本文以Windows XP為例(其他Windows版本可參考操作)，介紹使用Windows“記事本”程序查找、修改注冊(cè)表數(shù)據(jù)以及使用簡單的批處理腳本備份注冊(cè)表的方法。 兩個(gè)重要的分支 1.用戶個(gè)人數(shù)據(jù)[HKEY_CURRENT_USER] 該分支中存放的是當(dāng)前登錄用戶的個(gè)人喜好設(shè)置、所用的軟件的設(shè)置等個(gè)人數(shù)據(jù)。無論來賓、受限用戶、高級(jí)用戶還是管理員，都可以修改屬于自己個(gè)人的注冊(cè)表數(shù)據(jù)。用戶個(gè)人的注冊(cè)表數(shù)據(jù)就是“注冊(cè)表編輯器”左側(cè)窗格[HKEY_CURRENT_USER]所包含的項(xiàng)、子項(xiàng)和值項(xiàng)。 2.系統(tǒng)的核心數(shù)據(jù)[HKEY_LOCAL_MacHINE] 只有管理員權(quán)限的用戶可以訪問系統(tǒng)注冊(cè)表數(shù)據(jù)，其中存放了系統(tǒng)中各項(xiàng)重要的核心設(shè)置數(shù)據(jù)。系統(tǒng)的注冊(cè)表數(shù)據(jù)就是“注冊(cè)表編輯器”左側(cè)窗格顯示的[HKEY_LOCAL_MACHINE]所包含的項(xiàng)、子項(xiàng)和值項(xiàng)。 與備份注冊(cè)表過招 任務(wù)1:備份注冊(cè)表分支并編輯部分設(shè)置 第一步:點(diǎn)擊“開始→運(yùn)行”(或命令行提示符)，輸入以下命令導(dǎo)出兩個(gè)注冊(cè)表分支(驅(qū)動(dòng)器、路徑及文件可自定義)，導(dǎo)出后的myreg.reg大小約為8MB～9MB，而sysreg.reg大小約為30MB～60MB，視個(gè)人情況略有不同。 reg export hkcu c:myreg.reg reg export hklm c:sysreg.reg 第二步:分別右擊myreg.reg和sysreg.reg，選擇“編輯”或“發(fā)送到→記事本”(創(chuàng)建右鍵菜單“發(fā)送到→記事本”，可將“開始”菜單中的“記事本”快捷方式復(fù)制到“C:Documents and SettingsusernameSendTo”文件夾)，用“記事本”程序打開myreg.reg文件。 第三步:點(diǎn)擊菜單命令“編輯→查找”，輸入要查找內(nèi)容的關(guān)鍵字，單擊“查找下一個(gè)”。查找到一個(gè)數(shù)據(jù)，可執(zhí)行刪除、修改操作，然后按F3鍵可繼續(xù)查找下一個(gè)數(shù)據(jù)。查找、修改所有數(shù)據(jù)，選擇菜單“文件→保存”保存注冊(cè)表文件。　　任務(wù)2:恢復(fù)用戶設(shè)置 (1)圖形界面恢復(fù)方式:在發(fā)生問題需要恢復(fù)時(shí)，右擊myreg.reg選擇“合并”即可。 (2)命令行模式恢復(fù)方式:在命令行模式下輸入“reg import c:myreg.reg”(不包括外引號(hào))命令就能將其導(dǎo)入注冊(cè)表。 任務(wù)3:自制Net Transport的128線程補(bǔ)丁 第一步:點(diǎn)擊“開始→運(yùn)行”，輸入“Regedit.exe”(不含引號(hào))回車，打開“注冊(cè)表編輯器”，轉(zhuǎn)至[HKEY_CURRENT_USERSoftwareXiNetTransport 2Download]。 第二步:在右側(cè)的編輯框里新建一個(gè)DWord值命名為“Max Threads”，雙擊這個(gè)值，在“數(shù)值”中輸入128，在“基數(shù)”中選擇“十六進(jìn)制”。 第三步:選擇菜單“文件→導(dǎo)出”，“保存類型”設(shè)為“Win9x/NT4注冊(cè)文件”(在Windows 2000/XP中使用默認(rèn)的保存類型導(dǎo)出的注冊(cè)表文件無法在Windows 9x下導(dǎo)入)，保存為128threads.reg(見圖1)。

圖一

第四步:復(fù)制一份128threads.reg并將新文件命名為uninstall128.reg，用“記事本”打開該文件，將[HKEY_CURRENT_USERSoftwareXiNetTransport 2Download]子項(xiàng)下的“'Max Threads'=dWord:00000128”修改為“'Max Threads'=-”(不包括外側(cè)中文引號(hào))，在注冊(cè)表文件中將鍵值設(shè)為“-”即代表刪除該鍵值(見圖2)。只需雙擊導(dǎo)入128threads.reg即可打上128線程補(bǔ)丁，而雙擊導(dǎo)入uninstall128.reg則將恢復(fù)未安裝補(bǔ)丁前的狀態(tài)。

圖二

小提示

★當(dāng)要清除一個(gè)值項(xiàng)的鍵值而保留鍵名，可將鍵值設(shè)為''(如“'Max Threads'=''”)。無論該鍵值原來是什么類型，清除后都將變成“字符串值”類型，所以“字符串值”類型以外的其他類型的鍵值一般直接刪除鍵值。當(dāng)要修改一個(gè)值項(xiàng)的鍵值，可用“'鍵名'=類型:鍵值”的形式(例:“'Max Threads'=dword:00000001”)，如為字符串值，則可省略類型但須在鍵值兩側(cè)加上英文雙引號(hào)(例:“'Title'='Hello'”)。 ★當(dāng)要?jiǎng)h除一個(gè)子項(xiàng)或項(xiàng)，如要?jiǎng)h除[HKEY_CURRENT_USERSoftwareXiNetTransport 2Download]，則只需將語句設(shè)置為 “[-HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunMyRunningProgram]”(不含中文引號(hào)，在項(xiàng)或子項(xiàng)名稱的左側(cè)添加一個(gè)減號(hào)“-”)。 任務(wù)4:自動(dòng)備份注冊(cè)表 [HKEY_CURRENT_USER]和[HKEY_LOCAL_MacHINE]這兩個(gè)分支是黑客程序、后門、病毒及惡意網(wǎng)站最常攻擊的目標(biāo)，一旦這兩個(gè)分支下的數(shù)據(jù)被病毒修改，要一一排查被修改的數(shù)據(jù)是件非常困難的事，而手動(dòng)地輸入命令備份相當(dāng)麻煩，如何快速備份和恢復(fù)被“劫持”的系統(tǒng)呢？ 第一步:打開“記事本”，輸入下列內(nèi)容，并保存為myregbak.bat: @echo off set mypath='c:myfolder'%date%'' if exist '%mypath%' rd /s /q '%mypath%' md '%mypath%' cd '%mypath%' reg export hkcu myreg.reg reg export hklm sysreg.reg 這段腳本的大意是:首先定義一個(gè)變量并將其設(shè)置為C:myfolder下以當(dāng)天的日期命名的一個(gè)目錄，如果該目錄不存在就根據(jù)變量值創(chuàng)建此目錄。然后將當(dāng)前目錄轉(zhuǎn)到這個(gè)目錄中，如果已經(jīng)存在用戶個(gè)人的注冊(cè)表備份文件myreg.reg則刪除，重新導(dǎo)出用戶個(gè)人的注冊(cè)表數(shù)據(jù)到文件。如果已經(jīng)存在系統(tǒng)的注冊(cè)表備份文件sysreg.reg則刪除，重新導(dǎo)出系統(tǒng)的注冊(cè)表數(shù)據(jù)到文件。 小提示 如果不是管理員權(quán)限的用戶，不需要備份系統(tǒng)的注冊(cè)表數(shù)據(jù)(不要輸入第7行即可)。以上提供的批處理角本在Windows XP下測(cè)試通過，驅(qū)動(dòng)器、路徑及文件名可自定義。 第二步:在桌面、任務(wù)欄、開始菜單處創(chuàng)建myregbak.bat批處理文件的快捷方式，隨時(shí)手工備份。 第三步:單擊“控制面板→任務(wù)計(jì)劃→添加任務(wù)計(jì)劃”，在向?qū)е羞x擇myregbak.bat批處理文件，創(chuàng)建“備份注冊(cè)表”任務(wù)。右擊“備份注冊(cè)表”任務(wù)圖標(biāo)，選擇“屬性”，單擊“計(jì)劃”選項(xiàng)卡，選擇一種每日定時(shí)或定期備份的方式，以便讓計(jì)算機(jī)能夠自動(dòng)備份注冊(cè)表。 任務(wù)5:每天首次登錄/啟動(dòng)時(shí)備份注冊(cè)表 適當(dāng)修改myregbak.bat批處理文件，單擊“開始→運(yùn)行”，輸入“gpedit.msc”，打開“組策略”。雙擊打開“用戶配置→Windows設(shè)置→腳本→登錄”或“計(jì)算機(jī)配置→Windows設(shè)置→腳本→啟動(dòng)”，點(diǎn)擊“添加”按鈕并選擇myregbak.bat，即可實(shí)現(xiàn)每天首次登錄/啟動(dòng)計(jì)算機(jī)時(shí)備份一次注冊(cè)表。修改后的批處理文件如下: @echo off set mypath='c:myfolder'%date%'' if exist '%mypath%' goto :end md '%mypath%' cd '%mypath%' reg export hkcu myreg.reg reg export hklm sysreg.reg :end 注意:本文提供的批處理腳本的保存位置應(yīng)與mypath的位置在同一盤符下。 小提示 過期的注冊(cè)表備份文件，推薦不定期手工刪除，以免占用過多硬盤空間。如果感興趣的讀者可以嘗試編寫一個(gè)腳本文件并利用“任務(wù)計(jì)劃”實(shí)現(xiàn)自動(dòng)刪除。