瑞星卡卡安全论坛

全自动安装WindowsXP
采用常规的方法安装 Windows XP，通常需要 1 个小时以上。好在微软从 Windows 2000 开始就设计了全自动安装功能，大大节省了我们的时间。笔者在安装 Windows XP 时，对全自动安装功能的*作方法作了一些改进，变安装初期手工输入命令的过程为软盘引导、自动批处理文件执行，实现了真正的全自动安装，
安装时间也缩减了不少。
下面笔者将分别介绍两种安装方式下（从硬盘或从光盘安装 Windows XP），引导盘的制作方法以及如何生成全自动安装应答文件 unattend.txt。

一、自动批处理文件的建立

1、从硬盘安装

（1）在纯 DOS 下用 format A:/s 命令格式化一张软盘。

（2）在该软盘里创建 Config.sys 文件，并编辑命令行：

device=C:\windows\himem.sys

提示：用于加载 Windows 的系统信息文件 himem.sys，好让 DOS 系统能运行 smartdrv.exe.

（3）在该软盘里创建 Autoexec.bat 文件，并编辑命令行：

C:\windows\smartdrv.exe
X:\i386\winnt/u:i386\UNATTEND.TXT /sX:\i386 /t:Z:

提示：X 盘代表 Windows XP 的安装文件夹 I386 所在的逻辑盘，Z 则代表安装 Windows XP 的逻辑盘，unattend.txt 是事先用 Windows 安装管理器制作的全自动安装应答文件。

（4）在 CMOS 里将计算机的启动顺序设置为由软盘、硬盘、光盘引导。

（5）用做好的软盘引导系统，当软驱灯熄灭后取出软盘，正常情况下计算机就会自动完成 Windows XP 的安装。

2、从光盘安装

（1）在纯 DOS 下用 format A:/s 命令格式化一张软盘。

（2）把全自动安装应答文件 unattend.txt 拷进软盘里（把此文件放在硬盘上也可以，只要设置好路径，安装程序也会找到它）。

（3）在软盘里创建 Config.sys 文件，并编辑命令行：

device=C:\windows\command\ebd\oakcdrom.sys /d:mscdxxx
device=C:\windows\himem.sys

（4）在软盘里创建文件 Autoexec.bat，并编辑命令行：
C:\windows\command\mscdex.exe/d:mscdxxx
C:\windows\smartdrv.exe
X:\I386\winnt/u:A:\unattend.txt /s:X:\i386 /t:Z:

提示：Config.sys 文件里的命令行
device=C:\windows\command\ebd\oakcdrom.sys /d:mscdxxx 和 Autoexec.bat

文件里的命令行 C:\windows\command\mscdex.exe/d:mscdxxx 都是为了在纯 DOS 下加载光驱。值得一提的是，若文件 oakcdrom.sys 只能在启动软盘里拷贝，则 Config.sys 里的命令行应改为 device=oakcdrom.sys/d:mscdxxx，注意：
Config.sys 和 Autoexec.bat 中的 mscdxxx 中的 xxx 可以为任意字符，但二者必须相同。

（5）把软盘和光盘一同放进机器里，在 CMOS 里将计算机的启动顺序设置为由光盘、软盘引导。

（6）用软盘引导，软驱灯会有第二次发光，这是系统在寻找并读取软盘里的应答

文件 unattend.txt，软驱灯熄灭后把软盘取出，以后的工作就交给计算机自已处理了。

二、Winnt.exe 参数详解

以上两种方法都涉及到 Windows XP 的安装文件 Winnt.exe，因此笔者在这里介

绍一下 Winnt.exe 常用的几个参数。

（1）/r:< 指定目录名 >

此参数可在安装时一直安装用户所指定目录中（要包含在 I386 目录下）的内容，如一些较旧的硬件设备，Windows XP 自带的驱动程序可能不支持，那我们在安装时就将这些设备驱动程序所在目录一直装入 Winnt 目录下。

（2）/rx:< 指定目录名 >

此参数与上面的参数功能相同，只是在安装后自动删除用户指定的这个目录。

（3）/s:< 路径名 >

默认情况下，安装程序在安装时会调用位于当前目录（即光盘 I386 目录）中的众多安装源文件。我们可先将 I386 全部复制到硬盘上，再用此参数（如 Winnt /s:c:\i386）进行定位，以加快安装速度。

（4）/t:< 分区名 >

默认情况下，安装程序用 C 盘作为安装时临时文件的存放空间，并在 C 盘上安装 Windows XP。我们可用此参数更改安装时临时文件的存放空间，如 Winnt/t:d:。

（5）/u:< 应答文件名 >

此参数可结合应答文件来实现无人看守的全自动安装。

三、应答文件的制作

全自动安装应答文件 unattend.txt 是通过自动安装管理器制作的。在安装盘 SUPPORT 目录的 Tools 子目录中，找到一个名为 Deploy 的 CAB 压缩文件，将该文件解压即可看到 setupmgr.exe 程序。双击该程序，运行无人安装管理器，

按照一步步的提示选择相应选项或者输入相应数据即可生成全自动安装应答文件。由于制作过程比较简单，此处不再赘述。

用记事本打开已制成的应答文件，我们可以看到刚才填写的内容以一定的书写格式记录在此文件中。此时还可以作适当的修改，例如我们可以在 [Unattended] 项下修改“Reparttion=Yes”（不包括引号，或“=No”）来设定是否在安装时将原有分区全部删除后建立一个新的 NTFS 分区。在 [Unattended] 项下修改“FileSystem=ConvertNTFS”（不包括引号，或“=LeaveAlone”）来设定是将安装分区格式化为 NTFS 文件系统，还是保持不变。

需要说明的是，如果你对自动安装应答文件中各个选项的含义比较熟悉，也可以直接修改安装盘 I386 目录中提供的 unattend.txt 文件来制作合适的应答文件。

重装系统必备口诀
系统是否需重装，三条法则帮你忙

　　如果系统出现以下三种情况之一，应该是你考虑重装系统的时候了：

　　1)系统运行效率变得低下，垃圾文件充斥硬盘且散乱分布又不便于集中清理和自动清理；

　　2)系统频繁出错，而故障又不便于准确定位和轻易解决；

　　3)系统不能启动。

　　重新安装系统前，最好先列备份单

　　在因系统崩溃或出现故障而准备重装系统前，首先应该想到的是备份好自己的数据。这时，一定要静下心来，仔细罗列一下硬盘中需要备份的资料，把它们一项一项地写在一张纸上，然后逐一对照进行备份。如果你的硬盘不能启动了，这时需要考虑用其他启动盘启动系统后，拷贝自己的数据，或将硬盘挂接到其他电脑上进行备份。为了避免出现硬盘数据不能恢复的灾难发生，最好在平时就养成每天备份重要数据的习惯。

　　用户文档是珍宝，首当其冲备份好

　　在需要备份的数据中，用户文档是首先要考虑备份的数据。如果你是编辑或作者，就需要首先备份自己的稿件；如果你是老师，需要首先备份自己的讲义；如果你是作曲家，则需要首先备份自己的曲目……通常，用户的文档数据是放在“我的文档”文件夹中的。如果用户另外指定了存放的文件夹，则需要备份的是相应的文件夹。

　　上网老手变成瞎，只因忘备收藏夹

　　经常上网浏览的用户，一般都收藏有个人特色的地址列表。下次需要搜索同类内容时，打开“收藏夹”便可轻松到达目的地。重装系统时，如果忘记备份自己的收藏夹，安装的新系统对你来说几乎只有一个空的收藏夹，以前保留的好地址就会不翼而飞，你将会感到瞎眼一般。虽然你可能会说，我有Google等好的搜索引擎，但本来一步就可到位的工作人为地变得相对复杂多了，何苦呢？所以，重装系统前一定要备份好“收藏夹”。Windows 2000的收藏夹是系统分区下的文件夹，中间的用户名因人而异。

　　要保录入高速度，备份输入法词库

　　现在，录入汉字无非是采用笔型和拼音两大类输入法。而目前主流的笔型和拼音输入法都带有智能成分，也就是可以自动或半自动地记忆用户形成的个性化词库。个人用户在带有自己特色的词库环境下录入汉字，工作效率会大大提高。如果重装系统时忘记备份输入法用户词库，系统重装完毕后，输入工作中的个性词汇积累工作相当于从零开始。因此，别忘了备份输入法用户词库。用户词库一般在系统的或文件夹下，有的输入法本身就含有自己的词库备份接口，使用很方便。

　　邮箱、QQ备份好，八方联系断不了

　　电子邮件和QQ等聊天工具是我们现代人主要的联络工具。重装系统时，一定不要忘记备份自己的邮箱地址簿和QQ好友信息。邮件地址和QQ聊天好友的信息都可以用相应软件的导出功能进行备份。为避免系统崩溃后无法进行这些资料的备份，最好在平时就养成定时备份这些数据的习惯，将系统崩溃后这方面的损失降到最小。其实，FoxMail和QQ都是准绿色软件，你只需在平时压缩这两个软件的文件夹并保存起来备用即可。

　　 驱动程序备份好，下次装机不用找

　　装机后的第一感觉应该是屏幕闪得让你眼睛难受，喇叭一点声音也没有。这是没有安装显卡和声卡驱动程序的缘故。如果你的系统中还有其他板卡或外设，还得重新安装其驱动程序。有些用户的这些驱动程序是拷贝在硬盘文件夹中的，没有安装盘。这时，你就需要特别留意，安装系统前一定要把自己的驱动程序备份出来。

　　原有目录先别删，请先准备安装盘

　　如果原来的系统下的文件还可以用诸如启动盘等进行访问，在决定重新安装操作系统并结束备份工作后，先不要急于删除或格式化你原有的系统，应该静下心来仔细想想原来的系统分区中还没有你需要保留的文件。再三考虑无误后，接下来的事就应该是准备你的安装光盘了。需要注意的是，你需要在系统BIOS中将光驱设置为第一启动盘。

　　软件说明或封套，那里备有序列号

　　安装序列号可是个关键的东西，如果你不小心丢掉自己的安装序列号，而又采用全新安装，安装过程将无法进行下去。正规的安装光盘的序列号应该在软件说明书或光盘封套的某个位置上。但是，如果你用的是某些软件合集光盘中提供的测试版系统，那么，这些序列号可能是存在于安装目录中的某个说明文本中，比如SN.TXT等文件。所以，首先要将序列号读出并记录下来以备稍后使用。

　　系统出错缺文件，覆盖安装试一遍

　　如果系统启动时提示你少某些文件，或者某些文件出了问题，这时，你先别急于格式化自己的硬盘，而应该首先尝试进行覆盖安装。覆盖安装的要点是，先进入安全模式或启动到DOS下，然后执行安装光盘上的SETUP.EXE或其他用来启动安装程序的文件。注意在安装过程中要选择将系统文件安装在与原来系统相同的目录中。经过这样的安装，一般的问题大多可以得到修复，更重要的是以前安装的一些应用软件还可以继续使用。

接上
覆盖安装不奏效，删除安装新一套

　　如果按以上所提的覆盖安装方法没有能够解决你的问题，那么你可以在确认备份工作完成后，并且各类驱动程序都已经准备好的情况下，先用启动盘启动系统，而后用FORMAT命令格式化你的系统分区，随后执行安装盘上的SETUP.EXE或用来安装的可执行文件，进行全新安装就可以了。

　　倘若没有驱动盘，另起目录全新安

　　如果按以上所提的覆盖安装方法没有能够解决你的问题，而你又没有把握知道自己是否还有需要备份的东西，或者你不想格式化自己的分区，那么，你可以用另起目录的安装法。方法是，用启动盘启动后执行安装文件，把系统安装在与先前系统不同的目录下。这样，原来的驱动程序还在旧的系统目录中。如果你的驱动程序丢失，当系统发现新的硬件时，你可以按系统提示到原来的目录里找到硬件的驱动程序。当所有硬件驱动程序安装完毕后，你就可以放心删掉原来的系统目录了。

　　想要体验新震撼，升级安装需替换

　　如果你使用的是较低版本的操作系统，而你想体验同一软件公司刚刚推出的新一代操作系统，那么你可以用升级安装的办法实现你的想法。方法是直接在低级操作系统环境下运行高级操作系统的安装文件即可。操作系统一般说来都是向下兼容的，Windows 98下可以升级安装为Windows 2000或Windows XP，Windows 2000下可以升级安装为Windows XP。升级安装后原来的大部分程序还可以继续使用。

　　难舍旧情又求新，请君安装多系统

　　如果你不愿意丢掉原来的低级操作系统，同时又想体验一下新一代操作系统的魅力，那么，你可以安装双系统。方法是：在低级操作系统(如Windows 98)下，执行高级操作系统安装盘上的安装文件如SETUP.EXE，然后在安装过程中选择安装在新的目录而不是选择升级安装即可。这样，当安装结束并重新启动系统后，便会出现双系统菜单。多系统安装方法也是如此，只是最好遵守先低级、后高级的安装次序，否则会出现许多麻烦。

　　硬盘备份安装盘，再装系统更方便

　　为了消除安装时经常到处找安装盘的烦恼，我们可以将系统安装盘备份到自己的电脑中。具体方法是：在你的硬盘的数据备份区中创建文件夹如，将系统安装光盘中的所有文件拷贝到该文件夹中。需要重新安装时运行其中的SETUP.EXE或其他安装文件就可以了。

　　倘若系统未崩溃，部分恢复安装快

　　如果Windows 98系统没有完全崩溃，但有些系统错误通过磁盘扫描或纠错软件又无法修复，这时可以使用Windows 98的部分恢复安装程序。这个安装程序可以在Windows 98光盘的文件夹里找到。方法是：转入DOS状态，进入目录，运行PCRESTOR，安装程序将会启动。这种安装的速度和硬盘安装的速度差不多，它不会造成数据丢失。同时，重新设置硬件时，一般都会自动完成。

　　双启菜单故障难，只需2000安装盘

　　如果在安装了Windows 2000后又安装了Windows 98，系统双启动菜单丢失了。这时，可用如下办法解决。首先在BIOS中将启动顺序调整为CD-ROM引导优先，然后将Windows 2000安装盘放入光驱。等自动加载完安装程序后，系统会问你是重新安装还是修复，不用管它，直接退出。最后到CMOS中把启动顺序再改为硬盘启动优先，这样再次开机后就会出现选择菜单了。

　　不用2000系统盘，照样修复双启单

　　假如Windows 98安装在C盘，Windows 2000安装在D盘，E盘是用户数据区。我们可以事先将启动分区根目录下的BOOT.INI、NTLDR、NTDETECT.COM、BOOTSECT.DOS、IO.SYS、MSDOS.SYS、BOOTFONT.BIN等七个文件备份到我们的E分区。在我们重新安装系统不当而使双启动系统菜单发生混乱时，可以将这七个文件拷贝到启动分区下覆盖一下，就可解决问题了。

　　克隆备份好手段，系统工具一并攒

　　也许你会觉得每次重装系统最麻烦的不是重装系统本身，而是寻找和安装各类应用软件和实用小工具。这时，一个非常经典的软件Norton Ghost可以解决你的问题。当你安装完系统和一些工具软件后，只要用Ghost软件的备份分区功能将刚才装好的系统连同工具打包成一个文件。当需要恢复时，先用启动盘启动DOS，然后用Ghost把这个文件包快速恢复到原来的分区中即可。网吧安装多台相同的电脑多用此法，电脑老手们也惯用此法。

　　软件是否需重装，亲手一试定雌黄

　　在另起目录安装系统，而没有删除原来的文件夹下的应用程序的情况下，哪些程序不需要重新安装就可直接使用？这个问题其实只需要动手一试便知。在重新安装系统后，运行一下原来程序目录下的可执行文件，不出现错误提示的一般不需要重装，你就可以把它当成一个绿色软件看待，下次也不用重装。不能运行的或提示缺少文件的肯定是要重装的，这些就不能被列为绿色软件了。

修复双启菜单的方法一例
为了方便新手自己修复双启动菜单，特发表此贴。

首先要了解一下在XP上再装98/ME双启动菜单丢失的原因。
那是因为的装了98/ME之后，C盘的系统引导扇区已经被98/ME给覆盖了：它将以前的由OS Loader控制的系统引导扇区变成了98/ME的系统引导扇区，即使你在装98/ME之前备份了Ntldr， Ntdetec，Bootsect.dos和boot.ini 这四个文件，再拷贝进去也是无法修复双启动菜单的，因为引导扇区依然没有恢复成双启动时的样子，所以你依然不能实现双启动。

那么要怎样修复双启动呢？在这里，我用故障修复控制台来修复双启动菜单。
第一步，将Ntldr， Ntdetec，Bootsect.dos和boot.ini 这四个文件复制到C盘下
第二步，用XP/2000安装光盘调出故障控制台（这个不用多说了吧）
故障恢复控制台会自动找出你的Win2000或者WinXP的安装文件夹以供选择，我们因为只安装了一个Win2000或者WinXP，因此没有选择余地，直接选择1，并按回车键继续，这时要求你输入密码，输入你的管理员密码，回车
第三步，这时，你就可以进入故障控制台进行操作了
键入Fixboot并按回车键
会有提示将恢复的目标磁盘分区并要求确认，键入Y，并回车。
提示FIXBOOT正在写入一个新的启动扇区
提示成功完成修复工作

轻松修改 BOOT.INI
boot.ini 文件是个启动引导程序文件，装多系统或者重装系统的时候会用到它

１.打开

默认的情况下这个文件是隐藏的，准确路径是c:\boot.ini，可以用记事本打开这个路径，也可以在“运行”中输入“c:\boot.ini”启动该文件。
常用的方法是去掉隐藏后用记事本打开，“资源管理器”→“工具”→“文件夹选项”→“查看”去掉“隐藏……”前面的√，“隐藏文件和文件夹”选“显示……”这样就去掉了隐藏，可以在c:\看到boot.ini文件了。

２.修改

[boot loader]
timeout=0
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003, Enterprise" /nodetect /noguiboot

这是我的win2003的boot.ini文件，我就以我的这个来作示范

timeout=0延迟时间设置

延迟时间是系统启动引导菜单后在设定的延迟时间内用户没有进行任何操作时，进入默认的操作系统。

默认设置是30，如果你只有一个系统的话就设置为0，多系统的话就根据自己的情况设置一个时间。

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS默认系统

默认系统就是延迟时间到了后自动进入的系统

我们经常修改的是partition(1)\WINDOWS这一块

partition(1）所指的就是第1个分区，通常也就是c:盘，WINDOWS就是你的系统文件夹。

如果你要默认的操作系统是d:盘的XP，那么这一块的内容就是partition(2)\WINDOWS

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003, Enterprise" /nodetect /noguiboot系统列表

在这个位置列上你的所有操作系统（一行一个系统）

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS这一块和上面“默认系统”的修改方法一样

=""""中间的内容就是开机显示列表时本系统的名称，可以任意修改，而且还支持中文！

/nodetect /noguiboot这部分是启动参数，在"后面加一个半角空格/参数，可以加多个。下面是各项参数的详细解释。

　　/fastdetect：快速检测，很多网站都推荐修改为/nodetect

　　/SAFEBOOT：安全启动，只启动HKLM\System\CurrentControlSetControl\SafeBoot中的驱动程序和服务，其后可跟三个参数Minimal、Network或Dsrepair。Minimal和Network允许在网络连接下启动系统。而Dsrepair要求系统从备份设备中调入活动目录的设置。还有一个选项是Minimal（AlternateShell），它让系统调入由HKLM\System\CurrentControlSetSafeBoot\AlternateShell指定的SHELL程序，而不使用默认的Explorer。

　　/NOGUIBOOT:不加载VGA驱动程序，也就不会显示启动过程和失败时的蓝屏信息。

　　/BOOTLOG：将日志写入Nnbtlog.txt文件。

　　/BASEVIDEO：使用标准VGA方式启动，这种方式主要用于显示驱动程序失效时。

　　/SOS：在调入驱动程序名时显示它的名称，因驱动问题而无法启动时使用比较好。

上面说的都是直接修改的方法，其实还可以用其他方法修改，
１．“系统属性”（在我的电脑上点右键→属性）→高级→“启动和故障恢复”设置。
２．运行→“msconfig”→boot.ini

boot.ini文件的修改方法就这么多，基本也够用了，你会了吗？

NTFS的精彩问答十例
1、什么是NTFS－新(N)技术(T)文件(F)系统(S)？ 

　  想要了解NTFS，我们首先应该认识一下FAT。FAT(File Allocation Table)是“文件分配表”的意思。对我们来说，它的意义在于对硬盘分区的管理。FAT16、FAT32、NTFS是目前最常见的三种文件系统。
FAT16：我们以前用的DOS、Windows 95都使用FAT16文件系统，现在常用的Windows 98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区，但每个分区最多只能有65525个簇（簇是磁盘空间的配置单位）。随着硬盘或分区容量的增大，每个簇所占的空间将越来越大，从而导致硬盘空间的浪费。
FAT32：随着大容量硬盘的出现，从Windows 98开始，FAT32开始流行。它是FAT16的增强版本，可以支持大到2TB（2048G的分区。FAT32使用的簇比FAT16小，从而有效地节约了硬盘空间。
NTFS：微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。随着以NT为内核的Windows 2000/XP的普及，很多个人用户开始用到了NTFS。NTFS也是以簇为单位来存储数据文件，但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费，还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能，可为用户提供更高层次的安全保证。

2、什么系统可以支持NTFS文件系统？

    只有Windows NT/2000/XP才能识别NTFS系统，Windows 9x/Me以及DOS等操作系统都不能支持、识别NTFS格式的磁盘。由于DOS系统不支持NTFS系统，所以最好不要将C:盘制作为NTFS系统，这样在系统崩溃后便于在DOS系统下修复。
NTFS与操作系统支持情况如下：
FAT16　windows 95/98/me/nt/2000/xp unix，linux，dos
FAT32　windows 95/98/me/2000/xp
NTFS　 windows nt/2000/xp

3、我们需要NTFS吗？

    Windows 2000/XP在文件系统上是向下兼容的，它可以很好地支持FAT16/FAT32和NTFS，其中NTFS是Windows NT/2000/XP专用格式，它能更充分有效地利用磁盘空间、支持文件级压缩、具备更好的文件安全性。如果你只安装Windows 2000/XP，建议选择NTFS文件系统。如果多重引导系统，则系统盘（C盘）必须为FAT16或FAT32，否则不支持多重引导。当然，其他分区的文件系统可以为NTFS。

4、如何将FAT分区转换为NTFS？

    Windows 2000/XP提供了分区格式转换工具“Convert.exe”。Convert.exe是Windows 2000附带的一个DOS命令行程序，通过这个工具可以直接在不破坏FAT文件系统的前提下，将FAT转换为NTFS。它的用法很简单，先在Windows 2000环境下切换到DOS命令行窗口，在提示符下键入：D:＼>convert 需要转换的盘符 /FS:NTFS。如系统E盘原来为FAT16/32，现在 需要转换为NTFS，可使用如下格式：D:＼>convert e: /FS:NTFS。所有的转换将在系统重新启动后完成。本人推荐使用此法进行转换！

　　此外，你还可以使用专门的转换工具，如著名的硬盘无损分区工具Powerquest Partition Magic 7.0，软件下载页面http://soft.km169.net/soft/html/1964.htm,使用它完成磁盘文件格式的转换也是非常容易的。首先在界面中的磁盘分区列表中选择需要转换的分区。从界面按钮条中选择“Convert Partition”按钮，或者是从界面菜单条“Operations”项下拉菜单中选择“Convert”命令。激活该项功能界面。在界面中选择转换输出为“NTFS”，之后单击“OK”按钮返回程序主界面。单击界面右下角的“Apply”添加设置。此后系统会重新引导启动，并完成分区格式的转换操作。

接上
5、如何在NTFS格式分区下找回意外删除丢失的文件？

    你可以使用专门的软件，如Final Data for NTFS，或者是Get Data Back for NTFS 1.04。这两个软件的文件恢复效果都不错。本人推荐使用数据恢复功能强大、速度快的Get Data Back for FAT 1.05/NTFS 1.04（是2个软件），下载地址http://download-tipp.de/cgi-bin/suchen.cgi?mh=10&query=support_europe@runtime.org&type=phrase&bool=and。如果在文件删除后没有任何文件操作，恢复率接近100%。所以不要等到文件删除后才安装这个软件，最好是与Windows系统一起安装，并在出现文件误删除后立刻执行恢复操作，一般可以将删除的文件恢复回来。

6、如果Windows 2000/XP安装在C盘（NTFS格式），当Windows崩溃时在DOS状态下不能进入C盘，怎么办？

    你可以使用Windows 2000/XP的安装光盘启动来修复Windows，或者是制作Windows 2000/XP的安装启动应急盘。注意：Windows 2000的安装盘制作程序在程序的安装光盘中，而Windows XP的应急盘制作是独立提供的，需要从微软的网站下载。

7、Final Data for NTFS或Get Data Back for NTFS可以修复被意外格式化的硬盘吗？

    这两个软件都可以恢复格式化删除的数据（低级格式化除外）。常规格式化删除的只是数据信息，低级格式化则删除全部数据区，当硬盘技术还不像现在这样发达的时候，磁盘表面很容易磨损。硬盘使用者对经常出现的读错误，往往采用低级格式化。修复被格式化的硬盘，只能将这个硬盘拆下来，安装到其他的计算机中，之后执行文件修复操作。Final Data甚至可以修复由CIH病毒破坏的硬盘。

8、Windows 98(FAT系统)下如何直接读写NTFS文件系统？

　　当电脑安装有Windows 98和Windows 2000/XP两个操作系统，如何在FAT系统下直接读写NTFS文件系统？虽然FAT系统可以转换为NTFS系统，但是有时我们需要在机器中同时安装Windows 98和Windows 2000/XP。此时的麻烦就来了，由于Windows 98不能读取Windows 2000的NTFS，那么如何进行数据交换呢？实际上我们只需要使用一个小小的软件NTFS for Windows 98就可以让Windows 98轻松读取、甚至写入NTFS分区。首先，到该工具的下载网址http://down.hothost.com/list.asp?id=514下载NTFS for Windows 98　1.07版(能读、写!)。解压缩后，请把CR整个目录（里边有7个读取NTFS文件系统必须使用到Windows 2000/XP的系统文件，其它3个是注释文件）COPY到C盘（也可改名为NTFS＿FILES，我是这样改的），安装结束后会出现一个配置界面，在该界面中的“NTFS System Files”项中需要设置的是程序可以借用的Windows 2000/XP系统的相关文件保存路径，你就选择刚才COPY到盘的CR目录即可，然后其它什么都不必去操作，到此设置完成，单击OK按钮保存设置并退出。重启后就可以在Windows 98下访问NTFS分区了！经过实际使用，证明安装此软件后，在NTFS分区上能读、写！
以上内容本人在WIN98SE＋WINXP＿PROCN＋WINXP＿PROEN及WINME＋WINXP＿PROCN＋WINXP＿PROEN上验证通过！（2台机）

下面的内容仅供参考，建议你不要实施，至少我是这样做的。
　　[Drive Letter Assignments”项中提供的设置是设置允许可以识别的NTFS分区盘符，设置的依据可以参考在Windows 2000/XP下的盘符顺序。如果单击界面中的“Advanced”按钮，在关联界面中提供了针对设置的NTFS分区高级设置，其中包括设置为只读属性“Read-Only”、允许写入“Write-Through”。对于检查点间隔“Checkpoint Interval”和写回间隔“Writeback nterval”，使用程序提供的默认设置即可。]

9、如何在DOS系统下直接读写NTFS文件系统?

　　Winternals Software LP 公司提供了工具软件解决了这个问题。用一张MS-DOS启动盘就可以作到以前不可能作到的事，修改，删除，更新 NTFS上的文件，实际 NTFSDOS pro 是在 Windows NT 出问题时的一个修复工具。下载页面http://soft.winzheng.com/searchengine.asp，键入“NTFS”查找该站软件，就可以找出NTFSDOS　PRO　4.0，最好选择服务器2下载。具体安装过程并不复杂，按照提示做好启动盘即可。

　　10、在NTFS系统下，如何保护自己的文件、文件夹？

    由于NTFS文件分区格式具有良好的安全性，如果你不希望自己在硬盘中的文件被其他人调用或查看，使用权限控制方式加密是非常有效的方法。设置方法非常简单：以系统管理员身份登录，使用鼠标右键单击需要加密的文件夹，选择“Properties”，切换到“Security”选项卡。在“Group of user names”项中设置允许访问的用户只有Administrator和自己。删除其他的所有用户。保存设置退出即可。此后，其他用户将不能访问该文件夹。使用这项功能需要注意的是：一定要保证只有你一个人知道Administrator密码，并且设置其他用户不能属于Administrator。此外，你还可以详细的给每个用户设置权限，包括设置读取权限、写入权限、删除权限等，这样使用起来就更加灵活。你还可以设置权限，控制一个磁盘，或者磁盘分区只为自己使用，这样其他人就不能看到你的任何东西了。

建立隐藏的超级用户
对regedit.exe我想大家都很熟悉，但却不能对注册表的项键设置权限，而regedt32.exe最大的优点就是能够对注册表的项键设置权限。nt/2000/xp的帐户信息都在注册表的HKEY_LOCAL_MACHINE\SAM\SAM键下，但是除了系统用户SYSTEM外，其它用户都无权查看到里面的信息，因此我首先用regedt32.exe对SAM键为我设置为“完全控制”权限。这样就可以对SAM键内的信息进行读写了了。具体步聚如下：

1、假设我们是以超级用户administrator登录到开有终端服务的肉鸡上的，首先在命令行下或帐户管理器中建立一个帐户:hacker$,这里我在命令行下建立这个帐户 net user hacker$ 1234 /add

2、在开始/运行中输入:regedt32.exe并回车来运行regedt32.exe。

3、点“权限”以后会弹出窗口点添加将我登录时的帐户添加到安全栏内，这里我是以administrator的身份登录的，所以我就将administrator加入，并设置权限为“完全控制"。这里需要说明一下:最好是添加你登录的帐户或帐户所在的组，切莫修改原有的帐户或组，否则将会带来一系列不必要的问题。等隐藏超级用户建好以，再来这里将你添加的帐户删除即可。

4、再点“开始”→“运行”并输入"regedit.exe" 回车,启动注册表编辑器regedit.exe。 打开键：HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\hacker$"

5、将项hacker$、00000409、000001F4导出为hacker.reg、409.reg、1f4.reg，用记事本分别打这几个导出的文件进行编辑，将超级用户对应的项000001F4下的键"F"的值复制，并覆盖hacker$对应的项00000409下的键"F"的值,然后再将00000409.reg与hacker.reg合并。

6、在命令行下执行net user hacker$ /del将用户hacker$删除：net user hacker$ /del

7、在regedit.exe的窗口内按F5刷新，然后打文件-导入注册表文件将修改好的hacker.reg导入注册表即可

8、到此，隐藏的超级用户hacker$已经建好了，然后关闭regedit.exe。在regedt32.exe窗口内把HKEY_LOCAL_MACHINE\SAM\SAM键权限改回原来的样子（只要删除添加的帐户administrator即可）。

9、注意：隐藏的超级用户建好后，在帐户管理器看不到hacker$这个用户，在命令行用“net user”命令也看不到，但是超级用户建立以后，就不能再改密码了，如果用net user命令来改hacker$的密码的话，那么在帐户管理器中将又会看这个隐藏的超级用户了，而且不能删除。

开始→运行→命令 集锦

winver---------检查windows版本
wmimgmt.msc----打开windows管理体系结构(wmi)
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板
winmsd---------系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------xp自带局域网聊天
mem.exe--------显示内存使用情况
msconfig.exe---系统配置实用程序
mplayer2-------简易widnows media player
mspaint--------画图板
mstsc----------远程桌面连接
mplayer2-------媒体播放机
magnify--------放大镜实用程序
mmc------------打开控制台
mobsync--------同步命令

dxdiag---------检查directx信息
drwtsn32------ 系统医生
devmgmt.msc--- 设备管理器
dfrg.msc-------磁盘碎片整理程序
diskmgmt.msc---磁盘管理实用程序
dcomcnfg-------打开系统组件服务
ddeshare-------打开dde共享设置
dvdplay--------dvd播放器

net stop messenger-----停止信使服务
net start messenger----开始信使服务
notepad--------打开记事本
nslookup-------网络管理的工具向导
ntbackup-------系统备份和还原
narrator-------屏幕“讲述人”
ntmsmgr.msc----移动存储管理器
ntmsoprq.msc---移动存储管理员操作请求
netstat -an----(tc)命令检查接口

syncapp--------创建一个公文包
sysedit--------系统配置编辑器
sigverif-------文件签名验证程序
sndrec32-------录音机
shrpubw--------创建共享文件夹
secpol.msc-----本地安全策略
syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码
services.msc---本地服务设置
sndvol32-------音量控制程序
sfc.exe--------系统文件检查器
sfc /scannow---windows文件保护

tsshutdn-------60秒倒计时关机命令
tourstart------xp简介（安装完成后出现的漫游xp程序）
taskmgr--------任务管理器

eventvwr-------事件查看器
eudcedit-------造字程序
explorer-------打开资源管理器

packager-------对象包装程序
perfmon.msc----计算机性能监测程序
progman--------程序管理器

regedit.exe----注册表
rsop.msc-------组策略结果集
regedt32-------注册表编辑器
rononce -p ----15秒关机
regsvr32 /u *.dll----停止dll文件运行
regsvr32 /u zipfldr.dll------取消zip支持

cmd.exe--------cmd命令提示符
chkdsk.exe-----chkdsk磁盘检查
certmgr.msc----证书管理实用程序
calc-----------启动计算器
charmap--------启动字符映射表
cliconfg-------sql server 客户端网络实用程序
clipbrd--------剪贴板查看器
conf-----------启动netmeeting
compmgmt.msc---计算机管理
cleanmgr-------垃圾整理
ciadv.msc------索引服务程序

osk------------打开屏幕键盘
odbcad32-------odbc数据源管理器
oobe/msoobe /a----检查xp是否激活
lusrmgr.msc----本机用户和组
logoff---------注销命令

iexpress-------木马捆绑工具，系统自带

nslookup-------ip地址侦测器

fsmgmt.msc-----共享文件夹管理器

utilman--------辅助工具管理器

gpedit.msc-----组策略

自己动手制作Windows垃圾文件自动清理器
  你在使用电脑的过程中是不是感觉它的速度越来越慢呢！这多半是垃圾文件在作怪。那么有没有一种办法使电脑本身能自动把运行过程中产生的垃圾清理掉呢?回答是肯定的。我们可以自己动手来制作Windows垃圾文件自动清理器方法如下:
  打开记事本，输入以下内容:
  @echo off
  rmdir /s /q %temp%
  DEL /F /Q /S C:\*.tmp
  DEL /F /Q /S C:\*.gid
  DEL /F /Q /S C:\*.old
  DEL /F /Q /S C:\*.bak
  将其保存为“C:\cleanpc.bat”，按下Win+R组合键打开“运行”窗口，输入“gpedit.msc”打开组策略，进入“计算机配置-Windows设置-脚本(启动/关闭)”，在右侧窗格双击“关机”，接着单击“添加”按钮，在“脚本名”中输入“C:cleanpc.bat”。这样电脑在每次关机时，系统就会自动清理垃圾文件，让你的Windows时刻保持清洁和良好的性能。当然可能会有人说让第三方软件也可以做到这件事情不过我感觉自己动手比用别人的东西更有乐趣。最后提醒一点:如此设置之后关机的时间可能会略有加长，不过为了自己的爱机有一个清洁和良好的性能牺牲这点时间是值得的。

解析Windows操作系统两大进程
　

在这将着重介绍一下Windows系统的Svchost.exe和Explorer.exe两种进程，作为Windows系统中两种重要的进程，下面我们就来看看他们的特点以及在各个操作系统中的应用。

　　Explorer

　　在Windows系列的操作系统中，运行时都会启动一个名为Explorer.exe的进程。这个进程主要负责显示系统桌面上的图标以及任务栏，它在不同的系统中有不同的妙用。

Explorer在Windows 9x中的应用

　　在Windows 9x中，这个进程是运行系统时所必需的。如果用“结束任务”的方法来结束Explorer.exe进程，系统就会刷新桌面，并更新注册表。所以，我们也可以利用此方法来快速更新注册表。方法如下：
按下Ctrl+Alt+Del组合键，出现“结束任务”对话框。在该对话框中选择“Explorer”选项，然后单击“结束任务”按钮，将出现“关闭Windows”对话框。单击“否”按钮，系统过一会儿将出现另一个对话框，告诉你该程序没有响应，询问是否结束任务。单击“结束任务”按钮，则更新注册表并返回Windows 9x系统环境中。这比起烦琐的重新启动过程要方便多了？

Explorer在Windows 2000/XP中的应用　　

　　在Windows 2000/XP和其他Windows NT内核的系统中，Explorer.exe进程并不是系统运行时所必需的，所以可以用任务管理器来结束它，并不影响系统的正常工作。打开你需要运行的程序，如记事本。然后右击任务栏，选择“任务管理器”，选中“进程”选项卡，在窗口中选择
Explorer.exe进程，单击“结束进程”按钮，，接下来桌面上除了壁纸(活动桌面Active Desktop的壁纸除外)，所有图标和任务栏都消失了。此时你仍可以像平常一样操作一切软件。
　　如果你想运行其他软件，但此时桌面上空无一物，怎么办？别着急，下面有两种可以巧妙地打开其他软件：
　第一种方法：按下Ctrl+Alt+Del组合键，出现“Windows安全”对话框，单击“任务管理器”按钮(或是直接按下Ctrl+Shift+Esc组合键)，在任务管理器窗口中选中“应用程序”选项卡，单击“新任务”，在弹出的“创建新任务”的对话框中，输入你想要打开的软件的路径和名称即可。
  你还可以在正在运行的软件上，选择“文件→打开”，在“打开”对话框中，点击“文件类型”下拉列表，选择“所有文件”，再浏览到你想打开的软件，右击它，在快捷菜单中选择“打开”命令，就可以启动你需要的软件了。注意，此时不能够通过单击“打开”按钮来打开软件，此种方法适用于大多数软件，Office系列除外。
通过结束Explorer.exe进程，还可以减少4520KB左右的系统已使用内存，无疑会加快系统的运行速度，为资源紧张的用户腾出了宝贵的空间。


Svchost.exe

　　Svchost.exe是NT核心系统的非常重要的进程，对于2000、XP来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。
　大家对Windows操作系统一定不陌生，但你是否注意到系统中“Svchost.exe”这个文件呢？细心的朋友会发现Windows中存在多个 “Svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。
在基于NT内核的Windows操作系统家族中，不同版本的Windows系统，存在不同数量的“Svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，Win 2000有两个Svchost进程，Win XP中则有四个或四个以上的Svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而Win 2003 server中则更多。这些Svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp clieNT）等
如果要了解每个Svchost进程到底提供了多少系统服务，可以在Win 2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是Win 2000 support tools提供的。在Win XP则使用“tasklist /svc”命令。

　　Svchost中可以包含多个服务

　　Windows系统进程分为独立进程和共享进程两种，“Svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 Svchost.exe进程来启动。
但Svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 Svchost，由Svchost调用相应服务的动态链接库来启动服务。那Svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。
从启动参数中可见服务是靠Svchost来启动的。

　　因为Svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但Windows系统存在多个Svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。
假设Windows XP系统被“w32.welchia.worm”感染了。正常的Svchost文件存在于“c:\Windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\Windows\system32Win s”目录中，因此使用进程管理器查看Svchost进程的执行文件路径就很容易发现系统是否感染了病毒。
Windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“Windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的Svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
　
　

病毒杀不死的原因与对策
　一、病毒杀不死的原因
　　经常听人说，病毒软件报告杀死了某某病毒，可是重新启动后该病毒仍旧存在，无法杀死。病毒杀不死的原因主要有：
　　1.病毒正在运行。由于Windows保护正在运行的程序，所以杀毒软件是无法杀死正在运行的病毒。即使是真的杀死了病毒，电脑正常关机时内存中活动的病毒还会再复制一个病毒到硬盘上。
　　2.病毒隐藏在系统还原的文件夹“_restore”中。

二、对策
　　1.在Windows中杀毒前首先得中止病毒进程。对于WindowsXp/2000，可以使用任务管理器(Ctrl+Alt+Del三键齐按)来查看当前所有的进程，而对于Windows98/Me，则可以使用“黑客入门工具箱”或ATM来查看进程。确定哪个是来历不明的就停止掉或者看哪个不顺眼就停止哪个，该过程俗称“杀进程”。不要怕出错，因为不会对电脑造成任何损坏，最多就是死机。注意，杀进程的操作有时得进行两次才成功。有的病毒有两个进程，互相保护，杀掉一个则会被另一个发现并恢复。此时应先把该病毒在注册表中的启动项去掉，然后用突然断电的方式重启电脑，再杀毒。
　　2.在Windows中使用专杀工具杀毒。得使用最新的杀毒版本。
　　3.禁用系统还原。在WindowsMe中禁用方法是∶鼠标右键点击“我的电脑”-属性-性能-文件系统-疑难解答-禁止系统还原。在WindowsXP中禁用方法是∶控制面板-系统-系统属性-系统还原-在所有驱动器上关闭系统还原。然后用软盘或U盘启动电脑，在dos下删除_RESTORE文件夹。
　　4.在Dos下杀毒不存在杀不死的问题。一般的杀毒软件都可以制作软盘版(含至少3张软盘)，用第一张盘启动(CMOS中必须设定软盘启动在前)后按提示陆续放入其它盘就可以直接杀毒了。瑞星的软盘版需要用鼠标确定杀毒的驱动器，而金山毒霸的软盘版则默认全机查杀。实际上用金山毒霸在DOS下杀毒还可以更简单，用普通软盘启动盘或U盘启动盘启动电脑后，先换到C盘，然后进入金山毒霸的目录(命令：cd kav或cd kav5，与版本有关)，然后输入KAVDX，回车就开始杀毒了。
　　5.补充操作。病毒杀死后还应该修复注册表。

操作系统故障与处理
操作系统故障

    操作系统故障一般分为二种，一种是运行类故障。还有一种是注册表故障
    一般的操作系统都可以用一种方法来处理，就是重装系统，非常有效，但是太过麻烦^_^
    运行类故障指的是windows在正常启动完成后，在运行应用程序或工肯软件过程中出现错误，无法完成用户要求的任务
    下面简析几则常见的问题
    1 在windows下经常蓝屏
    出现这种问题的原因是多种多样的。有的在windows启动是出现，有的是在用户运行一些软件才产生的，
    出现此类故障一般是由于用户操作不当促使windows系统损坏造成，此类现象具体表现在以安全引导时不能正常时入系统，出现蓝屏，有时碎片太多也会出现这样的问题除此之外还有以下几种原因可能引发蓝屏
    （1）    内存问题。因为这种原因出现的问题比较多，一般是由于芯片质量不好造成，有时可以通过修改CMOS设置中的内存速度可以解决问题。如果不行就可有换内存了。
    （2）    主板问题。因为主板问题才引发的蓝屏问题一般少见，现像是一般不会死机，但是发生得频繁。当确定是主板引发的问题只有换主板一种解决方法
    （3）    CPU原因，因为CPU问题才引发的蓝屏问更要少见，一般发生在Cyrix的CPU上。对此可以对CPU降频来解决，要是不行，就只有换CUP一途了。
    2．经常出现随机死机的现象
死机的故障比较常见，但涉及的面广，维修比较麻烦，现在将逐步进行详解
  （1）    病毒原因迁成电脑频繁死机，由于此类原因造成该故障的现象比较常见，当电脑感染病毒后，主要表现在以下几个方面
    *    系统启动时间长
    *    系统启动时自动启动一些不必要的等程序
    *    无故死机
    *    屏幕上出现一些乱码
    如果因为病毒损坏了一些系统文件，导致系统工作不稳定，可以在安全摸式下对系统文件修复
  （2）    由于某些元件热稳定性不良造成此类故障，具体表现在CPU、电源、内存、主板等方面。所以可以让电脑打开一段时间后等其死机后再摸电脑上的元件，，要是温度太高就说明那个部件有问题。可用替换法来诊断
  （3）    由于各部件接确不良导致电脑死机的也比较常见，特别在买了一般时间后的电脑上，由于各部件是用金手指与主板接确，经过一般时间后就会发生氧化现象，在拔下卡后会发现金手指部件发黄，这时候可以用橡皮擦来回擦拭变黄处来清洁
  （4）    由于硬件之间不兼容造成电脑频繁死机。此类现象常见于显卡与其他部件不兼容或内存条与主板不兼容，对此可以将其他不必要的设备拆下后给以判断
  （5）    软件冲突或损坏引起死机。此类故障，一般都发生得比较普通，对此可以将这个软件卸除
    3 在windows下运行应用程序时提示内存不足
    一般出现内存不足的提示可能有以下几种原因：
  （1）    磁盘剩余空间不足，
  （2）    同时运行了多个应用程序
  （3）    电脑感染了病毒。
    4 在Windows下运行应用程序时出现非法操作的提示
此类故障引起原因较多，在如下几钟可能
  （1）    系统文件被更改或损坏，倘若由此引发则打开一些系统自带的程序时就会出现非法操作，（例如，打开控制面板）
  （2）    驱动程序未正确安装，此类故障一般表现在显卡驱动程序之止，倘若由此引发，则打开一些游戏程序时就会产生非法操作，有时打开一此网页也会出现这种程况
  （3）    内存质量不好，降低内存速度也可能会解决这个问题
  （4）    软件不兼容，如，IE 5。5在Windows 98 SE 上，当打开多个网页也会产生非法操作
    5 自动重新启动
    此类故障表现在如下几个方面：在系统启动时或在应用程序运行了一段时间后出现此类故障，引发该故障的原因一般是由于内存条热稳定性不良或电源工作不稳定所造成，还有一种可能就是CPU温度太高引起，还有一种比较特殊的情况，有时由于驱动程序或某些软件有冲突，导致Windows系统在引导时间生故障


操作系统故障的诊断方法

    1，    用“安全模式”启动
    当系统频频出现故障的时候，最简单的排查办法可以考虑用安全模式启动电脑。
    在安全模式下，windows会使用基本默认配置和电小功能启动系统，其他很多关于系统设置问题，有时候也可以通过安全模式来排查和解决，如分辩率设置过高、将内存限制得过小，进入系统就重启等等。
    2 恢复先前的注册表
    如果系统存在较为严重的问题，上述方法则不能解决，不妨采用恢复出现故障前的注册表
    当系统出现问题无法windows的时候，用windows启动盘启动并引导到MS-DOS，在DOS提示符下键入scanreg/restore并回车，会显示出已经备份的注册表文件。恢复了就好。
    3 检查重要的系统文件
    如果系统早有故障而一直都没注意，日积月累突然出现是问题，这个时候就是恢了注册表也没有用，因为问题比系统自建的还要早。那么，这种情况往往是系统系统文件损坏导致，系统文件损坏的可能原因很多，比如应用程序覆盖了重要的系统文件，或者磁盘错误破坏了系统文件，如.vxd .dll 等。用户不小心删除了系统致命的文件，要是有这种情况可以运行sfc 癖动“系统文件检查器：，开始检查，如果查出错误，会提示出来，到时你放入安装光盘就可以恢复了
    4卸掉有冲突的设备
    系统存在的问题也不少，遇到这种情况，办法是进入安全模式，打开设备管理器卸载有冲突硬件，一般都可以解决。
    5 快速进行覆盖安装
    对于初学者和经验不足的维修人员来说，一方面又进不了windows 又想保留原来的系统设置，这时候就可以进行快速覆盖安装了
    如果以上的方法还是不可以解决问题，那只好Format了C盘，重装了。

弓虽，顶

简单修复IE

　

经常会遇到IE出现这样那样的问题，不妨试试看这个：

下面内容用记事本保存为.bat文件，打开后将会刷新一遍IE管理DLL


=====batch file for registering all IE dlls========

rundll32.exe advpack.dll /DelNodeRunDLL32 C:\WINNT\System32\dacui.dll
rundll32.exe advpack.dll /DelNodeRunDLL32 C:\WINNT\Catroot\icatalog.mdb
regsvr32 setupwbv.dll
regsvr32 wininet.dll
regsvr32 comcat.dll
regsvr32 shdoc401.dll
regsvr32 shdoc401.dll /i
regsvr32 asctrls.ocx
regsvr32 oleaut32.dll
regsvr32 shdocvw.dll /I
regsvr32 shdocvw.dll
regsvr32 browseui.dll
regsvr32 browseui.dll /I
regsvr32 msrating.dll
regsvr32 mlang.dll
regsvr32 hlink.dll
regsvr32 mshtml.dll
regsvr32 mshtmled.dll
regsvr32 urlmon.dll
regsvr32 plugin.ocx
regsvr32 sendmail.dll
regsvr32 comctl32.dll /i
regsvr32 inetcpl.cpl /i
regsvr32 mshtml.dll /i
regsvr32 scrobj.dll
regsvr32 mmefxe.ocx
regsvr32 proctexe.ocx mshta.exe /register
regsvr32 corpol.dll
regsvr32 jscript.dll
regsvr32 msxml.dll
regsvr32 imgutil.dll
regsvr32 thumbvw.dll
regsvr32 cryptext.dll
regsvr32 rsabase.dll
regsvr32 triedit.dll
regsvr32 dhtmled.ocx
regsvr32 inseng.dll
regsvr32 iesetup.dll /i
regsvr32 hmmapi.dll
regsvr32 cryptdlg.dll
regsvr32 actxprxy.dll
regsvr32 dispex.dll
regsvr32 occache.dll
regsvr32 occache.dll /i
regsvr32 iepeers.dll
regsvr32 wininet.dll /i
regsvr32 urlmon.dll /i
regsvr32 digest.dll /i
regsvr32 cdfview.dll
regsvr32 webcheck.dll
regsvr32 mobsync.dll
regsvr32 pngfilt.dll
regsvr32 licmgr10.dll
regsvr32 icmfilter.dll
regsvr32 hhctrl.ocx
regsvr32 inetcfg.dll
regsvr32 trialoc.dll
regsvr32 tdc.ocx
regsvr32 MSR2C.DLL
regsvr32 msident.dll
regsvr32 msieftp.dll
regsvr32 xmsconf.ocx
regsvr32 ils.dll
regsvr32 msoeacct.dll
regsvr32 wab32.dll
regsvr32 wabimp.dll
regsvr32 wabfind.dll
regsvr32 oemiglib.dll
regsvr32 directdb.dll
regsvr32 inetcomm.dll
regsvr32 msoe.dll
regsvr32 oeimport.dll
regsvr32 msdxm.ocx
regsvr32 dxmasf.dll
regsvr32 laprxy.dll
regsvr32 l3codecx.ax
regsvr32 acelpdec.ax
regsvr32 mpg4ds32.ax
regsvr32 voxmsdec.ax
regsvr32 danim.dll
regsvr32 Daxctle.ocx
regsvr32 lmrt.dll
regsvr32 datime.dll
regsvr32 dxtrans.dll
regsvr32 dxtmsft.dll
regsvr32 vgx.dll
regsvr32 WEBPOST.DLL
regsvr32 WPWIZDLL.DLL
regsvr32 POSTWPP.DLL
regsvr32 CRSWPP.DLL
regsvr32 FTPWPP.DLL
regsvr32 FPWPP.DLL
regsvr32 FLUPL.OCX
regsvr32 wshom.ocx
regsvr32 wshext.dll
regsvr32 vbscript.dll
regsvr32 scrrun.dll mstinit.exe /setup
regsvr32 msnsspc.dll /SspcCreateSspiReg
regsvr32 msapsspc.dll /SspcCreateSspiReg

=====end of batch file for registering all IE dlls========


但是如果没有效果还需要杀毒

关于系统优化的误导
1。使用微软内部提速工具BootVis可以大幅度提升速度。

  这则技巧应该是不少网站推广，被不少人奉为经典的，为什么？都是被作者“微软内部加速工具”这句话，以及软件菜单中又有“Optimize System”这个选项给蒙了，他是微软内部工具不假，但不是加速工具。
  不知道第一个这么写的人是怎么看这个工具的帮助文件的？经常看电脑报的朋友会知道最近电脑报社开辟了一个栏目，邀请微软MVP讲解系统知识，其中就针对这则流传很久的“经典”辟谣指出“实际上“Bootvis.exe”是微软提供给系统设计人员和软件开发人员的一个可视化的软件性能跟踪工具。开发人员可以利用“Bootvis.exe”跟踪软件在开机/关机时的系统性能。而使用“Bootvis.exe”可以加快系统启动速度的这个说法，在微软的文档中并没有提到”。
　　而在微软关于“Bootvis.exe”的文档中提到“Bootvis.exe”这个工具并不能为终端用户提高系统的开/关机性能。“Bootvis.exe”也不能减少系统的开关机时间，本人也在很早以前尝试过，确实如此。更不像原作者夸张的“提升10几秒”，奇怪的是本人去了不少国外的包括港台的网站都没有提到这个工具用来加速系统启动。希望不要再有这样的愚弄，和被愚弄。

2。打开CPU二级缓存可以加速启动/提速系统。

    又是一则缪轮，这种说法流传相当广泛，现在使用率最高的Windows系统优化软件之一的“Windows 优化大师”也是持这种观点，在它的优化设置栏中就有优化CPU二级缓存的选项。
  我们先看看这个所谓的优化技巧是怎样告诉我们的。

    【Windows XP系统中，默认状态下CPU二级缓存并未打开。为了提高系统性能，我们可以通过修改注册表，或使用“Windows优化大师”等软件来开启它。
    运行注册表编辑器，展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management分支，双击右侧窗口中的“SecondLevelDataCace”，然后在弹出的窗口中直接填入当前计算机所使用的CPU的二级缓存容量即可。
    赛扬处理器的二级缓存为128KB，应将其值设置为80(16进制，下同)。PⅡ、PⅢ、P4均为512KB二级缓存，应设置为200；PⅢE(EB)、P4 Willamette只有256KB二级缓存，应设置为100；AMD Duron只有64KB二级缓存，应设置为40；K6-3拥有256KB二级缓存；Athlon拥有512KB二级缓存；Athlon XP拥有256KB二级缓存；Athlon XP(Barton核心)拥有512KB二级缓存。
    使用Windows优化大师也可以正确设置CPU的二级缓存：启动Windows优化大师，选择“系统性能优化”，在“文件系统优化”中，最上面就是关于CPU二级缓存的设置项。拖动滑块到相应的位置后，保存设置并重新启动计算机即可。】

    我们在微软的知识库中找到了如下的内容：“HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management”中的SecondLevelDataCache键的值只有在Windows XP系统从硬件抽象层（Hardware Abstraction Layer ）读取CPU二级缓存（L2）失败时才会读取SecondLevelDataCache键的数据。而且SecondLevelDataCache键值=0的意义是二级缓存为256KB。

    在一篇知识库文章中我们还找到了“Do not change the SecondLevelDataCache entry ”这样的话，在文章中指出一些第三方资料宣称修改SecondLevelDataCache键的值可以提高系统性能是不正确的。二级缓存的数值是由操作系统检测并且完全不受SecondLevelDataCache值的影响。

    从微软知识库的文章中我们可以看到，所谓的Windows XP系统需要用户手动打开二级缓存这种说法是错误的。Windows XP系统是根据硬件抽象层读取CPU的二级缓存数值。只有在读取失败时才会读取SecondLevelDataCache的值，而且SecondLevelDataCache的默认数值0所代表的意义就是二级缓存为256KB，而不是表示关闭。所以CPU的二级缓存在任何时候都是开启的，用户没有必要再自行修改。

3。修改注册表减少XP进度条滚动次数，加速启动。

    和前两者一样，流传很广，其实熟悉微软风格的朋友就可以知道，这个进度条是微软设计出来给大家等待他的产品启动时候进行的美化而已，他滚动多少（正常状况）绝对不能反映启动快慢，有的朋友说了“我跑一次就进去了”，是，但是后面的“欢迎登陆windows”界面你的时间一定比跑3，4次以上的朋友长（相同配置）。不要再为了视觉上的欺骗而盲目崇拜这则“经典”技巧了。正确的测试启动是否加速，应该全程计时，从按下电源到完全进入桌面，显示图标为止。

接上
4。禁用闲置的IDE通道可以提速

    不错，说得很有道理，这一条技巧是很实用的，确实可以加速系统的启动。但不是万用的，大家有条件找不同时期配置的几台机器验证就很容易知道，尤其对于像ICH5/6 南桥芯片这是很好的提速办法。（至于像VIA的8327或者nForce芯片组的南桥限于条件本人尚未亲自验证）因为他们支持SATA和RAID的缘故。会在启动时花费更多时间检测，所以利用这个方法可以达到很好的效果。  但是对于像2001年前的ICH2/3 南桥大多数的情况下效果是很有限的。

      正确的做法应该是在BIOS中把闲置的IDE通道有默认的“AUTO”改为：“NONE”，然后进入系统在“设备管理器”中在此设置为“无”，确定保存即可。


5。 打开Qos数据闲置的带宽提高网速

    在各种的Windows XP优化文章中有一篇关于QoS的文章可谓是历史悠久，从Windows XP刚开始发布时就开始流传，一直到现在还出现在频频出现在各种Windows XP的优化文章中。
        我们先来看看这个优化技巧的其中一个版本。
    运行gpedit.msc打开组策略-管理模板-网络，这里有一个“QoS数据包调度”项，展开后可以在窗口右侧的“设置”列下看到一个“限制可保留带宽”的项目，双击该项目，可以看到这里的“带宽限制”默认值为20%，我们只要将它修改为“已启用”，并将“带宽限制”值改为“0%”就可以让带宽得用率达到最高。”
    事实答案当然是否定的。下面我们先看看微软是怎样解释这个问题的。

    在微软的KB316666号知识库中对QoS的问题是如下解释的：

    与 Windows 2000 一样，在 Windows XP 中，程序也可以通过 QoS 应用程序编程接口 (API) 来利用 QoS。所有程序可以共享百分之百的网络带宽，特别要求带宽优先权的程序除外。其他程序也可以使用这种“保留”的带宽，正在发送数据的请求程序除外。默认情况下，程序保留的带宽累计可达终端计算机每个接口的基本链接速度的百分之二十。如果保留带宽的程序发送的数据量没有完全用完带宽，保留带宽的未用部分可用于同一主机上的其他数据流。

    在微软的KB316666中明确表示许多发表的技术文章和新闻组文章多次提到 Windows XP 通常为 QoS 保留百分之二十的可用带宽的说法是错误的。

    我们首先来明确QoS的真正含义是什么。QoS的中文意义是：联网服务质量。具体是指在整个网络连接上应用的各种通信或程序类型优先技术。QoS技术的存在是为了获得更好的联网服务质量。QoS是一组服务要求，网络必须满足这些要求才能确保适当服务级别的数据传输。

    QoS 的实施可以使类似网络电视，网络音乐等实时应用程序最有效地使用网络带宽。由于它可以确保某个保证级别有充足的网络资源，所以它为共享网络提供了与专用网络类似的服务级别。它同时提供通知应用程序资源可用情况的手段，从而使应用程序能够在资源有限或用尽时修改请求。在Windows XP系统中引入QoS技术的目标是建立用于网络通讯的保证传输系统。

    从上面这些微软对QoS的解释我们可以知道通过在组策略编辑器中把QoS的20%修改为0%达不到优化网络性能的目标。而在组策略里面的修改的20%参数是指当使用了QoS API编写程序需要访问网络时能够使用的最大带宽量，如果我们设置为0%，那就意味着使用QoS API编写的应用程序不得不和其他应用程序争夺有限的带宽，可能产生的后果就是需要优先通信的数据没有得到优先权。从这一点来说把QoS的20%修改为0%不但没有好处还会产生使得某些实时网络应用程序不能有效使用网络带宽的问题。所以这个所谓的优化技巧可以说是一个误导。

6。禁用系统服务提高系统运行速度

    相信大家都知道这一条，随着XP的推广，越来越多的人渴望接触和了解/优化系统服务，很多人也介绍方法，介绍如何优化并提速系统，事实上，系统服务只是更好的协同系统和硬件驱动，系统内部之间，网络之间的沟通运作，必要的设置是很需要，但是夸大的表示可以怎么提速就是不负责任了， 相信不少朋友参照这些介绍自己也动手试过，你感觉呢？“失望”这是我的感受，并没有想的效果这么好，但是内存得到了不小的释放，根据各自情况不一样，10M~40M。（安装SP2以后系统占用的内存会增加32M，关闭不需要的服务会节省更多的内存，但是对于系统的启动速度影响不大） 所以还是老话，别盲从，自己亲自试试，感受一下。  至于2K/XP系统服务的详细说明和推荐设置请参照斑竹的帖子。

7。 修改BOOT.ini加速系统启动

  在众多的Windows XP优化技巧中，相信大家看到过这样的一种说法，宣称把“Boot.ini”文件中每个启动项后面的“fastdetect”修改为“nodetect”之后就可以加快XP的启动速度。

　　虽然从字面来看上述优化技巧把“快速检测”改为了“不检测”，好像可以加快Windows XP系统的启动速度。但其实在微软的词汇库中并没有“nodetect”这个词。不管是Windows NT，还是Windows2000/XP/2003所有这些操作系统的“Boot.ini”文件中都没有“nodetect”这个参数。所以把“fastdetect”改为“nodetect”并不会有什么作用。

　　而对于“fastdetect”这个参数微软给出的解释是：关闭“Ntdetect.com”在开机时对串口鼠标的检测。 可是现在根本没有人会使用串口鼠标。

Windows服务的优化和设置

Alerter
微软： 通知选取的使用者及计算机系统管理警示。如果停止这个服务，使用系统管理警示的程序将不会收到通知。如果停用这个服务，所有依存于它的服务将无法启动。
补充： 一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts)，除非你的计算机使用在局域网络上并使用该项功能。
依存： Workstation
建议： 已停用

Application Layer Gateway Service
微软： 提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持。
补充： 如果你不使用因特网联机共享 (ICS) 提供的多台计算机因特网共享存取和因特网联机防火墙 (ICF) 软件，那么你可以关掉它。
依存： Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议： 已停用

Application Management (应用程序管理)
微软： 提供指派、发行、以及移除的软件安装服务。
补充： 如上说明，软件安装变更的服务
建议： 手动

Automatic Updates
微软： 启用重要 Windows 更新的下载及安装。如果停用此服务，可以手动的从 Windows Update 网站上更新操作系统。
补充： 允许 Windows 自动联机到 Microsoft Servers 自动检查和下载更新修补程序。
建议： 已停用

Background Intelligent Transfer Service
微软： 使用闲置的网络频宽来传输数据。
补充： 经由 Via HTTP1.1 协议在背景传输资料的服务，如 Windows Updates 就是以此为工作之一
依存： Remote Procedure Call (RPC) 和 Workstation
建议： 已停用

ClipBook (剪贴簿)
微软： 启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止，剪贴簿检视器将无法与远程计算机共享信息。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 把剪贴簿内的信息和其它计算机分享，一般家用计算机根本用不到。
依存： Network DDE
建议： 已停用

COM+ Event System (COM+ 事件系统)
微软： 支持「系统事件通知服务 (SENS)」，它可让事件自动分散到订阅的 COM 组件。如果服务被停止，SENS 会关闭，并无法提供登入及注销通知。如果此服务被停用，任何明显依存它的服务都无法启动。
补充： 有些程序可能用到 COM+ 组件，像 BootVis 的 optimize system 应用，如事件检视器内显示的 DCOM 没有启用
依存： Remote Procedure Call (RPC) 和 System Event Notification
建议： 手动

COM+ System Application
微软： 管理 COM+ 组件的设定及追踪。如果停止此服务，大部分的 COM+ 组件将无法适当?#092;作。如果此服务被停用，任何明确依存它的服务将无法启动。
补充： 如果 COM+ Event System 是一台车，那么 COM+ System Application 就是司机，如事件检视器内显示的 DCOM 没有启用
依存： Remote Procedure Call (RPC)
建议： 手动

Computer Browser (计算机浏览器)
微软： 维护网络上更新的计算机清单，并将这个清单提供给做为浏览器的计算机。如果停止这个服务，这个清单将不会被更新或维护。如果停用这个服务，所有依存于它的服务将无法启动。
补充： 一般家庭用计算机不需要，除非你的计算机应用在区网之上，不过在大型的区网上有必要开这个拖慢速度吗？
依存： Server 和 Workstation
建议： 已停用

Cryptographic Services
微软： 提供三个管理服务: 确认 Windows 档案签章的 [类别目录数据库服务]; 从这个计算机新增及移除受信任根凭证授权凭证的 [受保护的根目录服务]; 以及协助注册这个计算机以取得凭证的 [金钥服务]。如果这个服务被停止，这些管理服务将无法正确工作。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证，如果你有使用 Automatic Updates ，那你可能需要这个
依存： Remote Procedure Call (RPC)
建议： 手动

DHCP Client (DHCP 客户端)
微软： 透过登录及更新 IP 地址和 DNS 名称来管理网络设定。
补充： 使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP
依存： AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP
建议： 手动

Distributed Link Tracking Client (分布式连结追踪客户端)
微软： 维护计算机中或网络网域不同计算机中 NTFS 档案间的连结。
补充： 维护区网内不同计算机之间的档案连结
依存： Remote Procedure Call (RPC)
建议： 已停用

Distributed Transaction Coordinator (分布式交易协调器)
微软： 协调跨越多个资源管理员的交易，比如数据库、讯息队列及档案系统。如果此服务被停止，这些交易将不会发生。如果服务被停用，任何明显依存它的服务将无法启动。


DNS Client (DNS 客户端)
微软： 解析并快取这台计算机的网域名称系统 (DNS) 名称。如果停止这个服务，这台计算机将无法解析 DNS 名称并寻找 Active Directory 网域控制站的位置。如果停用这个服务，所有依存于它的服务将无法启动。
补充： 如上所说的，另外 IPSEC 需要用到
依存： TCP/IP Protocol Driver
建议： 手动
Error Reporting Service
微软： 允许对执行于非标准环境中的服务和应用程序的错误报告。
补充： 微软的应用程序错误报告
依存： Remote Procedure Call (RPC)
建议： 已停用
Event Log (事件记录文件)
微软： 启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。
补充： 允许事件讯息显示在事件检视器之上
依存： Windows Management Instrumentation
建议： 自动

Fast User Switching Compatibility
微软： 在多使用者环境下提供应用程序管理。
补充： 另外像是注销画面中的切换使用者功能
依存： Terminal Services
建议： 手动

Help and Support
微软： 让说明及支持中心能够在这台计算机上执行。如果这个服务停止，将无法使用说明及支持中心。如果这个服务被停用，它的所有依存服务将无法启动。
补充： 如果不使用就关了吧
依存： Remote Procedure Call (RPC)
建议： 已停用

Human Interface Device Access
微软： 启用对人性化接口装置 (HID) 的通用输入存取，HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止，这个服务控制的快捷纽将不再起作用。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 如上所提到的
依存： Remote Procedure Call (RPC)
建议： 已停用

IMAPI CD-Burning COM Service
微软： 使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘录制。如果这个服务被停止，这个计算机将无法录制光盘。如果这个服务被停用，任何明确地依赖它的服务将无法启动。
补充： XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能，可惜比不上烧录软件，关掉还可以加快 Nero 的开启速度
建议： 已停用

Indexing Service (索引服务)
微软： 本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。
补充： 简单的说可以让你加快搜查速度，不过我想应该很少人和远程计算机作搜寻吧
依存： Remote Procedure Call (RPC)
建议： 已停用

Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
微软： 为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。
补充： 如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉
依存： Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
建议： 已停用

IPSEC Services (IP 安全性服务)
微软： 管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。
补充： 协助保护经由网络传送的数据。IPSec 为一重要环节，为虚拟私人网络 (VPN) 中提供安全性，而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要，但是一般使用者大部分是不太需要的
依存： IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建议： 手动

Logical Disk Manager (逻辑磁盘管理员)
微软： 侦测及监视新硬盘磁盘，以及传送磁盘区信息到逻辑磁盘管理系统管理服务以供设定。如果这个服务被停止，动态磁盘状态和设定信息可能会过时。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 磁盘管理员用来动态管理磁盘，如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能
依存： Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service
建议： 自动

Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务)
微软： 设定硬盘磁盘及磁盘区，服务只执行设定程序然后就停止。
补充： 使用 Microsoft Management Console(MMC)主控台的功能时才用到
依存： Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager
建议： 手动

Messenger (信差)
微软： 在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。如果停止这个服务，Alerter 讯息将不会被传输。如果停用这个服务，所有依存于它的服务将无法启动。
补充： 允许网络之间互相传送提示讯息的功能，如 net send 功能，如不想被骚扰话可关了
依存： NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建议： 已停用

MS Software Shadow Copy Provider
微软： 管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务，就无法管理以软件为主的磁盘区阴影复制。如果停用这个服务，任何明确依存于它的服务将无法启动。
补充： 如上所说的，用来备份的?#124;西，如 MS Backup 程序就需要这个服务
依存： Remote Procedure Call (RPC)
建议： 已停用

Net Logon
微软： 支持网域上计算机的账户登入事件的 pass-through 验证。
补充： 一般家用计算机不太可能去用到登入网域审查这个服务
依存： Workstation
建议： 已停用

NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享)
微软： 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络，由远程访问这部计算机。如果这项服务停止的话，远程桌面共享功能将无法使用。如果服务停用的话，任何依赖它的服务将无法启动。
补充： 如上说的，让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者，如果你重视安全性不想多开后门，就关了吧
建议： 已停用

Network Connections (网络联机)
微软： 管理在网络和拨号联机数据夹中的对象，您可以在此数据夹中检视局域网络和远程联机。
补充： 控制你的网络联机
依存： Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议： 手动

Network DDE (网络 DDE)
微软： 为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止，DDE 传输和安全性将无法使用。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 一般人好像用不到
依存： Network DDE DSDM、ClipBook
建议： 已停用

接上
Network DDE DSDM (网络 DDE DSDM)
微软： 讯息动态数据交换 (DDE) 网络共享。如果这个服务被停止，DDE 网络共享将无法使用。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 一般人好像用不到
依存： Network DDE
建议： 已停用

Network Location Awareness (NLA)
微软： 收集并存放网络设定和位置信息，并且在这个信息变更时通知应用程序。
补充： 如果不使用 ICF 和 ICS 可以关了它
依存： AFD网络支持环境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议： 已停用

NT LM Security Support Provider (NTLM 安全性支持提供者)
微软： 为没有使用命名管道传输的远程过程调用 (RPC) 程序提供安全性。
补充： 如果不使用 Message Queuing 或是 Telnet Server 那就关了它
依存： Telnet
建议： 已停用

Performance Logs and Alerts (效能记录文件及警示)
微软： 基于事先设定的排程参数，从本机或远程计算机收集效能数据，然后将数据写入记录或?#124;发警讯。如果这个服务被停止，将不会收集效能信息。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 没什么价值的服务
建议： 已停用

Plug and Play (随寮从?
微软： 启用计算机以使用者没有或很少的输入来识别及适应硬件变更，停止或停用这个服务将导致系统不稳定。
补充： 顾名思义就是 PNP 环境
依存： Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio
建议： 自动

Portable Media Serial Number
微软： Retrieves the serial number of any portable music player connected to your computer
补充： 透过联机计算机重新取得任何音乐拨放序号？没什么价值的服务
建议： 已停用

Print Spooler (打印多任务缓冲处理器)
微软： 将档案加载内存中以待稍后打印。
补充： 如果没有打印机，可以关了
依存： Remote Procedure Call (RPC)
建议： 已停用

Protected Storage (受保护的存放装置)
微软： 提供受保护的存放区，来储存私密金钥这类敏感数据，防止未授权的服务、处理、或使用者进行存取。
补充： 用来储存你计算机上密码的服务，像 Outlook、拨号程序、其它应用程序、主从架构等等
依存： Remote Procedure Call (RPC)
建议： 自动

QoS RSVP (QoS 许可控制，RSVP)
微软： 提供网络讯号及区域流量控制安装功能给可识别 QoS 的程序和控制小程序项。
补充： 用来保留 20% 频宽的服务，如果你的网络卡不支持 802.1p 或在你计算机的网域上没有 ACS server ，那么不用多说，关了它
依存： AFD网络支持环境、TCP/IP Procotol Driver、Remote Procedure Call (RPC)
建议： 已停用

Remote Access Auto Connection Manager (远程访问自动联机管理员)
微软： 当程序参照到远程 DNS 或 NetBIOS 名称或地址时，建立远程网络的联机。
补充： 有些 DSL/Cable 提供者，可能需要用此来处理登入程序
依存： Remote Access Connection Manager、Telephony
建议： 手动

Remote Access Connection Manager (远程访问联机管理员)
微软： 建立网络联机。
补充： 网络联机用
依存： Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager
建议： 手动

Remote Desktop Help Session Manager
微软： 管理并控制远程协助。如果此服务停止的话，远程协助将无法使用。停止此服务之前，请先参阅内容对话框中的 [依存性]标签。
补充： 如上说的管理和控制远程协助，如果不使用可以关了
依存： Remote Procedure Call (RPC)
建议： Disable

Remote Procedure Call (RPC) (远程过程调用，RPC)
微软： 提供结束点对应程序以及其它 RPC 服务。
补充： 一些装置都依存它，别去动它
依存： 太多了，自己去看看
建议： 自动

Remote Procedure Call (RPC) Locator (远程过程调用定位程序)
微软： 管理 RPC 名称服务数据库。
补充： 如上说的，一般计算机上很少用到，可以尝试关了
依存： Workstation
建议： Disable

Remote Registry (远程登录服务)
微软： 启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止，登录只能由这个计算机上的使用者修改。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 基于安全性的理由，如果没有特别的需求，建议最好关了它，除非你需要远程协助修改你的登录设定
依存： Remote Procedure Call (RPC)
建议： 已停用

Removable Storage (卸除式存放装置)
微软： None
补充： 除非你有 Zip 磁盘驱动器或是 USB 之类可携式的硬件或是 Tape 备份装置，不然可以尝试关了
依存： Remote Procedure Call (RPC)
建议： Disable

Routing and Remote Access (路由和远程访问)
微软： 提供连到局域网络及广域网络的公司的路由服务。
补充： 如上说的，提供拨号联机到区网或是 VPN 服务，一般用户用不到
依存： Remote Procedure Call (RPC)、NetBIOSGroup
建议： 已停用

Secondary Logon
微软： 启用在其它认证下的起始程序。如果这个服务被停止，这类的登入存取将无法使用。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 允许多个使用者处理程序，执行分身等
建议： 自动

Security Accounts Manager (安全性账户管理员)
微软： 储存本机账户的安全性信息。
补充： 管理账号和群组原则(gpedit.msc)应用
依存： Remote Procedure Call (RPC)、Distributed Transaction Coordinator
建议： 自动

Server (服务器)
微软： 透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务，将无法使用这些功能。如果停用这个服务，所有依存于它的服务将无法启动。
补充： 简单的说就是档案和打印的分享，除非你有和其它计算机分享，不然就关了
依存： Computer Browser
建议： 已停用

Shell Hardware Detection
微软： 为自动播放硬件事件提供通知。
补充： 一般使用在记忆卡或是CD装置、DVD装置上
依存： Remote Procedure Call (RPC)
建议： 自动

Smart Card (智慧卡)
微软： 管理这个计算机所读取智能卡的存取。如果这个服务被停止，这个计算机将无法读取智能卡。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 如果你不使用 Smart Card ，那就可以关了
依存： Plug and Play
建议： 已停用

Smart Card Helper (智能卡协助程序)
微软： 启用对这个计算机使用的旧版非随插即用智能卡读取头的支持。如果这个服务被停止，这个计算机将不支持旧版读取头。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 如果你不使用 Smart Card ，那就可以关了
建议： 已停用

SSDP Discovery Service
微软： 在您的家用网络上启用通用随插即用装置的搜索。
补充： 如上说的，通用随插即用服务 (Universal Plug and Play, UPnP) 让计算机可以找到并使用网络上的装置，经由网络联机透过 TCP/IP 来搜索装置，像网络上的扫瞄器、数字相机或是打印机，亦即使用 UPnP 的功能，基于安全性没用到的大可关了
依存： Universal Plug and Play Device Host
建议： 已停用

System Event Notification (系统事件通知)
微软： 追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM+ 事件系统订阅者。
补充： 如上所说的
依存： COM+ Event System
建议： 自动

System Restore Service
微软： 执行系统还原功能。若要停止服务，从我的计算机->内容，[系统还原] 中关闭系统还原
补充： 将计算机回复至先前的状态，不使用就关了
依存： Remote Procedure Call (RPC)
建议： 已停用

Task Scheduler (工作排程器)
微软： 让使用者能够在这个计算机上设定和排定自动的工作。如果停止这个服务，这些工作在它们排定的时间时将不会执行。如果停用这个服务，任何明确依存于它的服务将无法启动。
补充： 设定排定自动的工作，像一些定时磁盘扫瞄、病毒定时扫瞄、更新等等
依存： Remote Procedure Call (RPC)
建议： 自动

TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序)
微软： 启用 [NetBIOS over TCP/IP (NetBT)] 服务及 NetBIOS 名称解析的支持。
补充： 如果你的网络不使用 NetBios 或是 WINS ，你大可关闭
依存： AFD 网络支持环境、NetBt
建议： 已停用

Telephony (电话语音)
微软： 为本机计算机上及经由局域网络连接到正在执行此服务的服务器上，控制电话语音装置和 IP 为主语音联机的程序，提供电话语音 API (TAPI) 支持。
补充： 一般的拨号调制解调器或是一些 DSL/Cable 可能用到
依存： Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager
建议： 手动

Telnet
微软： 启用一个远程使用者来登入到这台计算机和执行应用程序，以及支持各种 TCP/IP Telnet 客户端，包含以 UNIX 为基本和以 Windows 为基本的计算机。如果服务停止了，远程使用者可能无法存取应用程序。如果服务停用了，任何明确地依存于这项服务的其它服务将会启动失败。
补充： 允许远程使用者用 Telnet 登入本计算机，一般人会误解关了就无法使用BBS，这其实和BBS无关，基于安全性的理由，如果没有特别的需求，建议最好关了
依存： NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建议： 已停用

Terminal Services (终端机服务)
微软： 允许多位使用者互动连接到同一部计算机、桌面的显示器及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。
补充： 远程桌面或是远程协助的功能，不需要就关了
依存： Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon
建议： 已停用

Themes
微软： 提供使用者经验主题管理。
补充： 很多人使用布景主题，不过如果没有使用的人，那就可以关闭
建议： 自动

Uninterruptible Power Supply (不断电供电系统)
微软： 管理连接到这台计算机的不断电电源供应 (UPS)。
补充： 不断电电源供应 (UPS)一般人有用到吗？除非你的电源供应器有具备此功能，不然就关了
建议： 已停用

接上
Universal Plug and Play Device Host
微软： 提供主机通用随插即用装置的支持。
补充： 用来侦测安装通用随插即用服务 (Universal Plug and Play, UPnP)装置，像是数字相机或打印机
依存： SSDP Discovery Service
建议： 已停用

Volume Shadow Copy
微软： 管理及执行用于备份和其它目的的磁盘区卷影复制。如果这个服务被停止，卷影复制将无法用于备份，备份可能会失败。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 如上所说的，用来备份的?#124;西，如 MS Backup 程序就需要这个服务
依存： Remote Procedure Call (RPC)
建议： 已停用

WebClient
微软： 启用 Windows 为主的程序来建立、存取，以及修改因特网为主的档案。如果停止这个服务，这些功能将无法使用。如果停用这个服务，任何明确依存于它的服务将无法启动。
补充： 使用 WebDAV 将档案或数据夹上载到所有的 Web 服务，基于安全性的理由，你可以尝试关闭
依存： WebDav Client Redirector
建议： 自动

Windows Audio
微软： 管理用于 Windows 为主程序的音讯装置。如果这个服务被停止，音讯装置和效果将无法正常?#092;作。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充： 如果你没有声卡可以关了他
依存： Plug and Play、Remote Procedure Call (RPC)
建议： 自动

Windows Image Acquisition (WIA) (Windows影像取得程序)
微软： 为扫描仪和数字相机提供影像撷取服务。
补充： 如果扫描仪和数字相机内部具有支持WIA功能的话，那就可以直接看到图档，不需要其它的驱动程序，所以没有扫描仪和数字相机的使用者大可关了
依存： Remote Procedure Call (RPC)
建议： 已停用

Windows Installer (Windows 安装程序)
微软： 根据包含在 .MSI 档案内的指示来安装，修复以及移除软件。
补充： 是一个系统服务，协助使用者正确地安装、设定、追踪、升级和移除软件程序，可管理应用程序建立和安装的标准格式，并且追踪例如档案群组、登录项目及快捷方式等组件
依存： Remote Procedure Call (RPC)
建议： 手动

Windows Management Instrumentation (WMI)
微软： 提供公用接口及对象模型，以存取有关操作系统、装置、应用程序及服务的管理信息。如果这个服务已停止，大多数的 Windows 软件将无法正常?#092;作。如果这个服务已停用，所有依存于它的服务都将无法启动。
补充： 如上说的，是一种提供一个标准的基础结构来监视和管理系统资源的服务，由不得你动他
依存： Event Log、Remote Procedure Call (RPC)
建议： 自动

Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸)
微软： 提供系统管理信息给予/取自驱动程序。
补充： Windows Management Instrumentation 的延伸，提供信息用的
建议： 手动

Windows Time (Windows 时间设定)
微软： 维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止，将无法进行日期及时间同步处理。如果这个服务被停用，所有依存的服务都会停止。
补充： 网络对时校准用的，没必要就关了
建议： 已停用

Wireless Zero Configuration
微软： 为 802.11 适配卡提供自动设定
补充： 自动配置无线网络装置，言下之意就是说，除非你有在使用无线网络适配卡装置，那么你才有必要使用这个网络零管理服务
依存： NDIS Usermode I/O Protocol、Remote Procedure Call (RPC)
建议： 已停用

WMI Performance Adapter
微软： 提供来自 WMIHiPerf 提供者的效能链接库信息。
补充： 如上所提
依存： Remote Procedure Call (RPC)
建议： 已停用l

Workstation (工作站)
微软： 建立并维护到远程服务器的客户端网络联机。如果停止这个服务，这些联机将无法使用。如果停用这个服务，所有依存于它的服务将无法启动。
补充： 因特网联机中所必要的一些功能
依存： Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator
建议： 自动


“Clipbook Server”(文件夹服务器)：这个服务允许你们网络上的其他用户看到你的文件夹。在这里我要强烈建议你把它改为手动启动，然后再使用其他程序在你的网络上发布信息。

“Messenger”(消息)：在网络上发送和接收信息。如果你关闭了Alerter，你可以安全地把它改为手动启动。

“Printer Spooler”(打印后台处理程序)：如果你没有配置打印机，建议改为手动启动或干脆关闭它。

“Error Reporting Service”(错误报告)：服务和应用程序在非标准环境下运行时提供错误报告。建议改为手动启动。

“Fast User Switching Compatibility”(快速用户切换兼容性)：建议改为手动启动。

“Automatic Updates”(自动更新)：这个功能前面已经讲过了，在这里可以改为手动启动。

“Net Logon”（网络注册）：处理象注册信息那样的网络安全功能。你可以把它设改为手动启动。

“Network DDE和Network DDE DSDM”(动态数据交换)：除非你准备在网上共享你的Office，否则你应该把它改为手动启动。注：这和在通常的商务设定中使用Office不同(如果你需要DDE，你就会知道)。

“NT LM Security Support”(NT LM安全支持提供商)：在网络应用中提供安全保护。建议你把它改为手动启动。

“Remote Desktop Help Session Manager”(远程桌面帮助会话管理器)：建议改为手动启动。

“Remote Registry”(远程注册表)：使远程用户能修改此计算机上的注册表设置。建议改为手动启动。

“Task Scheduler”(任务调度程序)：使用户能在此计算机上配置和制定自动任务的日程，它计划每星期的碎片整理等。 除非你实在太懒了，连在电脑上开一下都不想，建议改为手动启动。

“Uninterruptible Power Supply”(不间断电源)：它管理你的UPS。如果你没有的话，把它改为手动启动或干脆关闭它。

“Windows Image Acquisition (WIA)”(Windows 图像获取 (WIA))：为扫描仪和照相机提供图像捕获，如果你没有这些设备，建议改为手动启动或干脆关闭它。

关于Hosts文件

很多用户都知道在Window系统中有个Hosts文件（没有后缀名），在Windows 98系统下该文件在Windows目录，在Windows 2000/XP系统中位于C:\Winnt\System32\Drivers\Etc 目录中。该文件其实是一个纯文本的文件，用普通的文本编辑软件如记事本等都能打开。

　　用记事本打开hosts文件，首先看见了微软对这个文件的说明。这个文件是根据TCP/IP for Windows 的标准来工作的，它的作用是包含IP地址和Host name(主机名)的映射关系，是一个映射IP地址和Host name(主机名)的规定，规定要求每段只能包括一个映射关系，IP地址要放在每段的最前面，空格后再写上映射的Host name(主机名)。对于这段的映射说明用“#”分割后用文字说明。

　　现在让我们来看看Hosts在Windows中是怎么工作的。

　　我们知道在网络上访问网站，要首先通过DNS服务器把网络域名（www.XXXX.com）解析成61.XXX.XXX.XXX的IP地址后，我们的计算机才能访问。要是对于每个域名请求我们都要等待域名服务器解析后返回IP信息，这样访问网络的效率就会降低，而Hosts文件就能提高解析效率。根据Windows系统规定，在进行DNS请求以前，Windows系统会先检查自己的Hosts文件中是否有这个地址映射关系，如果有则调用这个IP地址映射，如果没有再向已知的DNS服务器提出域名解析。也就是说Hosts的请求级别比DNS高。

      知道了Hosts文件的工作方式，那在具体使用中它有哪些作用呢?

　　1.加快域名解析

　　对于要经常访问的网站，我们可以通过在Hosts中配置域名和IP的映射关系，这样当我们输入域名计算机就能很快解析出IP，而不用请求网络上的DNS服务器。

　　2.方便局域网用户

　　在很多单位的局域网中，会有服务器提供给用户使用。但由于局域网中一般很少架设DNS服务器，访问这些服务要输入难记的IP地址，对不少人来说相当麻烦。现在可以分别给这些服务器取个容易记住的名字，然后在Hosts中建立IP映射，这样以后访问的时候我们输入这个服务器的名字就行了。

　　3.屏蔽网站

　　现在有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中，有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或自己计算机的IP，这样就不用访问了。比如不想访问www.XXXX.com，那我们在Hosts写上以下内容：

　　127.0.0.1 www.XXXX.com #屏蔽的网站
　　0.0.0.0  www.XXXX.com #屏蔽的网站

　　这样计算机解析域名就解析到本机或错误的IP，达到了屏蔽的目的。

　　4.顺利连接系统

　　对于Lotus的服务器和一些数据库服务器，在访问时如果直接输入IP地址那是不能访问的，只能输入服务器名才能访问。那么我们配置好Hosts文件，这样输入服务器名就能顺利连接了。

　　最后要指出的是，Hosts文件配置的映射是静态的，如果网络上的计算机更改了请及时更新IP地址，否则将不能访问。

MAC地址更改全攻略

　

一、简单的修改方法

　　其实不论 98 还是 2000 ，自身都已经提供了更改网卡地址的功能，只是平时大家都没上这方面想，因此没有注意到而以，很简单的哦 .....

　　现在我们先来看看 WIN2000 。在桌面上的网上邻居图标上单击右键，选择“属性”，在弹出的“网络和拨号连接”窗口中一般有两个图标，一个是“新建连接”图标，一个是“我的连接”图标。当然了，如果你的机器上有两个网卡的话，那就有三个图标了。现在假设你只有一个网卡，那就在“我的连接”图标上单击右键，选择“属性”，这时会弹出一个“我的连接属性”的窗口。在窗口下面有一个“配置”按钮，点击该按钮后就进入了网卡的属性对话框了，这个对话框中有五个属性页，点击第二项“高级”页，在“属性”标识下有两项或多项，现在你应该能看到一个叫“ Network Address ”的属性项了吧，点击该项，在对话框右边的“值”标识下有两个单选项，默认是“不存在” ，现在你只要选中上面一个单选项，然后在右边的框中输入你想改的网卡 MAC 地址（注意要连续输入，不要带“－”），如“ 00E0404000A0 ”，点“确定”， OK ！你已经大功告成了！

　　在 98 下面的修改和 WIN2000 下差不多。在“网上邻居”图标上单击右键，选择“属性”，弹出一个“网络”对话框，在“配置”框中，双击你要修改的网卡，出来一个网卡属性对话框。在“高级”选项中，也是点击“属性”标识下的“ Network Address ”项，在右边的两个单选项中选择上面一个，再在框中输入你要修改的网卡 MAC 地址，点“确定”后，系统会提示你重新启动。接下来就不用我说了吧！：）（重启后你可以用“ winipcfg ”看看修改的结果）

　　如果你想把网卡的 MAC 地址恢复原样，只要选择“ Network Address ”项右边的“没有显示”再重新启动即可。在 WIN2000 下面是选择“不存在”，当然也不用重新启动了。

　　 二、注册表修改的方法

　　由于驱动或网卡的关系，有的机器中没有“ Network Address ”项，那我们只有通过修改注册表来进行修改了。

　　◆ Windows2000 的修改

　　1 、在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0000 、 0001 、 0002 等主键下，查找 DriverDesc ，内容为你要修改的网卡的描述，如“ Realtek RTL8029(AS)-based PCI Ethernet Adapter ”。

　　2 、在其下，添加一个字符串，命名为 NetworkAddress ，其值设为你要的 MAC 地址（注意地址还是连续写）。如： 00E0DDE0E0E0 。

　　3 、然后到其下 Ndi\params 中添加一项名为 NetworkAddress 的主键，在该主键下添加名为 default 的字符串，其值是你要设的 MAC 地址，要连续写，如： 000000000000 。（实际上这只是设置在后面提到的高级属性中的“初始值”，实际使用的 MAC 地址还是取决于在第 2 点中提到的 NetworkAddress 参数，这个参数一旦设置后，以后高级属性中的值就是 NetworkAddress 给出的值而非 default 给出的了。）

　　4 、在 NetworkAddress 的主键下继续添加名为 ParamDesc 的字符串，其作用为指定 NetworkAddress 主键的描述，其值可自己命名，如“ Network Address ”，这样在网卡的高级属性中就会出现 Network Address 选项，就是你刚在注册表中加的新项 NetworkAddress ，以后只要在此修改 MAC 地址就可以了。继续添加名为 Optional 的字符串，其值设为“ 1 ”，则以后当你在网卡的高级属性中选择 Network Address 项时，右边会出现“不存在”选项。

　　5 、重新启动你的计算机，打开网络邻居的属性，双击相应网卡项会发现有一个 Network Address 的高级设置项，可以用来直接修改 MAC 地址或恢复原来的地址。

　　◆ Win9x 的修改

　　1 、在 HKEY_LOCAL_MACHINE\system\Currentcontrolset\services\class\net\0000 、 0001 、 0002 等下，找到 DriverDesc 字符串。

　　2 、在其下，添加一个字符串，名字为 NetworkAddress ，其值设为你要的 MAC 地址，注意要连续写。如： 00E0DDE0E0E0 。

　　3 、然后到其下 Ndi\params 中添加一项名为 NetworkAddress 的主键，在该主键下添加名为 default 的字符串，其值写你要设的 MAC 地址，注意要连续的写，如 00E0DDE0E0E0 。 　　

　　4 、继续添加名为 ParamDesc 的字符串，其作用为指定 NettworkAddress 主键的描述，其值可自己命名，如“ Network Address ”，这样以后打开网络邻居的属性，这样在网卡的高级属性中就会出现 Network Address 选项，就是你刚在注册表中加的新项 NetworkAddress ，以后只要在此修改 MAC 地址就可以了。

　　继续添加名为 Optional 的字符串，其值设为“ 1 ”，则以后当你在网卡的高级属性中选择 Network Address 项时，右边会出现“没有显示”选项。

　　◆ WinNT 下改网卡地址的方法：

　　1 、打开注册表，定位到 HKEY_LOCAL_MACHINE->SYSTEM->CurrentControlSet->Services

　　2 、找到网卡的键值，在 Parameters 项里添加字串值 NetworkAddress ，其值设为你要修改的 MAC 地址，如：“ 00E0DDE0E0E0 ”。

二、 Linux下的MAC地址更改

1.首先必须关闭网卡设备，否则会报告系统忙，无法更改。命令是：“/sbin/ifconfig eth0 down”

2.修改MAC地址，这一步较Windows中的修改要简单。

命令是：“/sbin/ifconfig eth0 hw ether 00AABBCCDDEE”

3.重新启用网卡“/sbin/ifconfig eth0 up”网卡的MAC地址更改就完成了。

注册表防黑问答
　

近段时间以来，经常有网友询问上网浏览网页后注册表被黑的解决办法，大多是IE浏览器标题栏被修改，非法添加命令以及禁用注册表等现象，而这都是恶意网站通过修改用户注册表数据造成的，是完全可以修复的，下面笔者就针对网友提出最多的一些常见的注册表被黑的现象做一解答。

　　问：我在浏览了一个黑客网页后，发现后面打开的IE浏览器的标题栏文字都被修改成了“欢迎访问XXX网站”，这些信息很让人讨厌，请问用什么方法可以去掉这些文字？

　　答：这个现象可以说是注册表被黑的最基本病状，几乎所有的恶意网页都会对注册表下此毒手。我们可以打开注册编辑器，找到HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main主键，可以看到右边的“Window Title”键值数据已经被修改成为“欢迎访问XXXX网站”，要想恢复IE默认的标题栏显示，直接删除该“Window Title”键值即可，同时在HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main主键下也会有一个“Window Title”键值被修改了，你也要一并将这里的“Window Title”键值删除。

　　问：当我单击IE浏览器的主页按钮想访问我设定的网址时，浏览器却打开一个XX网址大全的网站，可我并没有设置这个网站呀。打开Internet选项，主页设置被修改为一个陌生的网址了，而且更改的按钮都变成灰色的了，我怎么才能把我的主页设置改回来呀？

　　答：这些恶意网页修改了用户的主页设置后，为了防止用户再改回自己的设置，通常都会用这一招将主页设置按钮不可用。打开注册表HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel主键，把右边窗格中的键值“HomePage”的数据改为“0”或直接删除该键值后再重新打开“Internet 属性”设置就可以更改主页设置了。

如果你不想修改注册表的话，还有一个更方便的办法，在“Internet选项”中打开“程序”页面，然后单击[重置Web设置]按钮，并在打开的对话框中选择“同时重置主页”选项后点击[确定]按钮就可以将主页设置成默认的微软网站。

　　问：我点击开始菜单后发现没有了“运行”、“关闭系统”和“注销”命令，没有了这些功能，连关机都无法正常执行了，请问我该怎么办？

　　答：可以打开注册表的HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer主键，然后可以看到右边窗口中有三个键值“NoRun”、“NoClose”和“NoLogOff”，这三个键值分别对应了没有运行、没有关闭系统、没有注销功能，直接删除这三个键值即可。

　　问：我在访问了一个网址大全的网站后，发现IE浏览器右键菜单中多了一项“点击访问我的网站”的命令，怎么才能删除它？

答：IE右键菜单有我们最常用的功能，所以经常使用，这些非法添加的命令的确很让人气愤，你可以打开 HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt主键，然后在该主键下还会看到有许多的子主键，仔细找一下，其中某个子主键的名称就是显示在右键菜单中的命令文字，即“点击访问我的网站”，这时只需把这个主键删除即可。

　　问：怎么办？我的系统在启动出现桌面图标前弹出一个提示窗口，点击一下就可以正常进入系统了，这是怎么回事呀？

　　答：这个弹出的提示窗口也是通过注册表进行修改的，本来这个信息是用来告诉登录者一些信息，例如警告非法登录用户等，这下子倒被恶意网页所利用了，不过解决方法也很简单。打开注册表编辑器，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon主键，在右边的窗格中可以看到“LegalNoticeCaption”和“LegalNoticeText”两个键值，其键值数据就是提示中的文字，我们只要把这两个键值删除后重新启动就再也不会出现这样的提示了。

　　问：我在浏览了一个所谓的红客网站后，系统出现了一个奇怪的现象：当我导入REG脚本文件时，系统并不是像正常的提示数据已经导入注册表，而是用记事本打开了这个REG文件的内容，这样我就无法再通过REG脚本文件的方法修改注册表了。

　　答：产生这种现象是因为这个网站把注册表中HKEY_CLASSES_ROOT\\.reg主键的默认键值数据改成“txtfile”，使之打开指向记事本。不过我们可以通过其他的方法来导入一个修复注册表的REG文件，同样先打开记事本，输入以下内容： （以98为例）

　　REGEDIT4

　　[HKEY_CLASSES_ROOT\\.reg]

　　@=regfile

　　将其保存为“restore.reg”文件，然后选中该文件，按住［Shift］键再单击鼠标右键，然后在右键菜单中选择“打开方式”命令，在弹出的“打开方式”对话框中选择“Regedit”后确定就可以将REG文件导入注册表，以后你就可以继续使用正常方式导入REG文件了。

杀“虫”记:Windows XP小小Bug两条

  　　Windows XP自发布以来就不断地公布安全补丁，其实它在其他方面也有很多“虫虫”，这次为大家揪出的两条“虫虫”，算是比较有“杀伤力”的。希望遇到其他“虫虫”的朋友也把自己的遭遇发给我们，大家一起来抓“虫虫”！





　　 注意：共享文件夹名超长不警告

　　一天，在Windows XP中文专业版中设置共享文件夹时，我发现了一个“虫虫”——Windows XP不能准确发出共享文件夹名超长的警告!

　　假设我们选定一个文件夹设置简单共享：用鼠标右键单击该文件夹，选择“共享和安全→共享”，选中“共享该文件夹”，接下来在“共享名”后面输入共享文件夹的名称，如果名称超过12个汉字或12个英文字母 ，系统就会给出如图1所示的提示。但如果我们将共享文件夹名设为7~12个汉字，系统并不会给出共享文件夹名超长的警告！但局域网中安装Windows 98/Me/NT的计算机却无法浏览到这个共享文件夹！




附件: 3937102005226134014.jpg

接上
事实上，在Windows 98/Me/NT中，共享文件夹名可设置的范围就是12个英文字符或6个汉字，超出部分将无法输入。但Windows XP却将“字符”理解为一个字母或一个汉字即表示一个字符，这可以在设置英文和汉字组成的混合共享文件夹名时得到验证：比如我们将共享文件夹名设为“Windows操作技巧大全”，Windows XP提示共享文件夹名超过12个字符，但设置成“Windows操作技巧集”时，则没有这个提示。这应当算是Windows XP的一个“虫虫”。


　其实，Windows 2000中文版在设置共享文件夹名时也有这种问题：Windows 2000支持的最大共享文件夹名长度为80个英文字母或40个汉字，但设置共享文件夹名时可输入的范围是80个英文字符或80个汉字，如果共享文件夹名在41~80个汉字之间，系统会提示“该共享名包含无效的字符”（如图2），其实真正的原因是共享文件夹名超长。（河北 袁景涛 安谦）

　　 小心：缩略图显示有陷阱

　　近日，学校要办新的学生证，学生的照片都是先用数码相机拍摄，再用打印机打印。因为我们对大部分学生都不认识，所以需要班主任老师对这些照片一一辨认，看一看学生本人的学号与照片的文件名是否一致。在查看时，有一张名字为“25501”的照片，因为有问题我将它删除了，将“25502”改成了“25501”，看，“25502”的照片立刻换成了“25501”的照片，不只是名字换了，照片也变了。我再将“25503”换成“25502”，奇迹发生了，原来的“25502”照片又回来了，“25503”的照片不见了！我再试，依然如此！

　　难道我的电脑中招了？只好请教电脑高手了，高手就是高手，他告诉我：Windows XP为了能更快地显示图片，会自动将文件夹中的图片缩略图保存为索引文件“Thumbs.db”。我们将没用的图片删除后，由于“Thumbs.db”不能立即自动更新，当出现新文件与原文件名称相同时，便直接将原缩略图取了出来，其实图片本身并没变，改变的只是图片的缩略图。但这样就对用户造成了误导！

　　解决方法是：打开资源管理器，选择“工具→文件夹选项→查看”，选中“不缓存缩略图”选项前的复选框，即可禁止Windows XP使用Thumbs.db文件缓存缩略图。

附件: 3937102005226134116.jpg

DLL系统文件冲突的解决 
 
大家应该都有过这样的经验，当你安装一些软件的时候，这些软件要安装与你的系统不同版本的以DLL为后缀名的系统文件。但问题就随之而来了，有些用的很好的软件总是出错，更严重的连WINDOWS自身都会出现问题，系统总是说XXX.DLL出现不明问题而不能运行或出错。这时我们应该如何解决呢？是从新安装系统吗？还是从此不再使用这个软件？NO！NO！NO！现在就让我来告诉大家一个解决.DLL冲突的方法。

为了说明问题，我们必须要有先了解Ｗｉｎｄｏｗｓ系统的另一种可执行文件.DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Ｗｉｎｄｏｗｓ的基础（所有的API函数都是在DLL中实现的）。它本身并没有程序逻辑，使是由多个功能函数构成，不能独立运行，必须由其它进程加载并调用的。了解这些后我们就好分析了，安装这些“问题”软件的时候，他们把系统里一些DLL文件用自身所带的新版本和旧版本的DLL文件覆盖了，这样能够保证它自身的运行正常。但问题就出在这，我们系统里的其他一些软件和系统本身需要以前版本的DLL文件才能正常运行，现在的版本变了，出错就在所难免了。这时笔者就想能不能把不同版本的DLL文件都放在同一个系统里面，使不同的软件调用不同的版本互相不干扰，这样这些软件不就可以和平共处了吗！接下来笔者就开始着手如何让两个不同的版本的DLL在一个系统中共存的问题。

这里我们以IBM语音识别系统4.0版为例给大家讲解。这个软件在windows98第一版中一直运行良好，但安装在Ｗｉｎｄｏｗｓ98第二版中就会出现问题。表现为使用该软件后系统中的其它软件如IE、OE、记事本就会报“KERNEL32.dll和OLEAUT32.DLL还有MFC42.DLL发现不明问题无法使用”这就是明显的DLL系统文件冲突。发生冲突的DLL文件是kernel32.dll,oleaut32.dll和mfc42.dll这三个文件。这时我们可以到X:\windows\system（x为windows所在盘符）中找到这三个文件并把它们复制下来，如果找不到这三个文件就必须从/开始/设置/文件夹选项/查看/在隐藏文件里选择显示所有文件，然后就可以找到了。接下来就是最关键的地方了，一般每个安装的软件都会在自己的根文件夹里有一个用来存放DLL文件的专门文件夹，文件夹的名字不一定，要自己找。IBM语音识别系统的这个文件夹是x:\ViaVoice中的bin文件夹，把刚才复制的三个文件粘贴到这个文件夹里。然后用系统文件检查器（打开的方法是开始/程序/附件/系统工具/系统信息/工具/系统文件检查器）选择从安装光盘提取一个文件，把上面的三个文件分别指定到你要恢复的系统文件框里。注意：恢复的时候要使用Ｗｉｎｄｏｗｓ安装光盘。点开始，在“还原自”里写你的windows安装盘地址，在“将文件保存到”里写x:\windows\system,点确定开始恢复文件。这样我们就可以恢复IE、OE、记事本这些软件所需的DLL文件了。

重新启动计算机后看看以前不能运行的软件现在是不是又像以前那样富有活力了。除了语音识别系统外其它很多的软件都可以用这种方法来解决DLL冲突的问题，成功与否主要是看你能不能找到这个软件在根文件夹存放DLL文件的文件夹。这些软件一般启动的时候都是首先从这个文件夹里寻找他们所需的DLL文件，然后才到Ｗｉｎｄｏｗｓ系统里SYSTEM文件夹中寻找。这样的话我们就可以实现不同版本的DLL文件在同一系统里供不同软件调用了。从这件事情可以看出，电脑中有很多事情都不像我们想象中的那样复杂，只要我们大家都多多动脑筋思考问题，很多事情其实很简单。

黑客是如何组织一次DDoS攻击的？   

    这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：

1. 搜集了解目标的情况

    下列情况是黑客非常关心的情报：
被攻击目标主机数目、地址情况
目标主机的配置、性能
目标的带宽
    对于DDoS攻击者来说，攻击互联网上的某个站点，如http://www.mytarget.com，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供http://www.yahoo.com服务的：

66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86

    如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到http://www.yahoo.com的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。

    所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。

    但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。

2. 占领傀儡机

    黑客最感兴趣的是有下列情况的主机：
链路状态好的主机
性能好的主机
安全管理水平差的主机
    这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。

    首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。

    总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。

3. 实际攻击

    经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~ ，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。

    老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。

自己顶

我也来顶顶!!

该用户帖子内容已被屏蔽