機碼架構
HKEY_USERS:
.DEFAULT這個子機碼記錄了Windows使用者預設的個人設定

HKEY_CURRENT_USER
主要儲存目前登入Windows XP的使用者資料以及個人化的設定(如桌面設定、軟體設定,開始功能表設定等),故其會隨著登人的使用者的不同而改變。
Control Panel子機碼:記錄使用者的操作設定(如桌面背景、視窗外觀等),幾乎所有控制台中的設定都儲存於此。
Software子機碼:記錄使用者在XP中所安裝的軟體設定,Windows本身內建的功能也在此處設定。

HKEY_LOCAL_MACHINE
記錄系統資訊(如硬體組態、週邊裝置、網路設定、安裝的軟體等),是五個主機碼中最重要、最龐大的機碼。
HARDWARE子機碼:記錄XP所偵測到的硬體相關的各項資訊(如驅動程式等),更動裝置管理員裡的硬體設定時,此機碼的相關設定也會變動。
SAM,SECURITY子機碼:記錄XP的使用者和群組帳戶及相關的系統安全設定、權限指派等。一般情況下,使用者無法存取此機碼的內容,因此在這兩個機碼下,不會看到登錄值。
SOFTWARE子機碼:記錄已安裝各項軟體的資訊,和HKEY_CURRENT_USER\SoftWare機碼不同的地方在於此機碼的影響範圍較大,及於系統下所有的使用者。
SYSTEM子機碼:記錄系統啟動、驅動程式載入等與作業系統本身相關的各項設定資訊。

HKEY_CLASSES_ROOT
記錄所有的檔案類型、檔案關聯、圖示、副檔名等資訊。

HKEY_CURRENT_CONFIG
記錄目前硬體的設定值。因Windows XP支援「多硬體設定檔」功能,使用者可在系統中建立多個硬體設定檔,然後自由切換要套用的設定。
HKEY_CURRENT_CONFIG是目前系統所使用的硬體設定,其他硬體設定記錄於HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles機碼下。

登入值資料類型
字串值:REG_SZ
二進位值:REG_BINARY(16進位)
DWORD值:REG_DWORD(2或16進位)
多字串值:REG_MULTI_SZ(可輸入比REG_SZ更長的內容)
可擴充字串值:REG_EXPAND_SZ(通常只用在指定資料儲存的路徑,內容會隨系統設定而自行改變)

登入檔儲存位置
登入檔由許多稱為「Hive」的檔案構成,與登入編輯程式(regedit)不同,每個Hive檔中包含了一部份的機碼和登錄值,藉由登錄編輯程式的整合,才能呈現登錄檔的全貌。
然並非所有的機碼都有對應的Hive檔,只有HKEY_USERS及HKEY_LOCAL_MACHINE有專屬的Hive檔。











































機碼名稱 Hive檔儲存路徑 Hive檔名
HKLM\SAM %SYSTEMROOT%\system32\config SAM
HKLM\SECURITY %SYSTEMROOT%\system32\config SECURITY
HKLM\SOFTWARE %SYSTEMROOT%\system32\config software
HKLM\SYSTEM %SYSTEMROOT%\system32\config system
HKU\.DEFAULT %SYSTEMROOT%\system32\config default
HKU\S-15-18 %USERPROFILE% Ntuser.dat
HKU\S-15-18_Classes %USERPROFILE%\LocalSettings\ApplicationData\Microsoft\Windows UserClass.dat


其中HKLM\Hardware是系統目前的硬體設定檔所動態產生的,因此沒有專屬的Hive檔
%SYSTEMROOT%:系統檔案的安裝資料夾
%USERPROFILE%:目前登入使用者的個人資料夾

arrow
arrow
    全站熱搜

    jck11 發表在 痞客邦 留言(1) 人氣()