修改方法：

1.把Resource Hacker V3.4.0 汉化版.rar 和ContextBG.rar下载后解压缩到任意地方。

2.进入Resource Hacker V3.4.0 汉化版文件夹，运行ResHacker.exe，点击菜单“文件－打开－弹出‘打开包含资源的文件’对话框－定位找到解压后的ContextBG.dll’－双击”。

3.然后依次展开“Bitmap－129－2057”，注意要用鼠标点中2057才会出现ContextBG.dll里面的美女。

4.接下来“右击2057－替换资源－弹出‘替换位图于’对话框－点击‘打开新位图文件按钮’－弹出‘打开’对话框－定位找到你喜欢的bmp格式图片（大小任意，最好不要太大，以免右键图片显示不全，但一定要是24位bmp格式位图，最好颜色要浅一些、明亮点的，以免影响右键命令的选择）－双击导入”。

另外一种方法：点击菜单“操作－替换位图－弹出‘替换位图于’对话框－点击‘打开新位图文件按钮’－弹出‘打开’对话框－定位找到你喜欢的bmp格式图片（大小任意）－双击导入”

5.继续点击‘替换位图于’对话框右下角的“替换”按钮。

6.点击菜单“文件－保存”即可，这时候ContextBG.dll所在的文件夹里面会出现ContextBG_original.dll和ContextBG.dll两个dll文件共存，前者是原有的ContextBG.dll文件，后者是修改后的。

7.点击“开始－运行”，打开运行对话框，输入：regsvr32 “regsvr32 c:\windows\ContextBG.dll” ，（若不放在C盘windows文件夹下，是放在其它地方，那么在运行regsvr32命令时，如果路径含有空格，要把路径用“”括起来，否则运行命令后会提示“LoadLibrary 失败－找不到指定模块；不含空格时就不要用“”括起来。要输入你的ContextBG.dll文件所在的路径，），确定即可，现在点击右键看看效果吧。

8.如果想换另一种美女右键，在运行regsvr32完成新美女ContextBG.dll注册后重启系统或者注销一次即可。

9.如果要恢复系统原来默认右键样式，在regsvr32后面加参数“/u”即可，即“regsvr32 /u c:\windows\ContextBG.dll”。

注意系统图标（比如我的电脑、各盘符图标）右键里不会调出美女，另外“新建”和“发送到”菜单、winrar的2级菜单也不行，其余都可以，包括2级或3级右键菜单。

下载后，然后使用上面介绍的方法修改你自己喜欢的图片！最后那个附件是作好的文件，你直接放在C盘windows文件夹里，然后在运行里输入regsvr32 c:\windows\ContextBG.dll就可以了！

使用方法一：把下载后压缩文件解压出来复制到C盘windows文件夹下，然后点击“开始－运行”，打开运行对话框，输入 regsvr32 c:\windows\ContextBG.dll 就可以看到效果了。

个别看不到效果的注消或重启一次就OK！

卸载方法：点击“开始－运行”，打开运行对话框，输入 regsvr32 /u c:\windows\ContextBG.dll 即可。

如果想换另一种右键背景，先卸载现在使用的背景，注消或重启一次。再把新的背景文件复制到C盘windows文件夹下，重新加载一次OK

使用方法二:双击压缩包内的安装文件也可以.

制作方法

要调节大小的话,可以用ACDSEE 或PS等软件制作合适大小的位图BMP,用资源管理器压缩包内的软件替换即可。

方法如下

1.进入Resource Hacker V3.4.0 汉化版文件夹，运行ResHacker.exe，点击菜单“文件－打开ContextBG.dll。

　 2.然后依次展开“Bitmap－129－2057”，即可看到图

　　3.接下来“右击2057－替换资源－弹出‘替换位图于’对话框－点击‘打开新位图文件按钮’－弹出‘打开’对话框找到你喜欢的bmp格式图片（大小任意，最好不要太大，以免右键图片显示不全，但一定要是24位bmp格式位图，最好颜色要浅一些、明亮点的，以免影响右键命令的选择）－双击导入”。

　 4.继续点击‘替换位图于’对话框右下角的“替换”按钮。

　 5.点击菜单“文件－保存”即可，这时候ContextBG.dll所在的文件夹里面会出现ContextBG_original.dll和ContextBG.dll两个dll文件共存，前者是原有的ContextBG.dll文件，后者是修改后的。把ContextBG.dll这个文件剪切到C：\下

　 6.点击“开始－运行”，输入：regsvr32 C:\ContextBG.dll ，确定即可，现在点击右键看看效果吧

　 7.如果想换另一种右键，在运行regsvr32完成新ContextBG.dll注册后重启系统或者注销一次即可。

　　8.如果要恢复系统原来默认右键样式，在regsvr32后面加参数“/u”即可，即“regsvr32 /u c:\ContextBG.dll”。

效果预览：http://www.aihuyou.com/attachment/Mon_0605/146_10165_b62613deb0562a6.jpg

600){this.resize=true;this.width = 600;}">

600){this.resize=true;this.width = 600;}">

600){this.resize=true;this.width = 600;}">

600){this.resize=true;this.width = 600;}">

600){this.resize=true;this.width = 600;}">

有人曾经说过，了解了注册表就读懂了WIN系统，这句话是一点都不假的。那么，什么是注册表？注册表有什么功能？如何去修改注册表以达到最佳的效果？又如何来区分注册表里有用和无用甚至是危害的部分呢？

　　什么是注册表？在还是使用Dos和Win3.x操作系统的时代里，大部分的应用程序都采用了ini文件（初始化文件）来保存一些配置信息，如设置路径，环境变量等。system.ini和win.ini控制着所有windows和应用程序的特征和存取方法，它在少数的用户和少数应用程序的环境中工作的很好。随着应用程序的数目的不断增加和复杂性的日益增强，则需要在.ini文件中添加更多的参数项。这样下来，在一个变化的环境中，在应用程序安装到系统中后，每个人都会更改.ini文件。然而，几乎没有一个人在删除应用程序后删除.ini文件中的相关设置，所以system.ini和win.ini这个两个文件会变的越来越大。每次增加的内容会导致系统性能越来越慢，在每次应用程序的升级都出现类似的难题：升级后会增加更多的参数项但是从来不去掉旧的参数设置。而且还有一个明显的问题，一个.ini文件的最大尺寸是64KB。为了能够解决这个问题，软件商自己开始支持自己的.ini文件，然后指向特定的ini文件，这样下来多个.ini文件影响了系统正常的存取级别设置。

　　在windows操作系统序列里，system.ini和win.ini这两个文件包含了操作系统的所有控制功能和应用程序的信息，system.ini管理计算机硬件，win.ini管理桌面和应用程序。所有驱动、字体、设置和参数会保存在.ini文件中，任何新程序都会被记录在.ini文件里。这些记录会在程序代码中被引用。因为受win.ini和system.ini文件大小的限制，程序员添加辅助的.INI文件以用来控制更多的应用程序。举例来说，微软的Word有一个word.ini文件，它包含着选项、设置、缺省参数和其他关系到Word运行正常的信息。在system.ini和win.ini中只需要指出word.ini的路径和文件名即可。

　　为了解决相关的问题，微软公司于1995年正式推出了取代了WIN3.X操作系统的WIN95，从某中程度上来说，WIN95的出现是一个划时代的产物，因为Windows95第一次使用了“注册表”来配置和管理许多即插即用或者必备的硬件，以及临时调用或永久驻留的软件程序。这使得Windows95成为真正意义上的32位操作系统，具有了微机操作系统的五大基本功能。这也使得注册表这个东西第一次出现在了众人的视线中。

　　注册表最初被设计为一个应用程序的数据文件相关参考文件，最后扩展成对32位操作系统和应用程序包括了所有功能下的东西。注册表是一套控制操作系统外表和如何响应外来事件工作的文件。这些“事件”的范围从直接存取一个硬件设备到接口，如何响应特定用户到应用程序如何运行等。注册表因它的目的和性质变的很复杂，它被设计为专门的针对32位应用程序工作，文件的大小被限制在大约40MB。利用一个功能强大的注册表数据库来统一集中地管理系统硬件设施，软件配置等信息，从而方便了管理，增强了系统的稳定性。

　　由此可见，注册表（Registry）是Windows95以上版本操作系统中硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”；也可以说是一个非常巨大的树状分层结构的数据库系统。它记录了用户安装在机器上的软件和每个程序的相互关联信息；它包含了计算机的硬件配置，包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。

　　好了，说完了注册表和它的发展历程后，我们来关心一下它的功能。注册表的一个好处是添加或删除程序功能，这是开始菜单中控制面板功能的一部分。你安装软件的时候，在注册表中做了一个记录，所以在添加或删除程序中就会作为一个专门列表的一部分出现。注册表保存在你的硬盘的几个文件当中，但访问和修改它们的唯一途径是使用注册表编辑器程序。要访问它，点击开始按钮，然后点击运行。在出现的对话框中输入regedit并按Enter键。这会进入注册表编辑器，你现在就看到了注册表。

　　600){this.resize=true;this.width = 600;}">

　　注册表组织得更像磁盘上的文件，如果你曾经在Windows浏览器中使用过文件夹视图的话，你会根据很熟悉。然而在注册表中，这些文件夹被称为键。要打开某个键，只需点击它旁边的小加号(+)。然后你会看到每个键下包含更多的键，称为子键或值。值是指各种不同键的单独设置，因此是可自定义的。它们在注册表窗口左侧以名称排列，它们还说明了包含数据的类型以及数据本身。不用担心使用的是哪种数据类型，因为这对数据本身是明显的，或者在编辑过程中会作出解释。这些数以千计的键根据逻辑进行排列，在你第一次看到注册表的时候可能会使你感觉无从下手。要把头绪理清楚，首先要知道有五个根键以及注册表的基本组成结构。

　　600){this.resize=true;this.width = 600;}">

　　在这里需要提一下的是，随着使用时间以及大量系统产生的垃圾影响，注册表会变的越来越大，这并不是一个好现象，因为注册表越庞大，你的计算机的运行就会变得越慢，所以很多新手朋友在问到为什么自己的计算机越来越慢的时候，很多情况下就是因为你的注册表内无用垃圾太多，所以导致自己的系统运行越来越缓慢，因此，经常的给注册表“瘦瘦身”是很有必要的。当然，现在很多第三方软件，例如超级兔子、WINDOWS优化大师等系统整理软件都附带了注册表垃圾清除功能，建议新手朋友们务必下一个，经常优化自己的注册表和系统，多研究研究里面的一些配置无论是对计算机的安全和运行都会很有帮助。

　　下面我们就根据图2来逐一解释：

　　600){this.resize=true;this.width = 600;}">

　　在windowsNT/2000/XP中,如果用windows自带的编辑器打开的时候,只能看到五个,还有一个隐藏的根键:HKEY_PERFOR_MANCE_DATA。

　　*HKEY_CLASS_ROOT

　　记录windows操作系统中所有数据文件的格式和关联信息,主要记录不同文件的文件名后缀和与之对应的应用程序其下子键可分为两类:一类是已经注册的各类文件的扩展名,这类子键前面都带有一个".";另一类是各类文件类型有关信息。

　　*HKEY_CURRENT_USER

　　此根根键包含当前登录用户的用户配置文件信息,这些信息保证不同的用户登录计算机时,使用自己的修改化设置,例如自己定义的墙纸,自己的收件箱,自己的安全访问权限。

　　*HKEY_LOCAL_MACHINE

　　此根键包含了当前计算机的配置灵气,包括所安装的硬件以软件设置。这些信息是为所有的用户登录系统服务的。这是事个注册表中最庞大也是最重要的根键!

　　*HKEY_USERS

　　HKEY_USERS根键包括默认用户的信息(DEFAULT子键)和所有以前登陆用户的信息。

　　*HKEY_CURRENT_CONFIG

　　此根键实际上是HKDY_LOCAL_MACHINE/CONFIG/0001分支下的数据完全一样。

　　*HKEY_DYN_DATA根键

　　这个键保存每次系统启动时,创建的系统配置和当前性能信息。这个根键只存在于windows9X中

　　*HKEY_PERFORMANCE_DATA

　　在windowsNT/2000/XP注册表中虽然没有HKEY_DYN_DAT键,但是它却隐藏了一个名为"HKEY_PERFORMANCE_DATA的键。所有系统中的动态信息都是存放在此子键中,系统自带的注册表编辑器无法看到这些键。只可以用专门的程序来查看此键,比如使用性能监视器。

　　下面再谈谈注册表的修改问题。在这里提醒大家一句，如果你没有把握，切记在修改之前，一定要备份注册表。修改注册表，除了用微软自带的编辑器——regedit.exe外，还可以通过第三方软件进行修改，或者利用手工写.reg注册表文件。有没有试过自己写注册表文件？不用任何修改器？直接把写好的注册表文件——.reg倒入注册表？呵呵，这项技巧并不需要每个人都知道了，你只要知道上面的两个就可以了。当然，如果你是电脑迷，我们赞成深入学习。

　　现在我们来看看.reg文件的结构如何。

　　.reg文件的标准格式如下：

　　REGEDIT4

　　[路径]（注意用大小写）

　　"键名"="键值"（针对字符串型键值）

　　"键名"=hex:键值（针对二进制型键值）

　　"键名"=dword:键值（针对DWORD键值）

　　括号里面的内容为本人的注释，写文件的时候就不需要那些小括号了，其他上面所列的都必须包括。注意引号输入时不能用中文输入的引号，必须用英文的引号，否则会出错。

　　那么，怎么写.reg文件呢？我们需要一个文本编辑器，用windows的记事本就可以了。单击鼠标右键，选择新建文本文档，然后在生成的文本文件里输入上面规格的内容就可以了，最后，选择另存为，输入你想要的文件名+.reg保存即可。比如你要生成test.reg,输入test.reg保存即可，你可以看到生成了一个带图标的test.reg.双击运行这个test.reg文件就能相应的修改注册表了，系统会提示“是否导入注册表”之类的信息，确定就可以了。OK,我们可以手动写注册表了。先别急，我们来看看一个标准范例，这是从注册表里面导出来的，大家慢慢学习，跟着模仿一下就能写出自己的.reg文件了。

　　REGEDIT4

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

　　"NoRun"=dword:00000000

　　"NoRecentDocsMenu"=hex:01,00,00,00

　　"NoFavoritesMenu"=dword:00000000

　　"user"="sundrink"

　　大家可以看到，dword是16进制，hex是二进制，字符串则可以直接赋值。只要将上面的内容复制保存到文本文档里，然后另存为你想要的.reg文件运行就可以了。呵呵，原来也不是很难嘛，耐心一点就可以了。当然，你要模仿，要自己动手写.reg文件，用记事本就可以了。

　　说多两句，为什么要手写注册表？因为有时候我们会碰到一台锁定regedit的机子，有什么办法解开呢？呵呵，如果你会手写注册表文件的话，那很简单了......大家发挥想象吧!用不了很长时间的。

　　以上的手动修改的方法只针对那些电脑爱者来说的，一般新手朋友最好还是老实的用第三方软件里自带的方法来修改，这样既方便又能看的清楚，不过还是建议大家在修改前一定要做好备份工作。好，关于注册表的修改问题就说到这里了，网上有很多类似的教程，比如提高网速的，优化性能的都有很多，大家可以勤用google搜索一下，自己学习。其实电脑很多东西都是自己摸索出来的，只有自己勤去摸索，你的计算机水平才能得到真正的提高。闲话不再多说，我们继续。

　　现在我们说到了注册表的安全问题。从计算机病毒的发展趋势来看，蠕虫和木马类的病毒越来越多。与普通感染可执行文件的文件型病毒不同，此类程序通常不感染正常的系统文件，而是将自身作为系统的一部分安装到系统中。相对来说，此类病毒的隐蔽性更强一些，更不容易被使用者发觉。但是无论什么样的病毒程序在感染系统时都会留下一些蛛丝马迹。在此我们总结一下各种病毒可能会更改的地方，以便能够更快速地找到它们。

　　一、更改系统的相关配置文件。这种情况主要是针对95/98系统。

　　病毒可能会更改autoexec.bat，只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常会在win.ini的“run=”后面加入病毒自身的文件名，或者在system.ini文件中将“shell=”更改。

　　二、更改注册表健值。

　　目前，只要新出的蠕虫/特洛伊类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方：

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　说明：在系统启动时自动执行的程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

　　说明：在系统启动时自动执行的系统服务程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

　　说明：在系统启动时自动执行的程序，这是病毒最有可能修改/添加的地方。例如：Win32.Swen.B病毒将增加：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza="cxsgrhcl.exeautorun"

　　HKEY_CLASSES_ROOT\exefile\shell\open\command

　　说明：此键值能使病毒在用户运行任何EXE程序时被运行，以此类推，..\txtfile\..或者..\comfile\..也可被更改，以便实现病毒自动运行的功能。

　　另外，有些健值还可能被利用来实现比较特别的功能：

　　有些病毒会通过修改下面的键值来阻止用户查看和修改注册表：

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\

　　System\DisableRegistryTools=

　　为了阻止用户利用.REG文件修改注册表键值，以下键值也会被修改来显示一个内存访问错误窗口

　　例如：Win32.Swen.B病毒会将缺省健值修改为：

　　HKCR\regfile\shell\open\command\(Default)="cxsgrhcl.exeshowerror"

　　通过对以上地方的修改，病毒程序主要达到的目的是在系统启动或者程序运行过程中能够自动被执行，已达到自动激活的目的。

　　总结完了各种木马、病毒可能会更改的地方，下面就接着谈防御问题了。当然，在谈之前继续一贯强调的备份注册表，说实话，应对越来越厉害的木马、病毒们，光靠现有的几种办法是远远不够的，备份一个“彻底干净”的注册表就是重中之重。备份的方法依然很多，网上铺天盖地都有，这里也不再多做阐述，google一下就可以了。

　　安全隐患:在Windows2000/XP系统中，默认Messenger服务处于启动状态，不怀好意者可通过“netsend”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息，严重影响正常使用。

　　解决方法:首先打开注册表编辑器。对于系统服务来说，我们可以通过注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”项下的各个选项来进行管理，其中的每个子键就是系统中对应的“服务”，如“Messenger”服务对应的子键是“Messenger”。我们只要找到Messenger项下的START键值，将该值修改为4即可。这样该服务就会被禁用，用户就再也不会受到“信”骚扰了。

　　安全隐患:如果黑客连接到了我们的计算机，而且计算机启用了远程注册表服务(RemoteRegistry)，那么黑客就可远程设置注册表中的服务，因此远程注册表服务需要特别保护。

　　解决方法:我们可将远程注册表服务(RemoteRegistry)的启动方式设置为禁用。不过，黑客在入侵我们的计算机后，仍然可以通过简单的操作将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。

　　找到注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry项，右键点击该项选择“删除”(图1)，将该项删除后就无法启动该服务了。

　　在删除之前，一定要将该项信息导出并保存。想使用该服务时，只要将已保存的注册表文件导入即可。

　　安全隐患:大家都知道在Windows2000/XP/2003中，系统默认开启了一些“共享”，它们是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。

　　解决方法:要防范IPC$攻击应该将注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的RestrictAnonymous项设置为“1”，这样就可以禁止IPC$的连接。

　　对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项。如果系统为Windows2000Server或Windows2003，则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”，值为“0”)。如果系统为Windows2000PRO，则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”，值为“0”)。

　　安全隐患:在Windows系统运行出错的时候，系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。

　　解决方法:找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionAeDebug”，将AUTO键值设置为0，现在DR.WATSON就不会记录系统运行时的出错信息了。同时，依次点击“DocumentsandSettings→ALLUsers→Documents→drwatson”，找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将DR.WATSON以前保存的隐私信息删除。

　　提示:如果已经禁止了DR.WATSON程序的运行，则不会找到“drwatson”文件夹以及user.dmp和drwtsn32.log这两个文件。

　　安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自运行系统中的程序，从而达到破坏本地系统的目的。为了保证系统安全，我们应该阻止ActiveX控件私自运行程序。

　　解决方法:ActiveX控件是通过调用Windowsscriptinghost组件的方式运行程序的，所以我们可以先删除“system32”目录下的wshom.ocx文件，这样ActiveX控件就不能调用Windowsscriptinghost了。然后，在注册表中找到“HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”，将该项删除。通过以上操作，ActiveX控件就再也无法私自调用脚本程序了。

　　安全隐患:Windows2000的页面交换文件也和上文提到的DR.WATSON程序一样经常成为黑客攻击的对象，因为页面文件有可能泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易查看内存中的信息，而硬盘中的信息则极易被获取。

　　解决方法:找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerMemoryManagement”，将其下的ClearPageFileAtShutdown项目的值设置为1(图2)。

　　这样，每当重新启动后，系统都会将页面文件删除，从而有效防止信息外泄。

　　安全隐患:使用Windows系统冲浪时，常会遇到密码信息被系统自动记录的情况，以后重新访问时系统会自动填写密码。这样很容易造成自己的隐私信息外泄。

　　解决方法:在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies”分支中找到network子项(如果没有可自行添加)，在该子项下建立一个新的双字节值，名称为disablepasswordcaching，并将该值设置为1。重新启动计算机后，操作系统就不会自作聪明地记录密码了。

　　安全隐患:现在的病毒很聪明，不像以前只会通过注册表的RUN值或MSCONFIG中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么，我们能不能使病毒或木马没有启动服务的相应权限呢?

　　解决方法:运行“regedt32”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，接着点击菜单栏中的“安全→权限”，在弹出的Services权限设置窗口中单击“添加”按钮，将Everyone账号导入进来，然后选中“Everyone”账号，将该账号的“读取”权限设置为“允许”，将它的“完全控制”权限取消(图3)。现在任何木马或病毒都无法自行启动系统服务了。当然，该方法只对没有获得管理员权限的病毒和木马有效。

　　安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的，我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。

　　解决方法:运行“regedt32”指令启动注册表编辑器。找到注册表中的“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支，将Everyone对该分支的“读取”权限设置为“允许”，取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。

　　病毒和木马是不断“发展”的，我们也要不断学习新的防护知识，才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀，不如提前做好防御工作，修筑好牢固的城墙进行抵御。养成良好的安全上网习惯，尽量不接触那些不安全的站点和下载不安全的软件、视频等，开机运行360和杀毒软件，备份一份安全的注册表文件，勤打补丁多学习，“防患于未然”才是我们应该追求的。

　　PS：本文在书写过程中引用了网络上的一些内容，在此，对那些默默奉献出自己知识的无名朋友们表示感谢！

文章并非原创

实在找不到文章的来源了，所以就不把原创作者给发上来了，希望作者谅解。

一、网络设置的问题

这种原因比较多出现在需要手动指定IP、网关、DNS服务器联网方式下，及使用代理服务器上网的。仔细检查计算机的网络设置。

二、DNS服务器的问题

当IE无法浏览网页时，可先尝试用IP地址来访问，如果可以访问，那么应该是DNS的问题，造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题，这时你可以手动指定DNS服务（地址可以是你当地ISP提供的DNS服务器地址，也可以用其它地方可正常使用DNS服务器地址。）在网络的属性里进行，（控制面板―网络和拔号连接―本地连接―右键属性―TCP/IP协议―属性―使用下面的DNS服务器地址）。不同的ISP有不同的DNS地址。有时候则是路由器或网卡的问题，无法与ISP的DNS服务连接，这种情况的话，可把路由器关一会再开，或者重新设置路由器。

还有一种可能，是本地DNS缓存出现了问题。为了提高网站访问速度，系统会自动将已经访问过并获取IP地址的网站存入本地的DNS缓存里，一旦再对这个网站进行访问，则不再通过DNS服务器而直接从本地DNS缓存取出该网站的IP地址进行访问。所以，如果本地DNS缓存出现了问题，会导致网站无法访问。可以在“运行”中执行ipconfig /flushdns来重建本地DNS缓存。

三、IE浏览器本身的问题

当IE浏览器本身出现故障时，自然会影响到浏览了；或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“黄山IE修复专家”来修复（建议到安全模式下修复），或者重新IE（如重装IE遇到无法重新的问题，可参考：附一解决无法重装IE）

四、网络防火墙的问题

如果网络防火墙设置不当，如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等，可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。

五、网络协议和网卡驱动的问题

IE无法浏览，有可能是网络协议（特别是TCP/IP协议）或网卡驱动损坏导致，可尝试重新网卡驱动和网络协议。

六、HOSTS文件的问题

HOSTS文件被修改，也会导致浏览的不正常，解决方法当然是清空HOSTS文件里的内容。

七、系统文件的问题

当与IE有关的系统文件被更换或损坏时，会影响到IE正常的使用，这时可使用SFC命令修复一下，WIN98系统可在“运行”中执行SFC，然后执行扫描；WIN2000/XP/2003则在“运行”中执行sfc /scannow尝试修复。

其中当只有IE无法浏览网页，而QQ可以上时，则往往由于winsock.dll、wsock32.dll或wsock.vxd（VXD只在WIN9X系统下存在）等文件损坏或丢失造成，Winsock是构成TCP/IP协议的重要组成部分，一般要重装TCP/IP协议。但xp开始集成TCP/IP协议，所以不能像98那样简单卸载后重装，可以使用 netsh 命令重置 TCP/IP协议，使其恢复到初次安装操作系统时的状态。具体操作如下：

点击“开始 运行”，在运行对话框中输入“CMD”命令，弹出命令提示符窗口，接着输入“netsh int ip reset c:\resetlog.txt”命令后会回车即可，其中“resetlog.txt”文件是用来记录命令执行结果的日志文件，该参数选项必须指定，这里指定的日志文件的完整路径是“c:\resetlog.txt”。执行此命令后的结果与删除并重新安装 TCP/IP 协议的效果相同。

小提示：netsh命令是一个基于命令行的脚本编写工具，你可以使用此命令配置和监视Windows 系统，此外它还提供了交互式网络外壳程序接口，netsh命令的使用格式请参看帮助文件（在令提示符窗口中输入“netsh/?”即可）。

第二个解决方法是修复以上文件，WIN9X使用SFC重新提取以上文件，WIN2000/XP/2003使用sfc /scannow命令修复文件,当用sfc /scannow无法修复时，可试试网上发布的专门针对这个问题的修复工具WinSockFix，可以在网上搜索下载。

八、杀毒软件的实时监控问题

这倒不是经常见，但有时的确跟实时监控有关，因为现在杀毒软件的实时监控都添加了对网页内容的监控。举一个实例：KV2005就会在个别的机子上会导致IE无法浏览网页（不少朋友遇到过），其具体表现是只要打开网页监控，一开机上网大约20来分钟后，IE就会无法浏览网页了，这时如果把KV2005的网页监控关掉，就一切恢复正常；经过彻底地重装KV2005也无法解决。虽然并不是安装KV2005的每台机子都会出现这种问题，毕竟每台机子的系统有差异，安装的程序也不一样。但如果出现IE无法浏览网页时，也要注意检查一下杀毒软件。

九、Application Management服务的问题

出现只能上QQ不能开网页的情况，重新启动后就好了。不过就算重新启动，开7到8个网页后又不能开网页了，只能上QQ。有时电信往往会让你禁用Application Management服务，就能解决了。具体原因不明。

十、感染了病毒所致

这种情况往往表现在打开IE时，在IE界面的左下框里提示：正在打开网页，但老半天没响应。在任务管理器里查看进程，（进入方法，把鼠标放在任务栏上，按右键―任务管理器―进程）看看CPU的占用率如何，如果是100%，可以肯定，是感染了病毒，这时你想运行其他程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源．找到后，最好把名称记录下来，然后点击结束，如果不能结束，则要启动到安全模式下把该东东删除，还要进入注册表里，（方法：开始―运行，输入regedit）在注册表对话框里，点编辑―查找，输入那个程序名，找到后，点鼠标右键删除，然后再进行几次的搜索，往往能彻底删除干净。

有很多的病毒，杀毒软件无能为力时，唯一的方法就是手动删除。

十一、无法打开二级链接

还有一种现象也需特别留意：就是能打开网站的首页，但不能打开二级链接，如果是这样，处理的方法是重新注册如下的DLL文件：

在开始―运行里输入：

regsvr32 Shdocvw.dll

regsvr32 Shell32.dll（注意这个命令，先不用输）

regsvr32 Oleaut32.dll

regsvr32 Actxprxy.dll

regsvr32 Mshtml.dll

regsvr32 Urlmon.dll

regsvr32 Msjava.dll

regsvr32 Browseui.dll

注意：每输入一条，按回车。第二个命令可以先不用输，输完这些命令后重新启动windows，如果发现无效，再重新输入一遍，这次输入第二个命令。

1.一分钟内分区及格式化硬盘

右键点击“我的电脑”，选择“管理”命令。在打开的“计算机管理”窗口中，依次展开“计算机管理”→“存储”→“磁盘管理”项。之后，在右侧窗格中即可看到当前硬盘的分区情况。

在“未指派”的磁盘空间上点击右键，选择“新建磁盘分区”命令。在弹出的磁盘分区向导窗口中，选择分区类型为“扩展分区”，点击“下一步”后，输入新建分区的容量大小，接着在此设置分区的磁盘文件格式，并勾选“不格式化”项，最后点击“完成”按钮即可完成分区操作。再打开“我的电脑”，右键点击新建分区，选择“格式化”命令，使用快速格式化方式，即可在一分钟之内，完成分区到格式化的全部操作。

2.折分与合并磁盘分区

如果硬盘中的某个分区容量过大，可将其拆分为两个分区。首先将该磁盘分区中的所有文件保存到其它分区中。之后在“磁盘管理”中右键点击该分区，选择“删除逻辑分区”命令。确认后完成分区删除，此时该分区在列表中就会被识别为“未指派”的磁盘空间。

之后，按照如上操作，在“未指派”的磁盘空间上，使用“新建磁盘分区”命令，分别设置新建分区的空间大小，并格式化新建的两个分区即可。

需要合并两个分区时，则可将所有数据保存后，使用“删除逻辑分区”命令，获得两个空白的“未指派”分区。接着选中“未指派”分区，点击右键后选择“新建磁盘分区”命令，即可完成分区的合并。

3.压缩分区增加磁盘空间

如果某个磁盘分区空间紧张，而该分区中的数据并不是经常读取，则可将该分区进行压缩以“增加”可使用空间。由于压缩分区必须在NTFS磁盘格式下进行，所以对于采用FAT32磁盘格式的分区，可先在命令行提示符窗口中，执行“Convert 盘符 /FS:NTFS”命令，将该分区转换为NTFS磁盘格式。之后，右键点击要压缩的分区，选择“属性”命令。在打开窗口中选择“常规”选项卡，勾选“压缩驱动器以节约磁盘空间”项。在关闭窗口后，系统就将进行磁盘压缩操作，完成时便会发现该分区的剩余空间增加了。

4.命令行下为分区扩容

如果某分区中的剩余空间不足，还可以使用分区扩容的方式，来增加可用空间。在命令提示符窗口中，执行“Diskpart”命令，启动命令行磁盘管理工具。接着执行“list partition”命令，即可显示当前系统分区列表。假设要删除第3个分区，为第2个分区扩容，则可执行命令“Select ParTtition 3”，使第三个分区具有焦点属性，再执行“Delete Partition”即可删除第3个分区。

接着执行“Select partition 2”命令，使第2个分区具有焦点属性，再执行“Extend”命令，便可将之前被删除分区空间，自动添加到第2分区中。如果被扩容的第2分区采用了NTFS磁盘格式，那么扩容后不会丢失任何数据。最后执行“Exit”命令，回到“我的电脑”中就可看到硬盘分区已被扩容了。

5.双倍提升硬盘传输速度

如果有两块硬盘，配合Windows XP中的动态卷功能，即可极大提升硬盘传输速度。首先，将两个硬盘中的所有分区转换为NTFS磁盘格式。接着打开“磁盘管理”窗口，分别使用右键点击两块硬盘，在弹出菜单中选择“转换到动态磁盘”命令，将两块硬盘都转换为动态磁盘。

右键点击第二块硬盘后的黑色区域，选择“新建卷”命令。在打开的对话框中，点击“下一步”，出现3个选项，选择“带区卷”。点击“下一步”，第二块硬盘将出现在“可以选的”列表中，在下面的选择空间量中，输入要支配单个硬盘的空间。单击“下一步”，为建立的分区指派一个盘符。点击“下一步”，选择使用NTFS磁盘格式，来快速格式化该分区，最后单击“完成”。此时在“磁盘管理”窗口的分区列表中显示出的灰色区域，就是新建的带区卷。

打开“我的电脑”，将会看到新建的分区，当在此分区进行数据读取时，即可达到近两倍的数据传输率。使用同样步骤，将剩余空间均新建为带区卷，即可变相享受磁盘阵列所带来的高数据传输率优势。

让你的键盘会说话！。。。
　　　　长期面对无声的电脑，我们难免疲倦。
　　　　
　　　　如果正在输入的内容被系统一字(字母)不差地念出来，你还能在无声的疲倦中输入错误的内容吗？

本文以Windows
2000/XP中一个鲜为人知的“讲述人”为例教你DIY一个完全免费的语音
　　　　键盘。
　　　　
　　　　在“运行”中输入“narrator”，不带引号，点“确定”。
　　　　
　　　　点“确定”跳过后便请出本文的主角──“讲述人”。
　　　　
　　　　如果你的音箱已经打开，听到了什么？不想听的话就按一下Ctrl键。
　　　　
　　　　再按任意键试试，你输入的字母键被系统用标准的美国英语读了出来，这时一个完全免费的语音键盘就诞生在你的手中了，有兴趣的朋友不妨试试

电脑是公司公用电脑，有很多人使用，我想清除电脑的使用纪录信息，应该怎样做？

我给你说个彻底的办法。完全是按照我自己的经验一步步打开然后找到后给你说的，这样处理后不要说没有打开的纪录，连这个文件夹都删除了，还有象你的地址栏和运行里面每次输入的也不会留下纪录，百度等搜索栏里面也不会有纪录，我这个是最彻底的方法，    

     开始--运行--gpedit.msc---打开组策略--用户配置--管理模板--任务栏和开始菜单--1.从开始菜单删除用户文件夹(选择启用)2.从开始菜单中删除“我的文档”图标(选择启用)3.从开始菜单上删除“文档”菜单(选择启用)4.不要保留最近打开文档的纪录(选择启用)5. 退出时清除最近打开的文档的纪录(选择启用)---确定，重启机子--完成。
若是想固定主页，也可以在这里找下，首先把ie主页设为你想固定的主页，比如空白页，找到开始--运行--gpedit.msc---打开组策略--用户配置--管理模板--windows组件--internet explorer--禁用更改主页设置--启用---确定--完成。
这样子你以后不用那么麻烦总是要清理了，因为很多垃圾文件都不能生成了

文章并非原创

实在找不到文章的来源了，所以就不把原创作者给发上来了，希望作者谅解。

关闭无用端口和修改3389端口
Windows的每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中这些服务都是默认开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭了无用的服务。
关闭这些无用的服务可以通过“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。
4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。
7、还有一个就是139端口，139端口是NetBIOS Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
对于个人用户来说，可以在以上各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。
8、修改3389
打开注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那个PortNumber没有?0xd3d，这个是16进制，就是3389啦。我改XXXX这个值是RDP(远程桌面协议)的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations这里应该有一个或多个类似RDP-TCP的子健（取决于你建立了多少个RDP服务），一样改掉PortNumber。
好了现在你不用担心你的默认共享了，安全了吧！别高兴太早，下面还有呢。
六、本地安全策略
A、通过建立IP策略来阻止端口连接
TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)
UDP端口:1434(这个就不用说了吧)
阻止所有ICMP,即阻止PING命令
B、在 这里我用关闭135端口来实例讲解
1.创建IP筛选器和筛选器操作
a."开始"->"程序"->"管理工具"->"本地安全策略".微软建议使用本地安全策略进行IPsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的.
b.右击"Ip安全策略,在本地机器",选择"管理 IP 筛选器表和筛选器操作",启动管理 IP 筛选器表和筛选器操作对话框.我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略.
c.在"管理 IP 筛选器表"中,按"添加"按钮建立新的IP筛选器:
1)在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"tcp135",描述随便填写.单击右侧的"添加..."按钮,启动IP筛选器向导.
2)跳过欢迎对话框,下一步.
3)在IP通信源页面,源地方选"任何IP地址",因为我们要阻止传入的访问.下一步.
4)在IP通信目标页面,目标地址选"我的IP地址".下一步.
5)在IP协议类型页面,选择"TCP".下一步.
6)在IP协议端口页面,选择"到此端口"并设置为"135",其它不变.下一步.
7)完成.关闭IP筛选器列表对话框.会发现tcp135IP筛选器出现在IP筛选器列表中.
d.选择"管理筛选器操作"标签,创建一个拒绝操作:
1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步.
2)在筛选器操作名称页面,填写名称,这儿填写"拒绝".下一步.
3)在筛选器操作常规选项页面,将行为设置为"阻止".下一步.
4)完成.
e、关闭"管理 IP 筛选器表和筛选器操作"对话框.
2.创建IP安全策略
1.右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导.跳过欢迎页面,下一步.
2.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝对tcp135端口的访问",描述可以随便填写.下一步.
3.在安全通信要求页面,不选择"激活默认响应规则".下一步.
4.在完成页面,选择"编辑属性".完成.
5.在"拒绝对tcp135端口的访问属性"对话框中进行设置.首先设置规则:
1)单击下面的"添加..."按钮,启动安全规则向导.跳过欢迎页面,下一步.
2)在隧道终结点页面,选择默认的"此规则不指定隧道".下一步.
3)在网络类型页面,选择默认的"所有网络连接".下一步.
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)".下一步.
5)在IP筛选器列表页面选择我们刚才建立的"tcp135"筛选器.下一步.
6)在筛选器操作页面,选择我们刚才建立的"拒绝"操作.下一步.
7)在完成页面,不选择"编辑属性",确定.
6.关闭"拒绝对tcp135端口的访问属性"对话框.
3.指派和应用IPsec安全策略
1）缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派.在本地安全策略MMC中,右击我们刚刚建立的""拒绝对tcp135端口的访问属性"安全策略,选择"指派".
2）立即刷新组策略.使用"secedit /refreshpolicy machine_policy"命令可立即刷新组策略.
七、审核策略
具体方法：控制面板==》管理工具==》本地安全策略==》本地策略==》审核策略，然后右键点击下列各项，选择“安全性”来设置就可以了。
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:失败
审核对象追踪:成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核账户管理:成功,失败
密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天.
在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟.
安全选项设置:本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享",因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项，然后再禁止登录屏幕上显示上次登录的用户名。
禁止登录屏幕上显示上次登录的用户名也可以改注册表HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn项中的Don't Display Last User Name串，将其数据修改为1
八、Windows日志文件的保护
日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。
1． 修改日志文件存放目录
Windows日志文件默认路径是“%systemroot%\system32\config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。
点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。
我以应用程序日志为例，将其转移到“d:abc”目录下。首先选中Application子项，在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:abc\AppEvent.Evt”。接着在D盘新建“abc”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，这样就完成了应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。
2． 设置文件访问权限
修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。
右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。
呵呵，现在你也不用担心了！！下面我们继续。
九、 上网
现在你可以连接上网了，但是暂时不要打开IE浏览器。接下来工作是升级杀毒软件和防火墙，并设置好，具体设置方法请参照黑基教程。然后从开始菜单打开Windows update 打好系统所有的补丁，这个过程有点漫长，耐心等待吧。当你打好系统所有补丁后再备份好系统，呵呵……上网吧你安全了（注意！没有绝对的安全哦）！！！
好了暂时就到这里了，我在这里总结出来的只是安全问题中最基础的一部分，其它的还要*大家自己去努力学习。大家碰到不懂的知识请多用搜索引擎，那个才是你最忠实伙伴、最诚实朋友，也是你最好老师！
另外，若有不到之处还请各位前辈批评指正！！
总之，多看看、多动脑、多动手就没有你学不会的东西！！！

文章并非原创

实在找不到文章的来源了，所以就不把原创作者给发上来了，希望作者谅解。

现在攻击个人电脑的木马软件很多，功能比以前多了，使用也比以前方便多了，所以危害也比以前大了，很多人中了木马自己还不知道，要想使自己的电脑安全，就好扎好自己的篱笆，看好自己的门，电脑也有自己的门，我们叫它端口.

端口

你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCP/IP协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客不是神仙，他也是通过端口进入你的电脑.

通过端口进入你的电脑

黑客是怎么样进入你的电脑的呢？当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。举个例子，有一种典型的木马软件，叫做netspy.exe。如果你不小心运行了netspy.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，netspy.exe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的7306端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。接下来，就来说利用软件如何发现自己电脑中的木马.

如何发现自己电脑中的木马

再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中netspy.exe，只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入 http://10.10.10.10:7306/，如果浏...??查找木马.

进一步查找木马

让我们做一个试验：netspy.exe开放的是7306端口，用工具把它的端口修改了，经过修改的木马开放的是7777端口了，现在再用老办法是找不到netspy.exe木马了。我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着，并且再分析这些开放的端口。

前面讲了电脑的端口是从0到65535为止，其中139端口是正常的，首先找个端口扫描器，推荐“代理猎手”，你上网以后，找到自己的IP地址，现在请关闭正在运行的网络软件，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对0到65535端口扫描，如果除了139端口以外还有其他的端口开放，那么很可能是木马造成的。

排除了139端口以外的端口，你可以进一步分析了，用浏览器进入这个端口看看，它会做出什么样的反映，你可以根据情况再判断了。

扫描这么多端口是不是很累，需要半个多小时，Tcpview.exe可以看电脑有什么端口是开放的，除了139端口以外，还有别的端口开放，你就可以分析了，如果判定自己的电脑中了木马，那么，你就得在硬盘上删除木马.

在硬盘上删除木马

最简单的办法当然是用杀毒软件删除木马了，Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马，但是不能删除netbus木马。

下面就netbus木马为例讲讲删除的经过。

简单介绍一下netbus木马，netbus木马的客户端有两种，开放的都是12345端口，一种以Mring.exe为代表（472,576字节），一种以SysEdit.exe为代表（494,592字节）。

Mring.exe一旦被运行以后，Mring.exe就告诉WINDOWS，每次启动就将它运行，WINDOWS将它放在了注册表中，你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值，你再到WINDOWS中找到Mring.exe删除。注意了，Mring.exe可能会被黑客改变名字，字节长度也被改变了，但是在注册表 中的位置不会改变，你可以到注册表的这个位置去找。

另外，你可以找包含有“netbus”字符的可执行文件，再看字节的长度，我查过了，WINDOWS和其他的一些应用软件没有包含“netbus”字符的，被你找到的文件多半就是Mring.exe的变种。

SysEdit.exe被运行以后，并不加到WINDOWS的注册表中，也不会自动挂到其他程序中，于是有人认为这是无害的木马，其实这是最可恶、最阴险的木马。别的木马被加到了注册表中，你就有痕迹可查了，就连专家们认为最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。

而SysEdit.exe要是挂在其他的软件中，只要你不碰这个软件，SysEdit.exe也就不发作，一旦运行了被安装SysEdit.exe的程序，SysEdit.exe也同时启动了。我们再来作做这样一个实验，将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来，Abcwin.exe是智能ABC输入法，当我开启电脑到上网，只要没有打开智能ABC输入法打字聊天，SysEdit.exe也就没有被运行，你就不能进入我的12345端口，如果我什么时候想打字了，一旦启动智能ABC输入法（Abcwin.exe），那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了，我的12345端口被打开，别人就可以黑到我的电脑中来了。同样道理，SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上，甚至可以捆绑到拨号工具上，电脑中的几百的程序中，你知道会在什么地方发现它吗？所以我说这是最最阴险的木马，让人防不胜防。

有的时候知道自己中了netbus木马，特别是SysEdit.exe，能发现12345端口被开放，并且可以用netbus客户端软件进入自己的电脑，却不知道木马在什么地方。这时候，你可以检视内存，请打开C:\WINDOWS\DRWATSON.EXE，然后对内存拍照，查看“高级视图”中的“任务”标签，“程序”栏中列出的就是正在运行的程序，要是发现可疑的程序，再看“路径”栏，找到这个程序，分析它，你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面，但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。

好了，来回顾一下，要知道自己的电脑中有没有木马，只要看看有没有可疑端口被开放，用代理猎手、Tcpview.exe都可以知道。要查找木马，一是可以到注册表的指定位置去找，二是可以查找包含相应的可执行程序，比如，被开放的端口是7306，就找包含“netspy”的可执行程序，三是检视内存，看有没有可以的程序在内存中。

你的电脑上的木马，来源有两种，一种是你自己不小心，运行了包含有木马的程序，另一种情况是，“网友”送给你“好玩”的程序。所以，你以后要小心了，要弄清楚了是什么程序再运行，安装容易排除难呀。?nbsp;

排除了木马以后，你就可以监视端口，---- 悄悄等待黑客的来临.

相信大家都想知道自己不在的时候电脑是否被人动过对吧``

  现在我们都分享这小小的技术`！

在开始——运行里输入  C:\WINDOWS\SchedLgU.Txt    接着就会跳出一个笔记本`里面就是电脑的开关纪录！越住下纪录就越新！！把红色的复制进去！就方便的多啦`！

教你安装双硬盘

其实，安装双硬盘看似一件简单的工作，却也有不少讲究的地方，下面就让我细细道来。

主从盘的设置

在装双硬盘前，首先应确定机箱中是否还有装第二硬盘的位置，若只有5寸槽的位置，则需要先准备一固定架。另外，还要确定一下电源插头、功率是否足够。在一条排线上装两个硬盘时，应将两块硬盘按自己的意愿分别设置成主盘和从盘，这样安装后才能正常使用。主、从盘的设置可按以下两种方法进行。

1.由硬盘跳线器设置

所有的IDE设备包括硬盘都使用一组跳线来确定安装后的主、从状态。硬盘跳线器大多设置在电源联接座和数据线联接插座之间的地方(也有设在电路板上的)，通常由3组(6或7)针或4组(8或9)针再加一个或两个跳线帽组成。另外，在硬盘正面或反面一定还印有主盘(Master)、从盘(Slave)以及由电缆选择(Cableselect)的跳线方法。

各类硬盘的跳线方法和标记说明大同小异，比如昆腾硬盘的跳线器通常有9针4组，其中一根叫“Key"，用于定位以便用户正确识别跳线位置。

2.由硬盘跳线器和40芯特制硬盘线配合确定

这种主、从盘的设置是先将硬盘跳线设置在“电缆选择有效”后，然后再根据需要将主、从盘联接在对应的硬盘线插头上。硬盘主、盘状态的设置取决于硬盘与硬盘线的联接插头。通常联接硬盘线中段插头的盘是主盘，联接在硬盘线尽头插头上的盘就是从盘。采用这种方法设置主、从盘时，必须将联接在同一条硬盘线的所有IDE接口设备(包括光驱等)跳线器设置在“电缆选择”位置。

能决定硬盘主、从盘状态40芯硬盘线是特制的。制作方法是将普通40芯硬盘线的第28根线(从第1根红线或其它标记开始数)在两个硬盘插头之间的位置上切断后做成的，切线时注意不能弄断其它线。使用特制硬盘线确定主、从盘状态的优点是使用方便。当需要交换硬盘主、从状态时只要将联接的硬盘线插头位置对调一下即可，不需要拆下硬盘来重新跳线。

安装双硬盘要注意的问题

1.在新增或升级硬盘时，尽量优先选择品牌相同的硬盘。因为不同品牌硬盘在同一条硬盘线上使用可能会出现兼容问题。如果电脑启动时检测不到或只检测出一块硬盘的情况时，在确认两块硬盘跳线设置都没有错误前提下可先断开原使用的硬盘再重新开机，如果这时电脑能检测出新加硬盘，那么就是两块硬盘兼容有问题。解决方法是将新硬盘放在第二硬盘线上使用。如果必须使用同一硬盘线，那么就将两块硬盘的主、从关系对换一下。

另外，如果新增加的硬盘与光驱等设备一起接在第二硬盘线上时，要注意光驱等设备的主、从盘设置不与新加硬盘相冲突，否则也会出现主板检测不到新增硬盘或者找不到原光驱问题。

2.要注意盘符交错的问题。在多分区的情况下，硬盘分区的排列顺序有些古怪：主硬盘的主分区仍被计算机认为是C盘，而第二硬盘的主分区则被认为是D盘，接下来是第一硬盘的其他分区依次从E盘开始排列，然后是第二硬盘的其他分区接着第一硬盘的最后盘符依次排列。这就有可能导致安装双硬盘后，系统或某些软件的不正常。

要使加第二硬盘后盘符不发生变化，解决的办法有两个：如果你只使用WIN98的话，比较简单，在CMOS中将第二硬盘设为NONE即可，但在纯DOS下不认第二个硬盘。第二种方法是接上双硬盘后，给第二个硬盘重新分区，删掉其主DOS分区，只分扩展分区。这样盘符也不会交错。当然若第一硬盘只有一个分区的话，也不存在盘符交错的问题。此外，某些计算机硬盘厂商，为解决硬盘盘符交错问题提供了一些辅助软件。

3.安装双硬盘后要注意散热，两个硬盘间空隙不能太小，且尽量不要超频。

如何把双系统装到一个分区
在安装双系统的时候，一般的报刊杂志介绍的方法都是把每个系统装到独立的不同分区，以免互相影响，造成不必要的麻烦。比如，Windows 98装到C盘，Windows XP装到D盘。那么，双系统到底能不能装到一个分区或者一个没有分区的硬盘呢？笔者经过尝试，发现一个分区装双系统其实是可行的，有兴趣的朋友不妨试试。
安装Windows 98，然后在Windows 98中安装Windows XP。要注意的是在安装时，选择全新安装。在安装选项对话框中单击“高级”选项，然后选择一个新的路径，如C:＼winxp＼，而不要用默认的＼windows＼目录，否则就会把Windows 98的同名文件被覆盖，造成问题。跳过升级到NTFS这一步。经过一段等待，Windows XP安装完成了，重新启动，结果发现电脑自动进入Windows XP，双重启动菜单根本就没出现，打开C盘，点“工具→文件夹选项→查看→显示所有文件和文件夹”，发现实现双启动所需的文件都存在，看来问题并不严重，找到BOOT.INI，点右键，选“属性”，取消“只读”然后打开它，重新编辑一下：
[boot loader]
timeout=30
default=C:＼
[operating systems]
C:＼="Microsoft Windows"
multi(0)disk(0)rdisk(0)partition(1)＼WINXP="Microsoft Windows XP Professional" /fastdetect
保存，重新启动电脑，双重启动菜单出现，分别进入两个系统试试，没有任何问题，安装成功。
轻松卸载多系统之预备知识
越来越多的朋友在硬盘中安装了多个操作系统，要知道，这安装容易，卸载难啊。其实卸载也不可怕。
卸载的共通点
1.释放要卸载的操作系统对引导扇区的控制权，并将控制权交由其他操作系统管理。 2.在多操作系统引导菜单中的选项中去除要卸载的操作系统选项。3.删除系统，释放剩余空间。
卸载Windows多操作系统
卸载多系统中的Win2000/XP/2003
要将Win 2000/XP/2003从多系统中彻底删除，留下Win9X/Me系统，可以根据具体情况按以下方法操作。
1.如果多操作系统所在的安装分区都是FAT32分区，可以直接在Win9X/Me下删除Win2000/XP/2003的Windows或Winnt、Program Files和Documents and Settings目录，然后删除C盘中的如下文件：ntldr、ntdetect.com、boot.ini、ntbootdd.sys(如果你有SCSI设备的话)和bootfont.bin，最后用Windows 9X/Me启动光盘引导计算机，执行命令：“a:sys c：”即可彻底卸载WinXP。
提示：另外，也可以用Win98启动盘启动电脑，运行“FORMAT”命令直接快速格式化Win2000/XP/2003所在的硬盘分区，如A:>FORMAT D:/Q ，之后再运行“SYS C：”命令以使硬盘可引导。
2.如果Win2000/XP/2003采用的是NTFS分区，可以使用Win98启动盘启动电脑，运行“FDISK”命令，虽然FDISK也不能识别Win2000/XP/2003所在的NTFS分区，显示其为不明分区(unknown partition)，但我们仍可以将该分区删除掉，然后重新分区即可。

如何装双系统:::
先安装版本比较旧的系统，然后放入较新的系统盘！
比如98与XP，先安装98系统，然后进入98系统，放入XP系统盘，选择全新安装，不要选择升级安装，另外最好安装到不同的硬盘里！

PS：eeyuse，没听说过要进入98里再装XP的！！！那是你孤陋寡闻了！你知不知道还可以先装XP再装98呢？增长知识，不是让你出来炫耀的！
下面我向楼主介绍一下，从高向低安装，如装XP再装2000的方法，安装98的方法也一样！
你首先要做一些准备工作：

第一就是Windows2000的安装光盘。还需要有至少两个硬盘分区，安装双系统的时候，很不建议你把两个系统安装到同一个分区中，这样可能会对以后的使用造成很多麻烦。如果以上的工作你全部做好了，那么就继续我们的安装吧。

假设你的WindowsXP安装在C盘，你想安装Windows2000到D盘，那么只要用Windows2000的光盘启动系统，直接运行安装程序并安装到D盘就可以，只不过这样安装后双启动菜单会失效，只能进入Windows2000。原因是这样的：

在WindowsNT系统的启动中，用到了很多重要的系统文件，而在安装了XP的机器上再装2000的时候会把XP的NTLDR和NTDETECT.COM两个文件替换为Windows2000中版本较低的同名文件，而Windows2000中的这两个文件是不能引导WindowsXP的。因此我们的修复也就是用WindowsXP中的文件替换被Windows2000覆盖的该文件。

这两个文件都保存在C盘的根目录下，不过他们有默认的隐含、系统和只读属性，因此你不能用一般的方法替换，而首先要解除他们的隐含、系统和只读属性。方法是这样的：

进入到Windows2000中，在运行中分别输入

attribc:\ntldr–s–r–h
attribc:\ntdetect.com–s–r–h

每行输入完成后按下回车键。这时你已经完全的解除了这两个文件的系统、隐含和只读属性。现在从WindowsXP的安装光盘的I386文件夹中复制这两个同名的文件出来到C盘根目录，并覆盖原文件。这时你的双启动菜单就已经恢复了。不过安全起见我们可以把那两个文件隐藏起来，方法是，在运行中分别输入：

attribc:\ntldr+s+r+h
attribc:\ntdetect.com+s+r+h

这样会重新赋予那两个文件系统、隐含和只读属性。

重启动一下看看吧，你的双启动菜单已经完全正常了。

如果你会装单系统，装双系统你会很好装的！

例如：
1.先装windows98，把98装在c盘中，装好以后，重新启动，在装XP，在让你选安装目录时你选择D盘！ 安装完后重新启动，你会发现只有XP系统一个启动菜单，

2.把windows98的安装盘放进光驱，然后出现引导菜单！
里面有3个选项
（1）安装windows98
（2）修复windows98
（3）推出安装windows98

3.你选择（2）修复windows98


4。然后重新启动，这时你会发现，有两个启动菜单拉！

windows xp
windows 98


提示注意：1.不论装几个系统，都是由版本的低级向高级装的， 如果你想装 98和 2000，那么你就的先装98然后装2000，如果想装2000和XP，你就的装2000，然后在装XP！
2.在低版本上装高版本的时候一般都有一个提示对话框，内容是：推荐你在低版本上升级高版本！如果你只想升级你可以选升级，如果你是装双系统，你可以点击“全新安装”！
最后祝你好运，如果有不明白的请问我，我的QQ是：136582458

“远程破解”与“本地破解”正好相反，是指QQ盗号者通过网络盗窃远端QQ用户的密码。这种QQ破解有很多方法，如在线密码破解、登录窗口破解、邮箱破解、消息诈骗以及形形色色的QQ木马病毒等。下面就让我们一同来看看这些QQ密码的远程破解是怎么实现的。

1、在线密码破解

大家知道QQ可以利用代理服务器登录，这是一种保护措施。它不仅可以隐藏用户的真实IP地址，以避免遭受网络攻击，还可以加快登录速度，保证登录的稳定性。

在线密码破解和本地密码破解采用的技术方法类似，都是穷举法，只不过前者完全脱离了本地用户使用的QQ。它通过对登录代理服务器进行扫描，只要想盗的QQ号码在线，就可利用在线盗号工具实现远程TCP/IP的追捕，从而神不知鬼不觉地盗取QQ密码！

在线破解改变了本地破解那种被动的破解方式，只要是在线的QQ号码都可以破解，适用范围较广。但是由于它仍然采用穷举法技术，所以在枚举密钥位数长度以及类型时，校验时间很长，破解效率不高。同样，这种方法还受到电脑速度、网速等诸多因素的影响，因此比前面的本地破解更麻烦。

目前功能比较强大的一款QQ密码在线破解软件叫QQExplorer。它的破解操作分四步：第一步，在QQ起始号码和结束号码中填上想要盗取的QQ号码（此号码必须在线）；第二步，在“添加或删除HTTP代理服务器”中输入代理服务器的IP地址和端口号码（如果你嫌自己寻找QQ代理服务器麻烦，可以使用一些现代的QQ代理公布软件）；第三步，点击“添加&测试”按钮，软件先自动检测此服务器是否正常，确定后将它加入代理服务器列表（此软件可填入多个代理服务器的地址，并且能够自动筛选不可用或者速度慢的服务器）；第四步，点击“开始”按钮，开始在线密码破解……

2、登录窗口破解

伪造QQ登录窗口的盗号方法非常简单，这是一种比较另类的木马破解方法（后面对木马破解有专门讲述）。先用盗号软件生成一个伪装的QQ主程序，它运行后会出现跟腾讯QQ一模一样的登录窗口，只要用户在这个伪登录窗口中登录，输入的QQ号及密码就会被记录下来，并通过电子邮件发送到盗号者指定的油箱中，在此以一款叫“狐Q”的软件为例，首次运行它时，它会把自身复制到QQ目录中，并把原来的QQ.exe文件改名为QQ.com（这样的更改不会影响QQ的正常运行）。设置完毕后，“狐Q”的原程序就会消失，伪装成QQ等待“猎物”上钩……在其软件设置中，有一项设置可以决定真假QQ交替运行的次数，可以减少用户在使用QQ时产生的怀疑。比如说将“生效次数”设定为3，那么用户第一次运行的是真QQ了，也就是说在第三次运行时，用户的QQ号便被盗了！在QQ密码发送的过程中，如果发送失败，它还会把QQ号和密码记下来，等待下一次发送。

即时监视QQ登录窗口的盗号方法利用Windows窗口函数、句柄功能实现QQ号和密码的后台截取。此类软件几乎可以捕获Windows下所有标准密码框中的密码，如QQ、Outlook、屏幕保护程序、各种电子邮件客户端、各种游戏账号和上网账号等。捕获后，它也会将密码实时发送到盗号者指定的邮箱中。其代表性的盗号软件是“密码使者”，它几乎可以捕获Windows 9x/2000/XP下所有登录窗口中的密码，并且还能够盗取在网页中登录的各种密码。盗号在使用这款软件时，只须填上用于接收别人QQ密码的邮箱地址及保护密码，并把生成的盗号器文件传过去哄骗别人运行，然后就可以坐等密码上门！此软件与传统的键盘记录器不同，它在电脑每次开机时隐藏自启动，不管密码是用键盘输入的，还是复制、粘贴的，都能够有效地实时拦截！其注册版本居然还带有自动升级的功能，破坏力十分巨大。

3、邮箱破解

利用邮箱盗取QQ密码也是一种比较常用的方法。我们都知道，腾讯公司在对用户的QQ号码进行验证时需要用户填写电子邮箱。对于申请了“密码保护”功能的用户，在腾讯主页上找回遗忘的密码时，密码会被发送到用户注册时的邮箱中。所以，只要盗号者破解了对方的电子邮箱，就有机会得到其QQ密码！通常我们在对方QQ注册时填写的邮箱。至于如何破解电子邮箱，具体的操作方法有多种，由于它有点超出文本的范畴，所以大家可以自己上网查询相关资料，在此就不赘述了。

4、消息诈骗

孔子曰：上士杀人用笔端，中士杀人用语言，下士杀人用石盘。远程盗取QQ密码还有一种大家最常见也是最简单最有效的方法，那就是利用不少人爱贪小便宜的弱点，进行人为的欺骗！

标题:腾讯关于xxxxx获奖通知

“QQ幸运儿：恭喜！！！您已经成为QQ在线网友齐抽奖的中奖用户。您将获赠精美T恤1件，并有机会得到NOKIA 7110手机1部。腾讯公司(tencent.com)注：奖品是以邮寄方式寄出，请您认真填写以下资料。如果填写错误，将被作为自动放弃获奖机会处理。> > QQ号码：> 密码：> 姓名：> E-mail地址：> 身份证号码：> 通讯地址：> 联系电话：> 邮编：”

比如我们的QQ经常会收到如下的陌生人消息。

如果你真的如实填写这些资料并傻傻的发送回去，不一会儿QQ密码就被盗了。

还有类似这样的消息：“亲爱的***号QQ用户，恭喜你你已经成为腾讯的幸运号码，腾讯公司送你QQ靓号：12345，密码：54321。请尽快登陆并修改密码，感谢您对腾讯公司的支持！”不少人一看，以为白捡的便宜来了 ，登录一试还是真的，于是就大大咧咧地笑纳了。但是，很多人为了方便，不管什么东西都爱使用相同的密码，所以当这个QQ号的密码被你改为与自己QQ号相同的密码时，自己QQ号的连同这个赠送的QQ号都得玩完！这是因为，赠送的QQ号已被盗号者申请过密码保护，当你更改密码后他就利用腾讯的密码保护功能把它收了回去，同时也收走你的QQ密码。如果你的QQ没有申请过密码保护，此刻就只能和它永别了。

5、更多的木马破解

“古希腊大军围攻特洛伊城，久攻不破，遂造一大木马藏匿将士于其中，大部队假装撤退而弃木马。城中得知敌退，将木马作战利品拖入城内。午夜时分，匿于木马中的将士开启城门四处纵火，城外伏兵涌入，里应外合，焚屠特洛伊城。”这是古希腊神话《木马屠城记》的故事，其中那只木马被黑客程序借用其名，表“一经潜入，后患无穷”之意。一个完整的木马程序由服务器端和控制端组成。所谓“中了木马”，是指用户的电脑中被安装了木马的服务器端，而拥有控制端的盗号者就通过网络远程控制该电脑，从而轻而易举地盗得该缒灾械腝Q密码。

针对QQ的木马程序多不胜数，其中专门盗取QQ密码的也有一大堆，它们被偷偷地安装在用户的电脑中，随电脑启动而自动运行，如果用户使用QQ，那么其账号和密码就会被这些木马记录下来，并发送到木马安装者的邮箱中。前面已经介绍了两款通过登录窗口盗号的QQ木马，下面再介绍两款典型的。

第一款：极品QQ盗号2004

这是“极品QQ盗号”木马的最新版本。它的使用方法跟前面介绍的“密码使者”差不多，先再“设置”栏中填入接收QQ密码的邮箱地址和发送邮件的标题，然后把生成的盗号器偷偷地安装到别人的电脑里……这个木马声称可以避过主流的杀毒软件，盗取QQ最新版本的密码，即QQ2004和QQ2004奥运特别版的密码。

第二款：QQ间谍3.0

使用此木马软件时，点击工具条上的“服务端”，按照提示生成服务端程序，然后把它偷偷地传到别人的电脑中，当受害者不小心运行了它，木马就被种上了。这个木马不仅可以盗号，还能悄悄地在后台记录受害者的QQ聊天信息，并下载可执行文件实现远程升级和远程执行脚本程序。另外再注册之后，它还可以直接远程监控对方电脑上的QQ聊天记录。

利用木马软件盗取QQ密码，显然比用前面介绍的那些破解方法更有效率！不仅节省时间，而且成功率也高。但是，如何把木马程序的服务器端安装在用户的电脑中，这是一个费心思的事儿。另外，很多功能强大的木马程序都是需要花钱注册，才能使用其全部功能。因此，对于那些水平参差不齐的盗号者而言，要想玩转木马程序，还得费点劲。

听说过灰鸽子、冰河等可以实现远程控制，但你听说过IE也可以实现吗？不错，一款基于IE的新鲜工具——rmtSvc&vIDC即可让微软的IE成为一个超级黑客帮凶。本文除了将为你展现rmtSvc&vIDC是如何基于IE远程控制肉鸡以外，更在如何“暗杀”杀毒软件、攻击思路上有较强的指导性。

如果我问你IE能做什么？你的答案绝对不完整！IE可不仅仅能浏览网页。如果我再告诉你IE还能用来远程控制、远程传输、进程管理、代理服务，甚至远程开启Telnet、FTP服务等等呢？你一定觉得不可思议吧，有了rmtSvc&vIDC，这一切皆有可能！

一、有IE 想黑就黑

简单点说，rmtSvc是一款集FTP、Telnet服务、Proxy服务以及vIDC服务的远程控制工具。用户可以通过此款工具方便地对远程计算机进行控制。此工具和其它远程控制工具不同，它采用B/S结构（无需安装），用户可通过浏览器进行远程控制（我们的口号是：有IE，想黑就黑！）。

下面，笔者就以入侵控制的实例来为大家分别介绍rmtSvc常用功能的使用方法及技巧。解压下载后的压缩包，先别急着让rmtSvc.exe在目标机运行（未加壳的程序会遭到杀毒软件的查杀），笔者先告诉大家如何给源程序加壳从而避免被查杀吧（不然就没得玩了-_-|）。运行该软件，进入“选项”菜单，勾选“保留额外数据”，然后“打开文件”，选择源程序rmtSvc.exe后就会自动压缩了。

特别提醒：压缩后的rmtSvc.exe不会被杀毒软件查杀，而且文件体积会减少近50%（经过金山毒霸6增强版、KV2005、诺顿2005测试）,如果想进一步增强隐蔽性，请参考2004年第50期G9版《披着羊皮的狼——将Radmin改造为百分百木马》一文介绍的“超级捆绑”软件的使用方法。木马程序的欺骗发送本文就不作进一步讨论了。

二、武装RmtSvc “暗杀”杀毒软件

1．打开浏览器输入http://IP:port（其中IP为被控机的IP地址，port为rmtSvc的服务端口，默认为7778）。连接成功后将会看到如图1的欢迎登录画面，输入访问密码（默认为123456），就可以进行rmtSvc所支持的操作（如果之前已经连同msnlib.dll和webe目录都发给了对方，那么rmtSvc将会多出用MSN进行远程控制和HTTP方式文件管理的功能）。

2．欢迎登录画面的上方为rmtSvc的系统菜单，从左至右的功能依次为：Pview （进程查看）、Spy++（远程控制管理）、Proxy（启动或停止rmtSvc的代理服务）、vIDC（设置vIDCs的访问权限）、logoff（注销对rmtSvc登录）、Option（配置rmtSvc的运行参数）、About（rmtsvc欢迎/登录画面）。

3．第一次登录需进入rmtSvc的参数设置更改敏感信息（图2），这样才能保障其安全性。先在“Modify Password”修改rmtSvc访问密码，再在“Service Port”更改rmtSvc服务端口为任意一个4位不常用的端口(需要重启服务才会生效，建议设为高端端口）。然后将“Start Control、Stolen mode”选上，这样rmtSvc会自动安装为Windows服务随机启动且服务为隐藏属性，这也就意味着在下次启动时，你可以继续控制目标机器。

4．接下来在“Start mode”选项中，设置rmtSvc运行后自动启动FTP和Telnet服务（另外还有Proxy、vIDCs映射等）。通过FTP可以方便地进行文件上传下载。再将“Auto install service”和“Forbid detaching Dll”选择上，这样每次程序运行时会自动检测rmtSvc服务是否已安装，如果没有安装则自动安装为服务（相当于自我修复功能）并释放一个DLL文件（可修改文件名，默认为inject.dll）,这是为了防止自动释放的未加壳的DLL被杀毒软件查杀，用户可以选择不释放DLL。手工将加壳后的DLL拷入到被控机的系统目录下，在释放DLL的名称处填入你加壳后的DLL名称。

高手传经：rmtSvc释放的DLL主要有以下用处：隐藏进程、模拟“Ctrl+Alt+Del”按键、显示密码框密码、监视rmtSvc运行情况。如果异常退出或被杀掉则会自动重新启动，将配置参数写入rmtSvc程序本身（强烈建议选择）。

5.接下来在“Killed Program”中，设定rmtSvc监视并自动杀掉的进程名称,如有多个进程，各个名称之间以逗号分隔。例如输入：PFW.exe,KAVSvc.exe就可以把金山毒霸和天网防火墙关闭。

6.一切设置无误后，点击“Save”保存当前配置，在弹出的对话框中输入reg，将配置参数写入到注册表。输入self则是将配置参数写入该EXE文件自身，如果填写其它则会生成相应文件名的.exe的副本，并将配置参数写入此EXE副本。例如：输入c:\abc.exe，将在c盘根目录下生成一个abc.exe副本，并将配置参数写入此副本。

7.随后rmtSvc服务会重新启动运行。

高手传经：隐藏模式下才可以将配置参数写入EXE本身，如果没有保存，每次在rmtSvc正常退出时也会将配置参数写入EXE本身。

8.再次使用新设密码登录后，单击Pview进入“进程查看”页面，在这里将显示三个部分的信息：系统信息、进程/模块信息、CPU/内存使用信息。在页面的右边为进程模块显示区域，点击某个进程名则显示此进程的相关模块信息，点击“Kill It”按钮就可以杀掉该进程（需要注意的是进程列表不会实时自动刷新，用户必须手工刷新）。现在你的rmtSvc已经被武装到了牙齿，还等什么，可以出手了。

三、用IE控制过把瘾

把挡路的安全软件给“暗杀”后，接下来就可以趁对方不在时使用Spy++远程控制管理来远程控制机器了。当然在控制前我们需要将相关参数设置妥当，这样才能得到更好的控制效果。

1．在“Quality”显示效果中选择Good(好)，“Stretch”设置捕获图像的缩小比率80%。最后将“Cursor”选上，这样在捕获远程计算机屏幕时就会连同鼠标光标一起捕捉，以便用户知道当前鼠标光标位置。设置好后点击“Set”使上述三个参数生效。

2．接下来就可以尝试控制了。当远程桌面图像处于焦点状态（鼠标在图像区域内），你就可以直接敲击键盘发送按键信息，和你操作本地机器一样。但是对于输入大段的文本这是非常不方便的，因为你的每次按键动作都会作为一次HTTP请求发出，输入速度很慢。

如果你想输入大段文本，可以将鼠标选中Input输入框，然后输入你想要发送的文本，按下回车即可；如果选中了Crlf复选框，则在你输入的文本后面会自动加入回车换行。

3．但是在进行远程计算机登录时，有些机器可能无法通过Input输入框直接输入登录密码，只能通过模拟键盘输入登录密码。方法如下：通过鼠标直接点击桌面图像，系统会自动识别你的鼠标的单击、双击键信息。如果你在按下鼠标的同时按下了“Shift”、“Alt”或“Ctrl”键，系统也能自动识别。

4．为了更方便地控制远程桌面，可以将远程桌面图像设为自动刷新，这样就不会出现有动作发出而图像没有变化需要手工刷新的情况了。方法如下，勾选“Auto-refresh”项，在右边输入自动刷新间隔，默认为500ms。

高手传经：如果想知道远程被控机中密码框中的密码。则需要用到Password→Text项，在有密码框时此项会变为Text→Password。此时只要用鼠标左键点击远程桌面图像的密码输入框，则远程被控机密码框中的密码会被翻译成明文显示。如果你取消此项功能，点击Text→Password项即可，此时此项就会变为Password→Text。

5.如果要远程执行程序，选择Start下拉列表框的Run项，输入你要远程执行的文件名和参数即可，使用方法和Windows的开始菜单的运行命令一致。

如此这般，通过IE就能像操作本机一样控制目标机了。

四、FTP/Telnet 一个都不能少

远程控制似乎并不能让我们感到满足，那就再来开启对方的FTP/Telnet服务，彻底过把入侵瘾吧。

1．进入“FTP&Telnet”菜单，点击FTP/Telnet服务旁边的“Run”就可以启动相关服务了。FTP/Telnet port：设置FTP/Telnet服务的端口，默认FTP为2121，Telnet为2323。Anonymous access：设置访问FTP服务的权限，是否允许匿名访问（enable），如果不允许则设置访问的用户名和密码。

2．另外，我们还要允许设置不同访问的账号，每个账号可以指定是否可写/可删除/可执行以及设置不同的FTP根目录。可以在FTP设置的文本输入框中输入多个访问账号信息，各个账号信息用回车换行分隔，账号信息格式如下：

[账号名] SP [密码] SP [访问权限] SP [允许访问的目录] CRLF

高手传经：设置PERMISSION（访问权限）时，0:仅仅只读，1:可写，3:可写并且可删除 7:可写可删除可执行。例如：[cytkk] sp [123456] sp [7] sp [c:] 就建立了一个拥有管理员权限，密码为123456的cytkk账户。

3．此时FTP账号信息仅仅写入注册表保存，不会保存到EXE中。

现在就可以利用FTP工具和Windows自带的Telnet工具进行登录和操作了，此时你想怎么玩就怎么玩吧！

到此，RmtSvc基本功能的使用大家就已经学会了，限于篇幅，它更多的功能就不在此一一举例了。