电脑怎么安装两个不同版本的软件-怎么下两个电脑系统文件

2024-10-17 11:33:12

1.打开我的电脑下面多了两个系统文件夹怎么删掉？

2.为什么下面会出现那两个系统文件？软件卸载了，那东西还在那？急。。。。。。。

3.XP系统下两台电脑如何共享文件

4.怎么用一台电脑给另一台电脑装系统

5.电脑里的2个操作系统都在C盘,怎么样删除一个系统!

打开我的电脑下面多了两个系统文件夹怎么删掉？

电脑怎么安装两个不同版本的软件-怎么下两个电脑系统文件

百度上也晃悠了很多天，对于很多朋友提出的C盘的空间越来越不够用，在这里我给大家简单的列举下，有些地方大家还是需要自己去明白（当然，很多都是原作者写的，这里还是感觉原作者）

现在的硬盘越来越大，越来越便宜，不过软件的体积增长更快，并且现在仍然有不少人还在用20GB以及更小的硬盘。怎样满足软件对硬盘的要求？先在臃肿的Windows操作系统上打打主意吧。

以下的操作全部以安装了SP1的简体中文版Windows XP为例，而其中的技巧大部分是针对Windows 2000和Windows XP的，有些操作可能会影响到操作系统的稳定性，使用的时候要注意。

第一部分：

装好操作系统后首先需要进行如下操作。值得庆幸的是以下方法，只要操作上没有错误，并不会对系统的稳定运行产生太大影响，因此可以放心尝试。

1，禁用系统还原。系统还原可以在平时备份系统的状态，在出现问题后还原到之前的备份状态下。这个功能虽然比较实用，不过要占据大量的硬盘空间，通常情况下每个硬盘分区12％的可用空间都会被用来保存还原点。如果你不需要这个功能，则可以禁用它。

在“我的电脑”图标上点击鼠标右键，选择属性，打开系统属性对话框。然后打开“系统还原”选项卡，选中“在所有驱动器上关闭系统还原”这个复选框，并确定。

2，转移分页文件。分页文件也就是以前我们在Windows 98中接触到的虚拟内存。默认情况下分页文件是放置在系统盘的根目录的，为了节省系统盘空间，我们可以把分页文件转移到其他分区中，而如果你的物理内存比较多（例如512MB以上），那也可以把分页文件的最大值设置的小一些。

打开系统属性的“高级”选项卡，点击“性能设置”按钮，然后在新弹出的窗口中打开“高级”选项卡，并点击“更改”按钮，然后在“虚拟内存”对话框中重新指定分页文件的保存位置。记得，在指定了位置后点击旁边的“设置”按钮，还有就是要把系统盘的初始值和最大值的设置改为0

3，临时文件夹。很多软件在使用过程中会产生临时文件，这些文件会被保存在系统盘的临时文件夹中，在软件关闭的时候自动被清除。可是有些软件由于设计的原因或者非正常退出，都可能无法完全清空临时文件，久而久之临时文件夹就会占据大量的硬盘空间。而把他们移出系统盘也更便于管理。

同样是在“系统属性”对话框的“高级”选项卡上，点击“环境变量”按钮，然后在图二的窗口中重新给“TEMP”和“TMP”两个变量指定位置，需要注意的是环境变量分为当前用户的环境变量和系统变量两种，分别都要做相同的设置。选中每一个变量，然后点击“编辑”，重新指定变量值（这里的变量值是指新的路径，例如d:\temp之类的）就可以了。重启动系统后新的临时文件夹设置就会生效。

4，禁用休眠。不管你是不是准备使用休眠，Windows XP在默认情况下休眠都是启用的，这会浪费掉你的系统盘中一块跟你的物理内存大小相当的空间。如果你不打算使用休眠，最好禁用休眠，以节约空间。

在桌面的空白处点击鼠标右键并选择属性，打开显示属性对话框，然后在“屏幕保护程序”选项卡上点击“电源”按钮打开电源属性对话框，接着打开“休眠”选项卡，取消对“启用休眠”的选择，确定后新的设置马上就会生效。

5，转移IE缓存。我们浏览过的网页都会被保存在IE的缓存中，这样如果以后再次打开同样的网页，IE就可以直接从缓存中调用网页而不是连接到网络服务器，以加快访问时间。不过现在宽带越来越普及，似乎也没必要利用硬盘上的缓存来加速访问，那么我们可以禁用IE缓存，或者转移到其他位置去。

在IE的工具菜单下打开“Internet选项”对话框，然后在“Internet临时文件”下点击“设置”，如果你不准备使用IE缓存，则拖动“使用的磁盘空间”滑块到最左侧，否则可以点击“移动文件夹”按钮，把IE缓存指定到系统盘以外的硬盘分区中。

6，卸载不需要的组件。Windows XP没有自定义安装的模式，因此几乎所有的组件都会被安装进系统。如果其中的一些组件你用不到，也可以卸载它们。不过同h舱情况下我们什么都不能卸载，试试用以下的方法：

在运行中输入“%systemroot%/inf/sysoc.inf”然后回车，就可以用写字板打开一个inf文件，这里显示了所有Windows组件程序的安装和卸载情况，而我们可以通过修改这个文件来卸载通常根本无法卸载的组件。打开这个文件后在记事本的“编辑”菜单下点击“替换”，然后在“查找内容”中输入“hide”（不包括引号），然后点击右侧的“全部替换”按钮，之后保存文件并关闭。重新打开控制面板中的添加删除程序，然后点击“添加删除Windows组件”，现在可以直接卸载很多以前并不允许卸载的组件了。而如果你日后需要使用这些组件，还可以重新安装。

7，转移“我的文档”。“我的文档”是一个比较特殊的文件夹，默认情况下所有应用程序生成的文档等都会保存在这个文件夹中，而这个文件夹其实也就在系统盘里。把这个文件夹转移到其他分区中，一方面可以减小系统盘的体积，另一方面，如果系统突然崩溃无法修复，我们可以直接格式化系统盘重装系统，而不用担心如何备份“我的文档”中保存的重要文件。

在“我的文档”文件夹上点击鼠标右键，然后选择属性，打开属性对话框，直接点击“移动”，就可以把“我的文档”转移到其他的分区中去。

8，关闭内存转储。虽说Windows 2000/XP 已经很稳定了，不过仍然可能会发生重大的问题，而外在的表现就是兰屏或者机。作为系统管理员，肯定很想知道系统为什么会出错。因此Windows 2000/XP 中使用了一种内存转储技术，如果遇到重大问题，系统会首先把内存中的数据保存到一个转储文件中，然后才重启动，而管理员就可以通过分析转储文件了解系统的故障。很明显，对于我们一般用户，根本没必要转储这些文件，因为我们根本看不懂。那么就禁用吧。

在“系统属性”对话框的“高级”选项卡下，点击“启动和故障恢复”按钮，然后在“写入调试信息”下拉菜单中选择“无”。并且你可以搜索所有的“*.dmp”文件并删除它们。同时，在运行中输入“drwtsn32”并回车，打开华生医生工具，在这里取消对“转储全部线程上下文”、“附加到现有日志文件”和“创建故障转储文件”这三项的选择（图三）。

9，转移字体。通常Windows会用200MB左右的空间保存各种系统字体，这些字体都是保存在系统盘中，而我们也可以把其中的大部分字体转移到其他分区中，并且丝毫不会影响字体的使用。

我们知道，字体的安装和卸载都很简单，只要复制到Fonts文件夹或者从Fonts文件夹中删除就可以完成。因为我们安装字体的时候可以选择只复制字体文件的快捷方式，通过这个方法就可以把几乎全部的字体转移到其他分区中。以安装新字体为例，在Windows目录下打开Fonts文件夹，然后点击“文件”菜单下的“安装新字体”，之后会出现图四的界面，在这里找到我们保存字体文件的文件夹，然后选中所有想要安装的字体（可以在选择的时候按下Shift一次选择多个字体文件），最后取消对“将字体复制到Fonts文件夹”的选择，然后点击右侧的“确定”。而通过观察就可以看出，经过这样安装的字体在显示上跟其他字体截然不同，在字体上添加了一个类似快捷方式的小箭头。而我们也可以把系统内置的字体先复制到其他文件夹中，然后在Fonts文件夹下删除（卸载），再用上面的方法安装快捷方式。需要注意一点，一些重要的系统字体是不允许被卸载的（表现在你无法从Fonts文件夹中删除它们），那么这些字体你最好不要乱动。

第二部分：

如果你还需要进一步减小系统分区的体积，也可以试试用下面的方法。不过需要提前声明的是使用这些方法后可能会对系统的稳定性产生一定影响，所以在应用之前一定要考虑清楚。

1，系统文件备份。为了保证系统的稳定性以及重要的系统文件不会被错误删除或者替换，Windows 2000/XP 会自动备份重要系统文件。这些文件通常会保存在%systemroot%/system32/dllcache文件夹中。

在运行中输入“CMD”并回车，打开命令提示行窗口，然后在其中输入“sfc /purgecache”并回车，这将会删除前面提到的%systemroot%/system32/dllcache文件夹中所有的备份文件，接着继续输入“sfc /cachesize=0”并回车，这将使得系统以后不会消耗硬盘空间来保存备份的系统文件。需要注意，经过这样的操作以后如果有重要的系统文件需要恢复，操作系统会直接要你插入系统安装光盘。如果你嫌麻烦或者只是想要减小系统盘的体积而不想影响稳定性，也可以通过配置组策略把备份文件夹转移到其他分区。在运行中输入“gpedit.msc”并回车，打开组策略编辑器，然后定位到“计算机配置－管理模板－系统－Windows文件保护”，然后分别通过右侧的“指定Windows文件保护缓存位置”和“限制Windows文件保护缓存大小”来转移和重新设置缓存文件夹的位置和大小（图五）。注意：如果你想手工删除，记得只能删除这个文件夹中的文件而不是文件夹本身。

2，帮助文件。如果你对Windows系统非常熟练，也可以删除帮助文件节省空间，直接删除Windows目录下的“Help”文件夹就可以了。

3，多余的输入法。除了中文输入法，Windows XP中还带有日文和韩文等输入法，这对我们当然没什么用处，也可以在“%systemroot%/ime”文件夹下删除“CHSIME”和“SHARED”之外的其他所有文件夹。（如果删不掉可以试试到安全模式下删除）。在使用这个方法之前一定要确保你已经事先删除了所有的系统文件备份（也就是第二部分第一条中说到的），否则你删除了这些文件后操作系统会自动从备份文件中恢复它们。

4， Service Pack备份文件。Service Pack是Windows的大补丁文件，在安装Service Pack后硬盘上会占用一部分空间保存备份出来的系统文件。如果硬盘非常紧张也可以考虑删除。

在给Windows安装了Service Pack（也就是通常说的SP1，SP2等）后你也许可以在Windows目录下看到类似“ServicePackFiles”的文件夹，这里就保存了安装Service Pack后的备份文件。通常如果不是硬盘非常紧张，绝对不建议你删除这里的文件，当然如果你坚持，也可以删除它，记得，只删除其中的文件，不要删除这个文件夹。

5， Windows Update后的隐藏文件夹。所有通过Windows Update安装的补丁都是可以卸载的，并且为了应付以后的卸载，补丁程序在安装的时候会备份一些文件，并隐藏保存起来。如果你通过Windows Update后觉得系统运行稳定，以及你不准备以后卸载这些补丁，则可以删除这些隐藏的备份文件。

Windows目录下还有一些文件夹，通常有狠多，是压缩过的，名称为“$NtUninstallQ******$”（******是一个数字），这些文件夹中保存了你通过Windows Update安装的补丁的备份文件。可以直接删除。注意：这些文件架式隐藏的，直接看不到，你可以先在文件夹选项的查看选项卡下设置显示隐藏文件。

6，备份的驱动程序。Windows会把自带的驱动程序文件备份到硬盘上，这样以后添加新的硬件就不用频繁插入光盘。当然，为了节省空间我们也可以直接删除这备份的驱动程序，通常就是位于“%systemroot%/Driver Cache/i386”文件夹下的Driver.cab文件。

第三部分：

如果经过上面那些操作你还是对你的硬盘可用空间不满意，那就继续看下去吧。请一定要注意，以下的操作可能会严重影响系统稳定性，或者对以后的使用带来一些不便。不过只是“可能造成”而已。

在Windows 文件夹下有很多字文件夹，其中很多都不是系统正常运行必须的，也都可以删除或者清空。

1， c:\windows\cursors\ ，这个文件夹中包含了所有的鼠标指针，如果你只打算使用Windows默认的鼠标指针，那就可以删除这里的所有文件。

2， c:\windows\inf\ ，这个文件夹中包含了大量的Windows下的硬件驱动程序，如果你确信已经不会再增添新的硬件设备以及所有硬件都可以正常工作，那么这里的所有文件就都可以删除。

3， c:\windows\srchasst ，这个文件夹中保存了Windows XP的搜索助理，也就是你搜索文件时出现的小狗或者其他什么人物造型。你可以直接删除这个文件夹，这样你将会使用Windows 2000模式的经典搜索方式，而不是XP那样询问你是要搜索照片还是音乐等。

4， c:\windows\downloaded installations\ ，这个文件夹中保存了一些程序的安装文件（主要是使用Windows Installer技术安装的程序），这样如果以后这个程序需要修复或者进行其他操作，就可以直接通过保存在这里的安装文件进行。不过通常把这个文件夹清空对系统的使用也没有什么太大的影响，所以建议删除。

5， c:\windows\media\ ，这里是用来保存Windows的系统声音（例如双击、系统登录等声音）的，如果不需要，可以直接删除它们。

6， c:\windows\system32\restore\ ，这个文件夹保存的是系统还原的可执行文件，如果你根本不打算使用系统还原功能，那就可以把这里的文件全部删除。不过要注意，删除之前最好先关闭系统还原，并运行Services.msc关闭System Restore Service 服务，然后再删除所有的还原点。

7， c:\windows\system32\usmt\ ，这个文件夹中是文件和设置转移向导的相关文件，如果你不使用这个功能，也可以清空该文件夹。

8， c:\program files\msn ，c:\program files\netmeeting\ ，这两个文件夹中是MSN Explorer 和Netmeeting的可执行文件，不需要的话可以清空。

9， C:\windows\system32\oobe ，这里保存了你安装好XP第一次登录时的向导，还有Windows XP 产品激活的一些程序，如果你使用的XP是不需要激活的企业版，那就可以清空这个文件夹（是清空而不是删除文件夹）；而如果你的Windows XP是零售版或者OEM版，那最好不要动它。

10， c:\windows\msagent ，这里保存了Agent的所有文件，这里的Agent就跟微软Office 应用程序中的Office 助手一样，是一些动态的卡通形象，通常我们用不到这些东西，所以可以删除。

11， c:\windows\java ，微软的JAVA虚拟机。如果你已经安装了Sun 的虚拟机或者根本不会使用到JAVA程序（这个可能性很低，因为很多网页中也使用了JAVA），就可以删除这个文件夹。

最后还有几点要说：

首先，注意你安装的应用软件。很多软件（尤其是微软的，例如Outlook Express和Office软件等）默认情况下都会在系统盘中保存一些文件，例如OE收取的所有邮件都会保存在系统盘中，这样长时间使用下来你的邮件等就可以占据大量的硬盘空间，而你也可以把这些文件设置保存在别处，这通常都可以在软件自己的设置和选项中找到。

其次，经过这样的设置，系统盘中基本上不会频繁的写入数据了，而进行一次彻底的磁盘碎片整理后可能很长时间都不需要再次整理，这也间接提高了系统的运行效率。

平时安装软件的时候要注意，大部分的软件，就算你选择安装到其他分区，它还是会给系统分区中写入很多共享的文件，因此一定要给系统盘留够足够的剩余空间，以免新软件因为系统盘空间不足而无法安装。

最后，如果通过这样的设置你还是感觉系统盘的空间有些紧张，那也可以试试NTFS分区的压缩。首先要确保你的系统盘是NTFS文件系统，然后打开“我的电脑”，在系统盘的图标上点击鼠标右键，选择“属性”，然后选中“压缩驱动器以节约磁盘空间”，并确定，操作系统会把系统盘上的数据全部压缩包存。只不过这种压缩只对某些类型的文件有效（例如DOC，txt）等，对于那些本来就已经压缩过的文件（例如zip、Rar等）则没有明显的效果，因此你可以选择直接压缩某些文件夹，而不是整个硬盘分区。但是经过这样的压缩，以后系统运行的时候速度会有些慢，因为压缩的文件在读取之前首先要被解压缩，而这都要CPU做大量的运算，所以如果电脑配置不够高就不建议你压缩系统分区。

通过以上的操作差不多Windows中能不要的文件都清理掉了，你的Windows又苗条了。

但是这里有些，初学者还是不要随便改了，免的引起不必要的麻烦！

可以修改的，并且很有效果的，有下面几个！

1，禁用系统还原。

2，转移分页文件。

3，临时文件夹。

4，禁用休眠。

5，转移“我的文档”。

其他的还可以用，但是最好就不要用了~毕竟那些占用的不是很大！有时删除了可能还会有些问题的出现·

原文你可以去我博客看，

为什么下面会出现那两个系统文件？软件卸载了，那东西还在那？急。。。。。。。

，偶们开始检查当前进程，当前进程是什么呢？当前进程就是现在所有正在运行的程序！查看当前进程，就是查看现在有哪些程序正在运行，如果有未知的程序呢？可能就是木马了，因为通常木马也是做为一个程序存在的。

怎么看当前进程呢？请借助专业工具，实在没有工具时，再同时按下Ctrl + Alt + Delete键调出任务管理器来查看。

那什么样子的程序是未知程序呢？

这里，我要再强调一下子，一定要找一个能够对进程文件进行数字签名验证的进程查看工具，不然你无法区分某一进程是否为可疑进程，只凭文件名字是完全不够用的。

如果一个进程不是系统进程，也不是你正在运行的某一程序的进程，那这个进程就是我们说的可疑进程。（不能通过数字签名验证的为非系统进程）

找到了可疑进程又如何呢？杀掉后删除么？

NO，不要杀它～不杀的原因有三点：

1、杀掉它的结果是什么，很难预料，如果其正在与其它程序或内核驱动进行交互，你杀它，很可能就是自杀，会把系统杀崩的。

2、杀掉并删除它，并不会清除它写入注册表的启动项，这样每次开机时仍然会尝试加载这个程序，虽然文件已经不在，无法使木马运行，但每次的试图加载，都是需要时间的，这也是系统变慢的一个原因所在。

3、最后，只凭上面的检测，只能说明这个进程是可疑进程，但无法就此确认这就是木马，所以，你现在杀掉它，很可能会误杀～

那应该怎么办呢？答案是不理它，找到后，把文件名字记下来，然后进行下一步的检查工作，暂时不要理它。

如果没找到呢？

那说明，你的机器可能很干净，没有木马。

或者，木马是进程隐藏或无进程木马。

进程隐藏型的怎么办呢？

我们先了解一些木马隐藏进程的手段～

当前流行的木马隐藏进程的手段如下：

0、初级隐藏，查找任务管理器窗口枚举子窗口找到列进程的列表框，把自己的名字抺去～，这种用一般专业工具即可查。

1、中级隐藏，HOOK Win32API 过滤掉马儿自己的进程。只要是驱动级别的进程管理工具基本都可以查。

2、中高级隐藏，HOOK SSDT NtQuerySystemInformation，过滤掉马儿自己的进程，具有恢复SSDT功能的驱动级工具可查。

3、次高级隐藏，INLINE HOOK SSDT，过滤掉自己进程，恢复INLINE的或直接枚举进程链的可查。

4、准高级隐藏，自活动进程链中摘除自己的进程，基于线程调度链表检测技术的工具可查。

5、高级隐藏，绕过内核调度链表隐藏进程，基于HOOK－KiReadyThread技术来检测的工具可查。

对于隐藏进程，请使用具有相应功能的检查工具来检查～

当然了，我们也不一定乞白咧的非要把木马隐藏的进程找出来，实在找不出，就当没有或当作无进程的木马，直接进行下一步检查就可以了。

因为，进程检查只是检查的手段之一，看不到、杀不掉木马的进程，并不妨碍我们把木马清掉。

OK，无论对进程的检查结果如何，我们接下来都要开始下一步的检查，模块检查！

参照图如下：

下面的图是一张进程检查图（请以数字签名验证的结果为主，以文件路径名字为辅来判断，瑞星杀毒软件的进程不是系统进程，但通过文件名字与路径，我们可以知道，这是瑞星的主控程序，呵呵，不要心眼，要多方面结合起来判断～ ^-^）：

第二章模块篇

模块是什么？模块，是指具备某一种或某一类功能的特殊功能模块，其外在的表现形式通常为各种动态库文件（通常以.dll为扩展名字）或插件文件（通常以.OCX为扩展名字）。它们由应用程序加载，来为程序提供某一特定的功能。

就像我们的电视机，如果加了一个卫星天线，就可以收到更多的节目一样，卫星天线本身是与电视机无关的，但它一但被电视机所用，就可以为电视机提供额外的功能。卫星天线相对于电视机，也就是相当于模块相对于程序。

每个进程都有几个到上百个不等的模块，每个模块都有其特定的用途，当然了，如果某个模块是木马的话，也有其木马用途。

当进程检查流行起来，且检查的越来越深入时，木马的制造者们开始制作无进程木马，木马是做为一个模块出现的，这样它将不存在于进程列表中。无论你用何等高级的进程检测技术都无法检测到模块木马的存在。

一台电脑中，进程可能有十几个或几十个，但模块却有好几百个，数量的增多也增加了我们检测的难度。

对检测工具的要求，仍然是需要具备数字签名验证的能力，否则手工从几百个模块文件中挑出木马，真的很累～（木马模块的检查，请看下面的图）

找到后怎么办呢？

呵呵，上次有朋友遇到过这问题，结果是他用暴力手段给卸载并删除了～，应该这样处理么？

答案仍然是否定的！

不要暴力卸载并删除～～原因么？原因先缓一缓再说，我们先了解一下儿模块木马的启动运行机制，然后再解释为什么不要暴力卸载删除。

模块木马分为两种：一种是静态加载的，一种是动态注入的。

静态加载的，是把自己的木马文件，在注册表的某键册，这样，系统会在开机或运行某一程序时自动的加载在这一键册的所有模块，这样，木马就实现了进入到程序中，并执行其非法活动的目的。（在注册表的哪些键册可以让系统加载，在后面的启动项检查中会有解释）

动态加载的，这类木马就是所谓的进程注入型木马，它的实现不但需要有一个模块文件，还需要有一个将模块文件注入到进程中的注入程序。先将注入程序启动，然后由注入程序将模块木马注入到其它的进程中，完成注入后，注入程序就结束了运行，这样，你仍然无法看到进程。

现在明白为什么不能暴力卸载并删除了么？

暴力卸载并删除后，如果是静态加载的，那注册表中仍然会留下加载项，每次开机或相关程序运行时仍然会偿试加载该模块，如果多了，会导至系统运行变慢。

如果是动态加载的，那你卸载并删除的仅仅是模块木马，注入程序却仍然留在你的机器上。如果此木马设计的比较合理，那它应该是有模块文件备份的，这样，当你再次开机时，会发现，你暴力删除的模块文件又重新回到了你的机器上，你永远删不干净。如果此木马设计的不合理或比较狠毒，那就只有上帝和木马的制造者才知道会发生事情了～～ -_-!

即然不能暴力删除，那找到后应该如何呢？与进程一样，抄下模块文件的路径与名字，然后，开始下一步的检查，暂时不要理它。

即然说到了无进程木马，那就不得不说“线程注入型木马”，进程注入型的木马注入到进程中的是一个模块，也就是说，必须有一个模块文件的存在，这样我们可以找到这个模块并通过对其文件进行签名验证来找出注入木马；而线程注入型的木马，注入到进程中的却只是一段代码，是没有文件存在的，虽然可以查看每个进程的各个线程，但想发现并找出哪一个线程是木马的，不能说绝不可能，但也几乎是不可能的了，能找出的是非常高的高人，绝不是我～看看下面的第二张图，是EXPLORER.exe的线程列表，能看出什么么？

（顺便说一句，那张图是ProcessExplorer的截图，非常非常出名且非常非常好用的进程管理工具，在这里可以下载：）

那对这种线程注入型的木马又怎么办呢？

幸好，线程注入型的木马也需要有一个注入程序来配合，我们找出线程很难，但找出他的注入程序就好办多了。

现在，无论你是否找到了可疑的模块或线程，我们都要开始下一步的检查，启动项检查！

第三章自启动项篇

自启动项是什么？自启动项，就是程序在系统的某处进行登记之后，每次开机系统会自动将程序运行，而程序登记的项，就叫做自启动项。

木马都不会甘心只运行一次就结束的，它若想在你的电脑中安家，就肯定要每次开机都运行起来，这样，才能达到自我保护、且正常进行木马工作的目的。

一般的木马都会有一处或多处自启动项，这也成了查找木马时必查的一步。（这只说的是一般的木马，当然就还有二般的不需要自启动项的木马，这个我们放在后面说）

查找木马的自启动项，很关键也很重要，相对的对工具的要求也很高。

系统中到底有多少处地方可以让程序自动运行呢？汗～～偶也不知道，偶只能说N多～～所以，要找个查的全的工具来检查，且要找好几个来检查，这样结合起来，应该就够全了。任何一个也不敢说它能把系统中所有的启动位置全列出来。所以，对启动项检查工具的第一要求是要够全！

只全就够了么?当然还不够，还有一点跟上面相同，也要能进行数字签名验证的，免得它起个系统文件的名字蒙混过去。

还有就是要能够检测隐藏的启动项，同样的，我们先了解木马隐藏启动项用到的技术：

0、木马没隐藏，只是找了个隐蔽的位置而已，这就要看所用的工具程序枚举的项够不够全了。

1、木马隐藏在应用层次，HOOK了Win32API中的相关注册表枚举函数，这样的马儿很容易检测，任何一个驱动级别的检测程序都可以胜任。

2、木马隐藏在内核层，HOOK了SSDT，这样的马儿，一般的就不行了，得找能恢复SSDT的专业检测程序。

3、木马隐藏在内核层且很无耻，INLINE－HOOK了相关服务函数，这样的马儿绝大多数检程序就都不行了，需要找能恢复INLINE-HOOK的程序。

4、木马隐藏在最底层，通过查找特征码的方法INLINE-HOOK了微软未公开的底层函数如Cm*系列的函数，嘿，已经很难再比它更底层了，这样的马儿只有采用HIVE文件扫描方式的检测程序或专门恢复底层INLINE-HOOK的工具才能找到它。

这四种隐藏方式都是已经有流氓软件或木马使用先例的～，所以不要报有侥幸心理，认为木马不会采用这种高级的技术，所以，检查启动项最好是多用几个工具配合起来检查，功能强的通常不够全，嘿，可能高手都比较懒吧～

OK，我们开始检查吧～先把HOOK、INLINE-HOOK都恢复了，再运行工具开始检查，还记得我们前面找到的可疑模块与可疑进程么，这时就用到了，把找出来的启动项与那些对比一下儿，看看是不是有它们的启动项在里面。

有？OK，备份注册表，然后删除启动项。删除不掉？是不是忘记恢复HOOK了？恢复了，那打开注册表编辑器，看看你有没有权限删除这个键，在欲删除的键上面按右键，选权限，再选“完全控制”就可以删除了，呵呵，这只是它玩的一个小障眼法儿。

删除后，又有了？这也没关系，这时你有两个选择，一是先结束掉它的进程，卸载掉它的模块，以使它失去重写的能力。二是，开启“系统锁定”功能，把系统临时锁起来，不允许任何程序对注册表进行写入。这时再删除它就没问题了。

删除完成后，重启计算机。

不是记下了可疑的进程与模块了么？再检查一下子，看它们还在不在？不在了，恭喜，你完成了你的木马查杀工作。

还在？

呵呵，也不要怕，如果还在，证明你并没有真正的完全清除掉它的启动项；可能原因是：

1、这只木马还采取了触发式的启动机制。

2、它还有其它的保护机制，比如影子程序或驱动；

接下来让我们继续解剖触发式启动的木马～～

第四章触发式木马

上面我说了一般木马的查杀方法，通过上面的查杀，大多数木马都可以清掉了。（上次忘记写了，重启后，如木马已经不能启动了，接下来当然就是把记下来的木马文件全部删掉了）

接着我来说一说触发式木马，什么叫触发式木马呢？触发式木马是当您进行某一操作时会触发木马的启动机制，使得木马启动，如果你永远不进行这一操作，而木马则永远不会启动。一般的木马都是主动启动并运行的，而安全检查工具与杀毒软件检查的也大多是主动启动式的木马，比如对自启动项进行检查，查的就是开机后自动主动运行的。只对少数的常见的可以触发木马启动的项进行检查，而触发木马启动的地方操作却很多，这就是这种木马很难杀干净的原因。

其表现为，清除后的当时系统很正常，当时检查机器也很干净，但用不了多长时间，木马又灰复燃，再度出现。

现在我们开始实际动手查杀这些难缠的家伙们！

需要说明的是，这里为了讲起来有条理，清楚易懂，所以是分开来讲的，实际查杀起来，当然是可以一起来做的。（检查进程、启动项时，就可顺手检查下面的这些）

最常见的也是我们首先要检查的当然就是Autorun.inf了，这是个什么东西呢？这是一个配置文件，看名字，翻译过来不就是“自动运行”么，是的，这个正常用途是用于光盘的自动播放，就是将光盘插入光驱后，系统会自动运行Autorun.inf里面指定的程序。

后来被一些人用于了硬盘，当将这个文件放在硬盘分区的根目录下时，在盘符上点右键，会发现默认的操作就是“自动播放”而不是打开。这时，你双击某一盘符时，就不再是打开并浏览文件夹，而是直接运行指定的程序（还需要改注册表的某个地方，因与我们查杀无关就不说了，免得被坏人利用）。

你查杀木马病毒时如果采取的是暴力删除，那么，程序删除后，Autorun.inf这个文件却仍然还在，会出现后遗症，表现为无法双击打开磁盘。（顺便提一句，熊猫烧香采用的就是这种触发方式与自启动项相结合的）

由于，你双击磁盘会触发木马的启动，所以查杀时，要右键单击，再选择“打开”或用“资源管理器”来查看，找到后删除此文件。

通常此文件会以隐藏文件的形式出现，更有些恶毒的会加上“注册表监控并回写”来为文件隐藏护航，你一旦更改系统为“显示所有文件”，它马上会再次改为“不显示隐藏文件”，如何破除这种注册表回写保护，上面的贴子里写过方法了，这里不再重复。

另一种触发方式是修改文件关联，什么叫文件关联呢？文件关联就是某一类型的文件与某一程序的对应关系，要知道，我们的系统中有无数种文件格式，比如：文件（以.bmp .jpg .gif等为扩展名）、音乐文件(mp3 mp4等）......当你双击一个时，系统会调用看图程序来打开并显示，而不是调用播放器来播放，系统为什么会知道要调用看图程序而不是调用播放器呢？这就是因为文件关联的存在，在注册表中，文件已经与看图程序关联在了一起，相应的，音乐文件与播放器关联在了一起，大多数类型的文件都与某一特定程序有关联。这样，系统才知道，打开什么样的文件需要调用什么程序。

聪明的您已经知道木马是如何利用文件关联来触发了吧？是的，狡猾的木马就是把某一特定类型文件的关联改为了与它自己关联，这时你一旦打开这一类型的文件就会触发木马的启动。由于木马启动后，会由它再调用正常的关联程序，所以，文件仍然会正常打开，而你也就不知道其实你的操作已经将木马启动了起来。

木马会改哪种文件的关联呢？咳，这我哪知道呢，这只有上帝与木马的作者才知道。

系统中又有多少文件关联可供它改呢？你打开注册表编辑器看看第一大项下面的子项就知道有多少了，怎么也上千个吧。

如何查杀呢？

一般的木马会改一些你会经常用到的文件的关联，比如：文本文件、程序文件、网页文件等。而网上有很多恢复文件关联的程序或注册表导出文件都可以恢复这些常见的文件关联。

但这样检查显然是远远不够的，如果你是木马的作者，你知道这些常见的文件关联会被检查并恢复，你还会改这些么？就不会了吧，因为可供你选择的太多了。比如：选择修改.rar文件的关联，这是类文件是压缩文件，网上提供下载的程序有很多是以这类文件格式存在的，所以一般上网的网民打开压缩文件的机率会非常高，而恢复这一文件关联的程序几乎没有，因为恢复后的直接结果就是压缩文件打不开了，因为恢复程序的作者不是神仙，他不知道你用的是哪个压缩软件，你的压缩软件又安装在了哪里，所以，他不会给你恢复这个的。

这样，只要你打开压缩文件，就会触发木马，如果这个木马的关联文件是一个影子程序的话，那由于影子程序都不具备病毒特征，所以全盘文件扫描也不会将它找出来，你找到并清除的都是这个程序的释放体，而源头还在，从此，木马将成为你挥之不去的恶梦～（关于影子程序我们下一次细讲）

文件关联如何检查呢？两种方法，一种是通过监控得到哪个文件关联被修改的，然后再改回去。第二种是用专业软件，对所有文件关联进行扫描。

如何通过监控得到文件关联是否正确呢？

首先，找个进线程监控的工具程序，打开“进线程监控”，然后不断的打开你常用的各种文件，并检查，打开文件时程序的运行情况，比如：你找开了个.rar文件，进程监视中应该显示，“WinRAR.exe由Explorer.exe启动运行”，那是正常的。如果显示的是其它程序由Explorer.exe运行，而WinRAR.exe又是由那个其它程序来启动的，那就是被改了。当然，你也可以打开注册表查看每个文件关联，是否是正常的。

第二种方法是用专业软件来扫描，把系统文件过滤掉，那剩下的非系统的文件关联就很少了，稍加判断结果就出来了，很简单，就不多讲了，看看下面的图就明白了。

找到后怎么办呢？

不要只是清除，清除后还要找个正常的机器导出一份正常的，或把你删除的文件关联告诉朋友，让朋友自他的机器上导出一份正常的，然后在自己机器上导入一下子就可以了。

如果是非系统的文件关联，比如：.rar压缩文件，那就直接删除了，然后再次找开.rar时，会提示你选择打开此种类型文件的程序，这时选择WinRar.exe，然后勾选上总是用这种程序来打开此类型文件就可以了。

或者用其它方法.....嘿，其实只要发现了木马，其它的就好办了～～

另外，需要注意的是，还有些触发并不是很明显的文件操作，比如当你打开的网站时，可能要解释执行脚本语言，而用什么来解释执行呢？系统也是在注册表中寻找相应程序的，比如：VBS、JScript等键，基本都在HKEY_CLASSES_ROOT主键下。

像卡巴、金山等杀毒程序会用自己的DLL在这几个键册，以便执行脚本语言时先行检查这些脚本语言是否具有病毒特征，但木马同样也会利用这几个键，让你一打开网站就执行木马。

好了，我们下面接着说一说影子程序（驱动）吧～因为它们经常与这些触发式的启动机制合作，之所以它们总是合作，因为触发式的可以躲过对启动项、进程、模块的检查，而影子程序却可以躲过杀毒软件的文件扫描。他们是如何紧密合作来躲过我们检查的，让我们下次再说～～～ ^-^

第五章影子程序（驱动）

什么是影子程序呢？影子大家都了解吧～～即然有影子当然也要有本体了，影子只是为了本体的存在而存在的，其它的工作一概不做。而影子程序呢？也就是为了木马程序的存在而存在的，其本身并不从事任何木马工作。

木马为什么要搞一个影子程序或影子驱动呢？目的只有一个“保护主木马程序不被清除。”

影子是如何来保护主木马程序的呢？了解这个之前，我们先要了解一下杀毒软件是如何杀毒的。

了解了杀毒软件是如何杀毒之后，再谈影子如何逃过杀毒软件的查杀，就容易理解了。

大多数杀毒软件都是依赖病毒特征码杀毒的，所以都附带了一个病毒库，我们平时升级其实大多数是在升级病毒库，病毒库中存储了病毒的特征码，就像病毒档案一样（身高、体重、三围、五官等..... ^-^ 差不多类似啦）如果一个程序与病毒库中的某种病毒特征相吻合，就会被认为是某种病毒而被查杀。病毒特征是如何来的呢？就是病毒分析师对病毒进行分析后提取出来的，所以这种查杀方式查杀的都是有案底的，也就是以前犯过案的，被人留了底，再出来就是过街老鼠，人人喊打了。

这种按特征查杀，属于硬特征，只要符合就OK了～～虽然有误杀，但相对很少，毕竟完全相同的并不多。其查杀的准确与否，误杀率是否高，很大程度依赖于病毒分析师的提取水平。呵呵，偶们就见过某知名公司把一个驱动框架硬是报为ROOTKIT木马的，显然其特征码存在严重问题。

还有一种是所谓的主动防卸型的，在比照特征码的同时，还分析病毒木马的行为特征，一个程序的行为符合特定行为的数量多到一定数值，就为被认为是病毒，当然了，这种误报率也相应的增加了很多。这种查杀，没案底也可以，就像你以前虽然没有犯过事儿，也没留案底，但你提着刀追着人家猛砍，当然也会被逮住的，因为你的行为符合了病毒的行为特征。

当前病毒的流行越来越大众化，想获取病毒源码也并不是什么难事，一些小屁孩也能抄一段来散发个病毒，但是却没有能力更改代码特征，使其躲过杀毒软件的查杀。

所以，一些人开始拼命的找新壳，来为病毒加不同的壳，但杀毒软件的脱壳技术也是越来越高了，想找到不被杀毒软件所脱的壳也困难起来了。

接着又有些人想出一些其它的方式来躲避杀毒软件的查杀。

影子程序就是其中的一种～～

病毒木马的主程序，因为要工作，所以一些特征是很难去掉的。但影子程序却不用去从事木马工作，所以它本质上就是一个正常的程序，不使用任何病毒技术，也不具备任何病毒特征，所以不会被杀毒软件查杀。

这就是病毒木马采取影子程序的目的，因为影子程序不具备病毒特征，可以躲过杀毒软件的全盘文件扫描。

那它又是如何来保护主程序的呢？一般它是把病毒主程序做为资源放到了自己里面，再保险点就对主程序压缩、加密后再以资源的形式放到自己的程序中。（资源就是一些数据啦～～比如，一个程序中用到的，就属于资源）而杀毒软件通常只是对代码进行检查，而不检查数据资源，其实查也查不出什么来～以纯数据形式存在的资源，有N种方法改变。

这样，影子程序通过资源存放的方式，解决了木马程序在电脑中的生存问题，为木马在您的电脑中留下了一个火种。

在木马病毒被清掉之后，影子程序一旦发现木马主程序不见了，就从自己的资源中重新释放一份。使木马病毒重新再生，使你杀不胜杀，直到杀得你心疲手软自己放弃为止。

影子程序又是如何发现木马主程序被清除的呢？

有两种途径，一是将自己也加在某一个启动位置上，每次开机自动启动，在启动后如果发现木马主程序已经不在，就释放一份，并将木马启动，接着自己就退出了。如果在，影子程序就直接退出了。

二是，利用触发机制等待，等你触发影子程序后，由影子程序去检查木马是否存在，如果不存在就释放并启动然后自己退出，如果在同样也就直接退出了。

由于，影子程序只是运行了那么零点零几秒而已～～所以你的进程检查对它没什么用处，因为它平时是不运行的～

对付影子程序，只能由启动项入手，而影子程序也注意到了这一点，所以很多就采取了触发机制，因此，我们检查时，也要注意检查触发式木马。

呵，结论出来了，各位朋友不要看到进程中的可疑进程就眼红红的冲过去狂杀一通～～杀进程、删除文件、卸模块只是治标不治本的做法～～什么事情都要寻根求源，进行“根治”～～否则，轻则病毒木马是杀不完去不净～～重则是系统被越杀越慢～～杀到最后，不得不重装系统完事儿～～～

用GHOST恢复也很快？呵，难道你不知道熊猫烧香会删除GHOST的备份文件么？熊猫能删除～～其它的当然也能删～～删个文件对它们来说绝不是什么难事儿～～

重装系统就安全么？也不见得～～在网上搜一下儿～看看网上提供下载的操作系统风险又有多大～很多木马是在做操作系统安装盘时就放进去了～～

放进去为什么查不到呢？

这就是另一个话题了～～文件修改替换型的木马～～很让人郁闷的一类木马～～下次再说吧～～

汗～～想起来就头大～

参照图：CNNIC的影子驱动，蓝色圈起来的是主驱动，红色的是影子驱动，影子驱动的名字是随机的，每次开机都不相同。

借这张图把上次有朋友问的清除CNNIC的剩余问题给解答一下子：

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root键下还有与驱动服务相匹配的一些键，如果用其它的清除工具，记得也要清了。如果是用5.0.0.7就不用了，清除驱动项时会自动清理那个键的。（注意：5.0.0.6版没有相应功能，汗～可能自动检测影子驱动的功能也没有～～手工删除或找别的工具用吧，实在不行就等5.0.0.7出试用版吧～）

清的时候清干净喽～～否则～～嘿～～恢复燃就是说这个的～～

CNNIC还有关机通知的功能～～别忘记了～～不然即使清干净了，关机时它就又写回去了～～

什么？不知道怎么对付～～汗～～～这个偶暂时也没找到合适的工具，虽然写程序对付最简单，但没有通用性，不值得为这一个家伙写个程序。

暂时有两个方法可以解决：

一个是笨办法。关机时不是由系统通知它的么？偶们就连系统也不通知不就完了，直接按RESET键冷启动机器就OK了～～ -_-!

二个是先恢复FSD的HOOK与INLINE-HOOK，然后把相关的程序文件、驱动文件、DLL文件全删除了，然后重启，再删一遍启动项，也就OK了～（注意，锁定系统好像对CNNIC也不大好用的说～郁闷～）

另外，惯于用AutoRuns.exe的朋友注意了，我用的AutoRuns.exe是8.22版的查不出来CNNIC的驱动启动项～如果查杀CNNIC就先换一个用吧～

XP系统下两台电脑如何共享文件

XP系统下两台电脑共享文件的设置方法：

局域网共享设置步骤：

1、两台电脑都连上同一个路由器。

2、右击桌面网络----属性----更改高级共享设置.

3、选择

公共网络---选择以下选项：启动网络发现------启动文件和打印机共享-----启用共享以便可以访问网络的用户可以读取和写入公用文件夹中的文件(可以不选）----关闭密码保护共享(

其他选项使用默认值)

4、保存，并确定。

5、选择需要共享的文件夹或者盘符，右击--属性.

6、打开共享选项卡----

选择

共享---弹出对话框---添加“Guest”---共享.

7、选择

高级共享

----选择

共享此文件

----确定.

8、在另一台电脑上双击打开网络，就会出现刚才共享的文件夹或者盘符了。

一、win7系统的设置

计算机名称、工作组的设置。桌面鼠标右击“计算机”—>属性—>更改设置—>在系统属性窗口继续点击“更改”—>设置计算机名(方便识别这台电脑)—>工作组我这里取名为“GONGXIONG”，注意xp和win7的工作组设置的各称要一样—>确定保存。需要重启计算机之后，这些设置才会生效。

设置要共享的文件夹。鼠标右击需要共享的文件夹(把需要共享的文件放入此文件夹内)—>属性—>在打开的窗口中切换到“共享”选项卡—>点击“共享”—>在弹出的对话窗口里，点击”共享“—>最后点击“完成”。

二、xp系统的设置?

计算机名称、工作组的设置。鼠标右击“我的电脑”—>属性—>切换到“计算机名”选项卡—>设置计算机名—>设置工作组名，刚win7系统中设置的是“GONGXIONG”，所以在这里也要设置为“GONDXIONG”—>确定。

怎么用一台电脑给另一台电脑装系统

如何用一台电脑给另一台电脑装系统？虽然在系统损坏时可以通过U盘或光盘装系统，但是有些电脑没有光驱，usb也出现问题，此时这台电脑不能按常规方法来重装。如果有两台电脑的话，能不能用一台电脑给另一台电脑装系统呢？其实是可以的，可以通过拆硬盘装到另一台电脑上来安装系统，下面小编跟大家介绍怎样用一台电脑给另一台电脑装系统的方法。

安装须知：

1、为了方便描述，好的这一台电脑简称好电脑，坏掉的另一台电脑简称坏电脑

2、如果好电脑支持双硬盘，那么可以将坏电脑中的硬盘拆下装到好电脑上，通过ghost快速重装，参照方法一

3、如果好电脑只能装一个硬盘，那么需要先制作好U盘启动盘，然后拆下好电脑的硬盘，将坏电脑的硬盘装到好电脑上，通过U盘重装，参照方法二

4、如果遇到无法选择硬盘启动的问题，参考：怎么进bios设置硬盘启动顺序

安装准备：

1、系统iso文件下载：萝卜家园win7旗舰版

2、解压工具：WinRAR或好压等等

3、4G以上U盘：大白菜u盘制作教程

方法一、支持双硬盘的情况下直接本地ghost快速恢复

1、装上双硬盘之后，开机启动，一般会进入系统，如果无法进入系统，就需要在启动时按F12或F11或Esc等启动热键调出启动菜单；

2、在启动菜单中一般有两个硬盘项，选择好电脑上的那个硬盘，如果不确定，只能先选择其中一个，不行再重启换另一个，假设好电脑的硬盘是HDD2这个，选择它回车；

3、进入系统之后，将下载完的系统iso压缩包文件下载到C盘之外的分区，比如下载到F盘，右键使用WinRAR等工具解压到当前文件夹或指定文件夹，不能解压到坏电脑所在的系统盘和桌面，否则无法安装；

4、弹出对话框，执行系统iso压缩包解压过程，需要等待几分钟；

5、解压之后，我们打开安装目录，找到安装系统.exe程序；

6、双击安装系统.exe打开这个安装界面，选择还原系统，映像文件路径选择win7.gho文件，勾选要安装的位置，单硬盘的系统盘是C盘，由于这边是双硬盘，你需要自己判断坏电脑的分区大小以及系统盘所在分区，看序号这一列，其中一个硬盘会显示1:1、1:2，另一个硬盘会显示2:1、2:2等，这边假设坏电脑系统盘是C盘，选择它，再勾选执行完成后重启，最后点击执行；

7、弹出提示框，提示映像文件即将还原到分区C，点击确定继续；

8、这时候电脑会重启，进入到这个界面，默认选择SysCeoRecovery项启动；

9、启动进入这个界面，执行C盘格式化以及系统安装到C盘的部署过程，需要等待3-5分钟，这个过程到100%之后关机拔掉坏电脑的硬盘；

10、上述执行完成后，拔掉硬盘装回坏电脑上，接通电源开机，会启动进入这个界面，执行系统驱动安装和配置过程，这样做的目的是保证驱动不会冲突，如果在其他电脑上装驱动，硬盘装回来很可能开不了机；

11、重装过程5-10分钟，最后启动进入全新系统桌面，系统就重装完成了。

方法二：单硬盘情况下通过U盘安装

1、制作U盘启动盘之后，将下载的系统iso文件直接复制到U盘的GHO目录下，iso镜像不用解压；

2、将坏电脑硬盘拆下装到好电脑上，在好电脑上插入U盘，重启后不停按F12或F11或Esc等快捷键打开启动菜单，选择U盘选项回车，比如GeneralUDisk5.00，如果不支持热键，参考：怎么设置开机从U盘启动；

3、从U盘启动进入到这个菜单，按数字2或通过方向键选择02选项回车，启动pe系统，如果无法进入则选择03旧版PE系统；

4、启动后进入到pe系统，如果你只需格式化C盘，直接执行第6步，如果要全盘重新分区，双击打开DG分区工具，右键点击硬盘，选择快速分区；

5、设置分区数目和分区的大小，一般C盘建议50G以上，如果是固态硬盘，勾选“对齐分区”扇区2048即可4k对齐，点击确定，执行硬盘分区过程；

6、完成分区之后，桌面上双击打开大白菜一键装机，GHOWIMISO映像路径选择系统iso镜像，此时工具会自动提取gho文件，点击下拉框，选择gho文件；