Xp系统文档
目录结构:
一、 进程说明………………………………………………2
二、 服务详解………………………………………………12
三、 注册表优化……………………………………………26
四、 系统DLL修改………………………………………….31
五、 垃圾文件清理和网站屏蔽……………………………32
六、 常用命令收集…………………………………………33
一、常见进程说明:
[1]、系统进程:
(1)[system Idle Process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
(2)[alg.exe]
进程名称: 应用层网关服务
描 述: 这是一个应用层网关服务用于网络共享。
介 绍:一个网关通信插件的管理器,为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。
(3)[csrss.exe]
进程名称: Client/Server Runtime Server Subsystem
描 述: 客户端服务子系统,用以控制Windows图形相关子系统。
介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
(4)[ddhelp.exe]
进程名称: DirectDraw Helper
描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
简 介:Directx 帮助程序
(5)[dllhost.exe]
进程名称: DCOM DLL Host进程
描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
介 绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多.
(6)[explorer.exe]
进程名称: 程序管理
描 述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
介 绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器。它对windows系统的稳定性还是比较重要的。
(7)[inetinfo.exe]
进程名称: IIS Admin Service Helper
描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
介 绍:IIS服务进程。
(8)[internat.exe]
进程名称: Input Locales
描 述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
(9)[kernel32.dll]
进程名称: Windows壳进程
描 述: Windows壳进程用于管理多线程、内存和资源。
介 绍:更多内容浏览非法操作与Kernel32解读
(10)[lsass.exe]
进程名称: 本地安全权限服务
描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介 绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
(11)[mdm.exe]
进程名称: Machine Debug Manager
描 述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
介 绍:Mdm.exe的主要工作是针对应用软件进行排错(Debug),说到这里,扯点题外话,如果你在系统见到fff开头的0字节文件,它们就是mdm.exe在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件,可以任意删除而不会对系统产生不良影响。对9X系统,只要系统中有Mdm.exe存在,就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中“Mdm”,按“结束任务”按钮来停止Mdm.exe在后台的运行,接着把Mdm.exe(在C:\Windows\System目录下)改名为Mdm.bak。运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。另外,如果你使用IE 5.X以上版本浏览器,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。
(12)[mmtask.tsk]
进程名称: 多媒体支持进程
描 述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
介 绍:这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。
(13)[mprexe.exe]
进程名称: Windows路由进程
描 述: Windows路由进程包括向适当的网络部分发出网络请求。
介 绍:这是Windows的32位网络界面服务进程文件,网络客户端部件启动的核心。“A-311木马(Trojan.A-311.104)”也会在内存中建立mprexe.exe进程,可以通过资源管理结束进程。
(14)[msgsrv32.exe]
进程名称: Windows信使服务
描 述: Windows信使服务调用Windows驱动和程序管理在启动。
介 绍:msgsrv32.exe 一个管理信息窗口的应用程序.
(15)[mstask.exe]
进程名称: Windows计划任务
描 述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
介 绍:计划任务,它通过注册表自启动。因此,通过计划任务程序实现自启动的程序在系统信息中看不到它的文件名,一旦把它从注册表中删除或禁用,那么通过计划任务启动的程序全部不能自动运行。另外,攻击者在攻击过程中,也经常用到计划任务,包括上传文件、提升权限、种植后门、清扫脚印等。
(16)[regsvc.exe]
进程名称: 远程注册表服务
描 述: 远程注册表服务用于访问在远程计算机的注册表。
(17)[rpcss.exe]
进程名称: RPC Portmapper
描 述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
(18)[services.exe]
进程名称: Windows Service Controller
描 述: 管理Windows服务。
介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%\system32\service.exe
(19)[smss.exe]
进程名称: Session Manager Subsystem
描 述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
简 介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应。
(20)[snmp.exe]
进程名称: Microsoft SNMP Agent
描 述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
简 介:负责接收SNMP请求报文,根据要求发送响应报文并处理与WinsockAPI的接口。
(21)[spool32.exe]
进程名称: Printer Spooler
描 述: Windows打印任务控制程序,用以打印机就绪。
(22)[spoolsv.exe]
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
(23)[stisvc.exe]
进程名称: Still Image Service
描 述: Still Image Service用于控制扫描仪和数码相机连接在Windows。
(24)[svchost.exe]
进程名称: Service Host Process
描 述: Service Host Process是一个标准的动态连接库主机处理服务.
介 绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。
(25)[taskmon.exe]
进程名称: Windows Task Optimizer
描 述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
介 绍:任务管理器,它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序,可打开和结束程序,还可直接调出关闭系统对话框。
(26)[tcpsvcs.exe]
进程名称: TCP/IP Services
描 述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。
(27)[winlogon.exe]
进程名称: Windows Logon Process
描 述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。
(28)[winmgmt.exe]
进程名称: Windows Management Service
描 述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。
简 介:winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。WinMgmt.exe(CIM对象管理器)和知识库(Repository)是WMI两个主要构成部分,其中知识库是对象定义的数据库,它是存儲所有可管理静态数据的中心数据库,对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。
(29)[system]
进程名称: Windows System Process
描 述: Microsoft Windows系统进程。
介 绍:在任务管理器中会看到这项进程,属于正常系统进程。
在Windows2k/XP中,以下进程是必须加载的:
smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process;
[2]、程序进程
absr.exe
进程名称: Backdoor.Autoupder Virus
描述: 这个进程是Backdoor.Autoupder后门病毒程序创建的。
acrobat.exe
进程名称: Adobe Acrobat
描述: Acrobat Writer用于创建PDF文档。
acrord32.exe
进程名称: Acrobat Reader
描述: Acrobat Reader是一个用于阅读PDF文档的软件。
agentsvr.exe
进程名称: OLE automation server
描述: OLE Automation Server是Microsoft Agent的一部分。
aim.exe
进程名称: AOL Instant Messenger
描述: AOL Instant Messenger是一个在线聊天和即时通讯IM软件客户端。
airsvcu.exe
进程名称: Microsoft Media Manager
描述: OLE 这是一个用于在硬盘上建立索引文件和文件夹,在Microsoft Media Manager媒体管理启动时运行的进程。它可以在控制面板被禁用。
alogserv.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
avconsol.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
avsynmgr.exe
进程名称: McAfee VirusScan
em_exec.exe
进程名称: Logitech Mouse Settings
描述: 这是Logitech MouseWare状态栏图标的进程,用于用户访问控制鼠标属性和察看MouseWare帮助。
excel.exe
进程名称: Microsoft Excel
描述: Microsoft Excel是一个电子表格程序包括在Microsoft Office中。
frontpage.exe
进程名称: Microsoft FrontPage
描述: Microsoft FrontPage是一个HTML编辑器用于创建站点和其它类别的HTML文档。
gmt.exe
进程名称: Gator Spyware Component
描述: Gator Spyware是一个广告插件,随Gator安装和启动。
hh.exe
进程名称: Gator Windows Help
描述: Windows Help程序用以打开帮助文件和文档,包括在很多Windows程序中。
hidserv.exe
进程名称: Microsoft Human Interface Device Audio Service
描述: 后台服务,用来支持USB音效部件和USB多媒体键盘。
hidserv.exe
描述: Windows Help程序用以打开帮助文件和文档,包括在很多Windows程序中。
iexplore.exe
进程名称: Internet Explorer
描述: Microsoft Internet Explorer网络浏览器透过HTTP访问WWW万维网。
kodakimage.exe
进程名称: Imaging
描述: Kodak Imaging是一个图片察看软件。包括在Windows,用以打开图像文件。
loadqm.exe
进程名称: MSN Queue Manager Loader
描述: MSN Queue Manager Loader被随着MSN Explorer和MSN Messenger安装。他在一些时候会占用很多系统资源。
loadwc.exe
进程名称: Load WebCheck
描述: Load WebCheck用以定制一些Internet Explorer的设定,添加、删除或者更新用户profiles设定。
mad.exe
进程名称: System Attendant Service
描述: System Attendant Service是Microsoft Exchange Server的后台程序。它用以读取Microsoft Exchange的DLLs文件,写log信息和生成离线地址薄。
mcshield.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
mgabg.exe
进程名称: Matrox BIOS Guard
描述: Matrox BIOS守护进程。
mad.exe
进程名称: System Attendant Service
描述: System Attendant Service是Microsoft Exchange Server的后台程序。它用以读取Microsoft Exchange的DLLs文件,写log信息和生成离线地址薄。
mcshield.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
mgabg.exe
进程名称: Matrox BIOS Guard
描述: Matrox BIOS守护进程。
mmc.exe
进程名称: Microsoft Management Console
描述: Microsoft Management Console管理控制程序集成了很多的系统控制选项。例如设备管理(系统、硬件)或者计算机权限控制(Administrative管理工具)。
mobsync.exe
进程名称: Microsoft Synchronization Manager
描述: Internet Explorer的一个组成部分,用以在后台同步离线察看页面。
mplayer.exe
进程名称: Windows Media Player
描述: Windows Media Player是一个用以打开音乐、声音和视频文件的软件。
mplayer2.exe
进程名称: Windows Media Player
描述: Windows Media Player是一个用以打开音乐、声音和视频文件的软件。
msaccess.exe
进程名称: Microsoft Access
描述: Microsoft Access是一个数据库软件包括在Microsoft Office。
msbb.exe
进程名称: MSBB Web3000 Spyware Application
描述: MSBB Web3000 Spyware是包括在一些adware产品中,利用注册表随
Windows启动。
msdtc.exe
进程名称: Distributed Transaction Coordinator
描述: Microsoft Distributed Transaction Coordinator控制多个服务器的
传输,被安装在Microsoft Personal Web Server和Microsoft SQL Server。
msiexec.exe
进程名称: Windows Installer Component
描述: Windows Installer的一部分。用来帮助Windows Installer package
files (MSI)格式的安装文件。
msimn.exe
进程名称: Microsoft Outlook Express
描述: Microsoft Outlook Express是一个Email和新闻组客户端包括在
Microsoft Windows。
msmsgs.exe
进程名称: MSN Messenger Traybar Process
描述: MSN Messenger是一个在线聊天和即时通讯客户端。
msoobe.exe
进程名称: Windows Product Activation
描述: Windows XP License的Product Activation产品激活程序。
mspaint.exe
进程名称: Microsoft Paint
描述: Microsoft Paint画图是一个图像编辑器包括在Microsoft Windows,它
能够编辑bmp图像。
mspmspsv.exe
进程名称: WMDM PMSP Service
描述: Windows Media Player 7需要安装的Helper Service。
mysqld-nt.exe
进程名称: MySQL Daemon
描述: MySQL Daemon控制访问MySQL数据库。
navapsvc.exe
进程名称: Norton AntiVirus Auto-Protect Service
描述: Norton Anti-Virus扫描你的文件和email中的病毒。
navapw32.exe
进程名称: Norton AntiVirus Agent
描述: Norton Anti-Virus扫描你的文件和email中的病毒。
ndetect.exe
进程名称: ICQ Ndetect Agent
描述: ICQ Ndetect Agent是ICQ用来侦测网络连接的程序。
netscape.exe
进程名称: Netscape
描述: Netscape网络浏览器通过HTTP浏览WWW万维网。
notepad.exe
进程名称: Notepad
描述: Notepad字符编辑器用于打开文档。在Windows中附带。
ntbackup.exe
进程名称: Windows Backup
描述: Windows备份工具用于备份文件和文件夹。
ntvdm.exe
进程名称: Windows 16-bit Virtual Machine
描述: Windows Virtual Machine是为了兼容旧的16位Windows和DOS程序而
设置的虚拟机。
nvsvc32.exe
进程名称: NVIDIA Driver Helper Service
描述: NVIDIA Driver Helper Service在NVIDA显卡驱动中被安装。
nwiz.exe
进程名称: NVIDIA nView Control Panel
描述: NVIDIA nView控制面板在NVIDA显卡驱动中被安装,用于调整和设定。
osa.exe
进程名称: Office Startup Assistant
描述: Microsoft Office启动助手,随Windows启动,增强启动、Office字体、
命令和Outlook事务提醒等特性。
outlook.exe
进程名称: Microsoft Outlook
描述: Microsoft Outlook是一个Email客户端包括在Microsoft Office。
photoshop.exe
进程名称: Adobe Photoshop
描述: Adobe Photoshop是一个图像编辑软件, 能够打开和编辑照片和其它更
多类型格式的图片。
point32.exe
进程名称: Microsoft Intellimouse Monitor
描述: Microsoft Intellimouse Monitor添加一个鼠标设定图标在工具栏。
powerpnt.exe
进程名称: Microsoft PowerPoint
描述: Microsoft PowerPoint是一个演示软件包括在Microsoft Office。
qttask.exe
进程名称: Quick Time Tray Icon
描述: Quick Time任务栏图标在你运行Quick Time的时候启动。
rnaapp.exe
进程名称: Windows Modem Connection
描述: Windows Modem连接控制用以控制拨号modem连接。
rtvscan.exe
进程名称: Norton AntiVirus
描述: Norton Anti-Virus用以扫描你的文件和email中的病毒。
rundll32.exe
进程名称: Windows RUNDLL32 Helper
描述: Windows Rundll32为了需要调用DLLs的程序。
sndrec32.exe
进程名称: Windows Sound Recorder
描述: Windows录音机用以播放和录制声音文件(.wav)。
sndvol32.exe
进程名称: Windows Volume Control
描述: Windows声音控制进程在任务栏驻留用以控制音量和声卡相关。
spoolss.exe
进程名称: Printer Spooler Subsystem
描述: Windows打印机控制子程序用以调用需要打印的内容从磁盘到打印机。
starter.exe
进程名称: Creative Labs Ensoniq Mixer Tray icon
描述: 状态栏图标在Creative Sound Mixer中被安装。为了Creative声
systray.exe
进程名称: Windows Power Management
描述: Windows电源管理程序用以控制节能和恢复启动。
tapisrv.exe
进程名称: TAPI Service
描述: Windows Telephony (TAPI) 的后台服务程序。
userinit.exe
进程名称: UserInit Process
描述: UserInit程序运行登陆脚本,建立网络连接和启动Shell壳。
visio.exe
进程名称: Microsoft Visio
描述: Microsoft Visio是一个图形化管理软件。
vptray.exe
进程名称: Norton AntiVirus
描述: Norton Anti-Virus扫描你的文件和email中的病毒。
vshwin32.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病
毒。
vsmon.exe
进程名称: True Vector Internet Monitor
描述: True Vector Internet Monitor是ZoneAlarm个人防火墙的一部分,用
以监视网络流经数据和攻击。
vsstat.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病
毒。
webscanx.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病
毒。
winhlp32.exe
进程名称: Windows Help
描述: Windows帮助文件察看程序,用来打开帮助文档。该程序被包括在很多
的Windows程序中。
wowexec.exe
进程名称: Windows On Windows Execution Process
描述: Windows On Windows Execution Support Process和ntvdm.exe作用类
似,为了兼容16位应用程序。
二.系统服务详解:
在改动服务的设置之前,备份当前的状态很有必要,一旦出错可马上恢复到正常状态。这里介绍直接备份注册表中与服务有关内容的方法,选择“开始→运行”,输入“regedit”并回车打开注册表编辑器,展开注册表选定“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service”,点击菜单“文件”→“导出”将此分支下的注册表内容导出并保存成一个REG文件,如果要恢复系统服务到原始状态,只要双击导入注册表即可。
对于任意一个服务,通常有3种启动类型:
(1).Automatic(自动):此服务随启动WinXP一起启动,将延长启动所需要的时间,有些服务是必须设置为自动的,例如Remote Procedure Call(RPC)。
由于依存关系或其性质的影响(一些服务并不能单独运行,必须依靠其他服务。如果有其他需要启动的服务是依靠这个服务,就不能将其停止。比如Messenger这个服务,要依靠其他4个服务才能运行,因此停止或禁用其中的任何一个,Messenger服务都将不能运行。又比如Application Layer Gateway Service这个服务,如果关掉它,那么依赖它的Internet Connection Firewall/Internet Connection Sharing也就无法工作了。),其他的一些服务也必须设置为自动。
(2).Manual(手动):如果一个服务被设置为手动,那么可以在需要的时候再运行它。大多数服务都是这样的,这可以节省大量系统资源、加快启动时间。
(3).Disabled(禁止):此服务不能再运行,哪怕是系统必须。
以下是各个服务的详细说明:
1.Alerter
Alerter(警示器)服务的进程名是Services.exe(即启动这个服务后在后台运行的进程的名称,可以通过任务管理器看到)。Alerter服务的功能是,WinXP将系统上发生的与管理有关的事件以警示(Alert)信息传送至网络上指定的电脑或用户,例如当发生打印错误或硬盘即将写满等事件,这类警示信息由XP的警示器服务收集、送出。
尽管Alerter依存的服务并没有Messenger(信使)服务,但Alerter服务必须依赖后者才能送出信息,故在启动Alerter服务后还必须确定Messenger服务也是在工作中,而接收的电脑也必须启动Messenger服务。由于Alerter服务运行后,服务使用户可以发送弹出(Pop-up)信息给其他用户,这些信息有可能被攻击者用来实施攻击,如诱骗用户修改口令等,从而造成安全隐患。同时该服务使得用户帐号名泄漏,也有可能被攻击者利用来进行口令猜测攻击。所以对于家庭单机用户,甚至对于绝大多数小型的局域网来说,这个功能是完全可禁用的,不仅节省了系统资源和加快启动速度,也提高了机器的安全性。
2.Application Layer Gateway Service
ALG(应用层网关),其进程名是alg.exe,WinXP Home/PRO默认安装的启动类型为手动。ALG又被称为代理服务器(Proxy Server),是网络防火墙从功能面上分类的一种。当内部计算机与外部主机连结时,将由代理服务器(Proxy Server)担任内部计算机与外部主机的连结中继者。使用ALG的好处是隐藏内部主机的地址和防止外部不正常的连接,如果代理服务器上未安装针对该应用程序设计的代理程序时,任何属于这个网络服务的封包将完全无法通过防火墙。它就是WinXP附带的Internet连接共享/防火墙的具体控管程序,如果你需要启用这二者,这个服务是必备的。
3.Application Management
AppMgmt(应用程序管理服务)的进程名是Svchost.exe,WinXP Home/Pro默认安装的启动类型是手动,没有任何依存服务关系。从Win2000开始微软引入了一种基于MSI文件格式(应用程序安装信息程序包文件)的全新、有效软件管理方案--即应用程序管理组件服务(Application Management),它不仅管理软件的安装、删除,而且可使用此项服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等。通常这个服务我们保持其默认状态较好。通常以MSI文件格式安装的软件,当你安装后再次运行软件的安装程序时,它一般会有“重新安装”、“修复软件”、“卸载软件”等多个选项,而不是以前安装程序简单的卸载或覆盖安装。
4.Automatic Updates
Wuauserv(自动更新服务)的进程名是Svchost.exe,WinXP Home/Pro默认安装的启动类型为自动,没有任何依存服务关系。这个是大家都非常熟悉的系统自动更新功能。
5.Background Intelligent Transfer Service
BITS(后台智能传输服务)的进程名是Svchost.exe,WinXP Home/Pro默认安装的启动类型是手动,依赖于Remote Procedure Call、Workstation服务。微软宣称BITS能够利用剩余的带宽传输文件,当网络切断或计算机需重启时,后台智能传输服务会自动对文件传输加以维护,当网络重新连接时,后台智能传输服务将继续从停止的地方继续开始传输文件。其实这个服务原是用来实现HTTP 1.1服务器之间的信息传输,基本上它的应用也就是支持Windows自动更新时的断点续传。如果你禁用了Automatic Updates,它基本上也没有作用。
6.ClipBook
ClipSrv(剪贴板查看器服务)的进程名是clipsrv.exe,WinXP Home/Pro默认安装的启动类型是手动,依赖Network DDE服务。ClipBook通过Network DDE和Network DDE DSDM提供的网络动态数据交换服务,可查阅远程机器中的剪贴板, ClipBook支持剪贴板查看器(ClipBook Viewer)程序,该程序可允许剪贴页被远程计算机上的ClipBook浏览。
例如有个较大的文档工程,由A、B、C共同开发,A负责Excel数据部分,B负责Visio制图部分,而C负责将两部分文档的整合。C经常需要对A、B的数据进行拷贝,愚蠢的做法是C打开A、B在网络邻居上共享的文档,然后将相关内容拷贝。而对Windows体系有一定了解的用户应该听说过OLE这个东西,上面说的EXCEL数据和Visio制图都可以认为是独立的OLE对象,如果A、B、C的3台机器上的Clipbook服务都为开启,就可利用ClipBook共享这些OLE对象,C只要在自己的文档中建立OLE对象的链接指向A、B的Excel和Visio,A、B对自己工作的任何改动即可在C的复合文档里自动体现。由此可见,ClipBook是基于对象的共享,而非简单的文件共享。所以也很好理解,这是一把双刃剑,在带来极大方便的同时,也带来被非法远程访问ClipBook剪贴页面的安全隐患。
7.COM+ Event System
EventSystem(COM+事件系统服务)的进程名是Svchost.exe,WinXP Home/Pro默认安装的启动类型是手动,依赖Remote Procedure Call服务。COM+是一种软件构件/组件的标准。比如写一个软件好比是盖一座房子。而门窗等部件会根据标准设计,COM组件即是Windows的门窗等标准组件了,COM+是对COM的进一步扩展, Windows系统又是个典型的消息(事件)处理型系统,很多功能都是由消息来触发的,这就产生了COM+ Event System。检查你的系统安装盘下的“Program files\ComPlus Applications ”目录,如果没有东西就可以把这个服务关闭了。
8.COM+ System Application
COMSysApp(COM+系统应用服务)的进程名是Dllhost.exe,WinXP Home/Pro默认安装的启动类型是手动,依赖Remote Procedure Call服务。简单的说,COM+ System Application是COM+ Event System的具体执行者,如果禁用了COM+ Event System也就自然禁用它。
9.Computer Browser
Browser(计算机浏览器服务)的进程名是Svchost.exe,WinXP Home/Pro默认安装的启动类型是自动,依赖Server和Workstation服务。Browser服务维护着一个网络资源的清单,其中包括基于Windows的域、工作组和计算机,还有其他支持NetBIOS协议的网络设备,我们在“网上邻居”上看到显示的内容正是来源于此。显然对于一般家庭用的计算机这个服务并不需要,除非计算机位于局域网之上。
10.Cryptographic services
CryptSvc(认证服务)的进程名是Svchost.exe,WinXP Home/Pro默认安装的启动类型为自动,依赖Remote Procedure Call服务。CryptSvc是整个微软公钥体系(PKI,Public Key Infrastructure)的核心元件。所谓的PK是一种公匙加密法,通过加密来保证数据的安全和传送,它与传统的秘密(对称)钥匙密码法不相同,PK密码法的基本特性是加密和解密的钥匙不同,每一个用户两把钥匙,一把公开密匙,一把私匙。撇开这些难以一下子理解的术语,具体到CryptSvc本身来说,如果我们在WinXP中使用Automatic Updates自动更新,或在Internet上使用证书进行身份验证以及正确管理这些证书等,那么这个服务就不要关闭。其中这个功能最有用的是,当你安装一个驱动程序时,以确定它是不是通过微软认证的。因为驱动程序在操作系统内可以获得很高的运行权限,因而开发驱动程序的厂家一般都会去做微软认证,通过验证后,微软会在里面添加它的认证数据,再到你机器上安装时就可以通过CryptSvc检测升级。
11.DHCP Client
Dhcp(DHCP客户端服务)的进程名是Svchost.exe,WinXP Home/Pro默认安装的启动类型为自动,依赖AFD Networking Support Environment、NetBIOS over TCP/IP以及TCP/IP Protocol Driver服务。简单的说DHCP过程就是由网络中一台主机(DHCP Server)将所有的网络参数自动分配给网络内的任何一台计算机,而DHCP Client就是网络中被分配网络参数的对象计算机了。如果能在网络中被自动分配IP地址等网络参数,那么这个DHCP Client服务就必不可少。
12.Distributed Link Tracking Client
TrkWks(分布式连结追踪客户端服务)的进程名是Svchost.exe,WinXP Home/Pro默认安装的启动类型为自动,依赖Remote Procedure Call服务。对于计算机有一定了解的人对于“分布式”这个词并不陌生。TrkWks服务简单说,就是将整个网络中分散于各台计算机上互相有连接的NTFS文件看作一个整体,相当于一台机器上的文件系统,所以当系统内发生文件移动,就会记录这个信息。它是针对“域用户”的“NTFS文件”的“分布式连接”,这3个条件缺一个你就用不上它,当然是禁用它。
13.Distributed Transaction coordinator
MSDTC(分布式交易协调器)的进程名是Msdtc.exe,WinXP Home/Pro默认安装的启动类型是手动,依赖Remote Procedure Call和Security Accounts Manager服务。MSDTC主要用来处理分布式交易,所谓分布式交易,就是跨越两个或多个数据库的单一SQL Server内部的交易。同一数据库内不同数据表间的交易,则不能称作分布式交易。显然对于需要同时处理多个数据库或文件系统的用户来说,这个服务意义重大,但它也是通常意义上一般用户不会使用到的服务,通常来默认手动启动就好了,其实这个服务也容易受到远程拒绝服务攻击。
14.DNS Client
Dnscache(DNS客户端服务)的进程名是Svchost.exe,WinXP Home/Pro默认安装的启动类型为自动,依赖TCP/IP Protocol Driver服务。DNS(Domain Name System)也是常见的名词了,简单的解释就是当使用网页浏览器去上网时,会键入网站的网址,而这些网址名称在因特网上就是透过网域名称服务器(DNS服务器)来完成名称转换为IP地址的解释。实际上一些网站并不是只有一台服务器在工作,而是有多台服务器在同时工作,也就是说同样一个网站名称地址可对应不同的IP地址(在Win2000以前的操作系统可执行此查询)。但如果将操作系统换到Win2000或XP,同样的网站你又会发现总是查到同一个IP地址。这就是DNS Client服务的作用。
为了要达到用最快速、最有效率的方式,让客户端能够迅速找到网域的验证服务,在Win2000/XP系统中,加入了DNS快取(Cache)的功能,当第一次在找到了目的主机的IP地址后,操作系统就会将所查询到的名称及IP地址记录在本机的DNS快取缓冲区中,下次客户端还需要再查询时,就不需要到DNS服务器上查询,而直接使用本机DNS Cache中的数据即可,所以你查询的结果始终是同一IP地址。这个服务关闭与否影响并不大,在安全性上最多只是可以泄漏你的缓存内容,确定你曾经访问过的网站。
15.Error Reporting Service
ERSvc(错误报告服务)的进程名是Svchost.exe,WinXP Home/Pro默认安装的启动类型为自动,依赖Remote Procedure Call服务。这个服务我们经常碰到,当使用程序出错时会跳出对话框,问你是否需要向微软发送报告,就是这个服务的功能。此服务完全可设置为手动或禁止。如果你想对错误报告进行更详细的设置,可以右键单击“我的电脑”图标,选择“属性”,在“高级选项卡”下点击“错误报告”按钮,在那里你可以决定是否发送错误报告以及发送怎样的错误报告,可禁用它。
16.Event Log
Eventlog(系统日志纪录服务)的进程名是Services.exe,WinXP Home/Pro默认安装的启动类型为自动,没有服务依存关系。Event Log服务负责记录来自系统和运行中程序的管理事件消息,为Windows和应用程序提供了一个标准而集中的方法来记录重要的软件和硬件事件。打开事件查看器的方法是依次打开“开始→控制面板”,然后选择打开“管理工具→事件查看器”。这个服务是基础服务,无法调整关闭。
17.Fast User Switching Compatibility
Fast User Switching Compatibility(多用户快速切换服务)的进程名是svchost.exe,WinXP Home/Pro默认安装的启动类型是手动,依赖Terminal Services服务。此服务是WinXP的新技术,即快速的多用户切换环境。解决了以前的多用户环境虽然安全但是切换用户环境需要重新启动,并丢失上一用户工作环境的问题。使用很简单,只要进行“开始→注销→切换用户”操作即可方便地切换用户环境,是非常不错的多用户技术,如果用不着多用户环境就不用打开它.
18.FAX Service
FAX(传真服务)的进程名是Fxssvc.exe,WinXP Home/Pro中默认是没有安装的,依赖Plug and Play、Print Spooler、Remote Procedure Call、Telephony服务。FAX服务在默认情况下是没有安装的,但如果你安装了它就可以进行“开始→所有程序→附件→通讯→传真”操作,使用WinXP内置的传真服务来收发传真了。不需要的人就禁用吧。
19.Help and Support
Helpsvc(帮助服务)的进程名是Svchost.exe,WinXP Home/Pro中默认安装的启动类型为自动,依赖Remote Procedure Call服务。这个服务用于支持WinXP帮助和支持中心的功能,如果你刚开始使用WinXP,这个帮助中心能解决不少问题,如果你觉得不需要它了,那就禁用吧。
20.Human Interface Device Access
HidServ(人性化接口装置服务)的进程名是Svchost.exe,WinXP Home/Pro中默认安装的启动类型是禁用,依赖Remote Procedure Call服务。这个服务简单说就是支持那些所谓的带有多媒体功能智能键盘,比如音量调节。当然你有符合人体工程学标准的设备(主要指键盘和鼠标),那么这个服务就设置为自动,否则这些设备的一些功能将不能正常使用。而如果你没有这类设备或者你的设备有自己的驱动,即可禁用此服务。
21.IMAPI CD-Burning COM Service
ImapiService(IMAPI CD刻录服务)的进程名是Imapi.exe,WinXP Home/Pro中默认安装的启动类型是手动,没有任何的服务依存关系。这个就是WinXP内置的CD刻录服务了。总的来说该服务的功能和性能十分有限,有刻录机的还是安装成熟的第三方刻录软件,关闭这个服务。
22.Indexing Service
Cisvc(索引服务)的进程名是Cisvc.exe,WinXP Home/Pro中默认安装的启动类型是手动,依赖Remote Procedure Call服务。这个服务可为本地和远程计算机上的文件编制索引,也就是说像图书馆里为图书编制的查询索引一样,这样可加快寻找文件的速度。开启此项服务对个人用户而言有一个很大的帮助,就是文件浏览速度(即双击某文件夹后的等待时间)会明显增加,因为系统已将目录结构读入了内存,需要时会直接调用。但此服务启用后某此情况会导致系统极度繁忙,通过任务管理器,可看见Cidaemon.exe这个进程占用了大部分CPU资源。因此对待这个不成熟的服务请根据自己机器的情况设为“自动”或“禁用”。
23.Internet Connection Firewall/Internet Connection Sharing
SharedAccess(Internet连接共享和防火墙服务)的进程名是Svchost.exe,WinXP Home/Pro中默认安装的启动类型分别是手动和自动,依赖Application Layer Gateway Service、Network Connections、Network Location Awareness、Remote Access Connection Manager服务。这个服务提供WinXP内置的Internet连接共享和防火墙功能。
24.IPSEC Services
PolicyAgent(IP安全策略服务)的进程名是Lsass.exe,WinXP Home/Pro中默认安装的启动类型为自动,依赖IPSEC driver、Remote Procedure Call、TCP/IP Protocol Driver服务。IPSEC是一种用来保护内部网、专用网络以及外部网(Internet、Extranet)免遭攻击的重要防御方法,主要特征在于它可对所有IP级的通信进行加密和认证,正是这一点才使IPSEC可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内的多种应用程序的安全。由于企业及政府用户非常注重于部署安全的IP,所以这一服务显得很重要。对于绝大多数用户来说,这个根本就不用关心。所以禁用它。
25.Logical Disk Manager
Dmserver(逻辑磁盘管理员服务)的进程名是Svchost.exe,WinXP Home/Pro中默认安装的启动类型分别是手动和自动,依赖Plug and Play、Remote Procedure Call服务。Dmserver用来动态管理磁盘,如显示磁盘可用空间和使用Microsoft Management Console(MMC)主控台中的磁盘管理功能。这个服务对于经常使用移动硬盘、U盘等外设的人来说必不可少,没有的话可选择禁用它。
26.Logical Disk Manager Administrative Service
Dmadmin(逻辑磁盘管理系统管理服务)的进程名是Svchost.exe,WinXP Home/Pro中默认安装的启动类型分别是手动和自动,依赖Logical Disk Manager、Plug and Play、Remote Procedure Call服务。Dmadmin主要用来配置硬盘信息,平时基本上没用。打开“计算机管理”(Microsoft Management Console,简称MMC)时,你可以看到“磁盘管理”,这时就会用上它,可设为手动。
27.Messenger
Messenger(信使服务)的进程名是Services.exe,WinXP Home/Pro中默认安装的启动类型为自动,依赖NetBIOS Interface、Plug and Play、Remote Procedure Call、Workstation服务。Messenger这个服务上过网的人都应该比较熟悉,本来Microsoft开发“信使服务”是为了方便同一域中的管理员进行信息交流,后来有些人开发了突破域限制的信使发送工具,于是大家挂在网上时,计算机上经常会弹出一个名为“信使服务”的对话框,这些不请自到的“信使”基本上是一些垃圾信使信息,有无聊的广告,有非法的信息等。通常这些信息是用一些名为“凶宝宝信使”、“妖刺”的软件发布的,但实际上如果是在同一域中,只需要用NET SEND命令就可以轻易发送消息了。
28.MS Software Shadow Copy Provider
SwPrv(管理磁盘区卷影复制服务)的进程名是dllhost.exe,WinXP Home/Pro中默认安装的启动类型是手动,依赖Remote Procedure Call服务。这个服务是为WinXP中的MS Backup备份程序提供支持,奇怪的是即使关掉它我的备份工作也可以顺利完成,用不着的话就禁用它。
29.Net Logon
Netlogon(网域登录服务)的进程名是lsass.exe,WinXP Home/Pro中默认安装的启动类型分别是手动和自动,依赖Workstation服务。这个服务是用来做网域审查的。当你的计算机处在一个域网内时,如果要使用网内的域服务器登录到域网时,就要通过它来登录了。禁用。
30.NetMeeting Remote Desktop Sharing
Mnmsrvc(NetMeeting远程桌面共享服务)的进程名是Mnmsrvc.exe,WinXP Home/Pro中默认安装的启动类型是手动,依赖Remote Procedure Call服务。使用NetMeeting可透过公司内部网络,让使用者将计算机的控制权分享给局域网上或因特网上的其他使用者,很多人都因为安全问题关掉它,而且它很占网络资源。但如果你想和别人做些非文字的交流,还是比较好玩的。注意关掉它后,远程桌面共享功能将无法使用。
31.Network Connections
Netman(网络连接服务)的进程名是svchost.exe,WinXP Home/PRO默认安装的启动类型是手动,依赖于Remote Procedure Call服务。Netman也是非常重要的基础服务,它管理着“网络和拨号连接”文件夹中的所有对象,任何有关于网络上(局域网、Internet)的连接都需要这个服务。如果被禁用,在“网络和拨号连接”文件夹中将什么都看不。因此除非你的机器是绝对的单机环境,才可将其关闭。
32.Network DDE
NetDDE(网络动态数据交换服务)的进程名是netdde.exe,WinXP Home/PRO默认安装的启动类型是手动,依赖于Network DDE DSDM服务。NetDDE(Network Dynamic Data Exchange)是微软早期设计的一种方法,可让应用程序在不同PC上的Windows之间交换动态数据,现在已经很少使用。实际上在WinXP中,真正使用它的只有ClipBook服务,回顾上一期中提到的3人共同开发文档,通过ClipBook来交换动态数据的例子就可以很好理解这个服务的作用了。数据共享服务通常是经过可信赖的沟通渠道,负责管理这项服务的是网络DDE代理(Network DDE Agent),实际上网络DDE代理会使机器非常容易遭受攻击而失去本机的管理员控制权。因此如果无需ClipBook共享这个特殊服务,禁用。
33.Network DDE DSDM
NetDDE dsdm(网络动态数据交换网络共享服务)的进程名是netdde.exe,WinXP Home/PRO默认安装的启动类型是手动,它不依赖于其他服务。如果此服务终止,Network DDE服务将不可用,实际上如果不用Network DDE,禁用。
34.Network Location Awareness
NLA(网络位置识别服务)的进程名是svchost.exe,WinXP Home/PRO默认安装的启动类型是手动,依赖于AFD网络支持环境和TCP/IP Protocol Driver服务,而ICF/ICS服务依赖于它。NLA可以探测网络系统的相关信息,当这些信息发生变化时通知相关的应用程序。基本上,这个服务主要针对的对象是笔记本电脑。因为在实际工作和生活中,人们的笔记本电脑常常在超过一个以上的网络环境中应用。经常可能遇到在一个网络中需要使用动态IP地址,而在另一网络中需要使用静态IP地址的问题。比如说你在办公室里使用的是动态IP,而在家里却使用静态IP来连接宽带,那么NLA就可让你在家里及单位网络(有线)之间切换时自动辨认出不同网络环境,从而自动选择合适的配置而无需重新调整网络参数。
35.NT LM Security Support Provider
NtLmSsp(NT LM安全性支持提供者服务)的进程名是lsass.exe,WinXP Home/PRO默认安装的启动类型是手动,它不依赖于其他服务。NT LM的意思即NT LanManger,是NT下提供的认证方法之一,使用了64位的加密手段。NtLmSsp这个服务主要针对RPC(远程过程调用),通常RPC可以选择基于两种通信方式,一种是传输协议,比如TCP/IP、UDP、IPX等,另一种为命名管道(Pipeline)。通常情况下Windows默认选择都是传输协议,而由于RPC是采用非加密传输的,通信数据安全无法得到保证,而NtLmSsp就可向这一类RPC提供安全服务。WinXP中已知的这类RPC应用就是Telnet服务(Telnet也依赖于NtLmSsp),因此无需Telnet服务的单机用户可将NtLmSsp其关闭。
36.Performance Logs and Alerts
SysmonLog(效能记录日志及警示服务)的进程名是smlogsvc.exe,WinXP Home/PRO默认安装的启动类型是手动,它没有任何服务依存关系。如果打开控制面板的管理工具,可以看到有“性能”这个工具,它较详细地反映了系统的性能。
SysmonLog就是为它提供日志记录的服务。如果你对自己机器的工作状态比较在意,这绝对是一个值得研究的工具,因为它可以严格监视硬盘、内存、CPU甚至于软件在系统中的运行,并通过记录下的日志数据分析机器软硬件资源的具体情况。更有用的是,如果你比较了解计数器这个参数的设置,就可为各部分资源设置合适的计数器值,一旦服务监视到资源的性能值超过或是低于此值,就会通过Messenger服务发出警告。
37.Plug and Play
PlugPlay(即插即用服务)的进程名是services.exe,WinXP Home/PRO默认安装的启动类型是自动,它不依赖于任何服务。即插即用是Intel开发的一组规范,它赋予了计算机自动检测和配置设备并安装相应驱动程序的能力,当有设备被更改时能自动通知当前设备的状况并使用该设备变更后的程序。PlugPlay是WinXP的几个基础服务之一,在服务管理工具中无法调整它,而且如果本服务一旦失败就只有重新启动机器了。
38.Portable Media Serial Number Service
WmdmPmSp(便携的媒体序号服务)的进程名是svchost.exe,WinXP Home/PRO默认安装的启动类型是自动,它没有任何服务依存关系。这个服务其实非常简单,它是微软用来防盗版的工具之一,但目前基本上只是针对音乐。微软用它获得你系统中媒体播放器的序列号,做什么用呢?其实它是在试图控制你将盗版的音乐文件拷贝到类似MP3、MD等便携播放器上。尽管微软声称关掉这个服务会影响将正版音乐下载到便携播放器.
39.Print Spooler
Spooler(打印后台处理服务)的进程名是spoolsv.exe,WinXP Home/PRO默认安装的启动类型是自动,依赖于Remote Procedure Call。Spooler是为了提高文件打印效率,将多个请求打印的文档统一进行保存和管理,先将要打印的文件拷贝到内存,待打印机空闲后,再将数据送往打印机处理。这样处理速度更快些。建议将其设置为手动,有打印任务时再打开。如果没有打印机自然是禁用了。
40.Protected Storage
ProtectedStorage(受保护存放区服务)的进程名是lsass.exe,WinXP Home/PRO默认安装的启动类型是自动,依赖于Remote Procedure Call。这一服务提供对敏感性数据保护的功能,比如密码、证书等,但通常它只针对Windows自身的敏感数据进行保护,可用来储存你计算机上的密码。通常上网的用户都比较喜欢开这个服务,毕竟像自动填表这些功能给人带来不少方便。但如果你的电脑是多用户环境,或是使用笔记本电脑,经常移动办公,那么这个服务就要谨慎使用了。有不少密码破解软件就是针对这个ProtectedStorage的,比较有名的有Protected Storage PassView,用它可以轻易得到被储存在ProtectedStorage中你曾经上过的论坛的帐号密码、拨号密码等。因此,对于这个服务要视使用环境而定,在不安全的环境下还是关闭较好。
41.QoS RSVP
RSVP(QoS 许可控制服务)的进程名是rsvp.exe,WinXP Home/PRO默认安装的启动类型是手动,依赖于AFD Networking Support Environment、Remote Procedure Call、TCP/IP Protocol Driver服务。这就是微软那个饱受争议的占用了20%网络带宽的服务了。对大多数人来说,关掉它是简单正确的选择。但是要理解这个服务究竟是干什么的就不这么简单了。QoS这个词的意思是服务质量(Quality of Service),而RSVP这个词的意思是资源预留协议(ReSerVation Protocol)。
随着IP技术和网络的发展,世界各国的运营商基于IP网络已开发出多种多样的新业务。由于目前基于存储转发机制的Internet(IPv4标准)只为用户提供了“尽力而为(best-effort)”的服务,不能保证数据包传输的实时性、完整性以及到达的顺序性,更无法保障实时多媒体业务服务质量(QoS),所以主要应用在文件传送和电子邮件服务。而随着Internet的飞速发展,人们对于在Internet上传输多媒体信息的需求越来越大,这就要求网络应能根据用户的要求分配和调度资源,传统的“尽力而为”转发机制已不能满足用户的要求。为解决这一问题,美国于1996年底开始了以提高网络服务质量研究为核心的InternetⅡ以及NGI(下一代Internet)等研究项目。相关的权威组织IETF(Internet Engineering Task Force)也成立了专门的工作小组来研究多媒体服务质量的定义和相关标准。IETF在IP网络的QoS方面提出了多种服务模型和机制,其中的综合业务模型(Int-Serv)引入了一个重要的网络控制协议RSVP(资源预留协议),这一模型的思想是“为了给特定的客户包流提供特殊的QoS,要求路由器必须能够预留资源。反过来要求路由器中有特定流的状态信息”。所以可以看出,这一模型能提供绝对有保证的QoS,是以预留下的资源作为代价的,对资源的要求实际上是更高的。因此,对于WinXP中的QoS RSVP服务保留了20%的网络带宽也就不足为奇了,由于对于个人应用几乎毫无意义,禁用它是不二选择。
42.Remote Access Auto Connection Manager
RasAuto(远程访问自动联机管理员服务)的进程名是svchost.exe,WinXP Home/PRO默认安装的启动类型是手动,依赖于Remote Access Connection Manager、Telephony服务。RasAuto主要针对宽带使用,当有网络连接请求时它会自动打开网络连接,我们在使用WinXP时会经常弹出一个自动拨号窗口,就是它在工作。如果你的机器提供网络共享服务就开着它,避免网络断线后手动连接,否则可将其关闭。
43.Remote Access Connection Manager
RasMan(远程访问联机管理员服务)的进程名是svchost.exe,WinXP Home/PRO默认安装的启动类型是手动,依赖于Telephony服务,其简单描述是“创建网络连接”,这个解释简单明了,所以根据自己系统的情况来使用这个服务即可。
44.Remote Desktop Help Session Manager
RDSessMgr(远程桌面协助服务)的进程名是sessmgr.exe,WinXP Home/PRO默认安装的启动类型是手动,依赖于Remote Procedure Call服务。这是与NetMeeting Remote Desktop Sharing很类似的一个服务。鼠标点击“开始→所有程序→附件→通讯→远程桌面连接”可开远程桌面功能,而RDSessMgr就是为它提供支持。微软的原意是通过它做远程帮助,其代价是牺牲安全与4MB内存的占用,不需要时关闭。
45.Remote Procedure Call
RpcSs(远程过程调用服务)的进程名是svchost.exe,WinXP Home/PRO默认安装的启动类型是自动。太多服务依赖于这一服务了,它原名远程进程调用,是早期IBM、SUN等公司定义的功能级通信协议,随后被微软采纳,但作了改动,称之为MRPC。总的来说RPC是一种消息传递功能,上一期说过Windows系统是个典型的消息(事件)处理型系统,所以RPC对于系统的重要性不言而喻。由于Windows内部结构已相当复杂了,很难搞清楚哪些模块在用RPC哪些不用,事实上你只要关掉它,系统就可能崩溃。所以这个服务也是不可禁用的。
46.Remote Procedure Call(RPC)Locator
RpcLocator(远程过程调用定位服务)的进程名是locator.exe,WinXP Home/PRO默认安装的启动类型是手动,依赖于Workstation服务。这一服务和上面的RPC服务并无太多关系,是用来给RPC的命名服务的。其用途简单解释就是,通过它对RPC的命名管理,调用者才能找到被调用者的位置。但由于微软系统注册表的存在,使得这些命名服务在本机上的调用上毫无意义。因此对于一般用户完全可以关闭。
47.Remote Registry
RemoteRegistry(远程注册表服务)的进程名是svchost.exe,在WinXP Home下不可用,在WinXP PRO下默认安装的启动类型是自动,依赖于Remote Procedure Call服务。此服务是向其他连机的计算机开放你的注册表,微软总是让这种明显是安全隐患的服务自动启动实在让人费解。不过如果你有这种特殊需求的话可以尝试一下。打开注册表编辑器Regedit,在文件菜单栏里找到“连接网络注册表”这一项,可让你打开甚至编辑其他机器上的注册表。当然那些机器上的RemoteRegistry也必须是打开的,而且对你计算机的一些相应权限同样必须开放。
48.Removable Storage
NtmsSvc(卸除式存放装置服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是手动,依赖于Remote Procedure Call服务。此服务的名称太容易让人误解,实际上它只是对特殊可移动存储器的管理,比如ZIP软驱和磁带驱动器,不要担心你的CD和DVD等设备。从事图像设计的用户经常会用ZIP同苹果机交换文件,一般人恐怕很少使用这些特殊设备,因此可将其关闭。
49.Routing and Remote Access
RemoteAccess(路由和远程访问服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型分别为禁用和手动,依赖于NetBIOSGroup、Remote Procedure Call服务。Routing and Remote Access为软路由,即在一台连接多个网络的计算机上通过运行路由软件,以实现网络间路由的一种方法,相对于硬件路由来说很是方便经济。WinXP也把这个功能集成到系统里来了,不过可能比较少人知道是在哪里配置路由,主要原因就是这个服务默认为关闭。首先启动此服务,网络连接文件夹里会多出一个“传入的连接”,值得注意的是,在VPN连接(传入的连接)的属性“Internet协议(TCP/IP)”里一般要指定TCP/IP地址(一般来说都必须是合法地址)才行。直接禁用它。
50.Secondary Logon
Seclogon(二次登录服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,没有任何服务依存关系。这个服务对应于用户临时权限分配功能,在多用户使用的计算机上,某些用户因为是非管理员权限,导致某些程序无法执行。为了让没有管理员权限的已经登录用户可以使用这些程序,WinXP设计了这个功能来分配临时的管理员权限。打开这个服务后,右键点击鼠标选择“运行方式”将会出现对话框,让你选择执行这个程序的用户身份。禁用。
51.Security Accounts Manager
SamSs(安全账户管理服务)的进程名是lsass.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于Remote Procedure Call服务。熟悉WinXP启动过程的用户都知道SAM文件的重要性,SamSs是负责SAM数据库的控制和维护的服务。SAM数据库位于注册表“HKLM\SAM\SAM”下,可使用Regedit32.exe打开注册表编辑器,并设置适当权限查看SAM中的内容。SAM数据库保存在磁盘上的“系统盘\windows\system32\config”目录下的sam文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者有不少关系。SAM数据库中包含了系统中所有组、账户的信息。而WinXP启动时就需要在SAM文件中读取诸如用户名、用户全名(full name)、所属组、描述、密码、注释、是否可以更改密码、密码设置时间等信息。这也是系统中不可关闭的几个基础服务之一,如果服务启动失败,系统就只有重启了。
52.Server
Lanmanserver(服务器服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动。Server服务对应的是网络上的文件/打印机器共享,以及网络的路径映射共享功能。禁用。
53.Shell Hardware Detection
ShellHWDetection(外壳硬件探测服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于Remote Procedure Call服务。对这个服务微软是语焉不详,也没有给出详细的硬件描述或列表,不过根据网络上不少人的测试,这个服务主要还是和具有自动运行(播放)功能的硬件有关系,例如数字相机、CD-ROM等。通过这个服务,当这些硬件接上系统或放入相应媒介时,WinXP能自动探测到并做出对应动作。手动。
54.Smart Card
SCardSvr(智能卡服务)的进程名是SCardSvr.exe,在WinXP Home/PRO下默认安装的启动类型是手动,依赖于Plug and Play服务。Smart Card(智能卡)其外型和一般信用卡大小一样,但多了一块指甲大小的IC芯片后,使原本普通的一张卡片变成拥有资料控管与逻辑运算的能力。智能卡包括金融卡、GSM卡等,与我们一般常用的电话IC卡相比,内部的IC线路设计不同。由于卡内本身即已包含了CPU功能、ROM、EEPROM、RAM等元件,智能卡就像一台可随身携带的超微型电脑,可用来储存及处理重要资料。在安全性方面,智能卡具有自我毁灭系统,想窃取卡上的资料非常困难。如果你拥有智能卡及相关的读卡设备就开启这个服务,否则就禁用吧。
55.Smart Card Helper
SCardDrv(智能卡协助服务)的进程名是SCardSvr.exe,在WinXP Home/PRO下默认安装的启动类型是手动,它没有任何服务依存关系。只要没有相关的设备就禁用好了。
56.SSDP Discovery Service
SSDPSRV(简易服务发现协议之发现服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是手动。SSDPSRV主要用于局域网上UPnP(Universal Plug and Play,统一即插即用)设备的搜索。UPnP并不同于我们平常熟悉的PnP,UPnP技术PnP对进行了扩展,简化了家庭或企业中智能设备的联网过程。UPnP规范基于TCP/IP协议和针对设备彼此间通信而制订的其他Internet协议,这就是它之所以被称作“通用”的原因所在---UPnP技术不依赖于特定的设备驱动程序,而是使用标准协议。与即插即用相比,这种技术的意义在于,能够轻易地使家庭等非专业用户享受到智能化技术带来的更舒适完美的生活,例如,正是UPnP才使得能在网上冲浪的电冰箱成为可能。UPnP是个较新的协议,也不是非常成熟,对应设备在市场上非常罕见,市场上流行的Linksys BEFSR41W无线路由器是这方面的例子。禁用。
57.System Event Notification
SENS(系统事件通知服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于COM+ Event System服务。它的简单描述是“跟踪系统事件,如登录Windows、网络以及电源事件等。将这些事件通知给COM+事件系统‘订阅者(subscriber)’”。这已将服务的内容解释得很清楚了。尽管有人认为这个服务无关紧要,事实上系统是否需要它取决于你在系统里安装了些什么,而许多应用程序的运行是要通过SENS来实现的,所以建议还是让它自动打开为好。
58.System Restore Service
Srservice(系统还原服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于Remote Procedure Call服务。这是大家非常熟悉的系统还原功能了,如果不使用的话,先在“我的电脑”属性中的系统还原选项卡关闭,然后在这里将服务禁用即可。
59.Task Scheduler
Schedule(计划任务服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于Remote Procedure Call服务。此服务支持WinXP的计划任务,它能使程序在预定的时间自动运行。
60.TCP/IP NetBIOS Helper
LmHosts(TCP/IP NetBIOS 助手服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于AFD网络支持环境、NetBios Over TCP/IP服务。该服务能在TCP/IP上提供NetBIOS支持。大家应该对TCP/IP比较熟悉了,相对来说NetBIOS网络协议对读者来说可能比较陌生,它是由IBM开发的一个很古老的协议,当年在局域网上占据主导。由于NetBIOS不具备路由功能,也就是说它的数据包无法跨网段传输,因此在广域网、城域网大行其道的今天,它只能退居配角。其实在Win95/98的网络协议中仍然保留着NetBIOS,不过它已经改名叫NetBEUI(NetBIOS扩展用户接口),是NetBIOS的Microsoft改进版。
61.Telephony
TapiSrv(电话服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是手动,依赖于Plug and Play、Remote Procedure Call服务。简单地说这个服务能为计算机提供电话拨号的能力。如果你使用了任何形式的拨号,不管是用拨号调制解调器还是DSL/Cable连接到Internet,还是通过电话线连接其他计算机,或是拨打电脑IP电话、发传真等。自动。
62.Telnet
TapiSrv(远程登录服务)的进程名是tlntsvr.exe,在WinXP Home下不可用,在WinXP PRO下默认安装的启动类型是手动,依赖于NT LM Security Support Provider、Remote Procedure Call、TCP/IP Protocol Driver服务。这是一个容易遭到误会的服务名称,一般人会误以为这是以前DOS下那个Telnet,关了之后就无法使用BBS。其实它与BBS无关,完全是微软自己的Telnet系统,尽管两者的原理相差不大,即让用户以模拟终端的方式,运行远程计算机中的程序。禁用。
63.Terminal Services
TermService(终端机服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是手动,依赖于Remote Procedure Call服务。它的简单描述是“允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。这是远程桌面(包括管理员的远程桌面)、快速用户转换、远程协助和终端服务器的基础结构”。
64.Themes
Themes(主题服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,没有服务依存关系,视用户要求来确定是否启用。
65.Uninterruptible Power Supply
UPS(UPS电源管理服务)的进程名是UPS.exe,在WinXP Home/PRO下默认安装的启动类型是手动,没有服务依存关系。它的简单描述是“管理连接到计算机的不间断电源(UPS)”,同样很好理解,UPS(不间断电源供应)一般用户极少用到,除非你的电源供应器具备此功能,不然可关闭。
66.Universal Plug and Play Device Host
UPNPhost(统一即插即用驱动主机服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是手动,依赖于SSDP Discovery Service服务。它同SSDP Discovery Service是继承关系,后者搜索发现UPnP设备,而UPNPhost为UPnP设备提供驱动支持。关闭。
67.Upload Manager
Uploadmgr(上传管理服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于Remote Procedure Call服务。这个服务的具体效果不明,关闭它后实际使用中的网络上传下载并没有受到什么影响,关闭。
68.Volume Shadow Copy
VSS(上传管理服务)的进程名是vssvc.exe,在WinXP Home/PRO下默认安装的启动类型是手动,依赖于Remote Procedure Call服务。它的简单描述是“管理并执行用于备份和其他目的的卷影复制”,依然是和WinXP备份有关的服务,关闭。
69.WebClient
WebClient(Web客户端服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于WebDav Client Redirector系统组件。使用WebDav可将档案或数据夹上传到某个Web服务,这个服务对于未来.NET意义更大。基于安全性的理由,现在你可以关闭它。
70.Windows Audio
AudioSrv(Windows音频服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于Plug and Play、Remote Procedure Call服务。如果你的机器没有声卡可以关闭它。
71.Windows Image Acquisition(WIA)
Stisvc(Windows影像取得服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是手动,依赖于Remote Procedure Call服务。该服务为控制面板中的“扫描仪和照相机”功能提供支持。通过这个功能,用户在安装好设备驱动后无需要再安装相关管理软件,就能轻易操作扫描仪和数码相机来获得图像。可关闭它。
72.Windows Installer
MSIServer(Windows安装服务)的进程名是msiexec.exe,在WinXP Home/PRO下默认安装的启动类型是手动,依赖于Remote Procedure Call服务。这一服务同Application Management服务基本是一样的。从微软的解释看,Windows Installer服务应该是.MSI文件的最直接执行者。同样让人奇怪的是,这个服务默认就是关闭的,可.MSI文件的安装、修复或删除却很正常,和备份工具一样。
73.Windows Time
W32Time(Windows时间服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,它没有服务依存关系。这一服务对应WinXP的Internet对时服务,如不需要关闭即可。
74.Windows Management Instrumentation(WMI)
Winmgmt(Windows管理规范服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于Event Log、Remote Procedure Call服务。WMI是Windows中的基础管理结构,它通过一组常用接口来控制和监视系统(如对系统属性的查看与更改、设置用户权限等)。WMI为访问大量的Windows管理数据提供了一个统一的机制。WMI通过脚本、C++程序接口、.NET类(系统管理)和命令行工具(WMIC)提供了对信息的访问。WMI的功能还包括事件、远程、查询、查看、计划和实施用户扩展及更多内容。总而言之,虽然在服务管理工具中可以关闭,但最好别动它,否则会出现许多莫名的问题。
75.Windows Management Instrumentation Driver Extensions
Wmi(Windows管理规范驱动延伸服务)的进程名是svchost.exe,在WinXP Home下不可用,在WinXP PRO下默认安装的启动类型是手动,没有服务依存关系。微软的白皮书介绍,该服务是作为WMI服务在驱动程序方面的一个延伸,简单说主要就是为让系统方便地获知计算机中OEMs(original equipment manufacturers)以及IHVs(independent hardware vendors)等与硬件厂商相关的硬件信息。
76.Wireless Zero Configuration
WZCSVC(无线配置服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,依赖于NDIS Usermode I/O Protocol组件、Remote Procedure Call服务。它的简单描述是“为您的802.11适配器提供自动配置”。802.11是大家都比较熟悉的无线局域网协议标准了,其已经在市场上占据了优势。当然,802.11协议、蓝牙标准和HomeRF工业标准是无线局域网所有标准中最主要的竞争对手,它们也各有优劣。然而802.11b无线局域网技术已经在美国得到了广泛的应用,所以微软的WinXP内置服务支持也就不足为奇了。如果你没有使用无线网络适配卡装置,可以关闭服务。
77.WMI Performance Adapter
WmiApSrv(WMI性能适配器服务)的进程名是wmiapsrv.exe,在WinXP Home/PRO下默认安装的启动类型是手动,依赖于Remote Procedure Call服务。此服务提供了从WMI HiPerf 提供者获得的性能库信息,需要以手动方式进行配置,并不会在缺省状态下实现运行。该服务太过专业,无法解释得浅显,对于普通的使用者最好保持其默认状态。
78.Workstation
Lanmanworkstation(工作站服务)的进程名是svchost.exe,在WinXP Home/PRO下默认安装的启动类型是自动,它不依赖于其他服务,但有不少服务都依赖它。该服务同样为基础服务,请保持其默认状态不要关闭。
三、注册表相关设置:
将以下内容保存为.reg ,根据需求导入:
个性类:
Windows Registry Editor Version 5.00
;修改IE标题栏
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="深圳强者网络欢迎您"
;更改IE下载路径
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
"Download Directory"=e:\down
;注册信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner"="qz"
"RegisteredOrganization"="qznetwork"
;自动登陆
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DefaultUserName"="Administrator"
"DefaultPassword"=""
"AutoAdminLogon"="1"
;删除“快捷方式”的字样
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"Link"=hex:00,00,00,00
;删除快捷方式的箭头
[HKEY_CLASSES_ROOT\lnkfile]
"IsShortcut"=-
优化类:
Windows Registry Editor Version 5.00
;加快菜单显示速度
[HKEY_CURRENT_USER\Control Panel\Desktop]
"MenuShowDelay"="0"
;自动关闭停止响应的程序
[HKEY_CURRENT_USER\Control Panel\Desktop]
"AutoEndTasks"="1"
;减少开机滚动条滚动次数
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000001
;加快开关机速度
[HKEY_CURRENT_USER\Control Panel\Desktop]
"AutoEndTasks"="0"
"HungAppTimeout"="1500"
"WaitToKillAppTimeout"="1000"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="1000"
;彻底关闭Dr_Warson
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
"Auto"="0"
;停止磁盘空间不足警告
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoLowDiskSpaceChecks"=dword:00000001
;启用大系统缓存
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"LargeSystemCache"=dword:00000001
;使XP系统支持137G以上的硬盘
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters]
"EnableBigLba"=dword:00000001
;从我的电脑中删除共享文档
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]
;禁用漫游Windows XP 窗口
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Tour]
"RunCount"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\Tour]
"RunCount"=dword:00000000
;禁用错误报告,但在发生严重错误时通知我
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
"DoReport"=dword:00000000
;禁用桌面清理向导
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\CleanupWiz]
"NoRun"=dword:00000001
;把Internet Explorer可同时下载的文件数目增大到10
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MaxConnectionsPer1_0Server"=dword:0000000a
"MaxConnectionsPerServer"=dword:0000000a
;联众同局域网同桌补丁
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"MapID"=dword:00000000
;去掉右键“新建”中的公文包、rtf、WAV等
[-HKEY_CLASSES_ROOT\.bfc\ShellNew]
[-HKEY_CLASSES_ROOT\.rtf\ShellNew]
[-HKEY_CLASSES_ROOT\.wav\ShellNew]
;去掉开始菜单中的帮助菜单和文档
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSMHelp"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSMHelp"=dword:000000
"NoSMMyDocs"=dword:00000001
;关闭"分组相似任务栏按钮"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"TaskbarGlomming"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"TaskbarGlomming"=dword:00000000
;屏蔽资源管理器中的搜索菜单
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoShellSearchButton"=dword:00000001
;禁止搜索软驱与网络
[HKEY_CURRENT_USER\Software\Policies\Microsoft\DriverSearching]
"DontSearchFloppies"=dword:00000001
"DontSearchWindowsUpdate"=dword:00000001
;经典显示控制面板
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ForceClassicControlPanel"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\FontSmoothing]
"DefaultValue"=dword:00000001
"DefaultApplied"=dword:00000001
;经典系统登录方式
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoWelcomeScreen"= dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System]
"LogonType"= dword:00000000
;给“我的电脑”的右键菜单中添加“服务”命令
[HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\services]
@="系统服务"
"SuppressionPolicy"=dword:4000003c
[HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\services\command]
@=hex(2):25,00,77,00,69,00,6e,00,64,00,69,00,72,00,25,00,5c,00,73,00,79,00,73, 00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6d,00,63,00,2e,00,65,00,78,00, 65,00,20,00,2f,00,73,00,20,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52, 00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00, 32,00,5c,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,73,00,2e,00,6d,00,73, 00,63,00,20,00,2f,00,73,00,00,00
;在右键增加用记事本打开
[HKEY_CLASSES_ROOT\*\shell\Notepad]
@="用记事本打开"
[HKEY_CLASSES_ROOT\*\shell\Notepad\command]
@="notepad %1"
清理类:
Windows Registry Editor Version 5.00
;禁止记录最近访问过的文档
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu"=dword:00000001
;清空运行中的记录
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
;关机时自动清除开始菜单的文档记录
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ClearRecentDocsOnEixt"=hex:01,00,00,00
;自动清除内存中多余的dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"AlwaysUnloadDLL"=dword:00000001
权限类:
Windows Registry Editor Version 5.00
;禁止CMD和批处理
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000002
;禁止组策略
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC]
"RestrictToPermittedSnapins"=dword:00000001
;禁止使用注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
;禁止使用文件夹选项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"= dword:00000001
;禁止使用控制面板
[HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER]
"NoControlPanel"= dword:00000001
;禁止空用户连接
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]
"restrictanonymous"=dword:00000001
;禁止隐藏共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanServer\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
四、系统DLL修改(xp sp2){ eXeScope}
1、禁止下载:打开Shdoclc.dll修改资源--对话框---4416,将4416键值禁用。
2、禁止恶意网页加载控件,修改Cryptui.dll文件,要同时修改5个地方才能完全禁止 资源--对话框-130 资源-对话框-230 资源-对话框-4101 资源--对话框-4104 资源--对话框-4107 将以各对话框中的相应键值,修改成禁用。
3、禁止系统删除文件修改Shell32.dll,这个文件需要修改5个地方才可以禁止系统删除文件。资源-对话框-1011 资源-对话框-1012 资源-对话框-1013 资源-对话框-1021 资源-对话框-1022 将以上五个地址的键值禁用。
4、禁止运行菜单,修改shell32.dll,将资源-对话框-1013键值设置为禁用。
5、禁止目标另存为,修改Shdoclc.dll文件,需要修改3个地方 资源-菜单-258-257 资源-菜单-258-252 资源-菜单-24641-2268把各对应的键值删除。打开该键值后,右键菜单中有删除。在资源-菜单-24641-2268中,有多项该键值,请逐一删除。
6、禁止IE文件夹选项,修改Browselc.dll文件,需要修改3个键值 资源-菜单-263 (这里有多个请删除)-41251(删除) 资源-菜单-266(也有多个请删除)-41329 (删除) 资源-菜单-268-41251 (删除) 在上面的3个键值中,个别键值有多处,请逐一删除。
8、禁止文件保存路径及打开,修改Comdlg32.dll,资源-对话框-1547 资源-对话框-1548 将以上两处的键值禁用。
9、防格式化
shell32 .菜单--247
dmdskres.dll 对话框--172
10、关于IE下载对话框动画的修改
在C:\\WINDOWS\\system32\\SHDOCVW.DLL里面的AVI资源256
11、关于资源管理器/IE工具栏按钮的修改
IE和资源管理器的工具栏按钮的替换位置为shell32.dll位图204--217
IE角上微标的替换位置为 shell32.dll 里面位图240-242
12、关于关机/注销对话框的修改
还有问的最多的问题就是关机和注销对话框了
关机是msgina.dll,
注销是shell32.dll
13、关于系统属性对话框的修改
计算机名netid.dll (对话框上的字,对话框项112)
远程remotepg.dll (对话框上的字,对话框项510)
自动更新wuaueng.dll(对话框上的字,对话框项501)
常规、硬件和高级选项sysdm.cpl (对话框上的字,对话框项101)
系统还原 srrstr.dll (对话框上的字,对话框项11)
显示属性对话框的修改文件为:themeui.dll和shell32.dll
五、垃圾文件清理和网站屏蔽:
;将以下保存为.bat文件,运行即清理系统中存在的垃圾文件。
@echo off
echo.
echo 准备清理垃圾文件,请稍等……
echo.
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
echo.
Echo.
echo 垃圾清理完毕……
echo.
echo. & pause
;屏蔽3721(如还想屏蔽其它站点,按以下格式加入即可)
@echo off
find /i "www.3721.net" %windir%\system32\drivers\etc\hosts > nul
if errorlevel 1 goto _AddHosts
if errorlevel 0 goto _SkipAddHosts
goto _SkipAddHosts
:_AddHosts
echo 127.0.0.1 http://www.3721.net/ >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 3721.com >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 3721.net >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 cnsmin.3721.com >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 cnsmin.3721.net >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 download.3721.com >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 download.3721.net >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 www.3721.com >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 www.3721.net >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 bar.baidu.com >> %windir%\system32\drivers\etc\hosts
: _SkipAddHosts
exit
六、系统常用命令:
winver------------------------------------------------------查看系统版本
gpedit.msc--------------------------------------------------组策略
secpol.msc--------------------------------------------------本地安全策略
diskmgmt.msc------------------------------------------------磁盘管理
compmgmt.msc------------------------------------------------计算机管理
lusrmgr.msc-------------------------------------------------本地用户和组
services.msc------------------------------------------------系统服务
devmgmt.msc-------------------------------------------------设备管理
dfrg.exe----------------------------------------------------磁盘碎片整理
control-----------------------------------------------------控制面板
appwiz.cpl--------------------------------------------------添加删除程序
ncpa.cpl----------------------------------------------------网络连接属性
msinfo32----------------------------------------------------系统信息
mstsc /console----------------------------------------------远程桌面连接
chkdsk /R---------------------------------------------------磁盘检查
regsvr32 /u-------------------------------------------------反注册DLL文件
regedit.exe-------------------------------------------------系统注册表
sndvol32----------------------------------------------------音量控制
msconfig-----------------------------------------------------系统配置工具
dxdiag--------------------------------------------------------DX选项
drwtsn32------------------------------------------------------华生医生
netstat –an---------------------------------------------------端口查看
2007-01-25
|
|
/1 
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
显身卡
做网吧行业最后死去的一个论坛
