reg注册表基础

Windows注册表

1. 简介： 注册表是windows系统中具有层次结构的核心数据库，存储的是数据对Windows上运行的应用程序和服务至关重要。注册表是帮助Windows控制硬件、软件、用户环境和Windows界面的一套数据文件。

2. 开启 注册表编辑器

   WIN+R 输入--> regedit

3. 也可以在cmd命令行中使用reg进行注册表操作

REG Operation [Parameter List] Operation [ QUERY | ADD | DELETE | COPY | SAVE | LOAD | UNLOAD | RESTORE | COMPARE | EXPORT | IMPORT | FLAGS ]

返回代码: (除了 REG COMPARE)

0 - 成功 1 - 失败

要得到有关某个操作的帮助，请键入: REG Operation /?

例如: REG QUERY /? REG ADD /? REG DELETE /? REG COPY /? REG SAVE /? REG RESTORE /? REG LOAD /? REG UNLOAD /? REG COMPARE /? REG EXPORT /? REG IMPORT /? REG FLAGS /?翻译

4. 注册表位置

windows 注册表的位置：C:\Windows\System32\config

5. 注册表结构

6. 注册表中，所有的数据都是通过一种树状结构以键和子键的方式组织起来的，就像磁盘文件系统的目录结构一样。每个键包含一组特定的信息，每个键的键名都是和它所包含的信息相关联的。注册表的根键共有5个，且全为大写

键值 与 类型：

键值由三部分组成： 名称、类型、数据

键值类型由常用的6种组成

字符串值（REG_SZ）

二进制值（REG_BINARY）

32位值（4个字节）（REG_DWORD）

64位值（5个字节）（REG_QWORD）

多字符串值（REG_MULTI_SZ）

可扩充字符串值（REG_EXPAND_SZ）

修改注册表实现应用程序开机自启动

windows 提供了专门的开机自启动注册表。每次开启时，它都会在这个注册表键下遍历键值，获取到键值中的程序路径，并创建进程启动程序。因此只需要将需要设置自启动的程序的路径添加到这个注册表中，便可以实现程序开启自启动功能。

常见的开机自启动注册表路径：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 注意：要修改HKEY_LOCAL_MACHINE 主键的注册表需要管理员权限

• reg命令实现

一个bat脚本的路径是：C:\Scripts\MyScript.bat

@echo off 
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "MyScript" /t REG_SZ /d "C:\Scripts\MyScript.bat"

• @echo off：这行命令用于关闭命令提示符窗口中的命令回显。这样，在运行批处理文件时，命令本身不会在窗口中显示，只显示命令的结果。

• reg add：这是用于添加注册表项的主要命令。

• "HKCU\Software\Microsoft\Windows\CurrentVersion\Run"：这是要添加的注册表键的路径，HKCU代表HKEY_CURRENT_USER，表示当前用户的注册表配置单元。

• /v "MyScript"：/v参数用于指定要添加或修改的注册表值的名称。在这里，MyScript是自定义的值名称，可以根据需要修改。

• /t REG_SZ：/t参数用于指定注册表值的数据类型。REG_SZ表示这是一个以空字符结尾的字符串，通常用于存储文本信息，如文件路径等。

• /d "C:\Scripts\MyScript.bat"：/d参数用于指定注册表值的数据。在这里，就是批处理文件的完整路径。

修改注册表实现用户注销（将这个bat丢到自启动里进行无限循环注销操作）

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "ForceLogoff" /t REG_DWORD /d 1 /f

• reg add：这是用于添加注册表项的命令。

• "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"：这是要添加或修改的注册表键的路径。

• /v "ForceLogoff"：/v参数用于指定要添加或修改的注册表值的名称。这里的ForceLogoff是我们设置的用于强制注销的键值名称。

• /t REG_DWORD：/t参数用于指定注册表值的数据类型。REG_DWORD是双字节数据类型，通常用于存储整数等数据，这里用于存储注销相关的设置。

• /d 1：/d参数用于指定注册表值的数据。将ForceLogoff的值设置为1，表示启用强制注销功能。

• /f：这个参数表示强制写入，即使目标注册表项已经存在也会进行修改。

触发注销操作

• 在修改上述注册表项后，注销操作并不会立即自动执行。可以通过以下几种方式来触发注销：

  • 重新启动Explorer.exe进程：在任务管理器中，找到Explorer.exe进程，右键单击它并选择 “结束任务”。然后在任务管理器的 “文件” 菜单中选择 “新建任务（运行…）”，在输入框中输入 “Explorer.exe” 并回车，这样会重新加载Explorer.exe，系统可能会根据注册表设置进行注销操作。

当然必须有在命令行执行

taskkill /f /im Explorer.exe -- 进程终止

start explorer.exe -- 进程启动

这两个命令就完成了explorer.exe 进程的重启操作