WEB开发网
开发学院网络安全黑客技术 解密教学---第5章 函数、资源与注册表 阅读

解密教学---第5章 函数、资源与注册表

 2006-12-04 20:11:00 来源:WEB开发网   
核心提示:第一节 Win32 API 函数1、限制程序功能函数1、EnableMenuItem允许、禁止或变灰指定的菜单条目2、EnableWindow允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰)2、对话框函数CreateDialog从资源模板建立一非模态对话窗CreateDialogParam 从资源模板建立一非模

第一节 Win32 API 函数

1、限制程序功能函数

1、EnableMenuItem允许、禁止或变灰指定的菜单条目
2、EnableWindow允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰)

2、对话框函数

CreateDialog从资源模板建立一非模态对话窗
CreateDialogParam 从资源模板建立一非模态对话窗
CreateDialogIndirect 从内存模板建立一非模态对话窗
CreateDialogIndirectParam从内存模板建立一非模态对话窗
DialogBox 从资源模板建立一模态对话窗
DialogBoxParam 从资源模板建立一模态对话窗
DialogBoxIndirect从内存模板建立一模态对话窗
DialogBoxIndirectParam从内存模板建立一模态对话窗
EndDialog结束一模态对话窗
MessageBox 显示一信息对话框
MessageBoxEx 显示一信息对话框
MessageBoxIndirect显示一定制信息对话框
GetDlgItemInt 得指定输入框整数值
GetDlgItemText得指定输入框输入字符串
GetDlgItemTextA 得指定输入框输入字符串
Hmemcpy 内存复制 (非应用程序直接调用)

3、磁盘处理函数

GetDiskFreeSpaceA获取与一个磁盘的组织有关的信息,以及了解剩余空间的容量
GetDiskFreeSpaceExA获取与一个磁盘的组织以及剩余空间容量有关的信息
GetDriveTypeA 判断一个磁盘驱动器的类型
GetLogicalDrives 判断系统中存在哪些逻辑驱动器字母
GetFullPathNameA获取指定文件的详细路径
GetVolumeInformationA 获取与一个磁盘卷有关的信息
GetWindowsDirectoryA获取Windows目录的完整路径名
GetSystemDirectoryA取得Windows系统目录(即System目录)的完整路径名

4、文件处理函数

CreateFileA打开和创建文件、管道、邮槽、通信服务、设备以及控制台
OpenFile这个函数能执行大量不同的文件操作
ReadFile从文件中读出数据
ReadFileEx与ReadFile相似,只是它只能用于异步读操作,并包含了一个完整的回调
WriteFile将数据写入一个文件
WriteFileEx 与WriteFile类似,只是它只能用于异步写操作,并包括了一个完整的回调
SetFilePointer在一个文件中设置当前的读写位置
SetEndOfFile针对一个打开的文件,将当前文件位置设为文件末尾
CloseHandle 关闭一个内核对象。其中包括文件、文件映射、进程、线程、安全和同步对象等
_lcreat创建一个文件
_lopen以二进制模式打开指定的文件
_lread将文件中的数据读入内存缓冲区
_lwrite 将数据从内存缓冲区写入一个文件
_llseek设置文件中进行读写的当前位置
_lclose关闭指定的文件
_hread 将文件中的数据读入内存缓冲区
_hwrite将数据从内存缓冲区写入一个文件
OpenFileMappingA打开一个现成的文件映射对象
CreateFileMappingA创建一个新的文件映射对象
MapViewOfFile将一个文件映射对象映射到当前应用程序的地址空间
MapViewOfFileEx (内容同上)
CreateDirectoryA创建一个新目录
CreateDirectoryExA创建一个新目录
RemoveDirectoryA删除指定目录
SetCurrentDirectoryA设置当前目录
MoveFileA移动文件
DeleteFileA删除指定文件
CopyFileA复制文件
CompareFileTime对比两个文件的时间
SetFileAttributesA设置文件属性
SetFileTime设置文件的创建、访问及上次修改时间
FindFirstFileA根据文件名查找文件
FindNextFileA根据调用FindFirstFile函数时指定的一个文件名查找下一个文件
FindClose关闭由FindFirstFile函数创建的一个搜索句柄
SearchPathA查找指定文件
GetBinaryTypeA判断文件是否可以执行
GetFileAttributesA 判断指定文件的属性
GetFileSize判断文件长度
GetFileTime取得指定文件的时间信息
GetFileType 在给出文件句柄的前提下,判断文件类型

5、注册表处理函数

RegOpenKeyA 打开一个现有的注册表项
RegOpenKeyExA 打开一个现有的注册表项
RegCreateKeyA在指定的项下创建或打开一个项
RegCreateKeyExA在指定项下创建新项的更复杂的方式
RegDeleteKeyA删除现有项下方一个指定的子项
RegDeleteValueA删除指定项下方的一个值
RegQueryValueA获取一个项的设置值
RegQueryValueExA获取一个项的设置值
RegSetValueA设置指定项或子项的值
RegSetValueExA设置指定项的值
RegCloseKey关闭系统注册表中的一个项(或键)

6、时间处理函数

CompareFileTime 比较两文件时间
GetFileTime得文件建立,最后访问,修改时间
GetLocalTime得当前本地时间
GetSystemTime得当前系统时间
GetTickCount得windows启动至现时毫秒
SetFileTime设置文件时间
SetLocalTime设置本地时间
SetSystemTime设置系统时间

7、进程函数

CreateProcessA 创建一个新进程
ExitProcess以干净的方式关闭一个进程
FindExecutableA查找与一个指定文件关联在一起的程序的文件名
FreeLibray释放指定的动态链库
GetCurrentProcess获取当前进程的一个伪句柄
GetCurrentProcessId获取当前进程一个唯一的标识符
GetCurrentThread获取当前线程的一个伪句柄
GetExitCodeProces获取一个已结束进程的退出代码
GetExitCodeThread获取一个已结束线程的退出代码
GetModuleHandleA 获取一个应用程序或动态链接库的模块句柄
GetPriorityClassA获取特定进程的优先级别
LoadLibraryA 载入指定的动态链接库,并将它映射到当前进程使用的地址空间
LoadLibraryExA装载指定的动态链接库,并为当前进程把它映射到地址空间
LoadModule 载入一个windows应用程序,并在指定的环境中运行
TerminateProcess结束一个进程

8、断点设置列表

一般处理bpx hmemcpy
bpx MessageBox
bpx MessageBoxExA
bpx MessageBeep
bpx SendMessage
bpx GetDlgItemText
bpx GetDlgItemInt
bpx GetWindowText
bpx GetWindowWord
bpx GetWindowInt
bpx DialogBoxParamA
bpx CreateWindow
bpx CreateWindowEx
bpx ShowWindow
bpx UpdateWindow
bmsg xxxx wm_move
bmsg xxxx wm_gettext
bmsg xxxx wm_command
bmsg xxxx wm_activate
时间相关bpint 21 if ah==2A (DOS)
bpx GetLocalTime
bpx GetFileTime
bpx GetSystemtime
CD-ROM 或 磁盘相关bpint 13 if ah==2 (DOS)
bpint 13 if ah==3 (DOS)
bpint 13 if ah==4 (DOS)
bpx GetFileAttributesA
bpx GetFileSize
bpx GetDriveType
bpx GetLastError
bpx ReadFile
bpio -h (Your CD-ROM Port Address) R
软件狗相关bpio -h 278 R
bpio -h 378 R
键盘输入相关bpint 16 if ah==0 (DOS)
bpint 21 if ah==0xA (DOS)
文件访问相关bpint 21 if ah==3dh (DOS)
bpint 31 if ah==3fh (DOS)
bpint 21 if ah==3dh (DOS)
bpx ReadFile
bpx WriteFile
bpx CreateFile
bpx SetFilePointer
bpx GetSystemDirectory
INI 初始化文件相关bpx GetPrivateProfileString
bpx GetPrivateProfileInt
bpx WritePrivateProfileString
bpx WritePrivateProfileInt
注册表相关bpx RegCreateKey
bpx RegDeleteKey
bpx RegQueryValue
bpx RegCloseKey
bpx RegOpenKey
注册标志相关bpx cs:eip if EAX==0
内存标准相关bpmb cs:eip rw if 0x30:0x45AA==0
显示相关bpx 0x30:0x45AA do "d 0x30:0x44BB"
bpx CS:0x66CC do "? EAX"

第二节 Windows消息

Windows是一消息(Message)驱动式系统,Windows消息提供了应用程序与应用程序之间、应用程序与Windows系统之间进行通讯的手段。应用程序要实现的功能由消息来触发,并靠对消息的响应和处理来完成。Windows系统中有两种消息队列,一种是系统消息队列,另一种是应用程序消息队列。计算机的所有输入设备由 Windows监控,当一个事件发生时,Windows先将输入的消息放入系统消息队列中,然后再将输入的消息拷贝到相应的应用程序队列中,应用程序中的消息循环从它的消息队列中检索每一个消息并发送给相应的窗口函数中。一个事件的发生,到达处理它的窗口函数必须经历上述过程。值得注意的是消息的非抢先性,即不论事件的急与缓,总是按到达的先后排队(一些系统消息除外),这就使得一些外部实时事件可能得不到及时的处理。
  由于Windows本身是由消息驱动的,所以解密时跟踪一个消息会得到相当底层的答案。举一个例子来说明这个问题,打开记事本程序,该程序有一个File菜单,那么,在运行该应用程序的时候,如果用户单击了File菜单里New命令时,这个动作将被Windows (而不是应用程序本身!)所捕获,Windows经过分析得知这个动作应该由上面所说的那个应用程序去处理,既然是这样,Windows就发送了个叫做WM_COMMAND的消息给应用程序,该消息所包含信息告诉应用程序:"用户单击了New菜单",应用程序得知这一消息之后,采取相应的动作来响应它,这个过程称为消息处理。Windows为每一个应用程序(确切地说是每一个线程)维护了相应的消息队列,应用程序的任务就是不停的从它的消息队列中获取消息,分析消息和处理消息,直到一条接到叫做WM_QUIT消息为止,这个过程通常是由一种叫做消息循环的程序结构来实现的。

(下文摘自中国软件,作者不详,请作者与本站联系)
  消息本身是作为一个记录传递给应用程序的,这个记录中包含了消息的类型以及其他信息。例如,对于单击鼠标所产生的消息来说,这个记录中包含了单击鼠标时的坐标。这个记录类型叫做T M s g,它在Wi n d o w s单元中是这样声明的:
type
TMsg = packed record
hwnd: HWND; / /窗口句柄
message: UINT; / /消息常量标识符
wParam: WPA R A M ; // 32位消息的特定附加信息
lParam: LPA R A M ; // 32位消息的特定附加信息
time: DWORD; / /消息创建时的时间
pt: TPoint; / /消息创建时的鼠标位置
end;
消息中有什么?
是否觉得一个消息记录中的信息像希腊语一样?如果是这样,那么看一看下面的解释:
hwnd 32位的窗口句柄。窗口可以是任何类型的屏幕对象,因为Win32能够维护大多数可视对象的句柄(窗口、对话框、按钮、编辑框等)。
message 用于区别其他消息的常量值,这些常量可以是Windows单元中预定义的常量,也可以是自定义的常量。
wParam 通常是一个与消息有关的常量值,也可能是窗口或控件的句柄。
lParam 通常是一个指向内存中数据的指针。由于WParm、lParam和Pointer都是32位的,因此,它们之间可以相互转换。
WM_NULL = $0000;
WM_CREATE = $0001;
应用程序创建一个窗口
WM_DESTROY = $0002;
一个窗口被销毁
WM_MOVE = $0003;
移动一个窗口
WM_SIZE = $0005;
改变一个窗口的大小
WM_ACTIVATE = $0006;
一个窗口被激活或失去激活状态;
WM_SETFOCUS = $0007;
获得焦点后
WM_KILLFOCUS = $0008;
失去焦点
WM_ENABLE = $000A;
改变enable状态
WM_SETREDRAW = $000B;
设置窗口是否能重画
WM_SETTEXT = $000C;
应用程序发送此消息来设置一个窗口的文本
WM_GETTEXT = $000D;
应用程序发送此消息来复制对应窗口的文本到缓冲区
WM_GETTEXTLENGTH = $000E;
得到与一个窗口有关的文本的长度(不包含空字符)
WM_PAINT = $000F;
要求一个窗口重画自己
WM_CLOSE = $0010;
当一个窗口或应用程序要关闭时发送一个信号
WM_QUERYENDSESSION = $0011;
当用户选择结束对话框或程序自己调用ExitWindows函数
WM_QUIT = $0012;
用来结束程序运行或当程序调用postquitmessage函数
WM_QUERYOPEN = $0013;
当用户窗口恢复以前的大小位置时,把此消息发送给某个图标
WM_ERASEBKGND = $0014;
当窗口背景必须被擦除时(例在窗口改变大小时)
WM_SYSCOLORCHANGE = $0015;
当系统颜色改变时,发送此消息给所有顶级窗口
WM_ENDSESSION = $0016;
当系统进程发出WM_QUERYENDSESSION消息后,此消息发送给应用程序,
通知它对话是否结束
WM_SYSTEMERROR = $0017;
WM_SHOWWINDOW = $0018;
当隐藏或显示窗口是发送此消息给这个窗口
WM_ACTIVATEAPP = $001C;
发此消息给应用程序哪个窗口是激活的,哪个是非激活的;
WM_FONTCHANGE = $001D;
当系统的字体资源库变化时发送此消息给所有顶级窗口
WM_TIMECHANGE = $001E;
当系统的时间变化时发送此消息给所有顶级窗口
WM_CANCELMODE = $001F;
发送此消息来取消某种正在进行的摸态(操作)
WM_SETCURSOR = $0020;
如果鼠标引起光标在某个窗口中移动且鼠标输入没有被捕获时,就发消息给某个窗口
WM_MOUSEACTIVATE = $0021;
当光标在某个非激活的窗口中而用户正按着鼠标的某个键发送此消息给当前窗口
WM_CHILDACTIVATE = $0022;
发送此消息给MDI子窗口当用户点击此窗口的标题栏,或当窗口被激活,移动,改变大小
WM_QUEUESYNC = $0023;
此消息由基于计算机的训练程序发送,通过WH_JOURNALPALYBACK的hook程序
分离出用户输入消息
WM_GETMINMAXINFO = $0024;
此消息发送给窗口当它将要改变大小或位置;
WM_PAINTICON = $0026;
发送给最小化窗口当它图标将要被重画
WM_ICONERASEBKGND = $0027;
此消息发送给某个最小化窗口,仅当它在画图标前它的背景必须被重画
WM_NEXTDLGCTL = $0028;
发送此消息给一个对话框程序去更改焦点位置
WM_SPOOLERSTATUS = $002A;
每当打印管理列队增加或减少一条作业时发出此消息
WM_DRAWITEM = $002B;
当button,combobox,listbox,menu的可视外观改变时发送
此消息给这些空件的所有者
WM_MEASUREITEM = $002C;
当button, combo box, list box, list view control, or menu item 被创建时
发送此消息给控件的所有者
WM_DELETEITEM = $002D;
当the list box 或 combo box 被销毁 或 当 某些项被删除通过LB_DELETESTRING, LB_RESETCONTENT, CB_DELETESTRING, or CB_RESETCONTENT 消息
WM_VKEYTOITEM = $002E;
此消息有一个LBS_WANTKEYBOARDINPUT风格的发出给它的所有者来响应WM_KEYDOWN消息
WM_CHARTOITEM = $002F;
此消息由一个LBS_WANTKEYBOARDINPUT风格的列表框发送给他的所有者来响应WM_CHAR消息
WM_SETFONT = $0030;
当绘制文本时程序发送此消息得到控件要用的颜色
WM_GETFONT = $0031;
应用程序发送此消息得到当前控件绘制文本的字体
WM_SETHOTKEY = $0032;
应用程序发送此消息让一个窗口与一个热键相关连
WM_GETHOTKEY = $0033;
应用程序发送此消息来判断热键与某个窗口是否有关联
WM_QUERYDRAGICON = $0037;
此消息发送给最小化窗口,当此窗口将要被拖放而它的类中没有定义图标,应用程序能
返回一个图标或光标的句柄,当用户拖放图标时系统显示这个图标或光标
WM_COMPAREITEM = $0039;
发送此消息来判定combobox或listbox新增加的项的相对位置
WM_GETOBJECT = $003D;
WM_COMPACTING = $0041;
显示内存已经很少了
WM_WINDOWPOSCHANGING = $0046;
发送此消息给那个窗口的大小和位置将要被改变时,来调用setwindowpos函数或其它窗口管理函数
WM_WINDOWPOSCHANGED = $0047;
发送此消息给那个窗口的大小和位置已经被改变时,来调用setwindowpos函数或其它窗口管理函数
WM_POWER = $0048;(适用于16位的windows)
当系统将要进入暂停状态时发送此消息
WM_COPYDATA = $004A;
当一个应用程序传递数据给另一个应用程序时发送此消息
WM_CANCELJOURNAL = $004B;
当某个用户取消程序日志激活状态,提交此消息给程序
WM_NOTIFY = $004E;
当某个控件的某个事件已经发生或这个控件需要得到一些信息时,发送此消息给它的父窗口
WM_INPUTLANGCHANGEREQUEST = $0050;
当用户选择某种输入语言,或输入语言的热键改变
WM_INPUTLANGCHANGE = $0051;
当平台现场已经被改变后发送此消息给受影响的最顶级窗口
WM_TCARD = $0052;
当程序已经初始化windows帮助例程时发送此消息给应用程序
WM_HELP = $0053;
此消息显示用户按下了F1,如果某个菜单是激活的,就发送此消息个此窗口关联的菜单,否则就
发送给有焦点的窗口,如果当前都没有焦点,就把此消息发送给当前激活的窗口
WM_USERCHANGED = $0054;
当用户已经登入或退出后发送此消息给所有的窗口,当用户登入或退出时系统更新用户的具体
设置信息,在用户更新设置时系统马上发送此消息;
WM_NOTIFYFORMAT = $0055;
公用控件,自定义控件和他们的父窗口通过此消息来判断控件是使用ANSI还是UNICODE结构
在WM_NOTIFY消息,使用此控件能使某个控件与它的父控件之间进行相互通信
WM_CONTEXTMENU = $007B;
当用户某个窗口中点击了一下右键就发送此消息给这个窗口
WM_STYLECHANGING = $007C;
当调用SETWINDOWLONG函数将要改变一个或多个 窗口的风格时发送此消息给那个窗口
WM_STYLECHANGED = $007D;
当调用SETWINDOWLONG函数一个或多个 窗口的风格后发送此消息给那个窗口
WM_DISPLAYCHANGE = $007E;
当显示器的分辨率改变后发送此消息给所有的窗口
WM_GETICON = $007F;
此消息发送给某个窗口来返回与某个窗口有关连的大图标或小图标的句柄;
WM_SETICON = $0080;
程序发送此消息让一个新的大图标或小图标与某个窗口关联;
WM_NCCREATE = $0081;
当某个窗口第一次被创建时,此消息在WM_CREATE消息发送前发送;
WM_NCDESTROY = $0082;
此消息通知某个窗口,非客户区正在销毁
WM_NCCALCSIZE = $0083;
当某个窗口的客户区域必须被核算时发送此消息
WM_NCHITTEST = $0084;//移动鼠标,按住或释放鼠标时发生
WM_NCPAINT = $0085;
程序发送此消息给某个窗口当它(窗口)的框架必须被绘制时;
WM_NCACTIVATE = $0086;
此消息发送给某个窗口 仅当它的非客户区需要被改变来显示是激活还是非激活状态;
WM_GETDLGCODE = $0087;
发送此消息给某个与对话框程序关联的控件,widdows控制方位键和TAB键使输入进入此控件
通过响应WM_GETDLGCODE消息,应用程序可以把他当成一个特殊的输入控件并能处理它
WM_NCMOUSEMOVE = $00A0;
当光标在一个窗口的非客户区内移动时发送此消息给这个窗口 //非客户区为:窗体的标题栏及窗
的边框体
WM_NCLBUTTONDOWN = $00A1;
当光标在一个窗口的非客户区同时按下鼠标左键时提交此消息
WM_NCLBUTTONUP = $00A2;
当用户释放鼠标左键同时光标某个窗口在非客户区十发送此消息;
WM_NCLBUTTONDBLCLK = $00A3;
当用户双击鼠标左键同时光标某个窗口在非客户区十发送此消息
WM_NCRBUTTONDOWN = $00A4;
当用户按下鼠标右键同时光标又在窗口的非客户区时发送此消息
WM_NCRBUTTONUP = $00A5;
当用户释放鼠标右键同时光标又在窗口的非客户区时发送此消息
WM_NCRBUTTONDBLCLK = $00A6;
当用户双击鼠标右键同时光标某个窗口在非客户区十发送此消息
WM_NCMBUTTONDOWN = $00A7;
当用户按下鼠标中键同时光标又在窗口的非客户区时发送此消息
WM_NCMBUTTONUP = $00A8;
当用户释放鼠标中键同时光标又在窗口的非客户区时发送此消息
WM_NCMBUTTONDBLCLK = $00A9;
当用户双击鼠标中键同时光标又在窗口的非客户区时发送此消息
WM_KEYFIRST = $0100;
WM_KEYDOWN = $0100;
//按下一个键
WM_KEYUP = $0101;
//释放一个键
WM_CHAR = $0102;
//按下某键,并已发出WM_KEYDOWN, WM_KEYUP消息
WM_DEADCHAR = $0103;
当用translatemessage函数翻译WM_KEYUP消息时发送此消息给拥有焦点的窗口
WM_SYSKEYDOWN = $0104;
当用户按住ALT键同时按下其它键时提交此消息给拥有焦点的窗口;
WM_SYSKEYUP = $0105;
当用户释放一个键同时ALT 键还按着时提交此消息给拥有焦点的窗口
WM_SYSCHAR = $0106;
当WM_SYSKEYDOWN消息被TRANSLATEMESSAGE函数翻译后提交此消息给拥有焦点的窗口
WM_SYSDEADCHAR = $0107;
当WM_SYSKEYDOWN消息被TRANSLATEMESSAGE函数翻译后发送此消息给拥有焦点的窗口
WM_KEYLAST = $0108;
WM_INITDIALOG = $0110;
在一个对话框程序被显示前发送此消息给它,通常用此消息初始化控件和执行其它任务
WM_COMMAND = $0111;
当用户选择一条菜单命令项或当某个控件发送一条消息给它的父窗口,一个快捷键被翻译
WM_SYSCOMMAND = $0112;
当用户选择窗口菜单的一条命令或当用户选择最大化或最小化时那个窗口会收到此消息
WM_TIMER = $0113; //发生了定时器事件
WM_HSCROLL = $0114;
当一个窗口标准水平滚动条产生一个滚动事件时发送此消息给那个窗口,也发送给拥有它的控件
WM_VSCROLL = $0115;
当一个窗口标准垂直滚动条产生一个滚动事件时发送此消息给那个窗口也,发送给拥有它的控件 WM_INITMENU = $0116;
当一个菜单将要被激活时发送此消息,它发生在用户菜单条中的某项或按下某个菜单键,它允许
程序在显示前更改菜单
WM_INITMENUPOPUP = $0117;
当一个下拉菜单或子菜单将要被激活时发送此消息,它允许程序在它显示前更改菜单,而不要
改变全部
WM_MENUSELECT = $011F;
当用户选择一条菜单项时发送此消息给菜单的所有者(一般是窗口)
WM_MENUCHAR = $0120;
当菜单已被激活用户按下了某个键(不同于加速键),发送此消息给菜单的所有者;
WM_ENTERIDLE = $0121;
当一个模态对话框或菜单进入空载状态时发送此消息给它的所有者,一个模态对话框或菜单进入空载状态就是在处理完一条或几条先前的消息后没有消息它的列队中等待
WM_MENURBUTTONUP = $0122;
WM_MENUDRAG = $0123;
WM_MENUGETOBJECT = $0124;
WM_UNINITMENUPOPUP = $0125;
WM_MENUCOMMAND = $0126;
WM_CHANGEUISTATE = $0127;
WM_UPDATEUISTATE = $0128;
WM_QUERYUISTATE = $0129;
WM_CTLCOLORMSGBOX = $0132;
在windows绘制消息框前发送此消息给消息框的所有者窗口,通过响应这条消息,所有者窗口可以
通过使用给定的相关显示设备的句柄来设置消息框的文本和背景颜色
WM_CTLCOLOREDIT = $0133;
当一个编辑型控件将要被绘制时发送此消息给它的父窗口;通过响应这条消息,所有者窗口可以
通过使用给定的相关显示设备的句柄来设置编辑框的文本和背景颜色
WM_CTLCOLORLISTBOX = $0134;
当一个列表框控件将要被绘制前发送此消息给它的父窗口;通过响应这条消息,所有者窗口可以
通过使用给定的相关显示设备的句柄来设置列表框的文本和背景颜色
WM_CTLCOLORBTN = $0135;
当一个按钮控件将要被绘制时发送此消息给它的父窗口;通过响应这条消息,所有者窗口可以
通过使用给定的相关显示设备的句柄来设置按纽的文本和背景颜色
WM_CTLCOLORDLG = $0136;
当一个对话框控件将要被绘制前发送此消息给它的父窗口;通过响应这条消息,所有者窗口可以
通过使用给定的相关显示设备的句柄来设置对话框的文本背景颜色
WM_CTLCOLORSCROLLBAR= $0137;
当一个滚动条控件将要被绘制时发送此消息给它的父窗口;通过响应这条消息,所有者窗口可以
通过使用给定的相关显示设备的句柄来设置滚动条的背景颜色
WM_CTLCOLORSTATIC = $0138;
当一个静态控件将要被绘制时发送此消息给它的父窗口;通过响应这条消息,所有者窗口可以
通过使用给定的相关显示设备的句柄来设置静态控件的文本和背景颜色
WM_MOUSEFIRST = $0200;
WM_MOUSEMOVE = $0200;
// 移动鼠标
WM_LBUTTONDOWN = $0201;
//按下鼠标左键
WM_LBUTTONUP = $0202;
//释放鼠标左键
WM_LBUTTONDBLCLK = $0203;
//双击鼠标左键
WM_RBUTTONDOWN = $0204;
//按下鼠标右键
WM_RBUTTONUP = $0205;
//释放鼠标右键
WM_RBUTTONDBLCLK = $0206;
//双击鼠标右键
WM_MBUTTONDOWN = $0207;
//按下鼠标中键
WM_MBUTTONUP = $0208;
//释放鼠标中键
WM_MBUTTONDBLCLK = $0209;
//双击鼠标中键
WM_MOUSEWHEEL = $020A;
当鼠标轮子转动时发送此消息个当前有焦点的控件
WM_MOUSELAST = $020A;
WM_PARENTNOTIFY = $0210;
当MDI子窗口被创建或被销毁,或用户按了一下鼠标键而光标在子窗口上时发送此消息给它的父窗口
WM_ENTERMENULOOP = $0211;
发送此消息通知应用程序的主窗口that已经进入了菜单循环模式
WM_EXITMENULOOP = $0212;
发送此消息通知应用程序的主窗口that已退出了菜单循环模式
WM_NEXTMENU = $0213;
WM_SIZING = 532;
当用户正在调整窗口大小时发送此消息给窗口;通过此消息应用程序可以监视窗口大小和位置
也可以修改他们
WM_CAPTURECHANGED = 533;
发送此消息 给窗口当它失去捕获的鼠标时;
WM_MOVING = 534;
当用户在移动窗口时发送此消息,通过此消息应用程序可以监视窗口大小和位置
也可以修改他们;
WM_POWERBROADCAST = 536;
此消息发送给应用程序来通知它有关电源管理事件;
WM_DEVICECHANGE = 537;
当设备的硬件配置改变时发送此消息给应用程序或设备驱动程序
WM_IME_STARTCOMPOSITION = $010D;
WM_IME_ENDCOMPOSITION = $010E;
WM_IME_COMPOSITION = $010F;
WM_IME_KEYLAST = $010F;
WM_IME_SETCONTEXT = $0281;
WM_IME_NOTIFY = $0282;
WM_IME_CONTROL = $0283;
WM_IME_COMPOSITIONFULL = $0284;
WM_IME_SELECT = $0285;
WM_IME_CHAR = $0286;
WM_IME_REQUEST = $0288;
WM_IME_KEYDOWN = $0290;
WM_IME_KEYUP = $0291;
WM_MDICREATE = $0220;
应用程序发送此消息给多文档的客户窗口来创建一个MDI 子窗口
WM_MDIDESTROY = $0221;
应用程序发送此消息给多文档的客户窗口来关闭一个MDI 子窗口
WM_MDIACTIVATE = $0222;
应用程序发送此消息给多文档的客户窗口通知客户窗口激活另一个MDI子窗口,当客户窗口收到
此消息后,它发出WM_MDIACTIVE消息给MDI子窗口(未激活)激活它;
WM_MDIRESTORE = $0223;
程序 发送此消息给MDI客户窗口让子窗口从最大最小化恢复到原来大小
WM_MDINEXT = $0224;
程序 发送此消息给MDI客户窗口激活下一个或前一个窗口
WM_MDIMAXIMIZE = $0225;
程序发送此消息给MDI客户窗口来最大化一个MDI子窗口;
WM_MDITILE = $0226;
程序 发送此消息给MDI客户窗口以平铺方式重新排列所有MDI子窗口
WM_MDICASCADE = $0227;
程序 发送此消息给MDI客户窗口以层叠方式重新排列所有MDI子窗口
WM_MDIICONARRANGE = $0228;
程序 发送此消息给MDI客户窗口重新排列所有最小化的MDI子窗口
WM_MDIGETACTIVE = $0229;
程序 发送此消息给MDI客户窗口来找到激活的子窗口的句柄
WM_MDISETMENU = $0230;
程序 发送此消息给MDI客户窗口用MDI菜单代替子窗口的菜单
WM_ENTERSIZEMOVE = $0231;
WM_EXITSIZEMOVE = $0232;
WM_DROPFILES = $0233;
WM_MDIREFRESHMENU = $0234;
WM_MOUSEHOVER = $02A1;
WM_MOUSELEAVE = $02A3;
WM_CUT = $0300;
程序发送此消息给一个编辑框或combobox来删除当前选择的文本
WM_COPY = $0301;
程序发送此消息给一个编辑框或combobox来复制当前选择的文本到剪贴板
WM_PASTE = $0302;
程序发送此消息给editcontrol或combobox从剪贴板中得到数据
WM_CLEAR = $0303;
程序发送此消息给editcontrol或combobox清除当前选择的内容;
WM_UNDO = $0304;
程序发送此消息给editcontrol或combobox撤消最后一次操作
WM_RENDERFORMAT = $0305;

WM_RENDERALLFORMATS = $0306;
WM_DESTROYCLIPBOARD = $0307;
当调用ENPTYCLIPBOARD函数时 发送此消息给剪贴板的所有者
WM_DRAWCLIPBOARD = $0308;
当剪贴板的内容变化时发送此消息给剪贴板观察链的第一个窗口;它允许用剪贴板观察窗口来
显示剪贴板的新内容;
WM_PAINTCLIPBOARD = $0309;
当剪贴板包含CF_OWNERDIPLAY格式的数据并且剪贴板观察窗口的客户区需要重画;
WM_VSCROLLCLIPBOARD = $030A;
WM_SIZECLIPBOARD = $030B;
当剪贴板包含CF_OWNERDIPLAY格式的数据并且剪贴板观察窗口的客户区域的大小已经改变是此消息通过剪贴板观察窗口发送给剪贴板的所有者;
WM_ASKCBFORMATNAME = $030C;
通过剪贴板观察窗口发送此消息给剪贴板的所有者来请求一个CF_OWNERDISPLAY格式的剪贴板的名字
WM_CHANGECBCHAIN = $030D;
当一个窗口从剪贴板观察链中移去时发送此消息给剪贴板观察链的第一个窗口;
WM_HSCROLLCLIPBOARD = $030E;
此消息通过一个剪贴板观察窗口发送给剪贴板的所有者 ;它发生在当剪贴板包含CFOWNERDISPALY格式的数据并且有个事件在剪贴板观察窗的水平滚动条上;所有者应滚动剪贴板图象并更新滚动条的值;
WM_QUERYNEWPALETTE = $030F;
此消息发送给将要收到焦点的窗口,此消息能使窗口在收到焦点时同时有机会实现他的逻辑调色板
WM_PALETTEISCHANGING= $0310;
当一个应用程序正要实现它的逻辑调色板时发此消息通知所有的应用程序
WM_PALETTECHANGED = $0311;
此消息在一个拥有焦点的窗口实现它的逻辑调色板后发送此消息给所有顶级并重叠的窗口,以此
来改变系统调色板
WM_HOTKEY = $0312;
当用户按下由REGISTERHOTKEY函数注册的热键时提交此消息
WM_PRINT = 791;
应用程序发送此消息仅当WINDOWS或其它应用程序发出一个请求要求绘制一个应用程序的一部分;
WM_PRINTCLIENT = 792;
WM_HANDHELDFIRST = 856;
WM_HANDHELDLAST = 863;
WM_PENWINFIRST = $0380;
WM_PENWINLAST = $038F;
WM_COALESCE_FIRST = $0390;
WM_COALESCE_LAST = $039F;
WM_DDE_FIRST = $03E0;
WM_DDE_INITIATE = WM_DDE_FIRST + 0;
一个DDE客户程序提交此消息开始一个与服务器程序的会话来响应那个指定的程序和主题名;
WM_DDE_TERMINATE = WM_DDE_FIRST + 1;
一个DDE应用程序(无论是客户还是服务器)提交此消息来终止一个会话;
WM_DDE_ADVISE = WM_DDE_FIRST + 2;
一个DDE客户程序提交此消息给一个DDE服务程序来请求服务器每当数据项改变时更新它
WM_DDE_UNADVISE = WM_DDE_FIRST + 3;
一个DDE客户程序通过此消息通知一个DDE服务程序不更新指定的项或一个特殊的剪贴板格式的项
WM_DDE_ACK = WM_DDE_FIRST + 4;
此消息通知一个DDE(动态数据交换)程序已收到并正在处理WM_DDE_POKE, WM_DDE_EXECUTE, WM_DDE_DATA, WM_DDE_ADVISE, WM_DDE_UNADVISE, or WM_DDE_INITIAT消息
WM_DDE_DATA = WM_DDE_FIRST + 5;
一个DDE服务程序提交此消息给DDE客户程序来传递个一数据项给客户或通知客户的一条可用数据项
WM_DDE_REQUEST = WM_DDE_FIRST + 6;
一个DDE客户程序提交此消息给一个DDE服务程序来请求一个数据项的值;
WM_DDE_POKE = WM_DDE_FIRST + 7;
一个DDE客户程序提交此消息给一个DDE服务程序,客户使用此消息来请求服务器接收一个未经同意的数据项;服务器通过答复WM_DDE_ACK消息提示是否它接收这个数据项;
WM_DDE_EXECUTE = WM_DDE_FIRST + 8;
一个DDE客户程序提交此消息给一个DDE服务程序来发送一个字符串给服务器让它象串行命令一样被处理,服务器通过提交WM_DDE_ACK消息来作回应;
WM_DDE_LAST = WM_DDE_FIRST + 8;
WM_APP = $8000;
WM_USER = $0400;
此消息能帮助应用程序自定义私有消息;
/////////////////////////////////////////////////////////////////////
通知消息(Notification message)是指这样一种消息,一个窗口内的子控件发生了一些事情,需要通
知父窗口。通知消息只适用于标准的窗口控件如按钮、列表框、组合框、编辑框,以及Windows 95公
共控件如树状视图、列表视图等。例如,单击或双击一个控件、在控件中选择部分文本、操作控件的
滚动条都会产生通知消息。
按扭
B N _ C L I C K E D //用户单击了按钮
B N _ D I S A B L E //按钮被禁止
B N _ D O U B L E C L I C K E D //用户双击了按钮
B N _ H I L I T E //用户加亮了按钮
B N _ PA I N T按钮应当重画
B N _ U N H I L I T E加亮应当去掉
组合框
C B N _ C L O S E U P组合框的列表框被关闭
C B N _ D B L C L K用户双击了一个字符串
C B N _ D R O P D O W N组合框的列表框被拉出
C B N _ E D I T C H A N G E用户修改了编辑框中的文本
C B N _ E D I T U P D AT E编辑框内的文本即将更新
C B N _ E R R S PA C E组合框内存不足
C B N _ K I L L F O C U S组合框失去输入焦点
C B N _ S E L C H A N G E在组合框中选择了一项
C B N _ S E L E N D C A N C E L用户的选择应当被取消
C B N _ S E L E N D O K用户的选择是合法的
C B N _ S E T F O C U S组合框获得输入焦点
编辑框
E N _ C H A N G E编辑框中的文本己更新
E N _ E R R S PA C E编辑框内存不足
E N _ H S C R O L L用户点击了水平滚动条
E N _ K I L L F O C U S编辑框正在失去输入焦点
E N _ M A X T E X T插入的内容被截断
E N _ S E T F O C U S编辑框获得输入焦点
E N _ U P D AT E编辑框中的文本将要更新
E N _ V S C R O L L用户点击了垂直滚动条消息含义
列表框
L B N _ D B L C L K用户双击了一项
L B N _ E R R S PA C E列表框内存不够
L B N _ K I L L F O C U S列表框正在失去输入焦点
L B N _ S E L C A N C E L选择被取消
L B N _ S E L C H A N G E选择了另一项
L B N _ S E T F O C U S列表框获得输入焦点

第三节 Windows资源

Windows程序各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(Dialog Box)、图标(Icon)、菜单(Menu)、串表(String Table)、工具栏(Toolbar)和版本信息(Version Information)等。
  这些资源可以定制和修改,例如:更改字体,更改菜单,更改对话框的排列,等等。EXeScope和Resource Hacker能在没有资源文件的情况下分析,显示不同的信息,重写可执行文件的资源,包括(EXE、DLL和OCX)等,是方便强大的汉化和调试辅助工具,可以直接修改用 VC++ 及Dephi 编制的程序的资源,包括菜单、对话框、字串表等。
  这些工具操作简单,大家只要按提示操作就可。
第四节 注册表

【Windows 95/98注册表结构】

1.注册表Reigstry的层次结构

注册表Reigstry的层次结构类似于硬盘中的目录树,我们可参见图1.2。

┌──────┐
│ 注册表   │
│ Registry  │
└──┬───┘
   │
   │ ┌────┐
   ├─┤ 根键  │
   │ └─┬──┘
       │    ┌────┐
       ├──┤ 子键  │
       │  └─┬──┘
            │  ┌────┐
            ├──┤ 子键  │
            │  └─┬──┘
                 │ ┌───┐
                 ├─┤键值项│
                 │ └───┘

图1.2

表1.1是对图1.2中的Registry层次结构的解释。

表1.1 图1.2中的Registry层次结构的解释

层次

说 明

根键

根键类似于硬盘上的根目录。 Registry有四个预定义的根键:
1、HKEY_LOCAL_MACHINE
2、HKEY_USERS

3、HKEY_CURRENT_USER

4、HKEY_CLASSES_ROOT

键与子键

键和子键类似于文件管理器中看到的目录结构,在键下面是子键,就象目录可以包含子目录一样

键值项

键值项类似硬盘上树型目录的末端文件,键和子键可以包括一个或多个键值项。键值项由键值名、数据类型和键值三部分组成,其格式为:“键值名:数据类型:键值”。

键值类型

Registry中有如下三种键值类型:

DWORD值:只允许一个键值,并且必须为1-8个16进制数据(即双字)。 字符串值:只允许一个键值,并且作为要存储的字符串来解释。

二进制值:只允许一个值,是16进制数字串,每对作为一个字节值解释。

表1.1

六大根键的作用
  在注册表中,所有的数据都是通过一种树状结构以键和子键的方式组织起来,十分类似于目录结构。每个键都包含了一组特定的信息,每个键的键名都是和它所包含的信息相关的。如果这个键包含子键,则在注册表编辑器窗口中代表这个键的文件夹的左边将有“+”符号,以表示在这个文件夹中有更多的内容。如果这个文件夹被用户打开了,那么这个“+”就会变成“-”。 1、HKEY_USERS
  该根键保存了存放在本地计算机口令列表中的用户标识和密码列表。每个用户的预配置信息都存储在 HKEY_USERS 根键中。 HKEY_USERS 是远程计算机中访问的根键之一。 2、HKEY_CURRENT_USER   该根键包含本地工作站中存放的当前登录的用户信息 ,包括用户登录用户名和暂存的密码 ( 注:此密码在输入时是隐藏的 ) 。用户登录 Windows98 时,其信息从 HKEY_USERS 中相应的项拷贝到 HKEY_CURRENT_USER 中。3、HKEY_CURRENT_CONFIG   该根键存放着定义当前用户桌面配置 ( 如显示器等 ) 的数据 , 最后使用的文档列表( MRU )和其他有关当前用户的 Windows98 中文版的安装的信息。

4、HKEY_CLASSES_ROOT   包含注册的所有ole信息和文档类型,是从 hkey_local_machinesoftwareclasses复制的。根据在 Windows98 中文版中安装的应用程序的扩展名 , 该根键指明其文件类型的名称 。   

5、HKEY_LOCAL_MACHINE   该根键存放本地计算机硬件数据 , 此根键下的子关键字包括在 SYSTEM。DAT 中 ,用来提供 HKEY_LOCAL_MACHINE 所需的信息 ,或者在远程计算机中可访问的一组键中。该根键中的许多子键与 System。ini 文件中设置项类似。

6、KEY_DYN_DATA   该根键存放了系统在运行时动态数据,此数据在每次显示时都是变化的,因此,此根键下的信息没有放在注册表中

2.Registry与INI文件之间的关系

Registry与Windows 98中的INI文件有许多相似之处。键或子键类似于INI文件中的小节,一个键值项对应于INI文件中小节里的一条设置项。然而,Registry可以包括子键,而INI文件不支持小节的嵌套。

Registry中的键值项还可以包含可执行代码,而在INI文件中设置项只是简单的字串。

在同一台计算机上有多个用户,Registry可以存储每个用户的特性,而INI文件中却不可能。

如果您在Windows 3.x上升级为Windows 98,则安装程序会从System.ini和Win.ini文件文件中选择一些延续信息放入到注册表中。不过,为了与以前的Windows版本上的老式16位应用程序保持兼容,INI文件中的有些设置项不能迁移到Windows 98的注册表中。有关Win.ini、System.ini文件的结构与设置项信息详见附录A。

1.注册表中Win.ini信息

表1.2列出了Windows 98在升级安装过程中,从Win.ini文件中移出的部分设置项,以及在注册表中的位置。所有的子键都处于注册表的HKEY_CURRENT_USER根键中。

表1.2 注册表中Win.ini信息

小节

设置项

HKEY_CURRENT_USER中的子键分支

[desktop]

GridGranularity

Control Paneldesktop

Pattern

Control Paneldesktop

TileWallPaper

Control Paneldesktop

[windows]

ScreenSaveActive

Control Paneldesktop

ScreenSaveTimeOut

Control Paneldesktop

[Sounds]

Sound Event Name

AppEventsSchemesApps.DefaultSound Event Name.current

[Hearts]

Name

SoftwareMicrosoftWindowsCurrentVersionAppletsHearts

2.注册表中的System.ini信息

表1.3列出了Windows 98在升级安装过程中从System.ini文件中移出的设置项,以及在注册表中的位置,这些子键都处于注册表的HKEY_LOCAL_MACHINE根键中。根据机器的网络配置,有些系统可能不会出现某些子键。

表1.3 注册表中的System.ini信息

小节

设置项

HKEY_LOCAL_MACHINE内的子键分支

[Network]

Comment

SystemCurrentControlSetServicesVxDVNETUP

ComputerName

SystemCurrentControlSetControlComputerNameComputerName

EnableSharing

没有子键入口

LMAnnounce

SystemCurrentControlSetServicesVxDVNETUP

LogonDomain

没有子键入口

Logon Validated

没有子键入口

MaintainServerList

SystemCurrentControlSetControlComputerNameComputerName

Reconnect

Reshare

没有子键入口

没有子键入口

Username

NetworkLogon

Workgroup

SystemCurrentControlSetControlComputerNameComputerName

[386Enh]

Network

没有子键入口

Transport

SoftwareMicrosoftWindowsCurrentVersionNetworkReal Mode Net

1.2 注册表Registry的组成

我们知道,在Windows 3.x中,提供了一个注册数据库Reg.dat,它是一个一般二进制文件,它可用Regedit.exe程序来维护。Reg.dat是一个十分软弱的数据文件,在Windows 3.x中增加或删除O LE应用程序时,经常受到不同程度的破坏。

Windows 98改变了Windows 3.x的做法,采用了一种强大的注册表Registry,它要比Reg.dat更为可靠。

3.注册表的文件组成

注册表Registry由五个文件组成的。介绍如下。

1.系统配置注册表文件System.dat

在Windows 98的系统目录中有一个隐含、系统、只读文件System.dat,它是Windows 98注册表的一部分,该文件具有如下作用:

● 描述单一的PC配置。

● 描述安装在一单独的PC上的消息。

● 安装即插即用类型的设备硬件配置,如设备的I/O地址、IRQ级和DM A通道等。

该文件的作用有点类似Windows 3.x中的System.ini文件。

该文件在Windows 98的网络运行状态时,保存在本地的工作站或本地PC机中。

在Windows 98安装期间,Setup将检查您的计算机上已安装的硬件,然后在System.dat中建立适当的配置项。若从现有的Windows 3.x中安装Windows 98,则Setup将把现有的System.ini、Reg.dat文件中的部分设置项拷贝到System.dat中,详见1.1.3节。

在您使用“控制面板”的“系统”图标查看硬件配置时,其窗口中所显示的选项都是从System.dat中读取的,如图1.3所示。


图1.3

2.系统配置注册表备份文件System.da0

Windows 98的注册表的一个主要特点就是可靠性强,不易损坏。这个特点靠的就是注册表有备份文件。

系统配置注册表System.dat的备份文件为System.da0,该文件在System.dat文件遭到意外破坏时,将由系统自动拷贝为System.dat。

3.用户平台配置注册表文件User.dat

在Windows 98的系统目录中有一个隐含、系统、只读文件User.dat,它也是Windows 98的注册表的一部分,该文件具有如下作用:

● 它定义用户优先权,如用户平台配置等。

● 特定于某一个用户的应用程序的安装信息。

该文件的作为类似于Windows 3.xWin.ini文件。

当您在Windows 98中使用网络时,User.dat必须放在网络服务器上。

在您第一次输入用户标识和密码时,安装程序将把这些信息存储在User.dat中。您的Windows 98的系列号也存储在USER.DAT中。

如果用户在“控制面板”的“密码”图标中选择了“用户可自定义首选项及桌面设置登录时,Windows自动启用个人设置”这个选项后(参见图1.4所示),系统就会为每个用户创建他自己的User.Dat,并且把它保存为C:WindowsProfiles用户名User.dat。用户每次登录后,他自给的User.dat会被调入到系统中。


图1.4

4.用户平台配置注册表备份文件User.da0

用户平台配置注册表文件User.dat也有一个备份文件User.da0。当User.dat遭到意外破坏时,将由系统将User.da0拷贝为User.dat,从而使User.dat得到了恢复。

5.网络管理注册表文件Config.pol

若您在Windows 98安装了“系统策略编辑器”后,则用户可以使用Config.pol文件中的限制来决定系统如修改注册表,也就是说,系统根据Config.pol中的设置对网络用户的操作作一些限制,这种限制在Windows 98被称为“策略”。Config.pol文件也是一个隐含、系统、只读文件,它主要用于Windows 98的网络用户的管理方面的策略。

6.网络管理注册表备份文件Config.po0

同System.dat、User.dat有备份文件一样,Config.pol也有一个备份文件Config.po0,它是一个隐含、系统、只读文件。它存放在网络服务器中。

1.2.2 注册表中的根键

使用注册表编辑器可以观察注册表中的根键,如图1.5所示。


图1.5

注意:在“运行”对话框中输入RegEdit,然后单击“确定”按钮,则可以运行注册表编辑器,详见第2章介绍。

图1.5显示了Windows 98中文版的注册表Registry?(System.dat、User.dat、Config.pol)的数据组织结构。

图1.5左窗格显示的是注册表的根键,这样的根键共六个。?这些根键都是大写的,并以HKEY_为前缀,?这种命令约定是以Win32 API的Registry函数的关键字的符号变量为基础的。

虽然在注册表中,六个根键看上去处于一种并列的地位,彼此毫无关系。但事实上,HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG中存放的信息都是HKEY_LOCAL_MACHINE中存放的信息的一部分,而HKEY_CURRENT_USER中存放的信息只是HKEY_USERS存放的信息的一部分。

HKEY_LOCAL_MACHINE包括HKEY_CLASSES_ROOT和HKEY_CURRENT_USER中所有的信息。在每次系统启动后,系统就映射出HKEY_CURRENT_USER中的信息,使得用户可以查看和编辑其中的信息。

实际上,HKEY_LOCAL_MACHINESOFTWAREClasses就是HKEY_CLASSES_ROOT,为了用户便于查看和编辑,系统专门把它作为一个根键。同理,HKEY_CURRENT_CONFIGSYSTEMCurrent Control就是HKEY_LOCAL_MACHINESYSTEMCurrent Control。

HKEY_USERS中保存了默认用户和当前登录用户的用户信息。HKEY_CURRENT_USER中保存了当前登录用户的用户信息。

HKEY_DYN_DATA保存了系统运行时的动态数据,它反映出系统的当前状态,在每次运行时都是不一样的,即便是在同一台机器上。

根据上面的分析,注册表中的信息可以分为HKEY_LOCAL_MACHINE和HKEY_USERS两大类,这两大类的详细介绍参见第3章。

1.2.3 注册表中的键与子键

在注册表中(参见图1.5所示),所有的数据都是通过一种树状结构以键和子键的方式组织起来,十分类似于目录结构。每个键都包含了一组特定的信息,每个键的键名都是 和它所的信息相关的。如果这个键包含子键,则在注册表编辑器窗口中代表这个键的文件夹的左边将有“+”符号,以表示在这个文件夹中有更多的内容。如果这个文件夹被用户打开了,那么这个“+”就会变成“-”,如图1.6所示。


图1.6

1.HKEY_USERS

该根键保存了存放在本地计算机口令列表中的用户标识和密码列表。?每个用户的预配置信息都存储在HKEY_USERS根键中。?HKEY_USERS是远程计算机中访问的根键之一。图1.7为HKEY_USER子关键字连接情况。


图1.7

2.HKEY_CURRENT_USER

该根键包含本地工作站中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码(注:此密码在输入时是隐藏的)。用户登录Windows 98时,其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。图1.8为HKEY_CURRENT_USER根键下各个键之间连接的情况。

图1.8

3.HKEY_CURRENT_CONFIG

该根键存放着定义当前用户桌面配置(如显示器等)的数据,以及最后使用的文档列表(MRU),和其他有关当前用户的Windows 98中文版的安装的信息.

图1.9为HKEY_CURRENT_CONFIG子关键字之间的连接情况。

图1.9

4.HKEY_CLASSES_ROOT

根据在Windows 98中文版中安装的应用程序的扩展名,该根键指明其文件类型的名称。

在第一次安装Windows 98中文版时,RTF(Rich Text Format)文件与写字板(WordPad)?联系起来,但在以后安装了中文Word 6.0后,?双击一个RTF文件时,将自动激活Word。存放在SYSTEM.DAT中的HKEY_CLASSES_ROOT,???将替代WIN.INI文件中的[Extensions]?小节中的设置项,它把应用程序与文件扩展名联系起来,它也替代了Windows 3.x中的Reg.dat文件中的相似的设置项。?图1.10显示了HKEY_CLASSES_ROOT根键中包括的文件扩展名的情况。


图1.10

5.HKEY_LOCAL_MACHINE

该根键存放本地计算机硬件数据,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中。

该根键中的许多子键与System.ini文件中设置项类似。


图1.11显示了HKEY_LOCAL_MACHINE根键下的各个子键之间的情况。

图1.11

6.HKEY_DYN_DATA

该根键存放了系统在运行时动态数据,此数据在每次显示时都是变化的,因此,此根键下的信息没有放在注册表中。图1.12显示了HKEY_DYN_DATA根键下的各个子键的情况。


图1.12

1.2.4 注册表中的键值项数据

注册表通过键和子键来管理各种信息。但是,注册表中的所有信息是以各种形式的键值项数据保存下来。在注册表编辑器右窗格中,保存的都是键值项数据。这些键值项数据可分为如下三种类型:

1.字符串值

在注册表中,字符串值一般用来表示文件的描述、硬件的标识等。通常它由字母和数字组成,最大长度不能超过255个字符。在图1.13所示中,“D:pwin98 rident”即为键值名“a”的键值,它是一种字符串值类型的。同样地,“ba”也为键值名“MRUList”的键值。通过键值名、键值就可以组成一种键值项数据,这就相当于Win.ini、Ssytem.ini文件中小节下的设置行。其实,使用注册表编辑器将这些键值项数据导出后,其形式与INI文件中的设置行完全相同了。详见第3章。

图1.13

2.二进制值

在注册表中,二进制值是没有长度限制的,可以是任意个字节长。在注册表编辑器中,二进制以十六进制的方式显示出来,如图1.14所示。


图1.14

在图1.14中,键值名Wizard的键值“80 00 00 00”就是一个二进制

注意:在如图1.15所示的“编辑二进制值”对话框时,在编辑框的左边输入十六进制数时,其右边将会显示相应的ASCII码。


图1.15

3.DWORD值

DWORD值是一个32位(4个字节,即双字)长度的数值。在注册表编辑器中,您将
图1.16

发现系统会以十六进制的方式显示DWORD值,如图1.16所示。

注意:在编辑DWORD数值时,可以选择用十进制还是16进制的方式进行输入,如图1.17所示。


图1.17

1.3 注册表的双重入口

在注册表中经常出现双重入口(分支),例如,有一些在HKEY_CLASSES_ROOT中的键同样会在HKEY_LOCAL_MACHINE中出现,如图1.18所示。


图1.18

如果这些相同的分支出现在两个不同的根键中,那么,哪个根键有效呢?

注册表的子键都有严格的组织。如果相同的信息出现在超过一个的子键中,如果您只修改了一个子键,那么该修改是否作用于系统依赖于该子键的等级。一般来说,系统信息优先于用户等级。例如,一个设置项同时出现在HKEY_LOCAL_MACHINE和HKEY_USER子键中,通常由HKEY_LOCAL_MACHINE中的数据起作用。要注意的是,这种情况只发生在您直接编辑注册表时。如果您从“控制面板”中更改系统配置,则所有出现该设置项的地方均会发生相应的改变。

例如,您可以通过注册表设置文件关联,即将一个带有特殊后缀的文件连接到一个应用程序上。在注册表中,有四个子键都保存了文件管理的数据,它们分别是:HKEY_CLASSES_ROOT、HKEY_CURRENT_USER、HKEY_LOCAL_MACHINE、HKEY_USER。在缺省情况下,所有后缀为1ST的文件都被连接到记事本程序(Notepad)上。如果您在Windows资源管理器双击该后缀的文件,则系统将激活记事本,同时将此文件调入编辑。但是您也可此文件关联从Notepad改为Lotus Ami Pro(这也是一个字处理程序),则您在双击后缀为1ST的文件时,将激活Lotus Ami Pro程序,同时编辑此文件。但是,如果您在直接编辑注册表时只修改一个子键,则会出现如下四种情况:

● 如果只修改HKEY_CLASSES_ROOT中的1ST项,则在双击1ST后缀的文件时将激活Lotus Ami Pro。

● 如果只修改HKEY_CURRENT_USER中的1ST项,则在双击1ST后缀的文件时将激活Notepad。

● 如果只修改HKEY_LOCAL_MACHINE中的1ST项,则在双击1ST后缀的文件时将激活Lotus Ami Pro。

● 如果只修改HKEY_USER中的1ST项,则在双击1ST后缀的文件时将激活Notepad。

在上面的例子中,HKEY_CLASSES_ROOT子键和HKEY_LOCAL_MACHINE子键看起来在控制文件关联上相互独立,这似乎有些自相矛盾,但是,要知道HKEY_CLASSES_ROOT根键就是HKEY_LOCAL_MACHINESoftwareClasses,因此,在改变HKEY_CLASSES_ROOT根键就是改变HKEY_LOCAL_MACHINE。

【认识Windows2000注册表】

Windows 2000系列原名Windows NT 5.0,是微软公司开发的集Windows 98即插即用功能与Windows NT先进技术于一身的新一代网络操作系统。它分为四个产品,们分别是:Windows 2000 Professional(专业版)、Windows 2000 Server(服务器版)、Windows 2000 Advanced Server(高级服务器版)、Windows 2000 Datacenter Server(数据中心服务版)等四个版本。

我们知道,在Windows 95及以后的版本中,采用了一种叫做“注册表”的数据库将各种信息资源集中起来并存储各种配置信息。按照这一原则,Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。Windows2000自然也不例外。大家也许对Windows98的注册表很熟悉,但是Windows2000毕竟和Windows98不同。本文将以Windows 2000 Professional版本为例,向大家介绍一下Winsows2000的注册表。

首先要运行注册表编辑器。和Windows98类似,在【开始】菜单中单击【运行】,在弹出的对话框中键入“regedit”或“regedt32”,在单击确定,即可打开注册表编辑器。我们可以发现,Win2000注册表编辑器和Win98比起来界面没有明显的改变,但是内容和Win98相比,去掉了HKEY_DYN_DATA根键。只有KEY_LOCAL_MACHINE、HKEY_CLASSES_ROOT、HKEY_CURRENT_CONFIG、HKEY_USERS、HKEY_CURRENT_USER五个根键。下面将详细介绍每一根键的内容。

一、KEY_LOCAL_MACHINE

HKEY_LOCAL_MACHINE根键中存放的是用来控制系统和软件的设置。由于这些设置是针对那些使用Windows系统的用户而设置的,是一个公共配置信息,所以它与具体用户无关。该根键下面包含了五个子键:

1.HARDWARE子键

该子键包含了系统使用的浮点处理器、串口等有关信息。在它下面存放一些有关超文本终端、数字协处理器和串口等信息。HARDWARE子键又包括三个子键:

DESCRIPTION:用于存放有关系统信息;

DEVICEMAP:用于存放设备映像;

RESOURCEMAP;

2.SAM子键

该子键已经被系统保护起来,我们不可能看到里面的内容。

3.SECURITY子键

该子键位于HKEY_LOCAL_MACHINESecurity分支上,该分支只是为将来的高级功能而预留的。

4.SOFTWARE子键

该子键中保留的是所有已安装的32位应用程序的信息。各个程序的控制信息分别安装在相应的子键中。由于不同的机器安装的应用程序互不相同,因此这个子键下面的子键信息会有很大的差异。

5.SYSTEM子键

该子键存放的是启动时所使用的信息和修复系统时所需的信息,其中包括各个驱动程序的描述信息和配置信息等。System子键下面有一个CurrentControlSet子键,系统在这个子键下保存了当前的驱动程序控制集的信息。

二、HKEY_CLASSES_ROOT根键

HKEY_CLASSES_ROOT根键中记录的是Windows操作系统中所有数据文件的信息,主要记录不同文件的文件名后缀和与之对应的应用程序。当用户双击一个文档时,系统可以通过这些信息启动相应的应用程序。HKEY_CLASSES_ROOT根键中存放的信息与HKEY_LOCAL_MACHINESoftwareClasses分支中存放的信息是一致的。

HKEY_CLASSES_ROOT根键由多个子键组成,具体可分为两种:一种是已经注册的各类文件的扩展名,一种是各种文件类型的有关信息。由于该根键包含的子键数目最多,下面就以Avifile子键为例简要介绍它下面的子键的含义:

1.CLSID子键

Avifile子键下的第一个子键是“CLSID”,即“分类标识”,在选中它时可以看到其默认的键值。Windows系统可用这个类标识号来识别相同类型的文件。在HKEY_CLASSES_ROOT主键下也有一个子键“CLSID”,其中包含了所有注册文件的类标识。

2.Compressors子键

该分支下面的两个子键auds和vids分别给出了音频和视频数据压缩程序的类标识,通过这些类标识可以找到相应的处理程序,

(1) auds子键

该子键位于HKEY_CLASSES_ROOTavifileCompressorsauds分支上,用于设置音频数据压缩程序的类标识。

(2) vids子键

该子键位于HKEY_CLASSES_ROOTavifileCompressorsvids分支上,用于设置视频数据压缩程序的类标识。

3.DefaultIcon子键

该子键用于设置avifile的缺省图标。

4.RIFFHandlers子键

该子键用于设置RIFF文件的句柄。在该子键下包含了AVI和WAVE两个文件的类标识。

(1) AVI子键

该子键位于HKEY_CLASSES_ROOTavifileRIFFHandlersAVI分支上,用于设置AVI文件的类标识。

(2) WAVE子键

该子键位于HKEY_CLASSES_ROOTavifileRIFFHandlersWAVE分支上,用于设置WAVE文件的类标识。

5.protocol子键

该分支下的子键中包含了执行程序和编辑程序的路径和文件名,

(1) StdExecute子键

该子键具有如下子键结构:

HKEY_CLASSES_ROOTavifileprotocolStdExecuteServer

它用于指定avifile的标准执行程序。

(2) StdFileEditing子键

该子键位于HKEY_CLASSES_ROOTavifileprotocolStdFileEditing分支上,用于设置标准文件编辑程序。

在该子键下面有如下三个子键:

①Server子键

该子键位于HKEY_CLASSES_ROOTavifileprotocolStdFileEditingServer分支上,用于指定编辑程序。

②PackageObjects子键

该子键位于HKEY_CLASSES_ROOTavifileprotocolStdFileEditingPackageObjects分支上,用于指定打开avifile的包对象编辑程序。

③verb子键

该子键位于HKEY_CLASSES_ROOTavifileprotocolStdFileEditingverb分支上,用于设置打开标准avi文件编辑程序时的工作状态。 另外,还有“Handler”和“Handlers”两个子键。

6.Shell子键

该子键位于HKEY_CLASSES_ROOTavifileShell分支上,用于设置视频文件的外壳。

(1) Open子键

该子键具有如下子键结构:

HKEY_CLASSES_ROOTavifileShellOpenCommand

它用于设置“打开”avi文件的程序。

(2) Play子键

该子键具有如下子键结构:

HKEY_CLASSES_ROOTavifileShellPlayCommand

它指定用于“播放”命令的程序

7.shellex子键

该子键位于HKEY_CLASSES_ROOTavifileshellex分支上。该分支的子键中包含了视频文件的外壳扩展,

在该子键下面有一个PropertySheetHandlers子键,用于设置“视频文件属性页”(Avi Page)的文件句柄。

在PropertySheetHandlers子键下面还有一个AviPage子键,用于设置AviPage的类标识。

三、HKEY_CURRENT_CONFIG根键

如果你在Windows中设置了两套或者两套以上的硬件配置文件(Hardware Configuration file),则在系统启动时将会让用户选择使用哪套配置文件。而HKEY_CURRENT_CONFIG根键中存放的正是当前配置文件的所有信息。

四、HKEY_USERS根键

HKEY_USERS根键中保存的是默认用户(.DEFAULT)、当前登录用户与软件(Software)的信息。它的下面有三个子键:.DEFAULT子键、S-1-5-21-1229272821-436374067-1060284298-1000和S-1-5-21-1229272821-436374069-1060284298-1000_Classes三个子键,其中最重要的是.DEFAULT子键。

.DEFAULT子键的配置是针对未来将会被创建的新用户的。新用户根据默认用户的配置信息来生成自己的配置文件,该配置文件包括环境、屏幕、声音等多种信息

.DEFAULT下面有九个子键,下面介绍其中几个:

1.AppEvents子键

它包含了各种应用事件(包括事件名称、描述以及各种系统功能的声音)的列表。其下面又包含两个子键EventLabels(按字母顺序列表)和Schemes(按事件分类列表)。

2.Control Panel子键

它所包含的内容与桌面、光标、键盘和鼠标等设置有关。改变它们的键值就将改变对应的工作环境或参数。

3.keyboard layout子键

该子键位于HKEY_USERS.DEFAULTkeyboard layout分支上,用于设置键盘的布局,如键盘语言的加载顺序等。该子键下面提供有如下三个子键:

preload子键

(1)该子键位于HKEY_USERS.DEFAULTkeyboard layoutpreload分支上,用于设置键盘语言的加载次序。Preload子键下面的子键个数与您在系统中所安装的键盘语言有关。

(2)Substitutes子键

该子键位于HKEY_USERS.DEFAULTkeyboard layoutsubstitutes分支,用于设置可替换的键盘语言布局。在通常情况下,此子键的设置是空的。

(3)Toggle子键

该子键位于HKEY_USERS.DEFAULTkeyboard layout oggle分支上,用于选择键盘语言。

五、HKEY_CURRENT_USER根键

HKEY_CURRENT_USER根键中保存的信息(当前用户的子键信息)与HKEY_USERS.Default分支中所保存的信息是相同的。任何对HKEY_CURRENT_USER根键中的信息的修改都会导致对HKEY_USERS.Default中子键信息的修改,反之也是如此。

第五节 相关工具

一、注册表的备份

(1)直接将注册表文件System.dat和User.dat拷贝到硬盘指定的目录下或直接拷贝到软盘上作为备份。恢复时将该备份替换覆盖回原处即可。
(2)利用Windows自带regedit备份注册表。
(3)利用Windows95自带的紧急事故恢复工具(Emergency Recovery Utility),仅适合Windows 9x系统。
(4)利用Ghost工具备份整个系统。

注册表与系统的备份相当重要,在你尝试一个新的软件时,建议你先备份一下注册表,这样在必要时可分析出安装程序在注册表里做的标志。

二、监视工具

(1)注册表"监视员"Regmon

Regmon(Registry Monitor)是一个出色的注册表数据库实时监视软件,它将与注册表数据库相关的一切操作(如读取、修改、出错信息等)全部记录下来以供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利r。

(2)注册表监视器Regsnap

RegSnap是一个专门用于比较Windows注册表及系统启动设置文件变化的工具。Regsnap的原理非常简单:在需要的时候,通过"File/New"菜单或工具条按钮将当前注册表及相关内容保存到扩展名为rgs的文件中(如在安装新软件之前和软件安装结束后分别保存一次),然后通过"File/Compare"菜单比较这两个文件,Regsnap就会详细地报告注册表及与系统有关的其他内容的变化情况。
  Regsnap对系统的比较报告非常具体。对注册表可报告修改了哪些键,修改前、后的值各是多少;增加和删除了哪些键以及这些键的值。报告结果既可以以纯文本的方式,也可以html网页的方式显示,非常便于查看。
  除系统注册表以外,Regsnap还可以报告系统的其他情况:Windows的系统目录(缺省是c:Windows)和系统的system子目录下文件的变化情况,包括删除、替换、增加了哪些文件;Windows的系统配置文件win.ini和system.ini的变化情况,包括删除、修改和增加了哪些内容;自动批处理文件autoexec.bat是否被修改过。

(3)注册表监视器RegShot

RegShot是一个国产免费软件,作者是TiANWEi。这个软件可以比较注册及系统配制文件的变化。它的原理是在运行该软件之前作个记录,在运行它之后作个记录,比较二者的差别。

(4) 文件监视器FileMon

FileMon是Sysinternals推出的一款自由软件,适用于Windows NT/2000和Windows 95/98/ME系列平台。凭着它的强大功能,用户可以了解系统的工作情况、可查看应用程序的文件和DLL库的使用情况,甚至还可以捕捉到底层文件访问的各种细节所在。而且当文件的读写等事件发生的时候,FileMon还能精确记录下这些事件的发生时刻、持续时间以及操作结果等重要数据,因此,FileMon便成了分析人员们必备的工具之一。

Tags:解密 教学 函数

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接