系統服務、自啟動程序、進程是系統三大要素。在對系統進行優化或者安全檢查的時候，我們經常要對系統三大件進行監測。雖然已經有很多專業軟件可以對三大件進行管理，但是對于Windows xp用戶來說，只要利用系統本身的組件和命令就可以管好它們了。

　　用NET START命令監測服務，一動便知

　　很多朋友通過手動關閉不需要的服務來優化系統。不過，由于對被關閉的服務不熟悉，手動優化系統后卻出現一些莫名其妙的故障。比如，一個朋友電腦執行系統優化后，發現系統內原來正常使用的諾基亞手機瀏覽服務無法使用。怎么才知道自己該關閉哪些服務呢?現在借助NET START命令可以快速發現變化的服務，該命令可以查找出當前系統已開啟的服務，并支持重定向輸出信息到文件。

　　1.在執行系統優化前(或者系統正常情況下)，啟動命令提示符輸入“net start >d:/services.txt”。這樣可以把當前系統開啟的服務輸出到d:/services.txt中，我們可以把這個作為系統服務正常狀態的參照。

　　2.如果對系統服務進行調整后發生故障，同上，再次執行“net start >d:/services1.txt”，將優化后的服務狀態輸出。

　　3.繼續在命令提示符下輸入“fc d:/services.txt d:/services1.txt”，使用FC命令比較兩個文件不同。我們很快就知道優化前后，一個名為“ServiceLayer”的服務發生變化(如圖1)。

　　4.現在單擊“開始→運行”，輸入“services.msc”打開系統服務管理窗口。按提示把ServiceLayer服務設置為“自動”并啟動該服務順利解決故障。

　　小提示：除了NET START命令，我們還可以借助sc query(列出當前服務詳細信息)、sc query state= all(列出所有服務，包括硬件驅動服務)，用類似于上面介紹的方法對服務進行更詳盡的監測。

　　
　　圖1

　　用WMIC命令，自啟動程序一加就知

　　自啟動程序是隨著系統啟動自動加載的，很多病毒、木馬正是通過這種方式在系統中運行的。借助系統自帶的WMIC命令可以非常方便地列出所有自啟動程序。

　　1.啟動命令提示符輸入wmic進行安裝。以后就可以在命令提示符使用WMIC腳本了。在確保系統無毒或者正常使用的情況下，啟動命令提示符輸入“wmic startup list brief >d:/start.txt”，將系統所有自啟動項輸出到d:/start.txt。

　　2.同上，現在如果懷疑系統增加了未知的自啟動項，再次輸入“wmic startup list brief >d:/start1.txt”，然后使用FC命令進行比較，很快就可以發現新增的啟動項。

　　用WMIC命令，進程信息一目了然

　　WMIC命令還可以查看當前啟動進程的詳細信息。比如，筆者通過FC比較發現一個新增的rundll32.exe啟動項目，但是經檢查rundll32.exe卻是個正常的系統文件。其實木馬是通過rundll32.exe調用dll文件運行。

　　在命令提示符輸入WMIC，在WMIC提示符wmic:root/cli>輸入“PRocess”，當前所有進程詳細信息就一目了然了，可以看到rundll32.exe調用的是c:/windows/hgz.dll木馬文件(如圖2)。

　　小提示：在懷疑自己中招的時候，我們經常要使用任務管理器查看當前進程。但是任務管理器無法查看進程路徑和參數。借助WMIC的process命令可以獲取當前進程詳細信息。因此我們可以在系統正常時使用process命令查看并記錄開機進程。一旦發現異常，使用FC即可快速找出新增的進程，同時可以根據process提供的路徑將異常程序刪除。

　　
　　圖2