Win2000與WinXP的REGEDIT登錄編輯的說明

[ian78]

Win2000與WinXP的REGEDIT登錄編輯的說明

WINDOWS2000和XP的系統登錄是以一種向下的結構來組織成四個階層：
一、HIVE KEYS（群機碼）：
共有五個系統所定義的HIVE KEYS, 其名稱的第一個部份都是HKEY_。
這五個群機碼就是：
HKEY_LOCAL_MACHINE
HKEY_CURRENT_USER
HKEY_CLASSES_ROOT
HLEY_USERS
HKEY_CURRENT_CONFIG

二、KEYS（機碼）：
可分為使用者定義的KEYS和系統定義的KEYS, 沒有特定的命名格式，
同時存在於HIVE KEYS的子目錄中。

三、SUBKEYS（子機碼）：
具有使用者定義的SUBKEYS。亦無特定的命名格式，
存在於使用者定義的KEYS和系統定義的KEYS的子目錄中。
（備註）KEYS和SUBKEYS只提供組織資料存取之用。

四、values（值）：
這個階層的元件位在整個鏈結的未端（有點像是拆了三層包裝後，才發現禮物是什

麼），
其中更包含了用於電腦和其應用程式性能表現上的實際資料。



現在，我們就來看看這五個HKEY_所包含的資訊是什麼，看看他們是怎麼和2000及

XP系統產生互動的。

一、HKEY_LOCAL_MACHINE
這個群機碼包含了OS和硬體結構資料，像是BUS型式、可用的系統記憶體、
哪一個驅動程式已經登進載入、和啟動控制資等。它包含了在系統登錄上的絕大部

份資料。

二、HKEY_CURRENT_USER
這個群機碼包含了目前登入的使用者的基本資料。其子機碼包含了環境變數、個人

程式群、桌面設定、
網路連結、印表機和應用程式設定項目。這個透過和HKEY_USER的安全身份（SID）

子機碼來作對應，
並提供給目前的使用者來使用。

三、HKEY_CLASSES_ROOT
它的子機碼列出了所有目前登錄在電腦中的COM（元件）伺服器和所有與目前應用

程式相關的延伸檔案。
備註：這項資料是由HKEY_LOCAL_MACHINE\SOFTWARE\Classes子機碼對應而來。

四、HKEY_USERS
這個群機碼中的SUBKEYS包含了所有使用者的資料。每一個使用者擁有兩個子機碼

，
一個經由使用者的SID對應至HKEY_CURRENT_USER，而另一個子機碼包含了在使用者

登錄之前
所使用的資料===>HKEY_USER\DEFAULT。

五、HKEY_CURRENT_CONFIG
這個群機碼的子機碼列出了目前電腦所使用的所有硬體的檔案資料。
備註：這項資料是由HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet子機碼對應

而來。


由以上五點，我們可以發現，HKEY_CLASSES_ROOT和
HKEY_CURRENT_CONFIG這兩個群機碼是由HKEY_LOCAL_MACHINE對應延申而來的，
所以，嚴格說起來，2000和XP的群機碼應該只有三個，
就是HKEY_LOCAL_MACHINE、HKEY_CURRENT_USER和HKEY_USERS。


下面我們再來談談2000和XP的資料型式。
由於REGISTRY就像是一種小型的關聯式資料庫，
所以，這個資料庫也必須透過一種嚴謹的資料型式來作聯結。鄙人目前所辨識出來

的共有十一種：

1、資料型式：REG_REXOURCE_REQUREMENTS_LIST 原始型式：字串
功能：硬體ID

2、資料型式：REG_FULL_RESOURCE_DESCRIPTOR 原始型式：字串
功能：硬體ID

3、資料型式：REG_RESOURCE_LOST 原始型式：字串　　　
功能：硬體清單

4、資料型式：REG_MULTI_SZ 原始型式：多重字串
功能：字串陣列

5、資料型式：REG_LING 原始型式：字串
功能：檔案路徑　

6、資料型式：REG_DWORD_BIG_ENDING 原始型式：數字
功能：非Intel數字

7、資料型式：REG_DWORD 原始型式：數字
功能：數字資料

8、資料型式：REG_BINARY 原始型式：二進位 功能：二進位資料

9、資料型式：REG_SZ 原始型式：字串
功能：文字字元(無變數)

10、資料型式：REG_EXPAND_SZ 原始型式：字串 　 功能：俱變數的文字字元

11、資料型式：REG_NONE 原始型式：未知
功能：譯碼資料

每一種原始型在REGEDIT32.EXE中都有特定的編緝器，分別是字串、多重字串、二

進位和DWORD這些編緝器。