如何打開注冊表
　　Win98/98SE/Me
　　運行中輸入regedit.exe 無權限限制
　　Win2000/XP
　　1·開始>>運行.中輸入regedit
　　2.運行中輸入regedt32
　　第一種方法打開的注冊表編輯器和Win98下的一樣，而且功能相同，而使用第二種方法打開的注冊表編輯器則可以方便的設置權限，建議網絡管理員使用第2種方法打開注冊表編輯器修改需要修改的權限設置部分以免被他人惡意修改。
　　Windows Vista
　　1.在開始菜單搜索框中輸入regedit并按回車鍵.(需要管理員權限)
　　2.在運行中輸入regedit.exe(需要管理員權限)
注冊表數據庫文件的存放位置
　　2000/XP注冊表文件按功能來分，也是由系統注冊表文件和用戶注冊表文件兩類組成的
　　注冊表文件存放系統的所有設置信息：
　　系統設置和缺省用戶配置數據存放在系統\系統文件夾\SYSTEM32\CONFIG文件夾下的6個文件，DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYSTEM中，而用戶的配置信息存放在系統所在磁盤的\Documents and Setting\文件夾,包括ntuser.dat ntuser.ini ntuser.dat.log
注冊表的由來
　　在Windows 3.x操作系統中，注冊表是一個極小文件，其文件名為Reg.dat，里面只存放了某些文件類型的應用程序關聯，大部分的設置放在Win.ini、System.ini等多個初始化INI文件中。由于這些初始化文件不便于管理和維護，時常出現一些因INI文件遭到破壞而導致系統無法的啟動的問題。為了使系統運行得更為穩定、健壯，Windows 95/98設計師們借用了Windows NT中的注冊表的思想，將注冊表引入到Windows 95/98操作系統中，而且將INI文件中的大部分設置也移植到注冊表中，因此，注冊表在Windows 95/98操作系統的啟動、運行過程中起著重要的作用。
注冊表的作用
　　注冊表是為Windows NT和Windows95中所有32位硬件/驅動和32位應用程序設計的數據文件。16位驅動在Winnt下無法工作，所以所有設備都通過注冊表來控制，一般這些是通過BIOS來控制的。在Win95下，16位驅動會繼續以實模式方式設備工作，它們使用system.ini來控制。16位應用程序會工作在NT或者Win95 下，它們的程序仍然會參考win.ini和system.ini文件獲得信息和控制。
　　在沒有注冊表的情況下，操作系統不會獲得必須的信息來運行和控制附屬的設備和應用程序及正確響應用戶的輸入。
　　在系統中注冊表是一個記錄32位驅動的設置和位置的數據庫。當操作系統需要存取硬件設備，它使用驅動程序，甚至設備是一個BIOS支持的設備。無BIOS支持設備安裝時必須需要驅動，這個驅動是獨立于操作系統的，但是操作系統需要知道從哪里找到它們，文件名、版本號、其他設置和信息，沒有注冊表對設備的記錄，它們就不能被使用。
　　當一個用戶準備運行一個應用程序，注冊表提供應用程序信息給操作系統，這樣應用程序可以被找到，正確數據文件的位置被規定，其他設置也都可以被使用。
　　注冊表保存關于缺省數據和輔助文件的位置信息、菜單、按鈕條、窗口狀態和其他可選項。它同樣也保存了安裝信息（比如說日期），安裝軟件的用戶，軟件版本號和日期，序列號等。根據安裝軟件的不同，它包括的信息也不同。
　　然而，一般來說，注冊表控制所有32位應用程序和驅動，控制的方法是基于用戶和計算機的，而不依賴于應用程序或驅動，每個注冊表的參數項控制了一個用戶的功能或者計算機功能。用戶功能可能包括了桌面外觀和用戶目錄。所以，計算機功能和安裝的硬件和軟件有關，對所有用戶來說項都是公用的。
　　有些程序功能對用戶有影響，有些是作用于計算機而不是為個人設置的，同樣的，驅動可能是用戶指定的，但在很多時候，它們在計算機中是通用的。
　　注冊表控制用戶模式的例子有：
　　控制面板功能；
　　桌面外觀和圖標；
　　網絡參數；
　　瀏覽器功能性和特征；
　　那些功能中的某些是和用戶無關的，有些是針對用戶的。
　　計算機相關控制項基于計算機名，和登陸用戶無關。控制類型的例子是安裝一個應用程序，不管是哪個用戶，程序的可用性和存取是不變的，然而，運行程序圖標依賴于網絡上登陸的用戶。網絡協議可用性和優先權基于計算機，但是當前連接和用戶信息相關。
　　這里是在注冊表中基與計算機控制條目的一些例子：
　　存取控制；
　　登陸確認；
　　文件和打印機共享；
　　網卡設置和協議；
　　系統性能和虛擬內存設置；
　　在系統中注冊表控制所有32位應用程序和它們的功能及多個應用程序的交互，比如復制和粘貼，它也控制所有的硬件和驅動程序。雖然多數可以通過控制面板來安裝和設置，理解注冊表仍是做Winnt和Win95系統管理基本常識。
與注冊表有關的術語
　　1、HKEY ：“根鍵”或“主鍵”，它的圖標與資源管理器中文件夾的圖標有點兒相像。Windows98將注冊表分為六個部分，并稱之為 HKEY_name，它意味著某一鍵的句柄。
　　2、key(鍵)：它包含了附加的文件夾和一個或多個值。
　　3、subkey（子鍵）：在某一個鍵（父鍵）下面出現的鍵（子鍵）。
　　4、branch（分支）：代表一個特定的子鍵及其所包含的一切。一個分支可以從每個注冊表的頂端開始，但通常用以說明一個鍵和其所有內容。
　　5、value entry（值項）：帶有一個名稱和一個值的有序值。每個鍵都可包含任何數量的值項。每個值項均由三部分組成：名稱，數據類型，數據。
　　6、 字符串(REG_SZ)：顧名思義，一串ASCII碼字符。如“Hello World”，是一串文字或詞組。在注冊表中，字符串值一般用來表示文件的描述、硬件的標識等。通常它由字母和數字組成。注冊表總是在引號內顯示字符串。
　　7、二進制(REG_BINARY）：如 F03D990000BC ，是沒有長度限制的二進制數值，在注冊表編輯器中，二進制數據以十六進制的方式顯示出來。
　　8、雙 字(REG_DWORD)：從字面上理解應該是Double Word ，雙字節值。由1-8個十六進制數據組成，我們可用以十六進制或十進制的方式來編輯。如 D1234567 。
　　9、 Default（缺省值）：每一個鍵至少包括一個值項，稱為缺省值（Default），它總是一個字串。
注冊表的結構
　　注冊表是Windows程序員建造的一個復雜的信息數據庫，它是多層次式的。在不同系統上注冊表的基本結構相同。其中的復雜數據會在不同方式上結合，從而產生出一個絕對唯一的注冊表。
　　計算機配置和缺省用戶設置的注冊表數據在Winnt中被保存在下面這五個文件中：
　　DEFAULT，SAM，SECURITY，SOFTWARE，SYSTEM，NTUSER.DAT。
　　
注冊表的數據結構

　　注冊表由鍵（或稱“項”）、子鍵（子項）和值項構成。一個鍵就是分支中的一個文件夾，而子鍵就是這個文件夾中的子文件夾，子鍵同樣是一個鍵。一個值項則是一個鍵的當前定義，由名稱、數據類型以及分配的值組成。一個鍵可以有一個或多個值，每個值的名稱各不相同，如果一個值的名稱為空，則該值為該鍵的默認值。
　　在注冊表編輯器（Regedit.exe）中，數據結構顯示如下，其中，command鍵是open鍵的子鍵，(默認)表示該值是默認值，值名稱為空，其數據類型為REG_SZ，數據值為%systemroot%/system32/NOTEPAD.EXE "%1
　　數據類型
　　注冊表的數據類型主要有以下四種：
　　顯示類型（在編輯器中） 數據類型 說明
REG_SZ 字符串 文本字符串
REG_MULTI_SZ 多字符串 含有多個文本值的字符串
REG_BINARY 二進制數 二進制值，以十六進制顯示。
REG_DWORD 雙字 一個32位的二進制值，顯示為8位的十六進制值。

　　[1][2]各主鍵的簡單介紹HKEY_LOCAL_MACHINE
　　HKEY_LOCAL_MACHINE是一個顯示控制系統和軟件的處理鍵。HKLM鍵保存著計算機的系統信息。它包括網絡和硬件上所有的軟件設置。（比如文件的位置，注冊和未注冊的狀態，版本號等等）這些設置和用戶無關，因為這些設置是針對使用這個系統的所有用戶的。
　　HKEY_LOCAL_MACHINE\AppEvents
　　為了以后在客戶機上運行客戶機/服務器這樣的應用程序，在Win95/98中AppEvents鍵是空的。應用程序實際上都駐留網絡服務器上，這些鍵會保存部分指針。
　　HKEY_LOCAL_MACHINE\Config
　　這個鍵保存著你計算機上所有不同的硬件設置（這些從控制面板的系統屬性中硬件配置文件中可以創建）。這些配置在啟動時通常被復制到HKCC。每個配置會被用一個鍵（比如0001或者0002等等）來保存，每個都是一個獨立的配置。如果你只有一個單一的配置，那就只會有0001這個鍵
　　HKEY_LOCAL_MACHINE\Config01\Display
　　這個鍵表示顯示的設置，如熒屏字體，窗體大小，窗體位置和分辨率等
　　HKEY_LOCAL_MACHINE\Config01\System
　　這個鍵保存著系統里打印機的信息
　　HKEY_LOCAL_MACHINE\Config01\System\CurrentControlSet\Control\Print\Printers
　　在這個鍵下面，有一個鍵是為系統上每一個打印機設置的，通過控制面板添加和刪除打印機會調整這個列表
　　HKEY_LOCAL_MACHINE\Enum
　　Enum鍵包含啟動時發現的硬件設備和那些既插即用卡的信息。Win95使用總線列舉在啟動時通過不同的.ini文件來檢測硬件信息。那些在啟動時被安裝的和被檢測到的硬件會顯示在這里。子鍵包括BIOS, ESDI, FLOP, HTREE, ISAPNP, Monitor, Network, Root, SCSI, 和 VIRTUAL。子鍵名表示它們各自的硬件設備信息。
　　HKEY_LOCAL_MACHINE\Enum\BIOS
　　BIOS鍵保存著系統中所有即插即用設備的信息。它們用一套代碼數列出，包括每一個鍵的詳細說明，舉例，*pnp0400是并行口LPT1的鍵。如果LPT1并不具備即插即用功能，它就會別列入到Enum下的Root鍵中
　　HKEY_LOCAL_MACHINE\Enum\Root
　　Root鍵包括所有非即插即用設備的信息。在這里，我們可以迅速斷定哪些設備是即插即用，那些不是。比如SCSI適配器，這個設備必須符合Win95中一個鍵名為ForcedConfig的硬件設置，這個不會改變。
　　HKEY_LOCAL_MACHINE\Enum\Network
　　win95的網絡功能在這個鍵有詳細說明，子鍵包括了每個已經安裝的主要的服務和協議。
　　HKEY_LOCAL_MACHINE\HARDWARE
　　hardware子鍵包括了兩個多層的子鍵：DESCRIPTION鍵，它包含了中央處理器和一個浮點處理器的信息。還有一個設備映射鍵，它下面的串行鍵列出你所有的com端口。這個hardware鍵僅保存超級終端程序的信息，及數學處理器和串行口。
　　HKEY_LOCAL_MACHINE\Network
　　這個鍵僅保存網絡登陸信息。所有網絡服務細節都保存在HKEY_LOCAL_MACHINE\Enum\Network這個鍵中。這個鍵有一個子鍵，logon，包括了lmlogon（本地機器登陸？0=false 1=true）的值，logonvalidated（必須登陸驗證），策略處理，主登陸方式（Windows登陸 ，微軟網絡客戶方式等），用戶名和用戶配置。
　　HKEY_LOCAL_MACHINE\SECURITY
　　security 有兩個子鍵，第一個是存取（它最終致使一個遠程鍵列出網絡安全資源，存取權限等）和提供（包括列出網絡地址和地址服務器），這個鍵被保留用在以后使用高級安全功能和NT兼容性上
　　HKEY_LOCAL_MACHINE\SOFTWARE
　　這個鍵列出了所有已安裝的32位軟件和程序的.ini文件。它包括了變化，依靠軟件安裝。那些程序的控制功能在這里的子鍵中列出。多數子鍵簡單的列出了安裝軟件的版本號。
　　我們在\Microsoft\Windows\Current Version下發現了一些有意思的設置，它有如下子鍵：
　　1.App paths： 你曾經安裝過的所有32位軟件的位置。
　　2.Applets, Compression, Controls Folder : 包括下控制面板象顯示屬性那樣屬性條的附件。
　　3.Detect, explorer :很多有意思的子鍵如Namespace keys of Desktop和My Computer----它們指出了回收站和撥號網絡的CLSID行----和提示子鍵可以讓你建立自己的提示。
　　4.Extensions : 一個擴展聯系的列表，當前相關聯的擴展名和比特定的執行文件更適合的目標類型。
　　5.Fonts, fontsize, FS Templates :系統屬性條中所選擇文件系統模板， 服務器，桌面計算機或者筆記本電腦信息。
　　6.MS-DOS Emulation :包括一個應用程序兼容子鍵 為大量過時的程序二進制鍵所設。
　　7.MS-DOS Options :在dos模式下的設置，如himem.sys，cd-roms等。
　　8.Network :網絡驅動的配置。
　　9.Nls, Policies :系統管理員認為你不應該去做的事。
　　10.ProfileList :所有可以登陸你計算機的用戶名列表。
　　11.在Windows啟動時運行的程序的神秘之處是它們并不在開始菜單的啟動文件夾中。它們在HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\下的子鍵中被執行。
　　Run : 程序在啟動時運行
　　RunOnce : windows初始化時程序在啟動時只運行一次，這個經常用在當安裝軟件之后需要重新啟動系統的時候，所以這個鍵一般都是空的。
　　RunServices : 它就象Run一樣，但是包含了“服務”，它不象一般的程序它們是比較重要的或者是“系統”程序。但是它們不是VXDs,就象McAfee或者RegServ工作一樣。
　　RunServicesOnce : 它只運行一次，但是是“系統自身”的安裝（大量的windows安裝參數:通常鍵值包括了系統目錄位置，和win95更新，可選項安裝組件，和windows啟動目錄的子鍵。
　　注意：在很多黑客木馬軟件中，常常在這里添加鍵值（一般是在Run中），這樣使得木馬軟件可以隨著windows啟動而啟動并且很隱秘。在這里可以查看不正常的啟動項和去掉無用的運行程序（比如我就很不喜歡超級解霸的自動伺服器，在這里可以去掉它）。
　　12.SharedDLLs：共享DLL的列表，每一個都給出了在一個不可知系統的一個數字等級。
　　13.Shell Extensions:列出了“被認可的”OLE注冊條，和相應的CLSID連接。
　　14.ShellScrap :這個包含了一個PriorityCacheformats的子鍵，它包括了一個空的有限值，它更象過去SmartDrive命令行參數的派生。
　　15.Time Zones : 主鍵值是你現在的時區；子鍵定義了所以可能的時區。
　　16.Uninstall：這個保存了程序在添加/刪除程序對話框的顯示；子鍵包含了指向反安裝程序的路徑。和安裝向導相似.......）winlogon（包含了合法登陸布告的文本句）
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　這個子鍵包括設備驅動和其他服務的描述和控制。不同于windows nt，win95只包括限制驅動的控制設置信息。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
　　這個子鍵包括了win95控制面板中的信息。不要編輯這些信息，因為一些小程序的改變在很多地方，一個丟失的項會使這個系統變的不穩定
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　這個鍵包括了所有win95的標準服務。所有被添加的服務和設備，每個標準的服務鍵包括了它的設置和辨認設置。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Arbitrators
　　atbitrators鍵包括了當兩個設備共同占用同樣的設置需要解決的信息。四個子鍵包括了內存地址，沖突，DMA，I/O端口沖突和IRQ沖突。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Class
　　class鍵包括了所有win95支持的設備classes控制，這些和你在添加新硬件出現的硬件組很類似，還包括了這些設備如何安裝的信息。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\inetaccs
　　這個鍵包括了關于這個系統變化的ie附件的可用性，它僅在你安裝過ie2。0或者更高版本才出現。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSNP32
　　msnp32描述了客戶機如何在microsoft網絡中實現功能，它包括了認證過程和認證者的信息。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWNP32
　　nenp32鍵描述了windows客戶如何在netware網絡中工作功能，它包括了關于認證過程和證明者的信息。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
　　在這個鍵里包括需要遠程工作在win95系統上的信息，有認證參數，主機信息，和為了建立一個撥號連接工作的協議信息。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP
　　這個鍵包括了所以snmp（簡單網絡管理協議）的參數。它包括了允許的管理，配置陷阱，和有效的團體。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD
　　vxd鍵包括了win95中所有32位虛擬設備驅動信息，win95自動管理它們，所以不必要用注冊表編輯器編輯它們，所以的靜態vxds用子鍵列出。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebPost
　　webpost鍵包括了所有裝載的internet郵局的設置，如果你連接一個isp，并且它列出載這里，你應該給自己選則一個服務器。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock
　　這個鍵列出了當連接到internet上winnsock文件的信息，如果列出了不正確的文件，你將不會連接上internet。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinTrust
　　wintrust功能是檢查從Internet上下載來的文件是否有病毒，它可以確保你得到干凈安全的文件。
　　HKEY_CLASSES_ROOT
　　在注冊表中HKEY_CLASSES_ROOT是系統中控制所有數據文件的項。這個在Win95和Winnt中是相通的。HKEY_CLASSES_ROOT控制鍵包括了所有文件擴展和所有和執行文件相關的文件。它同樣也決定了當一個文件被雙擊時起反應的相關應用程序。
　　HKEY_CLASSES_ROOT被用作程序員在安裝軟件時方便的發送信息，在Win95和Winnt中，HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\Classes是相同的。程序員在運行他們的啟動程序時不需要擔憂實際的位置，相反的，他們只需要在HKEY_CLASSES_ROOT中加入數據就可以了。
　　在Windows用戶圖形界面下，每件事----每個文件，每個目錄，每個小程序，每個連接，每個驅動---都被看做一個對象；每個對象都有確定的屬性和它聯系。HKCR包含著對象類型和它們屬性的列表。HKCR主要的功能被設置為：
　　一個對象類型和一個文件擴展名關聯
　　一個對象類型和一種圖標關聯
　　一個對象類型和一個命令行動作的關聯
　　定義對象類型相關菜單選項和定義每一個對象類型屬性選項
　　在Win95中，相關菜單就是當你鼠標右擊一個對象時所彈出的菜單；屬性就是當你選擇屬性項后一個展開的對話框。用簡單術語來說就是在改變HKCR中的設置可以改變一個給定文件擴展名缺省的關聯。改變一個文件類型的缺省圖標，和添加或者刪除給定對象類型的彈出菜單內容（或者所有的對象類型）
　　HKCR包括了三種基本類型的子鍵
　　\??? 或者文件擴展名子鍵
　　文件擴展名子鍵在彈出菜單上連接文件擴展名到對象類型和相關操作，屬性項，和相關操作。
　　\object 類型子鍵
　　對象類型子鍵定義了一個對象類型在它缺省圖標的項，它的彈出菜單和屬性項，它的相關操作和它的CLSID連接。
　　\CLSID 子鍵
　　在Windows下每件事都被用一個數字取代它的名字來對待。就象人往往是用名字來處理事情一樣。CLSID是標識所有列出的圖標，應用程序，目錄，文件類型等等對象的數字。是微軟為制造商分配的，每一個都必須是唯一的。制造商將CLSID放入安裝程序文件這樣就可以在安裝時更新注冊表。
　　注冊表是應用程序進行時它們需要關于做什么的指示的數據庫。比如說，假定你有一個微軟Excel 7電子數據表的Word 7文檔，當你在Word中雙擊這個電子數據表，應用程序菜單就會變成Excel的菜單而且電子數據表進入編輯狀態，就好像你在Excel中一樣。它是如何知道該做什么呢？每個Excel 7創建的文件都有Excel的CLSID連接。Word讀這個CLSID后，到注冊表中尋找指示，依賴CLSID下的數據運行.DLL文件或者應用程序。
　　CLSID子鍵為對象類型提供了OLE和DDE信息和圖標。相關菜單，或者包含在它子鍵中的屬性項信息。這個可能是多數讓人看到后覺得“恐怖”的鍵。每個CLSID數必須是唯一的，實際上，為了這個目的微軟已經出產了CLSID-產生程序--這個結果導致你往往得到32位16進制的數字串，除非你是程序員，否則多數部分鍵看起來是很枯燥的。它們包括內存管理模式，客戶機/服務器配置，和OLE處理的.dll連接。
關于子鍵的一點注解
　　1)shell:Shell鍵有個一”action“子鍵，如同”open“一樣，這里有一個command子鍵；command子鍵有一個缺省句值，它包含了運行程序的命令行。將一個”open“子鍵放在一個對象類型的shell子鍵中會在這個對象類型的彈出菜單上多出一個”open“選項，給這個open子鍵一個command（缺省命令行"C:\Windows \Notepad.exe %1")子鍵會使得打開這個對象類型時使用筆記本做為缺省應用程序。其他操作選項包括View,Print,Copy,Virus,Scan等等。
　　2)shellex:Shellex鍵有一個子鍵。它們包含的每一個子鍵指向一個為對象類型執行OLE和DDE功能的CLSID項（比如說快速查看，一個菜單處理子鍵下指向一個有句值的CLSID鍵列出了包含了文件瀏覽功能的.dll文件）
　　3)shellnew:ShellNew包含了一個“command”句，它包含了一個打開對象類型“新”文件的命令行。
　　4)DefaultIcon:DefaultIcon子鍵包含了一個“default”句，它包括了一個指向圖標的命令行（比如說，"C:\Windows \System \shell32.dll,2" 2就是從0數的第三個圖標，記住，是在Shell32.dll中的）
　　除了和它們擴展名關聯擴展名和文件類型以外，它們在HKEY_CLASSES_ROOT還有很多項。所有它們的項也都適用于nt，如界面和應用程序的執行。通常你將編輯僅僅一小部分這樣的項。除了彈出菜單提示以外，所有包含在這里的項只會在安裝應用程序，在程序中設置調整或者創造關聯時被改變。
　　沒有HKEY_CLASSES_ROOT你是不能啟動系統的；你手工編輯它真的是很困難。HKEY_CLASSES_ROOT是你需要注冊標一個很重要的原因：應用程序的控制和操作這個系統。看到它的尺寸和這個處理鍵的復雜程度，SYSTEM.INI 和 WIN.INI不再夠用也是不用驚奇的。
　　HKEY_CURRENT_CONFIG
　　win95一般只使用一個硬件配置文件。如果有多個硬件配置文件。HKEY_LOCAL_MACHINE\Config中就會添加一個鍵。HKEY_LOCAL_MACHINE\Config包含了HKEY_LOCAL_MACHINE中相同的數據
　　在啟動時，你可以選擇你愿意使用的配置文件。如果有多個安裝，每次系統重新啟動時，你就必須選擇.HKEY_CURRENT_CONFIG是在啟動時控制目前硬件配置的鍵
　　在系統啟動以后，任何地方的變化都會自動影響到它。程序員經常使用HKEY_CURRENT_CONFIG方便的來存取配置信息。
　　HKEY_CURRENT_CONFIG包括了系統中現有的所有配置文件的細節。你的選擇影響了哪一個硬件配置文件成為現在的。舉例來說，如果配置0002被選擇了，所有0002的配置信息會被映射到這些鍵上
　　HKEY_CURRENT_CONFIG允許軟件和設備驅動程序員很方便的更新注冊表，而不涉及到多個配置文件信息。 HKEY_LOCAL_MACHINE中同樣的數據和任何注冊表的變化都會同時的變化。
　　HKEY_DYN_DATA
　　在HKEY_DYN_DATA鍵中所有信息都是在啟動時被寫入的。它再現了Win95在系統中控制硬件所使用的動態數據。它僅只有三個鍵。它們保留了系統目前狀態監視所需要的很簡單的信息
　　在HKEY_DYN_DATA中除了暫時文件，沒有任何數據被寫入硬盤。在系統每次重新啟動時所有的數據被重新寫入。另外，在既插即用的情況下，當設備改變狀態時一些數據可能會寫入。（比如說系統運行時在一個PCMCIA槽中插入一塊網卡）
　　Config Manager
　　配置管理包括了在Win95中每個安裝設備啟動時的信息。在啟動時它從HKEY_CURRENT_CONFIG中獲得它的列表并且檢查每個項。如果找到一個沒有在列表中列出的設備，它向系統報告這些信息來安裝。如果列表中的一個設備不在系統中，它就會在這個鍵值中顯示這個情況。
　　Enum
　　系統中已安裝的每個設備的啟動狀態都在這個鍵中被列出。如果某個設備沒準備好，它就在這里顯示出來。如果它準備好了，它也會顯示出來。每個設備指針也被列出顯示哪個注冊這個設備用來做它的控制
　　PerfStats
　　系統中所有設備的性能特征保存在這個鍵。它是十分難讀的，但是通過系統監視器就十分容易看懂
　　Security
　　這個鍵顯示了登陸在這臺機器和網絡上的登陸用戶從哪個證明者得到有效的證明
　　HKEY_USERS
　　HKEY_USERS將缺省用戶和目前登陸用戶的信息輸入到注冊表編輯器，在win95中，它僅被那些配置文件激活的登陸用戶使用，同樣在nt下，它也是這樣。
　　win95從user.dat中取得他們的信息，winnt從ntuser.dat中取得信息。.dat文件包含了所有基于用戶的注冊表設置并且允許你取配置這些用戶的環境。如果你改變了缺省用戶的設置，所有新用戶會繼承同樣的設置。而且，那些已經被建立的用戶變的失效。
　　HKEY_USERS\.DEFAULT
　　這個鍵的設置被用于所有新用戶，用戶們的配置文件從這個配置文件中建立。它包括所有的環境，屏幕，聲音，和其他用戶相關的功能。
　　HKEY_USERS\.DEFAULT\AppEvents
　　這個鍵列出了事件響應，描述，和各種系統功能的聲音
　　HKEY_USERS\.DEFAULT\AppEvents\Schemes
　　缺省和當前的聲音方案在這個鍵和它的子鍵中列出。在事件的時間中系統播發這些聲音
　　HKEY_USERS\.DEFAULT\Console
　　這個鍵保存了MS-DOS窗口的選項、布局、熒屏顏色和字體設置。
　　HKEY_USERS\.DEFAULT\Control Panel
　　所有在控制面板里配置設置的信息全保存在這個鍵和它的子鍵中
　　HKEY_USERS\.DEFAULT\Control Panel\Accessibility
　　這個鍵保存了所有在控制面板中輔助功能的設置。
　　HKEY_USERS\.DEFAULT\Control Panel\Appearance
　　這個鍵保存了所有在控制面板里顯示外觀的設置
　　HKEY_USERS\.DEFAULT\Control Panel\Appearance\Schemes
　　這個鍵列出了缺省可用的方案，和每個方案包括的顏色和字體。
　　HKEY_USERS\.DEFAULT\Control Panel\Colors
　　這個鍵保存了Windows每個缺省顏色的設置。每個值（顏色名）像一個RGB（紅、綠、藍）值列出來。比如說，黑色是0 0 0，意思就是紅色值是0，綠色值是0，藍色值也是0。相反的白色就是255 255 255。其他的顏色都是RGB值合成的。
　　HKEY_USERS\.DEFAULT\Control Panel\Sound
　　這個鍵決定了在錯誤時系統是否發出響聲
　　HKEY_USERS\.DEFAULT\Environment
　　這個鍵保存了環境設置，特定的臨時性文件的位置
　　HKEY_USERS\.DEFAULT\Keyboard Layout
　　鍵盤布局設置被設置成標準美國英國標準傳統鍵盤布局。如果你選擇了其他的布局，那么數字列表會不同
　　HKEY_USERS\.DEFAULT\Software
　　軟件的安裝設置被保存在這個鍵中，缺省用戶只有微軟程序的設置
　　HKEY_USERS\.DEFAULT\Software\Microsoft
　　微軟的應用程序的相關設置被放在這個鍵里。如果其他微軟程序被安裝，它們就更新這個用戶的微軟鍵。在下面的項目顯示了缺省的控制
　　HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
　　這個鍵保存了只和windows有聯系，和windows nt沒關系的設置，這些設置在win95中是相同的，使用同樣的驅動和功能
　　HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT
　　基于nt 功能的設置在這個鍵中。windows nt沒有這些設置就不能夠運行，它建立環境和網絡上的進程，用戶權限，打印機，字體等等
　　HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
　　這個設置控制了windows nt的登陸功能
　　HKEY_USERS\.DEFAULT\UNICODE Program Groups
　　缺省unicode程序組只是在使用程序管理器時被使用，explorer并不使用它們
　　S-1-5-21-1658001358-1336221227-1912232085-500 (SID)
　　HKEY_USERS\S-1-5-21-1658001358-1336221227-1912232085-500
　　這個是目前登陸用戶的sid，每一個網絡上的用戶都被域用戶管理器分配了一個sid，每一個sid都是唯一的，所以它依賴與登陸用戶，這個信息改變。它是從用戶配置文件的ntuser.dat文件調出的。一般來說，它的子鍵很多，是基與安裝的軟件的，選擇的和最終設置
　　HKEY_USERS\SID\Network
　　這個鍵顯示了所有連接到其他系統的映射。舉例來說，如果你映射驅動器H: 到\server1\docs，它會作為一個子鍵顯示出來
　　HKEY_USERS\SID\Printers
　　這個鍵顯示了所有安裝的，共享的和連接的打印機
　　HKEY_USERS\SID\Software
　　這個鍵為單獨的用戶擴展，基于為用戶或者被用戶安裝的其他軟件。
　　HKEY_USERS保存了所有目前登陸用戶和缺省用戶的設置。登陸用戶的改變就如同不同用戶使用這個系統，sid是用戶信息的表現。使用程序重新找到任何用戶的ntuser.dat文件并且把他放如到注冊表中觀看和編輯。
　　HKEY_CURRENT_USER
　　HKEY_CURRENT_USER包含著在HKEY_USERS安全辨別里列出的同樣信息。任何在HKEY_CURRENT_USER里的改動也都會立即HKEY_USERS改動。相反也是這樣。
　　HKEY_CURRENT_USER允許程序員和開發者易于存取目前登陸用戶的設置。通過建立這個鍵，微軟很容易在不涉及到用戶的SID下改變，添加和設置。
　　也就是說，所有當前的操作改變只是針對當前用戶而改變，并不影響其他用戶。
　　首先出場的是Win98/Me，因為Win98和WinMe沒有大的區別，所以這里放在一起講述。在Win98/Me里面的注冊表編輯器只有一種，就是最"原始"的那一種。之所以說他原始是因為他沒有任何安全限制，也就是說它的注冊表編輯器可以被任意一個用戶打開，并沒有任何權限限制。這主要是因為Win98/Me的使用對象是一般的單機用戶，不需要限制權限，這一點和NT/2000/XP有很大的不同。打開的方法：
　　1.最簡單的方法：開始--運行中輸入regedit就可以了。
　　2.另外一種方法：在Windows目錄下找到regedit.exe，直接雙擊也可以打開。 隨后是Win2000/XP出場。因為2000/XP在設計時加上了權限這一概念，所以在這2個系統里面有2種方法可以打開注冊表編輯器。一種是直接在開始--運行中輸入regedit，出現的界面和98/Me一樣。這里就不詳細說明了。另外一種打開方式是本文的重點內容----有權限限制的注冊表編輯器（打開方法：開始----運行中輸入regedt32）。如圖所示（這里是WinXP的截圖，Win2000下的截圖和WinXP是一樣的）。
　　當你選中一個鍵值的時候，編輯下拉菜單下就可以看到一個選項----權限，用鼠標單擊這個選項以后會出現圖2的窗口。用鼠標分別單擊各個用戶組就可以看到不同的權限限制，如果你覺得某一個用戶組的權利太高了，就可以在下方修改權限（注意：必須賦予Administrators組用戶完全權限，否則一旦你或相應的軟件、驅動程序要修改注冊表，但是由于所有的組用戶都沒有權限修改，所以你將不能夠成功安裝。所以必須把完全權限賦予Administrators組用戶（系統默認）。圖3是Administrators組用戶所擁有的權限。
注冊表的損壞和解決方法
　　注冊表可能出現的問題。
　　如果注冊表受到嚴重的損害，存取硬件和軟件可能會受到很大的限制，甚至系統不能啟動。可能因為一個很小的問題，一個應用程序將不能正常的運行，或者運行的不穩定。
　　當注冊表在運行時是受保護的，所以它不可能被復制，刪除，或者改變內容，除非經過一個“驗證過的”程序（比如安裝程序，注冊表編輯工具，和域用戶管理器改變安全策略和瀏覽器等）。由于這些保護，注冊表是十分安全的,但是并不是完全能防止的。問題仍會發生，你需要作好認識它們的準備來應付這些問題。
　　1、應用程序和驅動被添加到系統中
　　1）在注冊表中找出大半的錯誤與添加和刪除程序有關。多數用戶自己添加或者更新驅動，應用程序等等。而且添加和刪除都是多次的。
　　2）程序本身也有問題。沒有任何應用程序沒有bug或者錯誤。最好的情況，就是錯誤微乎其微，復雜深奧的問題你可能從來沒見過。在設計程序時因為受時間和經費的限制，這些錯誤被放置不管。作為一個程序員來講，在程序里有錯誤可能是次要的，但是它使系統崩潰那就變成一個大問題了。
　　3）驅動程序不兼容。個人計算機世界的開放結構體系造成了一定的風險，因為任何類型的部件組合在一起都是可能的。但測試所有的組合并保證所有設備的兼容性卻不太可能。所以當用在Win95下的驅動被用在Winnt時，某些問題就會產生。
　　4）在應用程序安裝過程中在注冊表中添加了不正確的項。在安裝時，多數應用程序使用叫一個叫SETUP.INF的文件詳細說明例如需要什么磁盤，哪個目錄將被建立，從哪里復制文件，使應用程序工作正常所需要建立的注冊表項等等詳細信息。如果在SETUP.INF中有一個錯誤，這個改變也仍然會出現，就會出現嚴重的問題。
　　5）一個應用程序導致另一個應用程序和它缺省的文件關聯出現錯誤。當一個應用程序被安裝后，缺省文件類型被記錄在注冊表中。然后用戶可以通過雙擊來啟動應用程序和裝載文件。很多時候，其他應用程序也會使用同樣的擴展名。舉例說，當一個TIF圖形在基于注冊表里的設置被激活時，最后一次裝載的程序將會變成一個執行體。有時候，徹底不相同和根本不兼容的程序會在它們自己的文檔文件中使用相同的文件擴展名，啟動文檔的快捷方式將不會工作。在用戶操作過程中，如果在文件打開方式選擇了不正確的程序，就會造成一定的問題。
　　6）在反安裝時出現的錯誤。當你在控制面板里的添加/刪除程序種刪除程序時，通過應用程序自身的反安裝特征，或者通過第三方軟件，這可能會對注冊表造成損壞。除此之外，刪除程序，輔助文件，數據文件和反安裝程序可能會試圖移去注冊表的參數項。因為系統不可能知道一個應用程序在注冊表中所要存取的相關參數項，這將會不經意的移除掉其他應用程序的參數項。
　　7）字體的錯誤。當注冊表中字體ID出錯，你將在應用程序中看到一種不同的字體。這就讓人感覺很討厭并可能需要你移去部分或全部字體并取代它們。這經常發生在用戶頻繁安裝和刪除字體的時候。
　　2、硬件設置改變或者硬件失敗
　　1）如果計算機系統自身有問題，注冊表會有損害。通常的，這些錯誤可以在正確的系統維護和管理下避免。
　　2）病毒問題。病毒很隱秘的改變正常的文件和注冊表中的部分內容來影響我們的系統。
　　3）計算機用電如果不正常也會影響計算機系統，用UPS可以避免。
　　4）磁盤問題。很多時候你會因為容量不夠使硬件失敗而換掉你的硬盤。如果整塊硬盤失敗，當然，你將不得不從備份中恢復你的注冊表。其他的則是磁盤獨立扇區或者簇的故障。雖然這些情況在今天的系統不可能發生，但是磁盤表面介質的故障會使得磁盤部分不可讀，包括那些注冊表文件位置。
　　3、用戶改動了注冊表
　　1）手工改變注冊表。當人們手工編輯注冊表，由于數據的復雜性和難懂性使得他們難免容易犯錯誤，而且這個錯誤可能很嚴重導致系統工作發生中斷。
　　2）拷貝其他注冊表是很多用戶犯的一個嚴重錯誤。因為從其他機器上拷貝來的注冊表文件并不意味著也會在這一個機器上工作正常。對單獨的系統來說注冊表都是特殊的。甚至計算機硬件設備相同，拷貝來的注冊表在另一個系統上不見得就會工作。如果使用另一個系統的注冊表，多數硬件設備將不會工作，用戶和安全問題可能造成數據和應用程序信息無法使用。　
　　保護Windows注冊表
　　保護注冊表是很重要的，有很多不同的工具可以實現這一目的。當沒有安全設置時，用戶可能的錯誤會更多。幸運的是，他們可以有幾中方法來保護Windows注冊表，在注冊表失敗時他們可以用額外的拷貝來恢復注冊表。下面就是其中的一些方法:
　　1、使用windows備份軟件
　　注:Win95和Win98備份程序有部分區別，在這里只講Win98的備份程序。
　　Win98中包括一個備份程序。當安裝Win98時如果你選擇“自定義安裝”，或者你可以在控制面板中的添加/刪除程序里安裝它。當你安裝了這個備份程序，從 開始菜單| 程序| 附件 |系統工具 |備份 可以運行它。啟動時，這個程序提示你是否新建一個新備份，打開現有的備份作業，或者是還原備份文件 。
　　如果選擇新建備份，則會有一個備份向導提示你如何去做備份。
　　如果選擇取消向導，那么可以自己手工設置要備份的內容。在備份內容里可以備份網絡和本地驅動器的文件。可以在你想備份磁盤或者文件的選擇框打上對號來做備份工作。然后在備份在何處里填上你做備份的目的位置既可。如果要連同windows注冊表一起備份，那么在 作業|選項|高級 里，在“備份windows注冊表”選擇框打對號就可以了。恢復則是備份的逆過程，這里就不詳述了。
　　2、在安全模式下復制注冊表文件
　　當Win95運行時，注冊表文件被鎖定，只能用注冊表編輯器或者系統自己來進行存取，這些文件不能夠被復制到其他地方。如果你在安全模式下啟動Win95,注冊表就不會使用同樣的方法載入，這樣SYSTEM.DAT 和 USER.DAT就可以被復制。實際上安全模式下系統文件是受保護的。
　　在啟動時，當計算機顯示Starting Windows 95...時按F8鍵進入安全模式。改變SYSTEM.DAT 和 USER.DAT的隱藏和只讀屬性這樣就可以看到和復制它們。當拷貝完注冊表文件，不要忘記了改回它們只讀和隱藏屬性。
　　3、使用微軟配置備份來備份你的注冊表文件
　　CFGBACK.EXE是Win95（Win98中沒有這個軟件）所附帶的備份軟件。它在Win95CD-ROM上的\Other\Misc\CFGBACK這個目錄。在系統上拷貝所有的文件到任何一個目錄，然后在桌面上建立一個CFGBACK.EXE的快捷方式。
　　要做一個注冊表的備份，啟動CFGBACK然后在選擇的備份名位置輸入一個名字然后點備份繼續。
　　注意：在使用CFGBACK前確定你已經關掉了所有運行的程序。如果有程序在運行，CFGBACK可能將使得系統崩潰，數據丟失，而且保存的是一個不完整的備份。
　　4、導出注冊表
　　在我看來，如果你沒有磁帶機或者其他東西。在REGEDIT.EXE中導出選項有一個導出為文本文件。通常使用一個壓縮工具，導出工具選項也可以被用做保存和保護注冊表的方法。
　　要導出在注冊表中的任意鍵，選中這個鍵然后選擇 注冊|導出注冊表文件。這將會復制這個鍵，并提示你在那里存放這個鍵及它的名字，然后用一個擴展名為.REG的文件保存這些數據。
　　當我們用文本格式導出注冊表。我們可以使用象pkzip或者其他壓縮工具壓縮它（可以在正常Dos模式運行的）來節省空間。
　　為了備份我們可以在windows目錄下建立一個用來做備份的文件夾。最少在一個月我們應該進行定期的備份。因為許多計算機用戶訂閱或購買帶有贈送CD的計算機雜志。這些CD上有大量的時間限制的共享軟件。許多用戶從其中安裝一個或者多個程序。當軟件過期時它們反安裝這些程序，但是這些程序在注冊表中留下了一些痕跡。頻繁的添加/刪除程序會影響注冊表，但是有了備份相對來說我們就比較安全了。
　　我們必須重新啟動計算機到DOS模式下來導入，假定你導出你的注冊表為mar99.reg.現在在命令提示下打
　　REGEDIT /C MAR99.REG
　　注冊表編輯器將mar99.reg中的數據導入你的注冊表并保存。不過只在命令提示下這個全部導入的工作才比較可靠。
　　技巧:如果你的注冊表不斷的變的龐大，那么先導出它然后象上面那樣再逐個導入它。在這個導入導出過程中注冊表中不必要的項將被清除出去。如果你使用Win98那么你可以使用Scanreg.exe程序。在windows目錄命令提示下打 Scanreg /fix來執行命令。
　　請記住，預防要比修復好的多。注冊表太容易被改變了，在發生突然事件時有幾個注冊表的備份是解決問題最好的方法。
　　從注冊表故障中恢復
　　這里有四種不同級別的方法可以從Windows注冊表故障中恢復
　　Restart
　　Redetect
　　Restore
　　Reinstall
　　讓我們來看每一個方法來斷定來使用它最適合的時間，并且解決何種類型的問題。
　　Restart（重新啟動）
　　Win95注冊表大部分內容保存在RAM中。如果哪個信息受損，它就必須重新讀取正確的信息。當你重新啟動系統，注冊表將數據從硬盤讀到RAM中就可以使用了。
　　拿字體ID問題來說。每種字體在系統中用一個ID號來使用。當一個字體被用在一個文檔時，這個字體被這個數字保存并且用一個名字來標識。當字體ID損壞那么字體顯示和打印將被其他字體取代。重新啟動系統從硬盤上刷新數據，將產生修復過的字體ID，這樣字體顯示和打印就變的正常了。
　　這也就是為什么Windows系統故障經常在重新啟動后就又恢復正常的一個原因。
　　Redetect the Devices（重新檢測硬件）
　　如果一個設備工作不正常，那么在注冊表中控制設備的設置可能受損了。為了重新設置注冊表，你應該刪除并且重裝設備的驅動，或者你應該讓Win95重新檢測它們。很多時候，當一個設備工作不正常，它們會在設備管理器上此設備前使用一個驚嘆號標志顯示出來。很明顯，如果設備從來不工作，可能就是其他問題了。但是如果設備以前工作，現在出問題，注冊表就需要被恢復。
　　要檢測一個設備，在控制面板上選擇添加新硬件。第一個問題是文你“需要Windows搜索新硬件嗎？”如果你選擇是，Win95將做一個徹底的搜索去找“新”設備。任何設置不正確的或者沒找到驅動的設備將被檢測到并顯示出來。
　　Restore（恢復）
　　從CFGBACK中恢復注冊表
　　從CFGBACK中恢復注冊表有很多好處。如果你建立了幾個備份，你可以選擇正確的一個來恢復。你可以如同做手術般放置排列注冊表參數項。
　　導入注冊表文件
　　象前面章節講述的那樣，一個代替使用備份的方法就是導入一個.REG文件。.REG文件包括了目的數據位置，所以對這個文件簡單的雙擊就可以將數據放入注冊表。它是所有恢復程序中最簡單的，但是也可能造成錯誤。錯誤不會是用REGEDIT.EXE把數據寫入錯誤的位置，它很可能出現在用戶直接雙擊注冊表文件的時候。
　　Reinstall（重新安裝）
　　重新安裝
　　最后的方法就是重新安裝驅動、應用程序或者Win95。一般來說，它只花費你一個小時左右時間去做這些事。如果你在現有的文件上重新安裝，很多配置信息還被安裝在同樣的地方。同樣在安裝驅動程序時，你應該重新加入配置數據。
　　實際上找出原因并修復它所花費的時間比重新安裝還要多，這就是為什么重新安裝在技術支持上是一個相當普通的“解決方法”。關鍵的問題在于，“你是否想找出是什么錯誤，或者你是否只想讓它工作正常？”答案取決于問這個問題的用戶情況，發生問題的頻繁次數和重新安裝的軟件的實用性。
　　當Windows第一次被安裝時它將在啟動目錄的根目錄上創建一個名為SYSTEM.1ST的文件。這是Windows第一次啟動時創建的個簡單的system.dat文件。你所應該做的就是將這個文件放到windows目錄（在dos模式下）并將它的名字改為SYSTEM.DAT。然后重新啟動。然后你就可以得到安裝時第一次啟動的windows。
　　因為很多.INI,.DLL和其他文件的改變，這種方法的成功機率大概只超過50%。比如當裝IE4.0后系統和注冊表將有一個徹底的改變。我們的system.1st文件雖然包含了一個Dll文件的參考，但它可能更新或者改變版本號。
　　這里就是幾個在注冊表出故障的時候恢復它的工具和方法。你的數據可能會安全恢復，但是不管你用什么方法，除了重新格式化硬盤，最好的方法就是做好系統注冊表的備份工作。
備份注冊表
　　兩個重要的分支 ：
　　1.用戶個人數據[HKEY_CURRENT_USER]
　　該分支中存放的是當前登錄用戶的個人喜好設置、所用的軟件的設置等個人數據。無論來賓、受限用戶、高級用戶還是管理員，都可以修改屬于自己個人的注冊表數據。用戶個人的注冊表數據就是“注冊表編輯器”左側窗格[HKEY_CURRENT_USER]所包含的項、子項和值項。
　　2.系統的核心數據[HKEY_LOCAL_MACHINE]
　　只有管理員權限的用戶可以訪問系統注冊表數據，其中存放了系統中各項重要的核心設置數據。系統的注冊表數據就是“注冊表編輯器”左側窗格顯示的[HKEY_LOCAL_MACHINE]所包含的項、子項和值項。
　　與備份注冊表過招
　　任務1:備份注冊表分支并編輯部分設置
　　第一步:點擊“開始→運行”(或命令行提示符)，輸入以下命令導出兩個注冊表分支(驅動器、路徑及文件可自定義)，導出后的myreg.reg大小約為8MB～9MB，而sysreg.reg大小約為30MB～60MB，視個人情況略有不同。
　　reg export hkcu c:\myreg.reg
　　reg export hklm c:\sysreg.reg
　　第二步:分別右擊myreg.reg和sysreg.reg，選擇“編輯”或“發送到→記事本”(創建右鍵菜單“發送到→記事本”，可將“開始”菜單中的“記事本”快捷方式復制到“C:\Documents andSettings\username\SendTo”文件夾)，用“記事本”程序打開myreg.reg文件。
　　第三步:點擊菜單命令“編輯→查找”，輸入要查找內容的關鍵字，單擊“查找下一個”。查找到一個數據，可執行刪除、修改操作，然后按F3鍵可繼續查找下一個數據。查找、修改所有數據，選擇菜單“文件→保存”保存注冊表文件即可。
如何利用注冊表防止病毒運行？
　　經常在網絡上沖浪，十有八九避免不了網絡病毒的攻擊，用專業殺毒程序清除了這些病毒程序并重新啟動計算機系統后，我們有時會發現先前已經被清除干凈的病毒又卷土重來了，這是怎么回事呢？
　　原來目前不少流行的網絡病毒一旦啟動后，會自動在計算機系統的注冊表啟動項中遺留有修復選項，待系統重新啟動后這些病毒就能恢復到修改前的狀態了。為了“拒絕”網絡病毒重啟，我們可以從一些細節出發，來手工將注冊表中的病毒遺留選項及時刪除掉，以確保計算機系統不再遭受病毒的攻擊。　
　　阻止通過網頁形式啟動　
　　不少計算機系統感染了網絡病毒后，可能會在HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce、HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run、HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices等注冊表分支下面的鍵值中，出現有類似有.html或.htm這樣的內容，事實上這類啟動鍵值主要作用就是等計算機系統啟動成功后，自動訪問包含網絡病毒的特定網站，如果我們不把這些啟動鍵值及時刪除掉的話，很容易會導致網絡病毒重新發作。　
　　為此，我們在使用殺毒程序清除了計算機系統中的病毒后，還需要及時打開系統注冊表編輯窗口，并在該窗口中逐一查看上面的幾個注冊表分支選項，看看這些分支下面的啟動鍵值中是否包含有.html或.htm這樣的后綴，一旦發現的話我們必須選中該鍵值，然后依次單擊“編輯”/“刪除”命令，將選中的目標鍵值刪除掉，最后按F5功能鍵刷新一下系統注冊表就可以了。　
　　當然，也有一些病毒會在上述幾個注冊表分支下面的啟動鍵值中，遺留有.vbs格式的啟動鍵值，發現這樣的啟動鍵值時我們也要一并將它們刪除掉。　
　　阻止通過后門進行啟動　　
　　為了躲避用戶的手工“圍剿”，不少網絡病毒會在系統注冊表的啟動項中進行一些偽裝隱蔽操作，不熟悉系統的用戶往往不敢隨意清除這些啟動鍵值，這樣一來病毒程序就能達到重新啟動目的了。
　　例如，一些病毒會在上面幾個注冊表分支下面創建一個名為“system32”的啟動鍵值，并將該鍵值的數值設置成“regedit -s D:＼Windows”（如圖1所示）；咋看上去，許多用戶會認為這個啟動鍵值是計算機系統自動產生的，而不敢隨意將它刪除掉，殊不知“-s”參數其實是系統注冊表的后門參數，該參數作用是用來導入注冊表的，同時能夠在Windows系統的安裝目錄中自動產生vbs格式的文件，通過這些文件病毒就能實現自動啟動的目的了。所以，當我們在上面幾個注冊表分支的啟動項中看到“regedit -s D:＼Windows”這樣的帶后門參數鍵值時，必須毫不留情地將它刪除掉。
　　阻止通過文件進行啟動　
　　除了要檢查注冊表啟動鍵值外，我們還要對系統的“Win.ini”文件進行一下檢查，因為網絡病毒也會在這個文件中自動產生一些遺留項目，如果不將該文件中的非法啟動項目刪除掉的話，網絡病毒也會卷土重來的。　
　　一般來說，“Win.ini”文件常位于系統的Windows安裝目錄中，我們可以進入到系統的資源管理器窗口，并在該窗口中找到并打開該文件，然后在文件編輯區域中檢查“run=”、“load=”等選項后面是否包含一些來歷不明的內容，要是發現的話，必須及時將“=”后面的內容清除干凈；當然，在刪除之前最好看一下具體的文件名和路徑，完成刪除操作后，再進入到系統的“system”文件夾窗口中將對應的病毒文件刪除掉。　
　　病毒經常修改的注冊表鍵值
　　1）IE起始頁的修改
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 右半部分窗口中的Start Page 就是IE主頁地址了
　　（2）Internet選項按鈕灰化&失效
　　HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值 “Setting”=dword:1 “Links”=dword:1 “SecAddSites”dword:1 全部改為0之后 再將HKEY_USERS\DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值“homepage”鍵值改為0 則無法使用“Internet選項”修改IE設置
　　（3）“源文件”項不可用
　　HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions 的“NoViewSource”被設置為1了，改為0就可恢復正常
　　（4）“運行”按鈕被取消&失效
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoRun”鍵值被改為1了，改為0就可恢復
　　（5）“關機”按鈕被取消&失效
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoClose”鍵值被改為1了，改為0就可恢復
　　（6）“注銷”按鈕被取消&失效
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoLogOff”鍵值被改為1了，改為0就可恢復
　　（7）磁盤驅動器被隱藏
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoDrives”鍵值被改為1了，改為0就可恢復
　　注意了上面幾個細節后，許多網絡病毒日后要想重新啟動就不是那么容易了！