文章转载自：http://blog.csdn.net/bilter/article/details/5767372，作为对上一篇文章的补充，以使大家更好的理解进程间通信。
模拟键盘按键 自动输入文字
　　键盘对于每个操作电脑的人员来说是最熟悉不过的了。键盘上的按键可分为两类 按下后会在电脑的输入窗口上出现对应字符的按键，如字母键和数字键等，我们称之为字符键；按下后虽然看不到字符但会产生控制作用的按键，如回车键、光标键等，我们称之为控制键。
　　对于程序员来说，键盘上的每个按键都一样，无非是不同按键产生的键盘扫描码不同。在不同的操作系统下，键盘扫描码常常被转换为不同的编码以方便应用程序调用，比如在DOS系统下的ASCII码，在Windows系统下的虚拟键盘码等等。
　　有时我们希望能以程序的方式模拟键盘按键，以达到自动输入文字或者控制操作的目的。在DOS系统下通常使用中断调用，产生键盘的扫描码的方法来实现。在Windows 系统下，由于Windows本身的一些限制和特点，一般不直接使用中断调用。
　　了解一点Windows编程的朋友应该知道， Windows系统是通过消息的传递（或称事件的发生）来控制各个应用程序的执行和数据通信的。例如：应用程序打开和关闭会产生相应的窗口消息，鼠标的移动、点击动作会产生相应的鼠标消息，同样键盘的按下、弹起也会产生相应的键盘消息。那么如果用程序产生键盘消息，也就达到了模拟键盘按键的目的。
　　有了这样的思路，我们现在就来实验一下。
　　首先要知道在Windows系统中与键盘按键相关的消息有：WM_KEYDOWN、WM_KEYUP、 WM_SYSKEYDOWN、WM_SYSKEYUP、WM_CHAR等。其中，WM_KEYDOWN为键按下，WM_KEYUP为键弹起，WM_SYSKEYDOWN为系统键按下，WM_SYSKEYUP为系统键弹起，WM_CHAR为按键对应的字符。
　　要模拟键盘产生键盘消息，我们就发送一条键盘消息给指定窗口。比如要模拟一个字母键A，可以这样PostMessage(hWnd, WM_CHAR, 'A', 0); 模拟按一个回车：PostMessage(hWnd, WM_KEYDOWN, VK_RETURN, 0)。这里的关键问题是要确定窗口句柄（hWnd），使用GetFocus()函数可以得到键盘光标所在窗口句柄，但该函数只能得到当前进程内的窗口句柄。
　　如果要得到其他应用程序的键盘光标所在窗口句柄，需要调用 AttachThreadInput()函数。该函数的作用就是将其他窗口线程的输入附加到本窗口线程的输入操作中，这样就可以调用GetFocus()函数得到其他窗口的句柄了。
　　与2001年第24期程序谷刊登的《如何写一个聊天辅助程序》一文中作者使用ChildWindowFromPointEx的方法相比，使用AttachThreadInput似乎更能够使键盘模拟具有通用性。
AttachThreadInput()函数的原形如下
BOOL AttachThreadInput(
DWORD idAttach, 需要附加的线程ID
DWORD idAttachTo, 附加到的线程ID
BOOL fAttach true 附加 false 取消
);
函数使用的过程大致如下
HWND hWnd;
hWnd = GetForegroundWindow(); 得到当前窗口
if (hWnd == Form1-Handle) return; 排除程序本身的窗口
DWORD FormThreadID = GetCurrentThreadId(); 本程序的线程ID
当前窗口的线程ID
DWORD CWndThreadID = GetWindowThreadProcessId(hWnd, NULL);
附加输入线程
AttachThreadInput(CWndThreadID, FormThreadID, true);
得到当前键盘光标所在的窗口
hWnd = GetFocus();
取消附加的输入线程
AttachThreadInput(CWndThreadID, FormThreadID, false);
　　hWnd就是当前键盘光标所在的窗口句柄。另外，经过测试发现，在Windows2000系统下发送字符消息（WM_CHAR）时，如果字符是一个汉字，则该字符对应的虚拟键盘码高位不为0，这样得到的字符就不正确。解决办法是做一个与运算 ch & 0xFF就可以了。
下面又到了给出例程的时间了。例程刷刷刷能够在键盘光标所在的文本输入框中自动输入文字（中文、英文、数字），程序使用C++ Builder 5开发。首先运行C++ Builder并新建工程。接着，将窗体Form1的边框样式（BorderStyle）改为对话框（bsDialog），并放置相应控件如图所示，其中SS_Text是一个用于输入文本的TComboBox控件，当然，你可以在设计阶段预先向控件中输入一些常用文本，以便程序运行后可以直接选用; txtTimes和txtDelay为TEdit控件，分别用于控制发送文本的次数和间隔时间；chkAutoWrap和chkAutoNumber为TCheckBox控件，决定是否在每一行发送文本后面自动回车或自动加记数编号; 以上控件包含在Panel1（TPanel控件）中; Timer1用于控制循环发送和时间间隔。
下面是程序清单
--------------------------------------------
#include
#pragma hdrstop
#include Unit1.h
--------------------------------------------
#pragma package(smart_init)
#pragma resource .dfm
int nTotalTimes, 发送本文的总次数
nTimes; 已经发送的次数
TForm1 Form1;
--------------------------------------------
__fastcall TForm1TForm1(TComponent Owner)
TForm(Owner)
{
}
--------------------------------------------
void __fastcall TForm1btnStartClick(TObject Sender) 开始刷屏
{ if (SS_Text-Text.IsEmpty())
{
文本不能为空
ShowMessage(请输入刷刷文本！);
SS_Text-SetFocus();
return;
}
__try
{
Timer1-Interval取值为n秒（最小为50毫秒）
int Interval = StrToInt(txtDelay-Text);
Timer1-Interval = (Interval 0) Interval 1000 50;
nTotalTimes取值为n次（最小为0次）
nTotalTimes = StrToInt(txtTimes-Text);
if (nTotalTimes 0)
nTotalTimes = 0;
nTimes = 0;
Timer1-Enabled = true;
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
ShowMessage(请输入数值类型数据！);
return;
}
btnStart-Enabled = false;
btnStop-Enabled = true;
Panel1-Enabled = false;
Application-Minimize(); 最小化刷刷窗口
}
--------------------------------------------
void __fastcall TForm1btnStopClick(TObject Sender) 停止刷屏
{
Timer1-Enabled = false;
btnStart-Enabled = true;
btnStop-Enabled = false;
Panel1-Enabled = true;
}
--------------------------------------------
void __fastcall TForm1Timer1Timer(TObject Sender)
{
现刷屏nTimes次，到nTotalTimes次后完成。
if (nTimes == nTotalTimes)
{
btnStopClick(Sender);
return;
}
HWND hWnd;
hWnd = GetForegroundWindow(); 得到当前窗口
if (hWnd == Form1-Handle) return; 不需要程序本身的窗口
DWORD FormThreadID = GetCurrentThreadId();
DWORD CWndThreadID = GetWindowThreadProcessId(hWnd, NULL);
附加输入线程
AttachThreadInput(CWndThreadID, FormThreadID, true);
hWnd = GetFocus(); 得到当前键盘光标所在的窗口
AttachThreadInput(CWndThreadID, FormThreadID, false); 取消
if (hWnd == NULL) return;
nTimes++;
for (int i = 1; i = SS_Text-Text.Length(); i++)
{ 模拟键盘按键输入文本
PostMessage(hWnd, WM_CHAR, (WPARAM)(SS_Text-Text[i] & 0xFF), 0);
}
if (chkAutoNumber-Checked)
{ 自动编号
AnsiString Lines = IntToStr(nTimes);
for (int j = 1; j = Lines.Length(); j++)
PostMessage(hWnd, WM_CHAR, (WPARAM)(Lines[j]), 0);
}
if (chkAutoWrap-Checked) 自动回车
PostMessage(hWnd, WM_KEYDOWN, VK_RETURN, 0);
}

电脑键盘常用快捷键


背熟以下文章，就能脱离鼠标

一、常见用法： 

F1　　　　　　　　　　　显示当前程序或者windows的帮助内容。 

F2　　　　　　　　　　　当你选中一个文件的话，这意味着“重命名” 

F3　　　　　　　　　　　当你在桌面上的时候是打开“查找：所有文件” 对话框 

F10或ALT　　　　　　　　激活当前程序的菜单栏 

windows键或CTRL+ESC　　 打开开始菜单 

CTRL+ALT+DELETE　　　　 在win9x中打开关闭程序对话框 

DELETE　　　　　　　　　删除被选择的选择项目，如果是文件，将被放入回收站 

SHIFT+DELETE　　　　　　删除被选择的选择项目，如果是文件，将被直接删除而不是 

放入回收站 

CTRL+N　　　　　　　　　新建一个新的文件 

CTRL+O　　　　　　　　　打开“打开文件”对话框 

CTRL+P　　　　　　　　　打开“打印”对话框 

CTRL+S　　　　　　　　　保存当前操作的文件 

CTRL+X　　　　　　　　　剪切被选择的项目到剪贴板 

CTRL+INSERT 或 CTRL+C　 复制被选择的项目到剪贴板 

SHIFT+INSERT 或 CTRL+V　粘贴剪贴板中的内容到当前位置 

ALT+BACKSPACE 或 CTRL+Z 撤销上一步的操作 

ALT+SHIFT+BACKSPACE　　 重做上一步被撤销的操作 

　 

Windows键+M　　　　　　 最小化所有被打开的窗口。 

Windows键+CTRL+M　　　　重新将恢复上一项操作前窗口的大小和位置 

Windows键+E　　　　　　 打开资源管理器 

Windows键+F　　　　　　 打开“查找：所有文件”对话框 

Windows键+R　　　　　　 打开“运行”对话框 

Windows键+BREAK　　　　 打开“系统属性”对话框 

Windows键+CTRL+F　　　　打开“查找：计算机”对话框 

SHIFT+F10或鼠标右击　　 打开当前活动项目的快捷菜单 

SHIFT　　　　　　　　　 在放入CD的时候按下不放，可以跳过自动播放CD。在打开wo 

rd的时候按下不放，可以跳过自启动的宏 

　 

ALT+F4　　　　　　　　　关闭当前应用程序 

ALT+SPACEBAR　　　　　　打开程序最左上角的菜单 

ALT+TAB　　　　　　　　 切换当前程序 

ALT+ESC　　　　　　　　 切换当前程序 

ALT+ENTER　　　　　　　 将windows下运行的MSDOS窗口在窗口和全屏幕状态间切换 

PRINT SCREEN　　　　　　将当前屏幕以图象方式拷贝到剪贴板 

ALT+PRINT SCREEN　　　　将当前活动程序窗口以图象方式拷贝到剪贴板 

CTRL+F4　　　　　　　　 关闭当前应用程序中的当前文本（如word中） 

CTRL+F6　　　　　　　　 切换到当前应用程序中的下一个文本（加shift 可以跳到前 

一个窗口） 

在IE中： 

ALT+RIGHT ARROW　　　　 显示前一页（前进键） 

ALT+LEFT ARROW　　　　　显示后一页（后退键） 

CTRL+TAB　　　　　　　　在页面上的各框架中切换（加shift反向） 

F5　　　　　　　　　　　刷新 

CTRL+F5　　　　　　　　 强行刷新 

　 

　　目的快捷键 

　　激活程序中的菜单栏 F10 

　　执行菜单上相应的命令 ALT+菜单上带下划线的字母 

　　关闭多文档界面程序中的当 

　　前窗口 CTRL+ F4 

　　关闭当前窗口或退出程序 ALT+ F4 

　　复制 CTRL+ C 

　　剪切 CTRL+ X 

　　删除 DELETE 

　　显示所选对话框项目的帮助 F1 

　　显示当前窗口的系统菜单 ALT+空格键 

　　显示所选项目的快捷菜单 SHIFT+ F10 

　　显示“开始”菜单 CTRL+ ESC 

　　显示多文档界面程序的系统 

　　菜单 ALT+连字号(-) 

　　粘贴 CTR L+ V 

　　切换到上次使用的窗口或者 

　　按住 ALT然后重复按TAB， 

　　切换到另一个窗口 ALT+ TAB 

　　撤消 CTRL+ Z 

二、使用“Windows资源管理器”的快捷键 

　　目的快捷键 

　　如果当前选择展开了,要折 

　　叠或者选择父文件夹左箭头 

折叠所选的文件夹 NUM LOCK+负号(-) 

　　如果当前选择折叠了，要展开 

　　或者选择第一个子文件夹右箭头 

　　展开当前选择下的所有文件夹 NUM LOCK+* 

　　展开所选的文件夹 NUM LOCK+加号(+) 

　　在左右窗格间切换 F6 

三、使用 WINDOWS键 

　　可以使用 Microsoft自然键盘或含有 Windows徽标键的其他任何兼容键盘的以下快 

捷键。 

　　目的快捷键 

　　在任务栏上的按钮间循环 WINDOWS+ TAB 

　　显示“查找：所有文件” WINDOWS+ F 

　　显示“查找：计算机” CTRL+ WINDOWS+ F 

　　显示“帮助” WINDOWS+ F1 

　　显示“运行”命令 WINDOWS+ R 

　　显示“开始”菜单 WINDOWS 

　　显示“系统属性”对话框 WINDOWS+ BREAK 

　　显示“Windows资源管理器” WINDOWS+ E 

　　最小化或还原所有窗口 WINDOWS+ D 

　　撤消最小化所有窗口 SHIFT+ WINDOWS+ M 

四、使用“我的电脑”和“Windows资源管理器”的快捷键 

　　目的快捷键 

　　关闭所选文件夹及其所有父 

　　文件夹按住 SHIFT键再单击“关闭按钮（仅适用于“我的电脑”） 

　　向后移动到上一个视图 ALT+左箭头 

　　向前移动到上一个视图 ALT+右箭头 

　　查看上一级文件夹 BACKSPACE 

五、使用对话框中的快捷键 

　　目的快捷键 

　　取消当前任务 ESC 

　　如果当前控件是个按钮，要 

　　单击该按钮或者如果当前控 

　　件是个复选框，要选择或清 

　　除该复选框或者如果当前控 

　　件是个选项按钮，要单击该 

　　选项空格键 

　　单击相应的命令 ALT+带下划线的字母 

　　单击所选按钮 ENTER 

　　在选项上向后移动 SHIFT+ TAB 

　　在选项卡上向后移动 CTRL+ SHIFT+ TAB 

　　在选项上向前移动 TAB 

　　在选项卡上向前移动 CTRL+ TAB 

　　如果在“另存为”或“打开” 

　　对话框中选择了某文件夹， 

　　要打开上一级文件夹 BACKSPACE 

　　在“另存为”或“打开”对 

　　话框中打开“保存到”或 

　　“查阅” F4 

　　刷新“另存为”或“打开” 

　　对话框 F5 

六、使用“桌面”、“我的电脑”和“Windows资源管理器”快捷键 

　　选择项目时，可以使用以下快捷键。 

　　目的快捷键 

　　插入光盘时不用“自动播放” 

　　功能按住 SHIFT插入 CD-ROM 

　　复制文件按住 CTRL拖动文件 

　　创建快捷方式按住 CTRL+SHIFT拖动文件 

　　立即删除某项目而不将其放入 SHIFT+DELETE 

　　“回收站” 

　　显示“查找：所有文件” F3 

　　显示项目的快捷菜单 APPLICATION键 

　　刷新窗口的内容 F5 

　　重命名项目 F2 

　　选择所有项目 CTRL+ A 

　　查看项目的属性 ALT+ ENTER或 ALT+双击 

　　可将 APPLICATION键用于 Microsoft自然键盘或含有 APPLICATION键的其他兼容键 

七、Microsoft放大程序的快捷键 

　　这里运用Windows徽标键和其他键的组合。 

　　快捷键目的 

　　Windows徽标+PRINT SCREEN将屏幕复制到剪贴板（包括鼠标光标） 

　　Windows徽标+SCROLL LOCK将屏幕复制到剪贴板（不包括鼠标光标） 

　　Windows徽标+ PAGE UP切换反色。 

　　Windows徽标+ PAGE DOWN切换跟随鼠标光标 

　　Windows徽标+向上箭头增加放大率 

　　Windows徽标+向下箭头减小放大率 

　 

八、使用辅助选项快捷键 

　　目的快捷键 

　　切换筛选键开关右SHIFT八秒 

　　切换高对比度开关左ALT+左SHIFT+PRINT SCREEN 

　　切换鼠标键开关左ALT+左SHIFT+NUM LOCK 

　　切换粘滞键开关 SHIFT键五次 

　　切换切换键开关 NUM LOCK五秒 

 

 

 
 
 

组策略完全使用手册2007-08-09 23:23组策略完全使用手册

    

组策略完全使用手册 

　

对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。

一、组策略基础 

1.什么是组策略 

注
册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自
定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直
接使用，从而达到方便管理计算机的目的。 

其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 

2.组策略的版本 

对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows 

9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows 

2000/XP/2003操作系统中。 

早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。 

而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 

2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active 

Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 

当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 

3.在Windows 

XP中运行组策略 

在Windows 

2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。 

使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开： 

(1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 

(2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。 

(3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。 

(4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。 

(5)单击“完成”按钮，组策略管理单元即打开要编辑的组策略对象。 

(6)在左窗格中定位需要更改的选项的位置，在右窗格中右键单击需要更改的具体选项，单击“属性”命令，即可打开其属性对话框，从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。 

4.组策略中的管理模板 

在Windows 

2000/XP/2003中包含几个ADM文件。这些文件是文本文件，被称为“管理模板”，它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。 

在Windows 

2000/XP/2003中，默认的Admin.adm管理模板位于系统文件夹的INF文件夹中，包含了默认安装下的4个模板文件，分别为： 

(1)System.adm：默认安装在“组策略”中，用于系统设置。 

(2)Inetres.adm：默认安装在“组策略”中，用于Internet 

Explorer(IE)策略设置。 

(3)Wmplayer.adm：用于Windows Media 

Player设置。 

(4)Conf.adm：用于NetMeeting设置。 

在策略管理控制台中，可以多次添加“策略模板”，下面让我们来看看具体操作： 

首
先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，单击鼠标右键，选择“添加/删除模板”命令，然后在打开的对话框中单击
“添加”按钮，在打开的对话框中选择相应的ADM文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。 

返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”选项，再单击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了。 

注意：下面的操作均在Windows 

XP中进行。 

二、个性化我的电脑 

1.删除“开始”菜单中的“文档”菜单项 

在多人使用的计算机中，有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息。因此，为了删除用于记录历史文档的“文档”菜单项，我们可以通过修改组策略来实现。 

位置：/用户配置/管理模板/任务栏和“开始”菜单/ 

启用此设置，则系统保存“文档”快捷方式，但不在“文档”菜单中显示它们。如果以后禁用此设置或把它设置为未配置，则启用设置之前及其生效之时保存的“文档”快捷方式会出现在“文档”菜单项中。如图2所示。 

注意：此设置不会阻止Windows程序在最近打开的文档中显示快捷方式。 

另外，你也可以设置在退出系统时自动清除最近打开的文档的历史记录。 

位置：/用户配置/管理模板/任务栏和“开始”菜单/ 

如果禁用该策略设置，系统就会在用户退出时删除快捷方式。因此，用户登录时，“开始”菜单上的文档菜单总是空的。如果禁用或不配置此设置，系统将保留文档快捷方式，并且用户登录时的文档菜单看起来与用户退出系统时完全相同。 

注意：系统在/Documents 

and 

Settings//Recent文件夹中的用户配置文件中保存文档快捷方式。 

2.删除“开始”菜单中的“运行”菜单项 

在“开始”菜单中有“运行”菜单项，可以输入程序名称来启动程序。我们可以将“运行”菜单项从“开始”菜单中删除。 

位置：/用户配置/管理模板/任务栏和“开始”菜单/ 

如果启用该设置，发生如下更改： 

(1)“运行”命令从“开始”菜单中删除。 

(2)新建任务(运行)命令从任务管理器删除。 

(3)阻止用户在IE地址栏中输入下列项： 

UNC路径：//＜server＞/＜share＞。 

访问本地驱动器：例如，C:。 

访问本地文件夹：例如，/temp＞。 

同时，使用WIN+R组合键将无法显示“运行”对话框。如果禁用或不配置此设置，用户可以访问“开始”菜单和任务管理器的“运行”命令，以及使用IE地址栏。 

注意：这个策略只影响指定的界面。不会防止用户使用其他方法运行程序。 

3.给“开始”菜单减肥 

如果觉得Windows的“开始”菜单太臃肿，你完全可以通过组策略设置将不需要的菜单项从“开始”菜单中删除。 

位置：/用户配置/管理模板/任务栏和“开始”菜单/ 

在组策略右侧窗格中，提供“从‘开始’菜单删除用户文件夹”、“删除到‘Windows 

Update’的访问和链接”、从‘开始’菜单删除公用程序组、从‘开始’菜单中删除“我的文档”图标等配置项目。你只要将不需要的菜单项所对应的策略启用即可。 

4.隐藏和禁用桌面上的所有项目 

该策略可以从桌面上删除图标、快捷方式和其他默认的和用户定义的项目。 

位置：/用户配置/管理模板/桌面/ 

该策略删除图标和快捷方式不防止用户用另一种方法启动程序或打开图标和快捷方式所代表的项目。 

5.退出时不保存用户设置 

该策略用于防止用户保存对桌面的某些更改。 

位置：/用户配置/管理模板/桌面/ 

如果你启用这个设置，用户可以对桌面做某些更改，但有些更改，比如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。 

6.启用/禁用“活动桌面”(Active 

Desktop) 

活动桌面是Windows 98(及以后版本)或安装了IE 

4.0的系统中自带的高级功能，它最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能(并且防止用户启用它)。 

位置：/用户配置/管理模板/桌面/Active 

Desktop 

提示：如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置，“禁用Active 

Desktop”设置会被忽略。如果“禁用Active Desktop和Web视图”设置(在“用户配置/管理模板/Windows组件/Windows资源管理器”)被启用，Active 

Desktop就会被禁用，并且这两个策略都会被忽略。 

7.从“我的电脑”中删除共享文档 

当Windows用户在一个工作组中，一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置，你可选择不显示这些项目。 

位置：/用户配置/管理模板/Windows组件/Windows资源管理器/ 

如果启用此设置，“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现。如果禁用或不配置此设置，当用户是“工作组”的一部分时，“共享文档”文件夹将会以Web视图方式显示或在“我的电脑”中出现。 

8.不要将已删除的文件移到“回收站” 

当Windows资源管理器中的一个文件或文件夹被删除时，该文件或文件夹的副本会被放在“回收站”里。使用此策略，你能改变此行为。 

位置：/用户配置/管理模板/Windows组件/Windows资源管理器/ 

如果启用此设置，使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里，因此被永久删除。如果禁用或不配置此设置，使用Windows资源管理器删除的文件或文件夹会被放在“回收站”里。 

三、利用组策略进行系统设置 

1.登录时不显示欢迎屏幕 

为了加快计算机启动的速度，我们完全可以通过组策略设置在每次用户登录时将Windows 

XP欢迎屏幕隐藏。 

位置：/用户配置/管理模板/系统/ 

要显示欢迎屏幕，请依次单击“开始→程序→附件→系统工具”选项，然后单击“开始”选项。要在不指定设置的情况下不显示欢迎屏幕，请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”选项。 

注意：这项设置出现在“计算机配置”和“用户配置”文件夹中。如果配置这项设置，“计算机配置”中的设置比“用户配置”中的设置优先。 

2.配置驱动程序查找位置 

默认情况下，Windows将从本地安装、软盘驱动器、光盘驱动器、Windows 

Update等位置搜索驱动程序。此设置配置查找到新硬件时Windows将要搜索驱动程序的位置。 

位置：/用户配置/管理模板/系统/ 

如果启用此设置，你可以通过检查位置名称的相关复选框，删除这三个位置中的任何位置。如果禁用或不配置此设置，Windows将从本地安装、软盘驱动器、光盘驱动器和Windows 

Update等位置中搜索驱动程序。 

3.关闭自动播放 

一旦你将媒体插入驱动器，自动运行就开始从驱动器中读取。这会造成程序的设置文件和在音频媒体上的音乐立即开始。该策略将关闭自动运行功能。 

位置：/用户配置/管理模板/系统/ 

如果你启动这项设置，你还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行。 

注意：这个设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。 

另外，此设置不阻止自动播放音乐 

CD。 

4.只运行许可的Windows应用程序 

该策略可以限制用户可以运行的Windows程序。 

位置：/用户配置/管理模板/系统/ 

如果你启用这个设置，用户只能运行你加入“允许运行的应用程序列表”中的程序。 

这个设置只能防止用户从Windows资源管理器启动程序。无法防止用户用其他方式启动程序，例如任务管理器。如果用户可以访问命令提示符窗口，这个设置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序。 

注意：要创建允许的文件列表，请单击“显示”按钮，在打开的对话框中单击“添加”按钮，然后输入应用程序的执行文件名称(例如，Winword.exe、Poledit.exe、Powerpnt.exe)。如图3所示。 

5.删除任务管理器 

当
我们同时按下Ctrl+Alt+Del组合键将显示“Windows任务管理器”对话框。任务管理器可以让用户启动或终止程序、监视计算机性能、查看及监
视计算机上所有运行中的程序(包含系统服务)、搜索程序的执行文件名、更改程序运行的优先顺序。在这里，我们可以通过组策略删除任务管理器。 

位置：/用户配置/管理模板/系统/Ctrl+Alt+Del选项/ 

如果该设置被启用，并且用户试图启动任务管理器，系统会显示消息，解释是一个策略禁止了这个操作。 

6.删除改变“密码”选项 

该策略可以防止用户通过任务管理器更改系统密码。 

位置：/用户配置/管理模板/系统/Ctrl+Alt+Del选项/ 

这个设置停用Windows安全设置对话框上的“更改密码”按钮。但是，用户在得到系统提示时依旧可以更改密码。管理员要求新密码和密码作废时，系统会提示用户输入新密码。 

7.不允许运行Windows 

Messenger 

Windows XP自带有聊天工具Windows Messenger，但是，我们也有可能在系统中安装MSN 

Messenger。该策略允许你禁用Windows Messenger。 

位置：/用户配置/管理模板/Windows组件/Windows Messenger 

如果启用该策略，Windows 

Messenger将不会运行。如果禁止或不配置该策略，Windows 

Messenger可以被使用。 

注意：如果启用这个策略，远程协助无法使用Windows 

Messenger。另外，这个策略也会出现在“计算机配置”中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。 

8.关闭系统还原功能 

系统还原是Windows 

XP/2003中集成的强大功能，它在系统运行的同时，备份被更改的文件和数据，如果出现问题，系统还原使用户能够在不丢失个人数据文件的情况下，将计算机还原到以前的状态。默认情况下，系统还原处于打开状态。 

但这一功能付出的代价也是相当大的，系统性能会明显下降，磁盘空间也会被占用很多。对于配置不高的计算机来说，强烈建议关闭此功能。 

位置：/计算机配置/管理模板/系统/系统还原/关闭系统还原 

启用此设置后即可关闭系统还原功能，并且不能访问“系统还原向导”和“配置界面”。 

四、利用组策略调整上网设置 

1.禁用导入和导出收藏夹 

禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。 

位置：/用户配置/管理模板/Windows组件/Internet 

Explorer 

如果启用该策略，“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果禁用该功能或不对其进行配置，则用户可以通过单击“文件”菜单上的“导入和导出”菜单项，然后运行“导入/导出向导”，导入/导出IE中的收藏夹。 

注意：如果启用该策略，用户仍然可以查看“导入/导出向导”，但当用户单击“完成”按钮时，将出现说明该功能已被禁用的提示信息。 

2.禁用更改“高级”选项卡的设置 

禁止用户更改“Internet 

选项”对话框中“高级”选项卡上的设置。 

位置：/用户配置/管理模板/Windows组件/Internet 

Explorer 

如果启用该策略，则用户无法更改高级Internet设置，如安全、多媒体和打印。用户无法选中“高级”选项卡上的复选框，也不能清除这些复选框的复选标记。如果禁用该策略或不对其进行配置，则用户可以选择或清除“高级”选项卡上的设置。 

如果设置了位于/用户配置/管理模板/Windows组件/Internet 

Explorer/Internet控制面板中的“禁用高级页”策略，则无需设置该策略，因为“禁用高级页”策略将删除界面上的“高级”选项卡。 

3.对拨号连接使用“自动检测”属性 

自动检测在浏览器第一次启动时使用 

DHCP(动态主机配置协议)或DNS服务器来自定义浏览器。该策略指定自动检测用于用户的拨号设置的配置。 

位置：/用户配置/管理模板/Windows组件/Internet 

Explorer 

如果启用该设置，自动检测将配置用户的拨号设置。如果禁用该配置或不配置，自动检测不会配置用户的拨号设置，除非用户指定。 

4.禁用Internet连接向导 

禁止用户运行Internet连接向导。 

位置：/用户配置/管理模板/Windows组件/Internet 

Explorer 

如
果启用该策略，“Internet选项”对话框中“连接”选项卡上的“建立连接”按钮将变灰。用户也无法通过单击桌面上的“连接到Internet”图标
或单击“开始→程序→附件→通讯”，然后单击“Internet连接向导”运行Internet连接向导。如果禁用该策略或不对其进行配置，则用户可以通
过运行Internet连接向导，更改连接设置。 

注意：该策略与位于＼用户配置＼管理模板＼Windows 

组件＼Internet 

Explorer＼Internet控制面板中的“禁用连接页”策略有相似之处，后者将删除界面上的“连接”选项卡。从界面上删除“连接”选项卡并不会妨碍用户从桌面或“开始”菜单中运行Internet连接向导。 

5.禁用表单的自动完成功能 

禁止IE自动完成表单，如填写用户以前在网页中输入过的姓名或密码。 

位置：/用户配置/管理模板/Windows组件/Internet 

Explorer 

如果启用该策略，“表单”复选框将变灰。单击“Internet选项”对话框中“内容”选项卡上的“自动完成”按钮，即可出现“表单”复选框。如果禁用该策略或不对其进行配置，则用户可以启用表单的自动完成功能。 

位于/用户配置/管理模板/Windows组件/Internet 

Explorer/Internet控制面板中的“禁用内容页”策略的优先级高于该策略。如果启用了“禁用内容页”策略，该策略将被忽略，因为“禁用内容页”策略将删除“控制面板”中“Internet 

Explorer属性”对话框中的“内容”选项卡。 

注意：如果用户已开始使用启用了表单自动完成功能的浏览器后，再启用该策略，则不会清除用户已经使用表单自动完成功能在表单中所填写的内容。 

6.配置媒体浏览栏属性 

媒体浏览器栏播放来自Internet的音乐和视频内容，该策略允许管理员启用和禁用媒体浏览器栏和设置默认自动播放。 

位置：/用户配置/管理模板/Windows组件/Internet 

Explorer 

如果禁用媒体浏览器栏，用户无法显示媒体浏览器栏。自动播放功能也被禁用。当用户在IE中单击一个链接，系统中的默认媒体客户端将播放内容。如果启用媒体浏览器栏或不配置，用户可以显示和隐藏媒体浏览器栏。 

管理员也可以打开和关闭自动播放功能。该设置只在媒体浏览器栏启用时应用。如果选择，媒体浏览器栏将在用户单击媒体链接时自动显示和播放媒体内容。如果不选择，系统上的默认媒体客户端将播放内容。 

7.禁用右键快捷菜单 

禁止在用户使用IE过程中单击鼠标右键时出现快捷菜单。 

位置：/用户配置/管理模板/Windows组件/Internet 

Explorer/浏览器菜单 

如果启用该策略，在用户指向网页，然后单击鼠标右键时将不出现快捷菜单。如果禁用该策略或不对其进行配置，则用户可以使用快捷菜单。 

8.自定义IE标题栏 

我们可以利用组策略自定义出现在IE和OE标题栏中的文本。无论软件包中是否有OE或者用户计算机上已经安装了OE，都将更新OE标题栏。 

位置：/用户配置/管理模板/Windows设置/Internet 

Explorer维护/浏览器用户界面/浏览器标题 

请在打开的对话框中选中“自定义标题栏”选项，然后在“标题栏文本”框中键入希望的文本。 

注意：在选择某个位图时，要确保颜色与文本的对比度。这为用户确保了更高程度的可读性。 

9.自定义IE工具按钮 

我们可以利用该策略个性化出现在IE中的工具栏，给你一定的灵活性和设计机会。可以使用的元素包括用于标准工具栏按钮(例如“搜索”和“历史”)的工具栏背景和图标外观。 

位置：＼用户配置＼管理模板＼Windows设置＼Internet 

Explorer维护＼浏览器用户界面＼浏览器工具栏自定义 

在打开的对话框中单击“添加”按钮，然后在打开的对话框中在“工具栏标题(必需)”框中，键入用户鼠标悬停在工具栏按钮上时出现的文本。必须指定该按钮的标题或标签。建议的最大长度是10个字符。 

在“工具栏操作(作为脚本文件或可执行文件，必需)”框中，键入脚本文件或可执行文件的名称，或者单击“浏览”按钮查找文件。必须指定用户单击工具栏按钮时运行的脚本文件或可执行文件。 

在“工具栏颜色图标(必需)”框中，键入表示按钮为活动状态的文件的名称，或者单击“浏览”按钮查找该文件。必须指定出现在工具栏上的按钮的彩色图标。图标由活动和非活动状态的20×20像素的图像组成。 

在“工具栏灰度图标(必需)”框中，键入出现在黑白监视器上的工具栏的灰度图标文件名和位置，或者单击“浏览”按钮查找文件。必须指定显示在工具栏上按钮的灰度图标。 

选中“默认情况下，该按钮应显示在工具栏上”复选框来显示默认情况下用户浏览器中的工具栏按钮。 

五、利用组策略设置优化网络环境 

1.禁止访问网络连接组件的属性 

“本地连接属性”对话框包括连接时使用的网络组件列表。要查看或更改组件属性，请单击组件名称，然后单击组件列表下面的“属性”按钮，如图4所示。该策略确定用户是否可以更改由网络连接使用的组件属性，它确定是否启用用于网络连接组件的“属性”按钮。 

位置：/用户配置/管理模板/网络/网络连接/ 

如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就会为管理员禁用“属性”按钮。无论“为管理员启用网络连接设置”设置启用与否，用户都不可以访问连接组件。如果禁用或不配置“为管理员启用网络连接设置”。 

如果禁用或不配置此设置，将为用户启用“属性”按钮。 

2.禁用TCP/IP高级配置 

确定用户是否可以配置TCP/IP 

设置。 

位置：/用户配置/管理模板/网络/网络连接/ 

如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就对所有用户(包括管理员)禁用“Internet协议(TCP/IP) 

属性”对话框上的“高级”按钮。因此，用户不能打开“高级TCP/IP设置”对话框并修改IP设置(例如，DNS和WINS服务器信息)。如果禁用此设置，则启用“高级”按钮，并且所有用户均可打开“高级TCP/IP设置”对话框。 

注
意：此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮，用户就无法访问用
于TCP/IP配置的“高级”按钮。不管此设置如何，非管理员用户均不具有访问用于网络连接的TCP/IP高级配置的权限。在用户退出系统之前，将此设置
从“启用”更改为“未配置”不会启用“高级”按钮。 

3.禁止添加或删除用于网络连接或远程访问连接的组件 

“安装”按钮可打开用来添
加网络组件的对话框。单击“卸载”按钮可删除组件列表中的选定组件。“安装”和“卸载”按钮出现在用于连接的“属性”对话框之中。这些按钮位于“常规”选
项卡和“网络”选项卡上。该策略确定管理员是否可以添加和删除用于网络连接或远程访问连接的网络组件。 

位置：/用户配置/管理模板/网络/网络连接/ 

如
果启用此设置(并启用“为管理员启用网络连接设置”设置)，就会禁用用于连接组件的“安装”和“卸载”按钮，并且不允许用户访问“Windows组件向导
”中的网络组件。如果禁用或不配置此设置，就会启用用于“网络连接”文件夹中连接组件的“安装”和“卸载”按钮。同样地，用户可以访问“Windows组
件向导”中的网络组件。 

4.禁止访问网络连接的属性 

右键单击“网上邻居”图标，在打开的快捷菜单中可以看到“属性”菜单项，用于打开网络连接属性对话框，该策略确定用户是否可以更改网络连接的属性。 

位置：/用户配置/管理模板/网络/网络连接/ 

如
果启用此设置(并启用“为管理员启用网络连接设置”设置)，就对所有用户禁用“属性”菜单项，而且用户不能打开“连接属性”对话框。如果禁用或不配置此设
置，右键单击“网上邻居”的图标时，就会出现“属性”菜单项。同样地，当用户选择此连接时，就会启用“文件”菜单上的“属性”菜单项。 

注意：此设置优先于操作“局域连接属性”对话框内的功能的可用性设置。如果启用此设置，用户将不可使用网络连接的属性对话框内的任何功能。 

5.更改所有用户远程访问连接的属性 

该策略用于确定用户是否可以查看和更改对计算机所有用户可用的远程访问连接的属性。此设置确定是否启用“属性”菜单项，以及远程访问连接属性对话框是否对用户可用。 

位置：/用户配置/管理模板/网络/网络连接/ 

如
果启用此设置，任何用户右键单击用来进行远程访问连接的图标时，就会出现“属性”菜单项。同样地，当任何用户选择连接时，“文件”菜单上就出现“属性”。
如果禁用此设置(并启用“为管理员启用网络连接设置”设置)，就会禁用“属性”菜单项，并且用户(包括管理员)无法打开远程访问连接对话框。如果不配置此
设置，则只有管理员才可以更改所有用户远程访问连接的属性。 

注意：此设置优先于操作远程访问连接属性对话框内的功能的可用性设置。如果禁用此设置，则用户不可使用用于远程访问连接的属性对话框内的任何功能。

 

 

 
构建DNS服务器指南2007-08-09 23:23

在用TCP/IP协议族架设的网络中，每一个节点都有一个唯一的IP地址，用来作为它们唯一的标志。然而，如果让使用者来记住这些毫无记忆规律的IP地址将是不可想象的。人们就需要一种有记忆规律的字符串来作为唯一标记节点的名字。 

　
　然而，虽然符号名对于人来说是极为方便的，但是在计算机上实现却不是那么方便的。为了解决这个需求，应运而生了一个域名服务系统DNS，它运行在TCP
协议之上，负责将字符名--域名转换成实际相对应的IP地址。这个过程就是域名解析，负责域名解析的机器就叫域名服务器。 

　　1、域名解析的方法

　　1.1 最早的域名解析方法

　　最简单的主机名解析方法是，在一个文件中记录所有主机名及与其对应的IP地址，并保证该文件中主机名的唯一性，通过检索文件中的便可以完成主机名的解析。采用这种最简单的解决方法有其历史原因：

在
整个70年代，APRANET只是一个小规模的，由类似的数百台主机组成的团体。于是为了解决主机名解析的问题，将连接到ARPANET上每台主机的名字
与对应的地址都保存在HOSTS.TXT文件中。这样每增加一台机器，就必须修改HOSTS.TXT文件一次。随着网络的不断发展，网络中的主机数量爆炸
性地增加，这种域名解析的方法已经无法适应新的解析需要。

　　1.2 分布式的域名服务器

　　这种方法，我们已经在基础篇的第六章中有了详细的叙述，在此就不再重复了。在这种分布式的域名服务器体系中，每一台域名服务器（DNS）负责解析属于自己的这一部分主机的域名。

一般说来，如果你所处在公司或组织所拥有的主机并不多，一般是将域名的解析工作交给自己的ISP的域名服务器来完成。而如果你所在组织拥有的主机比较多，我们就可以组建自己的域名服务器负责解析你所在组织的主机。

　　2、域名服务器建立实例

　　2.1 实例环境 

　　假设我们需要建立一台应用于以下情况的一个企业主域名服务器。

　　1． 拥有一个C类网段地址，为202.101.55.0

　　2． 企业域名注册为company.com。

　　3． 域名服务器的IP定为202.101.55.55，主机名为dns.company.com。它同时充当Proxy.

　　4． 企业网通过路由器与Internet连接。

　　5． 要解析的服务器有：

　
www.company.com

 (202.101.55.1) Web服务器

　　mail.company.com (202.101.55.2) E-Mail服务器

　2.2 安装前的准备工作

　　首先要保证在作为系中统有/etc/resolv.conf和/etc/hosts.conf这两个文件。/etc/resolv.conf文件中内容如下所示：

　　domain compay.com

　　nameserver 202.101.55.55 

　　其中第一行指出对于任何希望连到它上面的主机应该搜寻的域。而第二行指出了在哪个地址可以找到需要的域名服务大。/etc/hosts.conf的内容如下所示：

　　order hosts,bind

　　multi on

　　这里的设置告诉主机名称先在/etc/hosts文件中搜索，然后再查询域名服务器。

　　2.3 定义文件/etc/named.boot

　　要使LINUX系统完成域名服务器的功能，则需要运行一个named的服务进程。这个服务进程可以在安装LINUX时选中。

　　named启动时需要读取一个初始化文件--/etc/named.boot，这个文件是named的基本配置文件。它并不包含任何DNS数据，针对前面的假定环境，我们要在这个文件中写入：

　　diretory /etc/named

　　primary company.com db.company

　　primary 0.0.127.IN-ADDR.ARPA db.127.0.0

　　primary 55.101.202.IN-ADDR.ARPA db.202.101.55

　　cache . db.cache

　　下面我们逐行讲解这个文件中的内容：

　　1) 在第一行中我们指定named从/etc/named目录下读取DNS数据文件。这个目录可以自行指定并创建，指定后将所有的DNS数据文件均存放在这个目录下；

　　2) 第二行指定named作为company.com的主域名服务器，db.company文件中包含了所有*.my.com形式的域名的解析数据。

　　3) 第三行则指定named作为127.0.0网段（本地loopback）地址的转换主服务器。其中db.127.0.0文件中包含了所有127.0.0.*形式的地址到域名的转换数据。

　　4) 第四行指定named作为202.101.55网段地址转换主服务器，db.202.101.55文件中包含了所有以202.101.55.*形式的地址到域名的转换数据。

　　5) 最后一行指定named从db.cache文件中获得Internet的顶层"根"服务器地址。要说明的是，这些数据文件的名称均是自行决定的。

2.4 建立正向域名转换数据文件db.company

　　根据/etc/named.boot文件中的定义，我们在/etc/named目录下建立文件db.company，并且在其中写入所有在company.com域内的主机节点。根据前面假定的环境，可以写入： 

　　@ IN SOA dns.company.com. root.dns.company.com.(

　　200002011 ；文件版本号

　　28800 ；刷新时间（秒）

　　7200 ；重试时间（秒）

　　3600000 ；终止时间（秒）

　　86400） ；TTL生存时间（秒）

　　IN NS dns.company.com

　　www IN A 202.101.55.1

　　email IN A 202.101.55.2

　　proxy IN CNAME 

　　下面我们就逐句地理解这里的配置。

　　1． SOA是主服务器设定文件中一定要设定的命令，我们通常将它放在文件的第一行。

　　1） 最前面的符号"@"代表目前所管辖的域。

　　2） 接着的"IN"代表地址类别，这里就是固定使用"IN"的。

　　3） 接下来就是命令SOA。

　　4） 接下来填入域名服务器，记住由于DNS数据文件的特殊格式规定，在最后一定要加上"·"，在这个例子中，我们填入域名服务器："dns.company.com."

　　5） 接下来是域名服务器管理员的E-MAIL地址，但要注意的是，E-Mail地址中的分隔符"@"在这里用"·"来代替，在最后也要加上"。"，在这里，我们相应写入："root.dns.company.com."

　　6） 接下来在括号内填上各种选项：

　　文件版本号：当你修改这个文件的内容时，也要修改这个版本序列号。以此来区分是否有更新。

　　更新时间：指定二级服务器向主服务器拷贝数据的更新时间周期。

　　重试时间：指定二级服务器在更新出现通信故障时的重试时间。

　　终止时间：指定二级服务器重新执行更新动作后仍然无法完成更新任务而终止更新的时间。

　　生存时间：指定当域名服务器询问某个域名和其IP地址后，在域名服务器上放置的时间。

　注：二级服务器所设定的域名服务器是主服务器的备份主机。

　　2． 在第二行中，我们用NS命令指定这个域的域名服务器。在这里我们指出这个域的域名服务器是"dns.company.com"。

　　3． 接下来的两行我们使用A命令来指定域名与IP地址的对应关系。我们将Web服务器的域
www.company.com

与其IP地址202.101.55.1对应起来；将E-Mail服务器的域名mail.company.com与其IP地址202.101.55.2对应起来。

　　4． 最后一行，我们使用了CNAME命令为dns.company.com指定了另一个域名以供使用：proxy.company.com。

　　2.5 建立反向域名转换数据文件db.127.0.0和db.202.101.55

　　反向域名转换数据文件用来提供IP地址查询相应的DNS主机名，每个网段分别有一个数据文件。

　　1． 网段127.0.0通常只有一个地址，那就是127.0.0.1 loopback地址。所以我们在db.127.0.0中写入的内容是： 


　　@ IN SOA dns.company.com. root.dns.company.com.(

　　200002011 ；文件版本号

　　28800 ；刷新时间（秒）

　　7200 ；重试时间（秒）

　　3600000 ；终止时间（秒）

　　86400） ；TTL生存时间（秒）

　　IN NS dns.company.com

　　1 IN PTR localhost

　　前面两名相信读者已经不会陌生，最后一句我们使用PTR命令让配置文件中的主机可以使用IP地址来知道所对应的域名。

　　最前面的1代表127.0.0.1，对应的域名就是localhost。

　　2．网段202.101.55就可能会存在更多的记录，前面假定环境下的设置应是：

　　@ IN SOA dns.company.com. root.dns.company.com.(

　　200002011 ；文件版本号

　　28800 ；刷新时间（秒）

　　7200 ；重试时间（秒）

　　3600000 ；终止时间（秒）

　　86400） ；TTL生存时间（秒）

　　IN NS dns.company.com

　　1 IN PTR www

　　2 IN PTR email

　　55 IN PTR dns

　　55 IN PTR proxy

　　2.6 获得db.cache文件

　　在LINUX系统中通常在提供了一个named.ca的文件，该文件中Internet的顶层域名服务器，但是这个文件通常会发生变化，所以建议最好从Internet上下载最新的版本。该文件可以通过匿名FTP从
ftp.rs.internic.net/domain

下载，文件名是named.boot。将它拷贝一份为db.cache就可以了。

　　3、测试域名服务器

　　3.1 使用nslookup测试

　　nslookup命令的功能是查询域名服务器中的数据资料。下例就是使用它来测试域名服务器是否架设成功，其中斜体字代表要输入的内容。

　　# nslookup 

　　Default server:dns.company.com 

　　Address:202.101.55.55 ；能出现这些信息代表成功

　　> www

　　server:dns.company.com 

　　Address:202.101.55.1 

　　3.2 使用ping测试

　　还有一种更简单的测试方法，那就是用ping命令，如果成功将显示：

　　　　# pingwww.company.com

　　　　Pingwww.company.com(202.101.55.1);56 data bytes

　　　　64 bytes from 202.101.55.1:icmp_seq=0 ttl=255 time=1.3ms

　　　　64 bytes from 202.101.55.1:icmp_seq=1 ttl=255 time=0.6ms

　　　　64 bytes from 202.101.55.1:icmp_seq=2 ttl=255 time=0.6ms

　　　　……

　　8.4 小技巧

　　安装好域名服务器后，在内部使用域名进行远程连接时，会发现速度非常慢。其实只要/etc/hosts中加上所有内部的机器的域名就可以了。 

 

 

 

 

《DLL后门清除完全篇》2007-08-09 23:16《DLL后门清除完全篇》

DLL后门清除完全篇!

前言 

　
　后门！相信这个词语对您来说一定不会陌生，它的危害不言而欲，但随着人们的安全意识逐步增强，又加上杀毒软件的“大力支持”，使传统的后门无法在隐藏自
己，任何稍微有点计算机知识的人，都知道“查端口”“看进程”，以便发现一些“蛛丝马迹”。所以，后门的编写者及时调整了思路，把目光放到了动态链接程序
库上，也就是说，把后门做成DLL文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就
实现了进程、端口的隐藏。本文以“DLL的原理”“DLL的清除”“DLL的防范”为主题，并展开论述，旨在能让大家对DLL后门“快速上手”，不在恐惧
DLL后门。好了，进入我们的主题。 

一，DLL的原理 

1，动态链接程序库 

　　动态链接程序库，全称：Dynamic
Link
Library，简称：DLL，作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件，需要跟其进行“动态链接”；从编程的角度，应用程序需要知
道DLL文件导出的API函数方可调用。由此可见，DLL文件本身并不可以运行，需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块
当中，这就说明了：DLL文件无法删除。这是由于Windows内部机制造成的：正在运行的程序不能关闭。所以，DLL后门由此而生！ 

2，DLL后门原理及特点 

　
　把一个实现了后门功能的代码写成一个DLL文件，然后插入到一个EXE文件当中，使其可以执行，这样就不需要占用进程，也就没有相对应的PID号，也就
可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大，但必须使用程序（EXE）调用才能执行DLL文件。DLL文件的执行，需要EXE文件加
载，但EXE想要加载DLL文件，需要知道一个DLL文件的入口函数（既DLL文件的导出函数），所以，根据DLL文件的编写标准：EXE必须执行DLL
文件中的DLLMain（）作为加载的条件（如同EXE的mian（））。做DLL后门基本分为两种：1）把所有功能都在DLL文件中实现；2）把DLL
做成一个启动文件，在需要的时候启动一个普通的EXE后门。 

常见的编写方法： 

　　(1)，只有一个DLL文件 

　　这类后
门很简单，只把自己做成一个DLL文件，在注册表Run键值或其他可以被系统自动加载的地方，使用Rundll32.exe来自动启动。
Rundll32.exe是什么？顾名思意，“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有
Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用
Rundll32.exe启动了多少个的DLL文件。当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。


　　现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。系统中还有一个
Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意一下。在来看看Rundll32.exe使用的函数原型： 

　　Void CALLBACK FunctionName ( 

　　HWND hwnd, 

　　HINSTANCE hinst, 

　　LPTSTR lpCmdLine, 

　　Int nCmdShow 

　　); 

　　其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments] 

　　DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。 

　　(2)，替换系统中的DLL文件 

　
　这类后门就比上边的先进了一些，它把实现了后门功能的代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。遇到应用程序请求原来的DLL文
件时，
DLL后门就启一个转发的作用，把“参数”传递给原来的DLL文件；如果遇到特殊的请求时（比如客户端），DLL后门就开始，启动并运行了。对于这类后
门，把所有操作都在DLL文件中实现最为安全，但需要的编程知识也非常多，也非常不容易编写。所以，这类后门一般都是把DLL文件做成一个“启动”文件，
在遇到特殊的情况下（比如客户端的请求），就启动一个普通的EXE后门；在客户端结束连接之后，把EXE后门停止，然后DLL文件进入“休息”状态，在下
次客户端连接之前，都不会启动。但随着微软的“数字签名”和“文件恢复”的功能出台，这种后门已经逐步衰落。 

　　提示： 

　　在
WINNTsystem32目录下，有一个dllcache文件夹，里边存放着众多DLL文件（也包括一些重要的EXE文件），在DLL文件被非法修改之
后，系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件，首先应该把dllcache目录下的同名DLL文件删除或更名，否则系统会自动恢
复。 

(3)，动态嵌入式 

　

　
　这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中，每个进程都有自己的私有内存空间，但还是
有种种方法来进入其进程的私有内存空间，来实现动态嵌入式。由于系统的关键进程是不能终止的，所以这类后门非常隐蔽，查杀也非常困难。常见的动态嵌入式
有：“挂接API”“全局钩子（HOOK）”“远程线程”等。 

　　远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内
存地址空间。当EXE载体（或Rundll32.exe）在那个被插入的进程里创建了远程线程，并命令它执行某个DLL文件时，我们的DLL后门就挂上去
执行了，这里不会产生新的进程，要想让DLL后门停止，只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接，那就不能终止了，如果你终
止了系统进程，那Windows也随即被终止！！！ 

3，DLL后门的启动特性 

　　启动DLL后门的载体EXE是不可缺少的，也是非
常重要的，它被称为：Loader。如果没有Loader，那我们的DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查
杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe，即使停止了
Rundll32.exe，DLL后门的主体还是存在的。3721网络实名就是一个例子，虽然它并不是“真正”的后门。 

二，DLL的清除 

　
　本节以三款比较有名的DLL后门例，分别为“SvchostDLL.dll”“BITS.dll”“QoServer.dll”。详细讲解其手工清除方
法。希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在
注册表中做文章。具体怎么做，请看下文。 


1，PortLess BackDoor 

　
　这是一款功能非常强大的DLL后门程序，除了可以获得Local
System权限的Shell之外，还支持如“检测克隆帐户”“安装终端服务”等一系列功能（具体可以参见程序帮助），适用Windows2000/xp
/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接（最大的特点哦），对于有防火墙的主机来说，这个功能在好不过
了。 

　　在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务： 

　　Svchost只是做为服务
的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向
svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中
的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文
件必须导出一个ServiceMain()函数，为处理服务任务提供支持。 

　　呵呵！看了上边的理论，是不是有点蒙（我都快睡着了），别着
急，我们来看看具体的内容）。我们可以看到
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs下的Parameters子键，其键值
为%SystemRoot%system32rpcss.dll。这就说明：启动RpcSs服务时。Svchost调用WINNTsystem32目录下
的rpcss.dll。 

　　这是注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionSvchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用
Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionSvchost下。这里有四种方法来实现： 

　　1， 添加一个新的组，在组里添加服务名 

　　2， 在现有组里添加服务名 

　　3， 直接使用现有组里的一个服务名，但是本机没有安装的服务 

　　4， 修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门 

　　我测试的PortLess BackDoor使用的第三种方法。 

　　好了，我想大家看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。 

　　注：由于本文只是介绍清除方法，使用方法在此略过。 

　
　后门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先打开Windows优化大师中的Windows进程管理
2.5，查看Svchost进程中的模块信息，SvchostDLL.dll已经插入到Svchost进程中了，在根据“直接使用现有组里的一个服务名，
但是本机没有安装的服务”的提示，我们可以断定，在“管理工具”—“服务”中会有一项新的服务。证明了我的说法，此服务名称为：IPRIP，由
Svchost启动，-k netsvcs表示此服务包含在netsvcs服务组中。 

　　我们把该服务停掉，然后打开注册表编辑器（开始—运
行--regedit），来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPRIP下，查看
其Parameters子键）。Program键的键值SvcHostDLL.exe为后门的Loader；ServiceDll的键值
C:WINNTsystem32svchostdll.dll为调用的DLL文件，这正是后门的DLL文件。现在我们删除IPRIP子键（或者用SC来删
除），然后在来到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionSvchost下，编辑netsvcs服务组，把49 00 70 00 72 00 69 00 70 00 00
00删除，这里对应的就是IPRIP的服务名。然后退出，重启。重启之后删除WINNTsystem32目录下的后门文件即可。 


2，BITS.dll 

　
　这是榕哥的作品，也是DLL后门，和SvchostDLL.dll原理基本一样，不过这里使用的是上边介绍的第四种方法，即“修改现有组里的现有服务，
把它的ServiceDll指向自己的DLL后门”。换句话说，该后门修改现有的某一个服务，把其原有服务的DLL指向自己（也就是BITS.dll），
这样就达到了自动加载的目的；其次，该后门没有自己的Loader，而是使用系统自带的Rundll32.exe来加载。我们还是用Windows
进程管理2.5来查看，从图7中，我们可以看到bits.dll已经插入到Svchost进程当中。 

　　好，现在我们来看看具体的清除方法，
由于该后门是修改现有服务，而我们并不知道具体是修改了哪个服务，所以，在注册表中搜索bits.dll，最后在
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAuto下搜索到了bits.dll，查看
Parameters子键下的ServiceDll，其键值为C:WINNTsystem32bits.dll（如图8）。原来，该后门把RasAuto
服务原来的DLL文件替换为bits.dll了，这样来实现自动加载。知道了原因就好办了，现在我们把ServiceDll的键值修改为RasAuto服
务原有的DLL文件，即%SystemRoot%System32rasauto.dll，退出，重启。之后删除WINNTsystem32目录下的
bits.dll即可。 

3，NOIR--QUEEN 

　　NOIR--QUEEN(守护者)是一个DLL后门&木马程序，服务端以DLL文件的形式插入到系统的Lsass.exe进程里，由于Lsass.exe是系统的关键进程，所以不能终止。在来介绍清除方法之前，我先介绍一下Lsass.exe进程： 

　　这是一个本地的安全授权服务，并且它会为使用Winlogon服务的授权用户生成一个进程，如果授权是成功的，Lsass就会产生用户的进入令牌，令牌使用启动初始 的Shell。其他的由用户初始化的进程会继承这个令牌。 

　　从上边的介绍我们就可以看出Lsass对系统的重要性，那具体怎么清除呢？请看下文。 

　
　后门在安装成功后，会在服务中添加一个名为QoSserver的服务，并把QoSserver.dll后门文件插入到Lsass进程当中，使其可以隐藏
进程并自动启动（如图9）。现在我们打开注册表，来到
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesQoSserver，直接删除QoSserver
键，然后重启。重启之后，我们在来到服务列表中，会看到QoSserver服务还在，但没有启动，类别是自动，我们把他修改为“已禁用”；然后往上看，会
发现一个服务名为AppCPI的服务，其可执行程序指向QoSserver.exe（原因后边我会说到），具体如图11所示。我们再次打开注册表，来到
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAppCPI，删除AppCPI键，重启，再删除
QoSserver，最后删除WINNTsystem32目录下的后门文件。 

　　本人和这个后门“搏斗”了3个多小时，重启N次。原因在于即
使删除了QoSserver服务，后门还是在运行，而且服务列表中的QoSserver服务又“死灰复燃”。后来才知道原因：在我删除了
QoSserver服务并重启之后，插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务，并且生成了另外一个服
务，即AppCPI，所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出，现在的后门的保护措施，真是一环扣环。 

　　注意：在删除QoSserver服务并重启之后，恢复的QoSserver的启动类别要修改为“已禁用”，否则即便删除了AppCPI服务，QoSserver服务又运行了。 


三，DLL的防范 

　
　看了上边的例子，我想大家对清除DLL后门的方法有了一定的了解，但在现实中，DLL后门并不会使用默认的文件名，所以你也就不能肯定是否中了DLL后
门。对于DLL后门，system32目录下是个好地方，大多数后门也是如此，所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门，希望对大家
有所帮助。 

　　1，安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开CMD，来到
WINNTsystem32目录下，执行：dir *.exe>exe.txt & dir
*.dll>dll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同
的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txt
exe0.txt>exedll.txt & fc dll.txt
dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件
中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。 

　　2，使用内存/模块工
具来查看进程调用的DLL文件，比如Windows优化大师中的Windows 进程管理
2.5。这样，可以发现进程到底调用了什么DLL文件，在结合上边用FC命令比较出来的结果，又能进一步来确定是否中了DLL后门。如果没有优化大师，可
以使用TaskList，这个小工具也可以显示进程调用的DLL文件，而且还有源代码，方便修改。 

　　3，普通后门连接需要打开特定的端
口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat
-an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat
-an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。 

　
　4，定期检查系统自动加载的地方，比如：注册
表，Winstart.bat，Autoexec.bat，win.ini，system.ini，wininit.ini，Autorun.inf，Config.sys
等。其次是对服务进行管理，对系统默认的服务要有所了解，在发现有问题的服务时，可以使用Windows 2000 Server Resource
Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader，如果我们把DLL后门Loader删除了，试问？DLL后门还怎么运行？！


　　通过使用上边的方法，我想大多数DLL后门都可以“现形”，如果我们平时多做一些备份，那对查找DLL后门会启到事半功倍的效果 

 

 

 

《WinXP最新操作技巧》2007-08-09 23:16《WinXP最新操作技巧》

不为人熟知 WinXP最新操作技巧 

　

微软的Windows Vista今年还发布不了，虽然我们使用Windows XP操作系统已经要满五年了，很多功能我们都熟得不能再熟了，但是人无完人，总有你不知道的技巧，比如下面介绍的这些。本文我们就给大家介绍一些不为人熟知的Windows XP操作技巧。

禁止修改“我的图片”的硬盘路径 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“DisableMyPicturesDirChange”的DWORD值，若没有便新增一个，将设定
值改为“1”便可。

不显示“我的图片”选项 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“NoSMMyPictures”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

禁止修改“我的音乐”的硬盘路径 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“DisableMyMusicDirChange”的DWORD值，若没有便新增一个，将设定值改为
“1”便可。

不显示“我的音乐”选项 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“NoStartMenuMyMusic”的DWORD值，若没有便新增一个，将设定值改为“1”便
可。

禁止修改“我的文档”的硬盘路径 

禁
止修改“我的文档”的硬盘路径启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows
/CurrentVersion/Policies/Explorer，寻找一个叫“DisablePersonalDirChange”的DWORD
值，若没有便新增一个，将设定值改为“1”便可。

又或可透过群组原则来将达到目的，方法:

先以系统管理员的身份登入，到“开始”-->“运行”，键入“gpedit.msc”进入群组原则的设定，在“本机计算机原则”下打开“使用者设定”-->“系统管理模板”-->“桌面”-->禁止使用者变更“我的文档”路径便可。

不显示“我的文档”选项 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“NoSMMyDocs”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

限制“我最近的文档”显示的数目 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“MaxRecentDocs”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

不显示“我最近的文档”选项 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“NoRecentDocsMenu”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

停用“安全地删除硬件”项目 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“NoStartMenuEjectPC”的DWORD值，若没有便新增一个，将设定值改为“1”便
可。

不显示“我的计算机” 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/NonEnum，移除{20D04FE0-3AEA-1069-A2D8-08002B30309D}便可。

不显示“计算机关机”选项 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“NoClose”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

以Administrator身份登入系统，到“开始”-->“运行”，输入gpedit.msc，点选窗口左边的“计算机配置”-->“系统管理模板”-->“[开始]菜单和工作列”，启用“移除及停用[计算机关机]按钮”。

移除“搜索”选项 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“NoFind”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

移除“说明及支持“项目 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“NoSMHelp”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

移除“运行“选项 

启
动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer，寻找一个叫“NoRun”的DWORD值，若没有便新增一个，将设定值改为“1”便可。

隐藏“回收站“ 

方
法:启动Regedit，到路径HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
/CurrentVersion/Explorer/HideDesktopIcons/NewStartPanel，加入一个名为
“{645FF040-5081-101B-9F08-00AA002F954E}”的DWORD值，将它设定为“1”。

修改“开始”menu显示 

要修改 “开始”标题及menu显示，将要使用Resource Hacker来修改存放于C:/Windows资料夹内的Explorer.exe，由于这运行档受到Windows File Protection (WFP)功能保护，故必须先将其解除保护。

解
除WFP保护方法:开启“档案总管”-->“Tools”à“Folder Options”-->“View”，取消 “Hide
protected operating system files (recommend)”和“Hide extensions for
known file types”，同时取消“Show hidden files and folders”。

然后到“开始”-->“运行”，输入“%systemroot%/system32/Restore”，应找到一个叫“filelist.xml”档案，点选再右按鼠标键选“内容 (Properties)”，取消“Read Only”一项。

开始正式修改filelist.xml，点鼠标右键，利用“记事本”开启档案，档案内容记录了所有受保护的重要档案。寻找“%windir%/system.ini”一行，加入“%systemroot%/explorer.exe”一行后存档。

到
“开始”-->“运行”，输入“%systemroot%/system32/dllcache”，寻找并删除Explorer.exe，因为
WFP功能一经运行后，系统会把某些指定的重要档案备份到这里。如果不把这档案删除，WFP功能运行例行检查时，发现Explorer曾经修改，便会实时
将这个备份档取代刚修改的档案。

取消“自动更新”功能 

Windows XP“自动更新”功能，自检发现有新的系统补丁便实时更新，虽然方便，但却占用一定的系统资源，倒不如自行手动更新更好，如果取消自动功能功能呢?方法如下:

到“控制台”-->“效能及维护”-->“系统”-->“自动更新”，选择“关闭自动更新，我要手动更新我的计算机”。另外，进入“开始”-->“运行”，运行msconfig在“服务”项目下取消“Automatic Updates”。

隐藏“网上邻居” 

Windows
XP要隐藏“网上邻居”，启动regedit，到路径HKEY_CURRENT_USER/Software/Microsoft/Windows
/CurrentVersion/Policies/Explorer，寻找一个叫“NoStartMenuNetworkPlaces”的DWORD
值，若没有便新增一个，将设定值改为“1”便可。

找寻在“添加和删除程序”内隐藏的程序 

不
是所有已安装的程序都可透过“添加和删除程序”功能来反安装，但可通过修改一些参数来解决。例如Windows
XP安装在C盘内，打开C:/Windows/inf资料夹，双击sysoc.inf文件，可看到有几行的倒数第二个单词是“Hide”。就是这个单词告
诉系统不要把这个条目显示在“新增/移除程序”列表内，可使用空隔键来代替“Hide”便可显示所要的程序了 

最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）: 
smss.exe Session Manager 
csrss.exe 子系统服务器进程 
winlogon.exe 管理用户登录 
services.exe 包含很多系统服务 
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) 
svchost.exe 包含很多系统服务 
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务) 
explorer.exe 资源管理器 
internat.exe 托盘区的拼音图标 

附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）: 
mstask.exe 允许程序在指定时间运行。(系统服务) 
regsvc.exe 允许远程注册表操作。(系统服务) 
winmgmt.exe 提供系统管理信息(系统服务)。 
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务) 
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务) 
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务 

) 
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运 

行在服务器上的基 
于 Windows 的程序。(系统服务) 
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) 
以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉 
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系 

统服务) 
支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。( 

系统服务) 
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务) 
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务) 
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务) 
llssrv.exe License Logging Service(system service) 
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务) 
RsSub.exe 控制用来远程储存数据的媒体。(系统服务) 
locator.exe 管理 RPC 名称服务数据库。(系统服务) 
lserver.exe 注册客户端许可证。(系统服务) 
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务) 
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务) 
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。 

(系统服务) 
faxsvc.exe 帮助您发送和接收传真。(系统服务) 
cisvc.exe Indexing Service(system service) 
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务) 
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务) 
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务) 
smlogsvc.exe 配置性能日志和警报。(系统服务) 
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服 

务) 
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务) 
RsFsa.exe 管理远程储存的文件的操作。(系统服务) 
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空 

间。(系统服务) 
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务) 
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务) 
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机 

上 SNMP 管理程序 
。(系统服务) 
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务) 
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务) 

详细说明： 
win2k运行进程 
Svchost.exe 
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位 
在系统的%systemroot%/system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要 
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服 

务， 
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 
Svchost.exe 组是用下面的注册表值来识别。 

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost 
每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的 
例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一 

个 
或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。 
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Service 

explorer.exe 
这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个 
进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或 

者重新启动。 
通常不会对系统产生什么负面影响。 

internat.exe 

这个进程是可以从任务管理器中关掉的。 
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置 
HKEY_USERS/.DEFAULT/Keyboard Layout/Preload 加载内容的。 
internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。 
当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。 

lsass.exe 
这个进程是不可以从任务管理器中关掉的。 
这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是 
通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入 
令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。 

mstask.exe 
这个进程是不可以从任务管理器中关掉的。 
这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。 

smss.exe 
这个进程是不可以从任务管理器中关掉的。 
这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的， 
包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些 
进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么 
不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。 

spoolsv.exe 
这个进程是不可以从任务管理器中关掉的。 
缓冲（spooler）服务是管理缓冲池中的打印和传真作业。 

service.exe 
这个进程是不可以从任务管理器中关掉的。 
大多数的系统核心模式进程是作为系统进程在运行。 

System Idle Process 
这个进程是不可以从任务管理器中关掉的。 
这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。 


winlogon.exe 
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框 

。 

winmgmt.exe 
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个 

进程初始化 

taskmagr.exe 
这个进程就是任务管理器。 

在知道里找到不少制作QQ空间的代码。但每次我在新建模块无论在网址里还是评论里输入代码最后保存都 

没有显示相应的效果，请问具体制作步骤是怎样？ 




winXP进程全接触 
Windows 2000/XP 的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如 
现在系统中运行的程序（进程），但是面对那些文件可执行文件名我们可能有点茫然， 
不知道它们是做什么的，会不会有可疑进程（病毒，木马等）。本文的目的就是提供一 
些常用的Windows 2000 中的进程名，并简单说明它们的用处。 
在 WINDOWS 2000 中,系统包含以下缺省进程： 
Csrss.exe 
Explorer.exe 
Internat.exe 
Lsass.exe 
Mstask.exe 
Smss.exe 
Spoolsv.exe 
Svchost.exe 
Services.exe 
System 
System Idle Process 
Taskmgr.exe 
Winlogon.exe 
Winmgmt.exe 

下面列出更多的进程和它们的简要说明 

进程名 描述 

smss.exe Session Manager 
csrss.exe 子系统服务器进程 
winlogon.exe 管理用户登录 
services.exe 包含很多系统服务 
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安 
全驱动程序。 
svchost.exe Windows 2000/XP 的文件保护系统 
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。) 
explorer.exe 资源管理器 
internat.exe 托盘区的拼音图标) 
mstask.exe 允许程序在指定时间运行。 
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister 
winmgmt.exe 提供系统管理信息(系统服务)。 
inetinfo.exe msftpsvc,w3svc,iisadmn 
tlntsvr.exe tlnrsvr 
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。 
termsrv.exe termservice 
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。 
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 
2000 Professional 的能力。 
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。 
ups.exe 管理连接到计算机的不间断电源(UPS)。 
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 
名称服务。 
llssrv.exe 证书记录服务 
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。 
RsSub.exe 控制用来远程储存数据的媒体。 
locator.exe 管理 RPC 名称服务数据库。 
lserver.exe 注册客户端许可证。 
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。 
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页 
面。 
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统 
或其它事务保护护资源管理器。 
faxsvc.exe 帮助您发送和接收传真。 
cisvc.exe 索引服务 
dmadmin.exe 磁盘管理请求的系统管理服务。 
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌 
面。 
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。 
smlogsvc.exe 配置性能日志和警报。 
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和 
本地通信控制安装功功能。 
RsEng.exe 协调用来储存不常用数据的服务和管理工具。 
RsFsa.exe 管理远程储存的文件的操作。 
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向 
一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。 
SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控 
制。 
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作 
站汇报。 
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱（trap）消息， 
然后将消息传递到运行在这台计算机上 SNMP 管理程序。 
UtilMan.exe 从一个窗口中启动和配置辅助工具。 
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。 


另外,有很多朋友都有这样的疑问:我的开机进程里有smss.exe和csrss.exe两个文件， 
有什么作用？ 

进程文件: smss or smss.exe 
进程名称: Session Manager Subsystem 
描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及 
COM，调用Win32壳子系统和运行在Windows登陆过程。 
常见错误: N/A 
是否为系统进程: 是 


进程文件: csrss or csrss.exe 
进程名称: Client/Server Runtime Server Subsystem 
描述: 客户端服务子系统，用以控制Windows图形相关子系统。 
常见错误: N/A 
是否为系统进程: 是 

所以,对自己不熟悉 没有把握的进程, 不要随便结束它.建议:把你认为有问题的进程比 
如"csrss.exe",在google里搜索"csrss.exe",就会获得相关的知识 
-------------------------------------------------------------------------------------------------------------
进程直接关系到系统运行速度,及内存占有度!很多朋友为了减少内存占有量,胡乱关一通反把系统搞死~这里给大家一个进程参考表,希望对大家有帮助!!!! 
system process 
进程文件: [system process] or [system process] 
进程名称: Windows内存处理系统进程 
描述: Windows页面内存管理进程，拥有0级优先。 
是否为系统进程: 是 
alg.exe 
进程文件: alg or alg.exe 
进程名称: 应用层网关服务 
描述: 这是一个应用层网关服务用于网络共享。 
是否为系统进程: 是 
csrss.exe 
进程文件: csrss or csrss.exe 
进程名称: Client/Server Runtime Server Subsystem 
描述: 客户端服务子系统，用以控制Windows图形相关子系统。 
是否为系统进程: 是 
ddhelp.exe 
进程文件: ddhelp or ddhelp.exe 
进程名称: DirectDraw Helper 
描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。 
是否为系统进程: 是 
dllhost.exe 
进程文件: dllhost or dllhost.exe 
进程名称: DCOM DLL Host进程 
描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。 
是否为系统进程: 是 
inetinfo.exe 
进程文件: inetinfo or inetinfo.exe 
进程名称: IIS Admin Service Helper 
描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。 
是否为系统进程: 是 
internat.exe 
进程文件: internat or internat.exe 
进
程名称: Input Locales 
描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。 
是否为系统进程: 是 
kernel32.dll 
进程文件: kernel32 or kernel32.dll 
进程名称: Windows壳进程 
描述: Windows壳进程用于管理多线程、内存和资源。 
是否为系统进程: 是 
lsass.exe 
进程文件: lsass or lsass.exe 
进程名称: 本地安全权限服务 
描述: 这个本地安全权限服务控制Windows安全机制。 
是否为系统进程: 是 
mdm.exe 
进程文件: mdm or mdm.exe 
进程名称: Machine Debug Manager 
描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。 
是否为系统进程: 是 
mmtask.tsk 
进程文件: mmtask or mmtask.tsk 
进程名称: 多媒体支持进程 
描述: 这个Windows多媒体后台程序控制多媒体服务，例如MIDI。 
是否为系统进程: 是 
mprexe.exe 
进程文件: mprexe or mprexe.exe 
进程名称: Windows路由进程 
描述: Windows路由进程包括向适当的网络部分发出网络请求。 
是否为系统进程: 是 
msgsrv32.exe 
进程文件: msgsrv32 or msgsrv32.exe 
进程名称: Windows信使服务 
描述: Windows信使服务调用Windows驱动和程序管理在启动。 
是否为系统进程: 是 
mstask.exe 
进程文件: mstask or mstask.exe 
进程名称: Windows计划任务 
描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。 
是否为系统进程: 是 
regsvc.exe 
进程文件: regsvc or regsvc.exe 
进程名称: 远程注册表服务 
描述: 远程注册表服务用于访问在远程计算机的注册表。 
是否为系统进程: 是 
rpcss.exe 
进程文件: rpcss or rpcss.exe 
进程名称: RPC Portmapper 
描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。 
是否为系统进程: 是 
services.exe 
进程文件: services or services.exe 
进程名称: Windows Service Controller 
描述: 管理Windows服务。 
是否为系统进程: 是 
smss.exe 
进程文件: smss or smss.exe 
进程名称: Session Manager Subsystem 
描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。 
是否为系统进程: 是 
snmp.exe 
进程文件: snmp or snmp.exe 
进程名称: Microsoft SNMP Agent 
描述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。 
是否为系统进程: 是 
spool32.exe 
进程文件: spool32 or spool32.exe 
进程名称: Printer Spooler 
描述: Windows打印任务控制程序，用以打印机就绪。 
是否为系统进程: 是 
spoolsv.exe 
进程文件: spoolsv or spoolsv.exe 
进程名称: Printer Spooler Service 
描述: Windows打印任务控制程序，用以打印机就绪。 
是否为系统进程: 是 
stisvc.exe 
进程文件: stisvc o
r stisvc.exe 
进程名称: Still Image Service 
描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。 
是否为系统进程: 是 
svchost.exe 
进程文件: svchost or svchost.exe 
进程名称: Service Host Process 
描述: Service Host Process是一个标准的动态连接库主机处理服务。 
是否为系统进程: 是 
system 
进程文件: system or system 
进程名称: Windows System Process 
描述: Microsoft Windows系统进程。 
是否为系统进程: 是 
taskmon.exe 
进程文件: taskmon or taskmon.exe 
进程名称: Windows Task Optimizer 
描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。 
是否为系统进程: 是 
tcpsvcs.exe 
进程文件: tcpsvcs or tcpsvcs.exe 
进程名称: TCP/IP Services 
描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。 
是否为系统进程: 是 
winlogon.exe 
进程文件: winlogon or winlogon.exe 
进程名称: Windows Logon Process 
描述: Windows NT用户登陆程序。 
是否为系统进程: 是 
winmgmt.exe 
进程文件: winmgmt or winmgmt.exe 
进程名称: Windows Management Service 
描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来
自应用客户端的请求。 
是否为系统进程: 是 
程序进程 
absr.exe 
进程文件: absr or absr.exe 
进程名称: Backdoor.Autoupder Virus 
描述: 这个进程是Backdoor.Autoupder后门病毒程序创建的。 
是否为系统进程: 否 
acrobat.exe 
进程文件: acrobat or acrobat.exe 
进程名称: Adobe Acrobat 
描述: Acrobat Writer用于创建PDF文档。 
是否为系统进程: 否 
acrord32.exe 
进程文件: acrord32 or acrord32.exe 
进程名称: Acrobat Reader 
描述: Acrobat Reader是一个用于阅读PDF文档的软件。 
是否为系统进程: 否 
agentsvr.exe 
进程文件: agentsvr or agentsvr.exe 
进程名称: OLE automation server 
描述: OLE Automation Server是Microsoft Agent的一部分。 
是否为系统进程: 否 
aim.exe 
进程文件: aim or aim.exe 
进程名称: AOL Instant Messenger 
描述: AOL Instant Messenger是一个在线聊天和即时通讯IM软件客户端。 
是否为系统进程: 否 
airsvcu.exe 
进程文件: airsvcu or airsvcu.exe 
进程名称: Microsoft Media Manager 
描述: OLE 这是一个用于在硬盘上建立索引文件和文件夹，在Microsoft Media Manager媒体管理启动时运行的进程。它可以在控制面板被禁用。 
是否为系统进程: 否 
alogserv.exe 
进程文件: alogserv or alogserv.exe 
进程名称: McAfee VirusSc
an 
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。 
是否为系统进程: 否 
avconsol.exe 
进程文件: avconsol or avconsol.exe 
进程名称: McAfee VirusScan 
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。 
是否为系统进程: 否 
avsynmgr.exe 
进程文件: avsynmgr or avsynmgr.exe 
进程名称: McAfee VirusScan 
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。 
是否为系统进程: 否 
backWeb.exe 
进程文件: backWeb or backWeb.exe 
进程名称: Backweb Adware 
描述: Backweb是一个Adware（广告插件，一般是由于安装某些免费软件而伴随安装上的程序）来自Backweb Technologies。 
是否为系统进程: 否 
bcb.exe 
进程文件: bcb or bcb.exe 
进程名称: Borland C++ Builder 
描述: Borland C++ Builder 
是否为系统进程: 否 
calc.exe 
进程文件: calc or calc.exe 
进程名称: Calculator 
描述: Microsoft Windows计算器程序 
是否为系统进程: 否 
ccapp.exe 
进程文件: ccapp or ccapp.exe 
进程名称: Symantec Common Client 
描述: Symantec公用应用客户端包含在Norton AntiVirus 2003和Norton Personal Firewall 2003。 
是否为系统进程: 否 
cdplayer.exe 
进程文件: cdplayer or cdplayer
.exe 
进程名称: CD Player 
描述: Microsoft Windows包含的CD播放器 
是否为系统进程: 否 
charmap.exe 
进程文件: charmap or charmap.exe 
进程名称: Windows Character Map 
描述: Windows字符映射表用来帮助你寻找不常见的字符。 
是否为系统进程: 否 
idaemon.exe 
进程文件: cidaemon or cidaemon.exe 
进程名称: Microsoft Indexing Service 
描述: 在后台运行的Windows索引服务，用于帮助你搜索文件在下次变得更快。 
是否为系统进程: 
cisvc.exe 
进程文件: cisvc or cisvc.exe 
进程名称: Microsoft Index Service Helper 
描述: Microsoft Index Service Helper监视Microsoft Indexing Service (cidaemon.exe) 的内存占用情况，如果cidaemon.exe内存使用超过了40M，则自动重新启动该进程。 
是否为系统进程: 否 
cmd.exe 
进程文件: cmd or cmd.exe 
进程名称: Windows Command Prompt 
描述: Windows控制台程序。不像旧的command.com，cmd.exe是一个32位的命令行使用在WinNT/2000/XP。 
是否为系统进程: 否 
cmesys.exe 
进程文件: cmesys or cmesys.exe 
进程名称: Gator GAIN Adware 
描述: Gator GAIN是一个Adware插件（广告插件，一般是由于安装某些免费软件而伴随安装上的程序）。 
是否为系统进程: 否 
ctfmon.exe 
进程文件: ctfmon or ctfmon.exe 
进程名称: Alternative User Input Services 

 
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。 
是否为系统进程: 否 
ctsvccda.exe 
进程文件: ctsvccda or ctsvccda.exe 
进程名称: Create CD-ROM Services 
描述: 在Win9X创建CD-ROM访问服务。 
是否为系统进程: 否 
cutftp.exe 
进程文件: cutftp or cutftp.exe 
进程名称: CuteFTP 
描述: CuteFTP是一个流行的FTP客户端用于从FTP服务器上传/下载文件。 
是否为系统进程: 否 
defwatch.exe 
进程文件: defwatch or defwatch.exe 
进程名称: Norton AntiVirus 
描述: Norton Anti-Virus扫描你的文件和email以检查病毒。 
是否为系统进程: 否 
devldr32.exe 
进程文件: devldr32 or devldr32.exe 
进程名称: Create Device Loader 
描述: Creative Device Loader属于Create Soundblaster驱动。 
是否为系统进程: 否 
directcd.exe 
进程文件: directcd or directcd.exe 
进程名称: Adaptec DirectCD 
描述: Adaptec DirectCD是一个用文件管理器式的界面，烧录文件到光盘的软件。 
是否为系统进程: 否 
dreamweaver.exe 
进程文件: dreamweaver or dreamweaver.exe 
进程名称: Macromedia DreamWeaver 
描述: Macromedia DreamWeaver是一个HTML编辑器用于创建站点和其它类别的HTML文档。是否为系统进程: 否 
em_exec.exe 
进程文件: em_exec or em_exec.exe 
进程名称: Logitech Mouse Settings 
描述: 这是Logitech MouseWare状态栏图标的进程，用于用户访问控制鼠标属性和察看MouseWare帮助。 
是否为系统进程: 否 
excel.exe 
进程文件: excel or excel.exe 
进程名称: Microsoft Excel 
描述: Microsoft Excel是一个电子表格程序包括在Microsoft Office中。 
是否为系统进程: 否 
findfast.exe 
进程文件: findfast or findfast.exe 
进程名称: Microsoft Office Indexing 
描述: Microsoft Office索引程序，用于提高Microsoft Office索引Office文档的速度。 
是否为系统进程: 否 
frontpage.exe 
进程文件: frontpage or frontpage.exe 
进程名称: Microsoft FrontPage 
描述: Microsoft FrontPage是一个HTML编辑器用于创建站点和其它类别的HTML文档。 
是否为系统进程: 否 
gmt.exe 
进程文件: gmt or gmt.exe 
进程名称: Gator Spyware Component 
描述: Gator Spyware是一个广告插件，随Gator安装和启动。 
是否为系统进程: 否 
hh.exe 
进程文件: hh or hh.exe 
进程名称: Gator Windows Help 
描述: Windows Help程序用以打开帮助文件和文档，包括在很多Windows程序中。 
是否为系统进程: 否 
hidserv.exe 
进程文件: hidserv or hidserv.exe 
进程名称: Microsof
t Human Interface Device Audio Service 
描述: 后台服务，用来支持USB音效部件和USB多媒体键盘。 
是否为系统进程: 否 
QQ.exe 
进程文件: QQ or QQ.exe 
进程名称: QQ 
描述: QQ是一个在线聊天和即时通讯客户端。 
是否为系统进程: 否 
iexplore.exe 
进程文件: iexplore or iexplore.exe 
进程名称: Internet Explorer 
描述: Microsoft Internet Explorer网络浏览器透过HTTP访问WWW万维网。 
是否为系统进程: 否 
kodakimage.exe 
进程文件: kodakimage or kodakimage.exe 
进程名称: Imaging 
描述: Kodak Imaging是一个图片察看软件。包括在Windows，用以打开图像文件。 
是否为系统进程: 否 
loadqm.exe 
进程文件: loadqm or loadqm.exe 
进程名称: MSN Queue Manager Loader 
描述: MSN Queue Manager Loader被随着MSN Explorer和MSN Messenger安装。他在一些时候会占用很多系统资源。 
是否为系统进程: 否 
loadwc.exe 
进程文件: loadwc or loadwc.exe 
进程名称: Load WebCheck 
描述: Load WebCheck用以定制一些Internet Explorer的设定，添加、删除或者更新用户profiles设定。 
是否为系统进程: 否 
mad.exe 
进程文件: mad or mad.exe 
进程名称: System Attendant Service 
描述: System Attendant Service是Microsoft Exchange Server的后台程序。它用以读取Microsoft Exchange的DLLs文件，写lo
g信息和生成离线地址薄。 
是否为系统进程: 否 
mcshield.exe 
进程文件: mcshield or mcshield.exe 
进程名称: McAfee VirusScan 
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。 
是否为系统进程: 否 
mgabg.exe 
进程文件: mgabg or mgabg.exe 
进程名称: Matrox BIOS Guard 
描述: Matrox BIOS守护进程。 
是否为系统进程: 否 
mmc.exe 
进程文件: mmmc or mmc.exe 
进程名称: Microsoft Management Console 
描述: Microsoft Management Console管理控制程序集成了很多的系统控制选项。例如设备管理（系统、硬件 
）或者计算机权限控制（Administrative管理工具）。 
是否为系统进程: 否 
mobsync.exe 
进程文件: mobsync or mobsync.exe 
进程名称: Microsoft Synchronization Manager 
描述: Internet Explorer的一个组成部分，用以在后台同步离线察看页面。 
是否为系统进程: 否 
mplayer.exe 
进程文件: mplayer or mplayer.exe 
进程名称: Windows Media Player 
描述: Windows Media Player是一个用以打开音乐、声音和视频文件的软件。 
是否为系统进程: 否 
mplayer2.exe 
进程文件: mplayer2 or mplayer2.exe 
进程名称: Windows Media Player 
描述: Windows Media Player是一个用以打开音乐、声音和视频文件的软件。 
是否为系统进程: 否 
msaccess.exe 
进程文件: msaccessor msaccess.exe 
进程名称: Microsoft Access 
描述: Microsoft Access是一个数据库软件包括在Microsoft Office。 
是否为系统进程: 否

今天领导突然说项目需要调用外部键盘很急，然后我匆匆忙忙的写了这个功能，遇到很多蛋疼的地方，记录下来！ 
第一步： 

管理员模式打开unity： 

我们需要使用管理员模式打开unity，不然osk.exe是电脑内置的程序，不使用管理员是无法调取的！ 
第二步: 

调取代码：



Process[] process;
process = Process.GetProcesses();
        foreach (var p in process)
        {
            if (p.ProcessName == "osk")
            {
                if (!p.HasExited)
                {
                    return;
                }                
            }
        }
        System.Diagnostics.Process  pro = System.Diagnostics.Process.Start("osk.exe");        

这段代码的前面是判断当前的osk是否处于打开状态，如果是打开就不要再次打开了，否则开了很多虚拟键盘，有bug，后面则是打开osk.exe 
第三步： 

关闭虚拟键盘：



        Process[] process;
        process = Process.GetProcesses();
        foreach (var p in process)
        {
            if (p.ProcessName == "osk")
            {
                if (!p.HasExited)
                {
                    p.Kill();
                }

                return;
            }
        }

遍历进程列表，找到osk的进程，然后关闭Kill 
第四步： 

运行： 

点击项目图标，以管理员模式运行