精华内容
下载资源
问答
  • Windows的进程都会绑定一个token(权限令牌),这个token记录了该进程的权限,不同的用户有不同的权限,所以不同用户下启动的进程时绑定的token是不同的,可以修改这个token,让进程开启或禁用已经拥有的权限...

    Windows中的进程都会绑定一个token(权限令牌),这个token记录了该进程的权限,不同的用户有不同的权限,所以不同用户下启动的进程时绑定的token是不同的,可以修改这个token,让进程开启或禁用已经拥有的权限(SetTokenInformation)。注意不是增加,是修改,因为token是用户的权限策略,如果该用户没有这个权限,那么在他启动的进程中是不可能增加这个权限的。

    Win7之后,windows又引入了session隔离用来保证各个用户之间的安全,特别是session0,是为第一个用户创建的,也就是系统服务,自己创建的服务程序也在这个system用户下,session默认也在0,不过session0创建的子进程可以是其他session的,这个就是通过SetTokenInformation修改token中的sessionid来做到。也就是说我们可以创建一个system权限,又工作在session1下面的进程。

     

    创建admin用户进程拥有admin权限:

    void CreateProcessAsAdmin()
    {
    	HANDLE hToken;
    	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 9208);
    	OpenProcessToken(hProcess, TOKEN_ALL_ACCESS, &hToken);
    	WCHAR szDesl[] = L"winsta0\\default";
    	auto token = GetTokenById(9208);
    	STARTUPINFO si = { sizeof(STARTUPINFO) };
    	si.lpDesktop = szDesl;
    	si.dwFlags = STARTF_USESHOWWINDOW;
    	si.wShowWindow = SW_SHOW;
    	PROCESS_INFORMATION pi;
    	WCHAR szApp[] = L"notepad";
    	CreateProcessAsUser(token, NULL, szApp, 0, 0, FALSE, 0, 0, 0, &si, &pi);
    }

     9208是explore的进程id,获取了admin用户的进程token,然后启动子进程,这个子进程就拥有了admin权限,而且也和explore一样工作在session1下面,因为token中就包含了用户权限信息和session信息。

    创建System用户权限,并且工作在session1下面:

    int CreateProcessAsSystem()
    {
    	auto activeSession = WTSGetActiveConsoleSessionId();
    	HANDLE hSystemUserToken;
    	BOOL ret = OpenProcessToken(GetCurrentProcess(), TOKEN_DUPLICATE|TOKEN_ASSIGN_PRIMARY | TOKEN_WRITE | TOKEN_ASSIGN_PRIMARY | TOKEN_ADJUST_SESSIONID | TOKEN_ADJUST_PRIVILEGES,
    		&hSystemUserToken);
    	if (!ret)
    	{
    		return -1;
    	}
    
    	HANDLE hCopyToken;
    	ret = DuplicateTokenEx(hSystemUserToken, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, &hCopyToken);
    	if (!ret)
    	{
    		return -4;
    	}
    	ret = SetTokenInformation(hCopyToken, TokenSessionId, (void*)&activeSession, sizeof(activeSession));
    	if (!ret)
    	{
    		return GetLastError();
    	}
    	WCHAR szDesl[] = L"winsta0\\default";
    	auto token = GetTokenById(9208);
    	STARTUPINFO si = { sizeof(STARTUPINFO) };
    	si.lpDesktop = szDesl;
    	si.dwFlags = STARTF_USESHOWWINDOW;
    	si.wShowWindow = SW_SHOW;
    	PROCESS_INFORMATION pi;
    	WCHAR szApp[] = L"notepad";
    	ret = CreateProcessAsUser(hCopyToken, NULL, szApp, 0, 0, FALSE, 0, 0, 0, &si, &pi);
    	if (!ret)
    	{
    		return -5;
    	}
    	return 0;
    }

    现获取session1的id,然后打开当前进程的token,当前是服务进程所以也就是system用户的token,然后复制,必须复制,因为我们要修改的是子进程的令牌session,然后设置token中的sessionid为session1。创建后的进程为system用户权限,工作在session1中。

     

    至于为什么进程既要受用户权限令牌(token)的约束,还要受session的约束(session隔离), 这块的原因还需要细细研究一下。

    展开全文
  •  您可以将 DevCon 用于 Windows 2000 、Windows XP和Windows vista。不能将 Devcon 用于 Microsoft Windows 95、Windows 98、或 Windows Millennium Edition。  下载:...
  • 其他可根据实际情况禁用或关闭的进程及服务 Adaptive brightness 监视周围的光线状况来调节屏幕明暗,如果该服务被禁用,屏幕亮度将不会自动适应周围光线状况。该服务的默认运行方式是手动,如果你没有使用触摸屏...

    其他可根据实际情况禁用或关闭的进程及服务
      Adaptive brightness
      监视周围的光线状况来调节屏幕明暗,如果该服务被禁用,屏幕亮度将不会自动适应周围光线状况。该服务的默认运行方式是手动,如果你没有使用触摸屏一类的智能调节屏幕亮度的设备,该功能就可以放心禁用。
      目标路径:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
      Application Management
      为活动目录的智能镜像(IntelliMirror)组策略程序提供软件的安装、卸载和枚举等操作。如果该服务停止,用户将无法安装、删除或枚举任何使用智能镜像方式安装的程序。如果该服务被禁用,任何依赖该服务的其他服务都将无法运行。该服务默认的运行方式为手动,该功能主要适用于大型企业环境下的集中管理,因此家庭用户可以放心禁用该服务。
      目标路径:\WINDOWS\system32\svchost.exe -k netsvcs
      Base Filtering Engine
      基本筛选引擎(BFE)是一种管理防火墙和 Internet 协议安全(IPsec)策略以及实施用户模式筛选的服务。停止或禁用 BFE 服务将大大降低系统的安全。还将造成 IPsec 管理和防火墙应用程序产生不可预知的行为。建议保持默认。
      目标路径:\WINDOWS\system32\svchost.exe -k LocalServiceNetworkRestricted
      同样为系统防火墙,VPN以及IPsec提供依赖服务,同时也是系统安全方面的服务,如果使用第三方VPN拨号软件并且不用系统的防火墙以及ICS共享上网,为了系统资源,关闭它吧,否则就别动它。
      BitLocker Drive Encryption Service
      向用户接口提供BitLocker客户端服务并且自动对数据卷解锁。该服务的默认运行方式是手动,如果你没有使用BitLocker设备,该功能就可以放心禁用。
      目标路径:\Windows\System32\svchost.exe -k netsvcs
      Block Level Backup Engine Service
      执行块级备份和恢复的引擎。
      目标路径:\Windows\system32\wbengine.exe
      估计是和备份恢复方面用的服务,无任何依赖关系,默认是手动,也从来没有看他启动过。就放那吧,不用管了。
      Bluetooth Support Service
      对蓝牙设备提供支持,如果该服务被禁用,用户将不能发现或连接到蓝牙设备。该服务的默认运行方式是手动,如果你没有使用蓝牙设备,该功能就可以放心禁用。
      目标路径:\Windows\system32\svchost.exe -k bthsvcs
      Certificate Propagation
      为智能卡提供证书。该服务的默认运行方式是手动。如果你没有使用智能卡,那么可以放心禁用该服务。
      目标路径:\WINDOWS\system32\svchost.exe -k netsvcs
      估计到win7发布的时候,密码已经不是唯一可以用来区分用户身份的凭据了,也许智能卡,或者更加方便的生物识别技术,例如指纹、虹膜识别等应用将会更加广泛。
      CNG Key Isolation
      CNG 密钥隔离服务宿主在 LSA 进程中。如一般原则所要求,该服务为私钥和相关加密操作提供密钥进程隔离。该服务在与一般原则要求相一致的安全进程中存储和使用生存期长的密钥。
      目标路径:\Windows\system32\lsass.exe
      如果Wired AutoConfig/WLAN AutoConfig两个服务被打开,而且使用了EAP (Extensible Authentication Protocol),那么这个服务将被使用,建议不使用自动有线网络配置和无线网络的可以关掉。
      COM+ System Application
      管理 基于COM+ 组件的配置和跟踪。如果服务停止,大多数基于 COM+ 组件将不能正常工作。开发的比较清楚,以前的COM+程序甚至IIS/.NET中的应用都会用到这个服务。只要不设置为禁用就行了,基本上也是很少运行的服务。
      目标路径:\WINDOWS\system32\dllhost.exe /Processid :{ 02D4B3F1-FD88-11D1-960D-00805FC79235}
      Computer Browser
      维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。该服务的默认运行方式为自动,不过如果你没有使用局域网或者你根本就不想使用局域网,该功能就可以放心禁用,禁用后任然可以使用目标路径:[url=file://ip/]\\IP[/url]这样的UNC路径访问其他共享的计算机。
    目标路径:\WINDOWS\system32\svchost.exe -k netsvcs
      Credential Manager Service
      向用户提供应用程序和安全服务包的可靠存储和证书检索。该服务的默认运行方式是手动,建议保持默认。
      目标路径:\Windows\system32\lsass.exe
      Desktop Window Manager Session Manager
      Aero风格必须的,所有Aero Glass和Flip 3D效果均依赖这个服务。如果喜欢这个风格就要设为自动,否则就禁用吧。
      目标路径:\WINDOWS\system32\svchost.exe -k NetworkService
      DFS Replication
      使您能够跨局域网或广域网 (WAN) 网络连接同步多台服务器上的文件夹。此服务使用远程差分压缩 (RDC)协议只更新自上次复制之后更改的部分文件,分布式文件复制,从2003 R2就有的功能,如果你不需要从局域网上复制大文件,才可以考虑禁用它。
      目标路径:\Windows\system32\DFSR.exe
      Diagnostic Policy Service
      Diagnostic Policy服务为Windows组件提供诊断支持。如果该服务停止了,系统诊断工具将无法正常运行。如果该服务被禁用了,那么任何依赖该服务的其他服务都将无法正常运行。该服务的默认运行方式是自动,Vista或IE7有时会弹出对话框问你是否需要让它帮忙找到故障的原因,只有1%的情况下它会帮忙修复Internet断线的问题,可以关掉。
      目标路径:\WINDOWS\System32\svchost.exe -k netsvcs
      Diagnostic Service Host
      诊断服务主机服务启用 Windows 组件的问题检测、故障排除和解决方案。如果停止该服务,则一些诊断将不再发挥作用。如果禁用该服务,则显式依赖它的所有服务将无法启动。这就是帮上面Diagnostic Policy Service做具体事情的服务,会随着上面的服务启动,可以一起关掉。
      目标路径:\Windows\System32\svchost.exe -k wdisvc
      Diagnostic System Host
      诊断系统主机服务启用 Windows 组件的问题检测、故障排除和解决方案。如果停止该服务,则一些诊断将不再发挥作用。如果禁用该服务,则显式依赖它的所有服务将无法启动。基本和Diagnostic Policy Service/Diagnostic Service Host是同类,可以一起关掉。
      目标路径:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
      Disk Defragmenter
      提供磁盘碎片整理功能。该服务的默认运行方式是手动,建议保持默认。
      目标路径:\Windows\system32\svchost.exe -k defragsvc
      Distributed Link Tracking Client:
      在计算机内 NTFS 文件之间保持链接或在网络域中的计算机之间保持链接。该服务的默认运行方式是自动,不过这个功能一般都用不上,完全可以放心禁用。
      目标路径:\WINDOWS\System32\svchost.exe -k netsvcs
      Distributed Transaction Coordinator
      在多个来源,例如数据库、消息队列以及文件系统之间进行传送协调。如果该服务停止,这些传输将不会发生。如果该服务被禁用,任何依赖该服务的其他服务都将无法运行。很多应用以及SQL,Exchange Biztalk等服务器软件都依赖这个服务,可以不启动它,但不要Disabled 它。
      目标路径:\Windows\system32\msdtc.exe
      Encrypting File System (EFS)
      在NTFS文件系统卷上提供加密技术来存储加密文件,该服务无法被禁用。
      目标路径:\Windows\System32\lsass.exe
      Extensible Authentication Protocol
      可扩展的身份验证协议(EAP)服务在以下情况下提供网络身份验证: 802.1x 有线和无线、VPN 和网络访问保护(NAP)。EAP 在身份验证过程中也提供网络访问客户端使用的应用程序编程接口(API),包括无线客户端和 VPN 客户端。如果禁用此服务,该计算机将无法访问需要 EAP 身份验证的网络。不用802.1x认证、无线网络或VPN 可以不启动它,不要Disabled 它。
      目标路径:\Windows\System32\svchost.exe -k netsvcs
      Fax
      利用计算机或网络上的可用传真资源发送和接收传真。不用我说了吧,很明显就能看出来是和传真有关的。手动或禁用
      目标路径:\Windows\system32\fxssvc.exe
      Function Discovery Provider Host
      功能发现提供程序的主机进程。PnP-X和SSDP相关,如果无相关设备就关了吧。
    目标路径:\Windows\system32\svchost.exe -k LocalService
      Function Discovery Resource Publication
      发布该计算机以及连接到该计算机的资源,以便能够在网络上发现这些资源。如果该服务被停止,将不再发布网络资源,网络上的其他计算机将无法发现这些资源。PnP-X和SSDP相关,如果无相关设备就关了吧。
      目标路径:\Windows\system32\svchost.exe -k LocalService
      Health Key and Certificate Management
      为网络访问保护代理(NAPAgent)提供 X.509 证书和密钥管理服务。使用 X.509 证书的强制技术在没有此服务的情况下可能无法正常工作。推测是NAP的一个服务,其中提到要实现一个Health Registration Authority机制。默认即可。
      目标路径:\Windows\System32\svchost.exe -k netsvcs
      HomeGroup Listener
      为家庭群组提供接收服务,该服务的默认运行方式是手动,如果你不使用家庭群组来共享图片视频及文档,那么该服务可以禁用。
      目标路径:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
      HomeGroup Provider
      为家庭群组提供网络服务,该服务的默认运行方式是自动,如果你不使用家庭群组来共享图片视频及文档,那么该服务可以禁用。
      目标路径:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
      Human Inteface Device Access
      启用对智能界面设备(HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。如果你不想你机器或笔记本键盘上面的那些特别的附加按键起作用、不用游戏手柄之类可以关掉这个服务。
      目标路径:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
      IKE and AuthIP IPsec Keying Modules
      IKEEXT 服务托管 Internet 密钥交换(IKE)和身份验证 Internet 协议(AuthIP)键控模块。这些键控模块用于 Internet 协议安全(IPSec)中的身份验证和密钥交换。停止或禁用 IKEEXT 服务将禁用与对等计算机的 IKE/AuthIP 密钥交换。通常将 IPSec 配置为使用 IKE 或 AuthIP,因此停止或禁用 IKEEXT 服务将导致 IPSec 故障并且危及系统的安全。强烈建议运行 IKEEXT 服务。主要是针对VPN等网络环境的进行认证。不用VPN或用第三方VPN拨号的话可以禁用。
      目标路径:\Windows\system32\svchost.exe -k netsvcs
      Interactive Services Detection
      启用交互式服务的用户输入的用户通知,这样当交互式服务创建的对话框出现时可以访问这些对话框。如果此服务已停止,将不再有新的交互式服务对话框通知,而且可能再也无法访问交互式服务对话框。如果此服务已禁用,则不再有新的交互式服务对话框通知,也无法访问这些对话框。我也不清楚什么算交互式服务,默认也是Manual,保持默认吧。
      目标路径:\Windows\system32\UI0Detect.exe
      Internet Connection Sharing (ICS)
      为家庭和小型商业网络提供网络地址转换、寻址、名称解析以及/或入侵防御服务。该服务的默认运行方式是禁用,如果你不打算让这台计算机充当ICS主机,那么该服务可以禁用,否则需要启用。
      目标路径:\WINDOWS\System32\svchost.exe -k netsvcs
      IP Helper
      在 IPv4 网络上提供自动的 IPv6 连接。如果停止此服务,则在计算机连接到本地 IPv6 网络时,该计算机将只具有 IPv6 连接。主要是提供IPv6的支持,说白了就是让IPv4和IPv6相互兼容,现在的情况下不是特别需要,其实设置成Disabled 也无妨。
      目标路径:\Windows\System32\svchost.exe -k NetSvcs
      IPsec Policy Agent
      Internet 协议安全(IPSec)支持网络级别的对等身份验证、数据原始身份验证、数据完整性、数据机密性(加密)以及重播保护。此服务强制执行通过 IP 安全策略管理单元或命令行工具 “netsh ipsec” 创建的 IPSec 策略。停止此服务时,如果策略需要连接使用 IPSec,可能会遇到网络连接问题。同样,此服务停止时,Windows 防火墙的远程管理也不再可用。某些公司的网络环境要求必须打开,它提供一个TCP/IP网络上客户端和服务器之间端到端的安全连接。其他的情况建议设置成禁用。
    目标路径:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
      KtmRm for Distributed Transaction Coordinator
      协调 MSDTC 和核心事务管理器(KTM)之间的事务。Vista提供的另外一种事务服务,对开发人员来说是比较有用,对于一般的用户或者非开发人员来说,设置成手动。
      目标路径:\Windows\System32\svchost.exe -k NetworkService
      Link-Layer Topology Discovery Mapper
      创建网络映射,它由 PC 和设备拓扑(连接)信息以及说明每个 PC 和设备的元数据组成。如果禁用此服务,则网络映射将不能正常工作。应该是支持LLTD (Link Layer Topology Discovery) 技术,可以精确地显示支持LLTD的设备在网络结构中的位置,比如Vista的无线地图 ,保持默认手动。
      目标路径:\Windows\System32\svchost.exe -k LocalService
      Microsoft .NET Framework NGEN v2.0.50727_X86
      NET开发人员都知道NGEN的用法,保持默认的设置,以后会有很多基于。NET FX3的应用,那么这个服务会有用的。
      目标路径:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
      Microsoft iSCSI Initiator Service
      管理从这台计算机到远程 iSCSI 目标设备的 Internet SCSI (iSCSI)会话。如果该服务已停止,则该计算机将无法登录或访问 iSCSI 目标设备。如果该服务已禁用,则所有显式依赖于该服务的服务将不会启动。如果本机没有iSCSI设备也不需要连接和访问远程iSCSI设备,设置成禁用。
      目标路径:\Windows\system32\svchost.exe -k netsvcs
      Microsoft Software Shadow Copy Provider
      管理卷影复***务制作的基于软件的卷影副本。如果该服务被停止,将无法管理基于软件的卷影副本。如果该服务被禁用,任何依赖它的服务将无法启动。卷影拷贝,如果不需要就可以设为禁用。
      目标路径:\Windows\System32\svchost.exe -k swprv
      Net.Tcp 端口共享服务
      提供通过 net.tcp 协议共享 TCP 端口的功能。WCF要用的,一般用户和非开发人员,还是Disabled就行了。
      目标路径:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
      Netlogon
      为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。如果此服务被禁用,任何依赖它的服务将无法启动。登陆活动目录时,和域服务通讯验证的一个服务,一般验证通过之后,域服务器会注册你的DNS记录,推送软件补丁和策略等等,登陆域会用到它。工作组环境可以设为禁用。
      目标路径:\Windows\system32\lsass.exe
      Network Access Protection Agent
      在客户端计算机上启用网络访问保护(NAP)功能,这是NAP架构中的客户端,默认设置即可。
      目标路径:\Windows\System32\svchost.exe -k NetworkService
      Offline Files
      脱机文件服务在脱机文件缓存中执行维护活动,响应用户登录和注销事件,实现公共 API 的内部部分,并将相关的事件分配给关心脱机文件活动和缓存更改的用户。脱机文件服务,使用这个功能系统会将网络上的共享内容在本地进行缓存,可以关掉。
      目标路径:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
      Peer Name Resolution Protocol
      在 Internet 上启用无服务器对等名称解析。如果被禁用,则某些点对点应用程序和协作应用程序(如 Windows 会议)可能无法运行。如果你不尝试WCF的P2P功能或开发,那么连同下面两个服务都可以关掉。
      目标路径:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
      Peer Networking Grouping
      提供对等网络分组服务。如果你不尝试WCF的P2P功能或开发,那么连同下面一个和上面一个服务都可以关掉。
      目标路径:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
      Peer Networking Identity Manager
      提供对等网络标识服务。如果你不尝试WCF的P2P功能或开发,那么连同上面两个服务都可以关掉。
      目标路径:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
      Performance Logs Alerts
    性能日志和警报根据预配置的计划参数从本地或远程计算机收集性能数据,然后将该数据写入日志或触发警报。如果停止此服务,将不收集性能信息。如果禁用此服务,则明确依赖它的所有服务将无法启动。Event Log和任务调度器等多个服务会用到它,个人认为它也是比较耗费资源的,但不建议设置成禁用。
      目标路径:\Windows\System32\svchost.exe -k LocalServiceNoNetwork

    ======================================

    PnP-X IP Bus Enumerator
      PnP-X 总线枚举器服务管理虚拟网络总线。该服务使用 SSDP/WS 发现协议来发现网络连接设备并使其存在于 PnP 中。如果停止或禁用此服务,则 NCD 设备将不会继续保持在 PnP 中。所有基于 pnpx 的方案都将停止运行。PnP-X 总线枚举服务器-Windows Connect Now(WCN),即微软网络和装置平台的组件之一,它是即插即用的扩展,支持某些联网的智能家电装置(比如能联网的电饭锅、冰箱)连接到你的PC上面。目前还用不上,关了它!
      目标路径:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
      PNRP Machine Name Publication Service
      此服务使用对等名称解析协议发布计算机名称。配置是通过 Netsh 上下文“p2p pnrp peer”管理的。这个是用来对P2P网络中发布服务器进行命名解析的,一般不需要它。默认即可。
      目标路径:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
      Pong Service for Wireless USB
      为带线缆的无线USB设备提供服务,如果该服务被禁用,某些无线USB设备将不能正常使用。该服务的默认运行方式是手动,如果你没有使用无线USB设备,该功能就可以放心禁用,否则保持默认。
      目标路径:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
      Portable Device Enumerator Service
      为可移动大容量存储设备强制组策略。使应用程序(例如 Windows Media Player 和图像导入向导)能够使用可移动大容量存储设备传输和同步内容。用来让Windows Media Player和移动媒体播放器比如MP3进行数据和时钟同步。如不需要同步建议关闭。
      目标路径:\Windows\system32\svchost.exe]\\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
      Power
      为电源策略管理和发送电源策略通知提供服务。该服务的默认运行方式是自动,保持默认。
      目标路径:\Windows\system32\svchost.exe -k DcomLaunch
      Print Spooler
      将文件加载到内存供稍后打印。打印服务,不用多说了,有(包括虚拟的)就开,没有就关。
      目标路径:\Windows\System32\spoolsv.exe
      Problem Reports and Solutions Control Panel Support
      此服务为查看、发送和删除“问题报告和解决方案”控制面板的系统级问题报告提供支持。开了它基本也解决不了你计算机出的问题。禁用吧。
      目标路径:\Windows\System32\svchost.exe -k netsvcs
      Program Compatibility Assistant Service
      为程序兼容性助手提供支持。如果此服务停止,则程序兼容性助手不能正常发挥作用。如果此服务被禁用,则依赖于它的所有服务都将无法启动。如果你使用到Program Compatibility Assistant或者需要将你的程序设置成兼容模式运行,比如运行在Win98 或 Windows 2000的方式下,就修改成自动,强烈建议设置为自动。
      目标路径:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
      Protected Storage
      为敏感数据(如密码)提供保护存储,以防止未授权的服务、进程或用户访问。2000/XP流传下来的服务,尽管用处不大,但为了安全还是保留着吧。
      目标路径:\Windows\system32\lsass.exe
      Quality Windows Audio Video Experience
      质量 Windows 音频视频体验(qWave)是用于 IP 家庭网络上的音频视频***流应用程序的网络平台。通过确保 AV 应用程序的网络服务质量(QoS),qWave 增强了 AV 流的性能和可靠性。它提供了许可控制机制、运行时监视和实施、应用程序反馈以及流量优先顺序。主要用于改善和加强IP网络上的音频视频流的传输和播放质量,控制流量,个人感觉这个不起什么作用,支持这样技术的网络服务也不多。还是系统资源比较重要,关了它。
      目标路径:\Windows\system32\svchost.exe -k LocalService
    Remote Access Connection Manager
      管理从这台计算机到 Internet 或其他远程网络的拨号和虚拟专用网络(VPN)连接。如果禁用该项服务,则明确依赖该服务的任何服务都将无法启动。创建连接的时候使用,ADSL/VPN/其他什么拨号网络都会用到这个服务。关了的话就不能上网了,保持默认。
      目标路径:\Windows\system32\svchost.exe -k netsvcs
      Remote Procedure Call (RPC) Locator
      管理 RPC 名称服务数据库。配合RPC的服务,可以设置手动,但不建议设置成禁用。
      目标路径:\Windows\system32\locator.exe
      Remote Registry
      使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。家庭个人用户最好禁用此服务,公司管理就需要打开了。
      目标路径:\Windows\system32\svchost.exe -k regsvc
      Routing and Remote Access
      在局域网以及广域网环境中为企业提供路由服务。提供路由服务的。不用就关。
      目标路径:\Windows\system32\svchost.exe -k netsvcs
      RPC Endpoint Mapper
      该服务的默认运行方式是自动,不要去改动他。
      目标路径:\Windows\system32\svchost.exe -k RPCSS
      Secondary Logon
      在不同凭据下启用启动过程。如果此服务被停止,这种类型的登录访问将不可用。如果此服务被禁用,任何明确依赖它的服务都将不能启动。允许一台机器同时有两个用户登录,个人应用基本不需要。
      目标路径:\Windows\system32\svchost.exe -k netsvcs
      Security Accounts Manager
      启动此服务将向其他服务发出信号: 安全帐户管理器(SAM)已准备就绪,可以接受请求。禁用此服务将导致在 SAM 准备就绪时,无法通知系统中的其他服务,从而可能导致这些服务无法正确启动。不应禁用此服务。系统的安全账户管理服务,关了就不能添加用户,修改用户密码等用户操作了,建议默认别动它。
      目标路径:\Windows\system32\lsass.exe
      Security Center
      监视系统安全设置和配置。Win7已经将原有的Security Center更改为Action Center,包含对十大Windows功能的提示,建议保持默认。
      目标路径:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
      Sensors MTP Monitor Service
      允许MTP设备数据传输,如果该服务被禁用,MTP监视器将不能工作。该服务的默认运行方式是手动,如果你没有使用MTP设备,该功能就可以放心禁用。
      目标路径:\Windows\system32\svchost.exe -k   LocalSystemNetworkRestricted
      Server
      支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。保证本机接入网络的文件、打印机和命名管道共享管理,如果不需要在网络上共享什么东西就可以关掉。
      目标路径:\Windows\system32\svchost.exe -k netsvcs
      Shell Hardware Detection
      为自动播放硬件事件提供通知。对于自动播放的设备或硬件提供通知,如果你不喜欢自动播放功能,那么设置成手动或禁用,这样你新插入一个U盘,可能系统没有任何提示。
      目标路径:\Windows\System32\svchost.exe -k netsvcs
      Smart Card
      管理此计算机对智能卡的取读访问。如果此服务被终止,此计算机将无法取读智能卡。如果此服务被禁用,任何依赖它的服务将无法启动。Smart Card 服务,拨入公司网络、连接VPN等所必需的,如果你没有使用Smart Card,建议设置成禁用。
      目标路径:\Windows\system32\svchost.exe -k LocalService
      Smart Card Removal Policy
      允许系统配置为移除智能卡时锁定用户桌面,如果希望在用户拿走智能卡之后计算机锁定,那么打开这个服务;其他情况下设置成手动或关闭。
      目标路径:\Windows\system32\svchost.exe -k netsvcs
      SNMP Trap
      接收本地或远程简单网络管理协议 (SNMP) 代理程序生成的陷阱消息并将消息转发到此计算机上运行的 SNMP 管理程序。如果此服务被停用,此计算机上基于 SNMP 的程序将不会接收 SNMP 陷阱消息。如果此服务被禁用,任何依赖它的服务将无法启动。允许你的机器处理简单网络管理协议,很多网管协议是基于SNMP的。不是网管的话建议关闭。
    目标路径:\Windows\System32\snmptrap.exe
      SPP Notification Service
      为软件证书激活和通知提供服务。该服务的默认运行方式是手动,保持默认。
      目标路径:\Windows\system32\svchost.exe -k LocalService
      SSDP Discovery
      发现了使用 SSDP 发现协议的网络设备和服务,如 UPnP 设备。同时还公告了运行在本地计算机上的 SSDP 设备和服务。如果停止此服务,基于 SSDP 的设备将不会被发现。如果禁用此服务,任何显式依赖于它的服务都将无法启动。该服务在网络中搜索使用了SSDP发现协议的一些设备,比如一些非即插即用的设备,如果没有相关设备,可以关了它。
      目标路径:\Windows\system32\svchost.exe -k LocalService
      Superfetch
      维护和提高一段时间内的系统性能。毫无疑问,这是Vista最好的功能之一,可以维护和提高系统的性能,尽管效果不明显,但没有理由设置成其他的选项。
      目标路径:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
      System Event Notification Service
      监视系统事件并通知订户这些事件的 COM+ 事件系统。SENS提供了一个唯一的系统追踪、通知的机制,使用于系统的登陆、设备连接、网络连接、电源和内部事件的订阅及通知,不建议设置成关闭。
      目标路径\:\Windows\system32\svchost.exe -k netsvcs
      Tablet PC Input Service
      启用 Tablet PC 笔和墨迹功能,非Table PC及不使用手写板就可以关掉它。
      目标路径:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
      TCP/IP NetBIOS Helper
      提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。主要是支持 NetBIOS 名称的解析,使得你可以在计算机之间进行文件和打印机共享、网络登录。不需要可关闭。
      目标路径:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
      Telephony
      提供电话服务 API (TAPI)支持,以便各程序控制本地计算机上的电话服务设备以及通过 LAN 同样运行该服务的服务器上的设备。为应用程序提供 TAPI 的支持,很多时候这个服务会自己启动。保持默认。
      目标路径:\Windows\System32\svchost.exe -k NetworkService
      Terminal Services
      允许用户以交互方式连接到远程计算机。远程桌面和终端服务器依赖此服务。若要防止远程使用此计算机,请清除“系统”属性控制面板项目的“远程”选项卡上的复选框。管理员账户的远程桌面、远程协助、远程终端服务或远程管理功能,很多时候这个服务会自动启动,建议保持默认。
      目标路径:\Windows\System32\svchost.exe -k NetworkService
      Terminal Services Configuration
      终端服务配置服务(TSCS)负责需要 SYSTEM 上下文的与所有终端服务和远程桌面相关的配置和会话维护活动。这些包括每会话临时文件夹、TS 主题和 TS 证书。管理员的远程桌面或进行远程管理设置,如果不打算使用远程桌面或远程管理设置,可以设置成禁用。
      目标路径:\Windows\System32\svchost.exe -k netsvcs
      Terminal Services UserMode Port Redirector
      允许为 RDP 连接重定向打印机/驱动程序/端口,支持远程连接上的打印机/驱动器/端口重定向功能,如果不打算使用远程功能,建议设置成禁用。
      目标路径:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
      Thread Ordering Server
      提供特定期间内一组线程的排序执行。提供特别的线程排序和调度服务,如果用不上,可以设置成手动,但不建议设置成自动。
      目标路径:\Windows\system32\svchost.exe -k LocalService
      TPM Base Services
      允许访问受信任的平台模块(TPM),该模块向系统组件和应用程序提供基于硬件的加密服务。如果此服务已停止或禁用,应用程序将无法使用 TPM 保护的密钥。TPM是Trusted Platform Module的缩写,TPM平台会提供基于硬件的加密服务,如果关闭服务,那么win7或应用程序可能无法访问或使用加密的密钥,可以设置成手动,如果你没有使用带TPM模块的计算机,可以禁用掉。
     目标路径:\Windows\System32\svchost.exe -k LocalService
      User Profile Service
      此服务负责加载和卸载用户配置文件。如果已停止或禁用此服务,用户将无法再成功登录或注销,应用程序在获取用户数据时可能会出问题,而且为接收配置文件事件通知注册的组件将无法接收这些通知。建议不要动它,否则会麻烦。
      目标路径:\Windows\system32\svchost.exe -k netsvcs
      WebClient
      使基于 Windows 的程序能创建、访问和修改基于 Internet 的文件。如果此服务被停止,这些功能将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。简单的说如果你不需要Web目录或类似功能,就可以关掉它。
      目标路径:\Windows\system32\svchost.exe -k LocalService
      Windows Backup
      提供 Windows 备份和还原功能。Windows备份和版本恢复功能,一直都不好使,可以关掉。
      目标路径:\Windows\System32\svchost.exe -k SDRSVC
      Windows Biometric Service
      Windows生物识别服务,该服务只被SVCHOST进程调用。该服务的默认运行方式是手动,如果你没有使用生物识别设备,如指纹识别系统,该功能就可以放心禁用,否则保持默认。
      目标路径:\Windows\system32\svchost.exe -k WbioSvcGroup
      Windows CardSpace
      安全启用数字标识符的创建、管理和公开。像Smart Card一样的个人标识管理,。NET Framework 3.0提供的一个WCF编程模型。一般用户可以关闭。
      目标路径:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
      Windows Color System
      WcsPlugInService 服务宿主第三方 Windows 颜色系统颜色设备模型和 gamut 映射模型插件模块。这些插件模块是 Windows 颜色系统基线颜色设备和 gamut 映射模型的特定于供应商的扩展。停止或禁用 WcsPlugInService 服务将禁用此扩展功能,并且 Windows 颜色系统将使用其基线模型处理过程,而不是供应商所需的处理过程。这可能导致颜色显示不正确。色彩管理模块,win7支持外挂的色彩管理。默认即可。
      目标路径:\Windows\system32\svchost.exe -k wcssvc
      Windows Defender
      扫描计算机以找出可能不需要的软件,设置扫描,并获取最新可能不需要软件定义。可以加强安全,防范木马和一些恶意程序,最主要的是免费。不需要可以关闭。
      目标路径:\Windows\System32\svchost.exe -k secsvcs
      Windows Driver Foundation - User-mode Driver Framework
      管理用户模式驱动程序主机进程。管理用户模式驱动的主进程,如果关闭系统会出现很多问题,建议不要轻易设置成禁用 。
      目标路径:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
      Windows Error Reporting Service
      允许在程序停止运行或停止响应时报告错误,并允许提供现有解决方案。还允许为诊断和修复服务生成日志。如果此服务被停止,则错误报告将无法正确运行,而且可能不显示诊断服务和修复的结果。没人喜欢错误,对你和微软而言,错误报告传送过去都没什么用。关了它。
      目标路径:\Windows\System32\svchost.exe -k WerSvcGroup
      Windows Event Collector
      此服务将管理对支持 WS-Management 协议的远程源中事件的永久订阅。这包括 Windows Vista 事件日志、硬件以及启用 IPMI 的事件源。该服务将转发的事件存储在本地活动日志中。如果停止或禁用此服务,将无法创建事件订阅,并且无法接受转发的事件。这个主要是性能收集分析和系统监控中的一些功能使用,也是Vista新的事件管理工具的支持服务。默认即可。
      目标路径:\Windows\system32\svchost.exe -k NetworkService
      Windows Event Log
      此服务管理事件和事件日志。它支持日志记录事件、查询事件、订阅事件、归档事件日志以及管理事件元数据。它可以用 XML 和纯文本两种格式显示事件。停止该服务可能危及系统的安全性和可靠性。Win7和其他系统程序经常会用到,这个不是必须的服务,建议设置成Manual。默认即可。
      目标路径:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
      Windows Firewall
      Windows 防火墙通过阻止未授权用户通过 Internet 或网络访问您的计算机来帮助保护计算机,不用多说什么了。如果不需要就禁用。
    目标路径:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
      Windows Font Cache Service
      通过缓存常用的字体数据来优化应用程序性能,应用程序将会自动启动该服务,该服务如果被禁用将会降低应用程序性能表现。该服务的默认运行方式是手动,建议保持默认。
      目标路径:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
      Windows Image Acquisition (WIA)
      为扫描仪和照相机提供图像采集服务。专门为扫描仪和数码相机等提供图像捕获和获取功能。有就开着,没有就关。
      目标路径\:\Windows\system32\svchost.exe -k imgsvc
      Windows Media Center Extender Service
      允许 Windows Media Center 扩展器设备查找并连接到计算机。通过网络为Windows Media Extender(像XBox)等传送多媒体文件,建议禁止,除非你需要这个功能。
      目标路径:\Windows\system32\svchost.exe -k LocalService
      Windows Media Center Receiver Service
      电视或 FM 广播接收的 Windows Media Center 服务。建议禁止,除非你需要这个功能。
      目标路径:\Windows\ehome\ehRecvr.exe
      Windows Media Center Scheduler Service
      在 Windows Media Center 中开始和停止录制电视节目。建议禁止,除非你需要这个功能。
      目标路径:\Windows\ehome\ehsched.exe
      Windows Media Center Service Launcher
      如果在 Windows Media Center 中启用了电视,则在开机时启动 Windows Media Center 计划程序和 Windows Media Center 接收程序服务。建议禁止,除非你需要这个功能。
      目标路径:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
      Windows Media Player Network Sharing Service
      使用通用即插即用设备与其他网络播放机和媒体设备共享 Windows Media Player 媒体库。建议禁止,除非你需要这个功能
      目标路径:\Program]\\Program Files\Windows Media Player\wmpnetwk.exe
      Windows Modules Installer
      启用 Windows 更新和可选组件的安装、修改和移除。如果此服务被禁用,则此计算机的 Windows 更新的安装或卸载可能会失败。Windows Updates 需要的,如果你不使用Windows Updates,那么可以禁止这个服务。
      目标路径:\Windows\servicing\TrustedInstaller.exe
      Windows Presentation Foundation Font Cache 3.0.0.0
      通过缓存常用的字体数据来优化 Windows 演示基础(WPF)应用程序的性能。WPF 应用程序将启动此服务(如果尚未启动)。可以禁用此服务,尽管这样做会降低 WPF 应用程序的性能。NET Framework 3.0中的WPF应用必须的,一般这个服务启动,证明你的机器上运行了新的WPF的应用。默认即可。
      目标路径:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
      Windows Remote Management (WS-Management)
      Windows 远程管理(WinRM)服务执行 WS-Management 协议来实现远程管理。WS-Management 是用于远程软件和硬件管理的标准 Web 服务协议。WinRM 服务侦听网络上的 WS-Management 请求并对它们进行处理。通过组策略或使用 winrm.cmd 命令行工具的侦听程序,来配置 WinRM 服务,以使其可通过网络侦听。WinRM 服务提供对 WMI 数据的访问并启用事件集合。事件集合及对事件的订阅需要服务处于运行状态。传输 WinRM 消息时使用 HTTP 和 HTTPS 协议。WinRM 服务不依赖于 IIS ,但在同一计算机上预配置为与 IIS 共享端口。WinRM 服务保留 URL 前缀。若要防止与 IIS 发生冲突,管理员应确保 IIS 上承载的所有网站均不使用 URL 前缀。允许从远程进行计算机管理或信息收集。建议设置为手动。
      目标路径:\Windows\System32\svchost.exe]\\Windows\System32\svchost.exe -k NetworkService
      Windows Search
      为文件、电子邮件以及其他内容(通过可扩展性 API)提供内容索引和属性缓存。该服务响应文件和电子邮件通知,从而对已修改的内容编制索引。如果该服务已停止或被禁用,资源管理器将无法显示项目的虚拟文件夹视图,在资源管理器中搜索将回退为速度较慢的逐项搜索。新的桌面搜索功能,默认范围太小,扩大了又很耗费资源,可以试试。建议手动。
      :\Windows\system32\SearchIndexer.exe /Embedding
      Windows Time
    维护在网络上的所有客户端和服务器的时间和日期同步。如果此服务被停止,时间和日期的同步将不可用。如果此服务被禁用,任何明确依赖它的服务都将不能启动。和服务器同步时间的,一般我都关闭它。
      目标路径:\Windows\system32\svchost.exe -k LocalService
      Windows Update
      启用检测、下载和安装 Windows 和其他程序的更新。如果此服务被禁用,这台计算机的用户将无法使用 Windows Update 或其自动更新功能, 并且这些程序将无法使用 Windows Update Agent (WUA) API。Windows Update 这个功能取决于你了,它和Background Intelligent Transfer Service、Modules Installer服务关联。
      目标路径:\Windows\system32\svchost.exe -k netsvcs

    展开全文
  • 若不想禁用 WIN7 X64内核保护/驱动签名,开机时选择“Windows 7”启动项即可。 永远记住这一点:这个补丁是为逆向工程和64位内核模式探索。 这不是为最终用户…如果你不理解“是什么”或“为什么”——请不要...
  • 1.目前本工具 通过系统底层方式枚举进程,可以轻易的将系统中所有进程(包括隐藏的进程)显示出来; 2.本工具 提供三种方式来结束进程,分为:普通结束、强制结束、驱动结束; 3.如果遇到无法终止的进程, 可以右键弹...
  • 可以选择除正常启动外8种不同模式启动Windows XP。请问这些模式分别 代表什么意思?  (1)安全模式:选用安全模式启动Windows XP时,系统只使用一些最基本 文件和驱动程序启动。进入安全模式是诊断故障一...
  • win7 禁止程序自动运行

    千次阅读 2019-01-23 10:28:40
    一直在使用维棠下载视频,但是有个讨厌地方就是它总是不定时弹出广告窗口。这个窗口进程是“C:\Program ...网上大部分方法是在 gpedit.msc “不要运行指定 Windows 应用程序”中禁用。但是不好用,因为这一项...

    一直在使用维棠下载视频,但是有个讨厌的地方就是它总是不定时弹出广告窗口。这个窗口进程是“C:\Program Files (x86)\ViDownSoft\ViDown\VdInfo.exe”。

    wps 的热点程序“wpscenter.exe”也可以禁止掉。

    怎么禁用呢?

    网上大部分方法是在 gpedit.msc 的“不要运行指定的 Windows  应用程序”中禁用。但是不好用,因为这一项明确写着“此设置仅阻止用户运行由 Windows 资源管理器进程启动的程序。它不会阻止用户运行由系统进程或其他进程启动的程序”。也就是说只有通过 explorer.exe 启动的进程才会被阻止。对于其他进程调起来的不起作用。网上的文章一大抄,全是这种方法。呵呵哒。

    禁用有两种方法,后一种方法是最好的。

    第1种方法:在进程所在文件夹下删除程序文件,同时创建一个同名文件夹 “VdInfo.exe” 。原理就是在同一级目录下,不能同时存在同名的文件和文件夹。广告框肯定是没有了,但是会每次打开一个文件夹。不管怎么说,总是比弹广告好太多了。

    第2种方法:使用 Windows 服务,适用于 Vista 系统以上。

    (1)Win + R 键打开运行输入框,输入 “services.msc” ,打开服务管理器。找到 “ Application Identity ”服务,设置为“自动”,同时启动这个服务。

     

    (2)Win + R 键打开运行输入框,输入 “ gpedit.msc ” ,打开组策略管理器。

    依次展开“计算机配置-->Windows设置-->安全设置-->应用程序控制策略-->AppLocker-->可执行规则”。

    在右侧单击右键选择“创建新规则”。直接“下一步”。

    在“权限”页面选择“拒绝”,然后“下一步”。

    在“条件”选择里选择“路径”。

    “下一步”后,选择“浏览文件”,选择你想要禁止的特定程序文件,然后几个“下一步”后,规则就创建成功了。

    ===========

    以上。

    展开全文
  • 我发现Linux系统在启动过程中会出现一些故障,导致系统无法正常启动,我在这里写了几个应用单用户模式、...在单用户模式(运行级别1)中,Linux引导进入根shell,网络被禁用,只有少数进程运行。单用户模式可以用来修...

    我发现Linux系统在启动过程中会出现一些故障,导致系统无法正常启动,我在这里写了几个应用单用户模式、GRUB命令操作、Linux救援模式的故障修复案例帮助大家了解此类问题的解决。

    287012dc01bc35ef57d58f0eb9028ebd.png

    (一)单用户模式

    Linux系统提供了单用户模式(类似Windows安全模式),可以在最小环境中进行系统维护。在单用户模式(运行级别1)中,Linux引导进入根shell,网络被禁用,只有少数进程运行。单用户模式可以用来修改文件系统损坏、还原配置文件、移动用户数据等。

    以下列举了几个单用户模式修复系统故障的典型案例:

    案例一:root密码忘记

    在单用户模式中,Linux不需要root密码(Red Hat系统不需要root密码,但SuSe则需要,不同Linux系统稍有差别,本文以Fedora Core 6为例讲解),这使更改root密码非常容易。了解当系统引导进入多用户模式失败时,如何进入单用户模式,非常重要。

    1、 在系统启动过程中,会出现开始界面,按任意键,进入GRUB菜单选项。(若希望以后无此提示,直接进入GRUB菜单选项,删除配置文件grub.conf中“hiddenmenu”项即可。)
    2、 按“e”键编辑GRUB引导菜单选项,按“e”键后的GRUB屏幕。通过箭头键下移到kernel行,并按“e”键,
    3、在尾行光标处添加single,按回车键返回前一个屏幕,按“b”键进行引导,则系统自动进入单用户模式,如果要改变root密码,则执行命令:sh-3.1# passwd root

    更改成功后,执行命令exit退出重启即可。

    大家可以在单用户模式中去纠正阻止系统正常启动的很多问题,比如:

    1、 禁用可能中止系统运行的服务如禁用Samba服务,则执行:sh-3.1# chkconfig smb off下次系统引导就不会启动Samba服务了。
    2、 更改系统缺省运行级如果X Window无法启动或者出现故障,可以编辑/etc/inittab文件,采用文本方式登录,更改initdefault引导级别为3:id:3:initdefault:

    案例二:硬盘扇区错乱

    在启动过程中最容易遇到的问题就是硬盘可能有坏道或扇区错乱(数据损坏)的情况,这种情况多由于异常断电、不正常关机导致。

    此种问题发生,在系统启动的时候,屏幕会显示:

    Press root password or ctrl+D:

    此时输入root密码系统自动进入单用户模式,输入:

    fsck -y /dev/hda6
    (fsck为文件系统检测修复命令,“-y”设定检测到错误自动修复,/dev/hda6为发生错误的硬盘分区,请依据具体情况更改此参数)

    系统修复完成后,用命令“reboot”重新启动即可。

    案例三、GRUB选项设置错误

    “Error 15”显示系统无法找到grub.conf中指定的内核。

    GRUB引导错误信息,我们观察发现因为打字错误,内核文件的“vmlinuz”打成了“vmlinux”,所以系统无法找到内核的可执行文件。

    我们可以按任意键回到GRUB编辑界面,修改此错误,回车保存后按“b”键即可正常引导,当然不要忘记进入系统后修改grub.conf文件中此处错误。

    这是很多初学Linux的用户在修改GRUB设置时很容易犯的错误,出现此黑屏提示时注意观察报错信息,即可针对性修复。

    (二)GRUB引导故障排除

    我发现有时Linux启动后会直接进入GRUB命令行界面(只有“grub>”提示符),此时很多用户就选择了重新安装GRUB甚至重新安装系统。

    其实一般而言此故障的原因最常见的有两个:

    一是GRUB配置文件中选项设置错误;
    二是GRUB配置文件丢失(还有少数原因,如内核文件或镜像文件损坏、丢失,/boot目录误删除等)

    如果是第一种情况,可以首先通过GRUB命令引导系统后修复;若是第二种情况,则要使用Linux救援模式修复了(本文后续有描述)。

    首先,我们需要了解GRUB启动系统的引导过程,grub.conf文件中主要的配置选项如下:

    (注意,GRUB配置文件为/boot/grub/grub.conf, /etc/grub.conf只是此文件的软链接)

    title Fedora Core (2.6.18-1.2798.fc6)
    root (hd0,0)
    kernel /boot/vmlinuz-2.6.18-1.2798.fc6 ro root=LABEL=/ rhgb quiet initrd /boot/initrd-2.6.18-1.2798.fc6.img

    其中:

    “title”段指定了GRUB引导的系统:
    “root”段指定了/boot分区所在的位置:
    “kernel”段指定了内核文件所在位置,内核加载时权限属性为只读(“ro”)以及指定根分区所在位置(root=LABEL=/);
    “initrd”指定了镜像文件所在位置。

    所以GRUB在引导时顺序为首先加载/boot分区,然后依次载入内核与镜像文件。

    案例

    “title Fedora Core (2.6.18-1.2798.fc6)”段被误删除

    此时,系统启动后会自动进入“GRUB>”命令行,为排除故障我们可以依次做如下操作:

    1、查找/boot/grub/grub.conf文件所在分区GRUB> find /boot/grub/grub.conf(hd0,0)

    2、查看grub.conf文件错误GRUB>cat (hd0,0)/boot/grub/grub.conf建议系统安装设置好后,要将grub.conf文件备份,如果有备份文件如grub.conf.bak,则此时可以查看备份文件,与当前文件比较,发现错误:GRUB>cat (hd0,0)/boot/grub/grub.conf.bak

    3、确认错误后,先通过命令行方式完成GRUB引导,进入系统后再行修复grub.conf文件错误:

    1)指定/boot分区root (hd0,0)
    2)指定内核加载kernel /boot/vmlinuz-2.6.18-1.2798.fc6 ro root=LABEL=/ rhgb quiet
    3)指定镜像文件所在位置initrd /boot/initrd-2.6.18-1.2798.fc6.img
    提示:GRUB支持tab键命令补全功能

    4、从/boot分区启动boot (hd0,0)

    命令行模式可以在GRUB菜单模式中通过按“c”键调用,也可以用于测试新编译的内核(设置kernel、initrd引导新内核及镜像文件)。增加对GRUB引导以及Linux系统引导知识的了解将对此类故障排除大有帮助。

    (三)Linux救援模式应用

    当系统连单用户模式都无法进入时或出现GRUB命令行也不能解决的引导问题,我们就需要使用Linux救援模式来进行故障排除了。

    步骤如下:

    1、将Linux安装光盘(如果使用CD光盘,则放入第一张引导光盘)放入光驱,设置固件CMOS/BIOS为光盘引导,当Linux安装画面出现后,在“boot:”提示符后输入“linux rescue”回车进入救援模式。(想了解救援模式详细信息,还可以按F5键查看)
    2、系统会检测硬件,引导光盘上的Linux环境,依次提示你选择救援模式下使用的语言(建议选择默认的英文即可,根据笔者测试,部分Linux系统选择中文会出现乱码);键盘设置用默认的“us”就好;网络设置可以根据需要,大部分故障修复不需要网络连接,可不进行此项设置,选择“No”。
    3、接下来系统将试图查找根分区,出现挂载提示,设置默认在救援模式,硬盘的根分区将挂载到光盘Linux环境的/mnt/sysimage目录下,默认选项“continue”表示挂载权限为读写:“Read-only”为只读,如果出现检测失败可以选择“skip”跳过。此处,因为要对系统进行修复,所以需要有读写权限,一般选择默认选项“continue”。
    进入下一步后,系统提示执行“chroot /mnt/sysimage”命令,可以将根目录挂载到我们硬盘系统的根目录中去。

    案例一:双系统启动修复

    当我们安装双系统环境,先安装Linux再安装Windows;或者已经安装好双系统环境的Windows损坏,在重新安装Windows后,保存 GRUB的MBR(Master Boot Record,主引导记录)会被Windows系统的自举程序NTLDR所覆盖,造成Linux系统无法引导。

    1、如果要恢复双系统引导,首先用上述方法进入救援模式,执行chroot命令如下:sh-3.1# chroot /mnt/sysimage
    2、将根目录切换到硬盘系统的根目录中,然后执行grub-install命令重新安装GRUB:sh-3.1# grub-install /dev/hda“/dev/hda”为硬盘名称,如使用SCSI硬盘或Linux安装在第二块IDE硬盘,此项设置要做相应调整。
    3、然后依次执行exit命令,退出chroot模式及救援模式(执行两次exit命令):sh-3.1# exit系统重启后,将恢复GRUB引导的双系统启动。 

    案例二:系统配置文件丢失修复

    系统在引导期间,很重要的一个过程就是init进程读取其配置文件/etc/inittab,启动系统基本服务程序及默认运行级别的服务程序完成系统引导,如果/etc/inittab误删除或修改错误,Linux将无法正常启动。此时,只有通过救援模式才可以解决此类问题。

    /etc/inittab文件丢失引导错误示例

    1、有备份文件的恢复办法进入救援模式,执行chroot命令后,如果有此文件的备份(强烈建议系统中的重要数据目录,如/etc、/boot等要进行备份),直接将备份文件拷贝回去,退出重启即可。

    如果是配置文件修改错误,如比较典型的/boot/grub/grub.conf及/etc/passwd的文件修改错误,也可以直接修正恢复。

    假设有备份文件/etc/inittab.bak,则在救援模式下执行:sh-3.1# chroot /mnt/sysimage sh-3.1# cp /etc/inittab.bak /etc/inittab

    2、没有备份文件的恢复办法如果一些配置文件丢失或软件误删除,且无备份,可以通过重新安装软件包来恢复。

    首先查找到/etc/inittab属于哪一个RPM包(即便文件丢失,因为存在RPM数据库,一样可以查找到结果):

    sh-3.1# chroot /mnt/sysimage sh-3.1# rpm -qf /etc/inittab initscripts-8.45.3-1

    退出chroot模式:

    sh-3.1# exit

    挂载存放RPM包的安装光盘(在救援模式下,光盘通常挂载在/mnt/source目录下):

    sh-3.1# mount /dev/hdc /mnt/source

    Fedora系统的RPM包存放在光盘Fedora/RPMS目录下,其他Linux存放位置大同小异,我在这里不一一列举;

    另外,因为要修复的硬盘系统的根目录在/mnt/sysimage下,需要使用——root选项指定其位置。

    覆盖安装/etc/inittab文件所在的RPM包:

    sh-3.1# rpm -ivh ——replacepkgs ——root /mnt/sysimage /mnt/source/Fedora/RPMS/ initscripts-8.45.3-1.i386.rpm

    其中的rpm命令选项“——replacepkgs”表示覆盖安装,执行完成后,即已经恢复了此文件。

    如果想只提取RPM包中的/etc/inittab文件进行恢复,可以在进入救援模式后,执行命令:

    sh-3.1# rpm2cpio /mnt/source/Fedora/RPMS/initscripts-8.45.3-1.i386.rpm | cpio -idv ./etc/inittab sh-3.1# cp etc/inittab /mnt/sysimage/etc

    注意此命令执行时不能将文件直接恢复至/etc目录,只能提取到当前目录下,且恢复的文件名称所在路径要写完整的绝对路径。提取文件成功后,将其复制到根分区所在的/mnt/sysimage目录下相应位置即可。

    救援模式是维护Linux的有力武器,本文以上述两个例子讲解了它的应用方法,希望能够给读者一点启示。解决Linux系统启动的故障,必须充分理解Linux的引导过程,才能够对故障进行有效的判断和处理。

    Linux 基础_JAVA-创客学院www.makeru.com.cn
    11b84755c87677a77f49ce6f75027b45.png
    展开全文
  • 我发现Linux系统在启动过程中会出现一些故障,导致系统无法正常启动,我在这里写了几个应用单用户模式...在单用户模式(运行级别1)中,Linux引导进入根shell,网络被禁用,只有少数进程运行。单用户模式可以用来修改...
  • 我发现Linux系统在启动过程中会出现一些故障,导致系统无法正常启动,我在这里写了几个应用单用户模式、...在单用户模式(运行级别1)中,Linux引导进入根shell,网络被禁用,只有少数进程运行。单用户模式可以用来修...
  • 在这个列表框中选择一个进程,点加入按钮,可以把他加入到“速度改变的进程”列表中。 2。点浏览按钮(标题是三个点的那个按钮),将打开文件对话框。用他选择一个可执行文件(*.exe)。所选择的文件名将自动填入...
  • 在这个列表框中选择一个进程,点加入按钮,可以把他加入到“速度改变的进程”列表中。 2。点浏览按钮(标题是三个点的那个按钮),将打开文件对话框。用他选择一个可执行文件(*.exe)。所选择的文件名将自动填入...
  • Defender Control 1.5.rar

    2019-09-27 10:16:44
    很多Win7用户反映系统自带的Windows Defender防火墙不...极速小编为你介绍一款国外的Windows Defender关闭工具(Defender Control),它可以帮你启用和禁用Windows Defender防火墙,禁用后它将不会出现在系统进程中。
  • 免Root调试,VA可以免Root调试(ptrace)内部的App进程,基于此您还可以实现免Root的进程注入。 5. 加载任意“插件”和“行为”,VA内部的App进程由VA的框架Client端代码派生而来,所以您可以在进程的入口代码插入...
  • 本文主要目的是介绍壳常用反逆向技术,同时也探讨了可以用来躲过或禁用这些保护技术及公开可用工具。这些信息将使研究人员特别是恶意代码分析人员在分析加壳恶意代码时能识别出这些技术,当这些反逆向技术...
  • -Wait 令 NSudo Launcher 等待创建的进程结束后再退出。 PS:如果不想等待,请不要包含“-Wait”参数。 -CurrentDirectory:[ 目录路径 ] 设置进程的的当前目录。 PS:如果你想用 NSudo Launcher 的当前目录,请不要...
  • KillAllApp 终止所有进程,但排除指定标题的进程 KillProcessByName 根据程序文件名杀死一个进程 FindAllFile 查找指定文件夹下的所有文件 IsNum 检测函数是否是数字 CheckProcess 检测主程序是否重复运行 ...
  • TuneUp Utilities 2013是一款全功能的windows系统优化软件,支持winXP/2003/vista/win7/2008系统,可以在计算机处于空闲时自动对其进行维护,也可以填写计算机相关使用配置以,以获得系统性能优化建议,可以...
  • 变速滑轮绿色安装版

    2012-09-27 11:39:58
    在这个列表框中选择一个进程,点加入按钮,可以把他加入到“速度改变的进程”列表中。 2。点浏览按钮(标题是三个点的那个按钮),将打开文件对话框。用他选择一个可执行文件(*.exe)。所选择的文件名将自动填入...
  • IETester 简介 [1]IETester是一个免费WebBrowser控件,让您有渲染和IE8JavaScript引擎,IE7和IE 6在Windows 7,Vista和XPIE5.5中,以及在同一进程中安装IE浏览器。新v0.4.2:新增开发选项来启用/禁用...
  • 软件介绍: Cacheman是一款非常专业系统缓存优化...windows7平板电脑:此配置方案可以提高华硕、三星以及联想平板电脑界面响应速度。windows8平板电脑:用于提高许多windows8 x86/x64平板电脑用户界面响应速度。
  • IIS6.0 IIS,互联网信息服务

    热门讨论 2010-08-23 21:20:55
    对于服务器来说就特别重要,因为安全补丁关乎到系统安全,而微软网站经常发布最新系统安全补丁,可以用系统自带的windows update程序随时更新。 2.iis安全设置之FTP目录设定。FTP目录没有设置也容易被别人攻击,...
  • WINRAR5.0正式注册版

    2013-10-10 10:14:03
    最新版本最新更新 版本 5.00 1. 新 RAR 5.0 压缩文件格式。你可以在压缩对话框中使用 "RAR 5.0" 选项或命令行中 使用 -ma 开关创建 RAR... “查找文件”命令可以查找 7-Zip 压缩文件中数据。以前“查找文件...
  • 快捷方式" 字样的后缀 禁止显示快捷方式的提示信息 为桌面和资源管理器创建不同的进程 清空图标缓存,解决图标显示不正常问题 强制开启DWM玻璃效果 适用于Vista版本 关闭Win7/Win8下的窗口靠近屏幕边缘自动...
  • 7可以设置隐藏方式运行软件,软件安装后不会被发现,防止修改软件设置,并利于对孩童监管。 关机王自动定时关机软件 更新记录: win8下windows防火墙开启无法切断,切断网络 1、更新信息提醒功能。 2、更新...
  • 电脑蓝屏对照码

    2019-05-05 14:16:40
    ◆错误分析:Windows内核检查到一个非法或者未知的进程指令, 这个停机码一般是由问题的内存或是与前面0x0000000A相似的原因造成的. ◇解决方案: (1)硬件兼容有问题:请对照前面提到的最新硬件兼容性列表, 查看所有硬件...
  • 7、防止学生利用QQ音乐等软件关机故障来终止电子教室运行(安装QQ音乐时,到“快速安装”时不要点击,这时点“开始—>关机”,windows会终止所有程序包括电子教室运行,但QQ音乐安装程序不会终止因此关不了机...
  • WIN XP蓝屏代码大全

    2013-08-08 12:29:21
    ◆错误分析:Windows内核检查到一个非法或者未知的进程指令, 这个停机码一般是由问题的内存或是与前面0x0000000A相似的原因造成的. ◇解决方案: (1)硬件兼容有问题:请对照前面提到的最新硬件兼容性列表, 查看所有硬件...
  • 实例005 可以拉伸菜单界面 5 实例006 菜级联菜单 7 1.2 工具栏设计 7 实例007 带背景工具栏 7 实例008 浮动工具栏 8 实例009 带下拉菜单工具栏 9 实例010 具有提示功能工具栏 9 1.3 状态栏...
  • 2.5.7 禁用对表和数据库变更数据捕获 93 2.5.8 以最小磁盘开销跟踪净数据更改 93 第3章 事务、锁定、阻塞和死锁 100 3.1 事务控制 100 3.1.1 使用显式事务 101 3.1.2 使用DBCC OPENTRAN显示最早...

空空如也

空空如也

1 2 3 4 5 ... 7
收藏数 122
精华内容 48
关键字:

windows7可以禁用的进程