什么是注册表值及其工作原理？

系统注册表是特定于Windows的配置值集合以及与已安装的应用程序相关的常规信息。虽然了解一点注册表可以在排除各种错误和软件问题时提供大量帮助，但注册表也是一个公众混淆的主题，在某些情况下，还是犯罪分子的故意诈骗。注册表值是系统注册表中的各个条目，可以包括系统服务，图形用户界面（或GUI），驱动程序甚至输入输出内核引用的不同类型的信息。

定义注册表包含的内容

虽然其他操作系统有时与注册表具有粗略的类似，但注册表是所有Windows操作系统的特定组件，从Windows 3.1到Windows 8.除了键（注册表值的存储容器）和其他常规数据，此数据库包括以下可能的值条目：

• 二进制数据，或只能采用两个值之一（传统上为零和一个）的条目。
• 32位数字。对于little-endian和big-endian格式，也存在单独的条目类别，这些格式根据它们处理字节顺序的不同而不同。
• 64位数字。 little-endian变体存在单独的条目。
• 具有不同特征的以null结尾的字符串的三个单独类别，以及对于多个以空字符结尾的字符串序列的第三个类别。

查看注册表的条目要求您使用适当的注册表特定程序。注册表不是将所有条目和其他数据加载到单个列表中，而是将其信息组织到目录中。主要目录称为Hives，而子目录称为Keys。 Windows还提供了一个基本的文本搜索工具，使您可以查找特定信息，而无需依次单击每个文件夹。

用于检查或编辑注册表的默认程序是Regedit.exe，但第三方可以提供替代程序。一般而言，我们的恶意软件研究团队强烈反对不经意的PC用户不必要地编辑注册表。删除或修改注册表值会绕过许多内置安全功能，并可能对操作系统或各种应用程序造成永久性损坏。还必须强调的是，注册表对PC的整体性能几乎没有任何影响，除非在特殊情况下，否则不需要手动编辑。首先，在处理软件配置，安装或卸载错误的手动更正时会出现这些情况。

注册表附带的安全问题

因为注册表本质上是一个文本数据库，所以它不会减慢您的计算机的速度，即使它受到无用的附加值的负担。这种情况对于编码不良的卸载程序的程序尤为常见;卸载应用程序可能无法删除其所有注册表数据，这会导致不必要的注册表混乱。虽然这种“垃圾数据”的存在并不是特别理想，但我们的恶意软件研究人员并不认为它是安全性或性能问题的根源。

不幸的是，诈骗者和恶意软件作者已经对注册管理机构的公众混淆，并在追求利润时散布了额外的误解。最常见的诈骗软件之一是虚假的注册表清理程序，该程序声称通过清理注册表来提高PC的性能。这些程序所做的营销自夸几乎总是欺诈性的，或者至少是非常夸张的. 他们还可能通过阻止程序，劫持浏览器或降低安全设置来攻击您的PC。

RegClean是Microsoft自己的用于清理注册表的实用程序，但默认情况下不安装。与Registry Viewer一样，第三方可能会提供替代解决方案，但您应该小心识别真正的Registry清理程序和欺诈清除程序之间的差异。

由于注册表值包括所有类型程序的数据，因此恶意软件作者通常会尝试阻止对数据库的访问。特洛伊木马可能会特别阻止Regedit.exe，以及其他常见的安全工具，如Windows任务管理器。解决这一难题的标准解决方案是从外围设备启动未受感染的操作系统或以安全模式启动Windows，这两种操作都可以禁用恶意软件并允许您访问注册表编辑器。

恶意软件还可能删除或修改与某些程序关联的特定注册表值，以及与关键安全功能相关的值。这会导致关联的软件或功能无法运行 - 至少在值恢复之前。还原已删除的注册表项的最简单方法是重新安装该程序。如果您需要彻底恢复注册表的旧数据，可以使用“系统还原”将注册表“回滚”到以前的状态。只有特别勇敢的PC用户和Windows体系结构专家才能在没有任何自动化帮助的情况下编辑注册表。

有能力的反恶意软件软件将包括恶意软件删除功能，可以在您的注册表中搜索恶意值并删除它们。他们也可以恢复一些良性的特定条目，但是已被恶意修改。

在一天结束时，您的普通PC所有者无需关心注册表的内部工作。使用各种Windows工具进行的偶尔维护将提供您的注册表所需的所有“整理”。但是，了解您的PC确实需要了解有关您的注册表的基础知识。这也可以为我们的恶意软件研究人员看到的一些最常见的PC威胁提供大量的先发制人的保护。