木马病毒的通用解法

木马病毒的通用解法 由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。 　　“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的，“木马”都会用上，如：启动组、win.ini、system.ini、注册等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 　　在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。 　　在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 　　在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 　　知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了 木马程序是如何实现隐藏的 -- 注册表？或者System.ini？ 　　木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。有人说，既然木马这么厉害，那我离它远一点不就可以了！然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的！哎呀，那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢！那我怎么知道木马在哪里呢，相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟！ 1、集成到程序中 　　其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 　　木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。 3、潜伏在Win.ini中 　　木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe 　　这时你就要小心了，这个file.exe很可能是木马哦。 4、伪装在普通文件中 　　这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。 5、内置到注册表中 　　上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。 6、在System.ini中藏身 　　木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。 7、隐形于启动组中 　　有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionExplorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦！ 8、隐蔽在Winstart.bat中 　　按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。 9、捆绑在启动文件中 　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 10、设置在超级连接中 　　木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等 如何根据名称识别计算机病毒---转载于《瑞星社区》 很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？ 　　其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。 　　世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般为：<病毒前缀>.<病毒名>.<病毒后缀> 。 　　病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。 　　病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。 　　病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 ^_^），可以采用数字与字母混合表示变种标识。 　　综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。 　　下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）： 　　1、系统病毒 　　系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。 　　2、蠕虫病毒 　　蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。 　　3、木马病毒、黑客病毒 　　木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。 　　4、脚本病毒 　　脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。 　　5、宏病毒 　　其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。 　　6、后门病毒 　　后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。 　　7、病毒种植程序病毒 　　这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。 　　8．破坏性程序病毒 　　破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。 　　9．玩笑病毒 　　玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。 　　10．捆绑机病毒 　　捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。 　　以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下： 　　DoS：会针对某台主机或者服务器进行DoS攻击； 　　Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具； 　　HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。 　　你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助 注册表从入门到精通 注册表对有的人还是比较陌生的，因为现在第三方软件太多了，如优化大师、魔法兔子等等，但个人觉得改善系统的第三方软件还不够完善，如果初级用户使用不当，会出现严重的后果，所以提供这篇文章，希望大家多多学习，本人能力有限，还希望大家多提宝贵意见： 　　一、注册表的由来 　　PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的图形操作系统，如Win3.x中，对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的，但INI文件管理起来很不方便，因为每种设备或应用程序都得有自己的INI文件，并且在网络上难以实现远程访问。 　　 　　为了克服上述这些问题，在Windows 95及其后继版本中，采用了一种叫做“注册表”的数据库来统一进行管理，将各种信息资源集中起来并存储各种配置信息。按照这一原则，Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表，用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。 　　 　　与INI文件不同的是： 　　1.注册表采用了二进制形式登录数据； 　　2.注册表支持子键，各级子关键字都有自己的“键值”； 　　3.注册表中的键值项可以包含可执行代码，而不是简单的字串； 　　4.在同一台计算机上，注册表可以存储多个用户的特性。 　　 　　注册表的特点有： 　　1.注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置，这使得修改某些设置后不用重新启动成为可能。 　　2.注册表中登录的硬件部分数据可以支持高版本Windows的即插即用特性。当Windows检测到机器上的新设备时，就把有关数据保存到注册表中，另外，还可以避免新设备与原有设备之间的资源冲突。 　　3.管理人员和用户通过注册表可以在网络上检查系统的配置和设置，使得远程管理得以实现。 二、使用注册表 　　1.大家可以在开始菜单中的运行里输入regedit 　　2.也可以在DOS下输入regedit 　　三、注册表根键说明 　　hkey_classes_root 包含注册的所有OLE信息和文档类型，是从 hkey_local_machine\software\classes复制的。 　　hkey_current_user 包含登录的用户配置信息，是从hkey_users\当前用户子树复制的。 　　hkey_local_machine 包含本机的配置信息。其中config子树是显示器打印机信息； enum子树是即插即用设备信息；system子树是设备驱动程序和服务参数的控制集合；software子树是应用程序专用设置。 　　hkey_users 所有登录用户信息。 　　hkey_current_config 包含常被用户改变的部分硬件软件配置，如字体设置、显示器类型、打印机设置等。是从hkey_local_machine\config复制的。 　　hkey_dyn_data 包含现在计算机内存中保存的系统信息。 　　四、注册表详细内容 　　　　Hkey_local_machine\software\microsoft\windows\currentVersion\explorer\user shell folders 保存个人文件夹、收藏夹的路径 　　　　Hkey_local_machine\system\currentControlSet\control\keyboard Layouts保存键盘使用的语言以及各种中文输入法 　　Hkey_users\.Default\software\microsoft\internet explorer\typeURLs保存IE浏览器地址栏中输入的URL地址列表信息。清除文档菜单时将被清空。 　　　　Hkey_users\.Default\so..\mi..\wi..\currentVersion\ex..\menuOrder\startMenu 保留程序菜单排序信息 　　Hkey_users\.Default\so..\microsoft\windows\currentVersion\explorer\RunMRU 保存“开始 * 运行...“中运行的程序列表信息。清除文档菜单时将被清空。 　　　　Hkey_users\.Default\so..\microsoft\windows\currentVersion\explorer\ecentDocs 保存最近使用的十五个文档的快捷方式(删除掉可解决文档名称重复的毛病)，清除文档菜单时将被清空。 　　　　Hkey_local_machine\software\microsoft\windows\currentVersion\uninstall 保存已安装的Windows应用程序卸载信息。 　　hkey_users\.default\software\microsoft\windows\currentVersion\applets 保存Windows应用程序的纪录数据。 　　Hkey_local_machine\system\CurrentControlSet\services\class 保存控制面板-增添硬件设备-设备类型目录。 　　　　Hkey_local_machine\system\CurrentControlSet\control\update 立即刷新设置。值为00设置为自动刷新，01设置为手工刷新[在资源管理器中按F5刷新]。 　　HKEY_CURRENT_USER\Control Panel\Desktop 新建串值名MenuShowDelay=0 可使“开始”菜单中子菜单的弹出速度提高。新建串值名MinAnimate，值为1启动动画效果开关窗口，值为0取消动画效果。 　　　　Hkey_local_machine\software\microsoft\windows\currentVersion\run 保存由控制面板设定的计算机启动时运行程序的名称，其图标显示在任务条右边。[启动文件夹程序运行时图标也在任务条右边] 　　hkey_users\.default\software\microsoft\windows\currentVersion\run保存由用户设定的计算机启动时运行程序的名称，其图标显示在任务条右侧。 　　HKEY_CLASS_ROOT/Paint.Pricture/DefaultIcon 默认图片的图标。双击窗口右侧的字符串，在打开的对话框中删除原来的键值，输入%1。重新启动后，在“我的电脑”中打开Windows目录，选择“大图标“，然后你看到的Bmp文件的图标再也不是千篇一律的画板图标了，而是每个Bmp文件的略图。 　　　　Hkey-local-machine\ software\ microsoft\ windows\ currentVersion\ Policies\ Ratings 保存IE4.0中文版“安全”*“分级审查”中设置的口令(数据加密)。 　　　　Hkey-local-machine\ software\ microsoft\ windows\ currentVersion\ explorer\ desktop\nameSpace保存桌面中特殊的图标,如回收站、收件箱、MS Network等。 五、如何备份注册表 　　利用注册表编辑器手工备份注册表 　　注册表编辑器（Regedit）是操作系统自带的一款注册表工具，通过它就能对注册表进行各种修改。当然，"备份"与"恢复"注册表自然是它的本能了。 　　 　　（1）通过注册表编辑器备份注册表 　　由于修改注册表有时会危及系统的安全，因此不管是WINDOWS 98还是WINDOWS 2000甚至WINDOWS XP，都把注册表编辑器"藏"在了一个非常隐蔽的地方，要想"请"它出山，必须通过特殊的手段才行。点击"开始"菜单，选择菜单上的"运行"选项，在弹出的"运行"窗口中输入"Regedit"后，点击"确定"按钮，这样就启动了注册表编辑器。 　　点击注册表编辑器的"注册表"菜单，再点击"导出注册表文件"选项，在弹出的对话框中输入文件名"regedit"，将"保存类型"选为"注册表文件"，再将"导出范围"设置为"全部"，接下来选择文件存储位置，最后点击"保存"按钮，就可将系统的注册表保存到硬盘上。 　　完成上述步骤后，找到刚才保存备份文件的那个文件夹，就会发现备份好的文件已经放在文件夹中了。 　　 　　（2）在DOS下备份注册表 　　当注册表损坏后，WINDOWS（包括"安全模式"）无法进入，此时该怎么办呢？在纯DOS环境下进行注册表的备份、恢复是另外一种补救措施，下面来看看在DOS环境下，怎样来备份、恢复注册表。 　　在纯DOS下通过注册表编辑器备份与恢复注册表前面已经讲解了利用注册表编辑器在WINDOWS环境下备份、恢复注册表，其实"Regedit.exe"这个注册表编辑器不仅能在WINDOWS环境中运行，也能在DOS下使用。 　　虽然在DOS环境中的注册表编辑器的功能没有在WINDOWS环境中那么强大，但是也有它的独到之处。比如说通过注册表编辑器在WINDOWS中备份了注册表，可系统出了问题之后，无法进入WINDOWS，此时就可以在纯DOS下通过注册表编辑器来恢复注册表。 　　应该说在DOS环境中备份注册表的情况还是不多见的，一般在WINDOWS中备份就行了，不过在一些特殊的情况下，这种方式就显得很实用了。 　　进入DOS后，再进入C盘的WINDOWS目录，在该目录的提示符下输入"regedit"后按回车键，便能查看"regedit"的使用参数。 　　通过"Regedit"备份注册表仍然需要用到"system.dat"和"user.dat"这两个文件，而该程序的具体命令格式是这样的： 　 Regedit /L:system /R:user /E filename.reg Regpath 　　参数含义： 　　/L：system指定System.dat文件所在的路径。 　　/R：user指定User.dat文件所在的路径。 　　/E：此参数指定注册表编辑器要进行导出注册表操作，在此参数后面空一格，输入导出注册表的文件名。 　　Regpath：用来指定要导出哪个注册表的分支，如果不指定，则将导出全部注册表分支。在这些参数中，"/L：system"和"/R：user"参数是可选项，如果不使用这两个参数，注册表编辑器则认为是对WINDOWS目录下的"system.dat"和"user.dat"文件进行操作。如果是通过从软盘启动并进入DOS，那么就必须使用"/L"和"/R"参数来指定"system.dat"和"user.dat"文件的具体路径，否则注册表编辑器将无法找到它们。 　　比如说，如果通过启动盘进入DOS，则备份注册表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",该命令的意思是把整个注册表备份到WINDOWS目录下，其文件名为"regedit.reg"。而如果输入的是"regedit /E D:\regedit.reg"这条命令，则是说把整个注册表备份到D盘的根目录下（省略了"/L"和"/R"参数），其文件名为"Regedit.reg"。 　　 　　（3）用注册表检查器备份注册表 　　在DOS环境下的注册表检查器Scanreg.exe可以用来备份注册表。 　　 　　命令格式为： 　　Scanreg /backup /restore /comment 　　 　　参数解释： 　　/backup用来立即备份注册表 　　/restore按照备份的时间以及日期显示所有的备份文件 　　/comment在/restore中显示同备份文件有关的部分 　　 　　注意：在显示备份的注册表文件时，压缩备份的文件以.CAB文件列出，CAB文件的后面单词是Started或者是NotStarted，Started表示这个文件能够成功启动Windows，是一个完好的备份文件，NotStarted表示文件没有被用来启动Windows，因此还不能够知道是否是一个完好备份。 　　 　　比如：如果我们要查看所有的备份文件及同备份有关的部分，命令如下：Scanreg /restore /comment 六、使用技巧 　　上面介绍的都是概念上的东东，下面让我们实际操作吧 　　1.加快开机及关机速度 　　在[开始]-->[运行]-->键入[Regedit]-->[HKEY_CURRENT_USER]-->[Control Panel]-->[Desktop]，将字符串值[HungApptimeout]的数值数据更改为[200],将字符串值[WaitToKillAppTimeout]的数值数据更改为1000.另外在[HKEY_LOCAL_MACHINE]-->[System]-->[CurrentControlSet]-->[Control]，将字符串值[HungAppTimeout]的数值数据更改为[200]，将字符串值[WaitToKillServiceTimeout]的数值数据更改1000 　　 　　2.自动关闭停止响应程序 　　在[开始]-->[运行]-->键入[Regedit]-->[HKEY_CURRENT_USER]-->[Control Panel]-->[Desktop]，将字符串值[AutoEndTasks]的数值数据更改为1，重新启动即可 　　 　　3.清除内存内被不使用的DLL文件 　　在[开始]-->[运行]-->键入[Regedit]-->[HKKEY_LOCAL_MACHINE]-->[SOFTWARE]-->[Microsoft]-->[Windows]-->[CurrentVersion]，在[Explorer]增加一个项[AlwaysUnloadDLL]，默认值设为1。注：如由默认值设定为[0]则代表停用此功能 　　 　　4.加快菜单显示速度 　　在[开始]-->[运行]-->键入[Regedit]-->[HKEY_CURRENT_USER]-->[Control Panel]-->[Desktop]，将字符串值[MenuShowDelay]的数值数据更改为[0]，调整后如觉得菜单显示速度太快而不适应者可将[MenuShowDelay]的数值数据更改为[200]，重新启动即可 5.禁止修改用户文件夹　 　　找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer。如果要锁定“图片收藏”、“我的文档”、“收藏夹”、“我的音乐”这些用户文件夹的物理位置，分别把下面这些键设置成1：DisableMyPicturesDirChange，DisablePersonalDirChange，DisableFavoritesDirChange，DisableMyMusicDirChange 　　 　　6.减小浏览局域网的延迟时间　 　　和Windows 2000一样，XP在浏览局域网时也存在烦人的延迟问题，但介绍这个问题的资料却很难找到。如果你浏览一台Win 9x的机器，例如，在网上邻居的地址栏输入“\computername”，XP的机器会在它正在连接的机器上检查“任务”。这种搜索过程可能造成多达30秒的延迟。如果你直接打开某个共享资源，例如在网上邻居的地址栏输入“\computernameshare”，就不会有这个延迟过程。要想避免XP搜索“任务计划”的操作，提高浏览网络的速度，你可以删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerRemoteComputerNameSpace{D6277990-4C6A-11CF-8D87-00AA0060F5BF}子键。该键的类型是REG_SZ 　　 　　7.屏蔽系统中的热键　　 　　点击“开始”→“运行”，输入Regedit，打开注册表编辑器。然后依次打开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，新建一个双字节值，键名为“NoWindows Keys”，键值为“1”，这样就可以禁止用户利用系统热键来执行一些禁用的命令。如果要恢复，只要将键值设为0或是将此键删除即可 　　 　　8.关闭不用的共享　　 　　安全问题一直为大家所关注，为了自己的系统安全能够有保证，某些不必要的共享还是应该关闭的。用记事本编辑如下内容的注册表文件，保存为任意名字的.Reg文件，使用时双击即可关闭那些不必要的共享：　　 　　Windows Registry Editor Version 5.00　　 　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]　　 　　"AutoShareServer"=dword:00000000　　 　　"AutoSharewks"=dword:00000000　　 　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]　　 　　"restrictanonymous"=dword:00000001　 9.让IE支持多线程 　　一般情况下，大家都使用多线程下载软件如Flashget等下载文件，其实IE也可以支持多线程下载的，只是微软将这个功能给藏了起来。我们把它给挖出来就可以使用了。打开注册表编辑器，在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings下新建双字节值项“MaxConnectionsPerServer”，它决定了最大同步下载的连线数目，一般设定为5～8个连线数目比较好。另外，对于HTTP 1.0服务器，可以加入名为“MaxConnectionsPer1_0Server”的双字节值项，它也是用来设置最大同步下载的数目，也可以设定为5～8。　 　　 　　10.让WINDOWS XP自动登陆　 　　打开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon，在右边的窗口中的新建字符串"AutoAdminlogon"，并把他们的键值为"1"，并且把“DefaultUserName”的值设置为用户名，并且另外新建一个字符串值“DefaultPassword”，并设其值为用户的密码 　　七、我们来让我们的系统瘦瘦身 　　删除多余的虚拟光驱图标 　　当我们在系统中安装了虚拟光驱后，“我的电脑”中就会多出一个光盘图标，即便日后你不再使用虚拟光驱，虚拟光驱图标还会继续保留，实在没有必要。我们动手来删除这个多余的虚拟光驱图标：单击“开始→运行”，输入“regedit”，按下“确定”键后打开注册表编辑器，依次展开HKEY_LOCAL_MACHINE\Enum\SCSI分支，在SCSI子键下通常有两个子键，它们分别对应着虚拟光驱和物理光驱，把SCSI下的子键全部删除，重新启动电脑后虚拟光驱图标就会被删除。 　　 　　删除多余的系统级图标 　　系统级图标是指在安装Windows时由系统自动创建的图标，如回收站、收件箱、网上邻居等，其中有些图标对用户来说并无用处，但这些图标无法直接删除。打开注册表编辑器，依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ 　　explorer\Desktop\NameSpace分支，然后删除不需要的子键。关闭注册表编辑器，重新启动电脑后，你会发现桌面上不需要的系统级图标已经消失了。 删除“运行”中多余的选项 　　如果你多次使用“开始→运行”菜单，会发现它的“打开”窗口被一大堆不再需要的命令弄得凌乱不堪。打开注册表编辑器，依次展开HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion 　　\Explorer\RunMRU分支，将右侧窗口的相关键值删除即可。 　　 　　删除“查找”中多余的选项 　　依次展开HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion 　　\Explorer\Doc-FindSpecMRU分支，将右侧窗口中的相关键值删除即可。 　　 　　删除多余的键盘布局 　　Windows试图成为世界的宠儿，因此其键盘布局适合于各国各类人的使用习惯。打开注册表编辑器，依次展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control 　　\KeyboardLayouts分支，我们可以看到该分支下保存了西班牙语(传统)、丹麦语、德语(标准)等多种键盘布局，如果你用不到这些语言的键盘布局，完全可以直接删除这些子键。 　　 　　删除多余的区域设置 　　与上述键盘布局相类似的还有Windows的区域设置，在注册表编辑器中展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control 　　\Nls\Locale分支，简体中文使用者完全可以只保留“00000804”键值，其他可以毫不留情地删除。 　　 八、高级篇 　　1、自动清除登录窗口中上次访问者的用户名 　　通常情况下，用户在进入WINNT网络之前必须输入自己的用户名称以及口令。但是当你重新启动计算机，登录WINNT时，WINNT会在缺省情况下将上一次访问者的用户名自动显示在登录窗口的“用户名”文本框中。这样一来，有些非法用户可能利用现有的用户名来猜测其口令，一旦猜中的话，将会对整个计算机系统产生极大的安全隐患。为了保证系统不存在任何安全隐患，我们可以通过修改WINNT注册表的方法来也提供了启动时自动以某一个组的用户名称和口令进行访问WINNT，而不需要通过人工设置的方法来自动清除登录窗口中上次访问者的用户名信息。要实现自动清除功能，必须要进行如下配置：　 A、在开始菜单栏中选择运行命令，在随后打开的运行对话框里输入REGEDIT命令，从而打开注册表编辑器。 　　B、在打开的注册表编辑器中，依次展开以下的键值：　 [HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON] 　　C、在编辑器右边的列表框中，选择“DONTDISPLAYLASTUSERNAME”键值名称，如果没有上面的键值，可以利用“编辑”菜单中的“新建”键值命令添加一个，并选择所建数据类型为“REG_SZ”。 　　D、选择指定的键值并双击，当出现“字符串编辑器”对话框时，在“字符串”文本框中输入“1”，其中“1”代表起用该功能，“0”代表禁止该功能。 　　E、当用户重新启动计算机登录WINNT时，NT登录对话框中的“用户名”文本框中将是空白的。 　　2、为一些非SCSI接口光驱进行手工配置 　　如果你想在WINNT上安装一个非SCSI接口的光驱，在WINNT版本较高的计算机中这中类型的光驱可能被自动识别并自动由计算机来完成其安装任务，不巧的是，你的计算机中安装了一个低版本的操作系统，例如安装了WINNT3.5，还没有时间来升级，但现在就着急用光驱呢，那该怎么办才好呢？不急，虽然Windows NT3.5不能自动识别非SCSI接口的光驱，但我们可以通过手工安装的方式来帮你轻松搞定这个小问题，具体工作步骤为： 　　A、首先必须将你手中的对应的非SCSI接口的CD-ROM驱动程序从安装盘拷贝到WINNT\SYSTEM32\DRIV ERS目录下。 　　B、在WINNT主群组中打开Setup图标。 　　C、从OPTION菜单中选择“Add/Remove SCSI Adapters”。　 D、用鼠标单击ADD按钮，为你的非SCSI接口CD-ROM选择对应的驱动程序。 　　E、接着单击“INSTALL”按钮进行一些相关参数的配置。　　F、退出Windows NT，重新启动计算机后光驱就会有用了。 　　3、增加NTFS性能 　　如果用户想增加NTFS的性能，也可以通过修改注册表的方法来达到目的，具体实现步骤如下： 　　A、打开注册表编辑器，并在编辑器中依次展开以下键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 　　B、在注册表编辑器中用鼠标单击“编辑”菜单，并在下拉菜单中选择“新建”菜单项，并在其弹出的子菜单中单击“DWORD值”。 　　C、 在编辑器右边的列表中输入DWORD值的名称为“NtfsDisableLastAccessUpdate”。 　　D、 接着用鼠标双击NtfsDisableLastAccessUpdate键值，编辑器就会弹出一个名为“字符串编辑器”的对话框，在该对话框的文本栏中输入数值“1”，其中0代表“取消”该项功能，1代表“启用”该项功能。 　　E、设置好后，重新启动计算机就会使上述功能有效。 　　4、修复镜像组 　　A、当镜像磁盘组中的驱动器发生故障时，系统自动向其余的驱动器发出发送数据请求，留下工作驱动器单独运行。此时，用户需要进入Disk Administrator，选择镜像组，再选择FaultTolerance/Break Mirror，将镜像组分为两个独立部分。 　　B、工作的驱动器得到磁盘组所用的驱动器盘符，故障驱动器得到系统的下一个有效盘符。关闭NT Server，更换一个相同型号的硬盘驱动器。 　　C、重新启动NT Server，运行Disk Administor，在新驱动器上选择分区和未用空间，选择Fault Tolerance/Establish Mirror即可对新驱动器作镜像。 　　5、自定义启动信息 　　每次当WINNT启动时，它都会显示“请按CTRL+ALT+DELETE键来登录”的信息，而如果你希望用户在按完CTRL+ALT+DELETE键后，画面上自动显示用户自己希望所看到的信息，可以通过如下的相关设置来进行： 　　A、在开始菜单栏中选择运行命令，在随后打开的运行对话框里输入REGEDIT命令，从而打开注册表编辑器。 　　B、在打开的注册表编辑器中，依次展开以下的键值：　 [HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON] 　　C、在编辑器右边的列表框中，选择“LEGALNOTICECAPTION”键值名称，如果没有上面的键值，可以利用“编辑”菜单中的“新建”键值命令添加一个，并选择所建数据类型为“REG_SZ”。 　　D、选择指定的键值并双击，当出现“字符串编辑器”对话框时，在“字符串”文本框中输入用户希望看到的信息窗口的标题内容，例如输入“WINNT网络”。 　　E、接着在下面一个“字符串”文本框中输入信息窗口要显示的具体内容，例如输入“欢迎使用WINNT网络”。 　　F、重新启动计算机后，再次登录进WINNT网络时，用户将会看到自己在上面设置的内容。 6、加速文件管理系统缓存 　　大家知道计算机的速度有很大一部分与内存相关，如果内存容量大一点，计算机运行速度就会相应快一点。但是假设在内存一定的情况下，如何来提高计算机的运行速度呢？这就是我们下面通过注册表设置要实现的内容，具体步骤如下： 　　A、在开始菜单栏中选择运行命令，在随后打开的运行对话框里输入REGEDIT命令，从而打开注册表编辑器。 　　B、在打开的注册表编辑器中，依次展开以下的键值：　 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]。 　　C、在编辑器右边的列表框中，选择“IoPageLockLimit”键值名称，如果没有上面的键值，可以利用“编辑”菜单中的“新建