Web Log|…不要怀疑你的网速—本站存放在U·S·A地区

五十三种木马启动方式

注意： 该地址仅在2009-7-25日23:59:59之前有效
注册表
1.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\
All values in this key are executed.
2.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce\
All values in this key are executed, and then their autostart reference is deleted.
3.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices\
All values in this key are executed as services.
4.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce\
All values in this key are executed as services, and then their autostart reference is deleted.
5.

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\
All values in this key are executed.
6.

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\
All values in this key are executed, and then their autostart reference is deleted.
7.

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\Setup\
Used only by Setup. Displays a progress dialog box as the keys are run one at a time.
8.

HKEY_USERS\.Default\Software\Microsoft\Windows\Cur rentVersion\Run\
Similar to the Run key from HKEY_CURRENT_USER.
9.

HKEY_USERS\.Default\Software\Microsoft\Windows\Cur rentVersion\RunOnce\
Similar to the RunOnce key from HKEY_CURRENT_USER.
10.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
The “Shell” value is monitored. This value is executed after you log in.
11.

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
All subkeys are monitored, with special attention paid to the “StubPath” value in each subkey.
12.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
All subkeys are monitored, with special attention paid to the “StaticVXD” value in each subkey.
13.

HKEY_CURRENT_USER\Control Panel\Desktop
The “SCRNSAVE.EXE” value is monitored. This value is launched when your screen saver activates.
14.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager
The “BootExecute” value is monitored. Files listed here are Native Applications that are executed before Windows starts.
15.

HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
Executed whenever a .VBS file (Visual Basic Script) is run.
16.

HKEY_CLASSES_ROOT\vbefile\shell\open\command\
Executed whenever a .VBE file (Encoded Visual Basic Script) is run.
17.

HKEY_CLASSES_ROOT\jsfile\shell\open\command\
Executed whenever a .JS file (Javascript) is run.
18.

HKEY_CLASSES_ROOT\jsefile\shell\open\command\
Executed whenever a .JSE file (Encoded Javascript) is run.
19.

HKEY_CLASSES_ROOT\wshfile\shell\open\command\
Executed whenever a .WSH file (Windows Scripting Host) is run.
20.

HKEY_CLASSES_ROOT\wsffile\shell\open\command\
Executed whenever a .WSF file (Windows Scripting File) is run.
21.

HKEY_CLASSES_ROOT\exefile\shell\open\command\
Executed whenever a .EXE file (Executable) is run.
22.

HKEY_CLASSES_ROOT\comfile\shell\open\command\
Executed whenever a .COM file (Command) is run.
23.

HKEY_CLASSES_ROOT\batfile\shell\open\command\
Executed whenever a .BAT file (Batch Command) is run.
24.

HKEY_CLASSES_ROOT\scrfile\shell\open\command\
Executed whenever a .SCR file (Screen Saver) is run.
25.

HKEY_CLASSES_ROOT\piffile\shell\open\command\
Executed whenever a .PIF file (Portable Interchange Format) is run.
26.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\
Services marked to startup automatically are executed before user login.
27.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
Layered Service Providers, executed before user login.
28.

HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
Executed when a 16-bit Windows executable is executed.
29.

HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
Executed when a 16-bit DOS application is executed.
30.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Executed when a user logs in.
31.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
Executed by explorer.exe as soon as it has loaded.
32.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
Executed when the user logs in.
33.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
Executed when the user logs in.
34.

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\
Subvalues are executed when Explorer initialises.
35.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
Subvalues are executed when Explorer initialises.

文件夹
1. windir\Start Menu\Programs\Startup\
2. User\Startup\
3. All Users\Startup\
4. windir\system\iosubsys\
5. windir\system\vmm32\
6. windir\Tasks\

文件
1. c:\explorer.exe
2. c:\autoexec.bat
3. c:\config.sys
4. windir\wininit.ini
5. windir\winstart.bat
6. windir\win.ini – [windows] “load”
7. windir\win.ini – [windows] “run”
8. windir\system.ini – [boot] “shell”
9. windir\system.ini – [boot] “scrnsave.exe”
10. windir\dosstart.bat
11. windir\system\autoexec.nt
12. windir\system\config.nt

Sysinternals 工具集 功能全解(中文)
Windows Sysinternals 工具套件
引用:
简介（引自CnBeta）
Sysinternals Suite是微软发布的一套非常强大的免费工具程序集.我想介绍就不用多说了吧

.用好Windows Sysinternals Suite里的工具,你将更有能力处理Windows的各种问题,而且不

花一毛钱.Sysinternals 之前为Winternals公司提供的免费工具,Winternals原本是一间主力

产品为系统复原与资料保护的公司,为了解决工程师平常在工作上遇到的各种问题,便开发出

许多小工具.之后他们将这些工具集合起来称为Sysinternals,并放在网路供人免费下载,其中

也包含部分工具的原始码,一直以来都颇受IT专家社群的好评.以下为个工具简介译自

SystemInternals，
为控制台工具，无界面。
以下工具名称均已设好下载链接，方便按需下载。
本套装集合了如下 SysInternals 工具:

AccessChk
: 显示指定用户或组对 注册表 文件 或服务的访问

AccessEnum
: 简单强大的安全工具，显示哪些用户访问了哪些目录、文件及注册键。帮助找出

权限策略中的漏洞。


AdExplorer
: 活动目录浏览器.

AdInsight
: LDAP 实时监控工具

AdRestore
: Server 2003 活动目录对象反删除.

Autologon
: 登录时跳过密码认证.

Autoruns
: 显示开机自启动项的配置. 显示包括注册键和文件位置在内的全面列表。

附命令行版“:
引用:
用法: autorunsc [-a] | [-c] [-b] [-d] [-e] [-g] [-h] [-i] [-l] [-m] [-n] [-p] [-

r] [-s] [-v] [-w] [-x] [user]
-a Show all entries.
-b Boot execute.
-c Print output as CSV.
-d Appinit DLLs.
-e Explorer addons.
-g Sidebar gadgets (Vista and higher).
-h Image hijacks.
-i Internet Explorer addons.
-l Logon startups (this is the default).
-m Hide signed Microsoft entries.
-n Winsock protocol and network providers.
-p Printer monitor drivers.
-r LSA providers.
-s Autostart services and non-disabled drivers.
-t Scheduled tasks.
-v Verify digital signatures.
-w Winlogon entries.
-x Print output as XML.
user Specifies the name of the user account for which autorun items will be

shown.

BgInfo
: 可配置的桌面背景自动生成程序，可以生成含有重要系统信息的桌面背景，其中

包括 IP 地址, 计算机名, 网络适配器, 等信息.



BlueScreen
: 不但能精确模拟蓝屏还能重启 (完全借助 CHKDSK), 适用于 Windows NT 4,
Windows 2000, Windows XP, Server 2003 and Windows 9x.

CacheSet
: 可以调整 Cache Manager 工作集大小 适用于NT。(NtQuerySystemInformation)


ClockRes
: 显示系统时钟的精度，同时也是计时器的最大精度

Contig
: 可以对单个文件进行碎片整理, 或创建连续的文件.

引用:
用法1(碎片整理): contig [-v] [-a] [-q] [-s] [文件名]
-v 显示操作信息.
-a 分析文件碎片程度
-q -q 屏蔽-v 参数，运行静默模式，仅显示总结信息。
-s 按递归方式处理子文件夹中通配符指定所有文件。
用法2(生成连续的新文件): contig [-v] [-n 文件长度]

Ctrl2cap
: 使用内核模式驱动将大小写转换键转化为控制键，该驱动演示比键盘输入的类驱

动更高一层的键盘输入过滤。这一级别的过滤能在NT系统”看到”击键前隐藏按键。Ctrl2cap

还演示了如何使用NtDisplayString() 在Win初始化时的蓝色屏幕上显示消息。
引用:
安装运行:ctrl2cap /install
卸载运行:ctrl2cap /uninstall

DebugView
: Sysinternals 的又一首创: 该程序可以拦截设备驱动对 DbgPrint 的调用和

Win32程序对 OutputDebugString 的调用. 程序可以浏览或记录本机或远程计算机上调试会

话的输出，而无须激活调试器.


DiskExt
: 显示卷分区与磁盘的映射关系。(IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS)

DiskView
: 图形化磁盘扇区工具


Diskmon
: 捕获硬盘的所有活动，或以硬盘活动指示灯的形式出现在托盘中。


Du
: 按目录浏览磁盘使用情况

引用:
用法: du [[-v] [-l ] | [-n]] [-q] (文件或目录)
-l 指定子文件夹探索深度 (默认为全部).
-n 不使用递归方式.
-q 不显示版权信息.
-u 剔除重复的对象.
-v 显示中间目录.

EFSDump
: 显示有关已加密文件的信息

引用:
使用 EFSDump
-s 递归子目录.
EFSDump 支持通配符例如： ‘efsdump *.txt’.

Filemon
: 即时监视文件系统的活动


Handle
: 小巧的命令行工具，显示呢哪些文件被哪些进程打开，及相关更多信息。“
引用:
用法: handle [[-a] [-u] | [-c [-l] [-y]] | [-s]] [-p
|
> [name]
-a 转储所有类型的句柄信息, 不仅限于文件还包括注册键,端口,线程,进程,及同步原语等.
-c 关闭指定句柄 (按16进制解释). 进程需通过PID指定.
警告: 关闭句柄可能导致程序或系统不稳定.
-l 转储内存中各 Pagefile-Backed 区段的大小.
-y 关闭句柄时不提示确认.
-s 显示打开的各类型句柄总数.
-u 搜索句柄时显示所有者名称.
-p 仅扫描以指定进程名开头的进程内的句柄。因此:
handle -p exp
将转储所有名称以 “exp” 开头的进程所打开的文件, 其中就包括Explorer.
name
在对对象的引用中搜索指定字串.
例如，要查找已打开的引用 “c:\windows\system32″ 中对象的句柄，你可以输入:
handle windows\system
name 参数区分大小写，指定的字串片段可以出现在对象路径中的任何位置。

Hex2dec
: 16进制-10进制互换.
引用:
用法: hex2dec [hex|decimal]
通过x 或 0x 前缀指定16进制数值
例如 1233(10进制)到16进制： hex2dec 1233

Junction
: 创建 NTFS卷上的符号链接（类似Linux的符号链接）

引用:
用法1(查看): [-s]
-s 递归子目录
用法2(创建/删除): [-d] []
删除指定链接时请使用 -d 开关。

LDMDump
: 可以转储 Logical Disk Manager 在磁盘中的数据库.(LDMDump)

ListDLLs
: 列出当前载入的所有 DLLs 及他们的位置和版本。2.0 版可以显示已载入模组的

完整路径名.

LiveKd
: 在live(CD) 系统中使用 Microsoft 内核调试器或MS 内核调试工具Windbg .
引用:
用法: livekd [-w] [-d] [-k ] [debugger options]
-w Runs windbg instead of Kd (Kd is the default).
-d Runs Dumpchk exam instead of Kd (Kd is the default).
-k Specifices complete path and filename of debugger image to execute.

LoadOrder
: 查看 WinNT/2K 中设备的载入顺序

MoveFile
: 为下次启动前安排文件的移动和删除操作（PendingFileOperation i.e. HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations）

引用:
用法: movefile [来源] [目标]
将目标置空 (“”) 表示删除来源.
示例，删除 test.exe：
movefile test.exe “”

LogonSessions
: 列出系统中活动的登陆会话.“
引用:
用法: logonsessions [-p]

NewSID
: 了解有关计算机SID的问题，这是一个 SID 更改程序，为你换一个新的SID.
*详情必读，见此:

http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx

*

NTFSInfo
: 使用 NTFSInfo 查看有关 NTFS 卷的详细信息, 包括 主文件表 (MFT) 的大小位

置和 MFT-zone, 以及 NTFS 元数据文件的大小.

PageDefrag
: (启动时)为页面文件和注册表HIVE文件进行碎片整理.

PendMoves
: 列出延迟到下次启动前执行的文件移动、删除操作

Portmon
: 监视串/并口的数据活动支持所有标准的串并口 IOCTLs 甚至可以显示一部分交

换的数据. Version 3.x 增强了对界面和过滤器的改进.


Process

Explorer
: 找出进程打开的文件，注册键，以及其他对象,载入的 DLLs和进程所有者等信息

。


Process Monitor
: 实时监视文件系统，注册表，进程，线程以及DLL的活动.


ProcFeatures
: 报告进程或窗口对PAE与NX缓冲区溢出保护的支持情况.
引用:
用法: procfeatures

PsTools
: PsTools 命令行工具包提供列出本地/远程计算机进程、远程运行进程、重启、

转储事件日志、及更多功能.

PsExec
: 以受限用户执行进程.

PsFile
: 查看本地被远程打开的文件.

PsGetSid
: 显示计算机或用户的 SID .

PsInfo
: 获取系统信息.

引用:
用法: psinfo [[\\计算机[,计算机[,..] | @文件 [-u 用户 [-p 密码]]] [-h] [-s] [-d]

[-c [-t 分隔符]] [过滤器]
\\计算机 在指定计算机或远程计算机上执行命令。默认为本机；支持通配符，(\\*)命令将

作用于当前域下的所有计算机。
@文件 在文件中指定的计算机上运行命令。
-u (可选)指定登陆远程计算机的用户。
-p (可选)指定用户密码，否则将提示输入.
-h 显示已安装的 hotfixes 补丁列表.
-s 显示已安装的程序列表.
-d 显示磁盘卷信息.
-c 按 CSV 格式打印.
-t 指定-c 开关使用的分隔符,默认为逗号(,).
过滤器 Psinfo 将仅显示符合过滤器要求的字段信息. 例如 “psinfo service” 仅显示

Service Pack字段.

PsKill
: 终止本地或远程进程.

引用:
用法: pskill [- ] [-t] [\\computer [-u username] [-p password]]
- 显示可用选项.
-t 同时杀死子进程.

PsList
: 显示进程和线程有关的信息.

引用:
pslist exp 将显示以表达式exp开头的所有进程的统计信息(来自系统性能计数器)，包括

Explorer。
-d 显示线程详情.
-m 显示内存详情.
-x 显示进程内存和线程.
-t 显示进程树.
-s [n] 运行进程管理器模式，并持续n秒. 按ESC取消.
-r n 进程管理器模式刷新率，单位秒 (默认1s).
-e 精确匹配的进程名.
pid 扫描指定pid的进程.因此: pslist 53 将转储PID为53的进程统计信息.
引用:
字段名
# Pri: Priority
# Thd: Number of Threads
# Hnd: Number of Handles
# VM: Virtual Memory
# WS: Working Set
# Priv: Private Virtual Memory
# Priv Pk: Private Virtual Memory Peak
# Faults: Page Faults
# NonP: Non-Paged Pool
# Page: Paged Pool
# Cswtch: Context Switches

PsLoggedOn
: 显示已登陆系统的用户

引用:
用法: psloggedon [- ] [-l] [-x] [\\computername | username]
- 显示可用选项.
-l 仅显示本地登陆,默认包含网络登陆.
-x 不显示登陆次数.

PsLogList
: 转储事件日志记录.

PsPasswd
: 更改账户密码.

PsService
: 查看设置服务.

引用:
Usage: psservice [\\computer [-u username] [-p password]]
query 查询服务状态.
config 显示服务配置.
setconfig 设置启动类型 (disabled, auto, demand).
start 启动服务.
stop 停止服务.
restart 停止并重新启动服务.
pause 暂停服务
cont 恢复暂停的服务.
depend 列出依赖指定服务的各服务.
security 转储服务安全描述信息.
find 在网络中搜索指定服务.

PsShutdown
: 关闭或重启电脑.

引用:
用法: psshutdown [[\\computer[,computer[,..] | @file [-u user [-p psswd]]] -s|-

r|-h|-d|-k|-a|-l|-o [-f] [-c] [-t nn|h:m] [-n s] [-v nn] [-e [u|p]:xx:yy] [-m

"message"]
- 显示可用选项.

PsSuspend
: 冻结或恢复进程.

引用:
用法: pssuspend [- ] [-r] [\\computer [-u username] [-p password]]
- 显示可用项
-r 恢复指定进程.

RegDelNull
: 扫描并删除包含标准注册表编辑器无法删除的内嵌空字符的注册表键.
引用:
用法: regdelnull
[-s]
-s 递归子键.

RegHide
: 使用内置 API 创建名为 “HKEY_LOCAL_MACHINESoftwareSysinternalsCan’t

touch me!0″ 的注册键及在其中创建键值.

Regjump
: 在Regedit中跳转至指定的注册键路径.
引用:
用法: regjump [path]
支持根键的标准名或缩写例如: HKEY_LOCAL_MACHINE 可缩写为 HKLM

Regmon
: 实时监视所有注册表活动.


RootkitRevealer
: 扫描系统中基于RootKit的恶意程序.


SDelete
: 兼容发国防部标准的安全删除程序，安全覆盖您的敏感文件并清理已删除文件留

下的空闲空间.

引用:
用法: sdelete [-p 次数] [-s] [-q]
sdelete [-p 次数] [-z|-c] [盘符]
-c 0空闲空间 (适于虚拟磁盘优化).
-p 次数 指定擦除次数.
-s 递归子目录.
-q 不显示错误信息 (静默).
-z 清理空闲空间.
*如大多NT下的软件一样，由于无法定位，SDelete无法处理NTFS中残留的文件名，留下可能

的安全隐患*

ShareEnum
: 扫描网络上的文件共享并浏览其安全设置，来发现漏洞.


Sigcheck
: 转储文件版本信息并校验系统中的映像是否经过数字签名.

引用:
用法: sigcheck.exe [-a][-h][-i][-e][-n][[-s]|[-v]|[-m]][-q][-r][-u][-c catalog

file]
-a 显示扩展版本信息
-c 在指定的目录文件(catalog file)中查找签名
-e 仅扫描可执行映像 (忽略扩展名).
-h 显示文件HASH
-i 显示映像签名者
-m 转储名单
-n 仅显示万恶间版本号
-q 禁止显示本程序版权信息
-r 检查证书吊销
-s 递归子目录
-u 仅显示未签名文件
-v Csv 输出使用逗号分隔的列表文本
例如检查 \Windows\System32 目录中的未签名文件可是使用以下命令:
sigcheck -u -e c:\windows\system32
此后您应检查未签名文件的用途.

Streams
: 显示 NTFS 交换数据流

引用:
用法: streams [-s] [-d]
-s 递归子目录.
-d 删除数据流.
Streams 支持通配符如 ‘streams *.txt’.

Strings
: 在二进制映像内搜索 ANSI / UNICODE 字串.
引用:
用法: strings.exe [-a] [-b bytes] [-n length] [-o] [-q] [-s] [-u]
Strings 支持文件名的中使用通配符, 其参数如下:
-s 递归子目录.
-o 显示文件中字串所处的偏移量.
-a 仅扫描并搜索 ASCII.
-u 仅扫描并搜索 UNICODE.
-b bytes 扫描的文件长度.
-n X 设置字串的最小长度(字符).
连续在多个文件中搜索同一指定字串请使用以下格式:
strings * | findstr /i 要搜索的字串

Sync
: (释放磁盘写缓存)，发送缓存中的数据至硬盘/移动磁盘。

引用:
用法: sync [-r] [-e] [盘符列表]
-r 释放移动驱动器的缓存.
-e 弹出移动驱动器.
指定具体的驱动器 (例如 “c e”) 后， Sync 将仅释放这些指定的驱动器.

TCPView
: 活动socket 的观察器.

其中另附命令行版本的TCPCon 用法与netstat相似
引用:
Usage: tcpvcon [-a] [-c] [-n] [process name or PID]
-a Show all endpoints (default is to show established TCP connections).
-c Print output as CSV.
-n Don’t resolve addresses..

VolumeId
: 设置 FAT 或 NTFS 驱动器的卷ID

引用:
用法: volumeid xxxx-xxxx
*该命令进能在控制台提示符窗口中使用.
对NTSF分区的所有更改将在重启后可见.

Whois
: 查看网址的所有者.“
引用:
用法: whois 域名或IP [whois.server]

Winobj
: 对象管理器命名空间的查看利器.


ZoomIt
: 辅助演示工具支持屏幕上进行和画图.


直接下载最新版Windows Sysinternals 工具套件

昨夜有一淫荡且乱伦的梦…
实在是罪过啊罪过…
虽无任何一点血缘关系…
但也不应该那样啊…
这个梦预示着什么？？？

常常在桌面想看到员工的IP、DNS等等信息，或者说让员工自己找，他们也找不到，还不如来个这种显示软件来得快~~~

微软的东西：http://www.microsoft.com/technet/sysinternals/utilities/BgInfo.mspx

bginfo

有以下选项：

/TIMER:nn -Timeout period before applying configuration.
/POPUP -Display the information in a popup window.
/TASKBAR -Place an icon in the taskbar status area.
/ALL -Update wallpaper for all logged in users.
/LOG: -Write warnings and errors to a log file.
/SILENT -Don’t report errors.
/RTF: -Write the wallpaper text to an RTF file.
/NOLICPROMPT-Skips EULA(implies EULA consent).
For example:
bginfo C:\temp\config.bgi /timer:0

中文大概意思对照：

/定时器：超时时间，然后再应用配置。
/POPUP 显示的信息可在弹出式窗口。
/TASKBAR 就地一个图标在任务栏状态区。
/所有 更新墙纸为所有登录用户。
/LOG: ： <路径> ，写警告和错误日志文件。
/SILENT 静音模式，不要报告错误。
/ RTF格式： <路径> ，写的壁纸文字的RTF文件。
/ NOLICPROMPT ， -跳过EULA（意味着EULA的同意） 。
例如：
bginfo C:\temp\config.bgi /timer:0

/silent
/nolicprompt
/taskbar
/timer:0

ip.bgi文件哪来？从Bginfo.exe配置完成后可以SAVE AS…出来一个就行了

不是自己的就始终不是自己的

TMD，就知道今天会“没收”我的本本，反正我也不经常用，拿走吧，指不定还可以换一个好的回来~~~~

得了，别作梦了，以后有钱自己买一个高档的~~！破玩意儿~~~~！

ThinkPad~~~逝去的第一个本本~~~竟然要进入工地了~~~

我深知自己在公司是个没有地位的人，没办法，说给就得给，所以我早在几天前就收拾东西准备好拱手送人的~~~

先下载离线更新包：http://www.eset.com.cn/html/download/offline.shtml

接下来就是搭建内网的NOD32升级服务器设置，推荐使用IIS如下就是步骤。

在IIS里新建站点或虚拟目录；比如要通过 http://192.168.1.1 更新，那就新建站点，主机头名就设为 192.168.1.1 ，主目录指向“d:\nod32”(此处的目录为病毒库目录），然后在目录安全性那里设置匿名用户，不然就不是免ID的了。IIS的设置高手们都会，这里就不多说了。

现在可以在NOD32中添加这个服务器地址，升级看看，会报错：找不到文件。

解决办法：
这步设置比较关键，在HTTP头中找到MIME映射，单击“文件类型”，点击新类型，添加两组类型：
关联扩展名：.nup
内容类型（MIME）：application
关联扩展名：.ver
内容类型（MIME）：application

其实在路由里面把端口做个映射就可以当外网的了