梦影 2008-9-23 07:16
雷特反病毒教学第13课:系统优化之文件清理
第12课:[url=http://www.ratebbs.com/thread-2755-1-1.html]http://www.ratebbs.com/thread-2755-1-1.html[/url]
!f�q0j
k�C/^8h�b�j
雷特反病毒学员每次看帖后必须回复(无特殊情况连续三次不回复取消学员资格)
-s�_�y7~�X+B�P
回复格式如下(非学员可自由回复):�z
N�M @�~
ID:
�_'Y
],E,|�\!S�R�c�w4G�a�n
看帖日期:�|�e8m2m)M)t�U�t4@�L3l
看帖前是否已掌握:
�e�f�Y*C4n/A&H |
看帖后是否已掌握:
�W
D3X�c0]2g'D�Q
意见或建议:4L�V"`�j#S0m*J
提问:�C�S.P�k
i
E�c-m
其他:.^-b�_'k-w7U5Z:m$r�j&x
�r�P�r5^�T�g
前两课一直是在讲日志分析,大家是不是觉得太难了,其实分析日志是很容易的,只是要花点时间.这一课暂时不讲日志,而是来讲讲系统优化方面的,文件清理.6d�}0B
O'q
�`�I5Q�j0N$v�i�@�D�i$_
所谓文件清理,就是把系统中一些没有用处的垃圾文件,临时文件,碎片文件,备份文件等删除掉.�O$N�L�q�A
所以我们的目标已经很明确了,只要知道了哪些文件是没有用处的就可以了.
&]�t�h�w;K3?(I�q�o-V
#y�[�`�b+w:M�n
这一课,我只讲系统盘中的无用文件清理,在开始前,请先显示所有文件及文件夹.6O�F�j
\(n�n�B�@
�J�a�Y�D:[�A
[color=red]1,系统盘根目录(%systemdrive%)
�c+z�|�v.U�B�Y�s
[/color]此目录下所有扩展名为tmp,_mp,log,gid,chk,old的文件都是没有什么用的,完全可以删除,有时还会有bak文件,这个就要看你的需要了,这是备份文件,比如我这里有个boot.bak,是boot.ini文件的备份.
8i E�O _8W;V�f,P�}#Y9|�n,Y
%systemdrive%是环境变量,代表系统盘根目录,以前讲过的.�g�M"E/y�g�c3t
.R U.`4K�p
[color=red]2,回收站(RECYCLER或Recycled)[/color]
W�G8k'V�r�}2w
这个大家应该明白,以前也讲过,RECYCLER/Recycled,是否要清理,就要看具体情况了,有些人喜欢在回收站中藏东西...!@�a�l�O�W�H�L$V j
比如我的回收站中会存在一些病毒相关文件,/R&D�d�X�S�a4G
)\�}�_�m�?�M�U�i,i
[color=red]3,系统目录(%windir%或%systemroot%)[/color]
�O7R�G�O)g�[
上面这两个环境变量的意思是一样的,比如在我的系统中,都是指c:\windows目录,这个目录中可以清除的内容和%systemdrive%是一样的,大家应该可以在这个目录中发现很多log文件,这些文件大部分是系统或软件运行的日志,其中有一类比较特殊.文件名以KB开头,后面是6个数字,如KB910437.log,这种文件是系统更新日志,当你安装了一个更新后,就会多出这样的一个文件来.�B%I�a�H
[
"?�P
H�r'^(_+W�r
Y
[color=red]4,预读取目录(%systemroot%\Prefetch)
;D$l0_�E7t�i-C7}7^
[/color]系统启动时,会预读取这里的内容,这个功能可以提高系统的性能,加快系统启动,文件读取的速度.+~'o�r�f�\�Q#u
该目录下的文件扩展名为pf,这些包括了载入文件的详细信息和载入顺序,仔细观察这些文件名,就会发现,它的文件名结构是这样的:可执行文件名-8位大写的16进制数字.pf
�r%\-^
?6t/O;v(t-_
为什么中间要有8位大写的16进制数字,系统中那么多程序,很有可能在不同的目录中存在同名的文件,这是为了分别开来,还有要提一下的是这串数字并不是像你想像中那样是随机的,而是根据文件路径,文件内容,加载者等算出来的.$o'~/b(E�O�[�m4y
照理说这些文件的存在对系统是有很大的好处的,为什么还要有理清一说呢?�A�A�n
W!l v�U.J
原因是这样的,当你将一些应用程序删除或卸载后,这里与之对应的pf文件并没有消失,再举个例子,系统更新,软件升级后,由于这些程序的文件内容已经改变,系统会生成另外一个pf文件,而以前的仅仅弃之不用,并没有删除,当你的系统用了很久之后,这里就会有一大堆的垃圾文件了,预读取时将花费一定的时间来忽略对它们的读取,所以当无用文件远远大于有用文件时,系统的性能反而会下降.另外,系统在创建一个新的pf文件时本身也要花费一定的时间的.�d�M�}�T�O7t
c�E$m
可能你会问怎么知道哪些是有用的,哪些是无用的,我的原则是全部删除,反正下次系统会自动重新创建.�C/F�y�R,G�]�A L!|
如果你更新系统,安装软件等非常频繁,建议不要舍弃这个预读取功能,因为当你更新了后,每次都要产生一个新的pf文件,导致程序第一次启动时的速度变慢.�s
\�V"d�d�C�M
我们可以通过修改注册表来禁用这个功能3\�p0b7P"U�B�E
注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters,修改EnablePrefetcher的值为0(默认为1),重启后生效.4T8l#M8L7|$H%d!O%m
.H6f�v�A�P;C7t%i�R
[color=red]5,系统临时目录(%windir%\temp)[/color]
){�i/Y�^8Z�P$}
有些程序运行时会创建一些临时文件,当程序退出后,这些文件会自动消失,但是有些程序由于一些特殊原因,无法删除,从而留下了所谓的垃圾文件,该目录中的文件可以全部删除.�H"{�\$X�?0?�C&S�k;R"S
,S�L1{�y�Z�I
[color=red]6,用户临时目录(%userprofile%\Local Settings\Temp).u�Z�~.]�X
[/color]%userprofile%代表的是%systemdrive%\Documents and Settings\你的用户名,作用及垃圾产生的原因和系统临时目录是差不多的.
'g�Y�x-E0y�_�b
举个例子,当你在压缩包中运行某个程序时,WinRAR会将这个压缩包中的所有文件解压到这个临时目录中,再执行你指定的程序,程序退出后自动删除这些文件,如果WinRAR发现文件被修改了,它还会提示你是否同时更新压缩包内的文件.4Q�k�c0N�h�W
很多程序运行时都会产生不少临时文件,如果自己无法删除,就会越来越多,当系统盘空间不足时,系统会尝试再次删除它们.
�k1}%} Z�Z:G�v�q
有些可能无法删除,原因是这些文件正在使用中,你可以退出程序后再删除.
�u x�?�@4g%w�Z�~1P�t�e
�\�X�v�B�T
[color=red]7,cookie(%userprofile%\cookies)[/color]
�\4e7c�a�I�f$m
Cookie是当你浏览某网站时,网站存储在你机器上的一个小文本文件,它可能记录了你的用户ID,密码,浏览过的网页,停留的时间,个性化设置等信息,当你再次来到该网站时,网站通过读取Cookie,得知你的相关信息,从而可以做出相应的动作,如在页面显示欢迎你的标语,或者让你不用输入ID,密码就直接登录等等.�^�V�@�Z8B�A'_
Cookie中的内容大多数经过了加密处理,因此在我们看来只是一些毫无意义的字母数字组合,只有网站服务器的CGI处理程序才知道它们真正的含义.但是一些别有用心的人可能会直接向网站提交cookie,而不必知道cookie加密前的内容,从而造成Cookie欺骗,他们就可以冒充受害人的身份,登陆网站,前提是冒充者要获得被冒充的人的Cookie文件内容.!K(X�_�y c�q/R9t�V5h
(h:T1E K/C&m8j
你可以禁用Cookie的,但这样的后果是你可能无法登陆网站.(为什么说可能,而不是一定?下面会讲到).p�t,Q8@�U,Y�Q6y7v
下面我们来做几个实验.
�f%v0r t"y/K%I�J*\�R
先登陆论坛,在登陆页面,我们可以看到有个登陆有效期,分别是永久,一个月,一天,一小时,浏览器进程.�W&S�[�P�K�U:J$F
意思是说论坛将在你电脑上保存一个cookie文件,它的有效期就是你所选择的时间.超过时间后,即使cookie文件还存在,也是没有什么用的.浏览器进程指的是当你关闭网页后cookie就失效了.&C;o(v'?(J�S*D1m8Y,Y#@
默认选择的是一个月(如果你从首页登陆,用的就是一个月,在网吧的会员注意下,最好不要在首页直接登陆,而是到登陆页面去选择随浏览器进程,这样比较安全)�Q�[*l�Y�[2t�n�{"V
'\:U�Y5O(K�k!N
我选择了一个月,然后你关闭网页,甚至是重启电脑,再打开论坛时发现还是登陆状态的,这些就是cookie的作用了.�N�u�H�@�l�~�C&V;`
\
当你点击退出时,保存在你电脑上的cookie文件就会消失.(所以点退出与直接去删除相应的cookie文件的效果是一样的)
8]:X�R3R�k
cookie文件名的格式为:当前用户名@网站域名[数字].txt
G t1s)d�p�_
所以根据网站域名可以很容易找到相应网站的cookie文件.
/z H�G*f�G�u�n�U2C
5X"r�U�q�F"{�X
可能你还会发现在这个目录中还有一个名为index.dat的文件,而且无法删除,提示正在使用.
(`�d0o�v�B�w
它记录着通过浏览器访问过的网址,访问时间,历史记录等信息.实际上它是一个保存了cookie,历史记录和IE临时文件中所记录内容的副本,即使你在IE中把这些内容都清除了,但index.dat文件中的记录还是存在的. 4X(p�d�o�G�U
可以用一些工具强行删除这个文件,如XDelBox.删除后系统会重新创建这个文件,但内容为空.0~/[�}*A�R�^�{
�B�h!y,o�W
现在我禁用IE的cookie.方法是:
3W
`-w3n)k�D M
工具,Internet选项,隐私,将滑块移到最高点,也就是阻止所有cookie,确定.�Z�X�b5N�@�L�U:h�i5V�n
然后,你就会发现,大多数论坛都无法登陆(显示登陆成功了,但跳转后还是未登陆状态的)-|�}�e'z&a�V/i G.P
不要拿本站做尝试,雷特反病毒社区在你禁用cookie的情况下还是可以登陆的,此时网站将通过URL来传递相关信息.由此可见,保持登陆状态并不一定要使用cookie文件.为了能正常登陆其他论坛,请改回原来的设置(中或中高).
�}�t�?�r�S�b9P4c
�h�~�i�G
A,?�M
[color=red]8,我最近的文档(%userprofile%\recent)[/color]
9z�u
r
_�s3U�s�n(]
这里保存了你最近打开过的文档或文件夹的快捷方式.这些文件也属于垃圾文件,但它们并不会影响系统的性能.删除它们还可以保护自己的隐私."|$f�u"w�X�X+N�^+l.^
z�Q�p){�H�@�l)]6S
[color=red]9,Internet临时文件夹(%userprofile%\Local Settings\Temporary Internet Files)[/color]
�l,C5K&v�s�R�u�{%f
在不混淆的情况下,一般也称为IE临时文件夹或IE缓存�|�b z&`0F;y4Y;T
I-\
当你打开一个内容很多的网页时,特别是该网页带有很多图片时,状态栏会显示正在下载***,剩余几个之类的信息,实际上这些文件都下载到了这个目录中,当你再次访问这个网页时,浏览器会搜索并检查这个目录中的相关文件,如果找到且内容一致时,就不必重新下载这些内容了,从而可以加快网页显示的速度.(如果这些内容并不位于该网站,在该网站只是有一个链接,那么这些内容还是会重新下载,即使完全相同.)
#V�A�B�E$V�o
但是当这个目录中文件太多时,反而会降低性能,原因与上面第4条说到的Prefetch目录是很类似的.(A�s.E�C%T M�m�B(Q2{�@!P
2G�d�E�D�I+_�{
你可以打开这个目录直接删除,也可以使用下面的方法.
�i F�k�J1?8D i#f�G�|
小提示:打开这个目录可能会很卡,因为这个目录中的文件数目太多了.删除时也需要一定的时间./_"o�U&l3`�D�s�y
工具,Internet选项,删除文件,确定.
!i�P%j!E-q,O&s k
�o�m*R"v9v2I+m%s
这里说一下,cookie其实是保存在这个目录中的,而不是保存在%userprofile%\cookies
6V9w:V8O(|9H0U
X!V
%userprofile%\cookies中的内容其实是Temporary Internet Files中相关文件的映射,无论哪个地方的cookie被删除了,另一个地方的也会同时消失.
'h'T�M�g�[
H
2N�x�R�|/p�h:@2i
[color=red]10,Content.IE5(%userprofile%\Local Settings\Temporary Internet Files\Content.IE5)$?�\�G�~�Z)G:T
[/color]先不要急着去找这个目录,看一下Internet临时文件夹的属性,刚刚应该都删除了吧,怎么还这么大?�l
y�i�f�|
原因就是Internet临时文件夹下还存在一些隐藏的文件,即使你已经显示了所有文件及文件夹,你也看不到它们,我们只能在运行(或地址栏)中输入上面括号内的路径才能打开这个目录,进入后会发现一些以8位随机字母或数字命名的文件夹,及desktop.ini和index.dat(这个文件和cookie目录中的index.dat文件的作用是类似的).这里面的文件夹有些可以直接打开,有些却不行,会提示"该页包含未知的潜在安全缺陷,是否继续?",点是后才能打开(查看该文件夹的属性时也会提示),这些文件夹全部可以删除.�I%j't,~�Q.L�H c
有些人清理了所有的地方,但C盘的剩余空间却还是那么点,这时就要考虑这个文件夹了.我有个同学的这个目录大小为2.9G
�^+_7R�D�h�Q�\�T�`*t
�H#P/Q�t�[2f
F
[color=red]11,Content.MSO(%userprofile%\Local Settings\Temporary Internet Files\Content.MSO)[/color]�C"T n�h�^%H
这个目录和上面的类似,不多讲了,一般也不会很大,有些系统此目录可能是空的.
.d8{
`2Y4g�y�S3k!C(b
�D�J4h�V�L `5C
[color=red]12,$NtUninstallKB******$(%windir%\$NtUninstallKB******$)
�y�W�Q7y�`�d�F
[/color]*号处的是数字,这些文件夹是隐藏的,每安装一个更新,就会有这样一个文件夹,并且还有一个KB******.log的文件,单个文件夹可能并不大,但是几百个加起来的话就会很大了.微软每个月都会发布10个左右适合你的更新,时间长了,越来越多,更新完后也没有删除,原因是这样的,你可以在增加删除程序中卸载这些更新,还可以重新安装,如果把这些文件夹删除了,那么以前安装的更新就无法卸载和再次安装了.不过一般来说我们是不会去卸载已安装的更新的,所以我们完全可以把它们删除.�O4P�v�@.`6Z�x�V)K�T3Q�O
我一般是更新完过几天再去删除的,以保证这些更新是没有问题的,如果更新后出现了问题,我还可以卸载它们.�\7i�y |0a�g�o+S+p,H
�K.P�v6z9o�b&]6P
[color=red]13,系统文件备份目录(%windir%\dllcache)[/color]
2E$s/? A�Y
大部分是动态链接库(.dll)和可执行文件(.exe),删不删就随你了.不过要讲一下的是windows文件保护机制.�b9I*p�V Y�`(|5Z c8`
有些文件对于系统的稳定运作是非常重要的,如果这些文件被不小心删了或替换了,就有可能造成系统的不稳定,甚至系统崩溃.虽然我们一般不会有意去删除或替换这些文件,但实际上装软件的时候,特别是一些版本老的软件的时候,覆盖一些共享的系统文件是常有的事.针对这一点,windows就有一个文件保护的后台服务,默认情况下,该服务一直处于启用状态,监视着所有受保护的系统文件,如果发现替换或移动受保护的系统文件企图,它能直接阻止.当然windows并不阻止所有这样的企图,它允许有windows数字签名文件替换现有文件,这样你的系统才可以更新和升级.
�G+p�q'e2i(n�K
windows的文件保护机制是怎么知道受保护的系统文件是否被删除或替换成低版本的文件了呢?这就需要把受保护的系统文件备份下来以便进行对比,于是dllcache就诞生了.
�q�_�W1G�Q%k5r
:m:p�E�[$V!X8g5J;f�M
大家可能会发现很多在%windir%\system32里的东西在dllcache里头都可以找到,像smss.exe之类的,很多人这时候就会以为是病毒,其实它们就是被保护的对像,当然也可能真的是病毒.我们可以作个试验.
�y-a�d�C$b4K�a5`4l
打开%windir%\system32,将conime.exe删掉.不出几秒,你便可以看到这个东西又跑了回来.其实就是系统将dllcache里的conime.exe复制出来了.我们还可以将这个conime.exe改名,不久也可以看到有个conime.exe跑回来.有时候一些病毒也会把自己无耻地备份到这里,这样就不需要守护进程便可以使自己得到系统的保护,所以,杀毒时不要忘了到这个文件夹看下,免得做无用功.
p0T's.D5D�W�V
当然,有时候这个文件保护机制也会给我们带来一点小麻烦,比如有的DIY发烧友想改掉登录界面,当把修改完后的logonui.exe放到%windir%\system32后却发现没有效果,原因就是没有事先将dllcache里的logonui.exe替换掉.2S�w)H8i%r$d�S*E
1N2Q5[�h�D#[�z9V
禁用文件保护机制
+B�r5|6V�V(Z�a�o�T
开始,运行,输入 gpedit.msc
�O�I5H�X"m:o�W-s�M�R
本地计算机策略,计算机配置,管理模板,系统,找到"windows文件保护",在右窗口中双击"windows文件保护扫描",设置,选择已禁用,在这里你还可以设置文件保护的扫描频率以及指定高速缓存的位置.�n�X)e�G;O+s�K�C
1w�]�}�C.r�^�J)K
不过我的建议是不要禁用,也不要全部删除,保留一些重要的文件.8z#H�n�p9L
M.K6q6F
�T!W.M#b.N�Z"z2k*c5r9L�M
[color=red]14,System Volume Information[/color]
:Z:x1_4C,X�C�~6O
这个文件夹基本每个盘下都有,以前也讲过了,大家回过头再去看看就行了.
;V2|
x�Y�X
C7r
具体位于第5课第3部分:[url=http://www.ratebbs.com/thread-1977-1-1.html]http://www.ratebbs.com/thread-1977-1-1.html[/url]�c�r�w,o�N�I&w
'`�~�t s�p"T4D
最近发现有人转载我的部分教程却不注明来源或原帖地址和作者的,在此BS下,请尊重别人的劳动.写了一下午,希望大家都操作一遍,明白一些原理,平时杀毒什么的特别注意下2,5,6,9,10,13,14这几个,有什么问题或需要补充的,欢迎提出来,大家一起学习.
1^,z�w�U�I�}�|�`�d
下一课还是优化,相对来说是比较高级的东东,大家做好心里准备哈.