הרגיסטרי למתקדמים
כתב את המדריך:
IBZ, מנהל פורום תמיכה טכנית בתפוז.
תאריך פירסום המדריך:1.11.06
1-
הקדמה.
2- הקבצים
המרכיבים את מערכת הרישום במערכות הפעלה השונות.
3- הסבר כללי על אופן העבודה
ברישום.
4- הבדל בין
regedit
ל-
regedt32.
5- סוגי המפתחות הראשיים.
6- סוגי תת מפתחות
עיקריים.
7- סוגי ערכים
שונים במערכת הרישום של
XP.
8- אופן העבודה
של תוכנות הניקוי השונות.
9- עובדות מעניינות על הרישום.
הקדמה
זהו המדריך השני שלי, בנושא הרגיסטרי, אם המדריך הראשון יועד למשתמשים המתחילים ולהכרה
ראשונית של מערכת הרישום , אז מדריך זה מיועד
למתקדמים יותר, ומכיל מידע יותר מאשר חומר לימוד.
מהו הרגיסטרי: הרגיסטרי
מתייחס למסד הנתונים המרכזי של כל מערכת הפעלה, כל המידע המשמש את מערכת
ההפעלה, מאוחסן בצורה זו או אחרת במסד הנתונים הזה בין אם המידע מתייחס להעדפות משתמש בצבע שולחן העבודה או
סמן העכבר דרך תוכנות שהותקנו, ועד לפרטי קובץ הקשור לדרייבר של כרטיס
הקול.
הרגיסטרי נקרא בעברית מסד הרישום, ומאז ומתמיד
מסד זה, אוחסן בקבצים בינאריים שלא ניתנו לצפייה בדרכים רגילות, אלא דרך תוכנות
יחודיות, אחת התוכנות, מגיעה עם מערכת ההפעלה, ונקראת
עורך הרישום (REGEDIT).
המידע המאוחסן ברישום, משתנה באופן
דינאמי, ונאסף משלושה גורמים מרכזיים: התקנה, אתחול, משתמש:
גורם ההתקנה יוצר את מסד הנתונים
הבסיסי.
גורם האתחול מוסיף או גורע ממסד
נתונים זה, בכל פעם שמפעילים את המחשב.
והגורם האחרון, הוא המשתמש שיוצר
שינויים תמידיים במערכת ההפעלה.
רוב החומר, המובא כאן, מבוסס על מערכת
הרישום של מערכת הפעלה
XP,
מהסיבה הפשוטה: זו מערכת ההפעלה המסובכת ביותר מבחינת הרישום, שיצרה מיקרוסופט,
ולפיכך, גם המעניינת ביותר.
ניתן לראות, שהרישום בנוי בצורה
היררכית, באופן דומה לסייר של המחשב.
הרישום בנוי, למעשה, משתי כוורות
(Hive
key=HKEY):
1-
HKEY_LOCAL_MACHINE
2-
HKEY_USERS
למעשה, אלו המפתחות הבונים את מערכת
הרישום בשלמותה, שאר המפתחות הם קיצורי דרך למפתחות אלו, כל שינוי של נתונים בקיצור
דרך ישפיע מיידית על המפתח המקורי (ולהיפך, שינוי במפתח המקורי, משפיע מיידית על
קיצור הדרך).
קיצורי הדרך
הם:
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_CURRENT_CONFIG
כל מערכת הפעלה בנויה, כך שניתן יהיה
לשנות פרטים דרך תוכנות עזר, ולא ישירות דרך עורך הרישום, הדרך הטובה ביותר לעשות
זאת היא דרך לוח הבקרה או דרך תוכנות חיצוניות(תוכנות
tweak), אך יש כמה סיבות שמחייבות עבודה מול הרישום, ולא דרך תוכנות
אלו:
1-
פגיעת וירוס, דרייבר או תוכנה לא מתאימים.
2-
האקינג: שינוי אופן פעולה של תוכנה
או חומרה: אפשור הסרת אינטרנט אקספלורר 6, התקנת
directx, שינוי שם סל המחזור ועוד.
3-
שינוי פרטני בסוגי קבצים שלא ניתן
לעשותם דרך לוח הבקרה.
4-
הרגשה של אחד שמבין/תותח
הקבצים המרכיבים את מערכת הרישום
במערכות הפעלה השונות
החלוקה כאן ברורה: מערכות הפעלה, דוגמת
98/95/me כנגד
xp/win2k.
במערכות הפעלה של
9X
, קיימים שתי
קבצים, שהכילו את מערכת הרישום:
System.dat +user.dat, לא קשה לשער
מה תפקיד כל קובץ:
System.dat- מאכסן מידע על
החומרה.
User.dat- מאכסן מידע על
על המשתמש כולל הגדרות אבטחה (אם
ישנם).
במערכת הפעלה
XP,
ישנה חלוקה למספר גדול, וברורה
יותר של קבצים:
Software- עותק
של המפתח
HKEY_LOCAL_MACHINE\Software
Security- עותק של המפתח
HKEY_LOCAL_MACHINE\Security
System- עותק של המפתח
HKEY_LOCAL_MACHINE\System
Sam- עותק
של המפתח
HKEY_LOCAL_MACHINE\SAM
Default- עותק של המפתח
HKEY_USERS\.DEFAULT
הקבצים נמצאים בתיקיית
system32/config, אם נסתכל שם, נמצא גם קבצים נוספים בסיומות של
ALT, SAV, EVT,
LOG.
סיומת
ALT: סוג
גיבוי של מערכת הרישום, לא ארחיב עליה.
סיומת
SAV: עוד
סוג גיבוי של מערכת הרישום, גם עליה אין צורך להרחיב.
סיומת
EVT: קבצים
הבונים את ה-event viewer(מציג האירועים).
סיומת
LOG: קובץ
השומר הגדרות, שנעשו מאז האתחול האחרון המוצלח של מערכת ההפעלה, במידה ואין שינויים
לא נוצר קובץ כזה, במידה וישנם שינויים, ובאתחול הבא, אנו נתקלים בבעיה, ניתן לבצע את
האפשרות last
known configuration, המידע יילקח
בין היתר מכאן.
הסבר כללי על אופן העבודה
ברישום
כמו שרבים מזהירים מפני התעסקות
ברישום, גם אני אזהיר מהסיבה הפשוטה ביותר: עשית
טעות-שילמת...
הבעיה העיקרית בעריכת הרישום היא
פשוטה: הקלות בה ניתן לפגוע במערכת הפעלה יציבה, פשוטה להפליא, מספיק שינוי או מחיקה
של ערך, וניתקל בחוסר יציבות או בקריסה טוטאלית של מערכת
ההפעלה.
חשוב, גם לציין, שאין דרך ביטול ברישום,
אם מחקת או שינית ערך כלשהו ,ולא שמת לב לטעות, תתקל בבעיות במקרה הטוב או בחוסר
הפעלה של מערכת ההפעלה, במקרה הגרוע.
להלן תמונה, המתארת את מבנה עורך
הרישום בצורה פשוטה.
כאן רואים, שיצרתי מפתח משנה, בשם IBZ
תחת המפתח הראשי
HKEY_CURRENT_USER. , תחתיו יצרתי מפתח משנה
בשם "תת מפתח", בצד ימין, ניתן לראות ערך בשם "ערך" שערכו:
abcde12345.
יצירת ערך: לחיצה ימנית על מקום ריק
בצד הימני של החלון, בתפריט הנפתח, נבחר ב-NEW
,ואז
בערך הרצוי לנו, יש סוגים רבים של ערכים, בהמשך, אפרט מהם
ותפקידם.
מחיקת
ערך: לחיצה
ימנית על הערך המדובר, ובחירה ב-DELETE.
שינוי
ערך: לחיצה
ימנית על הערך המדובר, ובחירה ב-MODIFY, ניתן גם ע"י לחיצה כפולה על הערך עצמו.
הבדל בין
regedit
ל-
regedt32
במערכת הפעלה של WINXP אין את תוכנת ה-REGEDT32, אך מי שיתעקש ויחפש ימצא ישום בשם כזה, אז מה קורה כאן?
הקובץ
נמצא, כנראה, בגלל תאימות, וכל הפעלה של
REGEDT32
,תפעיל, למעשה את היישום
REGEDIT הישן והמוכר.
בגרסאות ישנות היו ל-REGEDT32, יתרונות ברורים על גבי
REGEDIT,
והם:
- עריכה של מפתחות וערכים הנוגעים
לאבטחה (דוגמה- לא ניתן לשנות ערכים מסוג
REG_EXPAND_SZ
או-REG_MULTI_SZ, ואם הערך שונה, הוא לא ישמר במצבו המקורי, אלא ישמר כערך
SZ רגיל, ותכונותיו המקוריות יאבדו).
- יצוא מפתחות ושמירתם כקובץ
HIVE (שמירת מפתח ראשי כקובץ בודד).
- אופציה למצב עבודה של "קריאה בלבד" למניעת טעויות.
-
במערכות הפעלה אקספי, מכיל ה-REGEDIT
את היתרונות הללו, ואין
צורך יותר ב-REGEDT32.
-
ראוי לציין
,שאין מצב "קריאה בלבד"
ברישום של מערכת ההפעלה אקספי
, מצב
זה נחשב לאחד היתרונות ב-REGEDT32
, ולא הצטרף, לגרסה החדשה.
סוגי המפתחות
הראשיים
כאמור, הרישום בנוי מחמישה מפתחות,
שניים מהם אמיתיים, והשאר קיצורי דרך להם.
המפתחות הם:
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
HKEY_CLASSES_ROOT
מכיל את המידע, אודות כל הקבצים
המותקנים במחשב, דרכי פעולה, בעת לחיצה כפולה או לחיצה ימנית על קובץ מסוים, אופן
הדפסה, שיוכי הקובץ לאייקון ותוכנה.
המפתח, לא נחשב למפתח אמיתי, ומקבל את
המידע ישירות ממפתח
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
המפתח מפוצל לשתי חלקים עיקריים: החלק
הראשון מכיל את סיומת הקובץ, והחלק השני מתאר דרכי פעולה הנוגעות לאותה
הסיומת.
HKEY_CURRENT_USER
מכיל מידע על המשתמש
הנוכחי שמשתמש כרגע במערכת ההפעלה,
מפתח זה, שומר הגדרות על פרופיל
המשתמש, אופן התצוגה של שולחן העבודה, תוכנות שהותקנו ע"י המשתמש, ותכונות מיוחדות
הנוגעות למשתמש עצמו, הגדרות ספציפיות לעכבר מקלדת, ושאר חומרה
ועוד.
המפתח לא נחשב למפתח אמיתי, ומקבל את
המידע ישירות ממפתח
HKEY_USERS\.DEFAULT, כשאת המפתח-DEFAULT יחליף שם המשתמש הנוכחי, במידה ואין משתמשים
רשומים במערכת ההפעלה, מערכת הרישום, תחפש מידע, מהערך DEFAULT בלבד.
HKEY_LOCAL_MACHINE
מפתח ראשי "אמיתי",
מכיל מידע על החומרה המותקנת במחשב, מנהלי התקנים, פסיקות, זיכרון, הגדרות אבטחה
ורשת.
HKEY_USERS
עוד מפתח ראשי "אמיתי",
מכיל מידע על כל המשתמשים, הגדרות אבטחה שלהם, והעדפות אישיות של כל אחד
ואחד.
בעת ההתקנה, מכיל מפתח
זה, את המפתח HKEY_USERS\.DEFAULT, כשאנו יוצרים משתמש חדש, מפתח זה מועתק, כמו כן, בשלב האתחול המערכת
מקבלת פרטים ממפתח זה עד לשלב ה-
logon.
HKEY_CURRENT_CONFIG
מפתח המכיל מידע, אודות
התצורה הנוכחית של מערכת ההפעלה מבחינת חומרה/תוכנה,
המפתח לא נחשב למפתח אמיתי, ומקבל את
המידע ישירות משתי מפתחות
:
הראשון הוא
HKEY_LOCAL_MACHINE\SOFTWARE
והמפתח השני הוא
HKEY_LOCAL_MACHINE\SYSTEM
(מי שיפתח את המפתח הזה
אצלו,ימצא תחתיו רק שתי תת מפתחות-
SYSTEM+SOFTWARE,
בהמשך המאמר נראה זאת).
סוגי תת מפתחות
עיקריים
HKEY_CLASSES_ROOT:
תת המפתחות הנמצאים כאן, שונים ממערכת
הפעלה אחת לשנייה, בהתאם לסוגי התוכנות המותקנות, לכן, אין מה להרחיב
כאן.
HKEY_CURRENT_USER:
מכיל מספר תת מפתחות
עיקריים:
AppEvents- מכיל מידע
לגבי סוגי הצלילים של מערכת ההפעלה בלבד.
Console- מכיל מידע על סגנונות הצבעים של מערכת ההפעלה
בלבד.
Control Panel
–
מכיל מידע אודות פרטים שונים בלוח
הבקרה.
Environment- מכיל מידע אודות תיקיות
temp+tmp.
EUDC-מידע אודות פונטים
מיוחדים(end user defined
characters)
Identities- מכיל מידע אודות נתונים ספציפיים לתוכנות מסוימות (לדעתי, תוכנות תומכות מייקרוסופט בלבד).
Keyboard Layout- מכיל מידע אודות המקלדת.
Printers- מכיל מידע אודות מדפסות מקומיות ורשת.
RemoteAccess- מכיל מידע
אודות התחברות מרחוק.
SessionInformation- מכיל מידע
דינמי הנוגע להפעלה הנוכחית.
Software- מכיל מידע אודות מירב התוכנות המותקנות במחשב.
SYSTEM- מכיל מידע הנוגע לתהליך גיבוי, ושחזור במערכת.
UNICODE Program Groups- לא בשימוש, נמצא לשם תאימות לאחור של מערכות הפעלה ישנות
יותר.
Volatile Environment- מכיל מידע העוזר לזיהוי ברשת.
Windows 3.1 Migration
Status-- לא בשימוש,
נמצא לשם תאימות לאחור של מערכות הפעלה ישנות יותר.
HKEY_LOCAL_MACHINE
HARDWARE- מכיל מידע אודות החומרה המותקנת.
SAM- מכיל
מידע אודות המשתמשים, ודרכי אבטחה.
SECURITY- מכיל עותק של
SAM,
חשבונות משתמשים והרשאות.
SOFTWARE- מכיל מידע מושלם על התוכנות המותקנות במערכת
ההפעלה.
SYSTEM- מכיל מידע התקנה ומידע נוסף על חומרה
המותקנת.
מפתח זה מכיל מספר מפתחות משנה
חשובים, ארחיב עליהם מעט:
CurrentControlSet - מכיל הגדרות הנוגעות ל-
last known configuration, מפתח זה מגובה מספר פעמים,
כל עותק גיבוי נקרא בשם
ControlSet001,
ControlSet002 (לרוב, נמצא שני עותקים, אך ניתן ליצור עד ארבעה עותקי
גיבוי).
-CurrentControlSet\Control\SafeBootכאן נמצא מפתח המכיל הגדרות "מצב
בטוח", תחת מפתח זה נמצא שתי מפתחות:
MINIMAL+NETWORK (מתחיל להיות מוכר?- זה מה
שאנו מקבלים בבחירת תפריט האתחול, אחרי לחיצה על מקש
F8, בעת
הפעלה המחשב).
זהירות: לעולם, אבל לעולם, אין לערוך
ערכים תחת מפתח זה.
HKEY_USERS
DEFAULT-
פרופיל ברירת המחדל של המשתמשים,
ומשמש להפעלה של מערכת ההפעלה עד לרגע ה-Logon.
המפתחות הבאים נוגעים לכלל המשתמשים
הרשומים במערכת ההפעלה, כל משתמש מזוהה ע"י מערכת ההפעלה ע"י
SID ((security
ID.
ל-Sid יש
מספר מאפיינים קבועים: האות הראשונה תהיה תמיד
S, המספר
השני בתור תמיד יהיה 1(זיהוי אוניברסלי למערכות הפעלה של
מיקרוסופט), המספר השלישי והרביעי אחרי
S-1 מרכיבים יחד את סמל זיהוי הסמכות של
המשתמש(admin
,terminal server וכולי), שאר
המספרים מהווים את ה-ID של
המשתמש.
דוגמה:
מספר ה-SID של שם
המשתמש שלי (IBZ)
הוא
S-1-5-21-776561741-57989841-839522115-1004
ומספר ה-SID של השם
הפרטי שלי,
S-1-5-21-776561741-57989841-839522115-1003
המספר זהה כמעט לגמרי, חוץ מהספרה
האחרונה, שתי המספרים משתייכים לחשבון אדמיניסטרטור (איך
יודעים? :S-1-5-21 מסמל תמיד חשבון אדמיניסטרטור).
למי שנדלק הניצוץ בעיניים, ומתכנן
ליצור תוכנה המפצחת את מספר ה-SID לשם
המשתמש, תנו לי לחסוך לכם: גם המידע הזה נמצא ברגיסטרי...
נווטו למפתח
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ProfileList
ושם תמצאו את כל חשבונות המשתמש
הרשומים במערכת ההפעלה.
אין שתי מספרים
SID זהים ,
ולא ניתן ליצור מספר
SID באופן
ידני (ניתן באופן בלתי ישיר לשנות
SID בעזרת
תוכנות).
מחיקת משתמש מוחקת את מספר
ה-,SID ולא
מאפשרת ליצור מספר הזהה לישן, זו אחת הסיבות, שמי שמתקין מערכת הפעלה מחדש על גבי
מערכת הפעלה קיימת, לא מצליח לפתוח קבצי משתמש שנוצרו בעזרת השם הישן- מערכת הרישום
לא מזהה את המשתמש לפי שמו, אלא פי מספר ה-SID
שלו, וכמו שאנו כבר
יודעים- אין מספר
SID
זהה).
HKEY_CURRENT_CONFIG
Software- קיצור דרך ל:
HKEY_LOCAL_MACHINE\SOFTWARE
System- קיצור דרך ל:
HKEY_LOCAL_MACHINE\SYSTEM
סוגי
ערכים
במערכת הפעלה
,XP ישנם
מספר רב של ערכים חדשים, חלקם ניתנים לעריכה וחלקם לא, להלן תיאורם:
REG_SZ- ערך מחרוזת בין הערכים הנפוצים ביותר, ניתן לעריכה
ידנית.
REG_COLOR_RGB-ערך הנוגע להגדרות צבעים, עתיד להיות נפוץ יותר במערכות הפעלה
הבאות של מיקרוסופט.
REG_BINARY- ערך בינארי נפוץ ביותר, ניתן לעריכה ידנית.
REG_MULTI_SZ-
רצף של מחרוזות הנמצאות בערך
אחד, מצמצם ערכי בכך שהוא מקטין את מספר הערכים מסוג
REG_SZ.
REG_EXPAND_SZ-מחרוזת מורחבת, יעיל בשמירת ערכים משתנים (כדוגמת תיקיית התקנה או
%system32%).
REG_NONE- ערך יחודי, לא מכיל דבר, אך מחיקתו
גורמת לתקלות, ועצם הימצאותו במיקום מסוים מונעת
זאת.
REG_FILE_NAME- ערך השמור למערכות הפעלה עתידיות של מייקרוסופט.
REG_FILE_TIME- ערך השמור למערכות הפעלה עתידיות של מייקרוסופט.
REG_FULL_RESOURCE_DESCRIPTOR- ערך בינארי הנוגע לנתוני חומרה, לא ניתן לייצרו או לשנותו, נמצא
רק תחת המפתח HKEY_LOCAL_MACHINE.
REG_RESOURCE_LIST- ערך בינארי הנוגע לפרטי חומרה, לא ניתן לייצרו או לשנותו, נמצא רק
תחת המפתח HKEY_LOCAL_MACHINE.
REG_RESOURCE_REQUIREMENTS_LIST-ערך בינארי הנוגע לפרטי חומרה, לא ניתן לייצרו או לשנותו, נמצא רק
תחת המפתח HKEY_LOCAL_MACHINE.
REG_LINK- קיצור דרך למיקום אחר ברגיסטרי, לא
ניתן לייצרו או לשנותו.
REG_UNKNOWN-ערך בלתי מזוהה, שנוצר ע"י תוכנה או בעקבות שדרוג מערכת
הפעלה.
REG_DWORD- ערך כפול,
בעל
32bit, ניתן לעריכה ידנית.
REG_DWORD_BIG_ ENDIAN- משמש לאחסנת מידע ממחשבי תואמי אינטל,
דומה בערכו לערך
REG_DWORD.
REG_DWORD_LITTLE_ENDIAN-משמש לאחסנת מידע, המתקבל ממערכות מחשב, לא תואמות אינטל, דומה, בערכו לערך
REG_DWORD.
REG_QWORD- ערך בעל
64bit, ישמש בעיקר
במערכות הפעלה התומכות ב-64bit.
REG_QWORD_LITTLE_ENDIAN- ערך בעל
64bit, ישמש בעיקר במערכות הפעלה התומכות ב-64bit.
אופן העבודה של תוכנות הניקוי
השונות
בהתקנת תוכנה מוספים ערכים רבים למערכת הרישום, הרבה יותר מכפי שאתה משערים לעצמכם.
הבעיה מתחילה, כשרוצים להסיר את התוכנה,
לא תמיד, תוכנת ההסרה של התוכנה מצליחה להסיר את כל הערכים שיצרה בעת ההתקנה, כתוצאה
מכך,אנו מקבלים מערכת הפעלה יציבה פחות, עמוסה ואיטית.
כאן באות לעזרתנו תוכנות הניקוי, כולן
עושות את אותה עבודה, וכך הן פועלות:
התוכנה מחפשת ערכים לסיומות הקובץ
שהוסר, נתיבים שכבר לא קיימים, פונטים, וקבצים לא נחוצים, ויישומים האמורים לפעול בעת האתחול.
להלן מספר מפתחות עיקריים שנסרקים:
- סריקת תוכנות העולות בעת האתחול-ע"י
סריקה של כל מפתחות ההפעלה, ובעיקר בנתיב:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ובנתיב
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- סריקת קבצי
DLLמשותפים:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
(יש לציין, שישנם תוכנות ניקוי שבמידה
והן מוצאות את קובץ ה-DLL הרצוי
,במיקום אחר בדיסק הקשיח, הן מעדכנות את הנתיב במערכת הרישום ולא מוחקות את
הערך).
- סריקת פונטים שאינם
כבר:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Fonts
- סריקת סיומות קבצים שהושארו ללא
צורך:
HKEY_CLASSES_ROOT
עובדות מעניינות על
הרישום
*- לא ניתן ליצור מפתח חדש תחת
המפתחות הראשים
HKEY_USERS
ו -
HKEY_LOCAL_MACHINE.
*- בחיבור למחשב מרוחק, נראה את שתי
המפתחות הראשיים האמיתיים בלבד.
*- שם ערך יכול להכיל עד 16,383 תווים(לעומת 255 תווים במערכות רישום של
WIN9X).
*- הגודל המקסימלי של ערך מסוים לא מוגבל, ויכול לגדול בהתאם לזיכרון
הפנוי במערכת (לעומת, הגבלה של עד 16,300 בתים, במערכות רישום של
WIN9X), הבעיה בתכונה זו, שערך כבד מדי יכול להאט את המערכת, לכן מומלץ
ליצור קיצור דרך לקובץ הנמצא פיזית בדיסק הקשיח, ובעת הצורך ניתן יהיה לייבא מידע
מקובץ זה.
*- מערכת ההפעלה הבאה של מיקרוסופט,
תכלול שילוב של מערכת רישום של 32 ביט ו-64 ביט.
ניתן יהיה לעבוד עם שתי הגרסאות דרך
הפעלת הפקודה REGEDIT (הדומה, למצב כיום), השוני יהיה בכך שיהיו שתי גרסאות
REGEDIT
כל אחת בנתיב אחר.
בכל מקרה- לא ניתן יהיה להפעיל את
גרסת ה64 ביט יחד עם גרסת ה-32 ביט, רק גרסה אחת תוכל לפעול במצב
נתון.
*- לכל ערך ברישום יש סמל משלו, לא
ניתן לשנותו, ובעלי עין חדה יוכלו לקשר בין צורת האייקון לסוג הערך, דוגמה: ערכי
טקסט(REG_SZ
,REG_MULTI_SZ
וכדומה), הם בעלי סמל המכיל אותיותAB
בצבע אדום על רקע לבן, מאחר וערכים אלו מכילים
טקסט בלבד.
ערכים בינאריים (EG_BINARY, REG_DWORD וכדומה) הם בעלי סמל המכיל ספרות אפס ואחד בצבע כחול על רקע לבן.