防火墙常见日志详细分析
防火墙常见日志详细分析
防火墙常见日志详细分析
作者：冰盾防火墙　网站：　日期：
防火墙日志分为三行：
第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；
第二行为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，在日志上显示时只标出第一个字母；
日志第三行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会显示为&继续下一规则&。
1.最常见的报警，尝试用ping来探测本机
分为两种：
如果在防火墙规则里设置了&防止别人用PING命令探测主机&，你的电脑就不会返回给对方这种ICMP包，这样别人就无法用PING命令探测你的电脑，也就以为没你电脑的存在。如果偶尔一两条没什么，但如果显示有N个来自同一IP地址的记录，很有可能是别人用工具探测你主机信息。
[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包，
类型: 8 ， 代码: 0，
该包被拦截。
这种情况只是简单的ping命令探测，如：ping 210.29.14.130就会出现如上日志。
[14:00:24] 210.29.14.130 尝试用Ping来探测本机，
该操作被拒绝。
这种情况一般是扫描器探测主机，主要目的是探测远程主机是否连网！但还有一种可能，如果多台不同IP的计算机试图利用Ping的方式来探测本机。如下方式(经过处理了，ip是假设的)：
[14:00:24] 210.29.14.45 尝试用Ping来探测本机，
该操作被拒绝。
[14:01:09] 210.29.14.132 尝试用Ping来探测本机，
该操作被拒绝。
[14:01:20] 210.29.14.85 尝试用Ping 来探测本机，
该操作被拒绝。
[14:01:20] 210.29.14.68 尝试用Ping 来探测本机，
该操作被拒绝。
此时就不是人为的原因了，所列机器感染了冲击波类病毒。感染了&冲击波杀手&的机器会通过Ping网内其他机器的方式来寻找RPC，一旦发现，即把病毒传播到这些机器上。
2.对于&xp系统常见的报警
也分两种情况:
[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端口，
TCP标志：S，
该操作被拒绝。
系统因素：Blazer 5[5000]端口是winxp的端口，windows XP默认启动的 UPNP服务，没有病毒木马也是打开的，大家看到的报警一般属于这种情况，因为本地或远程主机的5000端口服务异常，导致不断连接5000端口。
木马因素：有些木马也开放此端口，如木马blazer5开放5000端口，木马Sockets de roie开放、5321端口等！但我看也没多少人用这种木马！
3.常见报警之QQ聊天服务器
[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,
本机端口: 1214 ，
对方端口: OICQ Server[8000]
该包被拦截。
[19:55:56] 接收到 202.104.129.254 的 UDP 数据包，
本机端口: 4001 ，
对方端口: OICQ Server[8000]
该包被拦截。
这个防火墙日志是昨天在校园网的&谈天说地&上抄下来的,腾讯QQ服务器端开放的就是8000端口.一般是QQ服务器的问题，因为接受不到本地的客户响应包，而请求不断连接，还有一种可能就是主机通过QQ服务器转发消息，但服务器发给对方的请求没到达，就不断连接响应了(TCP三次握手出错了，我是这么认为的，具体没找到权威资料，可能说的不对，欢迎指正。)
4.共享端口之135,139,445（一般在局域网常见）
又要分几种情况：
135端口是用来提供RPC通信服务的，445和139端口一样，是用来提供文件和打印机共享服务的。
[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端口，
TCP标志：S，
该操作被拒绝。
[16:47:24] 60.31.133.146试图连接本机的135端口，
TCP标志：S，
该操作被拒绝。
[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端口，
TCP标志：S，
该操作被拒绝。
第一种：正常情况,局域网的机器共享和传输文件(139端口)。
第二种：连接你的135和445端口的机器本身应该是被动地发数据包，或者也有可能是正常的、非病毒的连接&&虽然这个可能性比较小。
第三种：无聊的人扫描ip段，这个也是常见的，初学黑客技术都这样，十足的狂扫迷，但往往什么也没得到，这种人应该好好看看TCP/IP协议原理。
第四种：连接135端口的是冲击波（Worm.Blaster）病毒，&尝试用Ping来探测本机&也是一种冲击波情况（internet），这种135端口的探测一般是局域网传播，现象为同一个ip不断连接本机135端口，此时远程主机没打冲击波补丁，蠕虫不断扫描同一ip段(这个是我自己的观点，冲击波的广域网和局域网传播方式估计不同吧，欢迎指正！)
第五种：某一IP连续多次连接本机的NetBios-SSN[139]端口，表现为时间间隔短，连接频繁。
防火墙日志中所列计算机此时感染了&尼姆达病毒&。感染了&尼姆达病毒&的计算机有一个特点，它们会搜寻局域网内一切可用的共享资源，并会将病毒复制到取得完全控制权限的共享文件夹内，以达到病毒传播之目的。这种人应该同情下，好好杀毒吧！
5.防火墙常见报警之高端端口
可以分下列情况：
[7:49:36] 接收到 64.74.133.9 的 UDP 数据包，
本机端口: 33438 ，
对方端口: 10903
该包被拦截。
这种情况一般是游戏开放的服务端口，一般范围在2,因此来自这一端口范围的UDP包或发送到这一端口范围的UDP包通常是游戏。爱好游戏的朋友会收到类似的端口连接。比如启动CS后创建了两个端口4。奇迹服务器好象是5端口。
[18:34:16] 接收到 210.29.14.86 的 UDP 数据包，
本机端口: 6884 ，
对方端口: 6881
该包被拦截。
这个是BT服务端口()，每个bt线程占用一个端口，据说只能开9个，但有时候防火墙报警，原因是防火墙过滤了这些端口。开放这些端口或关闭防火墙才能用BT。多说几句，一些同学反映不能用BT，我给出我自己的分析，因为学校的路由器或交换机限制了这些端口，不能使其BT端口全部打开。
解决方法(可能不怎么管用，参考下)：端口映射，换默认端口，开放默认端口！
再给点网上的资料：常用游戏端口
中国游戏中心 TCP 8000
联众世界 TCP 2000
网易泡泡 UDP 4001
边锋网络游戏世界 TCP 4000
中国围棋网 TCP 9696
笨苹果游戏互动网 UDP 5000
上海热线游戏频道 TCP 8000
凯思帝国游戏在线 TCP 2050
防火墙日志解析中对于端口的介绍就总结到这，有兴趣的读者可以继续关注这方面的内容。
6.常见之IGMP数据包
[23:11:48] 接收到210.29.14.130的IGMP数据包
该包被拦截
[23:11:48] 接收到210.29.14.130的IGMP数据包
该包被拦截
这是日志中最常见的，也是最普遍的攻击形式。IGMP（Internet Group Management Protocol）是用于组播的一种协议，实际上是对Windows的用户是没什么用途的，但由于Windows中存在IGMP漏洞，当向安装有windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时，会导致系统TCP/IP栈崩溃，系统直接蓝屏或死机，这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则，只要选中就可以了。
碰到这种情况可以分两种：一种是你得罪他了，和你有仇；另一种就是攻击者吃饱了撑的或是一个破坏狂！
7.常见端口的日志记录
没什么影响：
[12:37:57] 192.168.177.16试图连接本机的FTP Open Server 端口，
TCP标志：S，
该操作被拒绝。
这个也分两种，一种是有人想探测你的主机是不是开放了21端口，想看看共享资源；另一种是用扫描器扫ip段的ftp服务端口，一般没什么恶意。
[23:08:34] 221.208.47.102试图连接本机的Wingate[1080]端口，
TCP标志：S，
该操作被拒绝。
这个是有人扫描ip段中的代理服务器，一般代理服务器默认端口常见的如Wingate[1080]，proxy[808,1080]等等，也没什么关系。
[12:37:57] 192.168.177.16试图连接本机的试图连接本机的http[80]端口，
TCP标志：S，
该操作被拒绝。
日志分析先到此为止，一般上网的用户都有这种情况，网站服务器的回显等等啊，出现一两个这样的报警没关系的。可能还有一些常见的端口,噢，个人能力有限啊，想起来再整理吧！
8.真正想你机器的日志(值得注意)：
[11:13:55] 219.130.135.151试图连接本机的3389端口，
TCP标志：S，
该操作被拒绝。
这种人应该引起高度重视，3389这么恐怖的事情都来，还记得2000系统的3389输入法漏洞吗，当年菜鸟的最爱。
[11:13:55] 210.29.14.130试图连接本机的1433端口，
TCP标志：S，
该操作被拒绝。
[11:13:55] 210.29.14.130试图连接本机的23端口，
TCP标志：S，
该操作被拒绝。
[11:13:55] 210.29.14.130试图连接本机的4899端口，
TCP标志：S，
该操作被拒绝。
不多说了，都是黑客们的最爱,如果想知道具体的就去网Down吧！
9.洪水攻击SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击。
因为条件的限制，我没有模拟，大概日志应该如下：
[11:13:55] 接收到210.29.14.130的SYN Flood攻击，
该操作被拒绝。
遇到这种情况，人品就要考虑下了！关于如何防范，还有别的事，不想长篇大论了！网上资料也很多的~~~
10.木马端口的扫描日志
这次我列具体点，现在木马泛滥：
[11:13:55] 210.29.14.130试图连接本机的木马冰河[7626]端口，
TCP标志：S，
该操作被拒绝。
(冰河木马的端口，呵呵，黑迷们的最爱啊)
[11:13:55] 210.29.14.130试图连接本机6267端口，
TCP标志：S，
该操作被拒绝。
(注:广外女生木马的默认端口，很经典的一个国产木马。)
[11:13:55] 210.29.14.130试图连接本机5328端口，
TCP标志：S，
该操作被拒绝。
(注：风雪木马的默认端口)
最新内容：
相关内容：
合作伙伴：豆瓣评分：
上映:&&地区:&&主演:&&&&&&&&&&&&导演:&&&&类型:&&
防火墙 完整版
悬疑 / 恐怖 / 惊悚
美国队长3：英雄内战
保罗·贝坦尼
鲁斯和亚历克斯
相关搜索:&&豆瓣评分：
上映:&&地区:&&主演:&&&&&&&&&&&&导演:&&&&类型:&&
防火墙 完整版
悬疑 / 恐怖 / 惊悚
美国队长3：英雄内战
保罗·贝坦尼
鲁斯和亚历克斯
相关搜索:&&Windows启动过程
我的图书馆
Windows启动过程
&&&&& Windows启动过程详解
我们每天都在和Windows打交道，很多人可能每天都要面对多次Windows的启动过程，可是您知道在Windows的启动过程背后，隐藏着什么秘密吗？在这一系列过程中都用到了哪些重要的系统文件？系统的启动分为几个步骤？在这些步骤中计算机中发生了什么事情？这些就是本文试图告诉您的。
本文的适用范围
随着技术的发展，我们能够见到的计算机硬件种类越来越多。以计算机上最重要的组件CPU来说，目前就有很多选择。当然，这里的选择并不是说AMD或者Intel这种产品品牌，而是指其内部的体系结构。目前常见的CPU体系结构主要基于复杂指令集（Complex Instruction Set Computing，CISC）或者精简指令集（Reduced Instruction Set Computing，RISC），我们常用的Intel的Pentium、Celeron系列以及AMD的Athlon、Sempron系列都是基于复杂指令集的，而这些基于复杂指令集的CPU还有32位和64位的寄存器数据带宽区别。关于这些指令集以及寄存器数据带宽之间的区别等内容比较繁杂，而且不是本文的重点，感兴趣的朋友可以自己在网上搜索相关内容。因为CPU种类的不同，在不同CPU的系统中运行的Windows的启动过程也有一些小的不同。本文将会以目前来说最普遍的，在x86架构的系统上安装的32位Windows XP Professional为例向您介绍。
基本上，操作系统的引导过程是从计算机通电自检完成之后开始进行的，而这一过程又可以细分为预引导、引导、载入内核、初始化内核，以及登录这五个阶段。
在继续阅读之前，首先请注意图1，这是Windows XP的操作系统结构，其中包括了一些在后台工作的组件以及经常和我们打交道的程序。在了解Windows XP的启动过程之前，对系统结构有一个初步概念是很重要的。
预引导阶段
当我们打开计算机电源后，预引导过程就开始运行了。在这个过程中，计算机硬件首先要完成通电自检（Power-On Self Test，POST），这一步主要会对计算机中安装的处理器、内存等硬件进行检测，如果一切正常，则会继续下面的过程。
如果您的计算机BIOS（固化在计算机主板上芯片中的一些程序）是支持即插即用的（基本上，现阶段能够买到的计算机和硬件都是支持这一标准的），而且所有硬件设备都已经被自动识别和配置，接下来计算机将会定位引导设备（例如第一块硬盘，设备的引导顺序可以在计算机的BIOS设置中修改），然后从引导设备中读取并运行主引导记录（Master Boot Record，MBR）。至此，预引导阶段成功完成。
引导阶段又可以分为：初始化引导载入程序、操作系统选择、硬件检测、硬件配置文件选择这四个步骤。在这一过程中需要使用的文件包括：Ntldr、Boot.ini、、Ntoskrnl.exe、Ntbootdd.sys、Bootsect.dos（非必须）。
初始化引导载入程序
在这一阶段，首先出场的是ntldr，该程序会将处理器由实模式（Real Mode）切换为32位平坦内存模式（32-bit Flat Memory Mode）。不使用实模式的主要原因是，在实模式下，内存中的前640 KB是为MS-DOS保留的，而剩余内存则会被当作扩展内存使用，这样Windows XP将无法使用全部的物理内存。而32位平坦内存模式下就好多了，Windows XP自身将能使用计算机上安装的所有内存（其实最多也只能用2 GB，这是32位操作系统的设计缺陷。关于大内存的问题因为和本文的内容关系不大，因此这里不表，日后有机会再单独撰文介绍）。
接下来ntldr会寻找系统自带的一个微型的文件系统驱动。大家都知道，DOS和Windows 9x操作系统是无法读写NTFS文件系统的分区的，那么Windows XP的安装程序为什么可以读写NTFS分区？其实这就是微型文件系统驱动的功劳了。只有在载入了这个驱动之后，ntldr才能找到您硬盘上被格式化为NTFS或者FAT/FAT32文件系统的分区。如果这个驱动损坏了，就算您的硬盘上已经有分区，ntldr也认不出来的。
读取了文件系统驱动，并成功找到硬盘上的分区后，引导载入程序的初始化过程就已经完成了，随后我们将会进行到下一步。
操作系统选择
这一步并非必须的，只有在您计算机中安装了多个Windows操作系统的时候才会出现。不过无论您的计算机中安装了几个Windows，计算机启动的过程中，这一步都会按照设计运行一遍，只有在确实安装了多个系统的时候，系统才会显示一个列表，让您选择想要引导的系统。但如果您只有一个系统，那么引导程序在判断完之后会直接进入到下一阶段。
如果您已经安装了多个Windows操作系统（泛指Windows 2000/XP/2003这类较新的系统，不包括Windows 9x系统），那么所有的记录都会被保存在系统盘根目录下一个名为boot.ini的文件中。ntldr程序在完成了初始化工作之后就会从硬盘上读取boot.ini文件，并根据其中的内容判断计算机上安装了几个Windows，它们分别安装在第几块硬盘的第几个分区上。如果只安装了一个，那么就直接跳过这一步。但如果安装了多个，那么ntldr就会根据文件中的记录显示一个操作系统选择列表，并默认持续30秒。只要您做出选择，ntldr就会自动开始装载被选择的系统。如果您没有选择，那么30秒后，ntldr会开始载入默认的操作系统。至此操作系统选择这一步已经成功完成。
小知识：系统盘（System Volume）和引导盘（Boot Volume）有什么区别？这是两个很容易被人搞混的概念，因为根据微软对这两个名词的定义，很容易令人产生误解。根据微软的定义，系统盘是指保存了用于引导Windows的文件（根据前面的介绍，我们已经清楚，这些文件是指ntldr、boot.ini等）的硬盘分区/卷；而引导盘是指保存了Windows系统文件的硬盘分区/卷。如果只有一个操作系统的话，我们通常会将其安装在第一个物理硬盘的第一个主分区（通常被识别为C盘）上，那么系统盘和引导盘属于同一个分区。但是，如果您将您的Windows安装到了其他分区中，例如D盘中，那么系统盘仍然是您的C盘（因为尽管Windows被安装到了其他盘，但是引导系统所用的文件还是会保存在C盘的根目录下），但您的引导盘将会变成是D盘。很奇怪的规定，保存了引导系统所需文件的分区被叫做“系统盘”，反而保存了操作系统文件的分区被叫做“引导盘”，正好颠倒了。不过微软就是这样规定的。
这一过程中主要需要用到和Ntldr。当我们在前面的操作系统选择阶段选择了想要载入的Windows系统之后，首先要将当前计算机中安装的所有硬件信息收集起来，并列成一个表，接着将该表交给Ntldr（这个表的信息稍后会被用来创建注册表中有关硬件的键）。这里需要被收集信息的硬件类型包括：总线/适配器类型、显卡、通讯端口、串口、浮点运算器（CPU）、可移动存储器、键盘、指示装置（鼠标）。至此，硬件检测操作已经成功完成。
配置文件选择
这一步也不是必须的。只有在计算机（常用于笔记本电脑）中创建了多个硬件配置文件的时候才需要处理这一步。
小知识：什么是硬件配置文件？为什么要用它？这个功能比较适合笔记本电脑用户。如果您有一台笔记本电脑，主要在办公室和家里使用，在办公室的时候您可能会使用网卡将其接入公司的局域网，公司使用了DHCP服务器为客户端指派IP地址；但是回到家之后，没有了DHCP服务器，启动系统的时候系统将会用很长时间寻找那个不存在的DHCP服务器，这将延长系统的启动时间。在这种情况下就可以分别在办公室和家里使用不同的硬件配置文件了，我们可以通过硬件配置文件决定在某个配置文件中使用哪些硬件，不使用哪些硬件。例如前面列举的例子，我们可以为笔记本电脑在家里和办公室分别创建独立的配置文件，而家庭用的配置文件中会将网卡禁用。这样，回家后使用家用的配置文件，系统启动的时候会直接禁用网卡，也就避免了寻找不存在的DHCP服务器延长系统启动时间。
如果Ntldr检测到系统中创建了多个硬件配置文件，那么它就会在这时候将所有可用的配置文件列表显示出来，供用户选择。这里其实和操作系统的选择类似，不管系统中有没有创建多个配置文件，Ntldr都会进行这一步操作，不过只有在确实检测到多个硬件配置文件的时候才会显示文件列表。
载入内核阶段
在这一阶段，Ntldr会载入Windows XP的内核文件：Ntoskrnl.exe，但这里仅仅是载入，内核此时还不会被初始化。随后被载入的是硬件抽象层（hal.dll）。
硬件抽象层其实是内存中运行的一个程序，这个程序在Windows XP内核和物理硬件之间起到了桥梁的作用。正常情况下，操作系统和应用程序无法直接与物理硬件打交道，只有Windows内核和少量内核模式的系统服务可以直接与硬件交互。而其他大部分系统服务以及应用程序，如果想要和硬件交互，就必须透过硬件抽象层进行。
小知识：为什么要使用硬件抽象层硬件抽象层的使用主要有两个原因：1，忽略无效甚至错误的硬件调用。如果没有硬件抽象层，那么硬件上发生的所有调用甚至错误都将会反馈给操作系统，这可能会导致系统不稳定。而硬件抽象层就像工作在物理硬件和操作系统内核之间的一个过滤器，可以将认为会对操作系统产生危害的调用和错误全部过滤掉，这样直接提高了系统的稳定性；2，多平台之间的转换翻译。这个原因可以列举一个形象的例子，假设每个物理硬件都使用不同的语言，而每个操作系统组件或者应用程序则使用了同样的语言，那么不同物理硬件和系统之间的交流将会是混乱而且很没有效率的。如果有了硬件抽象层，等于给软硬件之间安排了一位翻译，这位翻译懂所有硬件的语言，并会将硬件说的话用系统或者软件能够理解的语言原意转达给操作系统和软件。通过这个机制，操作系统对硬件的支持可以得到极大的提高。
硬件抽象层被载入后，接下来要被内核载入的是HKEY_LOCAL_MACHINE\System注册表键。Ntldr会根据载入的Select键的内容判断接下来需要载入哪个Control Set注册表键（图2），而这些键会决定随后系统将载入哪些设备驱动或者启动哪些服务。这些注册表键的内容被载入后，系统将进入初始化内核阶段，这时候ntldr会将系统的控制权交给操作系统内核。
初始化内核阶段
当进入到这一阶段的时候，计算机屏幕上就会显示Windows XP的标志了，同时还会显示一条滚动的进度条，这个进度条可能会滚动若干圈（图3）。从这一步开始我们才能从屏幕上队系统的启动有一个直观的印象。在这一阶段中主要会完成这四项任务：创建Hardware注册表键、对Control Set注册表键进行复制、载入和初始化设备驱动，以及启动服务。
创建Hardware注册表键
首先要在注册表中创建Hardware键，Windows内核会使用在前面的硬件检测阶段收集到的硬件信息来创建HKEY_LOCAL_MACHINE\Hardware键，也就是说，注册表中该键的内容并不是固定的，而是会根据当前系统中的硬件配置情况动态更新。
对Control Set注册表键进行复制
如果Hardware注册表键创建成功，那么系统内核将会对Control Set键的内容创建一个备份。这个备份将会被用在系统的高级启动菜单中的“最后一次正确配置”选项。例如，如果我们安装了一个新的显卡驱动，重启动系统之后Hardware注册表键还没有创建成功系统就已经崩溃了，这时候如果选择“最后一次正确配置”选项，系统将会自动使用上一次的Control Set注册表键的备份内容重新生成Hardware键，这样就可以撤销掉之前因为安装了新的显卡驱动对系统设置的更改。
载入和初始化设备驱动
在这一阶段里，操作系统内核首先会初始化之前在载入内核阶段载入的底层设备驱动，然后内核会在注册表的HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services键下查找所有Start键值为“1”的设备驱动（图4）。这些设备驱动将会在载入之后立刻进行初始化，如果在这一过程中发生了任何错误，系统内核将会自动根据设备驱动的“ErrorControl”键的数值进行处理。“ErrorControl”键的键值共有四种，分别具有如下含义：
0，忽略，继续引导，不显示错误信息。
1，正常，继续引导，显示错误信息。
2，恢复，停止引导，使用“最后一次正确配置”选项重启动系统。如果依然出错则会忽略该错误。
3，严重，停止引导，使用“最后一次正确配置”选项重启动系统。如果依然出错则会停止引导，并显示一条错误信息。
系统内核成功载入，并且成功初始化所有底层设备驱动后，会话管理器会开始启动高层子系统和服务，然后启动Win32子系统。Win32子系统的作用是控制所有输入/输出设备以及访问显示设备。当所有这些操作都完成后，Windows的图形界面就可以显示出来了，同时我们也将可以使用键盘以及其他I/O设备。
接下来会话管理器会启动Winlogon进程，至此，初始化内核阶段已经成功完成，这时候用户就可以开始登录了。
在这一阶段，由会话管理器启动的winlogon.exe进程将会启动本地安全性授权（Local Security Authority，lsass.exe）子系统。到这一步之后，屏幕上将会显示Windows XP的欢迎界面（图5）或者登录界面，这时候您已经可以顺利进行登录了。不过与此同时，系统的启动还没有彻底完成，后台可能仍然在加载一些非关键的设备驱动。
随后系统会再次扫描HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services注册表键（还记得第一次扫描这里是在启动进行到那一步的时候吗？），并寻找所有Start键的数值是“2”或者更大数字的服务。这些服务就是非关键服务，系统直到用户成功登录之后才开始加载这些服务。
小知识：为什么Windows XP的启动速度要比Windows 2000快
目前所有Windows操作系统中，可能Windows 2000的启动速度是最慢的，这并不是因为计算机硬件的性能不够，而是因为Windows 2000的设计“先天不足”。为了弥补这一不足，微软在开发Windows XP的时候想出了一个新方法，那就是，所有不重要的设备驱动和服务都将在用户登录系统之后才加载和运行。也就是说，在系统启动过程中，加载和运行的程序全部都是运行系统所必需的，这样才能用最短的时间显示出登录界面，供用户登录。而用户登录后系同才开始加载非关键组件。可以说，Windows XP启动速度的加快实际上是一种“投机取巧”的作法，不过这种作法确实相当有效。然而这种设计也带来了一些问题，例如有些朋友反映，为什么自己的系统已经成功登录了，可是非要过好几分钟之后桌面上才会显示出任务栏以及桌面图标等内容。其实这就是因为在等待的这几分钟里，系统正在忙于处理那些不重要的服务和组件。如果需要处理的内容太多，或者计算机的硬件配置不够强大，就有可能产生这种现象。
小知识：如何控制非关键服务的启动顺序
您已经知道了，非关键服务是在用户成功登录之后才加载的，那么我们能否人为控制这些服务加载的顺序？这其实是很简单的。服务的启动顺序也是靠各自Start注册表键的数值以及每个服务之间的依存关系决定的，假设服务A的运行必须依靠服务B，那么在服务B正常启动之前，服务A都无法成功启动。假设服务C的Start键数值是3，而服务D的Start键数值是6，那么服务C将会优先于服务D启动（数值越小优先级越高）。
到这里，Windows XP的启动过程就算全部完成了。
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
xp系统服务启动项详解
xp系统服务启动项详解&&对XP系统服务启动项优化设置,能让电脑跑得更快(限xp系统),由于Windows XP集成了许多功能和服务，运用于很多领域,很多服务是个人用户所用不到的，开启只会浪费内存和资源，并且，还影响启动速度和运行速度。&&&&优化操作系统,使自己的电脑更好用,有效地大幅度降低系统资源占用率，使自己电脑有限的硬件资源让运行更加流畅,是每个人的心愿。&&&&为此本人参考了众多有关的文章和微软的技术资料，经试用无误，特列此，供自己备用，并给对XP系统服务启动项目有兴趣进行优化的朋友，这是自己的使用体会，提供参考。&&&&操作方法：（两种任意使用一种进入服务管理）&&&&1.打开我的电脑-控制面板-管理工具-服务。&&&&2.右键点我的电脑-管理-服用和应用程序-服务。&&&&注意：&&&&1.开头带“*”的服务不然关闭！避免非预想后果的发生。&&&&2.调试失败，出现异常，可重新开启刚调试的服务项。&&&&3.调整设定时只需右击一个服务，选择有关闭、手动、自动(自动是指：与Windows XP同时启动；手动为需要时它自行启动。禁止是永远不启动）。&&&&每个服务的详细说明如下：&&&&alerter—错误警报器，选择关闭 &&&&application layer gateway service—给与第三者网络共享/防火墙支持的服务，有些防火墙/网络共享软件需要。(例如瑞星某版本的防火墙等)&&&&application management—用于设定，发布和删除软件服务。 (不要改动它)&&&&automatic updates—windows自动更新，选择关闭&&&&background intelligent transfer service—这个服务原是用来实现http1.1服务器之间的信息传输，微软称支持windows更新时断点续传 。(就是V5的断点续传，既然都不更新了，也关闭吧)&&&&clipbook—用与局域网电脑来共享/粘贴/剪贴的内容。(等于打开你电脑中的后门让黑客和木马程序攻击你的电脑，选择关闭)&&&&com+Event system—一些 COM+软件需要，检查你的 c:\\programfiles\\ComPlus Applications 目录，没东西可以把这个服务关闭。&&&&COM+Event system application—同上&&&&Computer browser—用来浏览局域网电脑的服务，但关了也不影响浏览！(就是提前把局域网中的信息cache，没什么用处，有点消耗内存)&&&&cryptographic services—windows更新时用来确认Windows文件指纹的。 (一般可设置为手动或自动，免得在安装某些软件时出现莫名其妙的提示)&&&&DHCP client—静态IP者需要(xDSL等)，小猫就不用了。 (开着吧，省的出现莫名其妙的问题)&&&&Distributed link tracking client—用于局域网更新连接信息，比如在电脑A有个文件，在B做了个连接，如果文件移动了，这个服务将会更新信息。占用4兆内存。 (一般用户用不到，可以关闭；但企业用户就别关闭了)&&&&Distributed Transaction coordinator—无聊的东西。 (还是一般用户用不到)&&&&DNS Client—DNS解析服务。 (还是一般用户用不到；前提是你的电脑不做DNS服务器)&&&&Error reporting service—错误报告器，把windows中错误报告给微软。(关，及其让人反感的东东)&&&&*Event Log—系统日志纪录服务，很有用于查找系统毛病。(你要是强行关闭了，你别后悔.....)&&&&Fast user switching compatibility—多用户快速切换服务。(就是开始-注消中的用户切换，自己决定)&&&&help and support—帮助。(就是开始-帮助；一般可以设置为手动)&&&&Human interface device&&access—支持“弱智“电脑配件的。比如键盘上调音量的按钮等等(一般不要关闭)&&&&IMAPI CD-burning COM service—XP刻牒服务，用软件就不用了。(关了吧，没什么用处)&&&&Indexing service—恐怖的xp减速的东东！！(具体资料没有，非关它不可！)&&&&Internet Connection Firewall(ICF)—xp防火墙。(就是XP自带的网络防火墙，关了吧，用其他杀软的网络防火墙)&&&&IPSEC Services—大众用户连边都沾不上。(具体资料没有，我是关了)&&&&Logical Disk manager—磁盘管理服务。(建议设置为手动)&&&&Logical Disk manager administrative service—同上。&&&&messenger—不是msn；不想被骚扰的话就关。&&&&MS software shadow copy provider—无用。(是系统自带的备份工具的服务，我看没什么用)&&&&Net Logon—登陆Domain Controller用的。(大众用户快关！ )&&&&Netmeeting remote desktop sharing—用Netmeeting实现电脑共享。(谁还用它？一个很土的软件，关！)&&&&Network Connections—上网/局域网要用的东东！(别关，共享功能就靠它)&&&&Network DDE—和Clipbook一起用的。(关不关，自己决定)&&&&Network DDE DSDM—同上&&&&Network Location Awareness—如有网络共享或ICS/ICF可能需要。(比如：网吧的服务器必须设置为自动)&&&&NT LM Security support provider—telnet服务用的东东。(关了吧~)&&&&NVIDIA Driver Helper service—nvidia显卡帮助。(关了它，可减少2MB内存使用空间)&&&&PDEngine—perfectdisk引擎 (一般不要动) &&&&PDScheduler—perfectdisk计划服务 (同上)&&&&PerFORMance logs and&&alerts—记录机器运行状况而且定时写入日志或发警告。(内容可能过于专业，所以~~自己决定)&&&&*Plug and Play—自动查测新装硬件，(就是即插即用)&&&&Portable media serial number—选择关闭&&&&Print Spooler—打印机用(就是把准备打印的东东先cache，一般可以关了；但网络打印机就不要关闭了)&&&&Protected Storage—储存本地密码和网上服务密码的服务。(常见的有：填表时的“自动完成”功能 )&&&&Remote access auto connection manager—宽带者/网络共享可能需要！(关了它？除非你是用电话线上网)&&&&Remote desktop help session manager—远程帮助服务。(安全(关闭)与方便(自动或手动)，你选择哪个？)&&&&*Remote Procedure Call (RPC)—系统核心服务！(你敢关它？！)&&&&Remote Procedure Call&&LOCATOR—管理RPC数据库服务。(这个倒没什么用)&&&&remote registry—远程注册表运行/修改。(大漏洞，还不快关！)&&&&removable storage—一般情况下不用。(磁带备份用的)&&&&routing and remote access—不知者关！(绝对没有坏处)&&&&secondary logon—给与administrator以外的用户分配指定操作权。(默认吧)&&&&security accounts manager—像Protected Storage，IIS Admin 才需要。(不要修改)&&&&server—局域网文件/打印共享需要的。(网络打印机的必须品)&&&&shell hardware detection—给有些配置自动启动。(例如：U盘和有些cd驱动器等)&&&&smart card—关。(你还用N年前的设备么？)&&&&smart card helper—关！ (同上)&&&&SSDP Discovery service—没有什么硬件利用这个服务。(XP的核心果然是N年前的产物）&&&&system event notification—记录用户登录/注销/重起/关机信息。(产生的LOG文件足以让你头痛，关了吧)&&&&system restore service—系统还原服务，吃资源和内存的怪兽。(不说了，自己决定)&&&&task scheduler—windows计划服务。(某些杀软升级必须依赖的服务，你自己决定)&&&&TCP/IP NetBIOS helper—如果你的网络不用Netbios 或WINS。(你只有在安全(关闭)与方便(自动或手动)中选择)&&&&Telephony—拨号服务。(如果你的宽带不用拨号，那么关了它) &&&&telnet—大漏洞。(系统的大漏洞，这跟dos中telnet命令没关系)&&&&terminal services—实现远程登录本地电脑，快速用户切换和远程桌面功能需要。(不用这些功能就关了吧)&&&&themes—支持xp华丽的外表。(一般不要关)&&&&uninterruptible power supply—支持UPS的服务。(没有UPS的就关)&&&&universal plug and play device host—同SSDP Discovery Service ，没用。(关了吧，垃圾就是垃圾)&& upload manager—用来实现服务器和客户端输送文件的服务。(简单文件传输不需要这个)&& volume shadow copy—同MS Software Shadow Copy Provider一样无用。(一个字：关)&& webclient—可能和以后的.net技术有联系。(安全起见，我关得实实的)&& *Windows Audio—控制着你听到的声音。(关了就没声音了)&& Windows Installer—windows的MSI安装服务。(建议设成手动)&& windows image acquisition (WIA)—有些数码相机和扫描器用的。(开着吧，不然，MM通过摄像头就看不到你了，呵呵)&& *Windows Management Instrumentation—满重要的服务，是管＂服务依靠＂的。(跟RPC服务是同一个等级)&& windows management instrumentation driver&& extensions—没上面的重要。(建议设成手动)&& windows time—网上时间校对。(就是屏幕右下角的时间自动校对，没用，关)&& wireless zero configuration—无线网络设置服务。(你在无线局域网中么？)&& WMI performance adapter—关！(跟上面的WMI不是同一路服务)&& *Workstation—很多服务都依靠这个服务。(支持联网和打印/文件共享的)&& （收集这些，与朋友共享，不防一试，让你的小马跑起来吧！）
&&&&&&&&&&&&&&&&&&
xp启动项设置-开机启动程序设置
安装了某个软件后，每次启动计算机它都会自动运行，像“跟屁虫”一样，烦得不行了，差点一怒之下重装系统了！怎么禁止这些程序自动运行啊？
　　要解除此类软件在安装时自动加载到启动项的程序，我们一般可以通过修改注册表或Msconfig(系统配置实用程序)来关闭自启动的程序。修改注册表的方式略有难度，而且也有风险，不太适合初学者。下面来看看如何在Msconfig中设置启动项。
　　一、运行Msconfig
　　1.Windows 9X/Me/XP
　　在Windows 9X/Me/XP系统中，可以单击“开始→运行”，在运行框中输入“Msconfig”(输入时不用输入双引号，下同)确定运行，在打开的系统配置实用程序窗中选择“启动”标签，此时便可看到很多的启动项目。
　　2.Windows 2000
　　而在Windows 2000这个功能被禁止了，但我们可以通过“借用”的手段把Windows XP的Msconfig文件借过来。可将C:\WINDOWS\PCHEALTH\HELPCTR\Binaries目录下的Msconfig拷贝至 Windows 2000目录中。
[关键字：xp启动项,xp启动,xp启动盘,xp启动命令,xp启动加速,xp启动画面,xp启动慢,xp无法启动,开机启动程序设置,电脑启动设置]
　　二、默认的启动项目
　　启动项目中，不同系统不同用户不会相同，初学者怎样弄明白这些启动项目的用处呢？下面咱们先来看看这些默认的启动项目，即非外部程序的启动项。
　　1.Windows 9X/Me
　　Internat.exe：这是Windows 98/Me输入法切换程序。可以禁用其自动运行，但关闭其运行后在系统托盘区内便看不到输入法的图标。
　　ScanRegistry：注册表备份程序。如果注册表被破坏，可利用其自动备份进行修复，因此建议不要禁用。
　　TaskMonitor：任务检测程序。它可监视软件的使用情况，结果会保存在系统盘windows\applog文件夹下的applog.ind文件中，建议不要禁用。
　　SystemTray：管理驻留内存的程序。当内存被占满时会自动释放不再被使用的信息，建议不要禁用。
　　LoadPowerProfile：电源管理程序。建议不要禁用。
　　SchedulingAgent：系统计划任务程序，对于没有采用计划任务程序的用户(大部分用户没有使用它)，可以禁用。
　　2.Windows XP
　　IMJPMIG：微软输入法编辑程序的一部分，使计算机能够输入亚洲的字符，建议不要禁用。
　　TINTSETP：微软新注音输入法程序。建议不要禁用。
　　MsnMsgr：微软即时通信软件MSN Messenger程序。可以禁用。
　　3.Windows 2000
　　RUNDLL32：作用是呼叫32位的链接库，使计算机能够执行.dll类文件。建议不要禁用。
　　Internat：与Windows 9X/Me相同。
　　豆仔提示：在各系统中，除了这些默认启动项外，还有一些硬件的驱动程序也会产生启动项，如果禁止它们便会使相应硬件不能正确使用。
　　三、设置启动项
　　大家对Msconfig有了基本认识了吧！现在我们便可对自己想禁用的程序进行禁止了。首先在启动项中找到要禁止的启动项，再在它前面的方框中单击鼠标左键，使方框中的小钩被去掉，然后单击系统配置实用程序窗下端的“应用”钮就可以了。例如大家在安装QQ后，会发现每次重启计算机进入后都会弹出QQ登录窗，如果想禁止它在系统启动后自动运行，在Msconfig窗口中的“启动”标签下，找到“腾讯QQ”，用鼠标单击“启动项目”栏中的方框，去掉勾选，再按“确定”退出。重启计算机后QQ就不会自动运行了。当然如果以后又需要它在开机时就运行，可再进入启动标签，在它前面的方框勾选即可。
　　豆仔提示：对于相应程序在Msconfig中产生的启动项，一般都与原程序名称相同，同时我们也可查看“启动项目”后的“命令”栏，查看其对应的路径及程序名称来核实要禁止的程序。
请在论坛主页查看更多内容&&&
[关键字：xp启动项,xp启动,xp启动盘,xp启动命令,xp启动加速,xp启动画面,xp启动慢,xp无法启动,开机启动程序设置,电脑启动设置]
一、经典的启动——“启动”文件夹　　　　单击“开始→程序”，你会发现一个“启动”菜单，这就是最经典的Windows启动位置，右击“启动”菜单选择“打开”即可将其打开，如所示，其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下：　　当前用户：　　所有用户：　　　　二、有名的启动——注册表启动项　　　　注册表是启动程序藏身之处最多的地方，主要有以下几项：　　　　1.Run键　　　　Run键是病毒最青睐的自启动之所，该键位置是[HKEY_CURRENT_　　USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_　　LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，其下的所有程序在每次启动登录时都会按顺序自动执行。　　　　还有一个不被注意的Run键，位于注册表[HKEY_CURRENT_　　USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]和 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer \Run]，也要仔细查看。　　　　2.RunOnce键　　　　RunOnce位于 [HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\RunOnce]和 [HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunOnce]键，与 Run不同的是，RunOnce下的程序仅会被自动执行一次。　　　　3.RunServicesOnce键　　　　 RunServicesOnce键位于[HKEY_CURRENT_USER\Software\MicrosoftWindows\ CurrentVersion\RunServicesOnce]和[HKEY_LOCAL_MACHINESoftware\Microsoft\ Windows\CurrentVersion\RunServicesOnce]下，其中的程序会在系统加载时自动启动执行一次。　　　　4.RunServices键　　　　RunServices继RunServicesOnce之后启动的程序，位于注册表[HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersionRunServices]键。　　　　5.RunOnceEx键　　　　该键是Windows XP/2003特有的自启动注册表项，位于[HKEY_　　CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]和 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnceEx]。　　　　6.load键　　　　[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。　　　　7.Winlogon键　　　　该键位于位于注册表[HKEY_CURRENT_USER\SOFTWAREMicrosoft\Windows NT\CurrentVersion \Winlogon]和[HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon]，注意下面的Notify、Userinit、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。　　　　8.其他注册表位置　　　　还有一些其他键值，经常会有一些程序在这里自动运行，如：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]　　[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]　　　　小提示　　　　注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别：前者对所有用户有效，后者只对当前用户有效。　　　　三、古老的启动——自动批处理文件　　　　从DOS时代过来的朋友肯定知道autoexec.bat（位于系统盘根目录）这个自动批处理文件，它会在电脑启动时自动运行，早期许多病毒就看中了它，使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:\*.*”命令，让电脑一启动就自动删除C盘所有文件，害人无数。　　　　小提示　　　　★在Windows 98中，Autoexec.bat还有一个哥们——Winstart.bat文件，winstart.bat位于Windows文件夹，也会在启动时自动执行。　　★在Windows Me/2000/XP中，上述两个批处理文件默认都不会被执行。　　　　四、常用的启动——系统配置文件　　　　在Windows的配置文件（包括Win.ini、System.ini和wininit.ini文件）也会加载一些自动运行的程序。　　　　1.Win.ini文件　　　　使用“记事本”打开Win.ini文件，在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序，只要程序名称及路径写在“＝”后面即可。　　　　小提示　　　　“load=”后面的程序在自启动后最小化运行，而“run=”后程序则会正常运行。　　　　2.System.ini文件　　　　使用“记事本”打开System.ini文件，找到[boot]段下“shell=”语句，该语句默认为“shell=Explorer.exe”，启动的时候运行Windows外壳程序explorer.exe。病毒可不客气，如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”，如果你强行删除“妖之吻”病毒程序yzw.exe，Windows就会提示报错，让你重装Windows，吓人不？也有客气一点的病毒，如将该句变成 “shell=Explorer.exe 其他程序名”，看到这样的情况，后面的其他程序名一定是病毒程序如所示。　　　　3.wininit.ini　　　　wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件，因为该文件在Windows启动时自动执后会被自动删除，这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成，对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令，那么后果与“C盘杀手”无异。　　　　小提示　　　　★如果不知道它们存放的位置，按F3键打开“搜索”对话框进行搜索；　　★单击“开始→运行”，输入sysedit回车，打开“系统配置编辑程序”，如图2所示，在这里也可以方便的对上述文件进行查看与修改。　　　　五、智能的启动——开/关机/登录/注销脚本　　　　在Windows 2000/XP中，单击“开始→运行”，输入gpedit.msc回车可以打开“组策略编辑器”，在左侧窗格展开“本地计算机策略→ 用户配置→管理模板→系统→登录”，然后在右窗格中双击“在用户登录时运行这些程序”，单击“显示”按钮，在“登录时运行的项目”下就显示了自启动的程序。　　　　六、定时的启动——任务计划　　　　在默认情况下，“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹，并将计划任务设置为“系统启动时”或“登录时”，这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。　　　　小提示　　　　“任务计划”也是一个特殊的系统文件夹，单击“开始→程序→附件→系统工具→任务计划”即可打开该文件夹，从而方便进行查看和管理。
&&&&&&&&&&&&&&&&&&&& 2 &&&&&&&&&&&&&&&&&&&&&&
一、从“系统信息”查看启动程序　　　　单击“开始→程序→附件→系统工具→系统信息”，双击“软件环境”，单击“启动程序”，在右边窗口出现的程序就是所有自启动程序，在“装载源”或“位置”下显出该程序是由注册表还是“启动”文件夹启动的。从这里只能查看自启动程序，不能对自启动程序进行禁止自启动等任何更改操作。　　　　软件性质： Windows自身功能　　推荐指数： ★★★★　　　　二、MSConfig　　　　在Windows 98/Me/XP/2003中，单击“开始→运行”，输入msconfig回车即可打开“系统配置实用程序”窗口，单击“启动”标签，在列表框中显示的就是从注册表、“启动”文件夹和系统配置文件中自启动的程序。程序前有对号的是允许自启动的程序，没有对号的则不会自启动。如果想取消某个程序的自启动，单击取消程序前的对勾即可。还可以在autoexec.bat、system.ini和win.ini标签里面对它们进行编辑，取消其中的自启动程序。　　　　小提示　　　　★所有的修改都需要重新启动才能生效。　　★Windows 2000没有msconfig程序，但是我们可以从Windows 98或者XP拷贝一个到system32目录，同样可以起作用。　　　　软件性质： 免费，微软原装　　推荐指数： ★★★★　　　　三、startup.cpl　　　　只需要将startup.cpl文件拷贝到Windows安装目录下的system32文件夹下面即可，单击“开始→设置→控制面板”打开控制面板，你会发现里面多了一个Startup项，双击打开它，在打开的对话框中，可以方便地对“启动”文件夹和注册表中的启动项目进行管理，如右击空白处新建一个启动项，右击已有的启动项目可以对其进行编辑、删除、禁用和立刻运行等操作。　　　　软件性质： 免费，绿色软件　　推荐指数： ★★★★★　　　　四、StartupMonitor　　　　双击StartupMonitor.msi执行安装，安装完成后，它就乖乖的在后台运行，只占据100多KB的内存，什么时候才显示出它的本事呢？当你安装了一个软件的时候，如果它想自己偷偷自启动，嘿嘿，就必须通过StartupMonitor的这一关，如所示，它管得非常宽，无论是什么程序，它都不放过！渔歌强烈推荐。　　　　软件性质： 免费，小巧实用　　推荐指数： ★★★★★　　　　五、StartStop　　　　软件安装后它会将自己加到注册表的RunOnce自启动，启动后会自动缩小到托盘区一个小图标，双击即可打开StartStop主界面，在这里列出了本机启动程序，右击某个程序可以选择总是启动、从不启动还是每次询问是否启动，如所示，它有特色的一个地方是单击菜单 “Options→Startup delay”，可以设置启动时延迟多少时间启动程序。　　　　软件性质： 免费， 有特色　　推荐指数： ★★★★　　　　六、Autoruns　　　　下载autoruns.zip后解压缩直接执行里面的autoruns.exe即可，由于它不会在启动时加载，显得更绿色。双击 autoruns.exe打开程序界面，它不仅仅列出的是非常全的启动项，而且详细地列出了启动程序的公司和路径，如果还不满意，右击某个启动项目，选择属性，可以查看该启动项的文件属性。它还有两个特色功能，一个是右击任何一个启动项，选择Jump to就会立刻跳转到具体的位置，如跳转到注册表的具体键值、打开启动文件夹、打开INI文件等，非常方便！还有一个功能是单击View菜单，可以切换是否显示所有的启动位置、是否显示启动的服务、是否只显示非Microsoft公司的项目，这对于检查启动项目和过滤项目非常有用。　　　　软件性质： 免费，绿色软件　　推荐指数： ★★★★★　　　　七、StartUp organizer　　　　Startup organizer的组织和管理自启动项功能很强大，它在控制启动项目方面做的也比较细，如为某个启动设定声音提示，还能设置在 Windows启动时按某个键来控制某些程序启动与否，还可以备份自启动配置文件以便应急恢复、比较启动程序的变化、恢复第一次运行时的默认配置，操作也比较简单，遗憾之处就是不是免费的。
&&&&&&&&&& 超级加快windows xp运行速度的精妙办法
&&&&&&&&&&现在网上的XP启动加速文章多如牛毛，而真正有用的并不多，甚至有一些都是误导读者。我本身也是个XP用户，对于XP的启动加速也深有感触。看过无数的优化文章，安装过N次的XP，走过很多弯路，不过最终还是总结出了真正可以优化XP启动的经验。
&&&&&&&&&& 如果你正打算购买运行XP的新主板，可考虑该主板的BIOS是否支持SBFS，即Simple Boot Flag Specification，或“简单引导标记规范”，这种BIOS能够更好地与操作系统配合优化启动速度，例如最大限度地降低BIOS内存检测时间、不再为即插即用的操作系统初始化设备等等。
&&& 下面我们来看看如果主板BIOS不支持SBFS规范，应当如何优化系统。由于不同厂商的BIOS菜单不尽相同，这里只能给出要关注的几个项目，BIOS实际显示的菜单或选项名字可能有所出入：
&&&&&&&&& &　　&&&&&&&& 修改BIOS设置&&&&&
&&&&&&& 1.启用Quick POST(快速开机自检)。此举将禁止全面内存检查、启动Logo之类的操作。
　　2.禁用Boot up floppy seek(启动时搜寻软驱)，搜寻软驱会耗用一定的启动时间。
　　调整启动设备的次序，最好设置为“C only”(只从硬盘启动)。这不仅提高了启动速度(避免了系统检查不可启动的设备，如没有软盘的软驱)，而且也避免了系统从软驱或其他设备启动。有特殊需要时，例如无法用C盘启动，再在BIOS中把启动设备改为软驱或CD-ROM之类的设备。
　　3.启用PnP-OS(即插即用操作系统)。这个选项禁止BIOS检测设备，把检测设备的任务留给操作系统完成。对于主流的Windows操作系统，启用该选项能够显著地减少启动时间。
　　4.对于操作系统，提高启动速度最重要的是禁止各种不必要的程序和服务自动启动。Win XP提供了一个方便的工具：点击“开始”菜单的“运行”，运行msconfig，然后禁止所有不必要的程序自动启动。 　　 最后推荐一个工具，它能够分析、显示和优化系统的启动过程。这个工具是BootVis，你可从微软下载中心搜索“BootVis”得到，因为下载Url很长，这里就不再给出。下载好之后，解开压缩，点击BootVis.exe运行。关闭其他所有正在运行的软件，选择BootVis的菜单File&New&Next Boot+ Drivers Trace，系统将在15秒内重新启动。重新启动后，稍等，因为有一些文件要写入磁盘——你可以看到相应的提示信息。这个过程结束后，BootVis再次启动，显示出图一所示的图表。有关这些图表的详细说明，可参看BootVis的帮助，这里就不再说明。如果你不想了解BootVis的工作细节，那么，只要知道这些图表说明的是启动过程中装入各个部分所需时间，这就足够了。
& 如果要优化系统，你应该重复执行上面的过程4-5次。完成后，选择BootVis的菜单Trace&Optimize System，等待重新启动。这一次的启动时间将比以前要长得多。登录Win XP后，立即进行磁盘整理。以后，你就可以好好享受深入优化启动速度之后的感觉了。
&&&&&&&&&&&&启动加速优化　　 　　首先，打开“属性”(在我的上点右键-属性，或者在控制面板里打开“系统”，快捷键win+pause break)点“高级”选项卡，，在“启动和故障恢复”区里打开“设置”，去掉“系统启动”区里的两个√，如果是多系统的用户保留“显示操作系统列表的时间”的√。点“编辑”确定启动项的附加属性为 /fastdetect而不要改为nodetect，先不要加 /noguiboot属性，因为后面还要用到guiboot
&&&&&&& 去掉“系统启动”区里的两个√ 　　 　　接下来这一步很关键，在“系统属性”里打开“硬件”选项卡，打开“设备管理器”，展开“IDE ATA/ATAPI控制器”，双击打开“次要IDE通道”属性，点“高级设置”选项卡，把设备1和2的传送模式改为DMA若可用，设备类型如果可以选择“无”就选为“无”，点确定完成设置，同样的方法设置“主要IDE通道”。
&&&&&&&& 次要IDE通道”属性&&&&&&&&&&&&关机加速优化　　 　　打开注册表(开始-运行-regedit)，单击“我的电脑”打开“编辑”菜单的“查找”，输入AutoEndTasks，点“查找下一个”。双击打开找到的结果修改“数值数据”为1。然后在AutoEndTasks的下面可以找到HungAppTimeout，WaitToKillAppTimeout，把“数值数据”设为2000或者更小，在这里顺便也把菜单延迟的时间修改一下，在AutoEndTasks的下面找到MenuShowDelay，数值是以毫秒为单位，如果希望去掉菜单延迟就设为0。 修改后点“编辑”菜单，打开“查找下一个”(快捷键F3)，把找到的结果都安装上一步的方法修改。&&&&&&&&&& AutoEndTasks修改窗口&&&&&&&&&&&HungAppTimeout修改窗口 　　　 现在启动和关机的加速都已经完成，重启一下电脑感受一下极速启动的感觉吧，滚动条是不是只转一二圈就OK了。
&&&&&&&& MenuShowDelay修改窗口 　　 　　享受了极速重启的乐趣后我们再进一步加速一下启动的速度，打开“系统属性”- “高级”-“启动和故障恢复”设置，打开“系统启动”区的编辑，在fastdetect的后面加上 /noguiboot，这样在启动的时候就不会再显示滚动条。如果你非常喜欢这个滚动条的显示这一步就不用做了。&&&&&&&& “系统启动”的编辑区
&&&&&&&&& 减少开机磁盘扫描等待时间　　当XP非正常关机时，系统会在下次启动时运行磁盘扫描程序，默认扫描前会等待10秒。这个参数也是可以改的。在“开始”/“运行”中输入“chkntfs/t:0”，其中“t:0”参数表示将扫描等待时间设置为0秒（这个时间改成几秒都行，比如100^_^）。如果想让计算机忽略对某个分区的扫描，则可输入“chkntfs/x:f”，就是忽略对F盘的扫描，恢复则输入“chkntfs/df:”命令即可。　　其实，在“优化大师”和“魔法兔子”中，可以直接调整这个扫描时间的参数，如果你安有这两个软件的其中之一，自己找下软件的设置。找到了的话上面的黑色字就算我白打了。
&&&&&&&& 减少多重启动时等待时间：
&&&&&&&& 方法一：用 Notepad 打开在 C:\　目录下的 boot.ini 档案，将内容〔timeout〕的设定值由预设的 30 (秒) 改为要求等待的秒数数字，存盘。&&&&&&&& 方法二：也可以通过〔开始〕\〔运行〕\键入〔msconfig〕，打开boot.ini 选项，进行秒数的修改。&&&&&&&& 方法三：右键点击“我的电脑”，选择属性\高级\启动和故障恢复\设置，在此修改启动等待时间。
&&&&&&&&& 避免硬盘分区太多&&&&&&& 如果你的Windows 2000没有升级到SP3或SP4，并且定义了太多的分区，那么也会使启动变得很漫长，甚至挂起。所以建议升级最新的SP4，同时最好不要为硬盘分太多的区。因为Windows 在启动时必须装载每个分区，随着分区数量的增多，完成此操作的时间总量也会不断增长
&&&&&&&&& 屏蔽网络映射功能
&&&&&&&&&&随意开通共享文件夹的网络映射功能，会严重拖慢计算机系统的启动速度。(见优化系统任务之屏蔽网络映射功能)
&&&&&&&&&&&在启动计算机时运行Defrag程序启动注册表编辑器，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Dfrg\BootOptimizeFunction ，将字符串值[Enable]设定为：[Y]等于开启，[N]等于关闭。
&&&&&&&&&& 消除USB和扫描仪造成的影响 &&&&&&& 由于Windows 启动时会对各个驱动器（包括光驱）进行检测，因此如果光驱中放置了光盘，也会延长电脑的启动时间。所以如果电脑安装了扫描仪等设备，或在启动时已经连接了USB硬盘，那么不妨试试先将它们断开，看看启动速度是不是有变化。一般来说，由于USB接口速度较慢，因此相应设备会对电脑启动速度有较明显的影响，应该尽量在启动后再连接USB设备。如果没有USB设备，那么建议直接在BIOS设置中将USB功能关闭
&&&&&&&&&&& 解除文件夹和打印机共享 &&&&&& 安装了Windows XP专业版的电脑也会出现启动非常慢的时候，有些时候系统似乎给人死机的感觉，登录系统后，桌面也不出现，电脑就像停止反应，1分钟后才能正常使用。这是由于使用了Bootvis.exe 程序后，其中的Mrxsmb.dll文件为电脑启动添加了67秒的时间！ &&&&&& 要解决这个问题，只要停止共享文件夹和打印机即可：选择“开始→设置→网络和拨号连接”，右击“本地连接”，选择“属性”，在打开的窗口中取消“此连接使用下列选定的组件”下的“ Microsoft 网络的文件和打印机共享”前的复选框，重启电脑即可。
&&&&&&&&&&&精简*.ini文件，尤其是System.ini和Win.ini的内容&&&&&&&& &在system.ini的和小节中加载了许多驱动程序和字体文件， 是清除重点。尤其要注意的是，字段的shell=Explorer. exe是木马喜欢的隐蔽加载之所，木马们通常会将该句变为这样： shell=Explorer.exe file.exe，注意这里的file.exe就是木马服务端程 序！有了木马随后加载运行不仅对系统安全造成了威胁，电脑启动也慢了许多 ；对Win.ini中的“Run”及“Load”后面加载的、不是每次 开机必须运行的程序，可以暂时清除，等以后要用时再点击运行。这样开机时 Windows调用的相关文件就会减少许多，启动速度自然就会快 1W 多了。&&&&&&&
发表评论：
TA的最新馆藏[转]&[转]&[转]&[转]&[转]&[转]&