五彩网络人生,五彩缤纷,网络人生,技术博客,iColorful.Net

ANI漏洞：艾妮病毒的技术分析

shilinsheng@gmail.com(iColorful) — Wed,04 Apr 2007 13:34:38 +0800

　　近日，一名为ANI漏洞的蠕虫病毒非常活跃（现已被国家计算机病毒应急处理中心统一命名为“艾妮”）。一时间，媒体争先报道，很多用户也纷纷中招，但大家都很困惑，不知道是怎样被感染到这个病毒的，在这里个人粗浅地分析了一下。不知道是否会得到大家同意？

　　病毒名：艾妮（别名，麦英、ANI蠕虫）

　　英文名：MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky

　　技术分析

　　1、释放病毒文件到如下路径：

　　%SYSTEM%\sysload3.exe

　　2、修改注册表，添加如下键值：

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Run
　　"System Boot Check"="C:\ WINDOWS\system32\sysload3.exe"

　　3、起IE进程，注入病毒代码，连接网络下载大量病毒、木马程序，当发现病毒新版本时，会下载更新。

　　4、发送邮件传播自身：

　　主题:你和谁视频的时候被拍下的？给你笑死了！

　　内容：看你那小样！我看你是出名了！

　　你看这个地址！你的脸拍的那么清楚！你变明星了！

　　5、起NOTEPAD进程，便利本地磁盘，网络共享目录，感染大小在10K---10M之间的.exe文件，感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件，使病毒难以被察觉。

　　6、修改host文件，屏蔽访问某些网站

　　7、检测软驱，若存在则复制病毒文件到其中文件名为tool.exe，并生成autorun.inf文件，使病毒可以自动运行，以传播自身。

提示

　　这个应该是病毒编写的BUG，目前软驱已经基本被淘汰了，如果发现以下提示框，您很可能是中了“爱你”病毒。

微软官方发布“ANI鼠标指针漏洞”补丁了

shilinsheng@gmail.com(iColorful) — Wed,04 Apr 2007 01:50:30 +0800

微软官方07年04月03日终于发布了“ANI鼠标指针漏洞”补丁了。

　　安全公告号：MS07-017
　　漏洞名称：ANI鼠标指针漏洞可能允许远程执行代码
　　微软名称：KB925902
　　漏洞的影响：攻击者可能会利用此问题危及 Windows 系统的安全并获取对该系统的控制权，无论用户使用的是IE6、IE7，还是Firefox、Opera等浏览器，无论是Windows 2000、XP、2003，还是最新的Vista操作系统均无法幸免于难。已有大量木马、恶意程序、蠕虫病毒使用该漏洞进行传播绝大多数反病毒软件、防漏洞软件、主动防御软件失效。该漏洞的利用程序通常伪装成一个图片，只要点击了带有恶意代码图片的网站或邮件，就会被感染上恶意程序。
　　最高严重等级：严重
　　建议：强烈建议客户应立即应用此更新
　　漏洞描述：现已确认有一个安全问题，攻击者可能会利用此问题危及 Windows 系统的安全并获取对该系统的控制权。您可通过安装本 Microsoft 更新程序来保护计算机不受侵害。安装本更新程序之后，可能需要重新启动计算机。

下载页面：

Windows 2000 安全更新程序 (KB925902)	点击下载Windows 2000 简体中文版补丁适用于：Windows 2000 Service Pack 4
Windows Server 2003 安全更新程序 (KB925902)	点击下载Windows 2003 简体中文版补丁适用于：Windows Server 2003; Windows Server 2003 Service Pack 1; Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition 安全更新程序 (KB925902)	点击下载Windows 2003 x64 Edition 简体中文版补丁适用于：Windows Server 2003 Service Pack 2 x64 Edition
Windows XP 更新程序 (KB925902)	点击下载Windows XP 简体中文版补丁适用于：Windows XP Service Pack 2
Windows XP x64 Edition 安全更新程序 (KB925902)	点击下载Windows x64 Edition 简体中文版补丁适用于：Windows Server 2003 Service Pack 2 x64 Edition; Windows XP Professional x64 Edition
Windows Vista 安全更新程序 (KB925902)	点击下载Windows Vista 简体中文版补丁适用于：Windows Vista
基于 x64 的 Windows Vista 安全更新程序 (KB925902)	点击下载基于 x64 的Windows Vista 简体中文版补丁适用于：Windows Vista Business 64-bit edition; Windows Vista Enterprise 64-bit edition; Windows Vista Home Basic 64-bit edition; Windows Vista Home Premium 64-bit edition; Windows Vista Ultimate 64-bit edition

发布时间:2007-4-3

世界上最美的英文（爱情和友情）

shilinsheng@gmail.com(See) — Tue,03 Apr 2007 10:46:19 +0800

ALL THAT IS BEATIFUL(love and friendship)
Love 爱情
1. I love you not because of who you are, but because of who I am when I am with you.
我爱你，不是因为你是一个怎样的人，而是因为我喜欢与你在一起时的感觉。
2. No man or woman is worth your tears, and the one who is, won’t make you cry.
没有人值得你流泪，值得让你这么做的人不会让你哭泣。
3. The worst way to miss someone is to be sitting right beside them knowing you can’t have them.
失去某人，最糟糕的莫过于，他近在身旁，却犹如远在天边。
4. Never frown, even when you are sad, because you never know who is falling in love with your smile.
纵然伤心，也不要悉眉不展，因为你不知是谁会爱上你的笑容。
5. To the world you may be one person, but to one person you may be the world.
对于世界而言，你是一个人；但是对于某人，你是他的整个世界。
6. Don\'t waste your time on a man/woman, who isn't willing to waste their time on you.
不要为那些不愿在你身上花费时间的人而浪费你的时间。
7. Just because someone doesn't love you the way you want them to, doesn't mean they don't love you with all they have.
爱你的人如果没有按你所希望的方式爱你，那并不代表他们没有全心全意地爱你。
8. Don't try to hard, the best things come when you least expect them to.
不要着急，最好的总会在最不经意的时候出现。
9. Maybe God wants us to meet a few wrong people before meeting the right one, so that when we finally meet the person, we will know how to be grateful.
在遇到梦中人之前，上天也许会安排我们先遇到别人；在我们终于遇见心仪的人时，便应当心存感激。
10. Don't cry because it is over, smile because it happened.
不要因为结束而哭泣，微笑吧，为你的曾经拥有。

Friends 朋友
1. “A friend walk in when the rest of the world walks out.”
“别人都走开的时候，朋友仍与你在一起。”
2. Sometimes in life,
有时候在生活中，
You find a special friend;
你会找到一个特别的朋友;
Someone who changes your life just by being part of it.
他只是你生活中的一部分内容，却能改变你整个的生活。
Someone who makes you laugh until you can't stop;
他会把你逗得开怀大笑；
Someone who makes you believe that there really is good in the world.
他会让你相信人间有真情。
Someone who convinces you that there really is an unlocked door just waiting for you to open it..
他会让你确信，真的有一扇不加锁的门，在等待着你去开启。
This is Forever Friendship.
这就是永远的友谊。
3. When you're down,
当你失意，
And the world seems dark and empty,
当世界变得黯淡与空虚，
Your forever friend lifts you up in spirits and makes that dark and empty world suddenly seem bright and full.
你真正的朋友会让你振作起来，原本黯淡、空虚的世界顿时变得明亮和充实。
Your forever friend gets you through the hard times, the sad times, and the confused times.
你真正的朋友会与你一同度过困难、伤心和烦恼的时刻。
4. If you turn and walk away,
你转身走开时，
Your forever friend follows,
真正的朋友会紧紧相随，
If you lose you way,
你迷失方向时，
Your forever friend guides you and cheers you on.
真正的朋友会引导你，鼓励你。
Your forever friend holds your hand and tells you that everything is going to be okay.
真正的朋友会握着你的手，告诉你一切都会好起来的。
And if you find such a friend,
如果你找到了这样的朋友，
You feel happy and complete,
你会快乐，觉得人生完整，
Because you need not worry,
因为你无需再忧虑。

不用杀毒软件照样剿杀网络病毒

shilinsheng@gmail.com(iColorful) — Tue,03 Apr 2007 00:30:34 +0800

　　不用杀毒软件，我们是否能够清除网络病毒呢？事实上，Windows 2000或Windows XP工作站系统中自带有一种Ntbackup命令，通过该命令并结合系统内置的“任务计划”功能，我们可以对病毒或木马的藏身之地——系统的system32文件夹，进行全面及时监控，以便准确发现和“剿杀”网络病毒。现在，本文就通过使用Ntbackup命令，来及时备份系统system32文件夹的方法，来手工寻找和“剿杀”隐藏在工作站系统中的网络病毒！

　　巧用备份功能，创建脚本文件

　　为了及时发现系统在开机或关机前后的状态变化，我们必须先用Windows 2000或Windows XP工作站系统中自带的“备份”功能，来创建合适的具有自动备份功能的脚本程序，以便让系统在开机或关机之前自动执行一次备份脚本程序，日后我们只要通过对比前后之间的备份文件，就能轻松找出隐藏在工作站系统中的病毒或木马文件。

　　在创建备份脚本程序之前，我们需要先在工作站系统运行正常的前提下，对系统的状态数据和system32文件夹内容进行一次正常备份操作。在进行这项备份操作时，我们可以按照如下步骤来进行：

　　首先依次单击“开始”/“程序”/“附件”/“系统工具”/“备份”命令，打开系统的备份或还原向导窗口，依次选中其中的“总是以向导模式启动”、“备份文件和设置”、“让我选择要备份的内容”等选项，进入到如图1所示的向导设置界面；

　　在该设置界面左侧显示区域，选中保存系统状态信息的“System State”选项，再单击“下一步”按钮，在其后界面中将备份文件的名称设置为“E:\aaa.bkf”，同时将备份的类型设置为“正常”，最后单击“完成”按钮，这样一来工作站系统就能自动把系统状态信息备份到“E:\aaa.bkf”文件中了。按照相同的操作方法，我们再把system32文件夹中的内容备份到“E:\bbb.bkf”文件中。

　　接着我们需要创建脚本程序，来让系统在每次关系时能够自动对system32文件夹中的内容进行一次每日备份操作和增量备份操作，以便及时记录和捕捉病毒或木马文件是否“溜”到system32文件夹中了。在创建这样的脚本程序时，我们可以先打开系统的记事本编辑程序，并在文件编辑窗口中输入如下代码：

@echo off
@ntbackup.exe backup X:\Windows\System32 /a /rs:no /r:no /v:no /hc:off /l:s /m daily /f "E:\bbb.bkf"

　　其中“X”为Windows系统实际所在的磁盘分区符号，一般为“C”盘分区，在确认上面的代码输入无误后，依次单击文件编辑窗口中的“文件”/“保存”命令，在随后弹出的文件保存对话框中，将上面的代码保存成扩展名为bat的“F:\dailyback.bat”文件，执行该批处理文件时，工作站系统就会在关机的时刻自动对system32文件夹中的内容进行一次每日备份操作，并将备份的结果信息附加到“E:\bbb.bkf”文件中。

图1

　　之后，重新创建一个文本文件，并在文件编辑窗口中输入如下命令代码：

@echo off
@ntbackup.exe backup X:\Windows\System32 /a /rs:no /r:no /v:no /hc:off /l:s /m Incremental /f "E:\bbb.bkf"

　　在确认上面的代码输入无误后，依次单击文件编辑窗口中的“文件”/“保存”命令，在随后弹出的文件保存对话框中，将上面的代码保存成扩展名为bat的“F:\increback.bat”文件，执行该批处理文件时，工作站系统就会在关机的时刻自动对system32文件夹中的内容进行一次增量备份操作，并将备份的结果信息附加到“E:\bbb.bkf”文件中。

　　巧用组策略，自动执行脚本

　　为了让系统每次关机时能够自动执行上面的两个批处理文件，我们可以巧妙地修改系统的关机组策略，让系统在关机的一刹那自动执行文件备份操作。下面就是修改系统关机策略，让系统自动执行脚本程序的具体步骤：

　　首先依次单击“开始”/“运行”命令，从弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开系统的组策略编辑窗口；

　　其次在该组策略编辑窗口的左侧显示区域，依次展开“计算机配置”、“Windows设置”、“脚本（启动/关机）”分支，在对应“脚本（启动/关机）”分支选项的右侧显示区域中，用鼠标双击“关机”项目，打开如图2所示的属性设置窗口；单击该设置窗口中的“添加”按钮，在弹出的文件选择对话框中，将前面创建好的两个批处理文件依次选中并导入进来，最后单击“确定”按钮，那样一来系统每次关机时就能够自动执行上面的两个批处理文件，从而实现对system32文件夹中的内容进行自动备份操作的目的了。

图2

　　当然，需要提醒各位注意的是，一旦起用了系统关机策略后，系统日后在每次关闭系统时都会先进行文件备份操作，很明显这会影响系统的关闭速度；其实，如果我们希望快速关机的话，可以在关闭系统之前先打开系统的任务管理器窗口，然后按下键盘上的Ctrl功能键，同时单击“关机”按钮，那样一来系统在此次关机时会自动跳过脚本程序的运行操作。

　　巧妙还原文件，揪出隐藏病毒

　　倘若发现工作站系统突然运行不正常时，那么我们就能通过对比相应的系统备份文件，来快速准确地揪出隐藏在系统中的网络病毒或木马文件。

　　在还原系统备份文件时，依次单击“开始”/“程序”/“附件”/“系统工具”/“备份”命令，打开系统的备份或还原向导窗口，依次选中其中的“总是以向导模式启动”、“还原文件和设置”选项，在其后弹出的设置界面中（如图3所示），单击“浏览”按钮，并从弹出的文件选择对话框中将“E:\bbb.bkf”文件选中并导入进来；

图3

　　一旦文件还原操作成功后，我们再打开系统的资源管理器窗口，在该窗口中依次展开“X:\Windows\System32”文件夹，我们就能在其中的文件夹窗口中看到system32文件夹中有哪些文件属于新增加的文件了，如果这些新增加的文件名称中包含“system”、“kernel”之类与系统文件名相近的关键字时，我们只要将它们及时从系统中删除掉就能达到“剿杀”网络病毒的目的了。

　　当然，也有一些病毒还会修改系统注册表以及其他设置选项，此时我们可以按照上面的办法对“E:\aaa.bkf”备份文件进行恢复，这样可以及时将系统状态信息恢复到以前的正常状态。

高危险微软ANI鼠标指针漏洞非官方免疫补丁

shilinsheng@gmail.com(iColorful) — Mon,02 Apr 2007 12:41:20 +0800

　　下载地址：http://dl.360safe.com/AniPatch.rar

　　推荐只在360安全卫士论坛或信任的网站下载此补丁包以免感染恶意程序

　　该补丁安装后会自动重新启动系统安装前先保存好您的工作以防重要信息丢失

　　安装后会在开始菜单->程序->启动中加入一个"eEye Windows Animated Cursor Patch Checker.lnk"，并建立AniFix1.dll的App_init项

　　重启后360提示系统将一个名为eEye Windows Animated Cursor Patch Checker.lnk的程序加入了启动项中，以及一个anifix1.dll的app_init项

　　eEye Windows Animated Cursor Patch Checker是检测补丁更新之用的程序，没有危害
你可以选择保留它，也可以删除之

　　anifix1.dll的app_init项则是其工作的关键，请一定允许此动作，否则补丁无法生效

隐藏内容

该内容已经被作者隐藏,只有会员才允许查阅登录 | 注册

该安全漏洞引发的危害

　　目前国内外的很多网站都开始利用该漏洞传播恶意软件及盗号木马、蠕虫病毒

　　该漏洞的利用程序通常伪装成一个图片，只要点击了带有恶意代码图片的网站或邮件，就会被感染上恶意程序，并且无论是IE6或IE7，或者是FireFox\Opera等非IE浏览器。无论是Windows NT\2000\XP\2003\Vista操作系统都有被感染的可能，其他网络应用软件如QQ、MSN、各种邮件软件、RSS软件等也可能受到该漏洞的影响。

　　由于该漏洞的多个版本的利用程序使用了很多技巧，因此会绕过绝大多数杀毒软件、防漏洞软件以及主动防御软件使其失效，这样对用户机器产生极大危害，一旦没有补丁的机器打开了包含恶意代码的网站或邮件，病毒或恶意程序就会立即悄悄在后台运行，在没有任何反应的情况下使用户的机器中上盗号木马、恶意广告软件、蠕虫病毒等等。

受影响系统

　　Microsoft Windows Vista 所有版本
　　Microsoft Windows XP 所有版本
　　Microsoft Windows Server 2003 SP1
　　Microsoft Windows Server 2003
　　Microsoft Windows 2000 所有版本

Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows在处理畸形的动画图标文件（.ani）时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器
Microsoft Windows在处理畸形文件（.ani）时没有正确地验证ANI头中所指定的大小，导致栈溢出漏洞如果用户受骗使用IE访问了恶意站点或打开了恶意的邮件消息的话，就会触发这个溢出，导致执行任意代码。
请注意Windows资源管理器也会处理一些文件扩展名的ANI文件，如.ani、.cur、.ico等。
（但此补丁不能在x64位系统上使用）

　　此补丁是非官方组织EEYE开发的针对此漏洞的补丁
　　(作者：Derek Soeder - eEye Digital Security )

　　经测试该补丁可很好的解决该漏洞引发的问题
　　安装此补丁即可杜绝该漏洞导致的问题
　　建议您安装此补丁以防止恶意程序危害您的系统

　　第二版：解决自动安装时参数不正确导致win2000用户无法安装。
----------4月2日12：20
MD5
781d23fba72ff24c5d2463b53f0582e1
AniPatch.rar
284017字节

据测试，360的“IE修复”会使其失效.建议您在确保IE没问题后再安装此补丁。
目前微软官方还没有任何对于此漏洞的修复

微软鼠标指针0-day漏洞现身影响IE6、IE7

shilinsheng@gmail.com(iColorful) — Sun,01 Apr 2007 13:33:53 +0800

　　近两天，一个微软鼠标指针的0-day漏洞现身互联网，同时利用此漏洞的攻击代码已在国内互联网中广泛传播。由于微软目前还没有推出相关的补丁，所以危险程度相当高。当用户访问这些嵌入了恶意代码的网页，恶意程序将被自动下载到用户的IE临时目录并得到执行。

　　Kaspersky将这些恶意.ani格式文件命名为Trojan-Downloader.Win32.Ani.g。微软已经确认此最新漏洞，受影响的系统包含Win2000 SP4，XP SP2，Server 2003和Vista，同时已发布Microsoft Security Advisory (935423)安全建议。

　　同时在今天接到的一些网站被挂马的报告中，我们已经收到了多个这样的特殊.ani文件，伪装成.jpg文件，其实文件格式为.ani，我们有理由相信相关的代码和生成器可能已经被公布在互联网上。

　　根据FrSIRT的漏洞报告, 受影响的系统包括：

　　Microsoft Windows XP Service Pack 2

　　Microsoft Windows Server 2003 Service Pack 1

　　Microsoft Internet Explorer 6 for Windows XP Service Pack 2

　　Microsoft Internet Explorer 6 for Windows Server 2003 SP1

　　Microsoft Windows Internet Explorer 7 for Windows XP SP2

　　Microsoft Windows Internet Explorer 7 for Windows Server 2003 SP1

　　在此提醒广大用户提高警惕！

诺顿防病毒软件企业版 V10.1.5000 客户端

shilinsheng@gmail.com(iColorful) — Sun,01 Apr 2007 11:11:11 +0800

Symantec Antivirus企业版客户端10.0的新特点：
　　1）使用MSI安装。
　　2）通过微软控制台MMC，无管理员权限也可安装
　　3）Threat Tracer（威胁来源追踪器），可以追踪到运行windows NT系统（包括2000/xp/2003）并通过网络传播病毒的电脑的IP地址和Netbios名字。
　　4）强制自动更新病毒库。（可能需要服务器端支持）
　　5）新增危险程序种类：间谍程序，广告程序，拨号器（色情网站常见），恶意玩笑软件，远程控制软件，黑客工具，追踪工具等。
　　6）Pop3和Smtp端口扫描，防止病毒邮件。
　　7）发送邮件启发式扫描，避免本机蠕虫通过邮件程序发送和传播病毒。
肯定需要服务器端支持的有：
　　通过拖拽实现客户端在不同服务器端之间的管理权传递。
　　VPN保护
　　Log记录文件传送
　　SAV默认扫描病毒，木马和蠕虫（即在Auto Protect开启的情况下），你必须激活“扩展威胁扫描”以查杀其他类型的危险程序。
　　先进启发式扫描：可通过判断程序行为来判断是否病毒，同时可查杀脚本程序，如html，VBscript和javascript。
　　关于压缩文件扫描，可支持压缩文档高达10层深度扫描。具体支持种类不详，不出意外zip肯定支持，RAR就难说了。同时所有从压缩文件中释出的文件都将被扫描。
　　多了很多进程，主要是邮件扫描的……
进程详解：
　　Srvroam.exe：服务器端与客户端传递数据用
　　CcEvtMgr.exe：客户端pop3扫描事件管理器
　　CcPwdSvc.exe：客户端pop3扫描密码服务
　　CcSetMgr.exe：加密客户端pop3扫描设置
　　SNDSrvc.exe：Symantec pop3扫描网络驱动程序
　　CfgWzSvc.exe：安装失败的时候才会出现

下载地址： 该文件只允许会员下载! 登录 | 注册

《怪物史莱克3》预告片

shilinsheng@gmail.com(See) — Sat,31 Mar 2007 20:10:30 +0800

导演： ChrisMiller
主演：约翰·克立斯艾迪·墨菲麦克·梅尔斯
上映： 2007年5月18日
地区：美国
语言：英语
颜色：彩色
类型：动画片喜剧片

　　本片史莱克和菲奥纳就将接受“遥远王国”的王位，成为“遥远王国”的国王和王后，然而，向往自由生活的史莱克和菲奥纳并不愿意成为一国之君，于是老国王想出了一个折衷的办法，如果史莱克和菲奥纳能找到王位继承人并把他带回“遥远王国”，那么史莱克夫妇就能回到沼泽地继续过他们的逍遥生活。

　　于是，史莱克带着好朋友驴子先生和猫骑士赶赴“遥远王国”的远方，寻找老王后的侄子、即将毕业的亚瑟。史莱克、驴子先生和猫骑士使尽浑身解数才说服亚瑟回去继承王位，因此一段“亚瑟王”的故事开始了，在他们返回“遥远王国”的路上，史莱克发明了圆桌骑士，而亚瑟王还把他的神剑赐予驴子先生，而此刻的驴子先生已化身为当初把剑送与亚瑟王的“湖中女神”。同时在“遥远王国”中，金发飘扬的“白马王子”趁史瑞克不在，妄图发动政变。于是菲奥纳勇敢地联合所有的公主一起抵抗“白马王子”。

播放real视频流文件

在线播放

在XP专业版中跟踪IP地址

shilinsheng@gmail.com(iColorful) — Sat,31 Mar 2007 11:56:34 +0800

　　作为网管员，在我们解决Windows操作系统的DHCP故障时，有时要找出某个地址范围内有哪些地址没有被使用。本人以前介绍过一种方法：打开命令提示窗口，在For…in…Do循环中调用ping命令。例如，为了找出在地址范围192.168.1.1 到 192.168.1.100有哪些地址没有被使用，可以使用这个命令：For /L %f in (1,1,100) Do Ping.exe -n 2 192.168.1.%f

　　该命令会报告指定范围内的所有IP地址，不管是在用的还是未用的，用户都不得不在命令行窗口中翻看大量的内容。其实，我们完全可以避免这些麻烦，只需建立一个批处理文件，要求它只返回那些未用的IP地址，然后再将命令的结果输入到一个文本文件中。下面介绍方法：

　　打开记事本，在窗口中输入如下的命令：

@Echo off
date /t > IPList.txt
time /t >> IPList.txt
echo =========== >> IPList.txt
For /L %%f in (1,1,100) Do Ping.exe -n 2 192.168.1.%%f | Find
"Request timed out." && echo 192.168.1.%%f Timed Out >>
IPList.txt && echo off
cls
Echo Finished!
@Echo on
Notepad.exe IPList.txt

　　将此文件存为IPTracker.bat，关闭记事本程序。

　　需要注意的是，在这个批处理文件中，整个的For…In…Do命令由几个被“&&”连接起来的命令组成。该命令以“For”开始，以“Off”结尾，而且整个命令必须在一行上。当然，如果用户要使用此方法的话，需要使用用户自己的IP地址来替换示例中的IP地址。

　　以后，如果用户要解决DHCP问题，可以在浏览器窗口中定位并双击IPTracker.bat文件，然后启动一个IP地址跟踪工具，这个批处理只查找那些未用的IP地址，并将结果存到记事本文件中。(在此例中，这个保存的批处理文件成为一个IP地址跟踪工具，它可以一次创建，反复使用。)

　　注意：此方法只适用于Windows XP Professional(专业版)

Win2003最新优化方法大全

shilinsheng@gmail.com(iColorful) — Fri,30 Mar 2007 11:37:34 +0800

　　一、Windows server 2003 3790版本识别

　　RTM=release to manufacture （公开发行批量生产）是给硬件制造商的版本！是送去压盘的,不是拿去卖的。

　　OEM=Original Equipment Manufacturer只能全新安装，和RTM差不多，只是称呼不同而已。

　　RTL=retail（零售）正式零售版,可以升级或者全新安装。

　　VLK=Volume License大量授权版，又称为企业版。无需激活。(网上所谓的简体中文VLK版实际是普通简体中文版加英文VLK版中的8个文件而已)

　　二、Windows Server 2003的不同版本

　　Windows Server 2003 Web版:为快速开发、部署Web服务与应用程序，提供Web托管与服务平台。支持2路SMP(对称多处理)系统、2GB内存。

　　Windows Server 2003标准版:面向中小型企业和部门级应用。支持4路SMP、4GB内存。

　　Windows Server 2003企业版:适合中心与大型组织使用，有32位和64位两个版本。支持8节点集群、NUMA；支持8路SMP，其中32位版支持32GB内存，64位版支持64GB内存。

　　Windows Server 2003数据中心版：面向要求强伸缩性和高可用性的企业，有32位和64位两个版本。32位版支持32路SMP、64GB内存；64位版支持64路SMP、512GB内存；两个版本均支持8节点集群、NUMA。

　　三、windows server 2003 3790版的激活

　　在正式版算号器没有出来之前，现在流行的激活方式有以下几种：

　　（1）Reset5.02，在安全模式下运行即可激活，把时间调整为2008年都没有问题，一切使用正常。可以升级。

　　缺点：激活程序被彻底屏蔽，表现为运行msoobe /a没有任何显示，并且在服务中有一项reset5，开机会自动运行此服务，C:\WINDOWS\system32\srvany.exe，此程序应该是reset5添加入系统的。

　　（2）俄罗斯破解，记得在xp时代，只要把setupreg.hiv在安装前替换，然后电话激活就可以达到完美的激活境界，可在2003下，这样子做之后，当前显示已激活，可如果你调整了时间再开机又会显示要激活，甚至是不能使用。估计次次问题关键还是在那个setupreg.hiv文件。　　

　　（3）在论坛上有人贴出了一个Winxpactivation.exe的文件，号称可以激活，实际上这个还是假激活，暂时屏蔽了激活程序，是不能够修改时间的。　　

　　（4）用替换法做出来的伪VLK，安装使用都没有问题，只是不能升级。VLK是替换英文版的8个文件.但是SN已经被微软封掉了.所以不能升级，但是此法是最稳定的，没有任何问题。

　　结论：推荐大家用8个替换法激活和reset5.02激活！

　　四、win 2003 server的一些优化设置

　　1.禁用配置服务器向导：

　　禁止“配置你的服务器”（Manage Your Server）向导的出现：在控制面板（Control Panel） -> 管理员工具（Administrative Tools ）-> 管理你的服务器（Manage Your Server）运行它，然后在窗口的左下角复选“ 登录时不要显示该页”（Don't display this page at logon）。

　　2.启用硬件和DirectX加速

　　★硬件加速：桌面点击右键－－属性（PropertIEs） -> 设置（Settings ）－－高级（ Advanced ）－－疑难解答（Troubleshoot）。把该页面的硬件加速滚动条拉到“完全”（ Full），最好点击“确定”（OK）保存退出。这期间可能出现一瞬的黑屏是完全正常。

　　★DirectX加速：打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具”（DirectX Tools），在“显示”（Display）页面，点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速级别”（Hardware Sound Acceleration Level）滚动条拉到“完全加速”（ Full Acceleration）。

　　3. 启用声卡：

　　系统安装后，声卡是禁止状态，所以要在控制面板 -> 声音 -> 启用，重启之后再设置它在任务栏显示。

　　如果你使用的是Windows server 2003标准版请从第二步xx作，因为标准版已允许声音服务。

　　★打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“Windows Audio”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动” Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

　　★打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具”（DirectX Tools），在“Sound”（Display）页面，把“声音的硬件加速级别”（Hardware Sound Acceleration Level）滚动条拉到“完全加速”（ Full Acceleration）。

　　4. 如何启用 ASP 支持：

　　Windows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。方法是：控制面板 -> 管理工具 -> Web服务扩展 -> Active Server Pages -> 允许。

　　5. 如何启用 XP 的桌面主题：

　　★打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，选themes“主题”（默认是禁止的），然后改为“自动”，按“应用”，选“开启”。

　　★接着点“桌面”的属性，在“主题”里选“Windows XP”

　　★我的电脑----属性----高级----性能-----在桌面上为图标标签使用阴影

　　6. 禁止关机时出现的关机理由选择项：

　　关机事件跟踪（Shutdown Event Tracker）也是Windows server 2003区别于其他工作站系统的一个设置，对于服务器来说这是一个必要的选择，但是对于工作站系统却没什么用，我们同样可以禁止它。

　　打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates ） -> ”系统“（System）,在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”（Disabled），点击然后“确定”（OK）保存后退出，这样，你将看到类似于Windows 2000的关机窗口。

　　7. 如何使用USB硬盘、U盘，添加已经有分区的硬盘

　　我的电脑（单击右键）----管理----磁盘管理-----在相应的硬盘上执行导入和分配盘符操作

　　8. 在控制面板里显示全部组件：

　　把 Windowsinf 目录中的 sysoc.inf 文件里的 "hide" 替换掉。

　　9.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现在IE工具选项中自定义设置IE的安全级别。在”安全“（Security）选项卡上拉动滚动条把Internet区域安全设置为”中“（Medium）或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。

　　10. 禁用开机 CTRL ALT DEL和实现自动登陆

　　★方法1：打开注册表(运行->“Regedit”)，再打开：

　　HKEY_LOCAL_MacHIN\SOFTWARE\MicroSoft\Windows NT\CurrentVersion\Winlogon段，在此段中按右键，新建二个字符串段，AutoAdminLogon=“1”，DefaultPassWord=“为超级用户Administrator所设置的Password”。

　　注意，一定要为Administrator设置一个密码，否则不能实现自启动。然后，重新启动Windows即可实现自动登录。

　　★方法2：管理工具 -> Local Security Settings（本地安全策略） -> 本地策略 -> 安全选项 -> interactive logon: Do not require CTRL ALT DEL，启用之。

　　★方法3（自动登陆）：使用Windows XP的Tweak UI来实现Server 2003自动登陆。

　　下载：Tweak UI http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe

　　下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名（如果没有就不写），点击下面的Set Password，输入用户名的密码，然后点击OK。

　　11.隐藏文件

　　Windows Server 2003默认情况下是显示所有的文件夹的，如果你不想这样，可以通过一下方法来隐藏：

　　打开任意一个文件夹，选择工具（Tools） -> 文件夹选项（Folder Options） -> 查看（View），调整显示系统文件夹的内容、隐藏受保护的操作系统文件、隐藏文件和文件夹三项

　　12.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务

　　.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务

　　★假如你希望启用Windows内置的IMAPI CD-Burning服务。做如下xx作：

　　打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到 “IMAPI CD-Burning COM Service ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

　　★假如你有如数码相机和扫描仪之类的影像设备，你应该打开Windows Image Acquisition 服务。

　　打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“Windows Image Acquisition (WIA) ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”

　　13.高级设置

　　★我们可以修改一些windows server 2003的高级设置以适合工作站的应用环境。

　　右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）－－设置（Setting）－－高级（Advanced），把“处理器计划”（Processor scheduling ）和内存使用（Memory usage）分配给“程序”（Programs）使用。然后点击“确定”（OK.）

　　★禁用错误报告

　　右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－点击“错误报告”（Error Reporting ）按钮，在出现的窗口中把“禁用错误报告”（Disable Error Reporting）选上并复选“但在发生严重错误时通知我”（But, notify me when critical errors occur.）

　　★调整虚拟内存

　　一些朋友经常会对关机和注销缓慢感到束手无策，解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多。右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）－－设置（Setting）－－高级（Advanced），点击“虚拟内存”（Virtual memory）部分的“更改”（Change），然后在出现的窗口选择“无分页文件”。重启系统即可。

　　14.加快启动和运行速度

　　★修改注册表，减少预读取，减少进度条等待时间：

　　开始→运行→regedit启动注册表编辑器，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters，
　　有一个键值名为EnablePrefetcher，它的值是3,把它改为“1”或“5”。找到 HKEY_LOCAL_MACHINESystemCurrentControlSetControl，
　　将 WaitToKillServiceTimeout 设为：1000或更小。(原设定值：20000 )
　　找到 HKEY_CURRENT_USERControl PanelDesktop 键，将右边视窗的WaitToKillAppTimeout改为1000，(原设定值：20000 )即关闭程序时仅等待1秒。
　　将 HungAppTimeout 值改为：200( 原设定值：5000 )，表示程序出错时等待0.5秒。

　　★让系统自动关闭停止回应的程式。

　　打开注册表 HKEY_CURRENT_USER\Control\PanelDesktop 键，将 AutoEndTasks 值设为 1。(原设定值：0)

　　★禁用系统服务Qos

　　开始菜单→运行→键入gpedit.msc，出现“组策略”窗口，展开"管理模板”→“网络”，展开“QoS 数据包调度程序”，在右边窗右键单击“限制可保留带宽"，在属性中的“设置”中有“限制可保留带宽”，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler（QoS 数据包调度程序）"。说明修改成功，否则说明修改失败。

　　★改变窗口弹出的速度：

　　找到HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子键分支，在右边的窗口中找到MinAniMate键值，其类型为REG_SZ，默认情况下此健值的值为1，表示打开窗口显示的动画，把它改为0，则禁止动画显示，接下来从开始菜单中选择“注销”命令，激活刚才所作的修改。

　　★禁止Windows XP的压缩功能：

　　点击“开始”下的“运行”，在“运行”输入框中输入“regsvr32/u zipfldr.dll”，然后按回车键即可。

　　★设置个性的启动信息或警告信息：

　　个性化的Windows XP启动：打开注册表编辑器，找到HKEY_LOCAL_MacHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon子键分支，双击LegalNoticeCaption健值，打开“编辑字符串”对话框，在“数值数据”下的文本框中输入自己想要的信息标题，如“哥们儿，你好！”，然后点击“确定”，重新启动。

　　如果想要改变警告信息的话可以双击LegalNoticeText健值名称，在出现的“编辑字符串”窗口中输入想要显示的警告信息，单击“确定”，重新启动。

　　15.安装Java VM

　　Windows server 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。

　　16.安装DirectX 9a

　　在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前必须先启用DirectX and Graphics Acceleration。

　　17.可用的杀毒软件和防火墙：

　　Symantec Norton Antivirus Corporate 8.01

　　Zone Alarm 3.7.159

　　Norton Personal Firewall 2003

　　五、如何防范ipc$入侵

　　1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)

　　首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlLSA]把RestrictAnonymous = DWord的键值改为：00000001。

　　restrictanonymous REG_DWORD
　　0x0 缺省
　　0x1 匿名用户无法列举本机用户列表
　　0x2 匿名用户无法连接本机IPC$共享

　　说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

　　2、禁止默认共享

　　1）察看本地共享资源

　　运行-cmd-输入net share

　　2）删除共享(每次输入一个）

　　net share ipc$ /delete

　　net share admin$ /delete

　　net share c$ /delete

　　net share d$ /delete（如果有e,f,……可以继续删除）

　　3）修改注册表删除共享

　　运行-regedit
　　找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]，把AutoShareServer（DWORD）的键值改为0000000。

　　如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。

　　3、停止server服务

　　1）暂时停止server服务

　　net stop server /y （重新启动后server服务会重新开启）

　　2）永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务

　　控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用

　　4、安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等)

　　1).解开文件和打印机共享绑定

　　鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，去掉“Microsoft网络的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求，别人也就看不到本机的共享了。

　　2).利用TCP/IP筛选

　　鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]，在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮(如图2)，填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时，将不会有任何回应。

　　3).使用IPSec安全策略阻止对端口139和445的访问

　　选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地机器]，在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则，这样别人使用扫描器扫描时，本机的139和445两个端口也不会给予任何回应。

　　4).使用防火墙防范攻击

　　在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击[确定]按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。

　　5、给所有账户设置复杂密码，防止通过ipc$穷举密码。