注册表知识：HKEY_LOCAL_MACHINE根键详解

注册表知识：HKEY_LOCAL_MACHINE根键详解

HKEY_LOCAL_MACHIN根键中存放的是用来控制系统和软件的设置。由于这些设置是针对那些使用Windows系统的用户而设置的，所以它与具体用户无关，它是一个公共配置信息，大家只须作一个了解就可以了。
HKEY_LOCAL_MACHINE包括了如下五个子键：
HARDWARE子键：
该子键下面存放一些有关超文本终端、数学协处理器和串口等信息。HARDWARE子键下面包括两个子键DEVICEMAP（用于存放设备映象）、DESCRIPTION（存放有关系统信息）。DEVICEMAP子键的层次结构如下:
HKEY_LOCAL_MACHINE\HARDWARE
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\SERIALCOMM
在HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\SERIALCOMM分支下面包括如下设置内容：
*COM1=COM1：指定COM1端口。
*COM2=COM2：指定COM2端口。
DESCRIPTION子键的层次结构如下：
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\FloatingPointProcessor
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\FloatingPointProcessor\0
*SAM子键：系统自动将其保护起来。
*SECURITY子键：包含了安全设置的信息，同样也让系统保护起来。
*SOFTWARE子键：包含了系统软件、当前安装的应用软件及用户的有关信息。
*SYSTEM子键：
该子键存放的是启动时所使用的信息和修复系统时所需的信息，其中包括各个驱动程序的描述信息和配置信息等。System子键下面只有一个CurrentControlSet子键，系统在这个子键下保存了当前的驱动程序控制集的信息。这里介绍CurrentControlSet子键下面的Control和Services子键。
Control子键
这个子键中保存的是由控制面板中各个图标程序设置的信息。由于控制面板中的各个图标程序可能会把信息写在不同的子键下，所以用户最好不要通过注册表编辑器来修改这些信息，否则容易引起系统死机。
(1) fontassoc子键
该子键存放的是有关字体设置信息（如缺省字体、替代字体以及字符集等）。在
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ fontassoc分支下还有两个子键Associated DefaultFonts、Associated CharSet。
Associated DefaultFonts子键
在HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\fontassoc\Associated DefaultFonts分支下有如下设置信息：
*AssocSystemFont=simsun.ttf：定义系统字体。simsun.ttf为TrueType宋体字库文件。
*FontPackageDontCare=宋体：以下行设置了已安装的套装字体（FontPackage），在
Win3.x中，这些设置在Wifeman.ini文件的[FontPackages]小节中列出。
*FontPackageRoman=宋体
*FontPackageSwiss=宋体
*FontPackageModern=宋体
*FontPackageScript=宋体
*FontPackageDecorative=宋体 Associated CharSet子键 在
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ fontassoc\Associated
CharSet分支下是关于一些系统字体的设置。
(2) Nls子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ Nls分支中，它是用来设置Windows的语言特性，如代码页、EUDC内码范围、语言分类等。
(3) SessionManager子键
该子键用于管理系统的会话，它包括三个主键和八个子键。
KnownDLLs子键
该子键下包含了Windows中32位Dll文件以及标识。
CheckBadApps子键
该子键用于检查有问题的16位应用程序，这些应用程序在Windows中运行会出现莫名其妙的问题，甚至引起系统的崩溃。该子键下面有许多应用程序的可执行文件的子键，如PPower.exe是MS DOS 6.x一个用于便携机电源管理的程序，它在注册表中的分支是 HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\CheckBadApps\POWER.EXE。
通常这个分支下有几个子键！
CheckBadApps400子键
该子键用于检查有问题的32位应用程序，它在注册表的分支是
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\
SessionManager\CheckBadApps400。
该分支下面有许多应用程序的子键，这些子键有这些应用程序的相应运行设置，例如，
UltraEdit32是一个32位的多功能编辑器，其可执行文件为Ui32.exe，它在注册表的分支是HKEY_LOCAL_MACHINE\System\ CurrentControlSet\control\SessionManager\CheckBadApps400
\ UE32.EXE。在该分支下面有Ui32.exe的运行设置（包括可执行文件Ui32.exe本身的检查标志、版本检查标志以及其标志位等）。
AppPatches子键
该子键用于应用程序的补丁，使这些应用程序能够很好地运行在Windows中。在Windows 3.x时代，这些补丁是放在Win.ini文件中。该子键位于注册表的HKEY_LOCAL_MACHINE\System\CurrentControlSet\ control\SessionManager\AppPatches分支上。在该分支下面有许多应用程序的子键及其设置内容。例如，在该分支下有一个Setup的应用程序，其位置是HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\AppPatches\SETUP。
(4) MediaResources子键
该子键用于设置多媒体资源，其位置在HKEY_LOCAL_MACHINE\System\
CurrentControlSet\control\MediaResources分支上。该分支下还包括DirectSound、
Joystick、MIDINonGeneralMIDIDriverList子键及其设置。
(5)MediaProperties子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ Media-Properties分支上，用于设置多媒体的属性。
(6)FileSystem子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ FileSystem分支上，主要对Windows的NTFS及Win31、Win9.x文件系统进行设置。
(7) Shutdown子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ Shutdown分支上，用于对Windows关机时的设置，一般里面有一个快速关机的设置。
(8)keyboard layouts子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ keyboard layouts分支上，主要对Windows的键盘布局（Keyboard Layouts）或者键盘语言进行设置。该子键下面包括多个关于键盘语言（也包括汉字输入法）的子键，这些子键使用数值表示出来。
(9) Update子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ Update分支上，用于确定"控制面板"窗口是否被刷新，此子键的功能与"控制面板"窗口中的"查看"菜单中的"刷新"相同。
(10) TimeZoneInformation子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\TimeZoneInformation分支上，用于设置时区信息。
(11) Print子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ Print分支上，用于设置打印机。
(12)IDConfigDB子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ IDConfigDB分支上，用于显示硬件配置文件的配置数据、配置名称等其他信息。
(13)ComputerName子键
该子键下面具有如下分层结构：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ComputerName\ActiveComputerName
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ ComputerName\ComputerName
该分层结构用于设置计算机名称。
(14)SecurityProviders子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SecurityProviders分支上，用于设置网络供应商的安全功能。


PDF与doc格式互换
域级别策略与WINDOWS系统安全
如何检测、修复硬盘坏道？
电脑中的十二种常用密码破解方法介绍
Windows XP 的5个小秘密
三条命令让你xp启动如飞

多谢分享,这么优秀的好资料

多谢分享！！！！！！！！！！！！！！！！

还有呢，继续加，呵呵

Services子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支上。该子键中存放了Windows中各项服务的信息，有些是自带的，有些是随后安装的。在该子键下面的每个子键中存放相应服务的配置和描述信息。
(1) Class子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Class分支上。该子键中保存的是Windows支持的不同种类硬件的信息，它下面的子键与"控制面板"中添加新硬件的分类类似。 下面简单介绍几种硬件分类子键。
① 1394子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services \Class1394，用于配置满足IEEE 1394规范的"1394总线控制器"。 * @=1394 总线控制器：指定1394子键的描述名称。
* Iconfiltered=-21：指定图标标识。
* Link={6BDD1FC1-810F-11D0-BEC7-08002BE2092F：指定"1394总线控制器"的连接。该连接将在{6BDD1FC1-810F-11D0-BEC7-08002BE2092F子键中定义。
② {6BDD1FC1-810F-11D0-BEC7-08002BE2092F}子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Class\ {6BDD1FC1-810F-11D0-BEC7-08002BE2092F}分支上，用于配置"1394总线控制器"的连接。
*Link=1394：指定连接为"1394"。
*Class=1394：指定"1394总线控制器"类为"1394"。
③Adapter子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Class\Adapter分支上，用于配置"CD-ROM 控制器"。
[email=*@=CD-ROM]*@=CD-ROM[/email] 控制器：指定该子键的描述名称。
*Iconfiltered=-9：指定图标标识。
*Link={4d36e964-e325-11ce-bfc1-08002be10318}：指定"CD-ROM 控制器"的连接，由{4d36e964-e325-11ce-bfc1-08002be10318}子键进一步地定义。
④{4d36e964-e325-11ce-bfc1-08002be10318}子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Class\ {4d36e964-e325-11ce-bfc1-08002be10318}分支上，用于配置"CD-ROM 控制器"的连接。
*Link=Adapter：指定连接为"Adapter"。
*Class=Adapter：指定类为"Adapter"。
⑤Printer子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Printer分支上，用于配置"打印机"。
*@=打印机：指定该子键的描述名称。
*Installer=MSPRINT.DLL：指定"打印机"的安装程序为"MSPRINT.DLL"。
*Iconfiltered=-4：指定图标标识。
*NoDisplayClass=1：确定是否显示类。若为1，则不显示类。若为0，则显示类。
*Link={4d36e979-e325-11ce-bfc1-08002be10318}：指定"打印机"的连接。
⑥ MEDIA子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Class\MEDIA分支上，用于配置多媒体设备，包括声音卡、视频卡和游戏控制器等。
*@=声音、视频和游戏控制器：指定该子键的描述。
*Link={4d36e96c-e325-11ce-bfc1-08002be10318：指定"多媒体"的连接，
参见{4d36e96c-e325-11ce-bfc1-08002be10318}子键。
*Iconfiltered=0：指定图标标识。
*Installer=mmci.dll：指定"多媒体"设备的安装程序为"MMCI.DLL"。

谢谢 !!提供分享

(3) WinSock子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Winsock分支上，存放的是当系统连接Internet时使用的WinSock的信息。 在该子键下面有如下两个子键：
① Autodial子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock\Autodial分支上，用于设置Autodial（自动拨号）。
*AutodialDllName32=wininet.dll：启动自动拨号功能的32位DLL驱动程序为wininet.dll
*AutodialFcnName32=InternetAutodialCallback：设置自动拨号的回调功能。
② Parameters子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock\Parameters分支上，用于设置WinSock参数。
* MSTCP=：使用HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\VxD\MSTCP\Parameters\Winsock分支中的参数设置WinSock。
(4) WDMFS子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\WDMFS分支上，用于设置WDMFS（WDM文件系统）。
*ImagePath=\\SystemRoot\\System32\\Drivers\\wdmfs.sys：WDMFS驱动程序为wdmfs.sys。
*ErrorControl=hex:01,00,00,00：设置错误控制码。
*Start=hex:00：设置初始化数值。
*Type=hex:01,00,00,00：设置WDMFS的类型。
*DisplayName=WDM Windows File System Mapper：显示WDMFS的名称。
(5) UPDATE子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\UPDATE分支上，用于设置UPDATE（更新服务）。
*ImagePath=\\SystemRoot\\System32\\Drivers\\update.sys：UPDATE服务的驱动程序为update.sys。
*ErrorControl=hex:01,00,00,00：设置错误控制码。
*Start=hex:00：设置初始化数值。
*Type=hex:01,00,00,00：设置UPDATE服务的类型。
*DisplayName=Intel Update Driver：UPDATE服务的显示名称。
(6) RemoteAccess子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ ServicesRemoteAccess分支上，存放的是和Windows拨号网络有关的信息。
*Versionfiltered=1.2c：版本号。
*Remote Connection=hex:00,00,00,00：设置远程连接。 在该子键下面有如下两个子键：
① Authentication子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services
\RemoteAccess\Authentication分支上，用于设置拨号网络的验证信息（如服务器类型、协议等）。
② NetworkProvider子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services RemoteAccess\NetworkProvider分支上，用于设置拨号网络的驱动程序。
(7) MSNP32子键
该子键具有如下子键结构：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSNP32
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSNP32\NetworkProvider NetworkProvider子键用于保存Microsoft网络用户的验证信息。
*GroupFcn=GROUPPOL.DLL,NTGetUserGroups：由GROUPPOL.DLL、NTGetUserGroups设置组功能。
*AuthenticatingAgent=：设置验证代理。若为空，则使用缺省的验证代理。
*LogonDisconnected=hex:00,00,00,00：设置登录断开标志。
*Name=Microsoft Network：设置名称。
*ProviderPath=msnp32.dll："Microsoft网络用户"的驱动程序为msnp32.dll。
*Descriptionfiltered=Microsoft Network：设置"Microsoft网络用户"的描述。
*NetID=hex:00,00,01,00：网络标识号。
*CallOrder=hex:00,00,00,40：设置调用顺序。
(8) NWNP32子键
该子键下面具有如下子键结构：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NWNP32HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NWNP32\NetworkProvider NetworkProvider子键中存放的是Microsoft网络用户针对Netware网络时的验证信息。
*GroupFcn=GROUPPOL.DLL,NWGetUserGroups:由GROUPPOL.DLL、NWGetUserGroups设置组功能。

(9) Arbitrators子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Arbitrators
分支上。该子键中保存的信息是用来解决不同的设备间资源冲突的问题，它的四个子键中分别保存了内存区域、DMA、I/O端口和中断的信息。
① IRQArb子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Arbitrators\IRQArb分支上，主要用于保存保留的中断信息。
② DMAArb子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Arbitrators\DMAArb分支上，主要用于保存保留的DMA信息。
③ AddrArb子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Arbitrators\AddrArb分支上，用于保存保留的内存区域列表。
④ IOArb子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Arbitrators\IOArb分支上，用于保存保留的I/O端口列表。
(10) WinSock2子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\WinSock2分支上，用于存放与Internet连接时WinSock 2.0版本的有关信息。
① Parameters子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\WinSock2\Parameters分支上，用于存放WinSock 2.0版的有关参数，如注册版本号、协议目录、名字空间目录等。
② Providers子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\WinSock2\Providers分支上，用于存放WinSock 2.0的提供商信息。在该子键下面还提供了一个INET子键，用于存放提供商名称。
(11) wdmaud子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\wdmaud分支上，用于存放WDM Audio（WDM音频）信息。
*Group=Base：设置WDM Audio所属组（基组）。
*ImagePath=\\SystemRoot\\system32\\drivers\\wdmaud.sys：WDM Audio驱动程序为
wdmaud.sys。
*Start=hex:03,00,00,00：设置初始化值。
*Type=hex:01,00,00,00：设置类型值。
*ErrorControl=hex:01,00,00,00：设置错误控制代码。 类似于wdmaud子键设置的还有redbook、sbemul、swmidi等子键。
(12) NPSTUB子键
该子键具有如下子键结构：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NPSTUB
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NPSTUB\NetworkProviderNetworkProvider子键用于存放"Microsoft友好登录"的有关信息。
*Name=Microsoft 友好登录：名称。
*ProviderPath=ienpstub.dll：32位保护模式驱动程序为ienpstub.dll。
*RealDLL=mslocusr.dll：实模式DLL驱动程序为mslocusr.dll。
*Descriptionfiltered=Microsoft 友好登录：描述。
*NetID=hex:00,00,01,00：设置网络标识。
*CallOrder=hex:00,00,00,40：设置调用顺序。
（13) ProtectedStorage子键
该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ProtectedStorage分支上，用于存放ProtectedStorage（受保护的系统存储）信息。
在该子键下面有一个Parameters子键，它位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ProtectedStorage\Parameters分支上，用于设置受保护的系统存储参数。
*ImagePath=C:\\WINDOWS\\SYSTEM\\PSTORES.EXE：启动保护的系统存储功能的程序为
PSTORES.EXE。
*AuthCodeCfg=dword:00000001：设置验证代码值。
*Configuration=dword:00000001：设置配置值。
另外，Parameters子键下面还有一个S子键，该子键位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ ProtectedStorage\Parameters\S分支上，用于进一步地设置pstores.exe、psbase.dll系统参数值。
*pstores.exe=hex:13,ff,e7,bb,a3,f2,01,1e,87,.......：设置pstores.exe系统参数值。
*psbase.dll=hex:d0,08,ef,10,2b,bf,b2,f2,23,.......：设置psbase.dll系统参数值。
(14) WebPost子键
该子键具有如下子键结构：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WebPostHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WebPost\Providers
Providers子键下面保存了所有与Internet Mail（这是Outlook Express软件中的一个电子邮件管理程序）有关的信息