物尽其用——挖掘Windows的隐藏功能

俞木发2015-08-31 14:03专题 标签:Windows 隐藏功能 速度与激情

Windows是个大而全的系统,它本身已经包含很多丰富的组件,基本可以满足我们日常需要。不过Windows系统自带的很多功能,需要我们加以挖掘才能充分发挥它们的作用。

强行更改当前账户密码

很多朋友喜欢设置账户自动登录,时间长了以后就忘记自己账户登录密码了,这样在需要更改账户密码(或者需要使用账户密码登录,比如在局域网其他电脑访问本机共享目录)的时候就会带来麻烦。默认情况下如果要在控制面板的账户管理中更改密码,我们又必须要先知道原密码。怎么才能在不知道原密码的情况下更改账户密码呢?

小提示

警告:下面的操作是强行重置账户的密码,在重置操作之前一定要确保该账户没有使用过EFS加密(或者虽已使用但已经确保导出了密钥),否则重置密码后会导致加密文件无法访问,造成数据丢失。

其实Windows自带的计算机管理组件已经提供强行重置密码的功能,打开“控制面板→管理工具→计算机管理”,在打开的窗口中依次展开“本地用户和组→用户”,接着在右侧窗格右击需要更改密码的账户,在弹出的菜单选择“设置密码”(图1)。

201512wingn01

图1 选择设置密码

继续在弹出的窗口中按提示输入新的密码,点击“确定”,这样下次登录就需要输入这里设置的新密码了(图2)。

201512wingn02

图2 设置新密码

小提示:

对于设置自动登录的Windows 7系统,如果不想强行重置密码,其账户密码实际保存在注册表的[HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword]键值下,可通过一款名为LSASecretsView的工具来查看。

轻松访问EFI分区

现在很多安装Windows 8的电脑都是使用UEFI模式进行引导,UEFI引导文件保存在FAT格式的分区。默认情况下我们是无法对其进行访问的,在磁盘管理器中打开后只能看到有一个没有盘符,并且状态为“(EFI 系统分区)”的分区,在这里既无法打开也无法为其分配盘符(图3)。

201512wingn03

图3 UEFI引导电脑的EFI系统分区

不过有时候我们需要访问其中的内容,比如备份BCD引导文件,或者自己手动添加其他系统的引导(此时需要对其中的BCD文件进行编辑)。在资源管理器中默认无法访问UEFI分区,只是微软出于对系统引导文件的保护。如果确实要访问其中的内容,Windows其实已经内置命令行的方式加以访问。以管理员身份启动命令提示符后,依次输入下列的命令:

mountvol z: /s

mountvol

输入上述命令后在命令提示符窗口就可以看到“EFI 系统分区装载在Z:\”的提示(图4)。

201512wingn04

图4 装载EFI系统分区

不过这样还是无法在资源管理器中访问EFI分区,还要先启动任务管理器,接着将其中的“资源管理器”进程终止,点击“文件→运行新任务”,输入“explorer.exe”,并勾选“以系统管理员权限创建此任务”,这样重启资源管理器后就可以看到“Z:”驱动器了,这个即为可以访问的UEFI系统分区(图5)。

201512wingn05

图5 在资源管理器中访问UEFI分区

更让人贴心的是,这里使用“mountvol”命令只是临时装载EFI分区,重启后会自动恢复保护,下次访问时仍然需要重复上述的步骤。

小提示:

使用命令行方式还可以完成很多默认GUI程序无法完成的任务,比如一键还原的“g..\”目录默认无法直接访问,此时可以在命令提示符下输入“cd g:\g..\”进入该目录,继续输入“Dir”命令可以查看其中的文件,接着就可以使用copy命令复制其中的文件了。其他的,如果U盘或者SD卡出现故障无法直接在资源管理器中打开,我们还可以使用Diskpart命令对其进行初始化以解决故障(数据会丢失)。

使用设备管理器查找驱动病毒

现在病毒防护能力越来越强大,比如一些驱动级病毒,它们把自己伪装成驱动,并注入到System内核(这样安全模式下也可加载),并且在自启动项中也看不到它们的身影。这给我们的查找和查杀带来极大的困难。不过既然是“驱动”,我们现在就可以使用设备管理器来进行查找。

因为这些驱动病毒是通过驱动文件的形式自动加载的,因此我们可以通过设备管理器进行查找。启动设备管理器后点击“查看→显示隐藏的设备”,这样在右侧窗格就可以看到新增的“非即插即用驱动程序”(由于这些病毒文件并非是真正的驱动,因此它们只是藏身于此),按提示展开查看相关的可疑设备即可,比如克邻大盗病毒,感染这个病毒后就会在这里添加一个名为“Nvmini”的驱动项目(图6)。

201512wingn06

图6 查看非即插即用驱动程序

右击该项目选择“属性”,在打开的窗口中切换到“驱动程序”,这里可以看到这个驱动使用服务的形式加载,目前状态是“已启动”,服务名为Nvmini(图7)。

201512wingn07

图7 查看驱动服务状态

继续点击“驱动程序详细信息”,在打开的窗口中可以看到该驱动文件位于C:\Windows\System32\Drivers下,而且没有提供商、文件版本等信息,这是一个极为可疑的驱动文件(图8)。

201512wingn08

图8 查看驱动文件的详细信息

这样我们通过设备管理器就知道驱动病毒加载的服务名称和文件详细位置,现在按提示打开服务管理组件将其中的“Nvmini”服务终止,并且启动注册表编辑器,展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]删除相应“Nvmini”服务(图9)。

201512wingn09

图9 删除病毒服务

最后打开资源管理器,删除C:\windows\system32\drivers\Nvmini.sys文件即可彻底清除这类驱动病毒。

小提示:

为了方便及时发现驱动病毒,我们可以在系统正常的时候展开“非即插即用驱动程序”列表进行截图保存,如果以后怀疑自己中招此类病毒,只要再次截图进行比较即可开快速发现是否有驱动病毒的存在。

软硬件信息一手掌握

很多时候我们需要对电脑的软硬件信息进行查看,虽然系统本身已经自带设备管理器、程序添加/删除等组件可以查看软、硬件的信息。但是这些组件一是分散在系统各处,运行起来不方便,二则每个组件查看到的信息不完整。因此很多朋友都是借助第三方软件如AIDA32、HWiNFO32等来获取电脑的软硬件信息。实际上系统已经自带一个全面查看软硬件信息的组件Msinfo32.exe,一些第三方软件其实也是调用这个组件获取信息的。

启动命令提示符输入“Msinfo32.exe”,接着启动“系统信息查看工具”,在“系统摘要”项我们就可以看到本机操作系统版本、主板厂家、BIOS版本、分区等详细细信息,比如现在很多Windows 8使用UEFI模式引导,但是很多朋友不知道自己电脑是否为UEFI引导,现在如果系统摘要项的BIOS模式显示“UEFI”即表明是UEFI模式引导(图10)。

201512wingn10

图10 查看系统摘要信息

当然如果要查看其他详细信息,只要展开具体项目即可,比如对于系统服务进行优化,禁用某个系统服务后系统出现故障,这里就可以展开“软件环境→服务”,接着点击“启动模式”,按照服务启动模式进行排序,所有被禁用的服务就全部排列在一起,非常方便我们的查找(图11)。

201512wingn11

图11 查看服务

系统信息查看工具还支持导出信息内容,比如我们需要对服务进行批量优化,点击“文件→导出”,可以将所有服务信息导出为“aa.csv”文件。导出后可以使用Excel打开,只要按照服务优化批处理格式在服务名称列前后插入类似“sc config”和“start= AUTO”的列,然后复制后即可使用这个代码来快速执行优化(图12)。

201512wingn12

图12 使用Excel打开导出服务列表文件