Aug 29

建立本地的DNS服务器以及测试DNS服务器效率

Internet, Software | 没有评论 » | Trackback | FavLinks | 13,318 次阅读

通常很多关于网站不能访问的问题都出在DNS解析上面。不正确的DNS服务器设置,指向的DNS服务器负荷过大或者失效,某些ISP在DNS服务器上面做了“劫持”,等等,都会影响我们对目标网站的访问。

本文将介绍怎么在个人计算机(WINDOWS服务器,XNIXS可能有更好地选择)上面建立本地带缓冲的DNS服务器。并且也将介绍怎么去简单的测试一个DNS服务器的执行效率。


1.建立本地DNS服务器:

首先下载TreeWalk这个软件的最新版本。它是一个支持多处理器并且对个人用户免费的DNS服务器软件。我们只需要使用默认安装,安装完毕以后,启动TWDNS这个服务,本地DNS服务器就可以工作了。按照官方介绍,需要手动设置网络界面的首选DNS为1 27.0.0.1(在2000系统中由于是保留地址,需要借助另外的工具来设置),但是其实最新版本在安装完毕以后已经通过更加底层的方法把首选DNS设置成了127.0.0.1,不需要用户的介入。要测试是否如此,请在命令行打入:

nslookup bbs.et8.net

查看返回的信息,就可以知道当前使用的DNS服务器。通常默认的配置就可以满足基本的要求,你已经在使用一个不依赖ISP,并且带有缓存功能的DNS本地服务器。但是如果你想对配置有更加深入的了解,请打开:
%SystemDriver%:\%SystemFolder%\system32\dns\etc\named.conf 这个文件。

下面是这个文件中一些参数的中文说明:


 /* TreeWalk master config*/
......
// the private (LAN) network space //定义你的私有(信任)网络
acl "privlan" { 127.0.0.0/8; 10.0.0.0/8; 169.254.0.0/16; 192.168.0.0/16; 172.16.0.0/20; };

// our own private subnets
acl "private" { 127.0.0.0/24; 192.168.0.0/16; 192.168.0.0/16; };

listen-on port 53 { 127.0.0.1; }; //需要绑定的监听端口和网络界面地址,如果要在局域网使用,可以添加 192.168.0.1 等更多
listen-on-v6 { none; };

allow-query { "private"; }; //允许进行查询地网段,就是你上面设置的信任地址

forward first; //设置转发。如果你不使用root-hints查询,将这行的注释取消,然后在下一行添入你自定义的DNS服务器地址。这样的话TreeWalk就是纯粹的一个DNS缓冲器。(如果这样做的话,你将不能绕过你的ISP对某些地址所作的“劫持”)
forwarders { 202.96.134.133; 202.96.128.166; }; //你定义的DNS服务器。
tcp-clients 500; //查询TCP最大连接数
max-cache-size 4m; //缓存大小。

2.测试DNS服务器的效率

我们使用下面的工具来测试DNS服务器:DNSRU

DNS Benchmarking & Research utility 会在一段时间内发出大量的DNS请求来测试DNS服务器的工作状况。工具已经非常古老,而且会提示测试时间已到,请使用“时光倒流”或者“永不过期”在Google搜索相应的工具来解除这个限制。例如:SoftSea.net 所列出来的工具,都是免费的。

运行DNSRU后,点击它的Benchmark标签进行测试。程序会自动找到本机的首选,辅助DNS服务器进行测试。结果会是如下图:

  • "Cached Name" 表示从被查询的DNS服务器本地缓存查询的结果。
  • "Uncached Name"表示从被查询的DNS服务器本地缓存不能获得查询结果,次服务器向另外的DNS服务器查询的结果。
  • "DotCom Lookup" 查询DotCom这种特殊域名的结果。
  • Min,Max,Avg分别表示各个项目的最小,最大和平均查询时间;Std.Dev是随机抽取地址的查询时间;Reliab%是可靠程度,这个可以看出被测试的DNS服务器查询总量/成功的百分率。

从测试图可以看出本地DNS服务器的稳定性和可靠程度比ISP的要高;而且这还是在凌晨时间的测试结果,如果在上网高峰器,本地DNS服务器稳定性还会下降。

关于最近流行的 OpenDNS ,YsKin已经做过一些心得测试,你也可以用上面的方法从数据上了解一下是否合适。

关于TreeWalk的更多应用请参考它的主页:ntcanuck.com

附送两个同类软件:Posadis DNS serverSANS DNS server


Aug 28

VJPEG

Software | 1 评论 » | Trackback | FavLinks | 5,041 次阅读

VJPEG 这个看图软件很有创意啊:本身没有 GUI ,安装后它会自动关联 JPG, BMP, 和 GIF 文件,(2.0还支持查看PSD文件了)点击这些文件就会直接显示图片,此时仍然无任何边框以及图形界面,全部用热键完成功能上面的操作。你可以打开很多图片,然后用鼠标随意拖动它们在屏幕的位置。

主要热键:

左键点击-拖动: 改变图像尺寸, 移动图像位置;
右键单击: 关闭当前图像文件;
左键双击: 1:1 或者填充整个屏幕显示图像, 哪个更小就按照哪个来;
ESC 健: 关闭当前图像文件;
Ctrl-Alt-Q: 关闭所有打开的文件;

e: 通过 Email 发送当前图像文件;
E: 通过 Email 发送当前文件显示在屏幕的部分 (如果你想发送一个很大的文件,而你想压缩它们,这个办法不错);
a: 亮度自动平衡;
-> / r: 向右转动图像;
<- / R: 向左转动图像;

兼容 "Windows Media/Quicktime" 的热键:
ctrl-1 / alt-1: 按照原图 50% 大小显示;
ctrl-2 / alt-2: 按照原图 100% 大小显示;
ctrl-3 / alt-3: 按照原图 200% 大小显示;
alt-enter: 全屏显示;

兼容 "Photoshop" 的热键:
ctrl-alt-0: 按照原图 100% 大小显示;
ctrl +: 增大图像尺寸;
ctrl -: 减小图像尺寸;

软件只有不到 100K 哦。

Download_FileVJpeg2.0 138

Aug 28

Coral - The NYU Distributed Network

Internet | 没有评论 » | Trackback | FavLinks | 4,231 次阅读

什么是 Coral?Coral 是个可以让您的网站得以避免 Slashdot Effect 的利器。请看这段 Coral 官方网站的说明:

Are you tired of clicking on some link from a web portal, only to find that the website is temporarily off-line because thousands or millions of other users are also trying to access it? Does your network have a really low-bandwidth connection, such that everyone, even accessing the same web pages, suffers from slow downloads? Have you ever run a website, only to find that suddenly you get hit with a spike of thousands of requests, overloading your server and possibly causing high monthly bills? If so, Coral might be your free solution for these problems!

如果,有个分布的方式,可以把 HTTP 请求分散出去,当客户端要发出 HTTP 请求时,便会在这个分布式网路里,选择一个节点下载,而不是到主网站下载。因此,我们可以把内容散布在这个分布式网路里,既解决了带宽的问题,也达到了 FailOver 的效果。但有一个重点是,必须与现有的 HTTP / Web 架构兼容,客户端端必须不依靠任何额外软件,便能享受到这种分布式网路的好处。

Coral,就能实现以上功能。

只要自己网站里所有静态的内容,含网页或图片,其 URL 地址的主机部分,后面加上 .nyud.net:8090,便可以利用 NYU PLANetLab 所架设的 Coral Network 享受到如上述的分布式网路的好处。而这个 URL 的更改,只需要网站所有者动手即可,浏览网站的使用者,几乎感觉不到 Coral Network 的存在。

另外,为了保证自己的内容可以被缓存在 Coral Network 里,网站所有者也可以参与 Coral Network,在适当的地方提供节点服务,透过设定,让自己的节点多服务自己的网站,达到分布式内容的效果。

对我们来说,NYU 还可以作为辅助的突破 GFW 的工具,当你急于查看某个被 GFW 的网站又不想找代理的时候,只需在网站域名后加 .nyud.net:8090 即可。当然这只适用于某些情况的 GFW (比如文学城),与 Tor,Stunnel 的加密连接无法相提并论。


Aug 28

Registry Monitor Comparison

Software | 没有评论 » | Trackback | FavLinks | 10,880 次阅读

我们曾经介绍过 关于Windows的自启动项,但是用户如何去监视这些内容不被恶意程序修改?当然我们不能天天打开注册表去看。

以下译自 Wilders Security Forums 的文章,详细的对比了当前几个流行的注册表监视软件,希望对你抗击恶意程序有所帮助。(注:通常来说注册表监视软件与杀毒软件以及防火墙可以配合使用)

以下可以监视注册表启动键值的程序,大多都是免费软件。每个软件侧重的监视键值都有所不同,我们来做一个比较:

图示

'+' 表示: 键值 (包括启动组) 被软件监视
'L' 表示: 软件只监视 HKLM 子键
'U' 表示: 软件只监视 HKCU 子键
'HK**' 表示: 软件监视 HKLM 和 HKCU 子键
*** 表示: 按照 L 的深度实时监测子键

列表条目类型:

(K) 表示键值, 包括数据和子键都被监测
(v) 表示只监测某个键值数据的改变
(M) 表示监测多个键的不同数据
(?) 表示目前未知

软件名缩写:

1 SM: Mike Lin's Startup Monitor (free)
2 RP: DiamondCS Registry Prot 2.0 (free)
3 RD: RegDefend 1.0 (shareware) [Wilders forum]
4 RR: Regrun 4 Gold Pro (shareware) [see also]
5 TT: Spybot Search and Destroy Teatimer (free)
6 SS: System Safety Monitor (free)
7 GA: Microsoft Antispyware = Giant Antispyware (free)
8 WP: Winpatrol
9 MJ: MJ Registry Watcher 1.2.3.8 (free) [Wilders thread]

后面的 链接s 表示曾经在这个键发现过木马或者其它恶意程序,以供参考。


自启动:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
+ + + + + + + + + (K) HK**\SW\MS\Windows\CV\Run(Once) 链接
- + - + - - - - + (K) HKLM\SW\MS\Windows\CV\RunEx
- + - - - - - - + (K) HKLM\SW\MS\Windows\CV\RunOnce\Setup 链接
- + + + - + + + + (K) HKLM\SW\MS\Windows\CV\RunOnceEx 链接
- - - + + + L + + (K) HK**\SW\MS\Windows\CV\RunServices(Once) 链接
- - + + - - + - + (v) HKCU\SW\MS\Windows\CV\Explorer\Shell Folders\Startup 链接
- - - + - - + - + (K) HKCU\SW\MS\Windows\CV\Explorer\User Shell Folders
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\Explorer\ShellExecuteHooks 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows\CV\Explorer\SharedTaskScheduler 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows\CV\ShellServiceObjectDelayLoad 链接
- - - - - - - - + (?) HKLM\SW\MS\Windows\CV\app management\arpcache\ 链接
- - - + - - - - + (K) HKLM\SW\MS\Active Setup\Installed Components 链接
- - - ? - - - - + (M) HKLM\SW\MS\Active Setup\Installed Components\***\StubPath 链接
- + - + + + + - + (K) HKLM\Software\CLASSES\#file\shell\open\command (#=exe,com,pif,bat) 链接
- - - + - + + - + (K) HK**\SW\MS\Windows\CV\policies\Explorer\Run 链接
- - + + - - - - + (v) HKLM\System\CCS\Control\Session Manager\BootExecute 链接
- - - + - - - - + (K) HKLM\System\CCS\Control\Session Manager\FileRenameOperations 链接
- - - - - - - - + (K) HKLM\System\CCS\Control\Session Manager\KnownDLLs 链接
- - + - - - - - + (v) HKLM\System\CCS\Control\Session Manager\PendingFileRenameOperations 链接
- - + - - - - - + (v) HKLM\System\CCS\Control\Session Manager\environment\path
- - - - - - + - + (K) HKLM\System\CCS\Control\lsa 链接
- - + + - + - - + (K) HKLM\System\CCS\Services 链接
- - - + - + - - + (M) HKLM\System\CCS\Services\***\Image Path
- - - - - - - - + (K) HKLM\System\CCS\Services\vxd 链接
- - - + - - + - + (K) HKLM\System\CCS\Services\WinSock2 链接
- - - - + - + - + (K) HKLM\SW\MS\Code Store Database\Distribution Units\ 链接
- - - + - + - - + (?) HKLM\SW\Policies\Microsoft\Windows\System\Scripts\Shutdown
- - - + - + - - + (?) HKLM\SW\Policies\Microsoft\Windows\System\Scripts\Startup 链接
- - - + - U - - + (?) HK**\SW\Policies\Microsoft\Windows\System\Scripts\Logon
- - - + - U - - + (?) HK**\SW\Policies\Microsoft\Windows\System\Scripts\Logoff
- - - + - - - - + (v) HKCU\Control Panel\Desktop\scrnsave.exe 链接
- - - - - - - - - (K) HK**\SW\MS\Windows NT\CV\Extensions
- - - L - - ? - ? (?) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\load
- - - L - - ? - ? (?) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\run
- - - L - - L - + (v) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\Winlogon
- - - L - - L - + (v) HK**\SW\MS\Windows NT\CV\IniFileMapping\system.ini\boot\shell
- - + + - - - + + (v) HKCU\SW\MS\Windows NT\CV\Windows\Run 链接
- - + + - - - + + (v) HKCU\SW\MS\Windows NT\CV\Windows\Load 链接
- - L + - - - - + (K) HK**\SW\MS\Windows NT\CV\Winlogon 链接
- - L + - - L - + (v) HK**\SW\MS\Windows NT\CV\Winlogon\UserInit 链接
- - + + - + + - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\Shell 链接
- - + - - - - - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\Taskman
- - - + - - - - + (K) HKLM\SW\MS\Windows NT\CV\Winlogon\Notify 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows NT\CV\Svchost ASP&NoWebContent=1" rel="external"">链接
- - + + - + - - + (v) HKLM\SW\MS\Windows NT\CV\Windows\APPINIT_DLLs 链接
- - - - - - - - + (M) HKLM\SW\MS\Windows NT\CV\Accessibility\Utility manager\***\Application path
- - - - - - - - + (K) HKLM\SW\MS\Windows NT\CV\WOW\boot 链接
- - - - - - - - + (K) HKLM\SW\MS\Windows NT\CV\Shell Extensions\Approved 链接
- - - - - - - - + (K) HKEY_CLASSES_ROOT\Protocols\Filter 链接
- - - - - - - - + (K) HKLM\SW\Classes\Protocols\Filter 链接
- - - - - - - - + (K) HK**\SW\classes\mailto\shell\open\command 链接
- - - - - - - - + (v) HKCU\SW\MS\Command Processor\AutoRun 链接
- - - - - - - - + (K) HK**\SW\MS\ole 链接
- - - - - - + - - (v) HKCR\ftp\shell\open\command\(Default)
- - - - - - + - - (v) HKCU\ftp\shell\open\command\(Default)
- - - - - - - - + (K) HKLM\System\CCS\Control\MPRServices 链接
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J


安全设定:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - - - - - - - + (K) HKLM\SW\MS\Windows\CV\Explorer\Advanced 链接
- - - - - - - - - (K) HKLM\SW\MS\Windows\CV\WindowsUpdate 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\Explorer 链接
- - - - - - + - - (K) HKLM\SW\MS\Windows\CV\policies\Explorer\RestrictRun 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\System 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\Network 链接
- - - - - - - - - (K) HKLM\SW\MS\Security Center 链接
- - - - - - - - - (K) HKLM\SW\Policies\Microsoft\Windows\WindowsUpdate 链接
- - - - - - + - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\DefaultPassword

微软浏览器恶意劫持程序:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - + + + - + - + (K) HKCU\SW\MS\Windows\CV\Explorer\Browser Helper Objects 链接
- - - - - - L - + (K) HK**\SW\MS\Internet Explorer\Toolbar 链接
- - - - U - U - + (K) HK**\SW\MS\Internet Explorer\Toolbar\WebBrowser 链接
- - - - - - U - + (K) HK**\SW\MS\Internet Explorer\Toolbar\ShellBrowser
- - - - U - + - + (K) HK**\SW\MS\Internet Explorer\Explorer Bars\ 链接
- - - - U - - - + (K) HK**\SW\MS\Internet Explorer\MenuExt\ 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Local Page 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Search Page 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Search Bar 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Start Page 链接
- - - - U - L - + (K) HK**\SW\MS\Internet Explorer\Search\ 链接
- - - - U - - - + (K) HK**\SW\MS\Internet Explorer\SearchUrl\ 链接
- - - - - - - - + (K) HK**\SW\MS\Internet Explorer\Styles 链接
- - - - - - L - + (K) HKLM\SW\MS\Internet Explorer\AboutURLs 链接
- - - - - - + - + (K) HK**\SW\MS\Internet Explorer\extensions
- - - - - - - - + (K) HKCU\SW\MS\Internet Explorer\extensions\cmdmapping 链接
- - - - - - + - - (K) HKCU\SW\MS\Internet Explorer\URLSearchHooks 链接
- - - - - - - - - (K) HK**\SW\MS\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN 链接
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\Internet Settings\SafeSites 链接
- - - - - - + - - (M) HKCU\SW\MS\Windows\CV\Internet Settings\Zones\***\CurrentLevel
- - - - - - + - - (K) HKCU\SW\MS\Windows\CV\Internet Settings\ZoneMap\Domains
- - - - - - - - + (K) HKU\.default\SW\MS\Internet Explorer\extensions\cmdmapping
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\URL\DefaultPrefix 链接
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\URL\Prefixes 链接


可能发生恶意事件的键值:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- + - - - - + + + (K) HKCU\SW\MS\Windows\CV\RunOnceEx
- - - - - - - - + (K) HKCU\SW\Policies\Microsoft\Windows\safer\codeidentifiers
- - - - - - - - + (K) HK**\SW\MS\Windows NT\CV\IniFileMapping
- - - - ? - - - + (K) HK**\SW\MS\Internet Explorer\
- - - - ? - - - + (K) HK**\SW\MS\Internet Explorer\Main\
- - - - - - - - + (K) HKLM\System\CCS\Services\WinSock2\Parameters
- - - - - - - - + (K) HKCU\SW\MS\Windows\CV\Explorer\fileexts
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\Explorer\fileexts\***\OpenWithList
- - - - - - - - + (M) HKU\***\SW\MS\Windows\CV\Explorer\fileexts\***\Application
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\Run(Once)
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\RunServices(Once)
- - - - - - - - + (K) HKCR\Protocols\Filter\Class Install Handler


特色内容:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - + + - + - - + ¦ *** Monitors any user configured reg. keys ***
- - - - - - - - + ¦ Monitors user configured keys based on wildcards
- - + + - + - + + ¦ Monitors any user configured file associations
+ + - - + + - - + ¦ Is free
- - + - - + - - + ¦ Displays complete list of monitored keys
- - - + - - - + + ¦ Displays the content of autostart entries
+ + - + + + + + + ¦ Works by polling the registry content every x seconds
- - + - - - - - - ¦ Works by intercepting registry change attempts
- - ? + + + - - + ¦ Also monitors deletions from registry
- - - - - + + - + ¦ Auto-undos the change before displaying popup dialog
- - + - - + ? - - ¦ Is also a kind of sandbox
+ + ? + + - + + + ¦ Monitors some files for changes
- - ? ? - + - - - ¦ Survives certain termination attempts

以上大多数都是可以实现自启动的键值,还有一些也是你不想被恶意程序修改的地方。.

如果你发现其中有错误,或者们某些软件(像是 Ad-Watch)增加了监视的内容,请告知。

你还可以使用 Sysinternals Autoruns 这个免费软件来查看自启动程序列表. 注意: 它不是一个注册表监视器.

访问一下地址获取更多关于注册表键值的知识和解释:

http://forums.subratam.org/index.php?showtopic=1063
http://www.diamondcs.com.au/index.php?page=autostarts
http://www.giantcompany.com/antispyw...manifests.aspx
http://research.pestpatrol.com/White...rtingPests.asp
http://www.cpcug.org/user/clemenzi/t...Hijackers.html
The NT booting process

Registry,Monitor,Comparison,Freeware


Aug 28

关于Windows的自启动项

Software | 1 评论 » | Trackback | FavLinks | 8,133 次阅读

以下是系统启动的时候所有可能加载启动程序的方式,了解它对于解决未知的木马病毒间谍软件等会有好处。

最常见的6个启动文件夹

1. WinDir\Start Menu\Programs\Startup\
2. User\Startup\
3. All Users\Startup\
4. WinDir\system\iosubsys\
5. WinDir\system\vmm32\
6. WinDir\Tasks\

12个可能的自启动文件位置

1. c:\explorer.exe
2. c:\autoexec.bat
3. c:\config.sys
4. windir\wininit.ini
5. windir\winstart.bat
6. windir\win.ini - [windows] "load"
7. windir\win.ini - [windows] "run"
8. windir\system.ini - [boot] "shell"
9. windir\system.ini - [boot] "scrnsave.exe"
10. windir\dosstart.bat
11. windir\system\autoexec.nt
12. windir\system\config.nt

35个注册表的自启动位置

1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\
All values in this key are executed.

2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
All values in this key are executed, and then their autostart reference is deleted.

3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
All values in this key are executed as services.

4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
All values in this key are executed as services, and then their autostart reference is deleted.

5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
All values in this key are executed.

6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
All values in this key are executed, and then their autostart reference is deleted.

7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
Used only by Setup. Displays a progress dialog box as the keys are run one at a time.

8. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
Similar to the Run key from HKEY_CURRENT_USER.

9. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Similar to the RunOnce key from HKEY_CURRENT_USER.

10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
The "Shell" value is monitored. This value is executed after you log in.

11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
All subkeys are monitored, with special attention paid to the "StubPath" value in each subkey.

12. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
All subkeys are monitored, with special attention paid to the "StaticVXD" value in each subkey.

13. HKEY_CURRENT_USER\Control Panel\Desktop
The "SCRNSAVE.EXE" value is monitored. This value is launched when your screen saver activates.

14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager
The "BootExecute" value is monitored. Files listed here are Native Applications that are executed before Windows starts.

15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
Executed whenever a .VBS file (Visual Basic Script) is run.

16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\
Executed whenever a .VBE file (Encoded Visual Basic Script) is run.

17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\
Executed whenever a .JS file (Javascript) is run.

18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\
Executed whenever a .JSE file (Encoded Javascript) is run.

19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\
Executed whenever a .WSH file (Windows Scripting Host) is run.

20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\
Executed whenever a .WSF file (Windows Scripting File) is run.

21. HKEY_CLASSES_ROOT\exefile\shell\open\command\
Executed whenever a .EXE file (Executable) is run.

22. HKEY_CLASSES_ROOT\comfile\shell\open\command\
Executed whenever a .COM file (Command) is run.

23. HKEY_CLASSES_ROOT\batfile\shell\open\command\
Executed whenever a .BAT file (Batch Command) is run.

24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\
Executed whenever a .SCR file (Screen Saver) is run.

25. HKEY_CLASSES_ROOT\piffile\shell\open\command\
Executed whenever a .PIF file (Portable Interchange Format) is run.

26. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
Services marked to startup automatically are executed before user login.

27. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
Layered Service Providers, executed before user login.

28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
Executed when a 16-bit Windows executable is executed.

29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
Executed when a 16-bit DOS application is executed.

30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Executed when a user logs in.

31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
Executed by explorer.exe as soon as it has loaded.

32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
Executed when the user logs in.

33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
Executed when the user logs in.

34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\
Subvalues are executed when Explorer initialises.

35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
Subvalues are executed when Explorer initialises.

依赖软件,但是软件不是万能的,知道根源,手动解决 :twisted:


[57/59]  «< 50 51 52 53 54 55 56 57 58 59 >