windows 95/98 注册表分析及技巧 -pc6资讯

您的位置：首页 → 精文荟萃 → 破解文章 → windows 95/98 注册表分析及技巧

windows 95/98 注册表分析及技巧 时间：2004/10/15 1:02:00来源：本站整理作者：蓝点我要评论(0)

今天这一课就给大家介绍一些注册表的基本知识。我们以前学的破解方法都是通过反汇编直接跟踪调试程序，然后更改该程序；今天我们换一种方法，那就是修改注册表。通常我首先用前一种方法，因为这种方法所用时间和精力较少，速度较快，这个方法行不通了，再用第二种方法，通过两种方法的运用，基本都能将其破解。

　　从Windows 95开始，Microsoft在Windows中引入了注册表（英文为REGISTRY）的概念（实际上原来在Windows NT中已有此概念）。注册表是Windows 95及Windows 98的核心数据库，表中存放着各种参数，直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序运行的正常与否，如果该注册表由于鞭种原因受到了破坏，轻者使Windows的启动过程出现异常，重者可能会导致整个Windows系统的完全瘫痪。因此正确地认识、修改、及时地备份以及有问题时恢复注册表，对Windows用户来说就显得非常重要了。

切记：在改动注册表前务必进行备份，以防不测。

　　而当Windows 98不能正常启动时，可在DOS方式下运行Scanreg/Restore，以恢复注册表。如果你只是想修改系统设置，最好使用专门的工具软件(如侠客修改器)；如果你确实要手工修改注册表，建议在修改前做好备份。如果注册表遭到破坏,Windows将不能正常运行,所以我们必须经常的备份注册表.(其实Windows在每次启动成功时都会备份注册表,System.dat备份为System.da0,User.dat备份为User.da0,文件存放在Windows所在文件夹,属性为系统与隐藏.)。

　　常用的注册表备份方法和工具很多，大家可以根据个人选择一个。如利用注册表编辑器中的"导出注册表文件"即可导出一份扩展名为.REG的文件. 不过本人最常用的备份工具是利用Windows光盘上Other\Misc\ERU\ERU.EXE紧急事故恢复工具(Emergency Recovery Utility). 该工具小巧，功能却不错，很实用，可以备份sysytem.ini、win.ini、msodos.sys、System.dat等所有的系统文件。使用方法很简单，运行ERU,选择一路径（默认是A盘）如：C：\ERD备份，以后如需恢复，则在DOS下进入C:\erd目录，运行ERD,就可完整恢复整个系统配制文件的还原，是不是很简单，我一直用这工具。

　　一般在对付一软件之前，我都先备份注册表一下，然后才安装该软件，这样做有两个原因，一是：因为你在破解某些软件有这种情况，寻找关键点时，在这时改动某一代码以验证自己的判断（如：r eax,0)，这时正确注册成功，此时你再想回到那里看一究竟，重装该软件都没用，哈哈！永远是正版，除非你重装系统。此时你只要还原注册表和配制文件，再重装该软件，又可注册了，这次你就可好好研究它一下了...... ，当然这种情况少见，但还时有的。二是如果跟踪调试不能成功，只好分析注册表了，所以事先备份是很明智。

　　另外，谈一下整个windows系统备份，当然不是为了破解一软件要备份一系统，那老命都要给丢了，哈。。这样做有两个原因，一是、我们安装软件不是为了用它，而是破解，完了以后就删了，虽然现在软件基本能反删除，但总是有软件会留些垃圾下来的，所以时间一长，你的windows就越来越庞大了，整个系统的性能下降。二是、破解某些软件有可能采取这招，如我破开天辟地2时，就备份了系统，比较其内部文件变化，结果发现human.ini变化了，当然现在也许有这方面的软件，我没去找。

　　好我们开始吧，我己一年没用过windows安装盘了，到底是什么法宝呢？首先要说明的是目前的备份软件很多，也很方便，如ghost等，所以个人还是根据自己的习惯选择方法。我个人在windows下有两个办法备份：

　　一是在windows下的dos窗口用xcopy命令，
xcopy c:\windows\*.* c:\winbak/s/e/h/k/y/c,各参数意思大家用xcopy/？理解。这样你的系统就备份在winbak目录下了。注意：该命令需在windows的dos窗口下运行，因为你在纯dos下运行，xcopy或xcopy32将不支持长文件名和h参数下的拷贝隐含和系统文件。

　　二是打开资源管理器，选择菜单的“查看”→“选项”→“查看”选中“显示所有文件”，也就是说在资源管理器下能查看所有的文件（系统、隐含、只读、等）。好己完成一半了，然后进入windows目录，你会看到所有的文件，然后选定全部所有的文件（ctrl+A)，（是不是有人在笑，这招我早试过，不行），哈，当然这样你复制系统不到一半就会保护性中断，到底是什么原因导致复制中断呢？我们知道windows系统使用临时文件作为虚拟内存，明白了吧，关键在此，这文件是WIN386.SWP，刚才复制到这个文件中断了，下面就简单了，在windows下全选中后，找到WIN386.SWP文件，按住CTRL键同时，用鼠标点一下，结果是除了这文件外别的都选中。然后复制到事先建好一目录下。这样widnows系统备份结束，这是你比较两个目录大小不一样，没关系，因为你没复制WIN386.SWP，所以有差别，这是临时文件，不影响系统完整。下次你要重装系统时只要在纯dos下用ren 命令改两个目录名称就行了。另外有点要注意，我们没备份C盘根目录下的配制文件，最好备份一下，用ERU或手动。别看啰啰唆唆说了一大堆，做起来，两三下就解决。你完成备份后一定要验证一下，不然没有备份完全就死定了。验证方法：在纯DOS下用REN命令改目录名，如：ren windows win,ren winbak windows即可，这里假设winbak是你刚备份的目录。

　　本人推荐大家用第二种方法，这种方法简单，并且不容易出错，你以后再也不用重装系统了，第一次装好windows后，赶紧备份一个windows复本，这样会节省你的不少保贵时间。当然你要备份整个硬盘还是用专业的软件，如：ghost，不然速度慢。

　　下面就接触一下注册表，可以在“开始”菜单中，“运行”按钮，键入regedit就可打开注册表，再次强调一下，不要乱改，它是你windows的命根子，改之前一定要备份。不然你的windows启动不起来不要找我。好，我们来认识下它的各项含义：

六大根键的作用

　　在注册表中，所有的数据都是通过一种树状结构以键和子键的方式组织起来，十分类似于目录结构。每个键都包含了一组特定的信息，每个键的键名都是和它所包含的信息相关的。如果这个键包含子键，则在注册表编辑器窗口中代表这个键的文件夹的左边将有“＋”符号，以表示在这个文件夹中有更多的内容。如果这个文件夹被用户打开了，那么这个“＋”就会变成“－”。

　　 1.HKEY_USERS

　　该根键保存了存放在本地计算机口令列表中的用户标识和密码列表。每个用户的预配置信息都存储在 HKEY_USERS 根键中。 HKEY_USERS 是远程计算机中访问的根键之一。

　　 2.HKEY_CURRENT_USER

　　该根键包含本地工作站中存放的当前登录的用户信息 , 包括用户登录用户名和暂存的密码 ( 注：此密码在输入时是隐藏的 ) 。用户登录 Windows 98 时，其信息从 HKEY_USERS 中相应的项拷贝到 HKEY_CURRENT_USER 中。

　　 3.HKEY_CURRENT_CONFIG

　　该根键存放着定义当前用户桌面配置 ( 如显示器等 ) 的数据 , 最后使用的文档列表（ MRU ）和其他有关当前用户的 Windows 98 中文版的安装的信息。

　　 4.HKEY_CLASSES_ROOT

　　包含注册的所有ole信息和文档类型，是从 hkey_local_machine\software\classes复制的。　根据在 Windows 98 中文版中安装的应用程序的扩展名 , 该根键指明其文件类型的名称。

　　 5.HKEY_LOCAL_MACHINE

　　该根键存放本地计算机硬件数据 , 此根键下的子关键字包括在 SYSTEM.DAT 中 , 用来提供 HKEY_LOCAL_MACHINE 所需的信息 , 或者在远程计算机中可访问的一组键中。

　　该根键中的许多子键与 System.ini 文件中设置项类似。

　　 6.HKEY_DYN_DATA

　　该根键存放了系统在运行时动态数据，此数据在每次显示时都是变化的，因此，此根键下的信息没有放在注册表中

认识键和子键

注册表通过键和子键来管理各种信息。但是，注册表中的所有信息是以各种形式的键值项数据保存下来。在注册表编辑器右窗格中，保存的都是键值项数据。这些键值项数据可分为如下三种类型：

　　 1. 字符串值

　　在注册表中，字符串值一般用来表示文件的描述、硬件的标识等。通常它由字母和数字组成，最大长度不能超过 255 个字符。在图 9 所示中，“ D:\pwin98\trident ”即为键值名“ a ”的键值，它是一种字符串值类型的。同样地，“ ba ”也为键值名“ MRUList ”的键值。通过键值名、键值就可以组成一种键值项数据，这就相当于 Win.ini 、 Ssyt-em.ini 文件中小节下的设置行。其实，使用注册表编辑器将这些键值项数据导出后，其形式与 INI 文件中的设置行完全相同。

　　 2. 二进制值

　　在注册表中，二进制值是没有长度限制的，可以是任意个字节长。在注册表编辑器中，二进制以十六进制的方式显示出来，如图 10 所示。在图 10 中，键值名 Wizard 的键值“ 80 00 00 00 ”就是一个二进制。在如图 11 所示的“编辑二进制值”对话框时，在编辑框的左边输入十六进制数时，其右边将会显示相应的 ASCII 码。

　　 3.DWORD 值

　　 DWORD 值是一个 32 位（ 4 个字节，即双字）长度的数值。在注册表编辑器中，您将发现系统会以十六进制的方式显示 DWORD 值，如图 12 所示。在编辑 DWORD 数值时，可以选择用十进制还是 16 进制的方式进行输入。

　　另外：对注册表信息的注册和修改,一般由以下几点实现:

　　安装Win9X时,由安装程序注册系统信息;
　　安装应用程序时,由安装程序注册该程序的配置信息;
　　添加新硬件时,由系统即插即用功能监测并注册的信息;
　　通过控制面板或属性对话框改变系统属性与设置而实现的信息变更;
　　通过注册表编辑器对信息进行手工修改.