董师傅茶坊(24)
技巧与实践
话题馆
董师傅首次解密:
SAM和WinXP管理员密码到底有什么关系?
最近有读者打来电话,称自己忘记了Windows XP的管理员密码,听别人说删除SAM文件后可以用空密码进入系统,但实际操作后却发现这个方法在自己的电脑上无效,他感到很疑惑。
实际上这个问题已经不算新问题了,不过董师傅也注意到依旧有不少读者在来信中提到这个问题,加上网上还流传有不少关于这个问题的错误说法,因此本期董师傅就想谈谈SAM文件的问题。
SAM文件的真正作用
在Windows NT/2000/XP操作系统中,用户账户的管理使用了安全账号管理器(Security Account Manager)机制,该机制对账户的管理是通过安全标志(SID)进行的。安全标志在账号创建时就同时创建,而且是惟一的,即使是相同的用户名,在每次创建时获得的安全标志都是不同的。
安全账号管理器的具体表现就是%SystemRoot%\system32\config中的SAM文件,它是Windows NT/2000/XP的用户账户数据库,所有用户的登录名及口令、SID等相关信息都会保存在这个文件中。
删除SAM文件会怎样
在登录系统时,如果输入的账户和密码与SAM文件中的加密数据吻合,就会顺利登录。反之,则无法登录。在Windows 2000时代,删除SAM文件后,可用用户名“Administrator”、密码为空来登录系统,但在Windows XP中,这个方法已经失效了。那么,在Windows XP中删除SAM文件会有什么样的后果呢?
1.系统被锁定
删除SAM文件后,重新启动系统会发现开始一切正常,可到了加载用户的时候却出现了如下图所示的对话框,点击确定后系统重新启动。启动到安全模式时,同样也出现该对话框,根本就不能进入操作系统。
2.SID丢失
前面已经提到,SAM文件保存了所有用户的SID。删除了这个文件,用户的SID就丢失了。由于SID是惟一的,因此会造成依赖SID的资源不能使用。最为典型的就是使用EFS加密的文件,如果没有备份证书,这些文件就再也不能使用了。
删除了SAM文件如何补救
如果真的删除了SAM文件而遇到了系统锁定的问题,可以尝试将C:\Windows\repair下的SAM复制到C:\Windows\System32\config下重新进入系统(需要在DOS下进行操作,如果你安装的是双系统,可以在另一个系统中执行上述操作,具体方法这里就不赘述了)。
值得注意的是:由于repair文件夹下的SAM文件里保存的是系统最初安装时登录配置文件的初始状态,根本不包括你后来创建的用户名和密码,当然也不会含有新建账户的SID值。尽管使用该SAM文件可以进入系统,但当初你所进行的设置也会荡然无存,曾经使用EFS进行加密的文件也无法打开!
因此,使用repair中的SAM文件进行“修复”,仅仅是可以进入系统而已。
有效恢复密码的方法
如果你想找回原来的用户设置等信息,用上面的方法就不行了,但并非没有其他有效的方法,《电脑报》上也曾经刊登过许多重新夺回Windows XP系统管理员密码的方法,如借助第三方软件ERD Commander 2003来重设密码,在第22期的《电脑报》中,“技巧与实践”主持人比比也介绍了一款可以重设Windows XP系统管理员密码的软件,大家可以看一看。
捉虫热线室
Foxit PDF Reader中显示有问题
河北的闫艳力朋友喜欢用Foxit PDF Reader这款小巧免费的PDF阅读器来阅读PDF文档,有了它就不必安装体积庞大的Adobe Reader或Adobe Acrobat来阅读PDF文档了。不过在使用过程中,他发现一旦PDF文件出现中英文混排的版面时,其中的英文单词就会“出格”(见图),严重影响阅读,他希望Foxit PDF Reader能够改进这一点,以方便大家阅读PDF文档。
五笔输入法的改进意见
江苏的曹春华来信提到五笔输入以重码少速度快见长,用户群非常广泛。他认为五笔输入法有一点需要改进:
当用户无意输入一个错误的编码时,是不能显示任何汉字的,这时要用退格键(Back Space)删除后面输错的编码,再重新输入正确的编码,比如输入汉字“一心一意”,应敲入编码“GNGU”,一旦敲入“GNGY”将不会有任何汉字输入,并发出错误提示声音,这时要删除最后一个“Y”再输入“U”才行。如果软件改进一下,当输入最后一个编码“Y”时不能输入,并出现错误提示声音,这样用户就免去了删除错误编码的一步,无疑会节约用户的时间。
会客厅
本期技术支持专家:龚可
取消系统受攻击后的提示信息
Q:我安装了瑞星2005,最近瑞星频繁提示电脑受到Blaster RPC Exploit漏洞攻击,非常烦人,我已经为系统打上了最新的补丁,请问如何消除这个烦恼?
A:漏洞攻击监控系统是建立在操作系统之上的,数据包在到达操作系统前先要经过漏洞攻击监控的检验。因此,不管操作系统是否安装了补丁,只要漏洞攻击监控检测到有攻击数据就会进行报警并拦截,使攻击失效。
你可以在弹出的窗口中勾选“下一次询问不再出现这个对话框,使用相同的处理方式。”下次再检测到攻击数据则只进行拦截,不再提示了。如果现在没有拦截,你可以将“详细设置→计算机监控→漏洞攻击监控→发现攻击时不提示用户”选中,这样就可以让它“安静”地工作了。
安装MSN7.0时出错
Q:我安装MSN Messenger 7.0时,提示:命令行选项语法错误,键入“命令/?”可获得帮助信息。对此我该怎么办?
A:这个问题算是问对人了,董师傅我在这里教大家一个通用的方法。发生这类情况,一般是由于安装程序的参数选择与你的操作系统不匹配所致,我们可以使用“Quiet mode(安静模式)”来运行安装程序。假设你下载的安装程序是“d:\tool\Install_MSN_Messenger.exe”,在“运行”中输入“CMD”打开命令提示符,输入以下命令:
d:
cd tool
Install_MSN_Messenger.exe /Q
就可以正常安装程序了。
为何文件夹中内容显示为空白
Q:我用的是Windows 2000操作系统,现在不管打开什么文件夹都显示为空白,但在地址栏中输入目标文件夹的路径,却能打开并显示所有内容。用最新的杀毒软件扫描系统,未发现病毒。
A:这个问题师傅我也恰好遇到过,这一般是由于电脑感染病毒后,IE浏览器严重损坏造成的,建议你到3721网站http://assistant.3721.com/iefix01.htm去尝试修复,使用强力修复选项。如果不能解决问题,由于IE浏览器本身是系统核心,建议你重新安装系统。
IE中奇怪的显示问题
Q:我的系统是Windows XP SP2,用IE浏览网页时发现网页显示不正常,通过(帮助和支持)查看IE文件版本发现:iecont.dll和ieconetlc.dll两个文件丢失,ieuinit.inf文件不可用,msencode.dll版本号2000.7.250文件在<公司>一栏中显示为不可用。
A:你真是一个细心的用户。在IE5以前,你说的iecont.dll和ieconetlc.dll两个文件是存在的,不过IE升级后这两个文件已经失去作用,本身不用了,只是微软的系统信息还在检查,因此可以说是微软的一个Bug吧。至于INF文件本来不存在版本信息,msencode.dll公司信息也是由于编制者没有填写造成的,不会对系统造成影响。所以出现网页显示不正常等问题的根源不在此,在不重装的前提下可以在“运行”中输入“SFC”来尝试修复系统。
conime.exe是木马进程吗
Q:我的系统为Windows XP SP1,系统以前较为正常,前天打开任务管理器,发现多了一个conime.exe进程,终止后也没什么反应。请问conime.exe是木马的进程吗?
A:这可不一定,中文系统下,conime.exe进程一般是Console IME系统进程,指IME(输入法)控制台,是正常的系统进程。但是有木马程序会利用此进程,BFGhost 1.0 Remote 就是利用此进程的一个常见的后门病毒。由于该病毒通常感染英文版Windows系统,所以即使中毒,目前国内杀毒软件一般也杀不掉。你可以下载NOadware(http://free-adware-scan.com)来扫描系统,确认它是否是木马的进程。
找回专用文件夹的权限
Q:我的系统是Windows XP SP2中文版。电脑的各分区都是NTSF格式,其中“我的文档”放在D盘下,系统装在C盘。由于该电脑有两个用户使用,所以我在“我的文档”的共享属性里将这个文件夹设为专用。重装系统后打开D盘下的“我的文档”时出现了错误。这下可急坏了我,我的重要数据都放在这里面。
A:不急不急,师傅我来给你解决。用管理员用户登录Windows XP系统,打开资源管理器,点“工具→文件夹选项→查看”,将“使用简单文件共享”选项取消。现在选中D盘下的“我的文档”,点右键“属性”打开属性栏,选“安全”,选中管理员用户,在下面窗口中将所有权限选中。这样你就可以打开文件夹了。