电脑win系统.docx

AutoRun文件众所周知，在一台运行Windows95/98或WindowsNT4.0以上版本的计算机中（本文以Windows95为例），只要在光驱中放一张CD盘，它就播出美妙的音乐来，如果放入一张软件光盘，它上面的一些程序就会自动执行，这个程序也许就是这个软件的安装程序，也许是这张光盘的内容介绍。Windows95的这一特性给我们广大计算机用户在使用上带来了许多方便，同时也大大提高了计算机的智能程度。那么Window95是如何实现这种功能呢？原来，Windows95的文件系统核心部分有一个叫卷跟踪的虚拟设备驱动程序（VxD），它负责监视软盘、CDROM等可移动介质是否会改变。如果这些介质上的文件在被打开以后还没有关闭就取走这些介质，卷跟踪程序就会检测到这一点，立即向用户发出警告（显示器变蓝脸），要求用户插入原盘。当用户将光盘放入CDROM驱动器时，卷跟踪 虚拟设备驱动程序就会自动检测光盘的类型，如果是CD盘，系统就会自动调出 CD Player来播放CD；如系统检测到光盘具有PC文件系统，系统就会继续检测光盘上是否具有AutoRun.inf文件，该文件指定了AutoPlay运行的程序。通过在autorun.inf中指定文件，你可以运行光盘上的任何应用程序，当然最典型的应用程序还是应用软件的启动和安装功能。所有的Inf文件的内容都是ASCII文本，用来为Setup程序提供安装信息，在Windowssystem 目录下就有很多inf文件。Inf文件像INI文件一样分成许多节，且内容也很多。但是AutoRun.inf文件则比较简单，只有autorun一节，在这一节中最基本的命令就是open，用它来指示Windows95系统自动运行哪个程序，例如：AUTORUNopen=setup.exe这时，Windows95在插入光盘时就会自动执行setup.exe这个应用程序,open命令指出自动运行的程序的路径和文件名。另外一个常用的命令就是icon，为光盘指定一个图标的文件名，格式为：icon=文件名，其中文件名可以指定一个图标、一个位图、一个可执行文件甚至一个动态链接库，如果指定的文件中包含不止一个图标资源，可以在文件名中加一个数字（即索引值，从0开始）表示第几个图标，文件名和数字之间用，分开。一旦为光盘指定图标后，在资源管理器和我的电脑中，光盘的图标都将变成你指定的这个图标。例如：icon=pname.exe,3，即使用pname.exe 文件中的第4个图标作为光盘驱动器的图标。如果在光盘上的根目录下有autorun.inf文件，那么Windows95还会在光盘图标的右键快捷菜单中添加一个AutoPlay缺省选项。如果使用的是Windows95的中文版，在弹出的快捷菜单中显示则是自动播放选项，这样即使在自动插入通告设置被关闭的情况下，只要光驱中放有带autorun.inf文件的光盘，双击光驱图标就能执行open命令指定的应用程序。除了open和icon命令之外，在autorun.inf文件中还可以使用shell命令，用来向光盘图标的弹出菜单中添加更多的自定义菜单项。下面的两行语句为快捷菜单中添加了Demo选项，并且为菜单项设置快捷键D：shellverbcommand=pname.exeshellverb=Demo其中，第一行定义了verb的动作，第二行指明了执行动作的菜单选项，这个动词verb可由光盘生产者自己指定，但一定要保证前后定义的一致性和命令的完整性。在一般情况下，自动播放（AutoPlay）是弹出菜单的缺省选项，你也可以用shell命令将AutoPlay命令更改为特殊的命令。其实，自动运行（autoplay）不仅可以在光盘上实现也可以在软盘、硬盘甚至虚拟盘和网络驱动器上实现。但是这得修改windows95注册表的有关信息才能实现。在注册表编辑器中， HKEY_CURRENT_USER/SoftWare/Microsoft/windows/currentverson/picilies/explorer的键值NoDriveTypeAutoRun是一个四个二进制数据组成的键值，其中第一个字节表示哪些驱动器的自动播放（Autoplay）有效，下表就是这一字节的8位二进制数的具体含义。（注：二进制数为0时有效，为1时无效。）位 位屏蔽常数 含义0（低位） DRIVE_UNKNOWN 不识别的驱动器类型1 DRIVE_NO_ROOT_DIR 根目录不存在2 DRIVE_REMOVEABLE 软盘3 DRIVE_FIXED 硬盘4 DRIVE_REMOTE 网络驱动器5 DRIVE_CDROM CD_ROM6 DRIVE_RAMDISK 虚拟盘7（高位） 保留所以，你只要修改其中的某一位，就能使对应的驱动器AutoPlay有效，如果你想使软盘的AutoPlay有效，请按下面的步骤进行：启动注册表编辑器，使用查找命令，在查找目标对话框中输入NoDriveTypeAutoRun，单击查找下一个，在找到的NoDriveTypeAutoRun上双击，将其值由0000 95 0000 00 （系统的缺省二进制值）更改为0000 91 00 00 00确定以后，退出注册表编辑器，重新启动计算机 以后，使更改生效。在你的软盘根目录下，存放一个Autorun.inf文件，将open和icon命令各指向一个存在的文件，双击我的电脑或资源管理器中的软盘驱动器图标，看一看效果如何？由上表不难看出，系统的缺省设置是光驱、硬盘虚拟盘的自动播放有效。所以你想要屏蔽所有的驱动器的自动播放功能，只要将NoDriveTypeAutoRun的值改为0000 FF00 00 00 即可。AutoPlay的确给我们带来了许多方便，我们可以利用它的这一特性使我们的硬盘、软盘、虚拟盘及网络盘在资源管理器和我的电脑中有不同的表现，最大限度地方便我们的使用。Boot.ini引导文件(包括io.sys、msdos.sys、、autoexec.bat和config.sys)C:WINDOWSpss boot.ini.backupsystem.ini.backupwin.ini.backupBoot.ini文件来确定计算机在引导过程中显示的可供选取的操作系统类别。Boot.ini文件位于C盘根目录下，在缺省状态下被设定为隐含和系统文件属性, 并且被标识为只读文件。对boot.ini文件进行修改：1.直接修改2.我的电脑系统属性高级启动和故障恢复设置3.命令行工具bootcfg.exe4.“系统配置实用程序”boot loadertimeout=3default=multi(0)disk(0)rdisk(0)partition(1)WINDOWSoperating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft Windows XP Professional /noexecute=optin /fastdetectboot loader（引导加载） “timeout”延迟时间是系统启动引导菜单后在设定的延迟时间内用户没有进行任何操作时，进入默认的操作系统。“default”指定默认的操作系统路径。“multi(0)disk(0)rdisk(0)partition(1)”是什么意思？实际上这是根据ARC规则命名的，它是x86或RISC计算机中用于标识设备的一种通用方法。ARC名字指向存放操作系统文件的分区，对于磁盘设备, ARC名字的构成如下：(X)disk(Y)rdisk(Z)partition(Q)component部分有两种有效值，即multi和SCSI，它用于标明硬件适配器。multi表示一个非SCSI硬盘或一个由SCSI BIOS访问的SCSI硬盘，而SCSI则表示一个SCSI BIOS禁止的SCSI硬盘。X值表示操作系统的系统根目录所在的分区所在的硬盘所在的磁盘控制器在同一磁盘控制器上的序号（X从0开始）。disk(Y)：对于SCSI硬盘来说，Y值表示操作系统的系统根目录所在的分区所在的硬盘在同一个磁盘控制器上的硬盘序号(Y从0开始)；对于multi来说，Y值无任何意义，恒为0。rdisk(Z)：对于multi来说，Z值表示操作系统的系统根目录所在的分区所在的硬盘在同一个磁盘控制器上的硬盘序号(Z从0开始)；对于SCSI硬盘来说，Z值无意义，恒为0。partition(Q)：Q值表示操作系统的系统根目录所在的分区在同一硬盘上主分区的序号（Q从1开始）。operating systems（操作系统）列出了这台电脑上所有操作系统的路径和清单，其中还包括一些如/fastdetect、/basevideo、/sos之类的开关符。引号中的部分就是系统启动时显示的内容，可更改为自己需要的文字。/fastdetect参数，表示启动时不检查串行口和并行口。SAFEBOOT：安全启动，只启动HKLMSystemCurrentControlSetControlSafeBoot中的驱动程序和服务，其后可跟三个参数Minimal、Network或Dsrepair。Minimal和Network允许在网络连接下启动系统;Dsrepair要求系统从备份设备中调入活动目录的设置,还有一个选项是Minimal（AlternateShell），它让系统调入由HKLMSystemCurrentControlSetSafeBootAlternateShell指定的SHELL程序，而不使用默认的Explorer。/NOGUIBOOT:不加载VGA驱动程序，也就不会显示启动过程和失败时的蓝屏信息。 “/NODEBUG”指定没有监视任何调试信息。调试信息仅对程序开发人员有用。/BOOTLOG：将日志写入Nnbtlog.txt文件。/BASEVIDEO：使用标准VGA方式启动，这种方式主要用于显示驱动程序失效时。/SOS：在调入驱动程序名时显示它的名称，因驱动问题而无法启动时使用比较好。CPL文件（程序列表）在C:windowssystem32下面有一系列.cpl文件,它们分别对应着控制面板中的项目可以在开始-启动中直接键入文件名来启动相应的项目sysdm.cpl，系统属性inetcpl.cpl，Internet属性appwiz.cpl，添加或删除程序ncpa.cpl，网络连接desk.cpl，显示属性main.cpl，鼠标属性firewall.cpl，Windows防火墙/ICS设置timedate.cpl，时间和日期属性powercfg.cpl，电源选项javacpl.cpl，Java控制面板nusrmgr.cpl，用户帐户mmsys.cpl，声音与音频设置intl.cpl，区域与语言设置joy.cpl，游戏控制器设置odbccp32.cpl，ODBC数据源管理器wscui.cpl，Windows安全中心wuaucpl.cpl，自动更新配置igfxcpl.cpl，Intel集成显卡设置nvcpl.cpl，nVidia显卡设置(nVidia控制面板)access.cpl，辅助功能选项hdwwiz.cpl，添加硬件向导netsetup.cpl，网络安装向导telephon.cpl，电话和调制解调器选项DESKTOP.INIDesktop.ini文件详解由于有部分病毒会在文件夹下创建desktop.ini文件，目前很多朋友对该文件产生了错误的认识，认为是病毒文件。其实这是错误的，desktop.ini与病毒并没有多深的渊源，desktop.ini是系统可识别的一个文件，作用是存储用户对文件夹的个性设置；而病毒所创建的desktop.ini则不同（这么说也并不完全正确，见后文。），病毒所创建的文件内容依病毒的不同而异，可以是感染日期或其它的有意无意字符（串）。desktop.ini的用处（desktop.ini 还有一个特殊的CLSID，修改后能让文件夹和快捷方式一样的功能，当然只能指向文件夹。）一、文件夹图标.ShellClassInfoInfoTip=注释IconFile=图标文件的路径IconIndex=选择要使用文件中的第几个图标自定义图标文件，其扩展名可以是.exe、.dll、.ico等。二、文件夹背景ExtShellFolderViewsBE098140-A513-11D0-A3A4-00C04FD706EC=BE098140-A513-11D0-A3A4-00C04FD706ECBE098140-A513-11D0-A3A4-00C04FD706ECAttributes=1IconArea_Image=11.jpg.ShellClassInfoConfirmFileOp=0其中11.jpg是图片，把以上内容用记事本保存为desktop.ini ，和背景图片一起放在要改变背景的文件夹内。为了防止误删，可以把desktop.ini和图片设为隐藏属性。三、标示特殊文件夹系统中有一些特殊的文件夹，如回收站、我的电脑、我的文档、网上邻居等。这些文件夹的标示有两种方法：1.直接在文件夹名后续上一个.在加对应的CLSID如：把一个文件夹取名为：新建文件夹.20D04FE0-3AEA-1069-A2D8-08002B30309D（注意：新建文件夹后面有一个半角的句号）那么这个文件夹的图标将变为我的电脑的图标，并且在双击该文件夹时将打开我的电脑。在下面查看CLSID在注册表中展开HKEY_CLASSES_ROOTCLSID，在CLSID分支下面就可以看到很多的ID，这些ID对应的都是系统里面不同的程序，文件，系统组件等常见组件类对应的CLSID:我的文档：450D8FBA-AD25-11D0-98A8-0800361B1103我的电脑：20D04FE0-3AEA-1069-A2D8-08002B30309D网上邻居：208D2C60-3AEA-1069-A2D7-08002B30309D回收站：645FF040-5081-101B-9F08-00AA002F954EInternet Explorer：871C5380-42A0-1069-A2EA-08002B30309D控制面板：21EC2020-3AEA-1069-A2DD-08002B30309D拨号网络/网络连接 :992CFFA0-F557-101A-88EC-00DD010CCC48任务计划 :D6277990-4C6A-11CF-8D87-00AA0060F5BF打印机(和传真):2227A280-3AEA-1069-A2DE-08002B30309D历史文件夹:7BD29E00-76C1-11CF-9DD0-00A0C9034933ActiveX缓存文件夹: 88C6C381-2E85-11D0-94DE-444553540000公文包: 85BBD920-42A0-1069-A2E4-08002B30309D2.第二种是通过一个desktop.ini文件还以我的电脑为例:新建一个文件夹,名字随便,然后在其下边建立desktop.ini文件,内容如下:.ShellClassInfoCLSID=相应的ID注:有部分病毒会建立这样的文件夹以达到隐藏自身的目的.另外这也是一种我们隐藏小秘密的方法.四、标示文件夹所有者这通常见于我的文档等如我的文档里就有这样一个文件，内容如下：DeleteOnCopyOwner=AdministratorPersonalized=5PersonalizedName=My Documents五、改变文件夹颜色关于这项功能的实现需要注册一个.dll文件ColorFolder.dll。具体情况本人由于未曾尝试，故不能提供相应内容，以下是本人在网上搜到的以供参考。改变文件夹颜色.ShellClassInfoIconFile=ColorFolder.dllIconIndex=0保存为deskto.ini文件，连同ColorFolder.dll文件（Mikebox网盘里有下载）如果想同时添加背景图片及改变文件夹内文件名颜色！ExtShellFolderViewsIconArea_Text=0x000000FFAttributes=1IconArea_Image=bg04.jpg.ShellClassInfoConfirmFileOp=0把名字为bg04.jpg的图片也放到同一个文件夹里，再在原有代码下再加上以上这些就可以改变文件夹的背景图片了！更换bg04.jpg图片，并修改红色位置的名称（bg04.jpg）为更换后的图片名，就可以设置成为你喜欢的背景图片（建议选用jpg格式的）！修改0x000000FF就可以变文件颜色为你想要的颜色！0x000000FF为红色，0x00008000为绿色，0x00FF0000为蓝色，0x00FFFFFF为白色！（改变颜色也要有动态链接库文件的支持）注册动态链接库：请在开始运行中输入：regsvr32 ColorFolder.dll（不包括引号，regsvr32和ColorFolder.dll之间有空格！）注册动态链接库到系统即可！以上修改完desktop.ini文件后，须要运行（attrib +s 相应文件夹的路径）命令才会生效！Desktop.ini病毒该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。1、病毒运行后将自身复制到Windows文件夹下,文件名为:%SystemRoot%rundl132.exe2、运行被感染的文件后，病毒将病毒体复制到为以下文件:%SystemRoot%logo_1.exe3、同时病毒会在病毒文件夹下生成:病毒目录vdll.dll4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:_desktop.ini (文件属性:系统、隐藏。)5、病毒会尝试修改%SysRoot%system32driversetchosts文件。6、病毒通过添加如下注册表项实现病毒开机自动运行:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunload=C:WINNTrundl132.exeHKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload=C:WINNTrundl132.exe7、病毒运行时尝试查找窗体名为:RavMonClass的程序，查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名，查找到后终止其进程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同时病毒尝试利用以下命令终止相关杀病毒软件：net stop Kingsoft AntiVirus Service10、发送ICMP探测数据Hello,World，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接IPC$、admin$等共享目录，连接成功后进行网络感染。11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:systemsystem32windowsDocuments and settingssystem Volume InformationRecycledwinntProgram FilesWindows NTWindowsUpdateWindows Media PlayerOutlook ExpressInternet ExplorerComPlus ApplicationsNetMeetingCommon FilesMessengerMicrosoft OfficeInstallShield Installation InformationMSNMicrosoft FrontpageMovie MakerMSN Gaming Zone12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:ExplorerIexplore找到符合条件的进程后随机注入以上两个进程中的其中一个。13、当外网可用时，被注入的dll文件尝试连接一些网站下载并运行相关程序，位置具体为：c:1.txt、:%SystemRoot%0Sy.exe、:%SystemRoot%1Sy.exe、:%SystemRoot%2Sy.exe14、病毒会将下载后的1.txt的内容添加到以下相关注册表项：HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWauto=1HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsver_down0=boot loader ver_down1=boot loadertimeout=30operating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft Windows XP Professional /ver_down2=default=multi(0)disk(0)rdisk(0)partition(1)WINDOWSoperating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft Windows XP Professional /DESKTOP病毒的清除方法1、释放自身以及感染exe文件后生成C:WINDOWSrundl132.exeC:WINDOWSlogo_1.exe病毒所在目录vidll.dll2、添加注册表信息HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“load” “C:WINDOWSrundl132.exe”HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows“load” “C:WINDOWSrundl132.exe”HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW“auto”=“1”3、感染部分exe文件，并在被感染exe文件所在目录释放_desktop.ini4、修改hosts文件C:WINDOWSsystem32driversetchosts5、vidll.dll插入到进程explorer.exe或iexplore.exe6、停掉部分安全软件的进程解决过程：1、关闭rundl132.exe的进程，并删除C:WINDOWSrundl132.exe2、搜索找到并删除vidll.dll可以通过SSM自动启动来禁用vidll.dll，重新启动后删除vidll.dll或停止其插入的进程，再删除该dll文件，如果它插入了explorer.exe这个进程，那么打开任务管理器（ALT CTRL Delete），结束掉explorer.exe这个进程，删除vidll.dll文件然后用任务管理器上面的标签 文件新建任务浏览，找到并运行C:WINDOWSExplorer.exe3、删除其在注册表中创建的信息及其他病毒文件_desktop.ini、logo_1.exe4、修复被更改的hosts文件，hosts文件用记事本打开C:WINDOWSsystem32driversetchostsDESKTOP的清除方式电脑中了desktop.ini病毒之后会在硬盘所有的分区内创建若干个诸如desktop_1.ini、desktop_2.ini之类的病毒体，一般在系统下删除这些文件中的任何一个，病毒马上就会新建一个一样的文件。通常遇到这样的病毒体，我们可以一次性在DOS下删除所有分区的病毒体，这个就需要借助批处理了。具体做法如下：打开记事本，然后复制如下代码进去：再改成bat格式cd c:del Desktop_*.ini /f /s /q /ahcd d:del Desktop_*.ini /f /s /q /ahcd e:del Desktop_*.ini /f /s /q /ahcd f:del Desktop_*.ini /f /s /q /ahcd g:del Desktop_*.ini /f /s /q /ah然后双击运行即可删除所有的病毒体了。一些常见疑问：1：管理工具文件夹里面的desktop.ini中LocalizedFileNames这个什么意思？答：LocalizedFileNames是“局限性文件名称”也就是控制文件的标识。2：一个desktop.ini里面.shellclassinfoLocalizedResourceName=%SystemRoot%system32shell32.dll,-21762这个起什么作用？前面LocalizedResourceName这个又是起什么作用？后面-21762这个又是起什么作用？根据什么原理？答：LocalizedResourceName是“局限性资源名称”后面的是名称引用的地址，注意SHELL32.DLL动态链接库中记录了很多这类的信息，还包括图标ICO的地址，最后的-21762是一个ID，也可以理解成INDEX索引。3：一个desktop.ini里面InfoTip是指向文件夹时的说明，但是infotip=Shell32.dll,-12690这个什么意思答：参考第二个问题就不难理解了，infotip是“信息提示”后边连接还是SHELL32.DLL。后面的-12690也是一个索引编号。4：一个desktop.ini里面IconFile是指图标的文件夹路径IconFile=%SystemRoot%system32SHELL32.dllICONINDEX=-238是指图表文件名，但是-238是哪个图标，这些图标放在哪个文件夹，怎么可以清楚的看到这些图标的列表，以及外面引用的数字代表的是哪个图标，比如说-238是代表哪个图标。答：继续参考前两个问题的答案，ICONFILE是“ICO图标文件”，后面的我不再多解释了。至于如何找到这个图标，可以通过任意一个快捷方式的属性中的选择图标选项中查找图片，然后再对照索引来定位所指定的图片。5：一个desktop.ini里面DeleteOnCopyOwner=JedPersonalized=14PersonalizedName=My Videos这些什么意思？答：这应该是“我的文档”中“我的视频”文件夹中的desktop.ini。“Owner=Jed”的意思是当前文件夹是属于“Jed”这个用户的，“Personalized=14”的意思是私人使用的私有化属性，14是什么意思没弄明白，“PersonalizedName=My Videos”的意思是此私有文档名称为“My Videos”。6：一个desktop.ini里面，开头; =+=; Copyright (c) Microsoft Corporation. All rights reserved.; =-=这些是什么意思？是不是跟HTML代码的中注释的功能一样呢？如果是，那具体的格式是什么？答：这个很简单，是指此段代码的所有权为“Microsoft”。这个很多地方都能看到，比如很多网站下面会写明“Copyright (c) 某某公司 Corporation. All rights reserved.”意思就是所有权归属。7：一个desktop.ini里面.ShellClassInfoCLSID=ConfirmFileOp=1InfoTip=Contains application stability information.这个什么意思？答：这应该是受系统保护的文件夹中的desktop.ini，是用来指明ShellClass信息的，“CLSID=”是指class的ID在注册表中的地址是“1D2680C9-0E2A-469d-B787-065558BC7D43”，“InfoTip=Contains application stability information”为信息提示。请参考第3个问题的答案。8：xp字体文件夹（c:windowsfonts）中的desktop.ini.ShellClassInfoUICLSID=这个什么意思？答：参考第7个问题不难理解，“UICLSID=”的意思是字体样式的ID在注册表中的地址为“BD84B380-8CA2-1069-AB1D-08000948F534”。9：xp中C:Documents and SettingsDefault UserSendTodesktop.ini中的LocalizedFileNames邮件接收者.MAPIMail=sendmail.dll,-4桌面快捷方式.DeskLink=sendmail.dll,-21什么意思？答：“LocalizedFileNames”的意思就不说了，前面有。后面的问题直接按英文意思解释就可以了，一个是“邮件接收者”一个是“桌面快捷方式”，分别使用的动态链接库都是“sendmail.dll”只是ID不同，一个是4、一个是21。10：一个desktop.ini-.shellclassinfoiconindex=mainiconiconfile=d:千千静听ttplayer.exe-中的mainicon改成1或者2的话，外面文件夹的图标会改变，但是iconfile=*.*是支持什么格式的图标呢？我只知道exe程序图标是支持的，ico格式应该也能支持，试了BMP。JPG之类的都是不支持的。答：“iconindex=mainicon ”的意思是ICO图标索引为主图片，也就是默认图标。“iconfile=d:千千静听ttplayer.exe ”说明图标文件的位置是“d:千千静听ttplayer.exe ”，这里要解释一下，一般EXE文件中都包含ICO图标文件，还有就是WINDOWS的图标不支持BMP、JPG、GIF等图片格式，如果想使用的话可以用ICO文件转换工具进行转换，另外在编程软件中都会提供此类转换功能。11：ConfirmFileOp=0这句什么意思？答：确认文件选项为0，至于0代表什么设置个人估计是默认设置，不行你换成1看看有什么变化。 1.不可改名2.可以改名但改名后对原来里面的程序没有任何影响（只是改的显示名称，实际上原来的名字并没有改变）3.对文件夹里面的文件重新指定名字（只是显示出来的名字，原名没有改变）4.处理以后文件夹实际上显示的是自定义的名称，改名也只是改这个名称，文件夹原来的名字并不会改变。PS:从WINDOWS XP开始就有这种特性了，不过从VISTA开始又有变动，更加简单了。这里主要介绍WIN7下的方法，VISTA应该是一样的，XP/2003基本差不多首先看看如下图片，有没有发现一些比较特殊的地方？想知道上面的文件夹是如何来的吗？首先大家都知道从WINDOWS 9X开始，在系统中经常可以看到desktop.ini的身影，通过它可以对一个文件夹进行自定义外观的操作。以下内容来源于百度百科 /view/676737.html一、文件夹图标.ShellClassInfoInfoTip=注释IconFile=图标文件的路径IconIndex=选择要使用文件中的第几个图标自定义图标文件，其扩展名可以是.exe、.dll、.ico等。二、文件夹背景ExtShellFolderViewsBE098140-A513-11D0-A3A4-00C04FD706EC=BE098140-A513-11D0-A3A4-00C04FD706ECBE098140-A513-11D0-A3A4-00C04FD706ECAttributes=1IconArea_Image=11.jpg.ShellClassInfoConfirmFileOp=50其中11.jpg是图片，把以上内容用记事本保存为desktop.ini ，和背景图片一起放在要改变背景的文件夹内。为了防止误删，可以把desktop.ini和图片设为隐藏属性。三、标示特殊文件夹系统中有一些特殊的文件夹，如回收站、我的电脑、我的文档、网上邻居等。这些文件夹的标示有两种方法：1.直接在文件夹名后续上一个.在加对应的CLSID如：把一个文件夹取名为：新建文件夹.20D04FE0-3AEA-1069-A2D8-08002B30309D（注意：新建文件夹后面有一个半角的句号）那么这个文件夹的图标将变为我的电脑的图标，并且在双击该文件夹时将打开我的电脑。在下面查看CLSID在注册表中展开HKEY_CLASSES_ROOTCLSID，在CLSID分支下面就可以看到很多的ID，这些ID对应的都是系统里面不同的程序，文件，系统组件等常见组件类对应的CLSID:我的文档：450D8FBA-AD25-11D0-98A8-0800361B1103我的电脑：20D04FE0-3AEA-1069-A2D8-08002B30309D网上邻居：208D2C60-3AEA-1069-A2D7-08002B30309D回收站：645FF040-5081-101B-9F08-00AA002F954EInternet Explorer：871C5380-42A0-1069-A2EA-08002B30309D控制面板：21EC2020-3AEA-1069-A2DD-08002B30309D拨号网络/网络连接 :992CFFA0-F557-101A-88EC-00DD010CCC48任务计划 :D6277990-4C6A-11CF-8D87-00AA0060F5BF打印机(和传真):2227A280-3AEA-1069-A2DE-08002B30309D历史文件夹:7BD29E00-76C1-11CF-9DD0-00A0C9034933ActiveX缓存文件夹: 88C6C381-2E85-11D0-94DE-444553540000公文包: 85BBD920-42A0-1069-A2E4-08002B30309D2.第二种是通过一个desktop.ini文件还以我的电脑为例:新建一个文件夹,名字随便,然后在其下边建立desktop.ini文件,内容如下:.ShellClassInfoCLSID=相应的ID注:有部分病毒会建立这样的文件夹以达到隐藏自身的目的.另外这也是一种我们隐藏小秘密的方法.四、标示文件夹所有者这通常见于我的文档等如我的文档里就有这样一个文件，内容如下：DeleteOnCopyOwner=AdministratorPersonalized=5PersonalizedName=My Documents好进入正题，其实上面的文件夹都是用到了一个参数LocalizedResourceName（这个的意思自己翻译一下),通过它我们就可以为我们的文件夹重新定义名字。其它的我就不多说了，自己找下资料，上面的文件夹制作方法例子：1.新建一个文件夹名为test(随意)2.在test文件夹中新建一个desktop.ini文件（注意一下扩展名）3.在desktop.ini中输入以下内容.ShellClassInfoLocalizedResourceName=自定义显示的名称4.最后一步也是很重要的一步，否则就不能显示。给test文件加个只读或者系统的属性使用ATTRIB命令（可以进入CMD，然后输入attrib+空格再把上面的文件夹拖放到CMD窗口获取这个文件夹路径）:+r只读属性;+s是系统属性，可以只加一个attrib test文件夹路径 +r +s5.怎么样看到效果了吗？如果没有可能是系统还没有刷新，先关闭资源管理器，等一下再开就可以看到了。知道了这些，上面的文件夹就很容易做出来了，只是改一下LocalizedResourceName的值而已。要实现上面第三个的效果（不能改名），只需要给这个文件夹只读属性，再把DESKTOP.INI也设成只读属性。就OK了。PS:上面的做好以后你可以试着对这个文件夹进行改名操作，然后再注意看一下地址栏上显示的文件夹名称，会发现什么？没错无论你怎么改名这个文件夹名称（原来的文件夹名）是不会改变的。用途嘛，自己想一下，反正是挺有用的。附上desktop.ini的其它应用例子（自定义显示目录下某些文件的名字），具体的自己看图吧，不多说了url文件详解URL 统一资源定位/scripts/thispage.html协议 服务器名 域名 目录 扩展名头部：InternetShortcut正文：URL=/bbs/index.phpModified=F00F43B3A875C601D9 /*记录页面最后修改时间的HTTP头信息的，只要位数对了就好了，注意字母大写！作用跟我们个人没关系。多数用于搜索引擎的搜索。例如谷歌要看看以前抓去的页面是不是变化了，看看Modified值变了没有就好了*/扩展：IconFile=C:WINDOWSsystem32SHELL32.dll /*后面接图标文件路径及文件*/IconIndex=n /*其中“iconindex=n”表示使用的图标是指定文件中的第几个图标*/注：shell.dll里面放置了Windows自带的所有图标，可以使用eXeScope打开查看“资源”举个例子吧iconfile=C:windowsregedit.exeiconindex=1保存后刷新，看看，成了注册表了“我的电脑”“我的文档”没有url，隐藏成他们再好不过了HOSTS文件当你在浏览器的地址栏里输入:或者的时候，你的计算机其实并不知道这是什么意思。它并不理解，你是想要它去连接上百度的网站或者Google的网站。它听不懂，因为你输入的是人类的语言，而不是机器的语言。机器能够听懂的语言是一串数字地址，比如说：1，这是百度的地址，叫做IP地址。网上的站点有无数个，每个站点都有这样的一个地址，就像是独一无二的门牌号。机器可以理解这串数字，按照它的指示找到对应的网站。人说人的语言，机器说机器的语言，其中就肯定有一个翻译的问题。当你在浏览器的地址栏里输入：，需要一个翻译，把它变成：1，交给你的机器去执行。然后，你的电脑就连接到百度。这两种语言都有必要存在，你不可能记得几个IP地址，因为它最多可能有12位之多。想想看，你能背住几个手机号码？当然，打电话从来不会对你造成任何困扰，因为你的手机通讯录上记录的是人名。你查找通讯录的时候，你只要记得人名，手机会自动把人名和电话号码对应起来。电脑也是一样，有专门的服务器负责这种翻译，或者说对应工作。术语叫做DNS解析服务器，简单说，就是一种专门用来翻译域名的服务器。它负责把你提交的域名变成IP地址，告诉你的机器，好让它连过去。它就像是一个户籍警，你告诉它要去什么小区几楼几单元几号门，他负责告诉你应该左转右转怎么个走法。很明显，如果这位户籍警是个混蛋，那么就很可能指一条错误的路给你。或者，有恐怖分子劫持了这位户籍警，要他胡乱指路，那么你就会发现此路不通。发生这种情况怎么办？那自然是不去问这位户籍警了，而是自己给自己的机器指路。在你电脑操作系统上的Hosts文件