Crack termsrv.dll, remove the Concurrent Remote Desktop sessions limit, allow multi-user login in XP/Vista at the same time.

This is only a file patch for termsrv.dll.
More setting for RDP, please google it.

The meaning of the last number of checksum:
1 - Original file, without any modification.
9 - The file has been modified.

Notes:
1, Can oprate in normal mode. Do not need to enter safe mode.

2, Choose the corresponding patcher based on you Windows:
For 32bit(x86): UniversalTermsrvPatch-x86.exe
For 64bit(amd64): UniversalTermsrvPatch-x64.exe

3, Require administrator rights. Right-click the exe file, select Run as Administrator.

4, After patch, Restart computer to take effect.

5, Backup file: \windows\system32\termsrv.dll.backup.

映像劫持的定义

所谓的映像劫持（IFEO）就是Image File Execution Options，位于注册表的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。

通俗一点来说，就是比如我想运行QQ.exe，结果运行的却是FlashGet.exe，也就是说在这种情况下，QQ程序被FLASHGET给劫持了，即你想运行的程序被另外一个程序代替了。

映像劫持病毒

虽然映像劫持是系统自带的功能，对我们一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个程序，实际上病毒已经在后台运行了。

大部分的病毒和木马都是通过加载系统启动项来运行的，也有一些是注册成为系统服务来启动，他们主要通过修改注册表来实现这个目的，主要有以下几个方面：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

更多启动项请参考：系统启动时所有可能加载启动程序的方式&&&系统加载方式一文。 但是与一般的木马，病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行，而是等到你运行某个特定的程序的时候运行，这也抓住了一些用户的心理，一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。

映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项来劫持正常的程序，比如有一个病毒 vires.exe 要劫持 qq 程序，它会在上面注册表的位置新建一个qq.exe项，再这个项下面新建一个字符串的键值　debugger 内容是：C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。

映像胁持的基本原理

windowsNT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。把这些键删除后，程序就可以运行！

映像劫持的应用

★ 禁止某些程序的运行；

先看一段代码：

====================================================================================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]

"Debugger"="123.exe"

====================================================================================

把它保存为 norun_qq.reg，双击导入注册表，打开你的QQ看一下效果咯！ 这段代码的作用是禁止QQ运行，每次双击运行QQ的时候，系统都会弹出一个框提示说找不到QQ，原因就是QQ被重定向了。如果要让QQ继续运行的话，把123.exe改为其安装目录就可以了。

★ 偷梁换柱恶作剧；

每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符窗口，下面就教你怎么玩：

====================================================================================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

"Debugger"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\msconfig.exe"

====================================================================================

将上面的代码另存为 task_cmd.reg，双击导入注册表。按下那三个键看是什么效果，不用我说了吧，是不是很惊讶啊！精彩的还在后头呢？

★ 让病毒迷失自我；

同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的！下面就自己试着玩吧！

====================================================================================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]

"Debugger"="123.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]

"Debugger"="123.exe"

====================================================================================

上面的代码是以金猪报喜病毒和威金病毒为例，这样即使这些病毒在系统启动项里面，即使随系统运行了，但是由于映象劫持的重定向作用，还是会被系统提示无法找到病毒文件（这里是logo_1.exe和sppoolsv.exe）。是不是很过瘾啊，想不到病毒也有今天，嘎嘎～～

当然你也可以把病毒程序重定向到你要启动的程序中去，如果你想让QQ开机自启动，你可以把上面的123.exe改为你QQ的安装路径即可，但是前提是这些病毒必须是随系统的启动而启动的。

映像劫持的应用也讲了不少了，下面就给大家介绍一下如何防止映象劫持吧！

关于映像劫持的预防，主要通过以下几个方法来实现：

★ 权限限制法；

如果用户无权访问该注册表项了，它也就无法修改这些东西了。打开注册表编辑器，进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ，选中该项，右键——>权限——>高级，将 administrator 和 system 用户的权限调低即可（这里只要把写入操作给取消就行了）。

★ 快刀斩乱麻法

打开注册表编辑器，进入把 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项，直接删掉 Image File Execution Options 项即可解决问题。

★ 软件修复法　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　软件：SREngLog 1.2 特别版

下载完毕之后解压，打开SREngLog 1.2——>修复指令文件——>映像胁持修复！

rem mycacls.bat
@echo off
echo 列出指定目錄下所有文件(含子目錄)的權限
echo 使用格式:%0  目錄
echo 使用範例:%0 d:\bt
echo 結果保存在當前目錄下cacls.out文件中
if "%1"=="" goto MYEND
echo %0 %1 %date% >>cacls.out
for /R %1  %%I  IN (.) do  ( cacls %%I\* >>cacls.out)
:MYEND
echo on

封鎖禁用 USB 隨身碟

如果把每個人電腦上的USB功能關掉或拔走USB連接埠，肯定招來許多抱怨，
因為很多鍵盤、滑鼠等裝置都要用到USB接頭；別煩惱，在WinXP下其實只要
改個登錄檔，就可以單獨封鎖USB隨身碟，而保持其它USB裝置正常運作！

STEP：
1.開始→功能表中，按下「執行」
2.在「執行」對話盒中輸入「regedit」，再按下「確定」
3.在左邊窗格找機碼︰
  「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR」
   然後在右窗格的「Start」項目上按右鍵，選擇「修改」
    PS：此台電腦必須已安插過一次USB隨身碟，才會出現如上的機碼
4.在「編輯DWORD值」對話盒中，將「數值資料」改為「4」，「底數」要設為
  「十六進位」，再按下「確定」。此後插入USB隨身碟時，電腦將不會有任何
   找到新硬體的反應了
5.若要讓USB隨身碟能夠再度使用，只要在步驟4將「數值資料」改回「3」即可
如果公司怕員工用USB隨身碟帶走資料，就可以用此方法稍做防止


不讓資料寫入USB隨身碟

現在有許多高科技產業禁止員工上班時攜帶隨身碟，為的就是怕公司的資料外洩，而SP2提供了一項功能，讓USB隨身碟只能「讀取」而不能「寫入」，這麼一來老闆就比較不用擔心公司的資料被員工帶走了。

STEP：
開啟登錄編輯程式，在「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\」下新增一組名為「StorageDevicePolicies」的機碼。
選取剛剛新增的機碼，在右邊的工作窗格按一下滑鼠右鍵，從選單中點選【新增】→【DWORD值】，將這組DWORD值的名稱設為「WriteProtect」。
然後在「WriteProtcet」上按一下滑鼠右鍵，從選單中點選【修改】，接著在「數值資料」下方的空白框中，填入數字「1」後按一下〔確定〕。

※Note：數值資料設定為「0」即可回復USB隨身碟的寫入功能。
最後關閉登錄檔編輯程式的視窗，並重新開機讓剛剛所做的設定生效。
重新開機後，原本可以正常讀寫的USB隨身碟，現在已經無法進行「寫入」的動作，也就是不能複製檔案進去，但是同樣可開啟隨身碟裡原有的檔案（但無法存檔）。

　　為系統添加遠端桌面

　　默認狀態下，Windows 2000及其之前的系統並沒有裝設遠端桌面，要想在這些系統中使用遠端桌面，需要自己手工添加。

　　在Windows XP系統裝設光盤的“SUPPORT\TOOLS”目錄中，可找到一個名為“Msrdpcli.exe”的程式，它實際上就是遠端桌面連接登錄器。將此程式複制到沒有遠端桌面的系統中並運行後，即可自動在系統中裝設遠端桌面連接程式。裝設過程非常簡單，連續點擊“下一步”即可，當裝設完成後，點擊“開始→程式→附件→通訊→遠端桌面連接”，便能登錄網路連接遠端電腦了。

　　讓遠端桌面支援多用戶

　　Windows XP不支援多個用戶同時登錄遠端桌面，當其他用戶遠端登錄Windows XP時，主機上目前已登錄的用戶即會自動退出。不過在Windows XP SP2中提供了允許連接會話並發功能，可透過遠端桌面進行多用戶的同時登錄，但其在默認狀態下關閉了該項特性，需要透過修改註冊表開啟該功能。

　　打開註冊表編輯器，依次展開“HKEY_LOCAL_MACHINE\System
\CurrentControlSet\Control\Terminal Server\Licensing Core”分支，轉到右側窗口，在其中新建一個類型為DWORD的子鍵，將該鍵命名為“EnableConcurrentSessions”，並將鍵值設定為“1”，即可開啟多用戶登錄功能。

　　在遠端桌面中傳輸文件

　　在進行遠端桌面操作時，有時需要在遠端伺服器與本地電腦傳輸文件，這是很麻煩的事。其實在遠端桌面程式中內置了映射磁碟的功能，透過該功能便可以實現遠端登錄伺服器時，自動將本地電腦的磁碟映射到遠端伺服器上，讓傳送文件變得更加簡單快捷。

　　在“遠端桌面連接程式”中展開“選項”，選擇“本地資源”標簽，鉤選中“磁碟驅動器”。連接到遠端登錄到伺服器上後，打開伺服器的“我的電腦”，就會發現本地電腦的磁碟以及軟驅、光驅都映射到了伺服器上，這樣傳送文件便可像操作本地硬碟一樣方便了。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AltDefaultUserName"="Administrator"
"AltDefaultDomainName"="MAIN"
"DefaultPassword"="88888"
"AutoAdminLogon"="1"