收获的季节

优盘丢了，怎么办？当然第一想法就是要找回来了，捡到的人要是跟本不知道那是什么玩意儿，那你就认了吧！要是他知道这是优盘并且还插入了电脑，并且他的电脑还联到了网上，那捡到你优盘的人就算倒霉了，呵呵！听听我这怎么收拾他。

找回优盘软件的设计思路当然是利用木马了，呵呵。

1、利用优盘自动运行的特性，可以先杀掉杀软，再安装已经自己配置好的木马。

2、连上自己的肉鸡（用自己优盘换来的，代价惨重），先查阅一下他电脑里的重要资料，做一下了解。

3、把他电脑里的重要资料加锁，小文件可以拷贝到自己的电脑中，再把它覆盖删除。

4、与对方联系并索要优盘。可邮寄，不合作，干脆把它电脑格了算了，解解气完事。

5、软件的要求，最好有熊猫烧三香、ARP和威金的特性，能删除GHO镜像，感染可执行文件C盘和D盘的，但最好不要让系统崩溃，只感染定向文件，网络欺骗。

6、防止自己运行被禁，可以在优盘中放一个自我介绍之类的有诱惑力的文件名，图标做成文本格式，运行后能打记事本并有一些文字以增加欺骗力。

7、还有就是优盘中不要放重要文件和有隐私的文件。丢了大不了再买一个，文件重要啊。

说了这么多，可惜我自己的1G优盘已经丢了，唉！做了一晚上的梦找优盘，虽然最后找到了，可是在现实之中是不可能再找到了。一天没有再意她，她就丢了，各位有优盘的看官以后可以小心了。

在一次不经意的时候突然想很多事物都会是互反的，电能产生磁，磁也能产生电，既然电有导体，有电流，是不是也有磁导体，磁流呢？电有导体、绝缘体、半导体、超导体，我想磁也有。什么样的会是磁的导体呢？有即导电又导磁的，有即不导电也不导磁的。变化的磁场在电的导体中会产生电流，那么变化的电场在磁的导体中也会产生磁流。如果真的有磁流，真不知道又会产生什么效应呢？那是不是原子的周围也会有磁子呢？还有磁有永磁体，分南北极，那么电是不是也有永电体，分正、负呢。如果有的话，就可以像发电机一样，让磁导体在永电体中旋转，就会产生磁流。

引用奉昌广的互变定律假说

    多年前的一个晚上，我闲做无聊看着电风扇发呆，突然一个奇怪的念头从我脑海里闪过：电风扇旋转能把风吹出来，反过来，风对着电风扇吹，电风扇也能旋转起来。我就想：自然界中是不是所有的一切都存在这种现象呢？我首先想到了电，发电机简单的说就是导体在磁场中旋转能产生电，反过来，给导体通电导体也能旋转起来。有一种半导体通电后在半导体的两端一端能发热，另一端能吸热。反过来，在半导体的发热端加热，半导体两端就会产生电。这就是所谓的放射性同位素温差发电。现在所谓的燃料电池，氢气和氧气氧化能发电。其实想一想，直流电能使水电解出氢气和氧气。反过来，氢气和氧气氧化能生成水而且能发电。压电陶瓷片通电能震动发音，反过来，在压电陶瓷片上施加力使他震动也能发电。诸如此类不甚枚举，自然界中很多现象也都如此。我想：如果我所谓的互变定律真的存在，那么很多所谓的发明就不是偶然而是必然。为了证明此定律存在，我这些年在做不懈的努力，由于条件有限很多问题我无法解决，其一：通电导体能产生磁，反过来，导体上如果有磁导体中必电，交流电已证明了这点。直流电为什么不行呢？我想如果在导体中制造出一种完全和通直流电产生的磁场一样的磁场导体中一定也能产生电。我研究了多年没有大的突破。我想材料必须用永磁体和能被磁化的导体。我条件有限找不到理想的材料，我希望能有对此感兴趣的志士继续这项研究。其二：超导现象也可简单的理解为：通电导体以磁和热两种效应存在。如果把热效应消除，剩下的就只有磁了。这就是所谓的超导。我想如果把一根条型永磁体（必须是导体）用高温使中间部分的磁性消失，或者把一根永磁体用高温使磁性消失，同时在它两端放上两块永磁体，会产生什么现象呢？我想说的是：如果一根磁体它有磁通过而不让它以磁场的形式存在会是什么结果？其三：如果在半导体的吸热端冷冻，它也会产生电吗？我有太多的疑问，希望有识之士与我共同探讨！

许多 Windows NT 网络命令以 net 开始。这些 net 命令有一些公共属性：
通过键入 net /? 可查阅所有可用的 net 命令。
通过键入 net help 命令可在命令行中获得 net 命令的语法帮助。例如，要得到 net acco
unts 命令的帮助，请键入 net help accounts。
所有 net 命令接受选项 / yes 和 /no（可缩写为 / y 和 /n ）。/ y 对命令产生的任何交互提示自动回答“是”，/n 回答“否”。例如，net stop server 通常提示确认是否根据服务器服务结束所有服务，net stop server /y 自动回答“是”并关闭服务器服务。

Net Accounts

更新用户帐号数据库、更改密码及所有帐号的登录要求。必须要在更改帐号参数的计算机上运行网络登录服务。
net accounts [/forcelogoff:{minutes | no}] [/minpwlen:length] [/maxpwage:{days |
unlimited}] [/minpwage:days] [/uniquepw:number] [/domain]
net accounts [/sync] [/domain]
参数
无
键入不带参数的 net accounts，将显示当前密码设置、登录时限及域信息。
/forcelogoff:{minutes | no}
设置当用户帐号或有效登录时间过期时，结束用户和服务器会话前的等待时间。no 选项禁止强行注销。该参数的默认设置为 no。 指定 /forcelogoff:minutes 之后，Windows NT 在其强制用户退出网络 minutes 分钟之前，将给用户发出警报。如果还有打开的文件，Windows NT 将警告用户。如果 minutes 小于两分钟，Windows NT 警告用户立即从网络注销。
/minpwlen:length
设置用户帐号密码的最少字符数。允许范围是 0-14，默认值为 6。
/maxpwage:{days | unlimited}
设置用户帐号密码有效的最大天数。unlimited 不设置最大天数。/maxpwage 选项的天数必须大于 /minpwage。允许范围是 1-49,710 天 (unlimited)。默认值为 90 天。
/minpwage:days
设置用户必须保持原密码的最小天数。 0 值不设置最小时间。允许范围是 0-49,710 天，默认值为 0 天。
/uniquepw:number
要求用户更改密码时，必须在经过 number 次后，才能重复使用与之相同的密码。允许范围是 0-8。默认值为 5。
/domain
在当前域的主域控制器上执行该操作。否则只在本地计算机执行操作。
该参数仅用于 Windows NT Server 域中的 Windows NT Workstation 计算机，Windows NT Server 计算机默认为在主域控制器执行操作。
/sync
当用于主域控制器时，该命令使域中所有备份域控制器同步；当用于备份域控制器时，该命令仅使该备份域控制器与主域控制器同步。该命令仅适用于 Windows NT Server 域成员的计算机。

Net Computer

从域数据库中添加或删除计算机。该命令仅在运行 Windows NT Server 的计算机上可用。
net computer \computername {/add | /del}
参数
\computername
指定要添加到域或从域中删除的计算机。
/add
将指定计算机添加到域。
/del
将指定计算机从域中删除。

Net Config

显示当前运行的可配置服务，或显示并更改某项服务的设置。
net config [service [options]]
参数
无
键入不带参数的 net config 将显示可配置服务的列表。
service
通过 net config 命令进行配置的服务（server 或 workstation）。
options
服务的特定选项。完整语法请参阅 net config server 或 net config workstation。

Net Config Server

运行服务时显示或更改服务器的服务设置。
net config server [/autodisconnect:time] [/srvcomment:"text "] [/hidden:{yes | n
o}]
参数
无
键入不带参数的 net config server，将显示服务器服务的当前配置。
/autodisconnect:time
设置断开前用户会话闲置的最大时间值。可以指定 -1，表示永不断开连接。允许范围是 -1-65535 分钟，默认值是 15 分钟。
/srvcomment:"text "
为服务器添加注释，可以通过 net view 命令在屏幕上显示所加注释。注释最多可达 48 个字符，文字要用引号引住。
/hidden:{yes | no}
指定服务器的计算机名是否出现在服务器列表中。请注意隐含某个服务器并不改变该服务器的权限。默认为 no。

Net Config Workstation

服务运行时，显示或更改工作站各项服务的设置。
net config workstation [/charcount:bytes] [/chartime:msec] [/charwait:sec]
参数
无
键入不带参数的 net config workstation 将显示本地计算机的当前配置。
/charcount:bytes
指定 Windows NT 在将数据发送到通讯设备之前收集的数据量。如果同时设置 /chartime:msec 参数，Windows NT 按首先满足条件的选项运行。允许范围是 0-65535 字节，默认值是16 字节。
/chartime:msec
指定 Windows NT 在将数据发送到通讯设备之前收集数据的时间。如果同时设置 /charcount:bytes 参数，Windows NT 按首先满足条件的选项运行。允许范围是 0-65535000 毫秒，默认值是 250 毫秒。
/charwait:sec
设置 Windows NT 等待通讯设备变为可用的时间。允许的范围是 0-65535 秒，默认值是 3600 秒。

Net Continue

重新激活挂起的服务。
net continue service
参数
service
能够继续运行的服务，包括： file server for macintosh（该服务仅限于 Windows NT Server）, ftp publishing service, lpdsvc, net logon, network dde，network dde dsdm，nt lm security support provider，remoteboot（该服务仅限于 Windows NT Server），remote access server, schedule，server，simple tcp/ip services 及 workstation 。

Net File

显示某服务器上所有打开的共享文件名及锁定文件数。该命令也可以关闭个别文件并取消文件锁定。
net file [id [/close]]
参数
无
键入不带参数的 net file 可获得服务器上打开文件的列表。
id
文件标识号。
/close
关闭打开的文件并释放锁定记录。请从共享文件的服务器中键入该命令。

Net Group

在 Windows NT Server 域中添加、显示或更改全局组。该命令仅在 Windows NT Server 域中可用。
net group [groupname [/comment:"text "]] [/domain]
net group groupname {/add [/comment:"text "] | /delete} [/domain]
net group groupname username [ ...] {/add | /delete} [/domain]
参数
无
键入不带参数的 net group 可以显示服务器名称及服务器的组名称。
groupname
要添加、扩展或删除的组。仅提供某个组名便可查看组中的用户列表。
/comment:"text "
为新建组或现有组添加注释。注释最多可以是 48 个字符，并用引号将注释文字引住。
/domain
在当前域的主域控制器中执行该操作，否则在本地计算机上执行操作。
该参数仅用于作为 Windows NT Server 域成员的 Windows NT Workstation 计算机。Windows NT Server 计算机默认为在主域控制器中操作。
username[ ...]
列表显示要添加到组或从组中删除的一个或多个用户。使用空格分隔多个用户名称项。
/add
添加组或在组中添加用户名。必须使用该命令为添加到组中的用户建立帐号。
/delete
删除组或从组中删除用户名。

Net Help

提供网络命令列表及帮助主题，或提供指定命令或主题的帮助。可用网络命令列于 N 下面的“命令参考”中“命令”窗口内。
net help [command]
net command {/help | /?}
参数
无
键入不带参数的 net help 显示能够获得帮助的命令列表和帮助主题。
command
需要其帮助的命令，不要将 net 作为 command 的一部分。
/help
提供显示帮助文本方式选择。
/?
显示命令的正确语法。

Net Helpmsg

提供 Windows NT 错误信息的帮助。
net helpmsg message#
参数
message#
需要其帮助的 Windows NT 消息的四位代码。

Net Localgroup

添加、显示或更改本地组。
net localgroup [groupname [/comment:"text "]] [/domain]
net localgroup groupname {/add [/comment:"text "] | /delete} [/domain]
net localgroup groupname name [ ...] {/add | /delete} [/domain]
参数
无
键入不带参数的 net localgroup 将显示服务器名称和计算机的本地组名称。
groupname
要添加、扩充或删除的本地组名称。只提供 groupname 即可查看用户列表或本地组中的全局组。
/comment: "text "
为新建或现有组添加注释。注释文字的最大长度是 48 个字符，并用引号引住。
/domain
在当前域的主域控制器中执行操作，否则仅在本地计算机上执行操作。
该参数仅应用于 Windows NT Server 域中的 Windows NT Workstation 计算机。Windows NT Server 计算机默认为在主域控制器中操作。
name [ ...]
列出要添加到本地组或从本地组中删除的一个或多个用户名或组名，多个用户名或组名之间以空格分隔。可以是本地用户、其他域用户或全局组，但不能是其他本地组。如果是其他域的用户，要在用户名前加域名（例如，SALESRALPHR）。
/add
将全局组名或用户名添加到本地组中。在使用该命令将用户或全局组添加到本地组之前，必
须为其建立帐号。
/delete
从本地组中删除组名或用户名。

Net Name

添加或删除消息名（有时也称别名），或显示计算机接收消息的名称列表。要使用 net name 命令，计算机中必须运行信使服务。
net name [name [/add | /delete]]
参数
无
键入不带参数的 net name 将列出当前使用的名称。
name
指定接收消息的名称。名称最多为 15 个字符。
/add
将名称添加到计算机中。 /add 是可选项，键入 net name name 与键入 net name name /add 相同。
/delete
从计算机中删除名称。

Net Pause

暂停正在运行的服务。
net pause service
参数
service
指下列服务： file server for macintosh（仅限于 Windows NT Server）、ftp publishing service、lpdsvc、net logon、network dde、network dde dsdm、nt lm security support provider、remoteboot（仅限于 Windows NT Server）、remote access server、schedule、server、simple tcp/ip services 或 workstation 。

Net Print

显示或控制打印作业及打印队列。
net print \computername sharename
net print [\computername ] job# [/hold | /release | /delete]
参数
computername
共享打印机队列的计算机名。
sharename
打印队列名称。当包含 computername 与 sharename 时，使用反斜杠 () 将它们分开。
job#
在打印机队列中分配给打印作业的标识号。有一个或多个打印机队列的计算机为每个打印作业分配唯一标识号。如果某个作业号用于共享打印机队列中，则不能指定给其他作业，也不能分配给其他打印机队列中的作业。
/hold
使用 job# 时，在打印机队列中使打印作业等待。打印作业停留在打印机队列中，并且其他打印作业只能等到释放该作业之后才能进入。
/release
释放保留的打印作业。
/delete
从打印机队列中删除打印作业。

Net Send

向网络的其他用户、计算机或通信名发送消息。要接收消息必须运行信使服务。
net send {name | * | /domain[:name] | /users} message
参数
name
要接收发送消息的用户名、计算机名或通信名。如果计算机名包含空字符，则要将其用引号(" ") 引住。
*
将消息发送到组中所有名称。
/domain[:name]
将消息发送到计算机域中的所有名称。如果指定 name，则消息将发送到指定域或组中的所有名称。
/users
将消息发送到与服务器连接的所有用户。
message
作为消息发送的文本。

Net Session

列出或断开本地计算机和与之连接的客户端的会话。
net session [\computername] [/delete]
参数
无
键入不带参数的 net session 可以显示所有与本地计算机的会话的信息。
\computername
标识要列出或断开会话的计算机。
/delete
结束与 \computername 计算机会话并关闭本次会话期间计算机的所有打开文件。如果省略\computername 参数，将取消与本地计算机的所有会话。

Net Share

创建、删除或显示共享资源。
net share sharename
net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"]
net share sharename [/users:number | unlimited] [/remark:"text"]
net share {sharename | drive:path} /delete
参数
无
键入不带参数的 net share 将显示本地计算机上所有共享资源的信息。
sharename
是共享资源的网络名称。键入带 sharename 的 net share 命令，只显示该共享信息。
drive:path
指定共享目录的绝对路径。
/users:number
设置可同时访问共享资源的最大用户数。
/unlimited
不限制同时访问共享资源的用户数。
/remark:"text "
添加关于资源的注释，注释文字用引号引住。
/delete
停止共享资源。

Net Start

启动服务，或显示已启动服务的列表。如果服务名是两个或两个以上的词，如 Net Logon 或Computer Browser，则必须用引号 (") 引住。.
net start [service]
参数
无
键入不带参数的 net start 则显示运行服务的列表。
service
包括下列服务： alerter、client service for netware、clipbook server、computer browser、dhcp client 、directory replicator 、eventlog 、ftp publishing service 、lpdsvc、messenger 、net logon 、network dde 、network dde dsdm 、network monitoring agent 、nt lm security support provider 、ole 、remote access connection manager 、remote access isnsap service 、remote access server 、remote procedure call (rpc) locator 、remote procedure call (rpc) service 、schedule 、server 、simple tcp/ip services 、snmp、spooler 、tcp/ip netbios helper 、ups 及 workstation
。
下列服务仅在 Windows NT Server 下可用：file server for macintosh、gateway service for netware、microsoft dhcp server、print server for macintosh、remoteboot、windows internet name service 。

Net Statistics

显示本地工作站或服务器服务的统计记录。
net statistics [workstation | server]
参数
无
键入不带参数的 net statistics 将列出其统计信息可用的运行服务。
workstation
显示本地工作站服务的统计信息。
server
显示本地服务器服务的统计信息。

Net Stop

停止 Windows NT 网络服务。
net stop service
参数
service
包括下列服务： alerter（警报）、client service for netware（Netware 客户端服务）、clipbook server（剪贴簿服务器）、computer browser（计算机浏览器）、directory replicator（目录复制器）、ftp publishing service (ftp )（ftp 发行服务）、lpdsvc、messenger（信使）、net logon（网络登录）、network dde（网络 dde）、network dde dsdm（网络 dde dsdm）、network monitor agent（网络监控代理）、nt lm security support provider（NT LM 安全性支持提供）、ole（对象链接与嵌入）、remote access connection manager（远程访问连接管理器）、remote access isnsap service（远程访问 isnsap 服务）、remote access server（远程访问服务器）、remote procedure call (rpc) locator（远程过程调用定位器）、remote procedure call (rpc) service（远程过程调用服务）、schedule（调度）、server（服务器）、simple tcp/ip services（简单 TCP/IP 服务）、snmp、spooler（后台打印程序）、tcp/ip netbios helper（TCP/IP NETBIOS 辅助工具）、ups 及 workstation（工作站）。
下列服务仅在 Windows NT Server 中可用： file server for macintosh、gateway service for netware、microsoft dhcp server、print server for macintosh、remoteboot、windows internet name service。

Net Time

使计算机的时钟与另一台计算机或域的时间同步。不带 /set 参数使用时，将显示另一台计算机或域的时间。
net time [\computername | /domain[:name]] [/set]
参数
\computername
要检查或同步的服务器名。
/domain[:name]
指定要与其时间同步的域。
/set
使本计算机时钟与指定计算机或域的时钟同步。

Net Use

连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。该命令也控制永久网络连接。
net use [devicename | *] [\computernamesharename[volume]] [password | *]] [/user:[domainname]username] [[/delete] | [/persistent:{yes | no}]] net use devicename [/home[password | *]] [/delete:{yes | no}] net use [/persistent:{yes | no}]
参数
无
键入不带参数的 net use 将列出网络连接。
devicename
指定要连接到的资源名称或要断开的设备名称。有两类设备名：磁盘驱动器（D: 到 Z:）和打印机（LPT1: 到 LPT3）。若键入星号而不是指定设备名将分配下一个可用设备名。
\computernamesharename
服务器及共享资源的名称。如果计算机名包含空白字符，要用引号 (" ") 将双反斜线及计算机名引住。计算机名长度可以是 1-15 个字符。
volume
指定服务器上的 NetWare 卷。要连接到 NetWare 服务器，必须安装并运行 NetWare 客户机服务 (Windows NT Workstation) 或 NetWare 网关服务 (Windows NT Server)。
password
访问共享资源的密码。
*
提示键入密码。在密码提示行中键入密码时，将不显示该密码。
/user
指定进行连接的另外一个用户。
domainname
指定另一个域。例如 net use d: \servershare /user:adminmariel 连接用户 mariel，如同从 admin 域连接一样。如果省略域，将使用当前登录域。
username
指定登录的用户名。
/home
将用户连接到其宿主目录。
/delete
取消指定网络连接。如果用户以星号指定连接，则取消所有网络连接。
/persistent
控制永久网络连接的使用。默认为上次使用的设置。无设备的连接不是永久的。
yes
保存建立的所有连接，并在下次登录时还原。
no
不保存建立的连接和继发连接，并在下次登录时还原现有连接。使用 /delete 开关项取消永久连接。

Net User

添加或更改用户帐号或显示用户帐号信息。
net user [username [password | *] [options]] [/domain]
net user username {password | *} /add [options] [/domain]
net user username [/delete] [/domain]
参数
无
键入不带参数的 net user 将查看计算机上的用户帐号列表。
username
添加、删除、更改或查看用户帐号名。用户帐号名最多可以有 20 个字符。
password
为用户帐号分配或更改密码。密码必须满足在 net accounts 命令 /minpwlen 选项中设置的最小参数。最多是 14 个字符。
*
提示输入密码。在密码提示行中键入密码时，将不显示该密码。
/domain
在计算机主域的主域控制器中执行操作。
该参数仅在 Windows NT Server 域成员的 Windows NT Workstation 计算机上可用。默认情况下，Windows NT Server 计算机在主域控制器中执行操作。
注意：在计算机主域的主域控制器发生该动作。它可能不是登录域。
/add
将用户帐号添加到用户帐号数据库。
/delete
从用户帐号数据库中删除用户帐号。
选项如下所示：
/active:{no | yes}
启用或禁止用户帐号。如果不激活用户帐号，用户就不能访问计算机上的资源。默认值是 yes （激活）。
/comment:"text"
提供用户帐号的注释。该注释最多可以有 48 个字符，文字用引号引住。
/countrycode:nnn
使用操作系统的国家代码以便为用户帮助和错误信息文件提供指定语言文件。0 值表示默认国家代码。
/expires:{date | never}
如果设置 date，将导致用户帐号过期，never 不对用户帐号设置时间限制。过期日期根据 /countrycode 值可以是下列格式： mm/dd/yy、dd/mm/yy 或 mmm, dd, yy。注意帐号在指定日期开始时过期。月份可以是数字、全名或三个字母的简拼。年可以是两位或四位数，使用逗号或斜线（不要用空格） 区分日期的各部分。如果省略 yy ，则使用该日期下一次到来的年份（根据计算机的时钟）。例如如果在 1994 年 1 月 10 日到 1995 年 1 月 8 日之间输入下列日期项，那它们相同：jan,9 1/9/95
january,9,1995
1/9
/fullname:"name"
指定用户全名而不是用户名。用引号将名字引住。
/homedir:path
设置用户宿主目录的路径。该路径必须存在。
/homedirreq:{yes | no}
设置是否需要宿主目录。
/passwordchg:{yes | no}
指定用户是否能改变自己的密码。默认值是 yes。
/passwordreq:{yes | no}
指定用户帐号是否需要密码，默认值是 yes。
/profilepath:[path]
设置用户登录配置文件的路径。该路径名指向注册表配置文件。
/scriptpath:path
为用户登录脚本设置路径。Path 不能是绝对路径；
path 是相对于 %systemroot%SYSTEM32REPLIMPORTSCRIPTS 的相对路径：。
/times:{times | all}
指定允许用户使用计算机的时间。times 值表示为 day[-day][, day[-day]] , time[-time][, time[-time]], 增量限制为一小时。Days 可以是全名或简写（M、T、W、Th、F、Sa、Su）。Hours 可以是 12 小时制或 24 小时制。对于 12 小时值，使用 AM、PM 或 A.M、P.M。all 表示用户总可以登录。空值表示用户永远不能登录。用逗号分隔日期和时间，分隔时间和日期的单位用分号（例如 M,4AM-5PM; T,1PM-3PM）。指定 /times 时不要使用空格。
/usercomment:"text "
让管理员添加或更改帐号的“用户注释”。用引号引住文字。
/workstations:{computername[,...] | *}
列出最多八个用户可以登录到网络的工作站。用逗号分隔列表中的多个项。如果 /workstations 没有列表，或如果列表是星号“*”，则用户可以从任何一台计算机登录。

Net View

显示域列表、计算机列表或指定计算机的共享资源列表。
net view [\computername | /domain[:domainname]]
net view /network:nw [\computername]
参数
无
键入不带参数的 net view 将显示当前域的计算机列表。
\computername
指定要查看其共享资源的计算机。
/domain[:domainname]
指定要查看其可用计算机的域。如果省略 domainname ，则显示网络的所有域。
/network:nw
显示 NetWare 网络中所有可用的服务器。如果指定计算机名，则显示 NetWare 网络中该计算机的可用资源。也可以用此开关指定添加到系统中的其他网络。

===============================================
本文版权属20CN网络安全小组及其作者所有,如有转载,请保持文章完整性并注明出处
文章类型:原创 提交:日月双星 核查:NetDemon

返回
 
 
 

这一课主要讲解windows下的主要网络命令的基本用法
首先我想发表一下我的几个意见：-）
1.现在很多人以为黑个聊天室，黑个游戏，或者是黑个oicq号码。
就很了不起了，其是这样子会让人更讨厌。因为这些能代表什么呢？
如果你黑聊天室，黑游戏使用的是自己编写的脚本。那么就没有人
瞧不起你。
2.不是我不提倡用别人的软件，只是我不希望有些人总是拿着别人
写的软件挨个的试试。相信很多人都是这样。
有些工具还是可以用的。比如说小榕的溜光，还有一些sniffer，如
NetXRay等等。因为这些使用这些工具是有目的的，而不是前面我提的
那一种。
3.只要我一上网，就会有很多人找我，然后说能收我为徒弟么？
其实我也不是什么高手，或许比你还要菜-）,这样只会增加别人
的反感。
4.我的这些知识都是自己学来的。不是靠别人教的，要是靠别人教，
不知道要什么驴年马月才能学会，我学习的时候也不是冲着黑客去学的。
也许有一个很好的老师很重要，因为这样的老师能够传授你的好的学习
方法，和经验。
5.所以我的这些教程不是什么好东西，但愿能够给你的学习提出一个
导航。
------==[不要扁我呀]==------
好吧，我们现在就从简单的开始吧。
我先简单的介绍一下MS的一些基本工具。
1.ping
这在前面的一课里面讲过它的基本原理。现在讲述它的简单用法：
ping这个命令是在windows98/me的dos和winnt/2000的命令行下的
一个命令。它给另一个系统发送一些列的数据包，该系统本身又发回
一个响应，它返回的结果如下

Pinging TBid.mshome.net [127.0.0.1] with 32 bytes of data:

Reply from 127.0.0.1: bytes=32 time<10ms TTL=64
Reply from 127.0.0.1: bytes=32 time<10ms TTL=64
Reply from 127.0.0.1: bytes=32 time<10ms TTL=64
Reply from 127.0.0.1: bytes=32 time<10ms TTL=64

Ping statistics for 127.0.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

返回信息表示是否能够连通该主机，宿主机发送一个返回数据包需要的
时间。
在提示符后输入c:windows>ping /?
可以返回如下的帮助文件。
Usage: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list] | [-k host-list]]
[-w timeout] destination-list

Options:
-t Ping the specified host until stopped.（除非人为终止，否则会一直ping下去）
To see statistics and continue - type Control-Break;
To stop - type Control-C.（如果要人为终止的话，同时按下Ctrl+C）
-a Resolve addresses to hostnames.()(把ip地址转为主机名)
-n count Number of echo requests to send.（响应请求的数量）
-l size Send buffer size.（数据包的大小，单位是bytes,默认的是32bytes）
-f Set Don't Fragment flag in packet.(数据包中无碎片)
-i TTL Time To Live.（生存时间，也就是我们前一节中所说的TTL）
-v TOS Type Of Service.(服务类型)
-r count Record route for count hops.
-s count Timestamp for count hops.
-j host-list Loose source route along host-list.
-k host-list Strict source route along host-list.
-w timeout Timeout in milliseconds to wait for each reply.（超时时间）
这个命令还有一个作用就是把域名转为ip地址，比如
ping www.sohu.com
然后返回的一个ip地址就是www.sohu.com的ip地址。
也不是说ping不到的ip地址，就不存在，其实也有一种可能就是对方的机器有防火墙。

2.tracert它的中文意思就是跟踪，这个是用来跟踪路有的。
用法如下：
Usage: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

Options:
-d Do not resolve addresses to hostnames.（不将ip地址转化为主机名）
-h maximum_hops Maximum number of hops to search for target.（最大跟踪量）
-j host-list Loose source route along host-list.
-w timeout Wait timeout milliseconds for each reply.（超时时间）

3.net呵呵。这可是windows里面最好的网络命令了，我可要详细的道来了
NET ACCOUNTS
NET HELP
NET SHARE
NET COMPUTER
NET HELPMSG
NET START
NET CONFIG
NET LOCALGROUP
NET STATISTICS
NET CONFIG SERVER
NET NAME
NET STOP
NET CONFIG WORKSTATION
NET PAUSE
NET TIME
NET CONTINUE
NET PRINT
NET USE
NET FILE
NET SEND
NET USER
NET GROUP
NET SESSION
NET VIEW

我们挑几种比较有实用价值的来说说。
->1.
net view
NET VIEW [\\computername [/CACHE] | /DOMAIN[:domainname]]
NET VIEW /NETWORK:NW [\\computername]

Net view
显示域列表、计算机列表或者由指定计算机共享的资源。

net view [\\computername | /domain[:domainname]]

net view /network:nw [\\computername]

参数

无

如果在没有参数的情况下使用，则 net view 显示当前域中的计算机列表。

\\computername

指定要查看其共享资源的计算机。

/domain[:domainname]

指定要查看其可用计算机的域。如果省略了 domainname，将显示网络中所有的域。

/network:nw

显示 NetWare 网络上所有可用的服务器。如果指定了计算机名，将显示 NetWare 网络中该
计算机上的可用资源。添加到该系统的其他网络也可以使用该开关指定。

Net view
范例
要查看由 \\Production 计算机共享的资源列表，请键入：

net view \\production

要查看 NetWare 服务器 \\Marketing 上的可用资源，请键入：

net view /network:nw \\marketing

要查看销售域或工作组中的计算机列表，请键入：

net view /domain:sales

要查看 NetWare 网络中的所有服务器，请键入：

net view /network:nw

Net view
说明
使用 net view 命令显示计算机列表。显示内容与以下相似：

Server Name Remark

-------------------------------------------------

\\Production Production file server

\\Print1 Printer room, first floor

\\Print2 Printer room, second floor

->2.
NET USE

Net use
将计算机与共享资源连接或断开，或者显示关于计算机连接的信息。该命令还控制持久网络
连接。

net use [devicename | *] [\\computername\sharename[\volume]] [password | *]] [/u
ser:[domainname\]username] [[/delete] | [/persistent:{yes | no}]]

net use devicename [/home[password | *]] [/delete:{yes | no}]

net use [/persistent:{yes | no}]

参数

无

如果在没有参数的情况下使用，则 net use 检索网络连接列表。

devicename

指派名称以便连接到资源或指定断开的设备。有两种设备名称：磁盘驱动器（D: 到 Z:）和
打印机（LPT1: 到 LPT3:）。键入星号代替特定设备名，指派下一个可用的设备。

\\computername\sharename

指定服务器和共享资源的名称。如果 computername 包含空白字符，则将计算机名从双反斜
杠 (\\) 到计算机名结尾用引号 (" ") 括起来。计算机名长度可以是 1 到 15 个字符。

\volume

指定服务器上的 NetWare 卷。必须安装了 NetWare 客户服务 (Windows 2000 Professiona
l) 或 NetWare 网关服务 (Windows 2000 Server)，并且正在运行连接到 NetWare 服务器。

password

指定访问共享资源所需的密码。

*

生成密码提示行。在密码提示行处键入密码时不显示密码。

/user

指定建立连接的不同用户名。

domainname

指定其他域。例如，net use d:\\server\share /user:admin\mariel 会连接用户标识符 m
ariel，就好象该连接是从 admin 域建立一样。如果省略了 domainname，将使用当前登录的
域。

username

指定登录时使用的用户名。

/delete

取消指定的网络连接。如果用户使用星号指定连接，则所有网络连接均将取消。

/home

将用户连到主目录。

/persistent

控制持久网络连接的使用。默认值为最后一次使用的设置。非设备连接不会持久。

yes

按其建立时的原样保存所有连接，并在下次登录时还原它们。

no

不保存已建立的连接或后续连接。现存的连接在下一次登录时还原。使用 /delete 开关删除
持久连接。

Net use
范例
要将磁盘驱动器设备名 E：指派给 \\Financial 服务器上的 Letters 共享目录，请键入：

net use e:\\financial\letters

要将磁盘驱动器设备名 M： 指派（映射）给 \\Financial NetWare 服务器上 Letters 卷中
的目录 Maria，请键入：

net use m:\\financial\letters\maria

要将设备名 LPT1：指派给 \\Accounting 服务器上的 Laser2 共享打印机队列，请键入：

net use lpt1:\\accounting\laser2

要从 LPT1 打印机队列断开连接，请键入：

net use lpt1:/delete

要将磁盘驱动器设备名 H：指派给主目录作为用户 mariel，请键入：

net use h:/home /user:mariel

要将磁盘驱动器设备名 F：指派给 \\Financial 服务器的 Scratch 共享目录，该目录需要
密码 hctarcs，但是不建立持久连接，请键入：

net use f:\\financial\scratch hctarcs /persistent:no

要与 \\Financial\Scratch 目录断开，请键入：

net use f:\\financial\scratch /delete

要与 \\Financial 2 服务器上共享的资源连接，请键入：

net use k:"\\financial 2" \memos

包含空格的服务器名必须使用引号括起来。如果省略了引号，Windows 2000 将显示错误消息
。

要在每次登录时还原当前连接而不考虑将来的更改，请键入：

net use /persistent:yes

Net use
说明
使用 net use 命令连接或断开网络资源，并查看当前与网络资源的连接。如果共享目录作为
当前驱动器使用，或者正在由活动进程使用，则不能从该共享目录断开。

得到有关连接的信息

要获得有关连接的信息，请执行以下任一操作：

键入 net use devicename 获得有关指定连接的信息。
键入 net use 获得所有计算机连接的列表。
非设备连接

非设备连接不会持久。

连接到 NetWare 服务器

安装并运行了 NetWare 客户端或网关服务软件后，您就可以连接到 Novell 网络的 NetWar
e 服务器上。除了必须包含要连接的卷外，与连接到 Windows 网络服务器时使用的语法相同
。

->3.
Net group
在 Windows 2000 Server 的域中添加、显示或修改全局组。该命令只有在 Windows 2000 S
erver 域控制器上才可用。

net group [groupname [/comment:"text"]] [/domain]

net group groupname {/add [/comment:"text"] | /delete} [/domain]

net group groupname username[ ...]{/add | /delete[/domain]

参数

无

键入不带参数的 net group 命令显示服务器名和服务器上组的名称。

groupname

指定要添加、扩展或删除的组的名称。只提供组名以查看组中的用户列表。

/comment:"text"

为新建或已经存在的组添加注释。注释可以包含多达 48 个字符。给文本加上引号。

/domain

对当前域的主域控制器执行操作。否则，操作在本地计算机上执行。

该参数只应用于 Windows 2000 Server 域中成员的 Windows 2000 Professional 计算机。
默认情况下，Windows 2000 Server 计算机在主域控制器上执行操作。

username

列出一个或多个用户名以添加到组或从组中删除。用空格分隔多个用户名项。

/add

添加组，或向组中添加用户名称。使用此命令添加到组中的用户必须建立帐户。

/delete

删除组，或从组中删除用户。

Net group
范例
要显示本地服务器上所有组的列表，请键入：

net group

要将组 exec 添加到本地用户帐户数据库，请键入：

net group exec /add

要将组 exec 添加到安装 Windows 2000 Professional 软件计算机的 Windows 2000 Serve
r 域用户帐户数据库，请键入：

net group exec /add /domain

要将现有用户帐户 stevev、ralphr（来自 SALES 域）和 jennyt 添加到本地计算机上的 e
xec 组，请键入：

net group exec stevev ralphr jennyt /add

要将现有用户帐户 stevev、ralphr（来自 SALES 域）和 jennyt 添加到安装 Windows 200
0 Professional 软件计算机上的“Windows 2000 Server”域的 exec 组，请键入：

net group exec stevev ralphr jennyt /add /domain

要显示 exec 组中的用户，请键入：

net group exec

要将备注添加到 exec 组记录，请键入：

net group exec /comment:"The executive staff."

Net group
说明
该命令也可以键入为 net groups。

使用 net group 命令将以相同或相似方式使用网络的用户分组。在对组指定权限时，组的每
个成员都自动获得这些权限。

显示在服务器上的组与下面出现的内容相似：

Group Accounts for \\PRODUCTION
________________________________________

*Domain Admins *Domain Users

注意每个组名之前有一个星号 (*)。星号区分显示包含用户和组的组。

->4.
Net localgroup
添加、显示或修改本地组。

net localgroup [groupname [/comment:"text"]] [/domain]

net localgroup groupname {/add [/comment:"text"] | /delete} [/domain]

net localgroup groupname name [ ...] {/add | /delete} [/domain]

参数

无

键入不带参数的 net localgroup 命令显示服务器名和计算机上本地组的名称。

groupname

指定要添加、扩展或删除的本地组的名称。只提供 groupname 以查看用户列表或本地组中的
全局组。

/comment:"text"

为新建或已经存在的组添加注释。注释可以包含多达 48 个字符。给文本加上引号。

/domain

对当前域的主域控制器执行操作。否则，操作在本地计算机上执行。

该参数只应用于 Windows 2000 Server 域中成员的 Windows 2000 Professional 计算机。
默认情况下，Windows 2000 Server 计算机在主域控制器上执行操作。

name [ ...]

列出一个或多个用户名或组名以添加或从本地组中删除。用空格分隔多项。名称可以是本地
用户、其他域的用户或全局组，但不能是其他本地组。如果用户来自另一个域，请在用户名的
开头添加域名（例如 SALES\RALPHR）。

/add

添加全局组名称或者向本地组中添加用户名称。用户或全局组必须在使用此命令加入本地组
之前先建立帐户。

/delete

从本地组中删除组名称或用户名。

Net localgroup
范例
要显示本地服务器上所有本地组的列表，请键入：

net localgroup

要将本地组 exec 添加到本地用户帐户数据库，请键入：

net localgroup exec /add

要将本地组 exec 添加到 Windows 2000 Server 域用户帐户数据库，请键入：

net localgroup exec /add /domain

要将现有用户帐户 stevev、ralphr（来自 SALES 域）和 jennyt 添加到本地计算机上的 e
xec 本地组，请键入：

net localgroup exec stevev sales\ralphr jennyt /add

要将现有用户帐户 stevev、ralphr（来自 SALES 域）和 jennyt 添加到本地计算机上的 e
xec 组，请键入：

net localgroup exec stevev ralphr jennyt /add /domain

要显示 exec 本地组中的用户，请键入：

net localgroup exec

要将注释添加到 exec 本地组记录，请键入：

net localgroup exec /comment:"The executive staff."

Net localgroup
说明
使用 net localgroup 命令将以相同或相似方式使用计算机或网络的用户分组。在对本地组
指定权限时，本地组的每个成员都自动获得相同的权限。

->5.
Net user
添加或修改用户帐户或者显示用户帐户信息。

net user [username [password | *] [options]] [/domain]

net user username {password | */add [options] [/domain]

net user username [/delete] [/domain]

参数

无

如果在没有参数的情况下使用，则 net user 将显示计算机上用户帐户的列表。

username

指定要添加、删除、修改或查看的用户帐户名。用户帐户名最多可有 20 个字符。

password

为用户帐户指派或更改密码。密码必须满足 net accounts 命令的 /minpwlen 选项设置的最
小长度。最多可有 127 个字符。但是，如果网上既有 Windows 2000 计算机，也有 Windows
95 或 Windows 98 计算机，则密码不要超过 14 个字符。Windows 95 和 Windows 98 支持
的密码长度最大为 14 个字符。如果密码太长，将无法从 Windows 98 或 Windows 95 计算机
上登录到网络。

*

生成该密码的提示符。在密码提示符处键入密码时不显示密码。

/domain

在计算机主域的主域控制器执行操作。

该参数只适用于属 Windows 2000 Server 域成员的 Windows 2000 Professional 计算机。
默认情况下，Windows 2000 Server 计算机在主域控制器上执行操作。

注意

该操作在计算机主域的主域控制器上执行。该域可能不是登录域。
/add

将用户帐户添加到用户帐户数据库。

/delete

从用户帐户数据库中删除用户帐户。

options

指定以下选项：

/active:{no | yes_

启用或禁用用户帐户。如果用户帐户不活动，该用户就无法访问计算机中的资源。默认设置
为 yes（活动）。

/comment:text

提供关于用户账户的描述性说明。该注释最多可以有 48 个字符。给文本加上引号。

/countrycode:nnn

使用操作系统“国家（地区）”代码为用户帮助和错误消息实现指定的语言文件。数值 0 代
表默认的“国家（地区）”代码。

/expires:{date | never}

如果设置了 date，会使用户帐户过期；不要给用户帐户设置时间限制。到期时间的格式可以
是 mm/dd/yy、 dd/mm/yy 或 mmm,dd,yy，这取决于“国家/地区”代码。注意，帐户在指定日
期开始时到期。月份可以是数字、拼写或三个字母的缩写。年份可以是两位或四位数字。使用
逗号和斜杠分隔日期的各部分（不使用空格）。如果省略了 yy，将假定为下一次出现的日期
（根据计算机的日期和时间）。例如，如果输入的日期在 1994 年 1 月 10 日到 1995 年 1
月 8 日之间，则下列 date 项相等:

jan,9
1/9/95
january,9,1995
1/9

/fullname:"name"

指定用户的全名而不是用户名。将名称用引号括起来。

/homedir:path

设置用户主目录的路径。该路径必须存在。

/passwordchg:{yes | no}

指定用户是否可以更改自己的密码。默认设置为 yes。

/passwordreq:{yes | no}

指定用户帐户是否必须有密码。默认设置为 yes。

/profilepath:[path]

设置用户登录配置文件的路径。该路径指向注册表配置文件。

/scriptpath:path

设置用户登录脚本的路径。path 值不能是绝对路径；path 相对于 %systemroot%\System32
\Repl\Import\Scripts。

/times:{times | all}

指定允许用户使用计算机的时间。times 值表示为 day [-day][，day[-day]]，time[-time
][，time[-time]]，增量限于 1 小时。日期可以拼写或缩写 (M,T,W,Th,F,Sa,Su)。小时可以
使用 12 或 24 制表示法。对于 12 小时表示法，请使用 AM、PM 或 A.M.、P.M.。数值 all
意味着用户总是可以登录。空值（空白）意味着用户永远不能登录。用逗号分隔日期和时间
，用分号分隔日期和时间单元（例如，M,4AM-5PM;T,1PM-3PM）。指定时间时不要使用空格。

/usercomment:"text"

指定管理员添加或更改帐户的“用户注释”。给文本加上引号。

/workstations:{computername[,...] | *}

最多列出 8 个用户可以登录到网络的工作站。用逗号分隔列表中的多个项。如果 /worksta
tions 没有列表，或列表为 *，则该用户可以从任何计算机登录。

Net user
范例
要显示本地计算机上所有用户帐户的列表，请键入：

net user

要查看有关用户帐户 jimmyh 的信息，请键入：

net user jimmyh

要添加 Henry James 的用户帐户，登录权限从星期一到星期五的早晨 8 点到下午 5 点（时
间指定中没有间隔），使用强制密码 (henryj) 和用户全名，请键入：

net user henryj henryj /add /passwordreq:yes /times:monday-friday,8am-5pm/fullna
me:"Henry James"

要使用 24 小时制表示法设置 johnsw 的登录时间（早晨 8 点到下午 5 点），请键入：

net user johnsw /time:M-F,08:00-17:00

要使用 12 小时制表示法设置 johnsw 的登录时间（早晨 8 点到下午 5 点），请键入：

net user johnsw /time:M-F,8am-5pm

要指定 marysl 的登录时间为星期一的早晨 4 点到下午 5 点、星期二的下午 1 点到 3 点
以及星期三到星期五的上午 8 点到下午 5 点，请键入：

net user marysl /time:M,4am-5pm;T,1pm-3pm;W-F,8:00-17:00

Net user
说明
该命令也可以键入为 net users。

使用 net user 命令创建和控制域中用户的用户帐户。用户帐户信息存储在用户帐户数据库
中。

注意

在运行 Windows 2000 Server 的计算机上键入 net user 命令时，对用户帐户数据库的更改
自动发生在主域控制器上，然后复制到备份域控制器上。这只适用于 Windows 2000 服务器域
。

->6.
Net share
创建、删除或显示共享资源。

net share sharename

net share sharename=drive:path [/users:number| /unlimited] [/remark:"text"]

net share sharename [/users:number| unlimited ] [/remark:"text"]

net share {sharename | drive:path} /delete

参数

无

键入不带参数的 net share 显示关于本地计算机上共享的所有资源的信息。

sharename

是共享资源的网络名称。键入带参数 sharename 的 net share 命令只显示有关该共享的信
息。

drive:path

指定要共享目录的绝对路径。

/users:number

设置可以同时访问共享资源的最多用户数。

/unlimited

指定可以同时访问共享资源的、数量不受限制的用户。

/remark:"text"

添加关于资源的描述注释。将文本包括在引号中。

/delete

停止共享资源。

Net share
范例
要显示有关计算机上共享资源的信息，请键入：

net share

要使用共享名 SECRETARY 共享计算机的 C:\LETTERS 目录并包括注释，请键入：

net share secretary=c:\letters /remark:"For department 123."

要停止共享 LETTERS 目录，请键入：

net share secretary /delete

要使用共享名 LIST 共享计算机的 C:\ART LST 目录并包括注释，请键入：

net share list="c:\art lst"

Net share
说明
使用 net share 命令共享资源。

要共享带有包含空格字符路径的目录，请使用双引号 (" ") 包括目录的驱动器和路径。

当显示计算机上的所有共享资源时，Windows 2000 报告资源的共享名、与资源相关的设备名
或路径，以及与资源有关的描述性注释。

显示与以下相似：

share name resource remark
------------------------------------------------------
ADMIN$ C:\WINNT Remote Admin
C$ C:\ Default Share for Internal Use
print$ C:\WINNT\SYSTEM\SPOOL
IPC$ Remote IPC
LASER LPT1 Spooled Laser printer

在服务器上创建共享时，这些共享将被保存。在停止 Server 服务时，所有共享都断开，但
是在下一次启动 Server 服务或者重新启动计算机时将自动重新连接它们。

->7.
Net start
启动服务，或显示已启动服务的列表。两个或多个词组成的服务名，例如 Net Logon 或 Co
mputer Browser，必须两边加引号 (")。

net start [service]

参数

无

键入不带参数的 net start 显示正在运行服务的列表。

service

包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。

下面服务只有在 Windows 2000 上可用：file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start
说明
使用 net start service 命令启动 Windows 2000 服务。有些服务取决于其他服务。

也可以使用“服务”管理单元将服务配置为自动停止和启动。同时使用该管理单元手工停止
、启动、暂停和继续网络服务。

两个或多个词组成的服务名，例如 Net Logon 或 Computer Browser，必须两边加引号 (")
。

该命令也将启动 Windows 2000 不提供的网络服务。

NET 可真是个庞大的命令，这里只是简单的几个。想看到更详细的。自己安装WINDOWS2000吧
。

4.AT
At
列出在指定的时间和日期在计算机上运行的已计划命令或计划命令和程序。必须正在运行“
计划”服务才能使用 at 命令。

at [\\computername] [[id] [/delete] | /delete [/yes]]

at [\\computername] time [/interactive] [/every:date[,...]| /next:date[,...]] co
mmand

参数

无

如果在没有参数的情况下使用，则 at 列出已计划的命令。

\\computername

指定远程计算机。如果省略该参数，命令将安排在本地计算机。

id

指定指派给已计划命令的识别码。

/delete

取消已计划的命令。如果省略了 id，计算机中已计划的命令将被全部取消。

/yes

当删除已计划的事件时，对系统的查询强制进行肯定的回答。

time

指定运行命令的时间。将时间以 24 小时标记（00:00 [午夜] 到 23:59）的方式表示为小时
：分钟。

/interactive

允许作业与在作业运行时登录用户的桌面进行交互。

/every:date[,...]

在每个星期或月的指定日期（例如，每个星期四，或每月的第三天）运行命令。将 date 指
定为星期的一天或多天 (M,T,W,Th,F,S,Su)，或月的一天或多天（使用 1 到 31 的数字）。
用逗号分隔多个日期项。如果省略了 date，将假定为该月的当前日期。

/next:date[,...]

在重复出现下一天（例如，下个星期四）时，运行指定命令将 date 指定为星期的一天或多
天 (M,T,W,Th,F,S,Su)，或月的一天或多天（使用 1 到 31 的数字）。用逗号分隔多个日期
项。如果省略了 date，将假定为该月的当前日期。

command

指定要运行的 Windows 2000 命令、程序（.exe 或 .com 文件）或批处理程序（.bat 或 .
cmd 文件）。当命令需要路径作为参数时，请使用绝对路径，也就是从驱动器号开始的整个路
径。如果命令在远程计算机上，请指定服务器和共享名的 UNC 符号，而不是远程驱动器号。
如果命令不是可执行 (.exe) 文件，必须在命令前加上 cmd /c，例如：

cmd /c dir > c:\test.out At
范例
要显示 Marketing 服务器上已计划的命令列表，请键入：

at \\marketing
要了解有关服务器 Corp 上身份验证号为 3 的命令的详细信息，请键入：

at \\corp 3
要计划早晨 8:00 在 Corp 服务器上运行网络共享命令并将列表重定向到服务器 Maintenan
ce、共享目录 Reports 和文件 Corp.txt，请键入：

at \\corp 08:00 cmd /c "net share reports=d:\marketing\reports >> \\maintenance\
reports\corp.txt"
要每隔 5 天在午夜将 Marketing 服务器的硬盘驱动器备份到磁带驱动器，请创建包含备份
命令的批处理程序 (Archive.cmd)。然后通过键入以下命令计划批处理程序运行：

at \\marketing 00:00 /every:5,10,15,20,25,30 archive
要取消当前服务器上计划的所有命令，请键入以下命令清除 at 计划信息：

at /delete

5.NETSTAT
Netstat
显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用
。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

参数

-a

显示所有连接和侦听端口。服务器连接通常不显示。

-e

显示以太网统计。该参数可以与 -s 选项结合使用。

-n

以数字格式显示地址和端口号（而不是尝试查找名称）。

-s

显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来
指定默认的子集。

-p protocol

显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同
使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。

-r

显示路由表的内容。

interval

重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。
如果省略该参数，netstat 将打印一次当前的配置信息。

Netstat
说明
Netstat 实用程序提供关于以下网络组件的统计：

Foreign Address

连接该插槽的远程计算机的 IP 地址和端口号码。如果 Hostsfile 包含 IP 地址项，将显示
与 IP 地址对应的名称而不是数字。如果端口尚未建立，端口号以星号 (*) 显示。

Local Address

本地计算机的 IP 地址和连接正在使用和端口号。如果 Hostsfile 包含 IP 地址项，将显示
与 IP 地址对应的名称而不是数字。如果端口尚未建立，端口号以星号 (*) 显示。

Proto

连接使用的协议名称。

(state)

只表明 TCP 连接的状态。可能的状态如下：

CLOSED
FIN_WAIT_2
SYN_RECEIVED
CLOSE_WAIT
LAST_ACK
SYN_SEND
ESTABLISHED
LISTEN
TIMED_WAIT
FIN_WAIT_1

6.NBTSTAT
Nbtstat
该诊断命令使用 NBT（TCP/IP 上的 NetBIOS）显示协议统计和当前 TCP/IP 连接。该命令只
有在安装了 TCP/IP 协议之后才可用。

nbtstat [-a remotename] [-A IP address] [-c] [-n] [-R] [-r] [-S] [-s] [interval]

参数

-a remotename

使用远程计算机的名称列出其名称表。

-A IP address

使用远程计算机的 IP 地址并列出名称表。

-c

给定每个名称的 IP 地址并列出 NetBIOS 名称缓存的内容。

-n

列出本地 NetBIOS 名称。“已注册”表明该名称已被广播 (Bnode) 或者 WINS（其他节点类
型）注册。

-R

清除 NetBIOS 名称缓存中的所有名称后，重新装入 Lmhosts 文件。

-r

列出 Windows 网络名称解析的名称解析统计。在配置使用 WINS 的 Windows 2000 计算机上
，此选项返回要通过广播或 WINS 来解析和注册的名称数。

-S

显示客户端和服务器会话，只通过 IP 地址列出远程计算机。

-s

显示客户端和服务器会话。尝试将远程计算机 IP 地址转换成使用主机文件的名称。

interval

重新显示选中的统计，在每个显示之间暂停 interval 秒。按 CTRL+C 停止重新显示统计信
息。如果省略该参数，nbtstat 打印一次当前的配置信息。

Nbtstat
说明
nbtstat 实用程序产生的列标题具有以下意义：

Input

已接收的字节数。

Output

已发送的字节数。

In/Out

该连接是否从计算机（传出）或者其他系统到本地计算机（传入）。

Lift

名称表缓存项在被清除之前所存留的时间。

Local Name

本地 NetBIOS 名称与连接相关联。

Remote Host

与远程计算机相关的名称或 IP 地址。

Type

指出名称类型。名称可以是单个名称，也可以是组名称。

<03>

每个 NetBIOS 名称长均为 16 个字符。由于最后一个字节经常有特殊的意义，因此相同的名
称可能在最后一个字节不同的计算机上出现几次。该标记只是转换为十六进制的最后字节，例
如，<20> 是 ASCII 码文本中的空格。

State

NetBIOS 连接的状态。可能的状态有：

状态 含义
Connected 会话已被建立。
Associated 连接的终结点已经被创建并与 IP 地址关联。
listening 该终结点对内向连接可用。
Idle 该结束点已被打开单不能接收连接。
Connecting 会话发生在连接阶段，在此阶段对目标进行的由名称到 IP 地址的映射正在被解
析。
Accepting 入站会话当前正在被接受，将在短期内连接。
Reconnecting 如果第一次连接失败，会话将试图重新连接。
Outbound 会话正在连接阶段，此阶段 TCP 连接正被创建。
Inbound 入站会话在连接期。
Disconnecting 会话正在断开连接。
Disconnected 本地计算机发生断开连接，正等待远程系统的确认。

-）
就将这么多了，我按CTRL+C，CTRL+V手都要按疼了。^_^
写完了这些，我想了很多很多，还有很多东西要写，但是像html,c,等等的教程我会提供资源
地址的。

-=[HUC]=-
TBid
oicq:1264993
email:tpoi@163.com

ATTRIB

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：修改指定文件的属性。
2．类型：外部命令。
3．格式：ATTRIB[文件名][R][——R][A][——A][H][——H][S][——S][/S]
4．使用说明：
（1）选用R参数，将指定文件设为只读属性，使得该文件只能读取，无法写入数据或删除；选用——R参数，去除只读属性；
（2）选用A参数，将文件设置为档案属性；选用——A参数，去除档案属性；
（3）选用H参数，将文件调协为隐含属性；选用——H参数，去隐含属性；
（4）选用S参数，将文件设置为系统属性；选用——S参数，去除系统属性；
（5）选用/S参数，对当前目录下的所有子目录及作设置。
--------------------------------------------------------------------------------

CD

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：显示当前目录
2．类型：内部命令
3．格式：CD[盘符：][路径名][子目录名]
4．使用说明：
（1）如果省略路径和子目录名则显示当前目录；
（2）如采用“CD、”格式，则退回到根目录；
（3）如采用“CD.。”格式则退回到上一级目录。
例：（1）进入到USER子目录；（2）从USER子目录退回到子目录；（3）返回到根目录。
C:＞CD FOX USER（进入FOX子目录下的USER子目录）
C:FOXUSER＞CD. （退回上一级根目录）
C:FOX＞CD （返回到根目录）
--------------------------------------------------------------------------------

CHKDSK

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：显示磁盘状态、内存状态和指定路径下指定文件的不连续数目。
2．类型：外部命令
3．格式：CHKDSK [盘符：][路径][文件名][/F][/V]
4．使用说明：
（1）选用[文件名]参数，则显示该文件占用磁盘的情况；
（2）选[/F]参数，纠正在指定磁盘上发现的逻辑错误；
（3）选用[/V]参数，显示盘上的所有文件和路径。
--------------------------------------------------------------------------------

COPY

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：拷贝一个或多个文件到指定盘上。
2．类型：内部命令.
3．格式：COPY [源盘][路径]〈源文件名〉[目标盘][路径][目标文件名]
4．使用说明：
（1）COPY是文件对文件的方式复制数据，复制前目标盘必须已经格式化；
（2）复制过程中，目标盘上相同文件名称的旧文件会被源文件取代；
（3）复制文件时，必须先确定目标般有足够的空间，否则会出现；insufficient的错误信息，提示磁盘空间不够；
（4）文件名中允许使用通配举“*”“？”，可同时复制多个文件；
（5）COPY命令中源文件名必须指出，不可以省略。
（6）复制时，目标文件名可以与源文件名相同，称作“同名拷贝”此时目标文件名可以省略；
（7）复制时，目标文件名也可以与源文件名不相同，称作“异名拷贝”，此时，目标文件名不能省略；
（8）复制时，还可以将几个文件合并为一个文件，称为“合并拷贝”，格式如下：COPY；[源盘][路径]〈源文件名1〉〈源文件名2〉…[目标盘][路径]〈目标文件名〉；
（9）利用COPY命令，还可以从键盘上输入数据建立文件，格式如下：COPY CON [盘符：][路径]〈文件名〉；
（10）注意：COPY命令的使用格式，源文件名与目标文件名之间必须有空格！
--------------------------------------------------------------------------------

DEFRAG

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：整理磁盘，消除磁盘碎块。
2．类型：外部命令
3．格式：DEFRAG[盘符：][/F]
4．使用说明：选用/F参数，将文件中存在盘上的碎片消除，并调整磁盘文件的安排，确保文件之间毫无空隙。从而加快读盘速度和节省磁盘空间。
--------------------------------------------------------------------------------

DEL

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：删除指定的文件。
2．类型：内部命令
3．格式：DEL[盘符：][路径]〈文件名〉[/P]
4．使用说明：
（1）选用/P参数，系统在删除前询问是否真要删除该文件，若不使用这个参数，则自动删除；
（2）该命令不能删除属性为隐含或只读的文件；
（3）在文件名称中可以使用通配符；
（4）若要删除磁盘上的所有文件（DEL*·*或DEL·），则会提示：(Are you sure？）（你确定吗？）若回答Y，则进行删除，回答N，则取消此次删除作业。
--------------------------------------------------------------------------------

DIR

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：显示磁盘目录的内容。
2．类型：内部命令
3．格式：DIR [盘符][路径][/P][/W]
4．使用说明：/P的使用；当欲查看的目录太多，无法在一屏显示完屏幕会一直往上卷，不容易看清，加上/P参数后，屏幕上会分面一次显示23行的文件信息，然后暂停，并提示；Press any key to continue
/W的使用：加上/W只显示文件名，至于文件大小及建立的日期和时间则都省略。加上参数后，每行可以显示五个文件名。
--------------------------------------------------------------------------------

DISKCOPY

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：复制格式和内容完全相同的软盘。
2．类型：外部命令
3．格式：DISKCOPY[盘符1：][盘符2：]
4．使用说明：
（1）如果目标软盘没有格式化，则复制时系统自动选进行格式化。
（2）如果目标软盘上原有文件，则复制后将全部丢失。
（3）如果是单驱动器复制，系统会提示适时更换源盘和目标盘，请操作时注意分清源盘和目标盘。
--------------------------------------------------------------------------------

FC

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：比较文件的异同，并列出差异处。
2．类型：外部命令
3．格式：FC[盘符：][路径名]〈文件名〉[盘符：][路径名][文件名][/A][/B][/C][/N]
4．使用说明：
（1）选用/A参数，为ASCII码比较模式；
（2）选用/B参数，为二进制比较模式；
（3）选用/C参数，将大小写字符看成是相同的字符。
（4）选用/N参数，在ASCII码比较方式下，显示相异处的行号。
--------------------------------------------------------------------------------

FORMAT

引用:
--------------------------------------------------------------------------------
=========
DOS命令
=========

1．功能：对磁盘进行格式化，划分磁道和扇区；同时检查出整个磁盘上有无带缺陷的磁道，对坏道加注标记；建立目录区和文件分配表，使磁盘作好接收DOS的准备。
2．类型：外部命令
3．格式：FORMAT〈盘符：〉[/S][/4][/Q]
4．使用说明：
（1）命令后的盘符不可缺省，若对硬盘进行格式化，则会如下列提示：WARNING:ALL DATA ON NON ——REMOVABLE DISK DRIVE C:WILL BE LOST ！Proceed with Format (Y/N)？（警告：所有数据在C盘上，将会丢失，确实要继续格式化吗？）
（2）若是对软盘进行格式化，则会如下提示：Insert mew diskette for drive A;
and press ENTER when ready…（在A驱中插入新盘，准备好后按回车键）。
（3）选用[/S]参数，将把DOS系统文件IO.SYS
、MSDOS.SYS及COMMAND.COM复制到磁盘上，使该磁盘可以做为DOS启动盘。若不选用/S参数，则格式化后的磙盘只能读写信息，而不能做为启动盘；
（4）选用[/4]参数，在1.2MB的高密度软驱中格式化360KB的低密度盘；
（5）选用[/Q]参数，快速格式化，这个参数并不会重新划分磁盘的磁道貌岸然和扇区，只能将磁盘根目录、文件分配表以及引导扇区清成空白，因此，格式化的速度较快。
（6）选用[/U]参数，表示无条件格式化，即破坏原来磁盘上所有数据。不加/U，则为安全格式化，这时先建立一个镜象文件保存原来的FAT表和根目录，必要时可用UNFORRMAT恢复原来的数据。
--------------------------------------------------------------------------------

LABEL

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：建立、更改、删除磁盘卷标。
2．类型：外部命令
3．格式：LABEL[盘符：][卷标名]
4．使用说明：
（1）卷标名为要建立的卷标名，若缺省此参数，则系统提示键入卷标名或询问是否删除原有的卷标名；
（2）卷标名由1至11个字符组成。
--------------------------------------------------------------------------------

MD

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：创建新的子目录
2．类型：内部命令
3．格式：MD[盘符：][路径名]〈子目录名〉
4．使用说明：
（1）“盘符”：指定要建立子目录的磁盘驱动器字母，若省略，则为当前驱动器；
（2）“路径名”：要建立的子目录的上级目录名，若缺省则建在当前目录下。
例：（1）在C盘的根目录下创建名为FOX的子目录；（2）在FOX子目录下再创建USER子目录。
C:＞MD FOX （在当前驱动器C盘下创建子目录FOX）
C:＞MD FOX 、USER （在FOX 子目录下再创建USER子目录）
--------------------------------------------------------------------------------

PATH

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：设备可执行文件的搜索路径，只对文件有效。
2．类型：内部命令
3．格式：PATH[盘符1]目录[路径名1]{[；盘符2：]，〈目录路径名2〉…}
4．使用说明：
（1）当运行一个可执行文件时，DOS会先在当前目录中搜索该文件，若找到则运行之；若找不到该文件，则根据PATH命令所设置的路径，顺序逐条地到目录中搜索该文件；
（2）PATH命令中的路径，若有两条以上，各路径之间以一个分号“；”隔开；
（3）PATH命令有三种使用方法：
PATH[盘符1：][路径1][盘符2：][路径2]…（设定可执行文件的搜索路径）
PATH：（取消所有路径）
PATH：（显示目前所设的路径)
--------------------------------------------------------------------------------

RD

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：从指定的磁盘删除了目录。
2．类型：内部命令
3．格式：RD[盘符：][路径名][子目录名]
4．使用说明：
（1）子目录在删除前必须是空的，也就是说需要先进入该子目录，使用DEL（删除文件的命令）将其子目录下的文件删空，然后再退回到上一级目录，用RD命令删除该了目录本身；
（2）不能删除根目录和当前目录。
例：要求把C盘FOX子目录下的USER子目录删除，操作如下：
第一步：先将USER子目录下的文件删空；
C:＞DEL C:FOXUSER*.*
第二步，删除USER子目录。
C:＞RD c:FOXUSER
--------------------------------------------------------------------------------

REN

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：更改文件名称
2．类型：内部命令
3．格式：REN[盘符：][路径]〈旧文件名〉〈新文件名〉
4．使用说明：
（1）新文件名前不可以加上盘符和路径，因为该命令只能对同一盘上的文件更换文件名；
（2）允许使用通配符更改一组文件名或扩展名。
--------------------------------------------------------------------------------

SCANDISK

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：检测磁盘的FAT表、目录结构、文件系统等是否有问题，并可将检测出的问题加以修复。
2．类型：外部命令
3．格式：SCANDISK[盘符1：]{[盘符2：]…}[/ALL]
4．使用说明：
（1）CCANDISK适用于硬盘和软盘，可以一次指定多个磁盘或选用[/ALL]参数指定所有的磁盘；
（2）可自动检测出磁盘中所发生的交叉连接、丢失簇和目录结构等逻辑上的错误，并加以修复。
--------------------------------------------------------------------------------

SYS

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：将当前驱动器上的DOS系统文件IO.SYS,MSDOS.SYS和COMMAND.COM 传送到指定的驱动器上。
2．类型：外部命令
3．格式：SYS[盘符：]
*使用说明：如果磁盘剩余空间不足以存放系统文件，则提示：No roomfor on destination disk.
--------------------------------------------------------------------------------

TREE

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：显示指定驱动器上所有目录路径和这些目录下的所有文件名。
2．类型：外部命令
3．格式：TREE[盘符：][/F][》PRN]
4．使用说明：
（1）使用/F参数时显示所有目录及目录下的所有文件，省略时，只显示目录，不显示目录下的文件；
（2）选用＞PRN参数时，则把所列目录及目录中的文件名打印输出。
--------------------------------------------------------------------------------

TYPE

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：显示ASCII码文件的内容。
2．类型：内部命令。
3．格式：TYPE[盘符：][路径]〈文件名〉
4．使用说明：
（1）显示由ASCII码组成的文本文件，对。EXE.COM等为扩展名的文件，其显示的内容是无法阅读的，没有实际意义2；
（2）该命令一次只可以显示一个文件的内容，不能使用通配符；
（3）如果文件有扩展名，则必须将扩展名写上；
（4）当文件较长，一屏显示不下时，可以按以下格式显示；TYPE[盘符：][路径]〈文件名〉|MORE，MORE为分屏显示命令，使用些参数后当满屏时会暂停，按任意键会继续显示。
（5）若需将文件内容打印出来，可用如下格式：
TYPE[盘符：][路径]〈文件名〉，＞PRN
此时，打印机应处于联机状态。
--------------------------------------------------------------------------------

UNDELETE

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：恢复被误删除命令
2．类型：外部命令。
3．格式：UNDELETE[盘符：][路径名]〈文件名〉[/DOS]/LIST][/ALL]
4．使用说明：使用UNDELETE可以使用“*”和“？”通配符。
（1）选用/DOS参数根据目录里残留的记录来恢复文件。由于文件被删除时，目录所记载斩文件名第一个字符会被改为E5，DOS即依据文件开头的E5和其后续的字符来找到欲恢复的文件，所以，UNDELETE会要求用户输入一个字符，以便将文件名字补齐。但此字符不必和原来的一样，只需符合DOS的文件名规则即可。
（2）选用/LIST只“列出”符合指定条件的文件而不做恢复，所以对磁盘内容完全不会有影响。
（3）选用/ALL自动将可完全恢复的文件完全恢复，而不一一地询问用户，使用此参数时，若UNDELTE利用目录里残留的记录来将文件恢复，则会自动选一个字符将文件名补齐，并且使其不与现存文件名相同，选用字符的优选顺序为：#%——0000123456789A~Z。
--------------------------------------------------------------------------------

UNFORMAT

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：对进行过格式化误操作丢失数据的磁盘进行恢复。
2．类型：外部命令
3．格式：UNFORMAT〈盘符〉[/L][/U][/P][/TEST]
4．使用说明：用于将被“非破坏性”格式化的磁盘恢复。根目录下被删除的文件或子目录及磁盘的系统扇区（包括FAT、根目录、BOOT扇区及硬盘分区表）受损时，也可以用UNFORMAT来抢救。
（1）选用/L参数列出找到的子目录名称、文件名称、大孝日期等信息，但不会真的做FORMAT工作。
（2）选用/P参数将显示于屏幕的报告（包含/L参数所产生的信息）同时也送到打印机。运行时屏幕会显示：“Print out will be sent to LPT1”
（3）选用/TEST参数只做模拟试验（TEST）不做真正的写入动作。使用此参数屏幕会显示：“Simulation only”
（4）选用/U参数不使用MIRROR映像文件的数据，直接根据磁盘现状进行UNFORMAT。
（5）选用/PSRTN；修复硬盘分区表。若在盘符之后加上/P、/L、/TEST之一，都相当于使用了/U参数，UNFORMAT会“假设”此时磁盘没有MIRROR映像文件。
注意：UNFORMAT对于刚FORMAT的磁盘，可以完全恢复，但FORMAT后若做了其它数据的写入，则UNFORMAT就不能完整的救回数据了。UNFORMAT并非是万能的，由于使用UNFORMAT会重建FAT与根目录，所以它也具有较高的危险性，操作不当可能会扩大损失，如果仅误删了几个文件或子目录，只需要利用UNDELETE就够了。
--------------------------------------------------------------------------------

VOL

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：查看磁盘卷标号。
2．类型：内部命令
3．格式：VOL[盘符：]
4．使用说明：省略盘符，显示当前驱动器卷标。
--------------------------------------------------------------------------------

XCOPY

引用:
--------------------------------------------------------------------------------
========
DOS命令
========

1．功能：复制指定的目录和目录下的所有文件连同目录结构。
2．类型：外部命令
3．格式：XCOPY [源盘：]〈源路径名〉[目标盘符：][目标路径名][/S][/V][/E]
4．使用说明：
（1）XCOPY是COPY的扩展，可以把指定的目录连文件和目录结构一并拷贝，但不能拷贝隐藏文件和系统文件；
（2）使用时源盘符、源目标路径名、源文件名至少指定一个；
（3）选用/S时对源目录下及其子目录下的所有文件进行COPY。除非指定/E参数，否则/S不会拷贝空目录，若不指定/S参数，则XCOPY只拷贝源目录本身的文件，而不涉及其下的子目录；
（4）选用/V参数时，对的拷贝的扇区都进行较验，但速度会降低。
--------------------------------------------------------------------------------

===============================================
本文版权属20CN网络安全小组及其作者所有,如有转载,请保持文章完整性并注明出处
文章类型:原创 提交:日月双星 核查:NetDemon

返回
 
 
 

建议您使用IE浏览器800×600以上分辩率浏览以获最佳效果

20CN网络安全小组版权所有
Copyright ? 2000-2004 20CN Network Security Group. All Rights Reserved.
如有任何问题及建议请写信至 webmaster@20cn.net

建站第 1792 天

一、瘦身

1、在各种软硬件安装妥当之后，其实XP需要更新文件的时候就很少了。删除系统备份文件吧：开始→运行→sfc.exe /purgecache 近3xxM。

2、删除驱动备份： %windows%\driver cache\i386目录下的driver.cab文件，通常这个文件是76M。

3、偶没有看help的习惯，所以保留着%windows%\help目录下的东西对我来说是一种伤害，呵呵。。。都干掉，近4xM。

4、一会在升级完成后你还会发现%windows%\多了许多类似$NtUninstallQ311889$这些目录，都干掉吧，1x-3xM。

5、正好硬盘中还有win2000/server等，所以顺便把pagefile.sys文件都指向一个地方：控制面板→系统→性能—高级→虚拟内存→更改，注意要点“设置”才会生效。

6、卸载不常用组件：用记事本修改\%windows%\inf\sysoc.inf，用查找/替换功能，在查找框中输入,hide，全部替换为空。这样，就把所有的,hide都去掉了，存盘退出后再运行“添加-删除程序”，就会看见“添加/删除 Windows 组件”中多出不少选项；删除掉游戏啊，码表啊等不用的东西。

7、刪除\windows\ime下不用的輸入法，8xM。我重新安装了自己用的zrm输入法，赫赫。

8、如果实在空间紧张，启用NTFS的压缩功能，这样还会少用2x% 的空间，不过我没作。

9、关了系统还原，这破功能对我这样常下载、测试软件的人来说简直是灾难，用鼠标右健单击桌面上的“我的电脑”，选择“属性”，找到“系统还原”，选择“在所有驱动器上关闭系统还原”呵呵，又可以省空间了。

10、还有几个文件，挺大的，也没什么用。。。。忘了名字 ：（ ，刚安装的系统可以用查找功能查找大于50M的文件来看看，应该能找到的。

如果你能按照上面的过程做完，你的原本1.4G的XP，完全可以减少到800以下。

二、加速计划

WinXP的启动会有许多影响速度的功能，尽管ms说已经作最优化处理过，但对我们来说还是有许多可定制之处。我一般是这样来做的。

1、修改注册表的run键，取消那几个不常用的东西，比如Windows Messenger 。启用注册表管理器：开始→运行→Regedit→找到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSMSGS” /BACKGROUND 这个键值，右键→删除，世界清静多了，顺便把那几个什么cfmon的都干掉吧。

2、修改注册表来减少预读取，减少进度条等待时间，效果是进度条跑一圈就进入登录画面了，开始→运行→regedit启动注册表编辑器，找HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters， 有一个键EnablePrefetcher把它的数值改为“1”就可以了。另外不常更换硬件的朋友可以在系统属性中把总线设备上面的设备类型设置为none（无）。

3、关闭系统属性中的特效，这可是简单有效的提速良方。点击开始→控制面板→系统→高级→性能→设置→在视觉效果中，设置为调整为最佳性能→确定即可。这样桌面就会和win2000很相似的，我还是挺喜欢XP的蓝色窗口，所以在“在窗口和按钮上使用视觉样式”打上勾，这样既能看到漂亮的蓝色界面，又可以加快速度。

4、我用Windows commadner＋Winrar来管理文件，Win XP的ZIP支持对我而言连鸡肋也不如，因为不管我需不需要，开机系统就打开个zip支持，本来就闲少的系统资源又少了一分，点击开始→运行，敲入：“regsvr32 /u zipfldr.dll”双引号中间的，然后回车确认即可，成功的标志是出现个提示窗口，内容大致为：zipfldr.dll中的Dll UnrgisterServer成功。

5、据说XP的一个系统服务Qos，这个调度要占用一定的网络带宽，像我这样的一毛不拔的人是无法忍受的，去掉方法是：开始菜单→运行→键入 gpedit.msc ，出现“组策略”窗口， 展开 "管理模板”→“网络” ， 展开 "QoS 数据包调度程序"， 在右边窗右键单击“限制可保留带宽" ，在属性中的“设置”中有“限制可保留带宽" ，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler（QoS 数据包调度程序）"。说明修改成功，否则说明修改失败，顺便把网络属性中的那个Qos 协议也一起干掉（卸载）吧。

6、快速浏览局域网络的共享
通常情况下，Windows XP在连接其它计算机时，会全面检查对方机子上所有预定的任务，这个检查会让你等上30秒钟或更多时间。去掉的方法是开始→运行→Regedit→在注册表中找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\RemoteComputer\NameSpace。在此键值下，会有个{D6277990-4C6A-11CF-8D87-00AA0060F5BF}键，把它删掉后，重新启动计算机，Windows XP就不再检查预定任务了，hoho~~~ ，速度明显提高啦！

7、关掉调试器Dr. Watson
我好像从win95年代开始一次也没用过这东西，可以这样取消：打开册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug子键分支，双击在它下面的Auto键值名称，将其“数值数据”改为0，最后按F5刷新使设置生效，这样就取消它的运行了。沿用这个思路，我们可以把所有具备调试功能的选项取消，比如蓝屏时出现的memory.dmp，在“我的电脑→属性→高级→设置→写入调试信息→选择无”等等。

8、被我终止的服务列表以及相关说明

1)alerter 错误警报
2)automatic updates windows 自动更新
3)background intelligent transfer service 微软说使用空闲的网络带宽传数据
4)clipbook 与远程电脑来共享剪贴板内容，我看还是免了吧
5)Computer browser  说什么要维护网络更新列表
6)DHCP client 我不需要这东西
7)Distributed link tracking client 保持局域网连接更新等信息，偶很少用局域网，这东西占用４M左右内存。
8)Distributed Transaction coordinator 协调xxx，和上面的差不多
9)DNS Client 我不需要这东西
10)Error reporting service 错误报告
11)Event Log 系统日志纪录
12)Fast user switching compatibility 用户切换
13)help and support 帮助
14)Human interface device access 据说是智能设备。。。
15)IMAPI CD-burning COM service  偶不用这个刻碟
16)Indexing service 索引，索引什么呢？
17)Internet Connection Firewall(ICF) ICF防火墙
18)IPSEC Services 这个我不懂，你想知道问Quack去
19)Logical Disk manager administrative service 配置磁盘
20)messenger 好像net send 等东西用的就是这个功能
21)MS software shadow copy provider 卷复制备份的
22)Net Logon 我可不想让黑客远程登录进来，关！
23)Netmeeting remote desktop sharing 我不用netmeeting
24)Network DDE   动态数据交换传输
25)Network DDE DSDM  和上面差不多
26)Network Location Awareness 关，我的机子不作共享
27)NTLM Security support provider－telnet  呵呵，关！
28)PerFORMance logs and alert 将系统状态写日志或发警告
29)Portable media serial number 关！
30)Print Spooler 打印机，不幸的是我的机子不连接Print ~
31) QoS RSVP 关！
32)Remote desktop help session manager 远程帮助服务
33)remote Procedure Call LOCATOR 管理RPC
34)remote registry 远程管理注册表
35)removable storage 
36)routing and remote access 我干脆禁用了它
37)security accounts manager 我的系统只是一个客户系统，不用iis。
38)smart card
39)smart card helper 关！！！
40)SSDP Discovery service 我用不到这个
41)system event notification 如果是服务器肯定要记录的
42)system restore service 系统还原服务
43)task scheduler windows 计划服务
44)Telephony 拨号服务，我不拨号还不行吗？
45)telnet
46)terminal services 终端服务
47)uninterruptible power supply UPS，我没有呀
48)universal plug and play device host 太先进了点，用不到
49)upload manager 关了也能传输文件的
50)volume shadow copy 又是备份，晕
51)webclient 没用过
52)Windows Installer ＭＳＩ服务，我一直关着。
53)windows image acquisition (WIA) 数码设备用的
54)windows management instrumentation driver extensions 关了
55)windows time 时间服务
56)wireless zero configuration 无线网络，偶用不到的
57)WMI perfromance adapter 关！

这里面的一些服务是刚开始就是关的，但我忘了，所以只好把现在系统中关闭的服务基本都列了出来。你根据自己的情况酌情处理吧。

三、我安全吗

多了不谈，基本的共享还是得关的：

修改注册表为以下两个样式：
去除共享
——————————————————————
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
——————————————————————
去除IPC$管理
——————————————————————
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
——————————————————————
或者将上面两个保存成个.REG文件，然后双击导入就可以了。

顺便把不要脸的的3721也屏蔽，在hosts文件中加入：

127.0.0.1 cnsmin.3721.com
127.0.0.1 www.3721.net

四、其他技巧

1、给鼠标右键增加个复制到.../移动到...功能
—————————————————————
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\Copy To]
@="{C2FBB630-2971-11D1-A18C-00C04FD75D13}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\Move To]
@="{C2FBB631-2971-11D1-A18C-00C04FD75D13}"
————————————————————————
将上面内容保存成add.reg文件，然后双击导入就可以了。

2、关了错误报告，KAO ！这东西搞得我像个微软免费的测试员似的：点击控制面板---->系统---->高级---->右下角--->错误报告---->禁用错误汇报——>确定！
3、取消分组显示：右键单击任务栏的空白区域，在弹出的菜单中选择“属性”，在弹出的窗口中，取消“分组相似任务栏按钮”前面的对钩，确定就可以了。
4、找回经典的登录窗口，WinXP默认的登录界面虽然漂亮，但如果你想用一个列表中没有的用户登录，你会发现无从下手，改回经典窗口的方法是：点击“开始”→“控制面板”→“用户账户”→“更改用户登录或注销的方式”→把“使用欢迎屏幕”前面的对钩取消，最后点“应用选项”就OK啦。
5、将自己最常用的输入法设置一个快捷键：点击“开始”→“控制面板”→“区域和语言选项”→在弹出的窗口中选择“语言”→“详细信息”→“键设置”在弹出的窗口中找到自己用的输入法，点“更改按键顺序”→在这里选一个快捷键就可以了。
6、关闭计算机时自动结束不响应的任务，注册表：HKEY_CURRENT_USER\Control Panel\Desktop 中的“AugoEndTasks”的键值改为“1”
7、关闭自动更新：右键单击“我的电脑”，点击属性，点击“自动更新”，在“通知设置”一栏选择“关闭自动更新。我将手动更新计算机”一项。
8、减少开机磁盘扫描等待时间，开始→运行，键入“chkntfs/t:0”

然后连接到ms站点顺便升级一次就算优化基本完成，对于XP而言，可以采用许多内部命令来看看优化情况，比如tasklist.exe /svc 可以查看系统服务实际使用情况。

【病毒原理】

　　首先,将本机MAC通过arp欺骗广播至局域网,使局域网中的工作站误认为本机是网关。该流程会造成局域网与internet连接中断,使游戏与服务器断开链接，待用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关上传到代理服务器,而是上传到正在进行arp欺骗的传奇杀手软件中，通过传奇杀手自身的解密手段,会获得该帐户的真实用户名及密码，从而达到窃取玩家帐号的目的.

【发作状况】

    当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。
    切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。
    由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

【故障排除】

　　在局域网中受影响的客户机上执行arp -a,在回溃信息中会发现重复mac地址.该mac地址对应的即为使用传奇杀手的计算机.而重复的地址就是被arp欺骗后的网关地址.此时可根据mac地址前的ip地址查找该计算机并采取有效手段关闭程序.如果在运行该程序前,该机IP地址已经被更改,则需通过对应的MAC列表查找该物理网卡所存在的计算机.(由此可见,备份一张详细的局域网mac地址列表有多重要)

【在局域网内查找病毒主机】

    在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。
    命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即
192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

    假设查找一台MAC地址为“000d870d585f”的病毒主机。

    1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

    2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C:\nbtscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。

    3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

在此下载NBTSCAN软件

在此下载arp免疫软件

【建议预防措施】

一、预防及整改措施方案一

    如工作站采用xp/2k3操作系统,可逐台执行"arp -s 网关ip 网关mac"来绑定网关的IP地址.建议建立网吧网关及网吧所有机器的ip及对应mac地址列表（*必需检查清楚保证准确），生成arp 命令批处理文件，有条件的把文件放置于公共服务器，每个终端在启动中调用此文件，达到mac绑定作用。

如： arp -s 192.168.01 00-14-ed-0c-2a

    arp -s 192.168.02 00-3e-5a-21-33

    arp -s 192.168.03 00-66-a7-b2-76

    arp -s 192.168.04 00-86-56-c1-34

    …….

    arp -s 192.168.254 00-4a-2d-03-22

二、预防及整改措施方案二：

1.在网关上生成mac列表,并设置网关上内网网卡防止ARP欺骗.

2.使用具有IP-MAC绑定功能的智能交换机,绑定网关IP-MAC.

3.启用有效的游戏保护软件,在游戏启动前检测网关mac地址,如有异常,即提醒客户并在服务器发出警告信息.

现在网上检测发现的此类外挂带有这种木马：

传奇木马：用户怎么判别自己的电脑是否感染该病毒？同时按下键盘上的“CTRL”、“ALT”和“DEL”键，调出“Windows任务管理器”，察看其中有没有一个名为“MIR0.dat”的进程，如果有，则说明已经中毒。中毒之后，用户电脑还会出现IE浏览器频繁出错，一些常用软件也会出现故障。

经过检查发现主要就出在传奇木马上了！！

现在检测发现的就有2种外挂带这种木马了！

一传奇2冰橙子1.14

二及时雨PK破解版

还有“QQ第六感”、劲舞团外挂等

【在局域网内查找病毒主机】

    在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。

    命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即
192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C:\nbtscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。

1 ARP协议概述

IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，AR P)就是用来确定这些映象的协议。

ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。

如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。

图1 以太网上的ARP报文格式

图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位，也就是4个八位组表示，在以后的图中，我们也将遵循这一方式。

硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1。协议类型字段指明了发送方提供的高层协议类型，IP为0806（16进制）。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。

当发出ARP请求时，发送方填好发送方首部和发送方IP地址，还要填写目标IP地址。当目标机器收到这个ARP广播包时，就会在响应报文中填上自己的48位主机地址。

2 ARP使用举例

我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项)：

d2server:/home/kerberos# arp
Address          HWtype  HWaddress         Flags Mask            Iface
211.161.17.254   ether   00:04:9A:AD:1C:0A      C                 eth0
Address：主机的IP地址
Hwtype：主机的硬件类型
Hwaddress：主机的硬件地址
Flags Mask：记录标志，"C"表示arp高速缓存中的条目，"M"表示静态的arp条目。

用"arp --a"命令可以显示主机地址与IP地址的对应表，也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟，起始时间从被创建时开始算起。

d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。
d2server:/home/kerberos# telnet 211.161.17.21
Trying 211.161.17.21...
Connected to 211.161.17.21.
Escape character is '^]'.
^].
telnet>quit
connetion closed.

在执行上面一条telnet命令的同时，用tcpdump进行监听：

d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21
tcpdump: listening on eth0

我们将会听到很多包，我们取与我们arp协议相关的2个包：

1  0.0 		00:D0:F8:0A:FB:83 	FF:FF:FF:FF:FF:FF  arp  60
			who has 211.161.17.21 tell d2server
2  0.002344(0.0021)	00:E0:3C:43:0D:24 	00:D0:F8:0A:FB:83  arp  60
			arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24
			

在第1行中，源端主机（d2server）的硬件地址是00:D0:F8:0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF，这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。

第1行中紧接着的一个输出字段是arp，表明帧类型字段的值是0x0806，说明此数据帧是一个ARP请求或回答。

在每行中，单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节（28字节的ARP数据，14字节的以太网帧头），因此，每一帧都必须加入填充字符以达到以太网的最小长度要求：60字节。

第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中，目的I P地址是211.161.17.21的地址，发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。

从第2行中可以看到，尽管ARP请求是广播的，但是ARP应答的目的地址却是211.161.17.21(00:E0:3C:43:0D:24)。ARP应答是直接送到请求端主机的，而是广播的。tcpdump打印出arp reply的字样，同时打印出响应者的主机ip和硬件地址。

在每一行中，行号后面的数字表示tcpdump收到分组的时间（以秒为单位）。除第1行外，每行在括号中还包含了与上一行的时间差异（以秒为单位）。

这个时候我们再看看机器中的arp缓存：

d2server:/home/kerberos# arp -a
(211.161.17.254) at  00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at  00:E0:3C:43:0D:24 [ether] on eth0

arp高速缓存中已经增加了一条有关211.161.17.21的映射。

再看看其他的arp相关的命令：

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00
d2server:/home/kerberos# arp
Address          HWtype  HWaddress        Flags Mask       Iface
211.161.17.254     ether   00:04:9A:AD:1C:0A     C            eth0
211.161.17.21      ether   00:00:00:00:00:00      CM           eth0
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0

可以看到我们用arp -s选项设置了211.161.17.21对应的硬件地址为00:00:00:00:00:00，而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项，它保持不变没有超时，不像高速缓存中的条目要在一定的时间间隔后更新。

如果想让手工设置的arp选项有超时时间的话，可以加上temp选项

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 temp
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0
d2server:/home/kerberos# arp
Address        HWtype  HWaddress         Flags Mask      Iface
211.161.17.254   ether   00:04:9A:AD:1C:0A     C            eth0
211.161.17.21    ether   00:00:00:00:00:00       C            eth0

可以看到标志字段的静态arp标志"M"已经去掉了，我们手工加上的是一条动态条目。

请大家注意arp静态条目与动态条目的区别。

在不同的系统中，手工设置的arp静态条目是有区别的。在linux和win2000中，静态条目不会因为伪造的arp响应包而改变，而动态条目会改变。而在win98中，手工设置的静态条目会因为收到伪造的arp响应包而改变。

如果您想删除某个arp条目（包括静态条目），可以用下面的命令：

d2server:/home/kerberos# arp -d 211.161.17.21  
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at  on eth0

可以看到211.161.17.21的arp条目已经是不完整的了。

还有一些其他的命令，可以参考linux下的man文档：

d2server:/home/kerberos# man arp
3 ARP欺骗
我们先复习一下上面所讲的ARP协议的原理。在实现TCP/IP协议的网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义，但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说，只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包，因为在网络中，每一台主机都会有发送ip包的时候，所以，在每台主机的内存中，都有一个 arp--> 硬件mac 的转换表。通常是动态的转换表（该arp表可以手工添加静态条目）。也就是说，该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。
通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的硬件mac地址，如果没有找到，该主机就发送一个ARP广播包，于是，主机刷新自己的ARP缓存。然后发出该ip包。 
了解这些常识后，现在就可以谈在以太网络中如何实现ARP欺骗了，可以看看这样一个例子。
3.1 同一网段的ARP欺骗
 
图2 同一网段的arp欺骗 
如图2所示，三台主机
A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA
B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB
C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC
一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系（开放23端口(telnet)）。而他必须要使用telnet来进入主机A，这个时候他应该如何处理呢？
我们这样考虑，入侵者必须让主机A相信主机B就是主机C，如果主机A和主机C之间的信任关系是建立在ip地址之上的。如果单单把主机B的ip地址改的和主机C的一样，那是不能工作的，至少不能可靠地工作。如果你告诉以太网卡设备驱动程序， 自己IP是192.168.0.3，那么这只是一种纯粹的竞争关系，并不能达到目标。我们可以先研究C这台机器如果我们能让这台机器暂时当掉，竞争关系就可以解除,这个还是有可能实现的。在机器C当掉的同时，将机器B的ip地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器A上面，而成功的绕过防火墙的限制。
上面的这种想法在下面的情况下是没有作用的，如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。
我们可以人为的制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包.这样的工具很多,我们也可以直接用snifferpro抓一个arp响应包,然后进行修改。 
你可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。
这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。
下面是具体的步骤：
他先研究192.0.0.3这台主机，发现这台主机的漏洞。 
根据发现的漏洞使主机C当掉，暂时停止工作。 
这段时间里，入侵者把自己的ip改成192.0.0.3 
他用工具发一个源ip地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A，要求主机A更新自己的arp转换表。 
主机更新了arp表中关于主机C的ip-->mac对应关系。 
防火墙失效了，入侵的ip变成合法的mac地址，可以telnet 了。 
上面就是一个ARP的欺骗过程，这是在同网段发生的情况，但是，提醒注意的是，在B和C处于不同网段的时候，上面的方法是不起作用的。
3.2 不同网段的ARP欺骗
 
图3 不同网段之间的ARP欺骗
如图3所示A、C位于同一网段而主机B位于另一网段，三台机器的ip地址和硬件地址如下：
A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA
B: ip地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB
C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC
在现在的情况下，位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢？显然用上面的办法的话，即使欺骗成功，那么由主机B和主机A之间也无法建立telnet会话，因为路由器不会把主机A发给主机B的包向外转发，路由器会发现地址在192.168.0.这个网段之内。
现在就涉及到另外一种欺骗方式―ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。
什么是ICMP重定向呢？
ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发。
我们可以利用ICMP重定向报文达到欺骗的目的。
下面是结合ARP欺骗和ICMP重定向进行攻击的步骤：
为了使自己发出的非法ip包能在网络上能够存活长久一点，开始修改ip包的生存时间ttl为下面的过程中可能带来的问题做准备。把ttl改成255. (ttl定义一个ip包如果在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充足的广播) 
下载一个可以自由制作各种包的工具（例如hping2） 
然后和上面一样，寻找主机C的漏洞按照这个漏洞当掉主机C。 
在该网络的主机找不到原来的192.0.0.3后，将更新自己的ARP对应表。于是他发送一个原ip地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。 
好了，现在每台主机都知道了，一个新的MAC地址对应192.0.0.3,一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。 
自己定制一个ICMP重定向包告诉网络中的主机："到192.0.0.3的路由最短路径不是局域网，而是路由，请主机重定向你们的路由路径，把所有到192.0.0.3的ip包丢给路由。" 
主机A接受这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3的通讯都丢给路由器。 
入侵者终于可以在路由外收到来自路由内的主机的ip包了，他可以开始telnet到主机的23口。 
其实上面的想法只是一种理想话的情况，主机许可接收的ICMP重定向包其实有很多的限制条件，这些条件使ICMP重定向变的非常困难。
TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制：
新路由必须是直达的 
重定向包必须来自去往目标的当前路由 
重定向包不能通知主机用自己做路由 
被改变的路由必须是一条间接路由 
由于有这些限制，所以ICMP欺骗实际上很难实现。但是我们也可以主动的根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性，我们就可以采取相应的防御办法。
3.3 ARP欺骗的防御
知道了ARP欺骗的方法和危害，我们给出一些初步的防御方法：
不要把你的网络安全信任关系建立在ip地址的基础上或硬件mac地址基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。 
设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。 
除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。在linux下可以用ifconfig -arp可以使网卡驱动程序停止使用ARP。 
使用代理网关发送外出的通讯。 
修改系统拒收ICMP重定向报文 
在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。
在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。
4 代理ARP的应用
代理ARP有两大应用,一个是有利的就是我们在防火墙实现中常说的透明模式的实现,另一个是有害的就是通过它可以达到在交换环境中进行嗅探的目的.由此可见同样一种技术被应用于不同的目的,效果是不一样的.
我们先来看交换环境中局域网的嗅探.
通常在局域网环境中，我们都是通过交换环境的网关上网的。在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外，是不能看到其他主机的网络通信的。
但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。
ARP协议是将IP地址解析为MAC地址的协议，局域网中的通信都是基于MAC地址的。
 
图4 交换网络中的ARP欺骗 
如图4所示，三台主机位于一个交换网络的环境中，其中A是网关：
A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA
B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB
C：ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC
在局域网中192.168.0.2和192.168.0.3都是通过网关192.168.0.1上网的，假定攻击者的系统为192.168.0.2，他希望听到192.168.0.3的通信，那么我们就可以利用ARP欺骗实现。
这种欺骗的中心原则就是arp代理的应用.主机A是局域网中的代理服务器,局域网中每个节点的向外的通信都要通过它.主机B想要听主机C的通信,它需要先使用ARP欺骗,让主机C认为它就是主机A,这个时候它发一个IP地址为192.168.0.1,物理地址为BB:BB:BB:BB:BB:BB的ARP响应包给主机C,这样主机C会把发往主机A的包发往主机B.同理,还要让网关A相信它就是主机C,向网关A发送一个IP地址为192.168.0.3,物理地址为BB:BB:BB:BB:BB:BB的包.
上面这一步的操作和前面的ARP欺骗的原理是一样的,但是还是有问题,过一段时间主机B会发现自己无法上网.所以下面还有一个步骤就是需要在主机B上转发从主机A到主机C的包,并且转发从主机C到主机A的包.现在我们可以看到其实主机B在主机A和主机C的通讯中起到了一个代理的作用,这就是为什么叫做ARP代理的原因.
具体实现要用到两个工具dsniff和fragrouter,dsniff用来实现ARP欺骗,fragroute用来进行包的转发.
首先利用dsniff中的arpspoof来实现ARP欺骗,dsniff软件可以在下面的网址下载:
http://naughty.monkey.org/~dugsong/dsniff
安装这个软件包之前先要下载安装libnet.
欺骗192.168.0.3，告诉这台机器网关192.168.0.1的MAC地址是192.168.0.2的MAC地址. 
[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.3 192.168.0.1
欺骗192.168.0.1，告诉192.168.0.1主机192.168.0.3的MAC地址是192.168.0.2的MAC地址。
[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.3
现在我们已经完成了第一步的欺骗,这个欺骗是通过arpspoof来完成的,当然您也可以使用别的工具甚至自己发包来完成.现在我们可以看到在主机A和主机C的arp列表里面都完成了我们需要的工作.在后面的透明代理中我们将使用另外一种不同的理念.
下面我们先打开linux系统中的转发包的选项:
[root@sound /root]# echo "1" >/proc/sys/net/ipv4/ip_forward
下面我们可以下载大名鼎鼎的dugsong的另外一个工具fragroute,这个工具以前叫做fragrouter(仅有1字的差别)主要用于实现入侵检测系统处理分片的ip和tcp包功能的检测,本身自代包转发的功能.可以到下面的网站下载:
http://monkey.org/~dugsong/fragroute/
安装这个软件包之前先要下载安装libpcap和libevent.
当然我们也可以使用fragrouter来完成:
http://www.packetstormsecurity.org/groups/ w00w00/sectools/fragrouter/ 
[root@sound fragrouter-1.6]# ./fragrouter -B1 
fragrouter: base-1: normal IP forwarding
现在就可以实现在交换局域网中嗅探的目标.当然上面这些只是一些原理性的介绍,在真正的使用中会遇到很多的问题,比如如何实现对网关A和主机C的欺骗,以及如何处理可能出现的广播风暴问题,这些可以在实践中学习.还有一个叫arpsniff的工具能够很方便的完成这一功能,很多网站都提供下载,界面比较友好,由于和上面的原理一样,只是工具使用上的不同并且添加了一些附加的功能,所以这里不在进行介绍.
代理ARP的另外一个应用就是防火墙的透明代理的实现.我们都知道早期的防火墙大都是基于路由模式,也就是防火墙要完成一个路由的作用.这种接入方式需要在局域网内的主机上设置防火墙的IP为代理,而且需要在外部路由器的路由表中加入一条指向防火墙的路由.这种方式的缺点在于不透明,需要进行过多的设置,并且破坏了原有的网络拓扑.所以现在几乎全部的防火墙都实现了一种透明接入的功能,用户的路由器和客户端不用做任何修改,用户甚至感觉不到透明接入方式防火墙的存在.这种透明接入的原理就是ARP代理.
我们现在看如何配置一台主机作为透明接入模式的防火墙(透明接入的防火墙不需要IP),
 
图5 
如图5所示,一台防火墙连接内部网段和DMZ网段到外部路由.我们在这台用作防火墙的主机上使用linux操作系统,这样我们可以方便的使用iptables防火墙.假设三块网卡为eth0,eth1和eth2,eth0和路由器相连,eth1和内网相连.eth2和外网相连.假设DMZ区有2台服务器.
内网地址:192.168.1.0/24
DMZ地址:192.168.1.2---192.168.1.3
路由器的ip地址:192.168.1.1
eth0:AA:AA:AA:AA:AA:AA
eth1:BB:BB:BB:BB:BB:BB
eth2:CC:CC:CC:CC:CC:CC
和前面差不多,第一步需要实现ARP欺骗,这次我们有个简单的实现.我们把路由器的IP地址和防火墙的eth1和eth2的网卡物理地址绑定,将内网和DMZ网段的IP地址和eth0的网卡绑定,在linux系统上我们用arp命令实现:
arp -s 192.168.1.1 BB:BB:BB:BB:BB:BB
arp -s 192.168.1.1 CC:CC:CC:CC:CC:CC 
arp -s 192.168.1.0/24 AA:AA:AA:AA:AA:AA
第二部我们需要在基于linux的防火墙上设置路由,把目标地址是外部路由的包转发到eth0,把目标地址为内网的包转发到eth1,把目标地址是DMZ网段服务器的包转发到eth2.在linux下面用route命令实现
route add 192.168.1.1 dev eth0
route add -net 192.168.1.0/24  dev eth1
route add 192.168.1.2  dev eth2
route add 192.168.1.3  dev eth3 
(针对DMZ网段里面的每台服务器都要增加一条单独的路由) 现在我们就已经实现了一个简单的arp代理的透明接入,当然对应于防火墙的iptables部分要另外配置,iptables的配置不在本文范畴之内.
小结
本文介绍了ARP协议以及与其相关的安全问题。一个重要的安全问题就是ARP欺骗，我们讲到了同一网段

在校园网络中，最方便的捣乱方法就是盗用别人的IP地址，被盗用IP地址的计算机不仅不能正常使用校园网络，而且还会频繁出现IP地址被占用的提示对话框，给校园网络安全和用户应用带来极大的隐患。捆绑IP地址和MAC地址就能有效地避免这种现象。

　　何为MAC地址

　　网卡在使用中有两类地址，一类是大家都熟悉的IP地址，另一类就是MAC地址，即网卡的物理地址，也称硬件地址或链路地址，这是网卡自身的惟一标识，就仿佛是我们的身份证一样，一般不能随意改变。它与网络无关，无论把这个网卡接入到网络的什么地方，MAC地址都是不变的。其长度为48位二进制数，由12个00 ~0FFH的16进制数组成，每个16进制数之间用“-”隔开，如“00-10-5C-AD-72-E3”。
　　如何查找MAC地址
　　1、在Windows 9x/2000/XP下单击“开始/程序”，找到“MS-DOS方式”或“命令提示符”。
　　2、在命令提示符下输入：“Ipconfig/all”，回车后出现如附图所示的对话框，其中的“Physical Address”即是所查的MAC地址。
　　如何捆绑MAC地址和IP地址
　　进入“MS-DOS方式”或“命令提示符”，在命令提示符下输入命令：ARP - s 10.88.56.72 00-10-5C-AD-72-E3，即可把MAC地址和IP地址捆绑在一起。
　　这样，就不会出现IP地址被盗用而不能正常使用校园网络的情况（当然也就不会出现错误提示对话框），可以有效保证校园网络的安全和用户的应用。
　　注意：ARP命令仅对局域网的上网代理服务器有用，而且是针对静态IP地址，如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的各参数的功能如下：
　　ARP -s -d -a
　　-s：将相应的IP地址与物理地址的捆绑，如本文中的例子。
　　-d：删除相应的IP地址与物理地址的捆绑。
　　-a：通过查询ARP协议表显示IP地址和对应物理地址情况

在局域网管理中经常遇到已知某个MAC地址，要查询其IP地址的情况，我总结一下有如下几种方法：

方法一：用ARP -A 查询
这种方法只能查到与本机通讯过（20分钟内）的主机MAC地址和IP地址。可在远程主机所属网段中的任一台主机上运行此命令，这样可查出IP欺骗类病毒的主机。

方法二：用专用软件查，如nbtscan
命令方式是：nbtscan -r 网络号/掩码位，这种方法可查询某网段的所有IP与MAC对应关系，但装有防火墙的主机则禁止查询。

方法三： 如果所连交换机有网管功能，可用ARP SHOW 命令显示交换机的arp缓存信息，这种方式基本可查询所有的IP 与MAC地址，但只有网管才有这个权限。

方法四：用sniffer类的嗅探软件抓包分析，packet中一般都含用IP地址与MAC地址。

方法五：用solarwinds类软件中的MAC ADDRESS DISCOVERY查询，但这个工具好象不能跨网段查询。

用ipconfig /all 查自己的MAC地址

查同网段其他机器的nbtstat -A ip 或者　ping过的IP地址其主机nic的mac地址都会保存到arp缓存里面用arp -a就可以查看里面的内容。

（1）根据IP地址查对方的机器名和MAC地址：

C:\>nbtstat -A 202.110.96.75   

NetBIOS Remote Machine Name Table  Name               Type        
Status---------------------------------------------------------------------
JANKER          <00>  UNIQUE      Registered
WORKGRP        <1E>  GROUP       Registered
MAC Address = 00-B0-D0-7A-9C-12

说明：则对方的机器名为JANKER，组为WORKGRP，其中<00><1E>为NetBios名字的最后一个字符。

（2）列出本地所有NetBios名：

C:\>nbtstat -n         

NetBIOS Local Name Table   Name               Type        
Status--------------------------------------------
JANKER          <00>  UNIQUE      Registered
JANKER          <20>  UNIQUE      Registered
JANKER         <00>  UNIQUE      Registered；

机器名为JANKERPUBLIC          <00>  GROUP       Registered；组名为PUBLICINet~Services      <1C>  GROUP       Registered；说明机器安装有Internet Information Service服务..__MSBROWSE__..<01>  GROUP       Registered；说明机器安装有MsBrowser Service服务