windows系统概述

windows系统概述（17篇）

1.windows系统概述 篇一

最基本的系统进程(也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行) smss.exe Session Manager csrss.exe 子系统 服务器 进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全 策略以及启动 IS

最基本的系统进程(也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行)

smss.exe Session Manager

csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe 管理 IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序，(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon

svchost.exe 包含很多系统服务 !!!->eventsystem,

(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)

explorer.exe 资源管理器

(internat.exe 托盘区的拼音图标)

====================================================================

附加的系统进程(这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少)

mstask.exe 允许程序在指定时间运行。(系统服务)->schedule

regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister

winmgmt.exe 提供系统管理信息(系统服务)。

inetinfo.exe->msftpsvc,w3svc,iisadmn

tlntsvr.exe->tlnrsvr

tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)

termsrv.exe ->termservice

dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

=================================================================

以下全是系统服务,并且很少会用到，如果你暂时用不着,应该关掉(对安全有害 )

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows Professional 的能力。(系统服务)->simptcp

支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)

ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息，

(系统服务)

ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)

wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)

llssrv.exe License Logging Service(system service)

ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)

RsSub.exe 控制用来远程储存数据的媒体。(系统服务)

locator.exe 管理 RPC 名称服务数据库.->rpclocator(区 RpcSs)

lserver.exe 注册客户端许可证。(系统服务)

dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)

clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)

faxsvc.exe 帮助您发送和接收传真。(系统服务)

cisvc.exe Indexing Service(system service)!!!

dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)

mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)

netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)

smlogsvc.exe 配置性能日志和警报。(系统服务)

rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)

RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)

RsFsa.exe 管理远程储存的文件的操作。(系统服务)

grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)

SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)

snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)

snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)

UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)

msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

总结：

发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可疑进程，就象

找一群熟悉人中的陌生人一样。

原文转自：www.ltesting.net

2.windows系统概述 篇二

随着网络技术的发展, 计算机在人民生活中的地位越来越重要。计算机在给人民的生活和工作带来极大便利的同时, 也带来了信息安全问题。Windows操作系统是当今应用最广泛的个人计算机操作系统, 针对这一操作系统的病毒和木马层出不穷。[1]而且更为严重的是内核级Rootkit的诞生, 给系统安全带来了极大的破坏性。内核是操作系统的核心, 内核的完整性保护对维护操作系统至关重要。[2]所以本系统旨在从内核出发, 全方位的利用多种综合检测技术维护系统内核的安全性以及完整性。

1 系统设计

1.1 系统整体设计方案

本系统主要分为用户层和内核层, [3]用户层利用VC++ 6.0 开发, 采用C++语言实现, [3,4,5]内核层利用WDK开发, 采用C语言实现。用户层是与用户交互的界面, 用户层通过调用Device Io Control函数, 实现3 环与0 环的通信。[6]内核层实现系统各个模块的具体功能, 从内核维护监测系统安全。如图1 系统架构设计图所示。

本系统主要包括七个功能模块, 分别为内核监测模块, 系统钩子检测模块, 隐藏进程检测模块, 隐藏端口检测模块, 系统服务描述符表监测模块, IDT监测模块, 过滤驱动枚举模块。通过这些模块从而实现系统内核的实时监测, 隐藏进程、端口、钩子的检测等功能。

1.2 系统流程设计

系统启动后, 先将内核模块加载到操作系统中, 呈现程序主界面, 等待用户点击主界面, 发送指令, 再调用各功能模块完成相应的操作。若所需完成的操作需要调用内核函数才能完成, 则通过相关处理将指令发送至内核模块, 调用相应的分发函数, 获取信息或完成相应的操作, 并将执行结果反馈给用户层应用程序。软件的运行流程图如图2 所示:

2 系统的实现

2.1 内核监测模块

内核模块 (“软件驱动”) 是运行在系统核心层, 恶意软件为了获取更强的系统权限, 往往会利用驱动加载技术向操作系统中加载自己的模块, 因此监测系统中内核模块, 有利于发现恶意软件的踪迹。

该模块能够从用户层寻找保存内核模块信息的对象, 完成对其获取和分析, 从其中找到需要的信息, 包括模块名、内核模块基址、内核模块大小、内核模块标志、内核模块加载顺序、内核模块加载次数, 模块路径等, 并将信息呈现给用户。虽然内核模块运行在内核层, 但是监测内核模块却可以在用户层利用Windows API实现。[7]点击主界面上工具栏的第二个按钮开始检测操作系统中内核模块。在系统上列举的内核模块加载情况如图3 所示。

2.2 系统钩子检测模块

系统钩子可以拦截事件消息, 在窗口响应前完成对消息的处理, 也可以拦截应用层Windows API对内核函数的调用, 因此恶意软件很有可能对系统关键进程安装钩子, 以期获取更高的权限和更好的隐蔽效果。本模块就是要从用户层进入系统核心层, 将系统中的所有钩子检测出来, 明确每个钩子的句柄, 钩子相应的处理, 以及钩子的类型, 还有每个钩子“挂钩”的进程, 线程。

点击主界面上工具栏的第二个按钮开始检测操作系统中系统钩子。在系统上列举的系统钩子情况如图4 所示:

2.3 隐藏进程检测模块

在隐藏进程检测模块中, 首先采用在用户态, 调用Windows API, 获取进程信息, 然后在内核态枚举高端内存, 获取进程信息, 其后比较两次信息, 确定隐藏进程。[8]用户态通过调用API Zw QuerySystem Information方法, 内核态通过遍历Psp Cid Table句柄表、遍历csrss.exe进程的Handle Table表等两种方法获取到系统所有进程信息。

点击主界面上工具栏的第三个按钮开始检测操作系统中所有进程。在系统上检测到所有进程图5 所示:

从图5 中, 可以看到, 当前系统中的所有进程的PID, 进程名和EPROCESS, 系统中没有隐藏进程, 和任务管理器中的获取的进程信息是一致的。

2.4 隐藏端口检测模块

在内核态获取端口信息, 主要是通过直接获取设备对象/device/tcp和/device/udp, 继而获取文件操作对象, 随后构造IRP请求信息获取端口信息。该模块绕过中间步骤, 直接调用内核, 获取内核中设备对象, 获取端口信息, 从而使隐藏端口无处藏身。[2]

点击主界面上工具栏的第四个按钮开始检测操作系统中所有正在通信进程。在系统上检测到所有端口如图6 所示:

2.5 系统服务描述符表监测模块

系统服务描述符表SSDT不仅是一个地址索引表, 还包含很多其他信息, 比如地址索引的基地址、服务函数个数。[2]点击主界面上工具栏的第五个按纽开始检测操作系统中所有SSDT表项。在系统上检测到SSDT信息如图7 所示:

2.6 IDT监测模块

IDT (Interrupt Descriptor Table中断服务表) 是一个有256 入口函数线形表, 每个IDT的入口是8个字节说明符, 所以整个IDT表字节数是8*256=2048 bytes。检测IDT钩子同样可以使用对比函数原始地址和函数内存地址的方法。[2]IDT在内存中的地址可以通过sidt指令IDTR寄存器内容, IDTR中存放着IDT中断服务入口信息, 从而在其中获取IDT服务函数的内存地址。

IDT服务函数的原始地址可以在ntoskrnl.exe中获取, 通过获取ntoskrnl.exe PE文件在内存中的基地址, 然后获取镜像文件的INIT段, 读取该段内容后, 匹配特征“x B9x00x08x00x00x C1x E9x02x F3x A5”, 特征后就是IDT服务函数的原始地址。

点击主界面上工具栏的第八个按纽开始检测操作系统中所有IDT表项。在系统上检测到IDT如图8 所示:

2.7 过滤驱动枚举模块

所谓过滤就是在本来已有的设备栈中加入一个自己的设备。在这里把插入设备栈的用户设备叫做过滤设备, 建立这个设备并使其具有特殊功能的驱动叫做过滤驱动。[6]本模块所实现的功能就是枚举操作系统中所有已加载的过滤驱动, 并将驱动路径、驱动对象名、类型设备宿主驱动对象名等信息显示在列表框中。点击主界面上工具栏的第九个按纽开始检测操作系统中所有已加载过滤驱动。在系统上检测到过滤驱动如图9 所示:

3 结语

本系统在充分研究病毒、木马原理和Windows内核编程的基础上, 设计实现了一个界面友好, 使用方便, 高效便捷的内核级手动杀毒系统。主要实现了监视内核模块、监视系统钩子、检测隐藏进程、检测隐藏端口、监视SSDT、IDT监视、过滤驱动枚举等功能。本系统从手动杀毒角度出发, 变被动防御为主动查杀, 更有效的查杀计算机感染的病毒及木马, 特别是Rootkit保护的内核级木马, 通过检测相应的被挂钩函数, 内核中被修改的地址, 找到相应的进程, 从而实现了木马进程的强杀、相应内核内容的恢复等功能, 保护了计算机操作系统的安全。在经济利益的驱使下, 木马编写者也在不断研究新型的隐藏技术, 逃避传统的检测技术, 本系统也可以与时俱进, 研究新的隐藏技术, 并将对应的检测技术加入到系统中。

摘要：Windows操作系统是当今应用最广泛的个人计算机操作系统, 针对这一操作系统的病毒和木马层出不穷。大多数杀毒软件主要依赖特征码识别技术、校验和技术、软件模拟技术检测病毒。本系统从手动杀毒角度出发, 变被动防御为主动查杀, 特别是Rootkit保护的内核级木马, 通过检测相应的被挂钩函数, 内核中被修改的地址, 找到相应的进程, 从而实现了木马进程的强杀、相应内核内容的恢复等功能, 更有效的保护计算机操作系统的安全。

关键词：内核防护,手动杀毒,信息安全,Rootkit

参考文献

[26]贾建忠.木马危害的新发展及对策[J].软件, 2012, 33 (2) :150-152.

[27]GREG HOGLUND, JAMES BUTLER著;韩志文译.Rootkits——Windows内核的安全防护[M].清华大学出版社, 2007-4.

[28]杨柯.分层技术在计算机软件开发中的应用效果分析[J].软件, 2013, 34 (10) :47.

[29]王德超.C/C++编译系统内存分配分类比较探究[J].软件, 2014, 35 (2) :85-87.

[30]俞明.面向对向程序设计C++中类成员的使用[J].软件, 2013, 34 (1) :47-49.

[31]谭文.寒江独钓:Windows内核安全编程[M].电子工业出版社, 2009-06.

[32]潘爱民.Windows内核原理与实现[M].电子工业出版社, 2010-5.

3.在Windows之上的系统 篇三

个人介绍

贺志强坚果比特技术总监，1999年从重庆大学自动化系毕业，分配到北京某军工研究部门，专攻杀毒引擎和虚拟机的研发。2002年加入美国凹凸科技，负责公司旗下的桌面安全产品。2004年末担任坚果科技的首席技术官至今。

开发经历

经过了大半年的努力，影子系统在2004年初开发完毕，其强大的功能和良好的性能，使得影子系统的商品化进展顺利。2004年的秋天，联想就在其最高端的电脑上为客户预装影子系统的定制版。随后，影子系统在海外取得更大进展，诸多海外电脑刊物载文介绍，频获好评。从2006年11月算起，影子系统的累积下载量超过一千万次，活跃用户数达到300万人。

影子系统三大亮点

反流氓软件反病毒

电脑免维护专家

无忧试用新软件

敬请关注http://www.powershadow.com/cn/intro_preview.htm

互动问答

问：影子模式是如何保护我的系统的？

答：影子模式会实时生成本机内硬盘分区的一个影子，一切在影子模式内的操作，包括新建、修改、保存文件，在退出影子模式后会完全消失，所以影子模式不会中毒。

问：我在影子模式里所有工作都会消失，那我进影子模式有什么意思？

答：影子模式有两种模式，完全和单一模式。在完全模式下是都会消失，但在单一模式里，也能让你储藏你想储藏的数据，这样你的工作成绩就被保存下来，而那些流氓软件、木马或病毒却会在重启后烟消云散。

毛遂自荐

单一影子模式

安装好影子系统并运行控制台程序，进行简单设置后就可以进入影子模式来对系统进行保护了。在控制台中点击“通用设置”，选中“启动单一影子模式”，最后点“启动”即可进入单一影子模式。用户也可以通过启动菜单进入单一影子模式。

小编手记：对于大多数个人用户，推荐使用“单一影子模式”。在这种模式下，用户的操作系统可以得到很好的保护，不论受到未知病毒、木马或者是流氓软件的损害，在重新启动操作系统后，所有这些损害都将消失；同时，用户可以将自己的数据文件存放在非系统分区，这些文件可以在单一影子模式下正常存取。

完全影子模式

完全影子模式的启动方法与单一影子模式类似。

小编手记：对于一些共用计算机，或者是将计算机借给他人使用的情况，推荐使用完全影子模式。在完全影子模式下，使用者可以正常操作计算机，但在操作过程中产生的所有修改，都会在重新启动后丢失。网络管理员无须再为公用计算机的频繁维护头疼，个人用户也不用再担心朋友误删除自己计算机上的重要资料了。

文件夹迁移

文件夹迁移是为了将用户常用的系统目录（如桌面、我的文档和收藏夹），放置到非系统盘上，当用户使用单一影子模式时，仍可以在这些常用目录中存放用户数据。先点击“文件夹迁移”，再点击“桌面”，也可以按住Ctrl键，然后点选多项同时进行迁移。

小编手记：文件夹迁移非常有用，能够在不改变用户使用习惯的前提下，对经常使用的桌面、我的文档等数据进行很好的保护，有效地防止数据的丢失。建议用户对桌面、我的文档和收藏夹文件夹都进行迁移。

4.windows系统概述 篇四

大多数Windows me或其应用程序文件安装前都是压缩文件，必须由安装程序或Extract命令解压。但也有一些共享程序文件安装前并未压缩，如Office 97使用的许多动态链接库文件。如果在运行程序时系统提示此类文件丢失，可按如下方法处理：

(1)记下文件以及它所在的文件夹名称，根据后者可确定文件属于那个程序或到哪里去找。

(2)单击Windows me“开始、搜索”得出“搜索结果”画面，在“要搜索的文件或文件夹名为”栏内，输入完整的文件名;在“搜索范围”栏，选择本机硬盘驱动器，单击“立即搜索”按钮。

(3)选中右下窗口中的文件，单击鼠标右键选择“复制”。再打开丢失文件所在的文件夹，将找到的文件“粘贴”到其中即可。 此法用于恢复DLL之类的共享程序文件较好，但由于未压缩的共享程序文件较少。故虽然方便但局限性较大。

2、Windows me系统文件丢失

系统文件丢失的现象是：启动过程系统提示某些系统文件被破坏或被替换为旧版本，导致系统的部分功能无法使用。此时只要Windows me和“附件”中的“系统工具”程序可以运行，就能用下面方法恢复。

(1)记下丢失的系统文件名称和路径，运行Windows me“附件”、“系统工具”中的“系统信息”程序。

(2)单击“系统信息”程序“工具”菜单中的“系统文件检查器”命令。 (3)选中“系统文件检查器”中的“从安装软盘提取一个文件”项，然后在下面的文本框内输入要替换的文件名，如update、sys。

(4)单击“开始”按钮，打开“提取文件”对话框。如果使用原始安装盘进行恢复且事先用“系统文件检查器”扫描过系统，它会自动在“还原自”和“将文件保存到”框内给出文件的源路径和恢复路径，如“D:win”与“C:Windowssystem32drivers”。否则需要单击“浏览”按钮手工给出相关路径，然后单击“确定”按钮，即可自动完成丢失文件的提取和恢复。

此法可以自动恢复Windows me系统文件，也能手工恢复其他微软应用程序(使用CAB压缩格式)中的文件。前提是系统破坏不太严重，事先用“系统文件检查器”扫描过系统最好。说明的是，在Windows me及“系统文件检查器”能够运行时最好使用此法。

3、Windows me重要文件丢失

若Windows VxD(虚拟设备驱动程序)之类的重要文件丢失，后果一般比较严重，会出现“蓝屏警告”，提示XXX、XXX文件丢失等。此时最好使用Windows me启动盘提供的Ext命令进行恢复，

(1)记下丢失的文件名称和路径，用事先准备的Windows me启动盘，选择多重配置启动菜单中的第一项(加载通用CD-ROM驱动程序并创建一个大小为2MB的RAM驱动器)启动电脑。启动后进入RAM驱动器，输入Ext命令后回车。

(2)在提示“Please enter the path to the Windows CAB files(a):”后输入Windows安装压缩包所在的完整路径，如“F:pwinwin”，完成后回车。

(3)在提示“Please enter the name(s) of the file(s) you want to extract：”后输入记下的丢失文件名，如“Bios、Vxd”，回车。

(4)在解压路径提示“Please enter path to extract to (“Enter” for current directory) :”后输入文件将被解压的完整路径，如C:Windowssystem并键入回车。

(5)最后出现确认提示“Is this OK?(y/n):”，输入Y后回车。Ext程序会自动查找安装盘中的CAB压缩包，并将文件释放到指定的位置。

此法的最大优点是能在Windows完全不能运行的情况下自动恢复文件，建议前两种方法无效时首选此法。

4、无Windows me启动盘时的应急恢复

如果遇到了Windows me无法启动的故障，同时手边又没有Windows me启动盘。则只能用WindowsCommand目录中的Extract命令提取丢失文件。Extract命令的格式如下：

Extract [/y] [/a] [/d|/e] [/l dir] Cabinet [filename……]Extract [/y] source [newname]Extract [/y] [/c] source destination

其中开关示意如下：/y表示覆盖已存在的文件时不提示;/a表示从指定的第一个Cab开始处理全部Cab文件;/D表示显示Cab文件所包含的文件目录，可用于查找文件;/E表示解压缩;/L Dir表示指定解压缩文件的位置，缺省为当前目录;Cabinet表示指定Windows安装盘中的Cab压缩包;Filename表示指定想从Cab文件中解压缩的文件名，可以使用通配符(*、*时解压缩所有的文件)或以空格隔开对个文件名，缺省则用原文件名;/C表示拷贝Cab文件。

假如Bios、Vxd丢失，可使用“ExtraCt /D E:win98xxxx_xx、CAB”命令，逐个列出Windows下的Cab压缩包目录，最后找到它在Base6、cab中。然后使用“Extract /E /L C:windowssystem E:Win98Base6、cab Bios、Vxd”命令将其从windows目录下的Base6、cab压缩包解压至C:windowssystem目录，完成后重新启动系统即可。

此法原则上能够用于所有Cab格式文件的恢复，如Office 97之类。由于使用命令行方式查找文件非常不便，建议用于Windows me以外的文件恢复，对Windows me文件最好使用启动盘提供的Ext命令进行恢复。

5.windows系统概述 篇五

Windows 98启动盘具有多种用途，如果对Windows 98的启动盘稍加修改，就能满足在某些特殊情况下的特殊需要。以下是笔者摸索出的两点经验。

1.用Windows 98启动盘启动进入Windows 98

大多数用过Windows 98启动盘的朋友可能和作者有同感：虽然它名曰启动盘，但实际上无法用Windows 98启动盘启动进入Windows 98。解决这一问题的方法是：将C:盘根目录下的msdos.sys文件拷贝到Windows 98启动盘，覆盖掉其根目录下的同名文件即可。注意如果在Windows 98下没有显示msdos.sys和io.sys，就需要将文件夹属性中的“显示所有文件”选项选中。启动盘之所以不能启动到Windows 98，原因是启动盘中的msdos.sys文件是空的。实际上任一含有io.sys和上述msdos.sys文件的软盘均可启动到Windows 98。

2.制作一张带有光驱驱动及常用DOS6.22命令的DOS6.22启动盘

方法是在DOS6.22系统下用sys a：命令传递DOS6.22系统文件即做成一张带有光驱驱动的DOS6.22启动盘，

用该盘启动系统，可以看到原来的Windows 98启动菜单变成了DOS6.22的启动菜单。但此时启动盘在内存中建立的虚拟盘(ramdrive)中的DOS命令以及启动盘本身带有的几个DOS命令仍属DOS7.1版本，在DOS6.22系统下无法执行。此时，可进一步修改启动盘的有关文件，使DOS7.1版本的命令变为DOS6.22版本的命令。在Windows 98启动盘中，ebd.cab文件即是含有DOS命令的压缩文件，因此，将需要用到的DOS6.22命令文件以cab格式压缩成ebd.cab文件替换原有的ebd.cab文件，即可做成带有光驱启动及常用DOS6.22命令的DOS6.22启动盘。另外，也可将DOS6.22命令文件以arj格式压缩成ebd.arj文件。拷贝arj.exe和ebd.arj文件到启动盘，并同时删除ebd.cab和extract.exe文件。最后，修改启动盘的autoexec.bat文件，将该文件中的extract.exe替换为arj.exe，ebd.cab替换为ebd.arj，将“%ramd%:extract /y /e /l %ramd%:ebd.cab >nul”语句替换为“%ramd%:arj e ebd.arj %ramd%: >nul”即可。

6.windows系统概述 篇六

1、让系统摆脱cnsmin.dll无法加载尴尬

当系统中安装过3721软件，之后又没有正确将它从系统中卸载干净的话，那么系统在日后的启动过程中，可能会遇到cnsmin.dll加载失败的故障提示，面对这种故障提示，我们可以按照下面的操作方法来尝试让系统摆脱cnsmin.dll无法加载的尴尬：

首先依次单击系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“msconfig”，单击回车键后，打开系统的实用程序配置窗口;

其次单击该配置窗口中的“启动”标签，然后在对应的标签页面，检查一下该页面中的“cnsmin”项目是否处于选中状态，一旦选中的话必须及时将它取消选中，再单击“确定”按钮，最后重新启动一下计算机系统，相信这么一来系统就不会出现cnsmin.dll无法加载的尴尬了;

如果上面的方法还无法让系统摆脱cnsmin.dll无法加载尴尬的话，我们可以依次单击系统桌面的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“regedit”，单击“确定”按钮后，打开本地系统的注册表编辑窗口;

在该编辑窗口的左侧列表区域，将鼠标定位于“HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run”注册表子键，然后将该子键下面的3721加载项删除掉，再刷新一下系统注册表接就可以让系统摆脱cnsmin.dll无法加载的尴尬了。

2、让系统摆脱cmicnfg.cpl 无法加载尴尬

有时候系统在启动的过程中会碰到cmicnfg.cpl加载错误的故障提示，同时系统还弹出找不到指定模块的提示，系统之所以会出现这种启动加载尴尬，多半是我们平时不按照正确顺序关闭计算机系统，或者随意使用工具程序对磁盘分区容量进行调整时造成系统文件发生丢失引起的。要想让系统摆脱cmicnfg.cpl无法加载尴尬，我们可以进行下面的尝试操作：

首先用鼠标右键单击系统桌面中的“我的电脑”图标，从弹出的快捷菜单中执行“属性”命令，打开系统的属性设置窗口，单击该窗口中的“硬件”标签，并在对应标签页面中单击“设备管理器”按钮，打开系统的设备列表窗口;

用鼠标展开该窗口中的“声音、视频和游戏控制器”项目，然后用鼠标右键单击该分支项目下面的指定声卡设备，从弹出的快捷菜单中执行“卸载”命令(如图所示)，这样一来声卡设备的驱动程序就被自动从系统中彻底卸载干净了;

紧接着将Windows系统的安装光盘放置到物理光驱中，并依次单击系统桌面中的“开始”/“运行”命令，在弹出的系统运行文本框中输入字符串命令“sfc /scannow”，单击回车键后，系统就会自动执行系统文件的修复操作;等到修复操作结束后，将Windows系统的安装光盘从物理光驱中取出来，同时重新启动一下计算机系统，之后再将声卡驱动程序重新安装一

7.Windows系统中的挂钩技术 篇七

关键词：Windows系统,挂钩

一个程序在执行过程中我们通常只能通过用户界面与之交互, 我们并不知道它的内部正在执行那些操作, 我们也不能改变程序的执行过程。挂钩技术能让我们对程序的内部运行情况更加了解, 也能帮助我们在需要的时候改变程序的流程或增加更多的功能。下面介绍Windows系统中的两种挂钩技术, 它们的作用不同, 但又能配合使用。

1 事件挂钩

当我们需要监视或截获进程的事件时, 例如鼠标事件, 可以使用Windows钩子函数实现。

Windows系统中用钩子链表用来对事件进行处理。系统产生的各种事件首先被送到各种挂钩函数, 然后交还控制权或将事件传递给下一个挂钩函数最终达到窗口函数。

当创建一个钩子时, Windows会先在内存中创建一个数据结构, 该数据结构包含了钩子的相关信息, 然后把该结构体加到钩子链表中去。新的钩子将加到老的前面。只要安装的钩子的消息事件类型发生, Windows就将调用钩子函数。譬如安装的钩子是WH_MOUSE类型, 那么只要有一个鼠标事件发生时, 该钩子函数就会被调用。

事件钩子函数使用的API函数如下:设置钩子:SetWindowsHookEx;继续钩子:CallNextHookEx;释放钩子:UnhookWindowsHookEx。

2 API函数挂钩

当需要修改程序的流程或添加功能时, 可以挂钩API函数。在Windows下, 主要有两种方式来对API函数挂钩, 一种是修改PE文件的IAT导入表, 使API地址重定向;另一种方式就是把在API函数开始地址的机器码改成jmp的指令的机器码, 来实现函数的跳转。

2.1 修改IAT导入表

PE结构的模块, 有一个IAT表, 保存着该模块使用到的API函数的地址, 在使用函数名隐式调用API函数时, 会先跳转到该IAT表中查找API的具体的函数地址, 再执行该API函数。所以, 基于这个原理, 我们可以使用修改IAT的方式来实现挂钩。

修改IAT导入表进行API挂钩的过程如下:用GetProcAddress获取API函数的地址;根据函数地址在IAT表中查找相对应的项;用VirtualProtect改变内存区域的读写性;修改IAT表中该项的数据为新函数的地址。

修改IAT表实现挂钩的优点是:实现简单, 对多种版本Windows系统支持较好;缺点是:对使用GetProcAddress显示调用的函数无效。

2.2 修改函数入口地址数据

函数执行都是从入口地址开始的, 如果把API函数入口的数据修改为一条跳转指令, 在该函数被调用时就能跳转到我们自己的函数。

修改函数入口的5个字节内容, 第一个字节设为0xe9是段内近跳转指令的机器码, 其余4字节是跳转地址偏移量, 计算方法为:新函数地址-原函数地址-5。当调用API函数时, 首先执行的是跳转指令, 跳转到新函数中执行, 从而达到挂钩的目的。

修改函数入口地址数据进行API挂钩的过程如下:用GetProcAddress获取API函数的入口地址;用VirtualProtect改变内存区域的读写性;计算地址便宜量, 设置5个字节数据并覆盖入口地址数据。

修改函数入口地址数据的优点是:通用性强, 所有的API函数都可以进行挂钩;缺点是在不同的操作系统中机器码可能不同, 跨平台效果不好。

3 跨进程挂钩

以上讨论的方法都是在同一进程中进行挂钩的方法, 跨进程挂钩要复杂一些, 因为每个进程都有独立的地址空间, 不能互相访问。跨进程挂钩API函数需要把挂钩函数放在DLL文件中, 让目标进程加载该DLL文件, 这样钩子函数代码就被加载到目标程序的地址空间中, 可以被访问了。

跨进程挂钩API函数需要把两种技术结合起来, 通过两次挂钩的方法实现。首先使用事件挂钩技术把准备好的DLL文件注入到目标进程当中去, 目标进程中事件发生时会调用DLL中的挂钩函数;在DLL挂钩函数中再使用API函数挂钩技术, 从而实现跨进程的API函数挂钩。

4 结束语

事件挂钩可以捕获系统事件, 对事件进行处理或过滤, 而API函数的挂钩能够修改程序的流程和行为, 增加了对程序控制的灵活性。把这两种挂钩技术结合起来就能实现对其它进程API函数挂钩, 进一步拓展了挂钩技术的空间。

参考文献

8.windows系统概述 篇八

不过，在平时工作过程中，要想用好自动更新功能，还需要掌握一些必备技巧。巧妙激活自动更新功能

有时候，想在线更新漏洞补丁程序，不过打开系统属性窗口，单击Windows Update按钮后，发现其后界面中所有功能选项都是灰色不可点状态，这样用户就无法使用自动更新功能。出现这种情况，很可能是Windows系统的自动更新功能被意外禁用了，此时可以按照如下步骤来重新激活自动更新功能：

首先依次单击系统桌面中的“开始”“运行”命令，切换到系统运行对话框，输入“gpedit.msc”命令，进入组策略对象编辑器，将鼠标定位到“本地计算机策略”“计算机配置”“管理模板”“windows组件”“Windows Update”目录上。

其次从目标目录下找到“配置自动更新”组策略选项，用鼠标双击该选项，打开所示的选项设置对话框，选中“已启用”选项，再按“确定”按钮保存设置操作，这样自动更新功能就能恢复正常了。

删除重复自动更新项目

有些用户在成功安装Windows XP SP2系统后，打开系统属性界面，可能会看到两个完全一样的“自动更新”功能按钮。虽然点击这些功能按钮后，都能发挥作用，但是会让人看了不顺眼。如果希望将重复的自动更新项目删除一个，可以按照如下步骤来操作。

首先逐一点选“开始”“运行”命令，在弹出的命令输入框中，输入“regedit”命令按回车后，切换到系统注册表编辑界面中，找到该界面左侧区域的“HKEY_LOCALMACHINE＼SOFTWAREXMicrOsOft＼Windows＼CurrentVersion＼ControlsFolder／System／shellex／PropertySheetH andlers”注册表分支。

其次在目标分支下面，我们能同时看到两个名为“AutoUpdate Property”的键值，任意选择其中一个，并用鼠标右键单击之，执行右键菜单中的“删除”命令，再重新启动计算机系统即可。

不让自动更新频繁提示

为了预防日渐增多的网络病毒攻击，不少用户往往会将Windows系统设置成自动下载并安装更新系统文件，以及时安装各种漏洞补丁程序。可是，Windows系统在自动更新完最新补丁程序之后，往往会要求用户执行重新启动操作，虽然用户能够选择暂时不重启系统，但是默认每过十分钟时间，系统就会弹出一次重新启动提示框，正在进行的工作常常因此被打断，让人非常恼火，如何禁用系统更新的重启提示呢?很简单!只要将Windows自动更新功能提示重新启动的默认参数作出适当调整即可，下面就是具体的调整操作步骤：

首先依次单击系统桌面中的“开始”“运行”命令，切换到系统运行对话框，输入“gpedit.mse”命令，进入组策略对象编辑器，将鼠标定位到“本地计算机策略”“计算机配置”“管理模板”“windows组件”“Windows Update”目录上，在目标目录下找到“对计划的安装再次提示重新启动”组策略选项。

其次用鼠标双击目标选项，打开组策略属性对话框，先选中“已启用”选项，再在“等待时间”位置处将默认的10分钟调整为更长的时间，例如我们可以输入240分钟，再按“确定”按钮执行设置保存操作，这样系统日后会每隔4小时，才会弹出一次重新启动系统提示框。当然，用户也可以选择完全禁用重新启动功能提示，只要双击“本地计算机策略”“计算机配置”“管理模板”“Windows组件”“Windows Update”目录下的“计划的自动更新安装后不自动重启动”组策略，选择其后界面中的“已启用”选项即可。

恢复受损自动更新功能

许多用户发现自己的计算机系统运行速度变慢时，往往会使用专业优化工具给系统进行全面优化，不过在优化操作结束之后，反而容易导致系统发生更多奇怪故障。这不，笔者曾经对系统执行优化之后，发现点击系统中的“自动更新”功能按钮后，系统竟然弹出一个空白窗口，无法进行下载更新。

系统自动更新功能之所以会受到损坏，可能是专业优化工具在优化系统时，意外破坏了Vbscript.dll、Jscript.dll等DLL文件的注册信息，这些信息与系统自动更新功能的正常运行息息相关。为此，我们可以尝试重新注册这些DLL文件，来恢复受损的windoWS系统自动更新功能，具体方法为：

依次单击“开始”“运行”命令，弹出系统运行对话框，输入“cmd”命令并按回车后，切换到DOS命令行工作窗口，在该窗口命令行提示符下，执行“reg 8vr32jbcript.dii”命令，重新注册一下Jscript.dll文件执行“regsvr32vbscript.dll”命令，重新注册一下Vbseript.dli文件，最后重新启动计算机系统，这样说不定能成功恢复受损自动更新功能了。

如果上述方法无法解决问题时，可以找一台Wind0WSUpdate程序工作正常的计算机系统，打开该系统的资源管理器窗口，切换到子文件夹窗口“C：＼Windows＼System32”中，将“Olep r032，dll”、“Asycfilt.dll”、“Stdole2.tlb”、“Oleaut32.dll”这几个文件选中并执行拷贝操作，之后将这些文件同时粘贴到故障计算机系统中的“C：＼Windows＼System32”文件夹下，来直接覆盖同名文件，再将计算机系统重启即可。

当然，一些优化工具在执行优化操作时，有时会强行停用“Automatic Updates”系统服务，而只有在该系统服务工作正常的时候，自动在线更新功能才能发挥作用。所以，遇到自动更新功能受损时，检查“Automatic Updates”服务工作状态是否正常也很重要，在进行检查时，可以先打开系统运行对话框，执行“services.msc”命令，切换到系统服务列表界面，双击“Automatic Updates”选项，打开目标系统服务属性界面，在“常规”页面中要是看到该服务被停用时，只要按“启动”按钮，就能将它恢复运行了。此外，笔者曾经对自动更新升级操作前后的系统服务工作状态进行了认真比对，看到Windows Update服务除了与“Automatic Updates”这个服务有关外，有时还与“Background IntelligentTransfer Service”、“TaskScheduler”、“WindoWSTime”这几个服务有关，要是用户采用常规方法依次检查、恢复这些服务工作状态时，显然会降低工作效率。其实，用户可以借助超级兔子之类的专业优化工具，先将系统所有服务工作状态快速恢复到缺省状态，再采用手工方法修改、设置好“Backg roundInteligentTransferService”这些与自动更新操作有关的系统服务。

禁止自动更新强行重启

在Windows 2008系统环境下，遇到“重新启动系统以便完成安装更新”这样的系统提示时，要是选择延迟启动系统的话，WindoWS系统自动更新功能可能会随时强行关闭所有工作窗口，从而造成用户正在进行的工作白白浪费，之所以发生这种现象，主要是Windows 2008系统的自动更新功能新增了强行重启功能。为了防止工作信息突然丢失，我们只要进行如下设置操作，禁止自动更新功能强行重启系统：

首先单击Windows 2008系统桌面上的“开始”、“运行”命令，在系统运行框中执行“regedn”命令，弹出系统注册表控制台窗口，将鼠标定位到该窗口左侧区域的KEY_LOCAL_MACHINE＼SOFTWA REkP oli cie s＼MicrosOft＼Wind ow s＼Window sUpd ate＼AU分支上，用鼠标右键单击该分支，从右键菜单中依次选择“新建”“Dword32”命令，手工创建一个名为“NoAutoRebootWithLoggedOnUsers”的双字节键值。

其次用鼠标双击“NoAutoRebootWithLoggedOnUsers”双字节键值，切换到设置对话框，输入数字，单击“确定”按钮保存设置操作，再重新启动计算机系统，这样自动更新功能日后就不会强行重启系统了。

提高自动更新工作效率

尽管WindoW8系统自动更新功能可以及时安装更新漏洞补丁，保护系统运行安全，但是每次在上班时间自动运行，显然会影响上网流畅性，同时也会影响工作效率。事实上，我们可以巧妙设置自动更新功能工作时间，让其错开上网访问高峰时段，从而提高自动更新工作效率。

在进行这项设置操作时，只要依次单击“开始”“控制面板”命令，打开系统控制面板窗口，双击“WindowsUpdate”图标，按下其后界面中的“更改设置”按钮，切换到设置界面，在“自动安装更新”位置处，设置好自动更新功能的工作时间，确保该时间与上班时间错开，同时选中“检查更新，但是让我选择是否下载和安装更新”选项，再单击“确定”按钮执行设置保存操作，这样自动更新功能日后会征求我们同意，才能进行下载更新操作。解决自动更新时的错误

有的时候，使用Windows系统自带的Windows Update服务，在线更新安装漏洞补丁程序时，突然会遭遇无法更新安装的故障，并且系统还会出现8024402f错误的报警提示，即使重试若干遍，可能依然不能解决问题。事实上，在更新安装漏洞补丁程序的时候，Windows Update可能会出现各种类型的更新错误，而其中以8024402f错误发生的频率是最高的。

之所以会出现这种类型的错误，主要是由于本地计算机系统与Windows Update服务器之间的网络连接不稳定。此时，我们不妨可以避开上网高峰期时段再试，看看是否可以让Windows Update服务正常工作。要是上述错误还是不断出现的话，那多半是本地计算机中某个正在运行着的应用程序拦截了自动更新安装操作，这些应用程序可以包括系统防火墙、防病毒软件、代理服务器程序、反间谍软件以及其他具有拦截功能的程序，此时只要在更新安装的时候暂时关闭这些应用程序，或者对这些拦截程序进行合适设置，就能解决问题了。

提高自动更新成功率

在利用Windows系统内置Windows Update服务在线升级时，要是IE浏览器自身设置不合适，它会给自动更新安装操作带来许多麻烦，从而影响操作成功率，例如IE浏览器的安全等级如果设置得过高时，会对安装更新操作增加安全审查环节，甚至有的升级脚本运行权限会受到限制。为了让Windows Update服务运行更顺畅，我们可以按照如下步骤设置IE浏览器，让其更加智能、快速地处理自动升级过程中的一些脚本程序：

首先启动运行IE浏览器程序，打开浏览界面中的“工具”菜单项，点选下拉菜单中的“Internet选项”命令，切换到Internet选项设置对话框，点选其中的“安全”选项卡，按下对应选项设置页面中的“受信任的站点”按钮，弹出的设置对话框，单击这里的“站点”按钮，打开可信站点列表界面，将Windows Update服务器地址“http：／／update.microsoft.com”正确输入到“将该网站添加到区域中”位置处，同时按“添加”按钮，这样Windows Update服务器站点就变成了“受信任站点”了，之后单击“确定”按钮返回。

9.windows系统概述 篇九

windows日志作为系统的重要组成部分，记录着系统的各个信息，它对系统的稳定性、可靠性及安全性都起来非常重要的作用。然而，老练的 会在入侵成功并干完他们想干的事情后，在离去之前清除对他们不利的日志，

留给管理员的，通常是一个空白的或是一大推事不关已的日志等着他去看。本文试着作为管理员的角度来保护系统的日志。包括日志文件的保护、日志文件的备份，以及将备份下来的日志通过邮件发送到指定邮箱。

原文转自：www.ltesting.net

10.windows系统概述 篇十

在使用Windows 98的过程中，我们经常会碰到各种各样的故障。轻则系统频繁出错，重则系统崩溃。今天，我们来看一看四例常见的软性故障，分析一下现象，教会你如何轻松排除它们。

一、Windows 98保护错误故障

故障现象：

开机或安装新软件后重新启动计算机时，硬盘指示灯闪了许久，屏幕上出现“Windows protection error. Yout need restart your computer.”(Windows保护出错，需重新启动计算机)。按照提示进行热启动，则进入Safe Mode(安全模式)启动Windows 98，启动成功后在控制面板中查看系统配置状况，未见异常。从开始菜单中关闭系统重新启动计算机，错误信息再次出现，陷入死循环。

故障分析：

故障原因是注册表包含了引用不存在或已损坏的文件的注册表项，而注册表检查程序不会修复该注册表项，从而使启动失败。新安装的软件不完善或与Windows的兼容性不好，或对Windows的误操作，都可能破坏注册表包含的文件，造成Windows保护错误故障。

故障排除：

按以下步骤操作，可以达到修复损坏文件、恢复系统的目的。

(1)启动时按Ctrl键进入“StarupMenu”(启动菜单);

(2)选“step-by-step confirmation”启动计算机;

(3)按ESC键忽略config.sys和autoexec.bat，加载其它程序项;

(4)启动成功后，放入Windows 98系统盘，从“控制面板”中选“添加/删除程序”，再选“Windows安装程序”选项;

(5)复选任意项组件，确定从磁盘安装。

二、虚拟设备驱动程序丢失或损坏故障

故障现象：

在Windows 98下运行各种软件时，点击桌面快捷方式无效，出现“Windows无法找到files32.vxd”，该程序用于打开应用程序类型的文件。

故障分析：

后缀为VxD的文件是Windows 98的“虚拟设备驱动程序”。如果VxD文件被破坏或遗失，则Windows 98将提示是哪个VxD文件遗失。如果遗失的VxD文件对Windows 98非常重要，那么计算机就无法启动到图形界面，只能启动到字符界面。而总是反复装删新软件，必会导致注册表内容混乱，且注册表又包含了引用不存在的或已经损坏了的文件，比如“*.vxd”文件，注册表检查程序不可能修复注册表项。

故障排除：

按以下步骤操作，可恢复有故障的系统。

(1)启动时按Ctrl键进入“Starup Menu”(启动菜单);

(2)选“step-by-step confirmation”启动计算机;

(3)按ESC键忽略config.sys和autoexec.bat，加载其它程序项;

(4)点击“控制面板”下的“添加/删除程序”，并选“Windows安装程序”;

(5)随意找出一项组件，去掉复选框的“√”，按“确定”，删除后再将其打上“√”，然后再按“确定”;

(6)将Windows系统安装盘放进光驱，按“确定”，并开始安装(补洞);

(7)重新启动计算机，即可恢复正常。

三、VxD导致Windows 98内存“丢失”

故障现象：

在使用Windows 98时，有时会遇到系统报告的内存与实际数量不一致的情况，常见的如128M的内存在“系统→属性”里却只显示127M或者更少等，这会在一定程度上影响系统的性能，但许多用户往往会忽视这引起各种系统故障的病根，

故障分析：

导致内存“丢失”的原因很多，如在启动Windows之前加载了实模式的驱动程序(如smartdrv)，加载了与Windows不兼容的虚拟设备驱动程序(*.vxd程序)等，且后者更难以解决。首先要确定系统内存“丢失”的原因，方法是：

(1)单击“开始”菜单，打开“运行”对话框;

(2)在运行对话框中输入“msconfig”并确定，启动系统配置实用程序;

(3)在“常规”选项卡里复选“选择性启动”选项;

(4)清除“处理System .INI文件”前的“√”，并单击“确定”，重新启动计算机。

故障排除：

重新启动后，再次查看系统内存。如果Windows报告的内存数量依然不正确，则说明系统内存“丢失”与虚拟设备驱动程序无关，那么重复以上步骤，并在“常规”选项卡中复选“正常启动”选项，恢复系统原有配置;如果Windows报告的内存数量正确，则说明系统内存“丢失”是由于加载了不正常的虚拟设备驱动程序造成的。对此，可以按以下步骤确定引起故障的文件：

(1)启动“系统配置实用程序”;

(2)在对话框中选择“System .INI”选项卡来打开“System .INI”文件列表;

(3)双击“[386Enh]”小节，可以发现“[386Enh]”小节中有的命令行的左边有Windows徽标，而有的命令行左边没有Windows徽标。这些没有Windows徽标的命令就是加载的虚拟设备驱动程序，清除命令行旁的“√”，就可禁止Windows 98启动时加载该虚拟设备驱动程序。可以逐一取消各个命令行后的“√”，然后重新启动计算机来查找问题所在。

(4)重新启动计算机后，若系统报告的内存与实际内存相符，则说明正是该行命令做加载的虚拟设备驱动程序造成Windows 98系统内存丢失;若系统报告的内存数量仍然不对，则重复以上(1)~(3)步，再启动计算机，重复上述步骤，直至找出导致Windows 98内存丢失的虚拟设备驱动程序。

四、Windows 98启动故障

本人在Win 98启动与关闭故障深入分析一文中曾对这个问题做过深入分析，这里就启动故障的一个具体问题再作详细的解决。

故障现象：

Windows 98不能正常启动，也不能进入安全模式启动。

故障分析：

如果能进入安全模式，问题一般都不大，这是由于硬件冲突或是自动启动软件所造成;若不能进入安全模式，则说明Windows 98可能出现了严重错误。

故障排除：

首先，用杀毒软件查杀病毒，检查是不是病毒造成的。然后在重新启动时按下F8键，一般会出现6个选项(如果安装了DOS 6.22则出现7个选项)。选择第4项“step-by-step confirmation”进入单步运行方式。接着屏幕会出现Process the system registry [Enter=Y，ESC=N]?选项，如果按下Y，计算机就死机。这时可以重新启动按F8键，选第4项后，只在Device=C:Windowshimem.sys这一项上按Y，其余的按N，然后在DOS提示符下输入Scanreg/fix修复注册表或者是Scanreg/restore恢复到以前系统自动备份的注册表后，再重新启动即可。

在出现Create a startuplog file(BOOTLOG.TXT)[Enter=Y，ESC=N]时选择Y建立Bootlog.txt文件，可以检查启动过程中各个系统文件装载的情况。如果在装载某个.vxd文件时死机，可以到其他计算机上将该.vxd文件拷贝过来。如果还不行，就在启动时按F8后选择第5项Command prompt only 后，用edit打开bootlog.txt。在这个文件中如有[XXXXXXXX]Load Vxd=vmouse表示装载vxd文件在内存地址为XXXXXXXX，[XXXXXXXX]LoadSuclearcase/“ target=”_blank“ >ccess=vmouse表示装载成功;如果显示的是Loadfailed或者是DEVICEINITFILED，那么一定要注意是什么文件出错了。一般来说，如果是vxd文件，可以到其他计算机上把这个文件复制过来;如果是DEVICEINITFILED，可以把驱动程序中相应文件重新复制一个过来。比较特殊的不能进入安全模式的情况是，如果一启动就出现”现在可以安全地关闭计算机了“，一般是因为Windows的system目录的vmm32.vxd被破坏，可以到其他计算机上复制一个过来。

11.windows系统概述 篇十一

Windows 的HTML帮助系统的设计目的是通过图形、多媒体和链接信息帮助PC用户更好地使用Windows，但是黑客可以利用这个系统来进入您的文件，甚至控制您的PC。

最新发现的两个HTML帮助系统的漏洞可以侵袭Windows XP和2000的任务管理器，并且这样的漏洞在早期的Windows版本像Windows 98/98 SE/Me中也同样存在。

不幸的是目前微软还没有针对早期的Windows版本开发出修补方案，微软的解释是早期的Windows版本对任务管理器bug不太敏感。

目前黑客还没有针对HTML帮助系统的漏洞开发出恶意攻击程序，但会强迫用户访问一些特定的网站。

像微软产品中的其它安全漏洞一样，黑客可以利用HTML帮助系统漏洞向机器发送一些系统错误。

微软将HTML帮助系统漏洞设定为“危险”级，因为如果黑客利用成功就可以完全接管用户的PC，并因此可以自如地管理或者偷盗用户文件，甚至完全破坏硬盘上的所有文件。

微软已经为Windows XP和2000发布了补丁，如果您使用Windows XP，我们推荐您使用SP2，目前微软还没有发布Windows 98和Me的补丁。

虽然目前还没有针对此漏洞的攻击报告，但不要心存侥幸。到http://www.microsoft.com/technet/security/bulletin/ms04-023.mspx去下载针对此漏洞的修补补丁并获得更多技术信息，到http://www.microsoft.com/technet/security/bulletin/ms04-022.mspx获得任务管理器修补补丁，这些补丁都已经包含在SP2中。

Dell 召回笔记本电脑电源适配器

Dell公司正在召回28000个Latitude系列和Inspiron系列笔记本电脑的部分电源适配器，这些笔记本电脑包括Latitude X300、D400、D500、D505、D600 和D800， Inspiron 300m、 500m、510m、600m、I8500、I8600 和 Precision M60，2003年11月到2004年4月间售出的这些笔记本电脑产品中，电源适配器上标注了"DELL"和 "Dell P/N W1451"的，都在召回之列。 详情咨询：http://support.dell.com/support/topics/global.aspx/support/kb/en/document?c=us&cs=19&DN=1090291&l=en&s=dhs

IBM召回旧款笔记本电脑电源适配器

IBM宣布召回于1999年1月至2000年8月期间装配在IBM ThinkPad 笔记本电脑上的56W交流电源适配器。装配有这些适配器的IBM产品主要是ThinkPad I系列、390和240、及S系列(未在中国大陆销售)笔记本电脑。目前上述系列的笔记本电脑已经停止销售。

这批适配器由德尔塔（Delta）电子集团为IBM制造生产。召回适配器的IBM零部件编号为02K6549，在连接处有三个空心金属插针。

IBM提醒拥有这批适配器的用户，当本人不在现场时，请不要将适配器插在任何交流电源插座上。同时，替换产品可通过访问更换网站获取： www.AdapterProgram.com 详情请咨询IBM服务中心800-810-1818转5070，该电话开通时间为周一至周五上午8：30— 下午5：30 (节假日除外)。

Red Hat企业版3进行第3次升级

Red Hat网络用户现在可以通过up2date特性进行在线升级，以体验不同的技术改进。目前新的升级版本在RHN（Red Hat Network ）的下载站点上还只提供beta版ISO镜像下载，不过正式版的也将很快被公布出来。

利盟召回存在安全隐患的打印机

利盟公司近日宣布召回2004年5月~8月间生产的部分可能存在漏电隐患的打印机，这些产品通过利盟、IBM和戴尔出售，其中包括利盟E232、E232t、E330、E332n和E332tn，戴尔1700和1700n，IBM Infoprint 1412和1412n，目前国内市场只有E332和E230两款产品存在问题，对于出现该问题的产品，利盟一律实行免费更换或维修。如果您使用这两款型号的打印机，请尽快跟利盟中国（800-810-0595）联系。

您在日常的使用过程发现的产品硬件和软件漏洞、缺陷，请告诉我们xu_chuanchao@ccw.com.cn,除了帮您提供解决方案外，您还将有机会加入PCWORLD会员俱乐部，获得多种增值信息服务。

新的IE补丁包

微软新发现了3个最新的“危险”级的IE安全漏洞，其中的一个与7月份发作的"download.ject" 和 "Scob" 病毒很像，攻击者可以接管用户的键盘。

12.windows系统概述 篇十二

在气象通信工作中, 发送报文是气象保障的重中之重, 为了通信安全, 主要服务器多采用Linux的不同版本, 在此情况下, 就会经常需要由windows系统远程登陆到Linux系统进行键入命令行来进行各种操作。需要熟记Linux命令而且比较繁琐, 对于大多习惯于Windows平台下使用的用户来讲, Linux下的命令行操作会认为是较为困难的一件事情, 并且也容易出错。笔者在对Linux系统进行深入研究后, 总结了一些经验, 为了更好地提高工作效率, 适应大多数人的工作需要, 开发了本系统。

2系统总体设计

2.1 系统设计背景及目标

随着科技的发展, 气象传输资料种类的增多, 对传输质量的要求逐步增加, 为此国家气象局新上了一套“新一代国内气象通信系统”, 虽已投入正式业务运行, 但因为集群的庞大致使维护起来比较繁琐, 并且有时会有压报现象的出现, 为保证我省的上传及时率, 信息网络采用了备份单机, 作为传输的另一种保障。由于每小时资料的传输时效非常短, 报文由各个台站上传至省中心后打包仍需要一个过程, 为保证传输及时率, 也方便值班人员的维护, 和能在故障出现时有更多时间处理故障, 特编写了在Windows操作平台上通过客户端一键点击操作备份Linux服务器内脚本, 达到手工补传报文的功能。

系统建设目标是综合应用Windows和Linux服务器技术、C#技术, 依托网络, 从Windows服务器上对Linux服务器上写好的Bash脚本进行一键式跨平台操作, 实现替代值班人员手工补传报文的效果。

2.2 系统体系结构设计

系统的体系结构设计决定了系统各项软件功能的分配, 本系统采用结构化设计方法进行系统设计, 所提出的解决方案是:选择两层C/S网络结构, 分别是客户机和服务器两部分。客户机部分负责执行前台功能, 如服务器登陆和操作脚本等;而服务器部分执行后台服务, 如执行脚本和传输报文等。

2.3 功能模块设计

本系统分为3个模块:登陆模块、发报模块、日志记录显示模块。

2.3.1 登陆模块

首先, 要对某个服务器进行操作就必须要先登陆服务器, 登陆服务器时本系统采用了SSH技术, 通过程序集的方式创建SSH对象实例, 并配合使用动态连接库来完成两种操作系统间的远程交互及应用管理, 从而解决windows对Linux系统的操作过程。

2.3.2 发报模块

采用了SSH实例创建配置 Unit、命令执行Execcmd、状态监控脚本Monitor Bash、文件分发脚本FTP Bash进行封装, SSH Unit中通过设置私钥与服务器端公钥进行匹配, 使用C#代码调用服务器写好的各Bash脚本进行分类发报, 以达到取代手工操作, 节省故障处理时间的效果。

2.3.3 日志记录模块

本模块分为2个部分:第1个部分在界面的右侧显示框里直接显示Linux操作系统界面的显示内容, 方便值班员确认报文的发送情况, 所发报文的文件名和文件发送过程一目了然, 并在最后提示发送成功, 方便程序使用情况的掌握。第2部分在程序所在文件夹的日志目录内将操作情况以文本形式记录精确到秒, 方便对服务器操作情况的查阅, 便于对程序使用情况的跟踪和掌握, 方便程序的不断完善。

3系统关键技术

3.1 SSH技术

SSH (Secure Shell) 可以把所有传输的数据进行加密, 从而有效的防止了窃取, 劫接和网络攻击, 增进了系统安全性。[1]本系统采用了封装的方式将SSH的主要使用部分封装在程序内, 尽可能的减少了程序对系统资源的占用。此模块还采用了登陆之后必须点击断开方能关闭程序的设计, 减少了误操作对程序使用过程中的影响。

3.2 C#技术

C#是Microsoft开发的一种由C和C++衍生出来的面向对象的编程语言, 目的是综合Visual Basic的高生产力和C++的行动力[2]。

3.3 Bash脚本技术

Bash是“Bourne-Again shell”首字母的缩写, bash脚本可以通过将系统调用, 公共程序, 工具和编译过的二进制程序粘合在一起来建立应用[3]。

4系统使用方法

主机名、用户名、密码是可以直接写在填写框里面的, 方便操作过程中核对是否有输入错误, 并自动记忆上次输入内容, 填写完毕以后点击连接按钮, 直接连接到服务器上, 下面是对具体报文种类的发报按钮, 直接点击则报文会直接发至国家局服务器, 将Linux所作操作直接显示在右侧日志记录板块, 并且产生文本日志于日志文件夹内, 方便对所作操作的查询。点击断开按钮则断开与服务器的连接, 之后才能关闭此软件。

5结语

本系统采用在Windows平台下, 采用使用用户点击按钮的形式达到对Linux系统内的Bash脚本直接命令行操作的方式, 减轻了值班人员值班的工作量, 缩短了执行操作的时间, 提高了传输的及时率。本系统界面一目了然, 操作简单明了, 日志记录准确详细, 是提高传输率的好帮手。

参考文献

[1]张丽, 梁斌, 周淑萍.利用SSH的密钥对建立安全通道[J].微计算机信息, 2006, 28 (03) :81-83.

[2]刘甫迎, 刘光会, 王蓉.C#程序设计教程 (第2版) [M].电子工业出版社, 2008, 28 (03) :6.

13.windows系统概述 篇十三

CNL 回复于：-10-21 16:28:36谢谢共享，需要的快看啦!

AnEagle 回复于：2004-10-27 17:21:25具体的实施步骤和分析见“濉溪县农信联社业务网主机系统性能优化实施方案”

楼主太幽默了，在哪里找到的?

zhaobincn 回复于：2004-11-07 02:26:00SKKEEP兄弟你已收藏完了吧

zhyesno 回复于：2004-11-07 08:44:29呵呵，收藏一下，

........Windows系统

，

。。：)

14.windows系统概述 篇十四

(这个是转贴，希望给大家提供帮助，更好地理解/proc文件系统)

不只一次的有人问我关于/proc文件系统，那是什么，那些巨大的文件在那里做什么?我可以删除它们吗?本文将详细介绍/proc文件系统，描述一些工具，你可以通过这些工具领略/proc的威力。最后有一个例子程序，演示了系统管理员如何与/proc交互。

◆介绍/proc

在过去那些糟糕的日子里，只能通过直接访问内核内存(/dev/kmem)获取进程数据，比如运行ps(1)命令时。为了实现这种访问，需要超级用户权限，而且步骤相当复杂。Sun公司从UNIXSVR4开始解决了进程数据访问问题，现在，可以简单地通过/proc访问进程数据。

/proc文件系统不是普通意义上的文件系统，它是一个到运行中进程地址空间的访问接口。通过/proc，可以用标准Unix系统调用(比如open、read()、write()、ioctl()等等)访问进程地址空间。事实上，Solarisps(1)命令正是利用/proc获取进程状态。

S(l)进程状态:

O正在运行

S休眠:进程正在等待某个事件发生/完成

R可运行:进程位于运行队列中

Z僵尸状态:进程结束了，但是其父进程未处理SIGCHLD信号

T进程暂停:可能是任务控制信号所致，或者正在被

跟踪调试

/proc下的大文件对应运行中进程的地址空间，不是标准Unix文件。事实上每个文件名对应运行中进程的PID，文件属主、属组对应进程拥有者的real-uid和primary-gid。权限控制与普通Unix文件一样。文件大小是最令人迷惑的地方，事实上相当好理解，对应进程内存映像大小，并不真正占用硬盘空间，所以你不必担心空间浪费的问题。不要企图删除这些文件!观察图A中列举的/proc例子：

--------------------------------------------------------------------------

$ls-l/proc

total43384

-rw-------1rootroot0Apr220:0700000

-rw-------1rootroot393216Apr220:0700001

-rw-------1rootroot0Apr220:0700002

-rw-------1rootroot0Apr220:0700003

-rw-------1rootroot1695744Apr220:0700081

-rw-------1rootroot1597440Apr220:0700083

-rw-------1rootroot1777664Apr220:0800096

-rw-------1rootroot1683456Apr220:0800099

-rw-------1rootroot1589248Apr220:0800101

-rw-------1rootroot1445888Apr220:0800116

-rw-------1rootroot1404928Apr220:0800126

-rw-------1rootroot798720Apr220:0800135

-rw-------1rootroot1368064Apr220:0800195

-rw-------1rootroot1585152Apr220:0800197

-rw-------1rootroot1368064Apr220:0800200

-rw-------1rootother225280Apr220:0800201

-rw-------1rootroot1454080Apr220:0800203

-rw-------1rootroot1519616Apr220:1400243

-rw-------1rthomaswheel1499136Apr220:1400245

-rw-------1rthomaswheel806912Apr220:1600261

$

图A:/proc例子

--------------------------------------------------------------------------

操作/proc下文件的方式和操作普通Unix文件一样，可以使用所有你熟悉的系统调用，包括ioctl()。在内核中，针对/proc下文件的vnode操作被转向procfs。这意味着操作vnode的系统调用(比如lookuppn())实际上最终转向procfs-savvy系统调用(比如prlookup())。

◆/proc能告诉我什么

Solaris下使用/proc的工具相当完善，位于/usr/proc/bin目录中。这些工具提供了一种访问任意指定进程临界数据的简捷办法。比如，想知道一个进程已经打开了多少文件，你可以使用crash(1M)(见鬼，我不会)，但是你是root吗?不必担心，可以用/usr/proc/bin/pfiles获取这种信息，图B演示了pfiles(1)命令的使用：

--------------------------------------------------------------------------

[scz@/export/home/scz]>ps

PIDTTYTIMECMD

637pts/30:00bash

[scz@/export/home/scz]>pfiles637

637:-bash

Currentrlimit:64filedescriptors

0:S_IFCHRmode:0620dev:151,0ino:196787uid:500gid:7rdev:24,3

O_RDWR

1:S_IFCHRmode:0620dev:151,0ino:196787uid:500gid:7rdev:24,3

O_RDWR

2:S_IFCHRmode:0620dev:151,0ino:196787uid:500gid:7rdev:24,3

O_RDWR

3:S_IFDOORmode:0444dev:191,0ino:1618164880uid:0gid:0size:0

O_RDONLY|O_LARGEFILEFD_CLOEXECdoortonscd[213]

63:S_IFCHRmode:0620dev:151,0ino:196787uid:500gid:7rdev:24,3

O_RDWRFD_CLOEXEC

[scz@/export/home/scz]>

图B:使用pfiles(1)命令

--------------------------------------------------------------------------

正如上面演示的，/usr/proc/bin下的命令使用很简单，只需要在命令行上指定PID。然而，留心权限许可设置，与所有普通Unix文件一样，你无权访问那些权限设置上禁止访问的指定PID的进程数据。

花点事件看看proc(1)手册页，熟悉其中介绍的命令，你将学会列举指定进程相关的库、进程信号设置、进程信任设置，你甚至可以暂停、重启进程，

◆编写/proc工具

/proc的魅力在于它包含了你可能想知道的关于一个进程的任何信息，你只需要简单地从中获取。/usr/include/sys/procfs.h文件中定义了两个结构，prstatus和prpsinfo，从中可以获取指定进程的很多信息。下面是个例子，开发者想知道他的应用程序究竟占用了多少内存。简单!ls/proc就可以知道了。但是，他还想知道更多细节，他需要知道总的映像大小、常驻部分的大小、堆区(heap)大小、栈区(stack)大小。此外，他希望能够定期跟踪这些数据信息，类似vmstat(1M)那种方式。如上所述，听起来象是一个令人生畏的任务。

译者:Solaris2.6开始这两个结构定义在/usr/include/sys/old_procfs.h文件中

然而，通过使用/proc文件系统，我们可以使这项编程挑战变得容易些。我们写的这个工具称做memlook，将显示指定PID对应的内存统计信息。此外，可以在命令行上指定一个时间间隔，以便定期重新检测内存利用信息。图C演示了一次简单的输出：

--------------------------------------------------------------------------

$memlook245

PIDIMAGERSSHEAPSTACK

24514991361044480245818192

$

图C:memlook的输出举例

--------------------------------------------------------------------------

下面是memlook.c的源代码

--------------------------------------------------------------------------

/*

*@(#)memlook.c1.010Nov

*RobertOwenThomasrobt@cymru.com

*memlook.c--Aprocessmemoryutilizationreportingtool.

*

*gclearcase/“ target=”_blank“ >cc-Wall-O3-omemlookmemlook.c

*/

#pragmaident”@(#)memlook.c1.010Nov1997RobertOwenThomasrobt@cymru.com“

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

intcounter=10;

intshowUsage(constchar*);

voidgetInfo(int,int);

intmain(intargc,char*argv[])

{

intfd,pid,timeloop=0;

charpidpath[BUFSIZ];/*/usr/include/stdio.h:#defineBUFSIZ1024*/

switch(argc)

{

case2:

break;

case3:

timeloop=atoi(argv[2]);

break;

default:

showUsage(argv[0]);

break;

}/*endofswitch*/

pid=atoi(argv[1]);

sprintf(pidpath,”/proc/%-d“,pid);/*-表示向左靠*/

if((fd=open(pidpath,O_RDONLY))<0)

{

perror(pidpath);

exit(1);

}

if(0

{

for(;;)

{

getInfo(fd,pid);

sleep(timeloop);

}

}

getInfo(fd,pid);

close(fd);

exit(0);

}/*endofmain*/

intshowUsage(constchar*progname)

{

fprintf(stderr,”%s:usage:%s[timedelay] “,progname,progname);

exit(3);

}/*endofshowUsage*/

voidgetInfo(intfd,intpid)

{

prpsinfo_tprp;

prstatus_tprs;

if(ioctl(fd,PIOCPSINFO,&prp)<0)

{

perror(”ioctl“);

exit(5);

}

if(ioctl(fd,PIOCSTATUS,&prs)<0)

{

perror(”ioctl“);

exit(7);

}

if(counter>9)

{

fprintf(stdout,”PID IMAGE RSS HEAP STACK “);

counter=0;

}

fprintf(stdout,”%u %-9u %-9u %-15u %-15u “,pid,

(unsignedint)prp.pr_bysize,(unsignedint)prp.pr_byrssize,

(unsignedint)prs.pr_brksize,(unsignedint)prs.pr_stksize);

counter++;

}/*endofgetInfo*/

--------------------------------------------------------------------------

译者:作者这里利用了ioctl()，而不是直接读取/proc下文件，这样做的好处在于即使系统升级后/proc布局改变，内核中相应ioctlcmd支持也随之改变，对于应用层的开发者，接口一样，源代码可平稳移植。事实上从作者前面举例来看，memlook.c是在Solaris2.6以前的版本上开发的，但我并未修改就可以直接用在Solaris2.6上，虽然此时/proc布局已经发生重大变化。

仔细阅读prstatus和prpsinfo结构，寻找那些你敢兴趣的成员。在未能真正掌握这种技术之前不要针对/proc文件系统使用write()或者ioctl()。针对特定进程胡乱做write()调用，结果未知。

◆结论

当痛苦调试程序或者试图获取指定进程状态的时候，/proc文件系统将是你强有力的支持者。通过它可以创建更强大的工具，获取更多信息。

:em02::em02::em02::em02::em02::em02:

climbmount 回复于：-12-18 13:26:45好文章，来得真及时。

.netfrihor 回复于：2004-12-18 16:00:04不错

顶一下

急不通 回复于：2004-12-21 09:41:24好文。byetheway，在linux下面的/proc也是类似的吗?

飞天二狭 回复于：2004-12-21 22:40:56linux下面当然有了。

15.windows系统概述 篇十五

微软高管史蒂夫·特谢拉介绍并展示了微软正在开发的新一代车载娱乐系统。一直以来,包括福特、起亚、宝马、日产菲亚特等在内的汽车厂商一直在使用微软特别版的Windows系统来打造自己的车载娱乐系统,目前微软开始准备另外一个版本。谢特拉表示,微软已经在模拟器和真正的汽车上对新版车载Windows系统进行了测试。除了搭载嵌入式Windows的车载信息娱乐系统外,微软还希望将Windows设备引入车内,谢特拉表示,“我可以直接将我手机上的内容投射到车载信息娱乐系统中。”微软目前的雏形采用了MirrorLink“车联网”标准,原型产品在汽车中控台屏幕并不是简单地投射了手机的用户界面,该车载系统具有很明显的微软特色,包括开发者可以开发专门为汽车设计的应用;有些地方出现了应用商店;界面看上去很像迷你版的Windows 8;磁贴和主界面以及收音机、地图和应用之间可以通过滑动切换。

16.windows系统概述 篇十六

巧用Nircmd工具改造音量

大家知道，无论采用哪个账号登录系统，Windows 7系统默认音量都是相同的 。不过，在公共场合下多人共用Windows 7系统时，年纪大的用户听觉不灵敏，登录系统时喜欢将音量调整得大大的，而年轻一点的用户每次使用电脑时，首先要做的事情就是将电脑音量调小一些。那么能否找到一种合适办法，让Windows 7系统智能控制电脑音量，让不同用户登录系统时可以获得与自己听力相适应的音量呢？很简单！利用一款小巧的命令行管理工具Nircmd.exe，就能轻松实现上述控制目的。

首先从网上下载获得Nircmd.exe工具压缩包，对其进行解压操作后，将其中的“nircmd.exe”文件和“nircmdc. exe”文件直接拷贝到Windows 7系统的“Windowssystem32”文件夹中。

其次启动运行记事本应用程序，打开文本编辑界面，输入如下命令行代码：

@echo off

nircmd.exe setsysvolume 60000

其中“60000”表示音量的控制系数，如果该系数为“65535”时，就表示将电脑音量调整得最高，在确认上面的代码输入正确后，依次单击文本编辑界面中的“文件”|“保存”命令，将上述代码保存为批处理文件，假设该文件取名为“highvol.bat”。用鼠标双击该批处理文件时，Windows 7系统就能把电脑音量调整得高一些。

为了实现音量的自动调高，我们可以将“highvol.bat”批处理文件，设置为年纪大一点用户的启动脚本，让这些用户登录系统时Windows 7可以将系统音量自动调整到更高一些。在设置登录脚本时，先以年纪大一点用户的账号登录Windows 7系统，依次单击“开始”|“运行”命令，打开系统运行对话框，在弹出的系统运行对话框中输入“gpedit. msc”命令，单击回车键后，切换到系统组策略编辑界面；将鼠标定位到该界面左侧区域中的“用户配置”、“Windows设置”、“脚本（登录/注销）”分支上（如图1所示），双击该分支下的“登录”组策略，弹出登录选项对话框，点击“添加”按钮，打开文件选择对话框，从中导入之前生成的“highvol.bat”批处理文件，最后单击“确定”按钮保存设置操作，这样就能实现音量的自动调高目的了。

同样地，我们可以再生成一个音量适中的脚本控制文件，将该文件设置成年纪小一些用户的登录脚本文件，这样就能实现电脑音量针对不同年纪用户的个性化设置了。当然，命令行管理工具Nircmd.exe在其他系统功能的配合下，还能实现多种电脑音量个性化控制目的。例如，在系统任务计划功能的配合下，Nircmd. exe可以对不同时段的电脑音量进行自动设置。

巧用外力改造文件夹背景

在类似Windows XP这样的低版本操作系统中，用户往往能通过生成ini文件的方式，实现文件夹背景的改造目的。不过，在Windows 7系统环境下，采用上面的方法好像无法达到目的了，这该如何是好呢？其实，利用外力工具Windows 7 Folder Background Changer的帮忙，我们能够很轻松地将一些个性化的图片调整为文件夹背景。

W i n d o w s 7 F o l d e r Background Changer工具非常小巧，文件大小只有238KB，从网上下载获得该工具的安装程序后，我们发现在Windows 7系统中初次安装该程序时，系统可能会弹出如图2所示的错误提示。遇到这类提示时，千万不要紧张哟，只要简单单击“退出”按钮，再尝试重新安装该程序，就能保证程序安装操作顺利进行下去了。

待目标程序安装成功后，启动运行该程序，单击主程序界面中的“Browse”按钮，弹出文件选择对话框，导入一个具有个性化的背景图像文件，再按下“Change background image”按钮，这样Windows 7系统的文件夹背景就被自动改造成自己喜欢的图片了，是不是很方便呀？要是想删除已经存在的文件夹背景图片时，可以按下“Remove Background Image”按钮即可。

巧用外力改造键盘键位

不少游戏玩家在畅玩游戏时，都喜欢通过键盘上的A、D、S、W这几个键盘键位控制游戏，时间一长之后，这些键位很容易被损坏失灵。要想避免这几个常用游戏控制键位不被游戏玩家过度使用，可以借助外力工具“键盘屏蔽器”，来对游戏中的特定键盘键位进行屏蔽保护。

首先从网上下载获得“键盘屏蔽器”程序，并将该程序拷贝到Windows 7系统的“Windows system32”文件夹中，启动运行该程序后，弹出对应主程序界面，按界面提示单击键盘中需要屏蔽的某个键位，例如按下要屏蔽的L键位时，我们会在对应程序界面的“编码”位置处看到L键位的编码为“V76”，将该编码内容记忆保存下来。

其次考虑到许多网络游戏都是在IE浏览器窗口中启动运行的，为了屏蔽该状态下的A键位，我们需要手工编写相关批处理文件实现屏蔽目的。在创建该批处理文件时，可以启动运行记事本应用程序，打开文本编辑界面，输入如下命令行代码：

@echo off

"C:Program FilesInternet Exploreriexplore.exe"

s t a r t C:W i n d o w s system32iHookKeyboard.exe hide V76 & exit

其中“iHookKeyboard. exe”程序是键盘屏蔽器的运行程序，“hide V76”表示屏蔽L键位，这里也可以将多个要屏蔽键位的代码一起输入，只是每个键盘键位之间的代码一定要使用半角空格进行分隔，“exit”表示退出键盘控制程序运行状态。在确认上述代码输入正确后，依次单击文本编辑界面中的“文件”|“保存”命令，将上述代码保存为批处理文件，假设该文件取名为“pingbi.bat”。用鼠标双击该批处理文件时，Windows 7系统就能把键盘上的L键位屏蔽掉了。当然，我们也可以根据实际需要，修改上面的键盘键位代码，实现屏蔽一个或多个键位目的。

接着用鼠标右键单击系统桌面中的IE浏览器快捷图标，执行快捷菜单中的“属性”命令，打开IE浏览器快捷图标的属性对话框（如图3所示），在其中的“目标”文本框中输入批处理文件“pingbi.bat”的详细路径，在“起始位置”文本框中也输入批处理文件“pingbi.bat”的详细路径，再单击“确定”按钮保存设置操作，这样一来，日后用户只要双击该IE浏览器快捷图标畅玩网络游戏时，键盘中的L键位或指定键位就能被自动屏蔽掉了，这时按下它们时，就会发现这些键位已经失效了。当然，要是不想屏蔽某个键盘键位时，可以运行系统任务管理器，点选“进程”标签，选中对应标签设置页面中的“iHookKeyboard.exe”进程，再按“结束进程”按钮，这样键盘屏蔽器就会停止工作，所有被屏蔽的键位又能恢复正常工作了。

巧用外力改造摄像功能

一旦将摄像头设备插入到Windows XP系统中，我们就能从“我的电脑”窗口侧边栏中发现摄像头的“身影”，不过在Windows 7系统环境中，摄像头的“身影”始终无法出现在计算机窗口的侧边栏中。很多人将摄像头插入到Windows 7系统后，根本不知道究竟在哪里启用这项功能，显然这给使用摄像功能带来了很大麻烦。那么如何才能让Windows 7系统也能象Windows XP系统一样，支持侧边栏摄像头显示功能呢？很方便！只要使用Windows 7摄像头侧边栏工具，就能将Windows 7系统的摄像功能改造成与Windows XP系统同样的效果。

首先从网上下载获得Windows 7摄像头侧边栏的安装压缩包文件，使用专业解压工具将其释放到临时文件夹中，这时我们会发现其中有一个Gadget类型的Windows小程序，用鼠标双击该小程序，就能进行程序安装操作。在正式安装之前，系统会弹出警告提示，告诉用户当前安装的小程序无法验证其发布者，是否真的要安装该小工具，我们可以单击“安装”按钮执行强制安装操作。

等到程序安装操作结束后，系统会打开Adobe Flash Player设置对话框，正确设置好麦克风、网络摄像机的相关参数，再单击“允许”按钮即可，如此一来Windows 7系统桌面上就能生成一个摄像头小工具栏（如图4所示）。如果系统桌面上没有该工具栏时，可以直接用鼠标右键单击系统桌面空白区域，执行右键菜单中的“小工具”命令，从小工具列表中选择启用即可。

如果对当前的摄像头参数设置不满意时，还可以自行修改。在进行这种修改操作时，可以先用鼠标右键单击摄像头窗口，执行右键菜单中的“设置”命令，切换到Adobe Flash Player设置对话框，在这里我们可以根据实际情况，点击底部区域的摄像头或麦克风图标，进行摄像参数或者音量参数的修改，甚至还能进行硬件加速配置操作。

巧用外力改造显示分辨率

目前多数大尺寸的显示器都支持1920×1080显示分辨率，不过不少网络游戏对该分辨率却不支持，这么一来，每次畅玩网络游戏时，都要对显示分辨率进行来回切换，显然这是十分麻烦的。为了提高畅玩游戏的效率，我们可以巧妙利用外力工具——Dexpot虚拟桌面，来为多个系统桌面设置不同的显示分辨率以及其他参数。

按常规方法下载安装好Dexpot虚拟桌面，对其进行启动运行，启动成功后该程序会自动退回到系统托盘区域处，用鼠标右键单击对应程序控制图标，执行右键菜单中的“设置”命令，切换到Dexpot虚拟桌面参数设置对话框，点击左侧区域中的“切换桌面”按钮（如图5所示），在其后界面中可以对每一个系统桌面的显示分辨率、桌面名称以及桌面背景进行个性化设置。比方说，有的网络游戏仅支持1024×768以下级别的显示分辨率，这个时候必须选中“屏幕分辨率”位置处的“定制屏幕分辨率”选项，并且将系统桌面2取名为“网络游戏专用桌面”，之后选择网络游戏专用桌面，将其分辨率调整为1024×768即可。同样地，我们可以为其他的网络游戏设置不同分辨率的虚拟桌面，日后要畅玩某个具体分辨率的游戏程序时，只要通过双击鼠标的方式，进入对应虚拟桌面状态，在该状态下畅玩网络游戏时，就会避免频繁切换显示分辨率的麻烦了。

在多人共同使用一台电脑的情况下，要是A用户视力不好需要设置较低的显示分辨率时，可以将Dexpot虚拟桌面程序下载保存到A用户账号的启动文件夹中，B用户如果希望系统桌面获得最佳显示效果时，可以不要对Dexpot虚拟桌面程序进行任何设置，因为该程序默认会将系统桌面的分辨率设置成最高等级。当A用户日后登录Windows 7系统时，Dexpot虚拟桌面程序就能自动启动运行，这时进入对应程序界面，通过设置让其默认使用较低的显示分辨率，如此一来A用户和B用户登录同样的计算机系统时，就会获得不同的显示分辨率。

巧用外力改造预览功能

遇到系统中的未知文件时，用鼠标双击它们，系统会出现打开方式对话框，让用户选用某个程序来打开文件。然而很多时候，我们根本不清楚该用什么程序打开未知文件，此时利用Windows 7系统内置的文件预览功能来处理这一麻烦，该方法既能看清文件内容，又能防止病毒偷偷攻击。在启用Windows 7系统文件预览功能时，先进入系统资源管理器界面，单击该界面右上方的“显示预览窗格”选项，展开预览显示窗格，日后只要一选中未知文件，该文件具体内容就能显示在预览窗格中了。

当然，Windows 7系统文件预览功能还不是很强大，它只能预览常见格式的未知文件，如果想让Windows 7系统文件预览功能更为强大时，不妨利用专业工具GetData Explorer，来改造文件预览功能。在对文件预览功能进行升级改造时，首先按普通方法下载安装好GetData Explorer程序，安装过程中，如果希望该程序日后可以自动启动运行时，不妨选择将启动项加入到系统启动菜单中，这样该程序就会智能加载到系统资源管理器窗口中了。当成功安装好目标程序后，再次打开系统资源管理器界面时，会发现底部区域有一个名为“Explorer View by……”的显示区域，该区域其实就是功能被升级过之后的系统预览窗格，当选中目标未知文件时，具体文件内容就能在该显示区域中预览显示了，如图6所示。

巧用外力改造搜索功能

不少工作文档、电子产品书等都使用的都是PDF格式文档，所以，很多用户的硬盘中都存储了相当多的PDF文档。不过，PDF文档逐步增多后，也给文件搜索操作带来了麻烦，例如，要搜索某个文档中的特定内容时，往往只能手工打开所有PDF文档，通过逐页浏览方式来搜索，显然这种查询效率相当低下。事实上，在Windows 7系统环境中，只要巧妙利用Foxit PDF IFilter这款插件程序，就能很方便地对PDF文档中的内容进行快速搜索了。

在进行搜索之前，先从网上下载获得Foxit PDF IFilter插件程序，用鼠标双击下载获得的安装文件，依照默认提示完成该插件程序的安装任务。之后，依次单击Windows 7系统的“开始”|“控制面板”命令，双击其中的“索引选项”图标，弹出索引选项设置对话框，按下“修改”按钮，切换到“索引位置”设置框，将PDF文档所在的磁盘分区依次选中（如图7所示），再按“确定”按钮返回。

接着单击索引选项设置框中的“高级”按钮，弹出高级选项设置框，点选“文件类型”标签，将对应标签页面的“PDF”复选框和“为属性和文件内容添加索引”单选框选中，按“确定”按钮保存设置操作，这样Windows 7系统就能开始对指定磁盘执行文件索引创建操作了。

17.内存问题Windows系统 篇十七

:?:1.如何扩展机器的虚拟内存，使用双屏时占用很多内存，经常运行一段时间后把内存耗光，请问各位怎样才能扩展内存?

:?:2.系统分区有一个/proc是起什么作用的?分区时没分这个空间，有什么影响吗?

谢谢各位了!:oops:

飞天二狭 回复于：2004-10-04 16:06:571.增加交换区不能用文件做交换区，只能用文件系统做:D

:Dtru644.0

如果增加/dev/rz1b为swap分区

swapon/dev/rz1b

同时要修改/etc/fstab文件，

tru645.1

如果增加/dev/disk/dsk1b为swap分区

swapon/dev/disk/dsk1b

同时要修改/etc/sysconfigtab文件

2.proc文件系统是一个伪文件系统，它只存在内存当中，而不占用外存空间，

它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过proc得到系统的信息，并可以改变内核的某些参数。由于系统的信息，如进程，是动态改变的，所以用户或应用程序读取proc文件时，proc文件系统是动态从系统内核读出所需信息并提交的。分区时是没有这个空间的。

:mrgreen::mrgreen::mrgreen::mrgreen:

richard_cn 回复于：2004-10-05 10:23:21:lol:楼上的兄弟，谢谢了!:D

sinboy 回复于：2004-10-11 19:02:40谢谢，真是受益匪浅