Windows注册表解读

在注册表编辑器中注册表项是用控制键来显示或者编辑的。控制键使得找到和编辑信息项组更容易。因此，注册表使用这些条目。下面是六个控制键 （Windows NT以前的系统）

HKEY_LOCAL_MACHINE

HKEY_CLASSES_ROOT

HKEY_CURRENT_CONFIG

HKEY_DYN_DATA （基于Windows NT的系统没有这一项）

HKEY_USERS

HKEY_CURRENT_USER

Winnt和Win95的注册表并不兼容。从Win95向Winnt升级需要你重新安装32位应用程序，重新在桌面上创建图标，并重新建立用户环境。

通过控制键可以比较容易编辑注册表。虽然它们显示和编辑好像独立的键，其实HKEY_CLASSES_ROOT 和HKEY_CURRENT_CONFIG是 HKEY_LOCAL_MACHINE的一部分。HKEY_CURRENT_USER是HKEY_USERS的一部分。

HKEY_LOCAL_MACHINE包含了HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG的所有内容。每次计算机启动时，HKEY_CURRENT_CONFIG和HKEY_CLASSES_ROOT的信息被映射用以查看和编辑。

HKEY_CLASSES_ROOT其实就是HKEY_LOCAL_MACHINE\SOFTWARE\Classes，但是在HKEY_CLASSES_ROOT窗编辑相对来说显得更容易和有条理。

HKEY_USERS保存着缺省用户信息和当前登陆用户信息。当一个域成员计算机启动并且一个用户登陆，域控制器自动将信息发送到HKEY_CURRENT_USER里，而且HKEY_CURRENT_USER信息被映射到系统内存中。其他用户的信息并不发送到系统，而是记录在域控制器里。

键和子键

数据被分割成多层次的键和子键，建立分层次（就象Exploer一样）结构更易于编辑。每个键有成组的信息而且根据在其中的数据类型被命名。每个键在它的文件夹图标上都有一个加号（+）标志子键说明在它下面还有更多内容的东西。当点开它的时候，文件夹的加号标志被替换成一个减号（-）标志，然后显示出下一级的子键。

所有软件，硬件，windows工作的设置都存放在HKEY_LOCAL_MACHINE。所有安全策略，用户权限和共享信息也包括在这个键中。用户权限，安全策略，共享信息可以通过WindowsNT域用户管理器，Explorer和Win95中控制面板来设置。

HKEY_CLASSES_ROOT （是HKLM\\Classes的映射）
HKEY_CLASSES_ROOT包含了所有应用程序运行时必需的信息：

在文件和应用程序之间所有的扩展名和关联;

所有的驱动程序名称;

类的ID数字（所要存取项的名字用数字来代替）;

DDE和OLE的信息;

用于应用程序和文件的图标;

HKEY_CURRENT_CONFIG.
HKEY_CURRENT_CONFIG是在HKEY_LOCAL_MACHINE中当前硬件配置信息的映射。如果系统只有一个配置文件，也就是原始配置，数据将一直在同样的地方。在控制面板|系统|硬件配置文件|创建一个额外的配置使额外配置信息放入HKEY_LOCAL_MACHINE。当Win95中存在多个配置文件时，当每次计算机启动时将给出一个提示让你选择一个配置文件。在Winnt中，在启动时你可以按空格键来选择上次正常启动时硬件配置文件。根据硬件配置文件选择的不同，特定的信息被映射到HKEY_CURRENT_CONFIG。

HKEY_DYN_DATA （基于Windows NT的系统没有这一项）
HKEY_DYN_DATA和其他的注册表控制键不同，因为实际上它并不被写入硬盘驱动器中。Win95的一个优点是，在系统启动时HKEY_DYN_DATA这个控制键储存收集到的即插即用信息并配置它们。它保存在内存中，Win95用它来控制硬件。因为是在内存中，所以它不从硬盘中读取，每次当你启动计算机时，配置都有可能会不一样。在启动时Win95必须计算超过1600种可能的配置。所以，如果系统改变既定的设置而没有报告给Win95那么潜在的问题就可能发生。系统大多数时间工作良好，但是并非一直如此。 在基于Windows NT的系统中取消了这一键值，而代之以HKLM\\HARDWARE，该键值在系统启动时由系统扫描硬件配置而动态创建

HKEY_USERS
HKEY_USERS仅包含了缺省用户设置和登陆用户的信息。虽然它包含了所有独立用户的设置，但在用户未登陆网络时用户的设置是不可用的。这些设置告诉系统哪些图标会被使用，什么组可用，哪个开始菜单可用，哪些颜色和字体可用，和控制面板上什么选项和设置可用。 在基于Windows NT的系统中，当用户打开该根键时里面包含如下内容：
1. .DEFAULT （缺省用户配置文件）
2. S-1-5-18 （本地系统帐户，NT AUTHORITY\\SYSTEM，所有用户帐户都由安全标识符——SID表示，下同）
3. S-1-5-19 （本地服务帐户，NT AUTHORITY\\LocalService）
4. S-1-5-19.Classes （本地服务帐户的OLE信息）
5. S-1-5-20 （网络服务帐户，NT AUTHORITY\\NETWORK SERVICE）
6. S-1-5-20.Classes （网络服务帐户的OLE信息）
7.当前登录用户的SID
8.当前登录用户的SID.Classes
七、八两项可以通过HKCU直接进入
HKEY_CURRENT_USER
用来保存当前用户和缺省用户的信息，HKEY_CURRENT_USER仅映射当前登陆用户的信息。