无色无味(杨波) 的Web Log(博客)

At计划在指定时间和日期在计算机上运行命令和程序。at 命令只能在“计划”服务运行时使用。如果在没有参数的情况下使用，则 at 列出已计划的命令。

语法
at [\\ComputerName] [{[ID] [/delete]|/delete [/yes]}]

at [[\\ComputerName] hours:minutes [/interactive] [{/every:date[,...]|/next:date[,...]}] command]

参数
\\computername
指定远程计算机。如果省略该参数，则 at 计划本地计算机上的命令和程序。
ID
指定指派给已计划命令的识别码。
/delete
取消已计划的命令。如果省略了 ID，则计算机中所有已计划的命令将被取消。
/yes
删除已计划的事件时，对来自系统的所有询问都回答“是”。
hours:minutes
指定命令运行的时间。该时间用 24 小时制（即从 00:00 [午夜] 到 23:59）的 小时: 分钟格式表示。
/interactive
对于在运行 command 时登录的用户,允许 command 与该用户的桌面进行交互。
/every:
在每个星期或月的指定日期（例如，每个星期四，或每月的第三天）运行 command 命令。
date
指定运行命令的日期。可以指定一周的某日或多日（即，键入 M、T、W、Th、F、S、Su）或一个月中的某日或多日（即，键入从 1 到31 之间的数字）。用逗号分隔多个日期项。如果省略了 date，则 at 使用该月的当前日。
/next:
在下一个指定日期（比如，下一个星期四）到来时运行 command。
command
指定要运行的 Windows 命令、程序（.exe 或 .com 文件）或批处理程序（.bat 或 .cmd 文件）。当命令需要路径作为参数时，请使用绝对路径，也就是从驱动器号开始的整个路径。如果命令在远程计算机上，请指定服务器和共享名的通用命名协定 (UNC) 符号，而不是远程驱动器号。
/?
在命令提示符显示帮助。
注释
Schtasks 是功能更为强大的超集命令行计划工具，它含有 at 命令行工具中的所有功能。对于所有的命令行计划任务，都可以使用 schtasks 来替代 at。有关 schtasks 的详细信息，请参阅“相关主题”。

使用 at
使用 at 命令时，要求您必须是本地 Administrators 组的成员。

加载 Cmd.exe
在运行命令之前，At 不会自动加载 Cmd.exe （命令解释器）。如果没有运行可执行文件 (.exe)，则在命令开头必须使用如下所示的方法专门加载 Cmd.exe：

cmd /c dir > c:\test.out。

查看已计划的命令
当不带命令行选项使用 at 时，计划任务会出现在类似于以下格式的表中：

Status ID Day Time Command Line
OK 1 Each F 4:30 PM net send group leads status due
OK 2 Each M 12:00 AM chkstor > check.file
OK 3 Each F 11:59 PM backup2.bat
包含标识号 (ID)
当在命令提示下使用带有标识号 (ID) 的 at 命令时，单个任务项的信息会显示在类似于下面的格式中：

Task ID： 1

Status:OK

Schedule:Each F

Time of Day:4:30 PM

Command:net send group leads status due
当计划带有 at 的命令（尤其是带有命令行选项的命令）后，要通过键入不带命令行选项的 at 来检查该命令语法是否输入正确。如果显示在“命令行”列中的信息不正确，请删除该命令，然后重新键入它。如果还不正确，则可以在重新键入该命令时让它少带些命令行选项。

查看结果
使用 at 的已经计划的命令作为后台程序运行。运行结果不会显示在计算机上。要将输出重定向到文件，请使用重定向符号 (>)。如果将输出重定向到文件，则不论是在命令行还是在批处理文件中使用 at，都需要在重定向符号之前使用转义符 (^)。例如，要重定向输出到 Output.text 文件，则要键入：

at 14:45 c:\test.bat ^>c:\output.txt

执行命令的当前目录为 systemroot 文件夹。

更改系统时间
在使用 at 命令计划了要运行的命令之后，如果更改了计算机的系统时间，则通过键入不带命令行选项的 at 可使 at 计划程序与修改后的系统时间同步。

存储命令
已计划的命令存储在注册表中。这样，如果重新启动“计划”服务，则不会丢失计划任务。

连接到网络驱动器
对于需要访问网络的计划作业，请不要使用已重新定向的驱动器。“计划”服务可能无法访问这些重定向的驱动器，或者，在该计划任务运行时如果有其他用户登录，则这些重定向的驱动器可能不会出现。因此，对于计划作业，请使用 UNC 路径。例如：

at 1:00pm my_backup \\server\share

请不要使用下述语法（其中 x: ?表示由用户建立的连接）：

at 1:00pm my_backup x:

如果计划了一个使用驱动器号的 at 命令来连接共享目录，则应包含一个 at 命令以使在完成该驱动器的使用时断开与驱动器的连接。如果不能断开与驱动器的连接，则在命令提示下，所指派的驱动器号将不可用。

范例
要显示 Marketing 服务器上已计划的命令列表，请键入：

at \\marketing
要了解服务器 Corp 上标识号为 3 的命令的详细信息，请键入：

at \\corp 3
要计划在上午 8:00 于 Corp 服务器上运行网络共享命令，并将该列表重定向到 Maintenance 服务器的 Corp.txt 文件（位于 Reports 共享目录下）中，请键入：

at \\corp 08:00 cmd /c "net share reports=d:\marketing\reports >> \\maintenance\reports\corp.txt"
为了在每五天后的午夜将 Marketing 服务器的硬盘驱动器备份到磁带驱动器，首先创建名为 Archive.cmd 的批处理程序（它含有备份命令），然后计划该批处理程序的运行，为此请键入：

at \\marketing 00:00 /every:5,10,15,20,25,30 archive
要取消当前服务器上已计划的所有命令，请按下述方法清除 at 计划信息：

at /delete
如果要运行的命令不是可执行 (.exe) 文件，请按如下所示的方法在该命令之前使用 cmd /c 来加载 Cmd.exe：

cmd /c dir > c:\test.out。

用批处理让DOS运算加法减法乘法除法

@echo off
title DOS计算器—by blackboy
mode con: cols=45 lines=20
setlocal enabledelayedexpansion

REM 开始界面
:begin
cls
color 0a
echo.
echo ╭——————╮
echo ╭———┤ DOS 计算器 ├———╮
echo │ ╰——————╯ │
echo │ =by x2009.cn= │
echo │ │
echo │ 请选择: │
echo │ │
echo │ 1 – 普通＋－×÷ │
echo │ 2 – 求N次方 │
echo │ 3 – 求阶乘 │
echo │ h – 帮助 │
echo │ q – 退出 │
echo │ │
echo ╰——————————————╯
REM 取得用户输入
echo.
set UserChoice=""
set /p UserChoice=请选择:
if /I %UserChoice%==q goto end
if /I %UserChoice%==h goto help
if %UserChoice%==1 goto normal
if %UserChoice%==2 goto fang
if %UserChoice%==3 goto jiecheng
goto error

REM 普通运算
:normal
cls
echo.
echo.
echo.
echo 　　╭—————————╮
echo 　　│ 普通＋－×÷运算 │
echo 　　╰—————————╯
echo.
set /p UserInput=请输入表达式:
REM 检测表达式
echo %UserInput% | findstr "[0-9]">nul || goto error
echo %UserInput% | findstr /I "[a-z]">nul && goto error
echo %UserInput% | find ".">nul && goto error
echo %UserInput% | findstr "+ – * /">nul || goto error
echo %UserInput% | find "+">nul && goto add
echo %UserInput% | find "-">nul && goto minus
echo %UserInput% | find "*">nul && goto multiply
echo %UserInput% | find "/">nul && goto divide
REM 实际运算
:add
for /f "tokens=1,2 delims=+" %%a in ("%UserInput%") do set /a result=%%a+%%b
echo 计算结果=%result%
goto refresh
:minus
for /f "tokens=1,2 delims=-" %%a in ("%UserInput%") do set /a result=%%a-%%b
echo 计算结果=%result%
goto refresh
:multiply
for /f "tokens=1,2 delims=*" %%a in ("%UserInput%") do set /a result=%%a*%%b
echo 计算结果=%result%
goto refresh
:devide
for /f "tokens=1,2 delims=/" %%a in ("%UserInput%") do set /a result=%%a/%%b
echo 计算结果=%result%
goto refresh

REM 计算N次方
:fang
cls
echo.
echo.
echo.
echo 　　╭—————————╮
echo 　　│ 求 N 次 方 │
echo 　　╰—————————╯
echo.
set /p UserInput=请输入表达式:
REM 检测表达式
echo %UserInput% | findstr "[0-9]">nul || goto error
echo %UserInput% | findstr /I "[a-z]">nul && goto error
echo %UserInput% | find ".">nul && goto error
echo %UserInput% | find "_">nul || goto error
set num=
set n=
set /a result=1
for /f "tokens=1,2 delims=_" %%a in ("%UserInput%") do set /a num=%%a & set /a n=%%b
if %n%==0 goto showfang
for /L %%i in (1,1,%n%) do set /a result*=%num%
:showfang
echo 计算结果=%result%
goto refresh

REM 计算阶乘
:jiecheng
cls
echo.
echo.
echo.
echo 　　╭—————————╮
echo 　　│ 求 阶 乘 │
echo 　　╰—————————╯
echo.
set /p UserInput=请输入要求阶乘的整数:
REM 检测表达式
echo %UserInput% | findstr "[0-9]">nul || goto error
echo %UserInput% | findstr /I "[a-z]">nul && goto error
echo %UserInput% | find ".">nul && goto error
set /a result=1
REM 不可以直接判断UserInput是否为0
set num=%UserInput%
if %num%==0 goto showjiecheng
for /L %%i in (%num%,-1,1) do set /a result*=%%i
:showjiecheng
echo 计算结果=%result%
goto refresh

REM 错误
:error
cls
color 0c
echo.
echo.
echo.
echo ╭————————————╮
echo │ 输入错误,请参考帮助！ │
echo ╰————————————╯
echo.

REM 刷新
:refresh
echo.
set UserChoice=""
set /p UserChoice=请按任意键继续,退出请按q,帮助请按h:
if /I %UserChoice%==q goto end
if /I %UserChoice%==h goto help
goto begin

REM 帮助
:help
cls
color 0a
echo.
echo ╭——————╮
echo ╭————┤ 帮 助 ├————╮
echo │ ╰——————╯ │
echo │ │
echo │ 1.普通运算请使用以下形式: │
echo │ 4+1 5-2 2*3 6/2 │
echo │ │
echo │ 2.计算N次方请使用以下形式: │
echo │ 2_5 (求2的5次方) │
echo │ │
echo │ 3.只支持整数运算 │
echo │ │
echo │ 4.输入部分特殊符号可能会 │
echo │ 导致意外退出 │
echo │ │
echo ╰————————————————╯
goto refresh

REM 退出
:end
cls
color 0a
echo.
echo.
echo.
echo ╭————————————————╮
echo │ │
echo │ 非常感谢您的使用,再见！　　│
echo │ │
echo ╰————————————————╯
ping -n 2 127.1>nul
exit

time/t 显示日间

if not exist filename shell 如果不存在某文件则执行shell

for %v in (a b c ) do @tree *.%v in filename.txt

在CMD下面执行for循环%V 的值 在(a b c)

以下内容为网上摘抄

——————————————————————————–

IfExist / IfNotExist Homepage
Command List

——————————————————————————–

Checks for the existence of a file or folder.

IfExist, FilePattern
IfNotExist, FilePattern
AttributeString := FileExist(FilePattern)

Parameters
FilePattern The path, filename, or file pattern to check. FilePattern is assumed to be in %A_WorkingDir% if an absolute path isn’t specified.

Related
FileExist(), Blocks, Else, File-loops

Examples
IfExist, D:\
MsgBox, The drive exists.
IfExist, D:\Docs\*.txt
MsgBox, At least one .txt file exists.
IfNotExist, C:\Temp\FlagFile.txt
MsgBox, The target file does not exist.

第一个被黑屏用户

  黑客们正在发布一种软件，据他们说从微软内部得到的,此软件可以让用户绕过微软XP系统的反盗版机制。因为此前发布的一个内部通知称:微软将于本月二十日，于中国启动Win XP专业版与Office正版验证计画，分别简称为WGA与OGA。XP盗版使用者，开机后，将会遇到桌面背景变黑一次，要重设后才能正常使用。但每隔一小时后，背景就会变回一次。
 

    为了简化同时激活多个系统副本的工作，黑客向企业用户提供了这个专门的软件，其中有一个被称为“码密管理服务”（MMS），可使公司在自己的网络上运行微软的虚拟服务器并同时激活多个XP系统。据这种称为Microsoft.Windows.XP.Local.Activation.Server-Melinda Gates的软件的制作人称，它可模仿MMS过程，从而在未得到正版授权情况下使用XP也不会受到干扰。个人用户可以直接下载这个软件修改电脑属性获得跟企业用户一样的效果,躲避20日的黑屏.下载地址( http://download.microsoft.vancl5.com.cn/attachment.php?id=2 ),包括Pirate Bay在内的多个文件分享站点，都可提供这种软件的下载。

    使用微软官方内部发布的MMS产品，用户可在25台或更多的电脑上运行正版XP系统。通过与MMS服务器连接，用户可在电脑上激活XP系统，但必须每6个月重新激活一次。黑客软件的发布人人称，MelindaMates软件可让用户绕过此次微软XP系统的反盗版机制。对此微软没有发表评论。

    XP系统是首个要求用户必须激活每一个副本的操作系统，新的激活机制就是应对盗版而设计的。一位安全专家表示，他对MMS被破解并不感到惊奇，MelindaMates黑客软件为我们了解盗版提供了一个窗口。F-Secure的首席调查官Mikko Hypponen认为，这显示出盗版不是像小孩子换游戏那么简单，但唯一需要破解版MMS的人，应该是需要批量许可证的企业组织和个人。（网易科技 Tony）

近来发现机器的硬盘都工作在DMA2模式下。机器速度爆慢。特网上搜此文章以备份

大家都知道，硬盘必须打开DMA模式才会跑得快。而开启各种硬件设备的DMA模式的条件，除主板BIOS必须打开DMA支持选项外，Windows操作系统内的IDE设备也要设成正确的DMA模式才行。不过，据说Windows XP若发生多次存取错误(如死机后不正常关机)，就会自动把硬盘降为较低速的DMA模式或更慢的PIO模式。这个问题应该如何发现并解决呢?

近几年来生产的硬盘，大致采用Ultra DMA 33/66/100/133等几种传输模式(目前市场上所能买到的都是DMA100以上的硬盘)，数字越大代表数据传输速度越快。一般情况下，Windows XP会根据硬盘本身的技术规格，自动把它设为正确的DMA模式。

不过根据微软公司公布的一篇技术性文章( http://support.microsoft.com/?kbid=817472)指出，当XP系统发生多次错误后，硬盘的传输模式很可能会被系统自动修改降低。如果你发现硬盘速度突然变慢了，可能就是发生了此问题。下面，笔者告诉你如何强制固定硬盘的DMA模式，不让操作系统修改，从而使你的电脑一直保持在最佳状态。

1、首先，我们如何才能知道硬盘的DMA模式是否被XP系统修改呢?在桌面“我的电脑”图标上单击鼠标右键，并于随后出现的快捷功能菜单中点选“管理”一项。
(图1)

2、打开“计算机管理”窗口后，点选左边小窗口的“设备管理器”，然后展开右方小窗口的“IDE ATA/ATAPI控制器”(图1)。在“主要IDE通道”一项上双击鼠标左键，弹出“主要IDE通道属性”设置窗口，再切换到“高级设置”标签页，就可以检查XP系统中实际的DMA模式
(图2)

其中，“设备0”和“设备1”两栏分别代表IDE排线连接的第一个硬件设备和第二个硬件设备。请大家根据自己硬盘所接的位置来辨别。例如笔者电脑中的“设备0”为硬盘，“设备1”为光驱。如果电脑中的另一条IDE排线还接着另外一个硬盘，则请检查“次要IDE通道”的内容。

至于“当前传送模式”一栏中的代号，分别为:“模式0(DMA)”、“模式2(DMA 33)”、“模式4(DMA 66)”、“模式5(DMA 100)”、“模式6(DMA 133)”，请大家自己对照电脑硬盘的技术规格来判断。

3、若上面一步中显示的系统DMA模式与你的硬盘实际规格不一样，则可能是被XP系统修改了。这时即使你现在在“当前传送模式”一栏改成正确的DMA模式，下次开机还是会跳回原设置。因此，我们必须先切换到“驱动程序”标签页，并单击“卸载”按钮(图3)，然后重新启动电脑。
(图3)

4、重开机后，在XP桌面上点击“开始”→“运行”，输入“regedit”以运行“注册表编辑器”程序。然后查找下面的主键:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0001”

5、找到该主键后，在注册表编辑器右方窗口的空白处单击鼠标右键，点击“新建”→“DWORD值”
(图4)。

6、将此DWORD值重新命名为“ResetErrorCountersOnSuccess”(注意大小写)，然后在该DWORD值上单击鼠标右键，在随后出现的快捷菜单中点“修改”一项。

7、出现“编辑DWORD值”对话框后，将“数值数据”一栏由原本的“0”改为“1”(图5)，然后再点“确定”按钮。重新启动电脑后，现在系统可以强制改回与硬盘技术规格相符的DMA模式。
(图5)

8、有一点需要补充的是，如果你的电脑包含两个以上的IDE控制器(装有两个以上的硬盘)，则在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}”主键下，可能还有“0002”、“0003”……等子项，代表每一组主要和次要IDE通道，请大家按相同的方法来进行修改即可。

一、在你的电脑里找到logonui.exe文件，通常位于c:\windows\system32目录中，复制两份，一份作为备份，一份用来编辑。

　　二、用ResHacker打开logonui.exe文件。现在我们可以开始动手制作我们自己的XP登录界面了。在ResHacker中我们可以看到有UIFILE，Bitmap，String Table，Version Info四大项。我们要修改的就是这几项。

　　第一项：UIFILE

　　a、改变背景颜色。打开：\UIFILE\1000\1033\，我们可以看到XP的原始logonui.exe的定义如下：（可能一下子没看到，向下滚动右边的滚动条）

　　把其中的颜色改变为你中意的颜色就行了。如把argb(0,0,0,0)改为argb(99,118,149)等等。如果你不熟悉RGB值，（谁又能记得很清楚了）请下载一个叫好色鬼的软件，使用很简单。
b、改变密码的字符形状。按CTRL+F，或者选择“查看”菜单中的“查找文本”，找到：passwordcharacter。可以看到其定义为一个4位数的数字，实际是个ASCII的16位值。如下：

　　passwordcharacter: 9679;
　　fontface: "arial";

　　同时注意下面fontface一行，它定义了使用的字体，XP默认的是arial字体和9679，也就是你输入密码时看到的小黑圆点。不同字体的ASCII-hex值代表的字符不一样。你可以把这段改为：

　　passwordcharacter: 207;
　　fontface: "webdings";

　　这是什么符号呢，你试过就知道了。一个简单的找出字符ASCII-hex值的方法是使用微软的Word，或者任何一种字处理软件如wps office，选择“插入”–>“符号”，然后在弹出的对话框中选择一种字体，选择某个你喜欢的符号，注意下面字符代码中的值，按此改变即可。另外要注意使用unicode字体，以免别人的机子上没有定义的字体。

　　c、改变登录时账户（userpane）所在的位置。在倒数第二段中定义了登录时账户所在的位置。按CTRL+F，找到
这行。

　　注意下面的定义，XP默认的是：

　　你可以选择改为：

　　位置变为中间靠上。注意你要清楚你打算放置账户的位置，在坐标轴x、y位置，单位为像素（pixel），建议你熟练以后再尝试。
第二项：Bitmap是我们要修改的图像。打开Bitmap目录树，打开ResHacker“操作”菜单，找到“替换位图”，分别替换原始logonui.exe中位图资源。下面是其中位图的定义和原始大小：

　　一般我们只需要修改其中的100和112几项就可以了。如果你拿来替换100的图片不是XP标准的219*217，也可以修改logonui.exe的设置来适应你的标准，其他的图片大小要求也不是很严格，而且不用更改其他选项。

　　1、打开\UIFILE\1000\1033\目录树
　　2、按CTRL+F，或者选择“查看”菜单中的“查找文本”
　　3、找到这行
　　4、把其中的219rp,207rp改为你图片的值即可。注意数字后面的rp不能掉。219为宽度，207为高度。

　　另外注意图片不要太大，超过了你登录帐户名，不然会非常慢，也不好看。如果你认为那样做比较适合你的大作，你可以找到\UIFILE\1000\1033\中有：animation: alpha | s | mediumslow:字段的地方，删除诸如下面一段：

　
　　这样可以让XP不再使账户淡入淡出（即alpha混合），从而加快速度。
第三项和第四项就没有那么重要了。主要是些字符串，负责一些注释帮助提示等等内容。当然我还是推荐你在其中Version Info项加入你的名字，举个例子：

　　打开String Table\1\1033，按CTRL+F，找到：Turn off Computer，更改为更为个性化的“Bye-Bye my love”，诸如此类。全部修改好以后最好先保存到另外的目录。

　　安装使用XP LogonUI。这是最方便的方法，也是很安全的。不然你也可以按照最保险的办法进行。

　　1、重新启动电脑。
　　2、在启动时按住F8键，选择Safe mode with command Prompt
　　3、以administrator账户登录
　　4、然后在DOS prompt中备份、拷贝、覆盖c:\windows\system32\logonui.exe
　　5、重新启动。

　　附一些别人制作好的漂亮logon下载网址：

　　1、themexp：http://www.themexp.org
　　2、Getskinned：http://www.lakerscenter.com/
　　3、boomgames：http://boomgames.com/xpthemes

　　希望大家也能做出漂亮的xp logon与别人一起分享。

　　现在的木马、病毒融入了很多最新的技术，系统中的杀毒软件纷纷被“杀”，竟然连声“救命”都没有来得及喊，就悄无声息地倒下了。这让崇尚安全第一的我们怎么忍受?杀毒软件“出师未捷身先死”，确实有些窝囊。这除了自身的原因外，我们应该从系统找找根源，让它更健壮，使它名副其实，至少在被杀之前喊声“救命”!

　　一、案例追踪

　　案例一：卡巴斯基被“咔嚓”了

　　1.症状：桌面右下角的卡巴斯基的图标变灰，系统安全实时监控停止，系统时间被改。双击卡巴图标提示：授权过期，购买新的授权文件。更改回系统时间，卡巴斯基图标变红，但不一会再次变灰，系统时间也被改。(图1)

　　图1

　　2.原因：卡巴斯基的正版认证方式成了卡巴的软肋。由于卡巴斯基会为了防止盗版，实时检测系统日期，以判断软件是否已经超过授权的使用期限。当发现软件许可过期时会立即关闭所有的监控，同时主程序也无法扫描病毒，并且需要用户输入新的序列号。所以这是没办法的事，一直以来卡巴都如此!因此只要一个批处理文件，就“杀”死了卡巴。

　　@echo off

　　set date=%date%

　　date 1987-02-06

　　ping -n 45 localhost > nul

　　date %date%

　　病毒、木马在运行之前，先释放并运行类似的脚本文件，解决掉卡巴，然后自己大摇大摆地进驻系统。

　　3.救治：

　　第一步：更改回系统时间。(最好在安全模式下。)

　　第二步：在“开始菜单”→“运行”(里输入gpedit.msc，打开组策略，依然选择“计算机配置→windows设置”→安全设置→本地策略→用户权利指派→更改系统时间”(右边)，然后双击(或者是右键单击，选择“属性”)打开“更新系统时间配置”属性对话框，把里面所有权限用户名全部删除，然后点击确定，重启计算机。这样做的原理是取消用户更改时间的权限，因为病毒大都是以当前用户的权限运行的，用户没有相关权限，病毒、木马也就不能。

　　第三步：重启系统后卡巴斯基就可以运行，进行全面杀毒。手工清除注册表中的自启动项下的相关键值。

　　提示：一旦删除，时间就可以得到保障，将来如果想要更改时间的话，可以通过添加用户和组来新建一个帐户，然后就可以更改时间了。或者在组策略中恢复用户更改时间的权限。(图2)

　　图2

　　案例二：瑞星被劫持

　　1.症状：开机后瑞星实时监控没有运行，打开“任务管理器”，没有与瑞星相关的进程。快捷方式运行瑞星没有任何反映。到瑞星的安装目录下，目录下的文件没有更改或者删除的迹象。

　　2.原因：WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查注表"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"项下该命令对应的程序文件，如果有就执行对应的程序文件，没有的话执行真正的程序文件。因为这个注册表项的优先级高，因此就会产生欺骗，也就是映像劫持。瑞星2008比较好地杜绝了taskkill、ntsd命令对其进程的操作，但没有解决映像劫持。病毒木马通过添加相关的项，让自己运行而瑞星不能运行。然后病毒、木马就可以屠城了，对系统肆意杀戮，当然包括瑞星。

　　比如通过一个批处理就可以让QQ劫持瑞星：

　　@echo off

　　reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe"

　　reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe" /v RavTask.exe /t REG_EXPAND_SZ /d %*%

　　exit

　　注：*为你的QQ主文件的路径。

　3.救治：

　　权限限制法：

　　如果用户无权访问该注册表项了，它也就无法修改这些东西了。打开注册表编辑器，进入

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ，选中该项，右键→权限→高级，将administrator 和 system 用户的权限调低即可(这里只要把写入操作给取消就行了)。(图3)

　　图3

　　快刀斩乱麻法 ：

　　打开注册表编辑器，进入把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项，直接删掉 Image File Execution Options 项即可解决问题。 (图4)

　案例三：毒霸被Kill

　　1.症状：金山毒霸的进程被结束，桌面下的毒霸图标变灰或者消失，实时监控实效。系统启动后提示：“运行环境不完整,可能发生文件损坏,建议重新安装金山毒霸或在线升级!”

　　2.金山毒霸2008以前的版本，对于自身进程的保护做得很差，运用命令就可以轻易地结束其进程，停止其服务。

　　taskkill /f /im kav32.exe

　　ntsd -c q -p #

　　提示：kav32为毒霸的进程名，#为毒霸进程的PID

　　3.救治：

　　升级法：把金山毒霸升级到2008。经测试，不能结束进程。(图5)

　　图5

　　文件法：如果你不想升级，那就把taskkill、ntsd命令改名或者删除。

　　二、“救命啊!我要被Kill了!”

　　无知不是罪，但不知却很可怕。敌人进入你的电脑你却浑然不知!总是在几天之后才发现，杀软早就悄无声息地被人干掉了，机子里充满了病毒。是呀，网上充满了各种木马、病毒加花加壳加草的方法，躲过杀软的监控，成功运行后，杀软便成了刀俎鱼肉，第一个被人干掉，不经意间你可能才会发现杀软的图标早就不见了，但是也晚了。那么杀软才被干掉的一瞬间，能不能让它喊一声救命再死呢?让我们好第一时间拯救它!

　　1.脚本文件法：

　　打开记事本，输入下面脚本代码(下面代码以瑞星为例)：

　　strComputer = "."

　　Set objWMIService = GetObject("winmgmts:" _

　　& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

　　Set colMonitoredProcesses = objWMIService. _

　　ExecNotificationQuery("select * from __instancedeletionevent " _

　　& "within 1 where TargetInstance isa ‘Win32_Process’")

　　i = 0

　　Do While i = 0

　　Set objLatestProcess = colMonitoredProcesses.NextEvent

　　If objLatestProcess.TargetInstance.Name = "RavMon.exe" Then

　　Wscript.Echo "注意：瑞星杀毒软件已经被关闭!!! 进程名：" & objLatestProcess.TargetInstance.name

　　end if

　　Loop

　　将第十行中的RavMon.exe替换成自己所使用的杀毒软件进程名，一定要注意大小写，第十一行中的中文字也可以自己写。然后依次单击“文件”→“另存为”，将其保存为*.vbs文件，双击运行即可开始对杀毒软件的监视，最好放到Windows启动文件夹中(C:\Documents and Settings\All Users\「开始」菜单\程序\启动)，这样每次开机都会自动对杀毒软件进行监视，如果想要停止监控只要结束wscript.exe进程即可。

　　另外，大多数杀毒软件有多个进程，如果觉得只监视一个不够，可以将第十行改为：

　　If objLatestProcess.TargetInstance.Name = "进程名1" or bjLatestProcess.TargetInstance.Name = "进程名2" or objLatestProcess.TargetInstance.Name = "进程名3" (……)Then。

　　在虚拟机上测试成功!(图6)

　　图6

　　2.第三方工具法：

　　软件名称：任务管理器增强工具

　　下载地址：http://gzcnc.onlinedown.net:82/down/mtmsetup.exe

　　操作步骤：(以瑞星为例)

　　第一步：打开并运行“任务管理器增强工具”，在“监视进程”选项卡下，勾选“监视下列进程，当进程死亡后立即启动”，然后通过“浏览”、“添加”按钮添加需要监视的进程。

　　第二步：添加三个瑞星关键进程文件RavMon.exe、RavMonD.exe、CCenter.exe，并点击“保存”按钮。

　　第三步：随便运行一个程序，并在任务管理中结束它，提示“无法结束!”。

　　提示：其他杀毒软件的进程保护类似，就是把该杀毒软件的进程文件添加进去就可以了。

　　这样，有了它的监视，在杀软不幸后可以告诉我们一声。(图7)

　三、让杀毒软件起死回生!

　　听到了杀毒软件临终前的救命声，它倒下了，你总不能让你的机子在网上“裸奔”吧?那如何让它起死回生呢?(本文以瑞星的修复为例，其它杀毒软件的修复类似。)

　　第一选择：自我修复

　　运行瑞星“添加删除组件”程序，选择“修复”点击“下一步”，如果顺利的话很快就完成修复过程。(图8)

　　图8

　　第二选择：手工修复

　　先删除c:/ windows /rav.ini文件,然后退出瑞星“实时监控”。运行“services.msc”进入服务管理器，停止瑞星的相关服务：Rsccenter、RsRavmon。打开瑞星安装目录找到其中的一个updata文件夹.直接双击里面的setup.exe,过后会弹出如图9的窗口，选择“添加删除安装”选项点击“下一步”，一路“下一步”，如果中途有什么错误提示就点选择“取消”以调试方式继续，(提示:这种情况就是我们前面的第一步为什么要停止瑞星服务的原因),以强行继续方式安装。完成安装后重新启动计算机，瑞星应该正常了。(图9)

　　第三选择：重新安装

　　如果前面的方法无效，那只有重新安装了。重新安装你不会是把安装光盘插入光驱这样安装吧，那你升级病毒库就太费时间了!最好的方法是在一台安装有瑞星并且病毒库为最新的电脑上执行“瑞星安装包制作程序”，制作一份有最新病毒库的瑞星安装文件，然后用U盘在你自己的电脑上安装。这样你的病毒库就是最新的了，省去了升级的麻烦。(图10)

　　图10

　　四、总结:杀毒软件经历从被“杀”到喊“救命”直至“复活”的漫长过程，这一切都是由人导演的。因此提高自身的水平才是关键。

　　高效管理服务器一直离不开有效的服务器管理技巧，尽管你已经掌握了不少这方面的技巧，但服务器还有许许多多的技巧在等着你的总结，等着你的挖掘；下面的一些服务器管理窍门就是笔者在最近的工作中总结出来的，相信有不少是你很少遇到过的!

　　拒绝服务器重新启动

　　一般情况下，在Windows 2003 Server系统中安装完补丁程序后，系统总会提示你要重新启动一下服务器。可是许多急性子的朋友，他们往往无法容忍Windows 2003 Server服务器“慢吞吞”的启动操作，于是希望打完安全补丁之后服务器不再重新启动的想法就应运而生了。那么是不是有一种合适的方法，的确能让Windows 2003 Server服务器在安装完补丁之后不会重新启动呢?其实，Windows 2003 Server服务器是否会重新启动，跟当前的系统补丁特性有一定的关系；对于那些强制需要系统启动的安全补丁，我们一般是无法让服务器拒绝重新启动的；但对于那些没有强制要求系统启动特性的补丁来说，我们就能采取如下的方法来阻止服务器系统重新启动：

　　首先在Windows 2003 Server服务器系统桌面中，依次单击“开始”/“运行”命令，在随后打开的系统运行对话框中，输入字符串命令“cmd”，单击“确定”按钮之后，将系统工作模式切换到MS-DOS状态下；

　　其次在DOS命令行中，通过“cd”命令将当前目录切换到补丁程序所在的目录，然后执行“aaa /?”字符串命令(其中aaa就是当前需要安装的系统补丁名称)，在其后出现的提示界面中，检查一下当前补丁是否带有“-z”参数，要是带有该参数的话，就表明当前补丁在安装完毕后可以不强制要求系统进行重新启动；

　　接着在DOS命令行中，再输入字符串命令“aaa -z”，单击回车键后，该补丁程序就会自动安装到系统中，并且不会要求服务器系统进行重新启动了。

　　取消对服务器的限制访问

　　为了提高员工的工作效率，单位最近打算把Windows 2003终端服务器的访问权限向每一个员工进行开放，但考虑到安全性，网络管理人员仅为所有员工提供了相同的一个帐号来登录Windows 2003终端服务器。可是员工们在用该帐号登录终端服务器时，发现同一时间内服务器只能允许一个人登录进服务器，而且后来的员工一登录进服务器后，前一个员工就会“被迫”退出终端服务器的登录。出现这种现象到底是怎么回事呢，那有没有办法让所有员工在同一时间内，使用同一帐号都能顺利登录进行服务器呢?

　　其实上述这种现象，主要是由于Windows 2003终端服务器在默认状态下，启用了“限制每一个用户只能使用一个会话”功能造成的；要想消除这种现象，你只要按照如下步骤，来取消“限制每一个用户只能使用一个会话”功能就可以了：

　　首先单击Windows 2003终端服务器系统桌面中的“开始”菜单，并依次执行其中的“设置”/“控制面板”命令，然后双击其中的“管理工具”图标，进入到终端服务配置窗口；

　　接着在该配置窗口中，用鼠标双击一下“服务器设置”处的“限制每一个用户只能使用一个会话”选项，在其后出现的选项设置对话框中，将“限制每一个用户只能使用一个会话”的复选框取消选中，最后单击“确定”按钮，并重新启动一下服务器系统，这样员工们日后使用相同的帐号，就能同时登录进Windows 2003终端服务器系统中了。　　远程查看服务器日志文件

　　如果你是一位细心的人，完全可以利用服务器的日志文件，来实现保护服务器安全的目的，毕竟任何对服务器的非法攻击都会在服务器日志文件中留下蛛丝马迹，只要你足够细心，就能知道服务器当前是否受到了攻击，一旦发现有攻击痕迹的话，只要及时采取相应的应对措施就能保证服务器的安全了。不过话又说回来，服务器的日志文件通常只能在服务器本地查看到，可是万一网络管理人员出远门，该如何保证服务器日志文件能被网络管理人员随时远程查看到呢?

　　要做到这一点，你只要利用Windows 2003服务器的远程维护功能，并通过IE浏览界面，就能对服务器的日志文件进行远程查看了，当然在默认状态下，Windows 2003服务器的远程维护功能并没有开通，需要我们手工启动才可以。下面，就是远程查看服务器日志文件的具体步骤：

　　首先检查一下Windows 2003服务器是否已经安装了II6.0组件及其相关组件，要是还没有安装的话，必须先要这些组件安装到服务器中去；

　　其次在服务器系统桌面的“开始”菜单中，依次单击“设置”、“控制面板”命令，在其后出现的窗口中，用鼠标双击一下“添加或删除程序”图标，接着单击其后界面中的“添加/删除Windows组件”按钮，并在弹出的组件安装向导窗口中，把“应用程序服务器”复选项选中，再单击一下对应窗口中的“详细信息”按钮；

　　随后你将看到一个设置界面，选中“Internet信息服务(IIS)”复选项，然后继续单击对应窗口中的“详细信息”按钮；

　　在接着出现的向导设置窗口中，选中“万维网服务”项目，并继续单击一下对应窗口中的“详细信息”按钮，在弹出的图2所示的向导界面中，再把“远程管理(html)”项目选中；完成上面的设置后，单击“确定”按钮，并把Windows 2003服务器系统的安装光盘放入到光驱中，然后系统会自动完成剩余的安装设置任务；

　　以后，网络管理人员无论走到哪里，只要能找到一台可以上网的计算机，并通过IE浏览器界面输入“http://aaa.aaa.aaa.aaa:8098”地址(其中aaa.aaa.aaa.aaa表示Windows 2003服务器的有效IP地址)，在稍后打开的服务器帐号验证界面中，正确输入系统管理员帐号，就能远程登录到服务器的管理维护页面中了，在该页面中网络管理人员就能很方便地查看到服务器中的日志文件了。

：　　注：以下命令中。＝号后面都有一个空格，＝号前面没有空格！

　1.更改服务的启动状态（这是比较有用的一个功能） 　　

　　2.删除服务（除非对自己电脑的软、硬件所需的服务比较清楚，否则不建议删除任何系统服务，特别是基础服务）　　

　　3.停止或启动服务（功能上类似于net stop/start，但速度更快且能停止的服务更多）

　　具体的命令格式如下：　　

　　修改服务启动类型的命令行格式为（特别注意start=后面有一个空格）　　

　　sc config 服务名称 start= demand(设置服务为手动启动) 　　

　　sc config 服务名称 start= disabled(设置服务为禁用) 　　

　　停止/启动服务的命令行格式为 　　

　　sc stop/start 服务名称 　　

　　注意：平时常接触的都是服务的显示名称，而以上所指是服务名称，都可以在控制面板->管理工具->服务里面，双击对应的服务来查询。　　

　　先举例说明一下具体的设置方法： 　　

　　如设置远程注册表服务为手动其格式为 　　

　　sc config RemoteRegistry start= demand 　　

　　设为禁用的格式为：

　　sc config RemoteRegistry start= disabled 　　

　　停止服务则格式为： 　　

　　sc stop RemoteRegistry 　　

　　首先把自己所需设置的服务名称查到之后，按照上面的格式做成批处理文件，重装系统之后只要运行批处理文件即可。　　

　　以下是我的设置，以XpSp2为蓝本，可比对所用的系统进行增删和修改。注：未加入XpSp2的自动更新、安全中心、防火墙。　

　　sc config Alerter start= demand 　　

　　sc config TrkWks start= demand 　　

　　sc config helpsvc start= demand 　　

　　sc config policyAgent start= demand 　　

　　sc config dmserver start= demand 　　

　　sc config WmdmpmSn start= demand 　　

　　sc config Spooler start= demand 　　

　　sc config RemoteRegistry start= demand 　　

　　sc config NtmsSvc start= demand 　　

　　sc config seclogon start= demand 　　

　　sc config Schedule start= demand 　　

　　sc config WebClient start= demand 　　

　　sc config W32Time start= demand 　　

　　sc config WZCSVC start= demand

　　sc config ERSvc start= demand 　　

　　sc config Themes start= demand 　　

　　sc config FastUserSwitchingCompatibility start= disabled 　　

　　sc config Messenger start= disabled 　　

　　sc config protectedStorage start= disabled

　　sc config SSDpSRV start= disabled 　　

　　sc config TermService start= disabled 　　

　　sc config ShellHWDetection start= disabled 　　

　　如果需要立即关闭服务也可把以下代码跟在上面的代码之后

　　sc stop W32Time 　　

　　sc stop ShellHWDetection 　　

　　sc stop TrkWks

　　sc stop helpsvc

　　sc stop dmserver

　　sc stop policyAgent 　　

　　sc stop Spooler 　　

　　sc stop RemoteRegistry 　　

　　sc stop seclogon 　　

　　sc stop Schedule 　　

　　sc stop WZCSVC

　　sc stop ERSvc 　　

　　sc stop Themes 　　

　　sc stop FastUserSwitchingCompatibility 　　

　　sc stop protectedStorage 　　

　　sc stop SSDpSRV 　　

　　sc stop WebClient 　　

　　最后把修改好之后的代码存为services.cmd，在以后进行服务设置时，直接运行事先保存好的批处理文件就可以做到事半功倍了。　　

　　看到这里，使用Win2000的朋友也不必失望，sc.exe这个命令行工具对Win2000同样适用，可从装有WinXp或者Win2003的机器里面拷贝sc.exe文件，与保存好的批处理文件放在一起，然后执行批处理文件即可。　　

　　对注册表比较熟悉的朋友可能会想到用注册表来设置服务的启动类型，这也是一种可行的方法，本身却有着内在不足。原因是服务启动类型在注册表中对应的键值较长且分散，进行整理不方便直观且易错漏，所以这种方法比较适用于无人值守的安装时使用。

附常用服务操作：

@echo off
echo "正在配置Computer browser服务"
sc config Browser start= demand
sc stop Browser

echo "正在配置DHCP服务"
sc config Dhcp start= demand
sc stop Dhcp

echo "正在配置Error Reporting Service服务"
sc config ERSvc start= demand
sc stop ERSvc

echo "正在配置Help and Support服务"
sc config helpsvc start= demand
sc stop helpsvc

echo "正在配置Print spooler服务"
sc config Spooler start= demand
sc stop Spooler

echo "正在配置Remote Registry服务"
sc config RemoteRegistry start= demand
sc stop RemoteRegistry

echo "正在配置 Server 服务"
sc config lanmanserver start= demand
sc stop lanmanserver

echo "正在配置Task Scheduler服务"
sc config Schedule start= demand
sc stop Schedule

echo "正在配置 TCP/IP NetBIOS Helper 服务"
sc config LmHosts start= demand
sc stop LmHosts

echo "正在配置Wireless Configureation 服务"
sc config WZCSVC start= demand
sc stop WZCSVC