系统服务、自启动程序、进程是系统三大要素。在对系统进行优化或者安全检查的时候,我们经常要对系统三大件进行监测。虽然已经有很多专业软件可以对三大件进行管理,但是对于Windows XP用户来说,只要利用系统本身的组件和命令就可以管好它们了。
用NET START命令监测服务,一动便知
很多朋友通过手动关闭不需要的服务来优化系统。不过,由于对被关闭的服务不熟悉,手动优化系统后却出现一些莫名其妙的故障。比如,一个朋友电脑执行系统优化后,发现系统内原来正常使用的诺基亚手机浏览服务无法使用。怎么才知道自己该关闭哪些服务呢?现在借助NET START命令可以快速发现变化的服务,该命令可以查找出当前系统已开启的服务,并支持重定向输出信息到文件。
1.在执行系统优化前(或者系统正常情况下),启动命令提示符输入“net start >d:services.txt”。这样可以把当前系统开启的服务输出到d:services.txt中,我们可以把这个作为系统服务正常状态的参照。
2.如果对系统服务进行调整后发生故障,同上,再次执行“net start >d:services1.txt”,将优化后的服务状态输出。
3.继续在命令提示符下输入“fc d:services.txt d:services1.txt”,使用FC命令比较两个文件不同。我们很快就知道优化前后,一个名为“ServiceLayer”的服务发生变化(如图1)。
4.现在单击“开始→运行”,输入“services.msc”打开系统服务管理窗口。按提示把ServiceLayer服务设置为“自动”并启动该服务顺利解决故障。
小提示:除了NET START命令,我们还可以借助sc query(列出当前服务详细信息)、sc query state= all(列出所有服务,包括硬件驱动服务),用类似于上面介绍的方法对服务进行更详尽的监测。
用WMIC命令,自启动程序一加就知
自启动程序是随着系统启动自动加载的,很多病毒、木马正是通过这种方式在系统中运行的。借助系统自带的WMIC命令可以非常方便地列出所有自启动程序。
1.启动命令提示符输入wmic进行安装。以后就可以在命令提示符使用WMIC脚本了。在确保系统无毒或者正常使用的情况下,启动命令提示符输入“wmic startup list brief >d:start.txt”,将系统所有自启动项输出到d:start.txt。
2.同上,现在如果怀疑系统增加了未知的自启动项,再次输入“wmic startup list brief >d:start1.txt”,然后使用FC命令进行比较,很快就可以发现新增的启动项。
用WMIC命令,进程信息一目了然
WMIC命令还可以查看当前启动进程的详细信息。比如,笔者通过FC比较发现一个新增的rundll32.exe启动项目,但是经检查rundll32.exe却是个正常的系统文件。其实木马是通过rundll32.exe调用dll文件运行。
在命令提示符输入WMIC,在WMIC提示符wmic:rootcli>输入“process”,当前所有进程详细信息就一目了然了,可以看到rundll32.exe调用的是c:windowshgz.dll木马文件(如图2)。
小提示:在怀疑自己中招的时候,我们经常要使用任务管理器查看当前进程。但是任务管理器无法查看进程路径和参数。借助WMIC的process命令可以获取当前进程详细信息。因此我们可以在系统正常时使用process命令查看并记录开机进程。一旦发现异常,使用FC即可快速找出新增的进程,同时可以根据process提供的路径将异常程序删除。