命令行 - 很好的工具，很强大

一，ping 　　

　　它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看帮助吧，在DOS窗口中键入：ping /? 回车，。所示的帮助画面。在此，我们只掌握一些基本的很有用的参数就可以了（下同）。 　　

　　-t 表示将不间断向目标IP发送数据包，直到我们强迫其停止。试想，如果你使用100M的宽带接入，而目标IP是56K的小猫，那么要不了多久，目标IP就因为承受不了这么多的数据而掉线，呵呵，一次攻击就这么简单的实现了。 　　

　　-l 定义发送数据包的大小，默认为32字节，我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用，会有更好的效果哦。 　　

　　-n 定义向目标IP发送数据包的次数，默认为3次。如果网络速度比较慢，3次对我们来说也浪费了不少时间，因为现在我们的目的仅仅是判断目标IP是否存在，那么就定义为一次吧。 　　

　　说明一下，如果-t 参数和 -n参数一起使用，ping命令就以放在后面的参数为标准，比如"ping IP -t -n 3"，虽然使用了-t参数，但并不是一直ping下去，而是只ping 3次。另外，ping命令不一定非得ping IP，也可以直接ping主机域名，这样就可以得到主机的IP。 　　

　　下面我们举个例子来说明一下具体用法。 　　

　　这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒，从这里可以判断网络连接速度的大小 。从TTL的返回值可以初步判断被ping主机的操作系统，之所以说"初步判断"是因为这个值是可以修改的。这里TTL=32表示操作系统可能是win98。

　　（小知识：如果TTL=128，则表示目标主机可能是Win2000；如果TTL=250，则目标主机可能是Unix）

　　至于利用ping命令可以快速查找局域网故障，可以快速搜索最快的QQ服务器，可以对别人进行ping攻击……这些就靠大家自己发挥了。 　　

二，nbtstat 　　

　　该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接，使用这个命令你可以得到远程主机的NETBIOS信息，比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。 　　

　　-a 使用这个参数，只要你知道了远程主机的机器名称，就可以得到它的NETBIOS信息（下同）。 　　

　　-A 这个参数也可以得到远程主机的NETBIOS信息，但需要你知道它的IP。

　　-n 列出本地机器的NETBIOS信息。 　　

　　当得到了对方的IP或者机器名的时候，就可以使用nbtstat命令来进一步得到对方的信息了，这又增加了我们入侵的保险系数。 　　

三，netstat

　　这是一个用来查看网络状态的命令，操作简便功能强大。 　　

　　-a 查看本地机器的所有开放端口，可以有效发现和预防木马，可以知道机器所开的服务等信息，如图4。 　　

　　这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法：netstat -a IP。

　　-r 列出当前的路由信息，告诉我们本地机器的网关、子网掩码等信息。用法：netstat -r IP。

四，tracert

　　跟踪路由信息，使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径，这对我们了解网络布局和结构很有帮助。如图5。 　　

　　这里说明数据从本地机器传输到192.168.0.1的机器上，中间没有经过任何中转，说明这两台机器是在同一段局域网内。用法：tracert IP。 　　

五，net 　　

　　这个命令是网络命令中最重要的一个，必须透彻掌握它的每一个子命令的用法，因为它的功能实在是太强大了，这简直就是 微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令，键入net /?回车如图6。

　　在这里，我们重点掌握几个入侵常用的子命令。 　　

　　net view 　　

　　使用此命令查看远程主机的所以共享资源。命令格式为net view \IP。　　

　　net use

　　把远程主机的某个共享资源影射为本地盘符，图形界面方便使用，呵呵。命令格式为net use x: \IP\sharename。上面一个表示把192.168.0.5IP的共享名为magic的目录影射为本地的Z盘。下面表示和192.168.0.7建立IPC$连接（net use \IP\IPC$ "password" /user:"name"）， 　　

　　建立了IPC$连接后，呵呵，就可以上传文件了：copy nc.exe \192.168.0.7\admin$，表示把本地目录下的nc.exe传到远程主机，结合后面要介绍到的其他DOS命令就可以实现入侵了。 　　

　　net start

　　使用它来启动远程主机上的服务。当你和远程主机建立连接后，如果发现它的什么服务没有启动，而你又想利用此服务怎么办？就使用这个命令来启动吧。用法：net start servername，如图9，成功启动了telnet服务。 　　

　　net stop

　　入侵后发现远程主机的某个服务碍手碍脚，怎么办？利用这个命令停掉就ok了，用法和net start同。 　　

　　net user

　　查看和帐户有关的情况，包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这对我们入侵是很有利的，最重要的，它为我们克隆帐户提供了前提。键入不带参数的net user，可以查看所有用户，包括已经禁用的。下面分别讲解。

　　1，net user abcd 1234 /add，新建一个用户名为abcd，密码为1234的帐户，默认为user组成员。

　　2，net user abcd /del，将用户名为abcd的用户删除。

　　3，net user abcd /active:no，将用户名为abcd的用户禁用。

　　4，net user abcd /active:yes，激活用户名为abcd的用户。

　　5，net user abcd，查看用户名为abcd的用户的情况　　

　　net localgroup

　　查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。在入侵过程中，我们一般利用它来把某个帐户提升为administrator组帐户，这样我们利用这个帐户就可以控制整个远程主机了。用法：net localgroup groupname username /add。 　　

　　现在我们把刚才新建的用户abcd加到administrator组里去了，这时候abcd用户已经是超级管理员了，呵呵，你可以再使用net user abcd来查看他的状态，和图10进行比较就可以看出来。但这样太明显了，网管一看用户情况就能漏出破绽，所以这种方法只能对付菜鸟网管，但我们还得知道。现在的手段都是利用其他工具和手段克隆一个让网管看不出来的超级管理员，这是后话。有兴趣的朋友可以参照《黑客防线》第30期上的《由浅入深解析隆帐户》一文。 　　

　　net time

　　这个命令可以查看远程主机当前的时间。如果你的目标只是进入到远程主机里面，那么也许就用不到这个命令了。但简单的入侵成功了，难道只是看看吗？我们需要进一步渗透。这就连远程主机当前的时间都需要知道，因为利用时间和其他手段（后面会讲到）可以实现某个命令和程序的定时启动，为我们进一步入侵打好基础。用法：net time \IP。 　　

六，at

这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序（知道net time的重要了吧？）。当我们知道了远程主机的当前时间，就可以利用此命令让其在以后的某个时间（比如2分钟后）执行某个程序和命令。用法：at time command \computer。 　　

　　表示在6点55分时，让名称为a-01的计算机开启telnet服务（这里net start telnet即为开启telnet服务的命令）。 　　

七，ftp 　　

　　大家对这个命令应该比较熟悉了吧？网络上开放的ftp的主机很多，其中很大一部分是匿名的，也就是说任何人都可以登陆上去。现在如果你扫到了一台开放ftp服务的主机（一般都是开了21端口的机器），如果你还不会使用ftp的命令怎么办？下面就给出基本的ftp命令使用方法。

　　首先在命令行键入ftp回车，出现ftp的提示符，这时候可以键入"help"来查看帮助（任何DOS命令都可以使用此方法查看其帮助)。 　　

　　大家可能看到了，这么多命令该怎么用？其实也用不到那么多，掌握几个基本的就够了。 　　

　　首先是登陆过程，这就要用到open了，直接在ftp的提示符下输入"open 主机IP ftp端口"回车即可，一般端口默认都是21，可以不写。接着就是输入合法的用户名和密码进行登陆了，这里以匿名ftp为例介绍。 　　

　　用户名和密码都是ftp，密码是不显示的。当提示**** logged in时，就说明登陆成功。这里因为是匿名登陆，所以用户显示为Anonymous。 　　

　　接下来就要介绍具体命令的使用方法了。 　　

　　dir 跟DOS命令一样，用于查看服务器的文件，直接敲上dir回车，就可以看到此ftp服务器上的文件。

　　cd 进入某个文件夹。

　　get 下载文件到本地机器。

　　put 上传文件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了，如果可以，呵呵，该怎么 利用就不多说了，大家就自由发挥去吧。

　　delete 删除远程ftp服务器上的文件。这也必须保证你有可写的权限。

　　bye 退出当前连接。

　　quit 同上。

　　

八，telnet

　　功能强大的远程登陆命令，几乎所有的入侵者都喜欢用它，屡试不爽。为什么？它操作简单，如同使用自己的机器一样，只要你熟悉DOS命令，在成功以administrator身份连接了远程机器后，就可以用它来干你想干的一切了。下面介绍一下使用方法，首先键入telnet回车，再键入help查看其帮助信息。 　　

　　然后在提示符下键入open IP回车，这时就出现了登陆窗口，让你输入合法的用户名和密码，这里输入任何密码都是不显示的。 　　

　　当输入用户名和密码都正确后就成功建立了telnet连接，这时候你就在远程主机上具有了和此用户一样的权限，利用DOS命令就可以实现你想干的事情了。这里我使用的超级管理员权限登陆的。　　

　　到这里为止，网络DOS命令的介绍就告一段落了，这里介绍的目的只是给菜鸟网管一个印象，让其知道熟悉和掌握网络DOS命令的重要性。其实和网络有关的DOS命令还远不止这些，这里只是抛砖引玉，希望能对广大菜鸟网管有所帮助。学好DOS对当好网管有很大的帮助，特别的熟练掌握了一些网络的DOS命令。

　　另外大家应该清楚，任何人要想进入系统，必须得有一个合法的用户名和密码（输入法漏洞差不多绝迹了吧），哪怕你拿到帐户的只有一个很小的权限，你也可以利用它来达到最后的目的。所以坚决消灭空口令，给自己的帐户加上一个强壮的密码，是最好的防御弱口令入侵的方法。

　　最后，由衷的说一句，培养良好的安全意识才是最重要的。

=========================================

开始→运行→命令集锦

winver---------检查Windows版本

wmimgmt.msc----打开windows管理体系结构(WMI)

wupdmgr--------windows更新程序

wscript--------windows脚本宿主设置

write----------写字板

winmsd---------系统信息

wiaacmgr-------扫描仪和照相机向导

winchat--------XP自带局域网聊天

mem.exe--------显示内存使用情况

Msconfig.exe---系统配置实用程序

mplayer2-------简易widnows media player

mspaint--------画图板

mstsc----------远程桌面连接

mplayer2-------媒体播放机

magnify--------放大镜实用程序

mmc------------打开控制台

mobsync--------同步命令

dxdiag---------检查DirectX信息

drwtsn32------ 系统医生

devmgmt.msc--- 设备管理器

dfrg.msc-------磁盘碎片整理程序

diskmgmt.msc---磁盘管理实用程序

dcomcnfg-------打开系统组件服务

ddeshare-------打开DDE共享设置

dvdplay--------DVD播放器

net stop messenger-----停止信使服务

net start messenger----开始信使服务

notepad--------打开记事本

nslookup-------网络管理的工具向导

ntbackup-------系统备份和还原

narrator-------屏幕"讲述人"

ntmsmgr.msc----移动存储管理器

ntmsoprq.msc---移动存储管理员操作请求

netstat -an----(TC)命令检查接口

syncapp--------创建一个公文包

sysedit--------系统配置编辑器

sigverif-------文件签名验证程序

sndrec32-------录音机

shrpubw--------创建共享文件夹

secpol.msc-----本地安全策略

syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码

services.msc---本地服务设置

Sndvol32-------音量控制程序

sfc.exe--------系统文件检查器

sfc /scannow---windows文件保护

tsshutdn-------60秒倒计时关机命令

tourstart------xp简介（安装完成后出现的漫游xp程序）

taskmgr--------任务管理器

eventvwr-------事件查看器

eudcedit-------造字程序

explorer-------打开资源管理器

packager-------对象包装程序

perfmon.msc----计算机性能监测程序

progman--------程序管理器

regedit.exe----注册表

rsop.msc-------组策略结果集

regedt32-------注册表编辑器

rononce -p ----15秒关机

regsvr32 /u *.dll----停止dll文件运行

regsvr32 /u zipfldr.dll------取消ZIP支持

cmd.exe--------CMD命令提示符

chkdsk.exe-----Chkdsk磁盘检查

certmgr.msc----证书管理实用程序

calc-----------启动计算器

charmap--------启动字符映射表

cliconfg-------SQL SERVER 客户端网络实用程序

Clipbrd--------剪贴板查看器

conf-----------启动netmeeting

compmgmt.msc---计算机管理

cleanmgr-------垃圾整理

ciadv.msc------索引服务程序

osk------------打开屏幕键盘

odbcad32-------ODBC数据源管理器

oobe/msoobe /a----检查XP是否激活

lusrmgr.msc----本机用户和组

logoff---------注销命令

iexpress-------木马捆绑工具，系统自带

Nslookup-------IP地址侦测器

fsmgmt.msc-----共享文件夹管理器

utilman--------辅助工具管理器

gpedit.msc-----组策略

4:22 | 添加评论 | 固定链接 | 查看引用通告 (0) | 写入日志

5月27日

chilly chile

是一个怎样的早晨呢。

慵懒的睁开眼，窗外透出的青涩光线继续延续着昨天的冷清和湿润。而一向怀念那些睡到午晌的日子的我，无法入眠。

空无一物街道上散落的精致的梧桐叶子，那样有序的层叠在每一个角落，总是让我禁不住要怀疑是否有人刻意裁剪出这么多五角的形状来堆叠出一些不经意的气氛了，而那些暗红和淡黄的色彩实在让人忍不住去拾起一片来细细的把玩，转动间五角的秋叶和湿漉漉的绿色开始缓缓拼凑出那些覆盖着白雪的远山，让我不由的心生向往了。。。

18:17 | 添加评论 | 阅读评论 (3) | 固定链接 | 查看引用通告 (0) | 写入日志

12月10日

蓝屏错误代码以及处理分析

一、蓝屏含义

1、故障检查信息

***STOP 0x0000001E(0xC0000005,0xFDE38AF9,0x0000001,0x7E8B0EB4)

KMODE_EXCEPTION_NOT_HANDLED ***其中错误的第一部分是停机码(Stop Code)也就是STOP 0x0000001E, 用于识别已发生错误的类型, 错误第二部分是被括号括起来的四个数字集, 表示随机的开发人员定义的参数(这个参数对于普通用户根本无法理解, 只有驱动程序编写者或者微软操作系统的开发人员才懂). 第三部分是错误名. 信息第一行通常用来识别生产错误的驱动程序或者设备. 这种信息多数很简洁, 但停机码可以作为搜索项在微软知识库和其他技术资料中使用

2.推荐操作

蓝屏第二部分是推荐用户进行的操作信息. 有时, 推荐的操作仅仅是一般性的建议(比如: 到销售商网站查找BIOS的更新等); 有时, 也就是显示一条与当前问题相关的提示. 一般来说, 惟一的建议就是重启.

3.调试端口告诉用户内存转储映像是否写到磁盘商了, 使用内存转储映像可以确定发生问题的性质, 还会告诉用户调试信息是否被传到另一台电脑商, 以及使用了什么端口完成这次通讯. 不过, 这里的信息对于普通用户来说, 没有什么意义.有时保卫科可以顺利的查到是哪个生产小组的问题, 会在第一部分明确报告是哪个文件犯的错, 但常常它也只能查个大概范围, 而无法明确指明问题所在. 由于工厂全面被迫停止, 只有重新整顿开工, 有时, 那个生产小组会意识到错误 , 不再重犯. 但有时仍然会试图哄抢零件, 于是厂领导不得不重复停工决定(不能启动并显示蓝屏信息, 或在进行相同操作时再次出现蓝屏).

二、蓝屏的处理方法

Windows 2K/XP蓝屏信息非常多, 无法在一篇文章中全面讲解, 但他们产生的原因往往集中在不兼容的硬件和驱动程序、有问题的软件、病毒等, 因此首先为大家提供了一些常规的解决方案, 在遇到蓝屏错误时, 应先对照这些方案进行排除.

1.重启

有时只是某个程序或驱动程序一时犯错, 重启后他们会改过自新.(注意:此时参见7.查询停机码)

2.新硬件

首先, 应该检查新硬件是否插牢, 这个被许多人忽视的问题往往会引发许多莫名其妙的故障. 如果确认没有问题, 将其拔下, 然后换个插槽试试, 并安装最新的驱动程序. 同时还应对照微软网站的硬件兼容类别检查一下硬件是否与操作系统兼容. 如果你的硬件没有在表中, 那么就得到硬件厂商网站进行查询, 或者拨打他们的咨询电话.

Windows XP的硬件兼容列表

Windows 2K的硬件兼容类别

3.新驱动和新服务

如果刚安装完某个硬件的新驱动, 或安装了某个软件, 而它又在系统服务中添加了相应项目(比如:杀毒软件、CPU降温软件、防火墙软件等), 在重启或使用中出现了蓝屏故障, 请到安全模式来卸载或禁用它们.

4.检查病毒

比如冲击波和振荡波等病毒有时会导致Windows蓝屏死机, 因此查杀病毒必不可少. 同时一些木马间谍软件也会引发蓝屏, 所以最好再用相关工具进行扫描检查.

5.检查BIOS和硬件兼容性

对于新装的电脑经常出现蓝屏问题, 应该检查并升级BIOS到最新版本, 同时关闭其中的内存相关项, 比如:缓存和映射. 另外, 还应该对照微软的硬件兼容列表检查自己的硬件. 还有就是, 如果主板BIOS无法支持大容量硬盘也会导致蓝屏, 需要对其进行升级.

小提示:

BIOS的缓存和映射项

Video BIOS Shadowing (视频BIOS映射)

Shadowing address ranges(映射地址列)

System BIOS Cacheable(系统BIOS缓冲)

Video BIOS Cacheable(视频BIOS缓冲)

Video RAM Cacheable(视频内存缓冲)

6.检查系统日志

在开始-->菜单中输入:EventVwr.msc, 回车出现"事件查看器", 注意检查其中的"系统日志"和"应用程序日志"中表明"错误"的项.

7.查询停机码

把蓝屏中密密麻麻的E文记下来, 接着到其他电脑中上网, 进入微软帮助与支持网站http://support.microsoft.com?, 在左上角的"搜索(知识库)"中输入停机码, 如果搜索结果没有适合信息, 可以选择"英文知识库"在搜索一遍. 一般情况下, 会在这里找到有用的解决案例. 另外, 在baidu、Google等搜索引擎中使用蓝屏的停机码或者后面的说明文字为关键词搜索, 往往也会有以外的收获.

8.最后一次正确配置

一般情况下, 蓝屏都出现于更新了硬件驱动或新加硬件并安装其驱动后, 这时Windows 2K/XP提供的"最后一次正确配置"就是解决蓝屏的快捷方式. 重启系统, 在出现启动菜单时按下F8键就会出现高级启动选项菜单, 接着选择"最后一次正确配置".

9.安装最新的系统补丁和Service Pack

有些蓝屏是Windows本身存在缺陷造成的, 应此可通过安装最新的系统补丁和Service Pack来解决.

三、蓝屏代码含义和解决方案

1、0x0000000A:IRQL_NOT_LESS_OR_EQUAL

◆错误分析:主要是由问题的驱动程序、有缺陷或不兼容的硬件与软件造成的. 从技术角度讲. 表明在内核模式中存在以太高的进程内部请求级别(IRQL)访问其没有权限访问的内存地址.

◇解决方案:请用前面介绍的解决方案中的2、3、5、8、9方案尝试排除.

2、0x00000012:TRAP_CAUSE_UNKNOWN

◆错误分析:如果遇到这个错误信息, 那么很不幸, 应为KeBudCheck分析的结果是错误原因

未知.

◇解决方案:既然微软都帮不上忙, 就得靠自己了, 请仔细回想这个错误是什么时候出现的; 第一次发生时你对系统做了哪些操作; 发生时正在进行什么操作. 从这些信息中找出可能的原因, 从而选择相应解决方案尝试排除.

3、0x0000001A:MEMORY_MANAGEMENT

◆错误分析:这个内存管理错误往往是由硬件引起的, 比如: 新安装的硬件、内存本身有问题等.

◇解决方案:如果是在安装Windows时出现, 有可能是由于你的电脑达不到安装Windows的最小内存和磁盘要求.

4、0x0000001E:KMODE_EXCEPTION_NOT_HANDLED

◆错误分析:Windows内核检查到一个非法或者未知的进程指令, 这个停机码一般是由问题的内存或是与前面0x0000000A相似的原因造成的.

◇解决方案:

(1)硬件兼容有问题:请对照前面提到的最新硬件兼容性列表, 查看所有硬件是否包含在该列表中.

(2)有问题的设备驱动、系统服务或内存冲突和中断冲突: 如果在蓝屏信息中出现了驱动程序的名字, 请试着在安装模式或者故障恢复控制台中禁用或删除驱动程序, 并禁用所有刚安装的驱动和软件. 如果错误出现在系统启动过程中, 请进入安全模式, 将蓝屏信息中所标明的文件重命名或者删除.

(3)如果错误信息中明确指出Win32K.sys: 很有可能是第三方远程控制软件造成的, 需要从故障恢复控制台中将对该软件的服务关闭.

(4)在安装Windows后第一次重启时出现:最大嫌疑可能时系统分区的磁盘空间不足或BIOS兼容有问题.

(5)如果是在关闭某个软件时出现的:很有可能时软件本省存在设计缺陷, 请升级或卸载它.

5、0x00000023:FAT_FILE_SYSTEM

0x00000024:NTFS_FILE_SYSTEM

◆错误分析:0x00000023通常发生在读写FAT16或者FAT32文件系统的系统分区时, 而

0x00000024则是由于NTFS.sys文件出现错误(这个驱动文件的作用是容许系统读写使用

NTFS文件系统的磁盘). 这两个蓝屏错误很有可能是磁盘本身存在物理损坏, 或是中断要求封包(IRP)损坏而导致的. 其他原因还包括:硬盘磁盘碎片过多; 文件读写操作过于频繁, 并且数据量非常达或者是由于一些磁盘镜像软件或杀毒软件引起的.

◇解决方案:

第一步:首先打开命令行提示符, 运行"Chkdsk /r"(注:不是CHKDISK, 感觉象这个, 但是……)命令检查并修复硬盘错误, 如果报告存在怀道(Bad Track), 请使用硬盘厂商提供的检查工具进行检查和修复.

第二步:接着禁用所有即使扫描文件的软件, 比如:杀毒软件、防火墙或备份工具.

第三步:右击C:\winnt\system32\drivers\fastfat.sys文件并选择"属性", 查看其版本是否与当前系统所使用的Windows版本相符.(注:如果是XP, 应该是C:\windows\system32

\drivers\fastfat.sys)

第四步:安装最新的主板驱动程序, 特别IDE驱动. 如果你的光驱、可移动存储器也提供有驱动程序, 最好将它们升级至最新版.

6、0x00000027:RDR_FILE_SYSTEM

◆错误分析:这个错误产生的原因很难判断, 不过Windows内存管理出了问题很可能会导致这个停机码的出现.

◇解决方案:如果是内存管理的缘故, 通常增加内存会解决问题.

7、0x0000002EATA_BUS_ERROR

◆错误分析:系统内存存储器奇偶校验产生错误, 通常是因为有缺陷的内存(包括物理内存、二级缓存或者显卡显存)时设备驱动程序访问不存在的内存地址等原因引起的. 另外, 硬盘被病毒或者其他问题所损伤, 以出现这个停机码.

◇解决方案:

(1)检查病毒

(2)使用"chkdsk /r"命令检查所有磁盘分区.

(3)用Memtest86等内存测试软件检查内存.

(4)检查硬件是否正确安装, 比如:是否牢固、金手指是否有污渍.

8、0x00000035:NO_MORE_IRP_STACK_LOCATIONS

◆错误分析:从字面上理解, 应该时驱动程序或某些软件出现堆栈问题. 其实这个故障的真正原因应该时驱动程序本省存在问题, 或是内存有质量问题.

◇解决方案:请使用前面介绍的常规解决方案中与驱动程序和内存相关的方案进行排除.

9、0x0000003F:NO_MORE_SYSTEM_PTES

◆错误分析:一个与系统内存管理相关的错误, 比如:由于执行了大量的输入/输出操作, 造成内存管理出现问题: 有缺陷的驱动程序不正确地使用内存资源; 某个应用程序(比如:备份软件)被分配了大量的内核内存等.

◇解决方案:卸载所有最新安装的软件(特别是哪些增强磁盘性能的应用程序和杀毒软件)和驱动程序.

10、0x00000044:MULTIPLE_IRP_COMPLIETE_REQUESTS

◆错误分析:通常是由硬件驱动程序引起的.

◇解决方案:卸载最近安装的驱动程序. 这个故障很少出现, 目前已经知道的是, 在使用

www.in-system.com/这家公司的某些软件时会出现, 其中的罪魁就是Falstaff.sys文件.(作者难道不怕吃官司嘛, 把公司网址公布)

11、0x00000050: PAGE_FAULT_IN_NONPAGED+AREA

◆错误分析:有问题的内存(包括屋里内存、二级缓存、显存)、不兼容的软件(主要是远程控制和杀毒软件)、损坏的NTFS卷以及有问题的硬件(比如: PCI插卡本身已损坏)等都会引发这个错误.

◇解决方案:请使用前面介绍的常规解决方案中与内存、软件、硬件、硬盘等相关的方案进行排除.

12、0x00000051:REGISTRY_ERROR

◆错误分析:这个停机码说明注册表或系统配置管理器出现错误, 由于硬盘本身有物理损坏或文件系统存在问题, 从而造成在读取注册文件时出现输入/输出错误.

◇解决方案:使用"chkdsk /r"检查并修复磁盘错误.

13、0x00000058:FTDISK_INTERNAL_ERROR

◆错误分析:说明在容错集的主驱动发生错误.

◇解决方案:首先尝试重启电脑看是否能解决问题, 如果不行, 则尝试"最后一次正确配置"进行解决.

14、0x0000005E:CRITICAL_SERVICE_FAILED

◆错误分析:某个非常重要的系统服务启动识别造成的.

◇解决方案:如果是在安装了某个新硬件后出新的, 可以先移除该硬件, 并通过网上列表检查它是否与Windows 2K/XP兼容, 接着启动电脑, 如果蓝屏还是出现, 请使用"最后一次正确配置"来启动Windows, 如果这样还是失败, 建议进行修复安装或是重装.

15、0x0000006F:SESSION3_INITIALIZATION-FAILED

◆错误分析:这个错误通常出现在Windows启动时, 一般是由有问题的驱动程序或损坏的系统文件引起的.

◇解决方案:建议使用Windows安装光盘对系统进行修复安装.

16、0x00000076ROCESS_HAS_LOCKED_PAGES

◆错误分析:通常是因为某个驱动程序在完成了一次输入/输出操作后, 没有正确释放所占有的内存

◇解决方案:

第一步:点击开始-->运行:regedt32, 找到[HKLM\SYSTEM\Currentcontrol set\control\session manager\memory management], 在右侧新建双字节值"TrackLockedPages", 值为1. 这样Windows便会在错误再次出现时跟踪到是哪个驱动程序的问题.第二步:如果再次出现蓝屏, 那么错误信息会变成:STOP:0x0000000CB(0xY,0xY,0xY,0xY) DRIVER_LEFT_LOCKED_PAGES_IN_PROCESS其中第四个"0xY"会显示为问题驱动程序的名字, 接着对其进行更新或删除.第三步:进入注册表, 删除添加的"TrackLockedPages".

17、0x00000077:KERNEL_STACK_INPAGE_ERROR

◆错误分析:说明需要使用的内核数据没有在虚拟内存或物理内存中找到. 这个错误常常于是着磁盘有问题, 相应数据损坏或受到病毒侵蚀.

◇解决方案:使用杀毒软件扫描系统; 使用"chkdsk /r"命令检查并修复磁盘错误, 如不行则使用磁盘厂商提供的工具检查修复.

18、0x0000007A:KERNEL_DATA_INPAGE_ERROR

◆错误分析:这个错误往往是虚拟内存中的内核数据无法读入内存造成的. 原因可能是虚拟内存页面文件中存在坏簇、病毒、磁盘控制器出错、内存有问题.

◇解决方案:首先用升级为最新病毒库杀毒软件查杀病毒, 如果促无信息中还0xC000009C

或0xC000016A代码, 那么表示是坏簇造成的, 并且系统的磁盘检测工具无法自动修复, 这时要进入"故障恢复控制台", 用"chkdsk /r"命令进行手动修复.

19、0x0000007B:INACESSIBLE_BOOT_DEVICE

◆错误分析:Windows在启动过程中无法访问系统分区或启动卷. 一般发生在更换主板后第一次启动时, 主要是因为新主板和旧主板的IDE控制器使用了不同芯片组造成的. 有时也可能是病毒或硬盘损伤所引起的.

◇解决方案:一般只要用安装光盘启动电脑, 然后执行修复安装即可解决问题. 对于病毒则可使用DOS版的杀毒软件进行查杀(主战有kv2005DOS版下载). 如果是硬盘本身存在问题, 请将其安装到其他电脑中, 然后使用"chkdsk /r"来检查并修复磁盘错误.

20、0x0000007E:SYSTEM_THREAD_EXCEPTION_NOT_HANDLED

◆错误分析:系统进程产生错误, 但Windows错误处理器无法捕获. 其产生原因很多, 包括:硬件兼容性、有问题的驱动程序或系统服务、 或者是某些软件.

◇解决方案:请使用"事件查看器"来获取更多的信息, 从中发现错误根源.(发现好像不是解决哦, 看来这里大家要自力更生了!)

21、0x0000007F:UNEXPECTED_KERNEL_MOED_TRAP

◆错误分析:一般是由于有问题的硬件(比如:内存)或某些软件引起的. 有时超频也会产生这个错误.

◇解决方案:用检测软件(比如:Memtest86)检查内存, 如果进行了超频, 请取消超频. 将PCI硬件插卡从主板插槽拔下来, 或更换插槽. 另外, 有些主板(比如:nForce2主板)在进行超频后, 南桥芯片过热也会导致蓝屏, 此时为该芯片单独增加散热片往往可以有效解决问题.

22、0x00000080:NMI_HARDWARE_FAILURE

◆错误分析:通常是有硬件引起的.(似乎蓝屏与硬件错误有不解之缘)

◇解决方案:如果最近安装了新硬件, 请将其移除, 然后试试更换插槽和安装最新的驱动程序, 如果升级了驱动程序, 请恢复后原来的版本; 检查内存金手指是否有污染和损坏; 扫描病毒; 运行"chkdsk /r"检查并修复磁盘错误; 检查所有硬件插卡已经插牢. 如果以上尝试都无效果, 就得找专业的电脑维修公司请求帮助了.

23、0x0000008E:KERNEL_MODE_EXCEPTION_NOT_HANDLED

◆错误分析:内核级应用程序产生了错误, 但Windows错误处理器没有捕获. 通常是硬件兼容性错误.

◇解决方案:升级驱动程序或升级BIOS.

24、0x0000009C:MACHINE_CHECK_EXCEPTION

◆错误分析:通常是硬件引起的. 一般是因为超频或是硬件存在问题(内存、CPU、总线、电

源).

◇解决方案:如果进行了超频, 请降会CPU原来频率, 检查硬件.

25、0x0000009FRIVER_POWER_STATE_FAILURE

◆错误分析:往往与电源有关系, 常常发生在与电源相关的操作, 比如:关机、待机或休睡.

◇解决方案:重装系统, 如果不能解决, 请更换电源.

26、0x000000A5:ACPI_BIOS_ERROR

◆错误分析:通常是因为主板BIOS不能全面支持ACPI规范.

◇解决方案:如果没有相应BIOS升级, 那么可在安装Windows 2K/XP时, 当出现"press F6 if you need to install a third-party SCSI or RAID driver"提示时, 按下F7键, 这样Windows便会自动禁止安装ACPI HAL, 而安装 Standard PC HAL.

27、0x000000B4:VIDEO_DRIVER_INIT_FAILURE

◆错误分析:这个停止信息表示Windows因为不能启动显卡驱动, 从而无法进入图形界面. 通常是显卡的问题, 或者是存在与显卡的硬件冲突(比如:与并行或串行端口冲突).

◇解决方案:进入安全模式查看问题是否解决, 如果可以, 请升级最新的显卡驱动程序, 如果还不行, 则很可能是显卡与并行端口存在冲突, 需要在安全模式按下WIN+break组合键打开"系统属性", 在硬件-->设备管理器中找到并双击连接打印的LPT1端口的项, 在"资源"选项卡中取消"使用自动配置"的构选, 然后将"输入/输出范围"的"03BC"改为"0378".

28、0x000000BE:ATTEMPTED_WRITE_TO_READONLY_MEMORY

◆错误分析:某个驱动程序试图向只读内存写入数据造成的. 通常是在安装了新的驱动程序, 系统服务或升级了设备的固件程序后.

◇解决方案:如果在错误信息中包含有驱动程序或者服务文件名称, 请根据这个信息将新安装的驱动程序或软件卸载或禁用.

29、0x000000C2:BAD_POOL_CALLER

◆错误分析:一个内核层的进程或驱动程序错误地试图进入内存操作. 通常是驱动程序或存在BUG的软件造成的.

◇解决方案:请参考前面介绍的常规解决方案相关项目进行排除.

30、0x000000CERIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS

◆错误分析:通常是由有问题的驱动程序或系统服务造成的.

◇解决方案:请参考前面介绍的常规解决方案相关项目进行排除.

31、0x000000D1RIVER_IRQL_NOT_LESS_OR_EQUAL

◆错误分析:通常是由有问题的驱动程序引起的(比如罗技鼠标的Logitech MouseWare 9.10和9.24版驱动程序会引发这个故障). 同时,有缺陷的内存、 损坏的虚拟内存文件、某些软件(比如多媒体软件、杀毒软件、备份软件、DVD播放软件)等也会导致这个错误.

◇解决方案:检查最新安装或升级的驱动程序(如果蓝屏中出现"acpi.sys"等类似文件名, 可以非常肯定时驱动程序问题)和软件; 测试内存是否存在问题; 进入"故障恢复控制台", 转到虚拟内存页面文件Pagefile.sys所在分区, 执行"del pagefile.sys"命令, 将页面文件删除; 然后在页面文件所在分区执行"chkdsk /r"命令;进入Windows后重新设置虚拟内存.如果在上网时遇到这个蓝屏, 而你恰恰又在进行大量的数据下载和上传(比如:网络游戏、BT下载), 那么应该是网卡驱动的问题, 需要升级其驱动程序.

32、0x000000EA:THREAD_STUCK_IN_DEVICE_DRIVER

◆错误分析:通常是由显卡或显卡驱动程序引发的.

◇解决方案:先升级最新的显卡驱动, 如果不行, 则需要更换显卡测试故障是否依然发生.

33、0x000000ED:UNMOUNTABLE_BOOT_VOLUME

◆错误分析:一般是由于磁盘存在错误导致的, 有时也建议检查硬盘连线是否接触不良, 或是没有使用合乎该硬盘传输规格的连接线, 例如ATA-100仍使用ATA-33的连接线, 对低速硬盘无所谓, 但告诉硬盘(支持ATA-66以上)的要求较严格, 规格不对的连线有时也会引起这类没办法开机的故障. 如果在修复后, 还是经常出现这个错误, 很可能是硬盘损坏的前兆.

◇解决方案:一般情况下, 重启会解决问题, 不管怎么样都建议执行"chkdsk /r"命令来检查修复硬盘

34、0x000000F2:HARDWARE)INTERRUPT_STORM

◆错误分析:内核层检查到系统出现中断风暴, 比如:某个设备在完成操作后没有释放所占用

的中断. 通常这是由缺陷的驱动程序造成的.

◇解决方案:升级或卸载最新安装的硬件驱动程序.

35、0x00000135:UNABLE_TO_LOCATE_DLL

◆错误分析:通常表示某个文件丢失或已经损坏, 或者是注册表出现错误.

◇解决方案:如果是文件丢失或损坏, 在蓝屏信息中通常会显示相应的文件名, 你可以通过网络或是其他电脑找到相应的文件, 并将其复制到系统文件夹下的SYSTEM32子文件夹中. 如果没有显示文件名, 那就很有可能是注册表损坏, 请利用系统还原或是以前的注册表备份进行恢复.

36、0x0000021A:STATUS_SYSTEM_PROCESS_TERMINATED

◆错误分析:用户模式子系统, 例如Winlogon或客服服务运行时子系统(CSRSS)已损坏, 所以无法再保证安全性, 导致系统无法启动. 有时, 当系统管理员错误地修改了用户帐号权限, 导致其无法访问系统文件和文件夹.

◇解决方案:使用"最后一次正确的配置", 如果无效, 可使用安装光盘进行修复安装.

37、STOP 0xC0000221 or STATUS_IMAGE_CHECKSUM_MISMATCH

◆错误分析:通常是由于驱动程序或系统DLL文件损坏造成的. 一般情况下, 在蓝屏中会出现

文件名称

◇解决方案:

(1)使用Windows安装光盘进行修复安装;

(2)如果还能进入安全模式, 可以"开始-->运行": sfc /scannow

(3)还可以采用提取文件的方法来解决, 进入"故障恢复控制台", 使用copy或expand命令从光盘中复制或解压受损的文件. 不过, 蓝屏一般都是驱动程序文件的问题, 所以expand命令会用的都一些, 比如:蓝屏中提示tdi.sys文件, 因为驱动文件一般在i386\driver压缩包里, 所以使用: expand %CDROM:\i386\driver.cab \f:tdi.sys c:\winnt\system\drivers.(xp为expand %CDROM:\i386\driver.cab \f:tdi.sys c:\windowns\system\drivers)

38、如果启动时出现这些蓝屏停机码

如果在Windows启动时出现蓝屏, 并出现附表一中的错误信息, 那么多半时硬件出现了问题, 请用硬件厂商提供的诊断工具来判断硬件是否存在问题, 并到其网站查看是否有最新的BIOS或固件更新程序. 如果硬件没有问题, 重装Windows 2K/XP, 若相同问题还是出现, 就只能求助专业的技术支持了。

如何禁止蓝屏的发生

http://www.fans20.com/2005/diannao/system/win9x/200511/4383.htm

“蓝屏”的硬件原因及解决

http://school.21tx.com/2003/05/06/10362.html

蓝屏代码大全：

http://www.hgi.cn/bbs/ccb/topic_view.cgi?forum=10&article_id=0010060213204327&publishtime_id=0010060213204327&new_window=1&page=15

WINDOWS蓝屏代码详细解释 （系统蓝屏70%是由于内存（病毒）引起的 一般来说 你先系统重新装一遍 要是用了一段时间还是出现这样的问题 建议换根内存试试）

代码说明一览表

数 值 叙 述

windows蓝屏错误

1 0×00000001 不正确的函数。

2 0×00000002 系统找不到指定的档案。

3 0×00000003 系统找不到指定的路径。

4 0×00000004 系统无法开启档案。

5 0×00000005 拒绝存取。

6 0×00000006 无效的代码。

7 0×00000007 储存体控制区块已毁。

8 0×00000008 储存体空间不足，无法处理这个指令。

9 0×00000009 储存体控制区块地址无效。

10 0×0000000A 环境不正确。

11 0×0000000B 尝试加载一个格式错误的程序。

12 0×0000000C 存取码错误。

13 0×0000000D 资料错误。

14 0×0000000E 储存体空间不够，无法完成这项作业。

15 0×0000000F 系统找不到指定的磁盘驱动器。

16 0×00000010 无法移除目录。

16 0×00000010 无法移除目录。

17 0×00000011 系统无法将档案移到 其它的磁盘驱动器。

18 0×00000012 没有任何档案。

19 0×00000013 储存媒体为写保护状态。

20 0×00000014 系统找不到指定的装置。

21 0×00000015 装置尚未就绪。

22 0×00000016 装置无法识别指令。

23 0×00000017 资料错误 (cyclic redundancy check)

24 0×00000018 程序发出一个长度错误的指令。

25 0×00000019 磁盘驱动器在磁盘找不到 持定的扇区或磁道。

26 0×0000001A 指定的磁盘或磁盘无法存取。

27 0×0000001B 磁盘驱动器找不到要求的扇区。

28 0×0000001C 打印机没有纸。

29 0×0000001D 系统无法将资料写入指定的磁盘驱动器。

30 0×0000001E 系统无法读取指定的装置。

31 0×0000001F 连接到系统的某个装置没有作用。

32 0×00000020 The process cannot access the file because it is being used by another process.

33 0×00000021 档案的一部份被锁定， 现在无法存取。

34 0×00000022 磁盘驱动器的磁盘不正确。 请将 %2 (Volume Serial Number: %3) 插入磁盘机%1。

36 0×00000024 开启的分享档案数量太多。

38 0×00000026 到达档案结尾。

39 0×00000027 磁盘已满。

50 0×00000032 不支持这种网络要求。

51 0×00000033 远程计算机无法使用。

52 0×00000034 网络名称重复。

53 0×00000035 网络路径找不到。

54 0×00000036 网络忙碌中。

55 0×00000037 The specified network resource or device is no longer available.

56 0×00000038 The network BIOS command limit has been reached. 57 0×00000039 网络配接卡发生问题。

58 0×0000003A 指定的服务器无法执行要求的作业。

59 0×0000003B 网络发生意外错误。

60 0×0000003C 远程配接卡不兼容。

61 0×0000003D 打印机队列已满。

62 0×0000003E 服务器的空间无法储存等候打印的档案。

63 0×0000003F 等候打印的档案已经删除。

64 0×00000040 指定的网络名称无法使用。

65 0×00000041 拒绝存取网络。

65 0×00000041 拒绝存取网络。

66 0×00000042 网络资源类型错误。

67 0×00000043 网络名称找不到。

68 0×00000044 超过区域计算机网络配接卡的名称限制。

69 0×00000045 超过网络 BIOS 作业阶段的限制。

70 0×00000046 远程服务器已经暂停或者正在起始中。

71 0×00000047 由于联机数目已达上限，此时无法再联机到这台远程计算机。

72 0×00000048 指定的打印机或磁盘装置已经暂停作用。

80 0×00000050 档案已经存在。

82 0×00000052 无法建立目录或档案。

83 0×00000053 INT 24 失败

84 0×00000054 处理这项要求的储存体无法使用。

85 0×00000055 近端装置名称已经在使用中。

86 0×00000056 指定的网络密码错误。

87 0×00000057 参数错误。

88 0×00000058 网络发生资料写入错误。

89 0×00000059 此时系统无法执行其它行程。

100 0×00000064 无法建立其它的系统 semaphore。 101 0×00000065 属于其它行程专用的 semaphore.

102 0×00000066 semaphore 已经设定，而且无法关闭。

103 0×00000067 无法指定 semaphore 。

104 0×00000068 在岔断时间无法要求专用的 semaphore 。

104 0×00000068 在岔断时间无法要求专用的 semaphore 。

105 0×00000069 此 semaphore 先前的拥有权已经结束。

106 0×0000006A 请将磁盘插入 %1。

107 0×0000006B 因为代用的磁盘尚未插入，所以程序已经停止。

108 0×0000006C 磁盘正在使用中或被锁定。

109 0×0000006D Pipe 已经中止。

110 0×0000006E 系统无法开启指定的 装置或档案。

111 0×0000006F 档名太长。

112 0×00000070 磁盘空间不足。

113 0×00000071 没有可用的内部档案标识符。

114 0×00000072 目标内部档案标识符不正确。

117 0×00000075 由应用程序所执行的 IOCTL 呼叫 不正确。

118 0×00000076 写入验证参数值不正确。

119 0×00000077 系统不支持所要求的指令。

120 0×00000078 此项功能仅在 Win32 模式有效。

121 0×00000079 semaphore 超过逾时期间。

122 0×0000007A 传到系统呼叫的资料区域 太小。

123 0×0000007B 文件名、目录名称或储存体卷标语法错误。

124 0×0000007C 系统呼叫层次不正确。

125 0×0000007D 磁盘没有设定卷标。

126 0×0000007E 找不到指定的模块。

127 0×0000007F 找不到指定的程序。

128 0×00000080 没有子行程可供等待。

128 0×00000080 没有子行程可供等待。

129 0×00000081 %1 这个应用程序无法在 Win32 模式下执行。

130 0×00000082 Attempt to use a file handle to an open disk partition for an operation other than raw disk I/O.

131 0×00000083 尝试将档案指针移至档案开头之前。

132 0×00000084 无法在指定的装置或档案，设定档案指针。

133 0×00000085 JOIN 或 SUBST 指令 无法用于 内含事先结合过的磁盘驱动器。

134 0×00000086 尝试在已经结合的磁盘驱动器，使用 JOIN 或 SUBST 指令。

135 0×00000087 尝试在已经替换的磁盘驱动器，使 用 JOIN 或 SUBST 指令。

136 0×00000088 系统尝试删除 未连结过的磁盘驱动器的连结关系。

137 0×00000089 系统尝试删除 未替换过的磁盘驱动器的替换关系。

138 0×0000008A 系统尝试将磁盘驱动器结合到已经结合过之磁盘驱动器的目录。

139 0×0000008B 系统尝试将磁盘驱动器替换成已经替换过之磁盘驱动器的目录。

140 0×0000008C 系统尝试将磁盘驱动器替换成已经替换过之磁盘驱动器的目录。

141 0×000000 系统尝试将磁盘驱动器 SUBST 成已结合的磁盘驱动器 目录。

142 0×0000008E 系统此刻无法执行 JOIN 或 SUBST。

143 0×0000008F 系统无法将磁盘驱动器结合或替换同一磁盘驱动器下目录。

144 0×00000090 这个目录不是根目录的子目录。

145 0×00000091 目录仍有资料。

146 0×00000092 指定的路径已经被替换过。

147 0×00000093 资源不足，无法处理这项 指令。

148 0×00000094 指定的路径这时候无法使用。

148 0×00000094 指定的路径这时候无法使用。

149 0×00000095 尝试要结合或替换的磁盘驱动器目录，是已经替换过的的目标。

150 0×00000096 CONFIG.SYS 文件未指定系统追踪信息，或是追踪功能被取消。

151 0×00000097 指定的 semaphore事件 DosMuxSemWait 数目不正确。

152 0×00000098 DosMuxSemWait 没有执行；设定太多的 semaphore。

153 0×00000099 DosMuxSemWait 清单不正确。

154 0×0000009A 您所输入的储存媒体标 元长度限制。

155 0×0000009B 无法建立其它的执行绪。

156 0×0000009C 接收行程拒绝接受信号。

157 0×0000009D 区段已经被舍弃，无法被锁定。

158 0×0000009E 区段已经解除锁定。

159 0×0000009F 执行绪识别码的地址不正确。

160 0×000000A0 传到 DosExecPgm 的自变量字符串不正确。

161 0×000000A1 指定的路径不正确。

162 0×000000A2 信号等候处理。

164 0×000000A4 系统无法建立执行绪。

167 0×000000A7 无法锁定档案的部份范围。

170 0×000000AA 所要求的资源正在使用中。

173 0×000000AD 取消范围的锁定要求不明显。

174 0×000000AE 档案系统不支持自动变更锁定类型。

180 0×000000B4 系统发现不正确的区段号码。

182 0×000000B6 操作系统无法执行 %1。

182 0×000000B6 操作系统无法执行 %1。

183 0×000000B7 档案已存在，无法建立同一档案。

186 0×000000BA 传送的旗号错误。

187 0×000000BB 指定的系统旗号找不到。

188 0×000000BC 操作系统无法执行 %1。

189 0×000000BD 操作系统无法执行 %1。

190 0×000000BE 操作系统无法执行 %1。

191 0×000000BF 无法在 Win32 模式下执行 %1。

192 0×000000C0 操作系统无法执行 %1。

193 0×000000C1 %1 不是正确的 Win32 应用程序。

194 0×000000C2 操作系统无法执行 %1。

195 0×000000C3 操作系统无法执行 %1。

196 0×000000C4 操作系统无法执行 这个应用程序。

197 0×000000C5 操作系统目前无法执行 这个应用程序。

198 0×000000C6 操作系统无法执行 %1。

199 0×000000C7 操作系统无法执行 这个应用程序。

200 0×000000C8 程序代码的区段不可以大于或等于 64KB。

201 0×000000C9 操作系统无法执行 %1。

202 0×000000CA 操作系统无法执行 %1。

203 0×000000CB 系统找不到输入的环境选项。\r

205 0×000000CD 在指令子目录下，没有任何行程有信号副处理程序。

206 0×000000CE 文件名称或扩展名太长。

207 0×000000CF ring 2 堆栈使用中。

207 0×000000CF ring 2 堆栈使用中。

208 0×000000D0 输入的通用档名字元 * 或 ? 不正确， 或指定太多的通用档名字元。

209 0×000000D1 所传送的信号不正确。

210 0×000000D2 无法设定信号处理程序。

212 0×000000D4 区段被锁定，而且无法重新配置。

214 0×000000D6 附加到此程序或动态连结模块的动态连结模块太多。

215 0×000000D7 Can’t nest calls to LoadModule.

230 0×000000E6 The pipe state is invalid.

231 0×000000E7 所有的 pipe instances 都在忙碌中。

232 0×000000E8 The pipe is being closed.

233 0×000000E9 No process is on the other end of the pipe.

234 0×000000EA 有更多可用的资料。

240 0×000000F0 作业阶段被取消。

254 0×000000FE 指定的延伸属性名称无效。

255 0×000000FF 延伸的属性不一致。

259 0×00000103 没有可用的资料。

266 0×0000010A 无法使用 Copy API。

267 0×0000010B 目录名称错误。

275 0×00000113 延伸属性不适用于缓冲区。

276 0×00000114 在外挂的档案系统上的延伸属性档案已经毁损。

277 0×00000115 延伸属性表格文件满。

278 0×00000116 指定的延伸属性代码无效。

278 0×00000116 指定的延伸属性代码无效。

282 0×0000011A 外挂的这个档案系统不支持延伸属性。

288 0×00000120 意图释放不属于叫用者的 mutex。

298 0×0000012A semaphore 传送次数过多。

299 0×0000012B 只完成 Read/WriteProcessMemory 的部份要求。

317 0×0000013D 系统找不到位于讯息文件 %2 中编号为 0×0000%1 的讯息。

487 0×000001E7 尝试存取无效的地址。

534 0×00000216 运算结果超过 32 位。

535 0×00000217 信道的另一端有一个行程在接送资料。

536 0×00000218 等候行程来开启信道的另一端。

994 0×000003E2 存取延伸的属性被拒。

995 0×000003E3 由于执行绪结束或应用程序要求，而异常终止 I/O 作业。

996 0×000003E4 重叠的 I/O 事件不是设定成通知状态。

997 0×000003E5 正在处理重叠的 I/O 作业。

998 0×000003E6 对内存位置的无效存取。

999 0×000003E7 执行 inpage 作业发生错误。

1001 0×000003E9 递归太深，堆栈满溢。

1002 0×000003EA 窗口无法用来传送讯息。

1003 0×000003EB 无法完成这项功能。

1004 0×000003EC 旗号无效。

1005 0×000003ED 储存媒体未含任何可辨识的档案系统。 请确定以加载所需的系统驱动程序，而且该储存媒体并未毁损。

1006 0×000003EE 储存该档案的外部媒体发出警告，表示该已开启档案已经无效。

1007 0×000003EF 所要求的作业无法在全屏幕模式下执行。

1008 0×000003F0 An attempt was made to reference a token that does not exist.

1009 0×000003F1 组态系统登录数据库毁损。

1010 0×000003F2 组态系统登录机码无效。

1011 0×000003F3 无法开启组态系统登录机码。

1012 0×000003F4 无法读取组态系统登录机码。

1013 0×000003F5 无法写入组态系统登录机码。

1014 0×000003F6 系统登录数据库中的一个档案必须使用记录或其它备份还原。 已经还原成功。

1015 0×000003F7 系统登录毁损。其中某个档案毁损、或者该档案的 系统映对内存内容毁损、会是档案无法复原。

1016 0×000003F8 系统登录起始的 I/O 作业发生无法复原的错误。 系统登录无法读入、写出或更新，其中的一个档案 内含系统登录在内存中的内容。

1017 0×000003F9 系统尝试将档案加载系统登录或将档案还原到系统登录中， 但是，指定档案的格式不是系统登录文件的格式。

1018 0×000003FA 尝试在标示为删除的系统登录机码，执行不合法的操作。

1018 0×000003FA 尝试在标示为删除的系统登录机码，执行不合法的操作。

1019 0×000003FB 系统无法配置系统登录记录所需的空间。

1020 0×000003FC 无法在已经有子机码或数值的系统登录机码建立符号连结。

1021 0×000003FD 无法在临时机码下建立永久的子机码。

1022 0×000003FE 变更要求的通知完成，但信息 并未透过呼叫者的缓冲区传回。呼叫者现在需要自行列举档案，找出变更的地方。

1051 0×0000041B 停止控制已经传送给其它服务 所依峙的一个服务。

1052 0×0000041C 要求的控制对此服务无效

1053 0×0000041D The service did not respond to the start or control request in a timely fashion. 1054 0×0000041E 无法建立服务的执行绪。

1055 0×0000041F 服务数据库被锁定。

1056 0×00000420 这种服务已经在执行。

1057 0×00000421 帐户名称错误或者不存在。

1058 0×00000422 指定的服务暂停作用，无法激活。

1059 0×00000423 指定循环服务从属关系。

1060 0×00000424 指定的服务不是安装进来的服务。

1061 0×00000425 该服务项目此时无法接收控制讯息。

1062 0×00000426 服务尚未激活。

1063 0×00000427 无法联机到服务控制程序。

1064 0×00000428 处理控制要求时，发生意外状况。

1065 0×00000429 指定的数据库不存在。

1065 0×00000429 指定的数据库不存在。

1066 0×0000042A 服务传回专属于服务的错误码。

1067 0×0000042B The process terminated unexpectedly.

1068 0×0000042C 从属服务或群组无法激活。

1069 0×0000042D 因为登入失败，所以没有激活服务。

1070 0×0000042E 在激活之后，服务在激活状态时当机。

1071 0×0000042F 指定服务数据库锁定无效。

1072 0×00000430 指定的服务已经标示为删除。

1073 0×00000431 指定的服务已经存在。

1074 0×00000432 系统目前正以上一次执行成功的组态执行。

1075 0×00000433 从属服务不存在，或已经标示为删除。

1076 0×00000434 目前的激活已经接受上一次执行成功的 控制设定。

1077 0×00000435 上一次激活之后，就没有再激活服务。

1078 0×00000436 指定的名称已经用于服务名称或服务显示 名称。

1100 0×0000044C 已经到了磁带的最后。

1101 0×0000044D 到了档案标示。

1102 0×0000044E 遇到磁带的开头或分割区。

1103 0×0000044F 到了档案组的结尾。

1104 0×00000450 磁带没有任何资料。

1105 0×00000451 磁带无法制作分割区。

1106 0×00000452 存取多重容体的新磁带时，发现目前 区块大小错误。

1107 0×00000453 加载磁带时，找不到磁带分割区信息。

1108 0×00000454 无法锁住储存媒体退带功能。

1108 0×00000454 无法锁住储存媒体退带功能。

1109 0×00000455 无法解除加载储存媒体。

1110 0×00000456 磁盘驱动器中的储存媒体已经变更。

1111 0×00000457 已经重设 I/O 总线。

1112 0×00000458 磁盘驱动器没有任何储存媒体。

1113 0×00000459 目标 multi-byte code page，没有对应 Unicode 字符。

1114 0×0000045A 动态链接库 (DLL) 起始例程失败。

1115 0×0000045B 系统正在关机。

1116 0×0000045C 无法中止系统关机，因为没有关机的动作在进行中。

1117 0×0000045D 因为 I/O 装置发生错误，所以无法执行要求。

1118 0×0000045E 序列装置起始失败，会取消加载序列驱动程序。

1119 0×0000045F 无法开启装置。这个装置与其它装置共享岔断要求 (IRQ)。 至少已经有一个使用同一IRQ 的其它装置已经开启。

1120 0×00000460 A serial I/O operation was completed by another write to the serial port. (The IOCTL_SERIAL_XOFF_COUNTER reached zero.)

1121 0×00000461 因为已经过了逾时时间，所以序列 I/O 作业完成。(IOCTL_SERIAL_XOFF_COUNTER 不是零。)

1122 0×00000462 在磁盘找不到任何的 ID 地址标示。

1123 0×00000463 磁盘扇区 ID 字段与磁盘控制卡追踪地址 不符。

1124 0×00000464 软式磁盘驱动器控制卡回报了一个软式磁盘驱动器驱动程序无法识别的错误。

1125 0×00000465 软式磁盘驱动器控制卡传回与缓存器中不一致的结果。

1126 0×00000466 存取硬盘失败，重试后也无法作业。

1127 0×00000467 存取硬盘失败，重试后也无法作业。

1128 0×00000468 存取硬盘时，必须重设磁盘控制卡，但是 连重设的动作也失败。

1129 0×00000469 到了磁带的最后。

1130 0×0000046A 可用服务器储存空间不足，无法处理这项指令。

1131 0×0000046B 发现潜在的死锁条件。

1132 0×0000046C 指定的基本地址或档案位移没有适当 对齐。

1140 0×00000474 尝试变更系统电源状态，但其它的应用程序或驱动程序拒绝。

1141 0×00000475 系统 BIOS 无法变更系统电源状态。

1150 0×0000047E 指定的程序需要新的 Windows 版本。

1151 0×0000047F 指定的程序不是 Windows 或 MS-DOS 程序。

1152 0×00000480 指定的程序已经激活，无法再激活一次。

1153 0×00000481 指定的程序是为旧版的 Windows 所写的。

1154 0×00000482 执行此应用程序所需的链接库档案之一毁损。

1155 0×00000483 没有应用程序与此项作业的指定档案建立关联。

1156 0×00000484 传送指令到应用程序发生错误。

1157 0×00000485 找不到执行此应用程序所需的链接库档案。

1200 0×000004B0 指定的装置名称无效。

1201 0×000004B1 装置现在虽然未联机，但是它是一个记忆联机。

1202 0×000004B2 尝试记忆已经记住的装置。

1203 0×000004B3 提供的网络路径找不到任何网络提供程序。

1203 0×000004B3 提供的网络路径找不到任何网络提供程序。

1204 0×000004B4 指定的网络提供程序名称错误。

1205 0×000004B5 无法开启网络联机设定文件。

1206 0×000004B6 网络联机设定文件坏掉。

1207 0×000004B7 无法列举非容器。

1208 0×000004B8 发生延伸的错误。

1209 0×000004B9 指定的群组名称错误。

1210 0×000004BA 指定的计算机名称错误。

1211 0×000004BB 指定的事件名称错误。

1212 0×000004BC 指定的网络名称错误。

1213 0×000004BD 指定的服务名称错误。

1214 0×000004BE 指定的网络名称错误。

1215 0×000004BF 指定的资源共享名称错误。

1216 0×000004C0 指定的密码错误。

1217 0×000004C1 指定的讯息名称错误。

1218 0×000004C2 指定的讯息目的地错误。

1219 0×000004C3 所提供的条件与现有的条件组发生冲突。

1220 0×000004C4 尝试与网络服务器联机，但是 与该服务器的联机已经太多。

1221 0×000004C5 其它网络计算机已经在使用这个工作群组或网域名称。

1222 0×000004C6 网络没有显示出来或者没有激活。

1223 0×000004C7 使用者已经取消作业。

1224 0×000004C8 要求的作业无法在已经开启使用者对应区段的档案执行。

1225 0×000004C9 远程系统拒绝网络联机。

1225 0×000004C9 远程系统拒绝网络联机。

1226 0×000004CA 关闭网络联机。

1227 0×000004CB 网络传输端点已经有相关连的地址。

1228 0×000004CC 地址尚未有相关的网络端点。

1229 0×000004CD 尝试在不存在的网络连线作业。

1230 0×000004CE 在作用中的网络联机上执行无效的作业。

1231 0×000004CF 无法传输到远程网络。

1232 0×000004D0 无法联机到远程系统。

1233 0×000004D1 远程系统不支持传输通讯协议。

1234 0×000004D2 远程系统的目的地网络端点没有作何执行中的服务。

1235 0×000004D3 要求已经中止。

1236 0×000004D4 进端系统已经中断网络联机。

1237 0×000004D5 无法完成作业，请重试。

1238 0×000004D6 无法与服务器联机，原因是这个帐户已经到达同时联机数目 的上限。

1239 0×000004D7 尝试在这个帐户未授权的时间登入网络。

1240 0×000004D8 这个帐户无法从这个地方登入网络。

1241 0×000004D9 网络地址无法用于这个要求的作业。

1242 0×000004DA 服务已经登记。

1243 0×000004DB 指定的服务不存在。

1244 0×000004DC 作业无法执行，原因是使用者尚未授权使用。

1245 0×000004DD 要求的作业无法执行，原因是使用者尚未登入网络。 指定的服务不存在。

1246 0×000004DE 传回要求呼叫者继续工作的讯息。

1247 0×000004DF 在完成起始作业之后，尝试再执行起始作业。

1248 0×000004E0 没有其它的近端装置。

1300 0×00000514 并未指定所有的参照权限给呼叫者。

1301 0×00000515 帐户名称与安全识别码之间尚有未执行完成的联机。

1302 0×00000516 此帐户并未设定特别的系统配额限制。

1303 0×00000517 没有可用的加密机码。传回一个已知的加密机码。

1304 0×00000518 NT 密码太复杂，无法转换成 LAN Manager 密码。传回的LAN Manager密码是一个空字符串。

1305 0×00000519 修正层次不详。

1306 0×0000051A 表示两个修订阶层不兼容。

1307 0×0000051B 此安全识别码无法指定为这个对象的拥有者。

1308 0×0000051C 此安全识别码无法指定为主要的对象群组。

1309 0×0000051D An attempt has been made to operate on an impersonation token by a thread that is not currently impersonating a client.

1310 0×0000051E 不可以关闭群组。

1311 0×0000051F 目前没有可登入的服务器，所以无法处理登入要求。

1312 0×00000520 指定登入作业阶段不存在。该作业阶段可能已经 结束。

1313 0×00000521 指定的权限不存在。

1313 0×00000521 指定的权限不存在。

1314 0×00000522 客户端未列出要求的权限。

1315 0×00000523 所提供的名称格式与帐户名称不符。

1316 0×00000524 指定的使用者已经存在。

1317 0×00000525 指定的使用者不存在。

1318 0×00000526 指定的群组已经存在。

1319 0×00000527 指定的群组不存存。

1320 0×00000528 指定的使用者帐户已经是指定群组的成员，或 指定的群组因为内含成员而无法删除。

1321 0×00000529 指定的使用者帐户不是指定的群组帐户成员。

1322 0×0000052A 上一次留下来的管理帐户无法关闭或 删除。

1323 0×0000052B 无法更新密码。所输入的密码不正确。

1324 0×0000052C 无法更新密码。所输入的新密码内含不符合 密码规定。

1325 0×0000052D 因为违反密码更新规则，所以无法更新密码。

1326 0×0000052E 登入失败: 无法辨识的使用者名称或密码错误。

1327 0×0000052F 登入失败: 使用者帐户限制。

1328 0×00000530 登入失败: 违反帐户登入时间限制。

1329 0×00000531 登入失败: 使用者不可登入这部计算机。

1330 0×00000532 登入失败: 指定的帐户密码过期。

1331 0×00000533 登入失败: 帐户目前无效。

1332 0×00000534 帐户名称与帐户识别码不符。

1333 0×00000535 一次要求太多的近端使用者识别码 (local user identifiers，LUIDs)。

1333 0×00000535 一次要求太多的近端使用者识别码 (local user identifiers，LUIDs)。

1334 0×00000536 没有可用的近端使用者识别码 (local user identifiers ，LUIDs)。

1335 0×00000537 安全识别码的转授权部份对这个特殊用法无效。

1336 0×00000538 无效的存取控制清单结构。

1337 0×00000539 安全识别码结构无效。

1338 0×0000053A 安全叙述子结构无效。

1340 0×0000053C 无法建立继承的存取控制清单或存取控件目。

1341 0×0000053D 服务器目前无效。

1342 0×0000053E 服务器目前可以使用。

1343 0×0000053F 所提供的值是无效的识别码授权值。

1344 0×00000540 没有可供安全信息更新使用的内存。

1345 0×00000541 指定的属性无效，或指定的属性与整个群

18:28 | 添加评论 | 固定链接 | 查看引用通告 (0) | 写入日志

12月8日

winxp 启动原理 & boot.ini

[operatingsystems]下面类似multi(0)rdisk(0)partition(1)\windows="microsoft windows xp professional"/fastdetect

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\Windows

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\Windows="Microsoft Windows XP Professional" /fastdetect

　　在Windows 2000或者是XP系统中，我们可以很容易的设置“Boot.ini”文件。那就是在“我的电脑”上面点击右键，选择“属性”打开“系统属性”对话框，再点击“高级”选项卡，在“启动和故障修复”里面点击“设置”按钮，就可以打开“启动和故障修复”对话框了，在这里面我们就可以对它进行详细设置。

－－－－－－－－－－－－－－－－－－－－－

　　

现在，我们来说明一下这个文件内容的含义。

1.系统加载部分（[boot loader]）

　　 此部分包含两个设定，“timeout=”和“default=”

“timeout=”就是设定开机时操作系统列表的显示时间，超过设定值则自动加载下面“default=”指定的系统。默认值是30，单位为秒。

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\Windows

本例中，表示30秒后，自动引导C盘的Windows XP系统

我们可以在这里面设定等待时间的长短。

timeout=0　　　　　不显示操作系统列表,而直接进入默认的操作系统

timeout=1　　　　　显示操作系统列表的时间为1秒

timeout=-1　　　　 如果用户不进行确认操作，则一直显示操作系统列表

timeout=30　　　　 系统默认

“default=”则是设定默认引导的系统。而等号后面的系统必须是已经在“[operating systems]”中存在的。如果想默认为加载另外的系统，我们可以参看“[operating systems]”中的系统列表，然后把想要加载的系统按照格式写到“default=”后面就可以了。

－－－－－－－－－－－－－－－－－－

2.系统部分（[operating systems]）

在这部分中，列出了机器上所安装的全部系统。比如机器上只有一个WindowsXP系统，那么就只有一条信息，那就是：

multi(0)disk(0)rdisk(0)partition(1)\Windows="Microsoft Windows XP Professional" /fastdetect

在这里需要注意的是，在英文引号内的文字就是引导系统菜单时显示出来的让我们选择系统的提示文字，在这里面我们可以随意更改。比如我们可以改成： multi(0)disk(0)rdisk(0)partition(1)\Windows="Windows XP Badguy.name专用版" /fastdetect

详细解释：multi(0)disk(0)rdisk(0)partition(1)\Windows

这涉及到了ARC（高级RISC计算机）命名，它是x86或RISC计算机中用于标识设备的动态方法。ARC命名可分为两大类，以scsi为首或以multi为首，现分别说明如下：

scsi(x)disk(y)rdisk(0)partition(z):

以scsi为首，表明该磁盘控制器为SCSI卡，并且该卡上的BIOS被设置为禁用（disable）

scsi(x)：表示第几个控制卡，x以0为起始数字。

disk(y)：表示该控制卡下的第几块物理磁盘，y以0为起始数字。

partition(z)：表示该物理磁盘上第几个分区，z以1为起始数字。

注意：以scsi为首的ARC命名的rdisk项总是rdisk(0)。

multi(x)disk(0)rdisk(y)partition(z):

以multi为首，表明该磁盘控制器为非SCSI设备（如IDE，ESDI）或是BIOS允许使用（enable）的SCSI卡。

multi(x)：表示第几个控制卡，x以0为起始数字。

rdisk(y)：表示该控制卡下的第几块物理磁盘，y以0为起始数字。

partition(z)：表示该物理磁盘上第几个分区，z以1为起始数字。

注意：以multi为首的ARC命名的disk项总是disk(0)。

所以，“multi(0)disk(0)rdisk(0)partition(1) \Windows”，就是指在0号非SCSI设备上的第0号磁盘上的第一个分区（C盘）里面的“Windows”目录下可以找到能够启动的系统。

“/fastdetect”是一个开关符，用来控制启动该系统时的具体选项，下面列出了各种开关符的含义:

　  /3GB:这是Win2000 SP3新引入的。这使得用户区和系统区分为3G比1G的比例。只有用户使用NT企业版，

　　　　　应用程序也支持3GB选项时，此选项才生效。

　　/BASEVIDEO:使用标准VGA方式启动。这种方式主要用于显示驱动程序失效时。

　　/BAUDRATE:指出用于调度的波特率，如果用户不设置，则使用默认的9600，而对于线缆Modem则使用19200。

　　/BOOTLOG:将系统启动日志写入 %SystemRoot%\NTBTLOG.TXT 。

　　/BURNMEMORY=:使NT在已知的内存上少使用指定的数量，如果/burnmemory=64，则有64M内存NT不使用。

　　/CRASHDEBUG:调度器在NT启动时启动，只有在内核错误时才有用，如果系统经常会无故出错，这个选项就很有用了。

　　/DEBUG:在启动NT时调入调度器，它可以在任何时间激活，在错误可以再次出现时使用它比较合适。

　　/DEBUGPORT= comx :指定用于调度的端口，其它X就指端口号。

　　/FASTDETECT:系统启动时，不检查串行口和并行口。

　　/HAL=<hal>:允许用户不使用默认的HAL。

　　/INTAFFINITY:设置多处理器HAL(HALMPS.DLL)，使编号最大的处理器接收中断请求。如果不设置此选项，

　　　　　　　　Win2000会使所有处理器接收中断请求。

　　/KERNEL=<kernel>:与上面的功能相同，不过是针对SMP中的内核而言的。

　　/MAXMEM:n:指定NT可以使用的最大内存数，如果一个内存片损坏，这个开关就十分有用了。

　　/NODEBUG:不使用调试信息。

　　/NOGUIBOOT:此选项会使操作系统不加载VGA驱动程序，从而屏蔽系统的启动画面

　　/NOSERIALMICE=[COMx | COMx,y,z…]:在特定的COM中上禁止对串行鼠标的检测。

　　　　　　　　如果用户有一个非鼠标设备接在COM口上，这个选项会十分有用。如果此开关未加参数，系统会禁止所有COM口。

　　/NUMPROC=n:只允许前N个系统处理器工作。

　　/ONECPU:在多处理器中只使用一个处理器。

　　/PCILOCK:不让NT为PCI设置分配IO/IRQ资源，而启用BIOS设置。

　　/SAFEBOOT:安全模式启动，只启动HKLM\System\CurrentControlSet Control\SafeBoot中的驱动程序和服务，其后跟三个参数MINIMAL，NETWORK或DSREPAIR之一。MINIMAL和NETWORK在允许网络下启动系统。而DSREPAIR要求系统从备份设备中调入活动目录的设置。还有一个选项是"(AlterNATESHELL)"，它让系统调入由HKLM\System\CurrentControlSetSafeBoot\AlternateShell指定的SHELL程序，而不使用默认的Explorer。

　　/SOS:在调入驱动程序名时显示它的名字，在因驱动问题而无法启动时使用比较好。

　　/WIN95:在装有三个系统DOS、Win9x和Windows NT的系统上，让NTLDR直接调用Win9x。启动文件BOOTSECT.W40。

　　/WIN95DOS:在装有三个系统DOS、Win9x和Windows NT的系统上，让NTLDR直接调用DOS启动文件BOOTSECT.DOS

　　/YEAR=:使用指定的年份，如果设置为/YEAR=2005，那现在的时间就是2005年，此选项仅对NT4+SP4和Win2000生效。

11:52 | 添加评论 | 固定链接 | 查看引用通告 (0) | 写入日志

8月29日

论坛开张志庆- 欢迎大家访问-http://gameol.awardspace.com

http://gameol.awardspace.com或者 phoenixdna.awardspace.com

这次终于可以从国内访问了...

2:27 | 添加评论 | 阅读评论 (1) | 固定链接 | 查看引用通告 (0) | 写入日志

7月4日

谈股论今

似乎忘记我自己是学自动化这个专业很久了， 我们知道，如果一个二阶系统输入一个阶跃信号，必然是输出一个阶跃响应曲线，也就是之前会上升到一个高点，然后下来，如此震荡稳定在阶跃值上，现在看起来股市多半也是如此，前两次是宽幅震荡，现在估计要收窄，估计最后会稳定在3800点以上的一个值，形成一个稳固的平台，从而从快牛转为慢牛，而这个周期，估计短期内的缩量反弹已经证明了这点，接下来的走势拭目以待。。。

很多人在评论股市的利空利多因素，目前看空的人多，但是看多的人也不少，但是能否简单套用“老板”传授的二阶系统阶跃响应呢？这种复杂的n维矩阵系统能够用简单的工程理论和数学来模拟么？线性理论，Matrix，鲁棒性，偶的H无穷理论，怀念那些远去的学习日子。。。

如果这次被我估中，我也可以去做评论员了，哈哈哈。只是不知道老板看到用自动化理论来套股市会作何感想呢？

看遍了这些沉沉浮浮，突然觉得很淡定。。。

浪影沉浮，忆往昔峥嵘岁月，难难难

凭栏处，看股金潮起潮落，默默默

5:45 | 添加评论 | 阅读评论 (3) | 固定链接 | 查看引用通告 (0) | 写入日志

3月11日

Winxp注册表－备查

1。右键菜单的相关项目（分别对应IE右键菜单，文件的右键菜单，文件夹的）

HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt       [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]

HKEY_CLASSES_ROOT\Folder\shell\

其实如果想要添加右键菜单，可以参照如下格式，仅仅对于后面2者有效～

[HKEY_CLASSES_ROOT\Folder\shell\Delete by File Pulverizer\Command]

@="C:\\Program Files\\File Pulverizer\\Fper.exe -R -0 %1"

10:09 | 添加评论 | 固定链接 | 查看引用通告 (0) | 写入日志

2月19日

简单技巧－汇总篇

faint...早上5点37分...持续发呆也不是办法...不如把以前用过的命令行存放此处,备查...

1.Cacls.exe-存取控制列表（Access Control List，简称ACL）的操作

(案例-治愈1年没有解决的无法删除的文件,在双操作系统下删除无效本该考虑倒这个)

2.修复专用(操作控制台)

FixBoot

Diskpart

Fixmbr

(案例-大使电脑通过此法恢复成原有状态...No Money,sigh)

3.Openfiles /local on-文件正在使用无法删除

重启之后可以查看句柄这些无聊东西,对于删除病毒应该也有一定效果....

4.Winsock2损坏的恢复

http://support.microsoft.com/kb/811259/zh-cn

(案例-所有和网络相关的程序全部瘫痪,居然可以这样重新修复的)

5.微软人员推荐的修复Xp的工具网站

http://www.kellys-korner-xp.com/taskbarplus!.htm

(案例-莫名其妙的问题有可能从这里找到一些脚本进行修复,偶以前的一个taskbar不正常依靠这个回复了)

6.Notes设置?

(案例-修好13sis电脑的notes邮件问题,Notes的IP解析会有一个缓存文件对应,即使你改变hosts,仍然按照原有的IP设定来寻址,目前的解决办法是更改场所...)

7.网络防范

netstat -ano findstr 1140

tasklist /fi ″PID eq 788

唔,有空要去看看support tools...麻烦ing

0:05 | 添加评论 | 阅读评论 (1) | 固定链接 | 查看引用通告 (0) | 写入日志

2月18日

Virus Exclaimation

经验篇－

1.先给一个通用的监视方法,适合于所有怀疑自己中毒或者希望知道在内存里面跑的什么东西的兄弟:

http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx

procexp.exe这个工具实在是太强大了.不愧是微软的力作啊...可以有效的监视tcpip端口和非法进程...省的我们猜来猜去了

2.一个比较强悍清理工具:

hijackthis,链接么自己找吧.

3.防病毒软件:

懒得说了

4.防火墙:

目前用的还是天网2.5,一直不敢升级...够用就好

5.不要用自己的笔记本访问非知名网站

实战篇－

1.boot.hta

回来没两天,立马中毒...我@$#@~,

boot.hta...HTA是HTML Application的缩写（HTML应用程序），是软件开发的新概念，直接将HTML保存成HTA的格式，就是一个独立的应用软件，与VB、C++等程序语言所设计的软件没什么差别。(目前的所有的非知名网站都很难说会有什么问题,没准被卖了自己都不知情,这次肿了boot.hta感觉没有访问什么不良网站吧???困惑中,有可能是上次移动硬盘copy东西给别人混进来的...)

查了一通，虚惊一场。

2. BHO（经常发现IE弹出莫名其妙的端口请查看）

今天打开OL和webuc.net的时候，总会自动弹出一个http://baby.aoe88.com/ad.html的广告窗口，很是奇怪，当时也没有留意，以为是宝玉找的域名商搞的鬼。后来再上别的网站的时候，那个该死的广告又弹出来了，这下我才发觉自己中毒了。

于是，马上运行Regedit.exe，切换到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects

发现有三个BHO（说明：BHO，即Browser Helper Objects，指的是浏览器的辅助模块）的ID号：

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader（用来处理PDF文件）的模块。

{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知

{A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车（FlashGet）的模块。

复制未知模块的ID号，把键值切换到：HKEY_CLASSES_ROOT下，点编辑->查找，在查找项目（仅选择项）中输入{3E422F49-1566-40D3-B43D-077EF739AC32}，将找到的CLSID项展中，双击左则的InprocServer32，右边默认中将会显示出这个CLSID对应的DLL文件位置和名称，将其记录下来。

查找完后，只有一个DLL文件：Navihelper.dll，于是进入winnt\system32下，找到该文件，查看其属性中并没有写明所属公司名称及版权，初步可以确定就是这个DLL捣的鬼。用UltraEdit打开此DLL，发现了一个\host.dat的字符串，而且在winnt\system32下，能找到host.dat，最可疑的是该文件在今天刚刚被修改！

用UltraEdit打开host.dat，http://baby.aoe88.com/ad.html赫然在列！还有http://www.qu123.com/aoyu1.html等URL。至此，可以充分确定NaviHelper.dll就是罪魁祸首！

病毒原理分析：此Navihelper.dll使用BHO的方法在IE里注册，打开IE时会自动从网站下载需要显示的广告，并将其保存在host.dat（数据库：ThisfilecontainsanSQLite2.1database）中，根据数据库设置进行显示。

接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。

然后，开始--运行，输入：regsvr32 NaviHelper.dll -u

最后重新启动计算机，再到system32下删除NaviHelper.dll及Host.dat文件即可。

23:45 | 添加评论 | 固定链接 | 查看引用通告 (0) | 写入日志

2月3日

参佛。。。

婆迦梵天、见世尊从远而来。见已，以此白世尊曰：'友!来!友!善来耶!友!久违!何以来此耶?友!此是常，此是恒常，此是常住，此是完全，此是不变之法。何以故，此是不衰、不老、不萎、不灭、不生故。由此以上无有其他之出离。如是言已，世尊告此婆迦梵天曰：'婆迦梵天乃被无明所困惑。婆迦梵天乃被无明所困惑。何以故?以无常者言常，以非恒常者言恒常，以非常住者言常住。以非 完全者言完全，以变易之法言不变易之法。以衰、老、萎、灭、生者言不衰、不老、不萎、不灭、不生。由此以上有其他之出离，以言由此以上无有其他之出离故。

桫椤双树园里的风，寂寂的吹过，如千年中的每一天。千年不停的风，携带着千年的叶，千年飞舞。桫椤双树园。桫椤双树下孤寂的背影，千年不动。是沙迦？是佛像？只有黄金一般的头发，摇曳。

“沙迦，你忘记了吗？”慈祥的声音在耳边索绕着……

忘记了吗……那是什么……

泥泞的道路上，小小的自己赤足走着，很冷很饿，裹紧了薄薄的僧袍，满身尘土，脚步沉重的像灌了铅，好累好累，好想念家中温暖的床……终于眼前开始有很多很耀眼的星辰在乱舞，继而便体会到了暗夜的黑……

“醒过来了……”听得到同龄人欢欣的笑，迷迷糊糊睁开双眼，眼前有好几个素不相识的孩子亲切的在笑，最大龄的孩子约摸大自己五六岁，蓬乱着头发，递给自己半碗米饭：“饿坏了吧……”

来不及回答，肚子毫不保留的透露了自己进食的意愿，三分惭愧七分感激的接过那半碗饭，竟然有几分狼吞虎咽，但。。。忽然吃不下去了，因为看见那几个孩子在墙角分着另外半碗饭……

“食物应该给最需要的人……”最大龄的孩子对自己笑，那笑容，灿烂的犹如骄阳……

苦行的道路很长很长，泣者众而笑者廖。。。

记得一位白发苍苍的老者对着哭泣的孩子说摔倒了应该爬起来，记得孤儿院中一个哥哥对弟弟说笑比哭好偶尔可以哭一哭然而一定要记得哭完之后要笑……记得年轻的妈妈拥抱饥饿的孩子说相信明天一定会有新的开始……

“如果明天没有变化呢……”不解的问身旁的老者。

“如果不懂得相信明天，就真的不会有什么变化……”老者脸上的皱纹很深的刻写着岁月的沧桑。。。

“孩子，你在悲伤吗？”

“我每天都看到好多好多人在受苦……为什么。。。”

“沙迦，你忘记了吗？”慈祥的声音还在耳边回响：“苦海无边，回头是岸，诸行无常，常乐我净……”

“花开了，然后又会凋零，星星是璀璨的，可光芒也会消亡。因为有幸福就会有痛苦，再美丽的花朵也会有凋谢的一刻。在这个世界上，有生命的东西一刻也不能停留的，人生也是一样。人生，和星星，太阳，宇宙比起来，只是一刹那，而在这一刹那，有生存，有死亡，有悲伤，有快乐，是生命的无常。”

“痛苦，可是生命的本质是痛苦么？世间轮回，生老病死，这些难道不都是痛苦么？－既然最终都是要消亡的，为什么还要这么痛苦。。。”眉头紧锁，泪水无声的滑落～

“傻孩子……”老者的皱纹中洋溢着慈爱的笑。

“来这世间的时候，你是哭着的，周围的人在笑；而离去的时候，周围的人哭着，你或许是笑着。在这个轮回里，其实，生命并不痛苦。无所谓贫穷，富有，快乐，痛苦，孤独，又或者什么。生命无常－死亡，只不过是另外一种形态的开始而已啊。。。”

Athena Exclamation！桫椤双树的树枝开始轻轻的颤栗

“你可懂了？沙迦。。。”

“人们能够生活在这片天空之下，便是上天的眷顾，无论命运怎样折磨如何苦痛，始终也懂得对着蓝天白云微笑，满怀希望。虽然默默无闻，然而他们却是英雄……所谓英雄，即是如此，简单的平凡，却也是顶天立地，傲视苍穹。”

桫椤，坚固和高远。居石那城，跋提河边，桫椤双树林中，四面各有两株桫椤树，枝枝相对，叶叶相映，佛在其间入灭，头北面西，右胁而卧，圆寂升天，四边双树顿开白花……

作为佛的生命终结之地的桫椤双树园啊。。。一声轻轻的叹息。。。最接近神的人～沙迦面带微笑，宁静祥和。。。双生桫椤树，一枯一荣。枯者代表世间本相：无常、无乐、无我、无净。荣者意示涅磐本相：常、乐、我、净。有荣必有枯，有枯必有荣，亦枯亦荣，非枯非荣…… 阿赖耶识。。。

桫椤双树的花，开了。随着千年的风，舞动。

灵魂，开始闪光，天舞宝轮的战阵消失了，肃穆的圣殿中有星星点点的光在闪烁，如羽，如雪，轻轻飘荡，美丽而无瑕，然而那既不是飘零的洁羽，也不是纷飞的玉雪，而是更加高贵圣洁的花瓣——桫椤落英……

0:58 | 添加评论 | 固定链接 | 查看引用通告 (0) | 写入日志

10月7日

WinXP的启动-备忘

Part I －Winxp的启动过程

从按下计算机开关启动计算机，到登入到桌面完成启动，一共经过了以下几个阶段：

1. 预引导(Pre-Boot)阶段

2. 引导阶段

3. 加载内核阶段

4. 初始化内核阶段

5. 登陆

每个启动阶段的详细介绍

a) 预引导阶段

在按下计算机电源使计算机启动，并且在Windows XP专业版操作系统启动之前这段时间，我们称之为预引导（Pre-Boot）阶段，在这个阶段里，计算机首先运行Power On Self Test（POST），POST检测系统的总内存以及其他硬件设备的现状。如果计算机系统的BIOS(基础输入/输出系统)是即插即用的，那么计算机硬件设备将经过检验以及完成配置。计算机的基础输入/输出系统（BIOS）定位计算机的引导设备，然后MBR(Master Boot Record)被加载并运行。在预引导阶段，计算机要加载Windows XP的NTLDR文件。

b) 引导阶段

Windows XP Professional引导阶段包含4个小的阶段。

首先，计算机要经过初始引导加载器阶段（Initial Boot Loader），在这个阶段里，NTLDR将计算机微处理器从实模式转换为32位平面内存模式。在实模式中，系统为MS-DOS保留640kb内存，其余内存视为扩展内存，而在32位平面内存模式中，系统（Windows XP Professional）视所有内存为可用内存。接着，NTLDR启动内建的mini-file system drivers，通过这个步骤，使NTLDR可以识别每一个用NTFS或者FAT文件系统格式化的分区，以便发现以及加载Windows XP Professional，到这里，初始引导加载器阶段就结束了。

接着系统来到了操作系统选择阶段，如果计算机安装了不止一个操作系统（也就是多系统），而且正确设置了boot.ini使系统提供操作系统选择的条件下，计算机显示器会显示一个操作系统选单，这是NTLDR读取boot.ini的结果。

在boot.ini中，主要包含以下内容：

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

multi(0)disk(0)rdisk(0)partition(2)\WINNT="Windows Windows 2000 Professional"

其中，multi(0)表示磁盘控制器，disk(0)rdisk(0)表示磁盘，partition(x)表示分区。NTLDR就是从这里查找Windows XP Professional的系统文件的位置的。（*本文不会更详细地讲解boot.ini的组成结构，因为其与本主题关系不大，如果想了解，可以到一些专门的网站处查询相关信息。）如果在boot.ini中只有一个操作系统选项，或者把timeout值设为0，则系统不出现操作系统选择菜单，直接引导到那个唯一的系统或者默认的系统。在选择启动Windows XP Professional后，操作系统选择阶段结束，硬件检测阶段开始。

在硬件检测阶段中，ntdetect.com将收集计算机硬件信息列表并将列表返回到NTLDR，这样做的目的是便于以后将这些硬件信息加入到注册表HKEY_LOCAL_MACHINE下的hardware中。

硬件检测完成后，进入配置选择阶段。如果计算机含有多个硬件配置文件列表，可以通过按上下按钮来选择。如果只有一个硬件配置文件，计算机不显示此屏幕而直接使用默认的配置文件加载Windows XP专业版。

引导阶段结束。在引导阶段，系统要用到的文件一共有：NTLDR，Boot.ini，ntdetect.com，ntokrnl.exe，Ntbootdd.sys，bootsect.dos（可选的）。

c) 加载内核阶段

在加载内核阶段，ntldr加载称为Windows XP内核的ntokrnl.exe。系统加载了Windows XP内核但是没有将它初始化。接着ntldr加载硬件抽象层（HAL，hal.dll），然后，系统继续加载HKEY_LOCAL_MACHINE\system键，NTLDR读取select键来决定哪一个Control Set将被加载。控制集中包含设备的驱动程序以及需要加载的服务。NTLDR加载HKEY_LOCAL_MACHINE\system\service\...下start键值为0的最底层设备驱动。当作为Control Set的镜像的Current Control Set被加载时，ntldr传递控制给内核，初始化内核阶段就开始了。

d) 初始化内核阶段

在初始化内核阶段开始的时候，彩色的Windows XP的logo以及进度条显示在屏幕中央，在这个阶段，系统完成了启动的4项任务：

• 内核使用在硬件检测时收集到的数据来创建了HKEY_LOCAL_MACHINE\HARDWARE键。

• 内核通过引用HKEY_LOCAL_MACHINE\system\Current的默认值复制Control Set来创建了Clone Control Set。Clone Control Set配置是计算机数据的备份，不包括启动中的改变，也不会被修改。

• 系统完成初始化以及加载设备驱动程序，内核初始化那些在加载内核阶段被加载的底层驱动程序，然后内核扫描HKEY_LOCAL_MACHINE\system\CurrentControlSet\service\...下start键值为1的设备驱动程序。这些设备驱动程序在加载的时候便完成初始化，如果有错误发生，内核使用ErrorControl键值来决定如何处理，值为3时，错误标志为危机/关键，系统初次遇到错误会以LastKnownGood Control Set重新启动，如果使用LastKnownGood Control Set启动仍然产生错误，系统报告启动失败，错误信息将被显示，系统停止启动；值为2时错误情况为严重，系统启动失败并且以LastKnownGood Control Set重新启动，如果系统启动已经在使用LastKnownGood值，它会忽略错误并且继续启动；当值是1的时候错误为普通，系统会产生一个错误信息，但是仍然会忽略这个错误并且继续启动；当值是0的时候忽略，系统不会显示任何错误信息而继续运行

• Session Manager启动了Windows XP高级子系统以及服务，Session Manager启动控制所有输入、输出设备以及访问显示器屏幕的Win32子系统以及Winlogon进程，初始化内核完毕。

e) 登陆

• Winlogon.exe启动Local Security Authority，同时Windows XP Professional欢迎屏幕或者登陆对话框显示，这时候，系统还可能在后台继续初始化刚才没有完成的驱动程序。

• 提示输入有效的用户名或密码。

• Service Controller最后执行以及扫描HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servives来检查是否还有服务需要加载，Service Controller查找start键值为2或更高的服务，服务按照start的值以及DependOnGroup和DepandOnService的值来加载。

只有用户成功登陆到计算机后，Windows XP的启动才被认为是完成，在成功登陆后，系统拷贝Clone Control Set到LastKnownGood Control Set，完成这一步骤后，系统才意味着已经成功引导了。

Part II － Windows下的启动触发机制

　　一、经典的启动――“启动”文件夹

　　

　　单击“开始→程序”，你会发现一个“启动”菜单，这就是最经典的Windows启动位置，右击“启动”菜单选择“打开”即可将其打开，如所示，其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下：

　　当前用户：

　　所有用户：

　　

　　二、有名的启动――注册表启动项

　　

　　注册表是启动程序藏身之处最多的地方，主要有以下几项：

　　

　　1.Run键

　　

　　Run键是病毒最青睐的自启动之所，该键位置是[HKEY_CURRENT_

　　USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_

　　LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，其下的所有程序在每次启动登录时都会按顺序自动执行。

　　

　　还有一个不被注意的Run键，位于注册表[HKEY_CURRENT_

　　USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run]，也要仔细查看。

　　

　　2.RunOnce键

　　

　　RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunOnce]键，与Run不同的是，RunOnce下的程序仅会被自动执行一次。

　　

　　3.RunServicesOnce键

　　

　　RunServicesOnce键位于[HKEY_CURRENT_USER\Software\MicrosoftWindows\CurrentVersion\RunServicesOnce]和[HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\CurrentVersion\RunServicesOnce]下，其中的程序会在系统加载时自动启动执行一次。

　　

　　4.RunServices键

　　

　　RunServices继RunServicesOnce之后启动的程序，位于注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRunServices]键。

　　

　　5.RunOnceEx键

　　

　　该键是Windows XP/2003特有的自启动注册表项，位于[HKEY_

　　CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。

　　

　　6.load键

　　

　　[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。

　　

　　7.Winlogon键

　　

　　该键位于位于注册表[HKEY_CURRENT_USER\SOFTWAREMicrosoft\Windows NT\CurrentVersion\Winlogon]和[HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]，注意下面的Notify、Userinit、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。

　　

　　8.其他注册表位置

　　

　　还有一些其他键值，经常会有一些程序在这里自动运行，如：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]

　　[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]

　　

　　小提示

　　

　　注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别：前者对所有用户有效，后者只对当前用户有效。

　　

　　三、古老的启动――自动批处理文件

　　

　　从DOS时代过来的朋友肯定知道autoexec.bat（位于系统盘根目录）这个自动批处理文件，它会在电脑启动时自动运行，早期许多病毒就看中了它，使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:\*.*”命令，让电脑一启动就自动删除C盘所有文件，害人无数。

　　

　　小提示

　　

　　★在Windows 98中，Autoexec.bat还有一个哥们――Winstart.bat文件，winstart.bat位于Windows文件夹，也会在启动时自动执行。

　　★在Windows Me/2000/XP中，上述两个批处理文件默认都不会被执行。

　　

　　四、常用的启动――系统配置文件

　　

　　在Windows的配置文件（包括Win.ini、System.ini和wininit.ini文件）也会加载一些自动运行的程序。

　　

　　1.Win.ini文件

　　

　　使用“记事本”打开Win.ini文件，在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序，只要程序名称及路径写在“＝”后面即可。

　　

　　小提示

　　

　　“load=”后面的程序在自启动后最小化运行，而“run=”后程序则会正常运行。

　　

　　2.System.ini文件

　　

　　使用“记事本”打开System.ini文件，找到[boot]段下“shell=”语句，该语句默认为“shell=Explorer.exe”，启动的时候运行Windows外壳程序explorer.exe。病毒可不客气，如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”，如果你强行删除“妖之吻”病毒程序yzw.exe，Windows就会提示报错，让你重装Windows，吓人不？也有客气一点的病毒，如将该句变成“shell=Explorer.exe 其他程序名”，看到这样的情况，后面的其他程序名一定是病毒程序如所示。

　　

　　3.wininit.ini

　　

　　wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件，因为该文件在Windows启动时自动执后会被自动删除，这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成，对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令，那么后果与“C盘杀手”无异。

　　

　　小提示

　　

　　★如果不知道它们存放的位置，按F3键打开“搜索”对话框进行搜索；

　　★单击“开始→运行”，输入sysedit回车，打开“系统配置编辑程序”，如图2所示，在这里也可以方便的对上述文件进行查看与修改。

　　

　　五、智能的启动――开/关机/登录/注销脚本

　　

　　在Windows 2000/XP中，单击“开始→运行”，输入gpedit.msc回车可以打开“组策略编辑器”，在左侧窗格展开“本地计算机策略→用户配置→管理模板→系统→登录”，然后在右窗格中双击“在用户登录时运行这些程序”，单击“显示”按钮，在“登录时运行的项目”下就显示了自启动的程序。

　　

　　六、定时的启动――任务计划

　　

　　在默认情况下，“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹，并将计划任务设置为“系统启动时”或“登录时”，这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。

　　

　　小提示

　　

　　“任务计划”也是一个特殊的系统文件夹，单击“开始→程序→附件→系统工具→任务计划”即可打开该文件夹，从而方便进行查看和管理。

　　

　　七、跟着别人的启动――随软件开启的程序

Part III－ 启动实用工具程序

　　一、从“系统信息”查看启动程序

　　

　　单击“开始→程序→附件→系统工具→系统信息”，双击“软件环境”，单击“启动程序”，在右边窗口出现的程序就是所有自启动程序，在“装载源”或“位置”下显出该程序是由注册表还是“启动”文件夹启动的。从这里只能查看自启动程序，不能对自启动程序进行禁止自启动等任何更改操作。

　　

　　软件性质： Windows自身功能

　　推荐指数： ★★★★

　　

　　二、MSConfig

　　

　　在Windows 98/Me/XP/2003中，单击“开始→运行”，输入msconfig回车即可打开“系统配置实用程序”窗口，单击“启动”标签，在列表框中显示的就是从注册表、“启动”文件夹和系统配置文件中自启动的程序。程序前有对号的是允许自启动的程序，没有对号的则不会自启动。如果想取消某个程序的自启动，单击取消程序前的对勾即可。还可以在autoexec.bat、system.ini和win.ini标签里面对它们进行编辑，取消其中的自启动程序。

　　

　　小提示

　　

　　★所有的修改都需要重新启动才能生效。

　　★Windows 2000没有msconfig程序，但是我们可以从Windows 98或者XP拷贝一个到system32目录，同样可以起作用。

　　

　　软件性质： 免费，微软原装

　　推荐指数： ★★★★

　　

　　三、startup.cpl

　　

　　只需要将startup.cpl文件拷贝到Windows安装目录下的system32文件夹下面即可，单击“开始→设置→控制面板”打开控制面板，你会发现里面多了一个Startup项，双击打开它，在打开的对话框中，可以方便地对“启动”文件夹和注册表中的启动项目进行管理，如右击空白处新建一个启动项，右击已有的启动项目可以对其进行编辑、删除、禁用和立刻运行等操作。

　　

　　软件性质： 免费，绿色软件

　　推荐指数： ★★★★★

　　

　　四、StartupMonitor

　　

　　双击StartupMonitor.msi执行安装，安装完成后，它就乖乖的在后台运行，只占据100多KB的内存，什么时候才显示出它的本事呢？当你安装了一个软件的时候，如果它想自己偷偷自启动，嘿嘿，就必须通过StartupMonitor的这一关，如所示，它管得非常宽，无论是什么程序，它都不放过！渔歌强烈推荐。

　　

　　软件性质： 免费，小巧实用

　　推荐指数： ★★★★★

　　

　　五、StartStop

　　

　　软件安装后它会将自己加到注册表的RunOnce自启动，启动后会自动缩小到托盘区一个小图标，双击即可打开StartStop主界面，在这里列出了本机启动程序，右击某个程序可以选择总是启动、从不启动还是每次询问是否启动，如所示，它有特色的一个地方是单击菜单“Options→Startup delay”，可以设置启动时延迟多少时间启动程序。

　　

　　软件性质： 免费， 有特色

　　推荐指数： ★★★★

　　

　　六、Autoruns

　　

　　下载autoruns.zip后解压缩直接执行里面的autoruns.exe即可，由于它不会在启动时加载，显得更绿色。双击autoruns.exe打开程序界面，它不仅仅列出的是非常全的启动项，而且详细地列出了启动程序的公司和路径，如果还不满意，右击某个启动项目，选择属性，可以查看该启动项的文件属性。它还有两个特色功能，一个是右击任何一个启动项，选择Jump to就会立刻跳转到具体的位置，如跳转到注册表的具体键值、打开启动文件夹、打开INI文件等，非常方便！还有一个功能是单击View菜单，可以切换是否显示所有的启动位置、是否显示启动的服务、是否只显示非Microsoft公司的项目，这对于检查启动项目和过滤项目非常有用。

　　

　　软件性质： 免费，绿色软件

　　推荐指数： ★★★★★

　　

　　七、StartUp Organizer

　　

　　Startup Organizer的组织和管理自启动项功能很强大，它在控制启动项目方面做的也比较细，如为某个启动设定声音提示，还能设置在Windows启动时按某个键来控制某些程序启动与否，还可以备份自启动配置文件以便应急恢复、比较启动程序的变化、恢复第一次运行时的默认配置，操作也比较简单，遗憾之处就是不是免费的。