第五章 计算机系统基本维护
课型:理论课 实践课
总课时:20课时 理论课时:10课时 实践课时:10课时
教学目的和要求:通过本章的学习,学生主要掌握注册表编辑器的使用方法、掌握任务管理器进程列表使用方法、掌握windows性能设置。
重点和难点:注册表编辑器的使用、任务管理器进程列表使用、windows性能设置 教学手段教具:多媒体教学、机房上机 总结分析:采用理论讲授和上机实践相结合的方法,学生可掌握一些基本的计算机系统维护的方法
1、Windows系统注册表维护
注册表是Windows操作系统的核心,存放着Windows系统以及Windows中各个应用软件的配置数据。注册表是Windows的神经中枢,Windows的运行模式:准备执行某项功能-〉访问注册表-〉取得设置信息-〉执行
1、注册表的由来
微软公司最早并没有使用注册表,在Windows 3.1中,使用INI文件来存放各种配置参数。在Windows95中,放弃了INI文件,使用了注册表。
INI文件的缺点
1、单个INI文件大小不能超过64KB。为了解决这个问题,软件商自己开始支持自己的.ini文件,然后指向特定的ini文件如win.ini和system.ini文件。多个ini文件影响了系统正常的存取级别设置,容易引起冲突。
2、只能在少数用户和少数应用程序环境中运行良好。随着应用程序的增加, INI文件里面会增加更多的参数项,删除程序的时候又不会删除这些参数项,使得INI文件会越来越大,每增加的内容会导致系统性能越来越慢。
3、使用INI文件不容易描述复杂的信息,尤其是对于多级层次关系的描述。
4、不支持网络环境下的远程配置、管理的要求。 注册表和INI文件相比,解决了以下的问题
1、注册表数据库的大小没有限制。 注册表的大小通常为1MB左右,Windows98注册表的大小通常为2-3MB,Windows NT注册表的大小通常为2-10MB,Windows2000注册表的大小通常为6-20MB。Windows版本越高,其容量就越大,存放的信息就越多。
2、注册表采用数据库的形式,逻辑结构上采用树型结构,方便了信息的存储和查找。
3、注册表支持网络环境,可以在本地机上配置远程计算机,实现远程管理。
2、注册表的作用
注册表里存放了所有的硬件信息,包括系统启动时可识别的、BIOS可识别的和BIOS不可识别的信息。注册表通过描述硬件的驱动程序和参数,使得Windows知道:到哪里去装入硬件的驱动程序,可以分配哪些资源,分配的资源之间是否有冲突等。
注册表存储了Windows的所有软件信息,控制Windows的桌面外观、浏览器界面、系统性能、网络协议等;注册表存储了应用程序和Windows打交道的信息,应用程序的安装注册信息、启动参数、文件名关联等都离不开注册表
设置
Windows安装程序和其它安装程序,在安装或配置时,都会将数据添加到注册表中。 识别器
每次启动运行Windows的计算机时,识别程序都将把硬件配置数据放置在注册表中。 Windows内核
在系统启动过程中,Windows内核从注册表中提取信息,如加载哪些设备驱动程序以及它们的加载顺序。
设备驱动程序
设备驱动程序从注册表发送和接收加载参数及配置数据。设备的驱动程序必须报告它所使用的系统资源,以便系统将此信息添加到注册表中。程序及设备驱动程序可以访问该注册表信息,以便向用户提供智能安装及配置程序。
管理工具
通过Windows中的选项和管理工具(如控制面板),可以直接修改配置数据。
3、Windows NT/2000/XP注册表 注册表的位置
在物理存储上,注册表对应于Windows中的一组文件包括C:\\Windows\\system32\\config目录下的文件以及C:\\documents and settings\\\\ntuser.dat文件
Windows NT/2000/XP注册表树 用户在访问和操作注册表时,都是针对注册表的逻辑结构,Windows会将用户的访问操作自动转换为对注册表文件的物理操作。
为了实现高效率和方便性,微软将注册表设计成树型的数据库结构。整个树型结构由两棵目录树组成,一个是HKEY_LOCAL_MACHINE,对应着操作系统中系统相关的信息;另一个是HKEY_USERS,对应着操作系统中用户相关的信息。
在每个目录树下,都有子树,子树的下面还可以有子树,对于子树的层数没有限制,因此,在理论上注册表的大小也是没有限制的。任何一个子树上都可以有树叶,每个树叶都是一个参数,存放了某个系统或应用程序的配置参数。
虽然整个注册表由两个目录树组成,但是为了使注册表中的信息更易于查找,将注册表分为5个目录树,另外3个目录树是从这两个目录树下的某个子树映射过来的。
HKEY_LOCAL_MACHINE。该子树是最重要的子树,包含了关于本地计算机系统的信息,包括硬件和操作系统数据,如总线类型、系统内存等
HKEY_CLASSES_ROOT。该子树包含由各种OLE技术使用的信息和文件类别关联数据。该目录树由两部分组成,一部分指向HKEY_LOCAL_MACHINE\\SOFTWARE\\Claes,另一部分是HKEY_CURRENT_USER\\SOFTWARE\\Claes。
HKEY_CURRENT_USER。该目录树包含当前登录的用户的用户配置文件,包括环境变量、桌面设置、网络连接等。该目录树是从HKEY_USERS\\映射过来的。
HKEY_USERS。该目录树包含了系统中所有的用户配置文件和默认的配置文件的信息。 HKEY_CURRENT_CONFIG。包含在启动时由本地计算机系统使用的硬件配置文件的相关信息。该信息用于配置一些设置,如要加载的设备驱动程序和显示时要使用的分辨率。
Windows NT/2000/XP注册表中的重要子树
1、HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft 微软的一些产品,包括Windows,都在这里存放配置信息。(例如directx)
2、HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion 该子树下存放了操作系统的一些参数(例如run)
3、HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control 该子树下存放了Windows操作系统的硬件相关的设置参数。该子树是一个非常重要的子树,如果内容错误或者损失,将导致Windows系统不能启动运行。
4、HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum 该项中是一个设备数据库,该数据库存放了计算机中所有安装的,并且被系统认识到的设备。
5、HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 该项中存放了Windows中的各种服务程序,包括设备驱动、文件系统驱动以及win32服务程序。
4、注册表编辑器
一般情况下,对注册表进行的修改,都可以通过注册表编辑器 来实现。在“开始”菜单中是找不到注册表编辑器的,因为注册表编辑器的使用带有的一定的危险性,“运行”-〉“regedit”
1、设置权限
为了维护注册表的安全,需要对各个不同用户访问注册表的权限加以限制。应该做到:有权用户(如系统管理员)可以修改所有系统信息;普通用户不可以修改其他用户的信息。
Windows NT/2000/XP/2003注册表的访问权限分为10种。
为了方便起见,又可将对注册表的操作分成两类,一类是“完全控制”,包括以上10种权限;一类是“读取”,包括“查询数值”、“枚举子项”、“通知”、和“读取控制”四个权限。
除了访问权限外,还有“审核”,和10种权限一一对应。审核:可以知道谁曾经对注册表进行过编辑修改,以及在什么地方进行的编辑修改。
可以将不同的权限制定给不同的用户,以此来限制用户对注册表的访问。
如果想进一步细划该注册表项的权限和审核,可以单击“高级”按钮,双击某个用户组,在出现的对话框中可以选择所有的10种权限。
在“审核”选项卡中可以添加“审核项目”
2、查找注册表
查找是注册表操作中最常用的功能之一。首先在左面的注册表项窗口中选定一个项,作为查找的起点,如果想查找整个注册表,就选定最上方的“我的电脑”。
“项”-〉子树
“值”-〉参数值名称
如果某个注册项要经常地看,就放到收藏夹
3、新建项和值
编辑器提供了“项”、“字符串”、“二进制值”和“双字节值”4种类型
4、删除项和值项
5、修改项和值项
6、导入和导出注册表内容
Regedit.exe注册表编辑器提供了注册表项导入和导出功能,导出的注册表文件是普通的文本文件,可以使用普通的编辑软件进行查看和修改,然后将修改过的注册表文件再导入到注册表中,这样也就间接地修改了注册表。
使用Regedit.exe可以导出和导入注册表脚本文件,脚本文件的扩展名为.reg,即REG文件,在一般情况下,双击脚本文件,执行的是“导入”操作,也就是根据REG文件的内容修改注册表。可以将执行操作改为“编辑”操作,而不是“导入”。
5、注册表备份和恢复
为了防止因注册表文件损坏造成系统工作不正常甚至无法正常启动,可以事先对注册表文件进行复制保存。当系统出现注册表问题时,用保存的注册表备份文件去恢复注册表,是排除故障的有效方法。
注册表备份:
1、使用注册表编辑器“导出”(范围)
2、在DOS下执行regedit.exe
3、复制注册表文件(根据操作系统不同而定)
4、使用备份工具 注册表恢复:
1、使用注册表编辑器“导入”(范围)
2、在DOS下执行regedit.exe
3、将复制的注册表文件恢复
4、使用备份工具
2、任务管理器进程列表使用
1、进程概念
所谓进程,是指一个具有独立功能的程序在某个数据集合上的一次运行活动,它是系统进行资源分配和调度的一个基本单位。简单地说,进程就是指操作系统当前运行的程序。
程序与进程概念不可分。程序是为了完成某项任务编排的语句序列,它告诉计算机如何执行,因此程序是需要运行的。程序运行过程中需要占有计算机的各种资源才能运行下去。
由于程序是静态的,我们看到的程序是存储在存储介质上的,它无法反映出程序执行过程中的动态特性,而且程序在执行过程中是不断申请资源,程序作为共享资源的基本单位是不合适的,所以引入进程,它能描述程序的执行过程而且可以作为共享资源的基本单位。
线程是进程的一个实体 ,是CPU调度和分派的基本单位,它是比进程更小的能独立运行的基本单位。线程自己基本上不拥有系统资源,只拥有在运行中必不可少的资源(如程序计数器,一组寄存器和栈),但是它可与同属一个进程的其他的线程共享进程所拥有的全部资源。
进程可以简单的分为系统进程(包括一般Windows程序和服务进程)和用户进程。简单的说,凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;而用户进程就是由用户启动的进程。
2、最基本的系统进程
此类系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行。因此,它们是不能被结束任务的。
winlogon.exe:管理用户登录。
csr.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。
System Idle Proce:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
sm.exe:这是一个会话管理子系统,负责启动用户会话。
services.exe:这是系统服务管理工具,包含很多系统服务。
lsa.exe:这是一个本地的安全授权服务,管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
explorer.exe:资源管理器,显示桌面图标和任务栏。 SPOOLSV.EXE:管理缓冲区中的打印和传真作业,将文件加载到内存中以便迟后打印。
svchost.exe:系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表。多个Svchost.exe如果同时运行,则表明当前有多组服务处于活动状态,多个DLL文件在调用它。
3、其它进程
有些进程不是必需要运行的,可以根据服务管理的需要来结束相关进程。 mstask.exe:允许程序在指定时间运行。 regsvc.exe:允许远程注册表操作。
inetinfo.exe:通过 Internet 信息服务的管理单元提供 FTP 连接和管理。IIS的一部分,用于Debug调试除错。
alg.exe: 应用层网关服务用于网络共享
ddhelp.exe:DirectX用于图形服务的一个组成部分
dllhost.exe :支持基于COM对象支持DLL以运行Windows程序
internat.exe :用于更改类似国家设置、键盘类型和日期格式
mdm.exe:Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器
mmtask.tsk:控制多媒体服务
msgsrv32.exe:Windows信使服务调用Windows驱动和程序管理在启动
mstask.exe:Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行 regsvc.exe :远程注册表服务用于访问在远程计算机的注册表 taskmgr.exe:Windows任务管理器,是Windows任务管理执行者
tcpsvcs.exe :TCP/IP Services Application支持透过TCP/IP连接局域网和Internet
wuauclt.exe:主管Windows自动升级的系统进程.可以在线检测最近Windows更新如果你没有开启自动升级的话就不会有这项进程了,而且就算你开启了它,它也不是任何时候都开启的
4、进程处理 A、精简进程
系统中的一些进程并不是必须的,结束它们并不会对系统造成什么损害。
比如:internat.exe(显示输入法图标)、systray.exe(显示系统托盘小喇叭图标)、ctfmon.exe(微软Office输入法)、mstask.exe(计划任务)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。
B、杀死不良进程
有时会发现系统运行速度特别慢,这时可打开任务管理器,单击“进程”标签,点击“CPU”列标签让进程按CPU资源占用排序,可以很明显地看到资源占用最高的程序。同样方法,可以点击“内存”列标签,查看那些内存占用大户,及时结束进程。
5、从进程发现病毒和木马
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。
但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施。
A、文件名伪装
(1)修改常见程序或进程个别字符 例如:internet.exe 和internat.exe (2)修改扩展名
例如:Kernel32.dll 和Kernel32.exe B、路径伪装
Windows目录和System目录是系统核心文件所在地,出入它们的文件一般都被人们认为是系统文件,而病毒和木马就借机将源文件放在这两个目录中。
将病毒的进程名改为和系统进程一样的名称,例如:svchost.exe,然后将病毒将自身复制到“C:\\WINDOWS\\”中,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。正常的svchost.exe进程对应的可执行文件位于“C:\\WINDOWS\\ system32”目录下
6、通过进程发现、处理病毒
为什么杀毒软件并不能全面的查找和杀掉病毒?
首先,病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。
其次,杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的这些进程,被当作进程执行的程序是不能被删除的。
发现可疑进程后,利用Windows的查找功能,查找该进程所在的具体路径,通过路径可以知道该进程是否合法 。
在对进程是否病毒拿不定主意时,可以复制该进程的全名,如:“xxx.exe”到googl.com或baidu.com这样的全球搜查引擎上进行搜查,如果是病毒会有相关的介绍网页。
确定了进程是病毒,首先应该杀掉该进程; “杀掉”进程后找到该进程的路径删除掉即可; 完成后最好再进行一次杀毒。
3、windows性能设置
在安装完Windows系统后,可以根据具体的需要,从各个方面来调整Windows的性能,使之最大限度地利用资源。
1、自定义windows中服务进程的启动
在Windows操作系统中,windows的各个功能大部分是以服务进程的形式提供的。 控制面板-〉管理工具-〉服务和应用程序-〉服务
双击某个服务,显示该服务的设置画面,在其中可以启动或者终止该服务,还可以更改服务的启动方式。
服务的状态可以分为“已启动”和“未启动”,只要是“已启动”状态,就意味着该服务正在正常运行,并占用一定的系统资源。
服务的启动方式可以设置为“手动”、“自动”和“已禁用”:
如果是手动方式,则windows启动后该服务不会被启动,但是一些应用程序(包括用户手工)可以启动该服务;
如果是自动方式,则windows启动后会自动启动该服务;
如果是已禁用方式,则windows不会允许应用程序来启动该服务。 各种常见服务: (1)Alter:警报服务
手动
(2)Application layer gateway service: 有些软件需要 禁止 (3)application management:提供软件安装服务
手动 (4)automatic updates: 禁止
(5)background intelligent transfer service:支持更新时的断点传输
禁止
(6)clipbook:用于局域网电脑共享剪贴板的内容
禁止 (7)com+ event system:系统事件通知 手动 (8)com+ system application:手动
(9)computer browser:网上邻居显示局域网中计算机
禁止 (10)cryptographic services:安全性方面的服务
手动 (11)dhcp client:手动 (12)distributed link tracking client:禁止
(13)distributed transaction coordinator:禁止 (14)dns client:提供dns服务的缓冲服务 自动
(15)error reporting service:向微软发送错误报告 禁止 (16)event log:系统日志 禁止
(17)fast user switching compatibility:快速切换用户 禁止 (18)help and support:windows帮助 禁止
(19)human interface device acce:智能设备相关服务 禁止 (20)imapi cd-burning com service:内置cd刻录功能 禁止 (21)indexing service:索引功能 禁止 (22)icf/ics:windows自带防火墙 禁止 (23)ipsec services:加密数据传输 手动
(24)logical disk manager:计算机逻辑磁盘管理 自动
(25)logical disk manager administrative service:服务于logical disk manger 手动 (26)meenger:传输客户端和服务器之间的服务信息
禁止 (27)ms software shadow copy provider:禁止
(28)net logon:支持网络中计算机账户登陆身份验证
禁止 (29)netmeeting remote desktop sharing:远程控制
禁止 (30)network connections:查看网络链接的详细情况
手动
(31)network dde:提供动态数据交换的网络传输和安全
禁止 (32)network dde dsdn:管理动态数据交换
禁止
(33)network location awarene:维护网络上计算机信息
禁止 (34)performance logs and alter:用于性能监视
禁止 (35)plug and play:即插即用
自动 (36)portable media serial number:禁止 (37)print spooler:打印机
手动
(38)protected storage:windows加密保护
手动 (39)qos rsvp:用到质量服务
禁止
(40)remote acce auto connection manager:远程网络连接
手动
(41)remote acce connection manager:创建网络连接
手动 (42)remote desktop help seion manager:远程协助
禁止
(43)remote procedure call:提供终点映射程序及RPC服务
手动
(44)remote procedure call locator:管理RPC服务
手动 (45)remote registry:远程注册表
禁止 (46)removalbe storage:可移动存储的支持
手动 (47)routing and remote acce:路由功能
禁止
(48)secondary logon:允许多用户同时登陆
自动
(49)security accounts manager:存储本地用户帐户的安全信息
自动 (50)server:文件、打印服务器
禁止 (51)smart card:智能卡
禁止
(52)smart card helper:智能卡
禁止 (53)dp discovery service:
禁止
(54)system event notification:系统事件通知 自动 (55)system restore service:系统还原
禁止 (56)task scheduler:定时执行
禁止
(57)tcp/ip netbios helper:如果只适用tcp/ip则禁用
禁止 (58)telephony:控制电话设备及IP电话 手动
(59)telnet:一些黑客需要执行黑客程序
禁止 (60)terminal services:远程桌面共享
禁止 (61)themes:显示主题
禁止
(62)uninterruptible power supply:ups 禁止
(63)universal plug and play device host:支持即插即用
手动 (64)upload manager:客户端和服务器之间文件传输
自动 (65)volume shadow copy:禁止
(66)webclient:管理internet文件
自动 (67)windows audio:音频
自动
(68)windows image acquisition:图像捕获 禁止
(69)windows management instrumentation:基本服务 自动
(70)windows management instrumentation driver extensions:与驱动程序交换管理信息
自动
(71)windows time:禁止
(72)windows zero configuration:无线网络协议
禁止 (73)wmi performance adapter:手动
(74)workstation:提供internet连接
自动
2、Windows2000/XP优化设置
1、msconfig Windows XP的启动速度在系统安装初期还比较快,但随着安装的软件不断增多,系统的启动速度会越来越慢,这是由于许多软件把自己加在了启动程序中,这样开机即需运行,大大降低了启动速度,而且也占用了大量的系统资源。
对于这样一些程序,我们可以通过系统配置实用程序Msconfig将它们从启动组中排除出去。
2、禁用多余的服务
Windows XP在启动时会有众多程序或服务被调入到系统的内存中,它们往往用来控制Windows系统的硬件设备、内存、文件管理或者其他重要的系统功能。但这些服务有很多对我们用途不大甚至根本没有用,它们的存在会占用内存和系统资源,所以应该将它们禁用,这样最多可以节省70MB的内存空间,系统速度自然也会有很大的提高。
3、修改注册表来减少预读取,减少进度条等待时间
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Seion Manager\\Memory Management\\PrefetchParameters,选择其下的EnablePrefetcher键,把它的键值改为“1”即可。
4、减少开机磁盘扫描等待时间
选择“开始→运行”,在运行对话框中键入“chkntfs /t:0”,即可将磁盘扫描等待时间设置为0;如果要在计算机启动时忽略扫描某个分区,比如C盘,可以输入“chkntfs /x c:”命令;如果要恢复对C盘的扫描,可使用“chkntfs /d c:”命令,即可还原所有chkntfs默认设置,除了自动文件检查的倒计时之外。
5、设置处理器二级缓存容量
Windows XP无法自动检测处理器的二级缓存容量,需要我们自己在注册表中手动设置,首先打开注册表,找到“HKEY_LOCAL_MACHINE\\SYSTEM\\ CurrentControlSet\\ Control\\ Seion Manager\\ Memory Management\\”,选择其下的“SecondLevelDataCache”,根据自己所用的处理器设置即可。
6、提升系统缓存
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Seion Manager\\Memory Management\\”位置,把其下的“LargeSystemCache”键值从0改为1
Windows XP就会把除了4M之外的系统内存全部分配到文件系统缓存中,这样XP的内核能够在内存中运行,大大提高系统速度。
注意:内存〉256M
7、禁用内存页面调度
在正常情况下,XP会把内存中的片断写入硬盘,可以阻止它这样做,让数据保留在内存中,从而提升系统性能。
“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Seion Manager\\Memory Management\\”下的“DisablePagingExecutive”键,把它的值从0改为1即可禁止内存页面调度了。
