regedit、regedit.exe regedt32、regedt32.exe  #cmd注册表

用于存储系统和应用程序的设置信息

名称、数据类型和数据

1.名称:不包括反斜线的字符、数字、代表符和空格的任意组合。同一键中不可有相同的名称

2.数据类型：包括字符串、二进制和双字节等

3.数据：值项的具体值，它的大小可以占用64KB

项值:

--------------------------------------------------------------

HKEY_CLASSES_ROOT  该根键包括启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系

驱动程序名,DDE和OLE信息,类ID,编号和应用程序与文档的图标等.

HKEY_CURRENT_USER  该根键包括当前登录用户的配置信息,包括环境变量,个人程序以及桌面设置等

HKEY_LOCAL_MACHINE  该根键包括本地计算机的系统信息,包括硬件和操作系统信息。

安全数据和计算机专用的各类软件设置信息

HKEY_USERS  该根键包括计算

机的所有用户使用的配置数据(是所有用户哦)

这些数据只有在用户登录系统时才能访问.

这些信息告诉系统当前用户使用的图标,激活的程序组,开始菜单的内容以及颜色,字体

HKEY_CURRENT_CONFIG

该根键包括当前硬件的配置信息,其中的信息是从HKEY_LOCAL_MACHINE中映射出来的

-------------------------------------------------------------------------

HKEY_CLASSES_ROOT下：

CLSID:分类标识,系统可以用这个类标识来识别相同类型的文件

Compressors:它下面有两个子项：auds:用于设置音频数据压缩程序的类标识；vids:用于设置视频数据压缩程序的类标识

RIFFHandlers:在它的下面有两个类标识：AVI：用于设置AVI文件的类标识；WAVE：用于设置WAVE文件的类标识

Shellex:包括了视频文件的外壳扩展

-----------------------------------------------------------------------------------------

HKEY_LOCAL_MACHINE

此根键中存放的是用来控制系统和软件的设置，由于这些设置是针对那些使用Windows系统的用户而设置的，是一个公共配置信息，所以它与具体的用户没多大关系。

HARDWARE:有四个子项

    1. ACPI:存放高级电源管理接口数据

    2. DEVICEMAP: 用于存放设备映射

    3. DEscriptION: 存放有关系统信息

    4. RESOURCEMAP: 用于存放资源列表

SAM子项:跟系统的存储密码有关

SECURITY子项:该子项只是为将来的高级功能而预留的

SOFTWARE子项:该子项中保留的是所有已安装的32位应用程序的信息，各个程序的控制信息分别安装在相应的子项中，由于不同的计算机安装的应用程序互不相同，因此这个子项下面的子项信息也不完全一样。

SYSTEM子项:该子项是启动时所需的信息和修复系统时所需要的信息

另外说明一点:我们转储hash时候导出的注册表就是在这个根键里面的(请参考亮神的文章)

----------------------------------------------------------------------

HKEY_USERS

此根键中保存的是默认用户（default)，当前登录用户和软件（software) 的信息.

其中DEFAULT子项是其中最重要的，它的配置是针对未来将会被创建的新用户的。

新用户根据默认用户的配置信息来生成自己的配置文件，该配置文件包括环境、屏幕和声音等多种信息

HKEY_LOCAL_MACHINE、HKEY_USERS这两个才是真正的注册表键

二进制值（reg_binary）:多数硬件信息以二进制数据存储，而以十六进制格式显示在注册表编辑器中

字符串值（reg_sz）:包括字符串的注册表键，使用字符串数据类型

双字节值（reg_dword）:是32位信息常显示成4个字节。它在出错控制功能上用处极大，其数据一般以十六进制格式显示在注册表编辑器中。

多字符串值(reg_multi_sz):允许将一系列项目作为单独的一个值使用。对于多种网络协议、多个项目、设备列表以及其他类似的列表项目来说，可以使用多字符串值可扩充字符串值（reg_expand_sz）：代表一个可扩展的字符串

-------------------------------------------------------------------------------

reg add HKCU\Mikasa /v Mikasa /t REG_SZ /d "QAQ"

参数解释:/v 值 /t 类型 /d 数据

reg add "HKCU\Mikasa" /f /v Saber /t REG_SZ /d "test"  //修改

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /f /v fDenyTSConnections /t REG_DWORD /d 0           //支持远程桌面连接

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections    #查询

导入/导出注册表

reg import c:\test.reg  //导入

reg export HKCU\Mikasa c:\test1.reg  //导出注册表

多需要管理员权限不然会发生错误

-----------------------------------------------------------

、