3-4服務(wù)器-端口進(jìn)程-注冊表

1、Windows 服務(wù)、端口、進(jìn)程和注冊表 Win2000/xp/2003里有許多服務(wù)，這些服務(wù)都是干什么的，我們需要哪些，不需要哪些呢？1Win32服務(wù)程序由3部分組成：服務(wù)應(yīng)用程序：是服務(wù)程序的主體程序，是一個或者多個服務(wù)的可執(zhí)行代碼。服務(wù)控制程序：控制服務(wù)應(yīng)用程序的模塊，是控制服務(wù)應(yīng)用程序同服務(wù)管理器之間的橋梁。服務(wù)控制管理器：維護(hù)著注冊表中的服務(wù)數(shù)據(jù)。2注意：這些服務(wù)程序很多是互相依存的，所以不能隨便停止某項(xiàng)服務(wù)，否則很可能造成系統(tǒng)的非正常情況出現(xiàn)。但是有的服務(wù)對我們來說的確沒有什么作用，而且還占據(jù)著系統(tǒng)資源。這些我們用不到的程序，完全可以關(guān)閉以節(jié)省資源。另外還可以改變服務(wù)的啟動順序，進(jìn)

2、一步優(yōu)化系統(tǒng)，提高系統(tǒng)運(yùn)行效率和安全性能。31 優(yōu)化、配置Windows服務(wù) 一、 改變Windows服務(wù)啟動順序Windows服務(wù)的啟動順序可以通過注冊表來實(shí)現(xiàn)，Windows服務(wù)的注冊信息可以在注冊表的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 鍵下找到。下面就介紹幾個與服務(wù)啟動順序相關(guān)的服務(wù)的鍵值：4Group值：一個REG_SZ類型的值。它用來描述服務(wù)屬于哪一個服務(wù)組。如果服務(wù)沒有這一項(xiàng)，那么它就不屬于任何一個服務(wù)組，系統(tǒng)默認(rèn)其在所有的服務(wù)啟動后加載。Tag值：一個REG_DWORD類型的值。它用來描述服務(wù)的標(biāo)識。在服務(wù)組中的每

3、一個服務(wù)都會被分配一個唯一的標(biāo)識。注冊表通過服務(wù)標(biāo)識排列來安排同一服務(wù)組中各服務(wù)的加載先后順序。如何改變服務(wù)的啟動順序，現(xiàn)在就被分為了兩個步驟，一是：改變服務(wù)組的啟動順序。二是：改變服務(wù)組中各服務(wù)的啟動順序。5（1）改變服務(wù)組的啟動順序注冊表的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlServiceGroupOrder鍵的List值中保存了表示服務(wù)組啟動順序的信息。每一個服務(wù)組都是一個字符串，字符串在所有值中排列位置表示服務(wù)組被加載的先后順序。要想改變服務(wù)組的加載順序，只要改變它們的位置就可以了。6（2）改變服務(wù)組中各服務(wù)的啟動順序HKE

4、Y_LOCAL_MACHINESYSTEMCurrentControlSetControlGroupOrderList鍵下有各服務(wù)組中各服務(wù)啟動順序的信息。每個服務(wù)組信息都被保存為了一個REG_BINARY類型的值，信息解讀的順序是從左到右。要改變服務(wù)在組中的加載順序，只要編輯這個二進(jìn)制串就可以了。7二、禁用不必要的服務(wù) 每次啟動Windows 時(shí)，總會有一大堆程序或服務(wù)被調(diào)入到系統(tǒng)的內(nèi)存中。如果Windows在每次啟動時(shí)自動加載和運(yùn)行這些無用的程序或者服務(wù)，將延遲系統(tǒng)的啟動速度，并會占用了許多寶貴的內(nèi)存資源。為了可以避免這一問題，Windows自身內(nèi)置了服務(wù)管理工具，用戶可以通過它設(shè)定Win

5、dows是否、如何調(diào)用這些服務(wù)。8 在開始設(shè)定服務(wù)時(shí)，需要明確2個注意事項(xiàng)：第一、在改變服務(wù)設(shè)定前，需要對服務(wù)設(shè)置信息的注冊表文件進(jìn)行備份；第二、由于一些服務(wù)直接影響到系統(tǒng)中很多硬件和軟件的運(yùn)行，因此取消它們的自動引導(dǎo)屬性一定要倍加小心。如果對某項(xiàng)服務(wù)的功用不是十分了解，或者拿不定主意是否取消它，最好還是先選擇保留該項(xiàng)服務(wù)。9 哪些服務(wù)應(yīng)該去掉呢？這依賴于所使用的硬件，以及這些硬件是如何被使用的。下面是幾個建議： （1）檢查不用的硬件。 （2）告別Windows“主題”。（3）關(guān)閉警報(bào)服務(wù)。 （4）加速“專用”PC的運(yùn)行速度。 （5）“推倒”防火墻。（注意?。?）取消共享服務(wù)。（7）禁止遠(yuǎn)程

6、注冊。 （8）禁用Windows幫助。102 Windows服務(wù)端口 計(jì)算機(jī)“端口”是英文port的義譯，可以認(rèn)為是計(jì)算機(jī)與外界通訊交流的出口。1、兩種類型的連接服務(wù)面向連接服務(wù)：需要經(jīng)過三個階段：數(shù)據(jù)傳數(shù)前，先建立連接，連接建立后再傳輸數(shù)據(jù)，數(shù)據(jù)傳送完后，釋放連接。面向連接服務(wù)，可確保數(shù)據(jù)傳送的次序和傳輸?shù)目煽啃?。如TCP，需要服務(wù)端口。無連接服務(wù)：只有傳輸數(shù)據(jù)階段。只要發(fā)送實(shí)體是活躍的，無須接收實(shí)體也是活躍的。它的優(yōu)點(diǎn)是靈活方便、迅速，特別適合于傳送少量零星的報(bào)文，但無連接服務(wù)不能防止報(bào)文的丟失、重復(fù)或失序。如UDP，需要服務(wù)端口。112、端口號有兩種基本分配方式第一種叫全局分配這是一種集

7、中分配方式，由一個公認(rèn)權(quán)威的中央機(jī)構(gòu)根據(jù)用戶需要進(jìn)行統(tǒng)一分配，并將結(jié)果公布于眾。第二種是本地分配，又稱動態(tài)連接，即進(jìn)程需要訪問傳輸層服務(wù)時(shí)，向本地操作系統(tǒng)提出申請，操作系統(tǒng)返回本地唯一的端口號，進(jìn)程再通過合適的系統(tǒng)調(diào)用，將自己和該端口連接起來（binding，綁定）。123、端口號分類（1）公認(rèn)端口（Well Known Ports）：從0到1023，它們緊密綁定（binding）于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實(shí)際上總是HTTP通訊。（2）注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁

8、定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從1024左右開始。13（3）動態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，機(jī)器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從32768開始。 系統(tǒng)管理員可以“重定向”端口：一種常見的技術(shù)是把一個端口重定向到另一個地址。例如默認(rèn)的HTTP端口是80，不少人將它重定向到另一個端口，如8080。4、Windows常用默認(rèn)端口 參見書上表3-1。143 Windows進(jìn)程 面對Windows系統(tǒng)中那些繁多的進(jìn)程時(shí)，它

9、們都有些什么作用？如果電腦中了木馬，那么哪些是木馬程序？哪些又是系統(tǒng)進(jìn)程呢？哪些進(jìn)程可以結(jié)束？哪些進(jìn)程不能結(jié)束？這些對于一個網(wǎng)絡(luò)安全管理員來說是非常重要的，我們要掌握識別和處理可疑進(jìn)程的基本技能，這對使用系統(tǒng)和維護(hù)系統(tǒng)安全有著非常重要的作用。15一、進(jìn)程的概念1、進(jìn)程 進(jìn)程是程序在計(jì)算機(jī)上的一次執(zhí)行活動。運(yùn)行一個程序時(shí)，就啟動了一個進(jìn)程。相對而言，程序是一組代碼，是靜態(tài)的，進(jìn)程是代碼的執(zhí)行行為，是活的 。16要點(diǎn)：（1）每個進(jìn)程均運(yùn)行在其專用且受保護(hù)的地址空間內(nèi)。因此，如果同時(shí)運(yùn)行記事本（notepad.exe）的兩個拷貝，該程序正在使用的數(shù)據(jù)在各自實(shí)例中是彼此獨(dú)立的。（2）兩個進(jìn)程共享數(shù)據(jù)的

10、方法：進(jìn)程通信IPC；內(nèi)存共享。172、線程 進(jìn)程又被細(xì)化為線程，也就是一個進(jìn)程下有多個能獨(dú)立運(yùn)行的更小的單位。1）產(chǎn)生多響應(yīng)效果。2）可以充分使用多處理器。18*623二、進(jìn)程分析工具簡介1、任務(wù)管理器 任務(wù)管理器是Windows本身攜帶的一個最快捷的工具?？梢园唇M合鍵Ctrl+Shift+Esc來啟動任務(wù)管理器。2、進(jìn)程觀察器PViewer Pviewer是通過注冊表來檢索進(jìn)程列表的，但注冊表并非一種控制機(jī)制，所以，我們不能通過注冊表殺死一個進(jìn)程。193、進(jìn)程樹觀察器Tlist/ Tasklist 可使用tasklist /?來查看使用方法。例如： tasklist /M列出所有其中符合指

11、定模式名的DLL模塊的所有任務(wù)。 Tasklist /SVC顯示每個進(jìn)程中的服務(wù)。204、進(jìn)程瀏覽器Process Explorer 進(jìn)程活動中另一個重要的信息就是哪個文件被哪個進(jìn)程打開？進(jìn)程瀏覽器Process Explorer可解決這個問題。它含蓋了以上我們介紹的3種工具的所有功能。215、依賴關(guān)系瀏覽器dependency walker 使用依賴關(guān)系瀏覽器（dependency walker）的工具可以確定一個程序運(yùn)行時(shí)裝入了哪些動態(tài)鏈接庫(DLL)。這個工具包含于Windows2000資源工具包中。224 Windows基本進(jìn)程 Windows必須的進(jìn)程，這些進(jìn)程是系統(tǒng)運(yùn)行的基本條件，

12、有了這些進(jìn)程，系統(tǒng)就能正常運(yùn)行，對Windows 2000/XP系統(tǒng)主要有：winlogon.exe、svchost.exe（可以同時(shí)存在多個）、explorer.exe、csrss.exe、System Idle Process、smss.exe、services.exe、lsass.exe、spoolsv.exe，而有些進(jìn)程，比如：systray.exe（顯示系統(tǒng)托盤小喇叭圖標(biāo)）、ctfmon.exe（微軟Office輸入法）、mstask.exe（計(jì)劃任務(wù)）、winampa.exe等，卻是可有可無的進(jìn)程，我們完全可以禁止它們，而不會影響到系統(tǒng)的正常運(yùn)行。235 svchost.exe進(jìn)程

13、剖析 Svchost.exe 是從動態(tài)鏈接庫 (DLL) 中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱。svchost.exe是Windows NT核心系統(tǒng)的最重要的進(jìn)程之一，但它本身只作為服務(wù)宿主，提供條件讓其他服務(wù)在這里被啟動，而它自己卻不能提供任何服務(wù)。Svhost.exe文件在系統(tǒng)的%systemroot%system32文件夾下。24Windows 2000一般有2個svchost進(jìn)程，一個是RPCSS（Remote Procedure Call）服務(wù)進(jìn)程，另外一個則是由很多服務(wù)共享的一個svchost.exe。Windows XP中，則一般有4個以上的svchost.exe服務(wù)進(jìn)程，Window

14、s 2003 server中則更多，可以看出把更多的系統(tǒng)內(nèi)置服務(wù)以共享進(jìn)程方式由svchost啟動是微軟的一個趨勢。25一、服務(wù)查看 要了解每個svchost進(jìn)程到底提供了多少系統(tǒng)服務(wù)，在WindowsXP則使用“tasklist /svc”命令。26二、原理（1）基本原理: Svchost本身只是作為服務(wù)宿主，并不實(shí)現(xiàn)任何服務(wù)功能，需要Svchost啟動的服務(wù)以動態(tài)鏈接庫DLL形式實(shí)現(xiàn)，在安裝這些服務(wù)時(shí)，把服務(wù)的可執(zhí)行程序指向svchost，啟動這些服務(wù)時(shí)由svchost調(diào)用相應(yīng)服務(wù)的動態(tài)鏈接庫DLL來啟動服務(wù)。27 那么svchost如何知道某一服務(wù)是由哪個動態(tài)鏈接庫負(fù)責(zé)呢？這不是由服務(wù)的

15、可執(zhí)行程序路徑中的參數(shù)部分提供的，而是服務(wù)在注冊表中的參數(shù)設(shè)置的，注冊表中服務(wù)下邊有一個Parameters子鍵其中的ServiceDll表明該服務(wù)由哪個動態(tài)鏈接庫DLL負(fù)責(zé)。28(2) Svchost的服務(wù)組svchost的所有組和組內(nèi)的所有服務(wù)都在注冊表的如下位置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost29以rpcss服務(wù)為例：找到hkey_local_machine systemcurrentcontrolsetservicesrpcss項(xiàng)；找到類型為“reg_expand_sz”的鍵“Ima

16、gepath”，其鍵值為“%systemroot%system32svchost -k rpcss”；“parameters”子項(xiàng)中有個名為“servicedll”的鍵，其值為“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服務(wù)要使用的動態(tài)鏈接庫文件。 這樣 svchost進(jìn)程通過讀取“rpcss”服務(wù)注冊表信息，就能啟動該服務(wù)了。30三、優(yōu)缺點(diǎn)優(yōu)點(diǎn)：減少了系統(tǒng)資源的消耗。缺點(diǎn)：不穩(wěn)定因素，因?yàn)槿魏我粋€共享進(jìn)程的服務(wù)因?yàn)殄e誤退出進(jìn)程就會導(dǎo)致整個進(jìn)程中的所有服務(wù)都退出。svchost.exe型木馬病毒隱患。31四、 安裝服務(wù)與設(shè)置 要通過

17、svchost調(diào)用來啟動的服務(wù)，就一定要在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下有該服務(wù)名，這可以通過如下方式來實(shí)現(xiàn)：（1） 添加一個新的服務(wù)組，在組里添加服務(wù)名；（2） 在現(xiàn)有組里添加服務(wù)名；（3） 直接使用現(xiàn)有服務(wù)組里的一個服務(wù)名，但本機(jī)沒有安裝的該服務(wù)；（4） 修改現(xiàn)有服務(wù)組里的現(xiàn)有服務(wù)，把它的ServiceDll指向自己。326 基于進(jìn)程的木馬病毒查殺 因?yàn)閟vchost進(jìn)程能夠啟動各種服務(wù)，所以病毒、木馬也想盡辦法利用它，企圖利用它的特性來迷惑用戶，達(dá)到感染、入侵、破壞的目的。下面介紹幾個

18、典型的基于進(jìn)程加載的木馬病毒的查殺方法。33一、查殺“Falling Star”雙進(jìn)程木馬 許多木馬和一些防護(hù)工具采用了雙進(jìn)程保護(hù)手段，例如“Falling Star”木馬就采用雙進(jìn)程模式，下面來看看如何發(fā)現(xiàn)它們。第一步：打開“任務(wù)管理器”。發(fā)現(xiàn)兩個“陌生進(jìn)程”（和系統(tǒng)基本進(jìn)程名稱相似?。骸癷nternet.exe”和“systemtray.exe”。 第三步：在嘗試結(jié)束進(jìn)程時(shí)，第一次選擇“systemtray.exe”來結(jié)束進(jìn)程樹，結(jié)果進(jìn)程馬上就再生了，任務(wù)管理器中又顯示出這兩個進(jìn)程。于是再次選擇“internet.exe”，然后結(jié)束進(jìn)程樹。進(jìn)程沒有再生，從而將木馬進(jìn)程從系統(tǒng)中清除。34二

19、、查殺偽裝系統(tǒng)進(jìn)程木馬 許多病毒和木馬為避免從進(jìn)程名稱中發(fā)現(xiàn)它們的蹤影，往往會采用“障眼法”，使用和系統(tǒng)文件或系統(tǒng)進(jìn)程名稱類似的進(jìn)程名稱。1、文件名偽裝（1）修改常見程序或進(jìn)程個別字符（2）修改擴(kuò)展名2、 路徑偽裝35三、進(jìn)程優(yōu)化，肅清惡意進(jìn)程 除系統(tǒng)運(yùn)行必須的基本進(jìn)程外，每個程序運(yùn)行后都會在系統(tǒng)中生成進(jìn)程，每個進(jìn)程都會占用一定的CPU資源和內(nèi)存資源。過多的進(jìn)程和一些設(shè)計(jì)不良的進(jìn)程就會導(dǎo)致系統(tǒng)變慢、性能下降，從而應(yīng)該對它們進(jìn)行優(yōu)化，更重要的是經(jīng)常性的優(yōu)化可以及時(shí)發(fā)現(xiàn)病毒，從精簡的進(jìn)程列表中容易發(fā)現(xiàn)病毒。361、精簡進(jìn)程 系統(tǒng)中的一些進(jìn)程并不是必須的，結(jié)束它們并不會對系統(tǒng)造成什么損害。2、殺死不

20、良進(jìn)程 有時(shí)會發(fā)現(xiàn)系統(tǒng)運(yùn)行速度特別慢，這時(shí)可打開任務(wù)管理器，單擊“進(jìn)程”標(biāo)簽，點(diǎn)擊“CPU”列標(biāo)簽讓進(jìn)程按CPU資源占用排序，可以很明顯地看到資源占用最高的程序。同樣方法，可以點(diǎn)擊“內(nèi)存”列標(biāo)簽，查看那些內(nèi)存占用大戶，及時(shí)結(jié)束進(jìn)程。3、優(yōu)化軟件性能 可以通過改變軟件進(jìn)程優(yōu)先級來提高其性能，這樣能使它們運(yùn)行得更快，當(dāng)然負(fù)作用就是可能影響到其他正在運(yùn)行的進(jìn)程。377 Windows注冊表解析 一、 注冊表概述 Win3.x中，對軟硬件工作環(huán)境的配置是通過對擴(kuò)展名為.ini的文件進(jìn)行修改來完成的，但I(xiàn)NI文件管理起來很不方便。 為了克服上述這些問題，在Windows95及其后繼版本中，采用了一種叫做

21、“注冊表”(Registry)的數(shù)據(jù)庫來統(tǒng)一進(jìn)行管理，將各種信息資源集中起來并存儲各種配置信息。381、 注冊表的作用和特點(diǎn) 注冊表中存放著各種參數(shù)，直接控制著 Windows 的啟動、硬件驅(qū)動程序的裝載以及一些 Windows應(yīng)用程序的運(yùn)行，從而在整個系統(tǒng)中起著核心作用。它包括：39（1）軟、硬件的有關(guān)配置和狀態(tài)信息，注冊表中保存有應(yīng)用程序和資源管理器外殼的初始條件、首選項(xiàng)和卸載數(shù)據(jù)。（2）聯(lián)網(wǎng)計(jì)算機(jī)的整個系統(tǒng)的設(shè)置和各種許可，文件擴(kuò)展名與應(yīng)用程序的關(guān)聯(lián)，硬件部件的描述、狀態(tài)和屬性。（3）性能記錄和其它底層的系統(tǒng)狀態(tài)信息，以及其它數(shù)據(jù)。40 如果注冊表受到了破壞，輕者使 Windows的啟動

22、過程出現(xiàn)異常，重者可能會導(dǎo)致整個系統(tǒng)的完全癱瘓。41注冊表具有以下特點(diǎn)：（1）注冊表允許對硬件、系統(tǒng)參數(shù)、應(yīng)用程序和設(shè)備驅(qū)動程序進(jìn)行跟蹤配置，這使得修改某些設(shè)置后不用重新啟動成為可能。（2）注冊表中登錄的硬件部分?jǐn)?shù)據(jù)可以支持高版本W(wǎng)indows的即插即用特性。當(dāng)Windows檢測到機(jī)器上的新設(shè)備時(shí)，就把有關(guān)數(shù)據(jù)保存到注冊表中。另外，還可以避免新設(shè)備與原有設(shè)備之間的資源沖突。（3）管理人員和用戶通過注冊表可以在網(wǎng)絡(luò)上檢查系統(tǒng)的配置和設(shè)置，使得遠(yuǎn)程管理得以實(shí)現(xiàn)。422 、注冊表結(jié)構(gòu)1）注冊表文件（1）Windows 95/98，注冊表文件是：System.dat和User.dat。System.d

23、at包含系統(tǒng)硬件和軟件的設(shè)置，User.dat保存著與用戶有關(guān)的信息，例如資源管理器的設(shè)置，顏色方案以及網(wǎng)絡(luò)口令等等。43（2）Windows 2000的注冊表分為兩個部分： 用戶配置文件保存在根目錄“Documents and Settings”下的用戶名的目錄中，包括Ntuser.dat和Ntuser.ini兩個隱藏文件及Ntuser.log日志文件。 系統(tǒng)配置文件位于Windows 2000系統(tǒng)目錄下的“system32config”中，包括Default、Software、System、Appevent.evt、Secevent.evt、Sysevent.evt等多個隱藏文件及其相應(yīng)的

24、log文件和.sav文件。這些注冊表文件在Windows 2000運(yùn)行時(shí)無法使用其他工具打開。442）注冊表鍵和子鍵 注冊表通過主關(guān)鍵字（最上層的為“根鍵”，例如：HKEY_CURRENT_USERS就是一個根鍵，標(biāo)題欄上也有顯示）和子鍵來管理各種信息。注冊表中的所有信息是以各種形式的“鍵值項(xiàng)數(shù)據(jù)”保存下來。所有的關(guān)鍵字都是以“HKEY”作為前綴開頭。453）注冊表中的“鍵值數(shù)據(jù)項(xiàng)”的類型 注冊表通過鍵和子鍵來管理各種信息。但是注冊表中的所有信息都是以各種形式的鍵值項(xiàng)數(shù)據(jù)保存的。在注冊表編輯器右窗格中顯示的都是鍵值項(xiàng)數(shù)據(jù)。這些鍵值項(xiàng)數(shù)據(jù)可以分為三種類型：46（1）二進(jìn)制(BINARY) 在注冊

25、表中，二進(jìn)制是沒有長度限制的，可以是任意個字節(jié)的長度。在注冊表編輯器中，二進(jìn)制數(shù)據(jù)以十六進(jìn)制的方式顯示出來。雙擊鍵值名，出現(xiàn)“編輯二進(jìn)制數(shù)值”對話框，我們還可以在二進(jìn)制和十六進(jìn)制之間進(jìn)行切換。（2）DWORD值(DWORD) DWORD值是一個32位（4個字節(jié)，即雙字）長度的數(shù)值。在注冊表編輯器中，系統(tǒng)以十六進(jìn)制的方式顯示DWORD值。在編輯DWORD數(shù)值時(shí)，可以選擇用二進(jìn)制、十進(jìn)制或是十六進(jìn)制的方式進(jìn)行輸入。47（3）字符串值(SZ) 在注冊表中，字符串值一般用來表示文件的描述、硬件的標(biāo)識等。通常它由字母和數(shù)字組成。下圖文本輸入欄中的內(nèi)容即為一個鍵值，它是一種字符串值類型。通過鍵值名、鍵值就

26、可以組成一種鍵值項(xiàng)數(shù)據(jù)，這就相當(dāng)于Win.ini、System.ini文件中小節(jié)下的設(shè)置行。其實(shí)，使用注冊表編輯器將這些鍵值項(xiàng)數(shù)據(jù)導(dǎo)出后，其形式與.ini文件中的設(shè)置完全一樣。483 、注冊表簡單剖析 下面主要以Windows 2000的注冊表為例簡單剖析一下注冊表各根鍵的主要內(nèi)容。1） HKEY_LOCAL_MACHINE根鍵 HKEY_LOCAL_MACHINE根鍵中存放的是用來控制系統(tǒng)和軟件的設(shè)置。由于這些設(shè)置是針對那些使用Windows系統(tǒng)的用戶而設(shè)置的，所以它與具體用戶無關(guān)，它是一個公共配置信息。HKEY_LOCAL_MACHINE包括了如下五個子鍵：49（1）HARDWARE子鍵：

27、該子鍵下面存放一些有關(guān)超文本終端、數(shù)學(xué)協(xié)處理器和串口等信息。（2）SAM子鍵：系統(tǒng)自動將其保護(hù)起來。（3）SECURITY子鍵：包含了安全設(shè)置的信息，同樣也讓系統(tǒng)保護(hù)起來。50（4）SOFTWARE子鍵：該子鍵中保留的是所有已安裝的32位應(yīng)用程序的信息。各個程序的控制信息分別安裝在相應(yīng)的子鍵中。由于不同的機(jī)器安裝的應(yīng)用程序互不相同，因此這個子鍵下面的子鍵信息會有很大的差異。（5）SYSTEM子鍵：該子鍵存放的是啟動時(shí)所使用的信息和修復(fù)系統(tǒng)時(shí)所需的信息，其中包括各個驅(qū)動程序的描述信息和配置信息等。System子鍵下面有一個CurrentControlSet子鍵，系統(tǒng)在這個子鍵下保存了當(dāng)前的驅(qū)動程

28、序控制集的信息。512）HKEY_CLASSES_ROOT根鍵HKEY_CLASSES_ROOT根鍵中記錄的是Windows操作系統(tǒng)中所有數(shù)據(jù)文件的信息，主要記錄不同文件的文件名后綴和與之對應(yīng)的應(yīng)用程序。當(dāng)用戶雙擊一個文檔時(shí)，系統(tǒng)可以通過這些信息啟動相應(yīng)的應(yīng)用程序。HKEY_CLASSES_ROOT根鍵中存放的信息與HKEY_LOCAL_MACHINESoftwareClasses分支中存放的信息是一致的。3）HKEY_CURRENT_CONFIG根鍵如果你在Windows中設(shè)置了兩套或者兩套以上的硬件配置文件（Hardware Configuration File），則在系統(tǒng)啟動時(shí)將會讓用戶選擇使用哪套配置文件。而HKEY_CURRENT_CONFIG根鍵中存放的正是當(dāng)前配置文件的所有信息。524）HKEY_CURRENT_USER根鍵 HKEY_USERS根鍵中保存的是默認(rèn)用戶（.DEFAULT）、當(dāng)前登錄用戶與軟件（Software）的信息。它的下面有三個子鍵：.DEFAULT子鍵、S-1