瑞星卡卡安全论坛技术交流区系统软件 系统秘籍-0- ^_& ^0^ ^`^ ^*^

12345   4  /  5  页   跳转

系统秘籍-0- ^_& ^0^ ^`^ ^*^

收藏
本主题由 在线技术支持工程师 瑞星工程师20 于 2012-2-28 15:50:04 执行 移动主题 操作
安德倚天剑
头像
横据古稀狮
  • 帖子:10446
  • 注册: 2004-12-04
  • 来自:贝克街
世界杯勋章2011NBA至尊
发表于: 2005-01-14 20:19 | 显示全部 短消息 资料
字号: 31楼

注册表根键全解
HKEY-CLASSES-ROOT:该主关键字定义了系统中所有已注册的文件扩展名、文件类型、文件图标等。
HKEY-CURRENT-USER:定义了当前用户的所有权限,实际上就是HKEY-USERS\.Default下面的一部分内容,包含了当前用户的登录信息。

HKEY-LOCAL-MACHINE:定义了本地计算机的软硬件的全部信息。当系统的配置和设置发生变化时,其下面的登录项也会随之改变。

HKEY-USERS:定义了所有用户的信息,其中部分分支将映射到HKEY-CURRENT-USER关键字中,它的大部分设置都可以通过控制面板来修改。

HKEY-CURRENT-CONFIG:定义了计算机的当前配置情况,它实际上也是指向HKEY-LOCAL-MACHINE\Config结构中的某个分支的指针.

HKEY-DYN-DATA:定义了系统运行中的动态数据,即发生的事件的有关信息。

注:Windows在启动时真正用到的只有HKEY-LOCAL-MACHINE与HKEY-USERS这两大主键,其他各项均由这两项衍生或是动态生成。对于单用户的系统,注册表文件的清理工作集中在这两项即可.
gototop
 
安德倚天剑
头像
横据古稀狮
  • 帖子:10446
  • 注册: 2004-12-04
  • 来自:贝克街
世界杯勋章2011NBA至尊
发表于: 2005-01-14 20:19 | 显示全部 短消息 资料
字号: 32楼

注册表损坏之症状和修复
Windows的注册表实际上是一个数据库,它包含了五个方面的信息,即PC的全部硬件、软件设置、当前配置、动态状态及
用户特定设置等内容,主要储存在C:windows下的system.dat和user.dat两个文件中。由此可见注册表是Windows系统的
命根子,稍有闪失,后果严重。注册表文件损坏而不能正常启动系统或运行应用程序的情况经常出现,那么
注册表损坏一般存在哪些症状呢?

1、当使用过去正常工作的程序时,得到诸如“找不到*.dll”的信息,或其他表明程序部分丢失和不能定位的信息。

2、应用程序出现“找不到服务器上的嵌入对象”或“找不到OLE控件”这样的错误提示。

3、当单击某个文档时,Windows给出“找不到应用程序打开这种类型的文档”信息,即使安装了正确的应用程序且
文档的扩展名(或文件类型)正确。

4、“资源管理器”页面包含没有图标的文件夹、文件或者意料之外的奇怪图标。

5、“开始”菜单或“控制面板”项目丢失或变灰而处于不可激活状态。

6、网络连接不能建立或不再出现在“拨号网络”中或“控制面板”的“网络”中。

7、不久前工作正常的硬件设备不再起作用或不再出现在“设备管理器”的列表中。

8、Windows系统根本不能启动,或仅能以安全模式或MS-DOS模式启动。

9、Windows系统显示“注册表损坏”这样的信息。

10、启动时,系统调用注册表扫描工具对注册表文件进行检查,然后提示当前注册表已损坏,将用注册表的备份文件进行修复,
并要求重新启动系统。而上述过程往往要重复数次才能进入系统。其实此乃系统的误报,此时的注册表并没有损坏,
倒是你的内存条或硬盘值得好好检查一下,这是硬件故障造成的假象。

以上罗列了注册表损坏的十种症状,除第十项外,前九项都是可以简单修复的,前提是有注册表文件备份。备份的方法也不难,
在机器工作正常时,运行注册表编辑器regedit.exe,选择“注册表/导出注册表文件”,接下来“导出范围”选择“全部”,
“存为类型”选择“注册表文件”,最后任取一个文件名(如“backup”)就行了;也可以直接拷贝“system.dat”和“user.dat”
两个文件进行备份。修复时进入DOS模式状态(开机时按“F8”调出多重引导菜单,选择“Command Prompt Only”),
在提示符后键入“regedit/c backup.reg”回车即可。倘若没有备份,我们可以利用Windows的自动备份进行修复,
同样进入DOS实模式状态,键入“scanreg /restore”,进入菜单界面,选择一个备份文件,稍等片刻即可.
gototop
 
安德倚天剑
头像
横据古稀狮
  • 帖子:10446
  • 注册: 2004-12-04
  • 来自:贝克街
世界杯勋章2011NBA至尊
发表于: 2005-01-14 20:19 | 显示全部 短消息 资料
字号: 33楼

怎样设置MSDOS.SYS文件?
以下是我所知道的关于 Windows98 的 MSDOS.SYS 文件中 [Options] 块中的一些设置。(各选项中默认值写在前面)
  [Options]

  AutoScan=1/0

  BootDelay=2/?

  BootGUI=1/0

  BootKeys=1/0

  BootMenu=0/1

  BootMenuDefault=1/2/3/4/5/6/7

  BootMulti=0/1

  BootWarn=1/0

  BootWin=1/0

  DblSpace=0/1

  DoubleBuffer=0/1

  DrvSpace=0/1

  Load Top=1/0

  Logo=1/0

  WinVer=4.10.1998

  AutoScan:非正常关机后下次启动是否运行 ScanDisk。

  BootDelay:开机时热键按下前的等待时间(单位:秒),但我自己试过,好像没什么效果。

  BootGUI:启动时是否进入 Windows 的 GUI 界面(否则为DOS界面)。

  BootKeys:启动时热键是否有效。

  BootMenu:启动时是否显示启动菜单(否则要按下热键才显示)。

  BootMenuDefault:显示启动菜单时的默认项(即光标所在项)。

  BootMulti:是否允许启动 DOS 6.xx(前提是启动盘中有旧版 DOS 启动文件,且此盘必须为 FAT16)。

  BootWarn:在启动过程中失败后,下次启动是否提示进入安全模式(这最烦,关掉好!)。

  BootWin:启动时是否自动装入旧版 DOS。

  DblSpace:启动时是否装入 DBLSPACE.BIN。

  DoubleBuffer:是否启动双缓冲区支持。

  DrvSpace:启动时是否装入 DRVSPACE.BIN。

  Load Top:启动时是否将系统核心的一部分装入高端内存。

  Logo:启动时是否显示“蓝天白云”。

  WinVer:不用说了吧。

  最后说一说启动热键:

  F4:启动旧版DOS。

  Shift+F4/Shift:Safe mode

  F5:跳过CONFIG.SYS和AUTOEXEC.BAT,但装入HIMEM.SYS(与上面的有什么不同?)。

  Shift+F5:Safe mode command prompt only。

  F8/Ctrl:显示启动菜单。
gototop
 
安德倚天剑
头像
横据古稀狮
  • 帖子:10446
  • 注册: 2004-12-04
  • 来自:贝克街
世界杯勋章2011NBA至尊
发表于: 2005-01-14 20:20 | 显示全部 短消息 资料
字号: 34楼

巧妙移植Windows系列操作系统工具
说起来操作系统我想大多数人的选择依然是微软系列,而在这其中使用Windows 98和Windows 2000的人占据了绝大比例,究其原因不外乎两点,Windows 98是兼容性最好的游戏平台、Windows 2000是人们用起来最顺手的办公平台;大家用惯了这样的系统,所以自然对后来出的Windows Me与Windows XP不那么感冒,既然这样我们为什么不把它们当中那些性能有所改进的功能拿来用用呢?
  一、Windows Me磁盘碎片整理程序
  随着计算机硬件水平的不断提高,我们应用软件的处理速度也在无形之中发生着变化,但是回想起日常在Windows 98中整理磁盘碎片的情景,确实苦不堪言。其实用过Windows Me操作系统的用户都知道,微软对其磁盘碎片整理程序作出很大改进,速度令人相当满意。

  由于Windows Me所有系统程序都包含在安装盘中的CAB压缩包里,安装Windows时安装程序会把它们解压缩到相应的目录下。所以我们相要移植的功能对应的程序都藏在这些CAB压缩包中。磁盘整理程序defrag.exe藏身于Win_16.CAB,我们只要用WinZip或WinRAR把它解压缩到C:Windows下替换原来Windows 98的defrag.exe即可。

  二、Windows Me的五笔输入法

  Windows Me自带的王码五笔输入法86版收集的日常词汇很丰富,符合人们的使用习惯,这可以很有效地提高我们的输入效率。下面笔者就带着大家将它也移植到Windows 98操作系统下。

  (1)移植输入法之前,先点击桌面左下角的“开始”→“程序”→“附件”,检查Windows中是否已安装了输入法生成器,如果没有,则在“开始”→“设置”→“控制面板”→“添加/删除程序”→“Windows安装程序”→附件”中安装。

  (2)Windows Me的输入法隐藏在Win_19.CAB中,用WinZip或WinRAR将其中的Winwb86.MB解压到一个文件夹中。

  (3)点击“开始”→“程序”→“附件”→“输入法生成器”→“逆转换”→“打开文件”,在刚才的文件夹中找出Winwb86.MB,点击下面的“逆转换”,将Winwb86.MB转换成码表文件。

  (4)回到“创建输入法窗口”,点击“浏览”找到刚才转换的码表文件,然后用鼠标点一下“创建”,完成后回到Windows桌面,这时我们已经可以使用五笔输入法86版了。

  三、Windows XP的Movie Maker

  Movie Maker这款简单的视频制作工具相信大家都很熟悉了,要移植Windows XP的Movie Maker很简单,只需将Windows XP所在分区的Program Files文件夹中的Movie Maker文件夹复制到任意分区,即可在Windows 2000中使
gototop
 
安德倚天剑
头像
横据古稀狮
  • 帖子:10446
  • 注册: 2004-12-04
  • 来自:贝克街
世界杯勋章2011NBA至尊
发表于: 2005-01-14 20:20 | 显示全部 短消息 资料
字号: 35楼

关于位和字节及常见总线的传输速率
一、关于位(bit)和字节(byte)
在数据量的表示上,存在着位(bit)和字节(byte)两种表示方式,而且在数据的传输上也存在着按位传输和按字节传输两种不同的传输方式。众所周知的是,八位构成一个字节,所以某些时候,如果没有注意到上述的区别,就容易产生歧义,根据笔者所见,不少专业报刊中就经常会出现这样的问题。通常,我们按设备和接口工作方式的来分别用字节/秒(B/S)和位每秒(bps)来表示其传输速率,例如串口和USB接口都是按位来传输数据的,它们的传输速率就以bps来表示,而并口和硬盘接口等是按字节来传输数据的,所以一般用B/S来表示其传输速率。

知道了以上的问题,就很容易分辨出这类错误了。一个典型的例子就是关于IEEE1394传输速率,很多时候,都将它标示为400MB/s,很容易让人认为是一秒钟传输400兆字节,但只要想一下,就知道这在现时是不可能的,因为现在IEEE1394设备还只是33MHz 、32位的PCI设备,而33MHz 、32位PCI总线的理论带宽为133MB/s,任何33MHz 、32位的PCI设备都不可能超越这个极限。实际上,IEEE1394是一种串行接口,上面所标示的速率应为400兆位每秒,换算到字节表示就是50兆字节每秒,比现在的Ultra ATA 66/100还要慢一些。说到这儿,可能会有人指出,Ultra 160 SCSI设备标示其传输速率为160MB/s,而且的的确确是160兆字节每秒,已经突破了33MHz 、32位PCI总线的理论带宽,确实如此,也正因为如此,所以现在所见到的Ultra 160 SCSI卡都是33MHz 、64位或66MHz 、64位PCI接口的,也只能在一些服务器或工作站的主板上才能见到这些接口。

二、关于千(K)和兆(M)

在硬盘分区时,我们都可以见到分区软件报告的容量要比硬盘表面标示的容量要小,现在大家都知道这是因为表示方法的不同而造成的,硬盘厂商以103和106来表示千和兆,而在电脑中,软件都是以210和220来表示千和兆的。如果将这个问题推而广之,上面所提到的传输速率也存在着这样的问题,一般在传输速率的表示上,我们所说的千和兆是103和106,如果按照在电脑中以二进制计算数据的规则,则应该将之换算成210和220来表示。下表中为几种常见总线的传输速率:

总线 数据宽度 (bits) 总线频率 (MHz) 传输速率 (106Bytes/sec) 传输速率 (220Bytes/sec)
8-bit ISA 8 8.3 8.3 7.9
16-bit ISA 16 8.3 8.3 15.9
EISA 32 8.3 33.2 31.8
VLB 32 33 132 127.2
PCI32 32 33 132 127.2
PCI64 2.1 64 66 528 508.6
AGP 1x 32 66 264 254.3
AGP 2x 32 66x2 528 508.6
AGP 4x 32 66x4 1056 1,017.3

当然这个问题并不是很严重,如果所有标示都用同种进制,就还不至于让人混淆,只是从更为严谨的科学态度上来说,是应该用二进制来标示的。

三、理论带宽和实际传输率

一般我们用数据宽度X传输频率/8计算出的总线或接口的传输速率实际上只是其理论带宽,在实时的运行状态下,传输速率会受到很多因素的影响而使得实际的传输速率要低于这个数值。在此,特别要指出的是厂商的设计能力和驱动程序的影响。我们知道很多在非Intel芯片组的主板上,内存的运行频率为100MHz或133MHz,按公式来计算,其传输速率应为800MB/s和1064MB/s,然而通过测试软件所测出的实际传输速率甚至要低于在Intel芯片组上以66MHz运行时的传输速率。

以上只是在一般性常识认识上所存在的误区中的一小部分,可谓冰山一角,还有很多误区需要各位在实际中去辨明。记得我的一位老师总是提醒我们:“科学上来不得半点虚假。”但愿在计算机制造、销售和宣传普及的上,有更为严谨的作风。
gototop
 
安德倚天剑
头像
横据古稀狮
  • 帖子:10446
  • 注册: 2004-12-04
  • 来自:贝克街
世界杯勋章2011NBA至尊
发表于: 2005-01-14 20:21 | 显示全部 短消息 资料
字号: 36楼

把好你的Windows98登录之门
大家都知道,Windows98有一个登录密码,这一密码对于多数人来说形同虚设。即使你设了密码,别人只要一点取消就大摇大摆地进入你的系统了。
也许你有办法:修改一个内容如下的注册表文件(注意大小写)
[HKEY_LOCAL_MACHINE\Network\Logon]
“MustBeValidated”=dword:00000001

然后将其导入注册表,这样别人就不能绕过密码进入你的系统了。其实这也不是万全之策,有时它根本不起作用,还有可能你自己也被拒之门外。不信请听我道来:

Windows的登录方式有三种:Windows登录、Microsoft友好登录、Microsoft网络用户。这三种登录方式各有特点,安全级别各不相同。

Windows登录
这是Windows刚安装完成后默认的登录方式,也是Windows中最不安全的登录方式,你前面对注册表的修改对它根本无效,不信,在出现“欢迎进入Windows”的登录窗口时,你只需单击取消,绝对畅通无阻。

Microsoft友好登录
要以此种方式登录,需对控制面板中网络属性进行修改,在“配置”标签中选择“添加/客户/Microsoft厂商/Microsoft友好登录”,然后在主网络登录中选“Windows登录”或“Microsoft友好登录”,确定后重新启动计算机即可,开机登录窗口里面列出了该计算机上的所有用户,登录时先选择你的用户名,然后在密码框中输入口令单击“确定”即可。只要你对注册表作了如上修改,想单击“取消”绕过口令就行不通了。这种方法比较安全。

Microsoft网络用户
要以此种方式登录,需对控制面板中网络属性进行修改,在“配置”标签中选择“添加/客户/Microsoft厂商/ Microsoft网络用户”,然后在主网络登录中选择“Windows网络用户”,确定后重新启动计算机即可。不过进行这步操作前,请注意:你的电脑必须接入某个Windows NT网络,该服务器必须正在运行,且你必须是该NT服务器上一个合法的用户,然后在出现登录网络对话框时输入你在服务器上的用户名、口令以及服务器的域名。最后确定方可顺利进入Windows,否则你也会被拒之门外。

不过,进入Windows 的办法还是有的,重新启动计算机,按F8键,选择以安全模式进入Windows,将前面要注册表中建立的MustBeValidated的键值改为0后重启,这时就可单击“取消”绕过口令了。

了解了以上三种登录方式,你应该知道如何为你的Windows设置一道铜墙铁壁啦。若哪位老兄能在Windows登录方式下也能拒绝“芝麻开门”,可要拿出来给大家共享哟!
gototop
 
安德倚天剑
头像
横据古稀狮
  • 帖子:10446
  • 注册: 2004-12-04
  • 来自:贝克街
世界杯勋章2011NBA至尊
发表于: 2005-01-14 20:21 | 显示全部 短消息 资料
字号: 37楼

硬盘7200转比5400转到底快多少?
  目前7200转的硬盘已成为市场上的主流,有些朋友买硬盘时非7200转的不买,以为7200转的就要比5400转的快三分之一。但硬盘的数据读取速度真的跟转速成正比吗?
  先来大致了解一下硬盘的结构。一个硬盘由很多盘片(platter)组成,每个盘片被若干个同心圆划分为很多个磁道(track),每个磁道又被划分为几十个扇区(sector)。硬盘读取数据,就是以一个扇区为单位的,在FAT32模式下,每个扇区的容量为4KB。一个盘片的每一面都会有一个读写头(read-write head),来读取相应盘面的内容。

  搞清楚了硬盘的结构,再来了解一下硬盘读取数据的过程。

  首先,读写头沿径向移动,移到要读取的扇区所在磁道的上方,这段时间称为寻道时间(seek time)。读写头起始位置与目标位置之间的距离不同,寻道时间也不同,一般为2--30毫秒,平均约为10毫秒。

  然后通过盘片的旋转,使得要读取的扇区转到读写头的下方,这段时间称为旋转延迟时间(rotational latency time)。一个7200(转/每分钟)的硬盘,每旋转一周所需时间为60×1000÷7200=8.33毫秒,则平均旋转延迟时间为8.33÷2=4.17毫秒(平均情况下,需要旋转半圈)。按照同样的计算方法,一个5400(转/每分钟)的硬盘,平均旋转延迟时间为60×1000÷5400÷2=5.56毫秒。

  平均寻道时间与平均旋转延迟时间之和称为平均存取时间(average access time)。

  最后才开始数据的读取。读取一个扇区的时间约为零点几个毫秒,相对平均存取时间而言可以忽略不计。因此,决定一个硬盘读写速度的是它的平均存取时间。

  通过简单的加法,我们就可以得出:7200转的硬盘,平均存取时间约为10+4.17=14.2毫秒;5400转的硬盘,平均存取时间约为10+5.56=15.6毫秒。两者相比,前者的速度只比后者提高了不到百分之十,离大家预想的三分之一相距甚远。当然,以上只是理论上的计算,在具体使用环境下,可用相关测试软件进行测试,为防骗取稿费之嫌,在此就不深入讨论了。

  值不值得为了百分之十的速度提高而多花一百多块钱呢?仁者见仁,智者见智,朋友你自己看着办吧。
gototop
 
安德倚天剑
头像
横据古稀狮
  • 帖子:10446
  • 注册: 2004-12-04
  • 来自:贝克街
世界杯勋章2011NBA至尊
发表于: 2005-01-14 20:22 | 显示全部 短消息 资料
字号: 38楼

常见系统进程描述
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行)
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标

附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少)
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

总结:
发现可疑进程的秘诀就是要多看任务管理器中的进程列表,看多了以后,一眼就可以发现可疑进程,就象
找一群熟悉人中的陌生人一样。
gototop
 
安德倚天剑
头像
横据古稀狮
  • 帖子:10446
  • 注册: 2004-12-04
  • 来自:贝克街
世界杯勋章2011NBA至尊
发表于: 2005-01-14 20:22 | 显示全部 短消息 资料
字号: 39楼

Windows98下自动启动程序的10种方法
1. Autostart 文件
C:\windows\start menu\programs\startup {chinese/english}
C:\windows\Menu D閙arrer\Programmes\D閙arrage {french}
在注册表中的位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"
所以它将很容易被程序更改
2. Win.ini
[windows]
load=file.exe
run=file.exe

3. System.ini [boot]
Shell=Explorer.exe file.exe

4. c:\windows\winstart.bat
看似平常,但每次都重新启动

5. Registry键
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]

6. c:\windows\wininit.ini
一旦运行就被windows删除,安装的setup程序常用
Example: (content of wininit.ini)
[Rename]
NUL=c:\windows\picture.exe
例子:将c:\windows\picture.exe设置为NUL, 表示删除它,完全隐蔽的执行!

7. Autoexec.bat
在DOS下每次自启动

8. Registry Shell Spawning (使用过Subseven吗?看看吧)
[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"

这些"%1 %*"需要被赋值, 如果将其改为 "server.exe %1 %*",
server.exe将在每次启动时被执行,这些exe/pif/com/bat/hta等文件都可被执行

9. Icq Inet
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\
当icq发现网络连接时,将被执行(我使用的icq2000b的键值有所不同,但您可以自行查找)
您发现OICQ有这方面的问题吗?^_^...

9. 杂项说明
找找以下的键值:
[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap]
@="Scrap object" "NeverShowExt"=""

NeverShowExt 键 可以隐藏SHS文件的扩展名.shs
如果你将一个文件改名为:"abc.jpg.shs" 它只显示"abc.jpg"
如果你的注册表里有很多NeverShowExt键值,删除他们。
注意:
这些方法不能全部适应Win2K,但您可以自行检测。
gototop
 
安德倚天剑
头像
横据古稀狮
  • 帖子:10446
  • 注册: 2004-12-04
  • 来自:贝克街
世界杯勋章2011NBA至尊
发表于: 2005-01-14 20:22 | 显示全部 短消息 资料
字号: 40楼

隐藏私密文件四法
  初级方法:修改文件目录的属性。此法最简单,只要选中欲隐藏的目录,单击鼠标右键,选择“属性”,在“隐藏”属性复选框中打个“√”即可。这样,该目录就具有了隐藏属性。此法虽然最简单,但安全性最差,只要在“资源管理器”中,选择“查看”菜中的“文件夹选项”,再将其“查看”中的“隐藏文件”部分选为“显示所有文件”就可以将隐藏目录显示出来。
中级方法:通过软件加密隐藏。Windows 95/98/Me下加密隐藏软件不少,如:Magic Folders、Encrypted Magic Folders(简称EMF)等,都可以用来隐藏甚至加密目录。下面就简单简介绍一下 EMF的使用方法。首先安装EMF,在安装过程中生成一张密码盘,操作时插入该盘,EMF检测盘上的密码,并进入相应的账号,然后运行Magic.exe程序会要你输入密码,这个密码就是以后进入EMF的密码。若想再次显示目录也必须输入这个密码。

高级方法:通过硬盘分区隐藏。将要加密的数据存放在专门分出的一个硬盘分区里,然后利用PQmagic等分区工具将此分区设置为隐藏分区。具体方法是:先以DOS方式启动,然后运行PQmagic,选定欲隐藏的分区,选择Operations菜单中Advanced下的Hidepartition,退出,再重新启动即可。若想再恢复时,再用同样的方法进入 PQmagic,去掉隐藏分区即可。此方法具有很强的隐蔽性,但也有一定的危险,有可能对硬盘造成一定的破坏,故在使用此方法时应慎重。

另类方法:将要隐藏的文件移动到某一临时文件夹下,再用WinZip或WinRAR带密码将它压缩成一个文件,此时在“资源管理器”中一看就知道是用WinZip或WinRAR压缩的,有些人自然会用相应的解密器去解密。而我们将它的扩展名由 ZIP或RAR改为一个不存在的文件扩展名,如SYJ,以后双击它就不会启动WinZip或WinRAR并打开它了。不过,你可得记好它的真正扩展名哟,要使用时再将扩展名改过来即可。
gototop
 
<<上一主题|下一主题>>
12345   4  /  5  页   跳转
页面顶部
Powered by Discuz!NT