黑客网络停止运行（黑客如何用造成停电）

网络黑客是怎么操作的

Web服务器将成为下一代黑客施展妖术的对象。在很大程度上，进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前，黑客的攻击对象集中在操作系统和网络协议上，但随着这些攻击目标的弱点和漏洞逐渐得到修补，要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健，对攻击的抵抗能力日益提高。随着身份验证和加密功能渐渐被内置到网络协议中，网络协议也变得更加安全。此外，防火墙也越来越智能，成为网络和系统的外部保护屏障。

另一方面，电子商务技术正在日益普及开来，其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的是，人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢？

有很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出网络，而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是，Web服务器和基于Web的应用程序有时是在“功能第一，安全其次”的思想指导下开发出来的。

当您的Web服务器面临巨大威胁时，怎样保障它们的安全呢？这就需要您不断了解新信息，新情况，每天跟踪您所用服务器的有关网站，阅读相关新闻并向它进行咨询。为了让你着手这方面的工作，下面介绍黑客对NT系统的四种常用攻击手段，同时介绍如何防止这类攻击。

Microsoft IIS ism.dll缓冲区溢出

受影响的服务器：运行IIS 4.0并带有“Service Pack 3/4/5”的Windows NT服务器

Microsoft IIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS

eEye，这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时，黑客向目标程序或服务输入超出程序处理能力的数据，导致程序突然终止。另外，还可以通过设置，在执行中的程序终止运行前，用输入的内容来覆盖此程序的某些部分，这样就可以在服务器的安全权限环境下执行任意黑客命令。

eEye发现，IIS用来解释HTR文件的解释程序是ism.dll，它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以.htr结尾的超长文件名（大约3,000个字符，或更多）传递给IIS，那么输入值将在ism.dll中造成输入缓冲区溢出，并导致IIS崩溃。如果攻击者输入的不是一串字母而是可执行代码（通常称为“鸡蛋”或“外壳代码”），那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击方法包括三个步骤：

1．创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号，该程序将执行一个Windows命令外壳程序(cmd.exe)，并将该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的网络连接实用程序，其源代码可以免费获得。

2．在IIS的ism.dll中制造缓冲区溢出，并使IIS从外部Web站点下载侦听程序（由步骤1产生）。

3．执行刚下载的程序（由步骤2产生），该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。

由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳，所以该外壳程序将在IIS的安全权限背景下运行，而该安全权限背景等价于NT

Administrator权限。这样，攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接，然后等着出现c:提示就万事大吉了。现在，攻击者拥有对整个NT服务器的管理权限，可以做任何事，比如，添加新用户、修改服务器的内容、格式化驱动器，甚至将该服务器用作攻击其它系统的踏脚石。

运行IIS 4.0并带有“Service Pack 3/4/5”的Windows

NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack

6也已经修补了该问题。

Microsoft IIS MDAC RDS安全弱点

受影响的服务器：运行IIS 4.0并安装了MDAC 2.1或更早版本的Windows NT服务器

在发现IIS eEye安全弱点的大约一个月后，IIS

4.0的另一个弱点又暴露出来。使用Microsoft数据访问组件(MDAC)和远程数据服务(RDS)，攻击者可以建立非法的ODBC连接，并获得对Web服务器上的内部文件的访问权。如果安装了Microsoft

Jet OLE DB提供程序或Datashape提供程序，攻击者可以使用Visual Basic for Applications

shell()函数发出能够在服务器上执行的命令。

在安装了MDAC 2.1或更高版本的IIS 4.0上，从位于其公共目录中的msadcmsadcs.dll，可以找到MDAC

RDS弱点。Rain Forest

Puppy在其站点中对该弱点进行了详细说明。该弱点利用了IIS上MDAC默认安装时的不适当配置和安全机制的缺乏这一漏洞。在等价于NT

Administrator的IIS Web服务器进程的安全权限背景下，进行这种攻击的黑客可以在NT系统上远程执行任意命令。

MDAC的弱点不是由于技术造成的，而是由于用户对它的配置方式所致。很多站点是通过NT Option Pack 4.0安装IIS

4.0的。如果NT Option Pack

4.0是以典型或默认配置安装的，那么MDAC就容易遭到这种攻击。大多数使用默认安装的系统管理员都没有具体调整过这些设置，从而使Web服务器的安全性大大降低。

Foundstone公司的George Kurtz、Purdue大学的Nitesh

Dhanjani和我曾经共同设计了一个只有一行的命令字符串，该命令将利用MDAC

RDS弱点，使远程NT系统启动一个通过FTP或TFTP进行的文件传输过程。这个命令将告诉服务器到从某个外部系统下载并执行Netcat。Netcat将运行Windows命令外壳程序，并建立一个返回攻击者计算机的连接，这样，攻击者就获得了对远程NT系统的完全管理控制权。

Microsoft已经发布了相应的安全公告，并对使IIS 4.0免受该弱点攻击的保护措施进行了说明。

Allaire ColdFusion 4.0弱点

受影响的服务器：运行在Windows NT上的Allaire ColdFusion Server 4.0

作为还算容易使用的、功能强大的脚本语言，ColdFusion已经广泛流行起来。但流行并不意味着安全。ColdFusion的问题不在于该服务器自身，而是在于它附带的脚本。ColdFusion

4.0提供了示范应用程序和范例，它们可以在位于Web服务器根目录中的cfdocsexampleapp和cfdocsexpeval目录中找到。当用户执行典型安装时，将安装这些应用程序和脚本。ColdFusion所附带的部分范例经过修改后，将允许非法访问服务器上所包含的敏感数据。这些弱点表明，基本的应用程序服务器可以被编写得不好的应用程序脚本歪曲利用。

存在这种弱点的一个范例应用程序是cfdocsexampleappdocssourcewindow.cfm。因为ColdFusion是作为具有Administrator权限的系统服务运行的，所以，该程序可以被用来任意访问和查看NT

Web服务器上的任何文件，包括boot.ini。用这种方法可以检索任何文件。Packet Storm对该弱点做了完整解释。

而更严重的弱点存在于cfdocsexpevalopenfile.cfm、cfdocsexpevaldisplayopenedfile.cfm和cfdocsexpevalexprcalc.cfm中。这三个文件可以用来查看服务器上的任何文件，更为严重的是，它们还能将任意文件上载到服务器。对该弱点如何发作的讨论超出了本文的范围，欲了解详细信息请访问L0pht

Heavy

Industries的咨询信息。表达式求值程序exprcalc.cfm用于让开发人员计算被上载文件中的ColdFusion表达式的值。作为预防手段，该脚本在进行表达式计算时便会把被上载的文件删除掉，但要避免删除却是件容易的事。这样，攻击者可以上载恶意文件，并最终控制服务器。

这些就是ColdFusion的示范脚本中最严重的弱点。要防止出现问题，请从任何运行中的服务器中删除ColdFusion示范脚本。Allaire的Security

Zone提供了补丁程序，并提供了如何保护ColdFusion服务器的进一步信息。

Sambar 4.3 hello.bat

受影响的服务器：运行在Windows NT上的Sambar 4.3 beta 7和更早版本

Sambar是提供给开发者的免费Web服务器。它提供了对CGI和WinCGI脚本、ODBC脚本以及ISAPI的支持。它甚至捆绑了Perl

5解释器。

Sambar 4.3 beta

7版和更早版本附带两个名为hello.bat和echo.bat的文件，它们是将Windows批处理文件用作CGI脚本的范例。这两个脚本本身没有问题，hello.bat显示字符串“Hello

World”，而echo.bat显示字符串“Place

Holder”。但当批处理文件被用作CGI脚本时，Web服务器将使用Windows命令外壳程序cmd.exe来运行它们。这样，攻击者可以利用该弱点针对目标服务器运行任意命令。例如，假如攻击者把URL

;dir+c:放在他或她的浏览器中，那么，将在服务器上运行命令“dir

c:”，并在浏览器上显示结果。由于Sambar是在NT

Administrator安全权限下运行的，因此事情会变得更为复杂。这样的权限等级可以让攻击者作为NT Administrator运行任意命令。

Windows命令外壳使用“”在相同命令行上分隔多个命令。如果用户将“”放在hello.bat的后面，并在其后添加一个命令，那么将在执行hello.bat后执行第二个命令。

由于已经删除了文件hello.bat和echo.bat，Sambar 4.3 beta

8版和更高版本没有该弱点。但是，由于Windows命令外壳程序解析命令行的方式无法改变，所以并没有办法能真正修正该问题。如果您安装了4.3

beta 7版或更低版本，请一定要删除hello.bat和echo.bat。

境外黑客攻击，湖南电信网络全崩，什么时候才能恢复正常？

2021年4月13日，湖南地区有网友反应，电信宽带网络出现网页打不开，网络崩了的现象，面对这种情况网络上的一张截图引起了很多网友的关注，截图当中电信通知，整个湖南省，所有的网络全部间断瘫痪了，而黑客还会持续攻击，电信正在努力的解决这个问题，所以请大家耐心等待，所以说目前还没有恢复正常，而且黑客也在持续攻击还不知道什么时候会修复好。

第一，湖南电信网络瘫痪造成不良影响

很多使用电信网络的网民们都不能使用电信网了，出现了网页打不开，网络崩了的现象，对于人们的正常生活造成了一定的影响！

有些网友说自己正在工作发消息，但是却遇到了发不出消息的情况，还有网友说正在打游戏，但是却突然断网了，感觉都懵了！有网友说还以为微博又有什么大瓜导致服务器崩了！

出现这种情况以后，这张电信的通知截图火了，说是外国的黑客攻击湖南的电影网络，所以造成了网络的瘫痪！

而目前黑客还在进行攻击，所以也不知道啥时候才能回复正常！

第二，加强网络安全

出现这种情况以后，我国应该去加强网络安全，同时对于我国的网络系统及时进行更新，防止外国黑客对于我国的网络造成一定的影响！

现在的网络对于人们的正常生活影响是非常大的。生活，学习，工作都是离不开网络的，如果一旦网络崩溃，对于人们的生活会造成严重的打击！

网络安全也事关我们的经济社会的稳定，关系这人们的生活日常，国家应该对于网络安全严加重视。在各种运营问题上要严加防备，不要让反动实际得逞！

提高自己的网络防御能力是最重要的事情，这样才能是我国的利益受损的时候得到保护，并且在国外势力侵入我国对于我国造成影响的时候有能力去抵御！

MMB停止运行是被黑客攻击了吗

一、反攻击技术的核心问题

反攻击技术（入侵检测技术）的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径（如Sniffer，Vpacket等程序）来获取所有的网络信息（数据包信息，网络流量信息、网络状态信息、网络管理信息等），这既是黑客进行攻击的必然途径，也是进行反攻击的必要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。

二、黑客攻击的主要方式

黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分黑客攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下六类：

1.拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象（通常是工作站或重要服务器）的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。

2.非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。

3.预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

4.可疑活动：是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。

5.协议解码：协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。

6.系统代理攻击：这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。

三、黑客攻击行为的特征分析与反攻击技术

入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。

1.Land攻击

攻击类型：Land攻击是一种拒绝服务攻击。

攻击特征：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。

检测方法：判断网络数据包的源地址和目标地址是否相同。

反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址）。

2.TCP SYN攻击

攻击类型：TCP SYN攻击是一种拒绝服务攻击。

攻击特征：它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其它合法的SYN连接，即不能对外提供正常服务。

检测方法：检查单位时间内收到的SYN连接否收超过系统设定的值。

反攻击方法：当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。

3.Ping Of Death攻击

攻击类型：Ping Of Death攻击是一种拒绝服务攻击。

攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。

检测方法：判断数据包的大小是否大于65535个字节。

反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。

4.WinNuke攻击

攻击类型：WinNuke攻击是一种拒绝服务攻击。

攻击特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。

检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。

反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。

5.Teardrop攻击

攻击类型：Teardrop攻击是一种拒绝服务攻击。

攻击特征：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。

反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。

6.TCP／UDP端口扫描

攻击类型：TCP/UDP端口扫描是一种预探测攻击。

攻击特征：对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。

检测方法：统计外界对系统端口的连接请求，特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。

反攻击方法：当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的IP地址和MAC地址进行审计。

对于某些较复杂的入侵攻击行为（如分布式攻击、组合攻击）不但需要采用模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。

四、入侵检测系统的几点思考

从性能上讲，入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。

从技术上讲，入侵检测系统存在一些亟待解决的问题，主要表现在以下几个方面：

1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中，我们了解到安全问题日渐突出，攻击者的水平在不断地提高，加上日趋成熟多样的攻击工具，以及越来越复杂的攻击手法，使入侵检测系统必须不断跟踪最新的安全技术。

2.网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入侵检测系统的检测，因此字符串匹配的方法对于加密过的数据包就显得无能为力。

3.网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制，以适应更多的环境的要求。

4.对入侵检测系统的评价还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术，随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断的升级才能保证网络的安全性。

5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤掉所有来自攻击者的IP数据包，当一个攻击者假冒大量不同的IP进行模拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是造成新的拒绝服务访问。

6.对IDS自身的攻击。与其他系统一样，IDS本身也存在安全漏洞，若对IDS攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求系统应该采取多种安全防护手段。

7.随着网络的带宽的不断增加，如何开发基于高速网络的检测器（事件分析器）仍然存在很多技术上的困难。

入侵检测系统作为网络安全关键性测防系统，具有很多值得进一步深入研究的方面，有待于我们进一步完善，为今后的网络发展提供有效的安全手段。

急！我的网络总是在连接到半个小时后中断

恭喜你中招了!

不过不用担心什么,自己有准备杀毒软件吧,搞定它不就得了...

我们在使用Windows XP操作系统的时候，用着用着系统就变慢了，一看“任务管理器”才发现CPU占用达到100%。这是怎么回事情呢?遇到病毒了，硬件有问题，还是系统设置有问题，在本文中笔者将从硬件，软件和病毒三个方面来讲解系统资源占用率为什么会达到100%。

经常出现CPU占用100%的情况，主要问题可能发生在下面的某些方面:

CPU占用率高的九种可能

1、防杀毒软件造成故障

由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控，无疑增大了系统负担。处理方式:基本上没有合理的处理方式，尽量使用最少的监控服务吧，或者，升级你的硬件配备。

2、驱动没有经过认证，造成CPU资源占用100%

大量的测试版的驱动在网上泛滥，造成了难以发现的故障原因。 处理方式:尤其是显卡驱动特别要注意，建议使用微软认证的或由官方发布的驱动，并且严格核对型号、版本。

3、病毒、木马造成

大量的蠕虫病毒在系统内部迅速复制，造成CPU占用资源率据高不下。解决办法:用可靠的杀毒软件彻底清理系统内存和本地硬盘，并且打开系统设置软件，察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙，加强防毒意识，掌握正确的防杀毒知识。

4、控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键，改为手动。

5、开始-；运行-；msconfig-；启动，关闭不必要的启动项，重启。

6、查看“svchost”进程。

svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个，而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。

7、查看网络连接。主要是网卡。

8、查看网络连接

当安装了Windows XP的计算机做服务器的时候，收到端口 445 上的连接请求时，它将分配内存和少量地调配 CPU资源来为这些连接提供服务。当负荷过重的时候，CPU占用率可能过高，这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确，服务器的响应能力可能会受到影响，或者某个用户独占太多系统资源。

要解决此问题，我们可以通过修改注册表来解决:在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver ]分支，在右侧窗口中新建一个名为“maxworkitems”的DWORD值。然后双击该值，在打开的窗口中键入下列数值并保存退出:

如果计算机有512MB以上的内存，键入“1024”；如果计算机内存小于512 MB，键入“256”。

9、看看是不是Windows XP使用鼠标右键引起CPU占用100%

前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用，我们来看看是怎么回事？

征兆:

在资源管理器里面，当你右键点击一个目录或一个文件，你将有可能出现下面所列问题:

任何文件的拷贝操作在那个时间将有可能停止相应

网络连接速度将显著性的降低

所有的流输入/输出操作例如使用Windows Media Player听音乐将有可能是音乐失真成因:

当你在资源管理器里面右键点击一个文件或目录的时候，当快捷菜单显示的时候，CPU占用率将增加到100%，当你关闭快捷菜单的时候才返回正常水平。

解决方法:

方法一:关闭“为菜单和工具提示使用过渡效果”

1、点击“开始”--“控制面板”

2、在“控制面板”里面双击“显示”

3、在“显示”属性里面点击“外观”标签页

4、在“外观”标签页里面点击“效果”

5、在“效果”对话框里面，清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次“确定”按钮。

方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。

CPU占用100%解决办法

一般情况下CPU占了100%的话我们的电脑总会慢下来，而很多时候我们是可以通过做一点点的改动就可以解决，而不必问那些大虾了。

当机器慢下来的时候，首先我们想到的当然是任务管理器了，看看到底是哪个程序占了较搞的比例，如果是某个大程序那还可以原谅，在关闭该程序后只要CPU正常了那就没问题；如果不是，那你就要看看是什幺程序了，当你查不出这个进程是什幺的时候就去google或者baidu搜。有时只结束是没用的，在xp下我们可以结合msconfig里的启动项，把一些不用的项给关掉。在2000下可以去下个winpatrol来用。

一些常用的软件，比如浏览器占用了很搞的CPU，那幺就要升级该软件或者干脆用别的同类软件代替，有时软件和系统会有点不兼容，当然我们可以试下xp系统下给我们的那个兼容项，右键点该.exe文件选兼容性。

svchost.exe有时是比较头痛的，当你看到你的某个svchost.exe占用很大CPU时你可以去下个aports或者fport来检查其对应的程序路径，也就是什幺东西在掉用这个svchost.exe，如果不是c:\Windows\system32(xp)或c:\winnt\system32(2000)下的，那就可疑。升级杀毒软件杀毒吧。

右击文件导致100%的CPU占用我们也会遇到，有时点右键停顿可能就是这个问题了。官方的解释:先点左键选中，再右键(不是很理解)。非官方:通过在桌面点右键-属性-外观-效果，取消”为菜单和工具提示使用下列过度效果(U)“来解决。还有某些杀毒软件对文件的监控也会有所影响，可以关闭杀毒软件的文件监控；还有就是对网页，插件，邮件的监控也是同样的道理。

一些驱动程序有时也可能出现这样的现象，最好是选择微软认证的或者是官方发布的驱动来装，有时可以适当的升级驱动，不过记得最新的不是最好的。

CPU降温软件，由于软件在运行时会利用所以的CPU空闲时间来进行降温，但Windows不能分辨普通的CPU占用和降温软件的降温指令之间的区别，因此CPU始终显示100%，这个就不必担心了，不影响正常的系统运行。

在处理较大的word文件时由于word的拼写和语法检查会使得CPU累，只要打开word的工具-选项-拼写和语法把”检查拼写和检查语法“勾去掉。

单击avi视频文件后CPU占用率高是因为系统要先扫描该文件，并检查文件所有部分，并建立索引；解决办法:右击保存视频文件的文件夹-属性-常规-高级，去掉为了快速搜索，允许索引服务编制该文件夹的索引的勾。

CPU占用100%案例分析

1、dllhost进程造成CPU使用率占用100%

特征:服务器正常CPU消耗应该在75%以下，而且CPU消耗应该是上下起伏的，出现这种问题的服务器，CPU会突然一直处100%的水平，而且不会下降。查看任务管理器，可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间，管理员在这种情况下，只好重新启动IIS服务，奇怪的是，重新启动IIS服务后一切正常，但可能过了一段时间后，问题又再次出现了。

直接原因:

有一个或多个ACCESS数据库在多次读写过程中损坏，微软的MDAC系统在写入这个损坏的ACCESS文件时，ASP线程处于BLOCK状态，结果其它线程只能等待，IIS被死锁了，全部的CPU时间都消耗在DLLHOST中。

解决办法:

安装“一流信息监控拦截系统”，使用其中的“首席文件检查官IIS健康检查官”软件，

启用”查找死锁模块”，设置:

--wblock=yes

监控的目录，请指定您的主机的文件所在目录:

--wblockdir=d:\test

监控生成的日志的文件保存位置在安装目录的log目录中，文件名为:logblock.htm

停止IIS，再启动“首席文件检查官IIS健康检查官”，再启动IIS，“首席文件检查官IIS健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的。

过了一段时间后，当问题出来时，例如CPU会再次一直处100%的水平，可以停止IIS，检查logblock.htm所记录的最后的十个文件，注意，最有问题的往往是计数器类的ACCESS文件，例如:”**COUNT.MDB”，”**COUNT.ASP”，可以先把最后十个文件或有所怀疑的文件删除到回收站中，再启动IIS，看看问题是否再次出现。我们相信，经过仔细的查找后，您肯定可以找到这个让您操心了一段时间的文件的。

找到这个文件后，可以删除它，或下载下来，用ACCESS2000修复它，问题就解决了。

2、svchost.exe造成CPU使用率占用100%

在win.ini文件中，在[Windows]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什幺都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那幺后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒，与早先在西方英文系统下流行“红色代码”病毒有点相反，在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞，通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。

当感染一台服务器成功了以后，如果受感染的机器是中文的系统后，该程序会休眠2天，别的机器休眠1天。当休眠的时间到了以后，该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年，如果是，受感染的服务器也会重新启动。当Windows NT系统启动时，NT系统会自动搜索C盘根目录下的文件explorer.exe，受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件的大小是8192字节，VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时，VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录，给黑客的入侵敞开了大门。它还会修改系统的注册表项目，通过该注册表项目的修改，该蠕虫程序可以建立虚拟的目录C或者D，病毒名由此而来。值得一提的是，该网络蠕虫程序除了文件explorer.exe外，其余的操作不是基于文件的，而是直接在内存中来进行感染、传播的，这就给捕捉带来了较大难度。

”程序的文件名，再在整个注册表中搜索即可。

我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。

其实svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个，而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。

svchost.exe到底是做什幺用的呢?

首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多，为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢?

svchost.exe的工作就是作为这些服务的宿主，即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。

svchost.exe是病毒这种说法是任何产生的呢?

因为svchost.exe可以作为服务的宿主来启动服务，所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。

如何才能辨别哪些是正常的svchost.exe进程，而哪些是病毒进程呢?

svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”，如图1所示。图1中每个键值表示一个独立的svchost.exe组。

微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd，然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染，svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话，那很可能就是中毒了。

还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。

3、Services.exe造成CPU使用率占用100%

症状

在基于 Windows 2000 的计算机上，Services.exe 中的 CPU 使用率可能间歇性地达到100 %，并且计算机可能停止响应(挂起)。出现此问题时，连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式，则会出现此症状。

解决方案

Service Pack 信息

要解决此问题，请获取最新的 Microsoft Windows 2000 Service Pack。有关其它信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章:

260910 如何获取最新的 Windows 2000 Service Pack

修复程序信息

Microsoft 提供了受支持的修补程序，但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因此，如果这个问题没有对您造成严重的影响，Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。

要立即解决此问题，请与“Microsoft 产品支持服务”联系，以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表，请访问 Microsoft Web 站点:

注意 :特殊情况下，如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题，可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其它支持问题和事项，将正常收取支持费用。

下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时，它将转换为本地时间。要了解 UTC 与本地时间之间的时差，请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡。

状态

Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。

4、正常软件造成CPU使用率占用100%

首先，如果是从开机后就发生上述情况直到关机。那幺就有可能是由某个随系统同时登陆的软件造成的。可以通过运行输入“msconfig”打开“系统实用配置工具”，进入“启动”选项卡。接着，依次取消可疑选项前面的对钩，然后重新启动电脑。反复测试直到找到造成故障的软件。或者可以通过一些优化软件如“优化大师”达到上述目的。另:如果键盘内按键卡住也可能造成开机就出现上述问题。

如果是使用电脑途中出项这类问题，可以调出任务管理器(WINXP CTRL+ALT+DEL WIN2000 CTRL+SHIFT“ESC)，进入”进程“选项卡，看”CPU“栏，从里面找到占用资源较高的程序(其中SYSTEM IDLE PROCESS是属于正常，它的值一般都很高，它的作用是告诉当前你可用的CPU资源是多少，所以它的值越高越好)通过搜索功能找到这个进程属于哪个软件。然后，可以通过升级、关闭、卸载这个软件或者干脆找个同类软件替换，问题即可得到解决。

5、病毒、木马、间谍软件造成CPU使用率占用100%

出现CPU占用率100% 的故障经常是因为病毒木马造成的，比如震荡波病毒。应该首先更新病毒库，对电脑进行全机扫描 。接着，在使用反间谍软件Ad—Aware，检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%，这个往往是中毒的表现。

svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的，其中一些会把可执行程序指向svchost.exe，由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性，使它更容易成为了一些病毒木马的宿主。

6、explorer.exe进程造成CPU使用率占用100%

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那幺后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的

Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

7、超线程导致CPU使用率占用100%

这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。我查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突，可以通过卸载天网并安装其它防火墙解决，也可以通过在BIOS中关闭超线程功能解决。

8、AVI视频文件造成CPU使用率占用100%

在Windows XP中，单击一个较大的AVI视频文件后，可能会出现系统假死现象，并且造成exploere.exe进程的使用率100%，这是因为系统要先扫描该文件，并检查文件所有部分，建立索引。如果文件较大就会需要较长时间并造成CPU占用率100%。解决方法:右键单击保存视频文件的文件夹，选择”属性—常规—高级“，去掉”为了快速搜索，允许索引服务编制该文件夹的索引“前面复选框的对钩即可。

9、杀毒软件CPU使用率占用100%

现在的杀毒软件一般都加入了，对网页、邮件、个人隐私的即时监空功能，这样无疑会加大系统的负担。比如:在玩游戏的时候，会非常缓慢。关闭该杀毒软件是解决得最直接办法。

10、处理较大的Word文件时CPU使用率过高

上述问题一般还会造成电脑假死，这些都是因为WORD的拼写和语法检查造成的，只要打开WORD的“工具—选项”，进入“拼写和语法”选项卡，将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。

11、网络连接导致CPU使用率占用100%

当你的Windows2000/xp作为服务器时，收到来自端口445上的连接请求后，系统将分配内存和少量CPU资源来为这些连接提供服务，当负荷过重，就会出现上述情况。要解决这个问题可以通过修改注册表来解决，打开注册表，找到HKEY—LOCAL—MACHNE\SYSTEM\CurrentControlSet\Services\lanmanserver，在右面新建一个名为"；maxworkitems"；的DWORD值.然后双击该值，如果你的电脑有512以上内存，就设置为"；1024"；，如果小于512，就设置为256.

一些不完善的驱动程序也可以造成CPU使用率过高

经常使用待机功能，也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅度下降，系统启动速度变慢，也会使是系统在运行一些大型软件和游戏时CPU使用率100%，产生停顿。

进程占用CPU 100%时可能中的病毒

system Idle Process

进程文件: [system process] or [system process]

进程名称: Windows内存处理系统进程

描 述: Windows页面内存管理进程，拥有0级优先。

介 绍:该进程作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。

Spoolsv.exe

进程文件: spoolsv or Spoolsv.exe

进程名称: Printer Spooler Service

描 述: Windows打印任务控制程序，用以打印机就绪。

介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。

Spoolsv.exe→打印任务控制程序，一般会先加载以供列表机打印前的准备工作

Spoolsv.exe，如果常增高，有可能是病毒感染所致

目前常见的是:

Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)

危害程度:中

受影响的系统: Windows 2000， Windows XP， Windows Server 2003

未受影响的系统: Windows 95， Windows 98， Windows Me， Windows NT， Windows 3.x， Macintosh， Unix， Linux，

病毒危害:

1. 生成病毒文件

2. 插入正常系统文件中

3. 修改系统注册表

4. 可被黑客远程控制

5. 躲避反病毒软件的查杀

简单的后门木马，发作会删除自身程序，但将自身程序套入可执行程序内(如:exe)，并与计算机的通口(TCP端口138)挂钩，监控计算机的信息、密码，甚至是键盘操作，作为回传的信息，并不时驱动端口，以等候传进的命令，由于该木马不能判别何者是正确的端口，所以负责输出的列表机也是其驱动对象，以致Spoolsv.exe的使用异常频繁......

Backdoor.Win32.Plutor

破坏方法:感染PE文件的后门程序

病毒采用VC编写。

病毒运行后有以下行为:

1、将病毒文件复制到%WINDIR%目录下，文件名为"；Spoolsv.exe"；，并该病毒文件运行。"；Spoolsv.exe"；文件运行后释放文件名为"；mscheck.exe"；的文件到%SYSDIR%目录下，该文件的主要功能是每次激活时运行"；Spoolsv.exe"；文件。如果所运行的文件是感染了正常文件的病毒文件，病毒将会把该文件恢复并将其运行。

2、修改注册表以下键值:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

增加数据项:"；Microsoft Script Checker"； 数据为:"；MSCHECK.EXE /START"；

修改该项注册表使"；MSCHECK.EXE"；文件每次系统激活时都将被运行，而"；MSCHECK.EXE"；用于运行"；Spoolsv.exe"；文件，从而达到病毒自激活的目的。

黑客常用的网络命令有哪些呀 分别是什么呀 怎么用的呀

net user heibai lovechina /add 加一个heibai的用户密码为lovechina

net localgroup Administrators heibai /add 把他加入Administrator组

net start telnet 开对方的TELNET服务

net use z:\127.0.0.1c$ 映射对方的C盘

net user guest /active:yes 将Guest用户激活

net user guest lovechina 把guest的密码改为lovechina

net user 查看所有用户列表

net user 用户名 /delete 删掉

net time \\127.0.0.1 得到对方的时间，

get c:\index.htm d:\ 上传的文件是INDEX.HTM，它位于C:\下，传到对方D:\

copy index.htm \\127.0.0.1\c$\index.htm 本地C盘下的index.htm复制到127.0.0.1的C盘

NET VIEW 显示域列表、计算机列表或指定计算机的共

计算机运行命令全集 winver---------检查Windows版本

wmimgmt.msc----打开windows管理体系结构

wupdmgr--------windows更新程序

winver---------检查Windows版本

wmimgmt.msc----打开windows管理体系结构

wupdmgr--------windows更新程序

wscript--------windows脚本宿主设置

write----------写字板winmsd-----系统信息

wiaacmgr-------扫描仪和照相机向导

winchat--------XP自带局域网聊天

mem.exe--------显示内存使用情况

Msconfig.exe---系统配置实用程序

mplayer2-------简易widnows media player

mspaint--------画图板

mstsc----------远程桌面连接

net use \\ip\ipc$ " " /user:" " 建立IPC空链接

net use \\ip\ipc$ "密码" /user:"用户名" 建立IPC非空链接

net use h: \\ip\c$ "密码" /user:"用户名" 直接登陆后映射对方C：到本地为H:

net use h: \\ip\c$ 登陆后映射对方C：到本地为H:

net use \\ip\ipc$ /del 删除IPC链接

net use h: /del 删除映射对方到本地的为H:的映射

net user 用户名 密码 /add 建立用户

net user guest /active:yes 激活guest用户

net user 查看有哪些用户

net user 帐户名 查看帐户的属性

net localgroup administrators 用户名 /add 把“用户”添加到管理员中使其具有管理员权限,注意：administrator后加s用复数

net start 查看开启了哪些服务

net start 服务名 开启服务；(如:net start telnet， net start schedule)

net stop 服务名 停止某服务

net time \\目标ip 查看对方时间

net time \\目标ip /set 设置本地计算机时间与“目标IP”主机的时间同步,加上参数/yes可取消确认信息

net view 查看本地局域网内开启了哪些共享

net view \\ip 查看对方局域网内开启了哪些共享

net config 显示系统网络设置

net logoff 断开连接的共享

net pause 服务名 暂停某服务

net send ip "文本信息" 向对方发信息

net ver 局域网内正在使用的网络连接类型和信息

net share 查看本地开启的共享

net share ipc$ 开启ipc$共享

net share ipc$ /del 删除ipc$共享

net share c$ /del 删除C：共享

net user guest 12345 用guest用户登陆后用将密码改为12345

net password 密码 更改系统登陆密码

netstat -a 查看开启了哪些端口,常用netstat -an

netstat -n 查看端口的网络连接情况，常用netstat -an

netstat -v 查看正在进行的工作

netstat -p 协议名 例：netstat -p tcq/ip 查看某协议使用情况（查看tcp/ip协议使用情况）

netstat -s 查看正在使用的所有协议使用情况

nbtstat -A ip 对方136到139其中一个端口开了的话，就可查看对方最近登陆的用户名（03前的为用户名）-注意：参数-A要大写

tracert -参数 ip(或计算机名) 跟踪路由（数据包），参数：“-w数字”用于设置超时间隔。

ping ip(或域名) 向对方主机发送默认大小为32字节的数据，参数：“-l[空格]数据包大小”；“-n发送数据次数”；“-t”指一直ping。

ping -t -l 65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)

ipconfig (winipcfg) 用于windows NT及XP(windows 95 98)查看本地ip地址，ipconfig可用参数“/all”显示全部配置信息

tlist -t 以树行列表显示进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)

kill -F 进程名 加-F参数后强制结束某进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)

del -F 文件名 加-F参数后就可删除只读文件,/AR、/AH、/AS、/AA分别表示删除只读、隐藏、系统、存档文件，/A-R、/A-H、/A-S、/A-A表示删除除只读、隐藏、系统、存档以外的文件。例如“DEL/AR *.*”表示删除当前目录下所有只读文件，“DEL/A-S *.*”表示删除当前目录下除系统文件以外的所有文件

mplayer2-------媒体播放机

magnify--------放大镜实用程序

mmc------------打开控制台

mobsync--------同步命令

dxdiag---------检查DirectX信息

drwtsn32------ 系统医生

devmgmt.msc--- 设备管理器

dfrg.msc-------磁盘碎片整理程序

diskmgmt.msc---磁盘管理实用程序

dcomcnfg-------打开系统组件服务

ddeshare-------打开DDE共享设置

dvdplay--------DVD播放器

net stop messenger-----停止信使服务

net start messenger----开始信使服务

notepad--------打开记事本

nslookup-------网络管理的工具向导

ntbackup-------系统备份和还原

narrator-------屏幕"讲述人"

ntmsmgr.msc----移动存储管理器

ntmsoprq.msc---移动存储管理员操作请求

netstat -an----(TC)命令检查接口

syncapp--------创建一个公文包

sysedit--------系统配置编辑器

sigverif-------文件签名验证程序

sndrec32-------录音机

shrpubw--------创建共享文件夹

secpol.msc-----本地安全策略

syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码

services.msc---本地服务设置

Sndvol32-------音量控制程序

sfc.exe--------系统文件检查器

sfc /scannow---windows文件保护

Nslookup-------60秒倒计时关机命令

tourstart------xp简介（安装完成后出现的漫游xp程序）

taskmgr--------任务管理器

eventvwr-------事件查看器

eudcedit-------造字程序

explorer-------打开资源管理器

packager-------对象包装程序

perfmon.msc----计算机性能监测程序

progman--------程序管理器

regedit.exe----注册表

rsop.msc-------组策略结果集

regedt32-------注册表编辑器

rononce -p ----15秒关机

regsvr32 /u *.dll----停止dll文件运行

regsvr32 /u zipfldr.dll------取消ZIP支持

cmd.exe--------CMD命令提示符

chkdsk.exe-----Chkdsk磁盘检查

certmgr.msc----证书管理实用程序

calc-----------启动计算器

charmap--------启动字符映射表

cliconfg-------SQL SERVER 客户端网络实用程序

Clipbrd--------剪贴板查看器

conf-----------启动netmeeting

compmgmt.msc---计算机管理

cleanmgr-------**整理

ciadv.msc------索引服务程序

osk------------打开屏幕键盘

odbcad32-------ODBC数据源管理器

oobe/msoobe /a----检查XP是否激活

lusrmgr.msc----本机用户和组

logoff---------注销命令

iexpress-------木马捆绑工具，系统自带

Nslookup-------IP地址侦测器

fsmgmt.msc-----共享文件夹管理器

utilman--------辅助工具管理器

gpedit.msc-----组策略

黑客网络游戏进不去

从百度上下载Gamesys_V1.1-Gamersky（游戏环境包），这个程序包完整，包含很多包，此包安装之后，90%的大型游戏都可以运行。

下载前请关闭杀毒软件避免意外误杀，安装时可以修改盘符，但不要修改安装路径，游戏路径中更不要出现中文，安装游戏时也是同理。

如果安装游戏环境包后还无法正常开启游戏，请参照上条方案重新安装一下游戏。