电脑键盘常用快捷键

电脑键盘常用快捷键

背熟以下文章，就能脱离鼠标
一、常见用法：

F1　　　　　　　　　　　显示当前程序或者windows的帮助内容。
F2　　　　　　　　　　　当你选中一个文件的话，这意味着“重命名”
F3　　　　　　　　　　　当你在桌面上的时候是打开“查找：所有文件” 对话框

F10或ALT　　　　　　　　激活当前程序的菜单栏
windows键或CTRL+ESC　　 打开开始菜单
CTRL+ALT+DELETE　　　　 在win9x中打开关闭程序对话框
DELETE　　　　　　　　　删除被选择的选择项目，如果是文件，将被放入回收站
SHIFT+DELETE　　　　　　删除被选择的选择项目，如果是文件，将被直接删除而不是
放入回收站
CTRL+N　　　　　　　　　新建一个新的文件
CTRL+O　　　　　　　　　打开“打开文件”对话框
CTRL+P　　　　　　　　　打开“打印”对话框
CTRL+S　　　　　　　　　保存当前操作的文件
CTRL+X　　　　　　　　　剪切被选择的项目到剪贴板
CTRL+INSERT 或 CTRL+C　 复制被选择的项目到剪贴板
SHIFT+INSERT 或 CTRL+V　粘贴剪贴板中的内容到当前位置
ALT+BACKSPACE 或 CTRL+Z 撤销上一步的操作
ALT+SHIFT+BACKSPACE　　 重做上一步被撤销的操作
　
Windows键+M　　　　　　 最小化所有被打开的窗口。
Windows键+CTRL+M　　　　重新将恢复上一项操作前窗口的大小和位置
Windows键+E　　　　　　 打开资源管理器
Windows键+F　　　　　　 打开“查找：所有文件”对话框
Windows键+R　　　　　　 打开“运行”对话框
Windows键+BREAK　　　　 打开“系统属性”对话框
Windows键+CTRL+F　　　　打开“查找：计算机”对话框
SHIFT+F10或鼠标右击　　 打开当前活动项目的快捷菜单
SHIFT　　　　　　　　　 在放入CD的时候按下不放，可以跳过自动播放CD。在打开wo
rd的时候按下不放，可以跳过自启动的宏
　
ALT+F4　　　　　　　　　关闭当前应用程序
ALT+SPACEBAR　　　　　　打开程序最左上角的菜单
ALT+TAB　　　　　　　　 切换当前程序
ALT+ESC　　　　　　　　 切换当前程序
ALT+ENTER　　　　　　　 将windows下运行的MSDOS窗口在窗口和全屏幕状态间切换

PRINT SCREEN　　　　　　将当前屏幕以图象方式拷贝到剪贴板
ALT+PRINT SCREEN　　　　将当前活动程序窗口以图象方式拷贝到剪贴板
CTRL+F4　　　　　　　　 关闭当前应用程序中的当前文本（如word中）
CTRL+F6　　　　　　　　 切换到当前应用程序中的下一个文本（加shift 可以跳到前
一个窗口）

在IE中：

ALT+RIGHT ARROW　　　　 显示前一页（前进键）
ALT+LEFT ARROW　　　　　显示后一页（后退键）
CTRL+TAB　　　　　　　　在页面上的各框架中切换（加shift反向）
F5　　　　　　　　　　　刷新
CTRL+F5　　　　　　　　 强行刷新

　
　　目的快捷键

　　激活程序中的菜单栏 F10

　　执行菜单上相应的命令 ALT+菜单上带下划线的字母

　　关闭多文档界面程序中的当

　　前窗口 CTRL+ F4

　　关闭当前窗口或退出程序 ALT+ F4

　　复制 CTRL+ C

　　剪切 CTRL+ X

　　删除 DELETE

　　显示所选对话框项目的帮助 F1

　　显示当前窗口的系统菜单 ALT+空格键

　　显示所选项目的快捷菜单 SHIFT+ F10

　　显示“开始”菜单 CTRL+ ESC

　　显示多文档界面程序的系统

　　菜单 ALT+连字号(-)

　　粘贴 CTR L+ V

　　切换到上次使用的窗口或者

　　按住 ALT然后重复按TAB，

　　切换到另一个窗口 ALT+ TAB

　　撤消 CTRL+ Z

二、使用“Windows资源管理器”的快捷键

　　目的快捷键

　　如果当前选择展开了,要折

　　叠或者选择父文件夹左箭头
折叠所选的文件夹 NUM LOCK+负号(-)

　　如果当前选择折叠了，要展开

　　或者选择第一个子文件夹右箭头

　　展开当前选择下的所有文件夹 NUM LOCK+*

　　展开所选的文件夹 NUM LOCK+加号(+)

　　在左右窗格间切换 F6

三、使用 WINDOWS键

　　可以使用 Microsoft自然键盘或含有 Windows徽标键的其他任何兼容键盘的以下快
捷键。

　　目的快捷键

　　在任务栏上的按钮间循环 WINDOWS+ TAB

　　显示“查找：所有文件” WINDOWS+ F

　　显示“查找：计算机” CTRL+ WINDOWS+ F

　　显示“帮助” WINDOWS+ F1

　　显示“运行”命令 WINDOWS+ R

　　显示“开始”菜单 WINDOWS

　　显示“系统属性”对话框 WINDOWS+ BREAK

　　显示“Windows资源管理器” WINDOWS+ E

　　最小化或还原所有窗口 WINDOWS+ D

　　撤消最小化所有窗口 SHIFT+ WINDOWS+ M

四、使用“我的电脑”和“Windows资源管理器”的快捷键

　　目的快捷键

　　关闭所选文件夹及其所有父

　　文件夹按住 SHIFT键再单击“关闭按钮（仅适用于“我的电脑”）

　　向后移动到上一个视图 ALT+左箭头

　　向前移动到上一个视图 ALT+右箭头

　　查看上一级文件夹 BACKSPACE

五、使用对话框中的快捷键

　　目的快捷键

　　取消当前任务 ESC

　　如果当前控件是个按钮，要

　　单击该按钮或者如果当前控

　　件是个复选框，要选择或清

　　除该复选框或者如果当前控

　　件是个选项按钮，要单击该

　　选项空格键

　　单击相应的命令 ALT+带下划线的字母

　　单击所选按钮 ENTER

　　在选项上向后移动 SHIFT+ TAB

　　在选项卡上向后移动 CTRL+ SHIFT+ TAB

　　在选项上向前移动 TAB

　　在选项卡上向前移动 CTRL+ TAB

　　如果在“另存为”或“打开”

　　对话框中选择了某文件夹，

　　要打开上一级文件夹 BACKSPACE

　　在“另存为”或“打开”对

　　话框中打开“保存到”或

　　“查阅” F4

　　刷新“另存为”或“打开”

　　对话框 F5

六、使用“桌面”、“我的电脑”和“Windows资源管理器”快捷键

　　选择项目时，可以使用以下快捷键。

　　目的快捷键

　　插入光盘时不用“自动播放”

　　功能按住 SHIFT插入 CD-ROM

　　复制文件按住 CTRL拖动文件

　　创建快捷方式按住 CTRL+SHIFT拖动文件

　　立即删除某项目而不将其放入 SHIFT+DELETE

　　“回收站”

　　显示“查找：所有文件” F3

　　显示项目的快捷菜单 APPLICATION键

　　刷新窗口的内容 F5

　　重命名项目 F2

　　选择所有项目 CTRL+ A

　　查看项目的属性 ALT+ ENTER或 ALT+双击

　　可将 APPLICATION键用于 Microsoft自然键盘或含有 APPLICATION键的其他兼容键

七、Microsoft放大程序的快捷键

　　这里运用Windows徽标键和其他键的组合。

　　快捷键目的

　　Windows徽标+PRINT SCREEN将屏幕复制到剪贴板（包括鼠标光标）

　　Windows徽标+SCROLL LOCK将屏幕复制到剪贴板（不包括鼠标光标）

　　Windows徽标+ PAGE UP切换反色。

　　Windows徽标+ PAGE DOWN切换跟随鼠标光标

　　Windows徽标+向上箭头增加放大率

　　Windows徽标+向下箭头减小放大率

　
八、使用辅助选项快捷键

　　目的快捷键

　　切换筛选键开关右SHIFT八秒

　　切换高对比度开关左ALT+左SHIFT+PRINT SCREEN

　　切换鼠标键开关左ALT+左SHIFT+NUM LOCK

　　切换粘滞键开关 SHIFT键五次

　　切换切换键开关 NUM LOCK五秒
 
 

 

 

 

组策略完全使用手册2007-08-09 23:23组策略完全使用手册

   

组策略完全使用手册
　

对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础
1.什么是组策略
注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。
其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。
2.组策略的版本
对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows
9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows
2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows
2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active
Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。
当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。
3.在Windows
XP中运行组策略
在Windows
2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。
使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开：
(1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。
(2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。
(3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。
(4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。
(5)单击“完成”按钮，组策略管理单元即打开要编辑的组策略对象。
(6)在左窗格中定位需要更改的选项的位置，在右窗格中右键单击需要更改的具体选项，单击“属性”命令，即可打开其属性对话框，从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。
4.组策略中的管理模板
在Windows
2000/XP/2003中包含几个ADM文件。这些文件是文本文件，被称为“管理模板”，它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。
在Windows
2000/XP/2003中，默认的Admin.adm管理模板位于系统文件夹的INF文件夹中，包含了默认安装下的4个模板文件，分别为：
(1)System.adm：默认安装在“组策略”中，用于系统设置。
(2)Inetres.adm：默认安装在“组策略”中，用于Internet
Explorer(IE)策略设置。
(3)Wmplayer.adm：用于Windows Media
Player设置。
(4)Conf.adm：用于NetMeeting设置。
在策略管理控制台中，可以多次添加“策略模板”，下面让我们来看看具体操作：
首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，单击鼠标右键，选择“添加/删除模板”命令，然后在打开的对话框中单击“添加”按钮，在打开的对话框中选择相应的ADM文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。
返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”选项，再单击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了。
注意：下面的操作均在Windows
XP中进行。
二、个性化我的电脑
1.删除“开始”菜单中的“文档”菜单项
在多人使用的计算机中，有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息。因此，为了删除用于记录历史文档的“文档”菜单项，我们可以通过修改组策略来实现。
位置：/用户配置/管理模板/任务栏和“开始”菜单/
启用此设置，则系统保存“文档”快捷方式，但不在“文档”菜单中显示它们。如果以后禁用此设置或把它设置为未配置，则启用设置之前及其生效之时保存的“文档”快捷方式会出现在“文档”菜单项中。如图2所示。
注意：此设置不会阻止Windows程序在最近打开的文档中显示快捷方式。
另外，你也可以设置在退出系统时自动清除最近打开的文档的历史记录。
位置：/用户配置/管理模板/任务栏和“开始”菜单/
如果禁用该策略设置，系统就会在用户退出时删除快捷方式。因此，用户登录时，“开始”菜单上的文档菜单总是空的。如果禁用或不配置此设置，系统将保留文档快捷方式，并且用户登录时的文档菜单看起来与用户退出系统时完全相同。
注意：系统在/Documents
and
Settings//Recent文件夹中的用户配置文件中保存文档快捷方式。
2.删除“开始”菜单中的“运行”菜单项
在“开始”菜单中有“运行”菜单项，可以输入程序名称来启动程序。我们可以将“运行”菜单项从“开始”菜单中删除。
位置：/用户配置/管理模板/任务栏和“开始”菜单/
如果启用该设置，发生如下更改：
(1)“运行”命令从“开始”菜单中删除。
(2)新建任务(运行)命令从任务管理器删除。
(3)阻止用户在IE地址栏中输入下列项：
UNC路径：//＜server＞/＜share＞。
访问本地驱动器：例如，C:。
访问本地文件夹：例如，/temp＞。
同时，使用WIN+R组合键将无法显示“运行”对话框。如果禁用或不配置此设置，用户可以访问“开始”菜单和任务管理器的“运行”命令，以及使用IE地址栏。
注意：这个策略只影响指定的界面。不会防止用户使用其他方法运行程序。
3.给“开始”菜单减肥
如果觉得Windows的“开始”菜单太臃肿，你完全可以通过组策略设置将不需要的菜单项从“开始”菜单中删除。
位置：/用户配置/管理模板/任务栏和“开始”菜单/
在组策略右侧窗格中，提供“从‘开始’菜单删除用户文件夹”、“删除到‘Windows
Update’的访问和链接”、从‘开始’菜单删除公用程序组、从‘开始’菜单中删除“我的文档”图标等配置项目。你只要将不需要的菜单项所对应的策略启用即可。
4.隐藏和禁用桌面上的所有项目
该策略可以从桌面上删除图标、快捷方式和其他默认的和用户定义的项目。
位置：/用户配置/管理模板/桌面/
该策略删除图标和快捷方式不防止用户用另一种方法启动程序或打开图标和快捷方式所代表的项目。
5.退出时不保存用户设置
该策略用于防止用户保存对桌面的某些更改。
位置：/用户配置/管理模板/桌面/
如果你启用这个设置，用户可以对桌面做某些更改，但有些更改，比如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
6.启用/禁用“活动桌面”(Active
Desktop)
活动桌面是Windows 98(及以后版本)或安装了IE
4.0的系统中自带的高级功能，它最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能(并且防止用户启用它)。
位置：/用户配置/管理模板/桌面/Active
Desktop
提示：如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置，“禁用Active
Desktop”设置会被忽略。如果“禁用Active Desktop和Web视图”设置(在“用户配置/管理模板/Windows组件/Windows资源管理器”)被启用，Active
Desktop就会被禁用，并且这两个策略都会被忽略。
7.从“我的电脑”中删除共享文档
当Windows用户在一个工作组中，一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置，你可选择不显示这些项目。
位置：/用户配置/管理模板/Windows组件/Windows资源管理器/
如果启用此设置，“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现。如果禁用或不配置此设置，当用户是“工作组”的一部分时，“共享文档”文件夹将会以Web视图方式显示或在“我的电脑”中出现。
8.不要将已删除的文件移到“回收站”
当Windows资源管理器中的一个文件或文件夹被删除时，该文件或文件夹的副本会被放在“回收站”里。使用此策略，你能改变此行为。
位置：/用户配置/管理模板/Windows组件/Windows资源管理器/
如果启用此设置，使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里，因此被永久删除。如果禁用或不配置此设置，使用Windows资源管理器删除的文件或文件夹会被放在“回收站”里。
三、利用组策略进行系统设置
1.登录时不显示欢迎屏幕
为了加快计算机启动的速度，我们完全可以通过组策略设置在每次用户登录时将Windows
XP欢迎屏幕隐藏。
位置：/用户配置/管理模板/系统/
要显示欢迎屏幕，请依次单击“开始→程序→附件→系统工具”选项，然后单击“开始”选项。要在不指定设置的情况下不显示欢迎屏幕，请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”选项。
注意：这项设置出现在“计算机配置”和“用户配置”文件夹中。如果配置这项设置，“计算机配置”中的设置比“用户配置”中的设置优先。
2.配置驱动程序查找位置
默认情况下，Windows将从本地安装、软盘驱动器、光盘驱动器、Windows
Update等位置搜索驱动程序。此设置配置查找到新硬件时Windows将要搜索驱动程序的位置。
位置：/用户配置/管理模板/系统/
如果启用此设置，你可以通过检查位置名称的相关复选框，删除这三个位置中的任何位置。如果禁用或不配置此设置，Windows将从本地安装、软盘驱动器、光盘驱动器和Windows
Update等位置中搜索驱动程序。
3.关闭自动播放
一旦你将媒体插入驱动器，自动运行就开始从驱动器中读取。这会造成程序的设置文件和在音频媒体上的音乐立即开始。该策略将关闭自动运行功能。
位置：/用户配置/管理模板/系统/
如果你启动这项设置，你还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行。
注意：这个设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。
另外，此设置不阻止自动播放音乐
CD。
4.只运行许可的Windows应用程序
该策略可以限制用户可以运行的Windows程序。
位置：/用户配置/管理模板/系统/
如果你启用这个设置，用户只能运行你加入“允许运行的应用程序列表”中的程序。
这个设置只能防止用户从Windows资源管理器启动程序。无法防止用户用其他方式启动程序，例如任务管理器。如果用户可以访问命令提示符窗口，这个设置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序。
注意：要创建允许的文件列表，请单击“显示”按钮，在打开的对话框中单击“添加”按钮，然后输入应用程序的执行文件名称(例如，Winword.exe、Poledit.exe、Powerpnt.exe)。如图3所示。
5.删除任务管理器
当我们同时按下Ctrl+Alt+Del组合键将显示“Windows任务管理器”对话框。任务管理器可以让用户启动或终止程序、监视计算机性能、查看及监视计算机上所有运行中的程序(包含系统服务)、搜索程序的执行文件名、更改程序运行的优先顺序。在这里，我们可以通过组策略删除任务管理器。
位置：/用户配置/管理模板/系统/Ctrl+Alt+Del选项/
如果该设置被启用，并且用户试图启动任务管理器，系统会显示消息，解释是一个策略禁止了这个操作。
6.删除改变“密码”选项
该策略可以防止用户通过任务管理器更改系统密码。
位置：/用户配置/管理模板/系统/Ctrl+Alt+Del选项/
这个设置停用Windows安全设置对话框上的“更改密码”按钮。但是，用户在得到系统提示时依旧可以更改密码。管理员要求新密码和密码作废时，系统会提示用户输入新密码。
7.不允许运行Windows
Messenger
Windows XP自带有聊天工具Windows Messenger，但是，我们也有可能在系统中安装MSN
Messenger。该策略允许你禁用Windows Messenger。
位置：/用户配置/管理模板/Windows组件/Windows Messenger
如果启用该策略，Windows
Messenger将不会运行。如果禁止或不配置该策略，Windows
Messenger可以被使用。
注意：如果启用这个策略，远程协助无法使用Windows
Messenger。另外，这个策略也会出现在“计算机配置”中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。
8.关闭系统还原功能
系统还原是Windows
XP/2003中集成的强大功能，它在系统运行的同时，备份被更改的文件和数据，如果出现问题，系统还原使用户能够在不丢失个人数据文件的情况下，将计算机还原到以前的状态。默认情况下，系统还原处于打开状态。
但这一功能付出的代价也是相当大的，系统性能会明显下降，磁盘空间也会被占用很多。对于配置不高的计算机来说，强烈建议关闭此功能。
位置：/计算机配置/管理模板/系统/系统还原/关闭系统还原
启用此设置后即可关闭系统还原功能，并且不能访问“系统还原向导”和“配置界面”。
四、利用组策略调整上网设置
1.禁用导入和导出收藏夹
禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。
位置：/用户配置/管理模板/Windows组件/Internet
Explorer
如果启用该策略，“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果禁用该功能或不对其进行配置，则用户可以通过单击“文件”菜单上的“导入和导出”菜单项，然后运行“导入/导出向导”，导入/导出IE中的收藏夹。
注意：如果启用该策略，用户仍然可以查看“导入/导出向导”，但当用户单击“完成”按钮时，将出现说明该功能已被禁用的提示信息。
2.禁用更改“高级”选项卡的设置
禁止用户更改“Internet
选项”对话框中“高级”选项卡上的设置。
位置：/用户配置/管理模板/Windows组件/Internet
Explorer
如果启用该策略，则用户无法更改高级Internet设置，如安全、多媒体和打印。用户无法选中“高级”选项卡上的复选框，也不能清除这些复选框的复选标记。如果禁用该策略或不对其进行配置，则用户可以选择或清除“高级”选项卡上的设置。
如果设置了位于/用户配置/管理模板/Windows组件/Internet
Explorer/Internet控制面板中的“禁用高级页”策略，则无需设置该策略，因为“禁用高级页”策略将删除界面上的“高级”选项卡。
3.对拨号连接使用“自动检测”属性
自动检测在浏览器第一次启动时使用
DHCP(动态主机配置协议)或DNS服务器来自定义浏览器。该策略指定自动检测用于用户的拨号设置的配置。
位置：/用户配置/管理模板/Windows组件/Internet
Explorer
如果启用该设置，自动检测将配置用户的拨号设置。如果禁用该配置或不配置，自动检测不会配置用户的拨号设置，除非用户指定。
4.禁用Internet连接向导
禁止用户运行Internet连接向导。
位置：/用户配置/管理模板/Windows组件/Internet
Explorer
如果启用该策略，“Internet选项”对话框中“连接”选项卡上的“建立连接”按钮将变灰。用户也无法通过单击桌面上的“连接到Internet”图标或单击“开始→程序→附件→通讯”，然后单击“Internet连接向导”运行Internet连接向导。如果禁用该策略或不对其进行配置，则用户可以通过运行Internet连接向导，更改连接设置。
注意：该策略与位于＼用户配置＼管理模板＼Windows
组件＼Internet
Explorer＼Internet控制面板中的“禁用连接页”策略有相似之处，后者将删除界面上的“连接”选项卡。从界面上删除“连接”选项卡并不会妨碍用户从桌面或“开始”菜单中运行Internet连接向导。
5.禁用表单的自动完成功能
禁止IE自动完成表单，如填写用户以前在网页中输入过的姓名或密码。
位置：/用户配置/管理模板/Windows组件/Internet
Explorer
如果启用该策略，“表单”复选框将变灰。单击“Internet选项”对话框中“内容”选项卡上的“自动完成”按钮，即可出现“表单”复选框。如果禁用该策略或不对其进行配置，则用户可以启用表单的自动完成功能。
位于/用户配置/管理模板/Windows组件/Internet
Explorer/Internet控制面板中的“禁用内容页”策略的优先级高于该策略。如果启用了“禁用内容页”策略，该策略将被忽略，因为“禁用内容页”策略将删除“控制面板”中“Internet
Explorer属性”对话框中的“内容”选项卡。
注意：如果用户已开始使用启用了表单自动完成功能的浏览器后，再启用该策略，则不会清除用户已经使用表单自动完成功能在表单中所填写的内容。
6.配置媒体浏览栏属性
媒体浏览器栏播放来自Internet的音乐和视频内容，该策略允许管理员启用和禁用媒体浏览器栏和设置默认自动播放。
位置：/用户配置/管理模板/Windows组件/Internet
Explorer
如果禁用媒体浏览器栏，用户无法显示媒体浏览器栏。自动播放功能也被禁用。当用户在IE中单击一个链接，系统中的默认媒体客户端将播放内容。如果启用媒体浏览器栏或不配置，用户可以显示和隐藏媒体浏览器栏。
管理员也可以打开和关闭自动播放功能。该设置只在媒体浏览器栏启用时应用。如果选择，媒体浏览器栏将在用户单击媒体链接时自动显示和播放媒体内容。如果不选择，系统上的默认媒体客户端将播放内容。
7.禁用右键快捷菜单
禁止在用户使用IE过程中单击鼠标右键时出现快捷菜单。
位置：/用户配置/管理模板/Windows组件/Internet
Explorer/浏览器菜单
如果启用该策略，在用户指向网页，然后单击鼠标右键时将不出现快捷菜单。如果禁用该策略或不对其进行配置，则用户可以使用快捷菜单。
8.自定义IE标题栏
我们可以利用组策略自定义出现在IE和OE标题栏中的文本。无论软件包中是否有OE或者用户计算机上已经安装了OE，都将更新OE标题栏。
位置：/用户配置/管理模板/Windows设置/Internet
Explorer维护/浏览器用户界面/浏览器标题
请在打开的对话框中选中“自定义标题栏”选项，然后在“标题栏文本”框中键入希望的文本。
注意：在选择某个位图时，要确保颜色与文本的对比度。这为用户确保了更高程度的可读性。
9.自定义IE工具按钮
我们可以利用该策略个性化出现在IE中的工具栏，给你一定的灵活性和设计机会。可以使用的元素包括用于标准工具栏按钮(例如“搜索”和“历史”)的工具栏背景和图标外观。
位置：＼用户配置＼管理模板＼Windows设置＼Internet
Explorer维护＼浏览器用户界面＼浏览器工具栏自定义
在打开的对话框中单击“添加”按钮，然后在打开的对话框中在“工具栏标题(必需)”框中，键入用户鼠标悬停在工具栏按钮上时出现的文本。必须指定该按钮的标题或标签。建议的最大长度是10个字符。
在“工具栏操作(作为脚本文件或可执行文件，必需)”框中，键入脚本文件或可执行文件的名称，或者单击“浏览”按钮查找文件。必须指定用户单击工具栏按钮时运行的脚本文件或可执行文件。
在“工具栏颜色图标(必需)”框中，键入表示按钮为活动状态的文件的名称，或者单击“浏览”按钮查找该文件。必须指定出现在工具栏上的按钮的彩色图标。图标由活动和非活动状态的20×20像素的图像组成。
在“工具栏灰度图标(必需)”框中，键入出现在黑白监视器上的工具栏的灰度图标文件名和位置，或者单击“浏览”按钮查找文件。必须指定显示在工具栏上按钮的灰度图标。
选中“默认情况下，该按钮应显示在工具栏上”复选框来显示默认情况下用户浏览器中的工具栏按钮。
五、利用组策略设置优化网络环境
1.禁止访问网络连接组件的属性
“本地连接属性”对话框包括连接时使用的网络组件列表。要查看或更改组件属性，请单击组件名称，然后单击组件列表下面的“属性”按钮，如图4所示。该策略确定用户是否可以更改由网络连接使用的组件属性，它确定是否启用用于网络连接组件的“属性”按钮。
位置：/用户配置/管理模板/网络/网络连接/
如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就会为管理员禁用“属性”按钮。无论“为管理员启用网络连接设置”设置启用与否，用户都不可以访问连接组件。如果禁用或不配置“为管理员启用网络连接设置”。
如果禁用或不配置此设置，将为用户启用“属性”按钮。
2.禁用TCP/IP高级配置
确定用户是否可以配置TCP/IP
设置。
位置：/用户配置/管理模板/网络/网络连接/
如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就对所有用户(包括管理员)禁用“Internet协议(TCP/IP)
属性”对话框上的“高级”按钮。因此，用户不能打开“高级TCP/IP设置”对话框并修改IP设置(例如，DNS和WINS服务器信息)。如果禁用此设置，则启用“高级”按钮，并且所有用户均可打开“高级TCP/IP设置”对话框。
注意：此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮，用户就无法访问用于TCP/IP配置的“高级”按钮。不管此设置如何，非管理员用户均不具有访问用于网络连接的TCP/IP高级配置的权限。在用户退出系统之前，将此设置从“启用”更改为“未配置”不会启用“高级”按钮。
3.禁止添加或删除用于网络连接或远程访问连接的组件
“安装”按钮可打开用来添加网络组件的对话框。单击“卸载”按钮可删除组件列表中的选定组件。“安装”和“卸载”按钮出现在用于连接的“属性”对话框之中。这些按钮位于“常规”选项卡和“网络”选项卡上。该策略确定管理员是否可以添加和删除用于网络连接或远程访问连接的网络组件。
位置：/用户配置/管理模板/网络/网络连接/
如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就会禁用用于连接组件的“安装”和“卸载”按钮，并且不允许用户访问“Windows组件向导”中的网络组件。如果禁用或不配置此设置，就会启用用于“网络连接”文件夹中连接组件的“安装”和“卸载”按钮。同样地，用户可以访问“Windows组件向导”中的网络组件。
4.禁止访问网络连接的属性
右键单击“网上邻居”图标，在打开的快捷菜单中可以看到“属性”菜单项，用于打开网络连接属性对话框，该策略确定用户是否可以更改网络连接的属性。
位置：/用户配置/管理模板/网络/网络连接/
如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就对所有用户禁用“属性”菜单项，而且用户不能打开“连接属性”对话框。如果禁用或不配置此设置，右键单击“网上邻居”的图标时，就会出现“属性”菜单项。同样地，当用户选择此连接时，就会启用“文件”菜单上的“属性”菜单项。
注意：此设置优先于操作“局域连接属性”对话框内的功能的可用性设置。如果启用此设置，用户将不可使用网络连接的属性对话框内的任何功能。
5.更改所有用户远程访问连接的属性
该策略用于确定用户是否可以查看和更改对计算机所有用户可用的远程访问连接的属性。此设置确定是否启用“属性”菜单项，以及远程访问连接属性对话框是否对用户可用。
位置：/用户配置/管理模板/网络/网络连接/
如果启用此设置，任何用户右键单击用来进行远程访问连接的图标时，就会出现“属性”菜单项。同样地，当任何用户选择连接时，“文件”菜单上就出现“属性”。如果禁用此设置(并启用“为管理员启用网络连接设置”设置)，就会禁用“属性”菜单项，并且用户(包括管理员)无法打开远程访问连接对话框。如果不配置此设置，则只有管理员才可以更改所有用户远程访问连接的属性。
注意：此设置优先于操作远程访问连接属性对话框内的功能的可用性设置。如果禁用此设置，则用户不可使用用于远程访问连接的属性对话框内的任何功能。
 
 

 

构建DNS服务器指南2007-08-09 23:23
在用TCP/IP协议族架设的网络中，每一个节点都有一个唯一的IP地址，用来作为它们唯一的标志。然而，如果让使用者来记住这些毫无记忆规律的IP地址将是不可想象的。人们就需要一种有记忆规律的字符串来作为唯一标记节点的名字。
　　然而，虽然符号名对于人来说是极为方便的，但是在计算机上实现却不是那么方便的。为了解决这个需求，应运而生了一个域名服务系统DNS，它运行在TCP协议之上，负责将字符名--域名转换成实际相对应的IP地址。这个过程就是域名解析，负责域名解析的机器就叫域名服务器。

　　1、域名解析的方法

　　1.1 最早的域名解析方法

　　最简单的主机名解析方法是，在一个文件中记录所有主机名及与其对应的IP地址，并保证该文件中主机名的唯一性，通过检索文件中的便可以完成主机名的解析。采用这种最简单的解决方法有其历史原因：
在整个70年代，APRANET只是一个小规模的，由类似的数百台主机组成的团体。于是为了解决主机名解析的问题，将连接到ARPANET上每台主机的名字与对应的地址都保存在HOSTS.TXT文件中。这样每增加一台机器，就必须修改HOSTS.TXT文件一次。随着网络的不断发展，网络中的主机数量爆炸性地增加，这种域名解析的方法已经无法适应新的解析需要。

　　1.2 分布式的域名服务器

　　这种方法，我们已经在基础篇的第六章中有了详细的叙述，在此就不再重复了。在这种分布式的域名服务器体系中，每一台域名服务器（DNS）负责解析属于自己的这一部分主机的域名。
一般说来，如果你所处在公司或组织所拥有的主机并不多，一般是将域名的解析工作交给自己的ISP的域名服务器来完成。而如果你所在组织拥有的主机比较多，我们就可以组建自己的域名服务器负责解析你所在组织的主机。

　　2、域名服务器建立实例

　　2.1 实例环境

　　假设我们需要建立一台应用于以下情况的一个企业主域名服务器。

　　1． 拥有一个C类网段地址，为202.101.55.0

　　2． 企业域名注册为company.com。

　　3． 域名服务器的IP定为202.101.55.55，主机名为dns.company.com。它同时充当Proxy.

　　4． 企业网通过路由器与Internet连接。

　　5． 要解析的服务器有：

　www.company.com (202.101.55.1) Web服务器
　　mail.company.com (202.101.55.2) E-Mail服务器

　2.2 安装前的准备工作

　　首先要保证在作为系中统有/etc/resolv.conf和/etc/hosts.conf这两个文件。/etc/resolv.conf文件中内容如下所示：

　　domain compay.com
　　nameserver 202.101.55.55

　　其中第一行指出对于任何希望连到它上面的主机应该搜寻的域。而第二行指出了在哪个地址可以找到需要的域名服务大。/etc/hosts.conf的内容如下所示：

　　order hosts,bind
　　multi on

　　这里的设置告诉主机名称先在/etc/hosts文件中搜索，然后再查询域名服务器。

　　2.3 定义文件/etc/named.boot

　　要使LINUX系统完成域名服务器的功能，则需要运行一个named的服务进程。这个服务进程可以在安装LINUX时选中。

　　named启动时需要读取一个初始化文件--/etc/named.boot，这个文件是named的基本配置文件。它并不包含任何DNS数据，针对前面的假定环境，我们要在这个文件中写入：

　　diretory /etc/named
　　primary company.com db.company
　　primary 0.0.127.IN-ADDR.ARPA db.127.0.0
　　primary 55.101.202.IN-ADDR.ARPA db.202.101.55
　　cache . db.cache

　　下面我们逐行讲解这个文件中的内容：

　　1) 在第一行中我们指定named从/etc/named目录下读取DNS数据文件。这个目录可以自行指定并创建，指定后将所有的DNS数据文件均存放在这个目录下；

　　2) 第二行指定named作为company.com的主域名服务器，db.company文件中包含了所有*.my.com形式的域名的解析数据。

　　3) 第三行则指定named作为127.0.0网段（本地loopback）地址的转换主服务器。其中db.127.0.0文件中包含了所有127.0.0.*形式的地址到域名的转换数据。

　　4) 第四行指定named作为202.101.55网段地址转换主服务器，db.202.101.55文件中包含了所有以202.101.55.*形式的地址到域名的转换数据。

　　5) 最后一行指定named从db.cache文件中获得Internet的顶层"根"服务器地址。要说明的是，这些数据文件的名称均是自行决定的。

2.4 建立正向域名转换数据文件db.company

　　根据/etc/named.boot文件中的定义，我们在/etc/named目录下建立文件db.company，并且在其中写入所有在company.com域内的主机节点。根据前面假定的环境，可以写入：

　　@ IN SOA dns.company.com. root.dns.company.com.(
　　200002011 ；文件版本号
　　28800 ；刷新时间（秒）
　　7200 ；重试时间（秒）
　　3600000 ；终止时间（秒）
　　86400） ；TTL生存时间（秒）
　　IN NS dns.company.com
　　www IN A 202.101.55.1
　　email IN A 202.101.55.2
　　proxy IN CNAME

　　下面我们就逐句地理解这里的配置。

　　1． SOA是主服务器设定文件中一定要设定的命令，我们通常将它放在文件的第一行。

　　1） 最前面的符号"@"代表目前所管辖的域。

　　2） 接着的"IN"代表地址类别，这里就是固定使用"IN"的。

　　3） 接下来就是命令SOA。

　　4） 接下来填入域名服务器，记住由于DNS数据文件的特殊格式规定，在最后一定要加上"·"，在这个例子中，我们填入域名服务器："dns.company.com."

　　5） 接下来是域名服务器管理员的E-MAIL地址，但要注意的是，E-Mail地址中的分隔符"@"在这里用"·"来代替，在最后也要加上"。"，在这里，我们相应写入："root.dns.company.com."

　　6） 接下来在括号内填上各种选项：

　　文件版本号：当你修改这个文件的内容时，也要修改这个版本序列号。以此来区分是否有更新。

　　更新时间：指定二级服务器向主服务器拷贝数据的更新时间周期。

　　重试时间：指定二级服务器在更新出现通信故障时的重试时间。

　　终止时间：指定二级服务器重新执行更新动作后仍然无法完成更新任务而终止更新的时间。

　　生存时间：指定当域名服务器询问某个域名和其IP地址后，在域名服务器上放置的时间。

　注：二级服务器所设定的域名服务器是主服务器的备份主机。

　　2． 在第二行中，我们用NS命令指定这个域的域名服务器。在这里我们指出这个域的域名服务器是"dns.company.com"。

　　3． 接下来的两行我们使用A命令来指定域名与IP地址的对应关系。我们将Web服务器的域www.company.com与其IP地址202.101.55.1对应起来；将E-Mail服务器的域名mail.company.com与其IP地址202.101.55.2对应起来。

　　4． 最后一行，我们使用了CNAME命令为dns.company.com指定了另一个域名以供使用：proxy.company.com。

　　2.5 建立反向域名转换数据文件db.127.0.0和db.202.101.55

　　反向域名转换数据文件用来提供IP地址查询相应的DNS主机名，每个网段分别有一个数据文件。

　　1． 网段127.0.0通常只有一个地址，那就是127.0.0.1 loopback地址。所以我们在db.127.0.0中写入的内容是：

　　@ IN SOA dns.company.com. root.dns.company.com.(
　　200002011 ；文件版本号
　　28800 ；刷新时间（秒）
　　7200 ；重试时间（秒）
　　3600000 ；终止时间（秒）
　　86400） ；TTL生存时间（秒）
　　IN NS dns.company.com
　　1 IN PTR localhost

　　前面两名相信读者已经不会陌生，最后一句我们使用PTR命令让配置文件中的主机可以使用IP地址来知道所对应的域名。

　　最前面的1代表127.0.0.1，对应的域名就是localhost。

　　2．网段202.101.55就可能会存在更多的记录，前面假定环境下的设置应是：

　　@ IN SOA dns.company.com. root.dns.company.com.(
　　200002011 ；文件版本号
　　28800 ；刷新时间（秒）
　　7200 ；重试时间（秒）
　　3600000 ；终止时间（秒）
　　86400） ；TTL生存时间（秒）
　　IN NS dns.company.com
　　1 IN PTR www
　　2 IN PTR email
　　55 IN PTR dns
　　55 IN PTR proxy

　　2.6 获得db.cache文件

　　在LINUX系统中通常在提供了一个named.ca的文件，该文件中Internet的顶层域名服务器，但是这个文件通常会发生变化，所以建议最好从Internet上下载最新的版本。该文件可以通过匿名FTP从ftp.rs.internic.net/domain下载，文件名是named.boot。将它拷贝一份为db.cache就可以了。

　　3、测试域名服务器

　　3.1 使用nslookup测试

　　nslookup命令的功能是查询域名服务器中的数据资料。下例就是使用它来测试域名服务器是否架设成功，其中斜体字代表要输入的内容。

　　# nslookup
　　Default server:dns.company.com

　　Address:202.101.55.55 ；能出现这些信息代表成功

　　> www
　　server:dns.company.com
　　Address:202.101.55.1

　　3.2 使用ping测试

　　还有一种更简单的测试方法，那就是用ping命令，如果成功将显示：

　　　　# pingwww.company.com
　　　　Pingwww.company.com(202.101.55.1);56 data bytes
　　　　64 bytes from 202.101.55.1:icmp_seq=0 ttl=255 time=1.3ms
　　　　64 bytes from 202.101.55.1:icmp_seq=1 ttl=255 time=0.6ms
　　　　64 bytes from 202.101.55.1:icmp_seq=2 ttl=255 time=0.6ms
　　　　……

　　8.4 小技巧

　　安装好域名服务器后，在内部使用域名进行远程连接时，会发现速度非常慢。其实只要/etc/hosts中加上所有内部的机器的域名就可以了。
 
 
 

 

《DLL后门清除完全篇》2007-08-09 23:16《DLL后门清除完全篇》

DLL后门清除完全篇!
前言
　　后门！相信这个词语对您来说一定不会陌生，它的危害不言而欲，但随着人们的安全意识逐步增强，又加上杀毒软件的“大力支持”，使传统的后门无法在隐藏自己，任何稍微有点计算机知识的人，都知道“查端口”“看进程”，以便发现一些“蛛丝马迹”。所以，后门的编写者及时调整了思路，把目光放到了动态链接程序库上，也就是说，把后门做成DLL文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就实现了进程、端口的隐藏。本文以“DLL的原理”“DLL的清除”“DLL的防范”为主题，并展开论述，旨在能让大家对DLL后门“快速上手”，不在恐惧DLL后门。好了，进入我们的主题。
一，DLL的原理
1，动态链接程序库
　　动态链接程序库，全称：DynamicLinkLibrary，简称：DLL，作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件，需要跟其进行“动态链接”；从编程的角度，应用程序需要知道DLL文件导出的API函数方可调用。由此可见，DLL文件本身并不可以运行，需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中，这就说明了：DLL文件无法删除。这是由于Windows内部机制造成的：正在运行的程序不能关闭。所以，DLL后门由此而生！
2，DLL后门原理及特点
　　把一个实现了后门功能的代码写成一个DLL文件，然后插入到一个EXE文件当中，使其可以执行，这样就不需要占用进程，也就没有相对应的PID号，也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大，但必须使用程序（EXE）调用才能执行DLL文件。DLL文件的执行，需要EXE文件加载，但EXE想要加载DLL文件，需要知道一个DLL文件的入口函数（既DLL文件的导出函数），所以，根据DLL文件的编写标准：EXE必须执行DLL文件中的DLLMain（）作为加载的条件（如同EXE的mian（））。做DLL后门基本分为两种：1）把所有功能都在DLL文件中实现；2）把DLL做成一个启动文件，在需要的时候启动一个普通的EXE后门。
常见的编写方法：
　　(1)，只有一个DLL文件
　　这类后门很简单，只把自己做成一个DLL文件，在注册表Run键值或其他可以被系统自动加载的地方，使用Rundll32.exe来自动启动。Rundll32.exe是什么？顾名思意，“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件。当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。
　　现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意一下。在来看看Rundll32.exe使用的函数原型：
　　Void CALLBACK FunctionName (
　　HWND hwnd,
　　HINSTANCE hinst,
　　LPTSTR lpCmdLine,
　　Int nCmdShow
　　);
　　其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments]
　　DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。
　　(2)，替换系统中的DLL文件
　　这类后门就比上边的先进了一些，它把实现了后门功能的代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时，DLL后门就启一个转发的作用，把“参数”传递给原来的DLL文件；如果遇到特殊的请求时（比如客户端），DLL后门就开始，启动并运行了。对于这类后门，把所有操作都在DLL文件中实现最为安全，但需要的编程知识也非常多，也非常不容易编写。所以，这类后门一般都是把DLL文件做成一个“启动”文件，在遇到特殊的情况下（比如客户端的请求），就启动一个普通的EXE后门；在客户端结束连接之后，把EXE后门停止，然后DLL文件进入“休息”状态，在下次客户端连接之前，都不会启动。但随着微软的“数字签名”和“文件恢复”的功能出台，这种后门已经逐步衰落。
　　提示：
　　在WINNTsystem32目录下，有一个dllcache文件夹，里边存放着众多DLL文件（也包括一些重要的EXE文件），在DLL文件被非法修改之后，系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件，首先应该把dllcache目录下的同名DLL文件删除或更名，否则系统会自动恢复。
(3)，动态嵌入式
　

　　这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中，每个进程都有自己的私有内存空间，但还是有种种方法来进入其进程的私有内存空间，来实现动态嵌入式。由于系统的关键进程是不能终止的，所以这类后门非常隐蔽，查杀也非常困难。常见的动态嵌入式有：“挂接API”“全局钩子（HOOK）”“远程线程”等。
　　远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体（或Rundll32.exe）在那个被插入的进程里创建了远程线程，并命令它执行某个DLL文件时，我们的DLL后门就挂上去执行了，这里不会产生新的进程，要想让DLL后门停止，只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接，那就不能终止了，如果你终止了系统进程，那Windows也随即被终止！！！
3，DLL后门的启动特性
　　启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那我们的DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe，即使停止了Rundll32.exe，DLL后门的主体还是存在的。3721网络实名就是一个例子，虽然它并不是“真正”的后门。
二，DLL的清除
　　本节以三款比较有名的DLL后门例，分别为“SvchostDLL.dll”“BITS.dll”“QoServer.dll”。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。具体怎么做，请看下文。

1，PortLess BackDoor
　　这是一款功能非常强大的DLL后门程序，除了可以获得LocalSystem权限的Shell之外，还支持如“检测克隆帐户”“安装终端服务”等一系列功能（具体可以参见程序帮助），适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接（最大的特点哦），对于有防火墙的主机来说，这个功能在好不过了。
　　在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务：
　　Svchost只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain()函数，为处理服务任务提供支持。
　　呵呵！看了上边的理论，是不是有点蒙（我都快睡着了），别着急，我们来看看具体的内容）。我们可以看到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs下的Parameters子键，其键值为%SystemRoot%system32rpcss.dll。这就说明：启动RpcSs服务时。Svchost调用WINNTsystem32目录下的rpcss.dll。
　　这是注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSvchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSvchost下。这里有四种方法来实现：
　　1， 添加一个新的组，在组里添加服务名
　　2， 在现有组里添加服务名
　　3， 直接使用现有组里的一个服务名，但是本机没有安装的服务
　　4， 修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门
　　我测试的PortLess BackDoor使用的第三种方法。
　　好了，我想大家看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。
　　注：由于本文只是介绍清除方法，使用方法在此略过。
　　后门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先打开Windows优化大师中的Windows进程管理2.5，查看Svchost进程中的模块信息，SvchostDLL.dll已经插入到Svchost进程中了，在根据“直接使用现有组里的一个服务名，但是本机没有安装的服务”的提示，我们可以断定，在“管理工具”—“服务”中会有一项新的服务。证明了我的说法，此服务名称为：IPRIP，由Svchost启动，-k netsvcs表示此服务包含在netsvcs服务组中。
　　我们把该服务停掉，然后打开注册表编辑器（开始—运行--regedit），来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPRIP下，查看其Parameters子键）。Program键的键值SvcHostDLL.exe为后门的Loader；ServiceDll的键值C:WINNTsystem32svchostdll.dll为调用的DLL文件，这正是后门的DLL文件。现在我们删除IPRIP子键（或者用SC来删除），然后在来到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSvchost下，编辑netsvcs服务组，把49 00 70 00 72 00 69 00 70 00 0000删除，这里对应的就是IPRIP的服务名。然后退出，重启。重启之后删除WINNTsystem32目录下的后门文件即可。

2，BITS.dll
　　这是榕哥的作品，也是DLL后门，和SvchostDLL.dll原理基本一样，不过这里使用的是上边介绍的第四种方法，即“修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门”。换句话说，该后门修改现有的某一个服务，把其原有服务的DLL指向自己（也就是BITS.dll），这样就达到了自动加载的目的；其次，该后门没有自己的Loader，而是使用系统自带的Rundll32.exe来加载。我们还是用Windows进程管理2.5来查看，从图7中，我们可以看到bits.dll已经插入到Svchost进程当中。
　　好，现在我们来看看具体的清除方法，由于该后门是修改现有服务，而我们并不知道具体是修改了哪个服务，所以，在注册表中搜索bits.dll，最后在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAuto下搜索到了bits.dll，查看Parameters子键下的ServiceDll，其键值为C:WINNTsystem32bits.dll（如图8）。原来，该后门把RasAuto服务原来的DLL文件替换为bits.dll了，这样来实现自动加载。知道了原因就好办了，现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件，即%SystemRoot%System32rasauto.dll，退出，重启。之后删除WINNTsystem32目录下的bits.dll即可。
3，NOIR--QUEEN
　　NOIR--QUEEN(守护者)是一个DLL后门&木马程序，服务端以DLL文件的形式插入到系统的Lsass.exe进程里，由于Lsass.exe是系统的关键进程，所以不能终止。在来介绍清除方法之前，我先介绍一下Lsass.exe进程：
　　这是一个本地的安全授权服务，并且它会为使用Winlogon服务的授权用户生成一个进程，如果授权是成功的，Lsass就会产生用户的进入令牌，令牌使用启动初始 的Shell。其他的由用户初始化的进程会继承这个令牌。
　　从上边的介绍我们就可以看出Lsass对系统的重要性，那具体怎么清除呢？请看下文。
　　后门在安装成功后，会在服务中添加一个名为QoSserver的服务，并把QoSserver.dll后门文件插入到Lsass进程当中，使其可以隐藏进程并自动启动（如图9）。现在我们打开注册表，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesQoSserver，直接删除QoSserver键，然后重启。重启之后，我们在来到服务列表中，会看到QoSserver服务还在，但没有启动，类别是自动，我们把他修改为“已禁用”；然后往上看，会发现一个服务名为AppCPI的服务，其可执行程序指向QoSserver.exe（原因后边我会说到），具体如图11所示。我们再次打开注册表，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAppCPI，删除AppCPI键，重启，再删除QoSserver，最后删除WINNTsystem32目录下的后门文件。
　　本人和这个后门“搏斗”了3个多小时，重启N次。原因在于即使删除了QoSserver服务，后门还是在运行，而且服务列表中的QoSserver服务又“死灰复燃”。后来才知道原因：在我删除了QoSserver服务并重启之后，插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务，并且生成了另外一个服务，即AppCPI，所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出，现在的后门的保护措施，真是一环扣环。
　　注意：在删除QoSserver服务并重启之后，恢复的QoSserver的启动类别要修改为“已禁用”，否则即便删除了AppCPI服务，QoSserver服务又运行了。

三，DLL的防范
　　看了上边的例子，我想大家对清除DLL后门的方法有了一定的了解，但在现实中，DLL后门并不会使用默认的文件名，所以你也就不能肯定是否中了DLL后门。对于DLL后门，system32目录下是个好地方，大多数后门也是如此，所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门，希望对大家有所帮助。
　　1，安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开CMD，来到WINNTsystem32目录下，执行：dir *.exe>exe.txt & dir*.dll>dll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txtexe0.txt>exedll.txt & fc dll.txtdll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。
　　2，使用内存/模块工具来查看进程调用的DLL文件，比如Windows优化大师中的Windows 进程管理2.5。这样，可以发现进程到底调用了什么DLL文件，在结合上边用FC命令比较出来的结果，又能进一步来确定是否中了DLL后门。如果没有优化大师，可以使用TaskList，这个小工具也可以显示进程调用的DLL文件，而且还有源代码，方便修改。
　　3，普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat-an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat-an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。
　　4，定期检查系统自动加载的地方，比如：注册表，Winstart.bat，Autoexec.bat，win.ini，system.ini，wininit.ini，Autorun.inf，Config.sys等。其次是对服务进行管理，对系统默认的服务要有所了解，在发现有问题的服务时，可以使用Windows 2000 Server ResourceKit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader，如果我们把DLL后门Loader删除了，试问？DLL后门还怎么运行？！
　　通过使用上边的方法，我想大多数DLL后门都可以“现形”，如果我们平时多做一些备份，那对查找DLL后门会启到事半功倍的效果

 
 
 
《WinXP最新操作技巧》2007-08-09 23:16《WinXP最新操作技巧》

不为人熟知 WinXP最新操作技巧
　

微软的Windows Vista今年还发布不了，虽然我们使用Windows XP操作系统已经要满五年了，很多功能我们都熟得不能再熟了，但是人无完人，总有你不知道的技巧，比如下面介绍的这些。本文我们就给大家介绍一些不为人熟知的Windows XP操作技巧。

禁止修改“我的图片”的硬盘路径

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“DisableMyPicturesDirChange”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

不显示“我的图片”选项

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“NoSMMyPictures”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

禁止修改“我的音乐”的硬盘路径

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“DisableMyMusicDirChange”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

不显示“我的音乐”选项

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“NoStartMenuMyMusic”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

禁止修改“我的文档”的硬盘路径

禁止修改“我的文档”的硬盘路径启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“DisablePersonalDirChange”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

又或可透过群组原则来将达到目的，方法:

先以系统管理员的身份登入，到“开始”-->“运行”，键入“gpedit.msc”进入群组原则的设定，在“本机计算机原则”下打开“使用者设定”-->“系统管理模板”-->“桌面”-->禁止使用者变更“我的文档”路径便可。

不显示“我的文档”选项

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“NoSMMyDocs”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

限制“我最近的文档”显示的数目

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“MaxRecentDocs”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

不显示“我最近的文档”选项

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“NoRecentDocsMenu”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

停用“安全地删除硬件”项目

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“NoStartMenuEjectPC”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

不显示“我的计算机”

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/NonEnum，移除{20D04FE0-3AEA-1069-A2D8-08002B30309D}便可。

不显示“计算机关机”选项

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“NoClose”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

以Administrator身份登入系统，到“开始”-->“运行”，输入gpedit.msc，点选窗口左边的“计算机配置”-->“系统管理模板”-->“[开始]菜单和工作列”，启用“移除及停用[计算机关机]按钮”。

移除“搜索”选项

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“NoFind”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

移除“说明及支持“项目

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“NoSMHelp”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

移除“运行“选项

启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“NoRun”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

隐藏“回收站“

方法:启动Regedit，到路径HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/NewStartPanel，加入一个名为“{645FF040-5081-101B-9F08-00AA002F954E}”的DWORD值，将它设定为“1”。

修改“开始”menu显示

要修改 “开始”标题及menu显示，将要使用Resource Hacker来修改存放于C:/Windows资料夹内的Explorer.exe，由于这运行档受到Windows File Protection (WFP)功能保护，故必须先将其解除保护。

解除WFP保护方法:开启“档案总管”-->“Tools”à“Folder Options”-->“View”，取消 “Hideprotected operating system files (recommend)”和“Hide extensions forknown file types”，同时取消“Show hidden files and folders”。

然后到“开始”-->“运行”，输入“%systemroot%/system32/Restore”，应找到一个叫“filelist.xml”档案，点选再右按鼠标键选“内容 (Properties)”，取消“Read Only”一项。

开始正式修改filelist.xml，点鼠标右键，利用“记事本”开启档案，档案内容记录了所有受保护的重要档案。寻找“%windir%/system.ini”一行，加入“%systemroot%/explorer.exe”一行后存档。

到“开始”-->“运行”，输入“%systemroot%/system32/dllcache”，寻找并删除Explorer.exe，因为WFP功能一经运行后，系统会把某些指定的重要档案备份到这里。如果不把这档案删除，WFP功能运行例行检查时，发现Explorer曾经修改，便会实时将这个备份档取代刚修改的档案。

取消“自动更新”功能

Windows XP“自动更新”功能，自检发现有新的系统补丁便实时更新，虽然方便，但却占用一定的系统资源，倒不如自行手动更新更好，如果取消自动功能功能呢?方法如下:

到“控制台”-->“效能及维护”-->“系统”-->“自动更新”，选择“关闭自动更新，我要手动更新我的计算机”。另外，进入“开始”-->“运行”，运行msconfig在“服务”项目下取消“Automatic Updates”。

隐藏“网上邻居”

WindowsXP要隐藏“网上邻居”，启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer，寻找一个叫“NoStartMenuNetworkPlaces”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

找寻在“添加和删除程序”内隐藏的程序

不是所有已安装的程序都可透过“添加和删除程序”功能来反安装，但可通过修改一些参数来解决。例如WindowsXP安装在C盘内，打开C:/Windows/inf资料夹，双击sysoc.inf文件，可看到有几行的倒数第二个单词是“Hide”。就是这个单词告诉系统不要把这个条目显示在“新增/移除程序”列表内，可使用空隔键来代替“Hide”便可显示所要的程序了