注册表是一个分层数据库,包含以下核心层级:
这些是注册表的顶级目录,每个都有特定用途:
HKEY_CLASSES_ROOT (HKCR)
HKLM\SOFTWARE\Classes 和 HKCU\SOFTWARE\Classes 的合并视图.txt(文件扩展名)→ 关联程序HKEY_CURRENT_USER (HKCU)
HKU\<用户SID> 的链接%USERPROFILE%\NTUSER.DATHKEY_LOCAL_MACHINE (HKLM)
%SystemRoot%\System32\config\ 下的多个HIVE文件SYSTEM:系统启动、设备驱动SOFTWARE:已安装软件HARDWARE:硬件信息(易失性)SECURITY:安全策略SAM:用户账户数据库HKEY_USERS (HKU)
.DEFAULT(默认用户模板)、各用户SID子键HKEY_CURRENT_CONFIG (HKCC)
HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 的链接每个键可以包含多个值,类型包括:
REG_SZ:字符串值(最常用),如程序路径REG_EXPAND_SZ:含环境变量的字符串,如%SystemRoot%REG_MULTI_SZ:多行字符串数组,用\0分隔REG_DWORD:32位整数(十六进制/十进制),如0x00000001REG_QWORD:64位整数REG_BINARY:二进制数据,以十六进制显示REG_NONE:无类型数据REG_LINK:符号链接(内部使用)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLMSOFTWARE\Microsoft\Windows\CurrentVersionRunREG_SZ)→ 可执行文件路径(开机自动启动)HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - 系统启动项(所有用户)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - 用户启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - 仅运行一次
HKCR\.txt → HKCR\txtfile → shell\open\command 包含程序路径HKLM\SYSTEM\CurrentControlSet\Control - 关键控制系统行为HKCU\Control Panel\Desktop - 桌面和外观设置gpedit.msc)或控制面板
权限最小化:避免直接修改HKLM,优先使用HKCU
创建还原点:系统保护 → 创建还原点
regedit # 打开注册表编辑器
reg query "HKLM\Software" /s | findstr "值" # 命令行查询
reg add "HKCU\Test" /v Data /t REG_SZ /d "示例"
reg delete "HKCU\Test" /f
reg export "HKCU\Software" backup.reg # 导出完全控制)sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth.reg文件导入SYSTEM/SOFTWARE等HIVE文件NTUSER.DATHKLM\SYSTEM\CurrentControlSet\Control → RegistrySizeLimit⚠️ 避免使用"注册表清理器",可能导致:
程序应遵循:
用户设置 →HKCU\Software\公司名\产品名
机器设置 → HKLM\SOFTWARE\公司名\产品名
卸载信息 → HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
64位系统注意:部分32位程序会重定向到HKLM\SOFTWARE\WOW6432Node
掌握注册表结构有助于深度系统定制和故障诊断,但修改时务必谨慎。
