2004年10月21日 #
2004年10月13日 #
Win2003:应用注册表和文件系统
本文介绍了如何在从 Windows NT 4.0 升级至 Windows Server 2003 的计算机上应用注册表“访问控制列表”(ACLs) 和文件系统 ACL。
将基于 Windows NT 4.0 的计算机升级至 Windows Server 2003 时,“Windows 安装程序”不会更改该注册表和文件系统 ACL。Windows Server 2003 允许更高级别的安全性,并且它处理注册表和文件系统权限的方式有别于 Windows NT 4.0。Microsoft 建议您将 Windows 2003 ACL 应用到从 Windows NT 4.0 升级的计算机上。
要应用注册表和文件系统 ACL,您可以使用“安全配置和分析”管理单元。请注意,您必须是“Administrators”组的成员,才能执行此过程。
如何在从 Windows NT 4.0 升级至 Windows Server 2003 的计算机上应用默认的系统安全设置以“Administrator”或“Administrators”组成员的身份登录。
单击开始,单击运行,在打开 框中键入 mmc,然后单击确定。
在文件菜单上,单击“添加/删除管理单元”。
单击添加、“安全配置和分析”、添加,单击关闭,然后单击确定。
在控制台树中,右键单击“安全配置和分析”,然后单击打开数据库。
指定数据库的名称(例如,upgdbase)和位置,然后单击打开。
在屏幕上出现的导入模板 对话框中,单击设置 Security.inf,然后单击打开。
右键单击“安全配置和分析”,然后单击现在分析计算机。
在屏幕上出现的执行分析 对话框中,接受“错误日志文件路径”框中显示的默认日志文件路径,或指定所需的位置,然后单击确定。
将对该模板安全设置与现有的计算机设置进行比较。
备注:此时,不会对计算机进行任何更改。此过程的结果表明模板中的安全设置与实际系统设置有何区别。
完成分析时,展开控制台树中的各个组件,例如:帐户策略、本地策略、事件日志、受限制的组,以及系统服务。
对于在第 10 步中展开的每个组件,请在策略 列的右窗格中查看它的安全属性项,而且要注意以下几点:
带有绿色选中标记的项表示当前计算机设置与数据库中的安全设置相同。
带有红色“x”的项表示当前计算机设置与数据库中的安全设置不同。
如果未显示绿色选中标记或红色“x”,则未在模板中定义此安全属性,并且也没对其进行分析。
如果您要添加或修改数据库设置,请右键单击要添加或修改的安全属性,然后单击属性。单击“在数据库中定义这个策略”复选框,将其选中(如果尚未选中),对策略设置进行所需更改,然后单击确定。
备注:数据库设置 列会显示模板中包含的安全设置,计算机设置 列会显示计算机的当前设置。
要将计算机配置为使用数据库中的安全设置,请右键单击“安全配置和分析”,然后单击现在配置计算机。
在屏幕上出现的配置系统 对话框中,接受默认的路径和日志文件名,或者,键入需要的路径和文件名,然后单击确定。
安全数据库配置会应用于计算机。
备注:如果该数据库项目和计算机上的现有安全配置之间存在冲突,除非您在配置计算机之前消除二者之间的区别,否则将改写现有项目。
windows2003优化小贴士
1.禁用配置服务器向导
禁止“配置你的服务器”(Manage Your Server)向导的出现:在控制面板(Control Panel) -> 管理员工具(Administrative Tools )-> 管理你的服务器(Manage Your Server)运行它,然后在窗口的左下角复选“
登录时不要显示该页”(Don't display this page at logon)。
2.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现
在IE工具选项中自定义设置IE的安全级别。在”安全“(Security)选项卡上拉动滚动条把Internet区域安全设置为”中“(Medium)或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。
3.禁用关机事件跟踪
开始 -> 运行 -> gpedit.msc -> Computer configuration -> Administrative Templates -> System -> Display shutdown event tracker -> 设置为 Disable。
如果是中文版,则:开始 -> 运行 -> gpedit.msc->计算机配置 -> 管理模板 -> 系统 -> 显示关机事件跟踪 -> 禁用。
4. 禁用开机 CTRL+ALT+DEL和实现自动登陆
方法1:打开注册表(运行->“Regedit”),再打开:
HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windows NT|CurrentVersion |Winlogon段,在此段中按右键,新建二个字符串段,AutoAdminLogon=“1”,DefaultPassword=“为超级用户Administrator所设置的Password”。
注意,一定要为Administrator设置一个密码,否则不能实现自启动。 然后,重新启动Windows即可实现自动登录。
方法2:管理工具 -> Local Security Settings(本地安全策略) -> 本地策略 -> 安全选项 -> interactive logon: Do not require CTRL+ALT+DEL,启用之。
方法3(自动登陆):使用Windows XP的Tweak UI来实现Server 2003自动登陆。
下载:Tweak UI http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe
下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名(如果没有就不写),点击下面的Set Password,输入用户名的密码,然后点击OK。
5.启用硬件和DirectX加速
★硬件加速:桌面点击右键--属性(Properties) -> 设置(Settings )--高级( Advanced )--疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定”(OK)保存退出。这期间可能出现一瞬的黑屏是完全正常。
★DirectX加速:打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具”(DirectX Tools),在“显示”(Display)页面,点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速级别”(Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration)。
6.启用桌面主题和隐藏文件
打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,选themes“主题”(默认是禁止的),然后改为“自动”,按“应用”,选“开启”。接着点“桌面”的属性,在“主题”里选“windows xp”Windows Server 2003默认显示所有的文件夹,如果可以通过以下方法来隐藏:打开任意一个文件夹,选择“工具” -> “文件夹选项” -> “查看”,选择“不显示隐藏的文件和文件夹”,点击“确定”。
7.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务
★启用Windows内置的IMAPI CD-Burning服务:打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“IMAPI CD-Burning COM Service ”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
★假如你有如数码相机和扫描仪之类的影像设备,应该打开Windows Image Acquisition 服务。
打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“Windows Image Acquisition (WIA) ”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
8.高级设置
★禁用错误报告
右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--点击“错误报告”(Error Reporting )按钮,在出现的窗口中把“禁用错误报告”(Disable Error Reporting)选上并复选“但在发生严重错误时通知我”(But, notify me when critical errors occur.)
★调整虚拟内存
一些朋友经常会对关机和注销缓慢感到束手无策,解决办法就是禁用虚拟内存,这样你的注销和关机时间可能会加快很多。右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能(Performance)--设置(Setting)--高级(Advanced),点击“虚拟内存”(Virtual memory)部分的“更改”(Change),然后在出现的窗口选择“无分页文件”。重启系统即可。
9.加快启动和运行速度
**修改注册表,减少预读取,减少进度条等待时间:开始→运行→regedit启动注册表编辑器,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\Memory Management\PrefetchParameters, 有一个键值名为EnablePrefetcher,它的值是3,把它改为“1”或“5”。
找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control,
将 WaitToKillServiceTimeout 设为:1000或更小。 ( 原设定值:20000 )
找到 HKEY_CURRENT_USER\Control Panel\Desktop 键,将右边视窗的WaitToKillAppTimeout 改为 1000, ( 原设定值:20000 )即关闭程序时仅等待1秒。
将 HungAppTimeout 值改为:200( 原设定值:5000 ), 表示程序出错时等待0.5秒。
**让系统自动关闭停止回应的程式。
打开注册表 HKEY_CURRENT_USER\Control Panel\Desktop 键,
将 AutoEndTasks 值设为 1。 ( 原设定值:0 )
**禁用系统服务Qos
开始菜单→运行→键入 gpedit.msc ,出现“组策略”窗口, 展开 "管理模板”→“网络” , 展开 "QoS 数据包调度程序", 在右边窗右键单击“限制可保留带宽" ,在属性中的“设置”中有“限制可保留带宽" ,选择“已禁用”,确定即可。当上述修改完成并应用后,用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler(QoS 数据包调度程序)"。说明修改成功,否则说明修改失败。
**改变窗口弹出的速度:
找到HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子键分支,在右边的窗口中找到MinAniMate键值,其类型为REG_SZ,默认情况下此健值的值为1,表示打开窗口显示的动画,把它改为0,则禁止动画显示,接下来从开始菜单中选择“注销”命令,激活刚才所作的修改。
**禁止Windows XP的压缩功能:
点击“开始”下的“运行”,在“运行”输入框中输入“regsvr32/u zipfldr.dll”,然后按回车键即可。
**设置个性的启动信息或警告信息:
个性化的Windows XP启动:打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon子键分支,双击LegalNoticeCaption健值,打开“编辑字符串”对话框,在“数值数据”下的文本框中输入自己想要的信息标题,如“哥们儿,你好!”,然后点击“确定”,重新启动。
如果想要改变警告信息的话可以双击LegalNoticeText健值名称,在出现的“编辑字符串”窗口中输入想要显示的警告信息,单击“确定”,重新启动。
10.可用的杀毒软件和防火墙:
Symantec Norton Antivirus Corporate 8.01
Zone Alarm 3.7.159
Norton Personal Firewall 2003
在使用Windows Server 2003自带的IE浏览器浏览网页时,每次都会出现一个安全提示对话框,其实这是因为微软把IE的默认安全级别设置为“高”。通过在IE的“Internet选项”对话框中选择“安全”标签,并在“Internet”的“该区域的安全级别”处拖动滚动条把它设置为“中”就可以取消安全提示对话框。
2.启用Windows XP桌面主题
在“开始”菜单的“运行”对话框中输入services.msc命令进入“服务”配置操作窗口。双击右窗口中的“Themes”服务并在弹出的窗口中选择“常规”标签,在“启动类型”下拉菜单中选择“自动”,然后分别单击“应用”和“启动”按钮开启Windows XP桌面主题功能。最后在“显示”属性窗口中就可以选择相应的桌面主题。
3.登录系统不用按“Ctrl+Alt+Del”组合键
单击“开始”菜单中的“管理工具→本地安全策略”进入“本地安全设置”操作窗口。在左窗口中依次选择“本地策略→安全选项”,在右窗口中双击“交互式登录:不需要按Ctrl+Alt+Del”并在弹出的窗口中选择“已启用”。
在关闭Win2003时不选择原因使用过Windows Server 2003(以下简称Win 2003)的朋友都会遇到同一个问题:每次在关闭Win 2003时,系统都会弹出一个提示窗口,要求选择或输入关闭计算机的原因。这都是启用“事件跟踪程序”功能惹的麻烦,虽然此举可以增强系统的安全性,方便用户更有效地管理和维护计算机。但是,笔者认为对于个人用户,这个功能却完全没有必要。我们可以用下面三种方法来禁用该功能。
1.注册表法
在“开始→运行”中键入“Regedit”打开“注册表编辑器”,展开分支“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindows NT”,新建一个名为“Reliability”的项,接着新建一个名为“ShutdownReasonOn”的DWORD值,将它的值设为0即可。
2.组策略法
在“开始→运行”中键入“gpedit.msc”打开组策略窗口,展开“‘本地计算机’策略→计算机配置→管理模板→系统”,接着双击“显示‘关闭事件跟踪程序’”项,在弹出窗口中勾选“已禁用”项即可。
3.系统设置法
打开“控制面板→电源选项”,进入“高级”选项卡,在其中的“电源按钮”设置区域中,将“在按下计算机电源按钮时”设置为“关机”,然后单击“确定”按钮即可。这样,以后在关机时,直接按下机箱上的电源按钮,计算机就会在保存配置后直接关闭了。
一、windows server 2003 3790版本识别
RTM=release to manufacture (公开发行批量生产)是给硬件制造商的版本!是送去压盘的,不是拿去卖的。
OEM=Original Equipment Manufacturer只能全新安装, 和RTM差不多,只(零售)正式零售版,可以升级或者全新安装。
VLK=Volume License大量授权版,又称为企业版。无需激活。(网上所谓的简体中文VLK版实际是普通简体中文版加英文VLK版中的8个文件而已)
二、Windows Server 2003的不同版本
Windows Server 2003 Web版:为快速开发、部署Web服务与应用程序,提供Web托管与服务平台。支持2路SMP(对称多处理)系统、2GB内存。
Windows Server 2003标准版:面向中小型企业和部门级应用。支持4路SMP、4GB内存。
Windows Server 2003企业版:适合中心与大型组织使用,有32位和64位两个版本。支持8节点集群、NUMA;支持8路SMP,其中32位版支持32GB内存,64位版支持64GB内存。
Windows Server 2003数据中心版:面向要求强伸缩性和高可用性的企业,有32位和64位两个版本。32位版支持32路SMP、64GB内存;64位版支持64路SMP、512GB内存;两个版本均支持8节点集群、NUMA
三、windows server 2003 3790版的激活
在正式版算号器没有出来之前,现在流行的激活方式有以下几种:
(1)Reset5.02,在安全模式下运行即可激活,把时间调整为2008年都没有问题,一切使用正常。可以升级。缺点:激活程序被彻底屏蔽,表现为运行msoobe /a没有任何显示,并且在服务中有一项reset5,开机会自动运行此服务,C:\WINDOWS\system32\srvany.exe,此程序应该是reset5添加入系统的。
(2)俄罗斯破解,记得在xp时代,只要把setupreg.hiv在安装前替换,然后电话激活就可以达到完美的激活境界,可在2003下,这样子做之后,当前显示已激活,可如果你调整了时间再开机又会显示要激活,甚至是不能使用。估计次次问题关键还是在那个setupreg.hiv文件。
(3)在论坛上有人贴出了一个Winxpactivation.exe的文件,号称可以激活,实际上这个还是假激活,暂时屏蔽了激活程序,是不能够修改时间的。
(4)用替换法做出来的伪VLK,安装使用都没有问题,只是不能升级。VLK是替换英文版的8个文件.但是SN已经被微软封掉了.所以不能升级,但是此法是最稳定的,没有任何问题。
结论:推荐大家用8个替换法激活和reset5.02激活!
四、win 2003 server的一些优化设置
1.禁用配置服务器向导:
禁止“配置你的服务器”(Manage Your Server)向导的出现:在控制面板(Control Panel) -> 管理员工具(Administrative Tools )-> 管理你的服务器(Manage Your Server)运行它,然后在窗口的左下角复选“ 登录时不要显示该页”(Don't display this page at logon)。
2.启用硬件和DirectX加速
★硬件加速:桌面点击右键--属性(Properties) -> 设置(Settings )--高级( Advanced )--疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定”(OK)保存退出。这期间可能出现一瞬的黑屏是完全正常。
★DirectX加速:打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具”(DirectX Tools),在“显示”(Display)页面,点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速级别”(Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration)。
3. 启用声卡:
系统安装后,声卡是禁止状态,所以要在 控制面板 -> 声音 -> 启用,重启之后再设置它在任务栏显示。如果你使用的是Windows server 2003标准版请从第二步xx作,因为标准版已允许声音服务。
★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“Windows Audio”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic), 并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
★打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具” (DirectX Tools),在“Sound”(Display)页面,把“声音的硬件加速级别” (Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration)。
4. 如何启用 ASP 支持:
Windows Server 2003 默认安装,是不安装 IIS 6 的,需要另外安装。安装完 IIS 6, 还需要单独开启对于 ASP 的支持。方法是: 控制面板 -> 管理工具 -> Web服务扩展 -> Active Server Pages -> 允许。
5. 如何启用 XP 的桌面主题:
★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,选themes“主题”(默认是禁止的),然后改为“自动”,按“应用”,选“开启”。
★接着点“桌面”的属性,在“主题”里选“windows xp”
★我的电脑----属性----高级----性能-----在桌面上为图标标签使用阴影
6. 禁止关机时出现的关机理由选择项:
关机事件跟踪(Shutdown Event Tracker)也是Windows server 2003区别于其他工作站系统的一个设置,对于服务器来说这是一个必要的选择,但是对于工作站系统却没什么用,我们同样可以禁止它。 打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分, 选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates ) -> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止” (Disabled),点击然后“确定”(OK)保存后退出,这样,你将看到类似于windows 2000的关机窗口
7. 如何使用USB硬盘、U盘,添加已经有分区的硬盘
我的电脑(单击右键)----管理----磁盘管理-----在相应的硬盘上执行导入和分配盘符操作
8. 在控制面板里显示全部组件:
把 Windows\inf 目录中的 sysoc.inf 文件里的 "hide" 替换掉。
9.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现在IE工具选项中自定义设置IE的安全级别。在”安全“(Security)选项卡上拉动滚动条把Internet区域安全设置为”中“(Medium)或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。
10. 禁用开机 CTRL+ALT+DEL和实现自动登陆
★方法1:打开注册表(运行->“Regedit”),再打开:
HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windows NT|CurrentVersion |Winlogon段,在此段中按右键,新建二个字符串段,AutoAdminLogon=“1”,DefaultPassword=“为超级用户Administrator所设置的Password”。注意,一定要为Administrator设置一个密码,否则不能实现自启动。 然后,重新启动Windows即可实现自动登录。
★方法2:管理工具 -> Local Security Settings(本地安全策略) -> 本地策略 -> 安全选项 -> interactive logon: Do not require CTRL+ALT+DEL,启用之。
★方法3(自动登陆):使用Windows XP的Tweak UI来实现Server 2003自动登陆。
下载:Tweak UI
下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名(如果没有就不写),点击下面的Set Password,输入用户名的密码,然后点击OK。
11.隐藏文件
Windows Server 2003默认情况下是显示所有的文件夹的,如果你不想这样,可以通过一下方法来隐藏:打开任意一个文件夹,选择工具(Tools) -> 文件夹选项(Folder Options) -> 查看(View), 调整 显示系统文件夹的内容、隐藏受保护的操作系统文件、隐藏文件和文件夹 三项
12.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务
.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务★假如你希望启用Windows内置的IMAPI CD-Burning服务。做如下xx作:打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“IMAPI CD-Burning COM Service ”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
★假如你有如数码相机和扫描仪之类的影像设备,你应该打开Windows Image Acquisition 服务。打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“Windows Image Acquisition (WIA) ”并双击它,然后在启动模式(startup type )的下拉
菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)
13.高级设置
★我们可以修改一些windows server 2003的高级设置以适合工作站的应用环境。
右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能(Performance)--设置(Setting)--高级(Advanced),把“处理器计划”(Processor scheduling )和内存使用(Memory usage)分配给“程序”(Programs)使用。然后点击“确定”(OK.)
★禁用错误报告
右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--点击“错误报告”(Error Reporting )按钮,在出现的窗口中把“禁用错误报告”(Disable Error Reporting)选上并复选“ 但在发生严重错误时通知我”
(But, notify me when critical errors occur.)
★调整虚拟内存
一些朋友经常会对关机和注销缓慢感到束手无策,解决办法就是禁用虚拟内存,这样你的注销和关机时间可能会加快很多。右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能(Performance)--设置(Setting)--高级(Advanced),点击“虚拟内存”(Virtual memory)部分的“更改”(Change),然后在出现的窗口选择“无分页文件”。重启系统即可。
14.加快启动和运行速度
★修改注册表,减少预读取,减少进度条等待时间:
开始→运行→regedit启动注册表编辑器,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\Memory Management\PrefetchParameters, 有一个键值名为EnablePrefetcher,它的值是3,把它改为“1”或“5”。找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control, 将 WaitToKillServiceTimeout 设为:1000或更小。 ( 原设定值:20000
找到 HKEY_CURRENT_USER\Control Panel\Desktop 键,将右边视窗的WaitToKillAppTimeout 改为 1000, ( 原设定值:20000 即关闭程序时仅等待1秒。将 HungAppTimeout 值改为:200( 原设定值:5000 , 表示程序出错时等待0.5秒。
★让系统自动关闭停止回应的程式。
打开注册表 HKEY_CURRENT_USER\Control Panel\Desktop 键,将 AutoEndTasks 值设为 1。 ( 原设定值:0
★禁用系统服务Qos
开始菜单→运行→键入 gpedit.msc ,出现“组策略”窗口, 展开 "管理模板”→“网络” , 展开 "QoS 数据包调度程序", 在右边窗右键单击“限制可保留带宽" ,在属性中的“设置”中有“限制可保留带宽" ,选择“已禁用”,确定即可。当上述修改完成并应用后,用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler(QoS 数据包调度程序)"。说明修改成功,否则说明修改失败。
★改变窗口弹出的速度:
找到HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子键分支,在右边的窗口中找到MinAniMate键值,其类型为REG_SZ,默认情况下此健值的值为1,表示打开窗口显示的动画,把它改为0,则禁止动画显示,接下来从开始菜单中选择“注销”命令,激活刚才所作的修改。
★禁止Windows XP的压缩功能:
点击“开始”下的“运行”,在“运行”输入框中输入“regsvr32/u zipfldr.dll”,然后按回车键即可。
★设置个性的启动信息或警告信息:
个性化的Windows XP启动:打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon子键分支,双击LegalNoticeCaption健值,打开“编辑字符串”对话框,在“数值数据”下的文本框中输入自己想要的信息标题,如“哥们儿,你好!”,然后点击“确定”,重新启动。如果想要改变警告信息的话可以双击LegalNoticeText健值名称,在出现的“编辑字符串”窗口中输入想要显示的警告信息,单击“确定”,重新启动。
15.安装Java VM
Windows server 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。
16.安装DirectX 9a
在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前必须先启用DirectX and Graphics Acceleration。
17.可用的杀毒软件和防火墙:
Symantec Norton Antivirus Corporate 8.01
Zone Alarm 3.7.159
Norton Personal Firewall 2003
五、如何防范ipc$入侵
1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001。
restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
2、禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)修改注册表删除共享
运行-regedit
找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3、停止server服务
1)暂时停止server服务
net stop server /y (重新启动后server服务会重新开启)
2)永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4、安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等)
1).解开文件和打印机共享绑定
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。
2).利用TCP/IP筛选
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项],在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。
3).使用IPSec安全策略阻止对端口139和445的访问
选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地机器],在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。
4).使用防火墙防范攻击
在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击[确定]按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了(如图3)。
5、给所有账户设置复杂密码,防止通过ipc$穷举密码
Windows Server 2003技巧七则
一、跳过磁盘检修等待时间
一旦计算机因意外原因,例如突然停电或者死机的话,那么计算机下次重新启动的话,系统就会花10秒钟左右的时间,来运行磁盘扫描程序,检查磁盘是否有错误出现。要是你是一位惜时如金的人,肯定不会白白等待下去的。那就跟我一起来,跳过这段检查等待时间吧:
1、在开始菜单中,依次执行“程序”/“附件”/“命令提示符”命令,将界面切换到DOS命令行状态下;
2、直接输入“CHKNTFS/T :0”命令,单击回车键后,系统就能自动将检查磁盘的等待时间修改为0了;
3、下次遇到异常情况,重新启动计算机后,系统再调用磁盘扫描程序时,就不需要等待了。
二、取消对网站的安全检查
新安装好Windows Server 2003操作系统后,打开浏览器来查询网上信息时,发现IE总是“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;要是不信任的话,就无法打开指定网页;倘若信任的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。不过每次访问网页,都要经过这样的步骤,显然就太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查:
1、依次执行“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,用鼠标双击“添加和删除程序”图标,将界面切换到“添加和删除Windows组件”页面中;
2、用鼠标选中“Internet Explorer增强的安全配置”选项,继续单击下一步按钮,就能将该选项从系统中删除了;
3、再单击一下“完成”按钮,退出组件删除提示窗口。
以后,再上网的时候,IE就不会自动去检查网站的安全性了,这样就能少了不少麻烦。
三、自动进入Windows Server 2003系统
每次开机运行Windows Server 2003系统时,都需要同时按住Ctrl+Alt+Delete复合键,再输入登录密码,才能进入到系统中;要是需要频繁登录系统的话,大家可能就会受不了这样罗嗦的步骤了。此时,大家不妨按照下面的步骤,来让系统自动完成登录操作:
1、在运行对话框中,输入注册表编辑命令regedit,来打开注册表编辑窗口;
2、在该窗口中,依次展开HKEY_LOCAL_MACHINES\SOFTWARE\Microsoft\WindowsNT\Current Version\WinLogon键值;
3、在对应右边的子窗口中,用鼠标右键单击空白处,从弹出的快捷菜单中,依次执行“新建”/“字符串”命令,来创建一个字符串类型的键名,并将键名设置为“AutoAdminLogon”,并将该键名的数值设置为“1”;
4、找到“DefaultDomainName”键名,并用鼠标双击之,在随后出现的窗口中,输入要登录的域名,例如Department;
5、双击“DefaultUserName”键名,在随后打开的窗口中,直接输入要登录到此域的用户名,例如“test”;
6、在WinLogon右边的子窗口中,用鼠标右键单击空白处,从弹出的快捷菜单中,依次执行“新建”/“字符串”命令,来创建一个字符串类型的键名,并将键名设置为“DefaultPassword”,并将该键名的数值设置为用户登录系统的密码,例如用户test的登录密码为“123456”;
7、完成设置后,重新启动计算机时,我们会发现不需要再登录,就能自动进入到Windows Server 2003系统中了。以后要取消自动登录功能的话,可以将“AutoAdminLogon”键值设置为“0”就可以了。
四、取消关机原因的提示
在关闭Windows Server 2003操作系统时,系统会弹出一个提示窗口,要求大家选择关闭计算机的原因选项;尽管这种方法可以增强系统的安全性,确保用户更有效地管理和维护计算机;不过每次关机或者重新启动系统,都要选择关机原因,实在没有必要。所以,为了进快地关闭计算机,大家可以按下面步骤来取消关机原因的提示:
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
五、调用Windows XP风格界面
安装完Windows Server 2003系统进入到桌面时,我们会发现系统桌面的显示样式为“Windows经典样式”。看惯了这种样式后,就会感觉到有点乏味,想不想改变一下桌面的显示风格?要是你企图通过显示属性的外观设置中,来调用其他风格界面时,就发现此“路”不通;通过组策略来调用时,发现只有当前样式可以选择。那么我们有没有办法来调用其他风格样式呢,例如Windows XP样式?按照下面方法,我们就能轻松实现调用目的:
1、在系统的开始菜单中,依次展开控制面板、管理工具和服务窗口,在对应服务的右边子窗口中,用鼠标选中“Themes”选项;
2、仔细查看该选项的参数时,发现该服务在缺省状态下是被禁止使用的,因此我们就无法调用其他风格样式;
3、为此,我们必须启动该服务;用鼠标双击该服务选项,然后打开常规标签页,将对应该服务的启动类型设置为“自动”,再点一下“应用”按钮;
4、此时,“服务状态”设置项中的“启动”按钮就自动被激活了,单击该“启动”按钮,就能将系统中的Themes服务起用了;
5、返回到系统桌面,并用鼠标右键单击空白处,从快捷菜单中执行“属性”命令,再打开外观标签页面,在其中的“窗口和按钮”处,选中Windows XP样式或者其他显示样式。
6、至此,系统中的工具栏菜单、窗口等样式就会按照指定的风格来显示了。
六、调整Windows Media Player的播放模式
要是在使用Windows Media Player播放音乐的同时,我们还打开了多个工作窗口,这样我们就会经常需要在工作窗口和WMP播放界面中来回切换,这样会大大影响工作效率。现在,可以通过下面方法来调整WMP的播放模式,让操作者不需要打开WMP的主界面就能控制音乐的播放,以便不影响其他工作窗口:
1、用鼠标右键单击系统任务栏中的空白处,从打开的快捷菜单中,执行“工具栏”下面的“Windows Media Player”命令;
2、此后,Windows Media Player界面中的播放按钮就会自动缩小并显示在系统任务栏中了,利用这里的按钮,我们就能执行音乐的播放、暂停、上一首或者下一首命令了;
3、通过这种调整,我们再也用不着手忙脚乱地在程序窗口和WMP播放界面中,来回切换了。
七、为指定组添加新用户
想在Windows Server 2003系统中添加新用户时,发现该系统控制面板窗口中却没有我们非常熟悉的“用户”图标,那么我们该从哪里着手,才能为系统的指定组添加新用户呢?呵呵,Windows Server 2003看来就是不一样!笔者经过几次摸索,发现为指定组添加新用户的方法,具体步骤如下:
1、用鼠标右键单击桌面上的“我的电脑”图标,从打开的快捷菜单中,执行“管理”命令,弹出一个计算机管理窗口;
2、展开该窗口中的“本地用户和组”文件夹,然后选中该文件夹下面的“用户”选项,此时在右边的子窗口中,我们就能看到当前系统中已经存在的所有用户了,其中标有红色叉号的用户表示已经创建但并没有启用;
3、用鼠标右键单击右边子窗口的空白处,从右键菜单中执行“添加新用户”命令,在随后出现的窗口中,输入需要添加的用户的相关信息,最后单击一下“创建”按钮,来结束新用户的添加工作;
4、要想让该用户添加到指定组的话,可以选择“组”选项,再从右边的子窗口中,选中需要加入的组名称,并用鼠标右击之,执行快捷菜单中的“添加到组”命令;
5、在随后出现的界面中,再单击“添加”命令,将前面创建的用户添加进来就可以了。
在众多服务程序中他们很多是互相依存的,所以我们不能随便的便停止某项服务,否则很可能造成系统的非正常情况出现,但是有的服务对我们来说的确没有什么作用,而且还占据着我们宝贵的系统资源,其实有很多程序是我们用不到的,可以关闭,从而达到节省资源的目的。
Alert(警报器)
通知选取的使用者及计算机系统管理警示。如果停止这个服务,使用系统管理警示的程序将不会收到通知。所有依存于它的服务将无法启动。一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts),除非你的计算机用在局域网络上
依存:Workstation
建议:停用
Application Layer Gateway Service
提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉
依存:Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议:停用
Application Management (应用程序管理)
从win2000开始引入的一种基于msi文件格式的全新有效软件管理方案--应用程序管理组件服务,不仅可可以管理软件的安装、删除,还可以使用此服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等。
建议:手动
Automatic Updates
启用重要 Windows 更新的下载及安装。如果停用此服务,可以手动的从 Windows Update 网站上更新操作系统。允许 Windows 于背景自动联机之下,到 Microsoft Servers 自动检查和下载更新修补程序
建议:停用
Background Intelligent Transfer Service
使用闲置的网络频宽来传输数据。 经由 Via HTTP1.1 在背景传输资料的东西,例如 Windows Update 就是以此为工作之一
依存:Remote Procedure Call (RPC) 和 Workstation
建议:停用
ClipBook (剪贴簿)
启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止,剪贴簿检视器将无法与远程计算机共享信息。任何明确依存于它的服务将无法启动。 把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到
依存:Network DDE
建议:停用
COM+ Event System (COM+ 事件系统)
支持"系统事件通知服务 (SENS)",它可让事件自动分散到COM 组件。如果服务被停止,SENS 会关闭,并无法提供登入及注销通知,任何明显依存它的服务都无法启动。有些程序可能用到 COM+ 组件,像 BootVis 的 optimize system 应用,如事件检查内显示的 DCOM 没有启用
依存:Remote Procedure Call (RPC) 和 System Event Notification
建议:手动
COM+ System Application
管理 COM+ 组件的设定及追踪。如果停止此服务,大部分的 COM+ 组件将无法顺利运行。任何明确依存它的服务将无法启动。如事件检查内显示的 DCOM 没有启用
依存:Remote Procedure Call (RPC)
建议:手动
Computer Browser (计算机浏览器)
维护网络上更新的计算机清单,并将这个清单提供给做为浏览器的计算机。如果停止这个服务,这个清单将不会被更新或维护。如果停用这个服务,所有依存于它的服务将无法启动。 一般家庭用计算机不需要,除非你的计算机应用在局域网之上,不过在大型的局域网上有必要开这个拖慢速度吗?
依存:Server 和 Workstation
建议:停用
Cryptographic Services
提供三个管理服务: 确认 Windows 文件认证的; 从这个计算机新增及移除受信任根证认证授权凭证的; 以及协助注册这个计算机以取得凭证的 。如果这个服务被停止,这些管理服务将无法正确工作。任何明确依存于它的服务将无法启动。简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证,如果你有使用 Automatic Updates ,那你可能需要这个
依存:Remote Procedure Call (RPC)
建议:手动
DHCP Client (DHCP 客户端)
透过登录及更新 IP 地址和 DNS 名称来管理网络设定。使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP,如果系统不在任何网络之中,或者网络中没有DHCp服务,那么可以设置为停用。
依存:AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP
建议:手动
Distributed Link Tracking Client (分布式连结追踪客户端)
维护计算机中或网络内不同计算机中 NTFS 档案间的连结。对于绝大多数用户来说,形同虚设,可以关闭,特殊用户除外。
依存:Remote Procedure Call (RPC)
建议:停用
Distributed Transaction Coordinator (分布式交换协调器)
协调跨越多个资源管理员的信息交换,比如数据库、消息队列及档案系统。如果此服务被停止,这些交易将不会发生。任何明显依存它的服务将无法启动。如上所说的,一般家庭用计算机用不太到,除非你启用的 Message Queuing
依存:Remote Procedure Call (RPC) 和 Security Accounts Manager
建议:停用
DNS Client (DNS 客户端)
解析并快速取得这台计算机的域名系统 (DNS) 名称。如果停止这个服务,这台计算机将无法解析 DNS 名称并寻找 Active Directory 网域控制站的位置。所有依存于它的服务将无法启动。 如上所说的,另外 IPSEC 需要用到
依存:TCP/IP Protocol Driver
建议:停用
Error Reporting Service
允许对执行于非标准环境中的服务和应用程序的错误报告。微软的应用程序错误报告服务,对于大多数用户来说也没什么用处,对于盗版用户来说更没什么用处,建议停用。
依存:Remote Procedure Call (RPC)
建议:停用
Event Log (事件记录文件)
启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。允许事件讯息显示在事件检视器之上。
依存:Windows Management Instrumentation
建议:自动
Fast User Switching Compatibility
在多使用者环境下提供应用程序管理。另外像是注销画面中的切换使用者功能,一般建议不要停止,否则很多功能无法实现。
依存:Terminal Services
建议:手动
Help and Support
微软提供的可以支持说明和帮助文件的服务。如果这个服务停止,将无法使用说明及支持中心。它的所有依存服务将无法启动。 如果不使用就关了吧,现实中证明没有多少人需要它,除非有特别需求,否则建议停用。
依存:Remote Procedure Call (RPC)
建议:停用
Human Interface Device Access
启用对人体工程学接口装置 (HID) 的通用输入存取,HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用,任何明确依存于它的服务将无法启动。如果没有什么HID装置,可以停用
依存:Remote Procedure Call (RPC)
建议:手动
IMAPI CD-Burning COM Service
使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘刻录。如果这个服务被停止,这个计算机将无法刻录光盘。任何明确地依赖它的服务将无法启动。 XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快 Nero 的开启速度,如果不习惯使用第三方软件,请保留。
建议:停用
Indexing Service (索引服务)
本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。 简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧,除非特殊工作
依存:Remote Procedure Call (RPC)
建议:停用
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和防止干扰的服务。如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉
依存:Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
建议:停用
IPSEC Services (IP 安全性服务)
管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (VPN) 中提供安全性,而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的
依存:IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建议:手动
Logical Disk Manager (逻辑磁盘管理员)
侦测及监视新硬盘磁盘,以及传送磁盘区信息到逻辑磁盘管理系统管理服务以供设定。如果这个服务被停止,动态磁盘状态和设定信息可能会过时。任何明确依存于它的服务将无法启动。磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能
依存:Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service
建议:自动
Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务)
设定硬盘磁盘及磁盘区,服务只执行设定程序然后就停止。使用 Microsoft Management Console(MMC)主控台的功能时才用到
依存:Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager
建议:手动
Messenger (信使服务)
在客户端及服务器之间传输网络传送及 "Alerter]"服务短信。这个服务与 Windows Messenger 无关。如果停止这个服务,Alerter 讯息将不会被传输。所有依存于它的服务将无法启动。比如网络之间互相传送提示信息的功能,net send 功能,如不想被骚扰话可关了。
依存:NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建议:停用
MS Software Shadow Copy Provider
管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制。任何明确依存于它的服务将无法启动。如上所说的,用来备份的东西,如 MS Backup 程序就需要这个服务,但是大多数人用不到这个功能。
依存:Remote Procedure Call (RPC)
建议:停用
Smart Card
管理这个计算机所读取智能卡的存取。如果这个服务被停止,这个计算机将无法读取智能卡。任何明确依存于它的服务将无法启动。 如果你不使用 Smart Card ,那就可以关了
依存:Plug and Play
建议:停用
Smart Card Helper (智能卡协助程序)
启用对计算机使用的旧版非即插即用智能卡读取的支持。如果这个服务被停止,这个计算机将不支持旧版smart card。任何明确依存于它的服务将无法启动。 如果你不使用 Smart Card ,那就可以关了
建议:停用
SSDP Discovery Service
在您的家用网络上启用通用即插即用设备的搜索。通用即插即用服务 (Universal Plug and Play, UPnP) 让计算机可以找到并使用网络上的装置,经由网络连接通过 TCP/IP 来搜索装置,像网络上的扫瞄器、数字相机或是打印机,都是使用 UPnP 的功能,基于安全性没用到的大可关了。不过现在数码设备很流行,需要的用户可以保留
依存:Universal Plug and Play Device Host
建议:停用
System Event Notification (系统事件通知)
追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM+ 事件系统订阅者。对于服务器尤其重要。
依存:COM+ Event System
建议:自动
System Restore Service
执行系统还原功能。若要停止服务,从我的电脑--属性--系统还原 中关闭系统还原因人而定,本人觉得比较浪费资源,可以关掉。
依存:Remote Procedure Call (RPC)
建议:停用
Task Scheduler
让用户能够在这个计算机上设定自动的工作的计划,并执行。如果停止这个服务,这些工作在它们设定的时间时将不会执行。任何明确依存于它的服务将无法启动。设定自动的工作计划,像一些定时磁盘扫瞄、病毒定时扫瞄、更新等等,但是一般都很少用,可以关闭
依存:Remote Procedure Call (RPC)
建议:手动
TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序)
启用NetBIOS over TCP/IP (NetBT)]服务及NetBIOS名称解析的支持。如果你的网络不使用 NetBios或是WINS,你大可关闭,对于不太了解网络情况的用户建议保留,否则可能导致你的网络出现问题。
依存:AFD 网络支持环境、NetBt
建议:停用
Telephony (电话语音)
为本机及经由局域网络连接到正在执行此服务的服务器,控制电话语音装置和 IP 语音连接的服务,提供电话语音 API (TAPI) 支持。一般的拨号调制解调器或是一些 DSL/Cable 可能用到
依存:Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager
建议:手动
Telnet
启用一个远程使用者来登入到这台计算机和执行应用程序,以及支持各种 TCP/IP Telnet 客户端,包含以UNIX为基本和以 Windows 为基本的计算机。如果服务停止了,远程使用者可能无法存取应用程序。任何明确地依存于这项服务的其它服务将会启动失败。允许远程用户用 Telnet 登入本计算机,一般人会误解关了就无法使用BBS,这其实和BBS无关,基于安全性的理由,如果没有特别的需求,建议最好关了
依存:NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建议:停用
Terminal Services (终端服务)
允许多位使用者连接到同一部计算机、桌面及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。远程桌面或是远程协助的功能,不需要就关了,目前该服务也导致了很多网络服务器的安全性问题。
依存:Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon
建议:停用
Themes
提供使用者主题管理。 很多人使用布景主题,打造个性化的系统,不过如果没有使用的人,那就可以关闭。
建议:自动
Uninterruptible Power Supply (不断电供电系统)
管理连接到这台计算机的不间断电源供应 (UPS)。不间断电源供应 (UPS)一般人有用到吗?除非你的电源供应器有具备此功能,不然就关了
建议:停用
Universal Plug and Play Device Host
提供主机通用即插即用装置的支持。用来侦测安装通用即插即用服务 (Universal Plug and Play, UPnP)装置,像是数字相机或打印机,现在很多设备都需要这个。
依存:SSDP Discovery Service
建议:自动
Volume Shadow Copy
管理及执行用于备份和其它目的的磁盘镜像复制。如果这个服务被停止,镜像复制将无法用于备份,备份可能会失败。任何明确依存于它的服务将无法启动。如上所说的,用来备份的东西,如 MS Backup 程序就需要这个服务
依存:Remote Procedure Call (RPC)
建议:停用
WebClient
启用 Windows 为主的程序来建立、存取,以及修改因特网为主的文件。如果停止这个服务,这些功能将无法使用。任何明确依存于它的服务将无法启动。使用 WebDAV 将档案或文件上载到所有的 Web 服务,基于安全性的理由,你可以尝试关闭
依存:WebDav Client Redirector
建议:停用
Windows Audio
管理用于 Windows 为主程序的音讯装置。如果这个服务被停止,音讯装置和效果将无法正常运作。任何明确依存于它的服务将无法启动。如果你没有声卡可以关了他,但是现在的个人电脑不会没有声卡吧?
依存:Plug and Play、Remote Procedure Call (RPC)
建议:自动
Windows Image Acquisition (WIA) (Windows影像取得程序)
为扫描仪和数码相机提供影像采集服务。如果扫描仪和数字相机内部具有支持WIA功能的话,那就可以直接看到图档,不需要其它的驱动程序,所以没有扫描仪和数字相机的使用者大可关了
依存:Remote Procedure Call (RPC)
建议:停用
Windows Installer (Windows 安装程序)
根据包含在 .MSI 档案内的指示来安装,修复以及移除软件。是一个系统服务,协助使用者正确地安装、设定、追踪、升级和移除软件程序,可管理应用程序建立和安装的标准格式,并且追踪例如档案群组、登录项目及快捷方式等组件,很多软件的安装都需要用到这个服务,所以建议保留,否则会遇到很多麻烦的。
依存:Remote Procedure Call (RPC)
建议:自动
Windows Management Instrumentation (WMI)
提供公用接口及对象模型,以存取有关操作系统、设备、应用程序及服务的管理信息。如果这个服务已停止,大多数的 Windows 软件将无法正常运作。所有依存于它的服务都将无法启动。 如上说的,是一种提供一个标准的基础结构来监视和管理系统资源的服务,由不得你动他
依存:Event Log、Remote Procedure Call (RPC)
建议:自动
Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸) 提供系统管理信息管理驱动程序。Windows Management Instrumentation 的延伸,提供信息用的,可以设置为手动
建议:手动
Windows Time (Windows 时间设定)
维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止,将无法进行日期及时间同步处理。所有依存的服务都会停止。 网络对时校准没有太大的意义,而且占有不少的资源,可以关闭
建议:停用
Wireless Zero Configuration
为 802.11 适配卡提供自动设定 自动配置无线网络装置,言下之意就是说,除非你有在使用无线网络装置,那么你才有必要使用这个网络零管理服务,否则这个对你一点作用也没有。
依存:NDIS Usermode I/O Protocol、Remote Procedure Call (RPC)
建议:停用
WMI Performance Adapter
提供来自 WMIHiPerf 提供者的效能链接库信息。对大多数用户没有太大作用
依存:Remote Procedure Call (RPC)
建议:停用
Workstation (工作站)
建立并维护到远程服务器的客户端网络联机。如果停止这个服务,这些联机将无法使用。所有依存于它的服务将无法启动。是网络连接中所必要的一些功能
依存:Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator
建议:自动
大家可以根据自己的需求,自己去决定保留哪些,关闭哪些,且谨慎操作如造成系统问题恕不负责。:)
好,加点东西。
Windows下的文件和文件夹简介
● Windows文件夹中的应用程序
Accstat.exe 回收站应用程序。
Arp.exe TCP/IP地址解析工具。利用此工具可以显示和修正被使用的物理TCP/IP表。
Asd.exe 自动跳过驱动程序。利用该程序 可以检查系统在启动过程中的错误并能提供相应的解决方案。
Calc.exe 计算器。运行该程序可使用Windows自带的“计算器”进行数据运算。
Cdplayer.exe CD播放器。利用该程序可以播放CD音乐光盘。
Charmap.exe 字符映射表。如果想在“记事本”中输入类似“①”的符号,利用字符映射表就可以很好地解决。
Cleanmgr.exe 磁盘清理程序。当你的磁盘空间不够时,用该程序可以帮助你快速地清除磁盘上的垃圾文件。
Clipbrd.exe 剪贴板查看程序。利用该程序可以查看和删除剪贴板中的内容。如果剪贴板上的内容过大,则会占用大量的内存。
Clspack.exe Windows的打包软件。用此工具可以将文件进行压缩。使用格式为:Clspack.exe 压缩包 要压缩的文件。
Command.exe DOS命令解释器。运行该程序可进入Windows 98的“MS-DOS 方式”。
Control.exe 控制面板程序。运行该程序将进入“控制面板”窗口。
Cvt1.exe FAT32 转换器。利用该程序可以将FAT16的分区转换为FAT32分区,不过,前提是FAT16的分区必须大于512MB才能进行转换。
Cvtaplog.exe 磁盘碎片整理助手。
Defrag.exe 碎片整理程序。运行该程序可以消除选定分区中的磁盘碎片。
Dialer.exe 电话拨号程序。运行该程序可打开“电话拨号程序”窗口。
Directcc.exe 直接电缆连接程序。使用直接电缆连接,可以方便快捷地在两台计算机之间建立直接的串口和并口连接。
Dosrep.exe DOS报告工具。该程序只能在纯DOS环境下运行。其功能是创建一个有关本机的系统设置和技术支持文件,以方便出错时给技术人员提供相关资料。
Drvspace.exe 磁盘空间管理程序。运行该程序可对物理磁盘进行压缩和解压缩操作。
Drwatson.exe 华生医生(Dr.Watson),每当发生系统错误时能对系统拍取快照进行诊断,可截获软件错误,识别发生错误的软件并提供详细的原因说明,还可就诊断的问题提出操作建议。
Emm386.exe 扩展内存管理程序。该程序一般在Config.sys文件中使用。
Explorer.exe 资源管理器。运行该程序将进入“资源管理器”。
Extrac32.exe CAB文件包释放程序。用此文件,可以将CAB文件包中的文件释放出来。用法:Extrac32[参数]*.CAB 要释放的文件。
Fontview.exe 字体查看程序。利用该程序,可以查看指定的Windows中安装的字体文件。用法为:Fontview 字体文件(*.ttf)。
Freecell.exe 空当接龙游戏。
Ftp.exe 文件传输程序。
Grpconv.exe 程序组恢复程序。运行该程序可以恢复丢失的程序
Ipconfig.exe DOS环境下的TCP/IP配置程序。可以在DOS环境下查看和修改TCP/IP的配置情况。
IsUninst.exe 卸载程序。执行该程序,可以安全卸载Windows中的程序和与其相关的组件。
Jview.exe JAVA命令解释器。类似于DOS的Command命令。
Kodakimg.exe 映像程序——Windows中的图像查看程序。运行该程序可以浏览多种格式的图形文件。
Kodakprv.exe 映像预览程序。运行该程序可以快速预览多种格式的图形文件。
Mem.exe DOS内存状况查看程序。运行此程序可以在MS-DOS窗口中查看当前运行的程序占用物理内存的情况。
Mplayer.exe 媒体播放机。运行该程序可以播放VCD或AVI等程序。
Mshearts.exe 网上红心大战游戏。
Nbtstat.exe 局域网远程查看工具。利用此工具,可以查看远程计算机的有关情况。用法为:NBTSTAT -a 远程计算机的计算机名。
Net.exe 非常不错的网络工具。利用此工具可以查看本机的有关网络配置。如查看本机的工件组和计算机名,只需在DOS提示符下键入:NET Config,要看本机映射了多少网络驱动器,只需输入命令:Net use。
Netdde.exe Windows网络动态数据交换程序。
Netstat.exe TCP/IP网络稳定器。此程序有利于网路运行的稳定。
Netwatch.exe 网络监视器。利用此工具可以查看有哪些计算机连入了本机。
Notepad.exe 记事本。运行该程序进入“记事本”编辑窗口。
Packager.exe 对象包装程序。
Pbrush.exe 画图程序。利用该程序可进入“画图”编辑窗口进行绘画操作。
Ping.exe DOS下的网络工具。利用此工具可查询网络中的计算机的IP地址。如要查询局域网中的某个计算机的IP,可键入:Ping 指定的计算机(如AAA)。
Progman.exe 程序管理器。运行该程序可编辑已存在的程序组或创建新的程序组。
Protman.exe PRO0023E协议查看程序。运行该程序,可以查看网络捆绑的版本号和PRO0023E协议。
Regedit.exe 注册表编辑器。使用该程序可对Windows注册表进行查看和修改。
Route.exe TCP/IP发送程序。利用此程序 可以打印或删除一些网络数据。
Rsrcmtr.exe 资源状况工具。利用此工具可以监视程序目前使用的系统资源。
Rundll.exe DLL调用程序。
Rundll32.exe 32位的DLL调用程序。
Scandskw.exe 磁盘扫描程序,可以发现并修复磁盘表面和磁盘上的数据错误。
Scanregw.exe 注册表检查与备份程序。执行该程序,可以检查注册表中的错误,如检查正确,将提示用户对注册表进行备份。
Setdebug.exe ActiveX Debugging for Java程序,用于检查用Java编写的ActiveX是否正常。
Setver.exe MS-DOS版本设置程序,用于查看程序的DOS版本号并能删除指定的DOS版本程序,可在网络上运行。
Sigverif.exe Microsoft 签字验证工具。利用该程序可以查找到没有签署的文件。
Smartdrv.exe 虚拟磁盘设置程序,可以把内存设置为虚拟磁盘,从而提高数据的读写速度。不过,用此程序建立的虚拟磁盘不能存储数据。即断电后,虚拟磁盘上的数据将消失。
Sndrec32.exe 录音机。在连接了音频设备的前提下,使用该程序可以进行录音操作,录下的文件(WAV)可以在录音机和媒体播放器中播放。
Sndvol32.exe 音量调节程序。执行该程序,可以调节声音的大小和均衡。
Sol.exe 纸牌游戏。
Sysmon.exe 系统监视器。运行该程序,可以监测系统当前的资源使用状况,如CPU的使用率、内存的使用率、虚拟机的数量、线程数量等系统数据。
Taskman.exe 任务工具,用于查看当前正在运行的程序和运行须要执行的程序。
Taskmon.exe 任务监视器,为Windows内核程序,它的功能是监视程序的执行情况并 随时报告系统。
Telnet.exe 该程序主要用于连接远程计算机。
Tour98.exe 漫游Windows98程序。这是一个 Windows98的学习程序,初学者不妨用用。
Tracert.exe DOS下的网络工具。用法:Tracert网络计算机。
Tuneup.exe 维护向导程序。通过它可以设置定期执行“磁盘扫描程序”、“磁盘整理程序”和“磁盘清理程序” 等来维护计算机。
unin0804.exe 文件删除软件。
uninst.exe 文件卸载程序。
Unistb32.exe Windows下的反安装工具。
Upwizun.exe 更新向导卸载程序。运行该程序可以卸载不需要的软件包。
Vcmui.exe 版本冲突管理器。
Welcome.exe Windows 98欢迎程序。
Winfile.exe 文件管理器。
Winhelp.exe Windows帮助程序。
Winhlp32.exe 32位的Windows帮助程序,能打开指定的符合Windows 98标准的帮助文件。
Win.com Windows 98启动程序。在满足Windows 98运行条件的前提下,运行Win.com程序,可以从纯MS-DOS环境进入Windows 98界面。
Wininit.exe Windows 98的初始化程序。该程序只能在纯MS-DOS环境中使用。
Winipcfg.exe IP配置程序。运行该程序可以查看和修改本机当前的IP配置情况。
Winmine.exe 挖雷游戏。
Winrep.exe Windows报告工具。当你的Win-dows发生故障,你可以执行该程序快速记录下计算机的有关配置文件。你可以将记录下的文件通过网络传给微软公司,让他们帮助解决。
Winver 系统版本号查看程序。运行该程序查看当前的Windows系统的版本号。
Write 写字板。运行该程序可进入“写字板”编辑窗口。
Wscript.Exe “Windows Scripting Host”程序。
Wupdmgr.exe Windows 98升级程序。如果用户具备上网条件,运行该程序即可连入Windows 98的升级网页进行自动升级。
● Windows文件夹中的文本文件
Bootlog.txt 引导日志。该文件记录了Windows 98加载的所有设备和驱动程序。用户可使用该文件中的信息来分析驱动程序加载失败的原因,确定是否找到了驱动程序,认识驱动程序初始化失败的原因。
Config.txt 有关MS-DOS中Config.sys文件命令的自述文件。该文件中详细列举了Config.sys配置命令的具体用法。
Display.txt 关于Windows 98显示方面的自述文件。该文件提供了诸如:如何设置动画光标、如何解决与 PCI显卡的IRQ冲突及多显示器问题的解决等问题的技术支持。
Fag.txt Windows 98疑难解答自述文件。该文件详细讲述了Windows 98下的磁盘压缩、网络问题、FAT32等技术问题。
Gbk.txt 中文Windows 98 GBK代码集字符定义表,其中列举了所有的GBK字符。
General.txt 一般信息的自述文件。该文件中的内容非常有用,讲述了诸如启动问题、FAT32的应用、系统工具、MS-DOS 内存管理、使用帮助中的辅助 特性快捷方式等多方面的应用方法。
Hardware.txt 硬件自述文件,讲述了Windows 98的即插即用特性、扫描仪、视设置、调制解调器、USB 设备等硬件在系统中的应用。
License.txt Microsoft Windows98最终用户许可协议文件,规定了用户的有关权利和限制,如许可证的授予、 著作权等知识产权条款。
Modemdet.txt 调制调解器登记文件。
Mouse.txt 鼠标自述文件,讲述了各种鼠标在 Windows 98下的安装和使用。
Msdosdrv.txt MS-DOS设置驱动程序自述文件,具体讲述了ANSI.SYS、DBLBUFF.SYS——双缓冲等DOS命令的使用方法。
Network.txt 网络自述文件,讲述了网络方面的有关问题,如“即插即用”网卡和16位实模式驱动程序、实模式 协议等。
Printers.txt 打印机自述文件,介绍了打印机的应用。
Program.txt 程序信息自述文件,讲述了Windows 98下的程序应用,如Windows 98中不存在的DOS命令、动画图标等相关程序的使用问题。
Reginfo.txt 关于登记Wizard的信息文件。
SchedLog.Txt 计划任务表,记录着计划任务服务的启动时间表。
Support.txt 关于产品支持的自述文件。
Tips.txt Windows 98使用技巧自述文件。
unin0804.exe 文件删除软件。
uninst.exe 文件卸载程序。
Unistb32.exe Windows下的反安装工具。
Upwizun.exe 更新向导卸载程序。运行该程序可以卸载不需要的软件包。
Vcmui.exe 版本冲突管理器。
Welcome.exe Windows 98欢迎程序。
Winfile.exe 文件管理器。
Winhelp.exe Windows帮助程序。
Winhlp32.exe 32位的Windows帮助程序,能打开指定的符合Windows 98标准的帮助文件。
Win.com Windows 98启动程序。在满足Windows 98运行条件的前提下,运行Win.com程序,可以从纯MS-DOS环境进入Windows 98界面。
Wininit.exe Windows 98的初始化程序。该程序只能在纯MS-DOS环境中使用。
Winipcfg.exe IP配置程序。运行该程序可以查看和修改本机当前的IP配置情况。
Winmine.exe 挖雷游戏。
Winrep.exe Windows报告工具。当你的Win-dows发生故障,你可以执行该程序快速记录下计算机的有关配置文件。你可以将记录下的文件通过网络传给微软公司,让他们帮助解决。
Winver 系统版本号查看程序。运行该程序查看当前的Windows系统的版本号。
Write 写字板。运行该程序可进入“写字板”编辑窗口。
Wscript.Exe “Windows Scripting Host”程序。
Wupdmgr.exe Windows 98升级程序。如果用户具备上网条件,运行该程序即可连入Windows 98的升级网页进行自动升级。
● Windows文件夹中的文本文件
Bootlog.txt 引导日志。该文件记录了Windows 98加载的所有设备和驱动程序。用户可使用该文件中的信息来分析驱动程序加载失败的原因,确定是否找到了驱动程序,认识驱动程序初始化失败的原因。
Config.txt 有关MS-DOS中Config.sys文件命令的自述文件。该文件中详细列举了Config.sys配置命令的具体用法。
Display.txt 关于Windows 98显示方面的自述文件。该文件提供了诸如:如何设置动画光标、如何解决与 PCI显卡的IRQ冲突及多显示器问题的解决等问题的技术支持。
Fag.txt Windows 98疑难解答自述文件。该文件详细讲述了Windows 98下的磁盘压缩、网络问题、FAT32等技术问题。
Gbk.txt 中文Windows 98 GBK代码集字符定义表,其中列举了所有的GBK字符。
General.txt 一般信息的自述文件。该文件中的内容非常有用,讲述了诸如启动问题、FAT32的应用、系统工具、MS-DOS 内存管理、使用帮助中的辅助 特性快捷方式等多方面的应用方法。
Hardware.txt 硬件自述文件,讲述了Windows 98的即插即用特性、扫描仪、视设置、调制解调器、USB 设备等硬件在系统中的应用。
License.txt Microsoft Windows98最终用户许可协议文件,规定了用户的有关权利和限制,如许可证的授予、 著作权等知识产权条款。
Modemdet.txt 调制调解器登记文件。
Mouse.txt 鼠标自述文件,讲述了各种鼠标在 Windows 98下的安装和使用。
Msdosdrv.txt MS-DOS设置驱动程序自述文件,具体讲述了ANSI.SYS、DBLBUFF.SYS——双缓冲等DOS命令的使用方法。
Network.txt 网络自述文件,讲述了网络方面的有关问题,如“即插即用”网卡和16位实模式驱动程序、实模式 协议等。
Printers.txt 打印机自述文件,介绍了打印机的应用。
Program.txt 程序信息自述文件,讲述了Windows 98下的程序应用,如Windows 98中不存在的DOS命令、动画图标等相关程序的使用问题。
Reginfo.txt 关于登记Wizard的信息文件。
SchedLog.Txt 计划任务表,记录着计划任务服务的启动时间表。
Support.txt 关于产品支持的自述文件
2004年10月12日 #
2004年10月11日 #
TRW2000 1.03
ProcDump 1.6.2
Hexworkshop 3.02
比起其Beta版来,AZPR 3.0正式版的保护更为加强. 1. 对Softice的多处Check,用FrogsICE不能完全骗过; 2. CRC的校验; 3. 动态地址(好象是这个名吧?); 4.对Loader的防范,这回用Process Patch不行了.
用Softice跟踪它会是一种痛苦 (当然完全可以用Softice,只是你要了解程序的Anti-debugger技巧,在关键的Check后改变跳转方向). 这次祭出我们中国人的骄傲TRW2000来对付它.
先用Procdump的PE Editor查看一下程序的.idata section记下数值. Virtual size=2000, Virtual offset=21000. 另外,记下程序的Image Base: 400000.
1. 运行TRW, Load程序. 程序中断在入口处. 但接下来无论是否BPX设断只要G继续运行程序,便会出错. 下Faults off, G, OK程序退出.
2. 试BPM 421000 (.idata的offset), 再Load程序. G, 程序可以被正常中断, COOL!
3. G,当程序第三次(? 记不清了. 原则是d 421000显示的data区见到XXXX0200 000000字样)中断时,BD*,F10直到下面的语句
*********************************
注意: 程序每次Load时Offset都不一样,你的机器中的XXXX:YYYYYYYY肯定和下面的不同. 下Code on指令,这样才好参照下面的代码. 另外,下面所摘的几段代码是引用高手tiamath的.因为我不清楚在TRW下如何dump屏幕 (谁能指教一下:);而用ICEDump的pagein n命令来Dump Softice的屏幕,我的机器会死机. :(
*********************************
0167:004F34CD 50 PUSH EAX
0167:004F34CE B890274F00 MOV EAX,004F2790
0167:004F34D3 50 PUSH EAX
0167:004F34D4 B8A4274F00 MOV EAX,004F27A4
0167:004F34D9 50 PUSH EAX
0167:004F34DA B8A0284F00 MOV EAX,004F28A0
0167:004F34DF 50 PUSH EAX
0167:004F34E0 B8AC274F00 MOV EAX,004F27AC
0167:004F34E5 50 PUSH EAX
0167:004F34E6 B8646C4E00 MOV EAX,004E6C64
0167:004F34EB 50 PUSH EAX
0167:004F34EC 8B4508 MOV EAX,[EBP+08]
0167:004F34EF 8D4824 LEA ECX,[EAX+24]
0167:004F34F2 8B4508 MOV EAX,[EBP+08]
0167:004F34F5 8B500C MOV EDX,[EAX+0C]
0167:004F34F8 8B4508 MOV EAX,[EBP+08]
0167:004F34FB 8B4008 MOV EAX,[EAX+08]
0167:004F34FE E899F4FFFF CALL 004F299C
0167:004F3503 33C0 XOR EAX,EAX <--在这里Dump .idata
下指令 W 421000 L 2000 azprdata.bin
OK. 再往下,直到
0167:004F3637 8D4818 LEA ECX,[EAX+18]
0167:004F363A 8B4508 MOV EAX,[EBP+08]
0167:004F363D 8B10 MOV EDX,[EAX]
0167:004F363F 8B4508 MOV EAX,[EBP+08]
0167:004F3642 8B401C MOV EAX,[EAX+1C]
0167:004F3645 E8EAF6FFFF CALL 004F2D34 <--F8进入
0167:004F364A 5F POP EDI
0167:004F364B 5E POP ESI
到了
0167:004F2D72 E9148B1DA8 JMP A86CB88B
0167:004F2D77 8E4F00 MOV CS,[EDI+00]
0167:004F2D7A EB01 JMP 004F2D7D
0167:004F2D7C EB89 JMP 004F2D07
0167:004F2D7E 041C ADD AL,1C
0167:004F2D80 EB02 JMP 004F2D84
0167:004F2D82 EBE8 JMP 004F2D6C
0167:004F2D84 61 POPAD
0167:004F2D85 EB01 JMP 004F2D88
0167:004F2D87 E850EB02E9 CALL E95218DC
0167:004F2D8C 17 POP SS
0167:004F2D8D E802000000 CALL 004F2D94
0167:004F2D92 E91758C35E JMP 5F1285AE
0167:004F2D97 5B POP EBX
0167:004F2D98 59 POP ECX
此时小心地跟踪,碰到JMP时按F8而不要按F10
直到显示变成
0167:004F2D72 E9148B1DA8 JMP A86CB88B
0167:004F2D77 8E4F00 MOV CS,[EDI+00]
0167:004F2D7A EB01 JMP 004F2D7D
0167:004F2D7C EB89 JMP 004F2D07
0167:004F2D7E 041C ADD AL,1C
0167:004F2D80 EB02 JMP 004F2D84
0167:004F2D82 EBE8 JMP 004F2D6C
0167:004F2D84 61 POPAD
0167:004F2D85 EB01 JMP 004F2D88
0167:004F2D87 E850EB02E9 CALL E95218DC
0167:004F2D8C 17 POP SS
0167:004F2D8D E802000000 CALL 004F2D94
0167:004F2D92 E91758C35E JMP 5F1285AE
0167:004F2D94 58 POP EAX <-- 光标位于此行时, EAX=401000
0167:004F2D95 C3 RET <--这里
下Suspend指令. 回到Windows. 用ProcDump来Dump(full)脱壳的程序,得到azprdump.exe. 你也可以用TRW的PEDUMP命令来得到脱壳程序,但我个人的经验很容易死机,所以我宁愿用ProcDump来做.
4. 用PE Editor修改程序的Entry Point为1000. 并查看脱壳后程序的.idata section. 此时Raw size=1670, Raw offset=1FC00. 修改Directory中Import Table的RVA=21000,SIZE=1670.
5. 用Hexworkshop打开azprdump.exe和azprdata.bin. Goto到exe文件的1FC00偏移处,Select Block大小为1670. 拷贝.bin文件的同样大小(1670)的Block,粘贴到exe文件中以替换掉不正确的.idata section.
现在,再试着运行程序,应该可以正常运行了. 如果程序出错,再做一件事: 把 .bss section的raw size值改为00000000 (高手tiamath的建议).
有了脱壳的程序,大家应该会Patch它成为注册版了吧. 只需改一个字节.
结语: 用本文所描述的方法,可以对绝大多数Asprotect+Aspack保护的程序进行成功的脱壳. 大家读完这篇教程,不妨找几个程序开刀. 比方说,The Bat! 1.39现在不应该再难住大家了.
好了,这次就到这儿了,下回见.
致谢:
2004年10月10日 #
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]"ProductId"="69713-640-9722366-45198"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]"CurrentBuild"="1.511.1 () (Obsolete data - do not use)""InstallDate"=dword:3f6c976d"ProductName"="Microsoft Windows Server 2003""RegDone"="""SoftwareType"="SYSTEM""CurrentVersion"="5.2""CurrentBuildNumber"="3790""BuildLab"="3790.srv03_rtm.030324-2048""CurrentType"="Uniprocessor Free""ProductId"="69713-640-9722366-45198""DigitalProductId"=hex:a4,00,00,00,03,00,00,00,36,39,37,31,33,2d,36,34,30,2d,\39,37,32,32,33,36,36,2d,34,35,31,39,38,00,5a,00,00,00,41,32,32,2d,30,30,30,\30,31,00,00,00,00,00,00,00,00,e5,3f,e9,6a,2c,ed,25,35,12,ec,11,c9,8d,01,00,\00,00,00,00,37,03,6d,3f,44,22,06,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\00,00,00,00,00,00,00,00,00,00,00,31,32,32,32,30,00,00,00,00,00,00,00,dc,0f,\00,00,bf,4a,94,6c,80,00,00,00,15,18,00,00,00,00,00,00,00,00,00,00,00,00,00,\00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,34,79,ca,d7"LicenseInfo"=hex:71,84,c7,56,a0,d6,10,6e,70,b4,9f,e9,10,1a,1e,7a,01,a4,41,09,\25,20,0e,80,83,80,1f,31,27,86,64,1f,31,dc,22,af,f7,7d,aa,e4,2a,b9,e5,e3,6c,\e2,01,69,85,70,91,be,a7,9f,95,e5
