什麼是註冊表值及其工作原理？

系統註冊表是特定於Windows的配置值集合以及與已安裝的應用程序相關的常規信息。雖然了解一點註冊表可以在排除各種錯誤和軟件問題時提供大量幫助，但註冊表也是一個公眾混淆的主題，在某些情況下，還是犯罪分子的故意詐騙。註冊表值是系統註冊表中的各個條目，可以包括系統服務，圖形用戶界面（或GUI），驅動程序甚至輸入輸出內核引用的不同類型的信息。

定義註冊表包含的內容

雖然其他操作系統有時與註冊表具有粗略的類似，但註冊表是所有Windows操作系統的特定組件，從Windows 3.1到Windows 8.除了鍵（註冊表值的存儲容器）和其他常規數據，此數據庫包括以下可能的值條目：

• 二進制數據，或只能採用兩個值之一（傳統上為零和一個）的條目。
• 32位數字。對於little-endian和big-endian格式，也存在單獨的條目類別，這些格式根據它們處理字節順序的不同而不同。
• 64位數字。 little-endian變體存在單獨的條目。
• 具有不同特徵的以null結尾的字符串的三個單獨類別，以及對於多個以空字符結尾的字符串序列的第三個類別。

查看註冊表的條目要求您使用適當的註冊表特定程序。註冊表不是將所有條目和其他數據加載到單個列表中，而是將其信息組織到目錄中。主要目錄稱為Hives，而子目錄稱為Keys。 Windows還提供了一個基本的文本搜索工具，使您可以查找特定信息，而無需依次單擊每個文件夾。

用於檢查或編輯註冊表的默認程序是Regedit.exe，但第三方可以提供替代程序。一般而言，我們的惡意軟件研究團隊強烈反對不經意的PC用戶不必要地編輯註冊表。刪除或修改註冊表值會繞過許多內置安全功能，並可能對操作系統或各種應用程序造成永久性損壞。還必須強調的是，註冊表對PC的整體性能幾乎沒有任何影響，除非在特殊情況下，否則不需要手動編輯。首先，在處理軟件配置，安裝或卸載錯誤的手動更正時會出現這些情況。

註冊表附帶的安全問題

因為註冊表本質上是一個文本數據庫，所以它不會減慢您的計算機的速度，即使它受到無用的附加值的負擔。這種情況對於編碼不良的卸載程序的程序尤為常見;卸載應用程序可能無法刪除其所有註冊表數據，這會導致不必要的註冊表混亂。雖然這種“垃圾數據”的存在並不是特別理想，但我們的惡意軟件研究人員並不認為它是安全性或性能問題的根源。

不幸的是，詐騙者和惡意軟件作者已經對註冊管理機構的公眾混淆，並在追求利潤時散佈了額外的誤解。最常見的詐騙軟件之一是虛假的註冊表清理程序，該程序聲稱通過清理註冊表來提高PC的性能。這些程序所做的營銷自誇幾乎總是欺詐性的，或者至少是非常誇張的. 他們還可能通過阻止程序，劫持瀏覽器或降低安全設置來攻擊您的PC。

RegClean是Microsoft自己的用於清理註冊表的實用程序，但默認情況下不安裝。與Registry Viewer一樣，第三方可能會提供替代解決方案，但您應該小心識別真正的Registry清理程序和欺詐清除程序之間的差異。

由於註冊表值包括所有類型程序的數據，因此惡意軟件作者通常會嘗試阻止對數據庫的訪問。特洛伊木馬可能會特別阻止Regedit.exe，以及其他常見的安全工具，如Windows任務管理器。解決這一難題的標準解決方案是從外圍設備啟動未受感染的操作系統或以安全模式啟動Windows，這兩種操作都可以禁用惡意軟件並允許您訪問註冊表編輯器。

惡意軟件還可能刪除或修改與某些程序關聯的特定註冊表值，以及與關鍵安全功能相關的值。這會導致關聯的軟件或功能無法運行 - 至少在值恢復之前。還原已刪除的註冊表項的最簡單方法是重新安裝該程序。如果您需要徹底恢復註冊表的舊數據，可以使用“系統還原”將註冊表“回滾”到以前的狀態。只有特別勇敢的PC用戶和Windows體系結構專家才能在沒有任何自動化幫助的情況下編輯註冊表。

有能力的反惡意軟件軟件將包括惡意軟件刪除功能，可以在您的註冊表中搜索惡意值並刪除它們。他們也可以恢復一些良性的特定條目，但是已被惡意修改。

在一天結束時，您的普通PC所有者無需關心註冊表的內部工作。使用各種Windows工具進行的偶爾維護將提供您的註冊表所需的所有“整理”。但是，了解您的PC確實需要了解有關您的註冊表的基礎知識。這也可以為我們的惡意軟件研究人員看到的一些最常見的PC威脅提供大量的先發製人的保護。