Los servicios del sistema, los programas de inicio automático y los procesos son los tres elementos principales del sistema. Al optimizar el sistema o verificar la seguridad, a menudo tenemos que monitorear las tres partes principales del sistema. Aunque ya hay una gran cantidad de software profesional que puede administrar tres piezas principales, para los usuarios de Windows XP, pueden administrarlos mediante el uso de los componentes y comandos del sistema en sí.
Al usar el comando NET START para monitorear el servicio, es fácil de saber. Muchos amigos optimizan el sistema al desactivar manualmente los servicios innecesarios. Sin embargo, debido a la falta de familiaridad con el cierre de los servicios, hubo algunos fallos inexplicables después de optimizar manualmente el sistema. Por ejemplo, después de que la computadora de un amigo realiza la optimización del sistema, se encuentra que no se puede usar el servicio de navegación móvil de Nokia que se usó originalmente en el sistema. ¿Cómo saber qué servicios debería desactivar? Ahora puede descubrir rápidamente el servicio modificado con el comando NET START. Este comando puede averiguar los servicios que están abiertos actualmente en el sistema y es compatible con la redirección de la información de salida a los archivos.
1. Antes de realizar la optimización del sistema (o el sistema es normal), inicie el símbolo del sistema y escriba "net start> d: services.txt". De esta manera, el servicio abierto por el sistema actual se puede enviar a d: services.txt, y podemos usarlo como referencia para el estado normal del servicio del sistema.
2. Si el servicio del sistema se ajusta y falla, como se indicó anteriormente, ejecute "net start> d: services1.txt" nuevamente para generar el estado de servicio optimizado.
3. Continúe escribiendo "fc d: services.txt d: services1.txt" en el símbolo del sistema. Use el comando FC para comparar dos archivos. Rápidamente aprendimos que antes y después de la optimización, un servicio llamado "ServiceLayer" cambió (Figura 1).
4. Ahora haga clic en "Inicio → Ejecutar" e ingrese "services.msc" para abrir la ventana de administración de servicios del sistema. Siga las indicaciones para configurar el servicio ServiceLayer en "Automático" e inicie el servicio para resolver el error.
Sugerencia: Además del comando NET START, también podemos usar sc query (listar los detalles del servicio actual), sc query state = all (listar todos los servicios, incluidos los servicios de controladores de hardware), Los servicios descritos anteriormente se monitorean con más detalle.
Con el comando WMIC, se sabe por el programa de inicio que el programa de inicio automático se carga automáticamente con el inicio del sistema, y muchos virus y troyanos están de esta manera. Corriendo en el sistema. Todos los programas de inicio automático se pueden enumerar fácilmente con la ayuda de los comandos WMIC que vienen con el sistema.
1. Inicie un símbolo del sistema y escriba wmic para instalar. Puede usar los scripts de WMIC en el símbolo del sistema más adelante. Para asegurarse de que el sistema sea no tóxico o normal, inicie el símbolo del sistema y escriba "wmic startup list brief> d: start.txt" para enviar todos los elementos de inicio automático del sistema a d: start.txt.
2. Igual que el anterior, ahora si sospecha que el sistema ha agregado un elemento de inicio automático desconocido, ingrese nuevamente "wmic startup list brief> d: start1.txt", y luego use el comando FC para comparar, puede rápidamente Encontró un nuevo elemento de inicio. Con el comando WMIC, la información del proceso se puede ver de un vistazo. El comando WMIC también puede ver los detalles del proceso iniciado actualmente. Por ejemplo, el autor encontró un nuevo proyecto de inicio rundll32.exe a través de la comparación de FC, pero después de comprobar que rundll32.exe es un archivo normal del sistema. Su caballo de madera maciza se ejecuta llamando al archivo dll con rundll32.exe.
Ingrese WMIC en la solicitud de comando, escriba "proceso" en la solicitud de WMIC wmic: rootcli>, los detalles actuales de todos los procesos están claros de un vistazo, puede ver que rundll32.exe se llama c: windowshgz. Dll archivo troyano (Figura 2).
Sugerencia: cuando usted sospecha de sí mismo, a menudo usamos el administrador de tareas para ver el proceso actual. Sin embargo, el Administrador de tareas no puede ver las rutas y los parámetros del proceso. Los detalles del proceso actual se pueden obtener usando el comando de proceso WMIC. Por lo tanto, podemos usar el comando de proceso para ver y registrar el proceso de arranque cuando el sistema es normal. Una vez que se encuentra una excepción, el FC se puede utilizar para encontrar rápidamente el proceso recién agregado, y el programa de excepción se puede eliminar de acuerdo con la ruta proporcionada por el proceso. Tr