windows-赤手空拳備份注冊(cè)表

發(fā)布時(shí)間: 2012/9/14 18:24:36

　　本文以Windows XP為例(其他Windows版本可參考操作)，介紹使用Windows“記事本”程序查找、修改注冊(cè)表數(shù)據(jù)以及使用簡(jiǎn)單的批處理腳本備份注冊(cè)表的方法。
　　兩個(gè)重要的分支
　　1.用戶(hù)個(gè)人數(shù)據(jù)[HKEY_CURRENT_USER]
　　該分支中存放的是當(dāng)前登錄用戶(hù)的個(gè)人喜好設(shè)置、所用的軟件的設(shè)置等個(gè)人數(shù)據(jù)。無(wú)論來(lái)賓、受限用戶(hù)、高級(jí)用戶(hù)還是管理員，都可以修改屬于自己個(gè)人的注冊(cè)表數(shù)據(jù)。用戶(hù)個(gè)人的注冊(cè)表數(shù)據(jù)就是“注冊(cè)表編輯器”左側(cè)窗格[HKEY_CURRENT_USER]所包含的項(xiàng)、子項(xiàng)和值項(xiàng)。
　　2.系統(tǒng)的核心數(shù)據(jù)[HKEY_LOCAL_MACHINE]
　　只有管理員權(quán)限的用戶(hù)可以訪(fǎng)問(wèn)系統(tǒng)注冊(cè)表數(shù)據(jù)，其中存放了系統(tǒng)中各項(xiàng)重要的核心設(shè)置數(shù)據(jù)。系統(tǒng)的注冊(cè)表數(shù)據(jù)就是“注冊(cè)表編輯器”左側(cè)窗格顯示的[HKEY_LOCAL_MACHINE]所包含的項(xiàng)、子項(xiàng)和值項(xiàng)。
　　與備份注冊(cè)表過(guò)招
　　任務(wù)1:備份注冊(cè)表分支并編輯部分設(shè)置
　　第一步:點(diǎn)擊“開(kāi)始→運(yùn)行”(或命令行提示符)，輸入以下命令導(dǎo)出兩個(gè)注冊(cè)表分支(驅(qū)動(dòng)器、路徑及文件可自定義)，導(dǎo)出后的myreg.reg大小約為8MB～9MB，而sysreg.reg大小約為30MB～60MB，視個(gè)人情況略有不同。
　　reg export hkcu c:\myreg.reg
　　reg export hklm c:\sysreg.reg
　　第二步:分別右擊myreg.reg和sysreg.reg，選擇“編輯”或“發(fā)送到→記事本”(創(chuàng)建右鍵菜單“發(fā)送到→記事本”，可將“開(kāi)始”菜單中的“記事本”快捷方式復(fù)制到“C:\Documents and Settings\username\SendTo”文件夾)，用“記事本”程序打開(kāi)myreg.reg文件。
　　第三步:點(diǎn)擊菜單命令“編輯→查找”，輸入要查找內(nèi)容的關(guān)鍵字，單擊“查找下一個(gè)”。查找到一個(gè)數(shù)據(jù)，可執(zhí)行刪除、修改操作，然后按F3鍵可繼續(xù)查找下一個(gè)數(shù)據(jù)。查找、修改所有數(shù)據(jù)，選擇菜單“文件→保存”保存注冊(cè)表文件。
　　任務(wù)2:恢復(fù)用戶(hù)設(shè)置
　　(1)圖形界面恢復(fù)方式:在發(fā)生問(wèn)題需要恢復(fù)時(shí)，右擊myreg.reg選擇“合并”即可。
　　(2)命令行模式恢復(fù)方式:在命令行模式下輸入“reg import c:\myreg.reg”(不包括外引號(hào))命令就能將其導(dǎo)入注冊(cè)表。
　　任務(wù)3:自制Net Transport的128線(xiàn)程補(bǔ)丁
　　第一步:點(diǎn)擊“開(kāi)始→運(yùn)行”，輸入“Regedit.exe”(不含引號(hào))回車(chē)，打開(kāi)“注冊(cè)表編輯器”，轉(zhuǎn)至[HKEY_CURRENT_USER\Software\Xi\NetTransport 2\Download]。
　　第二步:在右側(cè)的編輯框里新建一個(gè)DWORD值命名為“Max Threads”，雙擊這個(gè)值，在“數(shù)值”中輸入128，在“基數(shù)”中選擇“十六進(jìn)制”。
　　第三步:選擇菜單“文件→導(dǎo)出”，“保存類(lèi)型”設(shè)為“Win9x/NT4注冊(cè)文件”(在Windows 2000/XP中使用默認(rèn)的保存類(lèi)型導(dǎo)出的注冊(cè)表文件無(wú)法在Windows 9x下導(dǎo)入)，保存為128threads.reg(見(jiàn)圖1)。

　　第四步:復(fù)制一份128threads.reg并將新文件命名為uninstall128.reg，用“記事本”打開(kāi)該文件，將[HKEY_CURRENT_USER\Software\Xi\NetTransport 2\Download]子項(xiàng)下的“"Max Threads"=dword:00000128”修改為“"Max Threads"=-”(不包括外側(cè)中文引號(hào))，在注冊(cè)表文件中將鍵值設(shè)為“-”即代表刪除該鍵值(見(jiàn)圖2)。只需雙擊導(dǎo)入128threads.reg即可打上128線(xiàn)程補(bǔ)丁，而雙擊導(dǎo)入uninstall128.reg則將恢復(fù)未安裝補(bǔ)丁前的狀態(tài)。

　　小提示
　　★當(dāng)要清除一個(gè)值項(xiàng)的鍵值而保留鍵名，可將鍵值設(shè)為""(如“"Max Threads"=""”)。無(wú)論該鍵值原來(lái)是什蠢嘈�，清除后都将变硞惆字符串值”类型，所以“字符串值”类续r醞獾鈉淥嘈偷募狄話(huà)闃苯由境�。祹弄修改一铬V迪畹募擔(dān)捎謾?鍵名"=類(lèi)型:鍵值”的形式(例:“"Max Threads"=dword:00000001”)，如為字符串值，則可省略類(lèi)型但須在鍵值兩側(cè)加上英文雙引號(hào)(例:“"Title"="Hello"”)。
　　★當(dāng)要?jiǎng)h除一個(gè)子項(xiàng)或項(xiàng)，如要?jiǎng)h除[HKEY_CURRENT_USER\Software\Xi\NetTransport 2\Download]，則只需將語(yǔ)句設(shè)置為
　　“[-HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run\MyRunningProgram]”(不含中文引號(hào)，在項(xiàng)或子項(xiàng)名稱(chēng)的左側(cè)添加一個(gè)減號(hào)“-”)。
　　任務(wù)4:自動(dòng)備份注冊(cè)表
　　[HKEY_CURRENT_USER]和[HKEY_LOCAL_MACHINE]這兩個(gè)分支是黑客程序、后門(mén)、病毒及惡意網(wǎng)站最常攻擊的目標(biāo)，一旦這兩個(gè)分支下的數(shù)據(jù)被病毒修改，要一一排查被修改的數(shù)據(jù)是件非常困難的事，而手動(dòng)地輸入命令備份相當(dāng)麻煩，如何快速備份和恢復(fù)被“劫持”的系統(tǒng)呢？
　　第一步:打開(kāi)“記事本”，輸入下列內(nèi)容，并保存為myregbak.bat:
　　@echo off
　　set mypath="c:\myfolder\"%date%""
　　if exist "%mypath%" rd /s /q "%mypath%"
　　md "%mypath%"
　　cd "%mypath%"
　　reg export hkcu myreg.reg
　　reg export hklm sysreg.reg
　　這段腳本的大意是:首先定義一個(gè)變量并將其設(shè)置為C:\myfolder下以當(dāng)天的日期命名的一個(gè)目錄，如果該目錄不存在就根據(jù)變量值創(chuàng)建此目錄。然后將當(dāng)前目錄轉(zhuǎn)到這個(gè)目錄中，如果已經(jīng)存在用戶(hù)個(gè)人的注冊(cè)表備份文件myreg.reg則刪除，重新導(dǎo)出用戶(hù)個(gè)人的注冊(cè)表數(shù)據(jù)到文件。如果已經(jīng)存在系統(tǒng)的注冊(cè)表備份文件sysreg.reg則刪除，重新導(dǎo)出系統(tǒng)的注冊(cè)表數(shù)據(jù)到文件。
　　小提示
　　如果不是管理員權(quán)限的用戶(hù)，不需要備份系統(tǒng)的注冊(cè)表數(shù)據(jù)(不要輸入第7行即可)。以上提供的批處理角本在Windows XP下測(cè)試通過(guò)，驅(qū)動(dòng)器、路徑及文件名可自定義。
　　第二步:在桌面、任務(wù)欄、開(kāi)始菜單處創(chuàng)建myregbak.bat批處理文件的快捷方式，隨時(shí)手工備份。
　　第三步:單擊“控制面板→任務(wù)計(jì)劃→添加任務(wù)計(jì)劃”，在向?qū)е羞x擇myregbak.bat批處理文件，創(chuàng)建“備份注冊(cè)表”任務(wù)。右擊“備份注冊(cè)表”任務(wù)圖標(biāo)，選擇“屬性”，單擊“計(jì)劃”選項(xiàng)卡，選擇一種每日定時(shí)或定期備份的方式，以便讓計(jì)算機(jī)能夠自動(dòng)備份注冊(cè)表。
　　任務(wù)5:每天首次登錄/啟動(dòng)時(shí)備份注冊(cè)表
　　適當(dāng)修改myregbak.bat批處理文件，單擊“開(kāi)始→運(yùn)行”，輸入“gpedit.msc”，打開(kāi)“組策略”。雙擊打開(kāi)“用戶(hù)配置→Windows設(shè)置→腳本→登錄”或“計(jì)算機(jī)配置→Windows設(shè)置→腳本→啟動(dòng)”，點(diǎn)擊“添加”按鈕并選擇myregbak.bat，即可實(shí)現(xiàn)每天首次登錄/啟動(dòng)計(jì)算機(jī)時(shí)備份一次注冊(cè)表。修改后的批處理文件如下:
　　@echo off
　　set mypath="c:\myfolder\"%date%""
　　if exist "%mypath%" goto :end
　　md "%mypath%"
　　cd "%mypath%"
　　reg export hkcu myreg.reg
　　reg export hklm sysreg.reg
　　:end
　　注意:本文提供的批處理腳本的保存位置應(yīng)與mypath的位置在同一盤(pán)符下。
　　小提示
　　過(guò)期的注冊(cè)表備份文件，推薦不定期手工刪除，以免占用過(guò)多硬盤(pán)空間。如果感興趣的讀者可以嘗試編寫(xiě)一個(gè)腳本文件并利用“任務(wù)計(jì)劃”實(shí)現(xiàn)自動(dòng)刪除。