偶看新闻短信号码查询系统:计算机综合知识500个为什么(四)
来源:百度文库 编辑:偶看新闻 时间:2024/04/27 21:11:48
我先在我的机器上运行一下命令做个示范(大家别黑我呀),注意我用红色标注的部分,(强烈推荐替换第三方服务,而不要乱动系统服务,否则会造成系统不稳定)于是我们搜索这两个文件,发现他们在D:\ rising\rav\文件夹中,此时注意一点:如果此文件是在系统盘的Program Files目录中时,我们要知道,如果对方是使用的NTFS格式的硬盘,那么系统盘下的这个文件夹guest权限是默认不可写的,还有Windows目录、Documents and Settings目录这些都是不可写的,所以我们就不能替换文件,只能令谋途径了。(这也是为什么我不建议替换系统服务的原因之一,因为系统服务文件都在Windows\System32目录中,不可写)但如果是FAT32格式就不用担心,由于它的先天不足,所有文件夹都是可写的。
于是就有人会问:如果是NTFS格式难道我们就没辙了吗?
当然不是,NTFS格式默认情况下除了对那三个文件夹有限制外,其余的文件夹、分区都是everyone完全控制。(也就是说我即使是IPC$的匿名连接,都会对这些地方有可写可运行权限!)所以一旦对方的第三方服务不是安装在那三个文件夹中,我们就可以替换了!我就拿CCenter下手,先将它下载到本地机器上(FTP、放到IIS主目录中再下载等等……)然后拿出你的文件捆绑机,找到一个你最拿手的后门……呵呵,捆绑好后,上传,先将对方的CCenter.exe文件改个名CCENTBAK.exe,然后替换成自己的CCenter。现在只需要等对方的机器重启,我们的后门就可以运行了!由于Windows系统的不稳定,主机在一个礼拜后就会重启,(当然如果你等不及的话,可以对此服务器进行DDOS攻击迫使他重启,但我并不赞同!)此时登上你的后门,就是System权限了!
5、替换admin常用程序。
如果对方没有你所能利用的服务,也可以替换对方管理员常用的程序,例如QQ,MSN等等,具体替换方法与替换服务一样,只是你的后门什么时候可以启动就得看你的运气了。
6、利用autorun .inf或desktop.ini。
我们常会碰到这种事:光盘放进光驱,就会自动跳出来一段FLASH,这是为什么?呵呵,你到光盘的根目录中看看,是否有一个autorun.inf的文件?用记事本打开来看看,是不是有这么一句话:autorun=xxx.exe 这就是你刚才所看到的自动运行的程序了。
于是我们就可以利用这个来提升我们的权限。先配置好一个后门,(我常用的是winshell,当然你不用这个也行)上传到他D盘下的任意一个文件夹中,然后从你那个自运行的光盘中把autorun.inf文件也上传,不过上传前先将autorun=xxx.exe 后面的xxx.exe改为你配置的后门文件途径、文件名,然后再上传到d盘根目录下,加上只读、系统、隐藏属性。OK就等对方admin浏览D盘,我们的后门就可以启动了!(当然,这必须是在他没有禁止自动运行的情况下才行。)
另外有相同作用的是desktop.ini。大家都知道windows支持自定义文件,其实它就是通过在文件夹中写入特定文件——desktop.ini与Folder.htt来实现的,我们就可以利用修改这文件来达到我们的目的。
首先,我们现在本地建立一个文件夹,名字不重要,进入它,在空白处点右键,选择“自定义文件夹”(xp好像是不行的)一直下点,默认即可。完成后,你就会看到在此目录下多了两个名为Folder setting的文件架与desktop.ini的文件,(如果你看不到,先取消“隐藏受保护的操作系统文件”)然后我们在Folder setting目录下找到Folder.htt文件,记事本打开,在任意地方加入以下代码:
然后你将你的后门文件放在Folder setting目录下,把此目录与desktop.ini一起上传到对方任意一个目录下,就可以了,只要等管理员浏览了此目录,它就执行了我们的后门!(如果你不放心,可以多设置几个目录)。
7、Serv-U提升权限
利用Serv-U提升权限共有三种方法,溢出是第一种,我之前已经说过,这里就不介绍了。我要讲的是其余两种办法。
办法一:要求:对Serv-u安装目录有完全控制权。
方法:进入对方的Serv-U目录,察看他的ServUDaemon.ini,这是Serv-U的配置文件,如果管理员没有选择将serv- u的所有配置写入注册表的话,我们就可以从这个文件中看到Serv-U的所有信息,版本、IP、甚至用户名与密码!早些版本的密码是不加密的,但是后来是经过了MD5加密。所以不能直接得到其密码。不过我们仍然有办法:先在本地安装一个Serv-U(版本最好新点),将你自己的ServUDaemon.ini文件用从他那下载下来的ServUDaemon.ini 覆盖掉,重起一下Serv-U,于是你上面的所有配置都与他的一模一样了。我们新建一个用户,什么组不重要,重要的是将他的主目录改为对方的系统盘,然后加上执行权限!这个最重要。更改完后应用,退出。再将你更改过的ServUDaemon.ini 文件上传,覆盖掉他的文件,然后就等他的Serv-U重启更新配置,之后我们就可以登入他的FTP。进入后执行以下命令:
Cd windows
Cd System32
Quote site exec net.exe user wofeiwo /add
Quote site exec net.exe localgroup administrators wofeiwo /add
Bye
然后你就有了一个叫wofeiwo的系统管理员了,还等什么?登陆3389,大功告成!
办法二:Serv-u开了两个端口,一个是21,也就是FTP了,而另一个是43958,这个端口是干什么的?嘿嘿,这个是Serv-U的本地管理端口。但是默认是不准除了127.0.0.1外的ip连接的,此时就要用到FPIPE.exe文件,这是一个端口转发程序,上传他,执行命令:
Fpipe –v –l 3333 –r 43958 127.0.0.1
意思是将4444端口映射到43958端口上。
然后就可以在本地安装一个Serv-u,新建一个服务器,IP填对方IP,帐号为LocalAdministrator 密码为[url=mailto:#1@$ak#.1k;0@p]#1@$ak#.1k;0@p[/url] 连接上后你就可以管理他的Serv-u了,之后提升权限的方法参考办法一。我就不赘述了。
8、SQL帐户密码泄露。
如果对方开了MSSQL服务器,我们就可以通过用SQL连接器加管理员帐号,因为MSSQL是默认的SYSTEM权限。
要求:你得到了对方MSSQL管理员密码(可以从他的连接数据库的ASP文件中看到),对方没有删除xp_cmdshell
方法:使用Sqlexec.exe,在host 一栏中填入对方IP,User与Pass中填入你所得到的用户名与密码。Format选择xp_cmdshell”%s”即可。然后点击connect,连接上后就可以在CMD一栏中输入你想要的CMD命令了。
唔……升个懒腰,好累阿,终于写完8个方法了,发发牢骚……(以下省略N字符)
总之,以上的8种方法并不是绝对的,最主要的是你的思路,每种方法互相结合,才能发挥其应有的效应。
Windows XP 下设置ADSL拨号连接
Windows XP 是微软推出的最新视窗操作系统,功能更强大,集成了PPPoE协议支持,ADSL用户不需要安装任何其他PPPoE拨号软件,直接使用Windows XP 的连接向导就可以建立自己的ADSL虚拟拨号连接。
安装好网卡驱动程序以后,选择(开始->程序->附件->通讯->新建连接向导)
出现“欢迎使用新建连接向导”画面,直接单击“下一步”
然后默认选择“连接到Internet”,单击“下一步”
在这里选择“手动设置我的连接”,然后再单击“下一步”
选择“用要求用户名和密码的宽带连接来连接”,单击“下一步”
出现提示你输入“ISP名称”,这里只是一个连接的名称,可以随便输入,例如:“ADSL”,然后单击“下一步”
在这里可以选择此连接的是为任何用户所使用或仅为您自己所使用,直接单击“下一步”
然后输入自己的ADSL账号(即用户名)和密码(一定要注意用户名和密码的格式和字母的大小写),并根据向导的提示对这个上网连接进行Windows XP的其他一些安全方面设置,然后单击“下一步”
至此我们的ADSL虚拟拨号设置就完成了。
单击“完成”后,你会看到桌面上多了个名为“ADSL”的连接图标。
如果确认用户名和密码正确以后,直接单击“连接”即可拨号上网。
成功连接后,你会看到屏幕右下角有两部电脑连接的图标。
网页病毒的性质及特点,对上网菜鸟的用户常识
这种非法恶意程序能够得以被自动执行,在于它完全不受用户的控制。你一旦浏览含有该病毒的网页,即可以在你不知不觉的情况下马上中招,给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。令你苦不堪言,甚至损失惨重无法弥补。 网页病毒的种类。根据目前互联网上流行的常见网页病毒的作用对象及表现特征,归纳为以下两大种类
一、通过Java Script、Applet、ActiveX编辑的脚本程序修改IE浏览器1.默认主页被修改;
2.默认首页被修改;
3.默认的微软主页被修改;
4.主页设置被屏蔽锁定,且设置选项无效不可改回;
5.默认的IE搜索引擎被修改;
6.IE标题栏被添加非法信息;
7.OE标题栏被添加非法信息;
8.鼠标右键菜单被添加非法网站广告链接;
9.鼠标右键弹出菜单功能被禁用失常;
10.IE收藏夹被强行添加非法网站的地址链接;
11.在IE工具栏非法添加按钮;
12.锁定地址下拉菜单及其添加文字信息;
13.IE菜单“查看”下的“源文件”被禁用;
二、通过Java Script、Applet、ActiveX编辑的脚本程序修改用户操作系统:
1.开机出现对话框;
2.系统正常启动后,但IE被锁定网址自动调用打开;
3.格式化硬盘;
4.暗藏“万花谷”蛤蟆病毒,全方位侵害封杀系统,最后导致瘫痪崩溃;
5.非法读取或盗取用户文件;
6.锁定禁用注册表;
7.注册表被锁定禁用之后,编辑*.reg注册表文件打开方式错乱;
8.时间前面加广告;
9.启动后首页被再次修改;
10.更改“我的电脑”下的一系列文件夹名称
注意了,了解放火墙的含义。。。
防火墙就是一个用来在网上防止别人非法连接和打开自己端口的一面墙,可以把非法连接拒之门外,不叫侵入自己的计算机,打开端口,窃取个人计算机上的密码和重要文件,当然了一般黑客攻击的对象不是个人用户(什么都没有,网络攻击计算机干嘛呀)而是一些知名的网站和有目的....比如:银行了...(我喜欢) 网络攻击就是说互联网上攻击了.(废话)
黑客一般攻击的步骤如下:
1.锁定目标.
在互联网上知道主机的域名或IP 地址,知道了攻击位置是不够的,还需要了解系统类型,操作系统,所提供的服务等全面的资料.
2.收集信息.
如何才能了解1中说的全面资料呢...ing (1)SNMP协议(2)TRACEROUTE程序(3)Whois协议(4)DNS服务器(5)Finger协议(6)ping(7)自动wardialing软件
3,系统分析,
就是对锁定目标的计算机扫描分析系统的安全弱点.要是被...嘿嘿 就自认倒霉吧.
(1)自篇入侵程序(2)利用公开的工具 当然是重安全漏洞攻击了,要做好"补丁"程序去堵塞漏洞呦..
4.最后当然是发动进攻了. 那就等的遭殃吧
Windows 2000-XP系统进程列表大全
Windows 2000/XP 的任务管理器是一个非常有用的工具,它能提供我们很多信息,比如现在系统中运行的程序(进程),但是面对那些文件可执行文件名我们可能有点茫然,不知道它们是做什么的,会不会有可疑进程(病毒,木马等)。本文的目的就是提供一些常用的Windows 2000 中的进程名,并简单说明它们的用处。
在 WINDOWS 2000 中,系统包含以下缺省进程:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
System Idle Process
Taskmgr.exe
Winlogon.exe
Winmgmt.exe
下面列出更多的进程和它们的简要说明
进程名 描述
smss.exe Session Manager
csrss.exe 子系统target="_blank">服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标)
mstask.exe 允许程序在指定时间运行。
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe msftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 实现FTP Internet 标准。该标准不要求用户名和密码。
termsrv.exe termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。
ups.exe 管理连接到计算机的不间断电源(UPS)。
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
llssrv.exe 证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
lserver.exe 注册客户端许可证。
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其它事务保护护资源管理器。
faxsvc.exe 帮助您发送和接收传真。
cisvc.exe 索引服务
dmadmin.exe 磁盘管理请求的系统管理服务。
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问Windows 桌面。
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。
smlogsvc.exe 配置性能日志和警报。
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
RsEng.exe 协调用来储存不常用数据的服务和管理工具。
RsFsa.exe 管理远程储存的文件的操作。
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
snmptrap.exe 接收由本地或远程SNMP 代理程序产生的陷阱(trap)消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。
UtilMan.exe 从一个窗口中启动和配置辅助工具。
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。
总结:发现可疑进程的秘诀就是要多看任务管理器中的进程列表,看多了以后,一眼就可以发现可可疑进程,就象找一群熟悉人中的陌生人一样。
我的WinXP优化之路:
总体设想:让WinXP更苗条、性感、速度更快,使用更便捷。
为了达到这个目的,我们主要从四个方面入手:
1、减少磁盘空间占用
2、终止不常用的系统服务
3、安全问题
4、另外一些技巧
首先问一下,你是不是很想激活XP,不。。。准确的说你是不是想在ms的站上能够升级。如果答案是肯定的话,那我们就先来探讨一下安装的问题,目前流行的V4、V5、V6版本我还是比较推荐的,尤其是V5和V6这两个。安装的过程中有个序列号的问题,我建议你先在机子上算好,然后用这个序列号安装,通常这样安装的XP都可以到MS的站点自由更新。
如果你是已经安装好的XP了,但用的序列号是里到处流传人人都用的那些,也没关系,我们后面会说用sysrep来重新封装的时候会解决序列号更换的问题。
我假设你已经安装完XP了,come on baby ~~
一、瘦身行动
1、在各种软硬件安装妥当之后,其实XP需要更新文件的时候就很少了。删除系统备份文件吧:开始→运行→sfc.exe /purgecache 近3xxM。
2、删除驱动备份: %windows%\driver cache\i386目录下的driver.cab文件,通常这个文件是76M。
3、偶没有看help的习惯,所以保留着%windows%\help目录下的东西对我来说是一种伤害,呵呵。。。都干掉,近4xM。
4、一会在升级完成后你还会发现%windows%\多了许多类似$NtUninstallQ311889$这些目录,都干掉吧,1x-3xM。
5、正好硬盘中还有win2000/server等,所以顺便把pagefile.sys文件都指向一个地方:控制面板→系统→性能—高级→虚拟内存→更改,注意要点“设置”才会生效。
6、卸载不常用组件:用记事本修改\%windows%\inf\sysoc.inf,用查找/替换功能,在查找框中输入,hide,全部替换为空。这样,就把所有的,hide都去掉了,存盘退出后再运行“添加-删除程序”,就会看见“添加/删除 Windows 组件”中多出不少选项;删除掉游戏啊,码表啊等不用的东西。
7、刪除\windows\ime下不用的輸入法,8xM。我重新安装了自己用的zrm输入法,赫赫。
8、如果实在空间紧张,启用NTFS的压缩功能,这样还会少用2x% 的空间,不过我没作。
9、关了系统还原,这破功能对我这样常下载、测试软件的人来说简直是灾难,用鼠标右健单击桌面上的“我的电脑”,选择“属性”,找到“系统还原”,选择“在所有驱动器上关闭系统还原”呵呵,又可以省空间了。
10、还有几个文件,挺大的,也没什么用。。。。忘了名字 :( ,刚安装的系统可以用查找功能查找大于50M的文件来看看,应该能找到的。
如果你能按照上面的过程做完,你的原本1.4G的XP,完全可以减少到800以下。
二、加速计划
WinXP的启动会有许多影响速度的功能,尽管ms说已经作最优化处理过,但对我们来说还是有许多可定制之处。我一般是这样来做的。
1、修改注册表的run键,取消那几个不常用的东西,比如Windows Messenger 。启用注册表管理器:开始→运行→Regedit→找到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSMSGS” /BACKGROUND 这个键值,右键→删除,世界清静多了,顺便把那几个什么cfmon的都干掉吧。
2、修改注册表来减少预读取,减少进度条等待时间,效果是进度条跑一圈就进入登录画面了,开始→运行→regedit启动注册表编辑器,找HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters, 有一个键EnablePrefetcher把它的数值改为“1”就可以了。另外不常更换硬件的朋友可以在系统属性中把总线设备上面的设备类型设置为none(无)。
3、关闭系统属性中的特效,这可是简单有效的提速良方。点击开始→控制面板→系统→高级→性能→设置→在视觉效果中,设置为调整为最佳性能→确定即可。这样桌面就会和win2000很相似的,我还是挺喜欢XP的蓝色窗口,所以在“在窗口和按钮上使用视觉样式”打上勾,这样既能看到漂亮的蓝色界面,又可以加快速度。
4、我用Windows commadner+Winrar来管理文件,Win XP的ZIP支持对我而言连鸡肋也不如,因为不管我需不需要,开机系统就打开个zip支持,本来就闲少的系统资源又少了一分,点击开始→运行,敲入:“regsvr32 /u zipfldr.dll”双引号中间的,然后回车确认即可,成功的标志是出现个提示窗口,内容大致为:zipfldr.dll中的Dll UnrgisterServer成功。
5、据说XP的一个系统服务Qos,这个调度要占用一定的网络带宽,像我这样的一毛不拔的人是无法忍受的,去掉方法是:开始菜单→运行→键入 gpedit.msc ,出现“组策略”窗口, 展开 "管理模板”→“网络” , 展开 "QoS 数据包调度程序", 在右边窗右键单击“限制可保留带宽" ,在属性中的“设置”中有“限制可保留带宽" ,选择“已禁用”,确定即可。当上述修改完成并应用后,用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler(QoS 数据包调度程序)"。说明修改成功,否则说明修改失败,顺便把网络属性中的那个Qos 协议也一起干掉(卸载)吧。
6、快速浏览局域网络的共享
通常情况下,Windows XP在连接其它计算机时,会全面检查对方机子上所有预定的任务,这个检查会让你等上30秒钟或更多时间。去掉的方法是开始→运行→Regedit→在注册表中找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\RemoteComputer\NameSpace。在此键值下,会有个{D6277990-4C6A-11CF-8D87-00AA0060F5BF}键,把它删掉后,重新启动计算机,Windows XP就不再检查预定任务了,hoho~~~ ,速度明显提高啦!
7、关掉调试器Dr. Watson
我好像从win95年代开始一次也没用过这东西,可以这样取消:打开册表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug子键分支,双击在它下面的Auto键值名称,将其“数值数据”改为0,最后按F5刷新使设置生效,这样就取消它的运行了。沿用这个思路,我们可以把所有具备调试功能的选项取消,比如蓝屏时出现的memory.dmp,在“我的电脑→属性→高级→设置→写入调试信息→选择无”等等。
8、被我终止的服务列表以及相关说明
1)alerter 错误警报
2)automatic updates windows 自动更新
3)background intelligent transfer service 微软说使用空闲的网络带宽传数据
4)clipbook 与远程电脑来共享剪贴板内容,我看还是免了吧
5)Computer browser 说什么要维护网络更新列表
6)DHCP client 我不需要这东西
7)Distributed link tracking client 保持局域网连接更新等信息,偶很少用局域网,这东西占用4M左右内存。
8)Distributed Transaction coordinator 协调xxx,和上面的差不多
9)DNS Client 我不需要这东西
10)Error reporting service 错误报告
11)Event Log 系统日志纪录
12)Fast user switching compatibility 用户切换
13)help and support 帮助
14)Human interface device access 据说是智能设备。。。
15)IMAPI CD-burning COM service 偶不用这个刻碟
16)Indexing service 索引,索引什么呢?
17)Internet Connection Firewall(ICF) ICF防火墙
18)IPSEC Services 这个我不懂,你想知道问Quack去
19)Logical Disk manager administrative service 配置磁盘
20)messenger 好像net send 等东西用的就是这个功能
21)MS software shadow copy provider 卷复制备份的
22)Net Logon 我可不想让黑客远程登录进来,关!
23)Netmeeting remote desktop sharing 我不用netmeeting
24)Network DDE 动态数据交换传输
25)Network DDE DSDM 和上面差不多
26)Network Location Awareness 关,我的机子不作共享
27)NTLM Security support provider-telnet 呵呵,关!
28)PerFORMance logs and alert 将系统状态写日志或发警告
29)Portable media serial number 关!
30)Print Spooler 打印机,不幸的是我的机子不连接Print ~
31) QoS RSVP 关!
32)Remote desktop help session manager 远程帮助服务
33)remote Procedure Call LOCATOR 管理RPC
34)remote registry 远程管理注册表
35)removable storage
36)routing and remote access 我干脆禁用了它
37)security accounts manager 我的系统只是一个客户系统,不用iis。
38)smart card
39)smart card helper 关!!!
40)SSDP Discovery service 我用不到这个
41)system event notification 如果是服务器肯定要记录的
42)system restore service 系统还原服务
43)task scheduler windows 计划服务
44)Telephony 拨号服务,我不拨号还不行吗?
45)telnet
46)terminal services 终端服务
47)uninterruptible power supply UPS,我没有呀
48)universal plug and play device host 太先进了点,用不到
49)upload manager 关了也能传输文件的
50)volume shadow copy 又是备份,晕
51)webclient 没用过
52)Windows Installer MSI服务,我一直关着。
53)windows image acquisition (WIA) 数码设备用的
54)windows management instrumentation driver extensions 关了
55)windows time 时间服务
56)wireless zero configuration 无线网络,偶用不到的
57)WMI perfromance adapter 关!
这里面的一些服务是刚开始就是关的,但我忘了,所以只好把现在系统中关闭的服务基本都列了出来。你根据自己的情况酌情处理吧。
三、我安全吗
多了不谈,基本的共享还是得关的:
修改注册表为以下两个样式:
去除共享
——————————————————————
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
——————————————————————
去除IPC$管理
——————————————————————
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
——————————————————————
或者将上面两个保存成个.REG文件,然后双击导入就可以了。
顺便把不要脸的的3721也屏蔽,在hosts文件中加入:
127.0.0.1 cnsmin.3721.com
127.0.0.1 www.3721.net
四、其他技巧
1、给鼠标右键增加个复制到.../移动到...功能
—————————————————————
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers
\Copy To]@="{C2FBB630-2971-11D1-A18C-00C04FD75D13}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers
\Move To]@="{C2FBB631-2971-11D1-A18C-00C04FD75D13}"
————————————————————————
将上面内容保存成add.reg文件,然后双击导入就可以了。
2、关了错误报告,K !这东西搞得我像个微软免费的测试员似的:点击控制面板---->系统---->高级---->右下角--->错误报告---->禁用错误汇报——>确定!
3、取消分组显示:右键单击任务栏的空白区域,在弹出的菜单中选择“属性”,在弹出的窗口中,取消“分组相似任务栏按钮”前面的对钩,确定就可以了。
4、找回经典的登录窗口,WinXP默认的登录界面虽然漂亮,但如果你想用一个列表中没有的用户登录,你会发现无从下手,改回经典窗口的方法是:点击“开始”→“控制面板”→“用户账户”→“更改用户登录或注销的方式”→把“使用欢迎屏幕”前面的对钩取消,最后点“应用选项”就OK啦。
5、将自己最常用的输入法设置一个快捷键:点击“开始”→“控制面板”→“区域和语言选项”→在弹出的窗口中选择“语言”→“详细信息”→“键设置”在弹出的窗口中找到自己用的输入法,点“更改按键顺序”→在这里选一个快捷键就可以了。
6、关闭计算机时自动结束不响应的任务,注册表:HKEY_CURRENT_USER\Control Panel\Desktop 中的“AugoEndTasks”的键值改为“1”
7、关闭自动更新:右键单击“我的电脑”,点击属性,点击“自动更新”,在“通知设置”一栏选择“关闭自动更新。我将手动更新计算机”一项。
8、减少开机磁盘扫描等待时间,开始→运行,键入“chkntfs/t:0”
然后连接到ms站点顺便升级一次就算优化基本完成,对于XP而言,可以采用许多内部命令来看看优化情况,比如tasklist.exe /svc 可以查看系统服务实际使用情况。
优化一个系统,挺麻烦的。所以我们把他保存起来,我们用Ghost生成.GHO文件,这样就可以拿给别人炫耀一下啦,在Ghost之前先要作一个事情,清除系统硬件、注册等信息,否则克隆到不同的机子上将无法启动,在Winxp安装盘上找Deploy.cab 中的sysprep.exe文件。
执行sysprep.exe,选择“重新封装”,下面的标记中可以选择“已提前激活”,还可以选择封装完成后是关机还是重新启动。封装完成后,我们再用带有Ghost的系统盘启动,用Ghost来生成备份.GHO镜像,备份完成!
在执行封装后,重新开机,XP会让我们输入序列号,文中开头所提到的换序列号的办法就是这样换。
Windows系统进程介绍
windows用了这么久了,关于系统进程多少也算了解了一点,今天“三”告诉我他的机器中了木马,让他查看一下有没有可疑进程,回答很有趣,我不知道那些有用啊。感到意外的同时,也觉得有必要对windows系统的进程作一个简要的总结,以方便大家查阅。 文中部分内容援引自“windows进程详解”,部分翻译自英文原版(系统进程),不妥之处,敬请指正。
(1)[system Idle Process]
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
(2)[alg.exe]
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描 述: 这是一个应用层网关服务用于网络共享。
介 绍:一个网关通信插件的管理器,为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。
(3)[csrss.exe]
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描 述: 客户端服务子系统,用以控制Windows图形相关子系统。
介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
(4)[ddhelp.exe]
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
简 介:Directx 帮助程序
(5)[dllhost.exe]
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
介 绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。
(6)[explorer.exe]
进程文件: explorer or explorer.exe
进程名称: 程序管理
描 述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
介 绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。
(7)[inetinfo.exe]
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
介 绍:IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。
(8)[internat.exe]
进程文件: internat or internat.exe
进程名称: Input Locales
描 述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
介 绍:它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。
(9)[kernel32.dll]
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描 述: Windows壳进程用于管理多线程、内存和资源。
介 绍:更多内容浏览非法操作与Kernel32解读
(10)[lsass.exe]
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介 绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
(11)[mdm.exe]
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描 述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
介 绍:Mdm.exe的主要工作是针对应用软件进行排错(Debug),说到这里,扯点题外话,如果你在系统见到fff开头的0字节文件,它们就是mdm.exe在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件,可以任意删除而不会对系统产生不良影响。对9X系统,只要系统中有Mdm.exe存在,就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中“Mdm”,按“结束任务”按钮来停止Mdm.exe在后台的运行,接着把Mdm.exe(在C:\Windows\System目录下)改名为Mdm.bak。运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。另外,如果你使用IE 5.X以上版本浏览器,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。
(12)[mmtask.tsk]
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描 述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
介 绍:这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。
(13)[mprexe.exe]
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描 述: Windows路由进程包括向适当的网络部分发出网络请求。
介 绍:这是Windows的32位网络界面服务进程文件,网络客户端部件启动的核心。印象中“A-311木马(Trojan.A-311.104)”也会在内存中建立mprexe.exe进程,可以通过资源管理结束进程。
(14)[msgsrv32.exe]
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描 述: Windows信使服务调用Windows驱动和程序管理在启动。
介 绍:msgsrv32.exe 一个管理信息窗口的应用程序,win9x下如果声卡或者显卡驱动程序配置不正确,会导致死机或者提示msgsrv32.exe 出错。
(15)[mstask.exe]
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描 述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
介 绍:计划任务,它通过注册表自启动。因此,通过计划任务程序实现自启动的程序在系统信息中看不到它的文件名,一旦把它从注册表中删除或禁用,那么通过计划任务启动的程序全部不能自动运行。win9X下系统启动就会开启计划任务,可以通过双击计划任务图标-高级-终止计划任务来停止它自启动。另外,攻击者在攻击过程中,也经常用到计划任务,包括上传文件、提升权限、种植后门、清扫脚印等。
(16)[regsvc.exe]
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描 述: 远程注册表服务用于访问在远程计算机的注册表。
(17)[rpcss.exe]
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描 述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
介 绍:98它不是在装载解释器时或引导时启动,如果使用中有问题,可以直接在在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices添加"字符串值",定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。
(18)[services.exe]
进程文件: services or services.exe
进程名称: Windows Service Controller
描 述: 管理Windows服务。
介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%\system32\service.exe
(19)[smss.exe]
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描 述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
简 介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
(20)[snmp.exe]
进程文件: snmp or snmp.exe
进程名称: Microsoft SNMP Agent
描 述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
简 介:负责接收SNMP请求报文,根据要求发送响应报文并处理与WinsockAPI的接口。
(21)[spool32.exe]
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描 述: Windows打印任务控制程序,用以打印机就绪。
(22)[spoolsv.exe]
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
(23)[stisvc.exe]
进程文件: stisvc or stisvc.exe
进程名称: Still Image Service
描 述: Still Image Service用于控制扫描仪和数码相机连接在Windows。
(24)[svchost.exe]
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描 述: Service Host Process是一个标准的动态连接库主机处理服务.
介 绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依KSvchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。
(25)[taskmon.exe]
进程文件: taskmon or taskmon.exe
进程名称: Windows Task Optimizer
描 述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
介 绍:任务管理器,它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序,可打开和结束程序,还可直接调出关闭系统对话框。
(26)[tcpsvcs.exe]
进程文件: tcpsvcs or tcpsvcs.exe
进程名称: TCP/IP Services
描 述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。
(27)[winlogon.exe]
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描 述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。
(28)[winmgmt.exe]
进程文件: winmgmt or winmgmt.exe
进程名称: Windows Management Service
描 述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。
简 介:winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。WinMgmt.exe(CIM对象管理器)和知识库(Repository)是WMI两个主要构成部分,其中知识库是对象定义的数据库,它是存儲所有可管理静态数据的中心数据库,对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。WinMgmt.exe在Windows 2k/NT上作为一个服务运行,而在Windows 95/98上作为一个独立的exe程序运行。Windows 2k系统在某些计算机上出现的WMI错误可以通过安装Windows 2k SP2來修正。
(29)[system]
进程文件: system or system
进程名称: Windows System Process
描 述: Microsoft Windows系统进程。
介 绍:在任务管理器中会看到这项进程,属于正常系统进程。
系统进程就介绍到这里。
在Windows2k/XP中,以下进程是必须加载的:
smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process;
在Windows 9x中,一下进程是必须加载的:
msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。
电脑维修必看
——————————主板篇————————
主板常见故障
随着主板电路集成度的不断提高及主板价格的降低,其可维修性越来越低。主板是搭载各个设备的桥梁,主板罢工,电脑将无法运行。
主板故障的确定,一般通过逐步拔除或替换主板所连接的板卡(内存,显卡等),先排除这些配件可能出现的问题后就可以把目标锁定在主板上。另外,主板故障往往表现为系统启动失败,屏幕无显示等难以直观判断的故障现象。
1与主板驱动有关
主板驱动丢失,破损,重复安装会引起操作系统引导失败或造成操作系统工作不稳的故障,可依次打开“控制面板——系统——设备管理器”检查一下“系统设备”中的项目是否有黄色惊叹或问号。将打黄色惊叹号或问号的项目全部删除(可在“安全模式”下进行操作),重新安装主板自带驱动,重启即可,例如:爱用Intel芯片组的主板要安装“Intel Chipset Software Installation Utility” 主板驱动程序,爱用VIA芯片组的主板需要安装“4 IN 1”驱动,以取得更好的稳定性和兼容性。
2 接触不良,短路等
主析的面积较大,是聚集灰尘较多的地方,灰尘很可能会引发插槽与板卡接触不良的现象,这时我们可以对着插槽吹吹气,去除灰尘,如果是由于插槽引脚氧化面引起接触不良的,可以将有硬度的白纸折好(表面光滑那面向外)。插入槽内来回擦拭。另外,CPU温度或主板上用于监控机箱内温度的热敏电阻上附上了灰尘的话,很可能会造成主板对温度的识别错误,从而引发主板保护性故障的问题,在清洁时也需要注意,
拆装机箱时,不小心掉入的诸如小镙丝之类的导电物可能会卡在主板的元器件之间从而引发短路现象,会引发“保护性故障”。另外,检查主板与机箱底板间是否因少装了用于支撑主板的小铜柱,是否主板安装不当或机箱变形而使主板与机箱直接接触,使具有短路保护功能的电源自动切断电源供应。
3 和主板电池有关
当遇到,电脑开机时不能正确找到硬盘,开机后系统时间不正确,CMOS设置不能保存等现象时,可先检查主板CMOS跳线是否设为清除“CLEAR”选顶(一般是2-3),如果是这样的话,请将跳线改为“NORMAL”(一般是1-2)然后重新设置。如果不是CMOS跳线错误,就很可能是因为主板电池损坏或电池电压不足造成的,请换个主板电池试试,
4兼容性问题
遇到收于主板设计上的BUG或升级配件时出现的新旧事物兼容性问题的情况,在排除BIOS设的误码后可以下载主板的最新BIOS进行刷新,另外,主板BIOS陈旧还可能导致无法升级操作系统等问题
技巧一:清除CMOS设置,也可以解决一些“莫名其妙”的故障,大家不妨试试
技巧二:当安装的硬件不能被操作系统识别时,将COMS设置的“PNP OS INSTALLED”即插即用)项目设成YES OR NO ,试试。
5主板北桥芯片散热效果不挂造成的
有些主板将北桥芯片上的散热片省掉了,这可能会造成芯片散热效果不佳导致系统运行一段时间后死机,遇到这样的情况,可自制散热片或加个散热片或加个散热要好的机箱风扇。
6 主板电容失效引起的
主板上的铝电解电容(一般在CPU插槽周围),其内部爱用了电解液由于时间,温度。质量等方面的原因,会使它发生“老化”现象,这会导致主板抗干扰指标的下降从而影响机子正常工作。我们可以购买与“老化”容量相同的电容,准备好工具后,将“老化”的替换即可,另外,拆装电脑时工具的失落也有可能不小心将电容砸坏,也应检查排除。
7 BIOS受损
由于BIOS刷新失败或CIH病毒造成的BIOS受损的问题,如果引导块(AWAED BIOS中称为BIOS boot block, phoenix BIOS 中称为Flash Recover boot Block)未被破坏,可用自制的启动盘进行重新刷新BIOS,假如引导块也损坏的话,可用热插拔法(很危险)或用利用编程器进行安全的修复。
内存常见故障
内存是电脑的核心部件之一,也是电脑启动必不可少的,它的作用毋庸置疑的,那么内存最常见的故障都有哪些呢?
1 开机无显示
内存条原因出现此类故障一般是因为内存条与主板内存插槽接触不良造成,只要用橡皮擦来回擦拭其金手指部位即可解决问题(不要用酒精等清洗),还有就是内存损坏或主板内存槽有问题也会造成此类故障
由于内存条原因造成开机无显示故障,主机扬声器一般都会长时间蜂鸣(针对Award BIOS而言)
2 Windows注册表经常无故损坏,提示要求用户恢复
此类故障一般都是困为内存条质量不佳引起,很难予以修复,唯有更换一途
3 Windows经常自动进入安全模式
此类故障一般是由于主板与内存条不兼容或内存条质量不佳引起,常见于高频率的内存用于某些不支持此频率内存的主板上,可以尝试在CMOS设置内降低内存读取速度看能否解决问题,如若不行,那就只有更换内存条了。
4 随机性死机
此类故障一般是由于采用了几种不同芯片的内存条,由于各内存条速度不同产生一个时间差从面导致死机,对此可以在CMOS设置内降低内存速度予以解决,否则,唯有使用同型号内存,还有一种可能就是内存条与主板不兼容,此类现象一般少见,另外也有可能是内存条与主板接触不良引起电脑随机性死机。
5 内存加大后系统资源反而降低
此类现象一般是由于主板与内存不兼容引起,常见于高频率的内存用于某些不支持此频率的内存的主板上,当出现这样的故障后你可以试着在COMS中将内存的速度设置得低一点试试。
6 运行某些软件时经常出现内存不足的提示
此现象一般是由于系统盘剩余空间不足造成,可以删除一些无用文件。多留一些空间即可。
7 从硬盘引导安装Windows进行到检测磁盘闪间时,系统提示内存不足
此类故障一般是由于用户有config.sys文件中加了emm386.exe文件,只要将其屏蔽掉即可解决问题
------------------------操作系统故障处理篇--------------------
操作系统故障
操作系统故障一般分为二种,一种是运行类故障。还有一种是注册表故障
一般的操作系统都可以用一种方法来处理,就是重装系统,非常有效,但是太过麻烦^_^
运行类故障指的是windows在正常启动完成后,在运行应用程序或工肯软件过程中出现错误,无法完成用户要求的任务
下面简析几则常见的问题
1 在windows下经常蓝屏
出现这种问题的原因是多种多样的。有的在windows启动是出现,有的是在用户运行一些软件才产生的,
出现此类故障一般是由于用户操作不当促使windows系统损坏造成,此类现象具体表现在以安全引导时不能正常时入系统,出现蓝屏,有时碎片太多也会出现这样的问题除此之外还有以下几种原因可能引发蓝屏
(1) 内存问题。因为这种原因出现的问题比较多,一般是由于芯片质量不好造成,有时可以通过修改CMOS设置中的内存速度可以解决问题。如果不行就可有换内存了。
(2) 主板问题。因为主板问题才引发的蓝屏问题一般少见,现像是一般不会死机,但是发生得频繁。当确定是主板引发的问题只有换主板一种解决方法
(3) CPU原因,因为CPU问题才引发的蓝屏问更要少见,一般发生在Cyrix的CPU上。对此可以对CPU降频来解决,要是不行,就只有换CUP一途了。
2.经常出现随机死机的现象
死机的故障比较常见,但涉及的面广,维修比较麻烦,现在将逐步进行详解
(1) 病毒原因迁成电脑频繁死机,由于此类原因造成该故障的现象比较常见,当电脑感染病毒后,主要表现在以下几个方面
* 系统启动时间长
* 系统启动时自动启动一些不必要的等程序
* 无故死机
* 屏幕上出现一些乱码
如果因为病毒损坏了一些系统文件,导致系统工作不稳定,可以在安全摸式下对系统文件修复
(2) 由于某些元件热稳定性不良造成此类故障,具体表现在CPU、电源、内存、主板等方面。所以可以让电脑打开一段时间后等其死机后再摸电脑上的元件,,要是温度太高就说明那个部件有问题。可用替换法来诊断
(3) 由于各部件接确不良导致电脑死机的也比较常见,特别在买了一般时间后的电脑上,由于各部件是用金手指与主板接确,经过一般时间后就会发生氧化现象,在拔下卡后会发现金手指部件发黄,这时候可以用橡皮擦来回擦拭变黄处来清洁
(4) 由于硬件之间不兼容造成电脑频繁死机。此类现象常见于显卡与其他部件不兼容或内存条与主板不兼容,对此可以将其他不必要的设备拆下后给以判断
(5) 软件冲突或损坏引起死机。此类故障,一般都发生得比较普通,对此可以将这个软件卸除
3 在windows下运行应用程序时提示内存不足
一般出现内存不足的提示可能有以下几种原因:
(1) 磁盘剩余空间不足,
(2) 同时运行了多个应用程序
(3) 电脑感染了病毒。
4 在Windows下运行应用程序时出现非法操作的提示
此类故障引起原因较多,在如下几钟可能
(1) 系统文件被更改或损坏,倘若由此引发则打开一些系统自带的程序时就会出现非法操作,(例如,打开控制面板)
(2) 驱动程序未正确安装,此类故障一般表现在显卡驱动程序之止,倘若由此引发,则打开一些游戏程序时就会产生非法操作,有时打开一此网页也会出现这种程况
(3) 内存质量不好,降低内存速度也可能会解决这个问题
(4) 软件不兼容,如,IE 5。5在Windows 98 SE 上,当打开多个网页也会产生非法操作
5 自动重新启动
此类故障表现在如下几个方面:在系统启动时或在应用程序运行了一段时间后出现此类故障,引发该故障的原因一般是由于内存条热稳定性不良或电源工作不稳定所造成,还有一种可能就是CPU温度太高引起,还有一种比较特殊的情况,有时由于驱动程序或某些软件有冲突,导致Windows系统在引导时间生故障
操作系统故障的诊断方法
1, 用“安全模式”启动
当系统频频出现故障的时候,最简单的排查办法可以考虑用安全模式启动电脑。
在安全模式下,windows会使用基本默认配置和电小功能启动系统,其他很多关于系统设置问题,有时候也可以通过安全模式来排查和解决,如分辩率设置过高、将内存限制得过小,进入系统就重启等等。
2 恢复先前的注册表
如果系统存在较为严重的问题,上述方法则不能解决,不妨采用恢复出现故障前的注册表
当系统出现问题无法windows的时候,用windows启动盘启动并引导到MS-DOS,在DOS提示符下键入scanreg/restore并回车,会显示出已经备份的注册表文件。恢复了就好。
3 检查重要的系统文件
如果系统早有故障而一直都没注意,日积月累突然出现是问题,这个时候就是恢了注册表也没有用,因为问题比系统自建的还要早。那么,这种情况往往是系统系统文件损坏导致,系统文件损坏的可能原因很多,比如应用程序覆盖了重要的系统文件,或者磁盘错误破坏了系统文件,如.vxd .dll 等。用户不小心删除了系统致命的文件,要是有这种情况可以运行sfc 癖动“系统文件检查器:,开始检查,如果查出错误,会提示出来,到时你放入安装光盘就可以恢复了
4卸掉有冲突的设备
系统存在的问题也不少,遇到这种情况,办法是进入安全模式,打开设备管理器卸载有冲突硬件,一般都可以解决。
5 快速进行覆盖安装
对于初学者和经验不足的维修人员来说,一方面又进不了windows 又想保留原来的系统设置,这时候就可以进行快速覆盖安装了
如果以上的方法还是不可以解决问题,那只好Format了C盘,重装了。
常见软件故障及处理方法
软件故障的原因
软件发生故障的原因有几个,丢失文件、文件版本不匹配、内存冲突、内存耗尽,具体的情况不同,也许只因为运行了一个特定的软件,也许很严重,类似于一个的系统级故障。
为了避免这种错误的出现,我们可以仔细研究一下每种情况发生的原因,看看怎样检测和避免。
丢失文件
你每次启动计算机和运行程序的时候,都会牵扯到上百个文件,绝大多数文件是一些虚拟驱动程序virtual device drivers (VxD),和应用程序非常依赖的动态链接库dynamic link library (DLL)。VXD允许多个应用程序同时访问同一个硬件并保证不会引起冲突,DLL则是一些独立于程序、单独以文件形式保存的可执行子程序,它们只有在需要的时候才会调入内存,可以更有效地使用内存。当这两类文件被删除或者损坏了,依赖于它们的设备和文件就不能正常工作。
要检测一个丢失的启动文件,可以在启动PC的时候观察屏幕,丢失的文件会显示一个“不能找到某个设备文件”的信息和该文件的文件名、位置,你会被要求按键继续启动进程。
造成类似这种启动错误信息的绝大多数原因是没有正确使用卸载软件。如果你有一个在WINDOWS启动后自动运行的程序如Norton Utilities、 Nuts and Bolts等,你希望卸载它们,应该使用程序自带的“卸载”选项,一般在“开始”菜单的“程序”文件夹中该文件的选项里会有,或者使用“控制面板”的“添加/卸载”选项。如果你直接删除了这个文件夹,在下次启动后就可能会出现上面的错误提示。其原因是WINDOWS找不到相应的文件来匹配启动命令,而这个命令实际上是在软件第一次安装时就已经置入到注册表中了。你可能需要重新安装这个软件,也许丢失的文件没有备份,但是至少你知道了是什么文件受到影响和它们来自哪里。
对文件夹和文件重新命名也会出现问题,在软件安装前就应该决定好这个新文件所在文件夹的名字。
如果你删除或者重命名了一个在“开始”菜单中运行的文件夹或者文件,你会得到另外一个错误信息,在屏幕上会出现一个对话框,提示“无效的启动程序”并显示文件名,但是没有文件的位置。如果桌面或者“开始”菜单中的快捷键指向了一个被删除的文件和文件夹,你会得到一个类似的“丢失快捷键”的提示。
丢失的文件可能被保存在一个单独的文件中,或是在被几个出品厂家相同的应用程序共享的文件夹中,例如文件夹\SYMANTEC就被Norton Utilities、Norton Antivirus和其他一些 Symantec 出品的软件共享,而对于\WINDOWS\SYSTEM来说,其中的文件被所有的程序共享。你最好搜索原来的光盘和软盘,重新安装被损坏的程序。
文件版本不匹配
绝大多数的WIN 9X用户都会不时地向系统中安装各种不同的软件,包括WINDOWS的各种补丁例如Y2K,或者将WIN 95 升级到WIN 98,这其中的每一步作都需要向系统拷贝新文件或者更换现存的文件。每当这个时候,就可能出现新软件不能与现存软件兼容的问题。
因为在安装新软件和WINDOWS升级的时候,拷贝到系统中的大多是DLL文件,而DLL不能与现存软件“合作”是产生大多数非法作的主要原因,即使会快速关闭被影响的程序,你也没有额外的时间来保存尚未完成的工作。
WINDOWS的基本设计使得上述DLL错误频频发生。和其他版本不同,WIN 95允许多个文件共享\WINDOWS \SYSTEM文件夹的所有文件,例如可以有多个文件使用同一个Whatnot.dll,而不幸的是,同一个DLL文件的不同版本可能分别支持不同的软件,很多软件都坚持安装适合它自己的Whatnot.dll版本来代替以前的,但是新版本一定可以和其他软件“合作愉快”吗?如果你运行了一个需要原来版本的DLL的程序,就会出现“非法作”的提示。
在安装新软件之前,先备份\WINDOWS\SYSTEM 文件夹的内容,可以将DLL错误出现的几率降低,既然大多数DLL错误发生的原因在此,保证DLL运行安全是必要的。而绝大多数新软件在安装时也会观察现存的DLL,如果需要置换新的,会给出提示,一般可以保留新版,标明文件名,以免出现问题。
绝大多数卸载软件也可以用来监视安装,这些监视记录可以保证在以后的卸载时更加准确,另外你也可以知道哪些文件被修改了,如果提供备份功能,可以保存旧版本的文件和安装过程中被置换的文件。
WIN 98和WIN 95有所不同,它在将WINDOWS升级和安装新软件时自动备份被置换的文件,如果在WIN98安装后出现问题,你可以使用Version Conflict Manager(VCM)帮助你发现哪些文件被改变了,可以从WIN 98的备份中将原来的版本恢复出来,而VCM可以从“开始”菜单、附件、系统工具或者安装WIN 98的光盘中寻找。
另一个避免出现DLL引起的非法作的办法是不同时运行不同版本的同一个软件,即使你为新版本软件准备了另一个新文件夹,如果你一定要同时使用两个版本,就会出现非法错误信息。
非法作
非法作会让很多用户觉得很迷惑,如果你仔细研究的话会就发现软件才是真凶,每当有非法作信息出现,相关的程序和文件都会和错误类型显示在一起,如果在WINDOWS 3.1中可能是一般保护性错误(GPF),一般是由于有两个软件同时使用了内存的同一个区域,但是即使知道原因也无法避免这一类错误。
用户可以通过错误信息列出的程序和文件来研究错误起因,因为错误信息并不直接指出实际原因,如果给出的是“未知”信息,可能数据文件已经损坏,看看有没有备份或者看看厂家是否有文件修补工具。
如果是Microsoft的软件,你可以将程序名和错误信息作为关键字在Microsoft的站点进行搜索。例如我们到微软的基本知识站点 http://support.microsoft.com/default.aspx?scid=fh;ZH-CN;KBHOWTO WORD 97、非法作和kernel32.dll三项,就只会返回9条信息。
从微软的站点返回的信息大约是DLL错误、软件的BUG、在低端RAM运行或者是磁盘空间等问题,具体的弥补方法会因为问题的不同而有所区别,例如下载并安装软件的补丁、卸载并重新安装特定的程序,或者不能同时运行某些程序等。
蓝屏错误信息
要确定出现蓝屏的原因需要仔细检查错误信息,很多蓝屏发生在安装了新软件以后,是新软件和现行的WINDOWS设置发生冲突直接引起的。
出现蓝屏的真正原因不容易搞清楚,最好的办法是把错误信息保留下来,然后用“blue screen”和文件名、“fatal exception”代码到微软的站点搜索,以便确定原因。不幸的是,即使一个特定的软件被破坏,蓝屏也不能确定引起问题的文件是什么,如果在蓝屏上显示了多个信息,那么首先应该搜索第一条。
很多蓝屏可以用改变WINDOWS设置来解决,大多数情况下需要下载安装一个更新的驱动程序,一些蓝屏与版本有关,应该确定你使用的WINDOWS版本,查看WIN 9X的设备管理程序可以确定这些信息。
资源耗尽
经常有人会问,既然有了更多的内存,是不是可以运行更多程序,大多数用户对此限制有些模糊。
一些Windows程序需要消耗各种不同的资源组合,GDI(图形界面)集中了大量的资源,这些资源用来保存菜单按钮、面板对象、调色板等等;第二个积累较多的资源则是USER(用户),用来保存菜单和窗口的信息,第三个是SYSTEM(系统资源),是一些通用的资源。
这些资源在win3.x中受到的限制是很大的,在不发生GPE(一般保护性错误)和其他错误导致的资源耗尽的情况下只允许几个为数不多的程序同时运行。WIN 9X由于限制放宽了许多,所以可以有很多程序同时运行,而WIN NT才是唯一的对绝大多数资源完全不加以限制的微软的作系统。
在程序打开和关闭之间都会消耗资源,一些在程序打开时被占用的资源在程序关闭时可以被恢复,但并不都是这样,一些程序在运行时可能导致GDI和USER资源丧失,这也就是为什么在机器运行一段时间以后最好重新启动一次补充资源的原因。
决大多数用户希望在出现非法作或者蓝屏之前能够被提示资源占用严重的情况,WINDOWS带有一个资源测量仪(打开“开始”菜单,选择程序、附件、系统工具)可以放置在工具栏上实时显示关于GDI、USER和一些系统资源的占用情况。 常见软件故障及处理方法
软件故障的原因
软件发生故障的原因有几个,丢失文件、文件版本不匹配、内存冲突、内存耗尽,具体的情况不同,也许只因为运行了一个特定的软件,也许很严重,类似于一个的系统级故障。
为了避免这种错误的出现,我们可以仔细研究一下每种情况发生的原因,看看怎样检测和避免。
丢失文件
你每次启动计算机和运行程序的时候,都会牵扯到上百个文件,绝大多数文件是一些虚拟驱动程序virtual device drivers (VxD),和应用程序非常依赖的动态链接库dynamic link library (DLL)。VXD允许多个应用程序同时访问同一个硬件并保证不会引起冲突,DLL则是一些独立于程序、单独以文件形式保存的可执行子程序,它们只有在需要的时候才会调入内存,可以更有效地使用内存。当这两类文件被删除或者损坏了,依赖于它们的设备和文件就不能正常工作。
要检测一个丢失的启动文件,可以在启动PC的时候观察屏幕,丢失的文件会显示一个“不能找到某个设备文件”的信息和该文件的文件名、位置,你会被要求按键继续启动进程。
造成类似这种启动错误信息的绝大多数原因是没有正确使用卸载软件。如果你有一个在WINDOWS启动后自动运行的程序如Norton Utilities、 Nuts and Bolts等,你希望卸载它们,应该使用程序自带的“卸载”选项,一般在“开始”菜单的“程序”文件夹中该文件的选项里会有,或者使用“控制面板”的“添加/卸载”选项。如果你直接删除了这个文件夹,在下次启动后就可能会出现上面的错误提示。其原因是WINDOWS找不到相应的文件来匹配启动命令,而这个命令实际上是在软件第一次安装时就已经置入到注册表中了。你可能需要重新安装这个软件,也许丢失的文件没有备份,但是至少你知道了是什么文件受到影响和它们来自哪里。
对文件夹和文件重新命名也会出现问题,在软件安装前就应该决定好这个新文件所在文件夹的名字。
如果你删除或者重命名了一个在“开始”菜单中运行的文件夹或者文件,你会得到另外一个错误信息,在屏幕上会出现一个对话框,提示“无效的启动程序”并显示文件名,但是没有文件的位置。如果桌面或者“开始”菜单中的快捷键指向了一个被删除的文件和文件夹,你会得到一个类似的“丢失快捷键”的提示。
丢失的文件可能被保存在一个单独的文件中,或是在被几个出品厂家相同的应用程序共享的文件夹中,例如文件夹\SYMANTEC就被Norton Utilities、Norton Antivirus和其他一些 Symantec 出品的软件共享,而对于\WINDOWS\SYSTEM来说,其中的文件被所有的程序共享。你最好搜索原来的光盘和软盘,重新安装被损坏的程序。
文件版本不匹配
绝大多数的WIN 9X用户都会不时地向系统中安装各种不同的软件,包括WINDOWS的各种补丁例如Y2K,或者将WIN 95 升级到WIN 98,这其中的每一步作都需要向系统拷贝新文件或者更换现存的文件。每当这个时候,就可能出现新软件不能与现存软件兼容的问题。
因为在安装新软件和WINDOWS升级的时候,拷贝到系统中的大多是DLL文件,而DLL不能与现存软件“合作”是产生大多数非法作的主要原因,即使会快速关闭被影响的程序,你也没有额外的时间来保存尚未完成的工作。
WINDOWS的基本设计使得上述DLL错误频频发生。和其他版本不同,WIN 95允许多个文件共享\WINDOWS \SYSTEM文件夹的所有文件,例如可以有多个文件使用同一个Whatnot.dll,而不幸的是,同一个DLL文件的不同版本可能分别支持不同的软件,很多软件都坚持安装适合它自己的Whatnot.dll版本来代替以前的,但是新版本一定可以和其他软件“合作愉快”吗?如果你运行了一个需要原来版本的DLL的程序,就会出现“非法作”的提示。
在安装新软件之前,先备份\WINDOWS\SYSTEM 文件夹的内容,可以将DLL错误出现的几率降低,既然大多数DLL错误发生的原因在此,保证DLL运行安全是必要的。而绝大多数新软件在安装时也会观察现存的DLL,如果需要置换新的,会给出提示,一般可以保留新版,标明文件名,以免出现问题。
绝大多数卸载软件也可以用来监视安装,这些监视记录可以保证在以后的卸载时更加准确,另外你也可以知道哪些文件被修改了,如果提供备份功能,可以保存旧版本的文件和安装过程中被置换的文件。
WIN 98和WIN 95有所不同,它在将WINDOWS升级和安装新软件时自动备份被置换的文件,如果在WIN98安装后出现问题,你可以使用Version Conflict Manager(VCM)帮助你发现哪些文件被改变了,可以从WIN 98的备份中将原来的版本恢复出来,而VCM可以从“开始”菜单、附件、系统工具或者安装WIN 98的光盘中寻找。
另一个避免出现DLL引起的非法作的办法是不同时运行不同版本的同一个软件,即使你为新版本软件准备了另一个新文件夹,如果你一定要同时使用两个版本,就会出现非法错误信息。
非法作
非法作会让很多用户觉得很迷惑,如果你仔细研究的话会就发现软件才是真凶,每当有非法作信息出现,相关的程序和文件都会和错误类型显示在一起,如果在WINDOWS 3.1中可能是一般保护性错误(GPF),一般是由于有两个软件同时使用了内存的同一个区域,但是即使知道原因也无法避免这一类错误。
用户可以通过错误信息列出的程序和文件来研究错误起因,因为错误信息并不直接指出实际原因,如果给出的是“未知”信息,可能数据文件已经损坏,看看有没有备份或者看看厂家是否有文件修补工具。
如果是Microsoft的软件,你可以将程序名和错误信息作为关键字在Microsoft的站点进行搜索。例如我们到微软的基本知识站点 http://support.microsoft.com/default.aspx?scid=fh;ZH-CN;KBHOWTO WORD 97、非法作和kernel32.dll三项,就只会返回9条信息。
从微软的站点返回的信息大约是DLL错误、软件的BUG、在低端RAM运行或者是磁盘空间等问题,具体的弥补方法会因为问题的不同而有所区别,例如下载并安装软件的补丁、卸载并重新安装特定的程序,或者不能同时运行某些程序等。
蓝屏错误信息
要确定出现蓝屏的原因需要仔细检查错误信息,很多蓝屏发生在安装了新软件以后,是新软件和现行的WINDOWS设置发生冲突直接引起的。
出现蓝屏的真正原因不容易搞清楚,最好的办法是把错误信息保留下来,然后用“blue screen”和文件名、“fatal exception”代码到微软的站点搜索,以便确定原因。不幸的是,即使一个特定的软件被破坏,蓝屏也不能确定引起问题的文件是什么,如果在蓝屏上显示了多个信息,那么首先应该搜索第一条。
很多蓝屏可以用改变WINDOWS设置来解决,大多数情况下需要下载安装一个更新的驱动程序,一些蓝屏与版本有关,应该确定你使用的WINDOWS版本,查看WIN 9X的设备管理程序可以确定这些信息。
资源耗尽
经常有人会问,既然有了更多的内存,是不是可以运行更多程序,大多数用户对此限制有些模糊。
一些Windows程序需要消耗各种不同的资源组合,GDI(图形界面)集中了大量的资源,这些资源用来保存菜单按钮、面板对象、调色板等等;第二个积累较多的资源则是USER(用户),用来保存菜单和窗口的信息,第三个是SYSTEM(系统资源),是一些通用的资源。
这些资源在win3.x中受到的限制是很大的,在不发生GPE(一般保护性错误)和其他错误导致的资源耗尽的情况下只允许几个为数不多的程序同时运行。WIN 9X由于限制放宽了许多,所以可以有很多程序同时运行,而WIN NT才是唯一的对绝大多数资源完全不加以限制的微软的作系统。
在程序打开和关闭之间都会消耗资源,一些在程序打开时被占用的资源在程序关闭时可以被恢复,但并不都是这样,一些程序在运行时可能导致GDI和USER资源丧失,这也就是为什么在机器运行一段时间以后最好重新启动一次补充资源的原因。
决大多数用户希望在出现非法作或者蓝屏之前能够被提示资源占用严重的情况,WINDOWS带有一个资源测量仪(打开“开始”菜单,选择程序、附件、系统工具)可以放置在工具栏上实时显示关于GDI、USER和一些系统资源的占用情况。
防止软件故障的五个注意事项:
在安装一个新软件之前,考察一下它与你的系统的兼容性;
在安装一个新的程序之前需要保护已经存在的被共享使用的DLL文件,防止在安装新文件时被其他文件覆盖;
在出现非法作和蓝屏的时候仔细研究提示信息分析原因;
随时监察系统资源的占用情况; 使用卸载软件删除已安装的程序。
防止软件故障的五个注意事项:
在安装一个新软件之前,考察一下它与你的系统的兼容性;
在安装一个新的程序之前需要保护已经存在的被共享使用的DLL文件,防止在安装新文件时被其他文件覆盖;
在出现非法作和蓝屏的时候仔细研究提示信息分析原因;
随时监察系统资源的占用情况; 使用卸载软件删除已安装的程序。