当前位置:首 页>> 百 宝 箱

常见WIN服务安全设置

  原则关掉所有不使用的服务,不安装所有与服务器无关的软件,打好所有补丁

修改3389

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那个PortNumber没有?0xd3d,这个是16进制,就是3389啦,我改XXXX这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。

修改系统日志保存地址
默认位置为
应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT 
系统日志文件:%systemroot%\system32\config\SysEvent.EVT 
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT 
Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志
Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志 
Scheduler(任务计划)服务日志默认位置:%systemroot%\schedlgu.txt 

应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 

Schedluler(任务计划)服务日志在注册表中 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent 

SQL
删掉或改名xplog70.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
// AutoShareWks 对pro版本
// AutoShareServer 对server版本
// 0 禁止管理共享admin$,c$,d$之类默认共享


[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]
"restrictanonymous"=dword:00000001
//0x1 匿名用户无法列举本机用户列表
//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动) 

本地安全策略
封TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)
封UDP端口:1434(这个就不用说了吧)
封所有ICMP,即封PING
以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的

审核策略为
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:失败
审核对象追踪:成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核账户管理:成功,失败

密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天.

在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟.

安全选项设置:本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享",因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项.

禁止登录屏幕上显示上次登录的用户名
控制面板==管理工具==本地安全策略==本地策略==安全选项
或改注册表
HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn项中的Don't Display Last User Name串,将其数据修改为1

禁TCP/IP中的禁用TCP/IP上的NetBIOS

修改默认管理用户名(这就不用说了吧),禁用Guest帐号,除了ADMIN组的用户可以远程登陆本机完,别的用户的远程登陆都去掉

WEB目录用户权限设定...
依次做下面的工作: 
选取整个硬盘: 
system:完全控制 
administrator:完全控制(允许将来自父系的可继承性权限传播给对象) 
b.\program files\common files: 
everyone:读取及运行 
列出文件目录 
读取(允许将来自父系的可继承性权限传播给对象) 
c.\inetpub\wwwroot: 
iusr_machine:读取及运行 
列出文件目录 
读取 (允许将来自父系的可继承性权限传播给对象) 
e.\winnt\system32: 
选择除inetsrv和centsrv以外的所有目录, 
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 
f.\winnt: 
选择除了downloaded program files、help、iis temporary compressed files、 
offline web pages、system32、tasks、temp、web以外的所有目录 
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 
g.\winnt: 
everyone:读取及运行
列出文件目录 
读取(允许将来自父系的可继承性权限传播给对象) 
h.\winnt\temp:(允许访问数据库并显示在asp页面上) 
everyone:修改 (允许将来自父系的可继承性权限传播给对象) 
(还是WIN2K3好一点,默认就设好了设限)
删除默认IIS目录

删除IIS中除ASA和ASP的所有解析,除非你要用到别的CGI程序(WIN2K3中去不掉的)
定期查看服务器中的日志logs文件

检查ASP程序是否有SQL注入漏洞
解决方法:
在ASP程序中加入
dim listname
if not isnumeric(request("id")) then
response.write "参数错误"
response.end 
end if 
//作用是检查ID是否为INT数字型


如何让asp脚本以system权限运行? 
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 

如何防止asp木马? 
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 
regsvr32 scrrun.dll /u /s //删除 

还原:
cacls %systemroot%\system32\scrrun.dll /e /p guests:r
regsvr32 scrrun.dll

基于shell.application组件的asp木马
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 
regsvr32 shell32.dll /u /s //删除

还原:
cacls %systemroot%\system32\shell32.dll /e /p guests:r
regsvr32 shell32.dll

可以看一下caclsr语法,f是完全控制,c是写入

把ip2K.jpg另存为,改后缀名为RAR,2K和2K3下的安全策略,借用了REISTLIN的东西,3Q,上面有些东西太简单了就没写全.如果你是用固定IP的话,可以在安全策略中加上允许访问和你自己的IP。






安装过程

有选择性地安装组件
不要按Windows 2000的默认安装组件,本着“最少的服务+最小的权限=最大的安全”原则,只选择安装需要的服务即可。例如:不作为Web服务器或FTP服务器就不安装IIS。常用Web服务器需要的最小组件是: Internet 服务管理器、WWW服务器和与其有关的辅助服务。

安装完毕后加入网络
在安装完成Windows 2000操作系统后,不要立即把服务器加入网络,因为这时的服务器上的各种程序还没有打上补丁,存在各种漏洞,非常容易感染病毒和被入侵。 
应该在所有应用程序安装完之后依次打上各种补丁,因为补丁程序是针对不同应用程序而安装的,往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如IIS的HotFix要求每次更改IIS的配置时都需要重新安 装。
还有,如果怕IIS负荷过高导致服务器死机,也可以在性能中打开CPU限制,如将IIS的最大CPU使用率限制在70%。

正确设置和管理账户

1、停止使用用Guest账户,并给Guest 加一个复杂的密码。
2、账户要尽可能少,并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户,常用的扫描软件有:流光、HSCAN、X-SCAN、STAT SCANNER等。正确配置账户的权限,密码至少应不少于8位,且要数字、大小写字母,以及 数字的上档键混用,这样就较难破译。
3、增加登录的难度,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值8位”,“强制密码历史5次”,“最长存留期 30天”;在“账户策略→账户锁定策略”设定:“账户锁定3次错误登录”,“锁定时间20分钟”,“复位锁定计数20分钟”等,增加了登录的难度对系统的安全大有好处。
4、把系统Administrator账号改名,名称不要带有Admin等字样; 创建一个陷阱帐号,如创建一个名为“Administrator”的本地帐户,把权限设置成最低,什么事也干不了,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts忙上一段时间了,并且可以借此发现他们的入侵企图。
5、不让系统显示上次登录的用户名,具体操作如下: 
将注册表中“Hkey\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值改为1。 

正确地设置目录和文件权限

为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。Windows 2000的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全控制的(Full Control),您需要根据应用的需要重新设置权限。在进行权限控制时,请记住以下几个原则:
1、权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
2、拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
3、 文件权限比文件夹权限高。
4、 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5、 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6、 预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法,而Windows 2000应付的方法很简单。Windows 2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。 

网络服务安全管理

1、关闭不需要的服务
只留必需的服务,多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能。

2、关闭不用的端口
只开放服务需要的端口与协议。 
具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口,常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3。常用的UDP端口有:53口-D NS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。

3、禁止建立空连接
默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两种方法禁止建立空连接: 
(1) 修改注册表中 Local_Machine\System\
CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。
(2) 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。 
首先,Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更 改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接,实际上Windows 2000的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有RestrictAnonymous选项,其中有三个值:“0”这个值是系统默认的,没有任何限制,远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表( NetServerTransportEnum)等;“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有Windows 2000才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。

网络服务安全配置

1、修改默认端口。终端服务的默认端口为3389,可考虑修改为别的端口。修改方法为:
服务器端:打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键,修改PortNumber值。
客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。 
2、安全配置Internet 服务管理器。对IIS服务安全配置如下:
(1)停止默认的Web服务,建立新的Web服务,将其主目录设为其他(非inetpub)目录,最好不和主系统点用一个分区。如果使用系统默认的Web服务,那么通过较简单的攻击,就可以黑掉服务器。
(2) 删除原默认安装的Inetpub目录(在安装系统的盘上)。
(3) 删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
3、不要设置Frontpage服务器扩展服务,如果开设,那么就可以远程在Frontpage下打开您的主页文件进行修改。
4、删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa两映射即可。

安全的管理数据文件

1、常备份,要经常把要数据备份到专用的备份服务器,备份完毕后,可将备份服务器与网络隔离。
2、关闭默认共享。Windows 2000安装好以后,系统会创建一些隐藏的共享(如C$、D$等),在命令态下可用net share命令查看它们,这些共享要删除。不过当机器重新启动后,这些共享又会重新开启,需每次启动后都删除。
3、正确设置文件的共享权限 ,设置共享文件时,要注意把共享文件的权限从“everyone”组改成“授权用户”,包括打印共享,这样即使连接上去看到也薹ú樵摹?br>4、防止文件名欺骗,用显示所有文件名和文件夹以及显示文件类型扩展名来有效地防止文件名欺骗。如防止以.txt或.exe为扩展名的恶意文件被显示为.txt文件,大意打开该文件被攻,双击“我的电脑→工具→文件夹选项→查看”,选择“显示所有文件和文 件夹”属性设置,去掉“隐藏已知文件类型扩展名”属性设置。
5、启用Terminal Service的安全日志,系统默认是不启用的。可以通过“Terminal Service Configration→权限→高级”中配置安全审核,记录登录、注销事件就可以了。

启用日志,利用软件随时检测网络流量 
发现有异常随时查看日志文件,是不是有人在攻击。







Windows 服务的最佳化说明

Alerter 
微软: 通知选取的使用者及计算机系统管理警示。如果停止这个服务,使用系统管理警示的程序将不会收到通知。如果停用这个服务,所有依存于它的服务将无法启动。 
补充: 一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts),除非你的计算机用在局域网络上 
依存: Workstation 
建议: 已停用

Application Layer Gateway Service 
微软: 提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持 
补充: 如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉 
依存: Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS) 
建议: 已停用

Application Management (应用程序管理) 
微软: 提供指派、发行、以及移除的软件安装服务。 
补充: 如上说的软件安装变更的服务 
建议: 手动

Automatic Updates 
微软: 启用重要 Windows 更新的下载及安装。如果停用此服务,可以手动的从 Windows Update 网站上更新操作系统。 
补充: 允许 Windows 于背景自动联机之下,到 Microsoft Servers 自动检查和下载更新修补程序 
建议: 已停用

Background Intelligent Transfer Service 
微软: 使用闲置的网络频宽来传输数据。 
补充: 经由 Via HTTP1.1 在背景传输资料的?#124;西,例如 Windows Update 就是以此为工作之一 
依存: Remote Procedure Call (RPC) 和 Workstation 
建议: 已停用

ClipBook (剪贴簿) 
微软: 启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止,剪贴簿检视器将无法与远程计算机共享信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到 
依存: Network DDE 
建议: 已停用

COM+ Event System (COM+ 事件系统) 
微软: 支持「系统事件通知服务 (SENS)」,它可让事件自动分散到订阅的 COM 组件。如果服务被停止,SENS 会关闭,并无法提供登入及注销通知。如果此服务被停用,任何明显依存它的服务都无法启动。 
补充: 有些程序可能用到 COM+ 组件,像 BootVis 的 optimize system 应用,如事件检视器内显示的 DCOM 没有启用 
依存: Remote Procedure Call (RPC) 和 System Event Notification 
建议: 手动

COM+ System Application 
微软: 管理 COM+ 组件的设定及追踪。如果停止此服务,大部分的 COM+ 组件将无法适当?#092;作。如果此服务被停用,任何明确依存它的服务将无法启动。 
补充: 如果 COM+ Event System 是一台车,那么 COM+ System Application 就是司机,如事件检视器内显示的 DCOM 没有启用 
依存: Remote Procedure Call (RPC) 
建议: 手动

Computer Browser (计算机浏览器) 
微软: 维护网络上更新的计算机清单,并将这个清单提供给做为浏览器的计算机。如果停止这个服务,这个清单将不会被更新或维护。如果停用这个服务,所有依存于它的服务将无法启动。 
补充: 一般家庭用计算机不需要,除非你的计算机应用在区网之上,不过在大型的区网上有必要开这个拖慢速度吗? 
依存: Server 和 Workstation 
建议: 已停用 

Cryptographic Services 
微软: 提供三个管理服务: 确认 Windows 档案签章的 [类别目录数据库服务]; 从这个计算机新增及移除受信任根凭证授权凭证的 [受保护的根目录服务]; 以及协助注册这个计算机以取得凭证的 [金钥服务]。如果这个服务被停止,这些管理服务将无法正确工作。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证,如果你有使用 Automatic Updates ,那你可能需要这个 
依存: Remote Procedure Call (RPC) 
建议: 手动

DHCP Client (DHCP 客户端) 
微软: 透过登录及更新 IP 地址和 DNS 名称来管理网络设定。 
补充: 使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP 
依存: AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP 
建议: 手动

Distributed Link Tracking Client (分布式连结追踪客户端) 
微软: 维护计算机中或网络网域不同计算机中 NTFS 档案间的连结。 
补充: 维护区网内不同计算机之间的档案连结 
依存: Remote Procedure Call (RPC) 
建议: 已停用

Distributed Transaction Coordinator (分布式交易协调器) 
微软: 协调跨越多个资源管理员的交易,比如数据库、讯息队列及档案系统。如果此服务被停止,这些交易将不会发生。如果服务被停用,任何明显依存它的服务将无法启动。 
补充: 如上所说的,一般家庭用计算机用不太到,除非你启用的 Message Queuing 
依存: Remote Procedure Call (RPC) 和 Security Accounts Manager 
建议: 已停用

DNS Client (DNS 客户端) 
微软: 解析并快取这台计算机的网域名称系统 (DNS) 名称。如果停止这个服务,这台计算机将无法解析 DNS 名称并寻找 Active Directory 网域控制站的位置。如果停用这个服务,所有依存于它的服务将无法启动。 
补充: 如上所说的,另外 IPSEC 需要用到 
依存: TCP/IP Protocol Driver 
建议: 手动

Error Reporting Service 
微软: 允许对执行于非标准环境中的服务和应用程序的错误报告。 
补充: 微软的应用程序错误报告 
依存: Remote Procedure Call (RPC) 
建议: 已停用

Event Log (事件记录文件) 
微软: 启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。 
补充: 允许事件讯息显示在事件检视器之上 
依存: Windows Management Instrumentation 
建议: 自动

Fast User Switching Compatibility 
微软: 在多使用者环境下提供应用程序管理。 
补充: 另外像是注销画面中的切换使用者功能 
依存: Terminal Services 
建议: 手动 

Help and Support 
微软: 让说明及支持中心能够在这台计算机上执行。如果这个服务停止,将无法使用说明及支持中心。如果这个服务被停用,它的所有依存服务将无法启动。 
补充: 如果不使用就关了吧 
依存: Remote Procedure Call (RPC) 
建议: 已停用 

Human Interface Device Access 
微软: 启用对人性化接口装置 (HID) 的通用输入存取,HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 如上所提到的 
依存: Remote Procedure Call (RPC) 
建议: 已停用 

IMAPI CD-Burning COM Service 
微软: 使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘录制。如果这个服务被停止,这个计算机将无法录制光盘。如果这个服务被停用,任何明确地依赖它的服务将无法启动。 
补充: XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快 Nero 的开启速度 
建议: 已停用 

Indexing Service (索引服务) 
微软: 本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。 
补充: 简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧 
依存: Remote Procedure Call (RPC) 
建议: 已停用 

Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 
微软: 为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。 
补充: 如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉 
依存: Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager 
建议: 已停用 

IPSEC Services (IP 安全性服务) 
微软: 管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。 
补充: 协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (VPN) 中提供安全性,而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的 
依存: IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver 
建议: 手动 

Logical Disk Manager (逻辑磁盘管理员) 
微软: 侦测及监视新硬盘磁盘,以及传送磁盘区信息到逻辑磁盘管理系统管理服务以供设定。如果这个服务被停止,动态磁盘状态和设定信息可能会过时。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能 
依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service 
建议: 自动 

Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务) 
微软: 设定硬盘磁盘及磁盘区,服务只执行设定程序然后就停止。 
补充: 使用 Microsoft Management Console(MMC)主控台的功能时才用到 
依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager 
建议: 手动 

Messenger (信差) 
微软: 在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。如果停止这个服务,Alerter 讯息将不会被传输。如果停用这个服务,所有依存于它的服务将无法启动。 
补充: 允许网络之间互相传送提示讯息的功能,如 net send 功能,如不想被骚扰话可关了 
依存: NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation 
建议: 已停用 

MS Software Shadow Copy Provider 
微软: 管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制。如果停用这个服务,任何明确依存于它的服务将无法启动。 
补充: 如上所说的,用来备份的?#124;西,如 MS Backup 程序就需要这个服务 
依存: Remote Procedure Call (RPC) 
建议: 已停用 

Net Logon 
微软: 支持网域上计算机的账户登入事件的 pass-through 验证。 
补充: 一般家用计算机不太可能去用到登入网域审查这个服务 
依存: Workstation 
建议: 已停用 

NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享) 
微软: 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络,由远程访问这部计算机。如果这项服务停止的话,远程桌面共享功能将无法使用。如果服务停用的话,任何依赖它的服务将无法启动。 
补充: 如上说的,让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者,如果你重视安全性不想多开后门,就关了吧 
建议: 已停用 

Network Connections (网络联机) 
微软: 管理在网络和拨号联机数据夹中的对象,您可以在此数据夹中检视局域网络和远程联机。 
补充: 控制你的网络联机 
依存: Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 
建议: 手动 

Network DDE (网络 DDE) 
微软: 为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止,DDE 传输和安全性将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 一般人好像用不到 
依存: Network DDE DSDM、ClipBook 
建议: 已停用 

Network DDE DSDM (网络 DDE DSDM) 
微软: 讯息动态数据交换 (DDE) 网络共享。如果这个服务被停止,DDE 网络共享将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 一般人好像用不到 
依存: Network DDE 
建议: 已停用 

Network Location Awareness (NLA) 
微软: 收集并存放网络设定和位置信息,并且在这个信息变更时通知应用程序。 
补充: 如果不使用 ICF 和 ICS 可以关了它 
依存: AFD网络支持环境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 
建议: 已停用 

NT LM Security Support Provider (NTLM 安全性支持提供者) 
微软: 为没有使用命名管道传输的远程过程调用 (RPC) 程序提供安全性。 
补充: 如果不使用 Message Queuing 或是 Telnet Server 那就关了它 
依存: Telnet 
建议: 已停用 

Performance Logs and Alerts (效能记录文件及警示) 
微软: 基于事先设定的排程参数,从本机或远程计算机收集效能数据,然后将数据写入记录或?#124;发警讯。如果这个服务被停止,将不会收集效能信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 没什么价值的服务 
建议: 已停用 

Plug and Play
微软: 启用计算机以使用者没有或很少的输入来识别及适应硬件变更,停止或停用这个服务将导致系统不稳定。 
补充: 顾名思义就是 PNP 环境 
依存: Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio 
建议: 自动 

Portable Media Serial Number 
微软: Retrieves the serial number of any portable music player connected to your computer 
补充: 透过联机计算机重新取得任何音乐拨放序号?没什么价值的服务 
建议: 已停用 

Print Spooler (打印多任务缓冲处理器) 
微软: 将档案加载内存中以待稍后打印。 
补充: 如果没有打印机,可以关了 
依存: Remote Procedure Call (RPC) 
建议: 已停用 

Protected Storage (受保护的存放装置) 
微软: 提供受保护的存放区,来储存私密金钥这类敏感数据,防止未授权的服务、处理、或使用者进行存取。 
补充: 用来储存你计算机上密码的服务,像 Outlook、拨号程序、其它应用程序、主从架构等等 
依存: Remote Procedure Call (RPC) 
建议: 自动 

QoS RSVP (QoS 许可控制,RSVP) 
微软: 提供网络讯号及区域流量控制安装功能给可识别 QoS 的程序和控制小程序项。 
补充: 用来保留 20% 频宽的服务,如果你的网络卡不支持 802.1p 或在你计算机的网域上没有 ACS server ,那么不用多说,关了它 
依存: AFD网络支持环境、TCP/IP Procotol Driver、Remote Procedure Call (RPC) 
建议: 已停用 

Remote Access Auto Connection Manager (远程访问自动联机管理员) 
微软: 当程序参照到远程 DNS 或 NetBIOS 名称或地址时,建立远程网络的联机。 
补充: 有些 DSL/Cable 提供者,可能需要用此来处理登入程序 
依存: Remote Access Connection Manager、Telephony 
建议: 手动 

Remote Access Connection Manager (远程访问联机管理员) 
微软: 建立网络联机。 
补充: 网络联机用 
依存: Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager 
建议: 手动 

Remote Desktop Help Session Manager 
微软: 管理并控制远程协助。如果此服务停止的话,远程协助将无法使用。停止此服务之前,请先参阅内容对话框中的 [依存性]标签。 
补充: 如上说的管理和控制远程协助,如果不使用可以关了 
依存: Remote Procedure Call (RPC) 
建议: Disable 

Remote Procedure Call (RPC) (远程过程调用,RPC) 
微软: 提供结束点对应程序以及其它 RPC 服务。 
补充: 一些装置都依存它,别去动它 
依存: 太多了,自己去看看 
建议: 自动 

Remote Procedure Call (RPC) Locator (远程过程调用定位程序) 
微软: 管理 RPC 名称服务数据库。 
补充: 如上说的,一般计算机上很少用到,可以尝试关了 
依存: Workstation 
建议: Disable 

Remote Registry (远程登录服务) 
微软: 启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止,登录只能由这个计算机上的使用者修改。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 基于安全性的理由,如果没有特别的需求,建议最好关了它,除非你需要远程协助修改你的登录设定 
依存: Remote Procedure Call (RPC) 
建议: 已停用 

Removable Storage (卸除式存放装置) 
微软: None 
补充: 除非你有 Zip 磁盘驱动器或是 USB 之类可携式的硬件或是 Tape 备份装置,不然可以尝试关了 
依存: Remote Procedure Call (RPC) 
建议: Disable 

Routing and Remote Access (路由和远程访问) 
微软: 提供连到局域网络及广域网络的公司的路由服务。 
补充: 如上说的,提供拨号联机到区网或是 VPN 服务,一般用户用不到 
依存: Remote Procedure Call (RPC)、NetBIOSGroup 
建议: 已停用 

Secondary Logon 
微软: 启用在其它认证下的起始程序。如果这个服务被停止,这类的登入存取将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 允许多个使用者处理程序,执行分身等 
建议: 自动 

Security Accounts Manager (安全性账户管理员) 
微软: 储存本机账户的安全性信息。 
补充: 管理账号和群组原则(gpedit.msc)应用 
依存: Remote Procedure Call (RPC)、Distributed Transaction Coordinator 
建议: 自动 

Server (服务器) 
微软: 透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务,将无法使用这些功能。如果停用这个服务,所有依存于它的服务将无法启动。 
补充: 简单的说就是档案和打印的分享,除非你有和其它计算机分享,不然就关了 
依存: Computer Browser 
建议: 已停用 

Shell Hardware Detection 
微软: 为自动播放硬件事件提供通知。 
补充: 一般使用在记忆卡或是CD装置、DVD装置上 
依存: Remote Procedure Call (RPC) 
建议: 自动 

Smart Card (智慧卡) 
微软: 管理这个计算机所读取智能卡的存取。如果这个服务被停止,这个计算机将无法读取智能卡。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 如果你不使用 Smart Card ,那就可以关了 
依存: Plug and Play 
建议: 已停用 

Smart Card Helper (智能卡协助程序) 
微软: 启用对这个计算机使用的旧版非随插即用智能卡读取头的支持。如果这个服务被停止,这个计算机将不支持旧版读取头。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 如果你不使用 Smart Card ,那就可以关了 
建议: 已停用 

SSDP Discovery Service 
微软: 在您的家用网络上启用通用随插即用装置的搜索。 
补充: 如上说的,通用随插即用服务 (Universal Plug and Play, UPnP) 让计算机可以找到并使用网络上的装置,经由网络联机透过 TCP/IP 来搜索装置,像网络上的扫瞄器、数字相机或是打印机,亦即使用 UPnP 的功能,基于安全性没用到的大可关了 
依存: Universal Plug and Play Device Host 
建议: 已停用 

System Event Notification (系统事件通知) 
微软: 追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM+ 事件系统订阅者。 
补充: 如上所说的 
依存: COM+ Event System 
建议: 自动 

System Restore Service 
微软: 执行系统还原功能。若要停止服务,从我的计算机->内容,[系统还原] 中关闭系统还原 
补充: 将计算机回复至先前的状态,不使用就关了 
依存: Remote Procedure Call (RPC) 
建议: 已停用 

Task Scheduler (工作排程器) 
微软: 让使用者能够在这个计算机上设定和排定自动的工作。如果停止这个服务,这些工作在它们排定的时间时将不会执行。如果停用这个服务,任何明确依存于它的服务将无法启动。 
补充: 设定排定自动的工作,像一些定时磁盘扫瞄、病毒定时扫瞄、更新等等 
依存: Remote Procedure Call (RPC) 
建议: 自动 

TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序) 
微软: 启用 [NetBIOS over TCP/IP (NetBT)] 服务及 NetBIOS 名称解析的支持。 
补充: 如果你的网络不使用 NetBios 或是 WINS ,你大可关闭 
依存: AFD 网络支持环境、NetBt 
建议: 已停用 

Telephony (电话语音) 
微软: 为本机计算机上及经由局域网络连接到正在执行此服务的服务器上,控制电话语音装置和 IP 为主语音联机的程序,提供电话语音 API (TAPI) 支持。 
补充: 一般的拨号调制解调器或是一些 DSL/Cable 可能用到 
依存: Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager 
建议: 手动 

Telnet 
微软: 启用一个远程使用者来登入到这台计算机和执行应用程序,以及支持各种 TCP/IP Telnet 客户端,包含以 UNIX 为基本和以 Windows 为基本的计算机。如果服务停止了,远程使用者可能无法存取应用程序。如果服务停用了,任何明确地依存于这项服务的其它服务将会启动失败。 
补充: 允许远程使用者用 Telnet 登入本计算机,一般人会误解关了就无法使用BBS,这其实和BBS无关,基于安全性的理由,如果没有特别的需求,建议最好关了 
依存: NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver 
建议: 已停用 

Terminal Services (终端机服务) 
微软: 允许多位使用者互动连接到同一部计算机、桌面的显示器及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。 
补充: 远程桌面或是远程协助的功能,不需要就关了 
依存: Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon 
建议: 已停用 

Themes 
微软: 提供使用者经验主题管理。 
补充: 很多人使用布景主题,不过如果没有使用的人,那就可以关闭 
建议: 自动 

Uninterruptible Power Supply (不断电供电系统) 
微软: 管理连接到这台计算机的不断电电源供应 (UPS)。 
补充: 不断电电源供应 (UPS)一般人有用到吗?除非你的电源供应器有具备此功能,不然就关了 
建议: 已停用 

Universal Plug and Play Device Host 
微软: 提供主机通用随插即用装置的支持。 
补充: 用来侦测安装通用随插即用服务 (Universal Plug and Play, UPnP)装置,像是数字相机或打印机 
依存: SSDP Discovery Service 
建议: 已停用 

Volume Shadow Copy 
微软: 管理及执行用于备份和其它目的的磁盘区卷影复制。如果这个服务被停止,卷影复制将无法用于备份,备份可能会失败。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 如上所说的,用来备份的?#124;西,如 MS Backup 程序就需要这个服务 
依存: Remote Procedure Call (RPC) 
建议: 已停用 

WebClient 
微软: 启用 Windows 为主的程序来建立、存取,以及修改因特网为主的档案。如果停止这个服务,这些功能将无法使用。如果停用这个服务,任何明确依存于它的服务将无法启动。 
补充: 使用 WebDAV 将档案或数据夹上载到所有的 Web 服务,基于安全性的理由,你可以尝试关闭 
依存: WebDav Client Redirector 

Windows Audio 
微软: 管理用于 Windows 为主程序的音讯装置。如果这个服务被停止,音讯装置和效果将无法正常?#092;作。如果这个服务被停用,任何明确依存于它的服务将无法启动。 
补充: 如果你没有声卡可以关了他 
依存: Plug and Play、Remote Procedure Call (RPC) 
建议: 自动 

Windows Image Acquisition (WIA) (Windows影像取得程序) 
微软: 为扫描仪和数字相机提供影像撷取服务。 
补充: 如果扫描仪和数字相机内部具有支持WIA功能的话,那就可以直接看到图档,不需要其它的驱动程序,所以没有扫描仪和数字相机的使用者大可关了 
依存: Remote Procedure Call (RPC) 
建议: 已停用 

Windows Installer (Windows 安装程序) 
微软: 根据包含在 .MSI 档案内的指示来安装,修复以及移除软件。 
补充: 是一个系统服务,协助使用者正确地安装、设定、追踪、升级和移除软件程序,可管理应用程序建立和安装的标准格式,并且追踪例如档案群组、登录项目及快捷方式等组件 
依存: Remote Procedure Call (RPC) 
建议: 手动 

Windows Management Instrumentation (WMI) 
微软: 提供公用接口及对象模型,以存取有关操作系统、装置、应用程序及服务的管理信息。如果这个服务已停止,大多数的 Windows 软件将无法正常?#092;作。如果这个服务已停用,所有依存于它的服务都将无法启动。 
补充: 如上说的,是一种提供一个标准的基础结构来监视和管理系统资源的服务,由不得你动他 
依存: Event Log、Remote Procedure Call (RPC) 
建议: 自动 

Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸) 
微软: 提供系统管理信息给予/取自驱动程序。 
补充: Windows Management Instrumentation 的延伸,提供信息用的 
建议: 手动 

Windows Time (Windows 时间设定) 
微软: 维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止,将无法进行日期及时间同步处理。如果这个服务被停用,所有依存的服务都会停止。 
补充: 网络对时校准用的,没必要就关了 
建议: 已停用 

Wireless Zero Configuration 
微软: 为 802.11 适配卡提供自动设定 
补充: 自动配置无线网络装置,言下之意就是说,除非你有在使用无线网络适配卡装置,那么你才有必要使用这个网络零管理服务 
依存: NDIS Usermode I/O Protocol、Remote Procedure Call (RPC) 
建议: 已停用 

WMI Performance Adapter 
微软: 提供来自 WMIHiPerf 提供者的效能链接库信息。 
补充: 如上所提 
依存: Remote Procedure Call (RPC) 
建议: 已停用l 

Workstation (工作站) 
微软: 建立并维护到远程服务器的客户端网络联机。如果停止这个服务,这些联机将无法使用。如果停用这个服务,所有依存于它的服务将无法启动。 
补充: 因特网联机中所必要的一些功能 
依存: Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator 
建议: 自动 

“Clipbook Server”(文件夹服务器):这个服务允许你们网络上的其他用户看到你的文件夹。在这里我要强烈建议你把它改为手动启动,然后再使用其他程序在你的网络上发布信息。 

“Messenger”(消息):在网络上发送和接收信息。如果你关闭了Alerter,你可以安全地把它改为手动启动。 

“Printer Spooler”(打印后台处理程序):如果你没有配置打印机,建议改为手动启动或干脆关闭它。 

“Error Reporting Service”(错误报告):服务和应用程序在非标准环境下运行时提供错误报告。建议改为手动启动。 

“Fast User Switching Compatibility”(快速用户切换兼容性):建议改为手动启动。 

“Automatic Updates”(自动更新):这个功能前面已经讲过了,在这里可以改为手动启动。 

“Net Logon”(网络注册):处理象注册信息那样的网络安全功能。你可以把它设改为手动启动。 

“Network DDE和Network DDE DSDM”(动态数据交换):除非你准备在网上共享你的Office,否则你应该把它改为手动启动。注:这和在通常的商务设定中使用Office不同(如果你需要DDE,你就会知道)。 

“NT LM Security Support”(NT LM安全支持提供商):在网络应用中提供安全保护。建议你把它改为手动启动。 

“Remote Desktop Help Session Manager”(远程桌面帮助会话管理器):建议改为手动启动。 

“Remote Registry”(远程注册表):使远程用户能修改此计算机上的注册表设置。建议改为手动启动。 

“Task Scheduler”(任务调度程序):使用户能在此计算机上配置和制定自动任务的日程,它计划每星期的碎片整理等。 除非你实在太懒了,连在电脑上开一下都不想,建议改为手动启动。 

“Uninterruptible Power Supply”(不间断电源):它管理你的UPS。如果你没有的话,把它改为手动启动或干脆关闭它。 

“Windows Image Acquisition (WIA)”(Windows 图像获取 (WIA)):为扫描仪和照相机提供图像捕获,如果你没有这些设备,建议改为手动启动或干脆关闭它。

3721、百度、CNNIC、网易泡泡等的免疫程序

  Anti ActiveX nags v1.51 Build 0925
(3721、百度、CNNIC、网易泡泡等的免疫程序) 
软件性质:免费纯绿色软件

软件说明:
  经常上网的朋友在浏览网页时,是否经常会碰到各类要求您认证的对话框(如“3721网络实名”等),碰得多了实在有够烦的。本软件专为屏蔽这些恼人的对话框而设计,它可以屏蔽的对话框达42项之多,使你基本上可以摆脱认证对话框的困扰,绝对是你在上网的时候不可或缺的工具。
更新说明:
v1.51 Build0925:
  1、增加了广大用户朋友比较关注的定制功能,现在大家只要自己编辑软件目录下的"Antinags.ini"文件,就可以添加、修改或删除各类控件了,该功能也是本版本做的最大升级;2、在主界面增加了状态栏;3、添加了大量近期出现的新控件,使可屏蔽项目达到了42项;4、对界面进行了美化和调整;
[点击这里下载]
[Edit on 2004-9-28 10:31:40 By 笑傲江湖]

揭开SVCHOST.exe进程之谜

  svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。
  大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
  在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的 svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
  如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
  windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
  原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
  从启动参数中可见服务是靠svchost来启动的。
实例
  以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
  在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
  因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常 的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
  假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windo ws\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进 程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
  由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。
[Edit on 2004-9-16 11:20:42 By 笑傲江湖]

取消Windows图片及传真查看器的默认值

  在我的电脑和资源管理器看图时均以Windows图片及传真查看器为默认值,如需取消此项默认值,可按下修改:在[开始]-->[运行]-->键入[regedit]-->选[HKEY_LOCAL_MACHINE]-->[SOFTWARE]-->[Classes]-->[CLSID]-->[{e84fda7c-1d6a-45f6-b725-cb260c236066}]-->[shellex],删除[MayChangeDefaultMenu]的项便可。

找回丢失的“显示桌面”快捷方式

  “显示桌面”实质上是利用资源管理器的命令参数来完成的,其图标也是出自于EXPLORER.EXE文件。一般在快速启动栏中被删除后,在系统中很难再找回它,最简单的方法是从旁边的电脑拷贝一个;如果旁边没有其他电脑,也可以按下面的方法手动建立一个:在桌面上新建一个文本文件;文本文件内容如下:
[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop
将文件改名为“显示桌面.scf”文件,再拖回到快速启动栏上即可。
[Edit on 2004-9-10 15:26:51 By 笑傲江湖]

订阅Rss

人到穷途应一笑,几凡失意仍能傲。成败何须问江湖,我心依旧任逍遥。
这一生只想好好做个平凡的人,有个家有个梦,陪我迎接每一个早晨。
这一生只想好好做个平凡的人,何必争何必问,只有快乐开心才是真。