pe 结束进程命令(dos结束进程命令)

摘要 你好 在桌面上，鼠标右击“我的电脑”——“管理”——“磁盘管理”，可以看到PE已经认出了移动硬盘(磁盘1)，只是没有给它分配盘符而已。在移动硬盘(磁盘1)的某个分区上(若有2个及其以上分区)鼠标右击——“更改驱动器名和路径”——“添加”——“确定”，给它分配一个盘符。这样如果在“我的电脑”或“资源管理器”里还是找不到移动硬盘的盘符，按下键盘上的Ctrl+Alt+Del，调出Windows任务管理器，在“进程”里选中EXPLORER.EXE，接下来点“结束进程”！打开WinPE，同样可以看到PE已经认出了移动硬盘(磁盘1)，只是没有给它分配盘符而已。在移动硬盘(磁盘1)的某个分区上鼠标右击——“装载”——“确定”——“关闭”，就给它分配了一个盘符。去“我的电脑”或“资源管理器”里看看，就OK了！

命令格式：ntsd -c q -p pid 命令范例： ntsd -c q -p 4 （结束System进程。当然，System进程是杀不掉的）范例详解：System的pid为4，但是如何获取进程的pid呢？在CMD下输入TASKLIST就可以获取当前任务管理器所有进程的PID。或者打开任务管理器，在菜单栏，选择“查看”—“选择列”，在打开的选择项窗口中将“PID（进程标识符）”项选择钩上，这样任务管理器的进程中就会多出PID一项了。（PID的分配并不固定，是在进程启动是由系统随机分配的，所以进程每次启动的进程一般都不会一样。）可使用以下批处理：=================================================rem 复制以下内容到记事本,另存为pid.bat@echo offmode con cols=30 lines=5color 1eecho.set /p t=请输入进程名:tasklist /fo csv>2.txtfind "%t%" 2.txt>1.txtfor /f "delims=, tokens=2" %%i in (1.txt) do set a=%%intsd -c q -p %a%echo PID NAMEecho ============echo %a% %T%del 1.txtdel 2.txtpause >nulexit================================================= 利用进程名结束进程 命令格式：ntsd -c q -pn ***.exe （***.exe 为进程名,exe不能省）命令范例：ntsd -c q -pn explorer.exe另外的能结束进程的DOS命令还有taskkill和tskill命令：命令格式： taskkill /pid 1234 /f （ 也可以达到同样的效果。）[编辑本段]Ntsd详解有一些高等级的进程,tskill和taskkill或许无法结束,那么我们还有一个更强大的工具,那就是系统debug级的ntsd.准确的说,ntsd是一个系统调试工具,只提供给系统开发级的管理员使用,但是对我们杀掉进程还是很爽的.基本上除了WINDOWS系统自己的管理进程,ntsd都可以杀掉。NTSD 调试程序在启动时要求用户指定一个要连接的进程。使用 TLIST 或 PVIEWER，您可以获得某个现有进程的进程 ID，然后键入 NTSD -p pid 来调试这个进程。NTSD 命令行使用如下的句法：NTSD [options] imagefile其中，imagefile 是要调试的映像名称。用法usage: ntsd [-?] [-2] [-d] [-g] [-G] [-myob] [-lines] [-n] [-o] [-s] [-v] [-w][-r BreakErrorLevel] [-t PrintErrorLevel][-hd] [-pd] [-pe] [-pt #] [-pv] [-x | -x{e|d|n|i} ][-- | -p pid | -pn name | command-line | -z CrashDmpFile][-zp CrashPageFile] [-premote transport] [-robp][-aDllName] [-c "command"] [-i ImagePath] [-y SymbolsPath][-clines #] [-srcpath SourcePath] [-QR \machine] [-wake ][-remote transport:server=name,portid] [-server transport:portid][-ses] [-sfce] [-sicv] [-snul] [-noio] [-failinc] [-noshell]where: -? displays this help textcommand-line is the command to run under the debugger-- is the same as -G -g -o -p -1 -d -pd-aDllName sets the default extension DLL-c executes the following debugger command-clines number of lines of output history retrieved by a remote client-failinc causes incomplete symbol and module loads to fail-d sends all debugger output to kernel debugger via DbgPrint-d cannot be used with debugger remoting-d can only be used when the kernel debugger is enabled-g ignores initial breakpoint in debuggee-G ignores final breakpoint at process termination-hd specifies that the debug heap should not be usedfor created processes. This only works on Windows Whistler.-o debugs all processes launched by debuggee-p pid specifies the decimal process Id to attach to-pd specifies that the debugger should automatically detach-pe specifies that any attach should be to an existing debug port-pn name specifies the name of the process to attach to-pt # specifies the interrupt timeout-pv specifies that any attach should be noninvasive-r specifies the (0-3) error level to break on (SeeSetErrorLevel)-robp allows breakpoints to be set in read-only memory-t specifies the (0-3) error level to display (SeeSetErrorLevel)-w specifies to debug 16 bit applications in a separate VDM-x sets second-chance break on AV exceptions-x{e|d|n|i} sets the break status for the specified event-2 creates a separate console window for debuggee-i ImagePath specifies the location of the executables that generatedthe fault (see _NT_EXECUTABLE_IMAGE_PATH)-lines requests that line number information be used if present-myob ignores version mismatches in DBGHELP.DLL-n enables verbose output from symbol handler-noio disables all I/O for dedicated remoting servers-noshell disables the .shell (!!) command-QR <\machine> queries for remote servers-s disables lazy symbol loading-ses enables strict symbol loading-sfce fails critical errors encountered during file searching-sicv ignores the CV record when symbol loading-snul disables automatic symbol loading for unqualified names-srcpath specifies the source search path-v enables verbose output from debugger-wake wakes up a sleeping debugger and exits-y specifies the symbol search path (see _NT_SYMBOL_PATH)-z specifies the name of a crash dump file to debug-zp specifies the name of a page.dmp fileto use with a crash dump-remote lets you connect to a debugger session started with -servermust be the first argument if presenttransport: tcp | npipe | ssl | spipe | 1394 | comname: machine name on which the debug server was createdportid: id of the port the debugger server was created onfor tcp use: port=for npipe use: pipe=for 1394 use: channel=for com use: port=,baud=,channel=for ssl and spipe see the documentationexample: ... -remote npipe:server=yourmachine,pipe=foobar-server creates a debugger session other people can connect tomust be the first argument if presenttransport: tcp | npipe | ssl | spipe | 1394 | comportid: id of the port remote users can connect tofor tcp use: port=for npipe use: pipe=for 1394 use: channel=for com use: port=,baud=,channel=for ssl and spipe see the documentationexample: ... -server npipe:pipe=foobar-premote transport specifies the process server to connect totransport arguments are given as with remotingEnvironment Variables:_NT_SYMBOL_PATH=[Drive:][Path]Specify symbol image path._NT_ALT_SYMBOL_PATH=[Drive:][Path]Specify an alternate symbol image path._NT_DEBUGGER_EXTENSION_PATH=[Drive:][Path]Specify a path which should be searched first for extensions dlls_NT_EXECUTABLE_IMAGE_PATH=[Drive:][Path]Specify executable image path._NT_SOURCE_PATH=[Drive:][Path]Specify source file path._NT_DEBUG_LOG_FILE_OPEN=filenameIf specified, all output will be written to this file from offset 0._NT_DEBUG_LOG_FILE_APPEND=filenameIf specified, all output will be APPENDed to this file._NT_DEBUG_HISTORY_SIZE=sizeSpecifies the size of a server's output history in kilobytesControl Keys: Quit debugger Break into Target Force a break into debuggee (same as Ctrl-C) Debug Current debugger Toggle Verbose mode Print version informationntsd: exiting - press enter ---选项option：-2打开一个用于调试字符模式的应用程序的新窗口-d将输出重定向到调试终端-g 使执行自动通过第一个断点-G使 NTSD 在子程序终止时立即退出o启用多个进程的调试，默认值为由调试程序衍生的一个进程-p指定调试由进程 ID 标识的进程-v产生详细的输出。例如，假设 inetinfo.exe 的进程 ID 为 104。键入命令“NTSD -p 104”将 NTSD 调试程序连接到 inetinfo 进程 (IIS)。也可使用 NTSD 启动一个新进程来进行调试。例如，NTSD notepad.exe 将启动一个新的 notepad.exe 进程，并与它建立连接。一旦连接到某个进程，您就可以用各种命令来查看堆栈、设置断点、转储内存，等等。命令含义~显示所有线程的一个列表KB 显示当前线程的堆栈轨迹~*KB显示所有线程的堆栈轨迹R显示当前帧的寄存器输出U反汇编代码并显示过程名和偏移量D[type][< range>]转储内存BP设置断点BC[]清除一个或多个断点BD[]禁用一个或多个断点BE[< bp>]启用一个或多个断点BL[]列出一个或多个断点。个人意见,有一个非常重要的参数就是-v参数,我们可以通过它发现一个进程下面挂接了哪些连接库文件。有很多病毒,木马,或者恶意软件,都喜欢把自己做成动态库,然后注册到系统正常程序的加载库列表中,达到隐藏自己的目的.首先我们需要设置一下ntsd的输出重定向,最好是重定向到一个文本文件,方便我们分析研究.c:>set _NT_DEBUG_LOG_FILE_APPEND=c:pdw.txt注意,虽然输出重定向了,但是我们的输出依然会继续显示在屏幕上,而且会进入到debug模式,我们使用-c q参数,就可以避免这个问题.c:>ntsd -c q -v notepad.exe现在我们的pdw.txt文件中,就可以看见notepad.exe文件的调试信息.可以知道,ntsd的软件终止能力是很好很强大的,一些taskkill都无法终止的软件(如Student.exe这一类或木马)可以用ntsd轻易终止但是它仍有缺点，因为技术在不断更新，在对付最新的有很强防护的病毒等程序时 ，仍建议使用IceSword等专业工具。可以试一下ntsd拿360，IceSword，nod32等杀软程序毫无办法。

禁鸡！检查隐藏的“肉鸡”——4招查出隐藏在电脑中的木马 天涯 (2007年5月14日 第19期) 木马在互联网上肆虐，我们一不小心就会成为黑客手中的肉鸡。到时自己的电脑成为被黑客控制的傀儡，而且自己的个人隐私也完全暴露。拒绝黑客控制，我的电脑我做主。在五一节后这一黑客大肆捕获肉鸡的时段开始了，我们针对木马特点，用4招自检避免成为黑客肉鸡。小知识：肉鸡实际上就是中了黑客的木马，或者被安装了后门程序的电脑。黑客可以像计算机管理员一样对肉鸡进行所有操作。现在许多人把有WEBSHELL权限的远程主机也叫做肉鸡。第一招：系统进程辨真伪当前流行的木马，为了更好地对自身加以隐藏，使用了很多方法进行自身隐蔽，其中最常见的就是进程隐藏。这种方法不仅让人很难通过常见的检查手法查找到，如果用户操作不当的话还可能将系统进程删除，造成系统不稳定甚至崩溃。常见的这类木马程序包括灰鸽子、守望者、上兴木马等。自检方法黑客为了对木马进行更好的伪装，常常将木马名称设置得和系统进程名称十分相似。通常系统进程都是有System用户加载的，如果我们发现某个“系统进程”是由当前用户加载的，那么这个“系统进程”一定有问题。另外我们也可以从系统进程的路径来进行分辨，比如正常的系统进程svchost.exe应该在“c:Windowssystem32”目录下，如果用户发现它的路径在其他目录下就表明该进程有问题。除此以外，现在的木马很注意对自身服务端程序的保护，我们通过“任务管理器”很可能查看不到木马的服务端进程，因为木马程序通过线程插入等技术对服务端程序进行了隐藏。在这里树树建议大家使用IceSword（下载地址：http://download.cpcw.com）对进程进行管理。它除了可以查看各种隐藏的木马后门进程，还可以非常方便地终止采用多线程保护技术的木马进程。进入IceSword点击“文件→设置”命令，去掉对话框中的“不显示状态为Deleting的进程”选项。点击程序主界面工具栏中的“进程”按钮，在右边进程列表中就可以查看到当前系统中所有的进程，隐藏的进程会以红色醒目地标记出（图1）。 图1另外，如果发现多个IE进程、Explore进程或者Lsass进程，那么我们就要留意了。因为很多木马都会伪装成这几个进程访问网络。应对方法在IceSword的进程列表中选择隐藏的木马程序，点击鼠标右键中的“强行结束”命令即可结束这个进程。然后点击IceSword的“文件”按钮，通过程序模拟的资源管理器命令，找到并删除木马程序的文件即可。]第二招：启动项中细分析一些木马程序通过系统的相关启动项目，使得相关木马文件也可以随机启动，这类木马程序包括TinyRAT、Evilotus、守望者等。检方法运行安全工具SysCheck（下载地址：http://download.cpcw.com），点击“服务管理”按钮后即可显示出当前系统中的服务信息，如果被标注为红色的就是增加的非系统服务。通过“仅显示非微软”选项就可以屏蔽系统自带的服务，这样恶意程序添加的服务项就可以立刻现形。点击“修改时间”或“创建时间”选项，就可以让用户马上查看到新建的系统服务（图2）。从图中我们可以看到一个被标注为红色、名称为Windows Media Player的系统服务，该服务所指向的是一个不明程序路径。因此可以确定该服务就是木马程序的启动服务。 图2通过安全工具SysCheck的“活动文件”项目，可以显示出包括启动项等信息在内的、容易被恶意程序改写的系统注册表键值。比如现在某些恶意程序，通过修改系统的“load”项进行启动，或者修改系统的BITS服务进行启动。由于SysCheck程序只是关注改写了的键值，所以在不同的系统上显示的内容并不一样。应对方法进入SysCheck点击鼠标右键中的“中止服务”选项，中止该木马程序的启动服务，接着点击“删除服务”命令删除指定的服务键值。然后点击“文件浏览”按钮，由于SysCheck采用了反HOOK手段，所以内置的资源管理器可以看到隐藏的文件或文件夹，这样就方便了我们进行隐藏文件的删除工作。按照木马服务所指的文件路径，找到文件后点击鼠标右键中的“删除”按钮即可。第三招：系统钩子有善恶木马程序之所以能成功地获取用户账号信息，就是通过钩子函数对键盘以及鼠标的所有操作进行监控，在辨别程序类型后盗取相应的账号信息。也就是说，只要拥有键盘记录功能的木马程序，就肯定会有系统钩子存在。自检方法通过游戏木马检测大师（下载地址：http://download.cpcw.com）的“钩子列表”功能，可以显示系统已经安装的各种钩子，这样可以显示出当前网络中流行的主流木马。点击“钩子列表”标签进行钩子信息的查看，并且不时点击鼠标右键中的“刷新”命令对系统钩子进行刷新。因为木马程序只有在键盘记录的时候才会启用钩子，如果大家中了木马，那么很快就会在列表中有所发现了。在本例中一个名为WH_JOURNALRECORD可疑的钩子被程序以显著颜色标记出来（图3）。 图3这个钩子是用来监视和记录输入事件的，黑客可以使用这个钩子记录连续的鼠标和键盘事件。在此时，我们就应该引起重视，不要再使用QQ等需要输入密码的程序。应对方法清除方法比较简单，只要记录下动用系统钩子的进程PID，通过PID值找到该木马程序的进程后结束该进程，再输入“Regedit”打开注册表编辑器，并点击“编辑”菜单中的“查找”命令，在此窗口搜索该木马程序进程的相关消息，将找到的所有信息全部删除。重新启动计算机，只要在安全模式下删除系统目录中的木马文件信息即可。当然也可以通过前面几种方式进行相互检测，这样可以更加有效地清除系统中的木马程序。第四招：数据包里藏乾坤现在，越来越多的木马程序利用了Rootkit技术。Rootkit是一种集合了系统间谍程序、病毒以及木马等特性的一种恶意程序，它利用操作系统的模块化技术，作为系统内核的一部分进行运行，有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。自检方法同样我们还是使用游戏木马检测大师这款程序，利用它的“发信检测”功能来判断自己的系统中是否被安装了木马程序。在使用该功能以前，首先需要判断系统的网卡是否工作正常。我们关闭其他一切会扰乱网络数据捕捉的程序，然后去除“只捕获smtp发信端口（25）和Web发信端口（80）”选项，点击“开始”按钮就可以进行数据包的捕捉。如果这时捕捉到有数据包发出，就证明自己的系统中存在木马程序。根据木马程序连接方式的不同，捕捉到的数据信息也不尽相同，但是捕捉到客户端程序的IP地址还是没有问题的（图4）。用过嗅探器的朋友都知道，我们可以通过设置过滤病毒特征数据包来发现蠕虫病毒，当然这种方法需要一定的相关知识，这里就不再叙述了。 图4应对方法对于这种利用Rootkit技术的木马程序，可以直接通过一些Rootkit检测工具进行查看。比如检测工具Rootkit Detector（下载地址：http://download.cpcw.com），它通过程序内置的MD5数据库，来比较所检测到的Windows 2000/XP/2003 系统全部服务和进程的MD5校验值，这样就可以检测出系统下的Rootkit程序。在命令提示符窗口运行命令：rd.exe，程序会自动对当前系统进行检测。程序首先会统计出系统中服务的数目、当前的进程，以及被隐藏的进程，并且将系统当前的进程用列表显示出来，然后进入安全模式进行删除即可。常见木马以及病毒专杀工具在这里，我们向大家提供能速杀流行木马以及病毒的专杀工具。我们可以根据需要，搭配使用这些专杀工具，让自己的电脑更加安全。灰鸽子专杀工具瑞星：http://download.rising.com.cn/zsgj/GPDetect.exe 熊猫烧香专杀工具金山：http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT 麦英病毒专杀工具江民：http://download.jiangmin.info/jmsoft/ANIWormKiller.exe 威金病毒专杀工具江民：http://download.jiangmin.info/jmsoft/VikingKiller.exe -------------------------------------------------------------------------------------------------------------------当心PC变成“肉鸡”——巧用WinRAR来抓鸡湖南 王强 (2007年9月10日 第36期) 所属主题：抓鸡系列杀伤力值：★★操作难度：较低适合读者：普通读者WinRAR已经成为用户电脑中必装的软件，可你想过黑客会利用它来抓鸡吗？这是真的，只需一个小小的WinRAR漏洞利用程序，就可以把.rar格式的文件变成抓鸡工具。一旦运行了文件就会变成黑客的肉鸡。这是目前抓鸡比较有效的方法之一，我们应该如何防范呢？下面我们就来揭开谜底。小知识：抓鸡是黑客常用术语，意思是指主动通过某些程序（如木马程序或远程控制程序的客户端）或技术手段控制用户的PC机，被控制的PC机称之为肉鸡。为什么要用WinRAR漏洞抓鸡网络上流传有很多可执行文件捆绑工具，这些工具虽然可以方便的将两个或多个可执行文件捆绑为一个程序，并且可以进行简单的伪装，但是其原理却决定了其不可能成为完美的捆绑工具，目前主流的杀毒软件都可以轻易地将它清除掉。而用WinRAR漏洞捆绑木马来抓鸡就很有优势，因为普通捆绑检测都是用16进制编辑工具查看程序PE头进行判定的（大部分捆绑程序检测工具用的就是这个原理），但是这条不适合这个漏洞。小提示：该漏洞的原理是由于WinRAR在处理LHA格式文件时存在边界条件错误，而若将一个经处理后文件改为长文件名并附加成LHA文件，再调用相应参数生成新的压缩包后，被WinRAR打开的时候就会导致本地缓冲溢出。当用户点击压缩包时会出现错误提示（图1），这时木马程序就已经悄悄运行了，肉鸡就到手了。所以如果我们用这个漏洞来抓鸡，成功率是十分高的，比原始的3389端口抓鸡的成功率高多了。 图1如何用WinRAR漏洞抓鸡Step1：将WinRAR的利用程序放到任意目录中，例如C盘根目录。Step2：单击菜单中“开始→运行”命令，输入“cmd”运行“命令提示符”。将光标切换到“c：”，输入“rar.exe”查看利用程序的使用方法。其使用方法为：“rar [选项] ”。其中“选项”可以指定生成的文件名以及选择溢出的操作系统等操作。我们使用默认的配置，可以不输入，有需要的话可以添加相应的“选项”。Step3：将配置好的木马服务端程序也放到C盘根目录，并命名为123.exe。在“命令提示符”中输入命令：“rar 123.exe”，如果回显中出现“All Done! Have fun!”字样即表示捆绑有木马的WinRAR文件生成了（图2）。 图2Step4：最后我们要做的就是将这个捆绑有木马程序的WinRAR文件发送给别人，当对方运行这个WinRAR文件时，将会出现错误，但是木马已经悄悄地在对方系统后台运行了。对方的电脑也就成了我们的肉鸡（图3）。 图3不过要充分利用这个漏洞，光靠触发漏洞是不够的，木马的配置也很重要，例如要设置运行后删除自身，安装服务端时不出现提示等，这样当用户运行恶意WinRAR文件时只会出现WinRAR的错误提示，是丝毫感觉不到木马运行的。接着我们还要给木马加上免杀，例如加壳处理和修改特征码等，否则被杀毒软件检测出来岂不前功尽弃。小提示：运行漏洞利用工具时请先关闭杀毒软件，因为杀毒软件会把它当作黑客工具给清除掉。防范技巧1.不要运行陌生人发过来的文件。这是老生常谈的问题了，只不过以前只针对可执行文件，现在连WinRAR也不能轻易运行了。2.识别恶意的WinRAR文件。在运行WinRAR文件之前，我们可以先对其进行检查，确定无危害后再运行，检查的方法为：右键单击WinRAR文件，在菜单中如果没有“用WinRAR打开 ”这一项，则说明压缩包有异常，不要轻易打开！3.升级WinRAR到3.7以上的版本，新版本打开虽仍会提示出错，但木马程序不会运行。攻防博弈攻 黑客：虽然很多人都有给系统打补丁的习惯，但会给应用软件升级的人少之又少，所以将捆绑有木马的WinRAR文件上传到软件下载网站或一些资源论坛中，将大大增加抓到的肉鸡数量。抓鸡的方法多种多样，我们还可以用135端口来抓安全意识不强的鸡。防 编辑：系统软件的漏洞可以通过自动更新来解决，而工具软件的漏洞只能通过经常关注一些专业媒体的提醒，定期升级程序来解决。同时养成良好安全习惯，不接收不下载来路不明的压缩文件才是最好的防范方法！至于135端口抓鸡，只要我们关闭了端口，调高了防火墙的安全等级就不用惧怕。 -----------------------------------------------------------------------------------------------------------------------小心端口招蜂引蝶——防范用135端口抓鸡的黑手万立夫 (2007年9月17日 第37期) 新学期到了，许多学生都要配机，新电脑的安全防卫做好了吗？能不能拒绝成为黑客的肉鸡？令人遗憾的是，很多新手都不知道或者忽视了对敏感端口的屏蔽。例如135端口，一旦黑客利用135端口进入你的电脑，就能成功地控制你的机子。我们应该如何防范通过135端口入侵呢？下面我们就为大家来揭开谜底。小知识：每台互联网中的计算机系统，都会同时打开多个网络端口，端口就像出入房间的门一样。因为房间的门用于方便人们的进出，而端口则为不同的网路服务提供数据交换。正如房间的门可以放进小偷一样，网络端口也可以招来很多不速之客。一、为什么135端口会被利用来抓鸡如今，大多数黑客都使用网页木马来捕捉肉鸡，为什么还有一些黑客老惦记着135端口呢？主要原因有两个：一个原因是135端口是WMI服务默认打开的端口。由于WMI服务是Windows系统提供的服务，因此利用它入侵不但不会引起用户注意还很方便，只需要一个脚本代码就可以对远程系统进行管理。WMI服务默认打开的是135端口，因此WMI入侵也被称之为135端口入侵。另外一个原因是135端口开放的机子实在不少，这种现象可能是由于每年新增加的电脑用户的安全意识不强或者不知道怎么关闭造成的。令人担忧的是，连3389这样危险的端口也可以在网络上搜出不少。小知识：WMI服务是“Microsoft Windows 管理规范”服务的简称，可以方便用户对计算机进行远程管理，在很多方面和系统服务远程桌面十分相似。只不过远程桌面是图形化操作，而WMI服务是利用命令行操作而已。WMI服务需要“Windows Management Instrumentation”服务提供支持。而这个服务是默认启动的，而且是系统重要服务，这样就为入侵提供了便利。正是由于它可以进行远程控制操作，因此系统的安全性也就随之下降，因此被称之为永远敝开的后门程序。二、黑客是怎么利用135端口抓鸡的Step1：黑客入侵的第一步就是扫描网络中开启了135端口的远程系统。扫描使用的工具有很多，这里使用的工具是常见的《S扫描器》（下载地址：http://www.cpcw.com/bzsoft/），因为它的扫描速度非常快。单击开始菜单中的“运行”命令，输入“cmd”打开命令提示符窗口，然后输入下面一段命令：S tcp 192.168.1.1 192.168. 1.255 135 100 /save（图1）。 图1前面和后面的IP地址表示扫描的开始和结束地址，后面的135表示扫描的端口，100表示扫描的线程数，数值越大表示速度越快。需要特别说明的是，很多Windows系统默认限制线程为10，我们需要利用修改工具改调这个限制才行。小提示：例如我们打开《比特精灵》的安装目录，运行其中的BetterSP2.exe，在弹出窗口的“更改限制为”选项中设置为256，最后点击“应用”按钮并且重新启动系统即可。Step2：从已经打开135端口的电脑中筛选可以入侵的目标。首先打开S扫描器目录中的IP地址文件Result.txt，对文本文件中多于的信息进行删除，只保留和IP地址相关的内容。接着运行破解工具NTScan（下载地址：http://www.cpcw.com/bzsoft/），它可以对远程系统进行破解（图2）。 图2在NTScan窗口中的“主机文件”中设置IP地址文件，选中WMI扫描类型，然后在“扫描端口”中设置为135。最后点击“开始”按钮就可以进行破解操作，破解成功的主机地址都保存在NTScan.txt中。Step3：现在利用Recton这款工具来上传我们的木马程序（下载地址：http://www.cpcw.com/bzsoft/）。点击窗口中的“种植”标签，在NTScan.txt中寻找一个地址，接着将它添加到“远程主机设置”选项中。然后选择“Http下载”选项，并在“文件目录”设置木马程序的网页链接地址，最后点击“开始执行”按钮即可（图3）。 图3这样木马程序就利用135端口上传到远程主机，并且在系统后台已经悄悄地运行了。这种方式不需要远程用户参予，因此它的隐蔽性和成功率都非常高，并且适何肉鸡的批量捕捉，但是上传的木马程序一定要经过免杀处理才行。小提示：运行黑客工具的时候需要先关闭杀毒软件，因为杀毒软件会把它们当作病毒给清除掉。三、防范技巧1.利用网络防火墙屏蔽系统中的135端口，这样就让黑客入侵从第一步开始就失败。除此以外，像139、445、3389这些端口也是我们要屏蔽的端品。2.增强当前系统中管理员的账号密码的强度，比如密码至少设置6位以上，并且其中包括数字、大小写字母等。这样黑客工具就不能轻易地破解我们的账号密码，这样即使是扫描到我们的135端口也无济于事。3.安装最新版本的杀毒软件，并且将病毒库更新到最新，这个已经是老生常谈的问题。如果有可能的话，用户最好使用带有主动防御功能的杀毒软件。攻防博弈攻 黑客：利用135端口的确可以捕捉到大量肉鸡，不过要花费比较多的时间。随着操作系统的不断更新，以及人们对135端口进行防范的加强，这种方法已经逐渐菜鸟化，真正的高手不屑一顾。黑客抓鸡的方法有很多，比如我们还可以利用迅雷进行捆绑木马的传播，这是个较流行的抓鸡方法。防编辑：既然黑客利用135端口入侵，我们只要将相关功能进行禁止，或加以限制就可以了。另外，对于黑客使用迅雷进行捆绑木马的传播，除了在下载的过程中利用迅雷的安全功能进行检测以外，还可以利用《网页木马拦截器》这款工具。无论是网页木马还是捆绑木马，只要运行就会被拦截并且提示用户注意。 ----------------------------------------------------------------------------------------------------------------Ps：以上内容引自电脑报 （不必恐慌，积极应对解决才是上策）
肉鸡？ 千万不要成为肉鸡，如果成为肉鸡，那就去杀毒或者杀马吧 不过这种方法通常作用不大，因为木马经过免杀处理的，处理工具就是杀毒软件。那就请高人来给你整理吧，通常木马是服务启动，插入IE进程跳过防火墙的 因为木马的服务是自定的，包括文件都有很强的自定 伪装性很强，一般人是无法识别的，如果你对这个很敏感的话，那就去重装系统吧。 鉴于木马传播的方式方法很多，可以说任何地方都可以藏身，如果你还是很敏感的话，或者害怕的话，那就放弃 windows 系统吧 ubunut linux 系统做的不错，我不多说了 会有托的嫌疑 :-)
如果你判断正确的话，应该是种了灰鸽子，PC，上兴之类的远控木马，你可以用360杀下启动项，也可以加我QQ，我帮修修复，保证让你不是肉鸡，总之，谁的远控木马也逃不过我的手下、。
直接做系统然后装杀毒软件~！然后再下载系统补丁~！恐慌啥。。。。你电脑有很重要的东西么？？？黑客还去黑你？？？？我觉得一般不会~1你也就是中个小病毒。。。不用怕。。
还是重装一下系统吧。如果没有系统盘的话就用U盘下载个XP系统就是了，推荐用那个深度的xp。而且现在重装系统效率那不是一般的高，一般驱动都配置好了，装起来还是挺方便的。

电脑无法关机，原因有以下几种情况（以WINXP为例）： 1、关机前有程序尚在运行或正在关闭，关机命令被延后。 解决办法：关机前关闭所有打开的程序，并耐心等待其完成。或者按CTRL+ALT+DEL三键，进入任务管理器，选择菜单栏“关机”项，选择“重新启动”或“关闭”（如下图所示）。如果以上操作无效，可长按主机电源键直到电源指示灯熄灭或拔掉主机电源线（如果是笔记本再拆下电池）以强制关机。 2、关机程序损坏或被病毒感染。 解决办法：Windows XP的关机是由Shutdown.exe程序来控制的，位于WindowsSystem32文件夹中，可从正常电脑复制该文件到本机进行覆盖（可使用启动U盘或光盘启动电脑进入PE系统后操作），并在安全模式下使用360安全卫士+360杀毒对硬盘进行全盘查杀木马、病毒。 3、程序冲突导致系统假死或死机。 解决办法：重启，如无效，则重装系统。 4、硬件故障导致系统死机。 解决办法：逐一替换检查各硬件，特别是内存、硬盘、主板，以确定故障源。
一、台式电脑关不了机的原因分析 1、电脑关不了机主要是因为后台程序还在运行，比如说，现在很多人都在使用word之类的办公软件。进行办公。很多人在关机的时候，并没有退出这些文件。那么这些文件就会在电脑的后台进行运转，导致电脑不能关机。 2、电脑中了病毒也会导致电脑关不了机，中毒的话直接杀一下毒就可以了。如果不是中毒那么就看看下面的解决方法。 二、电脑关不了机的解决方法 1、电脑管不了解的解决方法是很简单的，首先我们要查看一下我们的任务栏下面有没有哪些软件和程序是开着没有关的。把这些开着的程序和软件一一的关闭。如果关闭之后，还是不能关机，那可能就是一些在后台隐藏起来的软件还在运行。 这时候，点击结束进程的快捷键——Ctrl+Alt+delete，这三个键组合起来就是结束进程的意思。同时按下这三个键之后，我们就会看到电脑的结束进程的窗口，进入程序看看，查看一下自己的电脑有哪些软件是还在运行的。全部进行关闭就可以了。 2、如果觉得麻烦并且找不到快捷键在哪里的，还有一个非常简单的办法，几乎每个人都会的。找到开始菜单，点击开始菜单，我们就会看到关机的提示键。点击关机按钮，然后注销，注销之后再次点击关机就可以关机了。这个方法很简单。 电脑关不了机是怎么回事大家了解吗?小编已经将如何解决这件事去的方法和步骤告诉大家了，大家看完之后，知道怎么处理这些问题了吗?电脑关不了机有时候也是正常的，因为电脑在使用的过程中肯定会遇到各种问题的。电脑关不了机大部分都是因为操作不当导致的，大家在使用电脑的时候，要尽可能的采取正规的操作。这样才能保护电脑。
系统设置错误了,无法正常保存设置，或者系统文件被损坏了,无法执行下去.2种都能搞的关不了机器.

Windows Preinstallation Environment（WinPE）（Windows预安装环境）基于在保护模式下运行的WindowsXP个人版内核，是一个只拥有较少（但是非常核心）服务的Win32子系统。这些服务为Windows安装、实现网络共享、自动底层处理进程和实现硬件验证。 WinPE让你创建和格式化硬盘分区，并且给你访问NTFS文件系统分区和内部网络的权限。这个预安装环境支持所有能用Windows2000和WindowsXP驱动的大容量存储设备，你可以很容易地为新设备添加驱动程序。 使用WinPE可以帮助你把现有基于MS－DOS的工具转换为32位的WindowsAPIs，以便你在标准的开发环境（例如微软的VisualStudio）中更加容易地维护这些应用程序。WinPE所包含的硬件诊断和其他预安装工具都支持标准的WindowsXP驱动，你无需任何做其他特别的工作。对于程序开发者来讲，就可以把主要精力放在程序的诊断、调试和开发的环节上。 winpe最长用的功能：用光盘系统WINPE 轻松更改系统密码 如何更改Win2K及WinXP系统中管理员的密码，在网络及一些杂志上也介绍过多次，有些方法虽然实用，但对我等小菜来讲，还是有些繁琐，稍一疏忽，就有可能“贻笑大方”，呵呵！这不，我找到一个非常简单的更改管理员密码的方法，用WINPE－－一个可在光盘上运行的操作系统，只要几分钟的时间，即可轻松搞定管理员的密码，那场面，一定会让MM对你的崇拜指数上升N个百分点！ 第一步：从网上下载“深山红叶袖珍系统工具箱”，该软件集成了WinPE光盘操作系统、微型Linux系统及众多实用的DOS程序，该软件为ISO格式，可直接刻录为引导光盘，容量为200多兆，一张8厘米的小刻录盘就可装下，方便携带，实属电脑操作时的必备工具。 第二步：设置CMOS中的启动顺序由CDROM启动，放入刻录的“深山红叶”光盘，重启系统进入“深山红叶”启动菜单，如图1，选择第一项“[1] Windows PE(XP) 光盘工具箱”启动WINPE系统。该系统仿XP界面，所以启动过程和XP的启动过程一样，显示的启动画面还是“WINXP Profreeional”呢！在光驱灯与硬盘灯一阵狂闪后，系统启动完成，如图2，桌面背景蛮震人的！ 第三步：依次点击“开始－强力系统修复 ERD 2003－首先在此设置当前系统目录！(当前=)”，在弹出的“浏览文件夹”窗口中选择WIN2K或WINXP系统的Windows目录，如图3。接着仍是进入“强力系统修复 ERD 2003”菜单中，选择“修改用户密码(LockSmith)”，然后按照LockSmith向导一步步地操作，在对账号设置新密码时，默认显示的账号是“Administrator”，点击账号中的下拉箭头，选择要修改密码的账号，然后在“新密码”与“确认密码”框中填入新的密码，如图4，点下一步，就完成了密码修改。 第四步：点击WINPE系统中的“开始－重启系统”，在重启过程中弹出光碟，进入正常的WIN2K或WINXP系统，选择刚才更改的账号，输入修改后的密码，屏幕显示正在加载用户信息……，说明密码更改成功。 修改管理员密码只是WINPE系统中一个功能，它还有更多实用的功能，就留给各位朋友慢慢研究吧，有好的心得体会别忘了拿出来共享喔！ 测试环境：NTFS＋WINXP NTFS＋WIN2K 相关资料：——Windows PreInstallation Environment深入研究 Windows PreInstallation Environment（WinPE）直接从字面上翻译就是“Windows预安装环境”，微软在2002年7月22日发布，它的原文解释是：“Windows预安装环境（WinPE）是带有限服务的最小Win32子系统，基于以保护模式运行的Windows XP Professional内核。它包括运行Windows安装程序及脚本、连接网络共享、自动化基本过程以及执行硬件验证所需的最小功能。”换句话说，你可把WinPE看作是一个只拥有最少核心服务的Mini操作系统。微软推出这么一个操作系统当然是因为它拥有与众不同的系统功能，如果要用一句话来解释，我认为与Win9X/2000/XP相比，WinPE的主要不同点就是：它可以自定义制作自身的可启动副本，在保证你需要的核心服务的同时保持最小的操作系统体积，同时它又是标准的32位视窗API的系统平台。当然，现在这么说也许难以理解，没有关系，下面让我们来仔细研究它。 WinPE概览 即使有刚才的解释，你一定还是对这个全新概念的Mini操作系统一头雾水，没关系，在这里我将演示一下其运行的全过程，相信看过之后你或许就会有大致的了解。大多数人获得的WinPE光碟（包括我手上这张ISO镜像光碟）应该是一张“Windows XP OPK”CD，意思就是Windows XP OEM预安装工具包CD。实际上，Windows XP OPK CD是WinPE 32位版本的一个可引导副本，也就是说，这张CD已经是个用WinPE定义制作的操作系统了，我们可直接用它来引导系统。先看看这张CD的目录结构吧（图1），总共有352MB，是不是有些大呢？其实由于这是个副本（至少包含了不少驱动程序），大小是由当时自定义制作决定的，若是WinPE的32位非自定义版本，其在磁盘上的镜像大约为120MB。 1.引导WinPE 笔者考虑到网络环境等问题，主要的使用环境是Vmware虚拟机和Virtual PC虚拟机，不过这两种虚拟机环境与实际PC环境几乎没有区别（就是说如果你不清楚虚拟机也没关系，就当是在真实PC上直接运行）。 将BIOS中设置成光驱引导，并开始启动系统，当屏幕画面上出现“Press any key boot from cd”时（图2），按任意键从光驱上的WinPE引导启动（图3、4）。如果你的存储设备驱动不被支持，在启动时按下F6键可加载特殊设备的驱动。当启动到桌面时系统会做一些如调整分辨率的工作（图5），最后打开默认的CMD命令行解释工具，大家看看，是货真凼档耐夹尾僮骰肪撑叮ㄍ?）。 可以看到桌面上空空如也，不要指望可以拿鼠标点来点去，毕竟是个什么应用程序都没有安装的最小化图形操作系统。但它确实是标准的视窗环境，光碟上带有记事本，在命令行下输入“Notepad”并回车就可打开（图7）；另外尽管光碟上带有的可执行的命令行工具有限，但明显可以自己添加，看看这是什么（图8）？没错，是我们最熟悉的扫雷游戏（现在知道题头所指了吧，呵呵），拿鼠标先玩玩吧，这是笔者从大家熟悉的WinXP操作系统中加入的（方法很简单，用ISO工具直接拷入刚才的镜像文件就可以了）。 那么还是先回到CMD命令行工具中吧。默认的目录是I386system32，输入命令行“dir *.exe /w”可查看有哪些可运行的程序（图9）。下面我们实际研究一下对个人用户有实际意义的WinPE特性的操作。 在光碟镜像中可同时看到32位和64位操作系统的工具（图10），对于个人用户来讲，你可用它直接引导没有安装任何系统的机器，并在其上实现32位系统的许多功能，这在后面会一一道来。 2.WinPE对网络的支持 刚才dir时我们看到了ping命令，熟悉这个命令的读者应该都知道，只有安装了TCP/IP协议才能使用，那么不管三七二十一，先来ping自己试试吧，在CMD中键入“ping 127.0.0.1”，回车搞定（图11），显然是可ping通的，这证明TCP/IP协议确实已在运行。再试一试光碟上另一个命令IPConfig，键入运行（图12），看到IP地址已经自动分配好了。既然网络确实已经连接，那让我们来实际操作使用吧（这里可能有不少从视窗系统开始接触计算机的朋友会对操作不知所措，其实并没有想象中那么困难，你可以在CMD中使用命令工具带“/？”参数来查询具体使用方法，如果你机器上本来就装有XP，那么在帮助中心查询就更方便了，多实验一下，掌握命令行以后你会发现方便很多）。 现在我的物理机和虚拟机构成了一个虚拟网络，使用光碟镜像中的net命令，在虚拟机中键入“net view”查看已连接的服务器（图13），这里显示的服务器“XQ-B6QAS26953 EC”，名字表示虚拟机已通过网络连接了我的物理机器。我的物理机器上有一个名为TUKU的文件夹已经共享，所以再键入“net use e:XQ-B6QAS26953ECTUKU”，意思是将物理机器上的共享目录TUKU镜像为虚拟机器上的E盘（图14），成功后可在虚拟机里自由地访问共享目录（图15），这时就可通过这个来做远程安装等工作。Net命令还有不少参数，自己可以查阅并多加尝试，才可以发挥WinPE强大的网络环境功能，如果只是简单地访问服务器，上面的两个命令参数基本足够了。不过这里要记住用WinPE的机器可访问其他操作系统的机器，而逆操作是不能的，这是由于WinPE本身的限制，我们后面再讲这个问题。事实说明，WinPE启动后就可以使用网络环境。 3.利用WinPE创建、删除、格式化和管理NTFS文件系统分区 对于个人用户来说这个功能很是实用和方便。但不少朋友在dir完以后就叫苦，怎么只有format.com，没有fdisk啊，根本没办法分区嘛。其实这是个误解，Windows XP中针对磁盘管理工作有专用的命令行工具DiskPart.exe，它是一种文本模式命令解释程序，能让你通过使用脚本或从命令提示符直接输入来管理对象（磁盘、分区或卷），WinPE使用的当然也是DiskPart。 在CMD模式下键入“diskpart”并回车进入DiskPart命令行解释（图16）。键入“list disk”，显示有两块硬盘（图17），分别为磁盘0和磁盘1。键入“select disk=0”执行，意思是选择指定磁盘，并将焦点转移到此磁盘，接下来的操作就都是针对它的（后面的操作都是一样，在磁盘、分区或卷上使用DiskPart命令前，必须首先将对象列表，然后选择要给予焦点的对象，只有对象拥有焦点时，键入的任何DiskPart命令才对该对象进行操作）。键入“detail disk”可以查看磁盘0的细节信息（图18），现在磁盘0整个是一个活动分区C，格式为FAT32，容量为16G。下面我们以实际操作将磁盘0分为两个区，分别为NTFS格式的8G主分区C和FAT32格式8G逻辑分区D，而将磁盘1整个转为FAT32格式的分区E来演示WinPE对磁盘的管理操作： （1）执行“select disk=0”，将焦点转到磁盘0。执行“select partition 1”，将焦点转到磁盘0的分区活动C上面。 （2）执行“delete partition”将原来的分区C删除（图19）。 （3）执行“create partition primary size=8000”回车，在磁盘0上建立一个新的8000MB的主分区（图20），焦点会自动转到新建立的分区上。 （4）接着执行“create partition extended”回车，将磁盘0上剩余的磁盘空间建立为扩展分区（图21）。 （5）完成上一步后再执行“create partition logic”回车，将刚建立的扩展分区创建为一个逻辑分区（图22）。 （6）至此，我们就已经把原来一个活动分区C的磁盘0创建为有一个主分区和一个逻辑分区了（图23），不过这两个分区还没有驱动器号，执行“select partition 1”将焦点转到主分区1，然后执行“assign letter=C”（图24），将驱动器号C：分配给主分区。执行“active”回车将主分区设为活动使其可以引导系统（图25）。 （7）接下来执行“select partition 3”将焦点转到逻辑分区，执行“assign”回车，意思是系统将下一个可用的驱动器号分配给逻辑分区，由于驱动器号D、E均被占用（D为磁盘1分区占用，E为光驱占用），所以系统将F分配给了逻辑分区（图26）。不过没关系，我们先不管驱动器号的顺序，到这里我们对磁盘0的操作就结束了，剩下的目标是将磁盘1的活动分区D转换为分区E。 （8）执行“select disk 1”将焦点转到磁盘1，执行“select partition 1”将焦点转到活动分区D。 （9）由于磁盘1的D分区是活动的主分区，所以设其驱动器号为E，显然是要将它重新建立为一个非主分区的驱动器，那么它就不会占据驱动器号D而将它让给磁盘0的逻辑分区了。执行“delete partition”删除原来分区D，执行“create partition extended”将磁盘1上所有的磁盘空间建立为扩展分区。 （10）完成上步后再执行“create partition logic”将刚建立的扩展分区创建为一个逻辑分区（图27）。 （11）最后执行“assign”自动分配驱动器号，系统仍然把D分配给了它（不过在机器重新启动后系统会自动调整将D分配给磁盘0的逻辑分区，磁盘1的逻辑分区会使用驱动器E，而光驱就顺延到F了，重启一次系统这些改变都会自动实现）。 （12）现在我们对机器上硬盘的重新分区工作就结束了，执行“exit”退出DiskPart命令行解释工具，然后执行“format c: /fs:ntfs”，将刚才建立的DISK 0主分区格式化为NTFS文件格式的分区（图28），同理执行“format d: /fs:fat32”、“format f: /fs:fat32”将分区D、F格式化（图29），我们最终的操作就完成了。 （13）完成后执行“exit”重新启动机器，可以再次进入“DiskPart”来查看分区情况是否正确（图30）。 上面的操作基本包括了对磁盘的创建、删除、格式化和管理，如果你再仔细读读帮助说明，保证你在掌握它强大的功能以后不再想使用Fdisk去管理磁盘。实际上你如果在使用Windows XP，这些知识都非常实用。此外“DiskPart”工具最方便的地方是支持脚本，在这里就不详细说明了。 WinPE的限制 上面我们已经将WinPE特性的基本操作都实践了一下，应该可以体会到WinPE对个人的方便之处，但是就像上文所说的那样，WinPE只是有限功能的Mini操作系统，要正确使用WinPE，当然也要了解它的一些限制。 1.为了防止将它用作盗版操作系统，在连续使用24小时后WinPE将自动退出并重启。 2.你可从WinPE计算机通过网络直接访问服务器和共享。但不能从网络上的另一个位置访问WinPE计算机上的任何文件或文件夹。WinPE通过TCP/IP及其上的NetBIOS获得到达文件服务器的网络连接，不支持其他方法（如IPX/SPX网络协议）。 3.因为涉及反盗版，所以只能从Windows XP Professional CD建立WinPE的自定义版本。而不能从Windows XP Home Edition或Windows 2002 Server操作系统家族的任何成员建立。 4.WinPE太大，不能放在软盘上。WinPE仅包括可用Win32 API的子集（包括I/O（磁盘和网络）和核心Win32 API）。如果Win32下运行的服务基于Win32 API子集，则它在WinPE是否可用需具体分析。这里不详细列出WinPE不支持的API了，反正rundll32.exe和shell.dll等是不被支持的，想要在WinPE下面玩Quake的朋友还是趁早放弃。 WinPE的作用 不少朋友看到这儿无论是否有收获，肯定都会想WinPE到底对自己有什么明确的作用，这里不妨总结一二。 1.方便易用的启动工具盘 通过刚才的叙述，大家可以看出，WinPE启动相当快捷，而且对启动环境要求不高；最可贵的是，虽然名为启动盘，其功能却几乎相当于安装了一个Windows XP的“命令行版本”——别忘了网络支持哦。因此，对于个人计算机用户，只要将其刻录在一张光碟上，便可放心地去解决初始化系统之类的问题；而对小型网络环境（如网吧等）用户来说，这一功能尤其实用。 2.有趣的硬盘使用功能 自定义的WinPE不仅可放到那些可移动存储设备如CD上，还可以放在硬盘上使用。因为许多朋友会认为将WinPE的自定义版本放在硬盘上没有什么意义，其实不然。把WinPE放在硬盘上应该是最为有趣的地方，且不说你的操作系统损坏无法进入的情况下启动硬盘上的WinPE可以方便地修复，关键是由于WinPE在硬盘上，所以在WinPE环境下安装应用程序就有了可能。呵呵，撇开题外话不讲，这里看一下如何把自定义的WinPE放到硬盘上吧（只能在硬盘上放置WinPE的32位版本）。 首先要安装恢复控制台： （1）将Windows XP Professional CD放在CD-ROM驱动器中，这里指定其为cd_drive。 （2）在命令行CMD窗口中运行cd_drivei386winnt32.exe /cmdcons。 然后将WinPE自定义可引导副本放置在硬盘上，如下操作： （1）在目标硬盘上，创建“C:Minint”的目录（这里必须将目录命名为“Minint”）。 （2）将WinPE“根目录i386”下的所有内容复制到C:Minint。 （3）从WinPE根目录下将Winbom.ini复制到目标硬盘的根目录。 （4）在目标硬盘上，将“C:Cmdconstxtsetup.sif”的只读属性改为读/写。 （5）在目标硬盘上，将“C:Mininttxtsetup.sif”复制到“C:Cmdcons”进行覆盖。 （6）重新启动目标计算机。在“引导”菜单上，选择引导到“命令控制台”，计算机将使用WinPE引导。 3.Windows XP OPK CD的本职工作 上面说了其实我们拿到的是WinPE的一个可执行副本，即Windows XP OPK（Windows XP OEM预安装工具包）CD。从名字都知道它原来的本职工作是为了方便OEM工作的。如果你在Windows操作系统环境下打开光碟，它就会自动运行Autorun为你的系统安装一个“Windows安装管理器”的工具包（图31）。利用它，你可以轻易制造出带有计算机厂商OEM标志的Windows安装镜像。虽然这是Windows XP OPK CD的主要本职工作，但显然对我们个人没什么意义，当然，如果你想把手上的Windows安装CD都打上自己独有的印记，并在朋友的机器上安装时炫一下，那么使用它是个好主意。当然自己的“印记”绝非OEM标志那么简单，实际上你还可任意设定WinPE携带的软件，并可设置这些软件在WinPE启动时运行；理想的情形下你甚至可以为自定义的WinPE版本加上类似于Windows Explorer的图形外壳程序——要不怎么叫专为厂商OEM设计呢？ ================================================================================ 2、Microsoft Windows Preinstallation Environment (WinPE)微软官方主页链接 ================================================================================ WinPE is a tool based on Microsoft Windows? XP Professional that allows IT staff to build custom solutions that speed up deployment through automation so they spend less time and effort keeping desktops updated. WinPE can run Windows setup, scripts, and imaging applications. Enterprise Agreement (EA) and Software Assurance Membership (SAM) customers received WinPE in their October 2002 updates, and it will continue to be offered as a benefit of Software Assurance. ================================================================================ 3、What's the Windows Preinstallation Environment (WinPE)? ================================================================================ John Savill InstantDoc #38308 John Savill's FAQ for Windows A. WinPE is a minimal OS, based on the Windows XP kernel, that will replace MS-DOS during the initial OS installation stages beginning with the next Windows desktop OS, which is known as Longhorn. Recent alpha builds of Longhorn use WinPE, which provides a GUI environment during the entire installation instead of the old text-based screen prompts that are common during the initial setup of earlier Windows installations. WinPE will also let the user enter the license key during the initial stage of the installation, rather than forcing the user to wait until later in the installation process. Click here to view image Because WinPE is based on XP, this new minimal OS can ●create and format disk partitions for FAT, FAT32, and NTFS ●access file shares on an intranet and connect to as many as four file shares ●support all mass-storage drivers for XP and Windows 2000