系统文件.docx

1、系统文件Windows变量声明：%system%一般指你安装WINDOWS的目录，%USERPROFILE%指的是你的用户配置文件目录,一般是指“C:Documents and Settings你的用户名”， USERPROFILE=H:DocumentsandSettingsAdministrator/当前用户的配置文件目录 %systemroot%是系统中的一个变量，和%windir%一样，是指当前操作系统的系统目录或者是根目录（windows系统文件夹位置）,这里的%是表示变量的意思。因为有的人在安装系统的时候不一定把windows安装在C盘，一般来说也就是变量%systemroot%=

2、C:Windows,Windows Nt和Windows2000的位置是C:Winnt也就是变量%systemroot%=C:Winnt。如果你的系统是安装在D盘那就是D:windows或D:winnt，如果系统安装的别的盘依此类推。%systemroot%是一个windows系统参数值，代表windows的安装目录。 %systemroot%一般情况下是C:Windows，根据安装目录不同也可能是D:Windows、C:WinXP等等。 用下述方法可以查看%systemroot%的值： “开始菜单”运行“cmd”（打开DOS命令行方式）输入“echo %systemroot%”后回车。示范效

3、果如下： Microsoft Windows XP 版本 5.1.2600(C) 版权所有 1985-2001 Microsoft Corp. C:echo %systemroot%C:WINDOWS C:%windir%=H:WINDOWS/windows所在的目录，总是跟systemroot一样%ProgramFiles%为应用程序安装路径，ProgramFiles=H:ProgramFiles/应用程序的默认安装目录表示相对路径.这里一般为你系统所在盘的ProgramFiles文件夹下。因为有可能系统盘不在C,所以软件安装程序这样设置来保证软件默认安装在系统盘。 %AppData%是H:

4、DocumentsandSettingsAdministratorApplicationData/当前用户的应用程序路径，是一个对Application Data路径的简记形式. 使用这个变量的时候,仅仅需要在资源管理器的地址栏中输入 %AppData%然后按Enter就可以了. 您会被代到真正的文件夹下,一般情况下可能是: C:Documents and SettingsUser NameApplication Data %CommonProgramFiles%=H:ProgramFilesCommonFiles/应用程序公用的文件路径 %DriverLetters% 是逻辑驱动器分区%Ho

5、meDriver% 是当前用户系统所在分区%Documents and Settings%是用户文档目录，如C:Documents and SettingsALLUSERSPROFILE=H:DocumentsandSettingsAllUsers/所有用户的PROFILE路径 ClusterLog=H:WINDOWSClustercluster.log/集群日志路径 COMPUTERNAME=E2003/计算机名称 ComSpec=H:WINDOWSsystem32cmd.exe/当前的命令解释器 HOMEDRIVE=H:/当前用户的主盘 HOMEPATH=DocumentsandSetti

6、ngsAdministrator/当前活动用户目录 LOGONSERVER=E2003/登录的服务器 NUMBER_O_PROCESSORS=1/当前计算机的处理器数字 OS=Windows_NT/当前系统的内核 Path=H:ProgramFilesSupportTools;H:WINDOWSsystem32;/学过DOS的都知道 PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH/以前DOS下默认的是COM,EXE,BAT,现在已经有这么多了哟,以前都不知道,脚本都可以不打扩展名了 PROCESSOR_ARCHITECTURE=

7、x86/处理器架构 PROCESSOR_IDENTIFIER=x86Family15Model1Stepping3,GenuineIntel/处理器标识符 PROCESSOR_REVISION=0103/版本? PROMPT=$P$G/学过DOS的都知道 SESSIONNAME=Console/会话名称SystemDrive=H:/系统所在的盘符 SystemRoot=H:WINDOWS/系统所在的目录 TEMP=H:DOCUME1ADMINI1LOCALS1Temp/当前用户的临时目录 ，c:/document and settings/local settingsTemp TMP=H:DO

8、CUME1ADMINI1LOCALS1Temp/同上 USERDNSDOMAIN=MCSE.COM/当前用户所在的域的DNS表示 USERDOMAIN=MCSE/NETBIOS表示 USERNAME=administrator/当前用户名 SYSTEM是至高无上的超级管理员帐户。默认情况下，我们无法直接在登录对话框上以SYSTEM帐户的身份登录到Windows桌面环境。实际上SYSTEM帐户早就已经“盘踞”在系统中了。想想也是，连负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的，谁还能有资格检验SYSTEM呢?既然SYSTEM帐户早就已经出现在系统中，所以只需以SY

9、STEM帐户的身份启动Windows的Shell程序Explorer，就相当于用SYSTEM身份登录Windows了。 一、获得特权 1、执行“开始运行”输入cmd回车打开命令提示符窗口。 2、在命令提示符下输入如下命令并回车： taskkill /f /im explorer.exe (结束当前账户的explorer)(图1) 图1 3、在命令提示符下继续输入如下命令并回车：（先可用time命令看具体的时间，注意不要另外设定时间，回车即可） at time /interactive %systemroot%explorer.exe (time为当前系统时间稍后的一个时间，比如间隔一秒。)(图

10、2) 图2 4、一秒钟后会重新加载用户配置，以SYSTEM身份启动Windows的shell进程Explorer.exe 二、验明正身 1、开始菜单，显示system账户。(图3) 图3 图42、打开注册表编辑器，只要证明HKCU就是HKUS-1-5-18的链接就可以了(S-1-5-18就是SYSTEM帐户的SID)。证明方法很简单：在HKCU下随便新建一个Test子项，然后刷新，再看看HKUS-1-5-18下是否同步出现了Test子项，如果是，就说明系统当前加载的就是SYSTEM帐户的用户配置单元!(图5) 图5 三、大行其道 1、注册表访问： 说明：在非SYSTEM权限下，用户是不能访问某

11、些注册表项的，比如“HKEY_LOCAL_MACHINESAM”、“HKEY_LOCAL_MACHINESECURITY”等。这些项记录的是系统的核心数据，但某些病毒或者木马经常光顾这里。比如在SAM项目下建立具有管理员权限的隐藏账户，在默认情况下管理员通过在命令行下敲入“net user”或者在“本地用户和组”(lusrmgr.msc)中是无法看到的，给系统造成了很大的隐患。在“SYSTEM”权限下，注册表的访问就没有任何障碍，一切黑手都暴露无遗! 操作：打开注册表管理器，尝试访问HKEY_LOCAL_MACHINESAM和HKEY_LOCAL_MACHINESECURITY，现在应该可以无

12、限制访问了。(图6和图7) 图6 图72、访问系统还原文件： 说明：系统还原是windows系统的一种自我保护措施，它在每个根目录下建立“System Colume Information”文件夹，保存一些系统信息以备系统恢复是使用。如果你不想使用“系统还原”，或者想删除其下的某些文件，这个文件夹具有隐藏、系统属性，非SYSTEM权限是无法删除的。如果以SYSTEM权限登录你就可以任意删除了，甚至你可以在它下面建立文件，达到保护隐私的作用。 操作：在资源管理器中点击“工具文件夹选项”，在弹出的“文件夹选项”窗口中切换到“查看”标签，在“高级设置”列表中撤消“隐藏受保护的操作系统(推荐)”复选框

13、，然后将“隐藏文件和文件夹”选择“显示所有文件和文件夹”项。然后就可以无限制访问系统还原的工作目录C:System Volume Information了。(图8和图9) 图8 图93、更换系统文件： 说明：Windows系统为系统文件做了保护机制，一般情况下你是不可能更换系统文件的，因为系统中都有系统文件的备份，它存在于c:WINDOWSsystem32dllcache(假设你的系统装在C盘)。当你更换了系统文件后，系统自动就会从这个目录中恢复相应的系统文件。当目录中没有相应的系统文件的时候会弹出提示(图8)，让你插入安装盘。在实际应用中如果有时你需要Diy自己的系统修改一些系统文件，或者用

14、高版本的系统文件更换低版本的系统文件，让系统功能提升。比如Window XP系统只支持一个用户远程登录，如果你要让它支持多用户的远程登录。要用Windows 2003的远程登录文件替换Window XP的相应文件。这在非SYSTEM权限下很难实现，但是在SYSTEM权限下就可以很容易实现。 操作：从Windows 2003的系统中提取termsrv.dll文件，然后用该文件替换Windows XP的C:WINDOWSsystem32下的同名文件。(对于Windows XP SP2还必须替换C:WINDOWS$NtServicePackUninstall$和C:WINDOWSServicePac

15、kFilesi386目录下的同名文件)。再进行相应的系统设置即可让Windows XP支持多用户远程登录（见图10）。 图104、手工杀毒： 说明：用户在使用电脑的过程中一般都是用Administrator或者其它的管理员用户登录的，中毒或者中马后，病毒、木马大都是以管理员权限运行的。我们在系统中毒后一般都是用杀毒软件来杀毒，如果你的杀软瘫痪了，或者杀毒软件只能查出来，但无法清除，这时候就只能赤膊上阵，手工杀毒了。在Adinistrator权限下，如果手工查杀对于有些病毒无能为力，一般要启动到安全模式下，有时就算到了安全模式下也无法清除干净。如果以SYSTEM权限登录，查杀病毒就容易得多。 操

16、作：(以一次手工杀毒为例，我为了截图在虚拟机上模拟了前段时间的一次手工杀毒。)打“Windows 任务管理器”，发现有个可疑进程“86a01.exe”，在Administrator管理员下无法结束进程(图9)，当然更无法删除在系统目录下的病毒原文件“86a01.exe”。以System权限登录系统，进程被顺利结束，然后删除病毒原文件，清除注册表中的相关选项，病毒被彻底清理出系统。(图11) 图11成功后关闭退出system超级用户回到Administrator用户界面 四、总结 System权限是比Administrator权限还高的系统最高权限，利用它可以完成很多常规情况下无法完成的任务，它

17、的应用还有很多，我的文章只是抛砖引玉，希望大家能够在实践中挖掘更多实用的技巧。当然，最大的权限也就意味着更大的危险，就好比手握“尚方宝剑”，可不要滥杀无辜呀!在使用过程中建议大家用“系统管理员权限”，甚至“一般用户权限”，只有在特殊情况下才用System权限系统文件夹：WindowsXP操作系统中文件是非常重要的，文件夹亦如此。但不是所有的都是这样，为了能让电脑更好地为我们服务，我们得了解这些文件的用途。那么哪些文件删除后不会影响系统的稳定性呢？哪些文件不能删，它的作用又是什么呢？1. SystemVolumeInformation文件夹 开启系统还原之后产生的，它保存记录着设置还原点之后对该

18、分区的所有操作信息。在ntfs分区的系统还愿文件夹默认只允许System账户访问，而管理员在内的普通账户拒绝访问。fat32分区则没有限制。 2. pagefile.sys文件 系统盘存在，是windows的页面文件即虚拟内存文件，大小一般为物理内存的1.52.5倍。虚拟内存文件可以设置在其它分区，但这个分区就不能在windows状态下格式化了。3. hiberfil.sys文件 在系统盘中，这个较大的文件是休眠文件，在启用了休眠功能后产生，休眠时电脑将内存中的数据保存在硬盘上，可以恢复到之前的状态。取消休眠后，休眠文件自动清除。 4. thumbs.db文件 在图片文件夹下存在，删除后仍会产

19、生，随图片数量越多而增大。它不是病毒，而是用来加快缩略图显示的缓存数据库文件。可以设置：在“文件夹选项”中，勾选“不缓存缩略图”，即可删除这个文件。 5. Recycled文件夹 回收站，每个分区都存在，暂时存放删除的文件。可以设置回收站的空间大小。6. Favorites文件夹 图标为五角星，是收藏夹，存放你喜欢的网址。可以在其中放网址快捷方式和文件夹快捷方式，可以新建类别(文件夹)。 7. SendTo文件夹 其中包含着右键“发送到”的内容，可以在其中粘贴文件夹的快捷方式。 8. temp文件夹 这个文件夹里存放windows临时文件，其中的垃圾文件可以删除。 9. Recent文件夹 里

20、面存放的是最近打开过的文档历史记录。 10. TemporaryInternetFiles文件夹 IE浏览器的临时文件,包括浏览的网页、图片及cookie，可删除其中的文件以防泄露隐私和为系统盘空出更多的空间。Debug文件夹 这是系统调试文件夹，用来存放系统运行过程中调试模块的日志文件，以便管理员根据这些日志文件来发现计算机所存在的问题。其中“UserMode”文件夹下存放的是当前用户的调试日志文件。 ime文件夹 这是输入法文件夹，用来存放系统默认安装的输入法文件。Windows操作系统已经内嵌了东亚国家的输入法，如日语，韩文等，从理论上可以将用不到的一些其他语言输入法删除掉，但不建议这样

21、做，因为这样有可能会导致输入法系统出现不稳定的情况，严重影响简体中文输入法的正常使用。 CHSIME：简体中文输入法； CHTIME：繁体中文输入法； IMEJP：日文输入法； IMEJP98：日文98输入法； IMJP8_1：微软IME标准2002的8.1版本输入法； IMKR6_1：朝鲜语（IME2002）6.1版本输入法； SHARE：东亚语系共享文件夹。 Fonts文件夹 这是字体文件夹，用来存放系统将会用到的字体文件。用户自己新安装的字体也会被存放在这个文件夹下的。其中英文的字体类型比较多，而简体中文字体文件只包括仿宋体、黑体、楷体、宋体和新宋体四个类型，即计算机编码中的GB2312

22、。可以将其中一些不常使用的英文字体删除。 Installer文件夹 这里用来存放MSI文件或者程序安装所需要的临时文件。MSI文件是Windows 系统的安装包，右击文件在右键菜单中可以选择安装或者卸载程序。有的程序在卸载时必须使用到MSI文件，所以不建议删除此文件夹内的文件。 system32文件夹 这是32位系统文件夹，用来存放系统重要文件的，同时一些应用程序在安装时也会将其相应的支持文件复制到这个文件夹里来，因此强烈反对删除此文件夹下文件或此文件夹的做法。由于此文件夹下的文件和此文件夹众多，我们只列举一些具有代表性的文件夹 CatRoot：用来存放计算机启动测试信息的目录，包括了计算机启

23、动时检测的硬软件信息。 Com：用来存放组件服务文件，运行其的“comexp.msc”就会打开组件服务控制台。 DllCache：用来存放系统缓存文件，当系统本来的文件被替换时，文件保护机制会复制这个文件夹下的备份系统文件去覆盖非系统文件。你可以用“SFC /SCANNOW”命令格式扫描一下系统文件，然后就可以将其下的所有文件全部删除了。 Drivers：用来存放硬件驱动文件。如果删除其中的文件，会导致硬件失去驱动而无效。 IME：用来存放系统输入法文件，类似上去的IME文件夹。 oobe：用来存放系统的激活信息。 Restore：用来存放系统还原文件。双击运行“rstrui.exe”文件，就

24、会调用系统还原功能。 Setup：用来存放系统安装文件。 spool：用来存放系统打印文件。包括了打印的色彩、打印预存等。 wbem：用来存放WMI测试程序，用于查看和更改公共信息模型类、实例和方法等。属于系统重要文件，不能删除。 C: WINDOWS system32（存放Windows的系统文件和硬件驱动程序） config（用户配置信息和密码信息） systemprofile（系统配置信息，用于恢复系统） drivers（用来存放硬件驱动文件，不建议删除） spool（用来存放系统打印文件。包括打印的色彩、打印预存等） wbem（存放WMI测试程序，用于查看和更改公共信息模型类、实例和方

25、法等。请勿删除） IME（用来存放系统输入法文件，类似WINDOWS下的IME文件夹） CatRoot（计算机启动测试信息目录，包括了计算机启动时检测的硬软件信息） Com（用来存放组件服务文件） ReinstallBackups（电脑中硬件的驱动程序备份） DllCache（用来存放系统缓存文件。当系统文件被替换时，文件保护机制会复制这个文件夹下的文件去覆盖非系统文件） GroupPolicy（组策略文件夹） system（系统文件夹，用来存放系统虚拟设备文件） $NtUninstall$（每给系统打一个补丁，系统就会自动创建这样的一个目录，可删除） security（系统安全文件夹，用来存

26、放系统重要的数据文件） srchasst（搜索助手文件夹，用来存放系统搜索助手文件，与msagent文件夹类似） repair（系统修复文件夹，用来存放修复系统时所需的配置文件） Downloaded Program Files（下载程序文件夹，用来存放扩展IE功能的ActiveX等插件） inf（用来存放INF文件。INF文件最常见的应用是为硬件设备提供驱动程序服务，不建议删除其中文件） Help（Windows帮助文件） Config（系统配置文件夹，用来存放系统的一些临时配置的文件） msagent（微软助手文件夹，存放动态的卡通形象，协助你更好地使用系统。若觉的没有必要，可直接删除）

27、Cursors（鼠标指针文件夹） Media（声音文件夹，开关机等wav文件存放于此） Mui（多语言包文件夹，用来存放多国语言文件。简体中文系统中这个文件夹默认是空的，但不建议删除此文件夹） java（存放Java运行的组件及其程序文件。不建议删除其中文件） Web Wallpaper（存放桌面壁纸的文件夹） addins（系统附加文件夹，用来存放系统附加功能的文件） Connection Wizard（连接向导文件夹，用来存放“Internet连接向导”的相关文件） Driver Cache（驱动缓存文件夹，用来存放系统已知硬件的驱动文件） i386（Windows操作系统自带的已知硬件驱

28、动文件，可删除以节省空间） TEMP（系统临时文件夹，其中内容可以全部删除） twain_32（扫描仪相关） AppPatch（应用程序修补备份文件夹，用来存放应用程序的修补文件） Debug（系统调试文件夹，用来存放系统运行过程中调试模块的日志文件） Resources（系统资源文件夹，用来存放系统SHELL资源文件，就是我们在桌面上所看到的主题） Themes（桌面主题都存放于此，可删除无用主题） WinSxS（存储各个版本的Windows XP组件，减少因为DLL文件而引起的配置问题） ime（输入法信息） PCHealth（用来存放协调、配置和管理计算机正常运行的文件） HelpCtr

29、（帮助和支持） Binaries（我们常用的msconfig就在这里哟） Offline Web Pages（脱机浏览文件存放于此） Prefetch（预读取文件夹，用来存放系统已访问过的文件的预读信息(此信息是系统在访问时自动生成的新信息)，以加快文件的访问速度，其扩展名为“PF”。可以将此文件夹中的文件删除） ShellNew Fonts（字体文件夹。要安装某种字体只需将字体文件复制到该目录下即可） pss（用来备份系统启动配置文件的，一般对“Boot.ini”、“System.ini”和“Win.ini”三个文件进行备份，扩展名为“backup”。如果系统原有的这三个文件损坏的话，可以从这里进行恢复。不建议删除） Registration（注册文件夹，用来存放用于系统COM或者其他组件注册的相关文件。不建议删除这里的文件） Downloaded Installations（存放一些使用Windows Installer技术的安装程序，主要用来对程序进行修复等操作） Documents and Settings Default User Application Data（通用应用程序数据文件夹。此处存放着已经安装的一些应用程序的专用数据） 桌面 Favorites（收藏夹） NetHood（