6.28(reg query)注册表

reg query

是一个Windows操作系统中用于查询注册表（Registry）的命令。注册表是Windows操作系统中存储系统设置、应用程序配置以及用户信息等的一个核心组件。reg query 命令可以帮助你查找、显示和获取特定注册表项的信息。

reg query “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows”

在 Windows 操作系统中用于存储与 Windows 版本和配置相关的信息。
让我们逐个解释这个注册表路径的各个部分：
1.“HKLM”：表示 “HKEY_LOCAL_MACHINE”，这是 Windows 注册表中的一个顶级根键，存储了计算机的全局配置和系统信息。
2.“SOFTWARE”：是 HKEY_LOCAL_MACHINE 的一个子键，用于存储软件和应用程序的配置信息。
3.“Microsoft”：是 SOFTWARE 的一个子键，用于存储与 Microsoft 公司相关的软件和配置。
4.“Windows NT”：是 Microsoft 的一个子键，用于存储与 Windows NT 内核相关的配置。
5.“CurrentVersion”：是 Windows NT 的一个子键，用于存储与当前 Windows 版本相关的配置信息。
6.“Windows”：是 CurrentVersion 的一个子键，用于存储与 Windows 版本和配置相关的具体内容。
在 “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows” 这个注册表路径中，可以找到一些重要的值，如产品名称、当前版本号、安装日期等。通过查询这个注册表路径，可以获取到与当前 Windows 版本和配置相关的信息。

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Windows 操作系统中用于存储系统启动时会自动运行一次的服务（Services）配置。

“RunServicesOnce”：是 CurrentVersion 的一个子键，用于存储系统启动时只运行一次的服务的配置。

在 “HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce” 这个注册表路径中，你可以找到一些配置信息。这些配置信息包括系统启动时会自动运行的服务的设置。这些服务在系统启动后只运行一次，之后不再自动运行。
查看这个注册表路径的值，你可以了解到当前配置的需要在系统启动时仅运行一次的服务。需要知道的是，具体配置在这个注册表项下的值名称可能会有所不同，具体取决于系统设置。

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Windows 操作系统中用于存储当前用户登录时将自动运行一次的服务（Services）配置。

“HKCU”：代表 “HKEY_CURRENT_USER”，这是 Windows 注册表中的一个顶级根键，存储了当前用户的配置和设置。

在 “HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce” 这个注册表路径中，你可以找到一些配置信息。这些配置信息包括用户登录时将自动运行一次的服务设置。这些服务在用户登录后只运行一次，之后不再自动运行。
查询这个注册表路径的值，你可以了解到当前用户登录时需要自动运行一次的服务配置。需要注意的是，具体配置在这个注册表项下的值名称可能会有所不同，具体取决于用户自定义的设置
注意和前一个我们看到这里面对的对象成了用户

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Windows 操作系统中用于存储系统启动时会自动运行的服务（Services）配置。
“RunServices”：是 CurrentVersion 的一个子键，用于存储系统启动时自动运行的服务配置。
在 “HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices” 这个注册表路径中，你可以找到一些配置信息。这些配置信息包括系统启动时会自动运行的服务设置。这些服务会在每次系统启动时被自动启动。
查询这个注册表路径的值，你可以了解到当前配置了在系统启动时自动运行的服务。需要注意的是，具体配置在这个注册表项下的值名称可能会有所不同，具体取决于系统设置。

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

“HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices” 这个注册表路径中，你可以找到一些配置信息。这些配置信息包括用户登录时会自动运行的服务设置。这些服务在用户登录后会被自动启动。
通过查询这个注册表路径的值，你可以了解当前用户登录时配置的自动运行服务。需要注意的是，具体配置在这个注册表项下的值名称可能会有所不同，具体取决于用户的设置。

上面四条命令可以看到类似差别在于
HKCU
HKLM
这两者的区别！！

reg query “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify”

用于存储 Windows 操作系统中的通知（Notify）机制的配置。

1.“Winlogon”：是 CurrentVersion 的一个子键，用于存储 Windows 登录过程的配置信息。

2.“Notify”：是 Winlogon 的一个子键，用于存储通知机制的配置。

可以通过该路径找到一些配置信息。这些配置信息包括用于 Windows 登录过程中的通知机制的相关设置。
通过查看这个注册表路径的值，你可以了解当前配置的通知机制。具体的配置可能会因系统设置和安装的软件而有所不同。例如，某些安全软件可能会在用户登录时通过这个注册表路径配置其通知，以提供额外的安全功能。

通知机制

通知机制（Notification mechanism）是一种用于向用户传达信息、提醒和警告的系统功能或API。它可以在操作系统、应用程序或其他软件中使用，以向用户发送重要的消息、更新、事件和通知。
通知机制的目的是向用户提供及时、有用和可操作的信息，以便他们可以采取适当的行动或了解当前的系统状态。通知可以以不同的形式呈现，如弹出窗口、气球提示、音频提醒、托盘图标或独立的通知中心等。
通知机制通常具有以下特点：
1.实时性：通过即时发送通知，用户可以及时获得关键信息，无需长时间等待。
2.个性化：用户可以根据自己的偏好和需求，定制通知的类型、内容和显示方式。
3.可交互性：通知可以包含操作按钮、链接或其他可交互的元素，用户可以直接在通知中进行回复、关闭或执行其他操作。
4.分级优先级：通知可以根据其重要性或紧急程度进行分类和排序，以确保用户首先看到最重要的通知。
5.沉默模式：用户可以选择静音通知或指定特定时段内禁止通知，以免打扰工作或休息。
通知机制在许多不同的领域中得到应用，如操作系统中的系统更新提示、应用程序中的新消息通知、安全软件中的警告信息等。通过提供及时的信息反馈和重要的提示，通知机制可以帮助用户更好地管理和掌握当前的信息和状态。

reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit"用于存储在用户登录时要运行的初始化进程（Userinit）的配置。

“Userinit”：是 Winlogon 的一个子键，用于存储用户登录时要运行的初始化进程的配置。
这个注册表路径中，存储着用户登录时要运行的初始化进程的配置。该注册表项的值是一个包含文件路径的字符串，指定要启动的初始化进程。通常情况下，该值为 “userinit.exe”，它启动用户环境的初始化，包括加载用户配置和启动系统任务栏等。
但需要注意的是，恶意软件可能会修改这个注册表项的值，以运行恶意进程或脚本。因此，在更改或处理该注册表值之前，务必谨慎，并确保对系统的安全进行检查和恢复。

reg query “HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell”

存储了用户登录后要使用的默认壳程序（Shell）的配置
“Shell”：是 Winlogon 的一个子键，用于存储用户登录后要使用的默认壳程序的配置。
在 “HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell” 这个注册表路径中，存储了用于当前用户登录后启动的默认壳程序的配置。该注册表项的值是一个包含文件路径的字符串，指定要作为用户界面的主要组件。
一般情况下，默认的壳程序为 “explorer.exe”，它负责提供任务栏、开始菜单等用户界面元素。但是，用户也可以将其修改为其他自定义的壳程序，以改变用户界面的外观和功能。

默认壳程序

在 Windows 操作系统中，默认的壳程序是 “explorer.exe”。壳程序是操作系统提供的用户界面，它负责显示桌面、任务栏、开始菜单和文件管理器等元素，并处理用户与操作系统的交互。
“explorer.exe” 是一个可执行文件，它在用户登录后自动启动，并负责创建和管理用户界面的各个组件。它提供了访问文件和文件夹、运行应用程序、显示系统状态等功能。用户可以通过任务栏、开始菜单、桌面和文件资源管理器等界面元素与操作系统进行交互。
除了 “explorer.exe”，也可以使用其他自定义的壳程序来替换默认的壳程序。这样可以改变用户界面的外观和功能，以满足特定需求或提供特定的用户体验。
需要注意的是，默认壳程序的名称和路径通常不会改变，除非用户或某些恶意软件进行了相关的修改。在修改壳程序之前，务必了解相关的安全性和稳定性风险，并确保备份重要的系统数据和设置。

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

用于延迟加载 Shell 服务对象的配置。
“ShellServiceObjectDelayLoad”：是 CurrentVersion 的一个子键，用于存储延迟加载 Shell 服务对象的配置。
在 “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad” 这个注册表路径中，存储了延迟加载的 Shell 服务对象的配置。Shell 服务对象是一种特殊的组件，可以扩展和增强 Windows Shell 的功能。
Shell 服务对象通过这个注册表项的子项来配置延迟加载，子项的名称通常是一个CLSID（Class ID）。延迟加载意味着这些服务对象在启动时不会立即加载，而是在需要时按需加载，以提高系统的启动速度和性能。 （这是为什么要延迟加载的原因）
延迟加载的 Shell 服务对象可以在 Windows 控制面板的"系统配置"或其他相关工具中进行配置和管理。用户和管理员可以通过修改相关的注册表项来添加、删除或配置延迟加载的服务对象。
**需要注意的是，**在修改注册表时请谨慎操作，并确保了解所做更改的含义和潜在影响。错误的修改可能会导致系统不稳定或产生意外行为。

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

用于配置在系统启动后只运行一次的程序或操作。
“RunOnce”：是 CurrentVersion 的一个子键，用于配置在系统启动后只运行一次的程序或操作。
这个注册表路径中，存储了在系统启动后只运行一次的自动执行的程序的配置。这些程序通常用于进行一次性的系统设置、修复、安装或升级操作。
注册在 “RunOnce” 键中的程序将在系统启动后立即执行，并在执行完毕后自动从注册表中删除。这确保了这些程序只会在系统启动后运行一次，不会对每次系统启动都执行。
通过在 “RunOnce” 键中添加子项，可以配置要执行的程序或操作的相关信息，通常使用程序的路径作为子项的名称，并将要执行的命令或参数作为子项的值。
需要注意的是，对于大多数用户来说，修改注册表项需要管理员权限和谨慎操作。错误的编辑可能导致系统不稳定或产生意外问题

“RunOnce”和“RunServicesOnce”的区别

1.HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce：
这个键是用于配置在系统启动后只运行一次的程序。
针对所有用户，在系统启动后立即执行，然后自动从注册表中删除。
适用于用户级别的程序或操作。
设置在这里的程序通常与当前用户的会话相关，而不是整个系统。

2.HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce：
这个键是用于配置在系统启动后只运行一次的服务。
针对系统级别，可以在启动时执行，然后自动从注册表中删除。
适用于系统级别的服务、驱动程序或操作。
设置在这里的服务通常与整个系统的运行状态和功能相关。
总之，主要区别在于其作用的范围和配置的对象类型。"RunOnce"适用于一次性的用户级别的程序或操作，而"RunServicesOnce"适用于一次性的系统级别的服务、驱动程序或操作。

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

“HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx” 是一个注册表键路径，用于配置在用户登录后只运行一次的程序，类似于 “HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce”，但是它有一些额外的特性和功能。
在这个键路径下，可以配置在用户登录后运行的一次性批处理脚本或程序，它们通常是用来执行系统设置、配置或安装操作。这些脚本或程序可以在用户登录时自动运行，然后在运行后自动从注册表中删除。
“RunOnceEx” 在过去的Windows版本中被广泛使用，但在当前的Windows版本中已经过时，不再被官方支持。它被替代的方法是使用组策略、任务计划或其他自启动机制来实现一次性运行的程序或脚本。

“RunOnceEx”和“RunOnce”的区别

1.功能和用途：
“RunOnce”：用于配置在用户登录后只运行一次的程序。这些程序通常与当前用户的会话相关，用于一次性的用户级别操作。
“RunOnceEx”：也用于配置在用户登录后只运行一次的程序，但它提供了更灵活的功能。"RunOnceEx"允许在同一时间运行多个程序，可以按照指定的顺序执行，并提供一些附加的操作和设置选项。
2.支持性：
“RunOnce”：是Windows操作系统的一部分，被广泛支持且常用。
“RunOnceEx”：在较早的Windows版本中被引入，如Windows 98和Windows ME。然而，随着时代的发展，它已经过时，不再被官方支持，现代的Windows版本中不再默认提供该功能。
3.替代方案：
“RunOnce”：对于一次性的用户级别操作，可以使用"RunOnce"来实现。这可以通过修改"HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce"键路径来完成。
“RunOnceEx”：对于类似于"RunOnceEx"的功能和灵活性，现代的替代方案包括使用任务计划程序、组策略、自启动文件夹或第三方工具等。这些方法可以用来配置一次性的程序、脚本或任务，并控制它们的顺序和执行。
总之，"RunOnce"和"RunOnceEx"都是用于在用户登录后只运行一次的程序，但"RunOnceEx"提供了更丰富的功能和选项。然而，"RunOnceEx"已经过时，在现代的Windows版本中不再被默认支持，需要使用其他替代方案来实现类似的功能。

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

“Run"键下，可以配置在系统启动时自动运行的程序。
一个Windows注册表中的键路径，用于配置在系统启动时自动运行的程序。
在该注册表路径下，可以添加各种应用程序、脚本或命令，以便在每次用户登录时自动执行。这些程序将在用户登录后立即启动，无需进一步操作。通常，它们是一些常驻型的应用程序、服务或系统组件，用于提供特定的功能或服务。
该路径下的注册表项（键值对）通常包含了要自动运行的程序的路径和参数。当系统启动时，Windows会按照注册表项中指定的程序路径来执行程序。
需要注意的是，在这个路径下的注册表项会对所有用户自动生效，因为它位于"HKLM”（Local Machine Hive）中，表示在计算机的本地（全局）注册表中进行配置。

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU路径下的配置仅适用于当前登录用户，而不是适用于计算机上所有的用户
它位于当前用户的注册表中，用于配置在用户登录时自动运行的程序

与上一句话所面对的对象不同

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

配置在用户登录后只运行一次的程序。
仅适用于当前登录用户的注册表配置。不同用户登录时，其 HKCU 路径下的 RunOnce 键可能会有不同的配置

策略设置是什么？

策略设置是在计算机系统中定义和控制行为、功能和配置的规则、约束和限制。它们通常由系统管理员或设备管理者使用，以确保计算机系统的安全、稳定和合规。
策略设置可以应用于各个层面，包括操作系统、网络、应用程序和用户账户等。以下是一些常见的策略设置示例：
1.安全策略：用于定义和强制实施访问控制、身份验证、密码复杂性、防火墙设置等安全措施，以保护系统免受恶意攻击和未授权访问。
2.组策略：适用于 Windows 系统，用于管理计算机和用户的配置。它可以控制用户界面、网络连接、应用程序安装、文件权限等方面的设置。
3.网络策略：用于管理网络连接、通信协议、远程访问等方面的设置。它可以限制网络访问、配置代理设置、设置安全通信等。
4.软件策略：允许管理员控制计算机上的应用程序使用。它可以限制或禁止特定软件的安装和执行，以确保系统安全和合规性。
5.设备策略：用于管理和控制与计算机系统连接的设备，如 USB 存储设备、打印机、摄像头等。通过设备策略，可以允许或禁止特定设备的使用，并设置访问权限。
6.用户账户策略：用于管理和限制用户账户的行为和权限。它可以控制密码策略、账户锁定策略、用户权限等，以确保系统安全和合规性。
这些策略设置可以使用操作系统提供的管理工具（如组策略编辑器、注册表编辑器）或专门的管理软件进行配置和管理。通过策略设置，管理员可以定制系统行为，确保各种安全和合规要求得到满足，并为用户提供受控和可管理的计算环境。

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Policies：它是一个注册表路径中的一个分支键，用于指定特定策略和限制。在 Windows 操作系统中，Policies 分支用于定义系统和用户配置的策略设置。
Explorer：这是位于 Policies 分支下的子键，用于定义与 Windows Explorer 相关的策略设置。Windows Explorer 是操作系统中的文件管理器和桌面环境。
Run：这是位于 Explorer 子键下的子键，用于配置在用户登录时自动运行的程序。在该路径下可以添加键值对，以指定要自动运行的程序及其相关参数。
它位于当前登录用户的注册表中，用于配置在用户登录时自动运行的程序。在 Policies\Explorer\Run 键路径下，你可以添加键值对，以指定要在用户登录时自动运行的程序及其相关参数

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 适用于所有用户登录时的计算机启动自动运行配置。无论哪个用户登录，这个注册表键设置会影响计算机启动时的程序运行。通常，这个路径用于系统管理员配置系统级别的自动运行程序，例如启动监控工具、系统服务等。

Policies\Explorer\Run” 和 “Run”

1.\Policies\Explorer\Run：
位于 HKEY_CURRENT_USER 和 HKEY_LOCAL_MACHINE 的 Policies\Explorer\Run 子键路径下。
用于配置当前登录用户或计算机启动时自动运行的程序。
受到系统管理员或组策略的控制，适用于制定特定的配置规则和限制。
这些配置会覆盖用户个人配置，以强制实施特定的自动运行行为。
2.Run：
位于 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 键路径下。
用于配置当前登录用户或计算机启动时自动运行的程序。
允许用户自己配置并控制自动运行的程序。
这些配置通常是用于个人化设置，用户可以自由添加、编辑和删除自己想要的自动运行程序。
总结：\Policies\Explorer\Run 是受到系统管理员或组策略控制的键路径，用于强制实施自动运行的特定规则，而 Run 则是用户个人配置的键路径，用于个人化地管理自动运行的程序。

reg query HKLM\system\currentcontrolset\services /s | findstr ImagePath 2>nul | findstr /Ri ".*.sys$

用于在注册表中查找系统服务的 ImagePath，其中 ImagePath 是指服务所对应的驱动文件的路径。
1.HKLM\system\currentcontrolset\services：这是一个注册表路径，代表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。在这个路径下，存储了系统中安装的服务的相关信息。
2./s：这个参数表示递归地搜索子键和子项。
3.|：这是一个管道符号，用于将一个命令的输出传递给另一个命令进行处理。
4.findstr ImagePath 2>nul：这个部分使用 findstr 命令过滤包含 “ImagePath” 的行，表示只保留包含 “ImagePath” 的结果。“2>nul” 将错误输出重定向到空设备，以隐藏错误信息。
5.findstr /Ri “.*.sys$”：这个部分使用 findstr 命令通过正则表达式匹配 “.sys” 扩展名的行，表示只保留文件路径以 “.sys” 结尾的结果。/R 参数表示使用正则表达式匹配，而 /i 参数表示不区分大小写。
综上所述，该命令的作用是在注册表中递归搜索系统服务，并找到其中 ImagePath 结尾为 “.sys” 的驱动文件路径。这样可以检查系统中所有系统服务所对应的驱动文件的路径。

正则表达式

正则表达式（Regular Expression），也称为正规表示法或正则模式，是一种用于匹配和处理文本模式的工具。它使用特定的语法规则来描述要匹配的字符模式。在命令行和编程环境中，正则表达式常用于搜索、替换、验证和提取特定模式的文本数据。

以下是一些常见的正则表达式元字符和模式：

1.字符匹配：
.：匹配任意单个字符（除了换行符）。
\w：匹配任意字母、数字或下划线。
\d：匹配任意数字。
\s：匹配任意空白字符（空格、制表符等）。
2.重复次数：
*：匹配前面的元素零次或多次。
+：匹配前面的元素一次或多次。
?：匹配前面的元素零次或一次。
{n}：精确匹配前面的元素出现 n 次。
{n,}：匹配前面的元素至少出现 n 次。
{n,m}：匹配前面的元素出现 n 到 m 次。
3.范围和字符类：
[abc]：匹配字符集中的任意一个字符。
[^abc]：匹配除了字符集中的任意一个字符之外的字符。
[a-zA-Z]：匹配指定范围内的字母。
\b：匹配单词的边界。
4.定位符：
^：匹配字符串的开始位置。
$：匹配字符串的结束位置。
\b：匹配单词的边界。
以上只是正则表达式中的一小部分元字符和模式，实际上正则表达式的语法非常丰富和灵活，可以通过组合和嵌套使用这些元字符和模式来实现复杂的匹配和处理需求。不同的编程语言和工具可能在正则表达式的语法和支持程度上有所不同，因此在具体使用时需要参考相应的文档和规范。

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

用于配置在计算机启动时当前用户自动运行的程序
在 Run 键路径下，你可以添加键值对，以指定要在计算机启动时自动运行的程序及其相关参数。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 只会在当前用户登录时生效，不会影响其他用户的自动运行配置。通常，这个路径用于配置用户级别的自动运行程序，例如启动个人化的应用程序或工具。

reg query HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

用于配置系统的安全启动设置
Minimal：包含在最小化的安全启动模式下需要启动的最低限度的驱动和服务。
Network：与 “Minimal” 类似，但是还包括了启动网络支持所需的驱动和服务。
这些键路径用于配置在 Windows 安全启动模式下应启动的最低限度的驱动程序和服务。安全启动模式是 Windows 的一种启动选项，用于在系统遇到启动问题时仅加载必要的驱动和服务，以排除可能导致问题的软件或驱动冲突。
需要注意的是，对 “SafeBoot” 键路径的修改需要管理员权限，并且操作时需要谨慎，因为错误的配置可能会导致系统无法正常启动。通常情况下，这个路径由系统自动配置和管理，除非你有特定的需求，否则一般不需要手动修改它。

安全启动模式？

安全启动设置是指在 Windows 系统中，启动时仅加载必要的驱动程序和服务，以排除可能导致启动问题的软件或驱动冲突。这有助于诊断和解决系统启动相关的问题。
Windows 提供了两种安全启动模式：
1.
“安全模式”（Safe Mode）：在安全模式下，系统仅加载最基本的、必需的驱动程序和服务。它排除了大多数第三方软件和驱动的加载，旨在排除由这些软件或驱动引起的启动问题。在安全模式下，你可以进行故障排除、系统修复和删除冲突软件等操作。
2.
“安全模式带网络支持”（Safe Mode with Networking）：在安全模式带网络支持下，除了加载最基本的驱动程序和服务外，还会加载一些网络相关的驱动程序和服务，以便你在安全模式下仍然能够访问互联网和网络资源。

要进入安全启动模式，可以按以下步骤操作：
1.重启你的计算机。
2.在 Windows 启动时，按下 F8 键，进入启动选项界面。对于某些计算机和 Windows 版本，可能需要使用其他按键（如 Shift + F8）。
在启动选项界面上，选择 “安全模式” 或 “安全模式带网络支持”，然后按下回车键以进入安全启动模式。
需要注意的是，进入安全启动模式后，桌面会显示 “安全模式” 或 “安全模式带网络支持” 的水印，系统会以最小化的方式运行，并且可能会限制某些功能。在安全模式下，你可以进行必要的故障排除和修复操作。完成后，你可以重新启动计算机以恢复常

reg query “HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components”

用于存储已安装的 Active Setup 组件的相关信息。
Active Setup 是 Windows 中的一个机制，用于在用户登录时或首次使用某个用户时自动执行一些操作，通常用于配置用户环境、安装必要的组件或设置用户首选项。
“Installed Components” 键路径下的子项是为每个已安装的 Active Setup 组件创建的，每个子项使用一个唯一的类标识符（Class ID）作为键名。在每个子项中，可以包含以下键值对：
(默认)：这个键值对存储了 Active Setup 组件的说明或名称。
StubPath：这个键值对存储了执行 Active Setup 组件操作的可执行文件的路径。
Version：这个键值对存储了 Active Setup 组件的版本信息。
通过在 “Installed Components” 键路径下的子项中查看这些键值对，可以了解已安装的 Active Setup 组件的相关信息和配置。

Active Setup

Active Setup 是 Windows 中的一个机制，用于在用户登录或首次使用某个用户时自动执行一些操作。它主要用于配置用户环境、安装必要的组件或设置用户首选项。
Active Setup 根据注册表中的配置来确定需要执行的操作。相关的注册表路径是"HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components"（适用于所有用户）和"HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components"（适用于当前户）。在这些路径下，可以找到已安装的 Active Setup 组件的配置信息。
一个 Active Setup 组件通常由以下部分组成：

1.类标识符（Class ID）：用于标识 Active Setup 组件的唯一标识符。

2.(默认) 键值对：存储了 Active Setup 组件的说明或名称。

3.StubPath 键值对：指定了执行 Active Setup 组件操作的可执行文件的路径。

4.Version 键值对：存储了 Active Setup 组件的版本信息。
当用户登录或首次使用某个用户时，Windows 会检查注册表中的 Active Setup 配置，并根据配置执行相应的操作。这可能包括执行可执行文件、安装必要的组件、创建用户目录、设置注册表项等。这些操作旨在确保用户的环境和配置处于正确的状态。
需要注意的是，Active Setup 是针对用户级别的配置，并且只在用户登录时或首次使用时执行。它并不涉及系统级别的配置或启动项。通常情况下，Active Setup 的配置由安装程序或应用程序自动完成，用户一般不需要手动操作相关的注册表路径。
如果你需要修改 Active Setup 的配置，务必谨慎操作，并确保具备管理员权限，以避免对系统造成意外影响。

reg query "HKLM\SOFTWARE\Microsoft\Window\CurrentVersion\Group Policy\Scripts\Startup

它用于配置在计算机启动时执行的组策略脚本。
在 “Startup” 键路径下，可以找到已配置的组策略脚本的相关信息。每个已配置的脚本都表示一个子项键，并使用一个唯一的名称作为键名。在每个子项中，可以包含以下键值对：
(默认)：这个键值对存储了组策略脚本的名称或说明。
Script：这个键值对存储了要在计算机启动时执行的脚本文件的路径。
通过修改这些键值对的值，可以配置要在计算机启动时执行的组策略脚本。这些脚本可以是批处理文件（.bat）、PowerShell 脚本（.ps1）或其他可执行文件。脚本可以执行各种操作，例如注册表修改、文件复制、网络映射等。

组策略

组策略脚本是一种在 Windows 操作系统中使用的自动化脚本，用于配置和管理计算机或用户的策略设置。通过组策略脚本，可以对操作系统的行为、安全性、用户设置等进行定制和控制。
组策略脚本通常使用批处理文件（.bat）、VBScript、PowerShell 脚本（.ps1）或其他可执行文件的形式编写。这些脚本可以执行各种操作，如更改注册表项、修改文件权限、创建/删除文件夹、安装软件等。脚本可以在计算机启动时、用户登录时或其他特定事件发生时执行。
通过组策略脚本，管理员可以根据组织或个人的需求实施各种配置管理和策略执行操作。例如，可以使用脚本来配置网络设置、禁用 USB 存储设备、限制应用程序访问权限、设置屏幕保护程序等。
组策略脚本可以通过集中管理的方式应用于组织中的多台计算机，以确保一致性和可管理性。它是管理大规模计算机部署的有效工具。
要配置和管理组策略脚本，可以使用 Windows 自带的组策略编辑器（gpedit.msc）或使用其他第三方工具。在编辑器中，可以指定需要执行的脚本文件的路径和相应的触发事件。
需要注意的是，处理组策略脚本需要管理员权限，并且在编写和执行脚本时要小心操作，以免引起系统不稳定或安全风险。建议在对组策略脚本进行任何更改之前，先进行充分测试和备份。