瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛安全技术讨论 注册表[HKEY_LOCAL_MACHINE\SYSTEM]路径下各ControlSet项目的关系

1   1  /  1  页   跳转

注册表[HKEY_LOCAL_MACHINE\SYSTEM]路径下各ControlSet项目的关系

收藏
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-05-16 23:14 | 只看楼主 短消息 资料
字号: 1楼

注册表[HKEY_LOCAL_MACHINE\SYSTEM]路径下各ControlSet项目的关系

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
两者啥关系来着?


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10
最后编辑轩辕小聪 最后编辑于 2009-05-18 21:23:31
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-16 23:17 | 短消息 资料
字号: 2楼

回复:菜鸟求助

母鸡(粤语)
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-05-16 23:19 | 只看楼主 短消息 资料
字号: 3楼

回复:菜鸟求助

han
猫叔
你能不知道
别逗我了
gototop
 
A小可
头像
社区嘉宾
  • 帖子:28632
  • 注册: 2008-07-18
  • 来自:立刻网
写手勋章论坛8周年活动礼物卡卡名人堂祖国六十华诞就爱不长大论坛9周年纪念09欢乐圣诞10温馨圣诞论坛12周年勋章啤酒十一活动礼物_幸运星
发表于: 2009-05-16 23:42 | 短消息 资料
字号: 4楼

回复:菜鸟求助

默认情况下:
ControlSet001:系统真实的配置信息。
ControlSet:运行时配置。         
ControlSet002:最近一次成功启动的配置信息           
当操作系统每成功启动一次(指成功登录),它都将CurrentControlSet和ControlSet001中的数据复制到 ControlSet002中。
总是这样,来一次,一次离开,曾经灌注了心血的地方,从那刻开始变得那么陌生。
昔日的吵吵闹闹,渐渐的退出视野,那些熟悉的人们,在各处,各自生活。
而这里,成为了“痕迹”。
多少年过去,不知又能留下多少的“痕迹”?
来来去去,最后还不只是剩下了回忆么?

Copyright © https://blog.axiaoke.cn All Rights Reserved.
gototop
 
backway
头像
卡卡反病毒小组
  • 帖子:2473
  • 注册: 2008-11-20
  • 来自:
发表于: 2009-05-16 23:50 | 短消息 资料
字号: 5楼

回复:菜鸟求助

默认有CurrentControlSet,ControlSet001以及ControlSet002,真实的配置信息(服务、驱动等)都是保存在在ControlSet01中,CurrentControlSet是ControlSet01的一个备份,对系统配置的修改都是直接反应在CurrentControlSet(当前控制设置)中,从名称中也可以才猜出吧。。。一般360,清理专家等拦截驱动服务时也可以说某某向HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet写入某某。。。重启过程中windows会用CurrentControlSet的内容覆盖掉ControlSet001中的内容使保持一致。
系统登陆成功后,会将CurrentControlSet与ControlSet001中的内容写入ControlSet002,ControlSet002保存了最后一次成功启动的配置,也就是开机时按F8可以选择“最后一次正确配置”,实质上这时系统读取的就是ControlSet002里的配置信息~
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-05-17 08:33 | 短消息 资料
字号: 6楼

回复:菜鸟求助

我也不知道

今天知道了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-05-17 10:31 | 短消息 资料
字号: 7楼

回复:菜鸟求助

这个解释应该是最权威的了,从书中抄的:
Windows维护了CurrentControlSet 的几分拷贝,CurrentControlSet实际上是一个注册表符号链接,它指向其中的一份拷贝。这些控制集有着形如HKLM\SYSTEM\ControlSetnnn这样的名称(其中nnn代表诸如001或者002这样的数值),HKLM\SYSTEM\Select键中包含的值指出了每一份控制集的用途。
例如若CurrentControlSet指向ControlSet001那么Select下的Current值就是1
Select下的LastKnownGood值 包含了“最后已知的好控制集”的数值,这是最后一次用来成功引导的控制集。
另一个可能出现的值是Failed 它指向最后一次引导不成功的控制集。

  ---摘自《深入解析Windows操作系统》第四版
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-05-17 11:14 | 只看楼主 短消息 资料
字号: 8楼

回复 5F backway 的帖子

重启过程中windows会用CurrentControlSet的内容覆盖掉ControlSet001中的内容使保持一致。

重启?

那关机呢
gototop
 
backway
头像
卡卡反病毒小组
  • 帖子:2473
  • 注册: 2008-11-20
  • 来自:
发表于: 2009-05-18 12:45 | 短消息 资料
字号: 9楼

回复 8F aaccbbdd 的帖子

昨天一天没网,发现上面我写的句子不怎么通顺。。。
根据我的观察,CurrentControlSet与ControlSet001始终保持一致的,向cuttent里写入某项,同样001里也会立即或者说同时产生这项。。。
其他就是阳关帅哥说的那个。。。等会也去买本那书看看。。。
引用:
HKLM\system注册表项中还有一个select的子项,其中有几个整数键,分别是:
“Current”数据项目表示 Windows XP 在这次启动过程中使用的控件组。
“Default”数据项目表示 Windows XP 在下次启动时将使用的控件组,它与这次启动使用的控件组相同。
“LastKnownGood ”数据项目表示您在启动过程中选择“最近一次的正确配置”时 Windows XP 将使用的控件组。
“Failed”数据项表示 Windows XP 在其中保存失败启动产生的数据的控件组。 此控件组在用户第一次调用“最近一次的正确配置”选项之前并不实际存在。
对应上面,系统默认时其顺序是:001、001、002、无;
第一次使用“lastknowngood”后:002、002、003、001
第二次使用“lastknowngood”后:003、003、004、002(之前的备份001被002覆盖掉,001组消失)
第三次使用“lastknowngood”后:004、004、001、003(002被003覆盖,而当004要生成新的“lastknowngood”时,001正好可用,于是001重生,002消失)
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2009-05-18 21:25 | 短消息 资料
字号: 10楼

回复:注册表[HKEY_LOCAL_MACHINE\SYSTEM]路径下各ControlSet项目的关系

标题改了。希望大家以后讨论时使用有明确意义的标题,这样大家以后查杀起来也方便。
病毒样本请发到可疑文件交流区
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT