亚洲精品菠萝久久久久久久,h动漫在线视频,www.中文字幕久久久

siwei — Fri, 24 Aug 2007 05:39:00 GMT

�l�策略对象（GPO�Q�是��Z��z�d��目录�Q�AD�Q�的对象�Q�用户可以通过它集中地对Win2K台式机和服务器系�l�进行配�|�，它的功能包括从NT 4.0台式机的锁定到安全性配�|�和软�g安装�{��?

�q�篇文章主要讲述�l�策略是如何对系�l��v作用的、系�l�内部的工作原理以及在Win2K环境中采用这一技术时应该注意的问题�?

一、组�{�略是什么？
GPO是一�U�与域、地址或组�l�单元相联系的物理策略。在NT 4.0�pȝ��中，一个单一的系�l�策略文�Ӟ��例如ntconfig.pol�Q�包括所有的可以执行的策略功能，但它依赖于用戯��机中的�pȝ��注册表的讄��。在Win2K中，GPO包括文�g和AD对象。通过�l�策略，可以指定��Z��注册表的讄��、��用NT 4.0格式.adm模板文�g的运行Win2K的本地计��机、域的安全设�|�和使用Windows安装�E�序的网�l��Y件安装，�q�样在安装��Y件时��可以对文�g夹进行重定向�?

微��Y��理控制収ͼ�MMC�Q�中的组�{�略�~�辑器（GPE�Q�插件与NT 4.0中的�pȝ��{�略�~�辑器poledit.exe相当。在GPE中的每个功能节点�Q�例如��Y件设�|�、Windows 讄��、管理模块等�Q�都是MMC插�g扩展�Q�在MMC插�g中扩展是可选的��理工具�Q�如果你是应用程序开发者，可以通过定制的扩展拓展GPO的功能，从而针对你的应用程序提供附加的�{�略控制�?

只有�q�行Win2K的系�l�可以执行组�{�略�Q�运行NT 4.0和Windows 9x的客��h��则无法识别到或运行具有AD架构的GPO�?

二、组�{�略和AD
要充分发挥GPO的功能，需要有AD域架构的支持�Q�利用AD可以定义一个集中的�{�略�Q�所有的Win2K服务器和工作站都可以采用它。然而，每台�q�行Win2K的计��机都有一个本地GPO�Q�驻留在本地计算机文件系�l�上的GPO�Q�，通过本地GPO�Q�可以�ؓ每台工作站指定一个策略，它在AD域中不�v作用。例如，��Z��安全原因�Q�你不会在AD域中配置公用的计��机。利用本地GPO�Q�可以通过修改本地�{�略来得到安全性和对台式机的限制��用而无需利用��Z��AD域的GPO。访问本地GPO的方法有2�U�，�W?�U�方法，在需要修改GPO的计��机�?#8220;开�?#8221;菜单上选择“�q�行”�Q�然后键入：gpedit.msc�?

�q�个操作的作用与NT 4.0中的poledit.exe相同�Q�可以打开本地�{�略文�g。第2�U�方法，可以通过在MMC控制��C��选择GPE插�g�Q��ƈ选择本地或远�E�计��机来�h工地�~�辑本地GPO�?

本地GPO支持除��Y件安装和文�g多w��定向之外的所有缺省扩展，因此�Q�只利用本地GPO你不能完成这些工作，如果惛_��分发挥GPO的功能，�q�是需要AD的支持�?

三、GPO的多��h��和�l�承
在AD中，可以在域、组�l�单位（OU�Q�或地址三个不同的层�ơ上定义GPO。OU是AD中的一个容器，可以指派它对用户、组、计��机�{�对象进行管理，地址是网�l�上子网的集合，地址形成了AD的复制分界线。GPO的名字空间被划分��机配置和用户配�|�两个大�c�，只有用户和计��机可以使用GPO�Q�象打印机对象甚至用��L��都不能应用GPO�?

在一个域或组�l�单位（OU�Q�中�~�辑�{�略的途径有几�U�。在�z�d��目录用户或计��机MMC插�g中，叛_��一个域或组�l�单位（OU�Q�，在菜单中选择“属�?#8221;�Q�然后选择“�l�策�?#8221;标签。在�~�辑地址中的�{�略�Ӟ��需要右�?#8220;�z�d��目录地址和服�?#8221;插�g�Q�然后右击需要的地址得到其GPO。此外，�q�可以从“开�?#8221;菜单�Q�选择“�q�行”�Q�然后键入： mmc.exe 启动MMC�Q�选择“控制�?#8221;�Q?#8220;增加/删除”插�g�Q�然后选择“�l�策�?#8221;插�g�?#8220;��览”�Q�在AD域内的GPO��׃��昄��出来�Q�可以选择一个GPO�q�行�~�辑�?

�Ҏ��GPO在AD名字�I�间中的不同位置�Q�可以有几个GPO对用户对象或计算机对象�v作用。只有域中的其他对象是通过�l�承生成时GPO才是通过�l�承生成的。Win2K通过下面的方式执行GPO�Q�首先，操作�pȝ��执行现有的本地系�l�上的策略，然后�Q�Win2K执行定义的地址�U�的GPO、域一�U�的GPO和基于OU的GPO�Q�微软把�q�一优先��序取其首个字母�~�写为LSDOU�Q�执行的��序依次是本地、地址、域、OU层次的GPO�Q�，用户可以在这个链上的许多层次上定义GPO。我们以pilot域�ؓ例说明如何察看一个系�l�中的GPO�Q�启�?#8220;�z�d��目录用户和计��机MMC”工具�Q�右击pilot域名�Q�从菜单中选择“属�?#8221;��，然后选择�l�策略标�{�。在�q�个列表��端的GPO�Q�例如域范围的安全策略）有最高的优先权，因此�Q�Win2K最后才会执行它。除了本地系�l�外�Q�可以在每个层次上定义几个GPO�Q�因此如果不能严格地��理GPO�Q�就会出��C��必要的问题�?

GPO的��承模型与Novell公司的Zenworks�{�略方式截然不同。在Zenworks中，如果在Novell目录服务�Q�NDS�Q�树上的不同点��用多个策略包�Q�只有距��ȝ��户对象最�q�的�{�略包才起作用。在Win2K中，如果在AD的不同层�ơ上定义四个GPO�Q�操作系�l��?#8220;LSDOU”优先��序来执行这些策略，对计��机或用��L��作用是这四个�{�略执行�?#8220;�?#8221;。此外，有时在一个GPO中的讄��会被其他GPO中的讄��抵销。通过AD�U�GPO�Q�用户可以拥有更多的�{�略控制委托�Q�例如，公司的安全部门负责在域一�U�上设计用于所有系�l�设备的安全GPO。通过使用GPO,可以让某个OU的系�l�管理员拥有在OU上安装��Y件的权利。在Zenworks模型中，必须在希望��用策略的所有层�ơ上复制�q�些�{�略�Q�而且�{�略对用��h��计算机对象的作用�q��是所有策略的“�?#8221;�?

��Z��q�一步地控制GPO�Q�微软提供了三种讄��来限制GPO�l�承的复杂性。在地址、域、OU三个层次上用户都可以通过选择一个检查框��L��从更高一个层�ơ上�q�行�l�承�Q�同��P��在每一个层�ơ上�Q�用户可以选择�~�省的域�{�略选项�Q�方法是打开“�z�d��目录用户和计��机”插�g�Q�右击GPO所在的域或OU�Q�从菜单中选择“属�?#8221;�Q�然后选择“�l�策�?#8221;标签。让你希望修改的��目变亮�Q�然后选择“选项”按钮�Q�可供选择的选项�?#8220;不覆�?#8221;�?#8220;��止”。如果选择�?#8220;不覆�?#8221;选项�Q�即佉K��择了不能��承的��查框�Q�该GPO�q�是会�v作用。如果想在�Q何一个地�Ҏ��行一个GPO�Ӟ��q�一功能��很有用处。如果一个OU的管理员试图��L��对安全策略的�l�承�Q�包含安全策略的GPO仍然会被�pȝ��执行�?#8220;��止”��查框可以完全��止一个GPO执行�Q�这一功能在你对一个GPO�q�行�~�辑而不惌��其他的用��h��行它时特别有效�?

四、GPO的执行和�q��o
只有用户和计��机对象才能执行�l�策略。在计算机的启动和关闭时�Q�Win2K执行在GPO的计��机配置部分定义的策略，在用��L��录和注销�Ӟ��Win2K执行在GPO中用户配�|�部分定义的�{�略。事实上�Q�在用户��d��时可以通过手动方式执行一些的�{�略�Q�例如可以在命��o行方式下�q�行secedit.exe�E�序执行安全�{�略应用�E�序。此外，通过��理员模块策略可以定期地对用户和计算机的GPO讄��q�行��h��Q�缺省情况下�Q�这�U�刷新每90分钟�q�行一�ơ，�q�种��h��可以使其他用户不�Ҏ��修改通过�l�策略定义的�{�略。但是，软�g安装�{�略是不会刷新的�Q�因为没有�h希望周期性地改变�{�略引�v软�g�?#8220;?�?#8221;�Q�尤其是有其他用户在使用�Ӟ��更是这样了。计��机、用户对象只有在计算机启动或用户��d��时才会��Y件安装策略�?

��管只有AD中的计算机和用户对象才能执行GPO�Q�但我们可以�q��oGPO的效果。��用Win2K中的安全�l�、应用组�{�略━━�q�是Win2K中的一��Ҏ��的安全特性，可以使特定的用户�l�不能执行某一个GPO。右击MMC中GPO的名字，选择“属�?#8221;�Q�然后再选择“安全”�Q�就可以看到GPO目前的安全设�|�。认证用��L��h��应用�l�策略权利，从而附属这一GPO的所有用户可以执行它。在Win2K中，安全�l�可以包括用户和计算机对象。因此，利用安全�l�可以仔�l�地调整用户、计��机对象如何执行一个GPO。你�q�可以对个别的应用程序应用安全组�Q�可以指�z�一个GPO的��Y件安装部分。例如，假设你在一个GPO中发�?0个应用程序，可以指定只让金融用户用户�l�访问其中的5个，其他用户��d��到这个域�Ӟ��它们也不会发现这5个应用程序�?

五、GPO的内部构�?/strong>
一个GPO是由两部分组成的�Q�组�{�略容器�Q�GPC�Q�和�l�策略模板（GPT�Q�。GPC是GPO在AD中的一个实例，在一个特�D�的被称作系�l�的容器内有一�?28位的全球唯一的ID码（GUID�Q�。在“�z�d��用户目录用户和计��机”插�g中选择“��览”�Q�从MMC菜单中选择“高��属�?#8221;�Q�就可以看到“�pȝ��”容器。GPT是组�{�略在Win2K文�g�pȝ��中的表现�Q�与一个GPO有关的所有文件依赖于GPT�?

六、GPO带来的难�?/strong>
虽然GPO的功能很强大�Q�但要掌握它可不�Ҏ��。最难掌握的是如何判断一条有效的�{�略如何对域中的计算机或用户起作用，�׃��GPO可以存在于AD链中不同的层�ơ上�Q�这�U�判断就特别困难。同�Ӟ��׃��可以指派一个GPO的控�Ӟ��因此不大�Ҏ��清楚其他的GPO是否会对你没有控制权的容器中的GPO有媄响。因此，计算一个计��机或用户对象接收的“�{�略的结果集”�Q�RSoP�Q�是相当困难的。尽��微软还没有提供计算RSoP的工��P��但已�l�有�W�三方厂商提供了相应的计��RSoP的工兗��?

另一个难题是�{�略的执行。如果在AD链上的许多层�ơ上都存在有GPO�Q�在用户每次��d��或系�l�启动时都会执行所有的GPO。在Win2K�pȝ��中，微��Y推出了一些新的功能来优化�pȝ��的性能。首先，GPO的版本信息依赖于工作站和GPO�Q�如果GPO没有变化�Q�系�l�就不会执行它。另外，在GPE的属性页上，可以��止用户或计��机对GPO的执行。如果徏立一个GPO用来分发关闭�pȝ��或启动系�l�时的脚本，��用GPO的用户配�|�部分，�q�样会��工作站不能解析GPO�q�判断它是否已经发生了什么变化�?

最后的一个难题�v源于GPC和GPT是两个单独的实体。GPC是AD中的一个对象，它与GPT中包含的文�g的复制不同步�Q�这意味着创徏一个GPO�Ӟ��在GPT开始向域控制器上的Sysvol复制文�g之前GPC可能已经开始进行复制了�?

所有问题的��h��都是�׃��AD使用了一�U�多��M��的复制模式。理��Z��Q�当另一个系�l�管理员在一个域控制器上�~�辑一个GPO�Ӟ��你也可以在某个域上对它进行编辑。因此，当徏立一个GPE�Ӟ��~�省状态下指的是在“操作��M��”中充当PDC的域控制器。（“操作��M��”是AD基础�l�构中的一�p�d��托管功能�Q�用作PDC的服务器可以兼容�q�行NT和Win9x的工作站。）一般情况下�Q�可以通过只向��数的系�l�管理员授予�~�辑GPO的权利来避免�q�种情况的发生，�q�保证如果有人在�~�辑GPO�Ӟ��让其他的人都知道。此外，需要注意的是，在对一个GPO�q�行�~�辑�Ӟ��?#8220;��止”它，修改�l�束后重��C��能�?/p>

siwei 2007-08-24 13:39 发表评论

siwei — Tue, 21 Aug 2007 08:54:00 GMT

概要
Resource Kit实际上是Microsoft为管理员提供的一套额外的工具集，包括了超�q?00个各�U�工��P��vbs�Q�dll�Q�msc�Q�涵盖了��理TCP/IP�Q�网�l�，注册表，安全�Q�远�E�管理，配置�Q�Batch文�g�Q�以及操作系�l�的其他斚w��。可以让你更�Ҏ��的管理一个NT�pȝ��。不得不承认�q�是一个非常庞大的工具集，包括��C��已经被�h们所遗忘2K所应该��h��的功能。当你了解到了里面一些工��L��性能以后�Q�你��会知道即��仅仅只是一个C2�U�的操作�pȝ��也具有相当的安全性，对于�l�心配置的系�l�，��d��也只能伤其表面。但是，但是��M��东西都有他的两面性，ResKit��非常具有代表性，在Hacker��体中大家习惯把�q�个玩意叫做“Hacker的工��L��”。当然如果你惛_��一个Hacker你得掌握里面的东西，而想当一个好的administrator你也得掌握里面的东西。希望大安��可以好好看看�?

�W�一部分�Q�管理你的计��机

1. Appsec.exe �Q�Application Security�Q?

Appsec.exe是一个基于GUI的应用程序，它允许管理员在一个多用户环境下限制普通用戯��问一�l�网�l�上�l�预订的应用�E�序。启用这�U�应用程序安全性，��会��D��pȝ��拒绝普通用��h��行或使用一个未�l�许可的应用�E�序。大�?看这是不是一个很有用的工具呢�Q�对某些特定的程序进行限制以后，可以减少一些Hacker入��R的可能，下面我们 �l�箋讨论�?

对于2000来说一个显著的特点��是引入了GPO�Q�Group Policy�Q�这�U�东西，实际上就是一个界面化了的注册表编辑器�Q�但是因为GPO的存�?000大大提高了他的安全性。一般来��_��我们可以通过配置GPO从启动菜单和桌面上隐藏一个应用程序，但是不能��止用户用其它手�D�访问它�Q�Appsec增加了这�U�安全性，可以��止用户执行应用 �E�序甚至是从命��o行模式或者��用其他的应用�E�序。Microsoft的徏议是和GPO一起��用，攑֜�Terminal Server上运行或者说是在应用�E�序�q�行的机器上使用。Appsec对于应用�E�序的限制还��严��|��除了应用�E�序的名�U�C��外还要包括该应用�E�序的全路径�Q�只有二者都附和才能够运行�?

下面提几�Ҏ��意：
a. 只有��理员或��理员组的成员可以运行所有程序，用户�Q�包括PowerUser�l�）只能�q�行列表中的应用�E�序�?
b. Appsec�W�一�ơ启用时�Q�Terminal Server的会话必��M��断，否则Appsec��不能在本次会话中启用�?
c. 实际上Appsec只能限制调用CreateProcess�Ҏ��的应用程序，不能限制使用NTCreateProcess�Ҏ��的程序，但是�q�种�E�序非常的少见�?
d. Appsec只能限制32位的�E�序�Q�但是在默认情况下，一旦启用appsec��M��?6位程序的讉K��都是��止的，�?是可以添加ntvdm.exe来��16位程序可以被讉K��?
e. 我想�q�个也是Appsec最大的�~�点�Q�Appsec�q�不对程序本�w�进行检查，也就是所如果��该有效�E�序�q�行替换的话�Q�Appsec不会发现。所以说我们必须��止用户替换和重命名应用�E�序�Q�这可以用Security Template来做�?
f. �q�有Appsec只可限制可执行文�Ӟ��不可以是DLLs�?
g. Appsec的��用是对于计算机的�Q�也��是说一�l�启用��用本机的用户都要受到限制�?

另外�Q�应该要提到的一�Ҏ��Q�按照Microsoft的要求，Appsec的列表中臛_��应该有：
\Wtsrv\explorer.exe
\Wtsrv\system32\cmd.exe
\Wtsrv\system32\net.exe
\Wtsrv\system32\regini.exe
\Wtsrv\system32\subst.exe
\Wtsrv\system32\systray.exe
\Wtsrv\system32\xcopy.exe
�q�么几项�?

当然啦！你去掉也是可以的�Q�但是会造成用户难以正常使用。嗯�Q�以我个人的��Q�如果你想防止Hacker入��R��L��net.exe会有意想不到的收��P��呵呵�Q�cmd.exe也是不错的选择�Q�如果不想管理员以外的�Q何�h讉K��q��l�去掉就好，后果你们试试��q��道了�?

p.s. �q�个�E�序所需要的文�gAppsec.exe�Q�这个倒是在）�Q�Appsec.hlp�Q�这个也在）�Q�但是Appsec.dll�Q?
psec.cnt�Q�Instappsec.exe�q�没有包括在Resource Kit里面�Q�要�ȝ��站上自己下蝲�Q�！�q�简直是搞笑嘛！�?
只有Microsoft�q�得出来。你可以在这个地方下载这个hotfix:
http://download.microsoft.com/download/win2000platform/Appsec/1.0/NT5/EN-US/appsec_hot
fix.exe�Q?

_G8g1t6=$0Vrb�?/div>
安装以后��可以用了�?启用以后�Q�换个用��P��不是��理员组�Q�登陆本机随便点个应用程序，你就可以看到Access to specified device, path or file is denied的警告，很厉害的�Q�哈哈！

2. Cachemov.exe (Offline Files Cache Mover)

Cachemov.exe一个有��的东东�Q�用来移动离�U�文件的�~�存�Q�默认保存在根卷下）�Q�如果你觉得那东西在那个地方��的你事的话�Q�把它挪个地方也没有什么问题。这个工��h��较简单就不再多说什么了�Q�就一个GUI�Q�然后选择一个卷�Q�它��p��动帮你做完了�Q�很��单。你也可以��用无人值守模式 cachemov -unattend x:\ 电脑自己�?定，此时需�?Cchmvmsg.dll)。所有的�l�果会保存至应用�E�序日志�?只是注意一下，�q�行旉��要管理员的��n份，�q�有��是不能够移动到�|�络驱动器和可移动驱动器上去。移动以后不要改letter�Q�不然你会有�ȝ��的！

3. Defptr.exe �Q�Default Printer�Q?

如果你闲着没有事的话，可以用用�q�个东西。它允许你随意改变你的默认打印机�Q�可以在可用的网�l�和本地打印机间交换�Q�一旦运行以后会在右下角有个��图标（如果不想看到图标可以使用defptr -i), �q�个东西可能�Ҏ�O游用户会有一点好处吧�Q?

4. Delprof.exe�Q�User Profile Deletion Utility�Q?

删除用户的Profile时用的工��P��本来�q�个是可以在System Properties里面做的。而这个工具可以在本地�?
是远�E�运行，看�v来的好处��是可以指定多长旉��不��用就删除�Q�在处理比较多的用户的时候才昑־�出好处来�Q�就那么个把的话�Q�就自己做好了。稍微介�l�一下语法好了�?

delprof /q /i /p /c:\\computername /days /?

/q 后台悄悄执行�Q�不用确认�?
/i 忽略错误�l�箋删除�?
/p 在删除前提示��认�?
/c:\\computername �q�个不用解释了吧�Q?
/days 指定多少天不使用的Profile��删除，days用整数�?
/? 出现上面�q�些东东�?

5. DelSrv.exe �Q�Delete Service�Q?

一个拿来删除服务用的工��P��使用��h��非常��单，只要delsrv servicename��可以了。没有什么好说的�?

6. Dureg.exe �Q�Registry Size Estimator�Q?

�q�是一个用来评��C��的注册表储存了多��数据的工具�Q?

B*qp�|?wE#&SIj

可以从�Q何一个hive�Q�subtree和subkey中读出。另�?

�Q�这个工兯��可以用来搜烦注册表中的text字符�Ԍ��q�种搜烦�q�可以具体到某个subtree中�?
�q�个工具主要用于得出注册表具体占用空��_��对于开发�h员和��理员来说都是一个非常有用的工具。虽然我们可以��用控刉��板中的System选项和系�l�监视器中的Registry Quota in Use来监视注册表�Q�但是如果你只想知道某个单独的Key或者是Subkey所占用的空��_��?3o�?]?3Fn�|�专\lz上面�q�些工具��无能�ؓ力了�?

语法�Q?

dureg /cr /cu /u /lm /a /s�?d "registry_path" "string to search"

/a
表示查找整个注册表的大小�?

dureg /a
Size of HKEY_CLASSES_ROOT : 7740324
Size of HKEY_USERS : 995732
Size of HKEY_LOCAL_MACHINE : 17265663

Total Registry data size: 26001719

/cr "registry_path"
默认情况下，�q�回的是HKEY_CLASSES_ROOT的大��?

/cu "registry_path"
默认情况下，�q�回的是HKEY_CURRENT_USER的大��?

/lm "registry_path"
默认情况下，�q�回的是HKEY_LOCAL_MACHINE的大��?

/u "registry_path"
默认情况下，�q�回的是HKEY_USERS的大��?

以上四个选项都可以在 "registry_path"中填入该Subkey下的��L��key。比如：
dureg /lm "software\microsoft",查找HKEY_LOCAL_MACHINE\Software\Microsoft key的大��?

/s "string"
在注册表中搜索该字符丌Ӏ�比如：
dureg /s "run" ��L��和run相关的字�W�串。当然你也可以和/cr�{�这几个参数一起��用，用来控制服务�Q�和SC比较�c�M��Q�但是在功能上要比后者少很多�Q�用�q�个工具基本上可以进行远�E�启动，停止�Q�暂停，�l�箋服务或者查询一个服务的状态。基本上只要你是一个普通用户就可以执行�q�个命��o�Q?font id=teewuthpnqptsjdlwsu style="DISPLAY: none">�|�KK.~|a~育TFN60T%中业G 当然如果要启动和停止的话�Q�就需要相应的权限了�?当然和SC相比Netsvc有很大的局限性，所以在�q�里我多说一点和服务有关的东�ѝ��在Win2k虽然你可以对各种服务�q�行查询�Q�但是�ƈ不是所有的服务都可以直接关闭，比如Workstation�q�个服务�Q�但奇怪的是Workstation�q�个服务有些时候会莫名其妙的丢失，

N%教\理��Y专U教bX

至今我还不知道原因，一旦丢�׃��后基本上��?需要重装了。我们��l�话题，当一个用��h��许多�z�d��的连接存在的时候，你只可以查询或者是暂停该服务，而不能远�E�强�q�服务停止。而如果有服务依靠别的服务才能�q�行的时候，我们也不能直接停止该服务。�D一个简单的例子�Q�Clipbook服务需要Network DDE服务才能�q�行�Q�我们必��d��停止CilpBook才能停止Network DDE�?

�q�里�q�要提到另外一�U�状况，��是当你停止一个不可以停止的服务的时候Netsvc会报告Service is running �Q�而该服务不能停止的原因有很多�U�，但是Netsvc�q�不会报告给你，太惨了！�Q�此外，当一个服务不能被暂停的时候，�q�个��g��西仍然会报告�l�你说Service is running�Q�唉�Q�所以说最好��用SC�?

语法�Q?

netsvc command servicename \\computername /?�?help

command可以是以下几个命令：
/list
列出已经安装的服务，�q�个时候不使用servicename�?

/query
查询一个服务的状态�?

/start, /stop, /stop, /continue
�q�几个命令就不用解释了吧�Q�字面意义都已经很清楚了�?

最后�D两个例子吧！如：
netsvc /list \\hello

netsvc /query \\hello "Alerter"

netsvc Alerter \\hello /pause

更进一步具体的内容可以在SC那里看到�Q?

W的网zMVi}`zH

�q�里不再多说�?

13. Now.exe

Reskit里面比较无聊的命令之一�Q�可以在STDOUT�Q�Standard output)上输��Z��个带旉��戳的东东。有点像
ECHO命��o。�D例说明算了：

当我们打入ECHO bbb的时候，屏幕会显�C�bbb
C:\>echo bbb
bbb

但是当我们用Now bbb的时候，会输出：
C:\>now bbb

Sat Feb 16 22:31:34 2002 -- bbb
�q�种东西�Q�不知道有什么用�Q�呵呵！

14. Pathman.exe

一个命令行工具可以修改�pȝ��路径和用戯��\径，当然�q�个工具�q�可以用来检查�\径中的错误，有多余的头部分号�Q�尾部分��P��多个�q�接得分��P��重复的添加和删除�Q�增加重复的路径或是�U�d��一个不存在的�\径等�{�，但是不检查�\径的有效性�?2K保留了两套�\径，一个是�l�一的全局�pȝ��路径�Q�另一�l�是每个用户个别的用戯��\径，当然��Z��保证兼容性，2000仍然保留了从Autoexec.bat装入路径。每个用户可以修改自��q��用户路径�Q?
JA��HIGD$*O@专_8y3�|?�?/p> 而只有管理员可以修改�pȝ��路径�Q��ؓ了方便操作，微��Y��搞��Z��q�个Pathman�?

语法�Q?

pathman /as /au /rs /ru path

/as
增加分号隔开的系�l��\径�?

/au
增加分号隔开的用戯��\径�?

/rs
删除分号隔开的系�l��\径�?

/ru
删除分号隔开的用戯��\径�?

当修改完成以后，Pathman会广播信息给所有的��端�H�口提醒它们环境被改变了�Q�这��会��D��应用�E�序升��它们的环境，获得�l�修改的路径�?

举例说明�Q?

��d��c:\temp;C:\users\name;d:\utils为用戯��\径，
ygE国HrjZ=._:`专R*aK
当然�Q?
5$SlPJ*的j�?[i
只是在它们不存在的时侯才��d��。这个结果你�?
以在System properties的Environment Variable中看到。上面一栏是user的变量，下面是系�l�变量�?
实际上这个工具也有个好处��是��d��和删除可以同时操作，你可以：
pathman /au C:\users\name /ru c:\users\name 呵呵�Q�不�q�没有什么意思！

15. Ptree.exe�Q�Process Tree�Q?

该程序可以允�怽�在本地或者是�q�程查询�q�程树，同样也可以Kill它们�?000默认情况下，允许Local
Administrators, Power Users, Users查询�q�些树，但是只有Local Administrators和Power Users�?

以Kill�q�程�?

��p��个工兯��言�Q�它有这么几部分�l�成ptreedrv.sys�Q�kernel-mode驱动�E�序�Q�，ptreesvc.exe�?
ptreesvcps.dll�Q?000的服务的�E�序�Q�就是所ptree是需要在该计��机上安装一个服务）�Q?
Ptreesvr.dll(COM+服务�?�Q�ptree.exe�Q�控制台客户端）�Q�Ptreeg.exe�Q�GUI客户端，推荐使用�q�个�Q�在
DOS底下看到的东西太��，也不好看�Q�还是GUI爽！而且�q�可以同时管理多台计��，不错吧！我是挺喜�Ƣ的�Q�比Ctrl+Alt+Del出来的那个东西要好得多！�Q?

�q�个�E�序�q�没有和Reskit一起安装，而实在Reskit的目录下生成一个名为Ptree的目录，底下有个ptree.msi
�Q�要点击安装。同时由于这是一个基于COM+的程序，而安装ptreeCOM的时侯，需要MSDTC服务�Q�注意不要把它关了，不然会导致ptree不能正常�q�行�Q�而且只会提示不能扑ֈ�服务�Q�后来是查了错误日志才发现的�Q�微软坑�?�Q�。我��因��个弄了好一阵子�Q�呵呵！使用嘛，很简单，GUI��׃��用说了，都有提示�Q�说一下命令行模式吧！

ptree -c computer -k�?kt process -?�??

-c computer
当要��理的是�q�程��L��的时侯才需要用的这个参敎ͼ�如果是本机就不要啦，直接ptree��可以了�?

-k process
�q�掉后面指定的进�E��?
�q�里的process可以是进�E�的名字也可以是PID�?
-kt process
可以�q�掉整整一��|��?

举例�Q?ptree -c hello 然后出来一大串东西�Q�自��q��吧！

16. pulist.exe

命��o行工��P��和上面那个东西有点类��|��和Tlist也有一点像�Q�这东西在Support Tools里面�Q�但�?
pulist.exe多一点点好处�Q�可以显�C�出�q�程和用户之间的关系。比如：
C:\>pulist

Process PID User
Idle 0
System 8
smss.exe 156 NT AUTHORITY\SYSTEM
csrss.exe 176 NT AUTHORITY\SYSTEM
winlogon.exe 172 NT AUTHORITY\SYSTEM
services.exe 228 NT AUTHORITY\SYSTEM
lsass.exe 240 NT AUTHORITY\SYSTEM
svchost.exe 428 NT AUTHORITY\SYSTEM
spoolsv.exe 452 NT AUTHORITY\SYSTEM
msdtc.exe 480 NT AUTHORITY\SYSTEM
tcpsvcs.exe 604 NT AUTHORITY\SYSTEM
svchost.exe 620 NT AUTHORITY\SYSTEM
llssrv.exe 644 NT AUTHORITY\SYSTEM
nspmon.exe 712 USER1-COMPUTER1\NetShowServices
nscm.exe 724 USER1-COMPUTER1\NetShowServices

当你的计��机有多个处理器�Ӟ��需要判断安全上下关�pȝ��时侯�q�个工具的用处就体现出来了！如果是远�E�操作的时候就多加一个pulist \\server��可以了。而且可以��序昄��多个站点pulist \\server \\server………�Q?
但是�q�个时侯会不昄��User�?

当你需要专门查找一个已知的�q�程的时候，可以用这��L��Ҏ��来简化查找：
pulist �?find "string"

比如�Q�过去老的pwdump2需要知道LSASS的PID�Q�我们可以这样做�Q?

c:\>pulist �?find "LSASS"
LSASS.EXE 252 NT AUTHORITY\SYSTEM
然后使用252来运行pwdump2………

17. Reducer.exe �Q�Reduce Trace Data)

�q�个东西是一个命令行的事件追�t�工��P��可以用来处理Tracelog�Q�后面会提到�q�个工具�Q��生的记录�Q��Ş成每个线�E�，每个�q�程的工作量记录�?

实际上呢�Q�Reducer��是一个用来进一步分析工��P��比如TraceDump�Q�后面提刎ͼ�可以允许你对一个追�t�日志进行摘要，而Reducer则允�怽��q�行拆分获得更多的细节，诸如�Q?

事务�l�计表：响应旉��Q�每�U�的事务敎ͼ�每个事务的磁盘读写，每个事务的网�l�流量，CPU的��用（包括核心和用��L��_��?
映象�l�计表：事务有关的每个进�E�，每个�q�程相关的线�E�，每个�q�程的CPU使用�Q�包括kernel和user)�Q�每个进�E�的��盘��d��Q�每个进�E�的�|�络��量�?
��盘信息�Q��ȝ��盘��d��Q�每个进�E�的��盘��d��?
OK�Q�接下来介绍一下语法�?

语法非常��单：

reducer -out 20051017183000.htm -h�?help�??

-out 20051017183000.htm
输出的文件的名字�Q�默认是Workload.txt

举例�Q�这里我已经事先使用Tracelog生成了一个logfile.etl�Q�然后，
reducer -out my_workload.txt c:\logfile.etl��p��了�?

--------------------------------------------------

----------------------------------------------+
�?WINDOWS 2000 Capacity Planning Trace

�?
�?Version : 2128

�?
�?Type : Default

�?
+-------------------------------------------------------------------------------------

----------------------------------------------+
�?

�?
�?Build : 2195

�?
�?Processors: 1

�?
�?Start Time: 17 Feb 2002 23:14:17.430

│______________________________________________________________________�?�?
�?End Time : 17 Feb 2002 23:14:38.550

�?
�?Duration : 21 Sec

�?
�?

�?
�?Trace Name: NT Kernel Logger

�?
�?File Name : C:\LogFile.Etl

�?
�?Start Time: 17 Feb 2002 23:14:17.430

│______________________________________________________________________�?�?
�?End Time : 17 Feb 2002 23:14:38.550

�?
�?Duration : 21 Sec

�?
�?

�?
+-------------------------------------------------------------------------------------

----------------------------------------------+

+-------------------------------------------------------------------------------------

----------------------------------------------+
�?Transaction Statistics

�?
+-------------------------------------------------------------------------------------

----------------------------------------------+
�?Transaction Sort Trans Response Transaction Disk/Trans

Tcp/Trans �?
�?Key Time(ms) Rate/sec Reads

Writes Sends Recieves �?
+-------------------------------------------------------------------------------------

----------------------------------------------+
+-------------------------------------------------------------------------------------

----------------------------------------------+
�?

样式大概会是�q�样的�?

18. Regback.exe �Q�Registry Backup)

一个注册表备䆾用工��P��允许你在�pȝ��q�行期间�Ҏ��册表�q�行备䆾。我惛_��你需要测试一个��Y件时�Q�最好先备䆾一下注册表。在使用�q�个�E�序�Ӟ��臛_��需要备份文件和文�g夹的权限。Regback.exe在运行的时侯需要调用Replacekey函数�?

语法�Q?

regback destination_dir 20051017183000.htm hivetype hivename more�??

destination_dir
备䆾文�g的位�|?

20051017183000.htm
要创立的文�g

hivetype
machine或者是users

hivename
HKLM或者HKLU

�q�里提几�Ҏ��意：

Regback可以备䆾整个注册表hive�Q�你可以理解��Z��个file�Q�比如HKEY_USERS\Default在硬盘上实际上就�?SYSTEMROOT%\SYSTEM32\CONFIG\DEFAULT\DEFAULT.LOG�Q�还包括了ACLs(Access control lists)�Q�所以你也可以用�q�个东东发现和以前不同的ACLs�?Regback不能自动备䆾Config文�g夹以外的文�g�Q�你要手动进行，�q�是��Z��避免名字冲突。如果当前注册表�q�没有打开的hive需要自��q��Xcopy.exe或者是Scopy.exe拯��。另外，没有装入的Hive也要自己弄。如果出错的话，Regback会在�W�一�ơ的时候就停止工作。它也不能覆盖存在的文�g�Q�会报错。还有如果空间不合适的话，备䆾��׃��能进行，所以最好先备䆾到硬盘上�Q�然后再拯��到磁盘上保存�?

举两个例子吧�Q?

备䆾全部�z�d��的Hives

C:\>regback c:\backup
saving SECURITY to c:\backup\SECURITY
saving SOFTWARE to c:\backup\software
saving SYSTEM to c:\backup\system
saving .DEFAULT to c:\backup\default
saving SAM to c:\backup\SAM

***Hive = '\REGISTRY\USER'\'S-1-5-21-1177238915-1383384898-1957994488-500'
Stored in file '\Device\HarddiskVolume1\Documents and Settings\Administrator'\'N
TUSER.DAT'
Must be backed up manually
regback users S-1-5-21-1177238915-1383384898-1957994488-50
0

***Hive = '\REGISTRY\USER'\'S-1-5-21-1177238915-1383384898-1957994488-500_Classe
s'
Stored in file '\Device\HarddiskVolume1\Documents and Settings\Administrator\Loc
al Settings\Application Data\Microsoft\Windows'\'UsrClass.dat'
Must be backed up manually
regback users S-1-5-21-1177238915-1383384898-1957994488-50
0_Classes

你看�Q?
s-Ky^l*V7软W(?Y+
�q�SAM都可以备份，对于破解SAM�Q�也是有非常大的用处的�?

下面是备份指定的User的Profile
C:\>regback c:\backup\administrator.bku users s-1-5-21-1177238915-1383384898-195
7994488-500
saving s-1-5-21-1177238915-1383384898-1957994488-500 to c:\backup\administrator.
bku

�q�里用的是SID比较特别�Q�只是用��h��太麻烦了�Q�输那么多数字，呵呵�Q?

最后是做一个网�l�备份，也是一个批量脚本�?
注意使用Schedule服务一��h��配。前面提到过regback不能覆盖文�g�Q�一旦有重名的文件将会导致错误的发生 �?

echo on
rem ... Name: doback.bat
rem ... Purpose: Network backup for Registry files
rem ... Process: Connect to backup share, delete old backup files, copy over new

backup files
rem ... Before using this batch file, create a share containing the following

directories: backup, config. Set permissions on this share so that appropriate users

can run this script.

net use \\myshare\backup

rem --> delete old backups; regback will not copy over an existing file
echo y│del

24. Sc.exe �Q�Service Controller Tool�Q?

�q�好一�q�以前就写过�q�个东西介绍了。大家再看一遍吧�Q?

我们知道在MStools SDK�Q�也��是在Resource Kit有一个很��有人知道的命��o行��Y�Ӟ��SC.exe�Q�这个��Y件向所有的Windows NT和Windows 2000要求控制他们的API函数。我们可以在命��o行里通过对这些函数设定参数的方式来设定他�?API)。SC.exe也可以显�C�服务的状态，同时也可以从状态结构区域里重新扑ֈ�存储在里面的数倹{��它�q�可以列��E�计��机的服务函数或者是服务状况�l�构。SC.exe�q�个开发工兯��可以比服务控制面板�E�序和网�l�命令行界面(net.exe�Q�这个东西可以告诉你一个服务是
在运行中�Q�还是停止，�q�是暂停。）�q�两个东西提供更多的�l�节和准��的信息。虽然上�q�C��个东西在正常工作的情况下�Q�对于完整的调试是非常好用的�Q�但是如果有新的服务�Q�或者新的代码被开发出来的时候，�q�两个工��h��供的信息可能造成误导。这也就是我们需要用到SC的原因�?

下面丑ֈ�说明�Q�如果在开发阶�D�，你的服务在挂住在一个start-pending的时候，控制面板和net.exe同样报告服务是在�q�行的。但它挂在一个stop-pending的时候，net.exe报告它运行，而控刉��板着报告它停止，如果你试着启动它，�q�是控制面板则会告诉你这个服务正在运行。难道这不是很困惑吗�Q�呵呵！
SC.exe可以让你询问服务的状况和取出存储在状态结构区域内的数��|��控制面板和net.exe不提供服务完整的状况。但是无论如何，SC�E�序可以告诉你这个服务准��的情�Ş�Q�同样也可以�l�你看最后的checkpoint数和�{�待提示�?
�q�个checkpoint�Q�我叫它��查点(我觉得他��像一个程序调试时�|�的断点)�Q�所以我们也可以把看作�ؓ一个调试工��P��因�ؓ它可以提供一个关于在�E�序停止时还要沿着初始化��l�前�q�多久准��报告�?
SC.exe也可以允�怽�调用很多的服务控制API函数�Q�可以让你从命��o行里改变大量的参数。这位服务开发者们提供了很多的优势。例如，它提供了一个方便的方式来创建或者在注册表和服务控制��理数据库中配置服务信息。开发者们不需要在手动的在注册表里单独的设�|�键值来配置服务�Q�也不用重�v机器来强�q�服务控制管理数据库升�� ?
作�ؓ一个命令很工具�Q�SC.exe可以用来��试你自��q��pȝ��Q�你可以讄��一个批处理文�g来��用不同的参数调用SC.exe来控制服务。这个很有用�Q�如果你想看看你的服务不断的启动和停止，我没有试�q�哦�Q�让一个服务一下子
打开�Q�一下子关闭�Q�听上去很不错的。如果你的服务进�E�里面有多个�q�程的话�Q�你可以保持一个进�E��l�运行不让它走开�Q�然后让另一个不断的打开在关闭，�q�可以寻找一下内存缺乏导致不完全清楚的证据�?
下面介绍SC�Q�SC QC�Q�and SC QUERY

SC使用�q�样的语法：
1. SC [Servername] command Servicename [Optionname= Optionvalue]

2. SC [command]

�q�里使用�W�一�U�语法��用SC�Q��用第二种语法昄��帮助�?

下面介绍各种参数�?

Servername
可选择�Q�可以��用双斜线�Q�如\\myserver�Q�也可以是\\192.168.0.1来操作远�E�计��机。如果在本地计算��Z��

操作
��׃��用添加�Q何参数�?

Command
下面列出SC可以使用的命令�?

config 改变一个服务的配置。（长久的）

continue 对一个服务送出一个��l�控制的要求�?

control 对一个服务送出一个控制�?

create 创徏一个服务。（增加到注册表中）

delete 删除一个服务。（从注册表中删除）

EnumDepend 列�D服务的从属关�p�R�?

GetDisplayName 获得一个服务的昄��名称�?

GetKeyName 获得一个服务的服务键名�?

interrogate 对一个服务送出一个询问控制要求�?

pause 对一个服务送出一个暂停控制要求�?

qc 询问一个服务的配置�?

query 询问一个服务的状态，
{H8=专教kKG国ie@
也可以列举服务的状态类型�?

start 启动一个服务�?

stop 对一个服务送出一个停止的要求�?

Servicename
在注册表中�ؓservice key制定的名�U�。注意这个名�U�是不同于显�C�名�U�的�Q�这个名�U�可以用net start和服务控刉��板看刎ͼ��Q�而SC是��用服务键名来鉴别服务的�?

Optionname
�q�个optionname和optionvalue参数允许你指定操作命令参数的名称和数倹{��注意，�q�一点很重要在操作名�U�和�{�号之间是没有空格的。一开始我不知道，�l�果………………�Q�比如，start= optionvalue�Q�这个很重要�?
optionvalue可以�?�Q?�Q�或者是更多的操作参数名�U�和数值对�?
如果你想要看每个命��o的可以用的optionvalue�Q�你可以使用sc command�q�样的格式。这会�ؓ你提供详�l�的帮助�?

Optionvalue
为optionname的参数的名称指定它的数倹{��有效数��D��围常帔R��制于哪一个参数的optionname。如果要列表��L��sc command来询问每个命令�?

Comments
很多的命令需要管理员权限�Q�所以我惌��Q�在你操作这些东西的时候最好是��理员。呵呵！

当你键入SC而不带�Q何参数时�Q�SC.exe会显�C�帮助信息和可用的命令。当你键入SC紧跟着命��o名称�Ӟ��你可以得��C��个有兌��个命令的详细列表。比如，键入sc create可以得到和create有关的列表�?
但是除了一个命令，sc query�Q�这会导��pȝ��中当前正在运行的所有服务和驱动�E�序的状态�?

当你使用start命��o�Ӟ��你可以传递一些参敎ͼ�arguments�Q�给服务的主函数�Q�但是不是给服务�q�程的主函数�?
SC create
�q�个命��o可以在注册表和服务控制管理数据库建立一个入口�?

语法1
sc [servername] create Servicename [Optionname= Optionvalue]

�q�里的servername�Q�servicename�Q�optionname�Q�optionvalue和上面的一��P��q�里��׃��多说了。这里我�?

详细说明一下optionname和optionvalue�?

Optionname Optionvalue
描述type= own, share, interact, kernel, filesys
关于建立服务的类型，选项值包括驱动程序��用的�c�d��Q�默认是share�?

start= boot, system, auto, demand, disabled
关于启动服务的类型，选项值包括驱动程序��用的�c�d��Q�默认是demand�Q�手动）�?

error= normal, severe, critical, ignore
当服务在导入��p�|错误的严重性，默认是normal�?

binPath= (string)
服务二进制文件的路径名，�q�里没有默认��|��q�个字符串是必须讄��的�?

group= (string)
�q�个服务属于的组�Q�这个组的列表保存在注册表中的ServiceGroupOrder下。默认是nothing�?

tag= (string)
如果�q�个字符串被讄��为yes�Q�sc可以从CreateService call中得��C��个tagId。然而，SC�q�不昄��q�个标签�Q�所以��用这个没有多��意义。默认是nothing

depend= (space separated string)有空格的字符丌Ӏ?
在这个服务启动前必须启动的服务的名称或者是�l��?

obj= (string)
账号�q�行使用的名�U�ͼ�也可以说是登陆��n份。默认是localsystem

Displayname= (string)
一个�ؓ在用��L��面程序中鉴别各个服务使用的字�W�串�?

password= (string)
一个密码，如果一个不同于localsystem的�̎号��用时需要��用这个�?

Optionvalue
Optionname参数名称的数值列表。参考optionname。当我们输入一个字�W�串�Ӟ��如果输入一个空的引用这意味着一个空的字�W�串��被导入�?

Comments
The SC CREATE command performs the operations of the CreateService API function.
�q�个sc create命��o执行CreateService API函数的操作。详�l�请见CreateService�?

�?
下面�q�个例子在一台叫做（\\myserver�Q�的计算��Z��Z��个叫“NewService”的服务徏立的一个注册表登记�?
sc \\myserver create NewService binpath= c:\winnt\system32\NewServ.exe

按照默认�Q�这个服务会建立一个WIN32_SHARE_PROCESS使用SERVICE_DEMAND_START启动方式。这��不会有��M��从属关系�Q�也��会按照localsystem安全上下关系来运行�?

�?
下面�q�个例子��在本地计算��Z��Q�徏立一个服务，它将会是一个自动运行服务，�q�且�q�行在他自己的进�E�上。它从属于TDI�l�和NetBios服务上。注意，你必��d��从属中间增加一个空格的引用�?

sc create NewService binpath= c:\winnt\system32\NewServ.exe type= own
start= auto depend= "+TDI Netbios"

�?
服务开发者可以通过临时改变二进制�\径（影像路径�Q�的方式来将�q�个服务�q�行在内核调试器的上下关�p�M��。下面这个例子就可以让我们看到如何改变服务的配置�?

sc config NewService binpath= "ntsd -d c:\winnt\system32\Newserv.exe"
�q�个例子会引��h��务控制管理器调用ntsd.exe使用下例的参数字�W�串�Q?
"-d c:\nt\system32\NewServ.exe"

当系�l�装入newserv.exe时ntsd��会转而打断调试器�Q�所以断点可以被讄��在服务代码里�?

SC QC
�q�个SC QC“询问配置”命��o可以列出一个服务的配置信息和QUERY_SERVICE_CONFIG�l�构�?

语法1
sc [Servername] qc Servicename [Buffersize]

Parameters
servername和servicename前面已经介绍�q�了�Q�这里不再多说�?

Buffersize�Q�可选择的，列出�~�冲区的��寸�?

Comments

SC QC命��o昄��了QUERY_SERVICE_CONFIG�l�构的内宏V�?

以下是QUERY_SERVICE_CONFIG相应的区域�?
TYPE dwServiceType
START_TYPE dwStartType
ERROR_CONTROL dwErrorControl
BINARY_PATH_NAME lpBinaryPathName
LOAD_ORDER_GROUP lpLoadOrderGroup
TAG dwTagId
DISPLAY_NAME lpDisplayName
DEPENDENCIES lpDependencies
SERVICE_START_NAME lpServiceStartName

�?

下面�q�个例子询问了在上面例子中徏立的“NewService”服务的配�|�：

sc \\myserver qc NewService

sc昄��下面的信息：

SERVICE_NAME: NewService
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : c:\winnt\system32\NewServ.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NewService
DEPENDENCIES :
SERVICE_START_NAME : LocalSystem

NewService有能力和其他的服务共享一个进�E�。但是它不是自动启动的。二�q�制文�g名是NewServ.exe。这个服务不依靠与其它的的服务，而且�q�行在lcoalsystem的安全上下关�p�M��。这些都是调用QueryServiceStatus基本的返回，如果�q�需要更多的�l�节届时�Q�可以看看API函数文�g�?

SC QUERY

SC QUERY命��o可以获得服务的信息�?

语法�Q?
sc [Servername] query { Servicename �?Optionname= Optionvalue... }

参数�Q?

servername, servicename, optionname, optionvalue不在解释。只谈一下这个命令提供的数倹{�?

Optionname Optionvalue
Description

type= driver, service, all
列�D服务的类型，默认是service

state= active, inactive, all
列�D服务的状态，默认是active

bufsize= (numeric value)
列�D�~�冲区的��寸�Q�默认是1024 bytes

ri= (numeric value)
但开始列举时�Q�恢复指针的数字�Q�默认是0

Optionvalue
同上�?

Comments

SC QUERY命��o可以昄��SERVICE_STATUS�l�构的内宏V�?

下面是SERVICE_STATUS�l�构相应的信息：
TYPE dwServiceType
STATE dwCurrentState, dwControlsAccepted
WIN32_EXIT_CODE dwWin32ExitCode
SERVICE_EXIT_CODE dwServiceSpecificExitCode
CHECKPOINT dwCheckPoint
WAIT_HINT dwWaitHint

在启动计��机后，使用SC QUERY命��o会告诉你是否�Q�或者不是一个启动服务的��试。如果这个服务成功启动，WIN32_EXIT_CODE区间会将会包含一�?�Q�当��试不成功时�Q�当它意识到�q�个服务不能够启动时�Q�这个区间也会提供一个退出码�l�服务�?

例子

查询“NewService"服务状态，键入�Q?

sc query NewService

昄��一下信息：

SERVICE_NAME: NewService
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 1077 (0x435)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

注意�Q�这里存在一个给�q�个服务的退出码�Q�即使这个服务部不在�q�行�Q�键入net helpmsg 1077�Q�将会得到对
1077错误信息的说明：上次启动之后�Q�仍未尝试引导服务。所以，�q�里我想说一句，希望大家可以�zȝ��net helpmsg�Q�这会对你的学习有很大的帮助�?

下面在对SC query的命令在说明一下：

列�D�z�d��服务和驱动程序状态，使用以下命��o�Q?
sc query

昄��messenger服务�Q��用以下命令：
sc query messenger

只列举活动的驱动�E�序�Q��用以下命令：
sc query type= driver

列�DWin32服务�Q��用以下命令：
sc query type= service

列�D所有的服务和驱动程序，使用以下命��o�Q?
sc query state= all

�?0 byte的缓冲区来进行列举，使用以下命��o�Q?
sc query bufsize= 50

在恢复列举时使用index=14�Q��用以下命令：
sc query ri=14

列�D所有的交互式服务，使用以下命��o�Q?
sc query type= service type= interact

好了�Q�说到这里。SC命��o基本上已�l�说完了。希望大家好好看看，呵呵�Q�相信会有帮助的�Q�！

25. Scanreg.exe

又是个注册表工具�Q�有没有人烦了？我都快烦了，呵呵�Q?

一个注册表��查工��P��基本上就是一�?registry GREP"。支持搜索本地或�q�程的Win一家老小的注册表中的��L��东西�?

scanreg -s string -k -v -d -r key -c -e -n

-s
要搜索的字符�?

-r
开始搜索的root�Q�默认是HKEY_CURRENT_USER

也可以��用以下的格式�Q?
HKEY_LOCAL_MACHINE === lm
HKEY_CURRENT_USER === cu
HKEY_CLASSES_ROOT === cr
HKEY_USERS === us

-k
查询键�?

-v 注意必须指定-k -v -d中的臛_��一个�?
查询倹{�?

-d
当然是查询数据�?

-c �Q�默认是不敏感）
大小写敏感�?

-e �Q�默认是�q�回所有合适的�Q?
只返回却��合适的�?

-n
输出的时候不使用颜色�Q�默认是key�U�，values�l�，data黄）真不知道微��Y的怎么想的�Q�！看上��L��怪的�Q�还有就是匹配的字符串都高亮标出�?

最后来两个例子�Q?

scanreg -s version -k -v -d

scanreg -s version -kvd <--居然�q�种独可以？

scanreg /s version /r \lm\software /kvde 没有关系�Q�这�U�都是可以的�Q�呵呵！

scanreg version \\hello\HKEY_LOCAL_MACHINE -d 操作�q�程的东东�?

26. sclist.exe

可以列出当前�q�行或者是停止的服务。看看远�E�的机器也是功能之一�Q�但是比起SC来说�Q�还是太��单了�Q?

sclist -r -s MachineName -?

-r
只显�C�正在运行的服务�?

-s
只显�C�已�l�停止的服务�?

Machinename
本地可以不指出�?

�q�个��单大家自己做做，�q�里不�D例了�Q�！ �Q�不要讲我偷懒哦�Q?

27. Setx.exe

�q�个命��o行工��h��供了一�U�批量修改环境变量的�Ҏ��Q�同时不需要��用�Q何编�E�方法或者是脚本。此外，除了可以获得变量和��g��外还可以跟注册表的值挂上关�p�R��在2000中除了setx.exe之外�Q�其他没有�Q何一�U�命令行工具可以直接讄��pȝ��变量倹{��只有通过控制面板和注册表�~�辑器才能够讄��。如果有��可以用set命��o的话�Q?实际上这个CMD的内部命令只能够讄��当前控制台窗口的用户环境变量�?setx允许你通过Command Line Mode�Q�Registry Mode�Q�File Mode�Q�这三种模式来设�|�环境变量�?

a. Command-Line

setx variable value -m

variable
要设�|�的环境变量的名字�?

value
要设�|�的倹{�?

-m
讄��计算机环境，默认讄��是用��L��境�?

b. Registry Mode

setx variable -k hive\key\……\value -m

variable
要设�|�的环境变量的名字�?

-k
指定变量讄��会基于注册表中的信息�?

hive\key\……\value
注册表�\径，如：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation\StandardName

-m
同命令行模式�?

c. File Mode

setx variable -f 20051017183000.htm -a x,y �?-r x,y "string" -d d -x -m

-f 20051017183000.htm
指定使用的文件名�?

-a x,y
指定要搜索的�l�对坐标或者是偏移量�?

-r x,y "string"
指定�?string"的相对坐标或者是偏移�?

-d d
指定附加的分隔符�Q?span id=pnojfgrnmirovag style="DISPLAY: none">1教l\(9�|?yZt�|�网zV后一个d表示�Q�可以是",", "\"�{�等。系�l�有四个内徏的分隔符是：space, tab,

carriage return, linefeed。附加的可以是�Q意的ASCII字符�?

-x
昄��文�g坐标�Q�这个时�?a, -r, -d会变忽略�?

-m
在同上�?

setx��变量写入到在注册表的主环境中去。用setx讄��的变量将会在下一�ơ启动的时候生效，
6W软]l7|-�|�^业供)
�q�是2000的局限。当讉K��REG_MULTI_SZ�Ӟ��只能讉K��到第一个项目�?
目前setx只可以支持HKCU和HKLM两个hives。用Setx增加的��g��可以用setx��L��Q�可以在控制面板里面改，也可以在注册表里面改�Q�这�U�时候也可以用set把它�|�空�?

但是�q�是来几个例子吧�Q?

a.Command Line

Setx MACHINE COMPAQ
在用��L��境中讄��MICHINE为COMPAQ�?

setx MYPATH %PATH%
讄��MYPATH的��gؓ当前PATH变量的倹{�?

setx MYPATH ~PATH~
讄��MYPATH��L��和PATH环境的��g��持一致�?

b. Registry

Setx TZONE -k

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation\StandardName
讄��TZONE的��gؓ上面的键。比如："Central Standard Time"

Setx BUILD -k "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

NT\CurrentVersion\CurrentBuildNumber"
讄��BUILD的��gؓ当前的Windows NT版本��P��如：1314�?

c. File
在进行这部分之前先运行ipconfig > ipconfig.out�Q�弄一个ipconfig的文本出来。然后就可以�q�行操作�?

Setx var -f ipconfig.out -x
�q�个命��o会显�C��个文件的内容的坐标。如�Q?

C:\>SETX VAR -f ipconfig.out -x

(1,0 Windows) (1,1 2000) (1,2 IP) (1,3 Configuration)

(3,0 Ethernet) (3,1 adapter) (3,2 Local) (3,3 Area) (3,4 Connection

(5,0 Connection-specific) (5,1 DNS) (5,2 Suffix) (5,3 .) (5,4
(6,0 IP) (6,1 Address.) (6,2 .) (6,3 .) (6,4 .) (6,5 .) (6,6 .) (6,7 .) (6,8 .)
(6,9 .) (6,10 .) (6,11 .) (6,12 .) (6,13 (6,14 192.168.1.1)
(7,0 Subnet) (7,1 Mask) (7,2 .) (7,3 .) (7,4 .) (7,5 .) (7,6 .) (7,7 .) (7,8 .)
(7,9 .) (7,10 .) (7,11 .) (7,12 .) (7,13 (7,14 255.255.255.0)
(8,0 Default) (8,1 Gateway) (8,2 .) (8,3 .) (8,4 .) (8,5 .) (8,6 .) (8,7 .) (8,8
.) (8,9 .) (8,10 .) (8,11

setx ipaddr -f ipconfig.out -a 5,11

�q�个命��o会寻扄��对偏�U�Mؓ(5�Q?font id=datlfraleni style="DISPLAY: none">zN业供�?8K|U!11)的内容，然后讄��ipaddr��个倹{��如�Q?

C:\>setx ipaddr -f ipconfig.out -a 6,14
Extracted value is: 192.168.1.1

Setx ipgateway -f ipconfig.out -r 0,11 "Gateway"
查找Gateway�q�个字符串偏�U?�Q?1的东东，然后写到ipgateway里面厅R�?

C:\>Setx ipgateway -f ipconfig.out -r 0,11 "Gateway"
Extracted value is: 192.168.1.244

以上所有的修改都会在重起以后看刎ͼ�可以用set或者是控制面板中的System properties看�?

28. showpriv.exe �Q�show Privilege�Q?

一个用来显�C�用��h��者是�l�分配的�Ҏ��的命令行工具�Q�如果要看domain的相关的东西的话�Q�要在DC上��用。��用�v来很��单，showpriv privilege��p��了，如：

C:\>showpriv sesecurityprivilege
1 account(s) with the sesecurityprivilege user right:
BUILTIN\Administrators
All accounts enumerated

�q�里主要讲一下这�?000的一些privilege�?

Privilege�Q?font id=pdwunrdvcfcvwu style="DISPLAY: none">��DmW�|�S*I,.u#fM为本地管理员提供了一�U�手�D�，可以控制允许什么�h��h��什么权限或者能执行什么样的系�l�操作，
如允�怺�互式登陆�{�等。这里我们说的特权是指特�D�操作所需的权限，如备份呀什么的�Q�一旦授予了某种�Ҏ��Q�这些特权就会包括在用户的安全访问��o牌中。这是一些基本的概念�Q�可以看以下�Q�比较容易明白�?
�pȝ��Z��理的方便��L��为每个本地组分配了相应的�Ҏ��Q�而且从来不改变这个特权，�q�些东东在NT�pȝ��上可以分为内�|�能力，标准用户权力�Q�高�U�用��h��力这么几�U�，但是�?000中标准权利和高��权力已经被用��L��权所取代�Q�只有在为委�z�而信任计��机和用户帐��P��SeEnableDelegationPrivilege�Q�和把计��机从dock中移出（SeUndockPrivilege�Q�这两种情况下可以把NT的权利映��到2000中的�Ҏ��。注意一�?000的一些问题。�ƈ非所有能力都有匹配的权利�Q�因此，不可能用权力完全匚w��l�的内置能力。而由于特定组能力的预定义分配和不能把所有能力复制�ؓ权力�Q�就难以区分��d��Q��ƈ且只能强制��用最低特权的概念�?
那么在域一�U�下��q��一个安全结构，��D��了难以授予管理的功能�?000在AD引入后，��允许区分�Q务，也可授予domain和OU相应的管理层�ơ�?

下面来谈一下具体的一些用��L��权，应当�?6个，也有�?8个的�?

SeTcbPrivilege
成�ؓOS的一部分允许�q�程可以像用户一栯��鉴别�Q�因此可以像用户一栯��问相应的资源。只有底层的鉴别服务需要这��L��Ҏ��Q�所以无论是工作站，独立服务器，�q�是DC都没有把�q�个设�ؓ某�h权利�?
SeMachineAccountPrivilege
��d��工作站到�?��Z��q�个�Ҏ��可以启用�Q�必��M��证这个用户在域控制器本地安全�{�略中的才行�?

SeBackupPrivilege
备䆾文�g和目录�?
允许用户�l�过文�g和目录的权限来做备䆾。只有当应用�E�序��试讉K��NTFS备䆾API时才��查这个特权。默认情况下�Q�这个特权分配给Administrators和Backup Operators�?

SeChangeNotifyPrivilege
回避遍历��查�?
允许用户来回�U�d��目录�Q�但是不能列出文件夹的内宏V��默认情况下�Q�这�U�特权被赋予Administrators,
Backup Operators, Power Users, Users ,and Everyone�Q�换句话说就是所有�h都有�q�种权利�?

SeSystemTimePrivilege
改变�pȝ��旉��?
默认情况下Administrators和Power Users有这�U�权利�?

SeCreatePagefilePrivilege
创徏分页文�g�?
允许用户创徏和改变一个分��|��件的大小。默认情况下�Q�只有Administrators有这个特权�?

SeCreateTokenPrivilege
创徏令牌对象�?
允许�q�程调用NtCreateToken()或者是其他的Token-Creating APIs创徏一个访问��o牌�?

SeCreatePermanentPrivilege
创徏�怹��׃�n对象�?
允许�q�程�?000��目��理器中创徏一个目录对象�?

SeDebugPrivilege
调试�E�序�?
允许用户�q�接一个Debugger来调试�Q何进�E�。默认情况下Administrators有该�Ҏ��?

SeEnableDelegationPrivilege
为委�z�而信任计��机和用户帐戗��?
允许用户��Z��委派而改变信任，只有当用��h��者是计算机对该对象的帐户控制标志有写权限的时候可以�?

SeRemoteShutdownPrivilege
�q�程关闭�pȝ��?
Administrators在默认情况下有此�Ҏ��?

SeAuditPrivilege
产生安全审核�?
允许一个应用程序在安全日志中，创徏�Q��生，增加一条记录�?

SeIncreaseQuotaPrivilege
增加限额�?
允许一个有写属性的�q�程利用其他�q�程从而取得更多的处理器限额，�q�种�Ҏ��有利于系�l�调试，但是也有��D��DOS的可能�?

SeIncreaseBaseProrityPrivilege
增加调度优先�U�。允�怸�个有写属性的�q�程利用其它�q�程来获得更多的执行优先权。有�q�种�Ҏ��的用户可以在Task��理器中改变一个进�E�的调度优先权。默认情况Administrators有该�Ҏ��?

SeLoadDriverPrivilege
安装和卸载设备驱动程序�?
允许用户安装和卸载即插即用设备的驱动�E�序�Q�不是即插即用的不受�q�个�Ҏ��影响�Q�但是只能被

Administrators所安装。因为驱动程序是作�ؓ被信�ȝ��E�序来运行的�Q�这需要很高的�Ҏ��。而这�U�特权可能会被用于安装恶意程序，和破坏性的讉K��。默认情况下Administrators有该�Ҏ��?

SeSecurityPrivilege
��理审计和安全日志�?
允许用户指定对象讉K��的审计。有�q�种�Ҏ��的用户也可以清空安全日志。默认情况下Administrators有该�Ҏ��?

SeSystemEnvironmentPrivilege
修改firmware环境变量�?
允许用户使用�q�程通过一个API来设�|�系�l�环境变量，另外�Q�也可以让用户��用System Properties来做��C��上这一步。默认情况下Administrators有该�Ҏ��?

SeProfileSingleProcessPrivilege
Profile单一�q�程�?
允许用户使用性能监视器来监视nonsystem�q�程。默认情况下Administrators有此�Ҏ��?

SeSystemProfilePrivilege
Profile�pȝ��性能�?
允许用户使用性能监视器来监视system�q�程。默认情况下Administrators有此�Ҏ��?

SeUndockPrivilege
��计��机中dock中删除�?
允许用户使用Eject PC从坞中将计算机移出，默认情况下Administrators, Power Users, Users均有此特

权�?

SeAssignPrimaryTokenPrivilege
替换一个进�E��令牌�?
允许一个父�q�程替换相关的子�q�程的访问��o牌�?

SeRestorePrivilege
恢复文�g和目录�?
允许用户�l�过文�g及目录权限来恢复备䆾文�g。默认情况下Administrators和Backup Operators有此�Ҏ��?

SeShutdownPrivilege
关闭�pȝ��?
允许用户关闭本地计算机。默认情况下Administrators, Backup Operators, Power Users, Users都有

该特权，但是�?000 Server中Users没有此特权�?

SeSynchAgentPrivilege
同步目录服务数据�?
允许一个进�E�提供目录同步服务，�q�个�Ҏ��只有在DC上。默认情况下域的Administrators和LocalSystem帐户

有此�Ҏ��?

SeTakeOwnershipPrivilege
取得文�g所有者��n份�?
允许用户取得在系�l�中��M��可得到的对象的所有者��n份，包括�Q�AD对象�Q�文�Ӟ��文�g夹，打印机，注册表键�Q�进

�E�和�U�程。默认情况下Administrator有此�Ҏ��?

以上��是2000的用��L��权了�Q�是不是很多呢？呵呵�Q?

29. Sleep.exe �Q�Batch File Wait�Q?

Sleep可以让计��机�{�待一�D�|��定的旉��。这个东东对于��用Batch文�g会非常有用，在某些情况下也可能会让AT命��o的��用更加方�ѝ�?

Sleep time

time
要暂停的旉��Q�秒为单位�?

sleep 20
在运行下一个程序之前等�?0s�?

假设我们搞这么一个登陆脚本到计算��Z��Q�我��x��个不错的��L��?

@echo off

echo 2�Q?3�Q?002
echo.
echo 不要忘了明天��x��友生日哦�Q�！呵呵�Q?

sleep 60

30. Soon.exe �Q�Near-Future Command Scheduler)

soon�q�个命��o可以让一个程序在很短的时间里面启动，比如几秒钟之内。基本上soon��是一个AT的装配命令，可以��单的装配一�l�合适AT命��o来远�E�或者是本地启动一个程序。当然soon使用��h��要比AT��单的多，自然功能也要��一些了。当然soon可以让一个命令在��于一天的旉��内重复启动，�q�一点还是很有用的。下面介�l�一�?

如何使用�?

soon有两�U�命令，一是普通的操作命��o�Q�还有就是配�|�命令�?

1. Scheduling Command
soon \\computername delay /interactive "command"

\\computername
指定你要的计��机�Q�远�E��用时要net use�?

delay
指定从现在开始到启动�E�序的间隔，以秒为单位，默认情况下是本地5s,�q�程15s�?

/interactive
�q�个和AT命��o里面的interactive是一��L��。基本上可以看作是如果你打开一个cmd�H�口�Q�它会在桌面上蟩出来。默认是off的。只有当Schedule服务以LocalSystem�w�䆾启动时才可以Interactive�?

command
你想要执行的命��o�Q�这里用双引��h��l�持命��o解释时候的�I�格�?

2. Configuration Command

soon /d /l:n /r:n /i: on│off

/d
用这个开��x��修改默认配置

/l:n
指定LocalDelay的倹{�?

/r:n
指定RemoteDelay的倹{�?注意�Q�这些值都是正整数�Q�而且以秒为单位�?

/in│off
指定默认情况下是interactive�q�是uninteractive�?

如果你想�?分钟启动一�ơ一个程序可以写一个这��L��脚本�?

every5.cmd
soon 300 every5.cmd
xxxx.exe

对于�q�程启动�Ӟ��使用AT命��o不能成功的原因多数是因�ؓAT命��o需要指定绝�Ҏ��_��如果不能搞得太清楚的话，我徏议你们��用soon命��o�Q�在大部分情况下大家需要AT的功能，soon都可以完成，而且很快。基本上srv.exe �q�样的后门都可以用soon来做�?另外不得不提一点，不知道是我的机器的关�p�还是这个程序本�w�的bug�Q�很多情况下soon产生的schedule居然会是tomorrow�Q�这个有点让人搞不懂。大家可以多试试�?

31. Srvany.exe �Q�Applications as Services Utility�Q?

Srvany一个可以让Windows应用�E�序像一个服务那栯��行。也��是说在logoff的时候不关闭�Q�也不用在logon
的时候重新启动。也��是��q��是没有�h登陆�q�个�E�序也可以运行，当然计算机得是开着的，呵呵�Q�此外，如果�q�个应用�E�序不忽略WM_ENDSESSION或者CTRL_LOGOFF_EVENT�Ӟ��E�序也会因�ؓlogoff而退出。srvany是一个�ؓ32-bit应用�E�序设计的，但是用用16-bit也应该没有多大问题。如果你安装�q�srvany服务的话�Q�在升��或安装Windows 2000, Windows NT Server, Windows NT Workstation, or applications 时要先disabled。实际上srvany本��n��是一个服务，它先把自己启动�v来，然后又在启动那些配置�q�的应用�E�序。就我个人开来这�U�方法很费力�Q�比起instsrv和srvinstw来说都比较难以��用，最关键的是�q�要手工��d��注册表。下面也��p��一下怎么栯��一个应用程序像一个服务那栯��行。首先我们要安装Srvany�Q�可以��用instsrv Myservice c:\path\srvany.exe或者srvinstw照提�C�做��可以了。这个是必要的，我们需要Srvany来启动程序。当然�ؓ了让�E�序像服务一栯��行，我们需要编辑注册表信息�Q�而且�q�要选择启动参数和工作目录。这里再�ơ提醒手工操作注册标有危险性，注意备䆾�?

我们只要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MyService\�?
��d��一个Parameters子键�Q�这里的MyService是刚刚指定的Srvany的服务名字�?
然后再这个subkey底下建立一个应用程序入口，使用REG_SZ�c�d��?
接着在指定程序的全�\径，需要包括扩展名。比如Application: REG_SZ: C:\Tools\srv.exe

��Z��指定相应的启动参数我们还得��l�编辑注册表�?
�q�个时候要在刚刚的Parameters底下接着创徏一个AppParameters条目�Q?font id=fbertsmhha style="DISPLAY: none">+GtwCb\))X也是REG_SZ�c�d��?
比如�Q�AppParameters: REG_SZ: C:\tmp\example�Q�当然因为srvany已经被安装�ؓ一个服务了�Q�你也可�?
在Services面板里指定。C:\Tools\srv.exe C:\\temp\example。注意，�q�里使用\\来表�C�Z��个\�?
再来��是指定环境变量了�?
��d��一个AppEnvironment�Q�REG_MULTI_SZ�c�d��。这个东西就是Services面板里面的Dependencies�q�一��V�?可以�Ҏ��需要指定，没有��׃��需要添加�?�q�要指定Working Directory�?
也是在Parameters里面建立一个AppDirectory使用REG_SZ。比如：AppDirectory: REG_SZ: C:\Tmp
当然也可以在Services里面 /D c:\\tmp D:\\Tools\\Vi.exe c:\\tmp\\example�?

一个srvany可以启动一个应用程序，如果你要用srvany而且是多个程序的话，只要采用不同的servicename�?动一个srvany��可以了。如果要删除可以使用instsrv myservice remove�Q�也可以用sc�?
大家可以通过调整以下�q�几个注册表��Ҏ��为提供相应的讉K��?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters\NullSessionShares

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters\NullSessionPipes

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters\RestrictNullSessAccess

32. Srinstw.exe (Service Installation Wizard)
�q�个安装服务的工具前面就已经提到�q�了�Q?span id=nfsqeauhal style="DISPLAY: none">+�|�育iRyw98K而且又是GUI工具�Q��用�v来都照着提示做就可以了，�q�里��׃��再多说什么，只是注意卸蝲服务的时候不要把�pȝ��重要的服务赶掉就好了�?

33. Svcacls.exe �Q�service ACL Editor�Q?

很可惜在�q�个版本的Reskit里面�~�少了这个程序，非常遗憾不能对它�q�行��试�?

Svcacls是一个可以用来设�|�服务对象的ACL的命令行工具�Q�基本上��是��Z��方便administrator�q�行委派控制而设立的。��用这个工��h��们需要administrator�Ҏ��Q�当然这个东西也是可以进行委�z��。这里就提醒一点，不要删除��M��服务的adminstrators和system许可�Q�不然的话，你可能就要从装系�l�来恢复控制了�?

svcacls \\targetcomputer\Service Option

\\targetcomputer\Service
�q�个不用说了�?

Option有以下几�U?

G(grant): trustee: Permissions 增加许可�?
S(Set): trustee: Permissions 重置许可�?
R(Revoke): trustee: 删除被赋予的explicit permissions�?
D(deny): trustee: 拒绝讉K��。注意，v垠ui6TONl�|�v3Kp8&使用�q�个命��o的时候要很小心，一旦你用了D:everyone�Q�连

administrators都没有权限来讉K��q�个服务了�?

你可以在一行里面��用这些命令。比如： r:username g:uername:riu�?

trustee
你要指定的用戗��?

permissions
相应的权限�?

有Specific许可和generic许可两种�?

Specific permissions:

Q: Query Service Configuration (SERVICE_QUERY_CONFIG)
S: Query Service Status (SERVICE_QUERY_STATUS)
E: Enumerate Dependent Services (SERVICE_ENUMERATE_DEPENDENTS)
C: Change Service Configuration (SERVICE_CHANGE_CONFIG)
T: Start Service (SERVICE_START)
O: Stop Service (SERVICE_STOP)
P: Pause/Continue Service (SERVICE_PAUSE_CONTINUE)
I: Interrogate Service with ControlService() (SERVICE_INTERROGATE)
U: Allow User-Defined Control Commands (SERVICE_USER_DEFINED_CONTROL)

Generic permissions:

F: Full Control (SERVICE_ALL_ACCESS = QSECTOPIU)
R: Generic Read (GENERIC_READ = QSE)
W: Generic Write (GENERIC_WRITE = C)
X: Generic Execute (GENERIC_EXECUTE = TOPIU)

�q�个工具为我们提供了一�U�安全性的选择�Q?font id=udcwkeejthposr style="DISPLAY: none">b,XI*CWW的MhQyX��止�Ҏ��些服务的讉K��Q�可以避免一些攻�ȝ��发生�?/p>

34. Svcmon.exe (service Monitoring Tool)

�q�个工具可以用来监视本地或者是�q�程计算机服务的状态改变，当它发现一个服务开始或者是停止的时候，�q�个工具��会通过发e-mail或者是Exchange Server来通知你知道�?
�q�个工具�׃��部分�l�成�Q�Svcmon.exe�q�个需要你手工拯��?SystemRoot%\System32底下�Q�另一个Smconfig
是一个安装向对{��由于是囑�Ş界面�Q�所以我��׃��再多说什么东�ѝ��这里提醒一下注意，在Exchange

Recipients那里��d��你要提醒的用��L��Email。其他的按照指示做就可以了�?

35. Timethis.exe (Time This)

我很喜欢�q�个工具�Q�这个工具可以用来报告一个程序的�q�行旉��。报告的旉��可以详细�?.001s。连net sue都可以拿来测试�?当然使用��h��也很��单�?

timethis commandname

当你在命令中�?lt;, >, >>�Q�｜�q�样的符��L��时候，请��用双引号�Q�比如：timethis "dir /a > a.txt"

使用以后基本上会出来�q�么一个东�ѝ�?

C:\>timethis dir

TimeThis : Command Line : dir
TimeThis : Start Time : Sun Mar 03 17:45:27 2002

Volume in drive C is WIN2000
Volume Serial Number is 4CE5-8543

Directory of C:\

2002-02-23 22:58
Documents and Settings
2002-02-23 22:49
Inetpub
2002-03-03 11:37
Program Files
2002-03-03 14:15
WINNT
0 File(s) 0 bytes
4 Dir(s) 9,512,271,872 bytes free

TimeThis : Command Line : dir
TimeThis : Start Time : Sun Mar 03 17:45:27 2002
TimeThis : End Time : Sun Mar 03 17:45:27 2002
TimeThis : Elapsed Time : 00:00:00.050

36. Timezone.exe (Daylight Saving Time Update Utility)

微��Y真是奇怪，居然在ResKit里面加入了这��L��东西�Q�一个调整夏令时的工兗��我们现在又不用夏��o�Ӟ��没有多大用处。随便说��_��

timezone /g /s startdate enddate /�Q?

/g
当前的情��c�?

/s startdate enddate
�q�行修改�Q�格式是HourayofWeekay:Month

Hour: 00-23
DayofWeek: 0=Sunday 1=monday………
Day指定发生的时��_��如果上面是sunday�Q�这里是1的话�Q�就是该月的�W�一个星期天�?
Month: 1 = January �?2 = December�?

37. Tlocmgr.exe (Telephony Location Manager)

一个用来管理TAPI的小�E�序�Q�允�怽�方便的改变你的TAPI Location。一旦运行以后会在右下角有一个tray�Q�这个实在没有什么好说的�?

38. Tracedmp.exe (Trace Dump)

�q�个工具也是用来处理Tracelog产生的日志的�Q�和前面的Reducer.exe有相象之处。Tracelog产生的是不容易阅�ȝ��Q�我们可以��用Tracedmp把它转换比较�Ҏ��ȝ��格式�Q�比如Summary.txt�q�种内容��一�? 也可以是CSV可以比较详细。还有tracedmp可以直接从Realtime buffer中直接读出数据来处理。tracedmp解释tracelog产生的日志是通过一个叫mofdata.guid的文�Ӟ��q�文仉��面包含了�pȝ��的目录服务和�pȝ��q�踪信息�?

如果要处�?其他的数据，必须把相应的信息加入到mofdata.guid中去�?

tracedmp option -h�??

-o 20051017183000.htm
输出CSV和summary文�g�Q�默认情况下是dumpfile.csv和summary.txt。这里的dumpfile.csv包括每一�?
event的详�l�的信息。具体��生的日志的内容代表的信息我在�q�里��׃��详细说了�Q?
1#��无M:jP�?q's00
大家可以参看相应的资料�?

-guid
MOF定义文�g�Q�默认的GUID是mofdata.guid�Q�你也可以进行指定�?

-rt
产生一个real-time trace文�g。如果要指定�q�个选项�Q�tracelog必须是在工作的�?

-summary
只提供summary.txt文�g。一般像�q�样用就可以了，�?g供G4W~$0CTY9Tracedmp c:\logfile.etl。你当然也可以tracedmp -rt ds�Q�来昄��realtime记录�?

39. Traceenable.exe (Trace Enable)

�q�是一个用来enable/disable RAS/RADIUS记录的GUI工具。这个工具允许我们修�?

HKLM\SOFTWARE\Microsoft\Tracing key下的
EnableConsoleTracing
EnableFileTracing
MaxFileSize
三个subkeys。如果你熟悉注册表的话，也可以直接修攏V��图形界面的工具��׃��多说了。提一下面板中的几个选项�?

Global
enable console tracing
允许你实时看目录�?

enable pool tagging
打开system pool标记�?

Per Component
enable console tracing
在控制台�H�口中显�C�日志跟�t�信息�?

enable file tracing
把信息保存到一个日志文件中。一般在%windir%\tracing�?

max file size
文�g的最大尺寸�?

如果你是在一台才安装的计��机中启用这个东东的话，有些键��g��不在注册表中�Q�那��是说在Trace Enable中也看不刎ͼ�你需要先�q�行RasPhone�?

40. Tracelog.exe (Trace Log)

说了半天�l�于说到�q�个tracelog.exe了。这个命令行工具可以开始，停止�Q�启用跟�t�记录，�q�些记录可以用Tracedmp或者是Reducer来看。tracelog在运行时��徏立一个buffer�Q�然后如果有数据�q�入buffer它可以把�q�些数据转换为文件保存，也可以进行实时的跟踪�Q�这个时候我们可以用如tracedmp�q�样的应用程序读出buffer中的数据�?

tracelog managementoption bufferoption logfileoption Systemleveltracingoption

Provider-specificOption -h�??

managementOption: Starting, stopping, updating and querying

-guid file
和tracedmp中的是一��L��Q�都是表�C�provider的信息。如果开始System tracing可以不用提供Guid�Q�如果是directory service events我们可以指定control.guid�?

-start logger_name
开始一个trace会话。你要提供一个日志名字，如果是一个system trace可以不需要指定，默认的名字�ؓ“NT
Kernel logger”�?

-stop logger_name
�l�止trace会话。如果是system trace可以不用指定logger_name�?

-update option logger_name
升��当前的trace会话。这个东西在你想改变文�g的名字，buffer的参敎ͼ�realtime模式�{�时候就会被用到�?
以下�q�些option可以在kernel logger中用到�?

-rt
模式开养I��调整realtime mode�?

-f logfile_name
指定新的log文�g的名字�?

-ft n
改变buffer的刷新计数器�?

-max n
改变buffer的大��?

"-nodisk" "-noprocess" "-nothread" "-nonet" "-fio" "-pf" "-hf" "-img" "-cm"
NT kernel logger的一些标志�?

上面�q�些调整可以一�ơ进行，如：tracelog -update -rt -max 40�?

-x
停止所有活动的会话�?

-l
查询在工作的traces�?

-q
只查询system trace�?

BufferOption

-b n
讄��buffer的大��ؓn kb。小的buffer会导致经常刷新buffer�Q?
N%�|�Q_:j专��Y国XE
基本上��用默认就好�?

-min n
讄��最��buffer,默认�?�?

-max n
讄��最大buffer�Q�默认是25�?

-ft n_seconds
讄��h��旉��?

-age n_minutes
修改老化旉��。就是分配的buffer没有使用�Q?
?件_F件}Rw_c
会在多长旉��内被释放�?

LogfileOption

-rt b
启用real time mode�?

-f name
日志的名字。默认是c:\logfile.etl�Q�如果要使用不同的名字用-o 20051017183000.htm�?

-seq n_mbyte
一直��用到n_mbyte�?

-cir n_mbyte
循环使用n_mbyte�?

Systemleveltracingoption
为kernel tracing提供更多的选项�?
默认情况下kernel tracing包括
Process start/end
Disk I/O
Network TCP/IP, UDP/IP
Thread start/end

只有在��用一些开兛_��Q?font id=koitjpocfjnnpicmi>I2R$�?(�|�u.I}供@=`R才会产生下面的内宏V�?
Image Load
Registry calls
File I/O
Page Fault
但是trace�q�些东西会��生很大的负担�?

-fio
启用file I/O tracing�?

-pf
启用page faults tracing�?

-hf
启用hard faults tracing�?

-img
启用image load tracing�?

-um
启用Process Private tracing。这�U�情况下buffer建立在Private Process space中，默认是在kernel

space中�?

-nf
每n mb更新文�g�?

ProviderSpecificOption: Provider Level Options

-level n

-flags

�q�些都和相应的provider有关�?

下面看个例子�Q?

打开trace�?
c:\>tracelog start
Logger Started...
Operation Status: 0L
The operation completed successfully.

Logger Name: NT Kernel Logger
Logger Id: ffff
Logger Thread Id: 1360
Buffer Size: 8 Kb
Maximum Buffers: 25
Minimum Buffers: 2
Number of Buffers: 2
Free Buffers: 1
Buffers Written: 3
Events Lost: 0
Log Buffers Lost: 0
Real Time Buffers Lost: 0
Log File Mode: Sequential
Enabled tracing: Process Thread Disk TcpIp
Log Filename: C:\LogFile.Etl

停止trace
C:\>tracelog

siwei 2007-08-21 16:54 发表评论

siwei — Tue, 21 Aug 2007 08:48:00 GMT

�Ҏ��一�Q?br>验证码无法显�C�的原因是XBM被屏蔽，只需要修复注册表相关��即可：

打开��C��本，把这一�D늲�贴进去：
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
"BlockXBM"=dword:00000000

另存�?nbsp; a.reg卛_��Q�运行后�Q�重新打开��览器�?/p>
�Ҏ��二：
今天上网,居然��发现图形验证码无法昄��?郁闷了老半�?找了�q�个办法
1、运行注册表�~�辑�?br>2、依�ơ点开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security�Q?br>3、在屏幕双��I�白处点击鼠标右键，选择新徏一个名�?“BlockXBM”为的;DWORD 键，其��gؓ默认�?
4、退出注册表�~�辑器�?

siwei 2007-08-21 16:48 发表评论