另辟蹊徑　使用PowerShell編輯注冊表

1. 查找相關(guān)注冊表項

Windows 10的所有服務(wù)均會在注冊表的[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet001＼Ser vices]下保存，由于是隨機生成的數(shù)字服務(wù)名稱，注冊表編輯器無法進行搜索。借助PowerShell則可以使用通配符的方式快速地進行搜索。

以管理員身份啟動PowerShell，接著在其中輸入并執(zhí)行命令“Get-ChildItem-Path hklm：＼system＼ControlSet001＼services-Include*[0-9]*-Recurse-ErrorAction SilentlyContinue|Select-Object-Property*Path*|Out-GridView”，可以找到所有包含數(shù)字名稱的服務(wù)（圖2）

小知識：注冊表的結(jié)構(gòu)及PowerShell對它的基本操作

Windows的注冊表是由[HKEY_CLASSES_ROOT]、[HKEY_CURRENT_USER]、[HKEY_LOCAL _MACHINE]、[HKEY_USERS]和[HKEY_CURRENT_CONFIG]這五大主鍵組成的一個數(shù)據(jù)庫文件，每個主鍵下又包含多個子鍵（圖1）。當(dāng)我們使用PowerShell命令行對其進行操作時，PowerShell實際上是將這五大主鍵作為五個文件夾看待（其下子鍵則看作子文件夾），這樣我們可以使用CD命令定位鍵值，使用DIR命令查看鍵值結(jié)構(gòu)，操作起來不僅方便，而且效率也更高。

比如筆者的電腦某次中了一種病毒，雖然殺毒軟件已經(jīng)將病毒清除，但是根據(jù)殺毒軟件的說明還需要手動將病毒注冊的多個隨機數(shù)字服務(wù)刪除，有些服務(wù)使用SYS驅(qū)動加載，通過“服務(wù)”組件無法找到這類服務(wù)。下面筆者介紹如何用PowerShell來查找和刪除這些服務(wù)的鍵值。

通過PowerShell，我們不僅可以使用通配符（如上例中的“[0-9]”，表示包含0-9的數(shù)字）搜索，而且可以限定搜索范圍（如上述指定的路徑“hklm：＼system＼ControlSet001＼services”），這樣搜索效率更高（而注冊表編輯器只能在所有項中搜索）。同時在搜索結(jié)果中還可以使用篩選器進行再次篩選，比如輸入“3”，可以找到所有包含數(shù)字“3”的服務(wù)（圖3）。

2. 查看鍵值結(jié)構(gòu)

通過上述的方法我們找到了所有純數(shù)字名稱的服務(wù)（如“28823462”和“39923462”），那么這些是不是正常的系統(tǒng)服務(wù)？我們還可以在PowerShell中繼續(xù)輸入并執(zhí)行命令“CDhklm：＼system＼ControlSet001＼services＼28823462”（定位到“28823462”服務(wù)項），再執(zhí)行“dir”命令，這樣可以看到“28823462”服務(wù)項的結(jié)構(gòu)，其下還有一個子項“Parameters”。

如果需要查看服務(wù)實際加載的進程，可以通過“Parameters”項右側(cè)窗格中“ImagePath”的值來獲取。同上，再輸入并執(zhí)行命令“Get-ItemPropertyValue-Path"."-Name"Image Path"”（表示查看“ImagePath”的值），在窗口中可以看到其執(zhí)行的是“＼SystemRoot＼System32＼drivers＼28823462.sys”文件，而這個正是殺毒軟件已經(jīng)刪除的病毒文件（圖4）。

3.備份/恢復(fù)鍵值

由于對注冊表的操作較為危險，所以在對指定鍵值進行操作時我們要先進行備份。同上在PowerShell窗口中輸入并執(zhí)行命令“regexporthklm＼system＼ControlSet001＼services＼28823462d：＼28823462.reg”，將服務(wù)鍵值導(dǎo)出為“d：＼28823462.reg”備份。如果后續(xù)需要進行恢復(fù)，同上再輸入并執(zhí)行命令“regimportd：＼28823462.reg”即可（圖5）。

4.修改/刪除鍵值

完成了指定項的備份后，我們可以對這些數(shù)字名稱的服務(wù)進行編輯。比如在系統(tǒng)服務(wù)中，右側(cè)窗格中的“Start”（DWORD）值若是“4”表示服務(wù)狀態(tài)是“已禁用”，為了避免直接刪除服務(wù)帶來問題，我們可以先將需要編輯的服務(wù)設(shè)置為“禁用”，重啟并確認沒有問題后再刪除。

同上，在PowerShell窗口中輸入并執(zhí)行命令“Set-Item Property-Pathhklm：＼HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼28823462＼Parameters-name"start"4”。如果需要直接刪除該服務(wù)的鍵值，則輸入并執(zhí)行命令“Remove-Item-Pathhklm：＼system＼ControlSet001＼services＼28823462-Recurse”（圖6）。其他服務(wù)鍵值的處理類似。

借助PowerShell，我們不但可以搜索、查看和更改注冊表鍵值，而且即使注冊表編輯器被禁用也可以完成上述的操作。大家以后需要編輯注冊表時不妨使用上述的方法。