HIPS防护注册表关键位置整理

一.自启动项目:

开始---程序---启动,里面添加一些应用程序或者快捷方式.

这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.

路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动

二. 第二自启动项目:

这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录，将所需要启动的文件拖放进去就可以达到启动的目的.

路径:

C:\Documents and Settings\User\「开始」菜单\程序\启动

三. 系统配置文件启动:

对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.

1)WIN.INI启动:

启动位置(*.exe为要启动的文件名称):

[windows]

load=*.exe[这种方法文件会在后台运行]

run=*.exe[这种方法文件会在默认状态下被运行]

2)SYSTEM.INI启动:

启动位置(*.exe为要启动的文件名称)：

默认为:

[boot]

Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]

可启动文件后为:

[boot]

Shell= Explorer.exe *.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]

注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe *.exe换为Shell=*.exe,这样会使Windows瘫痪!

3) WININIT.INI启动:

WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.

它会在系统装载Windows之前让系统执行一些命令，包括复制，删除，重命名等，以完成更新文件的目的.

文件格式:

[rename]

*=*2

意思是把*2文件复制为文件名为*1的文件，相当于覆盖*1文件

如果要把某文件删除,则可以用以下命令:

[rename]

nul=*2

以上文件名都必须包含完整路径.

4) WINSTART.BAT启动:

这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.

如：

“@if exist C:\WINDOWS\TEMP*.BAT call C:\WINDOWS\TEMP*.BAT”

这里是执行*.BAT文件的意思

5) USERINIT.INI启动[2/2补充]:

这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.

6) AUTOEXEC.BAT启动:

这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.

四. 注册表启动:(07.4.27整理更新)

通过注册表来启动,是WINDOWS中使用最频繁的一种.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy

Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explo rer\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Windows\AppInit_DLLs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\

HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\

HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKLM\System\CurrentControlSet\Services\VxD\

HKCU\Control Panel\Desktop

HKLM\System\CurrentControlSet\Services\

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

yLoad\

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

HKLM\SOFTWARE\Classes\Protocols\Filter

HKLM\SOFTWARE\Classes\Protocols\Handler

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskSch eduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDela yLoad

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteH ooks

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell

Extensions\Approved

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Toolbar

HKLM\Software\Microsoft\Internet Explorer\Extensions

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

HKLM\SYSTEM\CurrentControlSet\Control\MPRServices

HKCU\ftp\shell\open\command

HKCR\ftp\shell\open\command

HKCU\Software\Microsoft\ole

HKCU\Software\Microsoft\Command Processor

HKLM\SOFTWARE\Classes\mailto\shell\open\command

HKCR\PROTOCOLS

HKCU\Control Panel\Desktop

HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units HKLM\SYSTEM\CurrentControlSet\Services\WinSock2

HKLM\SYSTEM\CurrentControlSet\Services\WinSock

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App

Management\ARPCache

yLoad

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskSch eduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteH ooks

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell

Folders

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell

folders\Startup

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls HKLM\SOFTWARE\Classes\Protocols\Handler

HKLM\System\CurrentControlSet\Control\Terminal

Server\Wds\rdpwd\StartupPrograms

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKLM\Software\Microsoft\Command Processor

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Access ibility\Utility Manager registry

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

病毒经常会修改的注册表位置:

HKLM\SOFTWARE\Microsoft\Ras

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform

HKCU\Software\Microsoft\Security Center

HKLM\Software\Microsoft\Security Center

HKLM\SOFTWARE\Microsoft\Netcache

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Fold er\HideFileExt

HKCU\Software\Microsoft\Internet explorer\Main\\*page

HKCU\Software\Microsoft\Internet explorer\Main\\Enable Browser Extensions

HKCU\Software\Microsoft\Internet explorer\Main\Featurecontrol

HKCU\Software\Microsoft\Internet explorer\Menuext

HKCU\Software\Microsoft\Internet explorer\Styles

HKLM\Software\Clients\Startmenuinternet

HKLM\Software\Microsoft\Code store database\Distribution units

HKCU\Software\Microsoft\Internet explorer\Abouturls

HKLM\Software\Microsoft\Internet explorer\Activex compatibility HKCU\Software\Microsoft\Internet Explorer\Explorer Bars

HKLM\Software\Microsoft\Internet explorer\Main\\*page

HKLM\Software\Microsoft\Internet explorer\Styles

HKLM\Software\Microsoft\Internet explorer\Menuext

HKLM\Software\Microsoft\Internet explorer\Plugins

HKLM\Software\Microsoft\Windows\Currentversion\Explorer\Browser helpr objects

HKLM\Software\Microsoft\Windows\Currentversion\Internet

settings\*zones

HKLM\Software\Microsoft\Windows\Currentversion\Internet

settings\Safesites

HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Url HKLM\Software\Microsoft\Windows\Currentversion\Internet

settings\Zonemap\Protocoldefaults

HKLM\Software\Microsoft\Windows\Currentversion\Internet

settings\Zonemap\Domains

HKLM\Software\Microsoft\Windows\Currentversion\Internet

settings\Zonemap\Ranges

HKLM\SYSTEM\ControlSet*\Control\SafeBoot

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 HKLM\Software\Microsoft\Windows\Currentversion\Policies\System\ HKCU\Software\Policies\Microsoft\Internet Explorer\Control

panel\homepage

五.其他启动方式:

(1).C:\Explorer.exe启动方式:

这种启动方式很少人知道.

在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.

搜索顺序如下：

(1).搜索当前目录.

(2).如果没有搜索到Explorer.exe则系统会获取

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息获得相对路径.

(3).如果还是没有文件系统则会获取

[HKEY_CURRENT_USER\Environment\Path]的信息获得相对路径.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存

的相对路径的键值为:“%SystemRoot%System32;%SystemRoot%”和空.

所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:

(1).%SystemDrive%(例如C:\)

(2).%SystemRoot%System32(例如C:\WINNT\SYSTEM32)

(3).%SystemRoot%(例如C:\WINNT)

此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.

在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion \Winlogon\Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.

(2).屏幕保护启动方式:

Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr 文件也仍然可以正常启动.

文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% *.scr

这种启动方式具有一定危险.

(3).计划任务启动方式:

Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.

[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.

(4).AutoRun.inf的启动方式:

Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.

Autorun.inf的内容通常是：

[AUTORUN]

OPEN=*.exe

ICON=icon(图标文件).ico

1.如一个木马,为*.exe.那么Autorun.inf则可以如下:

OPEN=Windows\*.exe

ICON=*.exe

这时,每次双击C盘的时候就可以运行*.exe.

2.如把Autorun.inf放入C盘根目录里,则里面内容为:

OPEN=D:\*.exe

ICON=*.exe

这时,双击C盘则可以运行D盘的*.exe

(5).更改扩展名启动方式:

更改扩展名:(*.exe)

如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.

六.Vxd虚拟设备驱动启动方式:

应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD 虚拟设备驱动只适用于Windows 95/98/Me).

可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序，使得几个应用程序可以同时使用这些资源.

七.Service[服务]启动方式:

[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.

在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).

注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.

八.驱动程序启动方式:

有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.

1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]

2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]

3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]

06/3/11补充[来自peter_yu]:

windir\Start Menu\Programs\Startup\

User\Startup\

All Users\Startup\

windir\system\iosubsys\

windir\system\vmm32\

windir\Tasks\

c:\explorer.exe

c:\autoexec.bat

c:\config.sys

windir\wininit.ini

windir\winstart.bat

windir\win.ini - [windows] "load"

windir\win.ini - [windows] "run"

windir\system.ini - [boot] "shell"

windir\system.ini - [boot] "scrnsave.exe" windir\dosstart.bat

windir\system\autoexec.nt

windir\system\config.nt

06/3/25补充[来自smzd2005]:

Folder.htt

desktop.ini

C:\Documents and Settings\用户名\Application Data\Microsoft\Internet Explorer\Desktop.htt

CAD常用命令汇总及详解

CAD中有哪些命令？我们可以把它们分为几类。一类是绘图类，二类是编辑类，三类是设置类，四类是其它类，包括标注、视图等。我们依次分析。 第一类，绘图类。常用的命令有： Line 直线 Xline 构造线 mline 双线 pline 多义线 rectang 矩形 arc 圆弧 circle 圆 hatch 填充 boundary 边界 block 定义块 insert 插入快 第二类，编辑类。常用的命令有： Matchprop 特性匹配 Hatchedit 填充图案编辑 Pedit 多义线编辑 Erase 擦除 Copy 拷贝 Mirror 镜像 Offset 平移 Array 阵列 Move 移动 Rotate 旋转 Scale 缩放 Stretch 拉伸 Lengthen 拉长 Trim 裁减 Extend 延伸 Break 打断 Fillet 倒圆角 Explode 炸裂 Align 对齐 Properties 属性

绘图工具栏: 直线（L）：全称(line) 在屏幕上指定两点可画出一条直线。也可用相对坐标 或者在正交模式打开的情况下，直接给实际距离鼠标拖动来控制方向 构造线（XL）：全称（xline） H为水平V为垂直O为偏移A为角度B为等分一个角度。 多段线（PL）：全称（pline） 首先在屏幕上指定一点，然后有相应提示： 指定下一个点或[圆弧(A)/半宽(H)/长度(L)/放弃(U)/宽度(W)]。可根据需要来设置。 其中“圆弧”指定宽度可画任意角度圆弧；“半宽”指多段线的一半宽度，即如要高线宽为10，则5；“长度”给相应的值，则画出相应长度的多段线；“放弃”指放弃一次操作；“宽度”指多段线的宽度 多边形（pol）：全称（polygon） 所绘制多边形为正多边形，边数可以自己设 E：根据边绘制多边形也可根据圆的半径利用外切和内接来画正多边形 矩形（REC）：全称（rectang） 点击矩形工具后出现下列提示： 指定第一个角点或[倒角(C)/标高(E)/圆角(F)/厚度(T)/宽度(W)] 其中“倒角”是将90度直角的两条边割去一点。变成一个斜角。“标高”是空间上的意义可以在三视图当中展现出来,标高是相对的；“圆角”：即是将四个直角边倒成半径为X的圆角；“厚度”：空间上的意义，可在Z轴上表现出来“宽度”：平面空间的概念，指矩形四边的宽度。 圆弧（ARC或A）：默认为3点画圆弧，成弧方向为逆时针，画优弧半径给负值。绘图菜单中有如下选项： 起点、圆心、端点； 起点、圆心、角度； 起点、圆心、长度； 起点、端点、角度； 起点、端点、方向； 起点、端点、半径； 圆心、起点、端点； 圆心、起点、角度； 圆心、起点、长度；

windows-Server服务器系统自身安全防护措施

Windows Server系统自身安全防护措施 提示： 为慎重操作，可以先在测试机做关闭测试，最好通过与厂方工程师商定后再设置。 一、关闭服务器不必要端口 利用win2003自带防火墙关闭所有端口，如就留一个端口：80 。（设置有两种方法，一个使用windows自带防火墙设，一个实在TCP/IP属性里设。） 设置方法： 1、在“网络连接”属性里设置windows防火墙。 2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。

二、在服务中关闭不必要的服务 以下服务可以关闭： Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序

网络安全实验报告

信息与科学技术学院学生上机实验报告 课程名称：计算机网络安全 开课学期：2015——2016学年 开课班级：2013级网络工程（2）班 教师姓名：孙老师 学生姓名：罗志祥 学生学号：37 实验一、信息收集及扫描工具的使用 【实验目的】 1、掌握利用注册信息和基本命令实现信息收集 2、掌握结构探测的基本方法 3、掌握X-SCAN的使用方法 【实验步骤】 一、获取以及的基本信息 1.利用ping 和nslookup获取IP地址（得到服务器的名称及地址） 2.利用来获取信息 二、使用工具获取到达的结构信息 三、获取局域网内主机IP的资源信息 -a IP 获得主机名；

-a IP 获得所在域以及其他信息； view IP 获得共享资源； a IP 获得所在域以及其他信息； 四、使用X-SCAN扫描局域网内主机IP； 1.设置扫描参数的地址范围； 2.在扫描模块中设置要扫描的项目； 3.设置并发扫描参数； 4.扫描跳过没有响应的主机； 5.设置要扫描的端口级检测端口； 6.开始扫描并查看扫描报告； 实验二、IPC$入侵的防护 【实验目的】 ?掌握IPC$连接的防护手段 ?了解利用IPC$连接进行远程文件操作的方法 ?了解利用IPC$连接入侵主机的方法 【实验步骤】 一：IPC$ 连接的建立与断开 通过IPC$ 连接远程主机的条件是已获得目标主机管理员的账号和密码。 1.单击“开始”-----“运行”，在“运行”对话框中输入“cmd”

1.建立IPC$连接，键入命令 net use 123 / user:administrator 2.映射网络驱动器，使用命令： net use y: 1.映射成功后，打开“我的电脑”，会发现多了一个y盘，该磁盘即为目标主机的C盘 1.在该磁盘中的操作就像对本地磁盘操作一 1.断开连接，键入 net use * /del 命令，断开所有的连接 1.通过命令 net use 可以删除指定目标IP 的IPC$ 连接。 ?建立后门账号 1.编写BAT文件，内容与文件名如下，格式改为：.bat 1.与目标主机建立IPC$连接 2.复制文件到目标主机。（或映射驱动器后直接将放入目标主机的C 盘中） 1.通过计划任务使远程主机执行文件，键入命令：net time ，查看目标主机的时间。 1.如图，目标主机的系统时间为13:4513：52 c:\ ，然后断开IPC$连接。 1.验证账号是否成功建立。等一段时间后，估计远程主机已经执行了文件，通过建立IPC$连接来验证是否成功建立“sysback”账号:建立IPC$连接，键入命令 net use 123 /user:sysback 1.若连接成功，说明管理员账号“sysback”已经成功建立连接。

注册表使用方法

一、什么是注册表啊 windows操作系统的注册表实际上是一个庞大的数据库，它包括操作系统的硬件配置、软件配置、用户环境和操作系统界面的数据信息。注册表是Windows操作系统的核心文件，它存放着各种参数，直接控制系统启动、硬件驱动程序的装载以及系统应用程序运行。注册表包括以下几部分内容。 ①软、硬件的相关配置和状态信息，应用程序和资源管理器外壳的初始条件、首选项和卸载数据。 ②联网电脑的整个系统的设置和各种许可信息，文件扩展名与应用程序的关联信息以及硬件部件的描述、状态和属性等信息。 ③性能记录、用户自定义设置以及其他数据信息。 注册表涵盖了软、硬件等多方面的设置信息，如果对这些设置修改得当，将会对系统本身和其中的软件进行优化。但注册表中存放着系统的所有配置信息，如果进行了错误的设置还会导致系统的瘫痪，所以不明白的键值一定不要随便修改。 二、修改注册表的作用 1、提高系统性能。通过修改注册表可以优化注册表，达到提高系统性能的目的。如加快系统启动速度及加速网上邻居访问速度。 2、增强系统安全性。如禁止修改IE主页。 3、解决系统常见故障。如解决IE窗口突然关闭的问题。 4、个性化操作系统。如在右键菜单中添加“在新窗口中打开”。 5、便于远程管理。 三、注册表编辑器的启动 启动注册表有两种方法： 1、开始—运行，输入“regedit"或者"regedt32" 2、在CMD中输入regedt32.exe，回车。 四、如果使注册表修改生效 1、重启电脑。一般情况下，如果修改与系统相关的内容，即HKEY_LOCAL_MACHINE根键下的内容，需要重新启动电脑才能生效。 2、刷新桌面。对桌面设置或效果的注册表值进行修改，系统是实时读取的，修改之后立即生效，但有时候也需要在桌面上刷新一下才能显示效果。 3、重启桌面。即按Ctrl+Alt+del，调出任务管理器，结束“Explorer.exe”，然后再

ORACLE SQLPLUS 常用命令及解释

Oracle SQLPlus常用命令及解释 1.@ 执行位于指定脚本中的SQLPlus语句。可以从本地文件系统或Web服务器中调用脚本。可以为脚本中的变量传递值。在iSQL*Plus中只能从Web服务器中调用脚本。 2.@@ 执行位于指定脚本中的SQL*Plus语句。这个命令和@（“at”符号）命令功能差不多。在执行嵌套的命令文件时它很有用，因为它会在与调用它的命令文件相同的路径或url中查找指定的命令文件。在iSQL*Plus中只支持url形式。 3./ 执行保存在SQL缓冲区中的最近执行的SQL命令或PL/SQL块。在SQL*Plus命令行中，可在命令提示符或行号提示符使用斜线（/）。也可在iSQL*Plus的输入区中使用斜线（/）。斜线不会列出要执行的命令。 4.ACCEPT 可以修改既有变量，也可定义一个新变量并等待用户输入初始值,读取一行输入并保存到给出的用户变量中。ACCEPT在iSQL*Plus中不可用。 5.APPEND 把指定文本添加到SQL缓冲区中当前行的后面。如果text的最前面包含一个空格可在APPEND和text间输入两个空格。如果text的最后是一个分号，可在命令结尾输入两个分号（SQL*Plus会把单个的分号解释为一个命令结束符）。APPEND 在iSQL*Plus中不可用。 6.ARCHIVE LOG 查看和管理归档信息。启动或停止自动归档联机重做日志，手工（显示地）归档指定的重做日志，或者显示重做日志文件的信息。 7.ATTRIBUTE 为对象类型列的给定属性指定其显示特性，或者列出单个属性或所有属性的当前显示特性。 8.BREAK 分开重复列。指定报表中格式发生更改的位置和要执行的格式化动作（例如，在列值每次发生变化时跳过一行）。只输入BREAK而不包含任何子句可列出当前的BREAK定义。 9.BTITLE 在每个报表页的底部放置一个标题并对其格式化，或者列出当前BTITLE定义。

系统清理的常用方法和DOC命令

1、进入：控制面板--系统--高级--环境变量 2、单击用户变量中的TEMP--编辑--将那一长串内容变为D:\TEMP(根据你需要，可改成其它盘，但不是系统所在的就行了) 3、同上，将TMP同样改为D:\TEMP。因为这些东西是让你的系统盘快速膨胀的主要内患，其属性是隐藏的，有些朋友还找不到呢！ 4、在“系统变量”同样将TEMP和TMP改成上面的。 5、右键单击桌面“我的文档”--属性--目标文件夹中设置“目标文件夹位置”，将其改为D:\MyDocuments或D:\我的文档（喜欢放在哪里，你自己说了算！），然后可选移动。 这个很重要，事实上当我们的电脑崩溃后，在系统盘中一般没有什么重要的东西，有用的都在MyDocuments中了，所以把它给挪个窝，你就什么也不用担心了，还有，有相当一部分朋友在DOS模式下还不会备份MyDocuments中的内容（因为那个文件夹名称很长，如果你恰好又用了中文，那就恭喜你：麻烦更大啦！) 6、右键单击InternetExplorer--属性--常规--Internet临时文件--设置--移动文件夹--选择D:\TemporaryInternetFiles\(如果没有，可先创建，当然可用D:\TEMP或其它什么，你的地盘，当然是你说了算！)--确定！ 7、系统--高级--性能--设置--高级--虚拟内存--更改--选择D或其它非系统分区--自定义大小--输入大小M--设置；选C或系统所在分区--无分页文件--设置--确定，这样就把虚拟存储器也转到其他硬盘上了。 @ECHO off color 0a REM [2012.08.11] REM 增加优化自记功项功能 REM [2012.05.01] REM 区分服务器和非服务器（已取消） REM [2012.02.01] REM 重点优化了本地帐户垃圾文件索引功能——减少了循环次数以减小系统资源占用REM 修复细小Bug——修复个别因命令书写失误导致的功能失效问题 REM [2012.01.31] REM 优化了清理顺序——将需要重点清除和资源占用小的功能优先执行 REM [2012.01.30]

木马防护方法

防治方法 现在我们来说防范木马的方法之一，就是把 windows\system\mshta.exe文件改名， 改成什么自己随便 (xp和win2000是在system32下） HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新键值下创建一个REG_DWORD 类型的键Compatibility，并设定键值为0x00000400即可。 还有windows\command\debug.exe和windows\ftp.exe都给改个名字（或者删除） 一些最新流行的木马最有效果的防御~~ 比如网络上流行的木马smss.exe这个是其中一种木马的主体潜伏 在 98/winme/xp c:\windows目录下 2000 c:\winnt ..... 假如你中了这个木马首先我们用进程管理器结束正在运行的木马smss.exe 然后在C:\windows 或 c:\winnt\目录下创建一个假的 smss.exe 并设置为只读属性~ （2000/XP NTFS的磁盘格式的话那就更好 可以用“安全设置” 设置为读取）这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马都很有效果的 经过这样的修改后，我现在专门找别人发的木马网址去测试，实验结果是上了大概20个木马网站，有大概15个瑞星会报警，另外5个瑞星没有反映，而我的机器没有添加出来新的EXE文件，也没有新的进程出现，只不过有些木马的残骸留在了IE的临时文件夹里，他们没有被执行起来，没有危险性，所以建议大家经常清理临时文件夹和IE 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。 防治木马的危害，应该采取以下措施： 第一，安装杀毒软件和个人防火墙，并及时升级。 第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。 第三，可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。 第四，如果使用IE浏览器，应该安装卡卡安全助手或360安全浏览器，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。 远程控制的木马有：冰河，灰鸽子，上兴，PCshare，网络神偷，FLUX 等，现在通过线程插入技术的木马也有很多.现在的木马程序常常和和DLL 文件息息相关，被很多人称之为“DLL木马”。DLL木马的最高境界是线程

注册表安全编程实验

实验三、注册表安全编程实验 一、实验目的与要求 1、了解windows注册表的作用 2、设计注册表安全防护工具，并利用vc++ 编程实现 二、实验环境 Visual C++ 6.0 三、实验原理 在Windows的注册表中，所有的数据都是通过一种树状结构以键和子键的方式组织起来,就象磁盘文件系统的目录结构一样。每个键都包含了一组特定的信息，每个键的键名都是和它所包含的信息相关联的。注册表的根键共有6个，这些根键都是大写的，并以HKEY为前缀，这种命令约定是以Win32API的Registry函数的关键字的符号变量为基础的。它们分别为： 1)HKEY_CLASSES_ROOT 管理文件系统，根据在Windows中安装的应用程序的扩展名，该根键指明其文件类型的名称，相应打开该文件所要调用的程序等信息。 2)HKEY_CURRENT_USER 管理系统当前的用户信息，在这个根键中保存了本地计算机中存放的当前登录的用户信息，包括用户登录用户名和暂存的密码，在用户登录Windows时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。 3)HKEY_LOCAL_MACHINE 该根键存放本地计算机硬件数据，管理当前系统硬件配置，此根键下的子关键字包括在SYSTEM.DAT中，用来提供HKEY_LOCAL_MACHINE所需的信息。 4)HKEY_USERS 管理系统的用户信息，在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表，同时每个用户的预配置信息都存储在HKEY_USERS根键中，HKEY_USERS是远程计算机中访问的根键之一。 5)HKEY_CURRENT_CONFIG 管理当前用户的系统配置，在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据，该用户使用过的文档列表，应用程序配置和其他有关当前用户的安装信息。 6)HKEY_DYN_DATA 管理系统运行数据，在这个根键中保存了系统在运行时的动态数据，此数据在每次显示时都是变化的[2]，因此，此根键下的信息没有放在注册表中。 以上是注册表树最顶层的6个分支所分别代表的含义，可以由用户有针对性的对其进行修改、编辑等操作，但也可能受到来自网络的恶意攻击。因此，注册表安全就是防止非授权用户访问注册表敏感键值和注册表本身。 系统启动项 Windows操作系统的系统启动项是在注册表中设置的，在注册表中常见的自启动位置如下： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

如何彻底清除注册表垃圾

如何彻底清除注册表垃圾 CleanReg是一个功能强大的注册表编辑和维护工具。第一次运行的时候，CleanReg会对当前注册表进行一个彻底的扫描，这个过程会耽误一些时间，所以当你发现机器在2-3分钟之间没有响应的话，千万别着急重新启动系统。等到注册表扫描完毕后，CleanReg就采用五个子窗口来显示相关的系统信息，而且你还可以在这些窗口中进行对注册表进行编辑修改与系统维护工作。 1、CleanReg（清理注册表） 在这个窗口中，程序已经将注册表中无效的垃圾文件完整的提供给你，这其中包括你以前打开的文件记录、删除软件之后残留在注册表中的主键、无效的DLL动态连接库文件等等。此时你只要选中相应的文件并按下DEL按键就可以把它们删除，以便对注册表进行一个彻底的清理，如下图所示。 2、Undo（取消） 如果在清理注册表的时候出现了误删文件的情况，那么就可以在Undo 窗口下对以前的文件信息进行一个浏览，同时还能将选中的注册表信息和文件进行恢复操作。 3、All File in Registry（注册表中的文件） 这里显示的是当前系统中所有文件，以及它们在注册表中的相应位置。也许你会认为这个窗口似乎没有很实用的功能，但是对于那些想把注册表研究透彻的朋友来说，通过这个窗口可以摸清楚每一个文件所对应的注册表位置，

因此是高手必须去看看的地方。 4、Registry（注册表窗口） 这里有点像Windows下的注册表编辑器，但是又和注册表编辑器有很大的差别，主要是提供的信息更为详尽。比如我们常用的NetAnts，在这个窗口中就有所在的路径、语言种类、版本等很多项内容，你可以直接进行查看。而且还可以对其进行删除和清空键值的操作，如下图所示。 在实际的使用过程中，笔者发现CleanReg对于注册表的垃圾文件查找功能很强大，比如你原先在桌面上打开了一个文本文件，但是查看这个文件之后又将其删除了，但是这个信息已经被保存在注册表中。日积月累的话，这类不存在的文件查看记录就很多很多，它们在注册表中占据了一定的空间，不仅造成注册表的个头很大，而且还会导致系统启动速度变慢、程序运行延迟等现象，所以在CleanReg的帮助下能够彻底将这些垃圾文件全部查找出来并清空它们。

实验一、注册表安全机制实验

实验一、注册表安全机制实验 【实验目的】 （1）了解注册表在系统安全中的地位和作用 （2）了解几个与系统安全密切相关的重要注册表键值 （3）掌握使用Windows API访问注册表的编程方法。 【实验内容】 通过编程以对话框形式完成对注册表编辑器的禁用与解禁。 【实验方法步骤】 （1）用RegOpenKeyEx（）函数打开注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows\Currest Version\Policies\System。如果该注册表项不存在，则用RegCreateKeyEx（）函数创建该项。 （2）如果该项为新创建的，则新建立一个REG_SZ值项DisableChangePassword 和一个REG_DWORD值项dword。如果该值项已经存在，则用 RegQueryValueEx()读取值项DisableRegistryTools的dword的值。（3）用wsprintf()和MessageBox()函数把项值显示在屏幕上。 （4）将值项dword的值置为1。 （5）用RegFlushKey()函数将对注册表项的修改写入注册表。 （6）用RegCloseKey（）函数关闭打开的注册表项。 （7）编译执行立即生效。 （8）发regedit命令验证结果。 【实验报告】 （1）提交原程序、可执行程序代码。 （2）编写并提交程序数据字典。 【实验注意事项】 由于注册表值项中值的改变会直接影响系统性能，编程时需慎重，除本次实验要求的内容外，不得随意改变或删除其它注册表项。 【相关知识点】 1、实验必备知识 注册表既是Windows的重要组成部分，也是黑客攻击的主要对象之一。黑客通过对被攻击方注册表的的访问获取大量系统信息，甚至直接击毁系统。防止注册表攻击的方法有许多，其中一种就是禁止用户运行系统提供的两个注册表工具Regedt32.exe和Regedit.exe。禁止的方法由修改下列注册表项的值实现：HKEY_CURRENT_USER\Software\Wicrosoft\Windows\CurrentVersion\Policie s\System 值项：DisableRegistryTools 类型：REG_DWORD 值为1表示禁止使用Windows 中的注册表工具Regedt32.exe和Regedit.exe。

注册表编辑器使用

右键菜单：新建Excel添加：[1]注册表编辑 一个具有强大功能的WINDOWS编辑器--注册表编辑器，使用它可以改变很多想要系统的功能 工具/原料 有windows系统的电脑 方法/步骤 1. 1 点击开始菜单-》运行，如果没有直接输入regedit.exe

2. 2 点击找开注册表编辑器，找到.xls；

3. 3 如果找不到，右键点击新建，直接新建项命名为.xls 4. 4 然后新建字符串值，名称：Content Type 值：application/vnd.ms-excel

5. 5 再新建 名称：@是默认的 值：Excel.Sheet.8 6. 6 接下来，依次新建下列键值， Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.xls\Excel.Sheet.5] [HKEY_CLASSES_ROOT\.xls\Excel.Sheet.5\ShellNew] "FileName"="excel.xls" [HKEY_CLASSES_ROOT\.xls\Excel.Sheet.8] @="" [HKEY_CLASSES_ROOT\.xls\Excel.Sheet.8\ShellNew] "FileName"="excel9.xls" [HKEY_CLASSES_ROOT\.xls\ExcelWorksheet] [HKEY_CLASSES_ROOT\.xls\ExcelWorksheet\ShellNew] "FileName"="excel4.xls" [HKEY_CLASSES_ROOT\.xls\PersistentHandler] @="{98de59a0-d175-11cd-a7bd-00006b827d94}"

构建防御盾 -注册表的单行其道

小科普
操作系统的核心。它实质上是一个庞大的数据库， 注册表是 Windows 操作系统的核心。它实质上是一个庞大的数据库，存放有计算机硬件 和全部配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、 和全部配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件 设备说明以及各种网络状态信息和数据。可以说计算机上所有针对硬件、软件、 设备说明以及各种网络状态信息和数据。可以说计算机上所有针对硬件、软件、网络的操 作都是源于注册表的。 作都是源于注册表的。
注册表的组成
系统配置注册表文件 台配置备份文件 网络管理注册表文件
系统配置注册表备份文件 用户平台配置注册表文件 用户平
网络管理注册备份文件
a.注册表 5 个子目录树的作用 注册表
1.hkey classes root 记录各种文件的关联信息 2.kkey current user 记录桌面，墙纸，程序的设置保存，个性化等 3.hkey local machine 注册表的核心部分，各种软，硬件配置 4.hkey user 显示当前登录用户和默认用户的配置 5.hkey current config 硬件配置
b.注册表被破坏的表现 注册表被破坏的表现
1.找不到.dll 等或程序部分丢失不能定位 2.找不到服务器上的嵌入对象 3.找不到应用程序打开 XX 类型的文档
对于主动防御来说，前面已经讲过，其中一项是注册表防护。例如像 IE 主页，如果被篡改， 均可以在注册表中将相应的键值中进行修改 1.regedit 的打开方法

网络安全技术实验报告实验7计算机及手机病毒防范

XX大学 本科实验报告 课程名称：网络安全技术 1421351 学号： XXX 姓名： 网络工程专业： 班级：网络B14-1 指导教师： 课内实验目录及成绩 信息技术学院 2017年10 月27 日

XX大学实验报告 课程名称：计算机信息安全实验类型：演示、验证 实验项目名称：实验七计算机及手机病毒防范 实验地点：信息楼320 实验日期：2017 年10月27 日 1.实验目的 360安全卫士及杀毒软件的实验目的主要包括： 1）理解360安全卫士及杀毒软件的主要功能及特点。 2）掌握360安全卫士及杀毒软件主要技术和应用。 3）熟悉360安全卫士及杀毒软件主要操作界面和方法。 2. 实验内容 （1）主要实验内容 360安全卫士及杀毒软件的实验内容主要包括： ①360安全卫士及杀毒软件的主要功能及特点。 ②360安全卫士及杀毒软件主要技术和应用。 ③360安全卫士及杀毒软件主要操作界面和方法。 实验用时：2学时（90-120分钟） （2）360安全卫士主要功能特点 360安全卫士是奇虎自主研发的软件一款电脑安全辅助软件，拥有查杀木马、清理插件、修复漏洞、电脑体检等多种功能，并独创了“木马防火墙”功能，依靠抢先侦测和云端鉴别，可全面、智能地拦截各类木马，保护用户的账号、隐私等重要信息。目前木马威胁之大已远超病毒，360安全卫士运用云安全技术，在拦截和查杀木马的效果、速度以及专业性上表现出色，能有效防止个人数据和隐私被木马窃取，被誉为“防范木马的第一选择”。360安全卫士自身非常轻巧，同时还具备开机加速、垃圾清理等多种系统优化功能，可大大加快电脑运行速度，内含的360软件管家还可帮助用户轻松下载、升级和强力卸载各种应用软件。360安全卫士的主要功能： ①电脑体检。可对用户电脑进行安全方面的全面细致检测。 ②查杀木马。使用360云引擎、启发式引擎、本地引擎、360奇虎支持向量机QVM（Qihoo Support Vector Machine）四引擎毒查杀木马。 ③修复漏洞。为系统修复高危漏洞、加固和功能性更新。 ④系统修复。修复常见的上网设置和系统设置。 ⑤电脑清理。清理插件、清理垃圾和清理痕迹并清理注册表。 ⑥优化加速。通过系统优化，加快开机和运行速度。 ⑦电脑门诊。解决电脑使用过程中遇到的有关问题帮助。 ⑧软件管家。安全下载常用软件，提供便利的小工具。 ⑨功能大全。提供各式各样的与安全防御有关的功能。 360安全卫士将木马防火墙、网盾及安全保镖合三为一，安全防护体系功能大幅增强。具有查杀木马及病毒、清理插件、修复及危险项漏洞、电脑体检、开机加速等多种功能，并独创了“木马防火墙”功能，利用提前侦测和云端鉴别，可全面、智能地拦截各类木马，保护用户的账号、隐私等重要信息。运用云安全技术，在拦截和查杀木马的效果、速度以及专

注册表编辑器的使用

注册表编辑器的使用 在使用注册表编辑器之前，首先必须启动注册表编辑器。单击“开始”按钮，然后单击“运行”，在“打开”框内输入regedit 或者regedit.exe或者C:\windows\regedit.exe !即可打开注册表! 也可以进入系统盘系统目录双击regedit 程序即可打开! 一旦注册表出现问题或者为达到某种目的（如屏蔽某些自启动程序等），则需要修改或者修复注册表。首先你必须对注册表结构有个整体的了解，然后根据提示信息或者错误现象分析可能是注册表中哪些地方出现了问题。 例如，在启动Windows 98时，可能会出现如下提示信息：(想必这样屏幕很多人都见过吧?是不是措手不及?) Cannot find a device file that may be needed to run Windows or a windows application. The Windows Registry or System.ini file refers to this device file， But the device file no longer exists If you deleted this file on purpose，try uninsalling the associated application using its uninstall Or Setup program. If you still want to use the application associared with this device file，Try reinstalling the application to replace the missing file. Ndskwan.vxd Press a key to continue. 或者在启动后出现如图所示的提示信息框，则说明你已经误删除了应用程序或者驱动程序，但是这些程序在注册表中的键值数据仍存在，因而Windows 98会给出提示信息。 为了从注册表中删除这些程序对应的子键或者键值数据，可使用下面两种方法：(1) 使用“注册表编辑器”的“编辑”菜单中的“查找”命令。操作步骤如下： 1 启动注册表编辑器。 2 在“编辑”菜单中选择“查找”命令，则弹出“查找”对话框。 3 在“查看”框中选择“主键”、“键值”或者“数据”。 4 如果要精确地查找，请单击“只匹配整个字符串”复选框。 5 在“查找目标”框中输入提示信息中所提到的程序，如上面的ndiskwan.vxd 或者CPUIDLE.DLL。 6 单击“查找下一个”按钮，或者按回车键，系统将开始在注册表中查找. 在查找过程中，你可以单击“取消”按钮，以便取消当前的查找进程。 系统在查找时，若查找到指定的匹配字符串，则系统将快速地定位到这些程序对应的子键或者键值数据，右击这些子键或者键值数据，再从弹出的快捷菜单中单击“删除”即可。 7 单击“查找下一个”按钮，或者按F3键，将进入下一个匹配字符串的查找进程。 8 在完成了所有的匹配字符串的查找进程后，将弹出完成查找的对话框。

Cad常用命令及使用方法

Cad常用命令及使用方法 一、绘图命令 直线：L 用法：输入命令L/回车/鼠标指定第一点/输入数值（也就是指定第二点）/回车（这时直线就画出来了）/回车（结束命令） 射线：RAY 用法：输入命令RAY/回车/鼠标指定射线起点/指定通过点/回车（结束命令） 构造线：XL 用法：输入命令XL/回车/鼠标指定构造线起点/指定通过点/回车（结束命令） 多段线：PL 用法1：同直线命令 用法2：输入命令PL/回车/指定起点/输入W（绘制带有宽度的线）/回车/指定线起点宽度/回车/指定线结束点宽度/回车/输入数值（线的长度值）/回车（结束命令） 正多边形：POL 用法：输入命令POL/回车/指定边数/回车/鼠标指定正多边形的中心点/输入选项（C外切于圆；I内接于圆）/回车/输入半径/回车（结束命令） 矩形：REC 用法1：输入命令REC/回车/鼠标指定第一角点/指定第二角点 用法2：输入命令REC/回车/输入C（绘制带有倒角的矩形）/回车/输入第一倒角值/回车/输入第二倒角值/回车/鼠标指定第一角点/指定第二角点 用法3：输入命令REC/回车/输入F（绘制带有圆角的矩形）/回车/输入圆角半径/回车/指定第一角点/指定第二角点 圆弧：A 用法：输入命令A/回车/指定圆弧起点/指定圆弧中点/指定圆弧结束点 （绘制圆弧的方法有11种，可参考绘图菜单---圆弧选项） 圆：C 用法：输入命令C/回车/鼠标指定圆心/输入半径值/回车（命令结束） （绘制圆的方法有6种，可参考绘图菜单---圆选项） 样条曲线：SPL 用法：输入命令SPL/回车/鼠标指定要绘制的范围即可/需要三下回车结束命令 椭圆：EL

(完整版)信息安全防护1.1_主机安全_WindowxXP加固_试题及答案

题目：WindowxXP操作系统安全加固（10分） 要求如下： 1、配置帐户策略 设置账户密码最长存留期为60天，最短存留期为10 天，帐户锁定阀值为 5 次登录无效，帐户锁定时间为60分钟，复位帐户锁定计数器为50分钟。 2、配置审核策略及日志 设置审核系统登录事件为“成功，失败”，设置审核策略为“成功，失败”。同时，设置安全日志的事件来源为“LSA”，类别为策略改动。 3、关闭端口 禁止除SMTP、POP3、80 之外的任何其他端口的TCP 通信 4、修改注册表 1).通过修改注册表不显示上次登录名 2).通过修改注册表使得注册表无法打开 3).修改注册表禁止空连接 5、分布式文件系统 为本机创建一个独立的DFS 根目录，指定DFS 根目录共享使用现有的共享dfs-test，接受DFS 根目录的默认名称dfs-test。 6、禁止DUMPFILE 禁止DUMPFILE 产生 答案及评分标准： 1、配置账户策略 步骤： 1).依次进入“开始”-“控制面板”-“管理工具”-“本地安全策略” 2).展开“帐户策略”-找到“密码最长存留期”-将其修改为“60 天”-找到“密码最短存留期”-将其修改为“10 天”（0.5分） 3).展开“帐户锁定策略”-找到“帐户锁定阀值”-将其值设为“5 次”-按“确定”-

修改“帐户锁定时间”的值为“60 分钟”-修改“复位帐户锁定计数器”的值为“50分钟”（0.5分） 2、配置审核策略及日志 步骤： 1).依次进入“开始”-“控制面板”-“管理工具”-“本地安全策略” 2).展开“本地策略”-“审核策略”-找到“审核登录事件”-将其值改为“成功，失败”-找到“审核策略更改”-将其值改为“成功，失败”（1分） 3).依次进入“开始”-“控制面板”-“管理工具”-“事件查看器”-右击“安全日志”-选择“属性”-选择“筛选器”-将“事件来源”改为“LSA”-将“类别”改为“策略改动”（不要关闭窗口）（1分） 3、关闭端口 步骤： 1).右击“网络邻居”-“属性”-“本地连接”-“属性”-选择“Internet 协议(Tcp/ip)”-点击“属性”-选择“高级”-“选项”-“TCP/IP 筛选”-“属性” 2).在“TCP 端口”一栏中选择“只允许”项-点击“添加”-依次添加“25”、“110”、“80”端口-点击“确定”（1分） 4、修改注册表 步骤： 1).不显示上次登录用户名：（1分） HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciess ystemdontdisplaylastusername，把REG_DWORD 值改为1（或者使用组策略配置：GPEDIT.MSC->在“计算机配置”->“Windows 设置”->“安全设置”->“本地策略”->“安全选项”->“不显示上次的用户名”改为已启用。） 2).禁用注册表：（1分） HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools 将其值改为1（Reg_DWORD）（或者使用组策略配置：GPEDIT.MSC->在“用户配置”->“管理模板”->“系统”->“阻止访问注册表编辑工具”改为“已启用”） 3).禁止空连接：（1分） HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl

注册表编辑器的基本使用方法

注册表编辑器的基本使用方法 在我们平常的计算机维护和使用中，可能会经常和注册表打交道，特别是一些问题的解决可能会涉及到对注册表的相关键值进行编辑操作。为了大家能更好的了解如何使用注册表编辑器来进行一些常规应用，这边就先做一个基础介绍，希望能对大家有所帮助。 PS：下面的例子会以Windows 7操作系统为例，Vista和XP的操作步骤基本与之类似。 1. 首先，请点击屏幕左下角的开始图标，在搜索程序和文件的输入框中输入regedit命令，这样我们可以在上方的程序列表中找到regedit.exe这个注册表编辑工具，点击该工具即可打开注册表编辑器，若我们收到用户账户控制提示，点击是即可。

2. 打开注册表编辑器后，我们可以看到如下界面，之后我们所要做的就是逐步展开到所需操作的注册表键值项。这里我们会以wuauserv这个更新服务为例作一些示范。

3. 上图中我们可以看到注册表编辑器的左下方会记录当前键值的路径，以wuauserv为例，其路径是计算机 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv 4. 由于对注册表的操作带有一定风险性，错误的改动很可能产生诸多问题，所以在对注册表做任何改动前，我们建议用户首先把需要改动的相关部分导出备份，这样若有意外发生，我们可以方便的双击导出的备份文件，重置相关注册表项，以避免风险。 5. 请右键所需备份的注册表项，选择导出，请选择导出的路径，比如桌面，并未文件命名，命名主要是为了帮助我们辨别不同的备份文件，比如我们对wuauserv进行的备份就可以命名为wuauservbackup，然后点击保存即可。

CISCO 常用命令解释

视图模式介绍： 普通视图 router> 特权视图 router# /在普通模式下输入enable 全局视图 router(config)# /在特权模式下输入config t 接口视图 router(config-if)# /在全局模式下输入int 接口名称例如int s0或int e0 路由协议视图 router（config-route）# /在全局模式下输入router 动态路由协议名称 1、基本配置： router>enable /进入特权模式 router#conf t /进入全局配置模式 router(config)# hostname xxx /设置设备名称就好像给我们的计算机起个名字 router(config)#enable password /设置特权口令 router(config)#no ip domain lookup /不允许路由器缺省使用DNS解析命令 router(config)# Service password-encrypt /对所有在路由器上输入的口令进行暗文加密router(config)#line vty 0 4 /进入设置telnet服务模式 router(config-line)#password xxx /设置telnet的密码 router(config-line)#login /使能可以登陆 router(config)#line con 0 /进入控制口的服务模式 router(config-line)#password xxx /要设置console的密码 router(config-line)#login /使能可以登陆 2、接口配置： router(config)#int s0 /进入接口配置模式 serial 0 端口配置（如果是模块化的路由器前面加上槽位编号，例如serial0/0 代表这个路由器的0槽位上的第一个接口） router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码router(config-if)#enca hdlc/ppp 捆绑链路协议 hdlc 或者 ppp 思科缺省串口封装的链路层协议是HDLC所以在show run配置的时候接口上的配置没有，如果要封装为别的链路层协议例如PPP/FR/X25就是看到接口下的enca ppp或者enca fr router(config)#int loopback /建立环回口(逻辑接口)模拟不同的本机网段 router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码给环回口 在物理接口上配置了ip地址后用no shut启用这个物理接口反之可以用shutdown管理性的关闭接口 3、路由配置： (1)静态路由 router(config)#ip route xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 下一条或自己的接口router(config)#ip route 0.0.0.0 0.0.0.0 s 0 添加缺省路由 (2)动态路由 rip协议 router(config)#router rip /启动rip协议 router(config-router)#network xxx.xxx.xxx.xxx /宣告自己的网段 router(config-router)#version 2 转换为rip 2版本 router(config-router)#no auto-summary /关闭自动汇总功能，rip V2才有作用 router(config-router)# passive-int 接口名 /启动本路由器的那个接口为被动接口