|
| |
| 个人电脑维护及系统安装 |
|
[ 2007-7-11 15:36:00 | By: zhys663 ] |
个人电脑维护及系统安装
清理篇
首先,安装防病毒软件。网络在给你带来方便的同时,也在带给你危害。当你下载新软件,新驱动或补丁程序,甚至下载信件时,病毒也悄悄地在你电脑的某个角落里潜伏下来,让你的系统不是运行得越来越慢,就是经常莫名其妙死机,更为严重的是,CIH病毒能够侵入主板的BIOS,引发电脑出现各种不正常现象,所以防病毒软件是电脑系统不可缺少的重要工具。目前世界上较为流行的防病毒软件有Dr Sdomon的Anti-Virus、McAfee的VirusScan,和Symantic的Norton Antivirus,这几个软件工作原理都是相同的,就是在系统启动后或接到命令后扫描整个硬盘或部份硬盘,发现病毒即刻清除。它们还能在你上网时,进行自动更新,这点非常重要,因为病毒总是在不断推陈出新,杀毒软件若不及时更新,还怎么保护电脑呢?
其次,清理磁盘碎片。硬盘使用一段时间后,可储存的空间在物理上已变得不连续。当安装应用程序,或保存大型文件时,数据通常是被分成许多碎片,存入硬盘不连续的区域中。硬盘中的碎片越来越多,文件也就分布得越来越散乱。那么当你再运行某个程序,打开某个文件时,会发现机器慢得令人难以忍受。所以,要对机器进行定期的磁盘碎片清理,也就是把那些文件碎片重新按顺序在磁盘空间上连续排列,每次清理后,你都会发现运行大型应用程序,打开大型图片或文件的速度快多了。Win9x自带了“Disk Defregment'磁片碎片整理程序,在“开始/程序/附件/系统工具”下你可以找到该项。它工作得不错,只是速度太慢,Norton套装软件中的Speed Disk,也是个不错的磁盘碎片整理程序,它不仅速度快(整理1GB的硬盘只需Disk Defagment的一半时间),而且它能把你经常需要用到的文件放在磁盘的前端(速度可大大提升),并将那些频繁变化的文件放到硬盘后面较空的位置上,以减少碎片的产生。
第三步,清除多余文件。每当硬盘空间告急时,你总是要删除一些不需要的程序或文件。当你按下了“Shifi+Delete'时,可别以为它们已消失得干干净净了,其实还有一些相关的连接文件和已无用的注册表键还存留在硬盘中。你需要使用反安装软件才能彻底地清除那些不想要的程序和文件。在众多反安装程序中,Cyber Media的Uninstaller和Quarterdeck的CleanSweep是佼佼者。这两个软件易于使用,速度快,删除彻底。它们能够检查并记住应用程序在磁盘中存放的位置,以及相关的连接文件、复本文件,当文件不再使用时,你可以选择删除部分或全部文件,也可以让删除整个程序,或是将应用程序完整地移入其它系统。当你升级电脑时,这项功能就非常有用了。
检查篇
在清理了驱动器后,下一步就是检查。通过定期扫描硬盘,不断升级软件,经常查看电脑状态,就可以防患于未然。具体做法如下:
第一,让硬盘保持良好的状态。硬盘虽然不是电脑的心脏,但如果有所损坏,给你造成的损失也是难以计算的。特别是硬盘上的BOOT区,稍有损坏,系统就可能瘫痪。因而,硬盘的日常维护是不可缺少的,这些维护主要使用磁盘扫描工具软件来进行。磁盘扫描工具能扫描磁盘的物理表面,检查文件系统的目录结构,并对硬盘的可@@性进行测试。通常,如果是非正常关机,硬盘上的文件最有可能出现交叉连接或簇丢失。此时若不修复,Windows将变得不稳定,程序执行也会出错。
第二,要不断更新软件。时常升级软件版本是很有必要的,一般来说,软件升级可以修复旧版本的BUG,还可以降低应用程序或操作系统的出错率。升级硬件的驱动程序则可充分地发挥硬件的性能,使之与操作系统更好地沟通。通过厂商的网站,一般都可以及时获得最新的升级补丁或驱动程序。此外,一些有名的个人主页也提供软件和驱动程序下载。如果经常升级软件,可以使用专门的自动升级工具,如CyberMedia公司的Oil Change,它能检查整个硬盘,记录下应用程序的版本号(但不能做到百分百的准确),然后与服务器上的数据库进行比较,并判断和自动下载更新程序。Oil Change在它的数据库中记录了超过1,000个软件的版本变化和大量硬件厂商的产品变更状况,如Adobe、Diamond、HP和Microsoft等。另外一些软件,如Catch-Up(www.manageable.com)、Versions (www.versions.com)也提供了与Oil Change类似的功能。
第三,深入了解PC的内部结构。在开始菜单中选择“设置/控制面板/系统”,打开“设备管理”选项卡。在这儿,你可以查看到各部分硬件的详细资料。比如,你要查看MODEM的情况,如果在MODEM的前面没有问号,表示该设备情况正常,在它上面双击会显示更详细的信息,包括配置是否恰当。配置设备或消除设备冲突的简单办法是,用Win 9x的硬件冲突诊断器来完成。此外,也可使用专门的软件来解决硬件上的问题,如CyberMedia的First Aid 97,就是一个相当不错的硬件冲突解决软件,它还能提高Windows的运行速度和质量,将不稳定的程序加以冻结,以防止整个系统崩溃。
第四,提高上网速度。上网速度慢,并不是电脑本身的原因,主要是网上人多路窄,除非选用更快的MODEM或ISDN等高速一些的连接方式。如果连接方式上无法有变动,通过对系统优化,还是可以有限地改善上网速度的。VitalSigns Software公司的Net.Medic就是一个改善上网性能的专用软件,它能诊断网络连接、服务器、MODEM等与网络相关设备的所有状态,将网络设备的速度潜力充分发挥出来.
恢复篇
即使你有最全面的防御计划,但还是会有自己所料不及的事情发生。当电脑或软件出现故障时,你的第一反应可能就是去抓电话。毕竟,你在购买电脑或软件时,商家做出的技术支持许诺,是你心动的原因之一。现在,应该把电话技术支持做为你走投无路时才会想起的办法,而不是第一反应,请看原因:
1、电话举到你手发软,也不见有人来理你。即使有回复,但等待修理的时间长得让你快要发疯。
2、没有免费的午餐。免费技术支持已经成了濒危动物,尤其在软件行业。比如在美国,Symantec只提供90天的免费技术支持,超过90天,你就要掏腰包了。
3、服务质量不尽人意。如果你经常用打电话的方式向软件或硬件厂商寻求技术支持,你就知道他们的服务质量有多大的不同。电脑的复杂性、无法解释的软件故障、硬件无止境地更新换代是最常见的借口。事实上,电话技术支持常常不能帮你解决问题。
那么你的第一反应应是什么?是上网。在网上你可以找到无数的帮助信息,而且它们大多是免费的。但网海浩瀚,怎么才能尽快找到自己想要的信息呢?
首先,寻找技术支持站点。通常那些软件、硬件厂商都会在网上建立以公司名称命名的主页,哪部分出现了问题,对号入座就行了。不过,你在这些主页上找有用的技术支持是不易的,你不得不一个个链接地向下“挖掘”,才能有所收获。这里向大家推荐一个名为“HealthyPC.com''www.healthypc.com)的网站,它提供了按字母顺序排列的大量的硬件公司和软件公司的链接。在一个公司上单击一下,你会看到该公司的电话号码,再击一下,就连接上了该公司的在线技术支持。所以把你有可能用到的技术支持站点记入书签,绝对是个好主意,你不妨在硬盘上建立一个名为“技术支持”的文件夹,一旦需要,你就可以不慌不忙了。
其次,查询FAQ。在技术支持页面上,应先查询有关FAQ的链接或文件。FAQ的内容全部是用户的问题与厂商的回答,或是厂商认为可能会出现的一些问题及解决方法。因为你目前遇到的问题或受到的挫折,或许早已是别人的经验了,所以在打开其它链接之前,先查查FAQ是很有可能最先帮你找到答案的。而且某些软件和硬件的制造商都提供了搜索引擎,这样你就能过滤出关于某个问题的FAQ。
第三,挖掘技术支持数据库。在某些网站上,FAQ仅提供少量的技术支持。真正的技术支持隐藏在相关的数据库中。这些数据库支持关键词搜索,在你输入要查寻的短语后,可获得大量的相关结果。在计算机界,最有名的技术支持数据库是微软公司的知识库 (www.microsoft.com/kb),它不仅为大量的软件产品提供技术援助,还提供了一流的搜索工具,你既可以按产品进行搜索,也能按关键词查询,或是直接浏览整个目录。这个数据库的解答质量,你尽管放心,可以用周到、详尽、准确来形容。一般来说,任何有关Windows及微软应用软件产品的疑问都可在这里找到答案。
第四,养成下载软件的好习惯。即使你使用了Oil Change这样的在线自动升级工具,也不一定能及时获得相关软件的升级程序补丁。如果你已发现出问题的是某个应用软件或是硬件设备,就应及时到生产商的网站下载最新的驱动程序或是补丁程序。一般来说,这些程序都保存在FTP服务器上,但也支持浏览器方式下载。不过,要记住,如果从网上下载软件,WinZip是必不可少的工具,因为网上的文件都以压缩方式保存。
第五,发信求助。许多厂商的网站都能通过电子邮件提供技术支持或是技术支持的网上链接。当厂商的电话技术支持只在有限的时间内提供时,用电子邮件来寻求帮助就灵活得多。一些有名的在线技术支持站点会提供标准的技术支持表格让用户填写,如问题的细节、症状、软件版本号、计算机型号和使用的操作系统等。
第六,通过新闻组向网友求助。当你想找某个具体的人帮助你,而又嫌面对面打交道太花时间和精力时,不妨利用新闻组。在新闻组上,你首先可以旁观者的身份查看有没有可以回答你问题的相关信息,也可以将你的问题直接发布到网上。互联网上有几千个新闻组,与计算相关的则有数百个之多,将你的问题发布到最吻合的新闻组上,收效最好。比如,关于Windows及字处理软件的问题,在“comp.os.ms-windows.win95.moderated''和“microsoft.public.word.applicatis''一般都能获得满意的解答。利用新闻组途径求助,虽然帮助你的人毫不相识,却能倾其所知无私地帮助你。不过,这种方式的响应较慢,通常要几天时间后,才会得到答案。
DLL后门清除完全篇
前言
后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的“大力支持”,使传统的后门无法在隐藏自己,任何稍微有点计算机知识的人,都知道“查端口”“看进程”,以便发现一些“蛛丝马迹”。所以,后门的编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动,这样就不会有进程,不开端口等特点,也就实现了进程、端口的隐藏。本文以“DLL的原理”“DLL的清除”“DLL的防范”为主题,并展开论述,旨在能让大家对DLL后门“快速上手”,不在恐惧DLL后门。好了,进入我们的主题。
一,DLL的原理
1,动态链接程序库
动态链接程序库,全称:Dynamic Link Library,简称:DLL,作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件,需要跟其进行“动态链接”;从编程的角度,应用程序需要知道DLL文件导出的API函数方可调用。由此可见,DLL文件本身并不可以运行,需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中,这就说明了:DLL文件无法删除。这是由于Windows内部机制造成的:正在运行的程序不能关闭。所以,DLL后门由此而生!
2,DLL后门原理及特点
把一个实现了后门功能的代码写成一个DLL文件,然后插入到一个EXE文件当中,使其可以执行,这样就不需要占用进程,也就没有相对应的PID号,也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大,但必须使用程序(EXE)调用才能执行DLL文件。DLL文件的执行,需要EXE文件加载,但EXE想要加载DLL文件,需要知道一个DLL文件的入口函数(既DLL文件的导出函数),所以,根据DLL文件的编写标准:EXE必须执行DLL文件中的DLLMain()作为加载的条件(如同EXE的mian())。做DLL后门基本分为两种:1)把所有功能都在DLL文件中实现;2)把DLL做成一个启动文件,在需要的时候启动一个普通的EXE后门。
常见的编写方法:
(1),只有一个DLL文件
这类后门很简单,只把自己做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。Rundll32.exe是什么?顾名思意,“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。
现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件,他的意思是“执行16位的DLL文件”,这里要注意一下。在来看看Rundll32.exe使用的函数原型:
Void CALLBACK Name (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
其命令行下的使用方法为:Rundll32.exe DLLname,name [Arguments]
DLLname为需要执行的DLL文件名;name为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。
(2),替换系统中的DLL文件
这类后门就比上边的先进了一些,它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时, DLL后门就启一个转发的作用,把“参数”传递给原来的DLL文件;如果遇到特殊的请求时(比如客户端),DLL后门就开始,启动并运行了。对于这类后门,把所有操作都在DLL文件中实现最为安全,但需要的编程知识也非常多,也非常不容易编写。所以,这类后门一般都是把DLL文件做成一个“启动”文件,在遇到特殊的情况下(比如客户端的请求),就启动一个普通的EXE后门;在客户端结束连接之后,把EXE后门停止,然后DLL文件进入“休息”状态,在下次客户端连接之前,都不会启动。但随着微软的“数字签名”和“文件恢复”的功能出台,这种后门已经逐步衰落。
提示:
在WINNTsystem32目录下,有一个dllcache文件夹,里边存放着众多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修改之后,系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件,首先应该把dllcache目录下的同名DLL文件删除或更名,否则系统会自动恢复。
(3),动态嵌入式
这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:“挂接API”“全局钩子(HOOK)”“远程线程”等。
远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体(或Rundll32.exe)在那个被插入的进程里创建了远程线程,并命令它执行某个DLL文件时,我们的DLL后门就挂上去执行了,这里不会产生新的进程,要想让DLL后门停止,只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接,那就不能终止了,如果你终止了系统进程,那Windows也随即被终止!!!
3,DLL后门的启动特性
启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那我们的DLL后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe,即使停止了Rundll32.exe,DLL后门的主体还是存在的。3721网络实名就是一个例子,虽然它并不是“真正”的后门。
二,DLL的清除
本节以三款比较有名的DLL后门例,分别为“SvchostDLL.dll”“BITS.dll”“QoServer.dll”。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后,能够举一反三,灵活运用,在不惧怕DLL后门。其实,手工清除DLL后门还是比较简单的,无非就是在注册表中做文章。具体怎么做,请看下文。
1,PortLess BackDoor
这是一款功能非常强大的DLL后门程序,除了可以获得Local System权限的Shell之外,还支持如“检测克隆帐户”“安装终端服务”等一系列功能(具体可以参见程序帮助),适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动,平常不开端口,可以进行反向连接(最大的特点哦),对于有防火墙的主机来说,这个功能在好不过了。
在介绍清除方法之前,我们先来简单的介绍一下svchost.exe这个系统的关键服务:
Svchost只是做为服务的宿主,本身并不实现什么功能,如果需要使用Svchost来启动服务,则某个服务是以DLL形式实现的,该DLL的载体Loader指向svchost,所以,在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的,在需要启动服务的下边都有一个Parameters子键,其中的ServiceDll表明该服务由哪个DLL文件负责,并且这个DLL文件必须导出一个ServiceMain()函数,为处理服务任务提供支持。
呵呵!看了上边的理论,是不是有点蒙(我都快睡着了),别着急,我们来看看具体的内容(如图1)。从图1中,我们可以看到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs下的Parameters子键,其键值为%SystemRoot%system32rpcss.dll。这就说明:启动RpcSs服务时。Svchost调用WINNTsystem32目录下的rpcss.dll。
在来看看图2,这是注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost,里边存放着Svchost启动的组和组内的各个服务,其中netsvcs组的服务最多。要使用Svchost启动某个服务,则该服务名就会出现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下。这里有四种方法来实现:
1, 添加一个新的组,在组里添加服务名
2, 在现有组里添加服务名
3, 直接使用现有组里的一个服务名,但是本机没有安装的服务
4, 修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门
我测试的PortLess BackDoor使用的第三种方法。
好了,我想大家看完了上边的原理,一定可以想到我们清除PortLess BackDoor的方法了,对,就是在注册表的Svchost键下做文章。好,我们现在开始。
注:由于本文只是介绍清除方法,使用方法在此略过。
后门的Loader把SvchostDLL.dll插入Svchost进程当中,所以,我们先打开Windows优化大师中的Windows进程管理2.5,查看Svchost进程中的模块信息(如图3),从图3中我们可以看到,SvchostDLL.dll已经插入到Svchost进程中了,在根据“直接使用现有组里的一个服务名,但是本机没有安装的服务”的提示,我们可以断定,在“管理工具”—“服务”中会有一项新的服务。图4证明了我的说法,此服务名称为:IPRIP,由Svchost启动,-k netsvcs表示此服务包含在netsvcs服务组中。
我们把该服务停掉,然后打开注册表编辑器(开始—运行--regedit),来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPRIP下,查看其Parameters子键(如图5)。Program键的键值SvcHostDLL.exe为后门的Loader;ServiceDll的键值C:WINNTsystem32svchostdll.dll为调用的DLL文件,这正是后门的DLL文件。现在我们删除IPRIP子键(或者用SC来删除),然后在来到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下,编辑netsvcs服务组,把49 00 70 00 72 00 69 00 70 00 00 00删除,这里对应的就是IPRIP的服务名,具体如图6所示。然后退出,重启。重启之后删除WINNTsystem32目录下的后门文件即可。
2,BITS.dll
这是榕哥的作品,也是DLL后门,和SvchostDLL.dll原理基本一样,不过这里使用的是上边介绍的第四种方法,即“修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门”。换句话说,该后门修改现有的某一个服务,把其原有服务的DLL指向自己(也就是BITS.dll),这样就达到了自动加载的目的;其次,该后门没有自己的Loader,而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看,从图7中,我们可以看到bits.dll已经插入到Svchost进程当中。
好,现在我们来看看具体的清除方法,由于该后门是修改现有服务,而我们并不知道具体是修改了哪个服务,所以,在注册表中搜索bits.dll,最后在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAuto下搜索到了bits.dll,查看Parameters子键下的ServiceDll,其键值为C:WINNTsystem32bits.dll(如图8)。原来,该后门把RasAuto服务原来的DLL文件替换为bits.dll了,这样来实现自动加载。知道了原因就好办了,现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件,即%SystemRoot%System32rasauto.dll,退出,重启。之后删除WINNTsystem32目录下的bits.dll即可。
3,NOIR--QUEEN
NOIR--QUEEN(守护者)是一个DLL后门&木马程序,服务端以DLL文件的形式插入到系统的Lsass.exe进程里,由于Lsass.exe是系统的关键进程,所以不能终止。在来介绍清除方法之前,我先介绍一下Lsass.exe进程:
这是一个本地的安全授权服务,并且它会为使用Winlogon服务的授权用户生成一个进程,如果授权是成功的,Lsass就会产生用户的进入令牌,令牌使用启动初始 的Shell。其他的由用户初始化的进程会继承这个令牌。
从上边的介绍我们就可以看出Lsass对系统的重要性,那具体怎么清除呢?请看下文。
后门在安装成功后,会在服务中添加一个名为QoSserver的服务,并把QoSserver.dll后门文件插入到Lsass进程当中,使其可以隐藏进程并自动启动(如图9)。现在我们打开注册表,来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesQoSserver,直接删除QoSserver键,然后重启。重启之后,我们在来到服务列表中,会看到QoSserver服务还在,但没有启动,类别是自动,我们把他修改为“已禁用”;然后往上看,会发现一个服务名为AppCPI的服务,其可执行程序指向QoSserver.exe(原因后边我会说到),具体如图11所示。我们再次打开注册表,来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAppCPI,删除AppCPI键,重启,再删除QoSserver,最后删除WINNTsystem32目录下的后门文件。
本人和这个后门“搏斗”了3个多小时,重启N次。原因在于即使删除了QoSserver服务,后门还是在运行,而且服务列表中的QoSserver服务又“死灰复燃”。后来才知道原因:在我删除了QoSserver服务并重启之后,插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务,并且生成了另外一个服务,即AppCPI,所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出,现在的后门的保护措施,真是一环扣环。
注意:在删除QoSserver服务并重启之后,恢复的QoSserver的启动类别要修改为“已禁用”,否则即便删除了AppCPI服务,QoSserver服务又运行了。
三,DLL的防范
看了上边的例子,我想大家对清除DLL后门的方法有了一定的了解,但在现实中,DLL后门并不会使用默认的文件名,所以你也就不能肯定是否中了DLL后门。对于DLL后门,system32目录下是个好地方,大多数后门也是如此,所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门,希望对大家有所帮助。
1,安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开CMD,来到WINNTsystem32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
2,使用内存/模块工具来查看进程调用的DLL文件,比如Windows优化大师中的Windows 进程管理 2.5。这样,可以发现进程到底调用了什么DLL文件,在结合上边用FC命令比较出来的结果,又能进一步来确定是否中了DLL后门。如果没有优化大师,可以使用TaskList,这个小工具也可以显示进程调用的DLL文件,而且还有源代码,方便修改。
3,普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的端口心中有数,并对netstat –an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4,定期检查系统自动加载的地方,比如:注册表,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是对服务进行管理,对系统默认的服务要有所了解,在发现有问题的服务时,可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader,如果我们把DLL后门Loader删除了,试问?DLL后门还怎么运行?!
通过使用上边的方法,我想大多数DLL后门都可以“现形”,如果我们平时多做一些备份,那对查找DLL后门会启到事半功倍的效果。
计算机的日常维护
环境对计算机寿命影响是不可忽视的。计算机理想的工作温度应在10℃-35℃,太高或太低都会影响配件的寿命,相对湿度应为30%-80%,太高会影响配件的性能发挥,甚至引起一些配件的短路。例如天气较为潮湿时,最好每天都使用计算机或使计算机通电一段时间。有人认为使用计算机的次数少或使用的时间短,就能延长计算机寿命,这是片面的观点。相反,计算机长时间不用,由于潮湿或灰尘的原因,会引起配件的损坏。当然,如果天气潮湿到了极点,比如显示器或机箱表面有水汽,这时是绝对不能给机器通电的。湿度太低易产生静电,同样对配件的使用不利。另外,空气中灰尘含量对计算机影响也较大。灰尘大,天长日久就会腐蚀各配件的电路板。所以,要经常对计算机进行除尘。
计算机对电源也有要求。交流电正常的范围应在220V±10%,频率范围是50Hz±5%,并且具有良好的接地系统。有可能的话,应使用UPS来保护计算机,使得计算机在市电中断时能继续运行一段时间。
计算机的日常维护(使用习惯)
个人使用习惯对计算机的影响也很大,首先是要正常开关机,开机的顺序是,先打开外设(如打印机,扫描仪等)的电源,显示器电源不与主机电源相连的,还要先打开显示器电源,然后再开主机电源。关机顺序相反,先关闭主机电源,再关闭外设电源。其道理是,尽量地减少对主机的损害,因为在主机通电的情况下,关闭外设的瞬间,对主机产生的冲击较大。关机后一段时间内,不能频繁地做开机关机的动作,因为这样对各配件的冲击很大,尤其是对硬盘的损伤更加严重。一般关机后距离下一次开机的时间,至少应有10秒钟。特别要注意当计算机工作时,应避免进行关机操作。如机器正在读写数据时突然关机,很可能会损坏驱动器(硬盘、软驱等);更不能在机器工作时搬动机器。当然,即使机器未工作时,也应尽量避免搬动机器,因为过大的振动会对硬盘一类的配件造成损坏。另外,关机时必须先关闭所有的程序,再按正常的顺序退出,否则有可能损坏应用程序。
计算机的日常维护(硬件故障)
安装好一台计算机后,难免会出现这样或那样的故障,这些故障可能是硬件的故障,也可是软件的故障。一般情况下,刚刚安装的机器出现硬件故障的可能性较大,机器运行一段时间后,其故障率相对降低。对于硬件故障,我们只要了解各种配件的特性及常见故障的发生,就能逐个排除各个故障。
1. 接触不良的故障
接触不良一般反映在各种插卡、内存、CPU等与主板的接触不良,或电源线、数据线、音频线等的连接不良。其中各种适配卡、内存与主板接触不良的现像较?常见,通常只要更换相应的插槽位置或用沙擦胶擦一擦金手指,就可排除故障。
2.未正确设置参数
CMOS参数的设置主要有硬盘、软驱、内存的类型,以及口令、机器启动顺序、病毒警告开关等等。由于参数没有设置或没有正确设置,系统都会提示出错。如病毒警告开关打开,则有可能无法成功安装其它软件。
3.硬件本身故障
硬件出现故障,除了本身的质量问题外,也可能是负荷太大或其它原因引起的,如电源的功率不足或CPU超频使用等,都有可能引起机器的故障。
计算机的日常维护(硬件故障)
安装好一台计算机后,难免会出现这样或那样的故障,这些故障可能是硬件的故障,也可是软件的故障。一般情况下,刚刚安装的机器出现硬件故障的可能性较大,机器运行一段时间后,其故障率相对降低。对于硬件故障,我们只要了解各种配件的特性及常见故障的发生,就能逐个排除各个故障。
1. 接触不良的故障
接触不良一般反映在各种插卡、内存、CPU等与主板的接触不良,或电源线、数据线、音频线等的连接不良。其中各种适配卡、内存与主板接触不良的现像较?常见,通常只要更换相应的插槽位置或用沙擦胶擦一擦金手指,就可排除故障。
2.未正确设置参数
CMOS参数的设置主要有硬盘、软驱、内存的类型,以及口令、机器启动顺序、病毒警告开关等等。由于参数没有设置或没有正确设置,系统都会提示出错。如病毒警告开关打开,则有可能无法成功安装其它软件。
3.硬件本身故障
硬件出现故障,除了本身的质量问题外,也可能是负荷太大或其它原因引起的,如电源的功率不足或CPU超频使用等,都有可能引起机器的故障。
计算机的日常维护(硬件故障)
安装好一台计算机后,难免会出现这样或那样的故障,这些故障可能是硬件的故障,也可是软件的故障。一般情况下,刚刚安装的机器出现硬件故障的可能性较大,机器运行一段时间后,其故障率相对降低。对于硬件故障,我们只要了解各种配件的特性及常见故障的发生,就能逐个排除各个故障。
1. 接触不良的故障
接触不良一般反映在各种插卡、内存、CPU等与主板的接触不良,或电源线、数据线、音频线等的连接不良。其中各种适配卡、内存与主板接触不良的现像较?常见,通常只要更换相应的插槽位置或用沙擦胶擦一擦金手指,就可排除故障。
2.未正确设置参数
CMOS参数的设置主要有硬盘、软驱、内存的类型,以及口令、机器启动顺序、病毒警告开关等等。由于参数没有设置或没有正确设置,系统都会提示出错。如病毒警告开关打开,则有可能无法成功安装其它软件。
3.硬件本身故障
硬件出现故障,除了本身的质量问题外,也可能是负荷太大或其它原因引起的,如电源的功率不足或CPU超频使用等,都有可能引起机器的故障。
计算机的日常维护(软件故障)
软件故障通常是由硬件驱动程序安装不当或是病毒破坏引起的。
如未安置驱动程序或驱动程序之间产生冲突,则在Windows 95/98下的资源管理中可以发现一些标记,其中“?”表示未知设备,通常是设备没有正确安装,“!”表示设备间有冲突,“×”表示所安装的设备驱动程序不正确。
病毒对计算机的危害是众所周知的,轻则影响机器速度,重则破坏文件或造成死机。为方便随时对计算机进行保养和维护,必须准备工具如干净的DOS开机碟或Windows98开机碟,以及杀毒软件和磁盘工具软件等,以应付系统感染病毒或硬盘不能启动等情况。此外还应准备各种配件的驱动程序,如光驱、声卡、显示卡、MODEM等。软驱和光驱的清洗盘及其清洗液等也应常备。
计算机死机预防20招
1.硬拔硬设备时要小心操作,以防止板卡接触不良。有些朋友特别是DIY迷们频繁地插拔板卡,这样做最容易导致卡件与插槽接触不良而产生死机现象。
2.CPU最好不要超频过高,否则在启动或运行时会莫名其妙地死机。
3.在更换CPU后一定要插好。有些启动时的死机就是因为CPU没有插好。
4.BIOS设置要恰当。虽然提倡BIOS最优设置,但所谓最优是相对的,有时最优的设置反倒会引起启动或得运行死机。
5.最好配备稳压电源或UPS,以免电压不稳引起死机。
6.少用来历不明的档案,不要轻易解压、运行E-mail中的附件,以免传染病毒。例如,最近很流行的“爱虫”(I Love You)病毒就是通过这种途径传播的。
7.在应用软件未正常结速时,请勿关机,否则可能会造成系统文件的损坏而导致死机。对于Windows95/98/NT等系统来说,这点非常重要。
8.在安装应用软件出现是否覆盖文件的提示时,最好不要覆盖。通常系统文件是最稳定的,不能根据时间的先后来决定覆盖文件。
9.在清除文件时,不能确定时不要删除共享文档。某些共享文档可能被系统或者其它程序使用,一旦删除这些文件,会造成应用软件无法启动而死机,或者出现系统运行死机。
10.在设置设备时,最好检查有无保留中断号(IRQ),不要让其它设备使用该中断号。
11.在加载某些软件时,要注意先后次序。有些软件由于编程不规范,不能先运行,而应放在最后运行,这样才不会引起系统管理的混乱。
12.在运行大型应用软件时,最好不要在退出以前运行很多别的程序,否则有可能会引起Windows98系统的崩溃。
13.如果你的内存较小(如8MB、16MB),最好不要运行占用内存较大的应用程序,否则在运行时极易出现死机。建议在运行这些程序时应及时保存当前正在使用的文档。
14.对于系统文件,最好使用隐藏、只读属性,这样才不致于因误操作而删除或者覆盖这些文件。
15.修改硬盘主引导记录时最好先保存原来的记录,这样不致因修改失败而无法恢复原来的硬盘主引导记录。
16.最好少用软件的测试版,有些测试版由于本身的BUG,使用后会导致系统的崩溃。
17.在Windows95/98中尽量不要运行DOS或Windows3.x应用程序,因为有的应用程序在Windows95中运行时会修改系统文件而使系统无法启动。
18.在升级BIOS之前,应确定所升级的BIOS版本,同时应先保存原先的版本,以免升级错误而使系统无法?动。
19.尽量不要使用盗版的软件,因这这些软件里有可能隐藏着杀机。
20.最后一招是救急术——超紧去找个高手来吧!他会搞定一切的!
夏日雨季电脑保养法
电脑也容易在雨季和大热天“生病”:调查发现,夏季电脑的故障率会增加30%。
电脑里有许多对湿气敏感的电子零部件。如果不使用电脑达1周以上,就很有可能因湿气产生故障。所以最好是每天开机5分钟,以适当的热量驱散湿气。
而且在夏季,最好是在电脑机箱内放入些小型干燥剂。另外,电脑应放在易通风的地方。电脑和墙壁距离过近,会妨碍散热,所以电脑与墙面距离至少要达30cm以上。电脑离空调过近也不妥当,因为内部和外部的温差过大,电脑内部就会产生水珠。
打雷时,高压电流有可能通过电话线或电线进入室内影响电脑。尤其,调制解调器是不抗雷击的产品。通过调制解调器进来的高压电流损坏电脑的事件也时有发生。打雷天最好是将调制解调器和电话线分开。
如果发生因暴雨致使电脑浸水的事件,应将电脑拆卸后将零部件慢慢风干。磁盘对湿气、灰尘、热气也很敏感,将磁盘放在保管盒内以防湿防尘。
关于电脑的清洁
一个皮鞋在鞋匠的精心保养下能穿N年,是皮鞋质量好还是鞋匠保养的好? 我们能肯定的是再好质量的鞋没有好的保养是不行的,今天就来谈谈电脑清洁.
在清洁电脑之前首先当然必须关闭电源,在打开电源的情况下清洁电脑是相当危险的事情,而且有可能导致硬件损坏。
我们先来看看清洁电脑需要准备哪些工具,这里列出来的工具并不全面
1.一块棉质软抹布 2.玻璃或电视清洁剂 3.酒精 4.棉花棒 5.螺丝起子 6.洗耳球
如果论坛的朋友没有上面这些工具,也可以找到作用类似的工具来代替.
显示器清洁:
一是清洁显示器的屏幕,一是清洁显示器的外壳。清洁显示器屏幕的时候可以采用一些用于清洁玻璃或电视的清洁剂。先将清洁剂倒一部分在干净的软抹布上,抹布有些湿润就可以了,注意不要倒太多,以免清洁剂滴到显示器里面。接着用这款软抹布轻轻擦拭显示器的屏幕就可以达到清洁的目的。通常这样的专用清洁剂都可以达到很理想的清洁效果.
很多显示器的都是乳白色的,长时间使用后不仅会积累一些灰尘.如果使用的是CRT显示器,由于工作时会散热一些热量,所以显示器的后面的外壳上有不少散热孔。这些散热孔通常会积累做多的灰尘,是清洁的重点部位。先将抹布浸湿,然后拧干到不再滴才用它擦拭显示器的外壳。拧干是尤其重要的步骤,千万不要让水从散热孔滴到显示器的内部。擦拭完外壳之后,再用洗耳球来清洁散热孔沾染的灰尘。清洁显示器的时候千万不要打开显示器的外壳,CRT显示器内阴极射线枪的电压非常高,擅自拆开是相当危险的。清洁显示器的时候必须关闭电源,最好是将插头也拔下来,以免清洁过程中误碰到开关.LCD显示器的清洁过程与CRT显示器类似,不过由于体积较小,而且没有太多的散热孔,清洁起来要方便一些.
光驱清洁:
光驱的清洁主要包括两个部分——托盘和激光头。使用时间较长的光驱通常托盘上都会积累一些灰尘,这时可以将光驱拖盘弹出来,然后用酒精或清洁剂擦拭托盘,等托盘完全晾干之后,再让托盘缩回光驱.如果你的光驱读盘有些困难的话,则很有可能是激光头较脏造成的。这时就需要购买专门的CD机或DVD机用的激光头清洗设备,然后拆开光驱,按说明书上的方法清洁光头。
机箱/板卡清洁:
机箱的清洁比较简单,主要是使用洗耳球将机箱内部、主板、显卡等设备上的灰尘吹走,如果灰尘较多的话,笔者建议将机箱内的板卡全部拆下来清洁,这样效果更好。机箱外壳使用湿抹布清洁就可以了,但注意抹布尽量拧干,不要让水流到机箱内。
主板上有较多的接口,这些地方很容易沾染灰尘,尤其是一些空置的接口,例如主板上未使用的PCI接口或内存插槽。将来在已进入灰尘的插槽中安装板卡,很容易导致系统不稳定。推荐使用洗耳球将插槽内的灰尘吹出来,而不要使用棉花棒或者其它牙签等来清洁。使用棉花棒或者牙签很可能导致插槽里面积累更多杂物。在清洁插槽的同时,最好也同时清洁板卡的金手指部分。笔者建议使用干净柔软的抹布或者是橡皮擦擦拭板卡的金手指接口部分。这样不仅可以保证板卡更稳定的工作、消除隐患,还可以保护金手指,延长板卡寿命.板卡风扇和电源风扇也是最需要清洁的地方之一,尤其是电源风扇。不少机箱的设计都将电源作为出风口,这会导致大量灰尘积累在电源风扇上。在不拆开电源的情况下,可以使用洗耳球吹掉风扇上的灰尘。
显卡风扇和处理器风扇上通常也会积累不少灰尘。用户可以直接将风扇拆卸下来清洁。不少风扇在使用时间较长后常常会发出一些噪音,大多数情况下是因为轴承老化,一般在风扇的轴承里面上一点油就可以降低风扇的噪音。
清洁电脑的好处是显而易见的,不仅可以保证电脑的稳定运行,还可以降低电脑的噪音,加快热量的散发。电脑并不需要经常清洁,平时只需要注意显示器和机箱的清洁,三个月左右清洁一次鼠标(机械鼠标需要更频繁的清洁),机箱内部大约一年左右清洁一次就足够了。
对电脑产品进行清洁的建议
有些电脑故障,往往是由于机器内灰尘较多引起的,这就要求我们在维修过程中,注意观察故障机内、外部是否有较多的灰尘,如果是,应该先进行除尘,再进行后续的判断维修。在进行除尘xx作中,以下几个方面要特别注意:
1、 注意风道的清洁
2、 注意风扇的清洁
风扇的清洁过程中,最好在清除其灰尘后,能在风扇轴处,点一点儿钟表油,加强润滑。
3、 注意接插头、座、槽、板卡金手指部分的清洁
金手指的清洁,可以用橡皮擦拭金手指部分,或用酒精棉擦拭也可以。
插头、座、槽的金属引脚上的氧化现象的去除: 一是用酒精擦拭,一是用金属片(如小一字改锥)在金属引脚上轻轻刮擦。
4、 注意大规模集成电路、元器件等引脚处的清洁
清洁时,应用小毛刷或吸尘器等除掉灰尘,同时要观察引脚有无虚焊和潮湿的现象,元器件是否有变形、变色或漏液现象。
5、 注意使用的清洁工具
清洁用的工具,首先是防静电的。如清洁用的小毛刷,应使用天然材料制成的毛刷,禁用塑料毛刷。其次是如使用金属工具进行清洁时,必须切断电源,且对金属工具进行泄放静电的处理。
用于清洁的工具包括:小毛刷、皮老虎、吸尘器、抹布、酒精(不可用来擦拭机箱、显示器等的塑料外壳)。
6、 对于比较潮湿的情况,应想办法使其干燥后再使用。可用的工具如电风扇、电吹风等,也可让其自然风干。
Ghost全面教程
前言:
电脑一方面带给用户极大的便利;另一方面,由于使用不当或不可预见的原因引起的操作系统瘫痪、数据丢失问题,也给用户带来很大的烦恼。有鉴于此,作为一名电脑用户,掌握备份与恢复的真功夫便显得尤为重要。ghost以功能强大、使用方便著称,成为硬盘备份和恢复类软件中的翘楚。
常与计算机打交道的朋友想必大都重装过x次系统吧,windows98自身的不稳定、各种软件硬件的故障、一些莫名其妙的问题,使得我等diy者更是常与"重装系统噩梦"结伴,时间的浪费姑且不去说,各种驱动程序和应用软件的寻找就不是一件容易事,况且经常性的重装系统对爱机的影响是破坏性的。现在好了,有了ghost(又名"克隆")软件,我们的烦恼就一扫而空,你再也不需要重装系统了。
ghost安装非常简单,只要将下ghost.exe复制到硬盘或软盘即可执行,注意由于操作需要鼠标,建议您最好将鼠标驱动程序夫子到和ghost.exe在一个目录下,这样方便使用(不使用鼠标请使用tab健)。
启动程序。(在dos下请先运行鼠标驱动程序,再运行ghost.exe)
画面操作说明
ghost复制、备份可分为硬盘(disk)和磁盘分区(partition)两种。
其中:
disk —表示硬盘功能选项
partition —表示磁盘分区功能选项
check —表示检查功能选项
磁碟功能分为三种:
硬盘功能分为三种:
1.disk to disk 硬盘复制
2.disk to image 硬盘备份
3.disk from image 备份还原
注意:
注意:若要使用硬盘功能,你必须有两个硬盘以上,才能实现硬盘功能;所有被还原的硬盘或磁碟,原有资料将完全丢失。(请慎重使用,把重要的文件或资料体腔备份以防不测)
1.disk to disk 硬盘复制
(1)先来选择源硬盘 source drive的位置;
(2)选择目的的硬盘 destination drive的位置;
鼠标移动可按tab键。
(3)在磁盘复制或备份时,可依据使用要求设定分区大小;
(4)选定后按“ok”,出现确认选择“yes”即开始执行复制。
2. disk to image 硬盘备份
(1) 选择来源硬盘source drive的位置;
(2) 选择备份档案储存的位置;
(3) 按“ok”后,出现确认选择“yes”即开始执行备份。
3. disk from image 备份还原
(1) 选择还原档案;
(2) 选择要还原的硬盘 destination drive;
(3) 在做硬盘还原(复制)进,可依据使用要求设定分区大小;
(4) 按“ok”后,出现确认选择“yes”即开始执行还原。
partition——磁盘分区功能选项
功能分为三种:
1、partition to partitiont
(复制分区)
2、partition to image
( 备份分区)
3、partition from image
(还原分区)
1、partition to partitiont (复制分区)
复制分区的方法很简单,手先选择来源区,再选择目地区,确定就可以了,与磁盘之间的复制方法基本一样。
2、partition to image (备份分区)
注意:若要使用备份分区功能,(如要备份c盘)必须有两个分区以上,要保证d盘有足够的空间存储档案备份。
(1)选择要备份的硬盘;
(2)选择要备份的硬盘分区,如c盘,这通常存放操作系统与应用程序;
(3)选择备份档案存放的路径与文件名(创建)。不能放在选择备份的分区;
(4)回车确定后,出现以下提示框,有三种选择;
1 、 no :备份时,基本不压缩资料(速度快,占用空间较大)
2 、 fast :一般少量压缩(速度一般,建议使用)
3 、 hight :最高比例压缩(可以压缩至最小,但备份/还原时间较长)
(5)确认,“yes”执行。
3、partition from image (还原分区)
(1)选择要还原的备份档案;
(2)选择要还原的硬盘;
(3)选择要还原的硬盘分区;
(4)选择“yes”执行。
check
此功能是检查磁碟或备份档案因fat、硬碟坏轨等是否会造成备份或还原失败。
ghost参数详细说明
示例
ghost.exe -clone,mode=copy,src=1,dst=2 -sure
硬盘对拷
ghost.exe -clone,mode=pcopy,src="/1:2",dst=2:1 -sure
将一号硬盘的第二个分区复制到二号硬盘的第一个分区
ghost.exe -clone,mode=pdump,src="/1:2",dst=g:\bac.gho
将一号硬盘的第二个分区做成映像文件放到g分区中
ghost.exe -clone,mode=pload,src="/g:"\bac.gh2,dst=1:2
从内部存有两个分区的映像文件中,把第二个分区还原到硬盘的第二个分区
ghost.exe -clone,mode=pload,src="/g:"\bac.gho,dst=1:1 -fx -sure -rb
用g盘的bac.gho文件还原c盘。完成后不显示任何信息,直接启动。
ghost.exe -clone,mode=load,src="/g:"\bac.gho,dst=2,sze1=60p,sze2=40p
将映像文件还原到第二个硬盘,并将分区大小比例修改成60:40
还原磁盘
首先做一个启动盘,包含config.sys,autoexec.bat,command.com,io.sys,ghost.exe文件(可以用windows做启动盘的程序完成)。
autoexec.bat可以包含以下命令:
ghost.exe -clone,mode=pload,src="/d:"\bac.gho,dst=1:1 -fx -sure -rb
利用在d盘的文件自动还原,结束以后自动跳出ghost并且重新启动。
开机自动做c区的备份,在d区生成备份文件bac.gho。
ghost.exe -clone,mode=pdump,src="/1:1",dst=d:\bac.gho -fx -sure -rb
还原光盘
包含文件:config.sys,autoexec.bat,mscdex.exe(cdrom执行程序),oakcdrom.sys(atapi cdrom兼容驱动程序),ghost.exe
config.sys内容为:
device=oakcdrom.sys /d:idecd001
autoexec.bat内容为:
mscdex.exe /d:idece001 /l:z
ghost -clone,mode=load,src="/z:"\bac.gho,dst=1:1 -sure -rb
可以根据下面的具体说明修改实例
-clone 在使用时必须加入参数,它同时也是所有的switch{batch switch}里最实用的一种,下面是clone所定义的参数
-clone,
mode={copy|load|dump|pcopy|pload|pdump},
src="/{drive"|file|drive:partition},
dst={drive|file|drive:partition}
mode指定要使用哪种clone所提供的命令
copy 硬盘到硬盘的复制(disk to disk copy)
load 文件还原到硬盘(file to disk load)
dump 将硬盘做成映像文件(disk to file dump)
pcopy 分区到分区的复制(partition to partition copy)
pload 文件还原到分区(file to partition load)
pdump 分区备份成映像文件(partition to file dump)
src指定了ghost运行时使用的源分区的位置模式及其意义:
mode命令 对应mode命令src所使用参数 例子
copy/dump
源硬盘号。
以1代表第一号硬盘
load 映像文件名
g:/back98/setup98.gho 或装置名称(drive)
pcopy/pdump
源分区号。
1:2代表的是硬盘1的第二个分区
pload 分区映像文件名加上分区号或是驱动器名加上分区号。
g:\back98\setup98.gh2,代表映像文件里的第二个分区
dst运行ghost时使用的目标位置模式及其意义:
mode命令 对应mode命令dst所使用参数 例子
copy/dump 目的硬盘号。
2代表第二号硬盘
load 硬盘映像文件名。
例g:\back98\setup98.gho
pcopy/pload 目的分区号。
2:2 代表的是,硬盘2的第二个分区
pdump 分区映像文件名加分区号。
g:\back98\setup98.gh2
szen指定所使用目的分区的大小
n=xxxxm 指定第n目的分区的大小为xxxxmb sze2=800m表示分区2的大小为800mb
n=mmp 指定地n的目的分区的大小为整个硬盘的mm个百分比。
其他参数
-fxo 当源物件出现坏块时,强迫复制继续进行
-fx 当ghost完成新系统的工作后不显示"press ctrl-alt-del to reboot"直接回到dos下
-ia 完全执行扇区到扇区的复制。当由一个映像文件或由另一个硬盘为来源,复制一个分区时,ghost将首先检查来源分区,再决定是要复制文件和目录结构还是要做映像复制(扇区到扇区)。预设是这种形式。但是有的时候,硬盘里特定的位置可能会放一些隐藏的与系统安全有关的文件。只有用扇区到扇区复制的方法才能正确复制
-pwd and -pwd=x 给映像文件加密
-rb 在还原或复制完成以后,让系统重新启动
-sure 可以和clone合用。ghost不会显示"proceed with disk clone-destination drive will be overwritten?"提示信息
巧用ghost进行快速分区格式化
编者按:
现如今的硬盘容量实在是吓人,60gb、80gb已是标配,120gb、160gb也是常见,像笔者这样经常要为单位、朋友重装系统的人,每次都为分区、格式化而苦恼。这样的大硬盘每做fdisk、format一次,少辄半个小时,多辄一个小时,煞是耽误时间
现如今的硬盘容量实在是吓人,60gb、80gb已是标配,120gb、160gb也是常见,像笔者这样经常要为单位、朋友重装系统的人,每次都为分区、格式化而苦恼。这样的大硬盘每做fdisk、format一次,少辄半个小时,多辄一个小时,煞是耽误时间。
其实利用ghost这个软件就可以实现快速分区格式化。首先,找一块硬盘,最好是小一点的,接在你的机器上,把这块硬盘进行分区、格式化,切记在这块硬盘上不要存储任何文件。然后用系统盘启动机器,在dos状态下运行ghost,选择“local→disk→to image”,将这个刚分区格式化的硬盘镜像成一个文件。由于这个硬盘内没有文件,所以所形成的镜像文件非常小,可以将ghost.exe文件与这个镜像文件存储在一张启动软盘上。下次哪个硬盘要分区、格式化,可以用这张软盘启动机器,运行ghost,选择“local→disk→from image”,然后选择软盘上的镜像文件,选择目标硬盘,然后在“destination drive details”窗口下的“new size”框中手动调整各个分区的容量(也可以不管它,直接用默认的容量分配),按下“ok”键,再按“yes”键,只需几秒钟,一个大硬盘就完成了分区、格式化!
如果有时间,你可以按上述方法多做几个镜像文件,分别存储不同的分区方法以适应不同的分区要求。
注册表损坏之症状和修复
Windows的注册表实际上是一个数据库,它包含了五个方面的信息,即PC的全部硬件、软件设置、当前配置、动态状态及用户特定设置等内容,主要储存在C:windows下的system.dat和user.dat两个文件中。由此可见注册表是Windows系统的命根子,稍有闪失,后果严重。注册表文件损坏而不能正常启动系统或运行应用程序的情况经常出现,那么注册表损坏一般存在哪些症状呢?
1、当使用过去正常工作的程序时,得到诸如“找不到*.dll”的信息,或其他表明程序部分丢失和不能定位的信息。
2、应用程序出现“找不到服务器上的嵌入对象”或“找不到OLE控件”这样的错误提示。
3、当单击某个文档时,Windows给出“找不到应用程序打开这种类型的文档”信息,即使安装了正确的应用程序且文档的扩展名(或文件类型)正确。
4、“资源管理器”页面包含没有图标的文件夹、文件或者意料之外的奇怪图标。
5、“开始”菜单或“控制面板”项目丢失或变灰而处于不可激活状态。
6、网络连接不能建立或不再出现在“拨号网络”中或“控制面板”的“网络”中。
7、不久前工作正常的硬件设备不再起作用或不再出现在“设备管理器”的列表中。
8、Windows系统根本不能启动,或仅能以安全模式或MS-DOS模式启动。
9、Windows系统显示“注册表损坏”这样的信息。
10、启动时,系统调用注册表扫描工具对注册表文件进行检查,然后提示当前注册表已损坏,将用注册表的备份文件进行修复,并要求重新启动系统。而上述过程往往要重复数次才能进入系统。其实此乃系统的误报,此时的注册表并没有损坏,倒是你的内存条或硬盘值得好好检查一下,这是硬件故障造成的假象。
以上罗列了注册表损坏的十种症状,除第十项外,前九项都是可以简单修复的,前提是有注册表文件备份。备份的方法也不难,在机器工作正常时,运行注册表编辑器regedit.exe,选择“注册表/导出注册表文件”,接下来“导出范围”选择“全部”,“存为类型”选择“注册表文件”,最后任取一个文件名(如“backup”)就行了;也可以直接拷贝“system.dat”和“user.dat”两个文件进行备份。修复时进入DOS模式状态(开机时按“F8”调出多重引导菜单,选择“Command Prompt Only”),在提示符后键入“regedit/c backup.reg”回车即可。倘若没有备份,我们可以利用Windows的自动备份进行修复,同样进入DOS实模式状态,键入“scanreg /restore”,进入菜单界面,选择一个备份文件,稍等片刻即 |
|
| |
|
|
