shida的博客空间

让韩国人羡慕的中国女孩儿

shida — Mon, 15 Sep 2008 18:01:47 +0800

许馨雨–中国女孩-07-韩国自由式轮滑比赛冠军

网友语录集

shida — Mon, 15 Sep 2008 17:59:55 +0800

1、没有人能给你压力，除了你自己。
2、帅能欺骗女人一时，钱能欺骗女人一世。
3、吃中饭就像做恶梦一样痛苦。
4、中饭：看一眼，饱了；再看一眼，撑了；再看一眼，吐了。。。
5、酒不醉人人自醉，倾城一笑是为谁。
6、不能得到你的肯定，也不想得到你的否定。
7、在你面前，我的智商低于零。
8、能在一棵树上吊死就不错了，可悲的是连那棵树都找不到。
9、都说退一步海阔天空，可我身后是悬崖啊。。。
10、每天过着鬼一样的生活，只有睡着时才感到自己还是个人。
11、人啊，总有脑子短路的时候。可我是经常短路的，就连保险丝都换不起了。
12、我都跟蚊子做持久战的，我躺着总比它飞着轻松吧。
13、战争还没开始，我就注定要失败，因为我的心已经背叛了我。
14、我现在就像一条网中鱼，越挣扎网得越紧，不挣扎又不甘心。
15、如果能把烦恼像扔垃圾一样轻松扔掉就好了。
16、做事不要老问为什么，因为问多了，多半做不成了。
17、理想和现实总是有差距的，除非你把现实当成理想。
18、其实没什么对和错，一切取决于衡量对错的标准。
19、老实其实就是傻，而且比傻更可怕。
20、进行很顺利的事情，往往在快结束时会出现不顺利的因素。
21、智者善于改变自己，愚者试图改变别人。
22、好复杂的社会，好复杂的人，而我傻不楞登地只能在那束手无策。
23、人生几何，如果太多的包袱压得你喘不过气，可以选择放下，千万别拖到没得选择再来后悔。
24、没文化就是没文化，绞尽脑汁才绞出这句话。
25、我真傻，傻得无可救药。
26、挖好大一个坑，然后把自己埋了。

困于笼

shida — Mon, 15 Sep 2008 11:48:55 +0800

兽困于笼，思变！人困于笼，…………

淡忘的心情

shida — Sun, 14 Sep 2008 21:16:57 +0800

最近由于工作还有心情上面的原因，博客已有很长时间没有被更新过了，这期间虽然发生了很多值得纪念的事情，比如奥运会等，虽然我看从电视上了开幕式，也每天都在关注的着赛事，本来想把这其中印象最深刻的部分记录下来，然而这样的希望还是没能实现，可见，人做任何的事情受到心情的影响也还是很大的。

以前很喜欢上网，可最近每每登上网络却不知道做什么好了，好像一下了对网络失去了兴趣，之前我是很喜欢上网的，记得在大学的时候还曾上过通宵，呵呵，现在回想起来倒是感觉那时像着了魔一样，兴趣可以让一个人失魂落魄，失去兴趣可以让一个人觉得什么都索然无味，甚至突然间忘记了活着的意义，于是还会觉得活着很累。

年龄却是一个问题，从前不觉得年龄会影响到自己什么，因为在上学的过程中，自己的年纪在同学中间算不得最大的，比自己大的、小的都有，所以关于年龄的问题总是被忽略了，如今已近而立之年，实然感觉岁月是一个很大的问题，把能够把人磨的很老，也能把人的心情磨的很淡，到了现在还没有成家，又有了家庭的压力，也许是心有不甘，也许是不想太凑合吧，一值紧守的心门已趋于松散，结果也许只有是那么回事儿了，往事枉然吧。

确实需要自己给自己一些鼓励了，年少的我总是认为生活是非常美好的，存在着就有了享受生活的意义，而现实却是生活的节奏越来越快，每天心情也浮燥的奔忙着，甚至自己也想像不到为什么会活得这么累，但确实累了。自己的目标没有实现，所以即使对现实生活有什么的不满，也要尽最大的努力去改变这一结果，我相信世上还有很多不错的东西，只是自己的境界还没有达到，还需要更加努力，将来也会有很舒心的一天。

活着要有价值，虽然到目前为止还不知道活着的价值是什么，但生命是一个过程，它是属于自己的，对于自己要有怎样的人生，这完全掌握在自己的手里，自己做为对自己人生的掌舵者，必须要对自己的人生态度负责，所以要时时间回过头来观望一下走过的路，它是不是还是在沿着自己的目标前进，只要在回过头来看一看时没有太大的遗憾，我想对于一个平凡的人来说，这足够了，人不存大完人。

常见拖慢系统启动的几个原因

shida — Fri, 15 Aug 2008 15:37:44 +0800

有些时候Windows 启动速度缓慢并不是它本身的问题，而是一些设备或软件造成的，下面简单的列举了一下造成windows开机缓慢的一些原因：
1． USB硬盘和扫描仪等设备
如果电脑安装了扫描仪等设备，或在启动时已经连接了USB硬盘，那么不妨试试先将它们断开，看看启动速度是不是有变化。一般来说，由于USB接口速度较慢，因此相应设备会对电脑启动速度有较明显的影响，应该尽量在启动后再连接USB设备。如果没有USB设备，那么建议直接在BIOS设置中将USB功能关闭。由于Windows 启动时会对各个驱动器（包括光驱）进行检测，因此如果光驱中放置了光盘，也会延长电脑的启动时间。
2．设置不当的网卡
如果设置不当，网卡也会明显影响系统启动速度，如果你的电脑用不着网卡，那就直接将网卡拔掉，以免影响系统启动速度。如果你的电脑连接在局域网内，安装好网卡驱动程序后，默认情况下系统会自动通过DHCP来获得IP地址，但大多数公司的局域网并没有DHCP服务器，因此如果用户设置成“自动获得IP地址”，系统在启动时就会不断在网络中搜索DHCP 服务器，直到获得IP 地址或超时，自然就影响了启动时间，因此局域网用户最好为自己的电脑指定固定IP地址。
3．文件和打印机共享
有些安装了Windows XP专业版的电脑也会出现启动非常慢的问题，甚至达到了1分半钟之多！系统似乎死机了，登录系统后，桌面也不出现，电脑就像停止反应，1分钟后才能正常使用。这是由于使用了Bootvis.exe 程序后，其中的Mrxsmb.dll文件为电脑启动添加了几十秒的时间！
要解决这个问题，只要停止共享文件夹和打印机即可：选择“开始→设置→网络和拨号连接”，右击“本地连接”，选择“属性”，在打开的窗口中取消“此连接使用下列选定的组件”下的“Microsoft网络的文件和打印机共享”前的复选框，重启电脑即可。微软已经对Bootvis．exe文件进行了多次升级，而且它确实对Windows XP的启动速度有很大帮助，建议大家到 http：//www．microsoft．com/whdc/hwdev/platform /performance/fastboot /default．mspx 下载该工具。
4．断开不用的网络驱动器
为了消除或减少 Windows 必须重新建立的网络连接数目，建议将一些不需要使用的网络驱动器断开，也就是进入“我的电脑”，右击已经建立映射的网络驱动器，选择“断开”即可。
5．硬盘分区太多
如果你的Windows 2000没有升级到SP3或SP4，并且定义了太多的分区，那么也会使启动变得很漫长，甚至挂起。所以建议升级最新的SP4，同时最好不要为硬盘分太多区。因为Windows 在启动时必须装载每个分区，随着分区数量的增多，完成此操作的时间总量也会不断增长。
6．桌面图标太多
桌面上有太多图标也会降低系统启动速度。Windows每次启动并显示桌面时，都需要逐个查找桌面快捷方式的图标并加载它们，图标越多，所花费的时间当然就越多。建议大家将不常用的桌面图标放到一个专门的文件夹中或者干脆删除！
有些杀毒软件提供了系统启动扫描功能，这将会耗费非常多的时间，其实如果你已经打开了杀毒软件的实时监视功能，那么启动时扫描系统就显得有些多余，还是将这项功能禁止吧！
7．字体过多
尽管微软声称Windows可以安装1000～1500种字体，但实际上我们却发现当安装的字体超过500 种时，就会出现问题，比如：字体从应用程序的字体列表中消失以及Windows的启动速度大幅下降。在此建议最好将用不到或者不常用的字体删除，为避免删除后发生意外，可先进行必要的备份。
8．微软补丁
还记得Windows XP的某个补丁造成系统启动变慢的新闻吧(比如：代号为 Q328310的补丁会造成Windows 2000/XP启动和关机速度奇慢，甚至有可能导致注册表锁死)，可见微软自己内部出问题的可能性也不小，如果你在升级了某个系统补丁后，突然发现系统启动变慢，那么最好留意一下是不是补丁惹的祸。

文章总是写了删……

shida — Wed, 23 Jul 2008 02:14:15 +0800

写博客也有一段时间了，可是，回想起来，收获寥寥。有时候，很想用心更新一翻，却发现不知道从何下笔为好，有时又突发灵感，思如泉涌，可到最后依然还是写了删。思来思去，可能是把博客看得太重了吧，总认为博客里只能记留最重要的东西，只有这样，才感觉它有写的价值，才有花费时间更新的价值。有时又觉得，没有什么东西是最重的，一闭上眼睛，世上所有的一切都会离人而去，什么都带不走，就跟一出生时什么也没带来一样，可谓：来不想来，走不想走，不来的还得来，不走的还得走，哭声伴随了人一生的始末。于是，就想到了人最重要的就是活着，只有活着，才有再创造的机会，一切都可以在自己的不断努力下重头再来……然而，在写的过程中，思量再三，又觉得不再重要了，再深思一下，便觉可笑，青春是不可逆的，根本不会给任何一个人从头再来的机会，这么简单的理论怎么会在人思考的过程中就这么轻意的给忽略了呢？！想着想着，感觉人最重要的也不一定就是活着了，事实也证明了这一点，活在大家心目中的，不会是那些生命最长的人，而是活的更有意义的人，在他的生命里，不仅为自己刻下了生命特征的痕迹，同时，也把这种痕迹也深深的刻入别人的心里，于是我又得出了生命的意义就在于享受生命过程这样的结论。果真如此吗？倒也未必，人人都有不同的命运，所以也就没有了横量的标尺，硬立一个标准，然后把所有的东西都拿过来比较，又总感觉失去了比较的意义，经历本身就是一种财富，但这种财富却是无法用任何的标准来横量、比较，人生的经历是不同的，财富自然不同……那最重要的又是什么呢？落笔的意义又何在呢？写着写着，思绪又乱了……原来，博客就是一个让人思想涂鸦的地方，就这么的简单！

多媒体文件测试

shida — Tue, 15 Jul 2008 20:34:58 +0800

今天忽然觉得一个博客里面没有点多媒体，总感觉空洞洞的，也不能完整的体现出来WEB2.0的优势。所以，就在空间里加了两个插件，Audio Player 和 CoolPlayer，下面就先加了一首MP3和一小段视频做一下测试，看看感觉出何，以备参考。感觉在firefox浏览器中效果比较好，而且下载速度也比较快，而且，在IE7中，Audio Player中的音乐文件竟没有显示。PS：播放视频需要QuickTime插件的支持。

载入中……

非常有用的几个cmd指令

shida — Tue, 15 Jul 2008 10:15:20 +0800

一、ping
它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看帮助吧，在DOS窗口中键入：ping /? 回车。在此，我们只掌握一些基本的很有用的参数就可以了（下同）。
-t 表示将不间断向目标IP发送数据包，直到我们强迫其停止。试想，如果你使用100M的宽带接入，而目标IP是56K的小猫，那么要不了多久，目标IP就因为承受不了这么多的数据而掉线，呵呵，一次攻击就这么简单的实现了。
-l 定义发送数据包的大小，默认为32字节，我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用，会有更好的效果哦。
-n 定义向目标IP发送数据包的次数，默认为3次。如果网络速度比较慢，3次对我们来说也浪费了不少时间，因为现在我们的目的仅仅是判断目标IP是否存在，那么就定义为一次吧。
说明一下，如果-t 参数和 -n参数一起使用，ping命令就以放在后面的参数为标准，比如”ping IP -t -n 3″，虽然使用了-t参数，但并不是一直ping下去，而是只ping 3次。另外，ping命令不一定非得ping IP，也可以直接ping主机域名，这样就可以得到主机的 IP。
下面我们举个例子来说明一下具体用法。
这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒，从这里可以判断网络连接速度的大小。从TTL的返回值可以初步判断被 ping主机的操作系统，之所以说”初步判断”是因为这个值是可以修改的。这里TTL=32表示操作系统可能是win98。
（小知识：如果TTL=128，则表示目标主机可能是Win2000；如果TTL=250，则目标主机可能是Unix）
至于利用ping命令可以快速查找局域网故障，可以快速搜索最快的QQ服务器，可以对别人进行ping攻击……这些就靠大家自己发挥了。
二、nbtstat
该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接，使用这个命令你可以得到远程主机的NETBIOS信息，比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。
-a 使用这个参数，只要你知道了远程主机的机器名称，就可以得到它的NETBIOS信息（下同）。
-A 这个参数也可以得到远程主机的NETBIOS信息，但需要你知道它的IP。
-n 列出本地机器的NETBIOS信息。
当得到了对方的IP或者机器名的时候，就可以使用nbtstat命令来进一步得到对方的信息了，这又增加了我们入侵的保险系数。这是一个用来查看网络状态的命令，操作简便功能强大。
-a 查看本地机器的所有开放端口，可以有效发现和预防木马，可以知道机器所开的服务等信息。
这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法：netstat -a IP。
-r 列出当前的路由信息，告诉我们本地机器的网关、子网掩码等信息。用法：netstat -r IP。
四、tracert
跟踪路由信息，使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径，这对我们了解网络布局和结构很有帮助。
这里说明数据从本地机器传输到192.168.0.1的机器上，中间没有经过任何中转，说明这两台机器是在同一段局域网内。用法：tracert IP。
五、net
这个命令是网络命令中最重要的一个，必须透彻掌握它的每一个子命令的用法，因为它的功能实在是太强大了，这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令，键入net /?回车。
在这里，我们重点掌握几个入侵常用的子命令。
net view
使用此命令查看远程主机的所以共享资源。命令格式为net view IP。
net use
把远程主机的某个共享资源影射为本地盘符，图形界面方便使用，呵呵。命令格式为net use x: IPsharename。上面一个表示把 192.168.0.5IP的共享名为magic的目录影射为本地的Z盘。下面表示和192.168.0.7建立IPC$连接（net use IP IPCtiny_mce_markerquot;password” /user:”name”）。
建立了IPC$连接后，呵呵，就可以上传文件了：copy nc.exe 292.168.0.7admin$，表示把本地目录下的nc.exe传到远程主机，结合后面要介绍到的其他DOS命令就可以实现入侵了。
net start
使用它来启动远程主机上的服务。当你和远程主机建立连接后，如果发现它的什么服务没有启动，而你又想利用此服务怎么办？就使用这个命令来启动吧。用法：net start servername，成功启动了telnet服务。
net stop
入侵后发现远程主机的某个服务碍手碍脚，怎么办？利用这个命令停掉就ok了，用法和net start同。
net user
查看和帐户有关的情况，包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这对我们入侵是很有利的，最重要的，它为我们克隆帐户提供了前提。键入不带参数的net user，可以查看所有用户，包括已经禁用的。下面分别讲解。
1，net user abcd 1234 /add，新建一个用户名为abcd，密码为1234的帐户，默认为user组成员。
2，net user abcd /del，将用户名为abcd的用户删除。
3，net user abcd /active:no，将用户名为abcd的用户禁用。
4，net user abcd /active:yes，激活用户名为abcd的用户。
5，net user abcd，查看用户名为abcd的用户的情况。
net localgroup
查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。在入侵过程中，我们一般利用它来把某个帐户提升为administrator组帐户，这样我们利用这个帐户就可以控制整个远程主机了。用法： net localgroup groupname username /add。
现在我们把刚才新建的用户abcd加到administrator组里去了，这时候abcd用户已经是超级管理员了，呵呵，你可以再使用 net user abcd来查看他的状态。但这样太明显了，网管一看用户情况就能漏出破绽，所以这种方法只能对付菜鸟网管，但我们还得知道。现在的手段都是利用其他工具和手段克隆一个让网管看不出来的超级管理员，这是后话。有兴趣的朋友可以参照《黑客防线》第30期上的《由浅入深解析隆帐户》一文。
net time
这个命令可以查看远程主机当前的时间。如果你的目标只是进入到远程主机里面，那么也许就用不到这个命令了。但简单的入侵成功了，难道只是看看吗？我们需要进一步渗透。这就连远程主机当前的时间都需要知道，因为利用时间和其他手段（后面会讲到）可以实现某个命令和程序的定时启动，为我们进一步入侵打好基础。用法：net time IP。
六、at
这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序（知道net time的重要了吧？）。当我们知道了远程主机的当前时间，就可以利用此命令让其在以后的某个时间（比如2分钟后）执行某个程序和命令。用法：at time command computer。
表示在6点55分时，让名称为a-01的计算机开启telnet服务（这里net start telnet即为开启telnet服务的命令）。
七、ftp
大家对这个命令应该比较熟悉了吧？网络上开放的ftp的主机很多，其中很大一部分是匿名的，也就是说任何人都可以登陆上去。现在如果你扫到了一台开放 ftp服务的主机（一般都是开了21端口的机器），如果你还不会使用ftp的命令怎么办？下面就给出基本的ftp命令使用方法。
首先在命令行键入ftp回车，出现ftp的提示符，这时候可以键入”help”来查看帮助（任何DOS命令都可以使用此方法查看其帮助)。
大家可能看到了，这么多命令该怎么用？其实也用不到那么多，掌握几个基本的就够了。
首先是登陆过程，这就要用到open了，直接在ftp的提示符下输入”open 主机IP ftp端口”回车即可，一般端口默认都是21，可以不写。接着就是输入合法的用户名和密码进行登陆了，这里以匿名ftp为例介绍。
用户名和密码都是ftp，密码是不显示的。当提示**** logged in时，就说明登陆成功。这里因为是匿名登陆，所以用户显示为Anonymous。
接下来就要介绍具体命令的使用方法了。
dir 跟DOS命令一样，用于查看服务器的文件，直接敲上dir回车，就可以看到此ftp服务器上的文件。
cd 进入某个文件夹。
get 下载文件到本地机器。
put 上传文件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了，如果可以，呵呵，该怎么利用就不多说了，大家就自由发挥去吧。
delete 删除远程ftp服务器上的文件。这也必须保证你有可写的权限。
bye 退出当前连接。
quit 同上。
八、telnet
功能强大的远程登陆命令，几乎所有的入侵者都喜欢用它，屡试不爽。为什么？它操作简单，如同使用自己的机器一样，只要你熟悉DOS命令，在成功以 administrator身份连接了远程机器后，就可以用它来干你想干的一切了。下面介绍一下使用方法，首先键入telnet回车，再键入help 查看其帮助信息。
然后在提示符下键入open IP回车，这时就出现了登陆窗口，让你输入合法的用户名和密码，这里输入任何密码都是不显示的。
当输入用户名和密码都正确后就成功建立了telnet连接，这时候你就在远程主机上具有了和此用户一样的权限，利用DOS命令就可以实现你想干的事情了。这里我使用的超级管理员权限登陆的。
另外大家应该清楚，任何人要想进入系统，必须得有一个合法的用户名和密码（输入法漏洞差不多绝迹了吧），哪怕你拿到帐户的只有一个很小的权限，你也可以利用它来达到最后的目的。所以坚决消灭空口令，给自己的帐户加上一个强壮的密码，是最好的防御弱口令入侵的方法。

几个有用的Regsvr32命令

shida — Tue, 15 Jul 2008 09:33:39 +0800

Regsvr32命令修复系统故障实例使用过activex的人都知道，activex不注册是不能够被系统识别和使用的，一般安装程序都会自动地把它所使用的 activex控件注册，但如果你拿到的一个控件需要手动注册怎么办呢？如果修改注册表那就太麻烦了，在windows的system文件夹下有一个 regsvr32.exe的程序，它就是windows自带的activex注册和反注册工具。
2000系统的regsvr32.exe在winnt\system32文件夹下；
WInXP系统的regsvr32.exe在windows\system32文件夹下
regsvr32的用法为：
“regsvr32 [/s] [/n] [/i(:cmdline)] dllname”。其中dllname为activex控件文件名，建议在安装前拷贝到system文件夹下。
参数有如下意义：
/u–反注册控件
/s–不管注册成功与否，均不显示提示框
/c–控制台输出
/i–跳过控件的选项进行安装(与注册不同)
/n–不注册控件，此选项必须与/i选项一起使用
执行该命令的方法：
1、可以在”开始”–”运行”，调出运行的对话框，也可以使用Win+R热键，然后直接在输入栏输入即可
2、在开始–运行输入cmd，调出‘命令提示符’窗口，然后再执行regsvr32命令。
二、Regsvr32错误消息的说明
当使用 Regsvr32.exe 时，它会尝试加载该组件并调用它的 DLLSelfRegister 函数。如果此尝试成功，Regsvr32.exe 会显示一个指示成功的对话框。如果此尝试失败，Regsvr32.exe 会返回一条错误消息，其中可能会包括一个 Win32 错误代码。
以下列表介绍了 RegSvr32 错误消息和可能的原因。
Unrecognized flag:/invalid_flag
键入的标志或开关组合无效（请参阅本文中的”Regsvr32.exe 的用法”一节）。
No DLL name specified.
未包括 .dll 文件名（请参阅本文中的”Regsvr32.exe 的用法”一节）。
Dllname was loaded, but the DllRegisterServer or DllUnregisterServer entry point was not found.
Dllname不是.dll 或.ocx 文件。例如，键入 regsvr32 wjview.exe 就会生成该错误消息。
例如，键入regsvr32 icwdial.dll 后就会返回该错误消息，因为 Icwdial.dll 文件不能自行注册。如果您怀疑内存中有损坏的 Dllname 版本，请尝试重新启动计算机，或重新提取该文件的原始版本。如果您运行的是 Windows NT，可能需要使用 Microsoft Windows NT Server 4.0 资源工具包中的 Kill 或 Pview 工具。有关其他信息，请单击以查看以下 Microsoft 知识库文章：197155 如何终止孤立进程 OleInitialize failed (or OleUninitialize failed).
Regsvr32 必须先初始化 COM 库，然后才能调用所需的 COM 库函数并在关闭时撤消对该库的初始化。
一、轻松修复IE浏览器
regsvr32 Shdocvw.dll
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 browseui.dll
作用：
1、同时运行以上命令不仅可以解决IE不能打开新的窗口，用鼠标点击超链接也没有任何反应的问题；
2、还能解决大大小小的其它IE问题，比如网页显示不完整，JAVA效果不出现，网页不自动跳转，打开某些网站时总提示‘无法显示该页’等。
二、解决Windows无法在线升级的问题
regsvr32 wupdinfo.dll
作用：
Windows的漏洞很多，每隔一段时间就需要使用”Windows Update”升级程序进行在线升级，不过”Windows Update”经常出现无法使用的情况，这时，我们可以使用Regsvr32来解决这个问题。
三、防范网络脚本病毒有新招
regsvr32 /u scrrun.dll
作用：
网络脚本病毒嵌在网页中，上网时在不知不觉中机器就会感染上这种病毒。笔者认为单纯使用杀毒软件并不能有效地防范这些脚本病毒，必须从病毒传播的机理入手。网络脚本病毒的复制、传播都离不开FSO对象（File System Object，文件系统对象），因此禁用FSO对象就能有效地控制脚本病毒的传播。
如果需要使用FSO对象，键入”regsvr32 scrrun.dll”命令即可。
四、卸载Win XP自带的ZIP功能
regsvr32 /u zipfldr.dll
作用：
Win XP以功能强大而著称，但有些功能却常常令人有”鸡肋”之感，比如Win XP自带的ZIP功能和图片预览功能，不仅占用了系统资源，功能也远不如第三方软件强大。其实用Regsvr32命令可以很容易地卸载这些功能。
五、修复无法缩略图查看文件问题
2000: 开始→运行，输入regsvr32 thumbvw.dll
XP: 开始→运行，输入regsvr32 shimgvw.dll
六、让WMP播放器支持RM格式
很多朋友喜欢用Windows Media Player（以下简称WMP）播放器，但是它不支持RM格式，难道非得安装其它播放软件吗?笔者有办法。
以 Win XP为例，首先下载一个RM格式插件，解压缩后得到两个文件夹： Release（用于Windows 9x）和 Release Unicode （用于Windows 2000/XP）；将Release Unicode文件夹下的 RealMediaSplitter.ax文件拷贝到”系统盘符\WINDOWS\System32\”目录下；在”开始→运行 “中键入 “regsvr32 RealMediaSplitter.ax”，点击”确定”即可。接着下载解码器，如Real Alternative，安装后就能用WMP播放RM格式的影音文件了。
七、让WMP9的播放器出现
有些音乐网页的在线点歌需要用到Media Player，有的朋友明明安装了WMP9，但在线听音乐却只看到枯燥的WMP6播放器面板，想让漂亮的WMP9面板出现，当然没问题的。
常见问题的操作系统多数WIN 98，先关闭IE，再在”开始→运行”中键入”regsvr32 wmpdxm.dll”，点击”确定”即可。
八、解决打开系统功能时无反应regsvr32 shdocvw.dll
作用：
有时从开始菜单里点击XP系统的搜索功能、帮助和支持或管理工具等，但就是无任何反应，这是它们的打开方式缺少关联，所以我们只要用regsvr32注册它们需要调用的动态连接库文件就行了。
九、添加/删除程序打不开了regsvr32 appwiz.cpl
regsvr32 mshtml.dll
regsvr32 jscript.dll
regsvr32 msi.dll
regsvr32 “c:\program files\common files\system\ole db\oledb32.dll”
regsvr32 “c:\program files\common files\system\ado\msado15.dll”
regsvr32 mshtmled.dll
regsvr32 /i shdocvw.dll
regsvr32 /i shell32.dll
作用：
当打开控制面板中的添加/删除程序时，双击它的图标后无反应，或者打开后自动关闭了，尝试使用以上命令可以解决。
十、XP的用户帐户打不开regsvr32 nusrmgr.cpl
regsvr32 mshtml.dll
regsvr32 jscript.dll
regsvr32 /i shdocvw.dll
十一、防范网络脚本病毒有新招
regsvr32 /u scrrun.dll 禁用FSO对象
regsvr32 scrrun.dll 使用FSO对象
十二、解决Windows无法在线升级的问题regsvr32 wupdinfo.dll
以下症状我把它称作IE的活动脚本漏洞，虽然这两个命令能修复，但治标不治本，我建议遇到此问题的朋友到微软网站进行IE安全更新，即打漏洞补丁。
regsvr32 jscript.dll
regsvr32 vbscript.dll
作用：
1、跟上面讲的修复IE浏览器方法配合使用(可以不配)，可以很好的解决浏览某些网页无法正常显示和功能不正常，如：
a.不显示某些验证码
b.不显示某些动态图片
c.不显示某些论坛的帖子列表
d.论坛快速跳转功能无用
e.论坛发贴时按Ctrl+Enter提交无反应
2、修复个别窗口空白，如XP的‘搜索’功能的搜索助理操作面板空白、系统还原页面空白和用户帐户页面空白等。(可修复把握度100%)
3、解决windows media player 9或以上版本打开时提示‘出现内部应用程序错误’。(可修复把握度100%)
4、可以修复win 2000的‘添加/删除程序’打开后一片空白。(可修复把握度99%)
5、解决win 2000以WEB方式查看Program Files文件夹和Winnt文件夹时看不到任何文件，以及‘控制面板’的图标跑到左边去的问题。
6、解决网页上网际快车的右键菜单功能无法使用。
在网站中，当右键点某个‘下载连接’时，会弹出菜单，选择‘使用网际快车下载’会再弹出FLASHGET的下载任务页面，如果发现该功能无反应，那就可能是这个原因：原来这项菜单是调用了FLASHGET目录下的jc_link.htm文件，这个文件是用VB语言编写的，所以其作用丢失是动态连接库 vbscript.dll没有注册和调用到。
增加：
1.关闭AVI等影片的预览功能（有的朋友预览的时候会explorer出错，可以用这个方法）：
regsvr32 /u shmedia.dll
2.禁止Windows scripting host（爱虫病毒就是靠它来发作的）：
regsvr32/u wshom.ocx
regsvr32/u wshext.dll
3.让新版本WMP播放器出现在网页中
Regsvr32 wmpdxm.dll

不装杀毒软件，也能杀掉病毒

shida — Tue, 15 Jul 2008 09:26:53 +0800

一、任务管理器

Windows任务管理器是大家对进程进行管理的主要工具，在它的”进程”选项卡中能查看当前系统进程信息。在默认设置下，一般只能看到映像名称、用户名、CPU占用、内存使用等几项，而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息，当系统出现莫名其妙的故障时，没准就能从它们中间找出突破口。 1.查杀会自动消失的双进程木马前段时间朋友的电脑中了某木马，通过任务管理器查出该木马进程为”system.exe”，终止它后再刷新，它又会复活。进入安全模式把 c：＼windows＼system32＼system.exe删除，重启后它又会重新加载，怎么也无法彻底清除它。从此现象来看，朋友中的应该是双进程木马。这种木马有监护进程，会定时进行扫描，一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视，互相复活。因此查杀的关键是找到这”互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。调出Windows任务管理器，首先在”查看→选择列”中勾选”PID（进程标识符）”，这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程，它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口，执行”taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令如图1，可以看到这次终止的system.exe进程的PID为 1536，它属于PID为676的某个进程。也就是说PID为1536的system.exe进程是由PID为676的进程创建的。返回任务管理器，通过查询进程PID得知它就是 “internet.exe”进程进程。（如图）

图1

查询PID进程找到了元凶就好办了，现在重新启动系统进入安全模式，使用搜索功能找到木马文件c：＼windows＼internet.exe ，然后将它们删除即可。前面无法删除system.exe，主要是由于没有找到internet.exe（且没有删除其启动键值），导致重新进入系统后 internet.exe复活木马。 2.揪出狂写硬盘的P2P程序单位一电脑一开机上网就发现硬盘灯一直闪个不停，硬盘狂旋转。显然是本机有什么程序正在进行数据的读取，但是反复杀毒也没发现病毒、木马等恶意程序。打开该电脑并上网，按Ctrl+Alt+Del键启动了任务管理器，切换到”进程”选项卡，点击菜单命令”查看→选择列”，同时勾选上”I/O写入”和 “I/O写入字节”两项。确定后返回任务管理器，发现一个陌生的进程hidel.exe，虽然它占用的CPU和内存并不是特别大，但是I/O的写入量却大得惊人，看来就是它在捣鬼了，赶紧右击它并选择”结束进程”终止，果然硬盘读写恢复正常了。

二、系统备份工具

笔者曾遭遇一个无法删除的病毒”C：＼Program Files＼Common Files＼PCSuite＼rasdf.exe”，同时也无法复制这个文件，如何清除它。笔者通过系统备份工具清除了该病毒，操作过程如下：第一步：单击”开始→所有程序→附件→系统工具→备份”，打开备份或还原向导窗口，备份项目选择”让我选择要备份的内容”，定位到”C：＼Program Files＼Common Files＼PCSuite”。第二步：继续执行备份向导操作，将备份文件保存为”g：＼virus.bkf”，备份选项勾选”使用卷阴影复制”，剩余操作按默认设置完成备份。

第三步：双击”g：＼virus.bak”，打开备份或还原向导，把备份还原到”g：＼virus”。接着打开”g：＼virus”，使用记事本打开病毒文件”rasdf.exe”，然后随便删除其中几行代码并保存，这样病毒就被我们使用记事本破坏了（它再也无法运行）。第四步：操作同上，重新制作”k：＼virus”的备份为”k：＼virus1.bkf”。然后启动还原向导，还原位置选择”C：＼Program Files＼Common Files＼PCSuite＼”，还原选项选择”替换现有文件”。这样，虽然当前病毒正在运行，但备份组件仍然可以使用坏的病毒文件替换当前病毒。还原完成后，系统提示重新启动，重启后病毒就不会启动了（因为它已被记事本破坏）。

三、记事本

1.双进程木马的查杀现在，越来越多的木马采用双进程守护技术保护自己，就是两个拥有同样功能的代码程序，不断地检测对方是否已经被别人终止，如果发现对方已经被终止了，那么又开始创建对方，这给我们的查杀带来很大的困难。不过，此类木马也有”软肋”，它只通过进程列表进程名称来判断被守护进程是否存在。这样，我们只要用记事本程序来替代木马进程，就可以达到”欺骗”守护进程的目的。下面以某变种木马的查杀为例。中招该木马后，木马的”internet.exe”和”systemtray.exe”两个进程会互相监视。当然，我们中招的时候大多不知道木马具体的监护进程。不过，通过进程名称可以知道，”systemtray.exe”是异常的进程，因为系统正常进程中没有该进程。下面使用替换方法来查杀该木马。

第一步：单击”开始→运行”，输入”Msinfo32″打开系统信息窗口，展开”系统摘要→软件环境→正在运行任务”，这里可以看到”systemtray.exe”路径在”C：＼Windows＼System32″下。

第二步：打开”C：＼Windows＼System32″，复制记事本程序”notepad.exe”到”D：＼” ，同时重命名为”systemtray.exe”。

第三步：打开记事本程序，输入下列代码，保存为”shadu.bat”，放置在桌面（括号为注释，无须输入）： [table=400][tr][td]@echo offTaskkill /f /im systemtray.exe （使用taskkill命令强行终止”systemtray.exe”进程）Delete C：＼Windows＼System32＼systemtray.exe （删除病毒文件）Copy d：＼systemtray.exe C：＼Windows＼System32＼（替换病毒文件）

第四步：现在只要在桌面运行”shadu.bat”，系统会将”systemtray.exe”进程终止并删除，同时把改名的记事本程序复制到系统目录。这样，守护进程会”误以为”被守护进程还存在，它会立刻启动一个记事本程序。第五步：接下来我们只要找出监视进程并删除即可，在命令提示符输入： “taskkill /f /im systemtray.exe “，将守护进程再生的”systemtray.exe”终止，可以看到”systemtray.exe”进程是由”PID 3288的进程”创建的，打开任务管理器可以看到”PID 3288的进程”为”internet.exe”，这就是再生进程的”元凶”。

第六步：按照第一步方式，打开系统信息窗口可以看到”internet.exe”也位于系统目录，终止”internet.exe”进程并进入系统目录把上述两个文件删除即可。 2.使病毒失效并删除大家知道，文件都是由编码组成的，记事本程序理论上可以打开任意文件（只不过有些会显示为乱码）。我们可以将病毒打开方式关联到记事本，使之启动后变成由记事本打开，失去作恶的功能。比如，一些顽固病毒常常会在注册表的 “HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”等启动位置生成难以删除的键值，达到恶意启动的目的。

下面使用记事本来”废”掉病毒的生命力。

第一步：启动命令提示符，输入”ftype exefile=notepad.exe %1″，把所有EXE程序打开方式关联到记事本程序，重启系统后我们会发现桌面自动启动好几个程序，这里包括系统正常的程序如输入法、音量调整程序等，当然也包括恶意启动的流氓程序，不过现在都被记事本打开了。

第二步：根据记事本窗口标题找到病毒程序，比如上例的systemtray.exe程序，找到这个记事本窗口后，单击”文件→另存为”，我们就可以看到病毒具体路径在”C：＼Windows＼System32″下。现在关掉记事本窗口，按上述路径提示进入系统目录删除病毒即可。第三步：删除病毒后就可以删除病毒启动键值了，接着重启电脑，按住F8，然后在安全模式菜单选择”带命令提示的安全模式”，进入系统后会自动打开命令提示符。输入”ftype exefile=”%1″%*”恢复exe文件打开方式即可。

四、注册表映像劫持让病毒没脾气现在病毒都会采用IFO的技术，通俗的讲法是映像劫持，利用的是注册表中的如下键值 HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options位置来改变程序调用的，而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。恰恰相反，让我们自己可以利用此处欺瞒病毒木马，让它实效。可谓，瞒天过海，还治其人。

下面我们以屏蔽某未知病毒KAVSVC.EXE为例，操作方法如下：

第一步：先建立以下一文本文件，输入以下内容，另存为1.reg [table=400][tr][td]Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼KAVSVC.EXE]“Debugger”=”d：＼＼1.exe” [HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼KAVSVC.EXE]“Debugger”=”d：＼＼1.exe”（注：第一行代码下有空行。）

第二步：双击导入该reg文件后，确定。第三步：点”开始→运行”后，输入KAVSVC.EXE。提示：1.exe可以是任意无用的文件，是我们随意创建一个文本文件后将后缀名.txt改为.exe的。