2022年2022年检测删除系统中的木马 .pdf

《2022年2022年检测删除系统中的木马 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年检测删除系统中的木马 .pdf（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、检测和删除系统中的木马（T rojan Horse）一、木马（ Trojan Horse）介绍木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan ） 。此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。在计算机安全学中，特洛伊木马是指一种计算机程序：表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可

2、能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的著名木马程序：新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是最新的病毒库）。因此最关键的还是要知道特洛伊木马的工作原理，由

3、其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。二、木马工作的原理在 Windows 系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000 以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把Form 的 Visible 属性调整为 False，Show

4、InTaskBar 也设为 False 。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。好了，现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行，那么它就要乘计算机刚开机的时候得到运行，进而常驻内存中。想一想，Windows 系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“ 开始-程序 -启动” 中的项目！没错，这是Windows 启动时要运行的东西，但要是木马服务器程序明显地放在这就不叫木马了。木马基本上采用了Windows 系统启动时自动加载应用程序的方法，包括有w

5、in.ini 、system.ini 和注册表等。在 win.ini 文件中， WINDOWS 下面，“run=”和“load=”行是 Windows 启动时要自动加载运行的程序项目，木马可能会在这现出原形。必须要仔细观察它们， 一般情况下， 它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan ，它把自身伪装成 command.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。在 system.ini 文件中

6、， BOOT 下面有个 “shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe，而是“shell=Explorer.exe 程序名 ” ，那么后面跟着的那个程序就是木马程序，明摆着你已经中了木马。现在有些木马还将explorer.exe 文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。隐蔽性强的木马都在注册表中作文章，因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -

7、- - - - 第 1 页，共 10 页 - - - - - - - - - QUOTE: HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServi

8、ces HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINESoftwareSAM下的东西，通过regedit 等注册表编辑工具查看SAM 主键，里面下应该是空的。木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“ 黑箱 ” 操作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为 TCP 连接） ，通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体

9、如何检测，在第三部分有详细介绍。三、检测木马的存在知道木马启动运行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。首先，查看system.ini、win.ini 、启动组中的启动项目。由“ 开始-运行” ，输入 msconfig，运行 Windows 自带的 “ 系统配置实用程序” 。1、查看 system.ini 文件选中“System.ini ”标签，展开 boot目录，查看 “shell= ”这行，正常为 “shell=Explorer.exe”，如果不是这样，就可能中了木马了。下图所示为正常时的情况：2、查看 win.ini 文件名师资料总结 - - -精品资料欢迎下载

10、 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 10 页 - - - - - - - - - 选中 win.ini 标签，展开 windows 目录项，查看 “run=”和“load=”行，等号后面正常应该为空，如下图所示：3、查看启动组再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo 等关键词，极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都屏蔽掉了。如下图，只是选中了与注册表检查、音量控制、输入法和能源保护相关的启动栏。到

11、时要是有木马出现，自是一目了然。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 10 页 - - - - - - - - - 4、查看注册表由“ 开始-运行” ，输入regedit，确定就可以运行注册表编辑器。再展开至：“HKEYRun” 目录下，查看键值中有没有自己不熟悉的自动启动文件项目，比如netbus、netspy、netserver 等的单词。注意，有的木马程序生成的服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注

12、册表项“HKEYRun ”下加入Explorer=“C:expiorer.exe”，木马服务器程序与系统自身的真正的Explorer 之间只有一个字母的差别！名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 10 页 - - - - - - - - - 通过类似的方法对下列各个主键下面的键值进行检查：QUOTE: HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY-LOCAL-MACHIN

13、ESoftwareMicrosoftWindowsCurrentVersionRunOnceEx HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 如果操作系统是Windows NT，还得注意 HKEY-LOCAL-MACHINESoftwareSAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。当 然 在 注 册 表 中 还 有 很 多

14、 地 方 都 可 以 隐 藏 木 马 程 序 ， 上 面 这 些 主 键 是 木 马 比 较 常 用 的 隐 身 之 处 。 除 此 之 外 ， 象HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS*SoftwareMicrosoftWindowsCurrentVersionRun的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册

15、表进行全面搜索就知道它有几个藏身的地方了。如果有留意，注册表各个主键下都会有个叫“ （默认） ” 名称的注册项，而且数据显示为“ （未设置键值） ” ，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。4、其它方法上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem 上的电话线。有可能的话，最好可以逮到“

16、 黑” 你的那个家伙。下面就介绍一下相应的方法：由“ 开始 -运行” ，输入 command，确定，开一个MS-DOS 窗口。或者由 “ 开始 -程序-MS-DOS ”来打开它。在MS-DOS 窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示：显示出来的结果表示为四列，其意思分别为Proto：协议， Local Address：本地地址， Foreign Address：远程地址， State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000） ，而 Foreign Address 中的地址又不为正常网络浏览的地址，那么可以判断你的机器正

17、被Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address 中显示的 IP 地址就是目前非法连接你计算机的木马名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 10 页 - - - - - - - - - 客户端。当网络处于非活动状态， 也就是目前没什么活动网络连接时，在 MS-DOS 窗口中用 netstat命令将看不到什么东西。 此时可以使用 “netstat -a”,加了常数 “ -a” 表示显示计算机中目前处于监听状态的端口

18、。对于Windows98 来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有 NETBEUI 协议）：如果出现有不明端口处于监听（LISTENING ）状态，而目前又没有进行任何网络服务操作，那么在监听该端口的就是特洛伊木马了！如下图所示的 23456 和 23457 端口都处于监听状态，很明显是木马造成的。注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5 分钟以上）没有运行任何网络冲浪软件，也没有进行过任何网络操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。四、删除木马好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还

19、要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。1、由木马的客户端程序由先前在win.ini 、system.ini 和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy ”等，很显然对应的木马就是NETBUS 和 NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址：127.0.0.1和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a” 命令查出来。这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马文

20、件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 10 页 - - - - - - - - - 码，那就另当别论了。还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。2、手工不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、.

21、，那我们就手工慢慢来删除这该死的木马吧。用 msconfig 打开系统配置实用程序， 对 win.ini 、 system.ini 和启动项目进行编辑。 屏蔽掉非法启动项。 如在 win.ini 文件中，将将 WINDOWS下面的 “run=xxx”或“load=xxx ”更改为 “run=”和“load=”；编辑 system.ini 文件，将 BOOT 下面的“shell=xxx ”，更改为： “shell=Explorer.exe”。用 regedit 打开注册表编辑器，对注册表进行编辑。先由上面的方法找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。由查找到的木马程序注册项，

22、分析木马文件在硬盘中的位置（多在C:WINDOWS 和 C:WINDOWSCOMMAND目录下）。启动到纯MS-DOS 状态（而不是在Windows 环境中开个 MS-DOS 窗口） ，用 del 命令将木马文件删除。如果木马文件是系统、隐藏或只读文件，还得通过“attrib -s -h -r ” 将对应文件的属性改变，才可以删除。为保险起见，重新启动以后再由上面各种检测木马的方法对系统进行检查，以确保木马的确被删除了。目前也有一些木马是将自身的程序与Windows 的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorer.exe，只要Explorer.exe 一得到运行，木

23、马也就启动了。这种木马可以感染可执行文件，那就更象病毒了。由手工删除文件的方法处理木马后，一运行Explorer.exe，木马又得以复生！ 这时要删除木马就得连Explorer.exe 文件也给删除掉， 再从别人相同操作系统版本的计算机中将该文件Copy 过来就可以了。五、结束语Internet 上每天都有新的木马冒出来，所采取的隐蔽措施也是五花八门。在信息社会里，计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展，本文所讲述的检测、删除木马方法也总有一天会失效，最主要还是要靠用户提高警惕，防范所有的不安全事件于未然。典型案例：某

24、机器中了木马病毒Trojan.TRC.mIRC.f 是在 c:WINNTsystem32sy5tem 文件中：想要把文件删掉，可是提示为：源文件正在被使用，瑞星杀毒软件又不能杀掉。操作系统是win2ooo-professinal,并不能运行 msconfig 命令。那么，该怎么办？解决方案：从 Windows XP 中剥离的 Msconfig 程序完全可以在Windows 2000 中使用。（顺便提供pchome下载点）把它 COPY 到 Win2000 的 WinntSystem 目录下，然后直接运行。程序首先会弹出一个出错的消息框，提示找不到以下几个系统文件：Config.sys、Auto

25、exec.bat、System.ini 及 Win.ini，“ 忽略 ” 它，点击 “ 确定” 之后就会看到Msconfig 程序窗口。* 系统安全： WindowsXP八种安全模式揭密http:/ - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 10 页 - - - - - - - - - 经常使用电脑的人可能都听说过，当电脑出了故障时，Windows 会提供一个名为“安全模式”的平台，在这里用户能解决很多问题-不管是硬件（驱动）还是软件的。然而你会使用这个安全模式么？今天我们就来带

26、您认识一下它的真面目。初识安全模式要进入安全模式，只要在启动时不停地按F8，就会出现选项菜单，再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个：1.安全模式只使用基本文件和驱动程序。如鼠标(USB 串行鼠标除外 )、监视器、键盘、硬盘、基本视频、默认系统服务等，但无网络连接。如果采用安全模式也不能成功启动计算机，则可能需要使用恢复控制台功能来修复系统。2.带网络连接的安全模式在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行，如MSN 等，还有很多自启动的应用程序不会自动加载，如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载，否则恶意程序

27、等可能会入侵在你修复电脑的过程中。3.带命令行提示符的安全模式只使用基本的文件和驱动程序来启动，在登录之后，屏幕上显示命令提示符，而非Windows 图形界面。说明：在这种模式下，如果你不小心关闭了命令提示符窗口，屏幕会全黑。可按下组合键Ctrl+Alt+Del ，调出“任务管理器” ，单击“新任务” ，再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe ” ，可马上启动Windows XP 的图形界面，与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上，在其它的安全模式甚至正常启动时也可通过这种方

28、法来启动命令提示符窗口。4.启用启动日志以普通的安全模式启动，同时将由系统加载(或没有加载 )的所有驱动程序和服务记录到一个文本文件中。该文件称为ntbtlog.txt ，它位于 %windir% ( 默认为 c:windows) 目录中。启动日志对于确定系统启动问题的准确原因很有用。5.启用 VGA 模式利用基本 VGA 驱动程序启动。当安装了使Windows 不能正常启动的新视频卡驱动程序时，这种模式十分有用。事实上，不管以哪种形式的安全模式启动，它总是使用基本的视频驱动程序。因此，在这些模式下，屏幕的分辨率为640480 且不能改动。但可重新安装驱动程序。6.最后一次正确的配置使用 Wi

29、ndows 上一次关闭时所保存的注册表信息和驱动程序来启动。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置 )的情况下，才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。7.目录服务恢复模式名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 10 页 - - - - - - - - - 这是针对服务器操作系统的，并只用于恢复域控制器上的SYSVOL 目录和 Active Directory 目录服务。8.调试模

30、式启动时通过串行电缆将调试信息发送到另一台计算机。如果正在或已经使用远程安装服务在您的计算机上安装Windows，则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。现实应用1.笔者过去用的是一款旧显示器，又是初学者，初学者最爱干的是什么，换点墙纸，设一下分辨率也觉得很有成就感，没想到误将分辨率和刷新率调得太高，下次启动时屏幕花屏，害得的重新安装了操作系统才算了事。现在想起来那时也真的傻瓜可爱，只要将其重启到安全模式(前四种模式都行)下，删除显卡驱动程序，再重启电脑即可，重启(正常启动 )时，系统会自动扫描显卡并安装驱动程序，屏幕即可恢复正常显示。还有些问题也可用这种方法来处理，比如W

31、indows XP 会自动识别硬件并安装驱动程序，但有时总是老眼昏花，而且在设备管理器下不会显示出错信息。但就是工作不正常，如上不了网(网卡驱动有错 )、屏幕显示不对 (显卡驱动有错 )等，也可在安全模式重新安装驱动程序。2.揪出恶意的自启动程序或服务如果电脑出现一些莫明其妙的错误，比如上不了网， 按常规思路又查不出问题，可启动到带网络连接的安全模式下看看，如果在这里能上，则说明是某些自启动程序或服务影响了网络的正常连接。可在带网络连接的安全模式下，用带重定向的命令提示符工具TaskList d:Anquan.txt将当时的进程记录到D：盘根目录下的文本文件Anquan.txt 中。接着，以正

32、常的方式启动电脑，将Anquan.txt 中记录到的进程与此时的进程进行比较，你会发现此时的进程要多得多，请逐个结束多出来的进程，并检查网络连接是否正常。如果结束到某一进程时网络连接正常了，则说明就是刚结束的进程就是罪魁祸首。查出后，可删除与进程相关的可执行文件。但还要注意的是，由于它是自动运行的，强行删除后，可能会引起启动时报“找不到某文件”的错误，还得将其与自启动有关的设置全部清除，包括“系统配置实用程序”的“启动”、 “Win.ini”下的内容、注册表下的内容、启动脚本下的内容、“开始”菜单“启动”下的内容等。3.调整分区有一次，笔者带着本本儿出差，途中想处理一下下车即用的报表文件，可本

33、本儿偏不争气，启动时报分区错误。天啊，出门在外的，又没带任何工具软件，好在天无绝人之路，还能启动到安全模式下有法了，命令行工具Diskpart 能胜任分区魔术师的一切工作(可能还少有朋友听说吧 )。Diskpart 功能非常强大，它工作于一个集成的环境，输入Diskpart 后，显示图1 所示的专用提示符即Diskpart( 注意：这不是一个路径)，在这一环境下可输入很多与之相关的同时也是它的专用子命令。下面就来演示分区的扩容功能。说明在先：以下的操作是在台式机上记录下来的。启动到带命令提示符的安全模式下，输入命令Diskpart。再输入 list partition 显示一下分区，显然，其中

34、有两个主分区、两个扩展分区。输入“ Select Parttition 3 ”使第 3 分区(5004MB 的那个 )，使该分区具有焦点属性。再输入“Delete Partition”即可删除该分区。请将图3第 1、2 两个“ List partition ”命令后的值进行比较，不难看出，原分区3 确实已被删除了。输入“ Select partition 1”使其具有焦点属性，再输入“Extend”,刚才被删除分区所空出来的末分配空间就能自动添加到第1 分区中去。为分区扩容，这可是分区魔术师的专利，“diskpart” 也能实现，看来， Windows server 2003 不支持分区魔术师

35、是有道理的。再输入“List partition ”名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 10 页 - - - - - - - - - 可观察到第 1 个分区的容量变化情况。说明：将带有焦点的分区扩展为最邻近的未分配空间时。对于普通分区， 未分配的空间必须在同一磁盘上，并且必须接着带有焦点的分区。如果要被扩容的分区是NTFS 格式，扩容后不会丢失任何数据。如果是非NTFS 的文件系统格式，此命令就会失败，但不会对分区作任何更改也不会破坏数据。不能扩展当前系统分区

36、或启动分区，也不能对包含页面文件的分区进行扩容。从图中可看出， 我的电脑中有两个主分区，分区 5 才是活动分区。不然，不能对分区1进行扩容操作。语法： extend size=n参数说明：size=n ：添加到当前分区的空间大小(MB) 。如果不指定大小，磁盘就扩展为占用所有最邻近的未分配空间。不管对硬盘分区做了什么样的改动，包括创建、删除、扩容等，都用不着重新启动电脑即可生效(这是分区魔术师不能做到的)，但在“我的电脑”却看不到这些分区，这是为什么呢，原来，还没为其指定驱动器号(也就是盘符 )，怎样指定盘符呢？下面以为第一个分区指定盘符为例进行说明。使第 1 个分区具有焦点属性，再输入命令“

37、Assign” ，Diskpart 就会自动为其分配一个。当然也可用命令“AssignLetter=X”来手动指定，手动指定时，不能与已存在的盘符如C 等相同。经过这样的处理后，就能在“我的电脑”下查看到这些分区了。将分区 5设为活动分区，先用Select Parttition 5 使其具有焦点属性再用Active 激活即可。最后输入Exit，退出 Diskpart 集成环境，让电脑自动重启。说明：如果用惯了DiskPart，你就会觉得它的设计很符合人们的思维习惯，一般是先指定焦点，再进行操作，操作过程中还可随显示分区状态以便掌握进度。输入Help 可查看到所有的子命令，输入有错时，它还会自动

38、列出子命令列表及简要说明，将你引导到正路上来。另外，安装 Windows 2003 后，大家最熟悉的分区魔术师(非服务器版 )不能正常运行，使用Diskpart 确实是一个不错的选择。如前所述，在Diskpart 下进行任何操作前都必须指定焦点，即指明对哪一对象进行操作，这一方面使的我的操作逻辑清楚，但另一方面，如果对误指定了焦点又执行了破坏性的命令，如删除分区等，会造成无可挽回的损失。所以，请随时用List 命令查看各分区状态，焦点分区前有一个星号 (*) 标志。此外，你还可以借助安全模式来完成病毒的清除工作。比如有的杀毒软件能报告病毒但却不能清除甚至隔离、删除，遇到这种情况，可启动到安全模式下尝试删除这些病毒文件。当然，这里我们也只是介绍了一些比较常见的安全模式用途，算是抛砖引玉吧，希望各位能够在实际的电脑使用中，逐步体验其更多的便捷之处。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 10 页 - - - - - - - - -