另辟蹊徑　使用PowerShell編輯注冊表

1. 查找相關注冊表項

Windows 10的所有服務均會在注冊表的[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet001＼Ser vices]下保存，由于是隨機生成的數字服務名稱，注冊表編輯器無法進行搜索。借助PowerShell則可以使用通配符的方式快速地進行搜索。

以管理員身份啟動PowerShell，接著在其中輸入并執行命令“Get-ChildItem-Path hklm：＼system＼ControlSet001＼services-Include*[0-9]*-Recurse-ErrorAction SilentlyContinue|Select-Object-Property*Path*|Out-GridView”，可以找到所有包含數字名稱的服務（圖2）

小知識：注冊表的結構及PowerShell對它的基本操作

Windows的注冊表是由[HKEY_CLASSES_ROOT]、[HKEY_CURRENT_USER]、[HKEY_LOCAL _MACHINE]、[HKEY_USERS]和[HKEY_CURRENT_CONFIG]這五大主鍵組成的一個數據庫文件，每個主鍵下又包含多個子鍵（圖1）。當我們使用PowerShell命令行對其進行操作時，PowerShell實際上是將這五大主鍵作為五個文件夾看待（其下子鍵則看作子文件夾），這樣我們可以使用CD命令定位鍵值，使用DIR命令查看鍵值結構，操作起來不僅方便，而且效率也更高。

比如筆者的電腦某次中了一種病毒，雖然殺毒軟件已經將病毒清除，但是根據殺毒軟件的說明還需要手動將病毒注冊的多個隨機數字服務刪除，有些服務使用SYS驅動加載，通過“服務”組件無法找到這類服務。下面筆者介紹如何用PowerShell來查找和刪除這些服務的鍵值。

通過PowerShell，我們不僅可以使用通配符（如上例中的“[0-9]”，表示包含0-9的數字）搜索，而且可以限定搜索范圍（如上述指定的路徑“hklm：＼system＼ControlSet001＼services”），這樣搜索效率更高（而注冊表編輯器只能在所有項中搜索）。同時在搜索結果中還可以使用篩選器進行再次篩選，比如輸入“3”，可以找到所有包含數字“3”的服務（圖3）。

2. 查看鍵值結構

通過上述的方法我們找到了所有純數字名稱的服務（如“28823462”和“39923462”），那么這些是不是正常的系統服務？我們還可以在PowerShell中繼續輸入并執行命令“CDhklm：＼system＼ControlSet001＼services＼28823462”（定位到“28823462”服務項），再執行“dir”命令，這樣可以看到“28823462”服務項的結構，其下還有一個子項“Parameters”。

如果需要查看服務實際加載的進程，可以通過“Parameters”項右側窗格中“ImagePath”的值來獲取。同上，再輸入并執行命令“Get-ItemPropertyValue-Path"."-Name"Image Path"”（表示查看“ImagePath”的值），在窗口中可以看到其執行的是“＼SystemRoot＼System32＼drivers＼28823462.sys”文件，而這個正是殺毒軟件已經刪除的病毒文件（圖4）。

3.備份/恢復鍵值

由于對注冊表的操作較為危險，所以在對指定鍵值進行操作時我們要先進行備份。同上在PowerShell窗口中輸入并執行命令“regexporthklm＼system＼ControlSet001＼services＼28823462d：＼28823462.reg”，將服務鍵值導出為“d：＼28823462.reg”備份。如果后續需要進行恢復，同上再輸入并執行命令“regimportd：＼28823462.reg”即可（圖5）。

4.修改/刪除鍵值

完成了指定項的備份后，我們可以對這些數字名稱的服務進行編輯。比如在系統服務中，右側窗格中的“Start”（DWORD）值若是“4”表示服務狀態是“已禁用”，為了避免直接刪除服務帶來問題，我們可以先將需要編輯的服務設置為“禁用”，重啟并確認沒有問題后再刪除。

同上，在PowerShell窗口中輸入并執行命令“Set-Item Property-Pathhklm：＼HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼28823462＼Parameters-name"start"4”。如果需要直接刪除該服務的鍵值，則輸入并執行命令“Remove-Item-Pathhklm：＼system＼ControlSet001＼services＼28823462-Recurse”（圖6）。其他服務鍵值的處理類似。

借助PowerShell，我們不但可以搜索、查看和更改注冊表鍵值，而且即使注冊表編輯器被禁用也可以完成上述的操作。大家以后需要編輯注冊表時不妨使用上述的方法。