Boot.ini 是個純文字檔, 我們可以用任何文字編輯程式來
編輯其內容. 為甚麼要編輯 Boot.ini ? 因為 Boot .ini 
除了紀錄作業系統的位置外, 也紀錄作業系統的啟動方式, 
我們只要更改啟動參數, 就可更改 Windows XP 啟動方式. 
即使電腦上只安裝一套 Windows XP, 也可透過修改 
Boot.ini 內容, 『製造』出多個啟動項目, 讓您隨時以不
同的方式來啟動 Windows XP.

編輯 Boot.ini

直接編輯 Boot.ini 雖然有點風險, 但並不會危害到系統
本身, 只要記得保持最原始的啟動項目不動, 就算我們自
行建立的啟動項目不能啟動 Windows XP , 仍可利用這個
原始的啟動項目啟動 Windows XP.

要編輯 Boot.ini, 可直接從[我的電腦]中開啟 
C:\Boot.ini (如果沒有看到這個檔案, 請看上一期電子
報的介紹):

[boot loader]
timeout=30   
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
C:\="Microsoft Windows Millennium Edition"
 -->只安裝 Windows Xp 的電腦不會有這類的啟動項目
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
="Microsoft Windows XP Professional"/fastdetect

如圖所示 Boot.ini 的內容可分成[boot loader]和
[operating systems]這 2 個段落, 前者是有關啟動時的
等待時間和預設啟動項目的設定, 後者則是所有啟動項目
的詳細內容.

[boot loader]段落


[boot loader]
timeout=30   
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

在此段落中有 2 個設定項目:

timeout: 在 131 期中提過, 當 Boot.ini 中有多個啟動
項目時, Ntldr 會列出所有啟動項目供使用者選擇.但為了
避免無限期等待, 所以提供了一個等待時間限制, 在這段
時間內未有任何按鍵被按下, Ntldr 就自動啟動 default 
這一項所指的作業系統. 預設等待時間是 30 秒, 您可依
需要加長或縮短時間.

default: 表示預設的啟動項目, 當等待時限已到, Ntldr 
就會載入此項所指的作業系統. 等號後面的 
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS (隨系
統的不同而不同), 就是在 [operating systems] 中所列
的啟動項目之一. 所以要更改預設的作業系統時, 最好從
 [operating systems] 中複製您想使用的項目道等號後
面, 而不要自行編輯, 否則改錯, 會無法啟動預設的作業
系統.

[operating systems] 段落


[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
="Microsoft Windows XP Professional"/fastdetect

若您的電腦只安裝 Windows XP 作業系統, 那麼此段落
的內容會和此例一樣(數字可能不同), 只有一個項目, 
也就是 Windows XP 的位置與啟動參數; 若是安裝多個
作業系統, 例如 Windows Me 和 Windows XP , 那麼可
能會有如下的內容:  

C:\="Microsoft Windows Millennium Edition" 
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
="Microsoft Windows XP Professional"/fastdetect

如果再加上 Windows 2000, 則會有類似下列的內容:

C:\="Microsoft Windows Millennium Edition" 
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
="Microsoft Windows XP Professional"/fastdetect
multi(0)disk(0)rdisk(0)partition(4)\WINNT
="Microsoft Windows 2000 Server"/fastdetect

-- 待續 

如何查看目前正執行的程式, 找出可疑的程式將它幹掉?

以.exe 來執行與常駐在 Windows 系統中是大多數木馬 
Server 程式的運作方式, 也是最典型的做法, 只要使用
任何一種顯示目前所有正在執行程式的工具就可以將大
多數正在執行的木馬程式找出來. 在此我們推薦 TaskInfo
, 因為它佔記憶體不多而且各項功能與顯示資訊也都符
合我們的需求, 可至

http://www.iarsn.com/index.html#/download.html

下載試用版, 書中也附有試用版.

透過這個工具您可以發現要查看目前所有正在執行的程
式很容易, 但要判別哪個程式可能是木馬程式就比較困
難, 提供以下的經驗給您參考.

如果您懷疑的程式並不是位在 Windows 系統所在的目錄
下, 而也不是在您安裝過的軟體目錄之下, 而是在其他
目錄中(如:根目錄下), 那就要特別注意它, 可能就是某
種木馬程式, 此時建議您可以先在 TaskInfo 中將它終結
掉(不讓它執行), 然後將該程式更名後重開機再進入 
Windows , 若用了幾天都很正常, 就可將該程式刪除, 
若發生某個程式或系統中某個功能無法運作, 那就要將該
程式再更名回來, 再重開機進入 Windows 中才可恢復正
常, 若是無法進入 Windows 更改, 那就只好進入安全模
式或純 DOS 中更名回來了.

如果您懷疑的程式是位在 Windows 系統所在的目錄下(通
常是 C:\Windows), 則判斷上較為困難, 因為許多 
Windows 自己所執行的各類系統檔案也都放在這裡. 而許
多木馬程式就會趁機藏在這些目錄中, 所以下面我們列出
 Windows 經常會執行的一些系統程式供您參考, 這些不
是木馬程式, 不要隨便幹掉它, 否則後果難料.

Win9x 與 WinMe 系統執行的檔案(或程序):

Idle   VxD NTKERN   VxD VDHCP  -->這是系統模組
KERNEL32.DLL  MSGSRV32.DLL  mmtask.tsk  MPREXE.EXE
EXPLORER.EXE  INTERNAT.EXE  IRMON.EXE   SYSTRAY.EXE
STMGR.EXE     WMIEXE.EXE    RPCSS.EXE

Win2000 與 WinXP 系統執行的檔案(或程序)

Interrupt Time  DPC Time  Idle  System-->這是系統模組
smss.exe     csrss.exe   winlogon.exe  services.exe  
svchost.exe  spoolsv.exe regsvc.exe    MSTask.exe    
snmp.exe     WinMgmt.exe Explorer.exe  internat.exe
msipcsv.exe

以上所列的各 Windows 系統執行的程式可能會隨著版本
的不同而有所增加或減少.

除了上述這些程式或程序不可以動之外, 其他位在 Windows 
系統目錄或其子目錄下的程式也並非一定是木馬程式, 所以
如果您對某一程式有所懷疑, 同樣可以使用前述的方法來作
判別.

-- 待續