Windows Tips(ZT)
zt from http://blog.csdn.net/realunicorn/articles/33776.aspx常见问题,供大家参考
WINDOWS常见问题,供大家参考
|
Windows死机原因列举
死机是令操作者颇为烦恼的事情。死机时的表现多为“蓝屏”,无法启动系统,画面“定格”无反应,鼠标、键盘无法输入,软件运行非正常
中断等。尽管造成死机的原因是多方面的,但是万变不离其宗,其原因永远也脱离不了硬件与软件两方面。
由硬件原因引起的死机
【散热不良】 显示器、电源和CPU在工作中发热量非常大,因此保持良好的通风状况非常重要,如果显示器过热将会导致色彩、图象失真甚至
缩短显示器寿命。工作时间太长也会导致电源或显示器散热不畅而造成电脑死机。CPU的散热是关系到电脑运行的稳定性的重要问题,也是散热
故障发生的“重灾区”。
【移动不当】 在电脑移动过程中受到很大振动常常会使机器内部器件松动,从而导致接触不良,引起电脑死机,所以移动电脑时应当避免剧烈
振动。
【灰尘杀手】 机器内灰尘过多也会引起死机故障。如软驱磁头或光驱激光头沾染过多灰尘后,会导致读写错误,严重的会引起电脑死机。
【设备不匹配】 如主板主频和CPU主频不匹配,老主板超频时将外频定得太高,可能就不能保证运行的稳定性,因而导致频繁死机。
【软硬件不兼容】 三维软件和一些特殊软件,可能在有的微机上就不能正常启动甚至安装,其中可能就有软硬件兼容方面的问题。
【内存条故障】 主要是内存条松动、虚焊或内存芯片本身质量所致。应根据具体情况排除内存条接触故障,如果是内存条质量存在问题,则需
更换内存才能解决问题。
【硬盘故障】 主要是硬盘老化或由于使用不当造成坏道、坏扇区。这样机器在运行时就很容易发生死机。可以用专用工具软件来进行排障处理
,如损坏严重则只能更换硬盘了。另外对于在不支持UDMA 66/100的主板,应注意CMOS中硬盘运行方式的设定。
【CPU超频】 超频提高了CPU的工作频率,同时,也可能使其性能变得不稳定。究其原因,CPU在内存中存取数据的速度本来就快于内存与硬盘
交换数据的速度,超频使这种矛盾更加突出,加剧了在内存或虚拟内存中找不到所需数据的情况,这样就会出现“异常错误”。解决办法当然
也比较简单,就是让CPU回到正常的频率上。
【硬件资源冲突】 是由于声卡或显示卡的设置冲突,引起异常错误。此外,其它设备的中断、DMA或端口出现冲突的话,可能导致少数驱动程
序产生异常,以致死机。解决的办法是以“安全模式”启动,在“控制面板”→“系统”→“设备管理”中进行适当调整。对于在驱动程序中
产生异常错误的情况,可以修改注册表。选择“运行”,键入“REGEDIT”,进入注册表编辑器,通过选单下的“查找”功能,找到并删除与驱
动程序前缀字符串相关的所有“主键”和“键值”,重新启动。
【内存容量不够】 内存容量越大越好,应不小于硬盘容量的0.5~1%,如出现这方面的问题,就应该换上容量尽可能大的内存条。
【劣质零部件】 少数不法商人在给顾客组装兼容机时,使用质量低劣的板卡、内存,有的甚至出售冒牌主板和Remark过的CPU、内存,这样的
机器在运行时很不稳定,发生死机在所难免。因此,用户购机时应该警惕,并可以用一些较新的工具软件测试电脑,长时间连续考机(如72小
时),以及争取尽量长的保修时间等。
由软件原因引起的死机
【病毒感染】 病毒可以使计算机工作效率急剧下降,造成频繁死机。这时,我们需用杀毒软件如KV300、金山毒霸、瑞星等来进行全面查毒、
杀毒,并做到定时升级杀毒软件。
【CMOS设置不当】 该故障现象很普遍,如硬盘参数设置、模式设置、内存参数设置不当从而导致计算机无法启动。如将无ECC功能的内存设置
为具有ECC功能,这样就会因内存错误而造成死机。
【系统文件的误删除】 由于Windows 9x启动需要有Command.com、Io.sys、Msdos.sys等文件,如果这些文件遭破坏或被误删除,即使在CMOS中
各种硬件设置正确无误也无济于事。解决方法:使用同版本操作系统的启动盘启动计算机,然后键入“SYS C:”,重新传送系统文件即可。
【初始化文件遭破坏】 由于Windows 9x启动需要读取System.ini、Win.ini和注册表文件,如果存在Config.sys、Autoexec.bat文件,这两个
文件也会被读取。只要这些文件中存在错误信息都可能出现死机,特别是System.ini、Win.ini、User.dat、System.dat这四个文件尤为重要。
【动态链接库文件(DLL)丢失】 在Windows操作系统中还有一类文件也相当重要,这就是扩展名为DLL的动态链接库文件,这些文件从性质上
来讲是属于共享类文件,也就是说,一个DLL文件可能会有多个软件在运行时需要调用它。如果我们在删除一个应用软件的时候,该软件的反安
装程序会记录它曾经安装过的文件并准备将其逐一删去,这时候就容易出现被删掉的动态链接库文件同时还会被其它软件用到的情形,如果丢
失的链接库文件是比较重要的核心链接文件的话,那么系统就会死机,甚至崩溃。我们可用工具软件如“超级兔仔”对无用的DLL文件进行删除
,这样会避免误删除。
【硬盘剩余空间太少或碎片太多】 如果硬盘的剩余空间太少,由于一些应用程序运行需要大量的内存、这样就需要虚拟内存,而虚拟内存则是
由硬盘提供的,因此硬盘要有足够的剩余空间以满足虚拟内存的需求。同时用户还要养成定期整理硬盘、清除硬盘中垃圾文件的良好习惯。
【BIOS升级失败】 应备份BIOS以防不测,但如果你的系统需要对BIOS进行升级的话,那么在升级之前最好确定你所使用BIOS版本是否与你的PC
相符合。如果BIOS升级不正确或者在升级的过程中出现意外断电,那么你的系统可能无法启动。所以在升级BIOS前千万要搞清楚BIOS的型号。
如果你所使用的BIOS升级工具可以对当前BIOS进行备份,那么请把以前的BIOS在磁盘中拷贝一份。同时看系统是否支持BIOS恢复并且还要懂得
如何恢复。
【软件升级不当】 大多数人可能认为软件升级是不会有问题的,事实上,在升级过程中都会对其中共享的一些组件也进行升级,但是其它程序
可能不支持升级后的组件从而导致各种问题。
【滥用测试版软件】 最好少用软件的测试版,因为测试软件通常带有一些BUG或者在某方面不够稳定,使用后会出现数据丢失的程序错误、死
机或者是系统无法启动。
【非法卸载软件】 不要把软件安装所在的目录直接删掉,如果直接删掉的话,注册表以及Windows目录中会有很多垃圾存在,久而久之,系统
也会变不稳定而引起死机。
【使用盗版软件】 因为这些软件可能隐藏着病毒,一旦执行,会自动修改你的系统,使系统在运行中出现死机。
【应用软件的缺陷】 这种情况是常见的,如在Win 98中运行那些在DOS或Windows 3.1中运行良好的16位应用软件。Win 98是32位的,尽管它
号称兼容,但是有许多地方是无法与16位应用程序协调的。还有一些情况,如在Win 95下正常使用的外设驱动程序,当操作系统升级后,可能
会出现问题,使系统死机或不能正常启动。遇到这种情况应该找到外设的新版驱动。
【启动的程序太多】 这使系统资源消耗殆尽,使个别程序需要的数据在内存或虚拟内存中找不到,也会出现异常错误。
【非法操作】 用非法格式或参数非法打开或释放有关程序,也会导致电脑死机。请注意要牢记正确格式和相关参数,不随意打开和释放不熟悉
的程序。
【非正常关闭计算机】 不要直接使用机箱中的电源按钮,否则会造成系统文件损坏或丢失,引起自动启动或者运行中死机。对于Windows
98/2000/NT等系统来说,这点非常重要,严重的话,会引起系统崩溃。
【内存中冲突】 有时候运行各种软件都正常,但是却忽然间莫名其妙地死机,重新启动后运行这些应用程序又十分正常,这是一种假死机现象
。出现的原因多是Win 98的内存资源冲突。大家知道,应用软件是在内存中运行的,而关闭应用软件后即可释放内存空间。但是有些应用软件
由于设计的原因,即使在关闭后也无法彻底释放内存的,当下一软件需要使用这一块内存地址时,就会出现冲突。
ADSL共享上网方法
RASPPPoE是我使用过的最小巧、最方便的一种宽带虚拟拨号软件。它的拨号方式使用Windows式的Modem拨号方式,界面非常亲切。
ICS(Internet Connection Sharing)是微软公司在Windows 2000/ XP下内置的一种共享上网服务。用户使用的时候,只需打上一个勾,就可以
启动这项服务。RASPPPoE+ICS是我极力推荐的一种共享宽带连接的方法。
1、RASPPPoE的安装
点击“开始→设置→控制面板→网络连接”,选择与ADSL Modem相连接的网卡,右键选择“属性”,会出现该网卡的属性框,选择“安装
→选择协议→选择从磁盘安装”,指向RASPPPoE所在目录,点击“确定”,Windows 2000或Windows XP会提示你,这个协议没有数字签证,是
否继续,点击Installtion Anyway之后安装成功,会多出一项PPP over Ethernet项。然后去掉除PPP over Ethernet外的所有协议、服务和客
户。点击确定。这样我们就完成了对RASPPPoE的安装。
2、建立RASPPPoE的宽带连接
点击“开始→运行”,敲入RASPPPoE。将会出现RASPPPoE的对话框。点击Queray Available Services,待出现服务上后,点击其中一个服
务上,然后点击Create a dial-up connection on desktop(在桌面建立一个拨号连接)。点击Exit之后桌面会出现一个新的连接。双击这个
连接,填上用户名、密码,点击拨号,这样就连上Internet了。
3、启动ICS
点击“开始→设置→控制面板→网络连接”,找到我们刚才建立的RASPPPoE的拨号图标。右键选择“属性”,选择“高级”,选择Allow
other network users through this computers's connection(允许其他网络用户通过这台电脑上网),点击确定,Windows XP会提示你,与
其他电脑连接或与Hub连接的这块网卡的IP地址将会被设置成为192.168.0.1。选择Yes,这样就启动了ICS。
如果我们有多台电脑并且使用了Hub连接,只需要主机(也就是启动了ICS服务的这台电脑)虚拟拨号后,其他电脑不需要做任何的IP地址
设置,就可以共享连接到Intetrnet了。
如果我们没用Hub,并且我们只有一台电脑共享这个宽带连接,需要一条交*线(对联线),也就是一头做成EIA-T568a标准接口,另一头
做成EIA-T568b标准接口,长度必须超过1米。这样的交*线自己做也可以,如果自己不会做的话,在电脑城一般都会有卖这种线的商家。
如果我们局域网中必须设置IP地址的话,那么其他电脑除了设置IP地址外,还必须设置DNS,网关地址必须为192.168.0.1。这样不仅可以
连接至我们的局域网也可以共享主机的宽带连接。
以上操作在Windows XP上实现。Windows 2000下情况类似,只会有一点不同。
IE记住密码
打开IE->工具菜单->INTERNET选项->内容标签->自动完成->清除密码、清除表单->去掉WEB地址、表单、表单的用户名和密码前的勾即可
2000实现自动登录系统
选择“开始”*“运行”,然后输入“regedit”(也可以输入“regedt32”),打开注册表编辑器。定位到“HKEY_LOCAL_MACHINE
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon”。
双击“DefaultDominName”,并在出现的“编辑字符串”窗口中的“数据数值”栏中输入要登录的域名(例如“PCW”),随后单击“确定”按钮
。
双击“DefaultUserName”数值名称,并在出现的“编辑字符串”窗口中的“数据数值”栏中输入要登录到此域的用户名(例如“PangYan”),
随后单击“确定”按钮。
在右边窗口中,单击鼠标右键,依次选择“新建”*“字串值”,将新建的字串值命名为“AutoAdminLogon”的数值名称。再使用鼠标左键双击
刚添加的“AutoAdminLogon”数值名称,并在出现的“编辑字符串”窗口中的“数据数值”栏中将值设为1,随后单击“确定”按钮。
在右边窗口中,单击鼠标右键,依次选择“新建”*“字串值”命令项,将新建的字符值命名为“DefaultPassword”的数值名称。再使用鼠标
左键双击“DefaultPassword”数值名称,并在出现的“编辑字符串”窗口中的“数据数值”栏中输入用户的登录密码,随后单击“确定”按钮
。
---- 退出注册表编辑器窗口,重新启动计算机,此时系统自动以此用户名登录,而再也不需要手工输入用户名和密码了(如果在登录过程中一
直按住Shift键,就会出现提示输入用户名和密码的对话框)。如果需要取消自动登录功能,只要使用鼠标选择方式将当前子键位置定位于此处
,然后将AutoAdminLogon键值由1修改为0即可。
这样做是很麻烦的,其实还有更好得办法,通过控制面板中的“用户和密码”选项,把“要使用本机,用户必须输入用户名和密码”前的
勾去掉,按确定。重新启动就可以啦。
装软件时系统提示system文件夹的某些文件被替换成不可识别的版本,要我插如操作系统盘将这些文件还原
这是系统默认的文件保护功能,可以通过修改注册表关闭它,方法如下
从注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,修改“SFCDisable”键值为“FFFFFF9D”
,如果需要重新启用该功能,重新设置为“0”就可以了。 此用要小心。
封杀F8的方法
用记事本打开C盘根目录下的MSDOS.SYS文件(隐藏的),在末尾空行加上一句:bootkeys=0,这样就可屏蔽F8键,达到了进入不了dos环境.
网页中封杀鼠标右键的方法
方法一:
在图片上禁止右键:
方法二:
保密脚本(使网页在保存时出错)
以下代码加入区域:
<>< src="*.html">< /iframe >< /noscript >
方法三:
右键弹出警告框:
< language="JavaScript">
function click() { if (event.button==2)
{alert('版权所有,请勿拷贝'); } } document.onmousedown=click // -->
< /script>
方法四:
直接屏蔽右键(使右键失效)
方法五:
屏蔽右键的另一方法:
犯法六:
单击右键弹出收藏夹
隐藏桌面图标
隐藏桌面图标 如果想全面隐藏桌面的图标,虽然可以通过删除桌面上的系统级图标和用户自定义图标来解决,但是通过修改注册表有一种更快
、更简便的方法。 点击HKEY_CURRENT_USER\ SOFTWARE\MICROSOFT\WINDOWS\CURRN ETVERSION\POLICIES\EXPLORER,在该项右边窗口的空白处
,单击鼠标右键选择“新建”菜单中“DWORD值”命令,命名为“NoDesktop”,修改值为“1”。
安装软件时提示“安装程序引擎失败,不支持此接口”
现 在的好多的软件的安装程序都不是exe的而是msi,而msi是一种新的安装程序的脚本文件。就算有的安装程序是exe的但在它的安装目录里也有个msi 文件,实际上是exe调用msi文件来安装程序的。msi是脚本文件,实际上真正运行脚本文件的是“msiexec.exe”它就是一切问题的原因。需要 安装instmsiw.exe这个文件,instmsiw.exe是一个压缩包里面包括了所有关于运行msi所需要的文件。运行后问题就可解决了。
win2000如何自动关机
①正常启动并进入 Windows 2000,点击[开始]---[设置]---[控制面板]---[电源选项]。
②在弹出的“电源选项属性”窗口中,点击“高级电源管理”,选中“启动高级电源管理”选项,即将ACPI电源管理方式改为APM电源管理方式。
MTU是数据的最大传输单元。它是以64k为一个包来传送数据的。也就是说MTU值最好是64K的倍数才能使文件传输过程中以一个完整的包传递。
通过MTU值变量的建立,对MTU值的设定,在你用Windos 中的FTP软件和一些浏览器Netscape、IE等访问国际互连网网址时,你会感到在速度上有了很大的提高。
1、运行regedit.exe。
2、为MTU打开这个注册表到:
HKEY LOCAL MACHINE\System\CurrentControlSet\Services\Class\NetTrans3、在这个下面有000n.打开000n,其中有一个是你为TCP/IP协议设定的各种参数。
4、在000n里面,建立一个新的串值变量“MaxMTU”。
5、进入这个变量。这个变量缺省值是1500。你可写入384、576等不同的值进行调试,但最低值不能低于552.
[HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/MSTCP],
在 右边的窗口点击右键选择新建-->字符串值,你要新建两个字符串值,分别命名为:DefaultRcvWindow和DefaultTTL,然后将 DefaultTTL的值设置为32或64。DefaultRcvWindow是缺省的传输单元接收缓冲区的大小,标准的TCP/IP分组是576字节
**使用Windows98**
控制面板下打开"网络"选项,选中"拨号网络适配器",单击
"属性",在弹出的窗口选中"高级"选项卡,选择左侧列表框中的
"IP包大小",通过选择右侧下拉列表框列出的项目就可以调整参数
的大小了。各项的含义如下:"自动",Windows会自动根据连接速
度调整MTU的大小,对于所有小于128K的PPP连接均使用576字节的MTU
,在更高速的情况下使用1500字节的MTU;"大"将MTU设置为1500字
节;"小"将MTU字节设置为576字节;"中等"将MTU设置为1000字
节。
ADSL PPPOE = 1492 MTU
ADSL STATIC IP = 1500 MTU
SDSL = 1500
VDSL = 1500
HDSL = 1500
IDSL = 1500
CABLE = 1500
可以先试试选择“控制面板”*“电源管理”*“高级选项”*“电源管理”,然后选择“启用高级电源管理支持”,确定后再关机试试看。如果仍然不行,可以试试下面提供的修改注册表的方法。
运行注册表编辑器。
定位到“HKEY_LOCAL_ MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\ Winlogon”。
在该子键下,如果存在键值“PowerdownAfterShutdown”,则将其值改为“1”后转到第(5)步。
如果不存在这个值,则按类型“REG_SZ”添加一个新的键值,然后将其值设为“1”。
另外可以在Windows NT 4.0 Service Pack 4中找到一个名为hal.dll.softex的文件,该文件可在多个系统中运行。安装该文件后,可以在无计算机厂家的升级文件hal.dll的情况下实 现自动关电功能。为安装hal.dll.softex,在MS DOS环境下运行如下命令:
cd %systemroot%\system32
rename hal.dll hal.old
copy g:\i386\hal.dll.softex hal.dll
WIN2000与XP的日志文件放在哪了?
1.Windows 98的日志文件
因 目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。
(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。
(2)在“管理”选项卡中单击“管理”按钮;
(3)在“Internet服务管理员”页中单击“WWW管理”;
(4)在“WWW管理”页中单击“日志”选项卡;
(5)选中“启用日志”复选框,并根据需要进行更改。 将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。
普 通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程 序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。
2.Windows NT下的日志系统
Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类:
系统日志 :跟踪各种各样的系统事件,记录由 Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。
应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。
安全日志 :记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
Windows NT的日志系统通常放在下面的位置,根据操作系统的不同略有变化。
C:\systemroot\system32\config\sysevent.evt
C:\systemroot\system32\config\secevent.evt
C:\systemroot\system32\config\appevent.evt
Windows NT使用了一种特殊的格式存放它的日志文件,这种格式的文件可以被事件查看器读取,事件查看器可以在“控制面板”中找到,系统管理员可以使用事件查看器选择要查看的日志条目,查看条件包括类别、用户和消息类型。
3.Windows 2000的日志系统
与Windows NT一样,Windows 2000中也一样使用“事件查看器”来管理日志系统,也同样需要用系统管理员身份进入系统后方可进行操作,如图7-1所示。
在Windows 2000中,日志文件的类型比较多,通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的 服务不同而略有变化。启动Windows 2000时,事件日志服务会自动启动,所有用户都可以查看“应用程序日志”,但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会 关闭“安全日志”,但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启,就会无限制的记录下去,直到装满时停止运行。
Windows 2000日志文件默认位置:
应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\sys tem32\config,默认文件大小512KB,但有经验的系统管理员往往都会改变这个默认大小。
安全日志文件:c:\sys temroot\sys tem32\config\SecEvent.EVT
系统日志文件:c:\sys temroot\sys tem32\config\SysEvent.EVT
应用程序日志文件:c:\sys temroot\sys tem32\config\AppEvent.EVT
Internet信息服务FTP日志默认位置:c:\systemroot\sys tem32\logfiles\msftpsvc1\。
Internet信息服务WWW日志默认位置:c:\systemroot\sys tem32\logfiles\w3svc1\。
Scheduler服务器日志默认位置:c:\systemroot\schedlgu.txt 。该日志记录了访问者的IP,访问的时间及请求访问的内容。
因Windows2000 延续了NT的日志文件,并在其基础上又增加了FTP和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记 录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本不会用这种方法来传文件,取而代之的是使用RCP。FTP 日志文件和WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,
FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以将该日志文件删除。具体方法本节略。
Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst,CLA)的工具,有很强的日志管理功能,它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录,而是通过分类的方式将各种事件整理 好,让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个网络环境中多个系统的各种活动同时进行分析,避免了一个个单独去分析的麻烦。
4.Windows XP日志文件
说Windows XP的日志文件,就要先说说Internet连接防火墙(ICF)的日志,ICF的日志可以分为两类:一类是ICF审核通过的IP数据包,而一类是ICF 抛弃的IP数据包。日志一般存于Windows目录之下,文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format),分为两部分,分别是文件头(Head Information)和文件主体(Body Information)。文件头主要是关于Pfirewall.log这个文件的说明,需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通 过ICF审核或者被ICF所抛弃的IP数据包的信息,包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议 的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式,这与在常用日志分析工具中使用的格式类似。 当我们在WindowsXP的“控制面板”中,打开事件查看器。
就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件,当你单击其中任一文件时,就可以看见日志文件中的一些记录。
在高级设备中,我们还可以进行一些日志的文件存放地址、大小限制及一些相关操作。
若要启用对不成功的连接尝试的记录,请选中“记录丢弃的数据包”复选框,否则禁用。另外,我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。
5.日志分析
当 日志每天都忠实的为用户记录着系统所发生的一切的时候,用户同样也需要经常规范管理日志,但是庞大的日志记录却又令用户茫然失措,此时,我们就会需要使用 工具对日志进行分析、汇总,日志分析可以帮助用户从日志记录中获取有用的信息,以便用户可以针对不同的情况采取必要的措施。
7.2 系统日志的删除
因操作系统的不同,所以日志的删除方法也略有变化,本文从Windows 98和Windows 2000两种有明显区别的操作系统来讲述日志的删除。
7.2.1 Windows 98下的日志删除
在纯DOS下启动计算机,用一些常用的修改或删除命令就可以消除Windows 98日志记录。当重新启动Windows98后,系统会检查日志文件的存在,如果发现日志文件不存在,系统将自动重建一个,但原有的日志文件将全部被消除。
7.2.2 Windows 2000的日志删除
Windows 2000的日志可就比Windows 98复杂得多了,我们知道,日志是由系统来管理、保护的,一般情况下是禁止删除或修改,而且它还与注册表密切相关。在Windows 2000中删除日志首先要取得系统管理员权限,因为安全日志和系统日志必须由系统管理员方可查看,然后才可以删除它们。
我们将针对应 用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件,就必须停止系统对日志文件的保护功 能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件,但安全日志就必须要使用系统中的“事件查看器”来控制它,打开“控制面板”的“管理 工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单。
输入远程计算机的IP,然后需要等待,选择远程计算机的安全性日志,点击属性里的“清除日志”按钮即可。
Windows NT计算机和域的管理
基本概念:
1、组成一个域至少需要一台运行Windows NT的服务器作为主域控制器,保存用户数据库的主拷贝。
一个域也可包括另外一些运行Windows NT 的服务器作为备份域控制器和成员服务器。
备份域控制器(以下称BDC)和成员服务器的安装与主域控制器(以下称PDC)的安装过程大体相同,在安装时:
A、服务器类型选择时选BDC或成员服务器;
B、保证网络在物理上连通;
C、主域控制器PDC已经登录该NT域,即正在工作。
D、安装程序向导会要求输入此BDC或成员服务器要加入的域名称,由于执行此操作的用户必须具有系统管理员的身份,因此 要输入域系统管理员的名称(如Administrator)与密码。
E、BDC计算机在进行完所有设置后,将在网络上寻找主域控制器,找到后自动从PDC上复制域中所有用户与组数据库信息,复制完成后要求重新启动计算机。
对域用户帐号数据库的所有改变都必须在主域控制器的数据库上完成,所有备份域控制器及主域控制器均可处理来自域用户的登录请求,及验证该登录尝试。当主域服务器无效时,一个备份域控制器便能提升为主域控制器,使域能继续工作。
2、"服务器管理器"是用来管理计算机和域的工具。它可以完成下列网络管理工作:
A、显示域中的计算机;
服务器管理器为一个已选择的域显示下列信息:计算机名;计算机类型及其操作系统和版本号;描述计算机是域控制器、服务器还是工作站。作为域成员的计算机如果当前在网络上是不活动的,则显示为灰。服务器管理器窗口中可能显示下述图标:
·立方体图标 代表主域控制器(PDC)。
·带监视器的立方体图标 代表备份域控制器(BDC)或服务器。
·工作站图标 代表加入到域中的Windows NT 工作站计算机。
B、域控制器的升降级
在BDC升级时,可能有两种状况:即PDC仍正常在线工作(On-line)或PDC已停止工作(Off-line如故障)。
如BDC升级时,PDC仍On-line,PDC将自动被降级,同时在原PDC上最新的用户数据与安全规则设置,将自动被复制到BDC中。
而在BDC升级时,PDC已Off-line,则仍然可以将BDC升级,但是在PDC上最近更新的用户与安全设置等数据尚未与BDC同步(自动备份到BDC上),则这些更新数据将丢失。
如果原来处于脱机的那一台PDC回到网络上,则将变成在同一域上有两台PDC的错误情况,因此必须将原来处于脱机的那一台PDC降级为BDC。即在计算机列表中选择原来的PDC,再从计算机菜单中选择降级至备份域控制器
3、BDC与PDC同步
同步域安全帐号管理数据库将新用户的帐号组以及口令信息从PDC拷贝到BDC。
4、在域上增加或删除计算机
当加入或离开一个域时,管理员需要增加或删除工作站或服务器。为完成此任务,你必须组成员或是有增加工作站到域中的权利的用户。
实验内容 :
(1)安装备份域控制器和成员服务器。
(2)研究域控制器的升降级与同步。
(3)研究服务器管理器其他功能。
实验环境 :
将实验三中的电脑分成两组,每组有四台电脑,其中一台安装Windows NT主域控制器,一台安装备份域控制器,一台安装一般服务器,留一台Windows 98客户机不动。每组安排四至五个学生。
实验步骤:
第一部分:备份域控制器、一般服务器的安装和域控制器的升降级:
1、启动组里的四台电脑,用Ping命令检查它们在物理网络上的连通。
2、将其中一台安装有Windows NT主域控制器的计算机(记住其域名)和一台安装有Windows98客户机保持不动。在另外两台计算机上分别重新安装备份域控制器和一般服务器各一台并把它们加入主域控制器所在的域中。
3、在Windows NT主域控制器上启动“服务器管理器”,从“查看”菜单中选择“全部”以显示所有的服务器或计算机。(如四台服务器和计算机还不全部在表中,则从“计算 机”菜单中选择“添加到域”把备份域控制器、一般服务器和Windows 98客户机添加到域中来)。
在主域控制器和备份域控制器分别打开“域用户管理器”,查看用户和用户组数据内容是否相同。
4、在计算机列表中选择备份域控制器,再从“计算机”菜单中选择“升级至主域控制器”。当出现警告信息时,要求所有已登录的用户注销。单击是按钮后开始进行升级的操作。
升级成功后从计算机列表中可知PDC与BDC的角色已互换,完成PDC On-line升降级。
5、关闭主域控制器和备份域控制器,重新启动备份域控制器而暂不启动主域控制,完成主域控制器Off-line时备份域控制器升级至主域控制器的过程,在此之后再启动原先的主域控制器,观察并记录系统对域中有两个主域控制器时的处理。
6、在计算机列表中选择备份域控制器,再从“计算机”菜单中选择“同步主域控制器”。当出现一个信息框告诉此过程需要几分钟时间请确认改变时选择:是 。
如在列表中选择的是主域控制器则在菜单中出现的是“同步整个域 ”,选择此菜单将完成从PDC中拷贝域用户帐号数据库到域中的所有BDC。
第二部分:了解服务器管理器的其他功能
选中要查看的计算机,选择"计算机"菜单下的"属性"选项。
1、单击"用户"按钮。显示己登录到该计算机的用户名、计算机名、所使用的该计算机的资源等信息,在这里可以将己连接的用户及计算机的部分或全部强行断开。
2、单击"共享"按钮。显示该计算机所创建的共享资源以及已连接的用户情况。
3、单击"使用中"按钮。显示该计算机正在被使用的资源。在这里,可以强行关闭资源。
4、选择"计算机"菜单下的"共享目录"选项,屏幕将显示该计算机所创建的所有共享目录的情况。
5、单击"新建共享"按钮。可以建立一个新的共享目录,并设置权限。单击"属性"按钮。将显示出所选的共享目录的共享名、路径、备注及用户个数,还
可以单击"权限"按钮修改该共享目录的权限。单击"停止共享"按钮。将所选的共享目录的共享关闭,其他用户将无法共享此目录。
第三部分:了解磁盘管理器的功能
1、选择"开始"→"程序"→"管理工具(公用)"→"磁盘管理器"。
2、创建扩展分区:
单击磁盘中的空白区域,选择"磁盘分区"菜单下的"创建扩展分区"选项。在"创建扩展分区大小"框中填人用户所要创建的大小(例如:5000),单击"确定"
按钮。
3、创建逻辑分区
单击上一步中的空白区域,选择"磁盘分区"菜单下的"创建"选项。在"创建逻辑驱动器大小"框中填入"2000",单击"确定"按钮。。
4、指定分配驱动器号
选定刚刚建立的磁盘分区,选择"工具"菜单下的"分配驱动器号"选项。将驱动器号设为"P:",单击"确定"按钮。
5、格式化磁盘,选中要格式化的磁盘,选择"工具"菜单下的"格式化"选项。
6、查看磁盘属性
选中含有"C:"的区域,单击"工具"菜单下的"属性"选项。
7、检查磁盘错误
选中含有"C:"的区城,单击"工具"菜单下的"属性"选项。选择"工具"选项卡,单击"开始检查"按钮。选中"自动修复文件系统错误",单击"开始"按钮。
第四部分:了解WindowsNT诊断器的功能
WindowsNT诊断器可用来检测计算机软硬件的配置及网络的配置。
1、启动:"程序"→"管理工具(用)"→"WindowsNT诊断器"。
2、查看"版本"选项卡。显示的是操作系统的类型、版本以及注册用户的信息。
3、查看"系统"选项卡。显示的是该计算机的类型、BIOS的日期及版本、处理器的型号及个数。
4、查看"显示器"选项卡。显示的是该计算机显示器的BIOS信息、显示适配器的设置、显示内存大小·显示处理芯片的类型、驱动程序的厂商及版本。
5、查看"驱动器"选项卡。显示的是计算机上所有的驱动器(软盘驱动、磁盘驱动器以及光盘驱动器等)的信息。
6、查看"内存"选项卡。主要显示的是计算机上内存的信息,包括:物理内存的大小及使用情况;页面文件的大小、位置及使用情况。
7、查看"服务"选项卡。显示的是服务器中所包含的服务各自处于的状态(正在运行或者已停止)。单击"设备"按钮,将显示出计算机上的各种设备所处于的状态。
8、查看"资源"选项卡。显示的是计算机中的IRQ、I/0端口、DMA通道、内存都在被哪个设备所使用以及使用总线的类型,单击"设备"按钮可列出使用所有资源的所有设备名。
9、查看"环境"选项卡。显示的是所有的环境变量的设置情况,单击"本地用户"按钮显示的是本地计算机的环境变量的设置情况。
10、查看"网络"选项卡。显示的是服务器的工作组或域名、网络版本号、登录用户的个数、当前用户的名称、登录域的名称、登录服务器的名称以及网络参数的设置情况。
提示:选择"文件"菜单中的"保存报表"项,可将以上所显示的信息保存在文件中。
所有应用程序都不开了,应用程序被改成了关联到这个“*.exe”文件上
把HKEY_CLASSES_ROOT\exefile\shell\open\command的“(默认)”项改为"%1" %*
把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command的“(默认)”项改为"%1" %*
解析 boot.ini 文件
微软NT内核操作系统使用的一个名为BOOT.INI的文件对启动参数进行设置。系统文件 boot.ini 的作用是实现多重系统引导。如今安装双操作
系统或多操作系统的用户很多,由于种种原因,启动菜单可能会出现各种问题。如果熟悉 boot.ini 文件的构成,就可以通过修改 boot.ini
文件来简单修复启动菜单。
首先将隐藏文件显示出来,然后记事本打开 c 盘根目录下的 boot.ini 文件,内容如下:
(本机的 C、D 和 E 分区分别安装的是 Windows Me、Windows 2000 Serer 和 Windows XP Professional 操作系统)
[Boot Loader]
Timeout=30
default=multi(0)disk(0)rdisk(0)partition(2)\WINNT
[Operation sys tems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Microsoft Windows 2000 Server" /fastdetect
C:\="Microsoft Windows Me"
"Timeout="用来控制启动菜单显示的时间,如果你在规定的时间内未选择操作系统,系统将启动默认的操作系统。默认的显示时间是 30 秒,
你可以修改"="后面的数值来改变启动菜单显示的时间。
"default="用来控制默认的启动系统,"="后面是操作系统的启动目录,目前默认的系统是 Windows 2000 Server,你可以通过改变目录来改变
默认的启动系统,例如:要想让默认的启动系统是 Windows Me,可以以为:default=C:\。
"[Operating sys tems]"下显示的是本机已安装的操作系统列表,如果你是双操作系统,那么只会有两行。注意:每一行"="前是该操作系统的
启动目录。Windows Me 是启动目录是"C:\",Windows 2000 Server 的启动目录"multi(0)disk(0)rdisk(0)partition(2)\WINNT",Partition
是意思是"分区",也就是说启动目录实际上指的就是"D:\WINNT"和"E:\WINDOWS",只不过表示的方法不一样。
"="后面包含在双引号之间的内容是启动菜单显示的内容,可以随意更改成更有个性的名称。
通过以上分析,我们知道可以通过修改 boot.ini 文件来改变启动菜单显示时间、启动菜单默认选项和启动菜单选项。这样,一旦启动菜单出
现了问题,我们就可以用简单的方法修复了。
例如重装系统后发现多了一个启动选项,你可以在 boot.ini 文件中去掉相应的项目,保存后重新启动电脑即可。需要注意的是,为了防止修
改时出现错误,请先将 boot.ini 文件备份。
下面介绍启动开关,如下:
/BASEVEDIO 使用VGA显示驱动而不用SVGA驱动,用于显示驱动失效时
/BAUDATE 将启动日志写入%SYSTEMROOT%NTBTLOG.TEXT。
/BURNMEMORY=X 使用指定的内存容量
/CRASHDEBUG 对内存进行调试,在内存出错时很有用
/DEBUGPORT=COMX 指定用于调度的端口
/DEBUG 对启动时的一切错误用调度器进行调试
/FASTDETECT 不检测系统串口和并口,加快启动速度
/MAXMEM:N 设置可以使用的最大内存,超出的部分系统不进行检测,内存损坏可以进行测试
/NODEGUG 不显示调试信息
/NOGUIBOOT 启动时不加载VGA驱动,不会出现各种出错的蓝屏信息
/NUMPROC=N 指定系统前N个CPU工作
/ONECPU 只充许一个CPU工作
/SAFEBOOT\SHELL 指定内核程序,不用默认的EXPLORER.EXE启动
/SAFEBOOT 使用安全模式启动
/SOS 显示调用的驱动程序名,检测驱动是否损坏。
IE常出现错误提示的对策
打开IE->工具菜单->INTERNET选项->高级标签->去掉“禁止脚本调试”和“显示每个脚本错误的通知”前的勾即可
找回失去的提示信息
在Windows中当你把鼠标停留在“我的电脑”等图标上时,会出现一行提示信息,如果提示没有了,该怎么办?下面就让我们来看一看。
解决方法:
打开HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Explorer\Advanced子键,在右侧的窗口中,双击“showInfoTip”,在弹出的对话框中将其值设为1,提示又回来了吧。
ADSL不能上网的解决办法
1.查看ADSL终端上的线路指示灯是否与正常时一致;如果不是,将外线取下接电话机听是否有拨号音,如果无音说明外线断,就是线路障碍;
2.查看ADSL终端上的LAN灯是否长亮;如果不亮,检查到主机网卡的连接网线是否插好;
3.检查主机IP地址、子网掩码、网关、DNS等网络配置是否无误;可以和装机人员留下的卡片上面的配置对照。每个用户都会有一张这样的卡片,一般粘贴在ADSL MODEM下面.
4.重新关开ADSL终端
5.重新启动主机
6. 把局域网与主机断开,只保留主机到ADSL终端的连接(目的是看是否由于局域网流量过大造成网口拥塞);断开的方法是拔掉主机内部网卡上的网线并禁用该网 卡(通过Windows"设备管理器")。然后把另一块网卡禁用片刻再启用,或者重启主机,如果主机可以上网,但连接局域网后故障重新出现,说明局域网有 问题,需要整治.
7.另外,还要注意电源的稳压问题,如果电源电压的波动范围过大,超出ADSL Modem所能够适用的范围,将会造成频繁掉线。
8.如果以上均未解决问题,说明不是用户端的故障,请联系ISP
流行QQ病毒档案与解决方法:
http://expert.csdn.net/Expert/topic/2364/2364400.xml?temp=.6393091
首先看看任务管理器中是否有一些可疑的文件在运行,结束它,然后到SYSTEM和SYSTEM32中找到这个程序,删掉它!!
专杀工具
http://www.duba.net/download/3/34.shtml
http://www.skycn.com/soft/13990.html
http://qqhome.nease.net/bida/Duba_qqmsg.EXE
http://www.duba.net/download/3/20.shtml
http://qqdl.tencent.com/duba_qqmsg.exe
IE 修复工具
IE 修复器集合:http://www.skycn.com/sort/sort2100900_indate_DESC_1.html
3721 修复网站:http://assistant.3721.com/
3721 修复网站:http://magic.3721.com/
金山毒霸注册表修复器修:http://www.duba.net/download/othertools/duba_regsolve.exe
QQ病毒狩猎者(2003-05-12)
1. 该木马会把自己注册为服务。
2. 设置默认主页为http://www.k163.com。
3. 生成文件: intrenet.exe windows.exe
4. 在注册表里添加键值,并定时对注册表进行修改,防止用户修改回去.
5. 向QQ"发送消息"向QQ窗口发送"向你推荐一个网站http;//www.k163.com是我朋友做的,精彩哦!"并自动发送出去。
6. 如果访问http://www.k163.com, 首页中文件尾部有如下代码,它会让计算机自动下载并打开love.mht文件, 这个文件利用了IFrame漏洞,会自动运行其中的附件, 这个附件就是上面介绍的这个病毒。
QQ尾巴,QQ林妹妹病毒之类(2003-9-25)
1. 该病毒主要是向正在聊天的QQ用户发送类似“呵呵,其实我觉得这个网站真的不错,你看看!http://www.ktv530.com/”的消息,收到消息的QQ用户如果点击相关地址的话,就会中毒,然后继续向其它正在聊天的QQ好友发送类似信息。该病毒每隔几分钟就会发送一次病毒消息,严重干扰了用户正常的信息传递。
2.该病毒运行时会将自己复制到系统目录,然后修改注册表进行自启动,病毒驻留内存时会隐藏在其它进程里面,即使通过任务管理器工具也很难找到它。如果用户将病毒键值删除,在关机时病毒会自动写回,保证下次重启电脑时病毒还能自动运行。
--------------------------------------------------------------------------
QQ连发器及变种(2003-5-28)
1.病毒运行时会将自己拷贝于系统目录下命名为:WebAuto.exe,并且在注册表的: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入名为:WebAuto.exe 的病毒键值以便自启动。
2.修改IE默认浏览首页为http://www.***.com,使用户一上网就中招。
3.病毒会寻找QQ的发送消息窗口,给用户所有好友随机发送以下消息:
1. "激情电影爽啊!给你也推荐一下,完全免费--";
2. "快去这看看,里面有蛮好好东西--";
3. "上次看了个网站不错,去看看吧--";
4.在这些消息之后还伴随着一个恶意网址诱骗用户点击
--------------------------------------------------------------------------
QQ木马变种(Trojan.QQpass7)(2003-4-14)
1.该病毒除了盗取用户的QQ密码外,还能与外部黑客程序沟通,导致用户计算机的信息被泄密。
2.该病毒会在C盘根目录下建立DebugFi.txt文件,最重要的是该病毒会在硬盘上的所有文件夹中都拷贝一份病毒复本。
3.该病毒会利用启动光盘的技术,在每个分区的根目录下建立一个名为:autorun.ini的文件,只要用户查看被感染分区,病毒就会立即运行。
4.并且该病毒会更改注册表来使自己自动启动HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run--------------------------------------------------------------------------
爱情森林III病毒(2002-10-1)
1.建立5个病毒副本:
C:\WINDOWS\WIN386.SWP
C:\WINDOWS\START MENU\PROGRAMS\WINUPDATE.EXE
C:\WINDOWS\SYSTEM32\INTERNETS.EXE
C:\WINDOWS\WINUPDATE.EXE
C:\WINDOWS\WINVER.EXE
C:\WINDOWS\HOSTS。
2. 将注册表中的HKCR\exefile\shell\open\command项的内容改为:C:\WINDOWS\winupdate.exe %1 %*"
爱情森林II病毒(2002-9-12)
1.该病毒将自己复制多份到windows的系统目录,并修改多项注册表。
2.当用户点击任何一个.exe文件时,病毒会根据特定文件名动态生成一个对话框:“某某文件发现引导区病毒,请到dos下面用A盘!”一旦当用户点确定时,文件即被删除。
3.此病毒还会修改本地的hosts文件不让用户登入一些反毒网站,使用户无法上网升级病毒库最新版本。
爱情森林I病毒(2002-8-29)
1.利用邮件包装,形成自启动邮件。
病毒的原始文件是一个名为HACK.EXE的木马病毒,病毒作者利用了OUTLOOK的邮件漏洞,将原始病毒包装成一个可以预览执行的病毒邮件s.eml,然后放入一个恶意网页中,等待下载。
2.利用QQ工具,发送伪装信息。
此信息的内容为:“http://sckiss.yeah.net 这个你去看看!很好看的”如果用户的好友在收到了此信息后,因为好奇而点击了此链接,则会进入一个恶意网页。
3.利用恶意网页帮凶,导致病毒泛滥。
该恶意网页会将用户的IE标题改为:"http://sckiss.yeah.net/爱情森林",使用户的“运行”菜单项无法使用,并且将用户的IE默认首页改为:"http://sckiss.yeah.net/",此恶意网页还将此网址加入注册表中的RUN自启动项。
4.侵占系统目录。
病毒首先改名为:"EXPLORER.EXE",然后更改注册表来使自己自动启动HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run--------------------------------------------------------------------------
QQ伪装专家病毒(2002-10-25)
1. 使打印机无故打印乱码。
2. 在桌面上建立一个名为:“QQ2000b”的快捷方式。
3. 启动后会将自己拷贝到系统目录下,并改名为 windll.exe, photo.gif.exe 和 notepads.exe。
4. 病毒会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 项中添加一个键值为:WinIme,内容为:C:\WINNT\SYSTEM32\windll.exe的自启项。
5. 病毒会修改注册表,将命令接口(HKEY_CLASSES_ROOT\Txtfile\shell\open\command)改为病毒体
6. 病毒会利用邮件进行传播,产生标题为:“这是我的照片”,附件为:“photo.gif.exe”的病毒邮件。
————————————————————————————————————
IE常出现错误提示的对策
打开IE->工具菜单->INTERNET选项->高级标签->去掉“禁止脚本调试”和“显示每个脚本错误的通知”前的勾即可
————————————————————————————
杀毒的正确方法
用干净的系统盘启动机器,然后在纯DOS下杀毒,这样比较彻底
————————————————————————————————————————
[此贴被 ▓日月双星▓(abctm) 在 01月03日14时59分 编辑过]
========================================
██████████████████████████
██『常用网络安全站点导航』 http://www.200s.net██
██████████████████████████
努力奋斗--->高考
========================================
任何成员不得以20CN的名义攻击网站或进行其他危害网络安全或损害本组织形象的行为。
B7层 发表时间: 04-01-03 14:45
回复: abctm [abctm] 版主 登录
ADSL不能上网的解决办法
1.查看ADSL终端上的线路指示灯是否与正常时一致;如果不是,将外线取下接电话机听是否有拨号音,如果无音说明外线断,就是线路障碍;
2.查看ADSL终端上的LAN灯是否长亮;如果不亮,检查到主机网卡的连接网线是否插好;
3.检查主机IP地址、子网掩码、网关、DNS等网络配置是否无误;可以和装机人员留下的卡片上面的配置对照。每个用户都会有一张这样的卡片,一般粘贴在ADSL MODEM下面.
4.重新关开ADSL终端
5.重新启动主机
6. 把局域网与主机断开,只保留主机到ADSL终端的连接(目的是看是否由于局域网流量过大造成网口拥塞);断开的方法是拔掉主机内部网卡上的网线并禁用该网卡(通过Windows"设备管理器")。然后把另一块网卡禁用片刻再启用,或者重启主机,如果主机可以上网,但连接局域网后故障重新出现,说明局域网有问题,需要整治.
7.另外,还要注意电源的稳压问题,如果电源电压的波动范围过大,超出ADSL Modem所能够适用的范围,将会造成频繁掉线。
8.如果以上均未解决问题,说明不是用户端的故障,请联系ISP.
——————————————————————————————
恢复你的IE标题并激活按钮的方法
关于主页的三个按钮"使用当前页"、"使用默认页"、"使用空白页"也变成灰色,不能修改。可以通过下面的内容存成.reg文件 双击导入即可!
----从这里开始----
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank"
"Window Title"="Microsoft Internet Explorer"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Window Title"="Microsoft Internet Explorer"
----到这里结束----
其中第一部分就是将Internet选项里面的变灰的按钮激活,第二、三部分是还原IE的首页地址以及标题栏。
注册表操作被禁止了,把下面的内容存成.reg文件,双击导入即可
----从这里开始----
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000
----到这里结束----
——————————————————————————————————
用IIS建立高安全性Web服务器
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。
构造一个安全系统
要创建一个安全可靠的Web服务器,必须要实现Windows 2000和IIS的双重安全,因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全:
1. 使用NTFS文件系统,以便对文件和目录进行管理。
2. 关闭默认共享
打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。这样就可以彻底关闭“默认共享”。
3. 修改共享权限
建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得到不必要的权限。
4. 为系统管理员账号更名,避免非法用户攻击。
鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(Administrator)”→选择“重命名”,将管理员账号修改为一个很普通的用户名。
5. 禁用TCP/IP 上的NetBIOS
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS],选中下侧的“禁用 TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。
6. TCP/IP上对进站连接进行控制
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项],在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮,只填入80端口。
7. 修改注册表,减小拒绝服务攻击的风险。
打开注册表:将HKLM\System
CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2,使连接对超时的响应更快。
保证IIS自身的安全性
IIS安全安装
要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。
1. 不要将IIS安装在系统分区上。
2. 修改IIS的安装默认路径。
3. 打上Windows和IIS的最新补丁。
IIS的安全配置
1. 删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。
2. 删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本,大家可以根据自己的需要决定是否删除。
3. 为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。
4. 删除不必要的应用程序映射
ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。
在“Internet 服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
5. 保护日志安全
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
● 修改IIS日志的存放路径
默认情况下,IIS的日志存放在%WinDir%\System32\LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。在 “Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。
● 修改日志访问权限,设置只有管理员才能访问。
[此贴被 ▓日月双星▓(abctm) 在 01月03日15时00分 编辑过]
========================================
██████████████████████████
██『常用网络安全站点导航』 http://www.200s.net██
██████████████████████████
努力奋斗--->高考
========================================
任何成员不得以20CN的名义攻击网站或进行其他危害网络安全或损害本组织形象的行为。
B8层 发表时间: 04-01-03 14:46
回复: abctm [abctm] 版主 登录
清除“欢乐时光”病毒的5种解决方案
一,在Windows“开始”菜单下选择“运行”,运行Regedit,找到
Hkey_Current_UserIdentities{AECF6CA3-9614-4AF4-AEF2-
CT63FE9D97A4}SoftwareMicrosoftOutlook Express.0Mail,其
中有3项:
→Message Send Html="1"
→Com Pose Use Stationery="1"
→Stationery Name="C:\Windows\Untitled.htm"
将其键值删除即可。
然后用同样方法将Hkey_Current_UserControl PanelDesktop中
Wallpaper="C:\WINDOWS\HELP.HTM"键值删除。
二,在Windows的“开始”菜单中运行“win.ini”,将其中的
“Wallpaper=”等号后的键值删除。
三,运行最新版KV3000或KVD3000查杀硬盘,杀毒过程中如果出现
“Help.vbs;help.hta;untitled.htm”等文件提示“删除”选择
“Y”即可。
四,查完毒后,最好安装最新的杀毒软件来加强防范。
五,将WSH(Windows Scripting Host)功能去掉可以预防此类病毒的
侵害。
步骤是:
→单击“开始”->“设置”->“控制面板”
→双击“添加/删除程序”->“Windows安装程序”、“附件”
→将“组件”中的“Windows scripting host”所占空间1.1MB
的“选择划勾”去掉,然后选“确定”即可。
========================================
██████████████████████████
██『常用网络安全站点导航』 http://www.200s.net██
██████████████████████████
努力奋斗--->高考
========================================
任何成员不得以20CN的名义攻击网站或进行其他危害网络安全或损害本组织形象的行为。
B9层 发表时间: 04-01-03 15:02
回复: abctm [abctm] 版主 登录
IPC$入侵攻防完全解惑
摘自“黑客X档案" 原作者:iqst
1,什么是IPC$?
IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可建立安全通道,并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是winNT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接,winNT/2000在提供了IPC$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$...),所有这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
平时我们总能听到有人在说IPC$漏洞,其实IPC$并不是一个真正意义上的漏洞,我想之所以有人这么说,一定是指微软自己安置的那个“后门”,空会话(Null session),那么什么是空会话呢?
2,什么是空会话?
在介绍空会话之前,我们有必要了解一下一个安全会话是如何建立的,在windowsNT 4.0中,是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:
1,会话请求者(客户)向会话接受者(服务器)传送一个数据包,请求安全隧道的建立。
2,服务器产生一个随机的64位数(实现挑战)传送回客户。
3,客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结果返回到服务器(实现响应)。
4,服务器接受响应之后,发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核实响应,以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生,如果请求帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上的资源,直到建议的会话被终止。
以上是一个安全会话建立的大致过程,那么空会话又如何呢?
空会话是在没有信任的情况下与服务器建立的会话(即未提供用户名和密码),但根据win2000的访问控制模型,空会话的建立同样需要提供一个令牌,可空会话在建立过程中并没有经过用户信息的认证,所以这个令牌中不包含用户信息,因此,这个会话不能让系统间发送加密信息,但这并不表示空会话的令牌中不包含安全标示符SID(它标示了用户和所属组),对于一个空会话,LSA提供的令牌的SID是S-1-5-7,这就是空会话的SID,用户名是: ANONYMOUS LOGON(这个用户名可在用户列表中看到,但不能在SAM数据库中找到,属于系统内置的帐号),这个访问令牌包含下面伪装的组:
Everyone
Network
在安全策略的限制下,这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢?
对于winNT,在默认安全设置下,借助空连接可列举目标主机上的用户和共享,访问Everyone权限的共享,访问小部分注册表等,并没有什么太大的利用价值,对windows2000的作用更小,因为在windows2000和以后的版本中,默认只有管理员和备份操作员有权从网络访问到注册表,而且实现起来也不方便,需借助工具,从这些我们可以看到,这种非信任会话并没多大用处,但从一次完整的IPC$入侵来看,空会话是一个不可缺少的跳板,因为我们从它那里可得到用户列表,而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的,成功的导出用户列表大大增加了猜解的成功率,仅从这一点足以说明空会话所带来的安全隐患,因此说空会话毫无用处是不正确的,以下是空会话中能使用的一些具体命令:
1,首先,我们建立一个空会话(当然,这需要目标开放IPC$),命令如下:
c:\net use \\目标IP\ipc$ "" /user:""
命令成功完成。
以上命令包含四个空格,net与use中间有一个,use后面一个,密码左右各一个空格。
2,查看远程主机的共享资源。
前提是建立了空连接后,用net view \\对方IP 命令可查看远程主机的共享资源,如果它开了共享,可得到结果,但此命令不能显示默认共享。
3,查看远程主机的当前时间,这个大家应该都会。用net time命令
4,得到远程主机的NetBIOS用户名列表(需要打开自己的NBT)
以上是我们经常使用空会话做的事情,好像也能获得不少东西,不过要注意一点:建立IPC$连接的操作会在Event Log中留下记录,不管你是否登录成功。
========================================
██████████████████████████
██『常用网络安全站点导航』 http://www.200s.net██
██████████████████████████
努力奋斗--->高考
========================================
20CN只谈技术,不谈政治。我们欢迎任何国籍,任何民族,任何信仰,任何素质的人在这里讨论技术
B10层 发表时间: 04-01-03 15:05
回复: abctm [abctm] 版主 登录
http://www.qiker.com/
找资料来
================================
如何成为一个网络高手
这是来自国外某BBS的帖子。
我写这个并不是因为我已经厌倦了一遍又一遍地回答同样的问题,而是考虑到这确实是一个有意义的问题,其实很多人(90%)确实需要问这个问题而从来没有去问。
我被问了很多次有关安全领域的问题,比如:什么编程语言你最推崇?应该读什么书作为开始?总而言之,就是如何在安全领域内成为一个有影响的人。既然我的答案和一般的答案有所不同,我打算把我的看法说出来。
1.从哪里开始?
我的观点可能和一般的看法不同,如果你刚刚起步,我建议你不要从Technotronic,Bugtraq,Packetstorm,Rootshell等站点开始,没错?不要从那里开始(尽管它们是很好的站点,而且我的意思也并不是说不要去访问这些站点),原因十分简单,如果你以为通晓“安全”就是知道最新的漏洞,到头来你将会发现自己一无所获。
我同意,知道什么地方有漏洞是十分必要的,但是这些并不能够为你的高手之路打下坚实的基础,比如,你知道RDS是最新的漏洞,知道如何下载并使用对这个漏洞进行利用的Script工具,知道如何修补这个漏洞(也许,很多人只知如何攻击,不知道如何防护),可是,3个月后,补丁漫天飞舞,这个漏洞已经不存在了......现在你的那些知识还有什么用?而且你可能根本没有理解对漏洞的分析。
你应该学习的知识是什么?是分析?还是攻击手段?
这是我想要再次强调的,人们可能没有注意,已经有很多人认为他们只要知道最新的漏洞就是安全专家,NO!No!No!所有他们知道的只不过是“漏洞”,而不是“安全”。
例如:你知道有关于phf的漏洞,showcode.asp的漏洞,count.cgi和test.cgi的漏洞,但是你知道为什么它们会成为CGI的漏洞吗?你知道如何编一个安全的通用网关程序吗?你会根据一个CGI的工作状态来判断它可能有哪些漏洞或哪方面的漏洞吗?或者,你是不是只知道这些CGI有漏洞呢?
所以我建议你不要从漏洞开始,就当它们不存在(你知道我的意思),你真正需要做的是从一个普通用户开始。
2.做一个用户
我的意思是你至少要有一些基本的常规知识。例如:如果你要从事Web Hacking,你是否可能连浏览器都不会使用?你会打开Netscape,打开IE?很好!你会输入姓名,你知道HTML是网页,很好,你要一直这样下去,变成一个熟练的用户。你会区别ASP和CGI是动态的,什么是PHP?什么是转向,Cookies,SSL?你要知道任何一个普通用户可能接触到的关于Web的事物。不是进攻漏洞,仅仅是使用,没有这些基础的(也许是枯燥的)知识,你不可能成为高手,这里没有任何捷径。
好,现在你知道这里的一切了,你用过了。你在Hack UNIX之前你至少要知道如何Login,Logout,如何使用shell命令,如何使用一般的常用程序(Mail,FTP,Web,Lynx等)。
要想成为一个管理员,你需要掌握如下基本的操作。
3.成为一个管理员
现在你已经超过了一个普通用户的领域了,进入了更复杂的领域,你要掌握更多的知识。例如:Web服务器的类型,与其他的服务器有什么区别?如何去配置它,像这样的知识,你知道得越多就意味着你更了解它是如何工作的?它是干什么的?你理解HTTP协议吗?你知道HTTP1.0和HTTP1.1之间的区别吗? WEBDAV是什么?知道HTTP1.1虚拟主机有助于建立你的Web服务器吗?
你需要了解操作系统,如果你从来没有配置过NT,你怎么可能去进攻一个NT服务器?你从来没有用过Rdisk,用户管理器,却期望Crack一个管理员密码,得到用户权限?你想使用RDS,而你在NT下的操作一直使用图形界面?你需要从管理员提升到一个“超级管理员”,这不是指你有一个超级用户的权限,而是你的知识要贯穿你的所有领域。很好,你会在图形界面下添加用户,在命令方式下也能做到吗?而且,system32里的那些.exe文件都是干什么的?你知道为什么USERNETCTL必须要有超级用户权限?你是不是从来没有接触过USERNETCTL?不要以为知道如何做到就行了,要尽可能知道的更多,成为一名技术上的领导者,但是......
你不可能知道所有的事情。
这是我们不得不面对的事实。如果你认为你可以知道所有的事情,你在自欺欺人。你需要做的是选择一个领域,一个你最感兴趣的领域,并进一步学习更多的知识。
要想成为一名熟练用户,成为一名管理员,成为一名技术上的领导者,直至成为某一个领域中最优秀的人,不是仅仅学习如何使用web浏览器,怎样写CGI就行了,你知道HTTP和web服务器的原理吗?知道服务器不正常工作时应该怎样让它工作吗?当你在这个领域内有一定经验时,自然就知道怎样攻击和防护了
这其实是很简单的道理,如果你知道所有的关于这方面的知识,那么,你也就知道安全隐患在哪里。面对所有的漏洞(新的,旧的,将来的),你自己就能够发现未知的漏洞(你这时已经是一个网络高手了)
你找漏洞可以,但你必须了解漏洞的根源。所以,放下手中的Whisker的拷贝,去学习CGI到底是干什么的?它们怎么使通过HTTP的web服务器有漏洞的?很快你就会知道到底Whisker是干什么的了。
4.编程语言
在所有被问的问题中,最常听到的就是:“你认为应该学习什么编程语言?”
我想,这要看具体情况了,如你准备花费多少时间来学习?你想用这种语言做哪些事?想用多长时间完成一个程序?这个程序将完成多复杂的任务?
以下有几个选项。
Visual Basic
一种非常容易学习的语言。有很多关于这方面的书,公开的免费源代码也很多。你应该能够很快地使用它。但是这个语言有一定局限,它并不是诸如C++那样强大,你需要在windows下运行它,需要一个VB的编程环境(不论盗版还是正版的,反正它不是免费的)。想用VB来编攻击代码或补丁是十分困难的。
C++
也许是最强大的语言了。在所有的操作系统里都存在。在网上有上吨的源代码和书是免费的,包括编程环境。它比VB复杂,掌握它所需花费的时间也要比掌握VB多一些。简单的东西容易学,功能强大的东西理解起来也要困难一些,这需要你自己衡量。
Assembly
也许是最复杂的语言,也是最难学习的语言。如果你把它当作第一个要学习的语言,那么将会难得你头要爆裂。但是,先学会了汇编,其余的编程语言就变的很容易。市场上有一些这方面的书,但这方面的教材有减少的趋势。不过,汇编知识在某些方面至关重要,比如缓冲溢出攻击。
perl
一种很不错的语言。它像VB一样容易学习,也像VB一样有局限。但是它在多数操作平台中都能运行(UNIX和windows),所以这是它的优势。有很多这方面的书籍,而且它是完全免费的,你可以用它来制作一些普通的攻击工具。它主要用于一些文本方式的攻击技巧,并不适合制作二进制程序。
我想,这是所有你想知道的,有把握的说,c/c++是最佳选择。
[此贴被 ▓日月双星▓(abctm) 在 01月03日15时08分 编辑过]
========================================
██████████████████████████
██『常用网络安全站点导航』 http://www.200s.net██
██████████████████████████
努力奋斗--->高考
========================================
20CN只谈技术,不谈政治。我们欢迎任何国籍,任何民族,任何信仰,任何素质的人在这里讨论技术
B11层 发表时间: 04-01-03 15:06
回复: abctm [abctm] 版主 登录
color=red]关于2003的使用技巧:[[/color]
1.用户自动登录。2003是服务器版,控制面板中不包含类似2000 Pro的用户选项。但你可以使用命令rundll32 netplwiz.dll UsersRunDll来调用该选项,请注意最后一个参数的大小写。
2.禁用注册表。我的方法有些不同,既然注册编辑器是通过判断注册表键值来确定是否准许使用注册表,我就使用WINHEX将REGEDIT.EXE文件中有"DisableRegistryTools"字样的地方统统改掉,一劳永逸。
3.安全建议。
使用安全策略编辑器把Administrator帐户改名,在2000和XP系统上应该同时使用组策略编辑器gpedit.msc禁止用户名枚举。
系统配置完成后,应新建一个管理员帐户用于系统的管理,并将原使用的帐户降级为Power User,这样可以避免无意中对系统的改动。
如果用户使用EFS保护数据,那么应该将相应的私匙加以备份,以备必要时恢复数据时使用。
如果确实需要禁用某个服务,应事先将其改为手动,停止服务后运行常用程序,再查看该服务是否仍处于停止状态,如是则说明禁用该服务不会对程序运行产生影响。但我不了解为什么有些朋友喜欢调整系统服务,这些系统服务占用的CPU和内存比起IE这样的应用程序来说要小得很多。
使用CTL+ALT+DEL复合键进行登录,这是NT系统中至关重要的安全特性,它可以防止一些木马程序盗用口令。
如果你的电脑由多人使用,并有潜在盗用口令的危险时,应启用口令复杂性策略,并使用WINKEY来加密保存在SAM文件中的口令,这是一个不可逆的过程,但它可以避免RC4等黑客工具暴力破解密码。
网上冲浪时,如果你不完全明白浏览器弹出窗口的含义,理智是选择是NO。如果你使用浏览器插件,应事先了解插件是否会泄露个人信息。
如果你管理的服务器运行的是关键应用,你应该安装防火墙。