★★★★★★★★图标★★★★★★★★
作 用:修改普通文件类型的图标
路 径:HKEY_CLASSES_ROOT＼.ext （ext为欲修改的文件的扩展名）
键值名称:查找与.ext文件相关的程序数据名（如与.bat文件相关的程序数据名为"batfile"）
键 值:打开HKEY_CLASSES_ROOT＼batfile＼DefaultIcon（"batfile"为上一步找出的程序数据名）
将DefaultIcon的缺省数据修改为你喜欢的图标所在的位置
备 注:要从Windows目录下删除ShellIconCache文件。此文件为图标文件缓冲，它的存在可使系统
不必在文件的初始位置加载图标，而只需从此图标缓存中加载，加快了桌面和资源管理器中显示图标的速度。

作 用:我的电脑换图标
路 径:HKEY_CLASSES_ROOT＼CLSID＼{20D04FE0-3AEA-1069-A2D8-08002B30309D}＼DefaultIcon
键值名称:"默认"
键 值:将右边的（默认）改成你的图标文件名（包含路径）。

作 用:更改"我的电脑"图标的提示信息
路 径:HKEY_CLASSES_ROOT＼CLSID＼{20D0FE0-3AEA-1069-A2D8-08002B3030D9}
键值名称:InfoTip
键 值:修改键值内容

作 用:给"回收站"改名、改图标
路 径:HKEY_CLASSES_ROOT＼CLSID＼{645FF040-5081-101B-9F08-00AA002F954E}
键值名称:"默认"
键 值:把"回收站"改为其它名称。

作 用:修改系统文件夹的图标
路 径:HKEY_CLASSES_ROOT＼CLSID＼系统文件夹的ID
键值名称:DefaultIcon
键 值:缺省数据修改为你喜欢的图标所在的位置。

作 用:快捷方式图标上的箭头
路 径:HKEY_CLASSES_ROOT＼lnkfile、HKEY_CLASSES_ROOT＼piffile
键值名称:删除IsShortCut键值

作 用:BMP文件的图标为该文件的略图浏览
路 径:HKEY_CLASSES_ROOT＼Paint.Picture＼DefaultIcon
键值名称:"默认"
键 值:键值改为"%1"

作 用:改变图标大小
路 径:HKEY_CURRENT_USER＼Control Panel＼Desktop＼WindowMetrics
键值名称:"Shell Icon Size"
键 值:改变其值即改变图标大小，缺省值为"32"

作 用:高彩色显示图标
路 径:HKEY_CURRENT_USER＼Control Panel＼Desktop＼WindowMetrics
键值名称:"Shell Icon BPP"
键 值:设其值为"16"

作 用:更改图标的间距
路 径:HKEY_CURRENT_USER＼Control Panel＼desktop＼WindowMetrics
键值名称:IconSpacing和IconVerticalSpacing
数据类型:
键 值:修改值可以更改图标的间距。
备 注:两个键值用于设定图标的水平和垂直间距，其绝对值越大间距越大。
作 用:更改桌面图标的大小
路 径:HKEY_CURRENT_USER＼Control Panel＼desktop＼WindowMetrics
键值名称:Shell Icon Size
数据类型:
键 值:修改值可以更改桌面上图标的大小。

作 用:让图标的色彩更鲜艳
路 径:HKEY_CURRENT_USER＼Control Panel＼desktop＼WindowMetrics
键值名称:新建"Shell Icon BPP"
数据类型:
键 值:输入16(16-bit)或24(24-bit)。

作 用:删除桌面上的Internet Explorer图标
路 径:HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer
键值名称:NoInternetIcon
数据类型:
键 值:值设为0，可以关闭这些功能；设置为1，可以激活它。

作 用:禁止使用"控制面版"中的"密码"图标设置功能
路 径:HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer
键值名称:NoSecCPL
数据类型:DWORD
键 值:1

作 用:删除桌面上的网上邻居图标
路 径:HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer
键值名称:NoNetHood
数据类型:DWORD值
键 值:1

作 用:隐藏桌面上的所有图标
路 径:HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer
键值名称:新建"NoDesktop"
数据类型:DWORD
键 值:为1表示生效，即没有桌面，0 则相反。

作 用:删除虚拟光盘图标
路 径:HKEY_LOCAL_MACHINE＼Enum＼SCSI
键值名称:两个子键 对应虚拟光盘和真光驱,把SCSI下的子键全删除

作 用:更改"设备管理"中的硬件设备图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼CurrentControlSet＼Services＼Class
键值名称:找到"Icon"
数据类型:字符串
键 值:修改其值即可

作 用:改变最大图标缓冲
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer
键值名称:Max Cached Icons
键 值:设其值为"7500"

作 用:更改软驱、光驱、文件夹图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:新建串值，把新建串值名改为6(代表软驱)
键 值:键值改为你想要的图标的路径，如"d:＼icon＼floppya.ico"，类似地，11代表光驱，
3代表文件夹，8代表硬盘驱动器

作 用:更改硬盘图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:新建串值，把新建串值名改为8
数据类型:
键 值:想要的图标的路径，如"d:＼icon＼hd.ico"
备 注:

作 用:改变帮助图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:"23"
键 值:路径及文件名

作 用:改变查找图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:"22"
键 值:路径及文件名

作 用:改变程序图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:"19"
键 值:路径及文件名

作 用:改变关机图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:"27"
键 值:路径及文件名

作 用:改变设置图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:"21"
键 值:路径及文件名

作 用:改变收藏夹图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:"43"
键 值:路径及文件名

作 用:改变文档图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:"20
键 值:路径及文件名

作 用:改变运行图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:"24"
键 值:路径及文件名

作 用:改变注销图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼explorer＼Shell Icons
键值名称:"44"
键 值:路径及文件名

作 用:隐藏任务纪录图标
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Symantec＼pcANYWHERE＼CurrentVersion＼Remote Control
键值名称:HideRecordingButton
数据类型:DWORD
键 值:1

作 用:禁止在桌面上显示图标
路 径:HKEY_USERS＼.DEFAULT＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer
键值名称:新建一个值："NoDestop"
数据类型:DWORD
键 值:设其值为"1"

winxp系统注册表解释大全5（转）
★★★★★★其他★★★★★★★
作 用:清理软件删除后的遗留信息
路 径:heky_current_user＼software
键值名称:查找相应软件信息
键 值:删除

作 用:快速打开文件编辑
路 径:hkey_classes_root＼*
键值名称:新建"shell"子键，在其下新建"wordpad"子键
键 值:双击该键右面窗口的 "默认"处并在"键值"栏内输入"写字板"，接着在"wordpad"子键下
建立下一级子键"command",在"默认"的 "键值"栏内输入"c:＼program files＼accessories＼wordpad.exe %1"

作 用:为所有的文件增加quick view 选项
路 径:hkey_classes_root＼*
键值名称:quickview 没有新建
键 值:default值改为*。

作 用:缩略图显示bmp文件
路 径:hkey_classes_root＼.bmp
备 注:找到默认值（例如paint.picture)；再找到hkey_classes_root＼paint.picture,打开或
创建新键defaulticon，将其值改为%1。

作 用:删除快捷方式中的小箭头
路 径:hkey_classes_root＼.lnk ( windows 程序的快捷方式)或者选择 hkey_classes_root＼.pif
( dos程序的快捷方式)
键值名称:isshortcut
键 值:删除

作 用:关闭cd播放器自动播放功能
路 径:hkey_classes_root＼audiocd＼shell
键值名称:-(default)
键 值:的值改为play 表能够自动播放，改为没有内容则禁止。

作 用:双击bat文件时编辑而不是执行
路 径:hkey_classes_root＼batfile＼shell
键值名称:"默认"
键 值:值由"open"改为"edit"

作 用:删除查找结果中的文件列表
路 径:hkey_current_user＼.default＼software＼microsoft＼windows＼currentversion＼explorer
＼docfind specmru
键 值:在右窗格中除第一、二和最后一个不能删除外，将其它删除即可

作 用:禁止光标闪烁
路 径:hkey_current_user＼control panel＼desktop
键值名称:cursorblinkrate
数据类型:字符串
键 值:-1

作 用:更改关闭应用程序时出现"等待"对话框的时间
路 径:hkey_current_user＼control panel＼desktop
键值名称:新建"waittokillapptimeout"
数据类型:字符串值
键 值:"键值"框中输入10000（单位为ms，缺省值为20000ms，即20秒）
备 注:　　为了缩短系统关闭应用的等待时间，您可以将此等待时间降低为20000ms以下，
如10000ms、15000ms等。

作 用:加快菜单显示速度
路 径:hkey_current_user＼control panel＼desktop
键值名称:menushowdelay
数据类型:字符串
键 值:单位:毫秒50值范围为0-999，0表示最快

作 用:禁止windows平滑卷动
路 径:hkey_current_user＼control panel＼desktop
键值名称:smoothscroll
键 值:设其值为"0"，若允许则设值为"1"。
作 用:禁止屏幕保护功能
路 径:hkey_current_user＼control panel＼desktop
键值名称:screensaveactive指屏幕保护功能是否可用
键 值:值为0或1，0为不用屏幕保护功能，1为可用。

作 用:禁止屏幕保护使用密码
路 径:hkey_current_user＼control panel＼desktop
键值名称:screensaveusepassword指屏幕保护是否使用密码
键 值:值为0或1，0为不设密码，1则使用预设的密码。

作 用:控制屏幕保护的延时
路 径:hkey_current_user＼control panel＼desktop
键值名称:screensavetimeout指屏幕保护的延时
键 值:值为一数值，单位是秒，最小值是60秒。

作 用:控制选择"等待"的等待时间
路 径:hkey_current_user＼control panel＼desktop
键值名称:waittokillapptimeout指当用ctrl＋alt＋del来关闭一个应用程序时出现提示"等待"
时选择"等待"的等待时间
键 值:单位是毫秒，默认值是10000，可以减小以缩短等待时间。

作 用:删除屏幕保护密码设置
路 径:hkey_current_user＼control panel＼desktop
键值名称:screensaveusepassword和screensave_data
数据类型:二进制
键 值:screensaveusepassword为1表示设定密码保护，为0表示不设定密码保护，screensave_data
表示的是密码加密后的值，将screensaveusepassword的值修改为0或将screensave_data删除都可以
删除屏幕保护的密码。

作 用:设置墙纸的位置
路 径:hkey_current_user＼control panel＼desktop
键值名称:新建"wallpaperoriginx":表示墙纸左侧的水平坐标（单位：象素） "wallpaperoriginy":
表示墙纸顶边的垂直坐标（单位：象素）
数据类型:字符串值
键 值:如果将键值分别设为"400"、"50"，重新启动电脑后，墙纸就到了屏幕的右上角。

作 用:取消动画效果开关窗口
路 径:hkey_current_user＼control panel＼desktop＼windowmetrics
键值名称:minanimate
键 值:为"0"可取消动画效果

作 用:改变时间的显示格式
路 径:hkey_current_user＼control panel＼international
键值名称:新建"stimeformat"
键 值:"键值"修改为"hhmm"

作 用:更改鼠标的速度设置
路 径:hkey_current_user＼control panel＼mouse
键值名称:doubleclickspeed和mousespeed
键 值:修改值可以改变鼠标的双击速度和鼠标移动速度
备 注:双击速度最快为100毫秒，最慢为900毫秒，移动速度，最快为2，最慢为0。

作 用:鼠标激活移动到的窗口(x-mouse)
路 径:hkey_current_user＼control panel＼mouse
键值名称:activewindowtracking
数据类型:字符串
键 值:1

作 用:设置电源方案
路 径:hkey_current_user＼control panel＼powecfg
备 注:powerpolicies子键表示系统可以采用的所以电源方案，而hkey_current_user＼control panel
＼powecfg主键下的字符串currentpowerpolicy表示当前正在使用的电源方案，其值与powerpolicies
子键的电源方案值相对应。

作 用:清除安装盘路径的历史记录
路 径:hkey_current_user＼installlocationsmru
键值名称:除(默认) 外所有的项目
键 值:删除

作 用:重排输入法秩序
路 径:hkey_current_user＼keyboard layout＼preload
备 注:有1到5甚至更多，你所有的输入法顺序就是从1往下排的，它们的默认值是16进制的数字。
win98 自带的各个输入法的值：英语00000409 微软拼音e00e0804 全拼e0010804 郑码e0030804
智能abce0040804 改变顺序时，只要将它们的序号重新命名即可

作 用:退出windows 98时不保存环境设置
路 径:hkey_current_user＼software＼micoros-oft＼windows＼currentversion＼policies＼explorer
键值名称:新建"nosavesettings"
数据类型:dword。
键 值:"键值"框中输入1（不保存环境的设置）或者0（保存环境的设置）。

作 用:输入汉字时在汉字后面加空格
路 径:hkey_current_user＼software＼microsoft＼windows＼currentversion
键值名称:相应输入法"插空格"
键 值:键值改为1

作 用:取消资源管理器的文件菜单
路 径:hkey_current_user＼software＼microsoft＼windows＼currentversion＼
键值名称:nofilemenu
数据类型:dword
键 值:1
作 用:启动时显示windows95的欢迎窗口
路径:hkey_current_user＼software＼microsoft＼windows＼currentversion＼explorer＼tips
键值名称:show
键 值:第1个值改为01表示能够显示，00 则相反。

作 用:禁止修改"开始"菜单
路 径:hkey_current_user＼software＼microsoft＼windows＼currentversion＼policies＼explore
键值名称:新建 "nochangestartmenu"
数据类型:dword
键 值:设其值为"1"。

作 用:隐藏"我的电脑"中所有驱动器
路 径:hkey_current_user＼software＼microsoft＼windows＼currentversion＼policies＼explore
键值名称:新建"nodrivers"
数据类型:dword
键 值:"键值"框内输入1。

作 用:禁止“显示”属性对话框中的“web”页
路 径:hkey_current_user＼software＼microsoft＼windows＼currentversion＼policies＼explorer
键值名称:noactivedesktopchange
数据类型:
键 值:值设为0，可以关闭这些功能；设置为1，可以激活它。

作 用:隐藏任务栏上按右键时弹出的菜单
路 径:hkey_current_user＼software＼microsoft＼windows＼currentversion＼policies＼explorer
键值名称:新建notraycontextmenu
数据类型:dword
键 值:值设为"1"时为有效

作 用:只允许用户使用由您指定的程序
路 径:hkey_current_user＼software＼microsoft＼windows＼currentversion＼policies＼explorer
键值名称:新建"restrictrun"
数据类型:dword
键 值:并设其值为"1"
备 注:在restrictrun的主键下分别添加名为"1"、"2"、"3"等字符串值，然后将"1"，"2"、"3"等
字符串的值设置为允许使用的程序名。例如将"1"、"2"、"3"分别设置为mshearts.exe、
freecell.exe、sol.exe，则用户只能使用红心打战、空档接龙、纸牌程序。

作 用:禁用注册表编辑器regedit
路 径:hkey_current_user＼software＼microsoft＼windows＼currentversion＼policies＼system
键值名称:新建disableregistrytools
数据类型:dword
键 值:修改它的值为1
备 注:如果要恢复的话，请把下面的字打成一个reg.reg文件： regedit4 [hkey_current_user
＼software＼microsoft＼windows＼currentversion＼policies＼system]
"disableregistrytools"=dword:00000000

作 用:禁止使用dos程序
路 径:hkey_current_user＼software＼microsoft＼windows＼currentversion＼policies＼winoldapp]
键值名称:"disabled"
数据类型:dword
键 值:00000001

作 用:改变记事本的字体
路 径:hkey_local_machine＼config＼0001＼display＼settings
键值名称:fixedfon.fon
键 值:值为你想要的字体的文件名，默认的字体是vgafix.fon
备 注:虽然理论上可以使用ttf字体，但最好还是选择以fon为扩展名的字体。如果你不知道你的
电脑中有哪些字体，请在控制面板中双击"字体"图标，就能查看到。

作 用:解决删除虚拟光驱后原光驱无法使用的问题
路 径:hkey_local_machine＼enum＼scsi
键值名称:主键下的所有子键
键 值:删除,
备 注:删除了物理光驱和虚拟光驱的信息，重新启动，系统自动找到物理光驱，并且重新在上述
子键下加入了物理光驱信息，问题解决。

作 用:禁止"取消"键，不输入正确密码就不能进入windows 98
路 径:hkey_local_machine＼network＼logon
键值名称:mustbevalidated
数据类型:dword
键 值:1

作 用:只安装通过认证的驱动程序
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼DriverSigning
键值名称:Policy
键 值:修改它的第一个值为01或02
备 注:01就代表1级，02代表2级，1级没有注册标志时提示你，但允许继续安装，2级则不允许安
装没有认证的驱动程序。为了Win98的系统稳定，你可以让它只安装通过认证的驱动程序。

作 用:删除或修改与注册表相关的目录和文件
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼App Paths
键值名称:　在删除某些文件目录或更改名字时Win98说，这个文件或路径与注册表相关，真的是
改变吗?只要启动注册表编辑器，到下查找，看看App Path下面有没有你的东西在内，将它删除
就不会再有这种事发生

作 用:禁用口令缓存
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Network
键值名称:新建"DisablePwdCaching"
数据类型:DWORD
键 值:"键值"框内输入1
备 注:注意！请慎用此设置，此时控制面板中的"密码"属性中无法更改密码，登陆时该用户使
用任何一个密码或不用密码就可以登陆。

作 用:设置Windows口令的最小长度
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Network
键值名称:新建"MinPwdLen"
数据类型:DWORD
键 值:"键值"框内输入n
备 注:n大于等于0小于等于8。

作 用:使Windows口令必须为数字和字母
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Network
键值名称:新建"AlphanumPwds"
数据类型:DWORD
键 值:"键值"框内输入1。

作 用:使用星号（*）隐藏共享口令
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Network
键值名称:新建"HideSharePwds"
数据类型:DWORD
键 值:"键值"框内输入1。

作 用:在共享设置中禁用文件共享
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Network
键值名称:新建"NoFileSharing"
数据类型:DWORD
键 值:"键值"框内输入1。

作 用:查找BackDoor黑客程序
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run
键值名称:查找"Notepad"键值
键 值:如果有则说明系统已经被安装上了BackDoor，将其删除。

作 用:查找NetSpy黑客程序
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run
键值名称:查找"NetSpy"键值
键 值:如果有则说明系统已经被安装上了NetSpy，应将其删除。

作 用:程序自动加载
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run
键 值:在系统提示用户登录之后才执行

作 用:进入WINDOWS98时显示欢迎提示
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run
键值名称:新建"Welcome"
数据类型:字符串
键 值:设值为"Welcome.exe /R"

作 用:禁止注册表检查器在启动时检查和备份注册表
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run
键值名称:"ScanRegistry"
键 值:值是"C:＼Windows＼Scanregw.exe/autorun"，把它删除
备 注:如果你只是不想备份，而又想它在启动时检查注册表，请用记事本打开Win98 目录下
的SCANREG.INI，找到Backup=1 这行，改为Backup=0 就行了。

作 用:让Windows 启动时自动执行某一程式
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run
键值名称:新建主键（如记事本）
键 值:路径及程序名称和参数
备 注:在[开始/程序/启动]文件夹中放置程序的快捷方式，使用者仍然可以在开机时按住
Shift忽略[启动]文件夹中的程序。

作 用:删除自动执行的Windows 程序
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run
键 值:找到你的程序，选择"删除"。
作 用:解决黑客BO
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServices＼
键值名称:默认
键 值:如果是".exe"删除
备 注:重新启动计算机删除windows＼system下的"空格.exe"和windll.dll。

作 用:更改Windows安装时的源目录
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Setup
键值名称:SourcePath 表示Windows98安装盘所在的路径，MediaPath表示多媒体文件所在的目录
键 值:将"SourcePath"主键的值改为"相应路径"

作 用:删除多余的DLL
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼SharedDLLs
键值名称:每个DLL后面的括号中都有一个数字，说明当前DLL被几个应用程序共享

作 用:清除"添加/ 删除程序"中的垃圾
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Uninstall
键值名称:查找要删除的软件
键 值:整个删掉

作 用:禁止接受FTP命令
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼URL＼Prefixes
键值名称:删除字符串键ftp，当敲入命令"FTP ftp.regedit.com"将运行FTP

作 用:隐藏上机用户登录的名字(隐身上机)
路 径:HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Winlogon
键值名称:新建DontDisplayLastUserName
键 值:修改内容为1
备 注:下次上机时，用户名单中不会再有最后上机的人了。

作 用:快速关机
路 径:HKEY_LOCAL_MACHINE＼System＼CourrentControlSet＼Control＼Shutdown
键值名称:新建FastReboot
数据类型:字符串
键 值:输入键值为1

作 用:文件夹自动刷新
路 径:HKEY_LOCAL_MACHINE＼SYSTEM＼CURRENTCONTRO LSET＼CONTROL＼UPDATE
键值名称:"UPDATEMODE"
键 值:"1"改为"0"。

作 用:禁止用"~"的尾巴来表示长文件名
路 径:HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼control＼FileSystem
键值名称:新建NameNumericTail
数据类型:二进制
键 值:输入值为00时是禁止长文件名的尾巴，改成 01则相反。

作 用:增加硬盘缓存
路 径:HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼Control＼FileSystem
键值名称:NameCache是文件名缓存
键 值:32MB系统建议为800000，64MB系统建议为0F00000

作 用:根据您的CDROM速度优化CDROM预读取性能.
路 径:HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼Control＼FileSystem＼CDFS
键值名称:"Prefetch"
数据类型:DWORD
键 值:4倍速:000000e4(默认值) 8倍速:000001c0 16倍速:00000380 24倍速:00000540
32倍速:00000700 36倍速:00000750 40倍速:00000800 48倍速:00000800注意:-(如果修改以
上两个键值导致CDROM工作不正常,如:播放VCD时找不到VCD碟,请降低一个级别)

作 用:将光驱性能发挥到极限
路 径:HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼Control＼FileSystem＼CDFS
键值名称:CacheSize
数据类型:DWORD
备 注: 缓存的大小，正常用途，就不必改；如果用于媒体就取值：d6,04,00,00；要最大
化CDROM速度就取值：ac,09,00,00

作 用:删除多余的键盘布局
路 径:HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼control＼Keyboard Layouts
键值名称:大多数布局
键 值:删掉它们的键

作 用:禁止软盘驱动器的FIFO特性，从而优化软盘驱动器性能
路 径:HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼Services＼Class＼fdc＼0000
键值名称:ForceFIFO
键 值:0

作 用:提高软盘驱动器的读写速度
路 径:HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼Services＼Class＼FDC＼0000
键值名称:新建"ForeFifo"
数据类型:DWORD
键 值:值为"0"。

作 用:提高软驱读写缓冲性能
路 径:HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼Services＼Class＼fdc＼0000
键值名称:新建ForceFIFO
数据类型:DWORD
键 值:设其值为1即可

作 用:使文件显示扩展名
路 径:HKEY_USERS＼.DEFAULT＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced
键值名称:"HideFileExt"
数据类型:DWORD
键 值:值由1改为0后即可显示文件的扩展名

理论篇

什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。
我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$，访问共享资源,导出用户列表,并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的.
解惑:
1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能，其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数，所以不能在Windows 9.x中运行。
也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)
2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接
3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表
三 建立ipc$连接在hack攻击中的作用
就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!!
(基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是2000server，还可以考虑开启终端服务方便控制.怎么样?够厉害吧!)
不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的
因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现ipc$连接并不是万能的,甚至在主机不开启ipc$共享时,你根本就无法连接.
所以我认为,你不要把ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是ipc$连接在hack入侵中的意义所在. 四 ipc$与空连接,139,445端口,默认共享的关系
以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)
1)ipc$与空连接:
不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了.
许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟).
2)ipc$与139,445端口:
ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的.
3)ipc$与默认共享
默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)
如何打开目标的IPC$
首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马,当然，这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）,还是不行的话（比如有防火墙，杀不了）建议放弃。

什么是木马和木马一些常见问题:
木马当然不是幼儿园里小朋友的玩具（可偏偏有人还这么认为过），而是一种远程控制软件。在金山毒霸，瑞星等杀毒软件的眼里，木马是病毒，是“带有恶意性质的黑客工具”。木马一般分为客户端（client）和服务端（server），客户端就是你自己使用的各种命令的控制台，服务端则是要给别人运行，只有当运行过服务端的电脑才能够“完全由你控制”！
2、木马有什么用
是不是曾有人在你面前炫耀过他能搞到别人的上网帐号？或者是五六位数的QQ密码？或者是网友的玉照：）？在你没有认识木马前，这些炫耀者在你眼里无疑是神秘而崇拜的，可是当你读完全篇《木马菜鸟入门教程》后，你也可以轻易做到这个了！木马既然能够远程控制别人的计算机，那么它的计算机上的一切就都是你的，对你来说，他已毫无秘密可言。
3、怎样防范和清除木马
对于菜鸟来说，防范木马最简单和直接的办法就是装上一个或几个保险的防火墙，如天网、blackice等，再就是杀毒和杀木马软件，现在最好的是两种--金山毒霸和木马克星。可以这么说，如果你电脑里没有这两种软件，你还是不要上网玩木马的好！
即使没有用过木马的人也一定听说过冰河这个响亮的名字，冰河是国产木马中的精品，是佼佼者！即使现在看来它不是木马中最好的，但也是木马中用得最多的，在中国，据说中冰河的机器就已达到几十万台！每一台电脑都对应有自己的独一无二IP，就像是人的指纹一样，要控制一台中木马的电脑，就首先要知道他的IP地址。通过“连接”这个地址，你就达到了远程控制他人电脑的目的。
再说几个在使用木马中的常见问题：
1、局域网IP问题
这个问题是网友问得最多的了，网吧你知道吧？对了，网吧就是一个局域网！局域网的电脑由一台或多台主机和许许多多的分机组成，所以除了主机外，所有分机都会有两个IP，一个是外部IP（对外显示为根主机一致的IP），再就是内部IP，由主机分配，一般形式为（192.16.0.1或10.192.0.1等）当一台网吧的电脑中了木马时，我们该连接那个IP呢？如果中木马的是分机，答案是内部IP！如果是主机，不用说，就是他的唯一的IP了。
2、局域网连接问题
又有网友问：为什么网吧的电脑明明中了木马，我却连接不上？
有时我们连接网吧的内部IP不成功的主要原因是因为对方有防火墙，多数情况我们是无法通过木马连接到一台局域网内部的电脑的。但如果是“反弹端口式”木马，是有可能穿过防火墙的，蔬菜正在开发中的网络神偷正是这样一个木马，我们期待了。
3、主机对主机的连接问题
这样还连不上，原因就很多了。首先看看自己开了防火墙没有，如果有就关掉再试。还有就是网速问题，网速太慢有时也连不上。虚假端口，你以为扫描到对方的7626端口是打开的就是中了冰河？其实不对，现在很多木马都是可以自定义端口的了，7306也不一定就是netspy，2001可能是黑洞也可能是冰河或其他木马所开的端口，而且还有一种情况：对方虽然有端口打开，但可能什么木马也没有中！它仅仅就是开了一个端口而已，比如用猎鹿人这个软件就可以很轻易打开任何一个让别人以为是木马的端口来欺骗对方，在欺骗的同时获取对方的讯息。玩木马的朋友自己小心。

金山毒霸明察秋毫，木马克星杀马无情。怎么保护自己的木马不被对方的软件查杀无疑是一个重点。改造木马的服务端是比较简单和直接的办法--加密压缩。加密压缩过的木马一般还是能躲过一些软件的追查的，这里推荐四个加密压缩工具：asprotect、aspack、upx（upx在本站可以下载到）、telock。有的服务端直接加密压缩就可以了，有的要先用upx解压缩后在用其它工具加密压缩，注意不是所有的服务端压缩后都能正常使用的，推荐几个可以压缩的：netspy/protoss/netbull。还有的服务端必须弄大一点才能躲过查杀，大家自己试了。

端口篇

端口可分为3大类：

1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。

0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。

1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。

7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 （十六进制的0x1600）位交换后是0x0016（使进制的22）。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。

25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。

79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）

109 POP2并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？ 这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139 NetBIOS　File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。

162 SNMP trap 可能是由于错误配置。

177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。

600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。

1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，可以闭开portmapper直接测试这个端口。

3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：
000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。

5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）

6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。 Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载： 机器会不断试图解析DNS名─ads.conducent.com，即IP地址216.33.210.40 ；
216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即 3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT,Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连 接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html

端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。 常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。

Server Client 服务描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器

它有很多选项，如/A表示显示所有文件（即包括带隐含和系统属性的文件）,/S表示也显示子文件夹中的文件，/P表示分屏显示，/B表示只显示文件名，等等。
如 DIR A*.EXE /A /P
此命令分屏显示当前文件夹下所有以A开头后缀为EXE的文件(夹）。

CD或CHDIR 改变当前文件夹。
用法：CD [文件夹名]
若无文件夹名则显示当前路径。

MD或MKDIR 建立文件夹。
用法：MD 文件夹名

RD或RMDIR 删除文件夹。
用法：RD 文件夹名
注意：此文件夹必须是空的。

DEL或ERASE 删除文件。
用法：DEL/ERASE 文件名

COPY 拷贝文件。
用法: COPY 文件名1 [文件名2] [选项]
如 COPY /B A+B C
此命令将两个二进制文件A和B合为一个文件C。

TYPE 显示文件内容。
用法：TYPE 文件名

REN或RENAME 改变文件名，在DOS7中还可以改变文件夹名。
用法：REN 文件（夹）名1 文件（夹）名2

EDIT 编辑文件，在DOS7中还可以编辑二进制文件。
用法：EDIT [文件名] [选项]
如 EDIT /70 C:/COMMAND.COM
此命令以二进制方式编辑C:/COMMAND.COM文件。

FORMAT 格式化磁盘。
用法：FORMAT 驱动器 [选项]

它的选项很多，如/Q是快速格式化，/U表示无条件格式化（即无法使用UNFORMAT等命令恢复），/V指定磁盘的卷标名，等等。它还有许多未公开参数。

MEM 显示内存状态。
用法：MEM [选项]

它的选项也有不少，如/C可列出所有程序的内存占用，/D是显示驻留内存的程序及设备驱动程序的状态等详细信息，/F显示空闲的内存总量，/M显示内存中的模块信息，/P则是分屏显示。还有隐藏的/A选项，可以显示HMA信息。

MOVE 移动文件或文件夹，还可以更改文件或文件夹的名称。
用法：MOVE 文件[夹]1 文件[夹]2
如 MOVE C:/*.EXE D:
此命令可以将C盘根文件夹下所有扩展名为EXE的文件移到D盘上。

XCOPY 复制文件或文件夹。
用法：XCOPY 文件[夹]名1 [文件[夹]名2] [选项]

它的选项非常多，如/S可拷贝整个文件夹（包括子文件夹）中的文件，/E指定包括空文件夹，/V表示复制完后检验复制出的文件的正确性，/Y表示确认，等等。

CLS 清除屏幕。
用法：CLS

SYS 传导系统，即将系统文件（如IO.SYS等）从一处传输到指定的驱动器中。
用法：SYS 文件夹名 [驱动器]
如 SYS C:/DOS A:
此命令即可将位于C:/DOS文件夹下的系统文件传输到A盘中。

DATE 显示或设置日期。
用法：DATE [日期]

TIME 显示或设檬奔洹?br>用法：TIME [时间]
CMD命令集

1.最基本，最常用的，测试物理网络的
ping 192.168.10.88 －t ，参数－t是等待用户去中断测试
2.查看DNS、IP、Mac等
A.Win98：winipcfg
B.Win2000以上：Ipconfig/all
C.NSLOOKUP：如查看河北的DNS
C:/>nslookup
Default Server: ns.hesjptt.net.cn
Address: 202.99.160.68
>server 202.99.41.2 则将DNS改为了41.2
> pop.pcpop.com
Server: ns.hesjptt.net.cn
Address: 202.99.160.68
Non-authoritative answer:
Name: pop.pcpop.com
Address: 202.99.160.212
3.网络信使
Net send 计算机名/IP|* (广播) 传送内容，注意不能跨网段
net stop messenger 停止信使服务，也可以在面板－服务修改
net start messenger 开始信使服务
4.探测对方对方计算机名，所在的组、域及当前用户名
ping －a IP －t ，只显示NetBios名
nbtstat -a 192.168.10.146 比较全的
5.netstat -a 显示出你的计算机当前所开放的所有端口
netstat -s -e 比较详细的显示你的网络资料，包括TCP、UDP、ICMP 和 IP的统计等
6.探测arp绑定（动态和静态）列表，显示所有连接了我的计算机，显示对方IP和MAC地址
arp -a
7.在代理服务器端
捆绑IP和MAC地址，解决局域网内盗用IP：
ARP －s 192.168.10.59 00－50－ff－6c－08－75
解除网卡的IP与MAC地址的绑定：
arp -d 网卡IP
8.在网络邻居上隐藏你的计算机
net config server /hidden:yes
net config server /hidden:no 则为开启
9.几个net命令
A.显示当前工作组服务器列表 net view，当不带选项使用本命令时，它就会显示当前域或网络上的计算

机上的列表。
比如：查看这个IP上的共享资源，就可以
C:/>net view 192.168.10.8
在 192.168.10.8 的共享资源
资源共享名 类型 用途 注释
--------------------------------------
网站服务 Disk
命令成功完成。

B.查看计算机上的用户帐号列表 net user
C.查看网络链接 net use
例如：net use z: //192.168.10.8/movie 将这个IP的movie共享目录映射为本地的Z盘
D.记录链接 net session
例如：
C:/>net session
计算机 用户名 客户类型 打开空闲时间
-------------------------------------------------------------------------------
//192.168.10.110 ROME Windows 2000 2195 0 00:032
//192.168.10.51 ROME Windows 2000 2195 0 00:00:39
命令成功完成。
10.路由跟踪命令
A.tracert pop.pcpop.com
B.pathping pop.pcpop.com 除了显示路由外，还提供325S的分析，计算丢失包的％
11.关于共享安全的几个命令
A.查看你机器的共享资源 net share
B.手工删除共享
net share c$ /d
net share d$ /d
net share ipc$ /d
net share admin$ /d
注意$后有空格。
C.增加一个共享：
c:/net share mymovie=e:/downloads/movie /users
mymovie 共享成功。
同时限制链接用户数为1人。
12.在DOS行下设置静态IP
A.设置静态IP
CMD
netsh
netsh>int
interface>ip
interface ip>set add "本地链接" static IP地址 mask gateway
B.查看IP设置
interface ip>show address
Arp
显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地

址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己

单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。
语法
arp [-a [InetAddr] [-N IfaceAddr] [-g [InetAddr] [-N IfaceAddr] [-d InetAddr [IfaceAddr] [-s

InetAddr EtherAddr [IfaceAddr]
参数
-a [InetAddr] [-N IfaceAddr]
显示所有接口的当前 ARP 缓存表。要显示指定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的

arp -a，此处的 InetAddr 代表指定的 IP 地址。要显示指定接口的 ARP 缓存表，请使用 -N IfaceAddr

参数，此处的 IfaceAddr 代表分配给指定接口的 IP 地址。-N 参数区分大小写。
-g [InetAddr] [-N IfaceAddr]
与 -a 相同。
-d InetAddr [IfaceAddr]
删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用

IfaceAddr 参数，此处的 IfaceAddr 代表分配给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通

配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]
向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加

静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表分配给该接口的 IP 地址。
/?
在命令提示符显示帮助。
注释
InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。
物理地址 EtherAddr 由六个字节组成，这些字节用十六进制记数法表示并且用连字符隔开（比如，00-

AA-00-4F-2A-9C）。
通过 -s 参数添加的项属于静态项，它们不会 ARP 缓存中超时。如果终止 TCP/IP 协议后再启动，这些

项会被删除。要创建永久的静态 ARP 缓存项，请在批处理文件中使用适当的 arp 命令并通过“计划任务

程序”在启动时运行该批处理文件。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时，该命令才可用。
范例
要显示所有接口的 ARP 缓存表，可键入：
arp -a
对于指派的 IP 地址为 10.0.0.99 的接口，要显示其 ARP 缓存表，可键入：
arp -a -N 10.0.0.99
要添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项，可键入：
arp -s 10.0.0.80 00-AA-00-4F-2A-9C
Rsh
在运行 RSH 服务的远程计算机上运行命令。Windows XP 和 Windows 2000 不提供 RSH 服务。Windows

2000 Server Resource Kit 提供名为 Rshsvc.exe 的 RSH 服务。使用不带参数的 rsh 显示帮助。
语法
rsh [Host] [-l UserName] [-n] [Command]
参数
Host
指定运行 command 的远程计算机。
-l UserName
指定远程计算机上使用的用户名。在省略情况下，使用当前登录用户的名称。
-n
将 rsh 的输入重定向到 NULL 设备。这防止本地计算机命令结果的显示。
Command
指定要运行的命令。
/?
在命令提示符显示帮助。
注释
标准操作
rsh 命令将标准输入复制到远程 command，将远程 command 的标准输出复制到其标准输出，将远程

command 的标准错误复制到其标准错误。Rsh 通常在远程命令终止时终止。
使用重定向符号
为了使重定向在远程计算机上发生，要以引号引住重定向符号（例如 ">>"）。如果不使用引号，重定向

会在本地计算机发生。例如，以下命令将远程文件“RemoteFile”附加到本地文件“LocalFile”中：
rsh othercomputer cat remotefile >> localfile
以下命令将远程文件 Remotefile 附加到远程文件 otherremotefile 中：
rsh othercomputer cat remotefile ">>" otherremotefile
使用 rsh
在使用已登录到某个域并且运行 Windows XP Professional 的计算机时，该域的主域控制器必须可用于

确认用户名或 rsh 命令失败。
.rhosts 文件
.rhosts 文件通常许可 UNIX 系统的网络访问权限。.rhosts 文件列出可以访问远程计算机的计算机名及

关联的登录名。在正确配置了 .rhosts 文件的远程计算机上运行 rcp、rexec 或 rsh 命令时，您不必提

供远程计算机的登录和密码信息。
.rhosts 文件是一个文本文件，该文件中每一行为一个条目。条目由本地计算机名、本地用户名和有关该

条目的所有注释组成。每个条目均由制表符或空格分开，注释用符号 (#) 打头。例如：
host7 #This computer is in room 31A
.rhosts 文件必须在远程计算机的用户主目录中。有关远程计算机 .rhosts 文件特定执行的详细信息，

请参阅远程系统的文档。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时，该命令才可用。
范例
要以名称 admin1 在远程计算机 vax1 上执行 telcon 命令，请键入：
rsh vax1 -l admin1 telcon
Tftp
向运行平凡文件传输协议 (TFTP) 服务或 daemon 的远程计算机（尤其是运行 UNIX 的计算机）传输文件

或从运行平凡文件传输协议 (TFTP) 服务或 daemon 的远程计算机（尤其是运行 UNIX 的计算机）传输文

件。
语法
tftp [-i] [Host] [{get | put}] [Source] [Destination]
参数
-i
指定二进制图像传送模式（也称为八进制模式）。在二进制图像模式下，文件以一个字节为单位进行传输

。在传送二进制文件时使用该模式。如果省略了 -i，文件将以 ASCII 模式传送。这是默认的传送模式。

该模式将行尾 (EOL) 字符转换为指定计算机的适当格式。传送文本文件时使用该模式。如果文件传送成

功，将显示数据传输率。
Host
指定本地或远程计算机。
put
将本地计算机上的 Destination 文件传送到远程计算机上的 Source 文件。因为 TFTP 协议不支持用户

身份验证，所以用户必须登录到远程计算机，同时文件在远程计算机上必须可写。
get
将远程计算机上的 Destination 文件传送到本地计算机上的 Source 文件。
Source
指定要传送的文件。
Destination
指定将文件传送到的位置。如果省略了 Destination，将假定它与 Source 同名。
/?
在命令提示符显示帮助。
注释
使用 get 参数
如果将本地计算机上的文件 FileTwo 传送到远程计算机上的文件 FileOne，则指定 put。如果将远程计

算机上的文件 FileTwo 传送到远程计算机上的文件 FileOne，则指定 get。
Windows XP 或 Windows 2000 不提供一般用途的 TFTP 服务器。Windows 2000 提供的 TFTP 服务器服务

只为 Windows XP 和 Windows 2000 客户端计算机提供远程引导功能。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时，该命令才可用。
范例
要从本地计算机将文件 Users.txt 传送到远程计算机 vax1 上的 Users19.txt，请键入：
tftp vax1 put users.txt users19.txt
Nbtstat
显示本地计算机和远程计算机的基于 TCP/IP (NetBT) 协议的 NetBIOS 统计资料、NetBIOS 名称表和

NetBIOS 名称缓存。Nbtstat 可以刷新 NetBIOS 名称缓存和注册的 Windows Internet 名称服务 (WINS)

名称。使用不带参数的 nbtstat 显示帮助。
语法
nbtstat [-a RemoteName] [-A IPAddress] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [Interval]
参数
-a remotename
显示远程计算机的 NetBIOS 名称表，其中，RemoteName 是远程计算机的 NetBIOS 计算机名称。NetBIOS

名称表是运行在该计算机上的应用程序使用的 NetBIOS 名称列表。
-A IPAddress
显示远程计算机的 NetBIOS 名称表，其名称由远程计算机的 IP 地址指定（以小数点分隔）。
-c
显示 NetBIOS 名称缓存内容、NetBIOS 名称表及其解析的各个地址。
-n
显示本地计算机的 NetBIOS 名称表。Registered 中的状态表明该名称是通过广播或 WINS 服务器注册的

。
-r
显示 NetBIOS 名称解析统计资料。在配置为使用 WINS 的 Windows XP 计算机上，该参数将返回已通过

广播和 WINS 解析和注册的名称号码。
-R
清除 NetBIOS 名称缓存的内容并从 Lmhosts 文件中重新加载带有 #PRE 标记的项目。
-RR
重新释放并刷新通过 WINS 注册的本地计算机的 NetBIOS 名称。
-s
显示 NetBIOS 客户和服务器会话，并试图将目标 IP 地址转化为名称。
-S
显示 NetBIOS 客户和服务器会话，只通过 IP 地址列出远程计算机。
Interval
重新显示选择的统计资料，可以中断每个显示之间的 Interval 中指定的秒数。按 CTRL+C 停止重新显示

统计信息。如果省略该参数， netstat 将只显示一次当前的配置信息。
/?
在命令提示符显示帮助。
注释
Nbtstat 命令行参数区分大小写。
下表列出了由 Nbtstat 生成的列标题。 标题 说明
Input 接收的字节数。
Output 发送的字节数。
In/Out 该连接是否从计算机（传出）或者其他计算机到本地计算机（传入）。
Lift 名称表缓存项在被清除之前所存留的时间。
Local Name 本地 NetBIOS 名称与连接相关联。
Remote Host 与远程计算机相关的名称或 IP 地址。
<03> 转化为十六进制的 NetBIOS 名称的最后一个字节。每个 NetBIOS 名称长度均为 16 个字符。由于

最后一个字节通常有特殊的意义，因为相同的名称（只有最后一个字节不同）可能在一台计算机上出现几

次。例如，<0> 在 ASCII 文本中是一个空格。
Type 名称类型。名称可以是单个名称，也可以是组名称。
Status 远程计算机上是否在运行 NetBIOS 服务（“已注册”），或同一计算机名是否已注册了相同的服

务（“冲突”）。
State NetBIOS 连接的状态。
下表列出了可能的 NetBIOS 连接状态。 状态 说明
已连接 会话已建立。
关联 连接的终结点已经被创建并与 IP 地址关联。
正接听 该终结点对内向连接可用。
空闲 该结束点已被打开单不能接收连接。
正在连接 会话处于连接阶段。在此阶段正在解析所选目标的由名称到 IP 地址的映射。
接受 入站会话当前正在被接受，将在短期内连接。
重新连接 会话将试图重新连接（如果第一次连接失败）。
出站 会话正处于连接阶段。此阶段正在创建 TCP 连接。
入站 入站会话在连接期。
正在断开 会话正在断开连接。
已中断连接 本地计算机已断开连接，并正等待远程系统的确认。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时，该命令才可用。
范例
要显示 NetBIOS 计算机名为 CORP07 的远程计算机的 NetBIOS 名称表，请键入：
nbtstat -a CORP07
要显示所分配 IP 地址为 10.0.0.99 的远程计算机的 NetBIOS 名称表，请键入：
nbtstat -A 10.0.0.99
要显示本地计算机的 NetBIOS 名称表，请键入：
nbtstat -n
要显示本地计算机 NetBIOS 名称缓存的内容，请键入：
nbtstat -c
要清除 NetBIOS 名称缓存并重新装载本地 Lmhosts 文件中带标记 #PRE 的项目，请键入：
nbtstat -R
要释放通过 WINS 服务器注册的 NetBIOS 名称并对其重新注册，请键入：
nbtstat -RR
要每隔 5 秒以 IP 地址显示 NetBIOS 会话统计资料，请键入：
nbtstat -S 5
Netstat
显示活动的 TCP 连接、计算机侦听的端口、以太网统计信息、IP 路由表、IPv4 统计信息（对于 IP、

ICMP、TCP 和 UDP 协议）以及 IPv6 统计信息（对于 IPv6、ICMPv6、通过 IPv6 的 TCP 以及通过 IPv6

的 UDP 协议）。使用时如果不带参数，netstat 显示活动的 TCP 连接。
语法
netstat [-a] [-e] [-n] [-o] [-p Protocol] [-r] [-s] [Interval]
参数
-a
显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口。
-e
显示以太网统计信息，如发送和接收的字节数、数据包数。该参数可以与 -s 结合使用。
-n
显示活动的 TCP 连接，不过，只以数字形式表现地址和端口号，却不尝试确定名称。
-o
显示活动的 TCP 连接并包括每个连接的进程 ID (PID)。可以在 Windows 任务管理器中的“进程”选项

卡上找到基于 PID 的应用程序。该参数可以与 -a、-n 和 -p 结合使用。
-p Protocol
显示 Protocol 所指定的协议的连接。在这种情况下，Protocol 可以是 tcp、udp、tcpv6 或 udpv6。如

果该参数与 -s 一起使用按协议显示统计信息，则 Protocol 可以是 tcp、udp、icmp、ip、tcpv6、

udpv6、icmpv6 或 ipv6。
-s
按协议显示统计信息。默认情况下，显示 TCP、UDP、ICMP 和 IP 协议的统计信息。如果安装了 Windows

XP 的 IPv6 协议，就会显示有关 IPv6 上的 TCP、IPv6 上的 UDP、ICMPv6 和 IPv6 协议的统计信息。

可以使用 -p 参数指定协议集。
-r
显示 IP 路由表的内容。该参数与 route print 命令等价。
Interval
每隔 Interval 秒重新显示一次选定的信息。按 CTRL+C 停止重新显示统计信息。如果省略该参数，

netstat 将只打印一次选定的信息。
/?
在命令提示符显示帮助。
注释
与该命令一起使用的参数必须以连字符 (-) 而不是以短斜线 (/) 作为前缀。
Netstat 提供下列统计信息：
Proto
协议的名称（TCP 或 UDP）。
Local Address
本地计算机的 IP 地址和正在使用的端口号。如果不指定 -n 参数，就显示与 IP 地址和端口的名称对应

的本地计算机名称。如果端口尚未建立，端口以星号（*）显示。
Foreign Address
连接该插槽的远程计算机的 IP 地址和端口号码。如果不指定 -n 参数，就显示与 IP 地址和端口对应的

名称。如果端口尚未建立，端口以星号（*）显示。
(state)
表明 TCP 连接的状态。可能的状态如下：
CLOSE_WAIT
CLOSED
ESTABLISHED
FIN_WAIT_1
FIN_WAIT_2
LAST_ACK
LISTEN
SYN_RECEIVED
SYN_SEND
TIMED_WAIT
有关 TCP 连接状态的信息，请参阅 RFC 793。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时，该命令才可用。
范例
要想显示以太网统计信息和所有协议的统计信息，请键入下列命令：
netstat -e -s
要想仅显示 TCP 和 UDP 协议的统计信息，请键入下列命令：
netstat -s -p tcp udp
要想每 5 秒钟显示一次活动的 TCP 连接和进程 ID，请键入下列命令：
nbtstat -o 5
要想以数字形式显示活动的 TCP 连接和进程 ID，请键入下列命令：
nbtstat -n -o

NET命令详解
Net Accounts

更新用户帐号数据库、更改密码及所有帐号的登录要求。必须要在更改帐号参数的计算机上
运行网络登录服务。
net accounts [/forcelogoff:{minutes | no}] [/minpwlen:length] [/maxpwage:{days |
unlimited}] [/minpwage:days] [/uniquepw:number] [/domain]
net accounts [/sync] [/domain]
参数
无
键入不带参数的 net accounts，将显示当前密码设置、登录时限及域信息。
/forcelogoff:{minutes | no}
设置当用户帐号或有效登录时间过期时，结束用户和服务器会话前的等待时间。no 选项禁止
强行注销。该参数的默认设置为 no。
指定 /forcelogoff:minutes 之后，Windows NT 在其强制用户退出网络 minutes 分钟之前
，将给用户发出警报。如果还有打开的文件，Windows NT 将警告用户。如果 minutes 小于
两分钟，Windows NT 警告用户立即从网络注销。
/minpwlen:length
设置用户帐号密码的最少字符数。允许范围是 0-14，默认值为 6。
/maxpwage:{days | unlimited}
设置用户帐号密码有效的最大天数。unlimited 不设置最大天数。/maxpwage 选项的天数必
须大于 /minpwage。允许范围是 1-49,710 天 (unlimited)。默认值为 90 天。
/minpwage:days
设置用户必须保持原密码的最小天数。 0 值不设置最小时间。允许范围是 0-49,710 天，默
认值为 0 天。
/uniquepw:number
要求用户更改密码时，必须在经过 number 次后，才能重复使用与之相同的密码。允许范围
是 0-8。默认值为 5。
/domain
在当前域的主域控制器上执行该操作。否则只在本地计算机执行操作。
该参数仅用于 Windows NT Server 域中的 Windows NT Workstation 计算机，Windows NT
Server 计算机默认为在主域控制器执行操作。
/sync
当用于主域控制器时，该命令使域中所有备份域控制器同步；当用于备份域控制器时，该命
令仅使该备份域控制器与主域控制器同步。该命令仅适用于 Windows NT Server 域成员的计
算机。

Net Computer

从域数据库中添加或删除计算机。该命令仅在运行 Windows NT Server 的计算机上可用。
net computer /computername {/add | /del}
参数
/computername
指定要添加到域或从域中删除的计算机。
/add
将指定计算机添加到域。
/del
将指定计算机从域中删除。

Net Config

显示当前运行的可配置服务，或显示并更改某项服务的设置。
net config [service [options]]
参数
无
键入不带参数的 net config 将显示可配置服务的列表。
service
通过 net config 命令进行配置的服务（server 或 workstation）。
options
服务的特定选项。完整语法请参阅 net config server 或 net config workstation。

Net Config Server

运行服务时显示或更改服务器的服务设置。
net config server [/autodisconnect:time] [/srvcomment:"text "] [/hidden:{yes | n
o}]
参数
无
键入不带参数的 net config server，将显示服务器服务的当前配置。
/autodisconnect:time
设置断开前用户会话闲置的最大时间值。可以指定 -1，表示永不断开连接。允许范围是 -1
-65535 分钟，默认值是 15 分钟。
/srvcomment:"text "
为服务器添加注释，可以通过 net view 命令在屏幕上显示所加注释。注释最多可达 48 个
字符，文字要用引号引住。
/hidden:{yes | no}
指定服务器的计算机名是否出现在服务器列表中。请注意隐含某个服务器并不改变该服务器
的权限。默认为 no。

Net Config Workstation

服务运行时，显示或更改工作站各项服务的设置。
net config workstation [/charcount:bytes] [/chartime:msec] [/charwait:sec]
参数
无
键入不带参数的 net config workstation 将显示本地计算机的当前配置。
/charcount:bytes
指定 Windows NT 在将数据发送到通讯设备之前收集的数据量。如果同时设置 /chartime:m
sec 参数，Windows NT 按首先满足条件的选项运行。允许范围是 0-65535 字节，默认值是
16 字节。
/chartime:msec
指定 Windows NT 在将数据发送到通讯设备之前收集数据的时间。如果同时设置 /charcoun
t:bytes 参数，Windows NT 按首先满足条件的选项运行。允许范围是 0-65535000 毫秒，默
认值是 250 毫秒。
/charwait:sec
设置 Windows NT 等待通讯设备变为可用的时间。允许的范围是 0-65535 秒，默认值是 36
00 秒。

Net Continue

重新激活挂起的服务。
net continue service
参数
service
能够继续运行的服务，包括： file server for macintosh（该服务仅限于 Windows NT Se
rver）, ftp publishing service, lpdsvc, net logon, network dde，network dde dsdm
，nt lm security support provider，remoteboot（该服务仅限于 Windows NT Server），
remote access server, schedule，server，simple tcp/ip services 及 workstation 。

Net File

显示某服务器上所有打开的共享文件名及锁定文件数。该命令也可以关闭个别文件并取消文
件锁定。
net file [id [/close]]
参数
无
键入不带参数的 net file 可获得服务器上打开文件的列表。
id
文件标识号。
/close
关闭打开的文件并释放锁定记录。请从共享文件的服务器中键入该命令。

Net Group

在 Windows NT Server 域中添加、显示或更改全局组。该命令仅在 Windows NT Server 域
中可用。
net group [groupname [/comment:"text "]] [/domain]
net group groupname {/add [/comment:"text "] | /delete} [/domain]
net group groupname username [ ...] {/add | /delete} [/domain]
参数
无
键入不带参数的 net group 可以显示服务器名称及服务器的组名称。
groupname
要添加、扩展或删除的组。仅提供某个组名便可查看组中的用户列表。
/comment:"text "
为新建组或现有组添加注释。注释最多可以是 48 个字符，并用引号将注释文字引住。
/domain
在当前域的主域控制器中执行该操作，否则在本地计算机上执行操作。
该参数仅用于作为 Windows NT Server 域成员的 Windows NT Workstation 计算机。Windo
ws NT Server 计算机默认为在主域控制器中操作。
username[ ...]
列表显示要添加到组或从组中删除的一个或多个用户。使用空格分隔多个用户名称项。
/add
添加组或在组中添加用户名。必须使用该命令为添加到组中的用户建立帐号。
/delete
删除组或从组中删除用户名。

Net Help

提供网络命令列表及帮助主题，或提供指定命令或主题的帮助。可用网络命令列于 N 下面的
“命令参考”中“命令”窗口内。
net help [command]
net command {/help | /?}
参数
无
键入不带参数的 net help 显示能够获得帮助的命令列表和帮助主题。
command
需要其帮助的命令，不要将 net 作为 command 的一部分。
/help
提供显示帮助文本方式选择。
/?
显示命令的正确语法。

Net Helpmsg

提供 Windows NT 错误信息的帮助。
net helpmsg message#
参数
message#
需要其帮助的 Windows NT 消息的四位代码。

Net Localgroup

添加、显示或更改本地组。
net localgroup [groupname [/comment:"text "]] [/domain]
net localgroup groupname {/add [/comment:"text "] | /delete} [/domain]
net localgroup groupname name [ ...] {/add | /delete} [/domain]
参数
无
键入不带参数的 net localgroup 将显示服务器名称和计算机的本地组名称。
groupname
要添加、扩充或删除的本地组名称。只提供 groupname 即可查看用户列表或本地组中的全局
组。
/comment: "text "
为新建或现有组添加注释。注释文字的最大长度是 48 个字符，并用引号引住。
/domain
在当前域的主域控制器中执行操作，否则仅在本地计算机上执行操作。
该参数仅应用于 Windows NT Server 域中的 Windows NT Workstation 计算机。Windows N
T Server 计算机默认为在主域控制器中操作。
name [ ...]
列出要添加到本地组或从本地组中删除的一个或多个用户名或组名，多个用户名或组名之间
以空格分隔。可以是本地用户、其他域用户或全局组，但不能是其他本地组。如果是其他域
的用户，要在用户名前加域名（例如，SALESRALPHR）。
/add
将全局组名或用户名添加到本地组中。在使用该命令将用户或全局组添加到本地组之前，必
须为其建立帐号。
/delete
从本地组中删除组名或用户名。

Net Name

添加或删除消息名（有时也称别名），或显示计算机接收消息的名称列表。要使用 net nam
e 命令，计算机中必须运行信使服务。
net name [name [/add | /delete]]
参数
无
键入不带参数的 net name 将列出当前使用的名称。
name
指定接收消息的名称。名称最多为 15 个字符。
/add
将名称添加到计算机中。 /add 是可选项，键入 net name name 与键入 net name name /a
dd 相同。
/delete
从计算机中删除名称。

Net Pause

暂停正在运行的服务。
net pause service
参数
service
指下列服务： file server for macintosh（仅限于 Windows NT Server）、ftp publishi
ng service、lpdsvc、net logon、network dde、network dde dsdm、nt lm security sup
port provider、remoteboot（仅限于 Windows NT Server）、remote access server、sch
edule、server、simple tcp/ip services 或 workstation 。

Net Print

显示或控制打印作业及打印队列。
net print /computername sharename
net print [/computername ] job# [/hold | /release | /delete]
参数
computername
共享打印机队列的计算机名。
sharename
打印队列名称。当包含 computername 与 sharename 时，使用反斜杠 () 将它们分开。
job#
在打印机队列中分配给打印作业的标识号。有一个或多个打印机队列的计算机为每个打印作
业分配唯一标识号。如果某个作业号用于共享打印机队列中，则不能指定给其他作业，也不
能分配给其他打印机队列中的作业。
/hold
使用 job# 时，在打印机队列中使打印作业等待。打印作业停留在打印机队列中，并且其他
打印作业只能等到释放该作业之后才能进入。
/release
释放保留的打印作业。
/delete
从打印机队列中删除打印作业。

Net Send

向网络的其他用户、计算机或通信名发送消息。要接收消息必须运行信使服务。
net send {name | * | /domain[:name] | /users} message
参数
name
要接收发送消息的用户名、计算机名或通信名。如果计算机名包含空字符，则要将其用引号
(" ") 引住。
*
将消息发送到组中所有名称。
/domain[:name]
将消息发送到计算机域中的所有名称。如果指定 name，则消息将发送到指定域或组中的所有
名称。
/users
将消息发送到与服务器连接的所有用户。
message
作为消息发送的文本。

Net Session

列出或断开本地计算机和与之连接的客户端的会话。
net session [/computername] [/delete]
参数
无
键入不带参数的 net session 可以显示所有与本地计算机的会话的信息。
/computername
标识要列出或断开会话的计算机。
/delete
结束与 /computername 计算机会话并关闭本次会话期间计算机的所有打开文件。如果省略
/computername 参数，将取消与本地计算机的所有会话。

Net Share

创建、删除或显示共享资源。
net share sharename
net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"]
net share sharename [/users:number | unlimited] [/remark:"text"]
net share {sharename | drive:path} /delete
参数
无
键入不带参数的 net share 将显示本地计算机上所有共享资源的信息。
sharename
是共享资源的网络名称。键入带 sharename 的 net share 命令，只显示该共享信息。
drive:path
指定共享目录的绝对路径。
/users:number
设置可同时访问共享资源的最大用户数。
/unlimited
不限制同时访问共享资源的用户数。
/remark:"text "
添加关于资源的注释，注释文字用引号引住。
/delete
停止共享资源。

Net Start

启动服务，或显示已启动服务的列表。如果服务名是两个或两个以上的词，如 Net Logon 或
Computer Browser，则必须用引号 (") 引住。.
net start [service]
参数
无
键入不带参数的 net start 则显示运行服务的列表。
service
包括下列服务： alerter、client service for netware、clipbook server、computer br
owser、dhcp client 、directory replicator 、eventlog 、ftp publishing service 、
lpdsvc、messenger 、net logon 、network dde 、network dde dsdm 、network monitor
ing agent 、nt lm security support provider 、ole 、remote access connection man
ager 、remote access isnsap service 、remote access server 、remote procedure ca
ll (rpc) locator 、remote procedure call (rpc) service 、schedule 、server 、sim
ple tcp/ip services 、snmp、spooler 、tcp/ip netbios helper 、ups 及 workstation
。
下列服务仅在 Windows NT Server 下可用：file server for macintosh、gateway servic
e for netware、microsoft dhcp server、print server for macintosh、remoteboot、wi
ndows internet name service 。

Net Statistics

显示本地工作站或服务器服务的统计记录。
net statistics [workstation | server]
参数
无
键入不带参数的 net statistics 将列出其统计信息可用的运行服务。
workstation
显示本地工作站服务的统计信息。
server
显示本地服务器服务的统计信息。

Net Stop

停止 Windows NT 网络服务。
net stop service
参数
service
包括下列服务： alerter（警报）、client service for netware（Netware 客户端服务）
、clipbook server（剪贴簿服务器）、computer browser（计算机浏览器）、directory r
eplicator（目录复制器）、ftp publishing service (ftp )（ftp 发行服务）、lpdsvc、
messenger（信使）、net logon（网络登录）、network dde（网络 dde）、network dde d
sdm（网络 dde dsdm）、network monitor agent（网络监控代理）、nt lm security supp
ort provider（NT LM 安全性支持提供）、ole（对象链接与嵌入）、remote access conne
ction manager（远程访问连接管理器）、remote access isnsap service（远程访问 isns
ap 服务）、remote access server（远程访问服务器）、remote procedure call (rpc) l
ocator（远程过程调用定位器）、remote procedure call (rpc) service（远程过程调用服
务）、schedule（调度）、server（服务器）、simple tcp/ip services（简单 TCP/IP 服
务）、snmp、spooler（后台打印程序）、tcp/ip netbios helper（TCP/IP NETBIOS 辅助工
具）、ups 及 workstation（工作站）。
下列服务仅在 Windows NT Server 中可用： file server for macintosh、gateway servi
ce for netware、microsoft dhcp server、print server for macintosh、remoteboot、w
indows internet name service。

Net Time

使计算机的时钟与另一台计算机或域的时间同步。不带 /set 参数使用时，将显示另一台计
算机或域的时间。
net time [/computername | /domain[:name]] [/set]
参数
/computername
要检查或同步的服务器名。
/domain[:name]
指定要与其时间同步的域。
/set
使本计算机时钟与指定计算机或域的时钟同步。

Net Use

连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。该命令也控制永久
网络连接。
net use [devicename | *] [/computernamesharename[volume]] [password | *]] [/user
:[domainname]username] [[/delete] | [/persistent:{yes | no}]]
net use devicename [/home[password | *]] [/delete:{yes | no}]
net use [/persistent:{yes | no}]
参数
无
键入不带参数的 net use 将列出网络连接。
devicename
指定要连接到的资源名称或要断开的设备名称。有两类设备名：磁盘驱动器（D: 到 Z:）和
打印机（LPT1: 到 LPT3）。若键入星号而不是指定设备名将分配下一个可用设备名。
/computernamesharename
服务器及共享资源的名称。如果计算机名包含空白字符，要用引号 (" ") 将双反斜线及计算
机名引住。计算机名长度可以是 1-15 个字符。
volume
指定服务器上的 NetWare 卷。要连接到 NetWare 服务器，必须安装并运行 NetWare 客户机
服务 (Windows NT Workstation) 或 NetWare 网关服务 (Windows NT Server)。
password
访问共享资源的密码。
*
提示键入密码。在密码提示行中键入密码时，将不显示该密码。
/user
指定进行连接的另外一个用户。
domainname
指定另一个域。例如 net use d: /servershare /user:adminmariel 连接用户 mariel，如
同从 admin 域连接一样。如果省略域，将使用当前登录域。
username
指定登录的用户名。
/home
将用户连接到其宿主目录。
/delete
取消指定网络连接。如果用户以星号指定连接，则取消所有网络连接。
/persistent
控制永久网络连接的使用。默认为上次使用的设置。无设备的连接不是永久的。
yes
保存建立的所有连接，并在下次登录时还原。
no
不保存建立的连接和继发连接，并在下次登录时还原现有连接。使用 /delete 开关项取消永
久连接。

Net User

添加或更改用户帐号或显示用户帐号信息。
net user [username [password | *] [options]] [/domain]
net user username {password | *} /add [options] [/domain]
net user username [/delete] [/domain]
参数
无
键入不带参数的 net user 将查看计算机上的用户帐号列表。
username
添加、删除、更改或查看用户帐号名。用户帐号名最多可以有 20 个字符。
password
为用户帐号分配或更改密码。密码必须满足在 net accounts 命令 /minpwlen 选项中设置的
最小参数。最多是 14 个字符。
*
提示输入密码。在密码提示行中键入密码时，将不显示该密码。
/domain
在计算机主域的主域控制器中执行操作。
该参数仅在 Windows NT Server 域成员的 Windows NT Workstation 计算机上可用。默认情
况下，Windows NT Server 计算机在主域控制器中执行操作。
注意：在计算机主域的主域控制器发生该动作。它可能不是登录域。
/add
将用户帐号添加到用户帐号数据库。
/delete
从用户帐号数据库中删除用户帐号。
选项如下所示：
/active:{no | yes}
启用或禁止用户帐号。如果不激活用户帐号，用户就不能访问计算机上的资源。默认值是 y
es （激活）。
/comment:"text"
提供用户帐号的注释。该注释最多可以有 48 个字符，文字用引号引住。
/countrycode:nnn
使用操作系统的国家代码以便为用户帮助和错误信息文件提供指定语言文件。0 值表示默认
国家代码。
/expires:{date | never}
如果设置 date，将导致用户帐号过期，never 不对用户帐号设置时间限制。过期日期根据
/countrycode 值可以是下列格式： mm/dd/yy、dd/mm/yy 或 mmm, dd, yy。注意帐号在指定
日期开始时过期。月份可以是数字、全名或三个字母的简拼。年可以是两位或四位数，使用
逗号或斜线（不要用空格） 区分日期的各部分。如果省略 yy ，则使用该日期下一次到来的
年份（根据计算机的时钟）。例如如果在 1994 年 1 月 10 日到 1995 年 1 月 8 日之间输
入下列日期项，那它们相同：jan,9
1/9/95
january,9,1995
1/9
/fullname:"name"
指定用户全名而不是用户名。用引号将名字引住。
/homedir:path
设置用户宿主目录的路径。该路径必须存在。
/homedirreq:{yes | no}
设置是否需要宿主目录。
/passwordchg:{yes | no}
指定用户是否能改变自己的密码。默认值是 yes。
/passwordreq:{yes | no}
指定用户帐号是否需要密码，默认值是 yes。
/profilepath:[path]
设置用户登录配置文件的路径。该路径名指向注册表配置文件。
/scriptpath:path
为用户登录脚本设置路径。Path 不能是绝对路径；
path 是相对于 %systemroot%SYSTEM32REPLIMPORTSCRIPTS 的相对路径：。
/times:{times | all}
指定允许用户使用计算机的时间。times 值表示为 day[-day][, day[-day]] , time[-time
][, time[-time]], 增量限制为一小时。Days 可以是全名或简写（M、T、W、Th、F、Sa、S
u）。Hours 可以是 12 小时制或 24 小时制。对于 12 小时值，使用 AM、PM 或 A.M、P.M
。all 表示用户总可以登录。空值表示用户永远不能登录。用逗号分隔日期和时间，分隔时
间和日期的单位用分号（例如 M,4AM-5PM; T,1PM-3PM）。指定 /times 时不要使用空格。
/usercomment:"text "
让管理员添加或更改帐号的“用户注释”。用引号引住文字。
/workstations:{computername[,...] | *}
列出最多八个用户可以登录到网络的工作站。用逗号分隔列表中的多个项。如果 /workstat
ions 没有列表，或如果列表是星号“*”，则用户可以从任何一台计算机登录。

Net View

显示域列表、计算机列表或指定计算机的共享资源列表。
net view [/computername | /domain[:domainname]]
net view /network:nw [/computername]
参数
无
键入不带参数的 net view 将显示当前域的计算机列表。
/computername
指定要查看其共享资源的计算机。
/domain[:domainname]
指定要查看其可用计算机的域。如果省略 domainname ，则显示网络的所有域。
/network:nw
显示 NetWare 网络中所有可用的服务器。如果指定计算机名，则显示 NetWare 网络中该计
算机的可用资源。也可以用此开关指定添加到系统中的其他网络。