Windows對應(yīng)用程序和計算機系統(tǒng)的管理，都是通過這個叫“注冊表”的核心數(shù)據(jù)庫來統(tǒng)一進行的。它直接控制著Windows的啟動、硬件驅(qū)動程序的裝載以及一些Windows應(yīng)用程序的運行，對系統(tǒng)的運行起著至關(guān)重要的作用，是Windows計算機行為和能力的數(shù)據(jù)交換中心。注冊表是一個二進制的數(shù)據(jù)庫文件，用戶是無法直接讀取注冊表的，為了方便大家編輯注冊表，Windows提供了注冊表編輯器。

　　左腦記憶 打開注冊表編輯器的方法：單擊“開始”菜單→“運行”，在“運行”對話框內(nèi)輸入“Regedit”，回車即可打開注冊表編輯器。
注冊表的具體結(jié)構(gòu)和作用是什么呢？
　　注冊表編輯器如圖1所示，看得出來注冊表是層疊式的結(jié)構(gòu)，分別由配置單元、項、子項和值組成，對注冊表相應(yīng)的項、子項、值作出更改可以解決一些系統(tǒng)問題。但如何知道從哪些地方著手更改呢？新手起碼應(yīng)該了解的就是Windows 2000/XP/2003的5個注冊表配置單元具體有什么作用。
1．HKEY_CLASSES_ROOT
　　這個單元的主要作用是在計算機上注冊所有COM服務(wù)器和與應(yīng)用程序相關(guān)聯(lián)的所有文件擴展名、文件類型、文件圖標。如果要用添加新的文件擴展名、更改系統(tǒng)圖標，或者查看打開某類型文件的程序，就可以在此單元下編輯相關(guān)項。
2．HKEY_CURRENT_USER
　　這個單元記錄了當前登錄用戶的登錄信息、配置文件。其子項包含著環(huán)境變量、個人程序組、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機和應(yīng)用程序首選項。我們對IE選項的控制（如屏蔽主頁、代理、安全自定義、IE臨時文件大?。?、隱藏控制面板、禁止將打開的文檔存入歷史記錄、資源管理器、隱藏桌面圖標等操作，都是在該配置單元里進行修改。
3．HKEY_LOCAL_MACHINE
　　該單元中存放的是控制系統(tǒng)和硬件的設(shè)置，如內(nèi)存、驅(qū)動程序、安全數(shù)據(jù)庫、系統(tǒng)配置等信息。它涉及的面比較廣，是注冊表里修改最頻繁的地方。這里保存有鍵盤使用的語言以及各種中文輸入法、Windows應(yīng)用程序卸載信息等，我們給鼠標右鍵添加新的命令、屏蔽3721等IE插件、清理已刪除程序殘留的注冊信息和“開始”菜單的修改等操作，都在該配置單元里進行，而且這些修改都會應(yīng)用于計算機上的所有用戶。
4．HKEY_USERS
　　這個單元保存的是當前登錄用戶的默認配置和設(shè)置，如桌面、背景、開始菜單程序項、字體等信息。該配置單元的大部分設(shè)置都可以通過“控制面板”來修改。
5．HKEY_CURRENT_CONFIG
　　這里保存的是計算機的當前硬件配置情況，比如顯示器、打印機等外部設(shè)備及設(shè)置信息，你對硬件進行的修改如更改顯示器的屏幕刷新頻率，都保存在這里。
在修改時注冊表如果不小心出錯，系統(tǒng)很容易出現(xiàn)各種問題甚至崩潰，該怎么辦呢？
　　備份！修改注冊表前一定要記住備份當前注冊表，避免修改錯誤引起的不必要的損失。那如何備份注冊表呢？這里主要有備份注冊表的項與備份整個注冊表2種備份。

　　目前Windows2000/XP/2003注冊表編輯的功能除了一些基礎(chǔ)的修改圖標、查殺病毒等應(yīng)用外，很多都能在系統(tǒng)的組策略（以后“菜菜學堂”會教大家用）中實現(xiàn)，所以像更改IE、隱藏控制面板組和磁盤驅(qū)動器等高級應(yīng)用就交給組策略來辦，會更安全和穩(wěn)定。
　　左腦記憶 備份與恢復注冊表項：如果你只想保存一個鍵值或注冊表項，比如HKEY_USERS\.DEFA
　　ULT\Software，定位到該項上，如圖2所示，右鍵點擊該項，在菜單上選擇“導出”命令，將該項保存為REG文件即可。若要還原導出的注冊表子項，只要雙擊剛才導出的REG文件即可。
　　備份整個注冊表：點擊“開始→所有程序→附件→系統(tǒng)工具→備份”，打開“備份或還原向?qū)А?，如果啟動的是“高級模式”，可以點擊“工具→切換到向?qū)Ｊ健贝蜷_向?qū)А｜c擊下一步選擇“備份文件和設(shè)置→讓我選擇要備份的內(nèi)容”。
　　在左邊的欄目中展開“我的電腦”，選中“System State”，“System State”包括注冊表、“COM+ 類注冊數(shù)據(jù)庫”以及電腦的啟動文件，最后將選定的“System State”（系統(tǒng)狀態(tài)）保存起來即大功告成。
　　如果要還原整個注冊表，只要打開“備份或還原向?qū)А?，點擊下一步選擇“還原文件和設(shè)置”，根據(jù)提示，找到備份的“System State”（系統(tǒng)狀態(tài)）文件，在“要還原的項目”框中，展開要還原的介質(zhì)，然后單擊系統(tǒng)狀態(tài)復選框，將其選中，再點擊下一步即可還原整個注冊表。
病毒、木馬以及黑客程序最喜歡入侵的地方就是注冊表，通過注冊表，它們能實現(xiàn)自動運行、破壞和傳播等目的。能舉例說明如何在注冊表里查找可疑程序并刪除它嗎？
　　注冊表中有幾處是病毒、木馬等最喜歡入侵的，它們分別是：
　　1．HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows是一個高危項。右鍵點擊該項，按“權(quán)限”命令，選擇所有的用戶，將其權(quán)限“完全控制”設(shè)置為“拒絕”，“應(yīng)用”后就可以避免一些不必要的病毒加載。
　　該項的右邊窗口有“Load”和“Run”的字符串值，這兩個字符串值的鍵值默認是空白的（圖3）。如果你的注冊表該字符串的值不為空，那就可能被病毒加載了，這時一定要把值改回默認的。
　　還有一個“Programs”的字符串值默認數(shù)值為“com exe bat pif cmd”。病毒喜歡在這里添加一個特殊的文件類型，比如“病毒.cpw”，可以逃過很多病毒防護軟件的掃描。一旦發(fā)現(xiàn)這種情況，右鍵選中“Run”字符串值，將該字符串值刪除；雙擊“Load”和“Programs”，將數(shù)值數(shù)據(jù)改回空即可。
　　2．HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中有許多自動啟動的程序。對可疑的程序，直接鼠標右鍵選中，刪除即可。類似“Run”這樣的項在注冊表中還有幾處，均以“Run”開頭，分別是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、項及該項下面的RunOnce、RunOnceEx 、RunServices等（圖4），同樣需要注意。
　　3．HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon，右邊的“Shell”字符串值數(shù)據(jù)值為“Explorer.exe”。很容易被木馬等捆綁后隨系統(tǒng)一起啟動，并且無法查殺。最好的解決辦法是雙擊“Shell”字符串值，把值改為explorer.exe的絕對路徑，如“C:\WINDOWS\explorer.exe”。
　　4．HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager，右邊“BootExecute”的多字符串值默認鍵值為“autocheck autochk *”。此外，還要注意有沒有“PendingFileRenameOperations”這個多字符串值，它一般由軟件的安裝程序自動生成。木馬或病毒可以通過“PendingFileRenameOperations”來實現(xiàn)自身的文件改名，再配合前面所說的“BootExecute”多字符串值來自動加載啟動。
　　5．HKEY_CLASSES_ROOT\exefile\shell\open\command，右邊“默認”字符串值的數(shù)據(jù)是““%1” %*”，該數(shù)據(jù)也容易被更改，解決方法就是將數(shù)值數(shù)據(jù)改回默認值““%1” %*”。
　　左腦記憶 對初學者來說，我們不必記下注冊表的所有項值。當遇到需要修改注冊表解決問題的時候，只要完整地記下下面5個步驟，照著操作就可以完成具體應(yīng)用。
　　第一步：上Google、百度等查出要修改的具體項或鍵的位置，健的鍵值。
　　第二步：備份注冊表。
　　第三步：打開注冊表編輯器。
　　第四步：查找并編輯相關(guān)項和鍵值。
　　第五步：修改完畢后按F5鍵刷新注冊表，驗證是否修改成功，完畢。
　　我是系統(tǒng)管理員，為什么在編輯注冊表時，會彈出禁止訪問的警告？
　　如果你在注冊表中編輯非當前賬戶的某些注冊表項，系統(tǒng)會彈出禁止訪問的警告框。可以登錄系統(tǒng)管理員賬戶，右鍵點擊該項，在彈出菜單上選擇“權(quán)限”，讓自己取得該項的完全控制權(quán)限。