Windows系统注册表的中文注释.txt爱人是路,朋友是树,人生只有一条路,一条路上多棵树,有钱的时候莫忘路,缺钱的时候靠靠树,幸福的时候别迷路,休息的时候靠靠树!第一:进程是什么
进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。
危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。
第二:什么是木马
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
第三:什么是计算机病毒
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓
延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随
同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎
仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不
寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序
的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性
的程序。还有的定义是一种人为
制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制
并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒
所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复
制, 具有传染性。
所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计
算机资源进行破坏作用的一组程序或指令集合。
第四:什么是蠕虫病毒
蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。
第五:什么是广告软件Adware
广告软件(Adware)是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后,往往造成系统运行缓慢或系统异常。
防治广告软件,应注意以下方面:
第一,不要轻易安装共享软件或"免费软件",这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
第二,有些广告软件通过恶意网站安装,所以,不要浏览不良网站。
第三,采用安全性比较好的网络浏览器,并注意弥补系统漏洞.
第六:什么是间谍软件Spyware
间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。用户的隐私数据和重要信息会被那些后门程序捕获,甚至这些“后门程序”还能使黑客远程操纵用户的电脑。
防治间谍软件,应注意以下方面:
第一,不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
第二,有些间谍软件通过恶意网站安装,所以,不要浏览不良网站。
第三,采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
第七:Dll文件是什么
DLL是Dynamic Link Library的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL 文件。DLL文件一般被存放在C:WindowsSystem目录下。
1、如何了解某应用程序使用哪些DLL文件
右键单击该应用程序并选择快捷菜单中的“快速查看”命令,在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。
2、如何知道DLL文件被几个程序使用
运行Regedit,进入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent- ersionSharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。
3、如何解决DLL文件丢失的情况
有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到System 文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。
rundll的功能是以命令列的方式呼叫Windows的动态链结库。
Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库,后者是用于16位的链结库。rundll32.exe是专门用来调用dll文件的程序。
如果用的是Win98,rundll32.exe一般存在于Windows目录下;
如果用的WinXP,rundll32.exe一般存在于WindowsSystem32目录下。
若是在其它目录,就可能是一个木马程序,它会伪装成rundll32.exe。
第八:什么是系统进程
进程是指在系统中正在运行的一个应用程序;线程是系统分配处理器时间资源的基本单元,或者说进程之内独立执行的一个单元。对于操作系统而言,其调度单元是线程。一个进程至少包括一个线程,通常将该线程称为主线程。一个进程从主线程的执行开始进而创建一个或多个附加线程,就是所谓基于多线程的多任务。
那进程与线程的区别到底是什么?进程是执行程序的实例。例如,当你运行记事本程序(Nodepad)时,你就创建了一个用来容纳组成Notepad.exe的代码及其所需调用动态链接库的进程。每个进程均运行在其专用且受保护的地址空间内。因此,如果你同时运行记事本的两个拷贝,该程序正在使用的数据在各自实例中是彼此独立的。在记事本的一个拷贝中将无法看到该程序的第二个实例打开的数据。
以沙箱为例进行阐述。一个进程就好比一个沙箱。线程就如同沙箱中的孩子们。孩子们在沙箱子中跑来跑去,并且可能将沙子攘到别的孩子眼中,他们会互相踢打或撕咬。但是,这些沙箱略有不同之处就在于每个沙箱完全由墙壁和顶棚封闭起来,无论箱中的孩子如何狠命地攘沙,他们也不会影响到其它沙箱中的其他孩子。因此,每个进程就象一个被保护起来的沙箱。未经许可,无人可以进出。
实际上线程运行而进程不运行。两个进程彼此获得专用数据或内存的唯一途径就是通过协议来共享内存块。这是一种协作策略。下面让我们分析一下任务管理器里的进程选项卡。
这里的进程是指一系列进程,这些进程是由它们所运行的可执行程序实例来识别的,这就是进程选项卡中的第一列给出了映射名称的原因。请注意,这里并没有进程名称列。进程并不拥有独立于其所归属实例的映射名称。换言之,如果你运行5个记事本拷贝,你将会看到5个称为Notepad.exe的进程。它们是如何彼此区别的呢?其中一种方式是通过它们的进程ID,因为每个进程都拥有其独一无二的编码。该进程ID由Windows NT或Windows 2000生成,并可以循环使用。因此,进程ID将不会越编越大,它们能够得到循环利用。第三列是被进程中的线程所占用的CPU时间百分比。它不是CPU的编号,而是被进程占用的CPU 时间百分比。此时我的系统基本上是空闲的。尽管系统看上去每一秒左右都只使用一小部分CPU时间,但该系统空闲进程仍旧耗用了大约99%的CPU时间。
第四列,CPU时间,是CPU被进程中的线程累计占用的小时、分钟及秒数。请注意,我对进程中的线程使用占用一词。这并不一定意味着那就是进程已耗用的CPU时间总和,因为,如我们一会儿将看到的,NT计时的方式是,当特定的时钟间隔激发时,无论谁恰巧处于当前的线程中,它都将计算到CPU周期之内。通常情况下,在大多数NT系统中,时钟以10毫秒的间隔运行。每10毫秒NT的心脏就跳动一下。有一些驱动程序代码片段运行并显示谁是当前的线程。让我们将CPU时间的最后10毫秒记在它的帐上。因此,如果一个线程开始运行,并在持续运行8毫秒后完成,接着,第二个线程开始运行并持续了2毫秒,这时,时钟激发,请猜一猜这整整10毫秒的时钟周期到底记在了哪个线程的帐上?答案是第二个线程。因此,NT中存在一些固有的不准确性,而NT恰是以这种方式进行计时,实际情况也如是,大多数32位操作系统中都存在一个基于间隔的计时机制。请记住这一点,因为,有时当你观察线程所耗用的CPU总和时,会出现尽管该线程或许看上去已运行过数十万次,但其CPU时间占用量却可能是零或非常短暂的现象,那么,上述解释便是原因所在。上述也就是我们在任务管理器的进程选项卡中所能看到的基本信息列。
第九:什么是应用程序
应用程序指的是程序开发人员要开发的一个数据库应用管理系统,它可以是一个单位的
财务管理系统、人事管理系统等。(各种有关功能的窗口的集合构成一个完整的应用系统,分发给各个终端用户的就是一个应用程序。
第十:如何察看正在运行的进程
察看正在运行的进程的方法有很多,最简单就是使用Windows自带的进程管理器察看正在运行的进程:同时按下“Ctl Alt Del”打开Windows进程管理器。点击进程的标签,即可察看系统中进行的进程列表。或者用鼠标右键点系统状态栏“系统管理器”进入系统进程管理器
第十一:如何强制结束一个运行中的进程
1. 打开“终端服务管理器(任务管理器)”。
2. 在“进程”选项卡上的“用户”列下,右键单击要结束的进程,然后单击“结束进程”。
注意
1. 必须具有完全控制权限才能结束进程。
2. 要打开“终端服务管理器”,请依次单击“开始”和“控制面板”,双击“管理工具”,然后双击“终端服务管理器”。
3. 请注意:在没有警告的情况下结束进程会导致用户会话中的数据丢失。
4. 可能需要结束进程,因为应用程序没有响应。
5. 也可以使用 tskill 命令结束进程。
强制结束进程的命令行
Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。ntsd会新开一个调试窗口,本来在纯命令行下无法控制,但如果只是简单的命令,比如退出(q),用-c参数从命令行传递就行了。Ntsd按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息,请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口,输入:
ntsd -c q -p PID
把最后那个PID,改成你要终止的进程的ID。如果你不知道进程的ID,任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)",然后就能看见了。
XP下还有两个好用的工具tasklist和tskill。tasklist能列出所有的进程,和相应的信息。tskill能查杀进程,语法很简单:tskill 程序名!
结束进程的一些巧用小窍门:
误删VCD文件的另类恢复
现在很多人会把一些不错的VCD直接拷入硬盘保存。但你是否误删过这些百看不厌的经典之作呢?那么怎样才能在不用恢复软件的情况下手动恢复它们呢?
笔者找到了一个另类的恢复方法,并且效果还不错。首先要知道误删的VCD文件的文件名和原文件存储路径。一般情况下VCD的主要视频文件是VCD根目录下的Mpegav文件夹,文件名一般为Avseq0?.dat或Music0?.dat,其中“?”代表数字(1~9)。有的VCD序幕和正式内容是一个文件,即Avseq01.dat或Music01.dat;也有的VCD序幕和正式内容分别为两个文件,即序幕为Avseq01.dat或Music01.dat,而正式内容为Avseq02.dat或Music02.dat。
首先,找一个和误删文件同名的文件(暂且称为A),接着将A复制到原误删文件的同一文件夹中。在出现“正在复制...”窗口时,按下Ctrl+Alt+Del结束“正在复制...”任务,如果“正在复制...”窗口不消失,就再次按下Ctrl+Alt+Del结束“正在复制...”任务。就这么简单,到原误删文件存储的地方看一下,是不是又失而复得了?用多媒体播放软件打开,只是开头几秒种是文件A的内容,后面的照看不误。
保存拷了一部分的文件
如果你经常会把MP3、CD、VCD、MPEG、RM等音、视频文件(或其他类型的文件)从光盘中复制到硬盘,那么可能会遇到复制到只剩下一点点时,Windows提示“复制文件出错”,这时只要按回车键或点击“确定”按钮,那么辛辛苦苦复制的文件就会丢失。
其实只要马上激活“任务管理器”,把“出错的对话框”和“正在复制”的任务都关闭掉。那么文件就会以原文件大小保存下来了,当然这还是有缺点的,当此类文件播放到断点的地方时就会停止。
巧玩游戏
本人用的是Windows XP家庭版,运行一些支持Windows 2000但不支持Windows XP的游戏时,鼠标、键盘失去反应。某日发现一解法:打开“任务管理器”,结束EXPLORER.EXE进程,点“新任务”,找到游戏运行文件,运行即可。另外,结束SVCHOST.exe(为当前用户名的)进程可以去掉Windows XP风格。
第十二:一些常见的进程
进程名 描述
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
mstask.exe 允许程序在指定时间运行。
regsvc.exe 允许远程注册表操作。(系统服务)→remoteregister
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
llssrv.exe 证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
clipsrv.exe 支持"剪贴簿查看器",以便可以从远程剪贴簿查阅剪贴页面。
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源管理器。
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。
第十三:什么是网络钓鱼
什么是网络钓鱼?
网络钓鱼(Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈
骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
如何防备网络钓鱼?
不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。
不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播,这些途径往往可能被黑客利用来进行诈骗。
不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言,伺机窃取用户的身份资料等。
不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。
如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。
不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。
第十四:什么是浏览器劫持
浏览器劫持是一种恶意程序,通过DLL插件、BHO 、Winsock LSP 等形式对用户的浏览器进行篡改,使用户浏览器出现访问正常网站时被转向到恶意网页、IE浏览器主页 / 搜索页等被修改为劫持软件指定的网站地址等异常。
浏览器劫持如何防止,被劫持之后应采取什么措施?
浏览器劫持分为多种不同的方式,从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程,劫持浏览器,都有人采用。针对这些情况,用户应该采取如下措施:不要轻易浏览不良网站。
不要轻易安装共享软件、盗版软件。
建议使用安全性能比较高的浏览器,并可以针对自己的需要对浏览器的安全设置进行相应调整。
如果给浏览器安装插件,尽量从浏览器提供商的官方网站下载。
第十五:什么是恶意共享软件
恶意共享软件(malicious shareware)是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上,并且利用一些病毒常用的技术手段造成软件很难被卸载,或采用一些非法手段强制用户购买的免费、共享软件。安装共享软件时,应注意以下方面:注意仔细阅读软件提供的“安装协议”,不要随便点“next”进行安装。
不要安装从不良渠道获得的盗版软件,这些软件往往由于破解不完全,安装之后带来安全风险。
使用具有破坏性功能的软件,如硬盘整理、分区软件等,一定要仔细了解它的功能之后再使用,避免因误操作产生不可挽回的损失。
第十六:如何更好地预防计算机病毒入侵
有病治病,无病预防这是人们对健康生活的最基本也是最重要的要求,预防比治疗更为重要。对计算机来说,同样也是如此,了解病毒,针对病毒养成一个良好的计算机应用管理习惯,对保障您的计算机不受计算机病毒侵扰是尤为重要的。为了减少病毒的侵扰,建议大家平时能做到“三打三防”。
“三打”就是安装新的计算机系统时,要注意打系统补丁,震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的,打好补丁就可以防止此类病毒感染;用户上网的时候要打开杀毒软件实时监控,以免病毒通过网络进入自己的电脑;玩网络游戏时要打开个人防火墙,防火墙可以隔绝病毒跟外界的联系,防止木马病毒盗窃资料。
“三防”就是防邮件病毒,用户收到邮件时首先要进行病毒扫描,不要随意打开电子邮件里携带的附件;防木马病毒,木马病毒一般是通过恶意网站散播,用户从网上下载任何文件后,一定要先进行病毒扫描再运行;防恶意“好友”,现在很多木马病毒可以通过 MSN、 QQ 等即时通信软件或电子邮件传播,一旦你的在线好友感染病毒,那么所有好友将会遭到病毒的入侵。
第十七:如何干净地清除病毒
1 、在安全模式或纯DOS模式下清除病毒
当计算机感染病毒的时候,绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒,这里说的正常模式准确的说法应该是实模式(Real Mode),这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法,针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。
在安全模式(Safe Mode)或者纯DOS下进行清除清除时,对于现在大多数流行的病毒,如蠕虫病毒、木马程序和网页代码病毒等,都可以在安全模式下在DOS下杀毒(建议用干净软盘启动杀毒)。而且,当计算机原来就感染了病毒,那就更需要在安装反病毒软件后(升级到最新的病毒库)
2 、带毒文件在\Temporary Internet Files目录下
由于这个目录下的文件,Windows 会对此有一定的保护作用,所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然后打开 IE ,选择IE工具栏中的 " 工具"\"Internet 选项 ",选择 " 删除文件 " 删除即可,如果有提示" 删除所有脱机内容 ",也请选上一并删除。
3 、带毒文件在 \_Restore 目录下,*.cpy 文件中
这是系统还原存放还原文件的目录,只有在装了Windows Me/XP 操作系统上才会有这个目录,由于系统对这个目录有保护作用。
对于这种情况需要先取消" 系统还原 " 功能,然后将带毒文件删除,甚至将整个目录删除也是可以的。
4 、带毒文件在.rar 、.zip 、.cab 等压缩文件中
对于绝大多数的反病毒软件来说,现在的查杀压缩文件中病毒的功能已经基本完善了,单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。
要清除压缩文件中的病毒,建议解压缩后清除,或者借助压缩工具软件的外挂杀毒程序的功能,对带毒的压缩文件进行杀毒。
5 、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中
这种病毒一般是引导区病毒,报告的病毒名称一般带有 boot 、 wyx 等字样。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病
毒软件直接进行查杀;
如果这种病毒是在硬盘上,则需要用干净的可引导盘启动进行查杀。对于这类病毒建议用干净软盘启动进行查杀,不过在查杀之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows 、Linux 等。如果没有干净的可引导盘,则可使用下面的方法进行应急杀毒:
(1) 在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows 95/98/ME 系统上通过 " 添加/删除程序 " 进行制作,但要注意的是,制作软盘的操作系统须和自己所使用的操作系统相同;
(2) 用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:\>fdisk/mbr
A:\>sys a: c:
针对 NT 构架的操作系统可首先安装“管理员控制台”,安装后使用管理员控制台,然后分别执行 fixmbr (恢复主引导记录)和 fixboot (恢复启动盘上的引导区)命令对引导区及启动信息进行修复。
如果带毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中,那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件,一般作用不大,病毒在其中已经不起作用了。
6 、带毒文件在一些邮件文件中,如 dbx 、 eml 、 box 等
绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒,对于邮箱中的带毒的信件,可以根据用户的设置杀毒或删除带毒邮件,但是由于此类邮箱的复合文件结构,易出现杀毒后的邮箱依旧可以检测到病毒情况,这是由于没有压缩邮箱进行空间释放的原因导致的,您可以尝试在 Outlook Express 中选择“工具”—〉“选项”—〉“维护”—〉“立即清除”—〉“压缩”
7 、文件中有病毒的残留代码
这种情况比较多见的就是带有 CIH 、Funlove 、宏病毒(包括 Word 、 Excel 、Powerpoint 和 Wordpro 等文档中的宏病毒)和个别网页病毒的残留代码,通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是 int 、 app 等结尾,而且并不常见,如 W32/FunLove.app 、W32.Funlove.int 。一般情况下,这些残留的代码不会影响正常程序的运行,也不会传染,如果需要彻底清除的话,要根据各个病毒的实际情况进行清除。
8 、文件错误
这种情况出现的并不多,通常是由于某些病毒对系统中的关键文件修改后造成的,异常的文件无法正常使用,同时易造成别的系统错误,针对此种情况建议进行修复安装的方法恢复系统中的关键文件。
9 、加密的文件或目录
对于一些加密了的文件或目录,请在解密后再进行病毒查杀。
10 、共享目录杀毒
这里包括两种情况:本地共享目录和网络中远程共享目录(其中也包括映射盘)。
遇到本地共享的目录中的带毒文件不能清除的情况,通常是局域网中别的用户在读写这些文件,杀毒的时候表现为无法直接清除这些带毒文件中的病毒,如果是有病毒在对这些目录在写病毒操作,表现为对共享目录进行清除病毒操作后,还是不断有文件被感染或者不断生成病毒文件。以上这两种情况,都建议取消共享,然后针对共享目录进行彻底查杀,恢复共享的时候,注意不要开放太高的权限,并对共享目录加设密码。对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话,建议还是直接在远程计算机进行查杀病毒。
特别的,如果在清除别的病毒的时侯都建议取消所有的本地共享,再进行杀毒操作。在平时的使用中,也应注意共享目录的安全性,加设密码,同时,非必要的情况下,不要直接读取远程共享目录中的文件,建议拷贝到本地检查过病毒后再进行操作。
11 、光盘等一些存储介质
对于光盘上带有的病毒,不要试图直接清除,这是因为光盘上的文件都是只读的原因导致的。同时,对另外一些存储设备查杀病毒的,也需要注意其是否处于写保护或者密码保护状态。
===========================================================================
[转帖]入门级问题解答小集!
[这个贴子最后由问道在 2004/02/14 01:30am 第 2 次编辑]
有的问题回答了不知多少遍了……一起来吧,常见问题都跟贴放在这儿,没有的再讨论。1:请问win386.swp是什么文件,为什么删除不了
答:是虛擬内存文件(在9X和ME的系統中存在)
你可以來設定它的大小的!
参考:最小值应该是物理内存的数加上12(物理内存在256MB以上的)
内存在128MB或者更少的建议最小值为物理内存的1.75倍
在128MB到256Mb之间的设置为1.5倍
256Mb以上就设置为2.5倍
建议页面文件放在一个硬盘分区内``分散影响速度!!
也可以禁止使用!(系统默认是windows自己管理!)
你可以在DOS下用del命令删除。 (不过开机后它又会自动生成的)
2:如何恢复注册表(for 9x/me)
答:启动到DOS下输入scanreg /restore可以选择恢复。选择出问题前的日期哦!
更详细的注册表恢复与备份请看这里!
2000/xp中
我们一般在启动计算机看见“正在启动2000/xp”的信息后,按F8键。然后在出现的界面中选择“最后一次正确的配置”然后回车,启动系统,**作完毕后,注册表将被还原到上次成功启动计算机的时候的状态!
3:新欢乐时光病毒
病毒感染过程介绍
VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢乐时光“VBS.HappyTime”一样,该病毒采用 VBScript 语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用 Windows 系统的“资源管理器”进行寄生与感染。
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动发送电子邮件!而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采用 html 格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染 html/htm、jsp、vbs、php、asp 等格式的文件,不会删除系统文件。
病毒生成和修改的文件
1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两个文件控制了文件夹在资源管理器中的显示视力)。
2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。
3、在 Windows 9X 系统中,生成 %Windows%\System\Kernel.dll 文件;在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll 文件。
4、感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php、asp,用病毒替换其内容。
注册表的修改
1、在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下增加 Kernel32 键值,使病毒随系统启动;
2、修改 HKEY_CLASSES_ROOT\dllFile\,改变 dll 文件的打开方式;
3、修改 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\Compose Use Stationery" 为 1,即采用信纸;修改HKEY_CURRENT_USER\Identities\" & UserId & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\Stationery Name" 指向信纸文件;
4、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容,使 Outlook 2000 采用信纸来撰写邮件;
5、修改HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail 相关内容,使 Outlook XP 采用信纸撰写邮件;
病毒感染的标志
1、在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下存在Kernel32 键值,并指向 Kernel.dll 或者 Kernel32.dll 文件;
2、系统中大量存在 desktop.ini 和 folder.htt;
3、在 system 目录下存在 kjwall.gif 文件;
手工清除(难度较大,建议采用杀毒软件杀毒)
1、打开注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32 键值; 参照其他机器,恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值;
参照其他机器,恢复HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\ 下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\ 下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\ 下相关键值;
2、删除文件(建议在 DOS 状态下或者使用第三方文件管理系统,如 Win Commander 等) 参照其他机器,恢复 %Windows%\web 目录下 folder.htt 文件;
删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif;
查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码;
转帖]入门级问题解答小集!
4:Windows不定时搜寻软驱问题
答:如果你的 Windows 98/Me 常常会有事没事就去检查软驱,你可以从下面几个方面依顺序来检查,排除问题,以下,越在前面的方法,可能性越大。
·清除开始菜单中,「文档」里的资料,如果你曾经开启过软盘上的文件,而这文件名称还存在于「文档」里的话,Windows 有可能会去搜寻软驱。
·清除开始菜单中,「运行」里的项目。
·到「设置」>>「控制面板」,打开「系统」,到「性能」这页,按「文件系统」,到「磁盘」,不要勾「每次开机就搜寻新的软驱」,按确定,当你重新启动计算机之后,Windows 就不会去侦测你的软驱。
·检查一下是不是你的防毒软件会去检查软驱(例如 McAfee 、Antivirus 、Pccillin..等),请查阅你的防毒软件说明。
·检查一下是不是你计算机上的一些工具软件会去检查你的软驱。
·检查 MSDOS.SYS 这个文件里面(你必须知道如何修改文件属性,才能修改 MSDOS.SYS 的内容),有没有 LocalLoadHigh=1 这一行叙述,有的话,删掉。
·检查一下是不是病毒的关系,造成系统不定时去搜寻软驱(例如 NEUVILLE 病毒)。
·检查 registry:HKEY_CLASSES_ROOT/CLSID 的值,看看有没有任何的路径是指向到软盘上的。
5:ME的关机选单里没有重新启动到MS-DOS模式怎么办
答:当你在Windows Me中,按「开始」>>「关机」,在这个关闭 Windows 的窗口里,会找不到「重新启动到 MS-DOS」模式的选项,这不是你的计算机出了什么问题,而是 Windows Me 已经不再提供这项功能。
在 Windows Me 唯一可以真正启动到以往纯 DOS 模式的方法,只剩利用「启动盘」一途了,顺便提一下,无论是 Windows 95、98 或 Me,它们在「附件」下的「MS-DOS」这是一个虚拟 DOS 程序,换言之,就一个在 Protect Mode下仿真 MS-DOS 的作业环境的程序,而「重新启动到 MS-DOS模式」就如同 DOS **作系统,是属于一个 Real Mode 的作业环境。
对多数的MS-DOS程序而言,都可以在虚拟的 DOS 环境下运行。但是有些比较特殊的 DOS 程序,好比需要主动掌控内存资源的(像是某些古老的 DOS Game)、或是需要存取硬件资源的(像是更新 BIOS 的程序),这一类的 DOS 程序都不一定能在虚拟的 DOS 环境中执行。
注:在关机选单中,还会有一项「休眠」功能,但是并不是在每一台计算机上都会出现,如果你的主机板不支持休眠的功能,就不会有此选项。
6:磁盘整理到一半总是重新开始怎么办
答:这算是个出现频率非常高的问题,很多人都问过。
在进行磁盘整理的时候,跑了一阵子,可能才到 3% 或 10%..,结果又自动重头来一遍,一直重复这项的动作,没有办法整理完,为什么呢?
先检查你的屏幕保护程序关了没?电源管理关了没?防毒软件关了没?
·在桌面空白的地方按鼠标右键选属性,到「屏幕保护程序」卷标,屏幕保护程序需要设为「无」,如果你计算机有安装其它外挂的屏幕保护程序,也请记得关闭。
·同样在「屏幕保护程序」卷标页的下方,有监视器省电功能,按「设定」,系统待命必须是「从不」,关闭硬盘必须是「从不」,监视器关不关无所谓。
·有些防毒软件会干扰磁盘整理,有些则不会,如果你一直被这问题困扰,不妨关闭你的防毒软件,测试看看。
Windows 的电源管理也关了、屏幕保护也关了,为什么还是一样的情况呢?
这可能是受到计算机上仍有一些在后台运作的应用软件,或是驱动程序的影响,某个程序一直要写资料到硬盘上,磁盘整理程序就没有办法完成整理的工作。
对一般使用者而言,要找出是哪个程序在背后捣蛋,也是不容易,所以..
如果你的计算机在每一次磁盘整理的时候都一直发生这种问题(先确认你的屏幕保护程序、电源管理都已经关了,结果还是一样),有一个最简单的方法可以解决,当你要整理的时候,就是不让 Windows 在启动时加载任何的程序,等整理完毕,再加载。
·按「开始」>>「运行」>>输入 msconfig,进入系统配置编辑器。
·在「常规」这里,选「选择性开机」,任何一样都不要勾,按确定,重新启动你的计算机,计算机会启动在最干净的环境。
·运行 Windows 的磁盘整理程序。
等整理完毕,再执行msconfig,设回到「标准开机」,重新启动计算机就可以了。
这个环境只是让你完成磁盘整理用的,因为我不在你的旁边,所以不知道是哪些软件引起的问题,所以只好用这种方法,让你停用所有预先加载的程序,让磁盘整理程序所受到的干扰减到最小,等整理完毕,再让系统恢复正常。
记得整理完之后,一定要进入 msconfig 设回到「标准开机」,否则一堆驱动程序都没有加载,你的很多软件、设备大概都不能正常工作了。
7:如何让98/me在dos中安装的更快
答:那样就要使用参数了!
setup /id /ih /ie /im /is /iv来快速安装系统。
说明一下:ie 安装中不创建启动盘;(以后可以在“控制面板”--“添加删除”的“启动盘”中创建)
im 忽略对常规内存检查;(自己的内存符合安装98/me系统的最低的要求的前提下)
is 不检查磁盘;(保证自己的磁盘是没有错误的时候可以加这个)
iv 不运行公告牌内容(就是那些介绍文字)
id 忽略磁盘空间检查(当然你的磁盘空间要够的前提下)
转帖]入门级问题解答小集!
8:为什么我安装xp特别的慢
答:也许你忘了加载SMARTDRV.EXE了!
方法:先运行SMARTDRV.EXE(一般在98系統的c:\windows目录下找到然后先放在软盘或别的什么移动储蓄卡里)然后就可以执行/i386/winnt.exe来安装xp了。
**作步骤:smartdrv 4096 回车/i386/winnt.exe回车!
9:任务条的属性点不开,怎么办
答:运行regedit进入注册表编辑器,找到如下分支HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右窗格内找到DWORD串值"NoSetTaskBar"
设置为0或者是删除这一项
10:为什么我关闭程序和网页后有时出现对话框说,“该程序执行非法**作,即将关闭”。有时关闭计算机都关不了,按ctrl+alt+del显示一个窗口Rundll32文件。这是什么回事? 答:(参考)很可能的原因就是,你的 System.ini 这个文件里,在 [boot] 这个区段中,少了:
drivers=mmsystem.dll
这个叙述造成的,你自己补上去就可以解决这个问题。为什么会有这个错误的发生?大部分都是在使用控制面板「添加新硬件」这个功能时,使用不正确,像是需要驱动程序而你又不提供正确的驱动程序等等造成的。
使用记事本或任何的纯文字编辑软件(像UltraEdit),打开位于C:\Windows 下的System.ini 文件。
找到 [ boot ] 这个区段。
补上一行 drivers=mmsystem.dll
补上后,记得「存盘」与「重新开机」。
使用 Windows 98 的人,还有一个较方便的方法,你可以直接到「开始」>>「运行」,输入msconfig,然后在 System.ini 这一页,打开 boot 文件夹,按新增,去新增一行叙述:drivers=mmsystem.dll
设好后,记得储存你的设定,重新开机。
11:98系统下如何卸载WINDOWS XP
答:先介绍在FAT32分区格式卸载方法!
例如:Windows 9X/Me安装在c盘,而xp安在d盘
首先我们用9x的启动软盘引导计算机进入ms-dos系统后,运行格式化圆盘分区的命令,直接快速格式化windowsxp所在的分区(如果这个盘中有重要的资料,请先备份!)
**作过程:
format D:/q
然后执行系统传输命令,将9x引导文件传输到c盘分区中:
sys c:
接着运行命令将进行删除与windows xp系统相关文件的命令:
deltree c:\boot*.*
deltree c:\nt*.*
deltree c:\hiberfil.sys
deltree c:\pagefile.sys
至此,我们就把一个windows xp“卸载”完了!
12:如何彻底删除输入法文件
答:先到输入法设置中删除你要删除的输入法
使用搜索功能搜索到输入法的对应文件删除!
全拼:Winpy.ime、Winpy.mb、Winpy.hlp、https://www.doczj.com/doc/3614766430.html,t。
双拼:Winsp.ime、Winsp.mb、Winsp.hlp、https://www.doczj.com/doc/3614766430.html,t。
微拼:Pintllime.dll、Pintlgab.imd、Pintlgai.imd、Pintlgb.imd、Pintlgd.imd、Pintlgdx.imd、Pintlgie.imd、https://www.doczj.com/doc/3614766430.html,t、Pintlgnt.hlp、Pintlgnt.i96、 Pintlgnt.ime、Pintlgrb.imd、Pintlgri.imd、Pintlgs.imd、Pintlgsi.imd、Pintlgsx.imd、Pintlgu.imd、Pintlguc..imd、Pintlphr.exe。
智能ABC:Winabc.cwd、Abcsda.dll、Abcwin.exe、Winabc.ime、Winabc.ovl、tmmr.rem、user.rem、Winabc.hlp、https://www.doczj.com/doc/3614766430.html,t。
郑码:Winzm.ime、Winzm.mb、Winzm.hlp、https://www.doczj.com/doc/3614766430.html,t。
内码输入法:Wingb.mb、Wingb.hlp、https://www.doczj.com/doc/3614766430.html,t。
表形码:Winbx.mb,Winbx.ime,Winbx.hlp,https://www.doczj.com/doc/3614766430.html,t。
13:如何減少Windows XP磁盤掃描的時間
答:XP不正常関机,下次啓動的時候系統酒會進行磁盤掃描!可是都要等待10秒鐘的時間!那則樣來減少等待的時間呢?
主要运行“cmd”进入dos窗口,然后输入“chkntfs /t:0”回车就可以了!时间缩短到无了!
14:安装windows 98过程中出现“内存不足”怎么办
答:第一种是实在是内存过少(比如少于32MB)这里就要升级内存了,这种现在也少遇见了,呵呵
第二种是软件设置上的问题。请在系统配置文件Config.sys中找到所有涉及到驻留程序TSR 的命令行,在这些命令行前加上*字符使之成为注释语句,并把设备驱动程序加载到高端内存区。这些**作可以增加MS-DOS程序常规内存。然后,重新运行Windows 98的安装程序即可。
15:我的IE被黑了怎么办啊
答:我们可以通过修改注册表来恢复!
请按下列步骤做
先“开始”--“运行” regedit回车
然后根据你的需要修改注册表
1:保护IE默认页面
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main在右边窗口找到Default_Page_URL,将网址删除掉就可以了!
2:保护ie起始页面
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main在右边窗口找到Start Page,将自己的网页替换原来的网页!
3:保护ie标题栏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main在右边窗口找到Window
Title,将这项的内容删除(或换上自己的文字,本人就换成了“我的IE你别动”)即可。若要恢复IE默认标题栏,只需要将该字符串值删除即可!
4:去处强制运行的网页
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在右边的窗口中把包含右网址的字符串删除掉。
最后还请大家下载,金山的注册表保护器来保护好注册表。
16:如何格盘重装XP望指教~(XP盘是ntfs的)
答:我先要知道你`安装有xp的机器的`那个硬盘格式是fat32的还是ntfs的
如果是ntfs的要先转化为fat32先!
如果是就用pq(硬盘魔术师)先请转化为fat32 (注意備份重要數據,還由,被壓縮過的分區轉化不了的!)
去弄张98的启动盘
设定bios从软盘引导计算机
插入98启动软盘(windows目录下找到smartdrv.exe也放到这张软盘中),把xp的光盘放入光驱。启动电脑
然后出现要你选择是选择1回车
然后format c:/q回车
然后运行smartdrv 4096回车
然后x:/i386/winnt.exe回车!(x是你的光驱)
17:2000的默认共享如何清除
答:使用REGEDIT打开到以下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters PROFESSIONAL版
在右边建立一个名为AutoShareWks的DWORD键。值为0
SERVER版
在右边建立一个名为AutoShareServer的DWORD键。值为0
XP的方法同PROFESSIONAL
18:我的网络防火墙报告拦截XXX地址上的XXX数据包
答:既然防火墙已经报告拦截基本就没有什么危险。没有必要就因为简单的扫描或攻击就心惊胆战的。有上网就有基本的扫描。这很正常。
19:如何上传图片&使用個性頭像
答:請看這裡
20:如何解决鼠标失灵问题
答:当前的鼠标市场已由光电鼠标转为以机械鼠标为主导。虽然机械鼠标有较大的优点,但许多用户却经常受到鼠标失灵的困扰,日常过程中有3个原因可能引起鼠标失灵。
(1)时间久了,内部滚轮因积灰尘太多而滚动失灵。
(2)由于发光管或光敏三极管的敏感度下降等原因,造成感光不敏感。
(3)按键弹簧失灵。
鉴于以上3种情况,维修的方法是:
(1)打开鼠标下部的滚珠盖,取出滚珠,用镊子等钝器轻轻刮除滚轮上的灰尘。
(2)用螺丝刀打开鼠标盒子,可见如图1所示的两组器件,一组专门负责管理横坐标,另一组负责管理纵坐标。用药棉等柔软物沾酒精擦洗齿轮两边的发光管和光敏三极管,并适当调
整两管之间的距离,以增强感光敏感度。
(3)用新的按键替换失灵按键。
不是上述原因的就是病毒或什么的!请先杀毒
21:我不小心误删除了有用的文件怎么办
答:我们可以通过软件来做到!只要数据没有被覆盖都可以恢复!
提供一些工具给你
Recover4all
Advanced Utilities GmbH公司的Recover4all工具能够自动搜索并列出磁盘上已被完全删除的文件的目录,而没有被删除文件的目录则不被列出。这个免费下载的小软件,使用简便且效果不错,使用Recover4all,实际上只需要点四下鼠标就可以了,一是点击被删文件所在的驱动器,二是点击目录,三是点击文件,四是点击工具条上的“Recover”按钮,被删文件若没被覆盖的话,就被恢复了。
https://www.doczj.com/doc/3614766430.html, ;
EasyRecovery
Ontrack 公司的EasyRecovery 是一个功能非常强大的硬盘数据恢复工具,能够帮助用户恢复丢失的数据以及重建文件系统。由于EasyRecovery主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中,用户可以从被病毒破坏或是已经格式化的硬盘中恢复数据,被破坏的硬盘中像丢失的引导记录、BIOS参数数据块、分区表、FAT表、引导区,都可以由它来进行恢复。
https://www.doczj.com/doc/3614766430.html, ;
东石VDP7
东石资讯股份有限公司一直致力于从事电脑工具类及网络应用类的高新技术软件研发,其主要产品有虚拟光碟、虚拟还原和虚拟教室等“虚拟”系列软件。最新推出的虚拟光碟V7.0单机版(VDP7)在以往版本的基础上,提供了更加人性化的**作界面和强大的功能。VDP7可以支持多种视窗**作系统,包括最新的Windows XP,并且能够识别多分区引导启动。
https://www.doczj.com/doc/3614766430.html,/ ;
22:如何进行ntfs与fat32之间的转换
答:我们可以通过pq(硬盘魔术师,它可以保存原有數據,不過也有危險,建議先前備份好重要數據)实现,无论是ntfs-->FAT32還是FAT32-->NTFS(注意的是ntfs-->FAT32,要求NTFS分區沒有被壓縮,如果壓縮了就轉換不了了!)
FAT/FAT32->ntfs的**作(系統要求安裝有2000或者XP)
在dos命令下windows目录下运行“convent x:/fs:ntfs”
FAT/FAT32->ntfs的**作另法;在安裝XP或者2000的時候,系統會問你是否要轉化為NTFS 同意即可
用2000的安裝光盤來格式化NTFS分區!(xp的就用xp的光盘,**作过程可以借鉴2000的!) 使用 Windows 2000 CD-ROM 或启动盘启动计算机。
当“欢迎使用安装程序”屏幕出现时,按 F10 键。
在“故障恢复控制台”中,选择适当的安装选项并使用您的管理员密码登录。
键入 map,然后按 ENTER 键。
注意您希望重新格式化的驱动器。
备注:驱动器盘符在“故障恢复控制台”中和在 Windows 2000 中可能会不一样。
键入 format:/fs:fat32,其中是您希望格式化的驱动器的盘符,FAT32 是您希望使用的文件系统。
键入 y 以确认您的选择。当重新格式化过程完成时,键入 exit 以重新启动计算机。
如果還有不懂得請看這裡
24:能解释一下Boot.ini文件吗/怎么修改boot.ini文件
答:[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(4)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(4)\WINNT="Microsoft Windows 2000 Professional" /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Windows NT Server Version 4.00"
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Windows NT Server Version 4.00 [VGA mode]" /basevideo /sos
C:\="Microsoft Windows"
这个文件分为引导加载部分(boot loader)和**作系统部分(operating systems)两大块。在引导加载部分,timeout=xx表示等待用户选择**作系统的时间,默认是30秒;default=xxxxx表示缺省情况下系统默认要加载的**作系统路径,表现为启动时等待用户选择的高亮条部分。在**作系统部分,则列出了所有的**作系统路径和清单,以供用户选择。至此,我们已对该文件的大体框架有了初步的了解。但“multi/scsi(x)disk(x)rdisk(x)partition(x)”代表的又是什么呢?这就需要我们来理解ARC(高级RISC计算机)命名,它是x86或RISC计算机中用于标识设备的动态方法。
ARC命名的第一部分用于标识硬件适配卡/磁盘控制器,它有两个选项:SCSI和Multi。Multi表示一个非SCSI硬盘或一个由SCSI BIOS访问的SCSI硬盘,而SCSI则表示一个SCSI BIOS禁止的SCSI硬盘;(x)是硬件适配卡序号;disk(x)表示SCSI总线号,即如果硬件适配卡为Multi,其正确表示方法就为disk(0);rdisk(x)表示硬盘的序号,即如果硬件适配卡为SCSI则忽略此值;partition(x)表示硬盘的分区序号。这样,它就可以用图1、图2形象地表示出来。于是,我们便可以看懂Boot.ini中各种设置的具体含义了。
另外,我们还发现诸如/basevideo、/sos、/fastdect的选项,这些都是开关符。/basevideo开关可使显卡以640×480的分辨率显示驱动程序,这可保证在驱动程序不匹配的情况下,系统仍可以VGA分辨率引导;/sos开关表示Win NT在引导期间装载的驱动程序名。类似这样的开关还有一些,比如/debug、/crashdebug、/nodebug等等,在这里就不赘述了,有兴趣的朋友可以找一些相关的书来看看。了解了这些之后,如果自己格式化某些分区、重新安装某一个或某两个**作系统,这就可能会派上用场。例如要格式化C盘、D盘,C 盘上安装了NT Server 4.0且为主活动分区,D盘安装的是Win 98**作系统,E盘为应用程序分区,F盘安装的是Win 2000。C、D、E盘均为FAT文件系统,F盘为NTFS文件系统。由于格式化了C盘,其根目录下的Boot.ini丢失,因而有关Win 2000启动的信息也随之丢失。如果我们为此而重装系统,那似乎是令人心烦的和难以忍受的。了解了Boot.ini文件,我们就可以在C盘根目录下找到它,去掉其只读的属性,然后对其进行编辑。在[operating systems]下加上如下信息:“multi(x)disk(x)rdisk(x)partition(x)\WINNT="Microsoft Windows 2000 Professional" /fastdetect”,具体内容应根据个人电脑硬件的不同配置情况而定,如我的电脑的此项配置为“multi(0)disk(0)rdisk(0)partition(5)\WINNT5="Microsoft Windows 2000 Professional" /fastdetect”,即表明装载Win 2000的目录为G:\WINNT5。这样当开机时我们选择此项,系统就会在这个目录查找所需信息,进行程序加载,从而完成启动Win 2000的任务。当然,我们直接编辑修改这个文件并不能像重新安装那样完美,因为全新安装时安装程序修改的不止是这一个文件,所以这种做法可以算是一种快捷方式吧。如果我们懒
得重新安装,这种方法值得一试
25:我的xp为什么总是无故重起!
答:XP会重新启动我可以告诉你。一般来说不是系统的问题。而是你使用的驱动程序的问题。出现概率比较高的是显卡驱动。你安装的不是经过微软数字签名的驱动或非官方提供的驱动有时候就会发生系统严重错误。就会重新启动了!解决方法:我的电脑--属性----高级--启动和故障恢复的设置---把“自动重新启动”前的勾去掉~ (不过这样以后也许你的xp会蓝屏--对于有上述问题的机器而言!)
26:为何我安装了 Windows XP 关机总是变成重起
答:这个问题是有些主板的高级电源管理不能被Windows XP支持。一般用AWARD的BIOS的主板的电脑没有这个问题,到目前为止,遇到AMI的BIOS的主板有这个问题,如技嘉的主板。解决的办法是升级你的主板的BIOS,即刷新BIOS,这是个比较危险的**作,最好请经验丰富的人来帮助你。
还有如果你全新安装XP后没出现关机问题,应该就是你安装的其它软件的兼容性问题,如有可能尽量使用最新版本的软件。
软件不兼容,常常会引起关机重起的问题,这是XP的新机制。
解决办法:
右键点击“我的电脑”,选属性。
选择“高级”选项卡,找到“启动和故障恢复”,点击旁边的“设置”按钮。
去掉“系统失败”中的“自动重新启动”前的对勾(如果你用的仅仅是XP,你可以将你看到的所有的对勾都取消了,这样可以加快XP的启动速度)。
27:98关机的时候卡壳了怎么办
答:有这么4种可能,以及解决方法。
1:高级电源管理功能出错:在“系统”属性框中单击“设备管理器”选项卡,在“系统设备”中双击“高级电源管理”,单击“设置”选项卡,然后关闭“启动电源管理”选项。
2:“退出Windows声音文件”有问题:打开“控制面板”双击“声音”。在“事件”框中,将“退出Windows”事件声音设置为“无”。
3:Config.sys或Autoexec.bat文件中存在冲突:逐个取消Config.sys或Autoexec.bat选项卡中不含Windows图标的行的复选标志,然后关闭电脑。
4:快速关机时否也存在某些硬件冲突:“开始”--“运行”输入“msconfig”,启动“系统配置实用程序”,单击“高级”按钮,选中“禁用快速关机”选项。
[转帖]入门级问题解答小集!
28:Msconfig中的“启动”有那么多项,究竟哪些是系统必要的呢
答:
经常有网友来询问,为何我的开机会弹出窗口,而我一般会答复对方,开始-运行-msconfig-启动,把网址钩掉,还有hta后缀的htm后缀的url后缀的都钩去,而有的网友会询问为何启动后本来修复好的项目又被改了,我会回复开始-运行-msconfig-启动,把关于regedit/s的钩去,不过道高1米,魔高1.1米,我们往往会漏掉什么,而把msconfig里面的启动项全部钩掉再一个个测试那是不大实际的,so,我们现在就来讲讲msconfig启动里面哪些才是默认启动的项,哪些是非法的项.
*一般呢,我们都是用win98se第二版的,这个版本有七八个默认的启动项.
*Welcome C:\WINDOWS\Welcome.exe /r
欢迎进入Windows程序,这个不用我说了吧,每个人第一次启动系统的时候都会有这个欢迎程序出现的,几乎没有什么用途.
去除搜索按钮 复制粘贴一下内容,保存为reg文件,双击,确定(注意导入后需要重新启动资源管理器)Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Search] "EnableProactive"=dword:00000000 恢复搜索按钮1.导入如下即可(两个注册表任选其一即可恢复注意导入后需要重新启动资源管理器) Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Search] "EnableProactive"=dword:00000000 2. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Search] "EnableProactive"=dword:00000001 去除多任务(虚拟桌面)按钮(同一楼,复制粘贴保存为reg文件)
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MultitaskingView\AllUpView] "Enabled"=dword:00000000 恢复多任务按钮 1. Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\MultitaskingView\AllUpView] "Enabled"=dword:00000000 2. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MultitaskingView\AllUpView] "Enabled"=dword:00000001 预览版更新选择功能,预览版微软锁定了选择权,现提供注册表方法更
Win10各种注册表小设置 很多人不适应Win10的新功能,且还有强迫症,讨厌任 务栏的搜索和多任务按钮。现提供屏蔽方法。去除搜索按钮 复制粘贴一下内容,保存为reg文件,双击,确定(注意导 入后需要重新启动资源管理器)Windows Registry Editor Version CurrentVersion\Search]"EnableProactive"=dword:00000000如何你想恢复,导入如下即可(两个注册表任选其一即可恢复 注意导入后需要重新启动资源管理器)Windows Registry Editor Version CurrentVersion\Search]"EnableProactive"=dword:00000000或者导入Windows Registry Editor Version CurrentVersion\Search]"EnableProactive"=dword:00000001去除多任务(虚拟桌面)按钮(同一楼,复制粘贴保存为reg 文件)Windows Registry Editor Version CurrentVersion\Explorer\MultitaskingView\AllUpView]"Enable d"=dword:00000000恢复多任务按钮Windows Registry Editor
Version CurrentVersion\Explorer\MultitaskingView\AllUpView]"Enable d"=dword:00000000或者Windows Registry Editor Version CurrentVersion\Explorer\MultitaskingView\AllUpView]"Enable d"=dword:00000001预览版更新选择功能,预览版微软锁定 了选择权,现提供注册表方法更改从不检查更新(不推 荐)Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\WindowsUpdate\Auto Update]"AUOptions"=dword:00000001检查更新,但是让我选择是否下载和安装更新Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\WindowsUpdate\Auto Update]"AUOptions"=dword:00000002下载更新,但是让我选择是否安装更新Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\WindowsUpdate\Auto Update]"AUOptions"=dword:00000003自动安装更新(推荐)Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
注册表数据结构(一) 使用注册表编辑器之前,首先得了解注册表的数据结构,例如注册表的显示方式、主键与子键、键值项数据的类型等等。 注册表显示方式 在Windows系统中,注册表是采用“关键字”及其“键值”来描述登录项及其数据的。所有的关键字都是以“HKEY”作为前缀开头。实际上,“关键字”是一个句柄。这种约定使得系统及应用程序的开发人员,可以在使用注册表中的API函数时把它用于应用程序的开发中。为此,Windows提供了若干API函数,以便在开发 for Windows 应用程序时添加、修改、查询和删除注册表的登录项。 在注册表中,关键字可以分为两类:一类是由系统定义的,一般都称为“预定义关键字”;另一类是由应用程序定义的,由于安装的应用软件不同,其登录项也就不同。在Windows系统中,打开注册表编辑器,可以看到注册表中的关键字,如图: 注册表通过主关键字(最上层的为“根键”,例如下图中的HKEY_CURRENT_USERS就是一个根键,标题栏上也有显示)和子键来管理各种信息,下图中的“Keyboard Layout”是一个主键,展开后就可以看到它里面的子键。注册表中的所有信息是以各种形式的“键值项数据”保存下来,如下图中的键值项Attributes的数据为“REG_DWORD:0”。其中“REG_DWORD”是该键值的数据类型;“0”是代表该键值被赋予的数值。
在注册表的左边窗口中,所有的数据都是通过一种树状结构,以键和子键的方式组织起来,十分类似于资源管理器内的目录结构,如下图。每个键都包含有一组特定的信息,每个键的键名都是与它所包含的信息相关的(注册表内是以英文的方式出现,比如‘Control Panel’表示的是控制面板内的一些内容)。 如果这个键包含子键,则在注册表编辑器窗口的左边出现一个“+”号,用来表示在这个文件夹内还有好多内容。如果这个文件夹被用户打开了,那么“+”号就变为“-”号,与我们使用资源管理器的方法是一样的,如图:
如何彻底清除注册表垃圾 CleanReg是一个功能强大的注册表编辑和维护工具。第一次运行的时候,CleanReg会对当前注册表进行一个彻底的扫描,这个过程会耽误一些时间,所以当你发现机器在2-3分钟之间没有响应的话,千万别着急重新启动系统。等到注册表扫描完毕后,CleanReg就采用五个子窗口来显示相关的系统信息,而且你还可以在这些窗口中进行对注册表进行编辑修改与系统维护工作。 1、CleanReg(清理注册表) 在这个窗口中,程序已经将注册表中无效的垃圾文件完整的提供给你,这其中包括你以前打开的文件记录、删除软件之后残留在注册表中的主键、无效的DLL动态连接库文件等等。此时你只要选中相应的文件并按下DEL按键就可以把它们删除,以便对注册表进行一个彻底的清理,如下图所示。 2、Undo(取消) 如果在清理注册表的时候出现了误删文件的情况,那么就可以在Undo 窗口下对以前的文件信息进行一个浏览,同时还能将选中的注册表信息和文件进行恢复操作。 3、All File in Registry(注册表中的文件) 这里显示的是当前系统中所有文件,以及它们在注册表中的相应位置。也许你会认为这个窗口似乎没有很实用的功能,但是对于那些想把注册表研究透彻的朋友来说,通过这个窗口可以摸清楚每一个文件所对应的注册表位置,
因此是高手必须去看看的地方。 4、Registry(注册表窗口) 这里有点像Windows下的注册表编辑器,但是又和注册表编辑器有很大的差别,主要是提供的信息更为详尽。比如我们常用的NetAnts,在这个窗口中就有所在的路径、语言种类、版本等很多项内容,你可以直接进行查看。而且还可以对其进行删除和清空键值的操作,如下图所示。 在实际的使用过程中,笔者发现CleanReg对于注册表的垃圾文件查找功能很强大,比如你原先在桌面上打开了一个文本文件,但是查看这个文件之后又将其删除了,但是这个信息已经被保存在注册表中。日积月累的话,这类不存在的文件查看记录就很多很多,它们在注册表中占据了一定的空间,不仅造成注册表的个头很大,而且还会导致系统启动速度变慢、程序运行延迟等现象,所以在CleanReg的帮助下能够彻底将这些垃圾文件全部查找出来并清空它们。
作者: DesertFlower 时间: 2005-8-25 01:32 标题: windows注册表详解 no1chengl 注册表对有的人还是比较陌生的,因为现在第三方软件太多了,如优化大师、魔法兔子等等,但个人觉得改善系统的第三方软件还不够完善,如果初级用户使用不当,会出现严重的后果,所以提供这篇文章,希望大家多多学习,本人能力有限,还希望大家多提宝贵意见: 一、注册表的由来 PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的图形操作系统,如Win3.x中,对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的,但INI文件管理起来很不方便,因为每种设备或应用程序都得有自己的INI文件,并且在网络上难以实现远程访问。 为了克服上述这些问题,在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。按照这一原则,Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。 与INI文件不同的是: 1.注册表采用了二进制形式登录数据; 2.注册表支持子键,各级子关键字都有自己的“键值”; 3.注册表中的键值项可以包含可执行代码,而不是简单的字串; 4.在同一台计算机上,注册表可以存储多个用户的特性。 注册表的特点有: 1.注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置,这使得修改某些设置后不用重新启动成为可能。 2.注册表中登录的硬件部分数据可以支持高版本Windows的即插即用特性。当Windows检测到机器上的新设备时,就把有关数据保存到注册表中,另外,还可以避免新设备与原有设备之间的资源冲突。 3.管理人员和用户通过注册表可以在网络上检查系统的配置和设置,使得远程管理得以实现。 二、使用注册表 1.大家可以在开始菜单中的运行里输入regedit 2.也可以在DOS下输入regedit 三、注册表根键说明 hkey_classes_root 包含注册的所有OLE信息和文档类型,是从hkey_local_machine\software\classes复制的。 hkey_current_user 包含登录的用户配置信息,是从hkey_users\当前用户子树复制的。 hkey_local_machine 包含本机的配置信息。其中config子树是显示器打印机信息;enum子树是即插即用设备信息;system子树是设备驱动程序和服务参数的控制集合;software子树是应用程序专用设置。 hkey_users 所有登录用户信息。 hkey_current_config 包含常被用户改变的部分硬件软件配置,如字体设置、显示器类型、打
注册表使用及维护 1) 注册表概述 注册表是Windows系统用来存储计算机配置信息的一个庞大数据库,它包含了应用程序和计算机系统的配置、操作系统和应用程序的初始化信息、应用程序和文档的关联关系、硬件设备的说明、状态和属性以及各种状态信息和数据。注册表中存放着各种参数,直接控制着系统的启动、硬件驱动程序的装载以及一些系统应用程序的运行,从而在整个系统中起着核心作用。 2) 注册表文件组成 注册表是由多个具有系统隐藏属性的文件组成。不同版本的Windows操作系统其注册表文件的组成也不同,以实验环境Windows XP为例,文件分成系统配置文件和用户配置文件两大部分,其中系统配置文件保存在系统目录下system32\config中,包括AppEvent.Evt、SecEvent.Evt、SysEvent.Evt、default、system和software等多个文件,以及相应的.LOG(日志)文件和.SAV文件;用户配置文件保存在系统根目录下的Documents and Settings目录下的用户名目录中,分别是NTUSER.DAT、ntuser.ini以及日志文件ntuser.dat.LOG文件。在Windows 2000和Windows XP运行时,无法使用其它的工具将这些注册表文件打开,这一点与Windows 98下的SYSTEM.DAT和USER.DAT不同。 3) 注册表结构 注册表结构类似于目录管理的树状分层结构,由项、子项、配置单元和值项组成。 项:出现在【注册表编辑器】对话框中的文件夹。项可以包含子项和值项,例如,Software 是HKEY_CURRENT_CONFIG的一个子项。 其中,“预定义项”是代表注册表的一个主要部分的项。每个“预定义项”都单独显示在【注册表编辑器】对话框的左窗格中。主要有5个“预定义项”,分别是: HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG 子项:在项的下面是子项,如同子文件夹一样。项与子项的关系类似于资源管理器中的文件夹与子文件夹,如果某个项包含了子项,则在【注册表编辑器】对话框中代表该项的文件夹的左边会出现一个“+”号,单击“+”号,则可展开该项下的子项,同时“+”号变成“-”号,单击“-”号,则可收敛该项下的子项。 配置单元:作为文件出现在硬盘上的注册表的一部分。注册表树型结构中的子树部分被划分成配置单元,它位于注册表层的顶部,是项、子项和值项的离散体。 值项:出现在【注册表编辑器】对话框的右窗格中的数据字符串。项和子项可以包含一个或多个值项,值项由名称、数据类型和值本身三个部分组成。 4) 注册表五个预定义项 HKEY_LOCAL_MACHINE:是注册表的核心,用于存放计算机系统软、硬件以及应用程序的全部配置信息。它包括以下8个部分:Config系统配置、Driver驱动程序、Enum即插即用设备、Hardware硬件、Network网络、Security安全、Software软件和System系统。 HKEY_USERS:储存了计算机上所有的用户配置文件,其中一个子项HKEY_USERS\DEFAULT 包含用户登录前使用的信息,另一个子项总是映射为HKEY_CURRENT_USER。 HKEY_CURRENT_USER:保存了当前登录用户的信息,它是HKEY_USERS\用户名的快捷方式,若未激活用户配置则它是HKEY_USERS\DEFAULT的快捷方式。 HKEY_CLASSES_ROOT:记录的是系统中各类文件与其应用程序之间的对应关系,即记录了
为了方便对windows7的操作,我们可以利用注册表优化使系统性能、速度、稳定性更加突出。 把下面的文字用记事本保存成.reg文件,导入即可 Windows Registry Editor Version 5.00 ;--------------------------------------------------------------------------------------------- ; 侧边栏设置 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar\Settings] "AllowElevatedProcess"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar\Compatibil ity] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar\Settings] ;--------------------------------------------------------------------------------------------- ; 资源管理器设置 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Start_SearchFiles"=dword:00000002 "ServerAdminUI"=dword:00000000 "ShowCompColor"=dword:00000001 "DontPrettyPath"=dword:00000000 "ShowInfoTip"=dword:00000001 "HideIcons"=dword:00000000 "MapNetDrvBtn"=dword:00000000 "WebView"=dword:00000001 "Filter"=dword:00000000 "SeparateProcess"=dword:00000000 "AutoCheckSelect"=dword:00000000 "IconsOnly"=dword:00000000 "ShowTypeOverlay"=dword:00000001 "ListviewAlphaSelect"=dword:00000001 "ListviewShadow"=dword:00000001 "TaskbarAnimations"=dword:00000001 "StartMenuInit"=dword:00000004 "Start_ShowRun"=dword:00000001 "Start_LargeMFUIcons"=dword:00000000 "Start_MinMFU"=dword:0000000a
;加速APP [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem] "ConfigFileAllocSize"=dword:000001f4 ;加速菜单显示 [HKEY_CURRENT_USER\Control Panel\Desktop] "MenuShowDelay"="0" ;加速关机 [HKEY_CURRENT_USER\Control Panel\Desktop] "AutoEndTasks"="1" "HungAppTimeout"="500" "WaitToKillAppTimeout"="1000" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control] "WaitToKillServiceTimeout"="1000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control] "WaitToKillServiceTimeout"="1000" ;禁用系统还原 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "RPSessionInterval"=dword:00000000 "FirstRun"=dword:00000000 "LastIndex"=dword:00000011 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\cfg] "DiskPercent"=dword:0000000f [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Setup_Last] "Generalize_DisableSR"=dword:00000000 ;禁用自动播放 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff
Windows注册表检验 一、实验目的 通过实验,使用学员了解Windows操作系统注册表检验的内容,熟练掌握注册表提取和分析的方法,为Windows操作系统取证打下坚实的基础。 二、实验内容 (一)掌握Windows系统注册表存储的位置和文件名称; (二)使用不同的工具检验Windows注册表内容。 三、实验器材 (一)台式电脑,Windows 2000 / 2003 / XP/2003 操作系统; (二)EnCase、X-Ways Forensics、AccessData Registry Viewer工具; (三)移动存储设备。 四、实验方法步骤 以班为单位,每2人一组展开作业。 (一)Windows操作系统注册表存储位置 1、windows95/98/ME操作系统 在Windows操作系统中不同的操作系统注册表文件由不同的文件组成。windows95/98/ME操作系统的注册表文件在Windows目录中,包括System.dat和User.dat 两个文件。 2、windowsNT/2000/XP/2003操作系统 windowsNT/2000/XP/2003操作系统的注册表文件包括在\%SYSTEMROOT%\system32\config\目录中的system.SAM、SECURITY、software和default 五个文件和Documents and Settings目录中每个用户都有的一个NTUSER.DAT文件。 3、Vista和Win7操作系统 Vista和Win7操作系统注册表中增加了一些注册表文件,以下的列表代表了在默认的Vista系统中的注册表的所有配置单元: C:\Windows\System32\config\Regback\SECURITY C:\Windows\System32\config\Regback\SOFTWARE C:\Windows\System32\config\Regback\DEFAULT C:\Windows\System32\config\Regback\SAM C:\Windows\System32\config\Regback\COMPONENTS C:\Windows\System32\config\Regback\SYSTEM C:\Windows\System32\config\BCD-Template C:\Windows\System32\config\COMPONENTS C:\Windows\System32\config\DEFAULT C:\Windows\System32\config\SAM C:\Windows\System32\config\SECURITY
【IT专家网独家】问:我发现在实际工作过程中,发现优化机器都要通过修改注册表来完成,但注册表的修改是否会影响到机器的安全呢?如何才能正确修复注册表?修复注册表是否真的有必要? 答:注册表是你的Windows操作系统的最重要的组件之一,因为它存储了你的PC 中全部的软件和硬件配置。随着你的电脑变老,在你安装/卸载应用程序、浏览网页、创建新的文件和文件夹和在你的电脑上执行的各种活动,注册表开始装满各种数据。 一段时候之后,注册表中搜集的大量不需要的、过时的、不正确的和恶意的数据引起注册表膨胀。一般来说,膨胀的注册表很容易崩溃和形成碎片,开始出现系统错误和频繁死机。有时候,注册表的错误可能非常严重,甚至使你的电脑无法维修。 因此,对于你来说,定期清理注册表是非常重要的。然而,注册表是非常复杂的。甚至有经验的计算机技术人员也很难人工扫描和清理注册表。因此,建议你使用一个注册表清理工具进行注册表清理和维修。下面我们看一下清理你的Windows注册表的六大好处。 理由1:防止注册表膨胀 定期清理注册表能够让你防止在注册表中积累不需要的垃圾数据。这有助于你防止注册表膨胀和保持一个精简的注册表。精简和稳定的注册表可以显著改善你的电脑性能,帮助你长期享受没有错误的计算。 理由2:删除损坏的注册项 由于注册表是你的Windows系统中访问和使用最频繁的组件,注册表出现错误的机会非常高。注册表会因为损坏的和不正确的注册项以及碎片的注册文件而出现错误。你可以使用注册表清理工具轻松修复这些注册表错误和整理注册表碎片,让注册表文件更连贯和更容易访问,从而防止和修复许多注册表错误。注册表清除工具还能够让你创建注册表备份。这样,如果你采取修改措施之后注册表不能工作,你可以根据备份恢复原来的注册表,让你的电脑立即恢复运行。 理由3:提高系统启动速度 清除注册表以保持注册表中没有不需要的、过时的和损坏的注册项能够帮助你提高计算机的启动性能。定期进行注册表清理、维护和整理碎片能够让你的电脑更稳定和以更优化的速度运行。 理由4:修复Windows错误 注册表问题引起你的电脑经常出错误。DLL错误、驱动程序错误、ActiveX错误和代码错误等许多Windows错误都可以通过清理和维修注册表来修复。当你使用注册表清除工具扫描注册表的时候,所有与共享的DLL、驱动程序等有关的错误注册项都能够检测出来。因此,当你清理和修复注册表的时候,你还通过解决许多Windows错误修复了你的电脑。因此,定期清理注册表是保持系统没有错误的一个非常重要的活动。
Windows系统注册表的中文注释.txt爱人是路,朋友是树,人生只有一条路,一条路上多棵树,有钱的时候莫忘路,缺钱的时候靠靠树,幸福的时候别迷路,休息的时候靠靠树!第一:进程是什么 进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。 危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。 第二:什么是木马 木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。 传染方式:通过电子邮件附件发出,捆绑在其他的程序中。 病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。 木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。 防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。 第三:什么是计算机病毒 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓 延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随 同文件一起蔓延开来。 除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎 仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不 寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。 可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序 的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性
windows操作系统注册表详解 第一课注册表基础 一、什么是注册表 注册表是windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。 注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注册表数据库来统一集中地管理系统硬件设施、软件配置等信息,从而方便了管理,增强了系统的稳定性。 二、注册表的功能 刚才我们看到了,注册表中记录了用户安装在计算机上的软件和每个程序的相关信息,通过它可以控制硬件、软件、用户环境和操作系统界面的数据信息文件。 相关知识:注册表文件的数据信息保存在system.dat和user.dat中、利用regedit.exe程序能够存取注册表文件(其实大家可能也知道regedt32.exe,这两个程序是一样的) 三、编辑器说明: 在运行里键入regedit就可以进入了 根键:这个称为HKEY…………,某一项的句柄项:附加的文件夹和一个或多个值
子项:在某一个项(父项)下面出现的项(子项) 值项:带有一个名称和一个值的有序值,每个项都可包括任何数量的值项,值项由三个部分组成:名称、数据类型和数据。 1、名称:不包括反斜线的字符、数字、代表符和空格的任意组合。同一键中不可有相同的名称 2、数据类型:包括字符串、二进制和双字节等 3、数据:值项的具体值,它的大小可以占用64KB ***************************************************************** ************* 第二课总体结构分析 注册表包括以下5个根键 1.HKEY_CLASSES_ROOT 说明:该根键包括启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,DDE和OLE信息,类ID 编号和应用程序与文档的图标等。 2.HKEY_CURRENT_USER 说明:该根键包括当前登录用户的配置信息,包括环境变量,个人程序以及桌面设置等 3.HKEY_LOCAL_MACHINE 说明:该根键包括本地计算机的系统信息,包括硬件和操作系统信息,安全数据和计算机专用的各类软件设置信息 4.HKEY_USERS
WINDOWS注册表的简介 An introduction to the WINDOWS registry 学生:xxx (xxx学院级xxx班级,学号) 摘要:我们经常谈到windows注册表,而且有很多软件是专门为修改它而设计的。可是我们对它的内容不一定很了解,一些教材书上也很少提及,下面对windows注册表的知识作一点介绍。 Abstract:we often talk about the windows registry,and there are a lot of software is specifically designed to modify it.But we do not necessarily understand it very well,some textbooks are rarely mentioned,the following knowledge of the windows registry to make a little introduction. 关键词:WINDOWS注册表;简介 Key words:WINDOWS registry;brief introduction 0引言 所谓注册表就是一个庞大的数据库,其中容纳了应用程序和计算机系统的全部配置信息。它是Windows用来存储描述用户信息、硬件配置、各种系统设置以及各个32位Windows 应用程序的配置信息的分层数据库。当安装32位的Windows应用程序时,则与那个应用程序的配置和参数选择有关的登录项就被加入到注册表里;当安装一个即插即用的硬件设备时,Windows在启动以后就会在注册表里增加一个合适的登录项。 1注册表的特点 1.1WINDOWS注册表有如下的特点: 1.1.1注册表允许用户对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置,这使得修改某些设置后不用重新启动计算机。 1.1.2注册表中登录的硬件部分数据可以支持高版本WINDOWS的即插即用特性。当WINDOWS检测到计算机上安装了新硬件时,就会把相关数据保存到注册表中,此外,还可以避免新设备与原有设备之间的资源冲突。 1.1.3管理人员和用户通过注册表可以在网络上检查系统的设置,使得远程管理得以实现。 1.2注册表与INI文件比较起来有如下的不同: 1.2.1它采用二进制形式记录数据。 1.2.2它支持子键,各级子键关键字都有自己的键值。 1.2.3注册表的键值可以包括可执行代码,而不是简单的字串,在同一计算机上。 2注册表简介 2.1什么是WINDOWS注册表 WINDOWS注册表是一个庞大的数据库。它包含应用程序和计算机系统配置,系的应用程序的初始化信息,应用程序和文档文件的关联,硬件设备的说明、状态和属性以及各种状态信息和数据。 2.1.1WINDOWS注册表包含两部分内容:数据库和数据库编辑器。
如何修改注册表? 注册表是Windows操作系统的核心。它实质上是一个庞大的数据库,存放有计算机硬件和全部配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备说明以及各种网络状态信息和数据。可以说计算机上所有针对硬件、软件、网络的操作都是源于注册表的。 一、Windows XP注册表精解 Windows XP是微软公司于2001年10月份正式推出的新的Windows操作系统。Windows XP是Windows 2000的后续版本,以Windows 2000核心代码为基础,不仅继承了前者的可靠性和其它的优良性能,而且还加强了Windows Me操作系统的系统回复、媒体播放器、图像获取等新功能,给用户提供了更稳定的运行环境和方便快捷的操作。 正如上文所述,Windows XP是以Windows 2000核心代码为基础的,也可是完全说成是Windows 2000的一个升级版本,在注册表方面,没有发生太大的改变,注册表仍然是Windows XP的核心部件。 1.Windows XP注册表的结构 Windows XP的注册表同样是以树形结构组织的。它由两个注册表子目录树组成:HKEY_LOCAL_MACHINE和HKEY_USERS。但是为了使注册表中的信息更易于查找,Windows XP预定义了五个子目录树。 每个根项名均以HKEY_打头,以便向软件开发人员指出这是可以由程序使用的句柄。句柄是一个数值,用来识别资源便于程序进行访问。 由于注册表是树形结构的,所以我们可以将注册表里的内容分为树枝和树叶。树枝下可以有多个树枝,也可以有多个树叶。这个树枝,我们把它叫做“项”,树叶呢,叫做“值项”。值项包括三部分:值的名称、值的数据类型和值本身。 [返回] 2.Windows XP注册表编器 我们知道,注册表内的所有信息都是存放在System.dat、User.dat文件中的,其中System.dat 文件包含了所有的硬件信息和软件信息,User.dat 包含了用户信息。如果在系统中配置了两个或两个以上的用户,在Windows\Profile\用户名目录中还存放有各个用户的User.dat文件,这些文件都是二进制数据文件,修改注册表实际上就是对上述的三个文件进行修改。但是,我们不能对这些二进制数据文件进行直接修改,而必须要借助于注册表编辑器。注册表编辑器实际上就是我们查看和修改注册表文件的图形界面。 启动Windows XP注册表编辑器的方法是:单击“开始→运行”,在对话框中输入“regedit”,然后点击“确定”按钮,注册表编辑器就会被运行起来。它的界面和Windows 2000中的注册表编辑器很相似。 和以前的Windows相比,注册表表编辑器有了一些改变。在“编辑”菜单下,有一个“权限”菜单项,通过它,可以设置各个注册表项对于不同用户的权限。当然,你必须是管理员才可以执行此操作。 在“查看”菜单中,有一个“显示二进位数据”。通过它,可以方便的查看二进制数据的内容。 提示:你可能还记得在Windows NT/2000中,还提供了一个32位的注册表编辑器Regedt32.exe,其界面类似于早期Windows的文件管理器。在Windows XP中,虽然仍然提供
windows注册表修改指南 1 提高子菜单速度 位置:HKEY_CURRENT_USERControl PanelDesktop 键值名:Menushowdelay 双击键值Menushowdelay后,弹出该键值的编辑窗口,在文本输入框内输入“0”后,再单击“确定”按钮即可。注意在系统默认的菜单弹出效果下,不易感觉到菜单弹出速度的提高;这时,请在桌面上单击“属性”命令,弹出“显示属性”窗口,然后在“效果”标签下将“动画显示菜单和工具提示”下的“淡入淡出效果”改为“滚动效果”。 2 去掉“关闭系统” 位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplor er 键值名:NoClose 取值:1为隐藏、0为显示 3 自动刷新窗口内容 位置:HKEY_LOCAL_MACHINESystemCurrentcontrolsetControlUpdate 键值名:UpdateMode 取值:0、1 若“UpdateMode”键值为0,则设置为自动刷新,若“UpdateMode”键值为1,则设置为手工刷新;这等于在资源管理器窗口内按“F5”键或者在“查看”菜单中选择“刷新”命令 4 去掉“设置” 一位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplor er 键值名:NoSetFolders 取值:1为隐藏、0为显示 二位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplor er 键值名:NoSetTaskbar 取值:1为隐藏、0为显示 5 去掉升级位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplor er 键值名:NoCommonGroups 取值:1为隐藏、0为显示 6 去掉“文档” 位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplor er 键值名:NoRecentDocsMenu 取值:1为隐藏、0为显示 7 自动清除“文档” 位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplor er 键值名:ClearRecentDocsOnExit 取值:1为自动清除、0为不自动清除 8 去掉“查找” 位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplor er 键值名:NoFind 取值:1为隐藏、0为显示 9 锁定“文档” 位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplor er 键值名:NoRecentDocsHistory 取值:1为锁定、0为不锁定 10 去掉“运行” 位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplor er 键值名:NoRun 取值:1为隐藏、0为显示
常用注册表修改30项 打开注册表并找到: “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Expl orer". 01.新建二进值NoDriveTypeAutoRun,设置键值b5,00,00,00,为禁用光盘自动运行。 02.新建键值dword键值为EditLevel,设置键值为1,禁用开始菜单中“程序”上的 水平线。 03.新建二进制值键值NoStartBanner,设置键值为01,00,00,00,禁用单机“从这里开始”动画箭头。 04.新建dword设键值为NoFavoritesMenu,设置键值为1,禁用开始菜单中的“收藏夹”. 05.新建dword键值NoRecentDocsMenu,设置键值为1,禁用开始菜单中的“文档”. 06.新建dword键值Nofind,设置键值1为禁用开始菜单中的“查找”. 07.新建dword键值NoRun,设置键值1,为禁用开始菜单中的“运行”. 08.新建dword键值NoLogOff,设置键值为1,禁用开始菜单中的"注销”. 09.新建dword键值NoClose,设置键值为1,禁用开始菜单中的"关闭“. 10.新建二进制值NoRecentDocsHistory,设置键值01,00,00,00,不保存新近打开的文 档历史记录。 11.新建二进制设置键值为退出时自动删除“运行”,“查找”中的历史记录,与10题一起设置,自动清除新近打开的所有文档的历史记录。 12.新建dword键值NoNetHood,设置键值为1,禁用开始菜单中的“网上邻居”. 13.新建dword键值NoInternetIcon,设置键值为1,禁用IE浏览器图标。 14.新建dword键值NoSaveSettings,设置键值为1,禁用退出时保存设置(锁定桌面)。 15.新建二进制键键值Nodrives,设置为01,00,00,00,禁用A驱动盘,设置为 ff,ff,ff,ff禁用所有驱动器。 16.新建dword键值NoFileMenu,设置键值为1,禁用"我的电脑”,“资源管理器”及“我的文档中”中的“文件”菜单。 17.新建dword键值NoActiveDesktop,设置键值为1,禁用显示属性中的“Web"选项卡. 18.新建dword键值NoChangeStartMenu,设置键值为1,禁用在开始菜单拖放快捷菜单; 19.新建dword键值NoViewContextMenu,设置键值为1,禁用右键快捷菜单.