第一篇--杂记--整理电脑

笔记本回来了，内伤累累，带着复杂的心情做点简单整理。

首先我想重装系统，但也作罢，卸载软件vs重装，其实都是差不多伤机器。

1，流氓软件

正常启动已经不行了，开机后随便开个“我的电脑”都要很久，软件关不掉，强制关闭被拒绝。想正常关闭，可单是找到软件的“关闭”界面就是不小的工作量，机器很累！烫。

这些软件，都是“杀毒”“清理”“助手”自居，其实它们才是光明正大的病毒。也就是说，采用跟病毒库中的代码不同的代码，达到相似的目的。杀毒原理除了常用技术外，主要是靠代码片段的比较吧？

打开注册表，发现很多驱动，我想一一对照，可是毕竟能力有限，很多程序名字不熟，况且我是理论型人，理论未成之前，不想有任何实战，所以我就一直没有实战。所以只好放弃，一一打开程序所在目录，用它们自己的卸载软件来卸载。

我对这些卸载软件其实抱着不信任的态度，但是这毕竟只是“流氓软件”，它们不是病毒，这让我省了很大的力气。这些自带的卸载软件让我在很短的时间内，就完成了电脑的瘦身。

由此我想，为什么病毒不能像这些软件一样呢？因为病毒比较小，容易被隔离，而这些软件里外相连，成了一套体系。就像很多国外软件，用的底层其实并不多，可是自身形成庞大的结构跟算法，并作出自己的引擎，血肉丰富。以linux的参数为例，其正则表达式处理只是个基础的基础，但实际代码就令人烦躁不安！

这些庞大臃肿的流氓软件，其实有着很多的弱点。

再稍清理些驱动后，这些软件就不再复发了，毕竟，它们本意也不是想伤害你，所以这些操作对于我这个没有实际经验的人也很ok。当然还有很多残留的尸体，算了，也许以后我还会研究到它们呢。

2，特别记录下手机驱动

我只是搞不清，一个手机驱动怎么会搞到40+M，但我马上也放弃了，基本上这东西只要能用就行了。简单记录如下

要实现手机连电脑，大概需要：

user-mode driver服务，貌似是wudfHost.exe（这东西竟然没有关闭接口，令我极度反感！）

对应一个w**df**0001**的sys，名字忘记了，而且不止这一个，

wpdusb.sys和wudfrd.sys            好像也是的，这俩个明确出现在手机驱动信息里面。

ssudmdm.sys和modem.sys            是三星调制解调器的

chargefaster.sys和ssudbus.sys     是充电跟三星总线驱动?的。另外

winUSB.sys也是的                  它好像是微软的usb驱动，被安卓用而已

总之我估计1-2M完全可以解决的，2M都多说了。40M可包含2，3十款不同机型

实际我在另外一台机器安装后，只有3个文件，而且并不需要开启什么user-mode driver服务

wdf01000.sys-----这是对微软驱动模型的一份hotfix   

WDFLDR.SYS      

WinUSB.sys

应该是已经成功了。在window目录中log文件Wdf01009Inst.log提到spmsgXP_2k3.dll、WinUSBCoInstaller2.dll、WdfCoInstaller01009.dll另外出现目录$NtUninstallWdf01009$里面是卸载驱动的文件。

这才发现半年前装过一个叫keis的三星驱动留下了一些垃圾文件。 

3，新建用户

为了不产生异样，要将administrator从欢迎屏幕隐去，用新用户代之。这些操作用控制面板就很烦，直接注册表里就简明了。

• 首先是Windows NT的logon下UserList里加用户名，值为0就可以隐去了

然后是新用户的桌面、我的文档之类，从原来的地方剪切过来。

• 新用户对ntfs盘没有操作权限，但是可以新建文件夹，是完全控制的，里面就可以随意操作了
  

ntfs才有安全属性（关闭简单共享后可见），fat没有的。

• 组策略里面分为上下两个一样的区，其实前者是LOCALMachine的，后者是当前用户的。这里的操作仍然没有直接注册表来的方便。比如若想将用户A的文件夹选项隐去，注册表中可以一个一个项目的隐，组策略是一弄什么都没有了。

多用户的出现，就解释了很多现象，比如:

• 注册表的结构，在Windows NT的ProfileList里面，列出了所有用户，有logon用的default，有system等等，但不含aspnet等诡异账号。这样看注册表就清晰一点了，因为当前账号是无权修改localmachine的。

• 利用这一点，先以管理员登陆，运行ranas，使其加载用户b的配置文件，然后修改其权限。修改的时候，因为权限有继承的说法，所以显得略烦，其实从代码角度看倒还好。

改完后，用户b登录后就不能改动注册表中自己的部分了（本来是可以修改的，组策略也是可以自行修改的，所以其实无用）。

另外微软的runas工具会有错误5：拒绝访问的问题，可以研究下。

• sid的特点，s-1-5-21-,管理员是500，新用户1000+
  

• wifi需要scz跟server服务

4，网络邻居

发现一个“新”朋友fengzhuang 在 pc-20121228zryh，也可能就是我自己。