工具网站 : http://www.ntsecurity.nu/toolbox/
命令行历史 :命令行模式 CMD 中使 doskey /history 命令可以显示前面输入的命令情况(例如使用 cls 命令清屏之后可以用此察看之前的命令),但是如果是关闭 CMD 之后运行则无法查到关闭之前输入的命令。
共享 :在系统注册表的 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Shares
(针对 Windows XP 系统,高于此版本的可能有些变化)可以获取到系统的共享信息。
清除页面交换文件 : Windows 使用虚拟内存架构,一些进程使用的内存内容会被交换出去,位于交换文件中。系统关闭时,交换文件中的信息会在硬盘上保持不变,其中可能会有解密的密码,聊天会话信息和其他字符串信息。如果关机时清除了交换文件则这些潜在的信息就很难被提取出来。在注册表中的 ClearPageFileAtShutdown 键值可以起到这个作用。以下引用自 Microsoft 知识库( http://support.microsoft.com/kb/314834/en-us/ ):
- Start Registry Editor (Regedt32.exe).
- Change the data value of the ClearPageFileAtShutdown value in the following registry key to a value of 1 :
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Memory Management
If the value does not exist, add the following value:
Value Name: ClearPageFileAtShutdown
Value Type: REG_DWORD
Value: 1
This change does not take effect until you restart the computer.
禁用文件最后访问时间的修改 : Windows 可以禁用文件最后访问时间的修改,这对于那些使用频繁的文件服务器有提高系统性能的好处,但对于日常使用的电脑则作用不大。以下引用自 Microsoft 知识库( http://support.microsoft.com/default.aspx?scid=kb;en-us;555041 ):
Created HKLM/System/CurrentControlSet/Control/FileSystem/Disablelastaccess and set to 1 .
This will disable the last access information written to each file as it is accessed. The result is faster hard disk file read-access.
这只针对 Windows XP 和 Windows 2003 系统,而在 Windows Vista 系统中这个键值是默认激活的。
Windos XP 程序预读机制 :在 %WINDIR%/Prefetch 目录中有后缀为 .pf 的文件,其中存有程序的有关应用的信息。相同的程序名称会覆盖已有的 .pf 文件,这点可以通过文件属性中修改时间的变化看出来。
崩溃转储 :当计算机以外停止或者出现较为严重的错误, XP 时代最常见的就是蓝屏了( Blus Screen of Death ,简称 BSoD ),这时候系统就会自动冻结,并且进行崩溃转储。崩溃转储有三种类型: 小存储器转储 ,核心存储器转储,以及完全存储器转储。相关信息如下:
- Windows 2000 Professional :小存储器转储 (64 KB)
- Windows 2000 Server :完全存储器转储
- Windows 2000 Advanced Server :完全存储器转储
- Windows XP (Professional 和 Home Edition ):小存储器转储 (64 KB)
- Windows Server 2003 (所有版本):完全存储器转储
详细信息参见 http://support.microsoft.com/kb/254649
注意 : “ 完全存储器转储 ” 选项不适用于运行 32 位操作系统和具有 2 GB 或更多 RAM 的计算机。详情参见 http://support.microsoft.com/kb/274598
另在 http://support.microsoft.com/kb/307973 提供了如何在 Windows 中配置系统和恢复选项。
但是当不管以哪种途径设置成完全存储器转储之后,一旦计算机崩溃,在转储文件中就可能会包含一些敏感信息,例如口令,账号等。
如果已经把系统设置成了完全存储器转储,可以通过一些设置就可以根据需要随时生成内存转储,详情参见 http://support.microsoft.com/kb/244139