常见电脑问题解决方案

1、如何查找历史记录？INTERNET选项里面怎么找啊？方法1、点击IE菜单栏上的查看-浏览器栏-历史纪录；方法2、直接按Ctrl+H；方法3、按IE工具栏上的历史图标。INTERNET选项:方法1、点击IE菜单栏上的工具-INTERNET选项；方法2、我的电脑-控制面板-INTERNET选项；方法3、右键单击桌面上的IE图标，单击属性如何查找删除的历史记录C:Documents and Settings你的用户名Local SettingsTemporary Internet Files是上网缓存地址浏览历史在工具栏点历史就可以系统运行过的程序在C:Documents and SettingsA

2、dministrator你的用户名Recent这个路径中（可以在“开始”-运行中输入recent快速打开）文件夹删除不掉怎么办一、常规解决办法 1注消或重启电脑，然后再试着删除。 2进入“安全模式删除”。 3在纯DOS命令行下使用DEL、DELTREE和RD命令将其删除。 4如果是文件夹中有比较多的子目录或文件而导致无法删除，可先删除该文件夹中的子目录和文件，再删除文件夹。 5如果是在“添加或删除程序”选项卸载一个软件后，发现软件的安装目录仍旧存在，里边残留着几个文件，直接删除时，系统却提示文件正在使用无法删除。 此时可首先打开“命令提示符”窗口，按“Ctrl+Alt+Del”组合键打开任务管

3、理器，在进程中将“explorer.exe”进程关闭掉（在这之前最好将所有程序关闭掉），切换到命令提示符窗口，使用DOS命令进入无法删除的文件夹，输入“Del 文件夹名”就可以将该文件夹删除了。删除完成后，在任务管理器中选择“文件新任务”，输入“explorer.exe”重新建立系统的外壳。 二、高级解决方案 1磁盘错误 运行磁盘扫描，并扫描文件所在分区，扫描前确定已选上修复文件和坏扇区，全面扫描所有选项，扫描后再删除文件。 2预读机制 某些视频、图像文件播放中断或正在预览时会造成无法删除。在“运行”框中输入：REGSVR32 /U SHMEDIA.DLL，注销掉预读功能。或在注册表中删除HK

4、EY_ LOCAL_MACHINESOFTWAREClassesCLSID87D62D94-71B3-4b9a-9489-5FE6850DC73EInProcServer32键值。然后即可删除文件。 3防火墙 由于反病毒软件在查毒时也会导致执行删除时提示文件正在使用，这时可试着停止或关闭它再删。 4Office、WPS系列软件 Office、WPS的非法关闭也会造成文件无法删除或改名。重新运行该程序，然后正常关闭，再删除文件。 5借助WinRAR 右击要删除的文件夹，选择“添加到压缩文件”。在弹出的对话框中选中“压缩后删除源文件，”随便写个压缩包名，点击“确定”按钮即可。 6权限问题 如果是W

5、indows 2000/XP/2003系统，请先确定是否有权限删除这个文件或文件夹。 7可执行文件的删除 当执行文件的映像或程序所调用的DLL动态链接库还在内存中未释放，删除时也会提示文件正在使用，解决方法是在DOS下删除系统的页面文件（Win98中是Win386.SWP，Win2000/XP是page）。8.用其他软件的方法,我向大家推荐:a、用Unlocker(最好的顽固软件删除工具)，Unlocker 是一个免费的右键扩充工具，使用者在安装后，它便能整合于鼠标右键的操作当中，当使用者发现有某个档案或目录无法删除时，只要按下鼠标右键中的Unlocker，那么程序马上就会显示出是哪一些程序占

6、用了该目录或档案，接着只要按下弹出的窗口中的Unlock就能够为你的档案解套啰。Unlocker 不同于其它解锁软件的部分在于它并非强制关闭那些占用档案的程序，而是以解除档案与程序关连性的方式来解锁，因此不会像其它解锁程序一样因为强制关闭程序而造成使用者可能的数据遗失。b、Killbox只有416K，下载后，直接找到路径后就可以删除文件9. 终极大法-格式化!Windows XP的机子怎么进入安全模式啊?在系统启动Windows XP时按F8键，屏幕上就会显示Windows XP启动的高级选项菜单，通过这些选项可选择不同的模式启动Windows XP。 1 安全模式：选用安全模式启动Windo

7、ws XP时，系统只调用一些最基本的文件和驱动程序，只使用少量设备，且不加载启动组中的任何内容；启动后不能与网络接通，许多设备也不能正常使用（Windows XP的安全模式下可以使用光驱）。这种模式有助于诊断系统产生的问题所在，如果新添加的设备或对驱动程序进行更改后系统有问题就可以进入安全模式，将出现问题的设备删除，然后再安装。如果安全模式下不能解决问题，则多半需要重新使用安装光盘来修复系统。 2 带网络连接的安全模式：这种模式使用基本文件和驱动程序，与“安全模式”相比，它还要加载网络驱动程序，它的主要作用与安全模式基本相同，但是它不支持用PCMCIA卡（一种遵循个人计算机内存卡国际协会规范的

8、可移动插卡）联网。如果计算机已经接入网络，且用安全模式启动时没有检测到任何错误，则可能是网卡出错，用此模式可以发现一些在安全模式下隐藏的问题。 3 命令行提示符的安全模式：使用基本的文件和驱动程序启动Windows ，启动后进入命令提示窗口。注意该模式下将不会出现桌面和开始菜单，如果不小心关闭了该DOS窗口，则关机只能通过按“Ctrl+Alt+DEL”来打开“Windows 任务管理器”，然后从它的“关机”菜单下选择；或者在任务管理器中加载新任务explorerexe可以出现桌面和开始菜单，然后可以像正常模式一样关机。 4 启用启动日志：引导Windows 并将系统正常加载和没有正常加载的程序

9、记录到文件中（文件的名称是ntbtlog.txt，位于Windows XP的安装目录下），通过这个日志文件可以分析系统启动时出现问题的根本原因。 5 启用VGA模式：使用标准VGA驱动程序来引导Windows ，如果在安装了新的显示驱动程序后导致Windows 出现错误，则可以进入该模式，然后将错误的驱动程序删除后再安装其它驱动程序。该模式常用于解决因显卡驱动错误造成系统启动异常的问题。实际上，在“安全模式”、“网络安全模式”、“命令提示符安全模式”下都使用标准VGA驱动程序。 6 最后一次正确的配置：系统出现问题后（比如新添的驱动程序与硬件不一致可能导致系统无法正常启动），使用“最后一次正确

10、的配置”来启动Windows 一般都可以解决这些问题。当然，如果因为系统文件丢失或损坏而出现的系统问题，它是不能解决的（这种情况可以进入系统配置实用程序后点击“展开文件”提取相应文件来恢复）。 7 目录服务恢复模式：该模式是用于还原域控制器上的Sysvol目录和Active Directory（活动目录）服务的。它实际上也是安全模式的一种。 8 调试模式：如果某些硬件使用了实模式驱动程序（如在config.sys和autoexec.bat中加载的某些驱动程序）并导致系统不能正常启动，就可以用调试模式来检查实模式驱动程序产生的冲突。在该模式下系统会反复测试并确定要使用或取消config.sys或

11、autoexec.bat中的驱动程序，以便发现引起系统配置问题的设备驱动程序。 开机后会自动弹出“我的文档”解决方法 【产生原因】：中了病毒wsctf. exe和explorer. exe。 【解决方法】：可按照下面的方法解决了这个问题： (1) 按"Ctrl+Alt+Del"调出Windows任务管理器，结束掉EXPLORER. exe进程，其中EXPLORER. exe进程有两个，一个是系统的，一个是病毒的，系统的所在位置是"C:WINDOWS”，病毒的所在位置是"C:WINDOWSsystem32"

12、,只需结束掉病毒的进程就行了。若不能区别两个进程，可以把两个进程都结束掉，然后再切换到应用程序新任务浏览选择"C:WINDOWS"文件夹下的 explorer. exe，然后打开、确定就可以重新启动系统的EXPLORER. exe进程了。 (2) 结束掉wsctf. exe进程。 (3) 进入"C:WINDOWSsystem32"工具文件夹选项查看去掉“隐藏受保护的操作系统文件”前面的勾，在弹出的对话框中按 “是”，然后再选择“显示所有文件和文件夹”确定删除掉文件夹里面的wsctf. exe和EXPLORER. exe两个

13、文件按刚才的操作，重新隐藏系统文件。 (4) 开始运行输入regedit,按确定后打开注册表，进入HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRun目录，右键删除掉wsctf. exe和 EXPLORER. exe两条记录。进入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, 可以看到项Userinit，其内容为userinit. exe,EXPLORER. exe，双击Userinit将中间的逗号和 EXPLORER. exe删除确定。

14、(5) 重启电脑, 搞定! 本站提供了两种解决方法：1, 你Msconfig内多了启动我的文档项目. 这个好办, msconfig里去掉就可以了. 2, 估计你是中了wsctf. exe和explorer. exe病毒. 如果这样 可以手动清除 (1) 按"Ctrl+Alt+Del"调出Windows任务管理器，结束掉EXPLORER. exe进程，其中EXPLORER. exe进程有两个，一个是系统的，一个是病毒的，系统的所在位置是"C:WINDOWS”，病毒的所在位置是"C:WINDOWSsystem32&qu

15、ot;,只需结束掉病毒的进程就行了。若不能区别两个进程，可以把两个进程都结束掉，然后再切换到应用程序新任务浏览选择"C:WINDOWS"文件夹下的 explorer. exe，然后打开、确定就可以重新启动系统的EXPLORER. exe进程了。 (2) 结束掉wsctf. exe进程。 (3) 进入"C:WINDOWSsystem32"工具文件夹选项查看去掉“隐藏受保护的操作系统文件”前面的勾，在弹出的对话框中按 “是”，然后再选择“显示所有文件和文件夹”确定删除掉文件夹里面的wsctf. exe和EXPLORER. ex

16、e两个文件按刚才的操作，重新隐藏系统文件。 (4) 开始运行输入regedit,按确定后打开注册表，进入HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRun目录，右键删除掉wsctf. exe和 EXPLORER. exe两条记录。进入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, 可以看到项Userinit，其内容为userinit. exe,EXPLORER. exe，双击Userinit将中间的逗号和 EXPLORER. exe删除确

17、定。 (5) 重启电脑, 搞定! 第二种解决方法解决开机时会自动打开“我的文档”的问题！ 很多朋友用msconfig查看自启动项，而且在注册表中的run，runonce，load等键值 根本找不到有什么异常的项，找来找去都找不到问题的所在。本人找了很久，终于在HKEY _LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon这里的Userinit中的键值中看到了C:WINDOWSsyste m32userinit. exe,EXPLORER 问题就出在EXPLORER 这里，有的人是 C:WINDOWSsystem32use

18、rinit. exe,C:WINDOWSsystem32userinit. exe, 这样的症状， 现在说一下正常的键值吧，它有两种形式C:WINDOWSsystem32userinit. exe, 或userinit. exe,都是正常的，删除explorer. exe，只留下“C:WINDOWSsystem32userinit. exe，希望对你有所帮助开机后会自动弹出“我的文档”解决方法【产生原因】：中了病毒wsctf.exe和explorer.exe。 【解决方法】：可按照下面的方法解决了这个问题： (1) 按"Ctrl+Alt+Del"调出Windows任务管理器

19、，结束掉EXPLORER.EXE进程，其中EXPLORER.EXE进程有两个，一个是系统的，一个是病毒的，系统的所在位置是"C:WINDOWS”，病毒的所在位置是"C:WINDOWSsystem32",只需结束掉病毒的进程就行了。若不能区别两个进程，可以把两个进程都结束掉，然后再切换到应用程序新任务浏览选择"C:WINDOWS"文件夹下的 explorer.exe，然后打开、确定就可以重新启动系统的EXPLORER.EXE进程了。 (2) 结束掉wsctf.exe进程。 (3) 进入"C:WINDOWSsystem32"工具

20、文件夹选项查看去掉“隐藏受保护的操作系统文件”前面的勾，在弹出的对话框中按 “是”，然后再选择“显示所有文件和文件夹”确定删除掉文件夹里面的wsctf.exe和EXPLORER.EXE两个文件按刚才的操作，重新隐藏系统文件。 (4) 开始运行输入regedit,按确定后打开注册表，进入HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRun目录，右键删除掉wsctf.exe和 EXPLORER.EXE两条记录。进入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionW

21、inlogon, 可以看到项Userinit，其内容为userinit.exe,EXPLORER.EXE，双击Userinit将中间的逗号和 EXPLORER.EXE删除确定。 (5) 重启电脑, 搞定! 终于把开机自动弹出我的文档解决了，分享工具及经验每次开机都弹出个资源管理器我的文档，虽然没什么影响，但是心里总觉得不爽，尝试了几次，都没把它搞掉昨晚断网后无聊，又试了一次，终于把它拿下了！:P :victory: 接下来的文字中，对大家优化开机速度，手工清除病毒有点启示，由于偶也不是很懂，所以遇到有疑问的地方不要太相信，有什么不懂的地方，去搜搜，我就不敢解释了呵呵：D 开始了。俗话说，工欲行

22、其事，必先利其器，先准备几个软件：Icesword （冰刃，不用说了）Process Explorer (一个强大的查看进程的工具) 【但是我以前一直用HandleEx查看进程，功能比起前者要弱点，但足够我用了，而且今早才知道它们是一个公司（Sysinternals）】Autoruns（一个管理开机自动加载程序等东东的软件，同样是Sysinternals的）另外还有几个工具 和 RegMon 分别是监视文件创建运行 和注册表操作的工具（同样的Sysinternals主页是 应该是被微软收了，牛 呵呵）Tcpview（监视网络链接，Sysinternals的。） Regsnap（注册表快照，用来

23、比较两次注册表改动的），虽然昨天没用到，但也是手杀时很有用的软件。关于这些软件的下载及用法，大家搜搜就行了。还有时间稍紧，网速又慢，今天就不抓图了，以后有机会再补吧。开机加载一般如果感觉刚进系统后，很慢，那么首先想到的是一些自动运行的程序，这些一般包括开始菜单启动那里的，注册表里Run下面的，winlogon下面的，服务，DLL，如果打开浏览器很慢，我们还可以看下IE的加载项这些我们都不用去管它到底在哪，有了Autoruns，我们就可以轻松搞定：D我们打开Autoruns，它对开机时加载项目都做了分类，我们需特别注意 用户登录，系统登录，资源管理器，IE浏览器，服务，驱动程序这几项，如果想开机

24、禁止某些程序运行，只需去掉对应项前面的勾就行了，比如说QQ，迅雷，Yahoo之类乱七八糟的，有时或出现“找不到文件”的提示，这很有可能是软件卸载、病毒被杀了没请干净留下的。但是有些病毒光是去掉勾是不行的，这个稍后说。昨天（像以往一样）偶把Autoruns翻了个遍，把自己敢肯定的不用启动的都去了后，重启依然弹出我的文档（最先怀疑是某个病毒被杀后没在注册表里留下的），接下来就要想想是不是其它什么地方不对了。杀病毒昨晚并没有杀病毒，只是这边文章既然提到了，偶就在此抛砖引玉了：D先不说杀毒软件。一般怀疑遇到病毒，我们看进程信息，用Icesword 或 Process Explorer(以后简称proc

25、)都行，windows自带的功能弱了点。弱智点的病毒，单个进程（关于进程，一是靠经验，还有对于有疑问的就搜一下），在注册表里添写东西开机启动，我们现结束它进程找到相应的文件路径，杀掉它就行了，也可以去搜下进程信息，网上写的有手工清楚的方法。厉害的，几个进程相互守护，隐藏进程，或者线程注入。这个就麻烦点了。唔。当然是用Icesword，我觉得它最牛的地方之一就是可以创建规则以禁止某个进程或者线程的创建，这样守护的就没用了。首先要完全结束病毒运行，再来删文件，修改注册表，要不删不掉，或者删了也白删。当然冰刃的功能远不止这点，关于冰刃，网上有很多很详细的教程，我就不在此误人子弟了_再牛的（我觉得是很

26、难发现的了），什么全局钩子。什么把自己注册成服务，恶心的还把公司、描述信息那些还搞成微软、一些搞不懂的术语这个我的感觉还是靠搜索，没网的时候靠经验还有最恶心的3721，CNNIC，把自己搞成驱动程序加载。但是这样的病毒毕竟少，网上一般有方法，免杀做的好的还是能类似的解决。一般说来，结合我提到的几个工具，不能完全清除，也可以防止他启动了，（可以windows的组策略或者某些杀毒软件的功能禁止某个文件运行）另外进安全模式杀，冰刃可以在安全模式下运行的。这个就不写了，越写越乱，也不是几句话就可以说清楚的。昨晚的情况，肯定是开机加载什么东西了，肯定不是病毒引起的。那是什么呢，用冰刃，选择重启并监视（重

27、启后并记录进程创建过程），同时查看Windows日志，看看有木有虾米怪异但是窗口弹出的太早了，比杀毒软件还早，估计是系统自己的什么东东于是我有回到Autoruns，仔细查看用户登陆这个分类，注意到HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit 这个项，由于没网，所以也搞不清什么名堂，太转到注册表相应位置看看吧，看到值是userinit.exe, EXPLORER.EXE 奇怪，这个项为什么要启动两个程序呢（以前在清除病毒时遇到类似方法插入进程的），再网上看看，有个SHELL下面也是启动EXPLORER.EXE ，会不会

28、是重复了呢，于是我再运行里执行explorer.exe，果然弹出个我的文档，然后谨慎的把userint里面的EXPLORER.EXE 删了，重启后居然就搞定了。注册表注册表（Registry，繁体中文版Windows称之为登录）是Microsoft Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。早在Windows 3.0推出OLE技术的时候，注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。但是，从Microsoft Windows 95开始，注册表才真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用至今。概

29、述1. 相关注意事项2. 注册表控制用户模式3. 注册表控制计算机条目4. 控制应用程序的功能及多个应用程序的交互由来在Windows 3.x操作系统中，注册表是一个极小文件，其文件名为Reg.bat，里面只存放了某些文件类型的应用程序关联，大部分的设置放在Win.ini、System.ini等多个初始化INI文件中。由于这些初始化文件不便于管理和维护，时常出现一些因INI文件遭到破坏而导致系统无法启动的问题。为了使系统运行得更为稳定、健壮，Windows 95/98设计师们借用了Windows NT中的注册表的思想，将注册表引入到Windows 95/98操作系统中，而且将INI文件中的大部

30、分设置也移植到注册表中，因此，注册表在Windows 95/98操作系统的启动、运行过程中起着重要的作用。作用概述注册表是为Windows NT和Windows95中所有32位硬件/驱动和32位应用程序设计的数据文件。16位驱动在Winnt下无法工作，所以所有设备都通过注册表来控制，一般这些是通过BIOS来控制的。在Win95下，16位驱动会继续以实模式方式设备工作，它们使用system.ini来控制。16位应用程序会工作在NT或者Win95 下，它们的程序仍然会参考win.ini和system.ini文件获得信息和控制。在没有注册表的情况下，操作系统不会获得必须的信息来运行和控制附属的设备和

31、应用程序及正确响应用户的输入。相关注意事项在系统中注册表是一个记录32位驱动的设置和位置的数据库。当操作系统需要存取硬件设备，它使用驱动程序，甚至设备是一个BIOS支持的设备。无BIOS支持设备安装时必须需要驱动，这个驱动是独立于操作系统的，但是操作系统需要知道从哪里找到它们，文件名、版本号、其他设置和信息，没有注册表对设备的记录，它们就不能被使用。当一个用户准备运行一个应用程序，注册表提供应用程序信息给操作系统，这样应用程序可以被找到，正确数据文件的位置被规定，其他设置也都可以被使用。注册表保存关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。它同样也保存了安装信息（比如

32、说日期），安装软件的用户，软件版本号和日期，序列号等。根据安装软件的不同，它包括的信息也不同。然而，一般来说，注册表控制所有32位应用程序和驱动，控制的方法是基于用户和计算机的，而不依赖于应用程序或驱动，每个注册表的参数项控制了一个用户的功能或者计算机功能。用户功能可能包括了桌面外观和用户目录。所以，计算机功能和安装的硬件和软件有关，对所有用户来说项都是公用的。有些程序功能对用户有影响，有些是作用于计算机而不是为个人设置的，同样的，驱动可能是用户指定的，但在很多时候，它们在计算机中是通用的。注册表控制用户模式注册表控制用户模式的例子有：控制面板功能；桌面外观和图标；网络参数；浏览器功能性和特征

33、；那些功能中的某些是和用户无关的，有些是针对用户的。计算机相关控制项基于计算机名，和登陆用户无关。控制类型的例子是安装一个应用程序，不管是哪个用户，程序的可用性和存取是不变的，然而，运行程序图标依赖于网络上登陆的用户。网络协议可用性和优先权基于计算机，但是当前连接和用户信息相关。注册表控制计算机条目这里是在注册表基于计算机控制条目的一些例子：存取控制；登陆确认；文件和打印机共享；网卡设置和协议；系统性能和虚拟内存设置；控制应用程序的功能及多个应用程序的交互在系统中注册表控制所有32位应用程序和它们的功能及多个应用程序的交互，比如复制和粘贴，它也控制所有的硬件和驱动程序。虽然多数可以通过控制面板

34、来安装和设置，理解注册表仍是做Winnt和Win95系统管理基本常识。编辑本段打开方式两种打开方式Win98/98SE/Me运行中输入regedit.exe 无权限限制Win2000/XP1.开始>>运行.中输入regedit2.开始>>运行.中输入regedt32两种方式比较第一种方法打开的注册表编辑器和Win98下的一样，而且功能相同，而使用第二种方法打开的注册表编辑器则可以方便的设置权限，建议网络管理员使用第2种方法打开注册表编辑器修改需要修改的权限设置部分以免被他人恶意修改。Windows Vista/71.在开始菜单搜索框中输入regedit并按回车键.(需要

35、管理员权限)2.在运行中输入regedit.exe(需要管理员权限)存放位置2000/XP注册表文件按功能来分，也是由系统注册表文件和用户注册表文件两类组成的注册表文件存放系统的所有设置信息：系统设置和缺省用户配置数据存放在系统系统文件夹SYSTEM32CONFIG文件夹下的6个文件，DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYSTEM中，而用户的配置信息存放在系统所在磁盘的Documents and Setting文件夹,包括ntuser.dat ntuser.ini ntuser.dat.log结构简介注册表是Windows程序员建造的一个复杂的信息数

36、据库，它是多层次式的。在不同系统上注册表的基本结构相同。其中的复杂数据会在不同方式上结合，从而产生出一个绝对唯一的注册表。计算机配置和缺省用户设置的注册表数据在Winnt中被保存在下面这五个文件中：DEFAULT，SAM，SECURITY，SOFTWARE，SYSTEM，NTUSER.DAT。数据结构注册表由键（或称“项”）、子键（子项）和值项构成。一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键。一个值项则是一个键的当前定义，由名称、数据类型以及分配的值组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。在注册表编

37、辑器（Regedit.exe）中，数据结构显示如下，其中，command键是open键的子键，(默认)表示该值是默认值，值名称为空，其数据类型为REG_SZ，数据值为%systemroot%/system32/NOTEPAD.EXE "%1数据类型注册表的数据类型主要有以下四种：显示类型（在编辑器中）数据类型说明REG_SZ字符串文本字符串REG_MULTI_SZ多字符串含有多个文本值的字符串REG_BINARY二进制数二进制值，以十六进制显示。REG_DWORD双字一个32位的二进制值，显示为8位的十六进制值。12各主键的简单介绍HKEY_LOCAL_MACHINEHKEY_LOC

38、AL_MACHINE是一个显示控制系统和软件的处理键。HKLM键保存着计算机的系统信息。它包括网络和硬件上所有的软件设置。（比如文件的位置，注册和未注册的状态，版本号等等）这些设置和用户无关，因为这些设置是针对使用这个系统的所有用户的。HKEY_LOCAL_MACHINEAppEvents为了以后在客户机上运行客户机/服务器这样的应用程序，在Win95/98中AppEvents键是空的。应用程序实际上都驻留网络服务器上，这些键会保存部分指针。HKEY_LOCAL_MACHINEConfig这个键保存着你计算机上所有不同的硬件设置（这些从控制面板的系统属性中硬件配置文件中可以创建）。这些配置在启

39、动时通常被复制到HKCC。每个配置会被用一个键（比如0001或者0002等等）来保存，每个都是一个独立的配置。如果你只有一个单一的配置，那就只会有0001这个键HKEY_LOCAL_MACHINEConfig01Display这个键表示显示的设置，如荧屏字体，窗体大小，窗体位置和分辨率等HKEY_LOCAL_MACHINEConfig01System这个键保存着系统里打印机的信息HKEY_LOCAL_MACHINEConfig01SystemCurrentControlSetControlPrintPrinters在这个键下面，有一个键是为系统上每一个打印机设置的，通过控制面板添加和删除打印机

40、会调整这个列表HKEY_LOCAL_MACHINEEnumEnum键包含启动时发现的硬件设备和那些既插即用卡的信息。Win95使用总线列举在启动时通过不同的.ini文件来检测硬件信息。那些在启动时被安装的和被检测到的硬件会显示在这里。子键包括BIOS, ESDI, FLOP, HTREE, ISAPNP, Monitor, Network, Root, SCSI, 和 VIRTUAL。子键名表示它们各自的硬件设备信息。HKEY_LOCAL_MACHINEEnumBIOSBIOS键保存着系统中所有即插即用设备的信息。它们用一套代码数列出，包括每一个键的详细说明，举例，*pnp0400是并行口LP

41、T1的键。如果LPT1并不具备即插即用功能，它就会别列入到Enum下的Root键中HKEY_LOCAL_MACHINEEnumRootRoot键包括所有非即插即用设备的信息。在这里，我们可以迅速断定哪些设备是即插即用，那些不是。比如SCSI适配器，这个设备必须符合Win95中一个键名为ForcedConfig的硬件设置，这个不会改变。HKEY_LOCAL_MACHINEEnumNetworkwin95的网络功能在这个键有详细说明，子键包括了每个已经安装的主要的服务和协议。HKEY_LOCAL_MACHINEHARDWAREhardware子键包括了两个多层的子键：DESCRIPTION键，它包

42、含了中央处理器和一个浮点处理器的信息。还有一个设备映射键，它下面的串行键列出你所有的com端口。这个hardware键仅保存超级终端程序的信息，及数学处理器和串行口。HKEY_LOCAL_MACHINENetwork这个键仅保存网络登陆信息。所有网络服务细节都保存在HKEY_LOCAL_MACHINEEnumNetwork这个键中。这个键有一个子键，logon，包括了lmlogon（本地机器登陆？0=false 1=true）的值，logonvalidated（必须登陆验证），策略处理，主登陆方式（Windows登陆 ，微软网络客户方式等），用户名和用户配置。HKEY_LOCAL_MACHIN

43、ESECURITYsecurity 有两个子键，第一个是存取（它最终致使一个远程键列出网络安全资源，存取权限等）和提供（包括列出网络地址和地址服务器），这个键被保留用在以后使用高级安全功能和NT兼容性上HKEY_LOCAL_MACHINESOFTWARE这个键列出了所有已安装的32位软件和程序的.ini文件。它包括了变化，依靠软件安装。那些程序的控制功能在这里的子键中列出。多数子键简单的列出了安装软件的版本号。子键我们在MicrosoftWindowsCurrent Version下发现了一些有意思的设置，它有如下子键：1.App paths： 你曾经安装过的所有32位软件的位置。2.Appl

44、ets, Compression, Controls Folder : 包括下控制面板象显示属性那样属性条的附件。3.Detect, explorer :很多有意思的子键如Namespace keys of Desktop和My Computer-它们指出了回收站和拨号网络的CLSID行-和提示子键可以让你建立自己的提示。4.Extensions : 一个扩展联系的列表，当前相关联的扩展名和比特定的执行文件更适合的目标类型。5.Fonts, fontsize, FS Templates :系统属性条中所选择文件系统模板， 服务器，桌面计算机或者笔记本电脑信息。6.MS-DOS Emulatio

45、n :包括一个应用程序兼容子键 为大量过时的程序二进制键所设。7.MS-DOS Options :在dos模式下的设置，如himem.sys，cd-roms等。8.Network :网络驱动的配置。9.Nls, Policies :系统管理员认为你不应该去做的事。10.Pro :所有可以登陆你计算机的用户名列表。11.在Windows启动时运行的程序的神秘之处是它们并不在开始菜单的启动文件夹中。它们在HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersion下的子键中被执行。Run : 程序在启动时运行RunOnce : windows初始化时程序在启动时

46、只运行一次，这个经常用在当安装软件之后需要重新启动系统的时候，所以这个键一般都是空的。RunServices : 它就象Run一样，但是包含了“服务”，它不象一般的程序它们是比较重要的或者是“系统”程序。但是它们不是VXDs,就象McAfee或者RegServ工作一样。RunServicesOnce : 它只运行一次，但是是“系统自身”的安装（大量的windows安装参数:通常键值包括了系统目录位置，和win95更新，可选项安装组件，和windows启动目录的子键。注意：在很多黑客木马软件中，常常在这里添加键值（一般是在Run中），这样使得木马软件可以随着windows启动而启动并且很隐秘。在

47、这里可以查看不正常的启动项和去掉无用的运行程序（比如我就很不喜欢超级解霸的自动伺服器，在这里可以去掉它）。12.SharedDLLs：共享DLL的列表，每一个都给出了在一个不可知系统的一个数字等级。13.Shell Extensions:列出了“被认可的”OLE注册条，和相应的CLSID连接。14.ShellScrap :这个包含了一个PriorityCacheformats的子键，它包括了一个空的有限值，它更象过去SmartDrive命令行参数的派生。15.Time Zones : 主键值是你现在的时区；子键定义了所以可能的时区。16.Uninstall：这个保存了程序在添加/删除程序对话框

48、的显示；子键包含了指向反安装程序的路径。和安装向导相似.）winlogon（包含了合法登陆布告的文本句）HKEY_LOCAL_MACHINESYSTEMCurrentControlSet这个子键包括设备驱动和其他服务的描述和控制。不同于windows nt，win95只包括限制驱动的控制设置信息。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl这个子键包括了win95控制面板中的信息。不要编辑这些信息，因为一些小程序的改变在很多地方，一个丢失的项会使这个系统变的不稳定HKEY_LOCAL_MACHINESYSTEMCurrentControlSe

49、tServices这个键包括了所有win95的标准服务。所有被添加的服务和设备，每个标准的服务键包括了它的设置和辨认设置。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesArbitratorsatbitrators键包括了当两个设备共同占用同样的设置需要解决的信息。四个子键包括了内存地址，冲突，DMA，I/O端口冲突和IRQ冲突。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesClassclass键包括了所有win95支持的设备classes控制，这些和你在添加新硬件出现的硬件组很类似，还包括了

50、这些设备如何安装的信息。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesinetaccs这个键包括了关于这个系统变化的ie附件的可用性，它仅在你安装过ie2。0或者更高版本才出现。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSNP32msnp32描述了客户机如何在microsoft网络中实现功能，它包括了认证过程和认证者的信息。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNWNP32nenp32键描述了windows客户如何在netwa

51、re网络中工作功能，它包括了关于认证过程和证明者的信息。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteAccess在这个键里包括需要远程工作在win95系统上的信息，有认证参数，主机信息，和为了建立一个拨号连接工作的协议信息。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMP这个键包括了所以snmp（简单网络管理协议）的参数。它包括了允许的管理，配置陷阱，和有效的团体。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVxDvx

52、d键包括了win95中所有32位虚拟设备驱动信息，win95自动管理它们，所以不必要用注册表编辑器编辑它们，所以的静态vxds用子键列出。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWebPostwebpost键包括了所有装载的internet邮局的设置，如果你连接一个isp，并且它列出载这里，你应该给自己选则一个服务器。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinsock这个键列出了当连接到internet上winnsock文件的信息，如果列出了不正确的文件，你将不会连接上int

53、ernet。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinTrustwintrust功能是检查从Internet上下载来的文件是否有病毒，它可以确保你得到干净安全的文件。HKEY_CLASSES_ROOT在注册表中HKEY_CLASSES_ROOT是系统中控制所有数据文件的项。这个在Win95和Winnt中是相通的。HKEY_CLASSES_ROOT控制键包括了所有文件扩展和所有和执行文件相关的文件。它同样也决定了当一个文件被双击时起反应的相关应用程序。HKEY_CLASSES_ROOT被用作程序员在安装软件时方便的发送信息，在Win9

54、5和Winnt中，HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareClasses是相同的。程序员在运行他们的启动程序时不需要担忧实际的位置，相反的，他们只需要在HKEY_CLASSES_ROOT中加入数据就可以了。在Windows用户图形界面下，每件事-每个文件，每个目录，每个小程序，每个连接，每个驱动-都被看做一个对象；每个对象都有确定的属性和它联系。HKCR包含着对象类型和它们属性的列表。HKCR主要的功能被设置为：一个对象类型和一个文件扩展名关联一个对象类型和一种图标关联一个对象类型和一个命令行动作的关联定义对象类型相关菜单选项和定义每一个对象类型

55、属性选项在Win95中，相关菜单就是当你鼠标右击一个对象时所弹出的菜单；属性就是当你选择属性项后一个展开的对话框。用简单术语来说就是在改变HKCR中的设置可以改变一个给定文件扩展名缺省的关联。改变一个文件类型的缺省图标，和添加或者删除给定对象类型的弹出菜单内容（或者所有的对象类型）HKCR包括了三种基本类型的子键? 或者文件扩展名子键文件扩展名子键在弹出菜单上连接文件扩展名到对象类型和相关操作，属性项，和相关操作。object 类型子键对象类型子键定义了一个对象类型在它缺省图标的项，它的弹出菜单和属性项，它的相关操作和它的CLSID连接。CLSID 子键在Windows下每件事都被用一个数字取

56、代它的名字来对待。就象人往往是用名字来处理事情一样。CLSID是标识所有列出的图标，应用程序，目录，文件类型等等对象的数字。是微软为制造商分配的，每一个都必须是唯一的。制造商将CLSID放入安装程序文件这样就可以在安装时更新注册表。注册表是应用程序进行时它们需要关于做什么的指示的数据库。比如说，假定你有一个微软Excel 7电子数据表的Word 7文档，当你在Word中双击这个电子数据表，应用程序菜单就会变成Excel的菜单而且电子数据表进入编辑状态，就好像你在Excel中一样。它是如何知道该做什么呢？每个Excel 7创建的文件都有Excel的CLSID连接。Word读这个CLSID后，到注

57、册表中寻找指示，依赖CLSID下的数据运行.DLL文件或者应用程序。CLSID子键为对象类型提供了OLE和DDE信息和图标。相关菜单，或者包含在它子键中的属性项信息。这个可能是多数让人看到后觉得“恐怖”的键。每个CLSID数必须是唯一的，实际上，为了这个目的微软已经出产了CLSID-产生程序-这个结果导致你往往得到32位16进制的数字串，除非你是程序员，否则多数部分键看起来是很枯燥的。它们包括内存管理模式，客户机/服务器配置，和OLE处理的.dll连接。关于子键的一点注解1)shell:Shell键有个一”action“子键，如同”open“一样，这里有一个command子键；command子键有一个缺省句值，它包含了运行程序的命令行。将一个”open“子键放在一个对象类型的shell子键中会在这个对象类型的弹出菜单上多出一个”