如何用批处理文件来操作注册表

可以用批处理来生成一个REG文件

关于注册表的操作，常见的是创建、修改、删除。

1.创建

创建分为两种，

一种是创建子项(Subkey)

我们创建一个文件，内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\abc]

然后执行该脚本，你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个名字为“abc”的子项。

另一种是创建一个项目名称

那这种文件格式就是典型的文件格式，和你从注册表中导出的文件格式一致，内容如下：Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Invader"="Ex4rch"

"Door"=C:\\WINNT\\system32\\door.exe

"Autodos"=dword:02

这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下

新建了:Invader、door、about这三个项目

Invader的类型是“String value”

door的类型是“REG SZ value”

Autodos的类型是“DWORD value”

2.修改

修改相对来说比较简单，只要把你需要修改的项目导出，然后用记事本进行修改，然后导入（regedit /s）即可。

3.删除

删除一个项目名称，创建文件：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Ex4rch"=-

执行该脚本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"Ex4rch"就被删除了；

删除一个子项，创建的脚本：

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

执行该脚本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就已经被删除了。

那么现在的目标就是用批处理来创建特定内容的.reg文件了，利用重定向符号可以很容易地创建特定类型的文件。

samlpe1:如上面的那个例子,如想生成如下注册表文件

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Invader"="Ex4rch"

"door"=hex:255

"Autodos"=dword:000000128

只需要这样：

@echo Windows Registry Editor Version 5.00>>Sample.reg

@echo

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>Sample.reg @echo "Invader"="Ex4rch">>Sample.reg

@echo "door"=5>>C:\\WINNT\\system32\\door.exe>>Sample. reg

@echo "Autodos"=dword:02>>Sample.reg

@regedit /s Sample.reg

samlpe2:

一些比较老的木马时,可能会在注册表的

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一个键值用来实现木马的自启动.但是这样很容易暴露木马程序的路径,从而导致木马被查杀,相对地若是将木马程序注册为系统服务则相对安全一些. 下面以配置好地IRC木马DSNX为例(名为 windrv32.exe)

@start windrv32.exe

@attrib +h +r windrv32.exe

@echo

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>patch.dll @echo "windsnx "=- >>patch.dll

@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:\winnt\system32\windrv32.exe

@regedit /s patch.dll

@delete patch.dll

@REM [删除DSNXDE在注册表中的启动项，用sc.exe将之注册为系统关键性服务的同时将其属性设为隐藏和只读，并config为自启动]

@REM

------------------------------------------------------------

补充：

对于服务的启动类型

对应注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

下的各个子项

服务名字下的start键表示启动类型

1是系统

2是自动

3是手动

4是禁用

关于终止进程的操作

XP下可以选择taskkill命令

终止记事本：

taskkill /IM notepad.exe /F /F的意思是强制终止

批处理写注册表

首先你得明白什么样的文件可以导入注册表 一般情况下第一行是 REGEDIT4 或是 Windows Registry Editor Version 5.00 第二行空掉 以下开始方括号中些下注册表路径 下行写键和键值 句提的我引一篇文章给你看 当初我也是这样学习的 你提到删除自己 这样的话可以使用语句 del %0 就好了 文章在下边，流传相当广的： 如何用批处理文件来操作注册表 在入侵过程中经常回操作注册表的特定的键值来实现一定的目的，例如:为了达到隐藏后门、木马程序而删除Run下残余的键值。或者创建一个服务用以加载后门。当然我们也会修改注册表来加固系统或者改变系统的某个属性，这些都需要我们对注册表操作有一定的了解。下面我们就先学习一下如何使用.REG文件来操作注册表.(我们可以用批处理来生成一个REG文件) 关于注册表的操作，常见的是创建、修改、删除。 1.创建 创建分为两种，一种是创建子项(Subkey) 我们创建一个文件，内容如下： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker] 然后执行该脚本，你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个名字为“hacker”的子项。

另一种是创建一个项目名称 那这种文件格式就是典型的文件格式，和你从注册表中导出的文件格式一致，内容如下： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Invader"="Ex4 rch" "Door"=C:\\WINNT\\system32\\door.exe "Autodos"=dword:02 这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下 新建了:Invader、door、about这三个项目 Invader的类型是“String Value” door的类型是“REG SZ Value” Autodos的类型是“DWORD Value” 2.修改 修改相对来说比较简单，只要把你需要修改的项目导出，然后用记事本进行修改，然后导入（regedit /s）即可。 3.删除 我们首先来说说删除一个项目名称，我们创建一个如下的文件： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Ex4rch"=- 执行该脚本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"Ex4rch"就被删除了； 我们再看看删除一个子项，我们创建一个如下的脚本： Windows Registry Editor Version 5.00

怎样修改系统注册表

修改系统注册表（转载） 修改系统注册表（转载） Windows 98 注册表的应用 Windows 98注册表（Registry）是一个巨大的数据库，它包含了Windows 98 中软件和硬件的有关配置信息，是Windows 98 成功启动和正常使用不可缺少的初始化文件。一般情况下，普通用户无需与注册表打交道。但是运用本文所介绍的方法小心地使用注册表，却能给用户带来诸多方便。 1．确定文件的类型注册表中含有计算机中所有文件栏名与应用程序的关联记录，当不能确定某一文件类型时，可以请注册表帮忙。具体步骤为：（1）使用“开始”菜单的“运行”命令，启动Regedit 程序，打开注册表（Regedit 程序在Windows 目录下）；（2）单击HKEY-CLASSES-ROOT 前面的加号，打开HKEY-CLASSES-ROOT 分支；（3）滚屏找到不认识的那个栏名，单击其文件夹图标，打开文件夹。同时，登记库右边的窗口将显示有关该文件的信息，主要是与之相关的程序，根据与之相关的程序我们可以确定文件的类型。 2.查看已安装的设备驱动程序在Windows 3.x中，我们可以用Notepad或Sysedit等编辑器打开SYSTEM.INI来查看已安装的设备驱动程序，但在Windows 98中尽管也有SYSTEM.INI 文件，但从该文件中我们只能查看到16 位的驱动程序。要了解32位的驱动程序安装情况，就必须利用注册表。打开注册表，查看下面这个子关键词窗口，可以获知计算机中已安装的设备驱动程序：

HKEY-LOCAL-MACHINE 3?在开始”菜单上创建控制面板”（Control Panel）文件夹（1）右键单击任务栏上的“开始”按钮，弹出快捷菜单。（2）单击“资源管理器”。（3）单击“文件”菜单的“新建文件夹”命令。（4）输入如下长文件名：Control Panel.21 EC2020-3AEA-1069-A2DD-08001B30309D 并回车。其中的串值来自于注册表中的一项，它告诉Windows 98，该项是一个特殊的“开始”菜单值，它在开始采单上显示“ControlPanel"。（5）关闭资源管理器”，再一次显示开始”菜单，发现“ControlPanel'文件夹已添加到其顶部，我们可以从中快捷地访问控制面板中的各项内容。 4．从快捷图标中删去小箭头为一个应用程序创建快捷方式后，其图标的左下方都有一个向上的箭头。我们可以通过修改注册表使这个小箭头消失。（1）运行Regedit,打开注册表；（2）滚屏找到“ HKEYCLASSES-ROO”关键词，选中“Inkfile和“Piffile的”“lsShortCu项；（3）打开菜单中的编辑”菜单，单击“删除”命令，将选中的项删除；（4）关闭注册表，重新启动Windows 98。你 会发现令人讨厌的小箭头已不复存在。 5．加速桌面下级菜单的显示我们打开“开始”菜单，指向“程序”项时，会发现其下级菜单显示有些“迟钝”。通过下面的修改可以加速其显示速度：（1）运行Regedit,打开注册表；（2）滚屏找到HKEY-CURRENT-USERPanel分支， 在右边窗口空白处单击鼠标右键，然后从弹出的快捷菜单中选择“新建” “串值”（String value），输入“ MenuShowDela”后回车，创建此键值；（3）在 “ MenuShowDelayt单击鼠标右键并选择修改”（Modify ），在键值数据（value

进入注册表的一些常用命令

开始-->运行 一、regedit 进入注册表 1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 4. explorer-------打开资源管理器 5. logoff---------注销命令 6. tsshutdn-------60秒倒计时关机命令 7. lusrmgr.msc----本机用户和组 8. services.msc---本地服务设置 9. oobe/msoobe /a----检查XP是否激活 10. notepad--------打开记事本 11. cleanmgr-------垃圾整理 12. net start messenger----开始信使服务 13. compmgmt.msc---计算机管理 14. net stop messenger-----停止信使服务 15. conf-----------启动netmeeting 16. dvdplay--------DVD播放器 17. charmap--------启动字符映射表 18. diskmgmt.msc---磁盘管理实用程序 19. calc-----------启动计算器 20. dfrg.msc-------磁盘碎片整理程序 21. chkdsk.exe-----Chkdsk磁盘检查 22. devmgmt.msc--- 设备管理器 23. regsvr32 /u *.dll----停止dll文件运行 24. drwtsn32------ 系统医生 25. rononce -p ----15秒关机 26. dxdiag---------检查DirectX信息 27. regedt32-------注册表编辑器 28. Msconfig.exe---系统配置实用程序 29. rsop.msc-------组策略结果集 30. mem.exe--------显示内存使用情况 31. regedit.exe----注册表 32. winchat--------XP自带局域网聊天 33. progman--------程序管理器 34. winmsd---------系统信息 35. perfmon.msc----计算机性能监测程序 36. winver---------检查Windows版本 37. sfc /scannow-----扫描错误并复原 38. taskmgr-----任务管理器（2000/xp/2003 39. winver---------检查Windows版本 40. wmimgmt.msc----打开windows管理体系结构（WMI） 41. wupdmgr--------windows更新程序 42. wscript--------windows脚本宿主设置

win7系统终极批处理

Win7系统清理系统垃圾方法大全 win7清理系统垃圾的方法有哪些？ 答：win7垃圾文件存放的地方主要有两处：一个是在文件夹中，一个是存放在注册表里。 一、文件夹里的垃圾有：（假设Windows安装在C盘，如在其他分区替换字母即可） 1、“我的文档”里的垃圾，安放在C:\Windows\Recent文件夹中; 2、安装程序、编辑文件时产生的临时文件安放在c:\windows\temp文件夹中; 3、删除文件时扔往垃圾桶里的东西在C:\RECYCLED文件夹中(隐藏文件夹); 4、当你上网浏览网站时，Windows会在C:\WINDOWS\History和C:\Windows\Temporary Internet Files文件夹中保留下你曾看过的网页; 5、曾经登陆过的信息，微软还会保留cookie，这些都存放在C:\WINDOWS\Cookies中。 二、注册表里的垃圾有： 在Windows系统中，注册表是一个记录32位驱动的设置和位置的复杂的信息数据库。当操作系统需要存取硬件设备，它使用驱动程序，甚至设备是一个BIOS支持的设备。无BIOS 支持设备安装时必须需要驱动，这个驱动是独立于操作系统的，但是操作系统需要知道从哪里找到它们，文件名、版本号、其他设置和信息，没有注册表对设备的记录，它们就不能被使用。 长期的使用Windows系统，注册表被频繁的读取，总是会留下各种各样的残留信息，比如缺失的共享DLL文件、未使用的文件扩展名、类型库、字体、应用程序路径、帮助文件、废弃的软件等信息，都在注册表里!但我们最好不要手动去删除这些残留信息，以免误删导致系统出问题。推荐使用专业的清理工具来扫描、清理。 复制一下内容更改文件类型为.bat(txt----bat) @echo off color 0b echo ================================================================== echo. echo 您已启动WIN 7 系统垃圾清理，这里运行的命令都很安全！ echo. echo ================================================================== echo. echo 在程序没有结束的信息时，请勿关闭本窗口！ echo. echo ================================================================== echo. echo 正在清除系统垃圾文件，请稍后...... echo. echo ================================================================== echo. echo ********************************** echo.

如何删除Win 7中已关联的文件类型

如何删除Win 7中已关联的文件类型 在Windows Vista之后，大家可以发Windows资源管理器里面的文件夹选项里面少了一个“文件类型”选项卡。这对于用惯了Windows XP的高级用户无疑又是一个障碍。正是因为少了这个选项卡，我们在Windows Vista以及Windows 7中一旦错误地关联了某个文件类型，那么就“不可逆转”了，我们无法删除这个关联。前几天，我就遇到这个情况，本来我想利用Internet Explorer 的Adobe Flash Player插件来播放下载的一个.swf文件的，可是在选择打开方式的时候，没有注意到系统默认勾选了“始终使用选择的程序打开这种文件(A)”，并且点击了“确定”按钮，结果所有.swf文件的图标都变成了一个白色文件图标中间加上一个IE图标的那种…… 百度一下，发现网上还是有一些解决方案的，但是可以说，很多是不可行的，而且没有一种适用于Windows 7，最多能够对Vista有效。为什么呢？现行的一些解决方案有的说可以使用第三方系统优化程序或者第三方小工具删除，可是这些程序不适用于Windows 7，而且需要安装；还有的说使用系统自带的assoc 命令或者使用控制面板中的默认程序-设置关联来解决，其实也是不可行的，下面我做一个Demo说明为什么不行： 首先打开控制面板，选择“程序”，再次选择“默认程序”，您可以看到如下画面：

接下来，我们点击第二个项目——“将文件类型或协议与程序关联”，将打开如下的窗口：

选中被错误关联的文件类型，您只能点击右上角的“更改程序…”按钮，并且弹出如下对话框： 如上图所示，在这里，您只能将当前被错误关联的程序重新关联到另外的程序，而不能删除此关联。有的网友甚至说，自己用记事本建立一个空的后缀为exe 的假程序，并且更改关联到它，然后删除这个假程序即可，其实也是不可行的，因为下次你双击打开被错误关联的文件时，系统会弹出选择程序的对话框提示您以前的exe找不到了，并且此类文件的图标仍然是错误的。 好了，绕了这么多的弯子，该讲讲如何正确删除已建立的文件关联了。很多网友都说不能通过注册表解决，其实，通过注册表是完全可以解决的，而且绿色无污染，通过系统自带的注册表编辑器或者批处理文件就可以完全解决此问题。下面我们一起来看看如何删除文件关联。

主页被篡改,通过修改注册表的方式来的解决的终极方法(图文,自己的方式)

以前主页被修改的问题只是修改了注册表的值或者修改系统的配置信息等，但是只要简单的修改回来就行了，但是现在很多情况下使用360安全卫士等软件也是无法进行主页的更改，因为表面上看是已经修改好了，但是打开IE，还是有问题。这说明这些恶意制造者可谓是费劲了心机了 - -！对主页被恶意修改后，手动修改注册表数值后，关闭注册表编辑器，重新打开仍然会恢复到原来的数值。或者是主页被恶意修改后，手动去修改注册表数值，提示：无法编辑，写该值的新内容时出错。 今天重装了系统，发现一个问题，主页默认是被修改为某某网站的，打开IE就直接跳转到了那个网页的页面，怒之，决定不从表面操作进行问题解决，使用修改注册表键值的方法，从而将其连根拔起。但是中途遇到了一些顽固的问题，不解，遂寻找解决办法，最后将整个解决过程写下，为众人提供一个参考途径。对付主页被锁定的问题，很多情况下，都可以使用这种方法进行解决，不是万能的，也算是千能。由于照顾很多菜鸟，所以写的步骤比较繁琐，部分步骤，高手略去即可。 1、打开IE，将恶意网址例如：www.某某.com 等类似的地址，全部复制下来 2、点击“开始”菜单--运行--regedit，打开后，是注册表编辑器的界面，如果不太懂，没有关系，一步一步的来做的话 基本是不会产生什么异常的。

3、打开以后，鼠标选中第一项就行了（因为我们要搜索全部的注册表，把含有恶意网址的信息查找出来），一般是“我的电脑”。 4、使用“ctrl+F 快捷键”打开查找界面，或者从菜单中的“编辑--查找” 打开也可。

5、将复制的恶意网址黏贴进去，同时将下面的“项、值、数据” 三个后面都打上勾。点击“查找下一个”。 6、查找出来以后，在右侧会显示出注册表的数据，有“名称、类型、数据”等显示出来了。 7、找到那些在“数据”一栏里面含有恶意网址的行，在当条记录的“名称”上，鼠标右键--修改，然后只将www.某某.com 网址删除掉就行了，点击“确定”。

如何强制删除文件

删除文件 怎样删除顽固文件（文件夹） 对于顽固的文件，可以新建一个文本文档，把以下内容复制进去： @echo off DEL /F /A /Q \\?\%1 RD /S /Q \\?\%1 echo 清除完成！ echo. & pause 然后关闭点击保存，然后把文件的后缀名改为.bat（关键点）然后就可以把想要删除的文件拖入这个文件当中，最后再删除这个文件即可（此方法适用于一些无法读源文件的文件） [编辑本段] 如何删除顽固的文件（文件夹） 删除顽固文件的常规方法 方法1：重新启动Windows操作系统后，再按常规方式删除文件。 方法2：在DOS(或命令提示符)界面中用Del、Deltree之类的命令删除。 方法3：利用非Windows资源管理器的第三方工具删除，例如具有浏览文件夹功能的TotalCommander、acdsee、FlashFXP、nero等软件。 方法4：如果你安装了两个以上的操作系统，那么就可以在当前系统中删除其它操作系统的文件。 方法5：在启动时按F8键选择进入安全模式执行删除操作。 [编辑本段] 最好用的删除方法 很多杀软都有粉碎文件的功能，比如360，卡卡等。以360为例，打开36 0，在高级工具中，选择“文件粉碎机”，添加你要删除的文件，【记得要打上√】执行“粉碎选中文件”即可。 网上介绍了很多方法，我试了很多，只有这个我觉得是最好用的。 试试，最起码不需要再按照其他的软件了。 删除“其它程序正在使用”的文件 问题表现：

WindowsXP系统中，准备删除一个大容量的AVI格式文件，但系统却总是提示无法执行删除操作，有别的程序在使用，即使刚开机进入Windows系统时也是如此。 问题解决： 方法1：打开记事本，点击菜单栏“文件”→“另存为”，命名文件和你想删除的那个文件名一致(包括扩展名)，而后进行替换，会发现容量变为0KB了。此时，执行删除命令即可。 方法2：在那个AVI文件同目录中新建一个文件夹，然后重新启动。现在，不要选那个AVI文件，先选择刚才新建的文件夹，然后再同时按Ctrl键+那个AVI文件，执行删除操作。 方法3：把AVI文件的扩展名改为其它任意无效的文件类型，再执行删除操作。 方法4：有一个一劳永逸的方法就是禁用WindowsXP的媒体预览功能，点击“开始”→“运行”，输入：“CMD”后回车。然后在“命令提示符”窗口下输入：regsvr32/ush media.dll 回车确认操作后将卸载视频文件的预览功能。以后在需要恢复视频文件预览功能时，在“命令提示符”中输入：regsvr32shmedia.dll命令即可。 方法5：启动曾播放过那个AVI文件的媒体播放器，打开另一个文件。此后，再尝试删除即可。 方法6：可用winrar程序删除，用鼠标右键单击那个AVI文件，在弹出菜单中选择“添加到压缩文件”，而后在弹出窗口的“常规”标签页中选择“压缩后删除源文件”复选框。确认操作后，执行压缩操作。最后再删除该压缩文件。 方法7：调出“Wind ows任务管理器”，在其中选择结束Explorer进程，但此时不要关闭该窗口。这时候，会出现像死机一样的状况。我们切换到“应用程序”标签页，点击“新任务”按钮，输入Explorer.exe并确认操作。此后，桌面又恢复正常了，再执行删除操作即可。 巧妙删除“非空文件夹”或“坏文件” 问题表现： 在WindowsXP系统下(NTFS分区格式)，无论是在资源管理器还是用第三方工具都删除不了指定文件，例如用TotalCommander删除，先提示文件夹非空，确认后没任何反应。即使用DOS盘启动，加载ntfsfordospro可读写版本，也删除不了，提示说是“坏的文件名”，但是可以看到该文件夹。 问题解决： 这种情况下的文件无法删除很有可能是由于在NTFS格式下长文件名造成的。我们可以使用8.3格式缩小长度或更改路径中部分目录名以减少路径的长度。例如可以暂时把路径中某些目录改名字，或在命令行模式下使用8.3格式。例如，“LinuxFaq”

常用CDM指令

net use $">\\ip\ipc$Content$nbsp;" " /user:" " 建立IPC空链接 net use $">\\ip\ipc$Content$nbsp;"密码" /user:"用户名" 建立IPC非空链接 net use h: $">\\ip\c$Content$nbsp;"密码" /user:"用户名" 直接登陆后映射对方C：到本地为H: net use h: $">\\ip\c$Content$nbsp;登陆后映射对方C：到本地为H: net use $">\\ip\ipc$Content$nbsp;/del 删除IPC链接 net use h: /del 删除映射对方到本地的为H:的映射 net user 用户名密码 /add 建立用户 net user guest /active:yes 激活guest用户 net user 查看有哪些用户 net user 帐户名查看帐户的属性 net localgroup administrators 用户名 /add 把“用户”添加到管理员中使其具有管理员权限,注意：administrator后加s用复数 net start 查看开启了哪些服务 net start 服务名开启服务；(如:net start telnet， net start schedule) net stop 服务名停止某服务 net time \\目标ip 查看对方时间 net time \\目标ip /set 设置本地计算机时间与“目标IP”主机的时间同步,加上参数/y es可取消确认信息 net view 查看本地局域网内开启了哪些共享 net view \\ip 查看对方局域网内开启了哪些共享 net config 显示系统网络设置 net logoff 断开连接的共享 net pause 服务名暂停某服务 net send ip "文本信息" 向对方发信息 net ver 局域网内正在使用的网络连接类型和信息 net share 查看本地开启的共享 net share ipc$Content$nbsp;开启ipc$共享 net share ipc$Content$nbsp;/del 删除ipc$共享 net share c$Content$nbsp;/del 删除C：共享 net user guest 12345 用guest用户登陆后用将密码改为12345 net password 密码更改系统登陆密码 netstat -a 查看开启了哪些端口,常用netstat -an netstat -n 查看端口的网络连接情况，常用netstat -an netstat -v 查看正在进行的工作 netstat -p 协议名例：netstat -p tcq/ip 查看某协议使用情况（查看tcp/ip协议使用情况） netstat -s 查看正在使用的所有协议使用情况 nbtstat -A ip 对方136到139其中一个端口开了的话，就可查看对方最近登陆的用户名（0 3前的为用户名）-注意：参数-A要大写

利用PE修改本机系统注册表

看了某篇文章说注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 这个位置是存放Windows 用户信息的地方，包括密码和权限，于是好奇，将administrator 的000001F4下的F 键值复制给了Miracle rufter 用户，本意是让自己的用户直接拥有administrator 的权限，不用在被弹出的对话框烦扰，结果忽视了原先的administrator 已经被禁用而且也忘记了即便没禁用，用自己用户登录，其实登录的也是 administrator 的用户配置，也就是说程序、文件夹、桌面都不是原先自己的。结果重启到登录界面，傻眼了。让输入密码，先输了几次密码都不对就意识到了应该是administrator 的密码，那个帐号没密码的，直接回车也不对，试了几次后提示该用户已被禁用！这才知道事态的严重性，因为我系统里只有一个自己的帐号是被激活的，administrator 和guest 都是被禁用状态，而现在自己的帐号也被禁用了，瞬间崩溃。事故起源： 1、翻遍脑海，想到本机已经加入家庭组，知道在系统启动后即便没有登录到用户桌面，其后台已经联网，局域网内的其他计算机可以访问本机，看能不能通过 RegWorkshop 远程修改注册表。于是赶紧把房间台式机打开，果然可以通过网络打开笔记本的共享文件夹，但联网只拥有Homeusers 的权限，没有足够的权限进行远程连接注册表，并且万恶的把备份的注册表文件放在了D 盘没有被共享，就算RegWorkshop 连接上了也找不到原始备份，被迫放弃； 2、记得PE 盘有工具可以消除Windows 用户登录密码，于是用家里的老毛桃U 盘启动，果然有工具，进去能看到本机的4个用户，赶紧把XJ 、Miraclerufter 的“帐户已禁用”选项勾掉，密码也清除，重启想用XJ 登录，能进系统的话就可以改注册表了。结果到了登录界面死活只有Miraclerufter 用户登录对话框，怎么就切换不到XJ 呢，用 Ctrl+Alt+Del 也不好用，着急，而且Miraclerufter 用户输入密码还是提示该用户已禁用，想到是不是PE 压根就没把两个帐号解禁呢，再次无奈放弃； 多种尝试： 进不去系统改注册表，能不能在PE 系统下修改本机的注册表呢？不懂问度娘，搜索出来果然有成功案例，赶紧现学现卖。以下照搬网上教程： 解决问题： WINPE进入后利用运行regedit进入，显然打开的是WINPE的注册表信息，没关系找到HKEY_LOCAL_MACHINE并左键单击使其高亮，再点击任务栏中的文件选择“加载配置单元”利用PE 修改本机系统注册表 2015年3月3日8:37

批处理文件修改注册表中的一些东西

这要修改注册表中的一些东西，给你一个批处理文件，设置一下就好了！ 把以下部分复制粘贴到记事本中，保存，然后把保存的文件的扩展名.txt改成.bat然后双击执行！ ================================================================= @ cls @ echo off @ title 刚子收集制作整理 ::2为绿色背景F为亮白色背景 @ color 2F @ ECHO. @ ECHO. @ ECHO ┏━━━━━━━━━━━━━━━━━━━━━━━━━┓ @ ECHO ┃┃ @ ECHO ┃刚子收集制作整理┃ @ ECHO ┃大家可以免费使用和修改┃ @ ECHO ┃┃ @ ECHO ┃QQ:15128965 ┃ @ ECHO ┃欢迎光临刚子博客：┃ @ ECHO ┃┃ @ ECHO ┗━━━━━━━━━━━━━━━━━━━━━━━━━┛ @ ECHO. @ ECHO. @ echo %date% %time% %ver% @ ECHO. ::将每行中的第二个和第三个符号传递给for 程序体；用逗号和/或空格定界符号。 ::请注意，这个for 程序体的语句引用%i 来取得第二个符号，引用%j 来取得第三个符号，引用%k来取得第三个符号后的所有剩余符号。 @ for /f "tokens=1,3*" %%i in ('ver') do set v=%%i %%j %%k @ echo ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ @ echo. @ echo 计算机名：%COMPUTERNAME% @ echo 操作系统：%OS% @ echo 操作系统版本：%v% @ echo 系统所在分区：%systemdrive% @ echo 系统所在目录windows：%SystemRoot% @ echo 当前用户名：%USERNAME% @ echo 用户配置文件目录：%USERPROFILE% @ echo. @ echo ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ @ ECHO. ::%windir% 和%SystemRoot% 是一样的 ::for /r "%userprofile%\My Documents\" %%i in (*.*) do echo %%i >>1.txt

黑客常用命令大全

Dos常用命令一： net use \\ip\ipc$ " " /user:" " 建立IPC空链接 net use \\ip\ipc$ "密码" /user:"用户名" 建立IPC非空链接 net use h: \\ip\c$ "密码" /user:"用户名" 直接登陆后映射对方C：到本地为H: net use h: \\ip\c$ 登陆后映射对方C：到本地为H: net use \\ip\ipc$ /del 删除IPC链接 net use h: /del 删除映射对方到本地的为H:的映射 net user 用户名密码/add 建立用户 net user guest /active:yes 激活guest用户 net user 查看有哪些用户 net user 帐户名查看帐户的属性 net localgroup administrators 用户名/add 把“用户”添加到管理员中使其具有管理员权限,注意：administrator后加s用复数 net start 查看开启了哪些服务 net start 服务名开启服务；(如:net start telnet，net start schedule) net stop 服务名停止某服务 net time \\目标ip 查看对方时间 net time \\目标ip /set 设置本地计算机时间与“目标IP”主机的时间同步,加上参数/yes可取消确认信息 net view 查看本地局域网内开启了哪些共享 net view \\ip 查看对方局域网内开启了哪些共享 net config 显示系统网络设置 net logoff 断开连接的共享 net pause 服务名暂停某服务 net send ip "文本信息" 向对方发信息 net ver 局域网内正在使用的网络连接类型和信息 net share 查看本地开启的共享 net share ipc$ 开启ipc$共享 net share ipc$ /del 删除ipc$共享 net share c$ /del 删除C：共享 net user guest 12345 用guest用户登陆后用将密码改为12345 net password 密码更改系统登陆密码 netstat -a 查看开启了哪些端口,常用netstat -an netstat -n 查看端口的网络连接情况，常用netstat -an netstat -v 查看正在进行的工作 netstat -p 协议名例：netstat -p tcq/ip 查看某协议使用情况（查看tcp/ip协议使用情况）netstat -s 查看正在使用的所有协议使用情况 nbtstat -A ip 对方136到139其中一个端口开了的话，就可查看对方最近登陆的用户名（03前的为用户名）-注意：参数-A要大写 tracert -参数ip(或计算机名) 跟踪路由（数据包），参数：“-w数字”用于设置超时间隔。ping ip(或域名) 向对方主机发送默认大小为32字节的数据，参数：“-l[空格]数据包大小”；“-n发送数据次数”；“-t”指一直ping。 ping -t -l 65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)

批处理修改注册表

如何用批处理修改注册表方法二则 禁止使用命令提示符程序和批处理文件 Windows 2000/XP下的命令提示符(即CMD.exe程序)相当于Windows 98下的MS-DOS程序。出于系统本身安全考虑，应防止非法用户在命令提示符下或是利用批处理文件(BAT文件)对计算机进行破坏，这可通过修改注册表来实现。 选择【开始】→【运行】命令，在【运行】对话框的【打开】文本框中输入“regedit.exe”，单击【确定】按钮，运行注册表编辑器，依次打开以下键： HKEY_CURRENT_USER\Software\Policies\Microsoft\System 在右边的窗口中新建一个DWORD值，其名称为DisableCMD，设数值数据为2，则表示命令提示符程序和批处理文件都不能被运行，其值为1，则只是禁止命令提示符的运行。 示例： echo REGEDIT4>iedown.reg echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]>>iedown.reg echo "1803"=dword:00000000>>iedown.reg 以上生成REG文件. regedit /s iedown.reg del iedown.reg 运行REG后删除之. 还可以：写一个注册表文件,放在一个位置.. 然后批处理导入: @echo off regedit /s 注册表文件路径 exit 说明:/s是不弹出确认提示直接导入

先学习一下如何使用.REG文件来操 作注册表.(我们可以用批处理来生成一个REG文件) 关于注册表的操作，常见的是创建、修改、删除。 1.创建 创建分为两种，一种是创建子项(Subkey) 我们创建一个文件，内容如下： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker] 然后执行该脚本，你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个名字为"hacker"的子项。 另一种是创建一个项目名称 那这种文件格式就是典型的文件格式，和你从注册表中导出的文件格式一致，内容如下： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Invader"="Ex4rch" "Door"=C:\\WINNT\\system32\\door.exe "Autodos"=dword:02 这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下新建了:Invader、door、about这三个项目 Invader的类型是"String value" door的类型是"REG SZ value" Autodos的类型是"DWORD value" 2.修改

修改ip地址和mac地址用命令

WinXP一键更改IP与MAC地址 前一阵子，因为寝室里要不断更换homeshare主机，改IP和MAC成了一项比较麻烦的工序，因此一直想手动编写一个一键更改IP与MAC的批处理文件，查看一些网上方法，发现并不好用。 如，用netsh interface ip命令，该命令介绍如下： ? －显示命令列表 add －向表中添加一个配置项目 delete －从表中删除一个配置项目 dump －显示一个配置脚本 help －显示命令列表 reset －复位tcp/ip 及相关的组件到到干净的状态 set －设置配置信息 show －显示信息 这里我们只用到set命令 如：netsh interface ip set address "本地连接" static 172.30.40.59 255.255.0.0 172.30.3.21 1 某些机器上名称不是本地连接，而是local address一类的，只要替换上述命令中相关内容即可，IP中三项分别对应IP、掩码、网关，最后的“1”是指默认网关的跃点数，一般为“1”。 这样更改IP工作完成。 注：（该方法仅针对固定IP类型，如非固定IP则将netsh一行用以下命令替换） 1.要将指定适配器的静态地址切换为DHCP 地址，键入以下命令：netsh interface ip set address"本地连接" dhcp 2.更改DNS为192.168.0.1:netsh interface ip set DNS "本地连接" static 192.168.0.1 缺点：该方法虽简单易懂，但执行起来速度并不快，需要看使用者电脑配置而定，其主要原因在于更改IP的命令netsh执行较慢。

修改注册表让Win7具有快速启动功能

修改注册表让Win7具有快速启动功能 有很多第三方优化辅助类软件，可以帮助用户为Windows XP系统启动加速。虽然目前也有针对Windows 7系统优化提速的软件（比如鲁大师，Vista优化大师等)，但此类软件一直都存在“优化过头，导致部分系统功能丢失”，被Windows Vista和Windwos 7等用户看做“远远不够成熟”的辅助类软件。 很多第三方优化辅助类软件，可以帮助用户为Windows XP系统启动加速。虽然目前也有针对Windows 7系统优化提速的软件（比如鲁大师，Vista优化大师等)，但此类软件一直都存在“优化过头，导致部分系统功能丢失”，被Wind ows Vista和Windwos 7等用户看做“远远不够成熟”的辅助类软件。 在第三方优化软件“不够成熟”的情况下，部分用户转向挖掘Windows 7系统潜能，借助修改注册表的方式，达到加快系统启动速度的目的。 运行注册表编辑器，依次展开到分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session M anager\Memory Management\PrefetchParameters，然后在右侧窗口中找到并双击“EnablePrefetcher”，在弹出对话

框中将系统默认的值“3”修改“0”（如下图），保存设置后退出即可。

上面的方法相对而言，比较“传统”，在Windows XP系统中，通过修改注册表的方式，也可以达到为系统启动提速的目的。 如果你现在使用的是Windows 7系统，而且CPU是双核的，那么你就可以拥有比其它操作系统更快的启动速度。向笔者推荐这个方法的ZOL网友认为，这个才是真正可以“让XP用户羡慕”的Windows 7独有功能！ 想知道Windows 7独有的加速系统启动的方法么？点击这里……在Windows 7系统中，点击开始菜单，在“搜索程序和文件”中输入“msconfig”，回车即打开“系统配置”对话框，请在此对话框中切换到“引导”标签，然后单击图1中红色圆圈处的“高级选项”按钮。

如何删除C盘上没有用的东西

如何删除C盘上没有用的东西？ 1. 删除系统文件备份sfc.exe /purgecache （一般用户是不怎么用的） 2 删除驱动备份windows\driver cache\i386目录下的Driver.cab文件（73mb) 3. 取消系统还原（总体来说系统还原功能还是不错的，建议除了xp安装的那个 盘使用，其它盘都别用，如果哪一天硬盘的空间不够了，可以通过系统清理程序删除一些比较早的还原点） 4、删除帮助文件（减掉40多mb) （使用中文汉化包的文件大小为92兆，刚开始使用xp 的同志最好别删） 5、删掉\WINDOWS\system32\dllcache下文件（减去200——300mb)。 （这是备用的dll文件，只要你拷贝了安装文件，完全可以这样做。既然这样删你没话说） 6、把我的文档、IE的临时文件夹都转到其他盘（分区）。（同时对系统的速 度，和硬盘都有好处，如果使用的是双系统，最好把两个系统的IE临时文件都放在同一个文件夹，这样既加快速度有节省空间） 7、把虚拟内存也转到其他盘。（最好就是将这些东西和平时临时下载文件放在一个不大的分区里，这样也方便整理硬盘） 8、将应用软件装在其他盘（这对重装系统也有好处，可以省很多事）。 9、如用ntfs装xp,本身就节省地盘。 10、卸载不常用组件：用记事本修改%windows%\inf\sysoc.inf，用查找/替换功能，在查找框中输入,hide，全部替换为空。这样，就把所有的,hide都去掉了，存盘退出后再运行“添加-删除程序”，就会看见“添加/删除Windows组件”中多出不少选项；删除掉游戏啊，码表啊等不用的东西。 然后介绍如何清理系统垃圾 一.系统运行生成的垃圾文件 系统运行产生的垃圾大部分情况下都是为了提高系统的易用性，在某些时候，Windows的这些设计确实给用户带来了不少方便，虽然它们是实实在在的无用垃圾文件。其中包括： 1，“开始”-“最近访问文档”里的垃圾：这是Windows自作聪明把系统的最近使用的文件做个链接放在这里，相信对芏嗳硕济挥杏么Α? 清除方法：右键单击Start（开始），选择（属性）命令，然后，单击“自定义”，选择“高

Windows系统注册表的中文注释

Windows系统注册表的中文注释.txt爱人是路，朋友是树，人生只有一条路，一条路上多棵树，有钱的时候莫忘路，缺钱的时候靠靠树，幸福的时候别迷路，休息的时候靠靠树！第一：进程是什么 进程为应用程序的运行实例，是应用程序的一次动态执行。看似高深，我们可以简单地理解为：它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括：系统管理计算机个体和完成各种操作所必需的程序；用户开启、执行的额外程序，当然也包括用户不知道，而自动运行的非法程序（它们就有可能是病毒程序）。 危害较大的可执行病毒同样以“进程”形式出现在系统内部（一些病毒可能并不被进程列表显示，如“宏病毒”），那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。 第二：什么是木马 木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。 传染方式:通过电子邮件附件发出，捆绑在其他的程序中。 病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。 木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。 防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。 第三：什么是计算机病毒 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓 延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随 同文件一起蔓延开来。 除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎 仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不 寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。 可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序 的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性