ACMILIAN 发表于 2005-12-22 21:27:16

定期分析日志可以发现潜在的安全问题,ICF的日志分为两部分:一部分是ICF审核通过的IP数据包,而另一部分就是ICF抛弃的IP数据包。日志一般存于Windows目录之下,文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format),分为两部分,分别是文件头(Head Information)和文件主体(Body Information)。文件头主要是关于pfirewall.log这个文件的说明,需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息,包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。

在实际的使用中应尽量避免在局域网中使用ICF,它可能会给一些网络应用带来影响。在个人电脑中使用也可能会对一些程序的运行带来影响。例如,OICQ的“语音世界”功能就是建立在双方交互的基础上的,而ICF会影响这些交互过程从而使得连接无法建立。解决这样的问题也很简单,一种当然是取消ICF,但这不是推荐的方法。另一种方法就是找到到底OICQ使用哪个端口来实现语音功能,在前面介绍的属性→高级→设置→服务中来添加一项自定义设置从而使ICF忽略这个端口的检测。这样,OICQ的语音功能就可以正常使用了。

总之,ICF是Windows XP提供的一项新的功能,它并不是用来取代现有的个人防火墙产品,但是ICF能够为个人电脑提供相当的保护。我们为获得在网络上的安全所需要做的就是在建立连接的时候选择使用ICF,在需要的时候作出必要的设定,并且定期查看日志。当然,最先要做的就是购买Windows XP的家用或者专业版,并把它们安装起来。

Windows XP界面调整技巧

作者:范浪波来源:赛迪网

目前使用Windows XP的用户越来越多。可是在默认情况下,Windows XP在界面上和原来的Windows 98/2000有很大的不同,所以有些用户很不习惯,下面介绍如何将Windows XP的界面改回Windows 98/2000的式样。   1、桌面显示“我的电脑”、“我的文档”和“网络邻居”   Windows XP在显示桌面图标时,默认是没有“我的电脑”、“我的文档”和“网络邻居”等图标,给相当多习惯用这些图标的用户造成很大的不便。让Windows XP显示这些内容的方法为:   在桌面空白处单击鼠标右键,在快捷菜单中选择“属性”,在弹出的窗口中选择“桌面”标签,再选择“自定义桌面”,看弹出窗口之后,知道怎么做了吧?   2、采用Windows 98/2000的窗口风格   有些人可能不喜欢Windows XP的窗口风格,想恢复原来的Windows 98/2000的界面,怎么办?在桌面空白处单击鼠标右键,在快捷菜单中选择“属性”,在弹出的窗口中选择“主题”标签,从“主题”的下拉菜单中选择“Windows经典”,然后选择确定就可以了。   3、使用Windows 98/2000式样的“开始”菜单   打开“开始”菜单后,在弹出窗口空白处点击鼠标右键,选择“属性”,即弹出“任务栏和‘开始’菜单属性”窗口,选择“经典『开始』菜单”即可。   4、不将标题相同的任务分组   在Windows 98下,你如果打开多个IE窗口,每个IE窗口都会在任务栏中有一项。在Windows XP中,这些IE窗口将被分成一组,这样任务栏将变得简洁多了。但是当你运行的任务较少时,这一任务分组功能反而需要你多点一次鼠标,很不方便。将分组功能取消的方法是:   在第3项中弹出的“任务栏和‘开始’菜单属性”窗口中选择“任务栏”标签,将“分组相似的任务栏按钮”前的对勾去掉,然后选确定即可。

ACMILIAN 发表于 2005-12-22 21:27:46

Windows操作系统“安全模式”的应用

   对于Windows操作系统的安全模式,经常使用电脑的朋友肯定不会感到陌生,安全模式是Windows用于修复操作系统错误的专用模式,是一种不加载任何驱动的最小系统环境,用安全模式启动电脑,可以方便用户排除问题,修复错误。

  进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”,即可
以安全模式启动计算机。那么安全模式到底有哪些用途呢?下面就让我们具体来看一下。

  1.修复系统故障

  如果Windows运行起来不太稳定或者无法正常启动,这时候先不要忙着重装系统,试着重新启动计算机并切换到安全模式启动,之后再重新启动计算机,系统是不是已经恢复正常了?如果是由于注册表有问题而引起的系统故障,此方法非常有效,因为Windows在安全模式下启动时可以自动修复注册表问题,在安全模式下启动Windows成功后,一般就可以在正常模式(Normal)下启动了。

  2.恢复系统设置

  如果用户是在安装了新的软件或者更改了某些设置后,导致系统无法正常启动,也需要进入安全模式下解决,如果是安装了新软件引起的,请在安全模式中卸载该软件,如果是更改了某些设置,比如显示分辨率设置超出显示器显示范围,导致了黑屏,那么进入安全模式后就可以改变回来,还有把带有密码的屏幕保护程序放在“启动”菜单中,忘记密码后,导致无法正常操作该计算机,也可以进入安全模式更改。

  3.删除顽固文件

  我们在Windows下删除一些文件或者清除回收站内容时,系统有时候会提示“某某某文件正在被使用,无法删除”的字样,有意思的是,通常这些文件并没有正在被使用,那么是不是让这些文件永远霸占我们的硬盘呢?请不要着急,重新启动计算机,并在启动时按下F8键

ACMILIAN 发表于 2005-12-22 21:28:14

删除程序斩草除根

    我们在删除某个应用程序后会发现,有时,通常的删除操作是无法将其完全赶出计算机的,总有一些遗留问题。那么,怎样才能“斩草除根”呢?
    问:时下软件生产也赶“时髦”,出了“绿色软件”,听说它可以被直接删除而不在系统中留下任何垃圾?

    答:对。因为这种软件不在注册表中植入任何信息,不对系统文件进行任何修改,所有文件只存在于一文件夹中。删除它只需将整个文件夹删除,然后在“开始→程序”下找到该“程序组”,删除即可。

    问:为什么有的程序需要使用软件提供的卸载程序进行卸载,不使用能否将其删除?

    答:随着Windows时代软件的逐步成熟,各类软件为追求强大的功能和良好的使用效果,在安装时会对系统进行一些改动。因而卸载时自然需要把其恢复,否则,只能使系统漏洞越来越多且系统不断“肥胖”。因此,这类软件大都提供了卸载程序用于恢复系统设置。卸载时点击其“程序”菜单中的“卸载某某”即可。如果找不到,可在“开始→设置→控制面板→添加/删除程序→安装/卸载”标签中的列表内找到要卸载的程序(如果有的话),按“添加/删除”按钮即可。此法在卸载大多数软件时都适用。

    问:我删除了一个应用程序,后来发现“添加/删除程序”中还有这个应用程序的名字。该怎么删除它?

    答:运行“regedit”,选择“HKEY_LOCAL_MACHINESoftwareMicrosoft Windows CurrentVersionUninstall”,Uninstall文件夹中有用户安装的所有32位应用程序,从中选择要删除的应用程序的名字,按下Del键,单击“确认”即可。同样,如果您要清除“添加/删除程序”中的垃圾也可采用这种方法。

    问:我在计算机上卸载了一些软件后,一启动计算机,总是弹出一个对话框,提示某某软件启动没有成功,但“启动”菜单却是空的,怎么办?

    答:很多软件需要在计算机启动时运行一个程序,如超级解霸等,这个程序并不是加在启动菜单中的,而是加
入在系统的注册表中,所以在启动菜单中是看不到的。要想解决这个问题,运行“regedit”,找到“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录,把那条删除就可以了。

    问:软件卸载后有的图标还存在于控制面板中,难道删不掉吗?

    答:控制面板里的每个项目都是一个CPL文件。如果CPL文件没有被删除则图标不会消失。到WindowsSystem文件夹下找到对应的CPL文件(图1),删除后控制面板中的图标就会消失了。

BIOS文件也DIY 一劳永逸的显卡超频
很多朋友喜欢利用第三方软件或用修改注册表的方法超频显卡。这两种方法都较简单易用,但也有一个缺点就是当注册表被破坏或系统崩溃之后需要重新进行设置,确实比较繁琐。所以笔者认为更好的方法还是通过修改显卡的BIOS来超频。显卡BIOS其实就是显卡的基本输入输出程序,它的作用是控制和管理显卡上的各个部件,如显示芯片、显存等。可见,如果我们在显卡的BIOS中调整了显示核心和显存的运行频率,就能够达到一劳永逸的超频目的。


  确认显卡超频能力

  例如笔者的速配7900显卡,采用GeForce2 Ti VX芯片、64MB DDR显存、默认显存/核心工作频率分别为220MHz/400MHz。超频之前首先应该测试一下显卡的超频能力,经笔者用Powerstrip结合3DMark2001测试发现此显卡的核心/显存频率可稳超至280MHz/445MHz。

  修改显卡BIOS

  现在我们需要准备两个工具软件:NVIDIA显卡BIOS的修改工具NVIDIA BIOS Editor和显卡BIOS刷新工具NVFLASH,www.ccidnet.com/soft/cce提供了这两款软件的下载链接。

  运行NVIDIA BIOS Editor,点击菜单“Open”菜单旁边的小三角打开下拉菜单,点中“Read and Save To File”,在弹出的对话框中填上文件名,如“BIOS”,就可把当前的显卡BIOS文件命名为BIOS.ROM并保存在当前目录下。再点“Open”菜单打开刚才保存的BIOS文件,点击“Initialization”,在“Memory Clock tables”下有两张表格可供修改显卡的核心频率和显存频率,左边适合普通SDRAM显存的显卡,右边是适合DDR SDRAM显存的显卡。为避免显卡长期工作在极限频率下,这里把GPU和Memory的频率分别改为275MHz和220MHz(DDR显存即440MHz)(如图1),然后点击“Save”按钮把修改后的文件命名为NEWBIOS.BIN。

  提示:只要修改了第一个数值再点下面的“DUP”图标就会把所有数值变得相同。

  接着就用这个自己DIY的BIOS文件刷新显卡,进入纯DOS下键入:NVFLASH -F NEBIOS.BIN,完成刷新后重启系统测试一下,显卡的显示核心/显存频率已经变成为275/436MHz。再运行3DMark2001和Quake3发现超频后的成绩比超频前提高了10%。更重要的是,以后显卡将固定在此频率下工作了。

  最后提醒大家一句,修改和刷新显卡BIOS是件较为危险的工作,一定要小心谨慎。另外超频显卡还要注意散热问题,有条件的朋友最好加装散热风扇。

ACMILIAN 发表于 2005-12-22 21:28:43

文件夹重定向

  文件夹重定向分两步实施。

  1、GPO的设置

  Windows 2000 Advanced Server可供重定向控制的有四项,即:Application Data、My Documents、桌面和开始菜单四个文件夹,你可以对它们分别设置。以重定向“开始菜单”为例,操作步骤是:进入“管理工具\活动目录用户和计算机”,选择“OU\属性\组策略\编辑\用户配置\Windows配置\文件夹重定向”,(图2)。右击“属性”,可见“目标”和“设置”两个标签项。先设置“目标”项,在“设置”框中,一般选“基本”,而“目标文件夹位置”设为“\\Server\Share”。“设置”标签项最好选“删除策略时将文件夹移回本地用户配置文件位置”。

  2、共享文件夹安全设置

  上一步仅仅指明文件夹重定向的位置,但并不能进行限制性设置,要做到这一点,必须从NTFS的安全选项入手。找到相应的重定向共享文件夹,进入“属性\安全”,仅给“Everyone”以“只读”权力,而给网管以“全控”大权,如此一来,每个域用户的“开始菜单”设置权就难逃你这个“如来佛的手掌”了

  利用管理模板(图4),任务栏和“开始”菜单上的“文档”、“关机”、“运行”、“搜索”等各项的生死存亡全在你一念之间。“桌面”项还可以隐藏、禁改、禁存甚至“消灭”桌面上所有图标。有的读者会说从Windows 95起就有注册表,可以做到上述修改设置。但管理模板的直观性非注册表能比的。况且注册表只是针对某个用户,而管理模板以OU为单位(一个OU可放n个用户)。
  这“三板斧”可谓斧斧生威。不过,唐僧的紧箍咒也不是老用。像文件夹重定向中“My Documents”的设置,其本意就是方便用户随时随地都能掌握自己的文档,若你硬是给它强行来个“只读”,岂不是与原意背道而驰?另外,如果某些人确实因为工作需要有适当的自主权,你也应该格外“开恩”。

HotDoor--实战虚拟操作系统

者:陈劲宏来源:中国电脑教育报

   一方面是习惯了的经典的Windows 98,一方面又想体验Windows XP,于是安装多操作系统的做法逐渐流行开来。不过多系统的麻烦在于从一个系统切换到另一个系统,中间需要漫长的等待。有没有可能随时方便地在各个系统间切换呢?有,这就是虚拟操作系统。

  虚拟操作系统不同于多用户,虽然在Windows 98下我们可以通过切换用户来切换到属于自己的桌面、开始菜单等个性化的操作环境。但是,这种多用户在功能和环境上并不是互相独立的,如果某一个用户由于某种原因而使系统发生崩溃,其他用户也将无法登录系统。而用HotDoor则不同,你可以在一台电脑上创建多个个性化的微型Windows 98——比如“游戏98”、“编程98”、“图形98”等,多装一个系统只会多占5~6M空间!想干什么工作就切换到什么样的系统。

  粮草先行装软件

  先用磁盘扫描工具检查一下磁盘,然后开始安装(如图1),右边出现“安装800×600版”和“安装640×480版”两个选项,一般选前者,除非背景图显示不完整,再退出安装选择后者。接下来,自定义管理员的账号、密码。根据屏幕提示,按“确认”按钮,安装过程告一段落。
  重新启动电脑。屏幕出现HotDoor画面,并显示“系统登录”菜单。由于目前电脑中只有原有的Windows 98,所以,菜单上只显示一个系统(等你创建了多个Windows 98后,它们的名字都会出现在这里,你就可以选择进入哪一个了)。选择“Windows 98”,启动后你会看到桌面上多了两个图标,它们是“HotDoor管理系统”和“HotDoor引导系统”,前者用于创建系统、用户,以及配置系统等,后者主要用于各系统之间的快速切换。

  排兵布阵巧设置

  安装完成后,怎样利用它来完成我们的工作呢?首先,你应该做好相应的计划和安排。比如:准备创建几个系统?分别用来干什么?等等。

  1、创建新系统

  双击桌面上的“HotDoor管理系统”图标,屏幕提示输入管理员账号、密码,在出现的“功能菜单”中选择“创建系统”,然后在面板上选择系统模板。你有两种选择:初始系统和Windows 98。“初始系统”是HotDoor自带的纯净的Windows 98,选择它作系统模板,可以创建一个干净的、体积极小的Windows 98,不过,这套系统启动时还需要安装各种硬件设备驱动程序,而且以这种方式新建的Windows 98,桌面上没有上述两个图标,使用上有些不便。一般情况下,建议选“Windows 98”(即原有Windows 98),无需安装驱动程序,创建后即可使用,而且新系统中连你原来装的软件也有了。

  选定系统模板后,在“系统名”位置输入新系统的名称,比如“游戏系统”(可以按下右Shift键切换到拼音输入状态以便输入汉字)。再接下来,设定新建Windows 98的属性,分公共系统和非公共系统两种,“公共系统”可以让本机所有用户随意进入并使用,“非公共系统”则必须凭密码才能进入。最后,点击“增加”按钮,一个新Windows 98诞生了!重复以上步骤,可创建其他的多个Windows 98(如图2)。
  2、启动新系统

  默认情况下,安装HotDoor系统后,每次启动计算机时,当屏幕出现“Starting Windows 98……”之后,原来熟悉的蓝天白云的画面就被“系统登录”画面所替代。在这里,你可以选择属于你自己的一套系统继续启动Windows 98。是不是有些系统是灰色的?哦,那是一些“非公共系统”!只有知道密码的用户才能进入。对于“公共系统”,我们可以直接用鼠标点击即可进入,而对于“非公共系统”,则必须点击左上角的“×”,切换到“用户菜单”,从它的第一项“用户登录”进入。

  3、启动设置

  如果不是经常在各个系统之间进行切换,能否让系统将常用的一种系统作为默认系统自动启动而无需选择呢?当然可以。系统提供了两种方法可以完成这项工作。

  第一种方法是:双击桌面上的“HotDoor管理系统”图标,“验明正身”之后出现“功能菜单”,单击其中的“引导开关”,系统提示“确实要屏蔽开机引导吗?”的警告,确定即可使每次启动时不再要求进行系统的选择了。当然,如果你哪天需要切换到另一个系统环境之中的话,就必须首先打开这个屏蔽开关,恢复到系统的默认初始状态。重新启动时,就又会出现“系统登录”画面了;

  另外还有一种比较常用的方法是:启用各系统的延时启动功能。方法是:在“功能菜单”中点击“系统设置”(如图3)。在“系统列表”下拉框中选中相应的系统,然后在右上方定义一个延迟时间(0~9秒),点击“启用”即可。
  小技巧:如果你常用的系统设置成了“非公共系统”,用方法一是无效的。但用方法二则可以轻松实现。只要我们把该系统的延迟功能打开(同时关闭其他系统的延迟功能),并设置适当的延迟时间(最好是1~3秒),当你在下次启动时如果不加以选择,就会启动这个“非公共系统”了)。

  真枪实弹话应用


  为了保证系统崩溃后能够迅速恢复,建议将基本系统(只有Windows 98和硬件设备驱动程序)设置为“非公共系统”。一般情况下都直接进入其他各系统进行工作。如果我们的“学习系统”崩溃了,干脆删除它重新建一个。至于应用软件的安装,也只需要安装“学习系统”中的应用程序,其他系统中的应用程序丝毫不受影响。一般短短的几秒钟就可以重新拥有失去的系统。

  另外,由于经常性的安装、卸载,使得系统注册表非常的庞大,硬盘上的“垃圾”文件和碎片也日渐增多。久而久之,机器启动和应用程序运行的速度变得异常的缓慢。由于重新安装一次的工作量太大,而且很多应用程序的安装盘也已经不知去向,不到万不得已,恐怕谁都不愿意重新安装自己的系统。使用HotDoor重新进行安排之后,每个系统的启动和应用程序的运行速度都得到了极大的提升.

ACMILIAN 发表于 2005-12-22 21:29:05

Guest权限提升方法总结:

现在的入侵是越来越难了,人们的安全意识都普遍提高了不少,连个人用户都懂得防火墙,杀毒软件要装备在手,对于微软的补丁升级也不再是不加问津。因此现在我们想在因特网上扫描弱口令的主机已经几乎是痴心妄想了。(这可是一件大大的好事啊。)

但是这也使得我们作黑客的进行入侵检测达到了一个前所未有的难度。通过各种手段,我们通常并不能直接获得一个系统的管理员权限。比如我们通过某些对IIS的攻击,只能获得IUSR-MACHINENAME的权限(如上传asp木马,以及某些溢出等)。这个帐号通常可是系统默认的guest权限,于是,如何拿到系统管理员或者是system权限,便显得日益重要了。

于是,我就总结了一下大家所经常使用的几种提升权限的方法,以下内容是我整理的,没有什么新的方法,写给和我一样的菜鸟看的。高手们就可以略去了,当然,你要复习我不反对,顺便帮我查查有什么补充与修改:

1、社会工程学。

对于社会工程学,我想大家一定不会陌生吧?(如果你还不太明白这个名词的话,建议你去找一些相关资料查查看。)我们通常是通过各种办法获得目标的敏感信息,然后加以分析,从而可以推断出对方admin的密码。举一个例子:假如我们是通过对服务器进行数据库猜解从而得到admin在网站上的密码,然后借此上传了一个海洋顶端木马,你会怎么做?先翻箱倒柜察看asp文件的代码以希望察看到连接SQL的帐号密码?错错错,我们应该先键入一个netstat –an命令察看他开的端口(当然用net start命令察看服务也行)。一旦发现他开了3389,犹豫什么?马上拿出你的终端连接器,添上对方IP,键入你在他网站上所获得的用户名及密码……几秒之后,呵呵,进去了吧?这是因为根据社会工程学的原理,通常人们为了记忆方便,将自己在多处的用户名与密码都是用同样的。于是,我们获得了他在网站上的管理员密码,也就等同于获得了他所有的密码。其中就包括系统admin密码。于是我们就可以借此登入他的3389拉!

即使他并没有开启3389服务,我们也可以凭借这个密码到他的FTP服务器上试试,如果他的FTP服务器是serv-u 5.004 以下版本,而帐号又具有写权限,那么我们就可以进行溢出攻击了!这可是可以直接拿到system权限的哦!(利用serv-u还有两个提升权限的方法,
我待会儿会说的)

实在不行,我们也可以拿它的帐号去各大网站试试!或许就能进入他所申请的邮箱拿到不少有用的信息!可以用来配合我们以后的行动。

还有一种思路,我们知道,一个网站的网管通常会将自己的主页设为IE打开后的默认主页,以便于管理。我们就可以利用这一点,将他自己的主页植上网页木马……然后等他打开IE……呵呵,他怎么也不会想到自己的主页会给自己种上木马吧?
其实利用社会工程学有很多种方法,想作为一个合格黑客,这可是必学的哦!多动动你自己的脑子,你才会成功!

2、本地溢出。

微软实在是太可爱了,这句话也不知是哪位仁兄说的,真是不假,时不时地就会给我们送来一些溢出漏洞,相信通过最近的MS-0011大家一定又赚了一把肉鸡吧?其实我们在拿到了Guest权限的shell后同样可以用溢出提升权限。最常用的就是RunAs.exe、 winwmiex.exe 或是PipeUpAdmin等等。上传执行后就可以得到Admin权限。但一定是对方没有打过补丁的情况下才行,不过最近微软的漏洞一个接一个,本地提升权限的exploit也会出来的,所以大家要多多关心漏洞信息,或许下一个exploit就是你写出来的哦!

3、利用scripts目录的可执行权限。

这也是我们以前得到webshell后经常使用的一招,原理是Scripts目录是IIS下的可运行目录,权限就是我们梦寐以求的SYSTEM权限。常见的使用方法就是在U漏洞时代我们先上传idq.dll到IIS主目录下的Scripts目录,然后用ispc.exe进行连接,就可以拿到system权限,不过这个是在Microsoft出了SP3之后就行不通了,其实我们仍可以利用此目录,只要我们上传别的木马到此目录,我举个例子就比如是winshell好了。然后我们在IE中输入:

http://targetIP/Scripts/木马文件名.exe

等一会,看到下面进度条显示“完成”时,可以了,连接你设定的端口吧!我这里是默认的5277,连接好后就是SYSTEM权限了!这时你要干什么我就管不着了……嘿嘿

4、替换系统服务。

这可是广大黑友乐此不疲的一招。因为windows允许对正在运行中的程序进行改动,所以我们就可以替换他的服务以使得系统在重启后自动运行我们的后门或是木马!首先,通过你获得的guest权限的shell输入:net start命令,察看他所运行的服务。此时如果你对windows的系统服务熟悉的话,可以很快看出哪些服务我们可以利用。

C:\\WINNT\\System32\\>net start
已经启动以下 Windows 服务:

COM+ Event System
Cryptographic Services
DHCP Client
Distributed Link Tracking Client
DNS Client
Event Log
Help and Support
IPSEC Services
Logical Disk Manager
Logical Disk Manager Administrative Servic
Network Connections
Network Location Awareness (NLA)
Protected Storage
Remote Procedure Call (RPC)
Rising Process Communication Center
Rising Realtime Monitor Service
Secondary Logon
Security Accounts Manager
Shell Hardware Detection
System Event Notification
System Restore Service
Telephony
Themes
Upload Manager
WebClient
Windows Audio
Windows Image Acquisition (WIA)
Windows Management Instrumentation
Windows Time
Wireless Zero Configuration
Workstation

命令成功完成。

ACMILIAN 发表于 2005-12-22 21:30:12

WinXP优化之路

总体设想:让WinXP更苗条、性感、速度更快,使用更便捷。

为了达到这个目的,我们主要从四个方面入手:
1、减少磁盘空间占用
2、终止不常用的系统服务
3、安全问题
4、另外一些技巧

首先问一下,你是不是很想激活XP,不。。。准确的说你是不是想在ms的站上能够升级。如果答案是肯定的话,那我们就先来探讨一下安装的问题,目前流行的V4、V5、V6版本我还是比较推荐的,尤其是V5和V6这两个。安装的过程中有个序列号的问题,我建议你先在机子上算好,然后用这个序列号安装,通常这样安装的XP都可以到MS的站点自由更新。
如果你是已经安装好的XP了,但用的序列号是里到处流传人人都用的那些,也没关系,我们后面会说用sysrep来重新封装的时候会解决序列号更换的问题。

我假设你已经安装完XP了,come on baby ~~

一、瘦身行动

1、在各种软硬件安装妥当之后,其实XP需要更新文件的时候就很少了。删除系统备份文件吧:开始→运行→sfc.exe /purgecache 近3xxM。

2、删除驱动备份: %windows%\\driver cache\\i386目录下的driver.cab文件,通常这个文件是76M。

3、偶没有看help的习惯,所以保留着%windows%\\help目录下的东西对我来说是一种伤害,呵呵。。。都干掉,近4xM。

4、一会在升级完成后你还会发现%windows%\\多了许多类似$NtUninstallQ311889$这些目录,都干掉吧,1x-3xM。

5、正好硬盘中还有win2000/server等,所以顺便把pagefile.sys文件都指向一个地方:控制面板→系统→性能—高级→虚拟内存→更改,注意要点“设置”才会生效。

6、卸载不常用组件:用记事本修改\\%windows%\\inf\\sysoc.inf,用查找/替换功能,在查找框中输入,hide,全部替换为空。这样,就把所有的,hide都去掉了,存盘退出后再运行“添加-删除程序”,就会看见“添加/删除 Windows 组件”中多出不少选项;删除掉游戏啊,码表啊等不用的东西。

7、刪除\\windows\\ime下不用的輸入法,8xM。我重新安装了自己用的zrm输入法,赫赫。

8、如果实在空间紧张,启用NTFS的压缩功能,这样还会少用2x% 的空间,不过我没作。

9、关了系统还原,这破功能对我这样常下载、测试软件的人来说简直是灾难,用鼠标右健单击桌面上的“我的电脑”,选择“属性”,找到“系统还原”,选择“在所有驱动器上关闭系统还原”呵呵,又可以省空间了。

10、还有几个文件,挺大的,也没什么用。。。。忘了名字 :( ,刚安装的系统可以用查找功能查找大于50M的文件来看看,应该能找到的。

如果你能按照上面的过程做完,你的原本1.4G的XP,完全可以减少到800以下。

二、加速计划

WinXP的启动会有许多影响速度的功能,尽管ms说已经作最优化处理过,但对我们来说还是有许多可定制之处。我一般是这样来做的。

1、修改注册表的run键,取消那几个不常用的东西,比如Windows Messenger 。启用注册表管理器:开始→运行→Regedit→找到“HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\MSMSGS” /BACKGROUND 这个键值,右键→删除,世界清静多了,顺便把那几个什么cfmon的都干掉吧。

2、修改注册表来减少预读取,减少进度条等待时间,效果是进度条跑一圈就进入登录画面了,开始→运行→regedit启动注册表编辑器,找HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\\PrefetchParameters, 有一个键EnablePrefetcher把它的数值改为“1”就可以了。另外不常更换硬件的朋友可以在系统属性中把总线设备上面的设备类型设置为none(无)。

3、关闭系统属性中的特效,这可是简单有效的提速良方。点击开始→控制面板→系统→高级→性能→设置→在视觉效果中,设置为调整为最佳性能→确定即可。这样桌面就会和win2000很相似的,我还是挺喜欢XP的蓝色窗口,所以在“在窗口和按钮上使用视觉样式”打上勾,这样既能看到漂亮的蓝色界面,又可以加快速度。

4、我用Windows commadner+Winrar来管理文件,Win XP的ZIP支持对我而言连鸡肋也不如,因为不管我需不需要,开机系统就打开个zip支持,本来就闲少的系统资源又少了一分,点击开始→运行,敲入:“regsvr32 /u zipfldr.dll”双引号中间的,然后回车确认即可,成功的标志是出现个提示窗口,内容大致为:zipfldr.dll中的Dll UnrgisterServer成功。

5、据说XP的一个系统服务Qos,这个调度要占用一定的网络带宽,像我这样的一毛不拔的人是无法忍受的,去掉方法是:开始菜单→运行→键入 gpedit.msc ,出现“组策略”窗口, 展开 \"管理模板”→“网络” , 展开 \"QoS 数据包调度程序\", 在右边窗右键单击“限制可保留带宽\" ,在属性中的“设置”中有“限制可保留带宽\" ,选择“已禁用”,确定即可。当上述修改完成并应用后,用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到\"QoS Packet Scheduler(QoS 数据包调度程序)\"。说明修改成功,否则说明修改失败,顺便把网络属性中的那个Qos 协议也一起干掉(卸载)吧。

6、快速浏览局域网络的共享
通常情况下,Windows XP在连接其它计算机时,会全面检查对方机子上所有预定的任务,这个检查会让你等上30秒钟或更多时间。去掉的方法是开始→运行→Regedit→在注册表中找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Explorer\\RemoteComputer\\NameSpace。在此键值下,会有个{D6277990-4C6A-11CF-8D87-00AA0060F5BF}键,把它删掉后,重新启动计算机,Windows XP就不再检查预定任务了,hoho~~~ ,速度明显提高啦!

7、关掉调试器Dr. Watson
我好像从win95年代开始一次也没用过这东西,可以这样取消:打开册表,找到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\AeDebug子键分支,双击在它下面的Auto键值名称,将其“数值数据”改为0,最后按F5刷新使设置生效,这样就取消它的运行了。沿用这个思路,我们可以把所有具备调试功能的选项取消,比如蓝屏时出现的memory.dmp,在“我的电脑→属性→高级→设置→写入调试信息→选择无”等等。

8、被我终止的服务列表以及相关说明
1)alerter 错误警报
2)automatic updates windows 自动更新
3)background intelligent transfer service 微软说使用空闲的网络带宽传数据
4)clipbook 与远程电脑来共享剪贴板内容,我看还是免了吧
5)Computer browser 说什么要维护网络更新列表
6)DHCP client 我不需要这东西
7)Distributed link tracking client 保持局域网连接更新等信息,偶很少用局域网,这东西占用4M左右内存。
8)Distributed Transaction coordinator 协调xxx,和上面的差不多
9)DNS Client 我不需要这东西
10)Error reporting service 错误报告
11)Event Log 系统日志纪录
12)Fast user switching compatibility 用户切换
13)help and support 帮助
14)Human interface device access 据说是智能设备。。。
15)IMAPI CD-burning COM service 偶不用这个刻碟
16)Indexing service 索引,索引什么呢?
17)Internet Connection Firewall(ICF) ICF防火墙
18)IPSEC Services 这个我不懂,你想知道问Quack去
19)Logical Disk manager administrative service 配置磁盘
20)messenger 好像net send 等东西用的就是这个功能
21)MS software shadow copy provider 卷复制备份的
22)Net Logon 我可不想让黑客远程登录进来,关!
23)Netmeeting remote desktop sharing 我不用netmeeting
24)Network DDE  动态数据交换传输
25)Network DDE DSDM 和上面差不多
26)Network Location Awareness 关,我的机子不作共享
27)NTLM Security support provider-telnet 呵呵,关!
28)PerFORMance logs and alert 将系统状态写日志或发警告
29)Portable media serial number 关!
30)Print Spooler 打印机,不幸的是我的机子不连接Print ~
31) QoS RSVP 关!
32)Remote desktop help session manager 远程帮助服务
33)remote Procedure Call LOCATOR 管理RPC
34)remote registry 远程管理注册表
35)removable storage 
36)routing and remote access 我干脆禁用了它
37)security accounts manager 我的系统只是一个客户系统,不用iis。
38)smart card
39)smart card helper 关!!!
40)SSDP Discovery service 我用不到这个
41)system event notification 如果是服务器肯定要记录的
42)system restore service 系统还原服务
43)task scheduler windows 计划服务
44)Telephony 拨号服务,我不拨号还不行吗?
45)telnet
46)terminal services 终端服务
47)uninterruptible power supply UPS,我没有呀
48)universal plug and play device host 太先进了点,用不到
49)upload manager 关了也能传输文件的
50)volume shadow copy 又是备份,晕
51)webclient 没用过
52)Windows Installer MSI服务,我一直关着。
53)windows image acquisition (WIA) 数码设备用的
54)windows management instrumentation driver extensions 关了
55)windows time 时间服务
56)wireless zero configuration 无线网络,偶用不到的
57)WMI perfromance adapter 关!

这里面的一些服务是刚开始就是关的,但我忘了,所以只好把现在系统中关闭的服务基本都列了出来。你根据自己的情况酌情处理吧。

三、我安全吗

多了不谈,基本的共享还是得关的:

修改注册表为以下两个样式:
去除共享
——————————————————————
Windows Registry Editor Version 5.00

\"AutoShareServer\"=dword:00000000
\"AutoSharewks\"=dword:00000000
——————————————————————
去除IPC$管理
——————————————————————
Windows Registry Editor Version 5.00


\"restrictanonymous\"=dword:00000001
——————————————————————
或者将上面两个保存成个.REG文件,然后双击导入就可以了。


顺便把不要脸的的3721也屏蔽,在hosts文件中加入:

127.0.0.1 cnsmin.3721.com
127.0.0.1 www.3721.net


四、其他技巧

1、给鼠标右键增加个复制到.../移动到...功能
—————————————————————
Windows Registry Editor Version 5.00





[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\AllFilesystemObjects\\shellex\\ContextMenuHandlers
\\Copy To]@=\"{C2FBB630-2971-11D1-A18C-00C04FD75D13}\"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\AllFilesystemObjects\\shellex\\ContextMenuHandlers
\\Move To]@=\"{C2FBB631-2971-11D1-A18C-00C04FD75D13}\"
————————————————————————
将上面内容保存成add.reg文件,然后双击导入就可以了。

2、关了错误报告,K !这东西搞得我像个微软免费的测试员似的:点击控制面板---->系统---->高级---->右下角--->错误报告---->禁用错误汇报——>确定!
3、取消分组显示:右键单击任务栏的空白区域,在弹出的菜单中选择“属性”,在弹出的窗口中,取消“分组相似任务栏按钮”前面的对钩,确定就可以了。
4、找回经典的登录窗口,WinXP默认的登录界面虽然漂亮,但如果你想用一个列表中没有的用户登录,你会发现无从下手,改回经典窗口的方法是:点击“开始”→“控制面板”→“用户账户”→“更改用户登录或注销的方式”→把“使用欢迎屏幕”前面的对钩取消,最后点“应用选项”就OK啦。
5、将自己最常用的输入法设置一个快捷键:点击“开始”→“控制面板”→“区域和语言选项”→在弹出的窗口中选择“语言”→“详细信息”→“键设置”在弹出的窗口中找到自己用的输入法,点“更改按键顺序”→在这里选一个快捷键就可以了。
6、关闭计算机时自动结束不响应的任务,注册表:HKEY_CURRENT_USER\\Control Panel\\Desktop 中的“AugoEndTasks”的键值改为“1”
7、关闭自动更新:右键单击“我的电脑”,点击属性,点击“自动更新”,在“通知设置”一栏选择“关闭自动更新。我将手动更新计算机”一项。
8、减少开机磁盘扫描等待时间,开始→运行,键入“chkntfs/t:0”


然后连接到ms站点顺便升级一次就算优化基本完成,对于XP而言,可以采用许多内部命令来看看优化情况,比如tasklist.exe /svc 可以查看系统服务实际使用情况。
优化一个系统,挺麻烦的。所以我们把他保存起来,我们用Ghost生成.GHO文件,这样就可以拿给别人炫耀一下啦,在Ghost之前先要作一个事情,清除系统硬件、注册等信息,否则克隆到不同的机子上将无法启动,在Winxp安装盘上找Deploy.cab 中的sysprep.exe文件。
执行sysprep.exe,选择“重新封装”,下面的标记中可以选择“已提前激活”,还可以选择封装完成后是关机还是重新启动。封装完成后,我们再用带有Ghost的系统盘启动,用Ghost来生成备份.GHO镜像,备份完成!
在执行封装后,重新开机,XP会让我们输入序列号,文中开头所提到的换序列号的办法就是这样换。

ACMILIAN 发表于 2005-12-22 21:30:39

Windows系统进程介绍
windows用了这么久了,关于系统进程多少也算了解了一点,今天“三”告诉我他的机器中了木马,让他查看一下有没有可疑进程,回答很有趣,我不知道那些有用啊。感到意外的同时,也觉得有必要对windows系统的进程作一个简要的总结,以方便大家查阅。 文中部分内容援引自“windows进程详解”,部分翻译自英文原版(系统进程),不妥之处,敬请指正。

(1)
进程文件: or
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。

(2)
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描 述: 这是一个应用层网关服务用于网络共享。
介 绍:一个网关通信插件的管理器,为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。

(3)
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描 述: 客户端服务子系统,用以控制Windows图形相关子系统。
介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。

(4)
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
简 介:Directx 帮助程序

(5)
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
介 绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。

(6)
进程文件: explorer or explorer.exe
进程名称: 程序管理
描 述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
介 绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。

(7)
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
介 绍:IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。

(8)
进程文件: internat or internat.exe
进程名称: Input Locales
描 述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS\\.DEFAULT\\Keyboard Layout\\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
介 绍:它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。

(9)
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描 述: Windows壳进程用于管理多线程、内存和资源。
介 绍:更多内容浏览非法操作与Kernel32解读

(10)
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介 绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个\"AND\"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。

(11)
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描 述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
介 绍:Mdm.exe的主要工作是针对应用软件进行排错(Debug),说到这里,扯点题外话,如果你在系统见到fff开头的0字节文件,它们就是mdm.exe在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件,可以任意删除而不会对系统产生不良影响。对9X系统,只要系统中有Mdm.exe存在,就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中“Mdm”,按“结束任务”按钮来停止Mdm.exe在后台的运行,接着把Mdm.exe(在C:\\Windows\\System目录下)改名为Mdm.bak。运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。另外,如果你使用IE 5.X以上版本浏览器,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。

(12)
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描 述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
介 绍:这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。

(13)
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描 述: Windows路由进程包括向适当的网络部分发出网络请求。
介 绍:这是Windows的32位网络界面服务进程文件,网络客户端部件启动的核心。印象中“A-311木马(Trojan.A-311.104)”也会在内存中建立mprexe.exe进程,可以通过资源管理结束进程。

(14)
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描 述: Windows信使服务调用Windows驱动和程序管理在启动。
介 绍:msgsrv32.exe 一个管理信息窗口的应用程序,win9x下如果声卡或者显卡驱动程序配置不正确,会导致死机或者提示msgsrv32.exe 出错。

(15)
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描 述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
介 绍:计划任务,它通过注册表自启动。因此,通过计划任务程序实现自启动的程序在系统信息中看不到它的文件名,一旦把它从注册表中删除或禁用,那么通过计划任务启动的程序全部不能自动运行。win9X下系统启动就会开启计划任务,可以通过双击计划任务图标-高级-终止计划任务来停止它自启动。另外,攻击者在攻击过程中,也经常用到计划任务,包括上传文件、提升权限、种植后门、清扫脚印等。
(16)
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描 述: 远程注册表服务用于访问在远程计算机的注册表。

(17)
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描 述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
介 绍:98它不是在装载解释器时或引导时启动,如果使用中有问题,可以直接在在注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices添加\"字符串值\",定向到\"C:\\WINDOWS\\SYSTEM\\RPCSS\"即可。

(18)
进程文件: services or services.exe
进程名称: Windows Service Controller
描 述: 管理Windows服务。
介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%\\system32\\service.exe

(19)
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描 述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
简 介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。

(20)
进程文件: snmp or snmp.exe
进程名称: Microsoft SNMP Agent
描 述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
简 介:负责接收SNMP请求报文,根据要求发送响应报文并处理与WinsockAPI的接口。

(21)
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描 述: Windows打印任务控制程序,用以打印机就绪。

(22)
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。

(23)
进程文件: stisvc or stisvc.exe
进程名称: Still Image Service
描 述: Still Image Service用于控制扫描仪和数码相机连接在Windows。

(24)
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描 述: Service Host Process是一个标准的动态连接库主机处理服务.
介 绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依KSvchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。

(25)
进程文件: taskmon or taskmon.exe
进程名称: Windows Task Optimizer
描 述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
介 绍:任务管理器,它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序,可打开和结束程序,还可直接调出关闭系统对话框。

(26)
进程文件: tcpsvcs or tcpsvcs.exe
进程名称: TCP/IP Services
描 述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。

(27)
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描 述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。

(28)
进程文件: winmgmt or winmgmt.exe
进程名称: Windows Management Service
描 述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。
简 介:winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。WinMgmt.exe(CIM对象管理器)和知识库(Repository)是WMI两个主要构成部分,其中知识库是对象定义的数据库,它是存儲所有可管理静态数据的中心数据库,对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。WinMgmt.exe在Windows 2k/NT上作为一个服务运行,而在Windows 95/98上作为一个独立的exe程序运行。Windows 2k系统在某些计算机上出现的WMI错误可以通过安装Windows 2k SP2來修正。

(29)
进程文件: system or system
进程名称: Windows System Process
描 述: Microsoft Windows系统进程。
介 绍:在任务管理器中会看到这项进程,属于正常系统进程。

系统进程就介绍到这里。
在Windows2k/XP中,以下进程是必须加载的:
smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process;
在Windows 9x中,一下进程是必须加载的:
msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。

ACMILIAN 发表于 2005-12-22 21:30:52

电脑维修必看

——————————主板篇————————
主板常见故障
    随着主板电路集成度的不断提高及主板价格的降低,其可维修性越来越低。主板是搭载各个设备的桥梁,主板罢工,电脑将无法运行。
    主板故障的确定,一般通过逐步拔除或替换主板所连接的板卡(内存,显卡等),先排除这些配件可能出现的问题后就可以把目标锁定在主板上。另外,主板故障往往表现为系统启动失败,屏幕无显示等难以直观判断的故障现象。
    1与主板驱动有关
    主板驱动丢失,破损,重复安装会引起操作系统引导失败或造成操作系统工作不稳的故障,可依次打开“控制面板——系统——设备管理器”检查一下“系统设备”中的项目是否有黄色惊叹或问号。将打黄色惊叹号或问号的项目全部删除(可在“安全模式”下进行操作),重新安装主板自带驱动,重启即可,例如:爱用Intel芯片组的主板要安装“Intel Chipset Software Installation Utility” 主板驱动程序,爱用VIA芯片组的主板需要安装“4 IN 1”驱动,以取得更好的稳定性和兼容性。
    2 接触不良,短路等
    主析的面积较大,是聚集灰尘较多的地方,灰尘很可能会引发插槽与板卡接触不良的现象,这时我们可以对着插槽吹吹气,去除灰尘,如果是由于插槽引脚氧化面引起接触不良的,可以将有硬度的白纸折好(表面光滑那面向外)。插入槽内来回擦拭。另外,CPU温度或主板上用于监控机箱内温度的热敏电阻上附上了灰尘的话,很可能会造成主板对温度的识别错误,从而引发主板保护性故障的问题,在清洁时也需要注意,
    拆装机箱时,不小心掉入的诸如小镙丝之类的导电物可能会卡在主板的元器件之间从而引发短路现象,会引发“保护性故障”。另外,检查主板与机箱底板间是否因少装了用于支撑主板的小铜柱,是否主板安装不当或机箱变形而使主板与机箱直接接触,使具有短路保护功能的电源自动切断电源供应。
    3 和主板电池有关
    当遇到,电脑开机时不能正确找到硬盘,开机后系统时间不正确,CMOS设置不能保存等现象时,可先检查主板CMOS跳线是否设为清除“CLEAR”选顶(一般是2-3),如果是这样的话,请将跳线改为“NORMAL”(一般是1-2)然后重新设置。如果不是CMOS跳线错误,就很可能是因为主板电池损坏或电池电压不足造成的,请换个主板电池试试,
    4兼容性问题
    遇到收于主板设计上的BUG或升级配件时出现的新旧事物兼容性问题的情况,在排除BIOS设的误码后可以下载主板的最新BIOS进行刷新,另外,主板BIOS陈旧还可能导致无法升级操作系统等问题
    技巧一:清除CMOS设置,也可以解决一些“莫名其妙”的故障,大家不妨试试
    技巧二:当安装的硬件不能被操作系统识别时,将COMS设置的“PNP OS INSTALLED”即插即用)项目设成YES OR NO ,试试。
    5主板北桥芯片散热效果不挂造成的
    有些主板将北桥芯片上的散热片省掉了,这可能会造成芯片散热效果不佳导致系统运行一段时间后死机,遇到这样的情况,可自制散热片或加个散热片或加个散热要好的机箱风扇。
    6 主板电容失效引起的
    主板上的铝电解电容(一般在CPU插槽周围),其内部爱用了电解液由于时间,温度。质量等方面的原因,会使它发生“老化”现象,这会导致主板抗干扰指标的下降从而影响机子正常工作。我们可以购买与“老化”容量相同的电容,准备好工具后,将“老化”的替换即可,另外,拆装电脑时工具的失落也有可能不小心将电容砸坏,也应检查排除。
    7 BIOS受损
    由于BIOS刷新失败或CIH病毒造成的BIOS受损的问题,如果引导块(AWAED BIOS中称为BIOS boot block, phoenix BIOS 中称为Flash Recover boot Block)未被破坏,可用自制的启动盘进行重新刷新BIOS,假如引导块也损坏的话,可用热插拔法(很危险)或用利用编程器进行安全的修复

————————内存篇—————————— 内存常见故障
    内存是电脑的核心部件之一,也是电脑启动必不可少的,它的作用毋庸置疑的,那么内存最常见的故障都有哪些呢?
    1 开机无显示
    内存条原因出现此类故障一般是因为内存条与主板内存插槽接触不良造成,只要用橡皮擦来回擦拭其金手指部位即可解决问题(不要用酒精等清洗),还有就是内存损坏或主板内存槽有问题也会造成此类故障
由于内存条原因造成开机无显示故障,主机扬声器一般都会长时间蜂鸣(针对Award BIOS而言)
    2 Windows注册表经常无故损坏,提示要求用户恢复
    此类故障一般都是困为内存条质量不佳引起,很难予以修复,唯有更换一途
    3 Windows经常自动进入安全模式
此类故障一般是由于主板与内存条不兼容或内存条质量不佳引起,常见于高频率的内存用于某些不支持此频率内存的主板上,可以尝试在CMOS设置内降低内存读取速度看能否解决问题,如若不行,那就只有更换内存条了。
    4 随机性死机
    此类故障一般是由于采用了几种不同芯片的内存条,由于各内存条速度不同产生一个时间差从面导致死机,对此可以在CMOS设置内降低内存速度予以解决,否则,唯有使用同型号内存,还有一种可能就是内存条与主板不兼容,此类现象一般少见,另外也有可能是内存条与主板接触不良引起电脑随机性死机。
    5 内存加大后系统资源反而降低
    此类现象一般是由于主板与内存不兼容引起,常见于高频率的内存用于某些不支持此频率的内存的主板上,当出现这样的故障后你可以试着在COMS中将内存的速度设置得低一点试试。
    6 运行某些软件时经常出现内存不足的提示
    此现象一般是由于系统盘剩余空间不足造成,可以删除一些无用文件。多留一些空间即可。
    7 从硬盘引导安装Windows进行到检测磁盘闪间时,系统提示内存不足
    此类故障一般是由于用户有config.sys文件中加了emm386.exe文件,只要将其屏蔽掉即可解决问题

------------------------操作系统故障处理篇--------------------
   操作系统故障

    操作系统故障一般分为二种,一种是运行类故障。还有一种是注册表故障
    一般的操作系统都可以用一种方法来处理,就是重装系统,非常有效,但是太过麻烦^_^
    运行类故障指的是windows在正常启动完成后,在运行应用程序或工肯软件过程中出现错误,无法完成用户要求的任务
    下面简析几则常见的问题
    1 在windows下经常蓝屏
    出现这种问题的原因是多种多样的。有的在windows启动是出现,有的是在用户运行一些软件才产生的,
    出现此类故障一般是由于用户操作不当促使windows系统损坏造成,此类现象具体表现在以安全引导时不能正常时入系统,出现蓝屏,有时碎片太多也会出现这样的问题除此之外还有以下几种原因可能引发蓝屏
    (1)    内存问题。因为这种原因出现的问题比较多,一般是由于芯片质量不好造成,有时可以通过修改CMOS设置中的内存速度可以解决问题。如果不行就可有换内存了。
    (2)    主板问题。因为主板问题才引发的蓝屏问题一般少见,现像是一般不会死机,但是发生得频繁。当确定是主板引发的问题只有换主板一种解决方法
    (3)    CPU原因,因为CPU问题才引发的蓝屏问更要少见,一般发生在Cyrix的CPU上。对此可以对CPU降频来解决,要是不行,就只有换CUP一途了。
    2.经常出现随机死机的现象
死机的故障比较常见,但涉及的面广,维修比较麻烦,现在将逐步进行详解
   (1)    病毒原因迁成电脑频繁死机,由于此类原因造成该故障的现象比较常见,当电脑感染病毒后,主要表现在以下几个方面
    *    系统启动时间长
    *    系统启动时自动启动一些不必要的等程序
    *    无故死机
    *    屏幕上出现一些乱码
    如果因为病毒损坏了一些系统文件,导致系统工作不稳定,可以在安全摸式下对系统文件修复
   (2)    由于某些元件热稳定性不良造成此类故障,具体表现在CPU、电源、内存、主板等方面。所以可以让电脑打开一段时间后等其死机后再摸电脑上的元件,,要是温度太高就说明那个部件有问题。可用替换法来诊断
   (3)    由于各部件接确不良导致电脑死机的也比较常见,特别在买了一般时间后的电脑上,由于各部件是用金手指与主板接确,经过一般时间后就会发生氧化现象,在拔下卡后会发现金手指部件发黄,这时候可以用橡皮擦来回擦拭变黄处来清洁
   (4)    由于硬件之间不兼容造成电脑频繁死机。此类现象常见于显卡与其他部件不兼容或内存条与主板不兼容,对此可以将其他不必要的设备拆下后给以判断
   (5)    软件冲突或损坏引起死机。此类故障,一般都发生得比较普通,对此可以将这个软件卸除
    3 在windows下运行应用程序时提示内存不足
    一般出现内存不足的提示可能有以下几种原因:
   (1)    磁盘剩余空间不足,
   (2)    同时运行了多个应用程序
   (3)    电脑感染了病毒。
    4 在Windows下运行应用程序时出现非法操作的提示
此类故障引起原因较多,在如下几钟可能
   (1)    系统文件被更改或损坏,倘若由此引发则打开一些系统自带的程序时就会出现非法操作,(例如,打开控制面板)
   (2)    驱动程序未正确安装,此类故障一般表现在显卡驱动程序之止,倘若由此引发,则打开一些游戏程序时就会产生非法操作,有时打开一此网页也会出现这种程况
   (3)    内存质量不好,降低内存速度也可能会解决这个问题
   (4)    软件不兼容,如,IE 5。5在Windows 98 SE 上,当打开多个网页也会产生非法操作
    5 自动重新启动
    此类故障表现在如下几个方面:在系统启动时或在应用程序运行了一段时间后出现此类故障,引发该故障的原因一般是由于内存条热稳定性不良或电源工作不稳定所造成,还有一种可能就是CPU温度太高引起,还有一种比较特殊的情况,有时由于驱动程序或某些软件有冲突,导致Windows系统在引导时间生故障

操作系统故障的诊断方法

    1,    用“安全模式”启动
    当系统频频出现故障的时候,最简单的排查办法可以考虑用安全模式启动电脑。
    在安全模式下,windows会使用基本默认配置和电小功能启动系统,其他很多关于系统设置问题,有时候也可以通过安全模式来排查和解决,如分辩率设置过高、将内存限制得过小,进入系统就重启等等。
    2 恢复先前的注册表
    如果系统存在较为严重的问题,上述方法则不能解决,不妨采用恢复出现故障前的注册表
    当系统出现问题无法windows的时候,用windows启动盘启动并引导到MS-DOS,在DOS提示符下键入scanreg/restore并回车,会显示出已经备份的注册表文件。恢复了就好。
    3 检查重要的系统文件
    如果系统早有故障而一直都没注意,日积月累突然出现是问题,这个时候就是恢了注册表也没有用,因为问题比系统自建的还要早。那么,这种情况往往是系统系统文件损坏导致,系统文件损坏的可能原因很多,比如应用程序覆盖了重要的系统文件,或者磁盘错误破坏了系统文件,如.vxd .dll 等。用户不小心删除了系统致命的文件,要是有这种情况可以运行sfc 癖动“系统文件检查器:,开始检查,如果查出错误,会提示出来,到时你放入安装光盘就可以恢复了
    4卸掉有冲突的设备
    系统存在的问题也不少,遇到这种情况,办法是进入安全模式,打开设备管理器卸载有冲突硬件,一般都可以解决。
    5 快速进行覆盖安装
    对于初学者和经验不足的维修人员来说,一方面又进不了windows 又想保留原来的系统设置,这时候就可以进行快速覆盖安装了
    如果以上的方法还是不可以解决问题,那只好Format了C盘,重装了。

ACMILIAN 发表于 2005-12-22 21:31:05

常见软件故障及处理方法

软件故障的原因
  软件发生故障的原因有几个,丢失文件、文件版本不匹配、内存冲突、内存耗尽,具体的情况不同,也许只因为运行了一个特定的软件,也许很严重,类似于一个的系统级故障。
  为了避免这种错误的出现,我们可以仔细研究一下每种情况发生的原因,看看怎样检测和避免。

丢失文件
  你每次启动计算机和运行程序的时候,都会牵扯到上百个文件,绝大多数文件是一些虚拟驱动程序virtual device drivers (VxD),和应用程序非常依赖的动态链接库dynamic link library (DLL)。VXD允许多个应用程序同时访问同一个硬件并保证不会引起冲突,DLL则是一些独立于程序、单独以文件形式保存的可执行子程序,它们只有在需要的时候才会调入内存,可以更有效地使用内存。当这两类文件被删除或者损坏了,依赖于它们的设备和文件就不能正常工作。
  要检测一个丢失的启动文件,可以在启动PC的时候观察屏幕,丢失的文件会显示一个“不能找到某个设备文件”的信息和该文件的文件名、位置,你会被要求按键继续启动进程。
  造成类似这种启动错误信息的绝大多数原因是没有正确使用卸载软件。如果你有一个在WINDOWS启动后自动运行的程序如Norton Utilities、 Nuts and Bolts等,你希望卸载它们,应该使用程序自带的“卸载”选项,一般在“开始”菜单的“程序”文件夹中该文件的选项里会有,或者使用“控制面板”的“添加/卸载”选项。如果你直接删除了这个文件夹,在下次启动后就可能会出现上面的错误提示。其原因是WINDOWS找不到相应的文件来匹配启动命令,而这个命令实际上是在软件第一次安装时就已经置入到注册表中了。你可能需要重新安装这个软件,也许丢失的文件没有备份,但是至少你知道了是什么文件受到影响和它们来自哪里。
  对文件夹和文件重新命名也会出现问题,在软件安装前就应该决定好这个新文件所在文件夹的名字。
  如果你删除或者重命名了一个在“开始”菜单中运行的文件夹或者文件,你会得到另外一个错误信息,在屏幕上会出现一个对话框,提示“无效的启动程序”并显示文件名,但是没有文件的位置。如果桌面或者“开始”菜单中的快捷键指向了一个被删除的文件和文件夹,你会得到一个类似的“丢失快捷键”的提示。
  丢失的文件可能被保存在一个单独的文件中,或是在被几个出品厂家相同的应用程序共享的文件夹中,例如文件夹\\SYMANTEC就被Norton Utilities、Norton Antivirus和其他一些 Symantec 出品的软件共享,而对于\\WINDOWS\\SYSTEM来说,其中的文件被所有的程序共享。你最好搜索原来的光盘和软盘,重新安装被损坏的程序。

文件版本不匹配
  绝大多数的WIN 9X用户都会不时地向系统中安装各种不同的软件,包括WINDOWS的各种补丁例如Y2K,或者将WIN 95 升级到WIN 98,这其中的每一步作都需要向系统拷贝新文件或者更换现存的文件。每当这个时候,就可能出现新软件不能与现存软件兼容的问题。
  因为在安装新软件和WINDOWS升级的时候,拷贝到系统中的大多是DLL文件,而DLL不能与现存软件“合作”是产生大多数非法作的主要原因,即使会快速关闭被影响的程序,你也没有额外的时间来保存尚未完成的工作。
  WINDOWS的基本设计使得上述DLL错误频频发生。和其他版本不同,WIN 95允许多个文件共享\\WINDOWS \\SYSTEM文件夹的所有文件,例如可以有多个文件使用同一个Whatnot.dll,而不幸的是,同一个DLL文件的不同版本可能分别支持不同的软件,很多软件都坚持安装适合它自己的Whatnot.dll版本来代替以前的,但是新版本一定可以和其他软件“合作愉快”吗?如果你运行了一个需要原来版本的DLL的程序,就会出现“非法作”的提示。
  在安装新软件之前,先备份\\WINDOWS\\SYSTEM 文件夹的内容,可以将DLL错误出现的几率降低,既然大多数DLL错误发生的原因在此,保证DLL运行安全是必要的。而绝大多数新软件在安装时也会观察现存的DLL,如果需要置换新的,会给出提示,一般可以保留新版,标明文件名,以免出现问题。
  绝大多数卸载软件也可以用来监视安装,这些监视记录可以保证在以后的卸载时更加准确,另外你也可以知道哪些文件被修改了,如果提供备份功能,可以保存旧版本的文件和安装过程中被置换的文件。
  WIN 98和WIN 95有所不同,它在将WINDOWS升级和安装新软件时自动备份被置换的文件,如果在WIN98安装后出现问题,你可以使用Version Conflict Manager(VCM)帮助你发现哪些文件被改变了,可以从WIN 98的备份中将原来的版本恢复出来,而VCM可以从“开始”菜单、附件、系统工具或者安装WIN 98的光盘中寻找。
  另一个避免出现DLL引起的非法作的办法是不同时运行不同版本的同一个软件,即使你为新版本软件准备了另一个新文件夹,如果你一定要同时使用两个版本,就会出现非法错误信息。

非法作
  非法作会让很多用户觉得很迷惑,如果你仔细研究的话会就发现软件才是真凶,每当有非法作信息出现,相关的程序和文件都会和错误类型显示在一起,如果在WINDOWS 3.1中可能是一般保护性错误(GPF),一般是由于有两个软件同时使用了内存的同一个区域,但是即使知道原因也无法避免这一类错误。
  用户可以通过错误信息列出的程序和文件来研究错误起因,因为错误信息并不直接指出实际原因,如果给出的是“未知”信息,可能数据文件已经损坏,看看有没有备份或者看看厂家是否有文件修补工具。
  如果是Microsoft的软件,你可以将程序名和错误信息作为关键字在Microsoft的站点进行搜索。例如我们到微软的基本知识站点 http://support.microsoft.com/default.aspx?scid=fh;ZH-CN;KBHOWTO WORD 97、非法作和kernel32.dll三项,就只会返回9条信息。
  从微软的站点返回的信息大约是DLL错误、软件的BUG、在低端RAM运行或者是磁盘空间等问题,具体的弥补方法会因为问题的不同而有所区别,例如下载并安装软件的补丁、卸载并重新安装特定的程序,或者不能同时运行某些程序等。

蓝屏错误信息
  要确定出现蓝屏的原因需要仔细检查错误信息,很多蓝屏发生在安装了新软件以后,是新软件和现行的WINDOWS设置发生冲突直接引起的。
  出现蓝屏的真正原因不容易搞清楚,最好的办法是把错误信息保留下来,然后用“blue screen”和文件名、“fatal exception”代码到微软的站点搜索,以便确定原因。不幸的是,即使一个特定的软件被破坏,蓝屏也不能确定引起问题的文件是什么,如果在蓝屏上显示了多个信息,那么首先应该搜索第一条。
  很多蓝屏可以用改变WINDOWS设置来解决,大多数情况下需要下载安装一个更新的驱动程序,一些蓝屏与版本有关,应该确定你使用的WINDOWS版本,查看WIN 9X的设备管理程序可以确定这些信息。

资源耗尽
  经常有人会问,既然有了更多的内存,是不是可以运行更多程序,大多数用户对此限制有些模糊。
  一些Windows程序需要消耗各种不同的资源组合,GDI(图形界面)集中了大量的资源,这些资源用来保存菜单按钮、面板对象、调色板等等;第二个积累较多的资源则是USER(用户),用来保存菜单和窗口的信息,第三个是SYSTEM(系统资源),是一些通用的资源。
  这些资源在win3.x中受到的限制是很大的,在不发生GPE(一般保护性错误)和其他错误导致的资源耗尽的情况下只允许几个为数不多的程序同时运行。WIN 9X由于限制放宽了许多,所以可以有很多程序同时运行,而WIN NT才是唯一的对绝大多数资源完全不加以限制的微软的作系统。
  在程序打开和关闭之间都会消耗资源,一些在程序打开时被占用的资源在程序关闭时可以被恢复,但并不都是这样,一些程序在运行时可能导致GDI和USER资源丧失,这也就是为什么在机器运行一段时间以后最好重新启动一次补充资源的原因。
  决大多数用户希望在出现非法作或者蓝屏之前能够被提示资源占用严重的情况,WINDOWS带有一个资源测量仪(打开“开始”菜单,选择程序、附件、系统工具)可以放置在工具栏上实时显示关于GDI、USER和一些系统资源的占用情况。

防止软件故障的五个注意事项:
  在安装一个新软件之前,考察一下它与你的系统的兼容性;
  在安装一个新的程序之前需要保护已经存在的被共享使用的DLL文件,防止在安装新文件时被其他文件覆盖;
  在出现非法作和蓝屏的时候仔细研究提示信息分析原因;
  随时监察系统资源的占用情况; 使用卸载软件删除已安装的程序。

Billting 发表于 2005-12-23 13:33:39

感谢!
LZ花了不少时间整理这些资料的!
PF!
页: 1 2 3 4 5 [6] 7
查看完整版本: [12/22][分享]电脑知识500个为什么!(求置顶)