林海工作室 IOHY 论坛

Windows XP SP2 激活程序


http://www.iohy.com/bbs/viewFile.asp?Boardid=9&ID=147


使用方法:解压其中的 xx.hiv 到系统根目录下的SYSTEM32



在运行 xx.EXE


更多下载请到　www.iohy.com/bbs

可以开 NNN个线程


http://www.iohy.com/down/NetTransport.rar

随着电脑越来越深入到普通用户的生活、工作之中，原来只有专业人员才会遇到的问题，例如配置小型(家庭)网络，现在普通用户也会经常遇到。Windows系列操作系统一直以易用著称，力图让本来复杂的任务通过简单的操作即可完成。但是有的时候，易用性和安全是相互冲突的；同时，由于网络的广泛使用，每一台上网的PC实际上就是一个Internet的节点，所以安全是每一个用户必须关注的问题。XP作为Windows最新的版本，当然也是最容易使用的操作系统；另一方面，为了提高易用性而采用的许多默认设置却带来了安全风险。　　

　　 一、简单文件共享。为了让网络上的用户只需点击几下鼠标就可以实现文件共享，XP加入了一种称为"简单文件共享"的功能，但同时也打开了许多NetBIOS漏洞。关闭简单文件共享功能的步骤是：打开"我的电脑"，选择菜单"工具"→"文件夹选项"，点击"查看"，在"高级设置"中取消"使用简单文件共享(推荐)"。 　　

　　 二、FAT32。凡是新买的机器，许多硬盘驱动器都被格式化成FAT32。要想提高安全性，可以把FAT32文件系统转换成NTFS。NTFS允许更全面、细粒度地控制文件和文件夹的权限，进而还可以使用加密文件系统(EFS，Encrypting File System)，从文件分区这一层次保证数据不被窃取。在"我的电脑"中用右键点击驱动器并选择"属性"，可以查看驱动器当前的文件系统。如果要把文件系统转换成NTFS，先备份一下重要的文件，选择菜单"开始"→"运行"，输入cmd，点击"确定"。然后，在命令行窗口中，执行convert x: /fs:ntfs(其中x是驱动器的盘符)。 　　

　　 三、Guest帐户。Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门。如果不需要用到Guest帐户，最好禁用它。在Win XP Pro中，打开"控制面板"→"管理工具"，点击"计算机管理"。在左边列表中找到"本地用户和组"并点击其中的"用户"，在右边窗格中，双击Guest帐户，选中"帐户已停用"。WinXP Home不允许停用Guest帐户，但允许为Guest帐户设置密码：先在命令行环境中执行Net user guest password命令，然后进入"控制面板"、"用户设置"，设置Guest帐户的密码。　　

　　 四、Administrator帐户。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码。每一台计算机至少需要一个帐户拥有Administrator(管理员)权限，但不一定非用"Administrator"这个名称不可。所以，无论在XP Home还是Pro中，最好创建另一个拥有全部权限的帐户，然后停用Administrator帐户。另外，在WinXP Home中，修改一下默认的所有者帐户名称。最后，不要忘记为所有帐户设置足够复杂的密码。　

　　　五、交换文件。即使你的操作完全正常，Windows也会泄漏重要的机密数据(包括密码)。也许你永远不会想到要看一下这些泄漏机密的文件，但黑客肯定会。你首先要做的是，要求机器在关机的时候清除系统的页面文件(交换文件)。点击Windows的"开始"菜单，选择"运行"，执行Regedit。在注册表中找到HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management，然后创建或修改ClearPageFileAtShutdown，把这个DWORD值设置为1。　　

　　 六、转储文件。系统在遇到严重问题时，会把内存中的数据保存到转储文件。转储文件的作用是帮助人们分析系统遇到的问题，但对一般用户来说没有用；另一方面，就象交换文件一样，转储文件可能泄漏许多敏感数据。禁止Windows创建转储文件的步骤如下：打开"控制面板"→"系统"，找到"高级"，然后点击"启动和故障恢复"下面的"设置"按钮，将"写入调试信息"这一栏设置成"(无)"。类似于转储文件，Dr. Watson也会在应用程序出错时保存调试信息。禁用Dr. Watson的步骤是：在注册表中找到HKEY_local_machine＼software＼Microsoft＼WindowsNT＼CurrentVersion＼AeDebug，把Auto值改成"0"。然后在Windows资源管理器中打开Documents and Settings＼All Users＼Shared Documents＼DrWatson，删除User.dmp和Drwtsn32.log这两个文件。　　

　　 七、多余的服务。为了方便用户，WinXP默认启动了许多不一定要用到的服务，同时也打开了入侵系统的后门。如果你不用这些服务，最好关闭它们：NetMeeting Remote Desktop Sharing，Remote Desktop Help Session Manager，Remote Registry，Routing and Remote Access，SSDP Discovery Service，telnet，Universal Plug and Play Device Host。打开"控制面板"→"管理工具"→"服务"，可以看到有关这些服务的说明和运行状态。要关闭一个服务，只需右键点击服务名称并选择"属性"菜单，在"常规"选项卡中把"启动类型"改成"手动"，再点击"停止"按钮。

让计算机启动更快的十五招


嫌计算机启动太慢是每个计算机迷的共同心病，让计算机启动更快是大家的共同心愿
，本人在使用计算机过程中总结了加快计算机启动速度的“十五式”，与您分享。
一、bios的优化设置
　　在bios设置的首页我们进入“advanced bios features”选项，将光标移到“fris
t boot device”选项，按“pageup”和“pagedown”进行选择，默认值为“floppy”，
这表示启动时系统会先从软驱里读取启动信息，这样做会加长机器的启动时间，减短软
驱的寿命。所以我们要选“hdd-0”直接从硬盘启动，这样启动就快上好几秒。 另外，
对于bios设置中的“above 1mbmemorytest”建议选“disabled”，对于“quickpowero
nselftest”建议选择enabled。
　　在“advanced chipset features”项中的设置对机子的加速影响非常大，请大家多
加留意。将“bank 0/1 dram timing”从“8ns/10ns”改为“fast”或“turbo”。“t
urbo”比“fast”快，但不太稳定，建议选“fast”。如果记忆体质量好可以选“turb
o”试试，不稳定可以改回“fast”。
　　对于内存品质好的内存条建议在“sdram cas latency”选项中设置为“2”，这样
可以加快速度哦。
　　较新的主板都支持agp4x，如果你的显卡也支持agp4x，那么就在“agp-4xmode”处
将这项激活，即选为“enabled”，这才会更好的发挥显卡的能力，加快系统启动速度。

　　二、启动dma方式，提高硬盘速度
　　采用udma/33、66、100技术的硬盘最高传输速率是33mb/s、66mb/s、100mb/s，从理
论上来说是ide硬盘（这里是指pio mode4 模式，其传输率是16.6mb/s）传输速率的3～
6倍，但是在windows里面缺省设置中，dma却是被禁用的，所以我们必须将它打开。
　　具体方法是：打开“控制面板→系统→设备管理器”窗口，展开“磁盘驱动器”分
支，双击udma硬盘的图标，进入“属性→设置→选项”，在“dma”项前面“√”，然后
按确定，关闭所有对话框，重启计算机即可。
　　三、去掉windows的开机标志。
　　首先你要打开“开始”→“设置”→“活页夹选项”，从“查看”标签里的“高级
设置”列表框中勾选“显示所有文件”。然后打开c盘，找到msdos.sys这个文件，并取
消它的“只读”属性，打开它，在“option”段落下，加上一行语句：logo=0，这样wi
ndows的开机图案就不会被加载运行，开机时间也可以缩短3秒钟。
　　四、优化“启动”组。
　　计算机初学者都爱试用各种软件，用不多久又将其删除，但常常会因为某些莫名其
妙的原因，这些软件还会驻留在“启动”项目中（尤其是在使用一些d版软件时），win
dows启动时就会为此白白浪费许多时间。要解决这个问题，其实很简单，你可以打开“
开始”→“运行”，在出现的对话框的“打开”栏中选中输入“msconfig”，然后点击
“确定”，就会调出“系统配置实用程序”，点击其中的“启动”标签，将不用加载启
动组的程序前面的“√”去掉就可以了。如此一来，至少可以将启动时间缩短10秒。
　　五、整理、优化注册表。
　　windows在开机启动后，系统要读取注册表里的相关资料并暂存于ram（内存）中，
windows开机的大部分时间，都花费了在这上面。因此，整理、优化注册表显得十分必要
。有关注册表的优化，可以使用windows优化大师等软件。以windows优化大师，点击“
注册信息清理”→“扫描”，软件就会自动替你清扫注册表中的垃圾，在扫描结束后，
会弹出个菜单让你选择是否备份注册表，建议选择备份，备份后再点击“清除”即可。

　　六、经常维护系统。
　　如果在系统中安装了太多的游戏、太多的应用软件、太多的旧资料，会让你的计算
机运行速度越来越慢，而开机时间也越来越长。因此，最好每隔一段时间，对计算机做
一次全面的维护。点击“开始”→“程序”→“附件”→“系统工具”→“维护向导”
，然后点击“确定”按钮即可对计算机进行一次全面的维护，这样会使你的计算机保持
在最佳状态。对于硬盘最好能每隔2个星期就做一次“磁盘碎片整理”，那样会明显加快
程序启动速度的，点击“系统工具”→“磁盘碎片整理程序”即可。注意在整理磁盘碎
片时系统所在的盘一定要整理，这样才能真正加快windows的启动顺序。
　　七、扩大虚拟内存容量。
　　如果你的硬盘够大，那就请你打开”控制面板“中的“系统”，在“性能”选项中
打开“虚拟内存”，选择第二项：用户自己设定虚拟内存设置，指向一个较少用的硬盘
，并把最大值和最小值都设定为一个固定值，大小为物理内存的2倍左右。这样，虚拟内
存在使用硬盘时，就不用迁就其忽大忽小的差别，而将固定的空间作为虚拟内存，加快
存取速度。虚拟内存的设置最好在“磁盘碎片整理”之后进行，这样虚拟内存就分不在
一个连续的、无碎片文件的空间上，可以更好的发挥作用。
　　八、去掉“墙纸”、“屏幕保护”等花哨的设置。
　　这些设置占用系统资源不说，还严重影响windows的启动顺序。去掉它们的方法是：
在桌面空白处点击鼠标右键

在日益庞大的局域网络中，IP地址的规划和管理是一个非常复杂和艰巨的工作。如何有效的规范IP地址的使用，根本杜绝盗用IP的现象呢？这要从IP地址是如何被盗用的说起。

★IP地址是如何被盗用的？

静态修改IP地址 ：由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其他管理问题。


http://upload.yourblog.org/20049/qq4508509.20040904142632.jpg

成对修改IP-MAC地址：通过一些兼容网卡厂商推出的配置程序，可以对IP地址和MAC地址进行修改，使其合法化。另外，对于那些MAC地址不能直接修改的网卡来说，盗用者采用软件的办法来修改MAC地址，即通过工具软件或修改Windows注册表的方法达到欺骗上层网络软件的目的。比如非常流行的工具软件“超级兔子魔法设置”从4.9版本开始支持网卡MAC地址的修改（如图1）。

★交换机帮你防盗用

我们测试了实达锐捷网络的安全接入交换机和S-Radius认证计费系统，几点体会，和大家共享。

静态IP冲突解决方案——IP和账号绑定

1. 用户进行802.1X认证前不是指定分配的IP，而滥用其他IP：认证前：因为这个时候，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突；试图认证：当用户使用账号密码试图通过认证，因为认证服务器端该用户账号和其IP做了绑定，认证服务器对其不予通过认证，从而同样不会造成IP冲突。

2. 用户使用正确的账号/IP通过认证后，再更改IP



http://upload.yourblog.org/20049/qq4508509.20040904142657.jpg



测试当中实达锐捷网络S-RADIUS客户端软件能够检测到IP的更改，即刻剔除用户下线，同时发送计费结束报文，结束计费，从而不会造成IP冲突。

动态IP冲突解决方案——客户IP属性校验

1. 用户进行802.1X认证前不用动态获得IP，而是静态指定：1）认证前：因为这个时候，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突；2）试图认证：当用户使用账号密码试图通过认证，因为认证服务器端该用户账号的IP属性是动态IP，认证报文中该用户的IP属性确是静态IP，则认证服务器对其不予通过认证，从而同样不会造成IP冲突。

2. 用户使用正确的账号，动态IP设置通过认证后，再更改IP。

我们测试当中同样能够检测到IP的更改，剔除用户下线，从而不会造成IP冲突。另外测试当中我们还发现实达的S-RADIUS认证计费系统可实现用户账号、MAC地址、IP地址、VLAN ID、交换机IP、交换机端口之间的智能多元绑定的功能，从而大大提高了网络的安全系数（如图2）。

根据我们的实验室测试和实地网络运行测试，我们发现通过实达网络科技有限公司这套解决方案可以较好的解决局域网内IP地址盗用的问题。

很多菜鸟朋友苦于网吧中没有CuteFTP等上传工具，无法将更新的主页文件传到服务器上。如果下载一个CuteFTP软件则费时又费事，毕竟在网络上谁都能体会到“时间就是金钱”的深刻含义。现在让我来教你一招，键入几个简单的FTP命令，就可以完成更新这项工作啦。

先假设笔者在中华网服务器上的个人主页帐户信息为：

FTP Server: home4u.at.china.com

User: xiaoyuge

Password: abc123

现在让我们打开Windows的开始菜单，执行“运行”命令，在对话框中输入ftp命令，按下“确定”按钮执行。


其时将会切换至DOS窗口，出现提示符

ftp>


现在让我们输入命令连接FTP服务器：

ftp> open home4u.at.china.com （回车）

稍等片刻，屏幕提示连接成功：

ftp> connected to home4u.china.com （回车）

接下来服务器询问你用户名和口令，分别输入xiaoyuge和abc123，待认证通过即可。

下面进入正题，开始上传文件，比如说我们要把a:\index.html传至服务器的根目录中，可以这么键入：

ftp> put a:\index.html （回车）

当屏幕提示你已经传输完毕，可以打入相关命令查看一番：

ftp> dir （回车）

（注：没人真的会傻到直接把A：盘的东东传至服务器中吧？当然是先拷贝至硬盘中再上传啦。^_^）

刚刚讲的是上传，现在来看下载。假设要把服务器\images目录中的所有.jpg文件传至本机中，按以下指令操作：

ftp> cd images（回车） [注：进入\images目录]

ftp> mget *.jpg

上传与下载工作完毕，可以运行bye中断连接。

ftp> bye（回车）

最后为了方便大家记忆，总结一下常用的FTP命令：

1. open：与服务器相连接；

2. send(put)：上传文件；

3. get：下载文件；

4. mget：下载多个文件；

5. cd：切换目录；

6. dir：查看当前目录下的文件；

7. del：删除文件；

8. bye：中断与服务器的连接。

命令虽然简单，但不一定人人皆知；再说“养兵千日，用兵一时”，说不定什么时候就会用得着的呢。如果想了解得更多，就打ftp> help （回车）查看命令集吧。

如果不太懂地址转换（NAT）就进来看看

偶然发现以前学习nat时的东西。


对这个配置有问题可以跟帖

*******************************全部采用端口************************
ISP分配的IP202.99.160.129

interface fastethernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
in nat inside
no shutdown

interface fastethernet0/1
ip address 192.168.2..1 255.255.255.0
duplex auto
speed auto
in nat outside
no shutdown

ip nat pool OnlyYou 202.99.160.130 202.99.160.130 netmask 255.255.255.252
//OnlyYou代表地址池的名称。 2个202.99.160.130是代表只用一个ip做转换后ip.
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
ip nat inside source list1 pool OnlyYou overload




***********************动态地址转换+端口***********************
ISP分配的IP 有：202.99.160.130~190 255.255.255.192

Interface fastethernet0/1
Ip address 192.168.1.1 255.255.255.0
Ip address 192.168.2.1 255.255.255.0 secondary
Duplex auto
Speed auto
Ip nat inside
No shutdown

Interface serial 0/0
Ip address 202.99.160.129 255.255.255.192
Duplex auto
Speed auto
Ip nat outside
No shutdwon

Ip nat pool OutPort 202.99.160.190 202.99.160.190 netmask 255.255.255.192
Ip nat pool OutPool 202.99.160.130 202.99.160.190 netmask 255.255.255.192
Ip nat inside source list1 pool OutPort //192.168.1.0段主机全部转成202.99.160.190
Ip nat inside source list2 pool OutPool
//出于访问ftp站点等考虑：192.168.2.0和192.168.3.0段主机全部
//转成202.99.160.130到202.99.160.189中的所有地址。
Access-list1 permit 192.168.1.0 0.0.0.255
Access-list2 permit 192.168.2.0 0.0.0.255
Access-list2 permit 192.168.3.0 0.0.0.255



***********************静态地址转换***********************


ISP分配的IP地址是:211.82.220.80~211.82.220.87
211.82.220.81 255.255.255.248
要求Intranet上的Web.E-mail.Ftp.Media可以被外部访问.
Interface fastethernet0/0
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown

Interface fastethernet0/1
Ip address 211.82.220.81 255.255.255.248
Speed auto
Duplex auto
Ip nat outside
No shutdown

Ip nat pool Outpool 211.82.220.86 211.82.20.86 netmask 255.255.255.248
Access-list 1 permit 192.168.1.2 0.0.0.255
Access-list 1 permit 192.168.1.3 0.0.0.255
Access-list 1 permit 192.168.1.4 0.0.0.255
Access-list 1 permit 192.168.1.5 0.0.0.255
Ip nat inside source list1 pool Outpool overload
Ip nat inside source static 192.168.1.2 211.82.220.82
Ip nat inside source static 192.168.1.3 211.82.220.83
Ip nat inside source static 192.168.1.4 211.82.220.84
Ip nat inside source static 192.168.1.5 211.82.220.85




******************NAT影射****************************
如果ISP提供的IP地址比较多还可以,但如果不是的时候(如就两个时),一个用于内网地址转换,另一个用于对外网提供服务.
ISP提供的内网上网IP

Interface ethernet0
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface fastethernet0/0
Ip address 211.82.220.129 255.255.255.248
Duplex auto
Speed auto
Ip nat outside
No shutdown

Access-list 1 permit 192.168.1.0 0.0.0.255
Ip nat pool Everybody 211.82.220.130 211.82.220.130 network 255.255.255.252
Ip nat inside source list1 pool Everybody overload
Ip nat inside source static tcp 192.168.1.2 80 202.99.220.130 80
Ip nat inside source static tcp 192.168.1.3 21 202.99.220.130 21
Ip nat inside source static tcp 192.168.1.4 25 202.99.220.130 25
Ip nat inside source static tcp 192.168.1.5 110 202.99.220.130 110



*******************利用地址转换实现负载均衡********************
;当有如象腾讯公司似的多服务器时,使用路由器实现负载平衡,可以使它们有平等的访问机会.
Interface fastethernet0/1
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown

Interface fastethernet0/0
Ip address 202.110.198.81 255.2555.255.248
Duplex auto
Speed auto
Ip nat outside
Access-list 1 permit 202.110.198.82
Access-list 2 permit 202.110.198.83
Access-list 3 permit 192.168.1.0 0.0.0.255
Ip nat pool Webser 192.168.1.2 192.168.1.3 255.255.255.248 type rotary
Ip nat pool Ftpser 19

用access-list 对抗“冲击波”病毒
最近“冲击波”病毒”(WORM_MSBlast.A)开始在国内互联网和部分专网上传播。我以前在接入层做的access-list起了作用！
大家可以参考之

access-list 120 deny 53 any any
access-list 120 deny 55 any any
access-list 120 deny 77 any any
access-list 120 deny 103 any any

以上几条慎用！
access-list 120 deny tcp any any eq echo
access-list 120 deny tcp any any eq chargen
access-list 120 deny tcp any any eq 135
access-list 120 deny tcp any any eq 136
access-list 120 deny tcp any any eq 137
access-list 120 deny tcp any any eq 138
access-list 120 deny tcp any any eq 139
access-list 120 deny tcp any any eq 389
access-list 120 deny tcp any any eq 445
access-list 120 deny tcp any any eq 4444//新加
access-list 120 deny udp any any eq 69 //新加
access-list 120 deny udp any any eq 135
access-list 120 deny udp any any eq 136
access-list 120 deny udp any any eq 137
access-list 120 deny udp any any eq 138
access-list 120 deny udp any any eq 139
access-list 120 deny udp any any eq snmp
access-list 120 deny udp any any eq 389
access-list 120 deny udp any any eq 445
access-list 120 deny udp any any eq 1434
access-list 120 deny udp any any eq 1433
access-list 120 permit ip any any

附录：处理办法！
**********************************
（1）对于未感染的主机：
建议安http://microsoft.com/technet/securi...in/MS03-026.asp中指定的patch
（2）对于已感染的系统：
可能无法从Microsoft升级补丁，建议用以下方式处理：
I. 断掉机器的物理网络连接。
II. 执行注册表编辑命令：regedit, 检查

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
CurrentVersion\Run\windows auto update" 中是

否存在 msblast.exe的键值，如果存在则删除。
III.运行任务管理器，关闭msblast.exe进程。
IV.完成用下述两种操作之一：
a.关闭DCOM: 设置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
中EnableDCOM键值为N.
b.设置防火墙或Microsoft’s Internet
Connection Filter (ICF)阻止Incoming方向的以下端口：
69/UDP 135/TCP 135/UDP 139/TCP

139/UDP 445/TCP 445/UDP 4444/TCP。

V. 重新联接网络，安装http://microsoft.com/technet/securi...in/MS03-026.asp中指定的patch

　

网络数据截获方法
网络数据包截获机制是网络入侵检测系统的基础组件。一般指通过截获整个网络的所有信息流量，根据信息源主机，目标主机，服务协议端口等信息简单过滤掉不关心的数据，再将用户感兴趣的数据发送给更高层的应用程序进行分析。流程图如下：
图5.1 网络数据截获流程
一方面要，网络截取模块要能保证截取到所有网络上的数据包，尤其是检测到被分片的数据包(这可能蕴涵着攻击)。
另方面，数据截取模块截取数据包的效率也是很重要的。
它直接影响整个入侵检测系统的运行速度。
5.2各种数据流截获方法
5.2.1 利用广播截取网络数据流
数据包的截取技术是依赖网卡的。而网卡可以通过广播监听到以太网络上的数据包，这就是数据包截取技术的基础。
要想截获不是给自己数据流，就必须绕开系统正常工作的机制，直接通过网卡的混杂模式，使之可以接受目标地址不是自己的MAC地址的数据包，直接访问数据链路层，取数据。
5.2.2各系统截取数据包机制
Linux系统为用户提供一种在理论上是数据链路层的，基于网卡驱动程序的，可以不用操作系统自身协议栈的接口（也称套接字）-SockPacket. 这种套接字可以从数据链路层（就是网线）上直接截取所有链路层数据包。而Unix则是通过Libpcap库直接与内核交互，实现网络截取。如：Libpcap，Tcpdump等。如图：

图5.2 Unix系统监听机制

BSD Packet Filter(BPF)机制来截取数据包。BPF可以说是各系统中最棒的截获方式。很多开源嗅探工具就是基于它而开发的。Windows系统也有类似情况，如：win系列上有*.vxd (VxD,VirtualDeviceDrive)（packet*.vxd） 和 网卡.sys（为网卡芯片所开发）来驱动网卡截取数据包。

图5.3 Windows系统监听机制
5.2.3 BPF过滤
Unix&Linux系统有两种数据链路层截取机制，分别是BSD系列系统(NetBSD,OpenBSD,FreeBSD等)的BPF和Linux的SOCKET_PACKET。
BPF过滤
BPF主要由两大部分组成：
网络头接口
数据包过滤器。
网络头接口从网络设备驱动程序处收集数据包复制(在提交给系统协议栈之前)，并传递给正在截获数据包的应用程序。而过滤器决定某一数据包是被接受或者拒绝以及如果被接受，数据包的那些部分会被复制给应用程序。BPF结构图如下：

图5.4 BPF结构示意图
如：TCPDump注：（1）, Libpcap, Sniffer, eeye,等。一般情况，网卡驱动通过网卡把网络上的电平信号转化成数据包，再把截取到的数据传给系统自带的协议栈，然后在交由系统处理。这种方式与Unix下的BPF不同，它使得网卡驱动在把从网络截取的数据提交给系统之前，先拷贝一份给BPF，再由BPF 决定是否符合规则，不符合则丢弃，符合则存放到内存指定区，等待处理。
当然，BPF对网卡驱动交给系统协议栈的数据包不做任何干涉。
注1：TCPDump是伯克利实验室的Van Jacobson,Craig Leres和Stenven McCanne为分析TCP性能问题而写的跨平台的监听程序。
5.3基于Libpcap库的通用数据截获技术
Libpcap是用户态的数据包截获API函数接口，有独立和可移植行。最初，Libpcap是为了强大的，健壮TCPDump而编写的。它支持BPF过滤机制。Snort就是依赖于libpcap库进行数据包截取的程序之一(还有Ethereal,eeye等)。 它的优点是可以从任何Unix内核平台上截取数据包，而不考虑什么芯片类型的网卡和驱动程序。更重要的是，它可以使开发人员编写自己的解码，显示，记录等程序。
5.2.2.1 Libpcap库主要函数
1. 头文件特征（pcap.h）
Libpcap库(数据流存储头文件 的结构定义如下图)。前半部分是数据库存储文件头的数据结构定义。

图5.5 头文件(pcap.h)定义部分截图
后半部是信息包头文件数据结构定义。
2. 打开并读取设备，设置过滤器部分
与最基层设备打交道。有三个函数：pcap_read() pcap_open_live 和 pcap_setfilter()
3. 脱机方式截取数据
及读取存储在营盘上的文件。有两个Pcap_open_offline()和Pcap_offline_read().
4. 本地网络设置检测部分
主要检测网络设置的函数有几个，包括Pcap_lookupdev() pcap_lookupnet()等。 因为前面提过，Libpcap可移植。所以各种平台的Socket借口都是兼容的。
5. 主程序
都在Pcap.c中，该文件定义了读取数据的统一接口函数pcap_next()，调用此函数获取下一个数据包。
5.4 Snort调用Libpcap
在Snort运行启动时，Snort调用Libpcap库。当调用libpcap函数并初始化接口时，进入截取数据的循环模块—pcap循环。
在这个主循环—Pcaploop()，当网卡从网络介质上接收数据开始，Pcap_loop便对采集来的每个数据包都ProcessPacket()函数处理，如果出错或达到指定的处理包数就退出。(相关代码如下)
具体就是，Pcap_loop()最后根据数据链路类型来选择数据包，然后由ProcessPacket()来进行协议分析，实施信息流的匹配。
如：ProcessPaceket函数调用DecodeEthPkt函数来对以太网数据进行解码。其中DecodeEthPkt()函数再调用子函数Decode IP来对IP协议进行解码……
Libpcap函数功能列举：
Pcap_open_live(): 获得数据包通用句柄。
Pcap_lookup_dev(): 指向网络可用设备。
Pcap_looknet(): 初步判断网络设备本身的IP & netmask。
Pcap_Dump()

var speed = 13

var pause = 1333

var timerID = null

var scrabbleBanner = false

var cc = new Array()

cc[0] = "******************艾林▲○★你网络上的朋友☆●△******************"
cc[1] = "******************欢迎您的来访我的博客网******************"
cc[2] = "******************希望您能记得我们，盼望您的再次来临******************"
cc[3] = "******************我们的网址是：http://www.ailin.tk/******************"

var message = 0

var state = ""

newBanner()

function stopBanner() {
if (scrabbleBanner)
clearTimeout(timerID)

scrabbleBanner = false
}

function firstBanner() {
stopBanner()
seeBanner()
}

function newBanner() {
state = ""
for (var i = 0; i < cc[message].length; ++i) {
state += "0"
}
}

function seeBanner() {
if (getString()) {
message++
if (cc.length

如何判断你的电脑是否中毒(新手必看、高手不要进来)
各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有点异常就认定是病毒在作怪，到处找杀毒软件，一个不行，再来一个，总之似乎不找到“元凶”誓不罢休一样，结果病毒软件是用了一个又一个，或许为此人民币是用了一张又一张，还是未见“元凶”的踪影，其实这未必就是病毒在作怪。

　　这样的例子并不少见，特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒，希望对帮助识别“真毒”有一定帮助！

　　病毒与软、硬件故障的区别和联系

　　电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。

　　症状 病毒的入侵的可能性 软、硬件故障的可能性

　　经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

　　系统无法启动：病毒修改了硬盘的引导信息 ，或删除了某些启动文件。如引导型病毒 引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

　　文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

　　经常报告内存不够： 病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

　　提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。

　　软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

　　出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

　　启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

　　数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。

键盘或鼠标无端地锁死：病毒作怪，特别要留意“木马”；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

　　系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

　　系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

　　通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

　　病毒的分类及各自的特征

　　要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好！

　　病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。

　　如按传染对象来分，病毒可以划分为以下几类：

　　a、引导型病毒

　　这类病毒攻击的对象就是磁盘的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法正常启动，但查杀这类病毒也较容易，多数杀毒软件

Win2000是微软比较新的操作系统之一，集成了很多NT的特性（如可以使用NTFS文件系统），也集成了Win98的易用特性（如首次在以NT为架构的操作系统里面是用PnP），自从发布以来一直就是兵家的修改必争之地，这不，我也来凑凑热闹，希望能够对大家使用Win2000有所帮助。


在Win2000下安装了一些应用程序以后，有些东西由于版本老了，我准备将器卸载，当我打开添加/卸载程序以后，发现的确有很大的改变，例如可以看使用的频率和上次使用的时间等等内容，最重要的是有一些程序的添加/删除里面有一个新东西：查看支持信息，这一项功能是Win98所没有的。当我第一次看到这个东西的时候，我很惊讶Microsoft能够为我们提供这样一个人性化的好玩意儿，同时我也感激这些应用程序的开发者，因为我们可以通过支持信息了解到各种特性及版本号而无需启动程序来查看软件版本号。经过一番思索以后，我想到这些内容恐怕是添加在注册表里面的，于是我打开了注册表编辑器（Win2000有2种打开方式：一个是Win98下的Regedit.exe;另一个是NT下的Regedt32.exe.两种编辑器的界面是不一样的,第一种的界面和Win98是一模一样的，而第二种的界面是同时开启很多窗口，每一个窗口对应不同的分支,你可以选用你喜欢的注册表编辑器来修改注册表)。我想到既然是在添加/删除里面才出现支持信息的提示，那么注册表内容就一定在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall里面，果不其然，当我打开卸载Office2000的主键时，我发现有几个Win98下没有的字串值，一对照没有支持信息软件的主键，有什么差别就显而易见了，下面将详细解释各个不同字串值的用法和解释。
DisplayName:这个和Win98的一样，也是显示软件名字的。
DisplayVersion:这个是用于在支持信息里面显示版本的。
HelpLink:这个是用于在支持信息里面显示支持信息的（如果是Internet域名，就会自动显示链接，点击链接会自动弹出浏览器。使用链接时要求使用http://等前缀，否则不会有链接出现）。
HelpTelephone：这个是用于在支持信息下面显示支持电话的。
Publisher:这个是用于显示发行商的。
URLInfoAbout:这个是用于给发行商做链接的，如果没有这一行，那么发行商就不会有链接（使用链接时要求使用http://等前缀，否则不会有链接出现）。
URLUpdateInfo:这个是用于显示产品更新的，建议使用网站域名。
ProductID:这个是用于显示产品ID的。
RegCompany:这个是用于显示已注册公司的。
RegOwner:这个是用于显示已注册使用者的。
Readme:这个是用于显示自述文件的。
UninstallString:这个是用于显示卸载程序路径的。


以上就是Win2000的添加/删除程序的新内容：支持信息的解释，使用方法如下：在你要修改的应用程序的卸载主键下添加以上的字串值，并修改为你要的内容即可。如果你是软件作者，你可以通过调用安装程序来达到目的；如果你仅仅是一般用户，那么你可用于美化自记的电脑。反正无论怎样，进行一定的设置总是有用处的。至少可以在你即将要卸载软件的时候看看支持信息，看看是否需要卸载。

新一代操作系统软件Windows XP于近期面世，它是什么？它都拥有哪些令人振奋的功能？我想这绝对是每一个计算机使用者都关心的问题。好吧，就让你来问，我做答，让我们快速步入Windows XP应用之门。
Q: Windows XP是什么？
A: 从技术上而言，Windows XP是Windows 2000的下一个版本，但它同样支持从Windows 98、98 SE、Windows ME、Windows 2000以及Windows NT 4.0 多种系统的升级。Windows XP基于Windows引擎，是对Windows NT/2000系统内核的更新。

Q. XP的含义是什么？
A. XP代表’eXPerience’，即体验。Microsoft喜爱的说法是：Windows的以前版本中捆绑的是应用软件，但Windows XP则蕴含了丰富的体验。也就是说，通过提供诸如数字照片、数码音乐、家庭网络以及Internet等等众多功能，Windows XP使我们切身体验到良好的用户到用户的数字化生活。

Q: Windows XP都包括哪些版本？
A: Windows XP包括3种版本：家庭版（供家庭用户使用）、专业版（供商业用户使用）、64位版本（供更大规模的商业应用）。

Q: Windows XP家庭版和专业版的主要区别是什么？
A: 首先，Windows XP 家庭版是作为Windows 9x/Me的升级版本设计的，所以它具有与Windows Me相同类型的个人功能；而专业版则功能更加丰富。其次，家庭版只支持1个处理器，专业版则支持2个。

Q: Windows XP的价格如何？
A: Windows XP 家庭版的零售价格为$199.99，家庭版升级程序为$99.99。Windows XP专业版的零售价格为$299.99，其升级版为$199.99。Windows XP 64-bit 版本只为Intel的新Itanium工作站使用，目前还不能单独销售。

Q: 能从Windows Me升级到Windows XP吗？Windows 95和Windows 98的情况呢？
A: 可以这么认为，Windows XP是所有32位Windows操作系统的升级版，所以，我们可以从Windows 98、98 SE和Windows Me操作系统升级到Windows XP家庭版或者专业版。同样，我们可以将Windows 2000 专业版和Windows NT 4.0工作站版升级到Windows XP专业版，但不能升级到Windows XP家庭版。
注意，Windows 95、Windows NT 3.51以及再早一些的Windows系统是不能升级到Windows XP的。如果想使用Windows XP，就只好购买一套完整的Windows XP版本了。
对于升级后的操作系统，如果想卸载Windows XP，那么原系统是Windows 98、98 SE和Windows Me的可以这么执行。如果原系统是Windows NT 4.0或者Windows 2000，很不幸，不可以卸载了。

Q: 我听说Windows XP拥有一个全新的用户视觉界面，是真的吗？
A: 完全正确。Windows XP支持视觉样式，这是一个基于XML的换肤技术，它给了使用者前所未有的视觉感受。Windows XP自带的视觉样式支持多种色彩搭配方案，但可惜的是，默认情况下只安装了一种视觉样式。

Q: 我需要更多的视觉样式，可能吗？
A: 可能。我建议你使用精彩的WindowBlinds XP产品，它可以从站点Stardock下载。这个软件可以让我们完全定制Windows XP的用户界面。
Q: Windows XP是64位还是32位操作系统？或者是象Windows 98一样的16/32位混合形操作系统？
A: Windows XP是基于Windows NT/2000系统内核设计的，所以它是一个纯32位操作系统。同时，Windows XP也支持64位，这就是Windows XP 64位版本。

Q:我听说Windows XP最终解决了DLL陷阱问题，这是真的吗？
A: 是的。在Windows的早期版本应用中，硬盘驱动器还未广泛使用，Microsoft为此引进了一种叫做“DLL”（动态链接库）的代码共享库概念。DLL的原理是：需要确定代码段的每个程序都从一个单一位置获取代码，从而节省硬盘空间。但是随着时间的推移，这成为Windows一个非常大的弱点：应用程序需要更新自己的共享代码库时，由于其他程序的占有，导致了更新操作的失败。Windows XP完全改善了这个问题。在Windows XP中，当需要更新共享代码库时，可以认为应用程序将他们的文件进行了拷贝，操作系统负责管理这个过程，使得实际上并未改写现存的文件。当应用程序每次运行时，Windows XP会确保它只使用它自己的拷贝文件以及其他应用程序的运行正常。Microsoft将这种解决方式称为Fusion。

Q. Windows XP有Plus！软件包吗？
A. 是的。Windows XP Plus!包括4个方面的改进功能：数字媒体、游戏、屏幕保护和色彩搭配方案。数字媒体Plus！包含扬声器的改进功能－使得讲话者能够提供更好的声音透明性以及厚度；包含能够简易定制播放列表的个人DJ；包含多种Windows Media Player换肤方案；包含新的3-D视觉变化；包含MP3音频转换器，用于将MP3格式文件转换为Windows Media Audio（WMA）格式文件，这将大大地节省硬盘空间。游戏Plus！包含俄罗斯方块等经典游戏的新版本。包含了这么多诱人的功能，还有一点提醒你：Windows XP Plus！的零售价格是$39.99 ;-)

Q. Windows XP有新的增强工具包（PowerToys）吗？
A. 当然！Windows XP PowerToys包含快速用户切换、Shell方式音频播放器、任务转换器、IE寻址工具栏、从这里打开命令、非常流行的tweakUI、日历以及照片大小调整等工具。快速用户切换通过键入WinKey+Q 后绕过Welcome 界面快速转换到另一个登录用户

使用Modem上网的朋友恐怕都对蜗牛般的网速深有体会。为此，我们想尽一切办法，试图榨干小猫的最后一滴油水。
　　终于盼来了宽带，网速快多了，但它也存在着加速和优化的问题。下面我们就以ADSL为例，来讨论一下如何通过修改注册表优化宽带网。

　　第一步：测试现有的速度

　　这一步很有必要，因为在优化前后不能只凭感觉看效果，最实在的应该是前后测试数据的对比。

　　测试的时候要注意找一个速度快的服务器上的大文件，避免被缓冲文件欺骗，可以多下载几次，看各次所用的时间是否相近。

　　第二步：优化注册表

　　Windows系列在安装时，默认的是针对以太网的设置，在TCP/IP数据包传送过程中就会把一些无用功做在了分包和组合上，以适应ISP。虽然ADSL使用PPPoE协议，具有局域网的特点，但是又不完全等同于局域网协议，所以还有优化的余地。我们可以通过软件修改注册表中的有关参数，使系统针对ADSL进行优化。具体的参数有MaxMTU、DefaultRcvWindow等，这种优化能够使ADSL适应ISP的网络参数，最大限度地提高ADSL的工作效率。

　　MTU是英文Maximum Transmission Unit的缩写，意为“最大传输单位”，也就是在连接的时候，所传输信息包最多可以有多少字节。我们必须找到不会返回fragment（碎片）信息的最大MTU。除了ADSL PPPoE的MTU是1492外，其余各种DSL的MTU标准设置都是1500。

　　MaxMTU是最大的TCP/IP传输单元，在TCP/IP协议中，将要传输的数据分成较小的组进行传输，每个组的大小为576字节。Windows默认的字节为1500，ADSL使用的 PPPoE略小于这个数值，根据ISP的不同又有微小差异。使用默认值会降低传输效率。MaxMTU在注册表中的位置是HKEY_LOCAL_ MACHINE\System\ CurrentControlSet\Services \Class\NetTrans\00yy，键名为MaxMTU，其中“yy”是TCP/IP的入口，随设置的不同而不同，一般在00到30之间。使用Ping命令自己就可以获得ISP的MTU值。如ping www.yahoo.com -f -l 1500将发送按照1500分组(-l 1500)的数据到www.yahoo.com（最好是你的ISP的网站），并检查是否发现分组不同产生的数据碎片（-f），如果存在就降低分组值，最终就可以找到匹配的MaxMTU。这个值也就是ADSL优化最关键的部分。

　　DefaultRcvWindow是缺省的传输单元缓冲区的大小。该值的大小与Modem的速度有关，最好是MSS（Maximum Segment Size，最大分组数，等于MxaMTU减去40字节的地址信息）的整数倍, DefaultRcvWindow在注册表中的位置是HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services \VxD\MSTCP，键名为DefaultRcvWindow。

　　DefaultTTL是TCP/IP分组的寿命，如果分组在Internet中传输的时间超过了分组的寿命，则该分组将被丢弃。将DefaultTTL改得更大些，有利于信息在Internet中传得更远。 DefaultTTL在注册表中的位置是 HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\ VxD\MSTCP，键名为DefaultTTL。

　　修改好上面的注册表后，重新启动计算机。

　　第三步：测试新速度

　　经过以上的修改，ADSL就优化好了，我们可以到下面这些专门的评测网站检测速度：

有的时候为了方便修改注册表，我们会制作一些脚本，但是不管是inf文件还是vbs脚本，我觉得还是只有.reg文件是最方便的。

关于注册表的操作，常见的是创建、修改、删除。

--创建

创建分为两种，一种是创建子项(Subkey)
注：如果你对注册表的命名不是很清楚，可以看看注册表命名标准手册(http://www.sometips.com/tips/registryhack/204.htm)

我们创建一个文件，内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam]

然后执行该脚本，你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\下创建了一个名字为“Test4Adam”的子项。

另一种是创建一个项目名称
那这种文件格式就是典型的文件格式，和你从注册表中导出的文件格式一致，内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam]
"Test1"="Adam"
"Test2"=hex:61
"Test3"=dword:00000064

Test1的类型是“String Value”
Test2的类型是“Binary Value”
Test3的类型是“DWORD Value”

注意：如果你的注册表中不存在Test4Adam这个子项，那么该脚本会为你创建该子项。

--修改
修改相对来说比较简单，只要把你需要修改的项目导出，然后用记事本进行修改，然后导入即可，在此我就不再赘述。

--删除
我们首先来说说删除一个项目名称，我们创建一个如下的文件：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam]
"Test1"=-

执行该脚本，HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam下的"Test1"就被删除了；

我们再看看删除一个子项，我们创建一个如下的脚本：

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam]

执行该脚本，HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam就已经被删除了。

相信看到这里，.reg文件你基本已经掌握了。

最后，在此感谢John Savill。

一共有107个除了两个子键explorer和activedesktop
一共有105个大部份我都找到作用了！
没有说明的都在explorer子键下
它们的路径HKCU\software\microsoft\windows\currentversion\policies
______________________________
<1>NoSMMyDocs--禁止"开始"->"文档"中的我的文档选项
<2>NoViewOnDrive--禁止使用驱动器(和nodrives有点象但不隐藏)
<3>NoComputersNearMe--隐藏"网上邻居"中的"邻近的计算机"
<4>ForceActiveDesktopOn--禁止桌面->右键->活动桌面中的"显示web内容"选项
<5>DisableCurrentUserRunOnce--禁止处理注册表中的开机启动项
<6>DisableLocalMachineRunOnce--同上
<7>DisableCurrentUserRun--同上
<8>DisableLocalMachineRun--同上
<9>NoEncryptOnMove
<10>NoWinKeys--在"资管"中禁用热键(?)
<11>NoSMHelp--隐藏"开始"中的"帮助"选项
<12>NoSMBalloonTip
<13>DisallowCpl--指定不能使用的cpl文件(特殊)
<14>RestrictCpl--指定只能使用的cpl文件(特殊)
<15>NoWelcomeScreen
<16>DisallowRun--指定不能使用的可执行文件(特殊)
<17>NoRecentDocsNetHood--禁止仿问过的共享资源自动加到"网上邻居"
<18>NoManageMyComputerVerb--隐藏"我的电脑"->右键菜单中的"管理选项"(compmgmt.
msc)
<19>PromptRunasInstallNetPath--为网络安装申请凭证(?)
<20>NoRunasInstallPrompt--不要申请其它凭证
<21>NoHardwareTab--隐藏"系统属性"中的"硬件"卡
<22>NoShellSearchButton--屏蔽"资源管理器"工具栏中的"搜索"按钮
<23>DontShowSuperHidden
<24>AllowFrenchEncryption
<25>NoEncryption
<26>NoCustomizeThisFolder
<27>NoWebView
<28>ForceStartMenuLogoff--禁止在"开始"显示注销项
<29>NoNetworkConnections--"开始"的"设置"中"网络和拨号连接"被隐藏(控面中不隐藏
但也禁用)
<30>NoChangeMappedDriveComment
<31>NoChangeMappedDriveLabel
------下面的四个在uninstall子键下
<32>NoWindowsSetupPage--"添加删除windows组件"
<33>NoAddPage--"添加新程序"项被隐藏
<34>NoRemovePage--"更改或删除程序"项被隐藏
<35>NoAddRemovePrograms--屏蔽"添加删除程序"项
<36>ShowPostSetup
<37>AddRemoveProgs
<38>EnumWorkgroup
<39>NoControlPanel--禁用"控制面板"同时在"开始"->"设置"中的"控面"选项被隐藏
<40>MaxRecentDocs--"文档"中的记录数("我的文档"也算一项,所以要从二开始)
<41>SeparateProcess
<42>IntelliMenus--在"任务栏和开始菜单属性"中隐藏"使用个性化菜单"复选框(同失也
禁用该功能)
http://www.blue-online.net
<43>MemCheckBoxInRunDlg--"运行"对话框中加入"在单独内存空间运行",
作用:启动多个16位进程或dos进程时将单独启动一个VDM进程，从而不会造成地址冲突
<44>FindComputers
<45>NoSyncAll
<46>NoFolderOptions--"设置"-没有"文件夹选项"
<47>NoChangeStartMenu--"开始"菜单中禁止点右键
<48>NoWindowsUpdate--"设置"-没有"WINDOWS UPDATE"
<49>NoSetActiveDesktop--仅是"开始"-"设置"-没有"活动桌面"选项
<50>GreyMSIAds--从"开始"禁用不可用的windows安装服务程序的快捷方式
<51>NoForgetSoftwareUpdate
<52>NoMSAppLogo5ChannelNotify
<53>ForceCopyACLWithFile--强制拷贝ACL(仿问控制例表)在方件拷贝时(??)
<54>NoResolveTrack--对于不正确的lnk系统先找文件ID号
<55>NoResolveSearch--禁止自动查找匹配无目标的快捷方式（综合查询）
--------------ActiveDesktop-----------<<这是一个子选项>>
<56>NoEditingComponents--(显示属性-web页选项卡-无"编辑"和"重置")
<57>NoMovingBands--(当你新建一个工具栏并放入状态栏时你将不能把它移出来)
<58>NoCloseDragDropBands--(禁止你关闭新建的工具栏和系统自带的快速启动栏)
<59>NoClosingComponents--(禁止关闭桌面某一活动内容)
<60>NoDeletingComponents--(显示属性-web页选项卡-无"删除")
<61>NoAddingComponents--(显示属性-web页选项卡-无"新建")
<62>NoComponents--(无"显示"属性中的"web页选项卡")
<63>NoChangingWallPaper--(显示属性-背景选项卡中禁止更改背景图片并且在
ie中点右键时也无法选择"设置为墙纸"选项)
<64>NoHTMLWallPaper--(禁用html格式的墙纸)
<65>ActiveDesktop--(主键名)
------------------------------------------------------------
<66>NoCustomizeWebView
<67>ClassicShell--(禁止定义桌面风格具体包括系统自带的快速启动栏被完全的隐藏
并且不能添加文件夹选项中的常规选项卡中windows桌面更新不能选择了还有关
机选项中多了个注销单选框有点搞笑!)
<68>ClearRecentDocsOnExit--退出时清除"文档"中的历史记录)
<69>NoFavoritesMenu--"开始"中无"收藏夹"
<70>NoActiveDesktopChanges--显示属性中无web选项卡且背景选项卡中墙纸不能为htm
l格式但在ie点右键时可以选"设为桌面项")
<71>NoActiveDesktop--(这个是最

今年3月20日，微软新世纪的大作—Windows 2000终于上市了。Windows 2000系列原名Windows NT 5.0，是微软公司开发的集Windows 98即插即用功能与Windows NT先进技术于一身的新一代网络操作系统。它分为四个产品，们分别是：Windows 2000 Professional（专业版）、Windows 2000 Server（服务器版）、Windows 2000 Advanced Server（高级服务器版）、Windows 2000 Datacenter Server（数据中心服务版）等四个版本。
　　我们知道，在Windows 95及以后的版本中，采用了一种叫做“注册表”的数据库将各种信息资源集中起来并存储各种配置信息。按照这一原则，Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表，用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。

　　Windows2000自然也不例外。大家也许对Windows98的注册表很熟悉，但是Windows2000毕竟和Windows98不同。本文将以Windows 2000 Professional版本为例，向大家介绍一下Winsows2000的注册表。

　　首先要运行注册表编辑器。和Windows98类似，在【开始】菜单中单击【运行】，在弹出的对话框中键入“regedit”或“regedt32”，在单击确定，即可打开注册表编辑器。我们可以发现，Win2000注册表编辑器和Win98比起来界面没有明显的改变，但是内容和Win98相比，去掉了HKEY_DYN_DATA根键。只有KEY_LOCAL_MACHINE、HKEY_CLASSES_ROOT、HKEY_CURRENT_CONFIG、HKEY_USERS、HKEY_CURRENT_USER五个根键。下面将详细介绍每一根键的内容。

一、KEY_LOCAL_MACHINE
　　HKEY_LOCAL_MACHINE根键中存放的是用来控制系统和软件的设置。由于这些设置是针对那些使用Windows系统的用户而设置的，是一个公共配置信息，所以它与具体用户无关。该根键下面包含了五个子键：
1．HARDWARE子键
该子键包含了系统使用的浮点处理器、串口等有关信息。在它下面存放一些有关超文本终端、数字协处理器和串口等信息。HARDWARE子键又包括三个子键：
DESCRIPTION：用于存放有关系统信息；
DEVICEMAP：用于存放设备映像；
RESOURCEMAP；
2．SAM子键
该子键已经被系统保护起来，我们不可能看到里面的内容。
3．SECURITY子键
该子键位于HKEY_LOCAL_MACHINE\Security分支上，该分支只是为将来的高级功能而预留的。
4．SOFTWARE子键
该子键中保留的是所有已安装的32位应用程序的信息。各个程序的控制信息分别安装在相应的子键中。由于不同的机器安装的应用程序互不相同，因此这个子键下面的子键信息会有很大的差异。
5．SYSTEM子键
该子键存放的是启动时所使用的信息和修复系统时所需的信息，其中包括各个驱动程序的描述信息和配置信息等。System子键下面有一个CurrentControlSet子键，系统在这个子键下保存了当前的驱动程序控制集的信息。

二、HKEY_CLASSES_ROOT根键
　　HKEY_CLASSES_ROOT根键中记录的是Windows操作系统中所有数据文件的信息，主要记录不同文件的文件名后缀和与之对应的应用程序。当用户双击一个文档时，系统可以通过这些信息启动相应的应用程序。HKEY_CLASSES_ROOT根键中存放的信息与HKEY_LOCAL_MACHINE\Software\Classes分支中存放的信息是一致的。
HKEY_CLASSES_ROOT根键由多个子键组成，具体可分为两种：一种是已经注册的各类文件的扩展名，一种是各种文件类型的有关信息。由于该根键包含的子键数目最多，下面就以Avifile子键为例简要介绍它下面的子键的含义：

(一)Windows 2000注册表的功能

在注册表中经常出现双重入口（分支），例如，有一些在HKEY_CLASSES_ROOT中的键同样会在HKEY_LOCAL_MACHINE中出现。
　　如果这些相同的分支出现在两个不同的根键中，那么，哪个根键有效呢?
　　注册表的子键都有严格的组织。某些相同的信息会出现在超过一个的子键中，如果您只修改了一个子键，那么该修改是否作用于系统依赖于该子键的等级。一般来说，系统信息优先于用户等级。例如，一个设置项同时出现在HKEY_LOCAL_MACHINE和HKEY_USER子键中，通常由HKEY_LOCAL_MACHINE中的数据起作用。要注意的是，这种情况只发生在您直接编辑注册表时。如果您从“控制面板”中更改系统配置，则所有出现该设置项的地方均会发生相应的改变。

　　例如，您可以通过注册表设置文件关联，即将一个带有特殊后缀的文件连接到一个应用程序上。在注册表中，有四个子键都保存了文件管理的数据，它们分别是：HKEY_CLASSES_ROOT、HKEY_CURRENT_USER、HKEY_LOCAL_MACHINE、HKEY_USER。在缺省情况下，所有后缀为1ST的文件都被连接到记事本程序（Notepad）上。如果您在Windows资源管理器双击该后缀的文件，则系统将激活记事本，同时将此文件调入编辑。但是您也可此文件关联从Notepad改为Lotus Ami Pro（这也是一个字处理程序），则您在双击后缀为1ST的文件时，将激活Lotus Ami Pro程序，同时编辑此文件。但是，如果您在直接编辑注册表时只修改一个子键，则会出现如下四种情况：

　　● 如果只修改HKEY_CLASSES_ROOT中的1ST项，则在双击1ST后缀的文件时将激活Lotus Ami Pro。
　　● 如果只修改HKEY_CURRENT_USER中的1ST项，则在双击1ST后缀的文件时将激活Notepad。
　　● 如果只修改HKEY_LOCAL_MACHINE中的1ST项，则在双击1ST后缀的文件时将激活Lotus Ami Pro。
　　● 如果只修改HKEY_USER中的1ST项，则在双击1ST后缀的文件时将激活Notepad。

　　在上面的例子中，HKEY_CLASSES_ROOT子键和HKEY_LOCAL_MACHINE子键看起来在控制文件关联上相互独立，这似乎有些自相矛盾，但是，要知道HKEY_CLASSES_ROOT根键就是HKEY_LOCAL_MACHINE\Software\Classes，因此，在改变HKEY_CLASSES_ROOT根键就是改变HKEY_LOCAL_MACHINE。

Windows 9x以其强大的功能与标准的规格赢得了软件商的青睐，并在家用机中逐渐取代了Dos而成为操作系统的当然之选。但随着功能的丰富，win9x所需管理的细节也远远超过了Dos。用户决不能仅用一个小小的AUTOEXEC或CONFIG来调整如今Windows中海量的配置与状态了.它们需要以一种新的方式来存储,分类,编辑.于是,让无数用户“改”心大动的注册表应运而生。用户可以通过它而更深入的了解并掌握Windows 9x。这正是由于在Windows 9x中采用了注册表方式使用户可以按自己的要求对计算机系统的硬件和软件进行灵活配置。

Windows 9x的相当一部分实用用技巧来自于对注册表的编辑。严格的说，不懂编辑注册表就是不会使用Windows 9x。

所谓注册表就是一个庞大的数据库，其中容纳了应用程序和计算机系统的全部配置信息，Windows 9x系统和应用程序的初始化信息，应用程序和文档文件的关联关系，硬件设备的说明，状态和属性以及各种状态信息和数据。他有两个部分组成：注册表数据库（包括两个文件：SYSTEM.DAT和USER.DAT）和注册表编辑器。SYSTEM.DAT是用来保存微机的系统信息，如安装的硬件和设备驱动程序的有关信息等。

USER.DAT是用来保持每个用户特有的信息，如桌面设置，墙纸和窗口颜色设置等。他们的自备份文件为SYSTEM.DAO和。注册表编辑器则是来对注册表进行各种编辑工作。系统对注册表预定了六个主管键字：

HKEY_CLASSES_ROOT：包含了有关OLE信息，以便在系统工作过程中实现对各种文件和文档信息的访问。

HKEY_USERS：用户根据个人爱好设置的信息。

HKEY_CURRENT_USER：一个指向结构中分枝的指针。

HKEY_LOCAL_MACHINE：该关键字包含了本地计算机（相对网络环境而言）的硬件和软件的全部信息。

HKEY_DYN_DATA：包含了系统云性中的动态数据—即发生事件的有关信息。

HKEY_CURRENT_CONFIG：指向HKEY_LOCAL_MACHINE\CONFIG结构中的分支的指针。

了解注册表参数含义的一条捷径是比较改变设置前后注册表的变化，具体步骤如下：

(1)先通过“注册表”菜单下的“导出注册表”命令将原有注册表备份到文件中（例如），或者在Dos提示符下键入”REGEDIT/e r1.txt”

(2)在Windows下修改设置，修改完后再次用上面的方法保存到另一个文件（设为r2.txt）

(3)用Dos下的FC.exe进行比较（如FC/L r1.txt r2.txt>get txt）

(4)打开get.txt可看到比较结果，若要恢复注册表可以用“注册表”菜单下的“导入注册表”命令或在Dos下键如“REGEDIT/C r1.txt”。

介绍了几期的注册表修改技巧，相信大家对注册表的功能有了很深的认识，但是我们在改的时候不一定了解为什么要这样改，这样改的原理是什么？注册表与Windows 98系统的关系是什么？接下来的几期我们将带你了解注册表的详细情况，使你深入到系统内部。
　　首先我们来看看注册表与Windows 98文件系统的关系。
　　Windows 98的注册表Registry由以下的六个文件组成：

　　1.系统配置的注册表文件System.dat
　　在Windows 9x的系统目录c:\windows中有一个隐含、系统、只读文件System.dat,它是Windows 98注册表的一部分,该文件具有如下作用:
　　1）描述单一的PC配置。
　　2） 描述安装在单一PC上的消息。
　　3）安装即插即用类型的设备硬件配置,如设备的I/O地址、IRQ级和DMA通道等等的情况。这个文件在Windows 98的网络运行状态时,保存在本地的工作站或本地PC机系统中。在Windows 98的安装期间,Setup将首先检查你的计算机上已经安装了的硬件设备,然后在System.dat中建立适当的配置项。若从现有的Windows 3.x中升级安装Windows 98,则Setup将把现有的System.ini 、Reg.dat文件中的部分设置项拷贝到System.dat中，以保持系统的设置。
　　我们经常使用“控制面板”的“系统”图标来修改系统的硬件设备和配置情况，这个时候我们进行的操作 都是从System.dat中读取的系统属性设置。这个文件的作用很类似于Windows 3.x中的System.ini文件。

　　2.系统配置的注册表备份文件System.da0
　　Windows 98的注册表的一个非常重要的特点就是可靠性强,稳定不易损坏。这就需要靠注册表的备份文件system.da0。
　　系统配置注册表System.dat的备份文件为System.da0,该文件在System.dat文件遭到意外破坏时,将由系统在启动的时候自动拷贝为System.dat。这对于并不稳定的Windows 98系统来说是非常重要的，至少给系统提供了一点重要的稳定机制。

　　3.用户平台配置的注册表文件User.dat
　　在Windows 98的系统目录c:\windows中有一个隐含、系统、只读文件User.dat,它也是Windows 98的注册表的重要组成部分,这个文件具有这样的作用：
　　1）它定义用户优先权,如用户平台设置，运行级等等。
　　2）特定于某一个用户的应用程序的安装信息，应用程序的使用信息等等。如果你是使用局域网的话，当你在Windows 98中使用网络时,User.dat必须放在网络服务器上。对于单机来说，配置了网络属性的是保存在本机的系统目录下的。
　　在你第一次输入用户名和密码时,Windows 98程序将把这些信息存储在User.dat中，同时你的Windows 98的系列号也存储在USER.DAT中。如果用户在“控制面板”的“密码”图标中选择了“用户可自定义首选项及桌面设置登录时，Windows自动启用个人设置”这个选项后，Windows 98系统将会为每个用户创建他自己的User.Dat，并且把它保存为C:\Windows\Profiles\用户名\User.dat。在用户每次登录后，他自己的User.dat就会被调入到系统中，同时启动自己相应的程序信息。该文件的作为类似于Windows 3.x 系统中的Win.ini文件。

　　4.用户平台配置的注册表备份文件User.da0
　　用户平台配置的注册表文件User.dat也有一个备份文件User.da0。当User.dat遭到意外破坏时,将由系统将User.da0拷贝为User.dat,从而使User.dat得到了恢复。

　　5.网络管理注册表文件Config.pol
　　Config.pol文件是一个隐含、系统、只读文件，它主要用于Windows 98的网络用户的管理方面的策略。
　　如果你在Windows 98系统里安装了“系统策略编辑器”后，则用户可以使用Config.pol文件中的限制来决定系统用户的操作权限如执行程序、修改注册表等等，这也就是说，系统根据Config.pol文件中的设置对网络用户的操作作一些限制，这种限制在Windows 98系统中被称为“策略”。

　　6.网络管理注册表备份文件Config.po0
　　Config.pol也有一个备份文件Config.po0,它是一个隐含、系统、只读文件。它存放在网络服务器中。重要是在config.pol损坏时起到恢复作用。

　　看了注册表的文件组成，我们再来看看Windows 98系统注册表Registry与INI文件之间的关系
　　注册表Registry与Windows 98中的INI文件有许多相似之处。注册表中的键或子键类似于INI文件中的小节,一个键值项对应于INI文件中小节里的一条设置项。
　　但是我们还是很容易发现他们之间的区别的：首先Registry可以包括子键,而INI文件不支持小节的嵌套；其次Registry中的键值项还可以包含可执行代码,而在INI文件中设置项只是简单的字串；第三是在同一台计算机上有多个用户,Registry可以存储每个用户的特性,而INI文件中却不可能做到。
　　如果你的计算机系统是从Windows 3.x上升级到Windows 98的，则安装程序会从System.ini和Win.ini文件文件中选择一些系统设置信息放入到注册表中。不过，为了与以前的Windows版本上的老式16位应用程序保持兼容，INI文件中的有些设置项不能迁移到Windows 98的注册表中。

1）.注册表中有关Win.ini的信息
　　有关Win.ini的信息的所有的子键都处于注册表的HKEY_CURRENT_USER根键中。在HKEY_CURRENT

用过Windows9x和NT的人都知道注册表的重要性，可是好多人往往搞不清何谓注册表。看着那些计算机高手，在你面前轻松地摆弄着那有点烦的注册表。你是不是又羡慕又嫉妒。呵呵！别急！看完我这篇文章后，相信您也会成为一个注册表高手。
　　1、注册表的角色
　　注册表代表一系列数据文件，主要用于帮助Windows NT对硬件、软件、用户坏境以及Windows的“外观与感觉”进行控制。在此之前，这类功能通常由WIN.lNI、SYSTEM.INl以及与不同应用程序关联在一起的.INI文件完成。
　　对应用程序和操作系统的控制方法经历了三个不同层次的演变：
　　（l）SYSTEM.INI和WIN.INl——若干年来，这两个文件一直都是操作系统各项控制功能的总管。从本质上讲，WlN.INI控制的是桌面和应用程序，而SYSTEM.INI控制的是软件。
　　（2）由于WIN.INI和SYSTEM.INI文件的太小有所限制，因而，程序设计人员需要新增INI文件来对应用程序进行控制，以便获得更多的控制权，比如，在微软Excel的EXCEL.INI文件里，就包念了选项、设置、默认值等保证Excel正常运行的重要信息。
　　（3）最初，注册表是应用程序和数据文件的关联索引文件，后来，发展为囊括了所有32位操作系统和应用程序的功能。尽管有些32位应用程序中仍包含有INI文件，但现已极为少见。对注册表来说，没有确切的大小限制，因为“控制面板”的“系统”这部分的设置可对其最大值进行调整。其值大到足以允许用户使用非常复杂的操纵系统和安装更多的应用程序。
　　2、注册表的功能
　　在上面我简单地介绍了注册表的由来，那么注册表到底能干什么事呢？
　　概括的说大致分为两大功能：
　　（1）注册表是连接OS和硬件、驱动程序的数据库。看这儿有人要有疑问了，注册表和数据库怎么搭上关系了？这是因为在NT中，注册表是作为保存驱动程序所有设置及位置的数据库来使用的。这个数据库的内容包括了很多东西，像驱动程序的位置、存放地址、版本号等信息。有了这些针对各种设备的信息，就可以通过驱动程序使用相应的设备了。呵呵，没有它OS就没法管理硬件。
　　（2）注册表也是OS于应用程序关联的数据库。这就比较好解释了，当我们启动一个应用程序（工具软件、游戏）注册表就会象OS提供与这个应用有关的资料，以便找出这个应用程序，设置准确的数据文件位置以及启动其它必要设置。实际上，还不仅仅只有这些。注册表报存的信息还包括默认数据、附属文件位置、菜单、工具栏、窗口状态以及其它选项。另外，还有软件的安装日期、用户、版本号，有时还包括一个序列号。
　　尽管注册表这样的复杂，涉及的又是计算机系统中很低级的部分，看起来一般的用户就改不了似的。但实际上只要稍微有点注册表知识的人，就可轻松地修改它（另外通过“控制面板”页也可以修改注册表的好多东西）。
　　3、注册表的结构
　　按照注册表的功能，我首先将注册表进行了如下的划分：
　　（1）注册表控制的用户型功能部分
　　其中又包括了“控制面板”、“桌面外观和图标”、“网络首选项”、“资源管理器的功能及特性”。
　　（2）以电脑为基础的一些控制项目
　　包括“访问控制”、“登录的身份验证”、“文件的打开和共享”、“网卡设置和网络协议”、“系统性能和虚拟内存的设置”。
　　有了这些简单的了解，我们就可以学习了。
　　前面说过，注册表是一种复杂的信息数据库。为了方便阅读、修改和管理NT的设计人员将它构思为一种层叠式结构。对于用过注册表编辑器的人来说，这种类似于资源管理器树状目录的结构，是显而易见的。一般这些数据信息是存储在\winnt\system32\config\下的注册文件中的。如果\winnt是默认安装目录的话，各用户的注册表信息则保存在\winnt\profiles\用户名\ntuser.dat。
　　只有Administrators（管理员）或者Power user（超级用户）组内的成员才有权访问注册表文件。下面的这些文件通常叫“配置单元”（Hives）:DEFAULT、SAM、SECURITY、SOFTWARE、SYSTEM、USERDIFF、USERDIFR、NTUSER.DAT。
　　＊CONFIG目录下的其它文件是注册表的附属文件。大多数附属文件都使用与配置单元文件名对应的文件名，只是扩展名不同。带有LOG和EVT扩展名的是事件查看（Event Viewer）器文件，可用事件查看器对它们进行检查。带有SAV扩展名的是作为Last Known Good（上次的正确系统配置）时引导进程的一部分保留下来的文件。
　　4、控制项
　　所有的信息都保存在配置单元里，但在注册表编辑器里，注册表条目需要在“控制项”（Handle Key)里显示出来，以便进行查看和编辑。控制项代表一些不同条目的组合，可使信息的查找与编辑变得更加方便。考虑到这个原因，所以注册表按照不同的控制项进行了划分。共有五个控制项：
　　HKEY_LOCAL_MACHINE保存了使硬件、软件以及NT正常运行所需的设置。
　　HKEY_CLASSES_ROOT包含了启动应用程序所需的全部信息。
　　HKEY_CURRENT_CONFI针对当前硬件的配置。
　　HKEY_USER只包含默认用户和登录用户的设置信息 。
　　HKEY_CURRENT_USE只包含与当前登录用户有关的映射配置信息。
　　控制项使注册表的编辑更加容