注册表文件路径及位置详解

从现在开始，努力学习吧！本文《注册表文件位置及路径详解》主要讲解了等等相关知识点，我会在golang学习网中持续更新相关的系列文章，欢迎大家关注并积极留言建议。下面就先一起来看一下本篇正文内容吧，希望能帮到你！

Windows注册表由多个二进制蜂巢文件组成，系统级位于C:\Windows\System32\config（含SYSTEM、SOFTWARE等），用户级为C:\Users\%USERNAME%\NTUSER.DAT，备份存于RegBack目录，旧系统及64位WOW64机制路径与映射方式各异。

如果您在排查系统配置异常或进行取证分析时需要定位注册表底层文件，则必须直接访问其物理存储路径。Windows注册表并非单一文件，而是由多个二进制“蜂巢”（Hive）文件组成，每个蜂巢对应一个根键（如HKLM、HKU），且其路径因操作系统版本而异。以下是定位这些核心蜂巢文件的具体步骤：

一、系统级注册表蜂巢文件路径

系统级蜂巢文件统一存放于系统盘的 C:\Windows\System32\config 目录下，该目录包含五个核心蜂巢文件，分别对应HKEY_LOCAL_MACHINE下的主要子树。这些文件无扩展名，由Windows内核直接加载，不可被普通程序直接编辑或删除。

1、打开文件资源管理器，将地址栏粘贴输入：C:\Windows\System32\config，按回车键。

2、确认当前用户具有管理员权限，并启用“显示隐藏的项目”选项（在查看选项卡中勾选）。

3、查找以下关键蜂巢文件：SYSTEM、SOFTWARE、SECURITY、SAM、DEFAULT。

4、注意：其中 SYSTEM 文件是启动与服务管理的核心蜂巢；SOFTWARE 存储所有已安装软件的全局配置；SECURITY 和 SAM 分别承载安全策略与本地用户账户凭证信息。

二、用户级注册表蜂巢文件路径

每个登录用户的个性化配置由独立的NTUSER.DAT蜂巢文件承载，该文件在用户登录时由系统加载至HKEY_CURRENT_USER分支。其物理位置与用户配置目录严格绑定，且默认为隐藏系统文件。

1、打开文件资源管理器，在地址栏输入：C:\Users\%USERNAME%（将%USERNAME%替换为当前用户名，例如C:\Users\Administrator）。

2、确保已启用“显示隐藏的项目”和“显示受保护的操作系统文件（推荐）”选项（需在文件夹选项中取消勾选“隐藏受保护的操作系统文件”）。

3、在该目录下查找名为 NTUSER.DAT 的文件，其大小通常为数百KB至数MB不等。

4、注意：该文件在用户登录状态下被系统独占占用，无法直接复制或修改；须在其他用户会话下操作，或使用离线方式（如PE环境）提取。

三、注册表备份蜂巢文件路径

自Windows Vista起，系统在每次成功启动后自动将当前注册表蜂巢备份至RegBack目录，用于灾难恢复。该机制独立于手动导出的.reg文件，是原始二进制蜂巢的完整副本。

1、在文件资源管理器地址栏输入：C:\Windows\System32\config\RegBack，按回车键。

2、检查该目录是否存在，若为空或不存在，说明系统未启用自动备份功能或此前未完成一次正常关机启动循环。

3、该目录下应存在与config主目录同名的备份文件，包括：SYSTEM、SOFTWARE、SECURITY、SAM、DEFAULT，以及对应的.log文件。

4、注意：RegBack中的文件时间戳早于config目录中对应文件，且仅在系统启动成功后更新，不包含用户登录后的动态变更。

四、早期Windows系统蜂巢路径差异

Windows 9x/ME及Windows 2000系统采用不同的蜂巢组织结构，其文件命名与存放路径与NT系列显著不同，需区分处理以避免误判。

1、对于Windows 95/98/ME系统，注册表蜂巢以明文文件形式存在，路径为：C:\Windows\SYSTEM.DAT 与 C:\Windows\USER.DAT。

2、对于Windows 2000系统，系统蜂巢仍位于：C:\WinNT\System32\Config，但用户蜂巢存放于：C:\Documents and Settings\%USERNAME%\NTUSER.DAT。

3、注意：Windows 2000的SECURITY蜂巢在默认安装中可能不存在，其安全策略由域控制器或本地策略组策略对象间接控制。

五、64位系统中WOW64注册表视图蜂巢映射

在64位Windows系统中，32位应用程序通过WOW64子系统访问注册表，其读写操作会被重定向至独立的逻辑视图，但底层蜂巢文件仍共享同一组物理文件，仅通过注册表重定向机制实现隔离。

1、32位程序调用RegOpenKeyEx访问HKEY_LOCAL_MACHINE\SOFTWARE时，实际被重定向至：HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node。

2、该重定向节点不对应独立蜂巢文件，而是由系统在运行时从同一 C:\Windows\System32\config\SOFTWARE 文件中分离出32位专用键值。

3、注意：WOW6432Node本身不是文件，不能通过文件系统访问；其内容变更实时反映在SOFTWARE蜂巢中，但存储结构经特殊序列化处理。

好了，本文到此结束，带大家了解了《注册表文件路径及位置详解》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！