现在网上关于如何通过修复注册表来恢复的文章很多 ，

大家可以自己找来看看
我认为这一类的修改一般可以通过注册表修复工具来修复，不必手动去修改。
常用工具有：超级兔子魔法，优化大师，3721魔宝石，杀毒王自带的IE修复器等
瑞星的注册表修复工具：

http://it.rising.com.cn/newSite/ ... erPagePackage/spite

;ful.htm
毒霸的注册表修复工具：http://sh.duba.net/download/other/tool_011027_RegSolve.htm ;
推荐一个很好的在线修复网站www.j3j4.com
补丁：WINDOWS 2000：http://www.microsoft.com/china/windows2000/SP2.htm ;
WINDOWS 9X用户 ：http://www.microsoft.com/downloads/release.asp?ReleaseID=32558 ;

2。修改注册表禁止命令形式的修改，目的是不让用户通过注册表修复回去。
最通常的修改是锁住注册表，还有破坏关联：比如.reg，.vbs，.inf等
关于解锁注册表，在前面已经介绍了方法，至于被修改关联，只要我前面说的注册表修改的方法里的关联还 能

用，就可以用其中的任意一个，但如果.reg，.vbs，.inf都被修改了，怎么办啊？，也不用怕，把 .exe 后缀

改为.com后缀，我一样可以编辑注册表，.com也被改了，怎么办？没那么狠吧，行，我再改后缀为.scr 。嘿嘿

，一样还可以修改。
最好的最简单的办法，马上重新启动，按F8进入DOS下，敲入SCANREG/RESTORE，选择以前的正常时的注册表 还

原就可以，注意了，一定要选择没被修改时的注册表！如果发现连scanreg都被删除了(一些网站就是这么 狠的

，用A盘COPY一个scanreg.exe到COMMAN下即可
有必要在这里说说常见的文件关联的默认值
正常的exe关联为[HKEY_CLASSES_ROOT\exefile\shell\open\command]
默认的键值为："%1 %*" 将此关联改回去即可使用exe文件

3。修改注册表后留后门，目的让你修改注册表好像成功，重新启动后又恢复到被修改的状态。
这主要是在启动项里留了后门，大家可以打开注册表到（也可以用一些工具比如优化大师等来察看)
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersionRun-
看看有没有可疑的启动项目，这一点最多朋友忽略，哪些启动可疑呢？
我这里给出几个大家需要注意的,启动项里键值有出现.hml和.htm后缀的，最好都去掉，还有有.vbs后缀的 启

动项也去掉，还有一个很重要的，如果有这一个启动项，出现有类似键值的，比如：
system 键值是regedit -s c:\windows……请注意，这个regedit -s 是注册表的一个后门参数，是用来导 入

注册表的，这样的选项一定要去掉
还有一类修改会在c:\windows\产生.vbs后缀的文件，或是.dll文件，其实.dll文件实际是.reg文件
此时你要看看c:\windows\win.ini文件，看看load=，run=，这两个选项后面应该是空的，如果有其他程序 修

改load=，run=，将=后面程序删除，删除前看看路径和文件名，删除后在到system下删除对应的文件
还有一种方法，大家如果屡次修改重启又恢复回去，可以搜索C盘下所有的.vbs文件，可能有隐藏的，用记 事

本打开，看到里面有关于修改注册表的都把它删除或保险起见把后缀改掉，你可以按中恶意网页的病毒的 时间

来搜索文件:)
下面的这个漏洞大家非常值得注意，很多朋友说，你说的方法我都试了，启动项里绝对没有什么可疑的，也 没

有什么vbs文件，呵呵，大家在启动IE时还有一个陷阱，就是IE主界面的工具的菜单里的广告，一定要去 掉，

因为这些会在你启动IE时启动，所以你修改完其他的先别着急打开IE窗口，否则白费力气，方法：打开 注册表

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions看到广告就删，别留情
一个很重要的问题，在中了恶意网页的陷阱后一定要先清空IE所有临时文件，切记！

说了那么多废话，那如何防御这类恶意网页呢？
一个一劳永逸的方法，把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID删掉
在注册表的路径为HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
记住，看清楚了再删除，千万别删错其他。删掉这个F935DC22-1CF0-11D0-ADB9-00C04FD58A0B对系统不会有 影

响的。
在IE的选单栏中选择“工具”→“Internet选项”，在弹出的对话框中切换到“安全”标签，选择“ Internet

”后点击“自定义级别”按钮，在“安全设置”对话框中，把“ActiveX控件和插件”、“脚本” 中的相关选

项全部选择“禁用”或“提示”即可。但如果选择了“禁用”，一些正常使用ActiveX和脚本的 网站可能无法

完全显示。建议选择：提示。遇到警告时，看看该网站的原代码，如果发现有出现 Shl.RegWrite等的代码，就

不要去了，如果是加密的原代码，不是自己熟悉的网站也不要去，如果连右键都用不了的，也要小心为好(看看

原码有什么所谓啊，除非有什么好的JAVA或是恶意代码）
对于Windows98用户，请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class

删掉，对于WindowsMe用户，请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的

“ActiveXComponent.class”删掉，这些删掉不会影响正常浏览网页
在Windows 2000/XP，可以通过禁用“远程注册表服务”来阻挡部分恶意脚本。具体方法是：在“控制面板”→

“管理工具”→“服务”中右键单击“Remote Registry Service”，在弹出选单中选择“属*”，打开属*对话

框，在“General”内将“Startup ype”设为“Disabled”。这样也可以拦截部分恶意脚本程序。
嘿嘿，不用IE。用其他浏览器也可以……
大家在中了恶意网页的陷阱后，先不要立即重新启动计算机，到启动项里看看，有没有什么危险的启动项，不

如deltree之类的

二 利用IE漏洞直接破坏Windows系统
如今利用浏览网页格式化硬盘已经不是什么新鲜事了，当某一天，你上网时突然跳出警告说当前页面包含 不安

全的页面，如果你选择“是”，很可能硬盘被格式化掉
看看它的部分原代码：
//<xxx ……id=wsh……F935DC22-1CF0-11D0-ADB9-00C04FD58A0B……>wsh(……)</xxx>
防御这一类网页，可以用下面的方法：
删掉F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID，因为这个ID可以用来生成命令格式，可以执行硬盘 的可

执行文件，具体路径
HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 再次提醒，别删错了。
建议大家都把deltree.com和format.com命令改掉，比如用优化大师后改为deltree.wom和format.wom
把C盘WINDOWS下的Wscript.exe改名也是一个办法。
也可以卸载WSH：
98/ME：进入“控制面板”，选择“添加/删除程序”，选“Windows安装程序”，选择“附件”，再选 择“详

细资料”中的Windows Scripting Host，确定卸载。
在Windows 2000中禁用WSH的方法是，双击"我的电脑"图标，然后执行"工具/文件夹选项"命令，选择"
文件类型"选项卡，找到"VBS VBScript Script File"选项，并单击［删除］按钮，最后单击［确定］即可
或者升级WSH到WSH 5。6
IE浏览器可以被恶意脚本修改，原因就是IE 5.5以及以前版本中的WSH允许攻击者利用javascript中的 Getxxx

函数以及htmlfilr Activex对象读取浏览者的注册表。微软最新的Microsoft Windows Script 5.6已经修正了

这个问 题。
WSH 5.6 For Win9x/NT官方下载www.microsoft.com
WSH 5.6 For Win2000官方下载：http://www.microsoft.com/devonly/ ;

woodenbird

三 安全*漏洞问题

现在通过注册表可以在硬盘生成文件，可以读取注册表
利用IE漏洞可以传播病毒，目前的浏览网页可以感染新欢乐时光等脚本病毒，很多是通过IE漏洞入侵的， 还有

目前的网页木马的问题，其实也是利用了IE的MIME头错误漏洞，让用户自动运行木马程序，这一类程序制作容

易，很容易传播，这一类的MIME头错误对策：打补丁或升级

http://www.microsoft.com/windows ... Q290108/default.asp ;
1。看看IE 5.0的一个漏洞：可以写一段错误的HTML代码使你的IE当掉，代码这里就不便贴出来了。
再来看看这个ID：0D43FE01-F093-11CF-8940-00A0C9054228就是用来生成文件的
2。IE现在还有IFRME漏洞，通过这个漏洞可以让IE浏览页面后自动执行.exe文件
防御对策：最好升级IE到SP2上”，或者安装PATCH Q290108(谢谢飘飘斑竹指出这里的错误），如果你真的不想

用高版本IE，怕占用资源大，就一定要记住把补丁打上。因为目前很多病毒都是利用IE和OE的这个漏洞进行传

播，爱情森林病毒是其中一个。
还有删除HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228} 这个ID
3。在IE6(build 2600)版本中，可以用一段javascript脚本代码让IE拒绝服务，98中能造成IE的不响应，当试

图终止任务的时候，将造成操作系统的崩溃，2000中能造成50%的CPU被长时间利用，之后浏览器会询问是否让

用。
防御对策：把JAVA和脚本禁止掉，建议是升级IE或打补丁(看来不打补丁就是不行）
4。IE中的框架（Frame）漏洞，IE 5.01,5.5.6.0都受到影响，利用这个漏洞可以泄露用户的信息。
对策：打补丁：http://www.microsoft.com/Windowsupdate ;
http://www.microsoft.com/technet/security/bulletin/MS02-009.asp ;

获取控制权限此类黑手会利用IE执行Actives时候发生，虽然说IE提供对于"下载已签名的ActiveX控件"进行提

示的功能，但是恶意攻击代码会绕过IE，在无需提示的情况下下载和执行ActiveX控件程序，而这时恶意攻击者

就会取得对系统的控制权限。如果要屏蔽此类黑手，可以打开注册表编辑器，然后展开如下分支：
解决方法是在注册表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX

Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值{6E449683_C509_11CF_AAFA_00AA00

B6015C}，然后在新键值下创建一个REG_DWORD 类型的键Compatibility，并设定键值为0x00000400即可。

四 无聊恶意网页
这一类网页是利用编写javascript代码，比如弹出无数关不完的窗口，只能让CPU资源耗尽重新启动，说句实话

，现在国内的杀毒软件的网页监控对这类恶意网页根本没法拦截(国外的我没试过)
这一类网页编写并不难，都是通过写一些死循环来达到目的。
防御方法：将JAVA禁用。升级IE到高版本
还有是利用WIN98的漏洞让你掉线或者是死机的，防御对策，给98拼命打补丁(不要用98了，2000稳定)

大家上网时切记把网页监控或注册表监控打开，现在国内杀毒软件对写入注册表的行为的拦截的成功率都不错

通过上面的分析可以看出一个很重要的问题：一定要时常给自己的系统打补丁，微软一般出了补丁，很快就有

新的病毒代码来攻击的，所以切记时常打补丁！

woodenbird

WinXP注册表应用—注册表使用全攻略
Win XP注册表还原简单一法

Win XP提供了一个还原注册表的新方法，步骤如下：

  l．重新启动计算机，在看到“选择启动操作系统”消息后，请按“F8”键。

　　2．使用箭头键突出显示“最后一次正确的配置”，然后按Enter键。必须关闭NUM LOCK，数字键盘上的箭

头键才能工作。

　　3．如果有双启动或多启动系统，请使用箭头键突出显示要启动的操作系统，然后按“Enter”键。

　　成功启动Windows后，注册表将恢复到上次成功启动计算机时的状态。选择“最后一次正确的配置” 是解

决从问题（如新添加的驱动程序与硬件不相符）中恢复系统的一种方法，但是它不能解决由于驱动程序或文件

被损坏或丢失所导致的问题。而且Windows只还原注册表顶HKLM\System\CurrentControlset 中的信息，任何在

其它注册表项中所做的更改均保持不变。

一、注册表基础：





（一）********系统文件夹：*********

名称 路径 含义
AppData C:＼Windows＼Application Data 应用程序
Cache C:＼Windows＼Temporary Internet Files 浏览器缓存
Cookies C:＼Windows＼Cookies
Desktop Desktop 桌面
Favorites Favorites 收藏夹
Fonts Fonts 字体
History History 历史文件夹
NetHood NetHood 网上邻居
Personal C:＼My Documents 我的文档
PrintHood PrintHood 打印机
Program Start Menu＼Programs 程序
Recent Recent 文档
SendTo SendTo 发送到
Start Menu Start Menu 开始菜单
Startup Start Menu＼Programs＼启动 启动组
Templates Temp 临时文件夹

******当需要修改这些系统文件夹的路径时，只需进入注册表的HKEY_CURRENT_USER＼Software
＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell Folders 中修改相应的路径即可。


（二）********系统特殊的文件夹*********

在我们的桌面上或其他地方有一些文件夹并不是真正的文件夹，它们只是一个用来显示窗口文件夹内容的OLE对

象，如“我的计算机”、“控制面板”等等，它们都有一个系统默认的类ID类标识，windows在注册表的

HKEY_CLASSES_ROOT＼CLSID下定义这些文件夹 类ID 说明

Control Panel {21EC2020-3AEA-1069-A2DD-08002B30309D} 控制面板
Dial-Up Networking {992CFFA0-F557-101A-88EC-00DD010CCC48} 拨号网络
Internet Explorer {BFB23B42-E3F0-101B-8488-00AA003E56F8} 浏览器
My Computer {20D04FE0-3AEA-1069-A2D8-08002B30309D} 我的电脑
Network Neighborhood {208D2C60-3AEA-1069-A2D7-08002B30309D} 网上邻居
Printers {2227A280-3AEA-1069-A2DE-08002B30309D} 打印机
Recycle Bin {645FF040-5081-101B-9F08-00AA002F984E} 回收站
Scheduled Tasks {D6277990-4C6A-11CF-8D87-00AA0060F5BF} 计划任务
My Documents {450D8FBA-AD25-11D0-98A8-0800361B1103} 我的文档
URLHistory Folder {FF393560-C2A7-11CF-BFF4-444553540000} URL历史

（三）*************文件或其他对象的图标：*************

图标是一个文件或对象的标识。对于一个ICO文件只有一个唯一的图标， 可以用“路径＼图标文件名”来指示

该文件的图标；对于EXE、DLL等文件，它们可能要包含不止一个图标，这时就需要有一个索引标志来指明是第

几个图标，可以用“路径＼文件名，索引号”的形式来指示该文件的图标。

如果要修改系统文件夹的图标，只需进入注册表的HKEY_CLASSES_ROOT＼CLSID中，查找到系统文件夹的类ID，

然后修改 DefaultIcon中的图标文件路径即可；如果要修改其他文件的默认图标则需要在HKEY_CLASSES_ROOT＼

CLSID＼"文件类型"＼DefaultIcon中修改图标文件的路径。

（四）***************驱动器的自动运行功能************

打开CDROM的自动运行功能并且放入可以自动运行的光盘时，光盘上的程序会自动运行，那么其他的诸入硬盘、

移动盘等是否也可以自动运行哪？在注册表的KEY_USERS＼DEFAULT＼Software
＼Microsoft＼Windows＼CurrentVersion＼Policies＼Exploer下可以看到有一个
NoDriveTypeAutoRun的值项，其中的值就指明了可以自动运行的驱动器。该值项是一个4字节的二进制值，第一

字节的每位对应于不同的驱动器，如果对应位置为“1”则表示关闭自动运行功能，如果对应位置为“0”则表

示打开自动运行功能。下表是各位对应的驱动器类型
第0位：未知驱动器 第2位：可移动驱动器 第3位：硬盘
第4位：远程驱动器 第5位：CDROM驱动器 第6位：RAM驱动器