2009年2月26日 星期四
Find free disk space from command line
My apologies for bringing this post back from the dead, but it does display in the top 3 in many google searches:
the solution:
fsutil volume diskfree C:
which returns something like:
Total # of free bytes : 230645665792
Total # of bytes : 266205130752
Total # of avail free bytes : 230645665792
the solution:
fsutil volume diskfree C:
which returns something like:
Total # of free bytes : 230645665792
Total # of bytes : 266205130752
Total # of avail free bytes : 230645665792
2009年2月24日 星期二
2009年2月23日 星期一
RegFromApp - 你怎么动了我的注册表
RegFromApp 监测你选择的程序修改了注册表的哪些部分,并且保存为标准的 reg 格式
上图是我在安装 Flash for Firefox 时注册表的变化情况。
NirSoft 经常发布这类的小众软件,我添加了一个 nirsoft 标签,很棒的网站。
二嫂同学发过一个 Regshot - 注册表对比的软件,它可以快速扫描注册表生成一个快照,再经过二次扫描来实现注册表的对比。而 RegFromApp 只针对单一进程进行扫描,并且显示更直观一些。
说一下应用,我的电脑里有一款软件,需要注册登录使用的。不知道什么时候我的用户名被列为黑名单里,重新注册依旧不好使。怀疑在注册表动了手脚。之后卸载重新安装,在安装的过程中监视系统变化,果然在我删除了所有注册表信息后,再次重新注册脱离了黑名单。。。
2009年2月19日 星期四
在AD没有备份的情况下还原被删除的数据
adrestore.exe
下载地址:http://download.sysinternals.com/Files/AdRestore.zip
活动目录里删除一个对象的时候他并不是马上被删除的,而在一定的时间内只是被作了一个删除的标志, tombstone。也就是说它还没有物理上被删除。那么在windows2003里面,假设你不小心删除了一个不该删除的对象,也没有做备份,还是有办 法可以让你恢复删除的对象(但是必须在她被物理上删除之前做)
这个Sysinternals 出的小工具可以做到
我们可以在这里http://www.sysinternals.com/files/adrestore.zip下载到这个工具
安装好以后,运行adrestore -r
会出现以下信息:
"Enumerating domain deleted objects:
cn: Clark Kent
DEL:26931e28-18f5-4f08-a486-760b199c9d4d
distinguishedName: CN=Clark KentΘADEL:26931e28-18f5-4f08-a486
-760b199c9d4d,CN=Deleted Objects,DC=savilltech,DC=com
lastKnownParent: CN=Users,DC=savilltech,DC=com
Do you want to restore this object (y/n)? n
..
Found 99 items matching search criteria."
你可以指定某一个特定的被删除的对象
adrestore -r kent
你打入这个命令以后就只会显示被删除的kent:
"...
Enumerating domain deleted objects:
cn: Clark Kent
DEL:26931e28-18f5-4f08-a486-760b199c9d4d
distinguishedName: CN=Clark Kent\0ADEL:26931e28-18f5-4f08-a486-
760b199c9d4d,CN=Deleted Objects,DC=savilltech,DC=com
lastKnownParent: CN=Users,DC=savilltech,DC=com
Do you want to restore this object (y/n)? n
Found 1 item matching search criteria."
下载地址:http://download.sysinternals.com/Files/AdRestore.zip
活动目录里删除一个对象的时候他并不是马上被删除的,而在一定的时间内只是被作了一个删除的标志, tombstone。也就是说它还没有物理上被删除。那么在windows2003里面,假设你不小心删除了一个不该删除的对象,也没有做备份,还是有办 法可以让你恢复删除的对象(但是必须在她被物理上删除之前做)
这个Sysinternals 出的小工具可以做到
我们可以在这里http://www.sysinternals.com/files/adrestore.zip下载到这个工具
安装好以后,运行adrestore -r
会出现以下信息:
"Enumerating domain deleted objects:
cn: Clark Kent
DEL:26931e28-18f5-4f08-a486-760b199c9d4d
distinguishedName: CN=Clark KentΘADEL:26931e28-18f5-4f08-a486
-760b199c9d4d,CN=Deleted Objects,DC=savilltech,DC=com
lastKnownParent: CN=Users,DC=savilltech,DC=com
Do you want to restore this object (y/n)? n
..
Found 99 items matching search criteria."
你可以指定某一个特定的被删除的对象
adrestore -r kent
你打入这个命令以后就只会显示被删除的kent:
"...
Enumerating domain deleted objects:
cn: Clark Kent
DEL:26931e28-18f5-4f08-a486-760b199c9d4d
distinguishedName: CN=Clark Kent\0ADEL:26931e28-18f5-4f08-a486-
760b199c9d4d,CN=Deleted Objects,DC=savilltech,DC=com
lastKnownParent: CN=Users,DC=savilltech,DC=com
Do you want to restore this object (y/n)? n
Found 1 item matching search criteria."
2009年2月16日 星期一
netstat -ano and tasklist /svc 用途
如果LZ确认没有安装过POP3和SMTP服务的话(这2个服务就是收邮件和发邮件),下面的方法可以帮您找到对应的进程.
1. 在命令行下输入: netstat -ano 查看所有连接和监听端口,以及每个连接相关的进程ID
2. 找到对应的21和110端口的那一行,纪录后面的PID号
3. 使用命令: tasklist /svc 这里会列出每个进程的PID和所对应的服务名称,如果是SVCHOST的话,这里也会列出都包含有哪些.那么LZ可以根据这里的再到服务里面去找并确认是否是正常的服务.使用任务管理器也可以.
PS:印象中好像XP也包含了tasklist命令吧,因为我的系统是2K3的。如果没有的话,可以到微软官方下载一个processxp的免费小工具,图形界面的能很直观的看出. 读书不努力
1. 在命令行下输入: netstat -ano 查看所有连接和监听端口,以及每个连接相关的进程ID
2. 找到对应的21和110端口的那一行,纪录后面的PID号
3. 使用命令: tasklist /svc 这里会列出每个进程的PID和所对应的服务名称,如果是SVCHOST的话,这里也会列出都包含有哪些.那么LZ可以根据这里的再到服务里面去找并确认是否是正常的服务.使用任务管理器也可以.
PS:印象中好像XP也包含了tasklist命令吧,因为我的系统是2K3的。如果没有的话,可以到微软官方下载一个processxp的免费小工具,图形界面的能很直观的看出. 读书不努力
2009年2月15日 星期日
2009年2月11日 星期三
2009年2月10日 星期二
2009年2月9日 星期一
2009年2月8日 星期日
设置Vista系统还原大小之Vssadmin命令妙用
在Windows XP中,我们可以简便地设置用于系统还原的硬盘空间
Windows Vista则没有相应的设置项
其实,在Windows Vista中,我们同样可以限制系统还原所使用的硬盘空间
命令提示符输入如下命令:
vssadmin resize shadowstorage /on=C: /for=C: /maxsize=2GB
其中,“ /on=C: /for=C: ”指定待设置的硬盘分区;
“ maxsize=2GB ”即为系统还原可以使用的硬盘空间上限,当然具体数值可根据自己的硬件条件特别是硬盘大小而定;
退出命令行窗口,重新启动Windows Vista。 当然,这样以来,系统还原使用的硬盘空间被限制之后,可保存的系统还原点数量也会相应地减少,往往只能保存最新的系统还原点,使用时可根据具体情况设置。
注意:vssadmin resize shadowstorage /on=C: /for=C: /maxsize=2GB 盘符名称需要一致,如过你开启了C盘系统还原设置就一致写C盘
当然你也可以在同时开启C盘和D盘的情况下,这样设置vssadmin resize shadowstorage /on=D: /for=C: /maxsize=2GB 但不便于理解所以建议一个个设置
那么长的命令你只需要记住vssadmin就行了,在命令提示符里打入vssadmin /?就可以查看到许多参数命令结合使用如下图:
接着在根据列出来的参数命令结合使用,这里我们使用List Shadows参数结合使用,可以列出现有卷影副本。如下图:
Windows Vista则没有相应的设置项
其实,在Windows Vista中,我们同样可以限制系统还原所使用的硬盘空间
命令提示符输入如下命令:
vssadmin resize shadowstorage /on=C: /for=C: /maxsize=2GB
其中,“ /on=C: /for=C: ”指定待设置的硬盘分区;
“ maxsize=2GB ”即为系统还原可以使用的硬盘空间上限,当然具体数值可根据自己的硬件条件特别是硬盘大小而定;
退出命令行窗口,重新启动Windows Vista。 当然,这样以来,系统还原使用的硬盘空间被限制之后,可保存的系统还原点数量也会相应地减少,往往只能保存最新的系统还原点,使用时可根据具体情况设置。
注意:vssadmin resize shadowstorage /on=C: /for=C: /maxsize=2GB 盘符名称需要一致,如过你开启了C盘系统还原设置就一致写C盘
当然你也可以在同时开启C盘和D盘的情况下,这样设置vssadmin resize shadowstorage /on=D: /for=C: /maxsize=2GB 但不便于理解所以建议一个个设置
那么长的命令你只需要记住vssadmin就行了,在命令提示符里打入vssadmin /?就可以查看到许多参数命令结合使用如下图:
接着在根据列出来的参数命令结合使用,这里我们使用List Shadows参数结合使用,可以列出现有卷影副本。如下图:
2009年2月2日 星期一
如何用记事本清除病毒
轉載WinOS
电脑中毒后,许多朋友会打开“进程管理器”,将几个不太熟悉的程序关闭掉,但有时会碰到这种情况:关掉一个,再去关闭另外一个时,刚才关闭的那个马上又运行了。再从注册表里先把启动项删除后,重启试试,刚删除的那些启动项又还原了。
由于电脑只装一个操作系统,也没办法在另一个系统下删除这些病毒。上网下载专杀工具后,仍然不能杀掉。
如此翻来覆去,病毒未杀掉,人却濒临崩溃。这时怎么办呢?遇到这种情况,笔者向大家推荐一种方法。
第一步:在“开始→运行”中输入CMD,打开“命令提示符”窗口。
第二步:输入ftype exefile=notepad.exe %1,这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。
第三步:重启电脑,你会看见打开了许多“记事本”。当然,这其中不仅有病毒文件,还有一些原来的系统文件,比如:输入法程序。
第四步:右击任何文件,选择“打开方式”,然后点击“浏览”,转到WindowsSystem32下,选择cmd.exe,这样就可以再次打开“命令 提示符”窗口。 第五步:运行ftype exefile=%1 %*,将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表,就可以杀掉病毒了。
第六步:在每一个“记事本”中,点击菜单中的“文件→另存为”,就可看到了路径以及文件名了。找到病毒文件,手动删除即可,但得小心,必须确定那是病毒才能删除。建议将这些文件改名并记下,重启后,如果没有病毒作怪,也没有系统问题,再进行删除,
附:Ftype的用法
在Windows中,Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。
Ftype的基本使用格式为:Ftype [文件类型[=[打开方式/程序]
比如:像上例中的ftype exefile=notepad.exe %1,表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开,后面的%1表示要打开的程序本身(就是双击时的那个程序)。
ftype exefile=%1 %*则表示所有EXE文件本身直接运行(EXE 可以直接运行,所以用表示程序本身的%1即可),后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。
电脑中毒后,许多朋友会打开“进程管理器”,将几个不太熟悉的程序关闭掉,但有时会碰到这种情况:关掉一个,再去关闭另外一个时,刚才关闭的那个马上又运行了。再从注册表里先把启动项删除后,重启试试,刚删除的那些启动项又还原了。
由于电脑只装一个操作系统,也没办法在另一个系统下删除这些病毒。上网下载专杀工具后,仍然不能杀掉。
如此翻来覆去,病毒未杀掉,人却濒临崩溃。这时怎么办呢?遇到这种情况,笔者向大家推荐一种方法。
第一步:在“开始→运行”中输入CMD,打开“命令提示符”窗口。
第二步:输入ftype exefile=notepad.exe %1,这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。
第三步:重启电脑,你会看见打开了许多“记事本”。当然,这其中不仅有病毒文件,还有一些原来的系统文件,比如:输入法程序。
第四步:右击任何文件,选择“打开方式”,然后点击“浏览”,转到WindowsSystem32下,选择cmd.exe,这样就可以再次打开“命令 提示符”窗口。 第五步:运行ftype exefile=%1 %*,将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表,就可以杀掉病毒了。
第六步:在每一个“记事本”中,点击菜单中的“文件→另存为”,就可看到了路径以及文件名了。找到病毒文件,手动删除即可,但得小心,必须确定那是病毒才能删除。建议将这些文件改名并记下,重启后,如果没有病毒作怪,也没有系统问题,再进行删除,
附:Ftype的用法
在Windows中,Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。
Ftype的基本使用格式为:Ftype [文件类型[=[打开方式/程序]
比如:像上例中的ftype exefile=notepad.exe %1,表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开,后面的%1表示要打开的程序本身(就是双击时的那个程序)。
ftype exefile=%1 %*则表示所有EXE文件本身直接运行(EXE 可以直接运行,所以用表示程序本身的%1即可),后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。
訂閱:
文章 (Atom)
