注册表

Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息

注册表(英语:Registry,中国大陆译作注册表,港澳台译作登录档)是Microsoft Windows操作系统和其应用程式中的一个重要的层次型数据库,用于存储系统和应用程式的设置资讯。

注册表
Windows Vista中的注册表编辑程序
Windows Vista中的注册表编辑程序
开发者Microsoft
当前版本
  • 5.0
编辑维基数据链接
操作系统Microsoft Windows
网站learn.microsoft.com/en-us/windows/win32/sysinfo/registry 编辑维基数据
“注册表”的各地常用名称
中国大陆注册表
台湾登录档
港澳登录档

早在Windows 3.0推出OLE技术的时候,注册表就已经出现。但是,从Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。

历史

前身

最初,Windows系统及应用程式的资讯被存储在后缀名为ini文本文件中,这就是注册表的前身。但是这么做有着致命弱点:因为每一个程序都会新安装一个或多个ini文件,来存储程序资讯,导致资讯的分布极为零乱;而且在16位系统下,ini文件的大小必须在64KB之内。所以ini文件被认为不便于使用和管理。

发布与发展

在最早出现于Windows 3.0的OLE技术出现后,微软为了存放系统中大量的软件组件资讯,组织了一个reg.dat的数据库来存放这些资讯。当时的注册表编辑器为16位版本的regedit.exe,功能较弱。

后来开发的Windows NT则更进一步使用相同的文件格式来存放系统的配置资讯,以取代原有的ini文件。该系统为每一个用户在用户目录下创建了一个自身的注册表空间,而系统的设置被存放在系统文件夹中。由于Windows NT是一个32位操作系统,regedit.exe被升级为regedt32.exe,并增加了对权限的设置功能。

Windows 95中,注册表首次得到广泛应用,逐渐淘汰了原有的ini文件。程序在安装时,不再将数据写入ini文件,而直接写入注册表。为了最大限度兼容旧程序,部分原来用于读写ini文件的专门API函数仍然可用,但现在是访问注册表(写入或读取)。Windows 95为了保持和Windows 3.x系列的兼容性,注册表的架构与Windows NT不同,为此专门开发了另一个32位版本的regedit.exe,它没有设置权限的功能。

Windows 2000中,由于Windows 95家族已经深入人心,regedit.exe也得到广泛应用,相反regedt32.exe的界面相对比较丑陋,因此微软将windows 95系列的regedit.exe拿过来用。但由于移植过来的regedit.exe仍没有权限设置的功能,regedt32.exe仍然保留在系统中用作权限设置。

Windows XPWindows Server 2003中,regedit.exe已经增加了权限的功能,regedit32.exe由于失去作用而被剔除。同时,这个版本的注册表是64位的,这导致了一些兼容性问题,少数可以运行在旧版本Windows的程序在Windows XP中无法运作。

64位Windows的注册表

64位Windows中的注册表结构大致与32位版本相同,但32位程序的资讯被放在HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node而不是HKEY_LOCAL_MACHINE\SOFTWARE(64位程序的资讯放于此处)。

数据结构

注册表由键(key,或称“项”)、子键(subkey,子项)和值项(value)构成。一个键就是树状数据结构中的一个节点,而子键就是这个节点的子节点,子键也是键。一个值项则是一个键的一条属性,由名称(name)、数据类型(datatype)以及数据(data)组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。

在注册表编辑器(Regedit.exe)中,数据结构显示如下,其中,command键是open键的子键,(默认)表示该值是默认值,值名称为空,其数据类型为REG_SZ,数据值为%systemroot%\system32\NOTEPAD.EXE "%1

 

以上资讯的意义是:txt类型的文件在右键菜单里的“打开”一项使用的程序是“NOTEPAD.EXE”,即用记事本打开文件。

数据类型

注册表的数据类型主要有以下五种:

显示类型(在编辑器中) 数据类型 说明
REG_SZ 字符串 文本字符串
REG_BINARY 二进制数 不定长度的二进制值,以十六进制显示
REG_DWORD 双字 一个 32 位的二进制值,显示为 8 位的十六进制值
REG_MULTI_SZ 多字符串 含有多个文本值的字符串,此名来源于字符串间用 nul 分隔、结尾两个 nul
REG_EXPAND_SZ 可扩展字符串 含有环境变量的字符串

此外,注册表还有其他的数据类型,但是均不常用:

  • REG_DWORD_BIG_ENDIAN - DWORD 的大头版本,下面同理
  • REG_DWORD_LITTLE_ENDIAN
  • REG_FULL_RESOURCE_DESCRIPTOR
  • REG_QWORD - DWORD 的四字(64 位)版本
  • REG_FILE_NAME

注册表的分支结构

注册表有五个一级分支,下面是这五个分支的名称及作用:

名称 作用
HKEY_CLASSES_ROOT 存储Windows可识别的文件类型的详细列表,以及相关联的程序。
HKEY_CURRENT_USER 存储当前用户设置的资讯。
HKEY_LOCAL_MACHINE 包括安装在电脑上的硬件和软件的资讯。
HKEY_USERS 包含使用电脑的用户的资讯。
HKEY_CURRENT_CONFIG 这个分支包含电脑当前的硬件配置资讯。

注册表的存储方式

Windows NT系列操作系统和Windows 9x系列的存储方式有很大区别。注册表被分成多个文件存储,称为Registry Hives,每一个文件被称为一个配置单元。

在早期的Windows 3.x系列中,注册表仅包含一个reg.dat文件,所存放的内容后来演变为HKEY_CLASSES_ROOT分支。

Windows NT家族的配置单元文件:

名称 注册表分支 作用
SYSTEM HKEY_LOCAL_MACHINE\SYSTEM 存储电脑硬件和系统的资讯
NTUSER.DAT HKEY_CURRENT_USER 存储用户参数选择的资讯(此文件放置于用户个人目录,和其他注册表文件是分开的)
SAM HKEY_LOCAL_MACHINE\SAM 用户及密码的数据库
SECURITY HKEY_LOCAL_MACHINE\SECURITY 安全性设置资讯
SOFTWARE HKEY_LOCAL_MACHINE\SOFTWARE 安装的软件资讯
DEFAULT HKEY_USERS\.DEFAULT 缺省启动用户的资讯
USERDIFF HKEY_USERS 管理员对用户强行进行的设置
  • 假设Windows安装于C盘,则在Windows XP以前,文件存放于C:\WINNT\SYSTEM32\CONFIG,而XP及以后则存放于C:\WINDOWS\SYSTEM32\CONFIG

Windows 9x家族的配置文件

名称 注册表分支 作用
CLASSES HKEY_CLASSES_ROOT 存储软件组件库有关资讯
USER.DAT HKEY_USERS 存储用户参数选择的资讯
SYSTEM.DAT HKEY_LOCAL_MACHINE 系统资讯

编辑注册表

使用注册表编辑器

Microsoft公司不建议用户自行更改注册表,因为如果对注册表进行了不当修改,就有可能造成Windows系统的某些功能失效,甚至导致系统崩溃。但是,Microsoft公司仍然在Windows中提供了注册表编辑器,它位于%systemroot%\regedit.exe。在Windows NT中使用的则是界面有所不同的REGEDT32.exe。而在Windows 2000中,两个程序同时存在于系统中。部分的原因是Windows 2000版本的regedit.exe尚不支持对注册表数据设置安全性。但在Windows XP及以后的操作系统中,regedit.exe已经能够支持注册表安全设置了,因此REGEDT32.exe失去了存在的必要。不过它仍被保留,只是该程序执行时仅仅会自动调用regedit.exe[1]

除了编辑本台电脑上注册表数据之外,注册表编辑器亦可以通过文件菜单下的“加载配置单元”菜单项编辑直接编辑文件系统上的注册表数据文件。该功能可以允许用户打开文件系统中的RegHive文件,并将其中的数据映射到HKEY_USERS或者HKEY_LOCAL_MACHINE项下的一个子项之中。[2]

使用命令行工具(CLI

Windows自带了一个管理注册表的命令行工具——reg。只需在命令提示符中运行并指定参数,即可以命令行的形式对注册表进行各项管理操作。支持的操作有增删改查、导入导出注册表文件(reg文件)、导入导出或加载配置单元(RegHive)等。

使用脚本

在Windows 98以后的操作系统中,增加了一个脚本语言解释器,可以用来执行一些系统任务。它可以支持VBScript和JavaScript两种脚本语言,都提供了访问注册表的功能。某些病毒就利用这一点通过修改注册表进行传播。

使用第三方或自行编写的软件

访问注册表的系统功能对编程人员是开放的,因此有许多软件都有读写注册表的功能。事实上,Windows平台下开发的软件几乎都在不同程度上修改注册表,以便保存一些在程序多次运行之间需要保留的资讯,以及让软件可以通过某种特定方式(例如,右键菜单)启动。也有一些软件是专门开发出来对注册表进行优化和设置的。

使用reg文件

reg文件也是一种修改注册表的方式。在注册表编辑器中,用户可以通过“文件”菜单中的“导出”菜单项来备份注册表中的某些项目到一个reg文件之中;之后用户可以再次通过“导入”菜单项将这些项目还原。reg文件本身也在系统中被关联到regedit.exe,因此直接双击打开reg文件也会起到将其中的项目导入到注册表中的效果。

而事实上,reg文件是根据一定格式编写的纯文本文件。因此,熟练的用户可以直接使用文本编辑器(比如记事本)来创建自己的reg文件,这样做无需在注册表中根据路径一级一级地访问,而且可以直接对大量项目进行批量修改。这些文件还可以被分发给非专业的用户,帮助他们快速地完成注册表的编辑,以减少出错的可能。

Registry APIs

Windows SDK提供了访问注册表的接口。创建或打开的键,必须作为当前已经打开的键的子键。HKEY_LOCAL_MACHINE, HKEY_CLASSES_ROOT, HKEY_USERS, HKEY_CURRENT_USER等预定义的键总是已经打开。使用RegOpenKeyEx打开键;使用RegCreateKeyEx创建键。注册表允许最大512层子键深度。通过一个注册表API调用允许一次打开或创建32层深度的注册表的子键。 RegCloseKey关闭已经打开的键,把数据写回注册表。RegFlushKey把内存中缓存的注册表已修改数据写回到硬盘上,因此代价高昂,要慎重调用。

RegSetValueEx把一个值项与其数据关联到一个键上。RegDeleteVaule从键上删除一个值项。RegDeleteKey删除一个键,但直到关闭相应的注册表句柄(handle)才真正完成删除操作。

RegEnumKeyEx枚举一个键下的所有子键。RegEnumValue枚举一个键下的所有值项。RegQueryValueEx获取一个值项的数据。

RegSaveKeyEx可以把一个键及所有子键保存到一个文件中。RegLoadKey把一个注册表文件装入到系统的注册表,RegUnLoadKey把系统注册表恢复到原状态。

缺点

评论家将Windows 95的注册表视作“单点故障”,因为不当使用“注册表编辑器”可能会造成严重的问题,甚至可能需要重装操作系统。无法保证能够顺利解决因不当使用“注册表编辑器”所造成的问题。用户必须自行承担使用“注册表编辑器”的风险,因此一般建议在编辑登录前先行备份。

分散与集中之争

关于分散的文本文件和集中的注册表两种软件配置方式的优劣,目前仍有争论。主流操作系统中,Linux操作系统一直使用单独的文本文件来存放配置资讯。而Windows平台下基于.NET框架的软件对注册表的依赖性也大大减弱。事实上,.NET软件通常使用纯文本的XML(称为app.config)文件而不是注册表进行配置,这在某种意义上是向当初的ini文本配置方式的一种回归。部分绿色软件支持者认为,集中式的注册表要求软件需要进行专门的安装步骤才可以正常运行,而单独的文本配置文件则可以不需要安装,只要将软件的文件目录拷贝过来就可以使用;当不再需要软件的时候,除删除相关文件外对于注册表也需要进行卸载步骤,才有可能不在系统中留下痕迹(很多软件即使提供了卸载步骤,仍然会留下痕迹),如果使用文本配置文件,则能做得更干净。但是,文本配置方式导致某些系统软件的配置较为困难且缺乏统一的界面(如Linux中的情况),也是不争的事实,尽管现在已经有很多软件可以方便进行系统配置,但仍存在标准不够统一的问题。

著名开源软件Fetchmail的作者Eric S. Raymond在《UNIX编程艺术》一书中有如下叙述[3]

对比terminfo数据库和Windows注册表,我们发现注册表出名地容易受到错误代码的破坏。这可能会使整个系统都无法使用。即使系统没有瘫痪,但如果破坏本身干扰了专用的注册表编辑工具,恢复工作就会很困难。

从2000年以来部分恶性病毒熊猫烧香等的破坏情形看,的确存在“破坏本身干扰注册表编辑器”的问题。在某些情况下,病毒程序会监视系统进程列表,并强行关闭名为regedit的任何程序。这使得受损用户难以直接通过编辑注册表进行恢复。

注册表是Windows操作系统的核心,越来越多的骇客程序将攻击对象转向了注册表。一些程序(尤其是恶意程序),为了达到随系统自动启动的目的,会在注册表创建启动项,因此监控注册表能够有效地预防该类恶意程序的攻击。[4]

注释

  1. ^ Regedit.exe 和 Regedt32.exe 的区别. Microsoft Knowledge Database. Microsoft Corporation. [2015-12-03]. (原始内容存档于2016-12-07). 
  2. ^ 将配置单元加载到注册表. Microsoft TechNet库. Microsoft Corporation. 2005-01 [2013-01-08]. (原始内容存档于2014-10-03). 
  3. ^ 此段文字来自该书简体中文版,繁体版的具体译文可能不同于此。
  4. ^ 注册表监控 互联网档案馆存档,存档日期2014-01-09.

参考资料

  • Windows XP专业版从入门到精通(中文版),Mark Minasi著,王珺、屈马珑等译,ISBN 7-5053-7569-5
  • Unix编程艺术(简体中文版),Eric S. Raymond著,姜宏 何源 蔡晓俊 译,电子工业出版社 ISBN 7-121-02116-1

参见