系统粉 > 系统教程 > Xp系统教程

如何恢复被破坏的"WindowsXP"系统文件

发布时间:2015-04-16 18:23:52    浏览数:

 

如何恢复被破坏的"WindowsXP"系统文件
 
如果Windows XP的系统文件被病毒或其它原因破坏了,我们可以从Windows XP的安装盘中恢复那些被破坏的文件。
  具体方法:
  在Windows XP的安装盘中搜索被破坏的文件,需要注意的是,文件名的最后一个字符用底线“_”代替,例如:如果要搜索“Notepad.exe”则需要用“Notepad.ex_”来进行搜索。  
  搜索需要的文件
  搜索到了之后,打开命令行模式(运行中输入“cmd”),然后输入:“EXPAND 源文件的完整路径目标文件的完整路径。例如: EXPAND D:\SETUP\NOTEPAD.EX_ C:\Windows\NOTEPAD.EXE。有一点需要注意的是,如果路径中有空格的话,那么需要把路径用双引号(英文引号)包括起来。
  找到当然是最好的,但有时我们在Windows XP盘中搜索的时候找不到我们需要的文件。产生这种情况的一个原因是要找的文件是在“CAB”文件中。由于Windows XP“CAB”当作一个文件夹,所以对于Windows XP系统来说,只需要把“CAB”文件右拖然后复制到相应目录即可。
  如果使用的是其他Windows平台,搜索到包含目标文件名的“CAB”文件。然后打开命令行模式,输入:“EXTRACT /L 目标位置 CAB文件的完整路径,例如: EXTRACT /L C:\Windows D:\I386\Driver.cab Notepad.exe。同前面一样,如同路径中有空格的话,则需要用双引号把路径包括起来。
Word存在严重漏洞 影响大部分Windows用户
2008-3-27
在上周五的公告板上,微软承认了有数量有限且非常具针对性的攻击利用了微软Jet数据库引擎中的一个bugJet数据库引擎是Windows其中一个组件,主要作用是向包括微软AccessVisual Basic等应用程序提供数据访问。
  微软公司本周日对外警告称,Word程序中的一个严重漏洞影响到所有使用Windows 2000XPServer 2003 SP1的用户。几星期前,一家安全企业最先报道了这个漏洞,之后一天,第二家厂商确认出现了利用此漏洞的攻击。
·                                  
  在上周五的公告板上,微软承认了有数量有限且非常具针对性的攻击利用了微软Jet数据库引擎中的一个bugJet数据库引擎是Windows其中一个组件,主要作用是向包括微软AccessVisual Basic等应用程序提供数据访问。
  不过,根据赛门铁克(Symantec)公司的报道,微软所描述的攻击行为实际上利用一些恶意的Word 2000200220032007文档来调用存在漏洞的Jet.dll文件。
我们相信,微软所描述的问题与2008320Elia Florio所撰写的Symantec Security Response中提及的属同一个问题,这家安全企业在周六这样对客户说。在报告中,他指出,Panda Security近期发现有人正利用此漏洞发动零日攻击
 
轻松学会DOS下杀毒
2008-2-27
如果你不会DOS,用了很久的kv还没有看到过它的DOS杀毒界面,那么下面的文字可以帮上你的忙,学会DOS杀毒,这只要三分钟的时间,就这么简单!简单概念:DOS,DISK OPERATE SYSTEM的缩写,全名叫磁盘操作系统。
第一步:进得去出得来
进入DOS:有两个办法:1.点【开始】、【关闭系统】、选【重新启动系统并切换到MS-DOS方式】2.启动计算机的时候按住Ctrl键不放,等选择界面出来后,按键盘上的上下方向键,选Command Prompt only,回车。说明:如果你用的是win2000win xp,要先进入win98才行。
最好的办法,就是在系统干净的时候,做一张DOS启动盘,用它启动系统,可以保证你杀毒的完美效果!也就是说,利用硬盘启动的时候,切入DOS操作系统(比上面:等选择界面出来后,按键盘上的上下方向键,选Command Prompt only,回车。)要有效地多!
退出DOS:刚才我们进入了DOS,你看到的可能是c:\WINDOWS> ,它的意思是你现在的位置在c盘的WINDOWS目录下(如果你用上面第二个方法进入dos,你看到的会是c:\>),现在在它后面紧跟着输入个命令win,系统就会退出DOS返回到你熟悉的windows界面。注意,当你输入了win后可能看到电脑没什么反应,不用着急,电脑没坏,保持耐心多等等就行了。win这个命令很好记,win就是windows是缩写。
到此你已经会进入和退出DOS了,心里有底了,恭喜!你已经成功了50%!
第二步:在dos下调出kvdos杀毒程序进行杀毒
1.
windows下,找到你kvdos杀毒程序的位置,它在你kv杀毒软件的安装目录下,kv2005dos杀毒程序的文件名叫KVDOS.exe,我们每个人安装kv的位置不一样,默认在安装在c盘,自定义安装位置每人装的不一样,比如说我安装在G盘,那么KVDOS.exe的位置就是G:\KV2005\KVDOS.exe,现在拿笔记下这个位置。
2.
用上面说的办法进入DOS,在光标提示符号下输入刚才记下的位置,回车,你会看到dos在加载kvdos杀毒程序,几秒钟之内你就可以进入kvdos杀毒界面,选择要杀毒的盘或要杀毒的文件夹、文件就可以开始杀毒了。dos下杀毒可以把毒杀得更彻底,恭喜你,现在可以在dos下杀毒了。
ping命令之解惑
 
网络工程师都会用到Ping,它是检查路由问题的有效办法。但也常听工程师抱怨:不可能,怎么会不通呢?
  这样的困惑一般发生在自认为路由设置正确的时候。举几个笔者遇到的问题,欢迎大家补充。 
最简单的三种情况:

1.
太心急。即网线刚插到交换机上就想Ping通网关,忽略了生成树的收敛时间。

当然,较新的交换机都支持快速生成树,或者有的管理员干脆把用户端口(ac cess port)的生成树协议关掉,问题就解决了。

2.访问控制。不管中间跨越了多少跳,只要有节点(包括端节点)对ICMP进行了过滤,Ping不通是正常的。最常见的就是防火墙的行为。
3.某些路由器端口是不允许用户Ping的。还遇到过这样的情形,更为隐蔽。
  1.网络因设备间的时延太大,造成ICMP echo报文无法在缺省时间(2秒)内收到。
时延的原因有若干,比如线路(卫星网时延上下星为540毫秒),路由器处理时延,或路由设计不合理造成迂回路径。使用扩展Ping,增加timed out时间,可Ping通的话就属路由时延太大问题。
  2.引入NAT的场合会造成单向Ping通。NAT可以起到隐蔽内部地址的作用,当由内Ping外时,可以Ping通是因为NAT表的映射关系存在,当由外发起Ping内网主机时,就无从查找边界路由器的NAT表项了。
  3.多路由负载均衡场合。比如Ping远端目的主机,成功的replytimed out交错出现,结果发现在网关路由器上存在两条到目的网段的路由,两条路由权重相等,但经查一条路由存在问题。
  4.IP地址分配不连续。地址规划出现问题象是在网络中埋了地雷,地址重叠或掩码划分不连续都可能在Ping时出现问题。
比如一个极端情况,AB两台主机,经过多跳相连,APingB的网关,而且B的网关设置正确,但AB就是Ping不通。经查,在B的网卡上还设有第二个地址,并且这个地址与A所在的网段重叠。
  5.指定源地址的扩展Ping。登陆到路由器上,Ping远程主机,当ICMP echo request从串行广域网接口发出去的时候,路由器会指定某个IP地址作为源IP,这个IP地址可能不是此接口的IP或这个接口根本没有IP地址。
而某个下游路由器可能并没有到这个IP网段的路由,导致不能Ping通。可以采用扩展Ping,指定好源IP地址。
  当主机网关和中间路由的配置认为正确时,出现Ping问题也是很普遍的现象。此时应该忘掉"不可能"几个字,把Ping的扩展参数和反馈信息、traceroute、路由器debug、以及端口镜像和Sniffer等工具结合起来进行分析。
  比如,当AB两台主机经过多跳路由器相连时,二者网关设置正确,在A上可以PingB,但在B上不能PingA
可以通过在交换机做镜像,并用Sniffer抓包,来找出ICMP 报文终止于何处,报文内容是什么,就可以发现ICMP报文中的源IP地址并非预期的那样,此时很容易想象出可能是路由器的NAT功能使然,这样就能够逐步地发现一些被忽视的问题。
Ping不通时的反馈信息是"destination_net_unreachable"还是"timed out"也是有区别的。
 
从零开始自检系统漏洞
 
近来黑客攻击事件频频发生,我们身边的朋友也不断有QQE-mail和游戏账号被盗事件发生。现在的黑客技术有朝着大众化方向发展的趋势,能够掌握攻击他人系统技术的人越来越多了,只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序,就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢
   
一、要命的端口 
        计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控制我们的电脑,也要从某些端口连接进来。某日笔者查看了一位朋友的系统,吃惊地发现开放了13944533894899等重要端口,要知道这些端口都可以为黑客入侵提供便利,尤其是4899,可能是入侵者安装的后门工具Radmin打开的,他可以通过这个端口取得系统的完全控制权。 
        Windows 98下,通过开始选取运行,然后输入“command”(Windows 2000/XP/2003下在运行中输入“cmd”),进入命令提示窗口,然后输入netstat/an,就可以看到本机端口开放和网络连接情况。 
        那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序,因此只要我们停止该服务或者卸载该程序,这些端口就自动关闭了。例如可以在我的电脑控制面板计算机管理服务中停止Radmin服务,就可以关闭4899端口了。 
        如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用,我们也可以利用防火墙来屏蔽端口。以天网个人防火墙关闭4899端口为例。打开天网自定义IP规则界面,点击增加规则添加一条新的规则,在数据包方向中选择接受,在对方IP地址中选择任何地址,在TCP选项卡的本地端口中填写从48990,对方端口填写从00,在当满足上面条件时中选择拦截,这样就可以关闭4899端口了。其他的端口关闭方法可以此类推。 
    二、敌人的进程” 
        Windows 2000下,可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;但在Windows 98下按“Ctrl+Alt+del”键只能看到部分应用程序,有些服务级的进程却被隐藏因而无法看到了,不过通过系统自带的工具msinfo32还是可以看到的。在开始运行里输入msinfo32,打开“Microsoft 系统信息界面,在软件环境正在运行任务下可以看到本机的进程。但是在Windows 98下要想终止进程,还是得通过第三方的工具。很多系统优化软件都带有查看和关闭进程的工具,如春光系统修改器等。 
        但目前很多木马进程都会伪装系统进程,新手朋友很难分辨其真伪,所以这里推荐一款强大的杀木马工具──“木马克星,它可以查杀8000多种国际木马,1000多种密码偷窃木马,功能十分强大,实在是安全上网的必备工具
    三、小心,远程管理软件有大麻烦 
        现在很多人都喜欢在自己的机器上安装远程管理软件,如PcanywhereRadminVNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题,一旦入侵者通过某种途径得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。
  
Radmin则主要是空口令问题,因为Radmin默认为空口令,所以大多数人安装了Radmin之后,都忽略了口令安全设置,因此,任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器,并做一切他想做的事情。 
 Windows系统自带的远程桌面也会给黑客入侵提供方便的大门,当然是在他通过一定的手段拿到了一个可以访问的账号之后。 
        可以说几乎每种远程管理软件都有它的问题,如本报43G12版介绍的强大的远程管理软件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在着缓冲区溢出漏洞,黑客可以利用这个漏洞在系统上执行任意指令。所以,要安全地远程使用它就要进行IP限制。这里以Windows 2000远程桌面为例,谈谈6129端口(DameWare Mini Remote Control使用的端口)IP限制:打开天网自定义IP规则界面,点击增加规则添加一条新的规则。在数据包方向中选择接受,在对方IP地址中选择指定地址,然后填写你的IP地址,在TCP选项卡的本地端口中填写从61290,对方端口填写从00,在当满足上面条件时中选择通行,这样一来除了你指定的那个IP(这里假定为192.168.1.70)之外,别人都连接不到你的电脑上了。 
        安装最新版的远程控制软件也有利于提高安全性,比如最新版的Pcanywhere的密码文件采用了较强的加密方案。 
    四、专业人士帮你免费检测 

       
很多安全站点都提供了在线检测,可以帮助我们发现系统的问题,如天网安全在线推出的在线安全检测系统──天网医生,它能够检测你的计算机存在的一些安全隐患,并且根据检测结果判断你系统的级别,引导你进一步解决你系统中可能存在的安全隐患。 
        天网医生可以提供木马检测、系统安全性检测、端口扫描检测、信息泄漏检测等四个安全检测项目,可能得出四种结果:极度危险、中等危险、相当安全和超时或有防火墙。其他知名的在线安全检测站点还有千禧在线以及蓝盾在线检测.另外,IE的安全性也是非常重要的,一不小心就有可能中了恶意代码、网页木马的招儿,http://bcheck.scanit.be/bcheck/就是一个专门检测IE是否存在安全漏洞的站点,大家可以根据提示操作。 
    五、自己扫描自己 
        天网医生主要针对网络新手,而且是远程检测,速度比不上本地,所以如果你有一定的基础,最好使用安全检测工具(漏洞扫描工具)手工检测系统漏洞。 
        我们知道,黑客在入侵他人系统之前,常常用自动化工具对目标机器进行扫描,我们也可以借鉴这个思路,在另一台电脑上用漏洞扫描器对自己的机子进行检测。功能强大且容易上手的国产扫描器首推X-Scan,当然小蓉流光也很不错。 
 
X-Scan为例,它有开放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多个扫描选项,更为重要的是列出系统漏洞之外,它还给出了十分详尽的解决方案,我们只需要按方抓药即可。 
        例如,用X-Scan对隔壁某台计算机进行完全扫描之后,发现如下漏洞
            [192.168.1.70]: 端口135开放: Location Service 
            [192.168.1.70]: 端口139开放: NET BIOS Session Service 
            [192.168.1.70]: 端口445开放: Mi crosoft-DS 
            [192.168.1.70]: 发现 NT-Server弱口令: user/[空口令
            [192.168.1.70]: 发现 “NetBios信息” 
        从其中我们可以发现,Windows 2000弱口令的问题,这是个很严重的漏洞。NetBios信息暴露也给黑客的进一步进攻提供了方便,解决办法是给User账号设置一个复杂的密码,并在天网防火墙中关闭135139端口。 
    六、别小瞧Windows Update 
        微软通常会在病毒和攻击工具泛滥之前开发出相应的补丁工具,只要点击开始菜单中的Windows Update,就到了微软的Windows Update网站,在这里下载最新的补丁程序。所以每周访问Windows Update网站及时更新系统一次,基本上就能把黑客和病毒拒之门外。
检查电脑是否被安装木马三个小命令
 
检查电脑是否被安装木马三个小命令
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)local address(本地连接地址)foreign address(和本地建立连接的地址)state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
三、轻松检查账户
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名查看这个用户是属于什么权限的,一般除了Administratoradministrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!
联网状态下的客户端。对于没有联网的客户端,当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程,也使用户的计算机时刻处于最佳的保护环境之下。
 
网络中断、丢包现象的分析归纳
 
关于这类的问题,很多朋友经常遇到,正好前段时间,这边的网络也有过类似情况,经过排查,发现是流量过大引起的。这里我把遇到这类问题时的排查方案简单归纳一下。
  1、病毒问题;
  2、流量过大;
  3、核心设备;
  4、线路故障。
  1、病毒问题;
  这个问题很不好说,具体情况具体对待。一般可以优先考虑ARP病毒。至于ARP病毒的查杀工具,我的网盘中有提供。
  2、流量过大;
  流量过大也会引起网络中断,核心设备忙于处理某两点或几点之间的通信,而顾不上其他一些通信数据。具体情况,可以使用sniffer接到各个VLAN中查看流量,然后把最终统计结果拿出来看看,建议找出流量最高的前三名。如果流量太过离谱,封了他的端口吧,不用给我面子。
  3、核心设备;
  对于核心设备,用一些常用命令来收集一下目前的工作情况。例如:
  (1)、适用于C8540
  show environment 设备温度
  show processes cpu 查看CPU利用率
  show logging 查看设备日志
  show diag power-on 查看各板卡加电情况
  show diag online 检测板卡工作状态
  (2)、适用于思科6506
  show environment status all 设备温度
  show processes cpu 查看CPU利用率
  show logging 查看设备日志
  show module 查看各板卡工作状态
  (3)、适用于思科6006
  show environment all 设备温度
  show processes cpu 查看CPU利用率
  show logging 查看设备日志<
上一篇:该如何把Win7/Vista/XP切换IP地址的批处理脚本 下一篇:XP系统如何设置局域网及共享

Xp相关教程