注册表大概结构

注册表剖析
HKCR([color=red]H[/color][color=red]K[/color]EY_[color=red]C[/color]LASSES_[color=red]R[/color]OOT)
包含与OLE和文件关联有关的信息。

HKCU
用来管理与当前登录到系统的用户有关的信息。
用户的桌面以及windowsNTserver 对用户呈现的外观和行为。
与所有网络设备的链接，例如打印机，共享磁盘空间等资源。
桌面程序项，应用程序参数选择项，屏幕颜色等其他一些个人偏好，以及安全权限。
这些信息都被保存起来一共用户登录时系统进行检索使用。

HKLM
包含正在运行windowsNT的计算机的信息，包括应用程序，驱动程序以及硬件信息。


Hardware-用来保存计算机硬件信息的键。
每次系统的引导时Hardware键都要重新创建，这样系统中添加硬件就很容易了。
对hardware键进行的修改既没有任何意义也不会生效。

HARDWARE子键。
Description--包括cpu.fpu和系统总线等一些系统信息。system bus下则是关于i/o存储以及其他设备信息。
Devicemap --键中的信息与键盘、打印机端口、鼠标等设备相关。
Ownermap --键中包含其他一些PCI-based设备信息，例如SCSI,NIC,显卡。
Resourcemap--键中包含的是HAL（硬件抽象层）的信息。还有有关i/o设备，驱动程序，SCSI适配卡，系统资源以及视频资源的信息。
Sam --安全账户管理器，把用户和域信息存储在SAM中，无论使用哪种编辑器，SAM中的信息都是不可访问的。系统管理员的用户管理器程序用来来管理SAM信息。
Security --键中的信息与本地安全性和用户权限有关。Security键中有sam键的副本。和sam一样，用户无法通过资源编辑器访问security键，而只能用系统管理员的工具进行修改。
Software --键中包含已安装的系统软件和用户软件的信息，以及相应的描述信息。对应每一种安装的软件产品都有一个子键与之对应，用来存放参数选择信息，配置信息，MRU（most recently used files,最近使用的文件）列表，以及其他的一些应用程序可修改的目录。
System --包含的是与系统启动、设备驱动程序、服务和windowsNT4server配置有关的信息。


HKU
两个键
1、.default
2、当前用户ID

.deault为那些没有用户配置文件的登录用户而设置的。

个人配置文件保存在%systemroot%\Profiles文件夹中。但是原始备份保存在服务器上。

HKCC
首次出现在WindowsNT4中。它包含着系统当前的配置信息。
这些信息来源于HKLM\system和HKLM\software键，但HKCC中只保存了原键中的部分信息。


HKLM——计算机的配置信息

多个进程可以对此分支进行更新，例如控制面板，硬件和软件安装程序，管理工具等，windows NT有时也会自动更新HKLM。