中国网管论坛's Archiver

海盗 发表于 2007-11-16 15:39

[超级实用资料汇总贴] 菜鸟必看,故障汇总,系统教程,超级技巧,应有尽有

[color=#0000ff]      [/color]
[color=#0000ff]      主要内容:菜鸟必看,故障汇总,系统教程,超级技巧 [/color]
[color=#0000ff][/color][align=left]
[color=#0000ff]                                [/color][size=3][color=red][b]目录[/b][/color][/size][/align][align=left][b][size=3][color=#ff0000][/color][/size][/b][/align][align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=1&fromuid=185331#pid1202539][实用资料系列]系统盘下system32下的文件说明[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=1&fromuid=185331#pid1202545][实用资料系列]BIOS中英文对照表[/url]

[url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=1&fromuid=185331#pid1202560][实用资料系列] 计算机端口详细列表-防火墙设置必备的参考资料[/url]

[url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=1&fromuid=185331#pid1202572][实用资料系列]CPU占用100%原因及解决方法[/url]

[url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=1&fromuid=185331#pid1202590][实用资料系列]菜鸟必看:网络故障汇总[/url]

[url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=1&fromuid=185331#pid1202788][实用资料系列]十七点安全知识详细了解进程和病毒[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=1&fromuid=185331#pid1202912][实用资料系列]电脑黑屏故障分析及处理[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=1&fromuid=185331#pid1202935][实用资料系列]打造个人电脑安全终极防线(整理很全的)[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=1&fromuid=185331#pid1202951][实用资料系列][Windows任务管理器] 详解[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=2&fromuid=185331#pid1202965][实用资料系列]IE问题解决方法汇总[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=2&fromuid=185331#pid1202973][实用资料系列]QQ能上,但是无法打开网页的解决方法[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=2&fromuid=185331#pid1202990][实用资料系列]Windows蓝屏死机代码大揭秘[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=2&fromuid=185331#pid1202993][实用资料系列]上网新手千万不要下载安装下列软件![/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=2&fromuid=185331#pid1203002][实用资料系列]DM万用版使用手册[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=2&fromuid=185331#pid1203011][实用资料系列]网络Ghost克隆操作全程[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=2&fromuid=185331#pid1203012][实用资料系列]rundll32.exe命令使用大法[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=2&fromuid=185331#pid1203015][实用资料系列]网络安全之TCP端口作用、漏洞及操作[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=2&fromuid=185331#pid1203017][实用资料系列]安全基础知识之进阶PING的高级用法[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=2&fromuid=185331#pid1203022][实用资料系列]Windows补丁下载、批量安装、局域网分发[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=3&fromuid=185331#pid1203028][实用资料系列]ghost装双系统-图解教程[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=3&fromuid=185331#pid1203040][实用资料系列]XP安装盘启动、分区、安装XP[/url][/align]
[url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=3&fromuid=185331#pid1203055][align=left][实用资料系列]电脑优化汇总[/align]
[/url][align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=3&fromuid=185331#pid1203061][实用资料系列]木马程序是如何实现隐藏的[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=3&fromuid=185331#pid1203065][实用资料系列]探寻Windows死机的方方面面[/url][/align]
[align=left][url=http://bbs.bitscn.com/viewthread.php?tid=141693&page=3&fromuid=185331#pid1203082][实用资料系列]Windows操作系统常见驱动故障解决方法[/url][color=#0000ff] [/color][/align][align=left][color=#0000ff]  [/color][/align][align=left][color=#0000ff][/color][/align][align=left][color=#0000ff]   [/color][color=#0000ff]    目录问题已解决(20080331)[/color][/align]

[[i] 本帖最后由 海盗 于 2008-3-31 11:46 编辑 [/i]]

海盗 发表于 2007-11-16 15:40

[实用资料系列]系统盘下system32下的文件说明

[size=3]A ↑
ACCESS.CHM - Windows帮助文件
ACCSTAT.EXE - 辅助状态指示器
ADVAPI32.DLL - 高级Win32应用程序接口
AHA154X.MPD - SCSI驱动程序
AM1500T.VXT - 网卡驱动程序
AM2100.DOS - 网卡驱动程序
APPSTART.ANI - 动画光标
APPS.HLP - Windows帮助文件
AUDIOCDC.HLP - "易码编码解码器"帮助文件
AWARDPR32.EXE - 增加打印机工具

B ↑
BIGMEM.DRV - BIGMEM虚拟设备
BILLADD.DLL - 动态链接库(支持MSW)
BIOS.VXD - 即插即用BIOS接口
BUSLOGIC.MPD - SCSI驱动程序

C ↑
CALC.EXE - 计算器应用程序
CANNON800.DRV - 佳能打印机驱动程序
CHOICE.COM - MSDOS命令
CHS16.FON - 字体文件(16点阵中文)
CANYON.MID - MIDI文件例子
CARDDRV.EXE - PCMCIA支持程序
CDFS.VXD - CDROM文件系统
CDPLAYER.EXE - CD播放器应用程序
CDPLAYER.HLP - CD播放器帮助文件
CHIPS.DRV - 芯片技术显示驱动程序
CHKDSK.EXE - DOS磁盘检查工具
CHOOSUSR.DLL - 网络客户
CHOKD.WAV - 声音文件例子
CIS.SCP - 脚本文件(演示如何建立与Compuserve的PPP连接)
CLAIRE~1.RMI - MINI序列
CLIP.INF - 安装信息文件(剪粘板查看器)
CLOSEWIN.AVI - 影片剪辑(AVI)(如何关闭窗口)
CMC.DLL:Mail - API1.0公共信息调用
COMBUFF.VXD - COM端虚拟设备
COMCTL32.DLL - 32位Shell组件
COMDLG32.DLL - 32位公共对话库
COMIC.TIF - TrueType字体文件(Comic Sans Ms)
COMMAND.COM - 公共对话库
COMMDLG.DLL - 16位公共对话库
COMMON.HLP - OLE帮助文件
COMPOBJ.DLL - OLE16/32互*作库
CONAGEN.EXE - 32位控制支持
CONFAPI.DLL - Microsoft网络组件
CONFIG.SYS - 配置文件
CONFIG.TXT - 自述文件(配置文件中如何使用命令)
CONTROL.EXE - "控制面板"应用程序
COOL.DLL - 统一资源定位文件
COPY.INF - 安装信息文件
CP-1250.NLS - 自然语言支持文件
CPQNDIS.DOS - 网卡驱动程序
CPQNDIS3.VXD - Compaq以太控制器NDIS驱动程序
CR3240.EXE - DOS6.22中文版CR3240打印机驱动程序
CRTDLL.DLL - Microsoft C运行时间库
CSETUP.EXE - MSDOS6.22中文设置程序
CSETUP.WIN - Csetup.exe支持文件
CSMAPPER.SYS - 系统文件(支持PCMCIA)
CSPMAN.DLL - 动态链接库(SoundBlaster 16 Driver)
CTRLPAN.EXE - MSDOS命令(系统控制台程序)
CTRLPAN.EXE - MSDOS6.22中文版控制程序

D ↑
DBLBVFF.SYS - 双缓冲驱动程序
DC21X4.SYS - NDIS3驱动程序
DCIMAN.DLL - 显示控制接口
DCIMAN32.DLL - 显示控制接口
DDEML.DLL - DDE信息库
DEBMP.DLL - 光栅显示设备
DEBUG.EXE - Debug调试工具
DECPSMW4.INF - 安装信息文件(DEC打印机安装)
DECLAN.VXD - DECLAN网卡驱动程序
DEFRAG - 打开"选定驱动器"窗口
DEL.INF - 安装信息文件
DELTEMP.COM - 初始化帮助工具
DELTREE.EXE - 删除目录工具
DEMET.DLL - 向量显示工程
DESKCP16.DLL - 16位桌面控制面板
DESKTOP.MSN - Microsoft网络组件
DESS.DLL - 表格显示工程
DEWP.DLL - 字处理显示工程
DIALER.CNT - 对话帮助
DIALER.EXE - 电话拨号程序
DIALER.HLP - 电话拨号帮助文件
DIALMON.EXE - 拨号监视程序(IE2.0)
DIBENG.DLL - 独立设备的位同工程
DICONIX.DRX - 打印机驱动
DING.WAN - 声音文件例子
DIRECTCC.EXE - 直接线缆连接应用程序
DISKCOMP - 磁盘比较工具
DISKCOPY.COM - 磁盘*贝工具
DISKDRV.INF - 安装信息
DISPLAY.TXT - 显示卡README文件
DMCOLOR.DLL - 通用打印驱动程序彩打支持库
DOSKEY.COM - DOS命令
DOSX.EXE - MSDOS配置程序
DRAGDROP.AVI - 影片剪辑(AVI)(如何使用拖拽)
DRIVER.SYS - DOS驱动程序
DRVSPACE.EXE - 磁盘压缩工具
DRVSPACE.HLP - 磁盘空间管理帮助文

E ↑
EDIT.COM - DOS文字编辑程序
EDLIN.EXE - DOS行编辑器
EE16.VXD - 虚拟设备驱动程序
EISA.VXD - 即插即用EISA总线计数器
EK550C.ICM - 打印机简介
EMM386.EXE - 扩展内存管理程序
ENABLE.INF - 初始化信息
ENGCT.EXE - MSN支持文件
ESCP24SC.DRV - 设备驱动程序
EUDCEDIT.CNF - 帮助索引文件(造字程序)
EUDCEDIT.EXE - 造字程序
EUDCEDIT.HLP - 帮助文件(造字程序)
EUDCEDIT.INF - 安装信息文件(造字程序)
EVX16.DOS - 网卡驱动程序
EWRK3.DOS - 网卡驱动程序
EWRK3.SYS - 网卡驱动程序
EXCEL.XLS - Excel5.0文件模板
EXCEL4.XLS - Excel4.0文件模板
EXCHANGE.TXT - Inbox和Exchange的自述文件
EXCHNG.CNT - Mail/Exchange帮助文件内容
EXCHNG.HLP - Mail/Exchange组件
EXCHNG32.EXE - 对用户的交换机作初始设置
EXPLORER.AVI - 影片剪辑(AVI)(如何使用资源管理器)
EXPLORER.EXE - "资源管理器"应用程序
EXPO.HLP - 帮助文件(产品信息)
EXPOSTRT.EXE - 产品信息应用程序
EXTRACT.EXE - 解压缩工具
EXTRA.TXT - 自述文件(联机访问附加文件)

F ↑
FAQ.TXT - 疑难解答自述文件
FAXCODEC.DLL - 传真编码/译码器
FAXCOVER.EXE - 封面编辑器
FC.EXE - DOS命令,比较两个文件
FD16-700.MPD - SCSI驱动程序
FD8XX.MPD - SCSI驱动程序
FDISK.EXE - DOS命令,在硬盘上建立、删除及显示当前分区
FILESEC.VXD - 文件存取控制管理器
FILEXFER.CNT - 文件传输帮助文件内容
FILEXFER.EXE - Microsoft文件传输
FIND.AVI - 影片剪辑(如何使用查找)
FIND.EXE - 寻找指定字符串命令
FINDMVI.DLL - 媒体视觉支持
FINSTALL.DLL - 字库安装程序
FINSTALL.HLP - 字库安装帮助文件
FLSIMTD.VXD - PCMCIA支持
FLSIMTD.VXD - PCMCIA支持
FONT16.EXE - DOS6.22中文版16点阵字体驱动程序
FONTS.INF - 字体选择初始化信息
FONTVIEW.EXE - 字体浏览程序
formAT.COM - DOS磁盘格式化工具
FOUTLINE.EXE - 轮廓字体驱动程序
FRAMEBUF.DRV - SVGA显示器驱动程序
FTE.DLL - 声音浏览文件传输工程文件
FTP.EXE - 文件传输协议TCP工具
FURELI~1.RMI - MINI序列


G ↑
GBK.TXT - 中文Windows95GBK代码集字符定义表
GDI.EXE - 简版WIN3.1图形界面
GDI32.DLL - 32位GDI图形界面
GENERAL.IDF - 一般MIDI指示器
GRPCONV.EXE - Windows程序组转换器
GUIDE.EXE - 应用程序(MSN)

H ↑
HARDWARE.TXT - 硬件自述文件
HOSTS.SAM - TCP配置
HPCLRLSK.ICM - 打印简介
HPDESK.ICM - 打印机简介表
HPDSKJET.DRV - 打印机驱动程序
HPEISA.VXD - 网络适配器驱动程序
HPJAHLP.CNT - JetAdmin程序帮助文件
HPJD.DLL - HPJetAdmin支持程序
HPLAN.DOS - 网络适配器驱动程序
HPLJ300.DRV - HPLJ300DPI打印机驱动程序
HPLJ300.EXE - MSDOS命令(HP打印机驱动)
HPLJ-31.SPD - 打印机驱动程序
HPLJ600.DRV - HPLJ600DPI打印机驱动程序
HPLJP-V4.INF - 打印机安装信息
HPNETPRN.INF - HPJetAdmin支持程序
HPPJXL31.SPD - 打印机驱动程序
HPPLOT.DRV - 打印机驱动程序
HPPLOT.HLP - 打印机驱动程序帮助文件
HPPRARBK.DLL - HPJetAdmin支持程序
HPPRARRK.HLP - HPJetAdmin支持程序帮助文件
HPVCM.HPM - 打印机驱动程序
HSFLOP.PDR - HSFLOP虚拟设备
HTICONS.DLL - 终端设备动态链接库
HYPERTRM.CNT - 终端设备帮助文件
HYPERTRM.EXE - 终端设备应用程序
HYPERTRM.HLP - "超级终端"帮助
HZKBD.EXE - 常用输入方法程序
HZVIO95.EXE - 显示驱动程序


I ↑
I82593.DOS - 网络适配器驱动程序
IB401917.SPD - 打印机驱动程序
IBM20470.SPD - 打印机驱动程序
IBM20K.DOS - 网络适配器驱动程序
ICM32.DLL - 图象颜色匹配程序
ICMOI.DLL - 用户界面颜色匹配程序
ICONLIB.DLL - 图符库
IEXPLORE.CNT - 帮助索引文件(IE)
IEXPLORE.EXE - InternetExplore
IEXPLORE.HLP - 帮助文件(IE)
IFSHLP.SYS - 文件系统安装帮助文件
IFSMGR.VXD - 文件系统安装管理程序
IMAGEOIT.EXE - 图象编辑器光标程序
IMCLIENT.DLL - Microsoft网络组件
IME.CNT - 帮助索引文件(中文输入法)
IME.HLP - Windows帮助文件
IME.INF - 安装信息文件(中文输入法)
IMEGEN.CNF - 帮助索引文件(输入法生成器)
IMEGEN.EXE - 输入法生成器
IMEGEN.HLP - 帮助文件(输入法生成器)
IMEINFO.INI - 输入法初始化文件
IMM32.DLL - WIN32IMM应用程序界面
INBOX.EXC - 邮件组件
INDICDLL.DLL - 多语言组件
INET.TXT - IE自述文件
INET16.DLL - 动态链接库(支持IE2.0)
INETAB32.DLL - 动态链接库(支持Internet mail)
INETCFG.DLL - 动态链接库(支持IE2.0)
INETCPL.CPL - 控制面板文件(配置IE2.0)
INETMAIL.INF - 安装信息文件(Internet mail)
INETWIZ.EXE - Internet安装向导
INformS.WPF - 样板文件
INSTBE.BAT - Microsoft网络组件
INSTDICT.EXE - MSDOS命令(输入法安装程序)
INTB.VXD - 13号中断虚拟设备
INTL.CPL - 控制面板
INT-MAIL.CNT - 帮助索引文件(Internet mail)
IOS.INI - 设置需要安全保护的程序
IOSCLASS.DLL - CDROM安装程序
IRMATR.DOS - 网络适配器驱动程序
ISAPNP.VXD - ISA总线即插即用程序

J ↑
JOY.CPL - 游戏杆控制面板
JOYSTICK.INF - 多媒体安装信息
JP350.DRV - 打印机驱动程序
JUNGLE~1.WAV - 声音文件


K ↑
KBDBE.KBD - 比利时键盘格式
KBDBR.KBD - 巴西键盘格式
KBDCA.KBD - 法国、加拿大键盘格式
KBDOS.KBD - 美国键盘格式
KDCOLOR1.SPD - 打印机驱动程序
KERNEL32.DLL - 32位内核
KEYB.COM - 将控制键盘程序装入内存
KODAKCE.ICM - 柯达ICC配置文件
KRNL386.EXE - Core应用程序


L ↑
LABEL.EXE - DOS命令,设置磁盘名称
LFNBK.EXE - 长文件名备份文件
LFNBK.TXT - LFNBK的自述文件
LICENSE.HLP - Windows帮助文件
LMSCRIPT.EXE - LAN管理器文稿处理程序
LOGIN.EXE - Win95登录NetWare文件
LQ1600K.EXE - LQ1600K打印驱动程序[/size]

[[i] 本帖最后由 海盗 于 2007-11-16 17:14 编辑 [/i]]

海盗 发表于 2007-11-16 15:41

[实用资料系列]BIOS中英文对照表

[size=3]BIOS中英文对照表
BIOS中英文对照表-英语水平不灵的就……

Time/System Time 时间/系统时间
Date/System Date 日期/系统日期
Level 2 Cache 二级缓存
System Memory 系统内存
Video Controller 视频控制器
Panel Type 液晶屏型号
Audio Controller 音频控制器
Modem Controller 调制解调器(Modem)
Primary Hard Drive 主硬盘
Modular Bay 模块托架
Service Tag 服务标签
Asset Tag 资产标签
BIOS Version BIOS版本
Boot Order/Boot Sequence 启动顺序(系统搜索操作系统文件的顺序)
Diskette Drive 软盘驱动器
Internal HDD 内置硬盘驱动器
Floppy device 软驱设备
Hard-Disk Drive 硬盘驱动器
USB Storage Device USB存储设备
CD/DVD/CD-RW Drive 光驱
CD-ROM device 光驱
Modular Bay HDD 模块化硬盘驱动器
Cardbus NIC Cardbus总线网卡
Onboard NIC 板载网卡
Boot POST 进行开机自检时(POST)硬件检查的水平:设置为"MINIMAL"(默认设置)则开机自检仅在BIOS升级,内存模块更改或前一次开机自检未完成的情况下才进行检查。设置为"THOROUGH"则开机自检时执行全套硬件检查。
Config Warnings 警告设置:该选项用来设置在系统使用较低电压的电源适配器或其他不支持的配置时是否报警,设置为"DISABLED"禁用报警,设置为"ENABLED"启用报警
Internal Modem 内置调制解调器:使用该选项可启用或禁用内置Modem。禁用(disabled)后Modem在操作系统中不可见。
LAN Controller 网络控制器:使用该选项可启用或禁用PCI以太网控制器。禁用后该设备在操作系统中不可见。
PXE BIS Policy/PXE BIS Default Policy
PXE BIS策略:该选项控制系统在没有认证时如何处理(启动整体服务Boot Integrity Services(BIS))授权请求。系统可以接受或拒绝BIS请求。设置为"Reset"时,在下次启动计算机时BIS将重新初始化并设置为"Deny"。
Onboard Bluetooth
板载蓝牙设备
MiniPCI Device
Mini PCI设备
MiniPCI Status
Mini PCI设备状态:在安装Mini PCI设备时可以使用该选项启用或禁用板载PCI设备
Wireless Control
无线控制:使用该选项可以设置MiniPCI和蓝牙无线设备的控制方式。设置为"Application"时无线设备可以通过"Quickset"等应用程序启用或禁用,热键不可用。设置为"/Application"时无线设备可以通过"Quickset"等应用程序或热键启用或禁用。设置为"Always Off"时无线设备被禁用,并且不能在操作系统中启用。
Wireless
无线设备:使用该选项启用或禁用无线设备。该设置可以在操作系统中通过"Quickset"或""热键更改。该设置是否可用取决于"Wireless Control"的设置。
Serial Port
串口:该选项可以通过重新分配端口地址或禁用端口来避免设备资源冲突。
Infrared Data Port
红外数据端口。使用该设置可以通过重新分配端口地址或禁用端口来避免设备资源冲突。
Parallel Mode
并口模式。控制计算机并口工作方式为"NORMAL"(AT兼容)(普通标准并行口)、"BI-DIRECTIONAL"(PS/2兼容)(双向模式,允许主机和外设双向通讯)还是"ECP"(Extended Capabilities Ports,扩展功能端口)(默认)。
Num Lock
数码锁定。设置在系统启动时数码灯(NumLock LED)是否点亮。设为"DISABLE"则数码灯保持灭,设为"ENABLE"则在系统启动时点亮数码灯。
Keyboard NumLock
键盘数码锁:该选项用来设置在系统启动时是否提示键盘相关的错误信息。
Enable Keypad
启用小键盘:设置为"BY NUMLOCK"在NumLock灯亮并且没有接外接键盘时启用数字小键盘。设置为"Only By Key"在NumLock灯亮时保持embedded键区为禁用状态。
External Hot Key
外部热键:该设置可以在外接PS/2键盘上按照与使用笔记本电脑上的键的相同的方式使用键。如果您使用ACPI操作系统[/size]

[[i] 本帖最后由 海盗 于 2007-11-16 17:21 编辑 [/i]]

海盗 发表于 2007-11-16 15:45

[实用资料系列] 计算机端口详细列表--防火墙设置必备的参考资料

我们常常会在各类的技术文章中见到诸如135、137、139、443之类的“端口”,可是这些端口究竟有什么用呢?它会不会给我们的计算机带来潜在的威胁呢?究竟有多少端口是有用的?想要了解的话,就跟我来吧

端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。

端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。

端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。

端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。

端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。

端口:42
服务:WINS Replication
说明:WINS复制

端口:53
服务:域名 Name Server(域)
说明:域服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗域(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。

端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。

端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。

端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。

端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。

端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。

端口:135
服务:本地 Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。

端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。

端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。

端口:456
服务:【NULL】
说明:木马HACKERS PARADISE开放此端口。

端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口:544
服务:【NULL】
说明:kerberos kshell

端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。

端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口:568
服务:Membership DPA
说明:成员资格 DPA。

端口:569
服务:Membership MSN
说明:成员资格 MSN。

端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。

端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)

端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口

端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:【NULL】
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。

端口:1025、1033
服务:1025:network blackjack 1033:【NULL】
说明:木马netspy开放这2个端口。

端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。

端口:1170
服务:【NULL】
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:【NULL】
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口:1245
服务:【NULL】
说明:木马Vodoo开放此端口。

端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。

端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。

端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询

端口:1503
服务:NetMeeting T.120
说明:NetMeeting T.120

端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
端口:1600
服务:issd
说明:木马Shivka-Burka开放此端口。

端口:1720
服务:NetMeeting
说明:NetMeeting H.233 call Setup。

端口:1731
服务:NetMeeting Audio Call Control
说明:NetMeeting音频调用控制。

端口:1807
服务:【NULL】
说明:木马SpySender开放此端口。

端口:1981
服务:【NULL】
说明:木马ShockRave开放此端口。

端口:1999
服务:cisco identification port
说明:木马BackDoor开放此端口。

端口:2000
服务:【NULL】
说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。

端口:2001
服务:【NULL】
说明:木马Millenium 1.0、Trojan Cow开放此端口。

端口:2023
服务:xinuexpansion 4
说明:木马Pass Ripper开放此端口。

端口:2049
服务:NFS
说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。

端口:2115
服务:【NULL】
说明:木马Bugs开放此端口。

端口:2140、3150
服务:【NULL】
说明:木马Deep Throat 1.0/3.0开放此端口。

端口:2500
服务:RPC client using a fixed port session replication
说明:应用固定端口会话复制的RPC客户

端口:2583
服务:【NULL】
说明:木马Wincrash 2.0开放此端口。

端口:2801
服务:【NULL】
说明:木马Phineas Phucker开放此端口。

端口:3024、4092
服务:【NULL】
说明:木马WinCrash开放此端口。

端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、发发发8。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。

端口:3129
服务:【NULL】
说明:木马Master Paradise开放此端口。

端口:3150
服务:【NULL】
说明:木马The Invasor开放此端口。

端口:3210、4321
服务:【NULL】
说明:木马SchoolBus开放此端口

端口:3333
服务:dec-notes
说明:木马Prosiak开放此端口

端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。

端口:3700
服务:【NULL】
说明:木马Portal of Doom开放此端口

端口:3996、4060
服务:【NULL】
说明:木马RemoteAnything开放此端口

端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此端口。

端口:4092
服务:【NULL】
说明:木马WinCrash开放此端口。

端口:4590
服务:【NULL】
说明:木马ICQTrojan开放此端口。

端口:5000、5001、5321、50505 服务:【NULL】
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。

端口:5400、5401、5402
服务:【NULL】
说明:木马Blade Runner开放此端口。

端口:5550
服务:【NULL】
说明:木马xtcp开放此端口。

端口:5569
服务:【NULL】
说明:木马Robo-Hack开放此端口。

端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。

端口:5742
服务:【NULL】
说明:木马WinCrash1.03开放此端口。

端口:6267
服务:【NULL】
说明:木马广外女生开放此端口。

端口:6400
服务:【NULL】
说明:木马The tHing开放此端口。

端口:6670、6671
服务:【NULL】
说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。

端口:6883
服务:【NULL】
说明:木马DeltaSource开放此端口。

端口:6969
服务:【NULL】
说明:木马Gatecrasher、Priority开放此端口。

端口:6970
服务:RealAudio
说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。

端口:7000
服务:【NULL】
说明:木马Remote Grab开放此端口。

端口:7300、7301、7306、7307、7308
服务:【NULL】
说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。

端口:7323
服务:【NULL】
说明:Sygate服务器端。

端口:7626
服务:【NULL】
说明:木马Giscier开放此端口。

端口:7789
服务:【NULL】
说明:木马ICKiller开放此端口。

端口:8000
服务:OICQ
说明:腾讯QQ服务器端开放此端口。 '

端口:8010
服务:Wingate
说明:Wingate代理开放此端口。

端口:8080
服务:代理端口
说明:WWW代理开放此端口。

端口:9400、9401、9402
服务:【NULL】
说明:木马Incommand 1.0开放此端口。

端口:9872、9873、9874、9875、10067、10167
服务:【NULL】
说明:木马Portal of Doom开放此端口

端口:9989
服务:【NULL】
说明:木马iNi-Killer开放此端口。
端口:11000
服务:【NULL】
说明:木马SennaSpy开放此端口。

端口:11223
服务:【NULL】
说明:木马Progenic trojan开放此端口。

端口:12076、61466
服务:【NULL】
说明:木马Telecommando开放此端口。

端口:12223
服务:【NULL】
说明:木马Hack'99 KeyLogger开放此端口。

端口:12345、12346
服务:【NULL】
说明:木马NetBus1.60/1.70、GabanBus开放此端口。

端口:12361
服务:【NULL】
说明:木马Whack-a-mole开放此端口。
端口:13223
服务:PowWow
说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

端口:16969
服务:【NULL】
说明:木马Priority开放此端口。

端口:17027
服务:Conducent
说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。

端口:19191
服务:【NULL】
说明:木马蓝色火焰开放此端口。

端口:20000、20001
服务:【NULL】
说明:木马Millennium开放此端口。

端口:20034
服务:【NULL】
说明:木马NetBus Pro开放此端口。

端口:21554
服务:【NULL】
说明:木马GirlFriend开放此端口。

端口:22222
服务:【NULL】
说明:木马Prosiak开放此端口。

端口:23456
服务:【NULL】
说明:木马Evil FTP、Ugly FTP开放此端口。

端口:26274、47262
服务:【NULL】
说明:木马Delta开放此端口。

端口:27374
服务:【NULL】
说明:木马Subseven 2.1开放此端口。

端口:30100
服务:【NULL】
说明:木马NetSphere开放此端口。

端口:30303
服务:【NULL】
说明:木马Socket23开放此端口。

端口:30999
服务:【NULL】
说明:木马Kuang开放此端口。

端口:31337、31338
服务:【NULL】
说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。

端口:31339
服务:【NULL】
说明:木马NetSpy DK开放此端口。

端口:31666
服务:【NULL】
说明:木马BOWhack开放此端口。

端口:33333
服务:【NULL】
说明:木马Prosiak开放此端口。

端口:34324
服务:【NULL】
说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。

端口:40412
服务:【NULL】
说明:木马The Spy开放此端口。

端口:40421、40422、40423、40426、
服务:【NULL】
说明:木马Masters Paradise开放此端口。

端口:43210、54321
服务:【NULL】
说明:木马SchoolBus 1.0/2.0开放此端口。

端口:44445
服务:【NULL】
说明:木马Happypig开放此端口。

端口:50766
服务:【NULL】
说明:木马Fore开放此端口。

端口:53001
服务:【NULL】
说明:木马Remote Windows Shutdown开放此端口。

端口:65000
服务:【NULL】
说明:木马Devil 1.03开放此端口。

端口:88
说明:Kerberos krb5。另外TCP的88端口也是这个用途。

端口:137
说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。

端口:161
说明:Simple Network Management Protocol(SMTP)(简单网络管理协议)

端口:162
说明:SNMP Trap(SNMP陷阱)

端口:445
说明:Common Internet File System(CIFS)(公共Internet文件系统)

端口:464
说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

端口:500
说明:Internet Key Exchange(IKE)(Internet密钥交换)

端口:1645、1812
说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)

端口:1646、1813
说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问))

端口:1701
说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)

端口:1801、3527
说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。

端口:2504
说明:Network Load Balancing(网络平衡负荷)
0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口
连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播

海盗 发表于 2007-11-16 15:47

[实用资料系列]CPU占用100%原因及解决方法

[align=left][color=#111111][font=宋体][size=3]前言:[color=#f76809]这个问题比较常见我觉的很好 就帖过来了[/color]
我们在使用Windows
XP操作系统的时候,用着用着系统就变慢了,一看“任务管理器”才发现CPU占用达到100%。这是怎么回事情呢?遇到病毒了,硬件有问题,还是系统设置有问题,在本文中笔者将从硬件,软件和病毒三个方面来讲解系统资源占用率为什么会达到100%。
  经常出现CPU占用100%的情况,主要问题可能发生在下面的某些方面:
  CPU占用率高的九种可能
  1、防杀毒软件造成故障
  由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。处理方式:基本上没有合理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。
  2、驱动没有经过认证,造成CPU资源占用100%
  大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。
处理方式:尤其是显卡驱动特别要注意,建议使用微软认证的或由官方发布的驱动,并且严格核对型号、版本。
  3、病毒、木马造成
  大量的蠕虫病毒在系统内部迅速复制,造成CPU占用资源率据高不下。解决办法:用可靠的杀毒软件彻底清理系统内存和本地硬盘,并且打开系统设置软件,察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。
  4、控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键,改为手动。
  5、开始->;运行->;msconfig->;启动,关闭不必要的启动项,重启。
  6、查看“svchost”进程。
  svchost.exe是Windows
XP系统的一个核心进程。svchost.exe不单单只出现在Windows
XP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows
2000中svchost.exe进程的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。
  7、查看网络连接。主要是网卡。
  8、查看网络连接
  当安装了Windows
XP的计算机做服务器的时候,收到端口 445 上的连接请求时,它将分配内存和少量地调配
CPU资源来为这些连接提供服务。当负荷过重的时候,CPU占用率可能过高,这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的
MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确,服务器的响应能力可能会受到影响,或者某个用户独占太多系统资源。
  要解决此问题,我们可以通过修改注册表来解决:在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver
]分支,在右侧窗口中新建一个名为“maxworkitems”的DWORD值。然后双击该值,在打开的窗口中键入下列数值并保存退出:
  如果计算机有512MB以上的内存,键入“1024”;如果计算机内存小于512 MB,键入“256”。
  9、看看是不是Windows XP使用鼠标右键引起CPU占用100%
  前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用,我们来看看是怎么回事?
  征兆:
  在资源管理器里面,当你右键点击一个目录或一个文件,你将有可能出现下面所列问题:
  任何文件的拷贝操作在那个时间将有可能停止相应
  网络连接速度将显著性的降低
  所有的流输入/输出操作例如使用Windows Media Player听音乐将有可能是音乐失真成因:
  当你在资源管理器里面右键点击一个文件或目录的时候,当快捷菜单显示的时候,CPU占用率将增加到100%,当你关闭快捷菜单的时候才返回正常水平。
  解决方法:
  方法一:关闭“为菜单和工具提示使用过渡效果”
  1、点击“开始”--“控制面板”
  2、在“控制面板”里面双击“显示”
  3、在“显示”属性里面点击“外观”标签页
  4、在“外观”标签页里面点击“效果”
  5、在“效果”对话框里面,清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次“确定”按钮。
  方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。

CPU占用100%解决方法
  一般情况下CPU占了100%的话我们的电脑总会慢下来,而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了。
  当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅,在关闭该程序后只要CPU正常了那就没问题;如果不是,那你就要看看是什幺程序了,当你查不出这个进程是什幺的时候就去google或者baidu搜。有时只结束是没用的,在xp下我们可以结合msconfig里的启动项,把一些不用的项给关掉。在2000下可以去下个winpatrol来用。
  一些常用的软件,比如浏览器占用了很搞的CPU,那幺就要升级该软件或者干脆用别的同类软件代替,有时软件和系统会有点不兼容,当然我们可以试下xp系统下给我们的那个兼容项,右键点该.exe文件选兼容性。
  svchost.exe有时是比较头痛的,当你看到你的某个svchost.exe占用很大CPU时你可以去下个aports或者fport来检查其对应的程序路径,也就是什幺东西在掉用这个svchost.exe,如果不是c:\Windows\system32(xp)或c:\winnt\system32(2000)下的,那就可疑。升级杀毒软件杀毒吧。
  右击文件导致100%的CPU占用我们也会遇到,有时点右键停顿可能就是这个问题了。官方的解释:先点左键选中,再右键(不是很理解)。非官方:通过在桌面点右键-属性-外观-效果,取消”为菜单和工具提示使用下列过度效果(U)“来解决。还有某些杀毒软件对文件的监控也会有所影响,可以关闭杀毒软件的文件监控;还有就是对网页,插件,邮件的监控也是同样的道理。
  一些驱动程序有时也可能出现这样的现象,最好是选择微软认证的或者是官方发布的驱动来装,有时可以适当的升级驱动,不过记得最新的不是最好的。
  CPU降温软件,由于软件在运行时会利用所以的CPU空闲时间来进行降温,但Windows不能分辨普通的CPU占用和降温软件的降温指令之间的区别,因此CPU始终显示100%,这个就不必担心了,不影响正常的系统运行。
  在处理较大的word文件时由于word的拼写和语法检查会使得CPU累,只要打开word的工具-选项-拼写和语法把”检查拼写和检查语法“勾去掉。
  单击avi视频文件后CPU占用率高是因为系统要先扫描该文件,并检查文件所有部分,并建立索引;解决办法:右击保存视频文件的文件夹-属性-常规-高级,去掉为了快速搜索,允许索引服务编制该文件夹的索引的勾。
CPU占用100%案例分析
  1、dllhost进程造成CPU使用率占用100%
  特征:服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,出现这种问题的服务器,CPU会突然一直处100%的水平,而且不会下降。查看任务管理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,管理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。
  直接原因:
  有一个或多个ACCESS数据库在多次读写过程中损坏,微软的MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其它线程只能等待,IIS被死锁了,全部的CPU时间都消耗在DLLHOST中。
  解决办法:
  安装“一流信息监控拦截系统”,使用其中的“首席文件检查官IIS健康检查官”软件,
  启用”查找死锁模块”,设置:
  --wblock=yes
  监控的目录,请指定您的主机的文件所在目录:
  --wblockdir=d:\test
  监控生成的日志的文件保存位置在安装目录的log目录中,文件名为:logblock.htm
  停止IIS,再启动“首席文件检查官IIS健康检查官”,再启动IIS,“首席文件检查官IIS健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的。
  过了一段时间后,当问题出来时,例如CPU会再次一直处100%的水平,可以停止IIS,检查logblock.htm所记录的最后的十个文件,注意,最有问题的往往是计数器类的ACCESS文件,例如:”**COUNT.MDB”,”**COUNT.ASP”,可以先把最后十个文件或有所怀疑的文件删除到回收站中,再启动IIS,看看问题是否再次出现。我们相信,经过仔细的查找后,您肯定可以找到这个让您操心了一段时间的文件的。
  找到这个文件后,可以删除它,或下载下来,用ACCESS2000修复它,问题就解决了。
  2、svchost.exe造成CPU使用率占用100%
  在win.ini文件中,在[Windows]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什幺都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL
Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
  在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=
explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
  在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid
Battery
v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为“Code
Red
II(红色代码2)”病毒,与早先在西方英文系统下流行“红色代码”病毒有点相反,在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞,通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http
Get的请求运行[i]script[/i]s/root.exe来获得对受感染机器的完全控制权。
  当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠2天,别的机器休眠1天。当休眠的时间到了以后,该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年,如果是,受感染的服务器也会重新启动。当Windows
NT系统启动时,NT系统会自动搜索C盘根目录下的文件explorer.exe,受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件的大小是8192字节,VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时,VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows
NT的system目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修改系统的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录C或者D,病毒名由此而来。值得一提的是,该网络蠕虫程序除了文件explorer.exe外,其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的,这就给捕捉带来了较大难度。
  ”程序的文件名,再在整个注册表中搜索即可。
  我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe
是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
  其实svchost.exe是Windows
XP系统的一个核心进程。svchost.exe不单单只出现在Windows
XP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows
2000中svchost.exe进程的数目为2个,而在Windows
XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。
  svchost.exe到底是做什幺用的呢?
  首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢?
  svchost.exe的工作就是作为这些服务的宿主,即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。
  svchost.exe是病毒这种说法是任何产生的呢?
  因为svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。
  如何才能辨别哪些是正常的svchost.exe进程,而哪些是病毒进程呢?
  svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Svchost”,如图1所示。图1中每个键值表示一个独立的svchost.exe组。
  微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。以Windows
XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist
/svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows
2000系统则把前面的“tasklist /svc”命令替换为:“tlist
-s”即可。如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。
  还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
3、Services.exe造成CPU使用率占用100%
  症状
  在基于 Windows 2000
的计算机上,Services.exe 中的 CPU 使用率可能间歇性地达到100
%,并且计算机可能停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果
Esent.dll 错误地处理将文件刷新到磁盘的方式,则会出现此症状。
  解决方案
  Service Pack 信息
  要解决此问题,请获取最新的 Microsoft Windows 2000 Service
Pack。有关其它信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
  260910 如何获取最新的 Windows
2000 Service Pack
  修复程序信息
  Microsoft
提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因此,如果这个问题没有对您造成严重的影响,Microsoft
建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。
  要立即解决此问题,请与“Microsoft
产品支持服务”联系,以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表,请访问 Microsoft Web 站点:
  注意 :特殊情况下,如果 Microsoft
支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其它支持问题和事项,将正常收取支持费用。
  下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC)
列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡。
  状态
  Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。此问题最初是在
Microsoft Windows 2000 Service Pack 4 中更正的。
  4、正常软件造成CPU使用率占用100%
  首先,如果是从开机后就发生上述情况直到关机。那幺就有可能是由某个随系统同时登陆的软件造成的。可以通过运行输入“msconfig”打开“系统实用配置工具”,进入“启动”选项卡。接着,依次取消可疑选项前面的对钩,然后重新启动电脑。反复测试直到找到造成故障的软件。或者可以通过一些优化软件如“优化大师”达到上述目的。另:如果键盘内按键卡住也可能造成开机就出现上述问题。
  如果是使用电脑途中出项这类问题,可以调出任务管理器(WINXP CTRL+ALT+DEL WIN2000
CTRL+SHIFT“ESC),进入”进程“选项卡,看”CPU“栏,从里面找到占用资源较高的程序(其中SYSTEM IDLE
PROCESS是属于正常,它的值一般都很高,它的作用是告诉当前你可用的CPU资源是多少,所以它的值越高越好)通过搜索功能找到这个进程属于哪个软件。然后,可以通过升级、关闭、卸载这个软件或者干脆找个同类软件替换,问题即可得到解决。
  5、病毒、木马、间谍软件造成CPU使用率占用100%
  出现CPU占用率100%
的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行全机扫描
。接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的表现。
  svchost.exe
Windows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。
  6、explorer.exe进程造成CPU使用率占用100%
  在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=
explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid
Battery
v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的
  Explorer
键值改为Explorer=“C:\Windows\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。

7、超线程导致CPU使用率占用100%
  这类故障的共同原因就是都使用了具有超线程功能的P4
CPU。我查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决,也可以通过在BIOS中关闭超线程功能解决。
  8、AVI视频文件造成CPU使用率占用100%
  在Windows
XP中,单击一个较大的AVI视频文件后,可能会出现系统假死现象,并且造成exploere.exe进程的使用率100%,这是因为系统要先扫描该文件,并检查文件所有部分,建立索引。如果文件较大就会需要较长时间并造成CPU占用率100%。解决方法:右键单击保存视频文件的文件夹,选择”属性—>常规—>高级“,去掉”为了快速搜索,允许索引服务编制该文件夹的索引“前面复选框的对钩即可。
  9、杀毒软件CPU使用率占用100%
  现在的杀毒软件一般都加入了,对网页、邮件、个人隐私的即时监空功能,这样无疑会加大系统的负担。比如:在玩游戏的时候,会非常缓慢。关闭该杀毒软件是解决得最直接办法。
  10、处理较大的Word文件时CPU使用率过高
  上述问题一般还会造成电脑假死,这些都是因为WORD的拼写和语法检查造成的,只要打开WORD的“工具—选项”,进入“拼写和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。
  11、网络连接导致CPU使用率占用100%
  当你的Windows2000/xp作为服务器时,收到来自端口445上的连接请求后,系统将分配内存和少量CPU资源来为这些连接提供服务,当负荷过重,就会出现上述情况。要解决这个问题可以通过修改注册表来解决,打开注册表,找到HKEY—LOCAL—MACHNE\SYSTEM\CurrentControlSet\Services\lanmanserver,在右面新建一个名为[i]"[/i];maxworkitems[i]"[/i];的DWORD值.然后双击该值,如果你的电脑有512以上内存,就设置为[i]"[/i];1024[i]"[/i];,如果小于512,就设置为256.
  一些不完善的驱动程序也可以造成CPU使用率过高
  经常使用待机功能,也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅度下降,系统启动速度变慢,也会使是系统在运行一些大型软件和游戏时CPU使用率100%,产生停顿。

进程占用CPU 100%时可能中的病毒
  system Idle Process
  进程文件: [system
process] or [system process]
  进程名称: Windows内存处理系统进程
  描 述:
Windows页面内存管理进程,拥有0级优先。
  介
绍:该进程作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
  Spoolsv.exe
  进程文件: spoolsv or Spoolsv.exe
  进程名称:
Printer Spooler Service
  描 述: Windows打印任务控制程序,用以打印机就绪。
  介
绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
  Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作
  Spoolsv.exe,如果常增高,有可能是病毒感染所致
  目前常见的是:
  Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
  危害程度:中
  受影响的系统:
Windows 2000, Windows XP, Windows Server 2003
  未受影响的系统: Windows 95,
Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux,
  病毒危害:
  1. 生成病毒文件
  2. 插入正常系统文件中
  3. 修改系统注册表
  4. 可被黑客远程控制
  5. 躲避反病毒软件的查杀
  简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内(如:exe),并与计算机的通口(TCP端口138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端口,以等候传进的命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对象,以致Spoolsv.exe的使用异常频繁......
  Backdoor.Win32.Plutor
  破坏方法:感染PE文件的后门程序
  病毒采用VC编写。
  病毒运行后有以下行为:
  1、将病毒文件复制到%WINDIR%目录下,文件名为[i]"[/i];Spoolsv.exe[i]"[/i];,并该病毒文件运行。[i]"[/i];Spoolsv.exe[i]"[/i];文件运行后释放文件名为[i]"[/i];mscheck.exe[i]"[/i];的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行[i]"[/i];Spoolsv.exe[i]"[/i];文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行。
  2、修改注册表以下键值:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
  增加数据项:[i]"[/i];Microsoft [i]script[/i] Checker[i]"[/i]; 数据为:[i]"[/i];MSCHECK.EXE /START[i]"[/i];
  修改该项注册表使[i]"[/i];MSCHECK.EXE[i]"[/i];文件每次系统激活时都将被运行,而[i]"[/i];MSCHECK.EXE[i]"[/i];用于运行[i]"[/i];Spoolsv.exe[i]"[/i];文件,从而达到病毒自激活的目的。
  3、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含[i]"[/i];winnt[i]"[/i];、[i]"[/i];Windows[i]"[/i];字符串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插入所感染的文件尾部。
  4、试图与局域网内名为[i]"[/i];admin[i]"[/i];的邮槽联系,创建名为[i]"[/i];client[i]"[/i];的邮槽用于接收其控制端所发送的命令,为其控制端提供以下远程控制服务:
  显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。

那些病毒会造成CPU占有率过高
  震荡波蠕虫
  利用微软操作系统的LSASS缓冲区溢出漏洞进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性,病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。
  如果中了这种病毒可采用下面的四种方法进行清除。
  1、断网打补丁
  如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
  2、清除内存中的病毒进程
  要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。
  3、删除病毒文件
  病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为;_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。
该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”,内容为:“%Windows%\avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT”
然后调出注册表编辑器,找到该病毒键值,然后直接删除。
  bride病毒
  此病毒可以在Windows
2000、Windows
XP等操作系统环境下正常运行,病毒运行时会释放出一个FUNLOVE病毒并将之执行,而FUNLOVE病毒会在计算机中大量繁殖,造成系统变慢,网络阻塞。
  病毒清除方法
  此病毒可以用趋势、诺顿、瑞星、金山和江民等杀毒软件进行清除。

小知识:系统进程
  一款好的防火墙并不能发现所有病毒;一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单——手工杀毒。而要论到手工杀毒,就不能不提到系统进程了。
  进程、病毒?
  书上说:“进程为应用程序的运行实例,是应用程序的一次动态执行。”看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。
  危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那幺及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性的作用。
  如何打开系统进程列表?
  要通过进程列表查看系统是否染毒,必须打开当前的执行程序进程列表,Microsoft的每种系统都有相应的打开方法,但能够显示的能力却因(系统)不同,有所差异:
  1.Windows 98 /Me系统
  打开系统进程的方式很简单,快捷键“Ctrl+Alt+Delete”(如图1),这个窗口大家应该比较熟悉,使用Windows系统的用户都知道用这个方法来关闭程序,不过它同样用于显示系统进程,只是Windows
98系统较初级,对进程的显示局限于名称,且里面所显示的还有打开的文件及目录名,查看时易混淆。Windows Me的进程打开方式和Windows 98相同。
  Windows 9x系统打开的进程列表混乱且不完全,显然不便于查看系统的具体进程状况,所以建议使用一些工具程序来为Windows
9x系统显示进程,如“Windows优化大师”,在“优化大师”的“系统安全优化”项内打开“进程管理”,在图2所示的“Windows
进程管理”窗口内,可以详细查看当前计算机所运行的所有进程,及具体程序所在的位置,这样更方便完成后面要介绍的如何利用进程进行查毒、杀毒。
  2.Windows 2000/ XP/2003系统
  Windows 2000、Windows XP、Windows
2003打开进程窗口的方式与Windows 9x系统相同,只是三键后打开的是“Windows 任务管理器”窗口,需要选择里面的“进程”项。Windows
2000系统只显示具体进程的全名,占用的内存量;Windows XP、Windows 2003系统相比Windows
2000会显示该进程归属于那个用户下,如操作系统所必须的基础程序,会在后面的“用户名”内显示为“SYSTEM”,由用户另外开启的程序则用户名为当前的系统登录用户名。
  经进程发现病毒
  在介绍具体的查毒和杀毒前,笔者先回答开篇提出的两个问题。为什幺杀毒软件并不能全面的查找和杀掉病毒?首先,病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。其次,杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的这些进程,被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该程序正在被使用不能删除的原因)。所以在使用杀毒软件杀毒时,才会有杀毒完成后,又出现病毒提示的原因。
  回到原来话题上!通过进程如何发现和杀掉病毒呢?由前面的知识介绍可知,Windows 9X和Windows
2000系统只能显示进程的名称,这对判断该进程是否是病毒还不够,如果要准确的断定病毒,最好使用前面介绍的“Windows优化大师”来查看进程程序的源路径,如果是“C:\Windows\system”下的一些未知的“EXE”那便极有病毒的可能性了。Windows
XP和Windows
2003系统,进程后会有“用户名”的显示,病毒是不可能获得“SYSTEM”权限的,所以应注意“用户名”是当前登录用户的进程,一旦发现是病毒,可以立即“杀掉”。这里介绍两个技巧:
  1.发现可疑进程后,利用Windows的查找功能,查找该进程所在的具体路径,通过路径可以知道该进程是否合法,譬如由路径“C:\Program
Files\3721\assistse.exe”知道该程序是3721的进程,是合法的。
  2.在对进程是否病毒拿不定主意时,可以复制该进程的全名,如:“xxx.exe”到googl.com或baidu.com这样的全球搜查引擎上进行搜查,如果是病毒会有相关的介绍网页。
  确定了该进程是病毒,首先应该杀掉该进程,对于Windows 9x系统,选中该进程后,点击下面的“结束任务”按钮,Windows
2000、Windows XP、Windows
2003系统则在进程上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可,完成后最好在进行一次杀毒,这样就万无一失了。
  一次利用进程杀毒的具体过程是这样的:“通过进程名及路径判断是否病毒——杀掉进程——删除病毒程序”,为了让读者更好的判断进程,在这里补充一些Windows的进程资料给大家:
  进程名描述
  smss.exe Session Manager
  csrss.exe 子系统服务器进程
  winlogon.exe 管理用户登录
  services.exe 包含很多系统服务
  lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
  svchost.exe  Windows 2000/XP 的文件保护系统
  Spoolsv.exe
 将文件加载到内存中以便迟后打印。
  explorer.exe 资源管理器
  internat.exe 托盘区的拼音图标
  mstask.exe允许程序在指定时间运行。
  regsvc.exe允许远程注册表操作。(系统服务)→remoteregister
  tftpd.exe 实现 TFTP
Internet 标准。该标准不要求用户名和密码。
  llssrv.exe证书记录服务
  ntfrs.exe
在多个服务器间维护文件目录内容的文件同步。
  RsSub.exe 控制用来远程储存数据的媒体。
  locator.exe
 管理 RPC 名称服务数据库。
  clipsrv.exe  支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
  msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其它事务保护资源管理器。
  grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS
文件系统有用)。
  snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
  以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。
  微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。
  以Windows
XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出服务列表。如果使用的是Windows
2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。
  如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。
  还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
  上面简单的介绍了svchost.exe进程的相关情况。总而言之,svchost.exe是一个系统的核心进程,并不是病毒进程。但由于svchost.exe进程的特殊性,所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒。[/size][/font][/align][/color]

海盗 发表于 2007-11-16 15:52

[实用资料系列]菜鸟必看:网络故障汇总

1故障现象:网络适配器(网卡)设置与计算机资源有冲突。
分析、排除:通过调整网卡资源中的IRQ和I/O值来避开与计算机其它资源的冲突。有些情况还需要通过设置主板的跳线来调整与其它资源的冲突。
2.故障现象:网吧局域网中其他客户机在“网上邻居”上都能互相看见,而只有某一台计算机谁也看不见它,它也看不见别的计算机。(前提:该网吧的局域网是通过HUB或交换机连接成星型网络结构)
分析、排除:检查这台计算机系统工作是否正常;检查这台计算机的网络配置;检查这台计算机的网卡是否正常工作;检查这台计算机上的网卡设置与其他资源是否有冲突;检查网线是否断开;检查网线接头接触是否正常。
3.故障现象:网吧局域网中有两个网段,其中一个网网段的所有计算机都不能上因特网。(前提:该网吧的局域网通过两个HUB或交换机连接着两个的网段)
分析、排除:两个网段的干线断了或干线两端的接头接处不良。检查服务器中对该网段的设置项。
4.故障现象:网吧局域网中所有的计算机在“网上邻居”上都能互相看见。(前提:该网吧的局域网是通过HUB或交换机连接成星型网络结构)
分析、排除:检查HUB或交换机工作是否正常。
5.故障现象:网吧局域网中某台客户机在“网上邻居”上都能看到服务器,但就是不能上因特网。(前提:服务器指代理网吧局域网其他客机上因特网的那台计算机,以下同)
分析、排除:检查这台客户机TCP/IP协议的设置,检查这台客户机中IE浏览器的设置,检查服务器中有关对这台客户机的设置项。
6.故障现象:网吧整个局域网上的所有的计算机都不能上因特网。
分析、排除:服务器系统工作是否正常;服务器是否掉线了;调制解调器工作是否正常;局端工作是否正常。
7.故障现象:网吧局域网中除了服务器能上网其他客户机都不能上网。
分析、排除:检查HUB或交换机工作是否正常;检查服务器与HUB或交换机连接的网络部分(含:网卡、网线、接头、网络配置)工作是否正常;检查服务器上代理上网的软件是否正常启动运行;设置是否正常。
8.故障现象:进行拨号上网操作时,MODEN没有拨号声音,始终连接不上因特网,MODEN上指示灯也不闪。
分析、排除:电话线路是否占线;接MODEN的服务器的连接(含:连线、接头)是否正常;电话线路是否正常,有无杂音干扰;拨号网络配置是否正确;MODEN的配置设置是否正确,检查拨号音的音频或脉冲方式是否正常。
9.故障现象:系统检测不到MODEN(若MODEN是正常的)。
分析、排除:重新安装一遍MODEN,注意通讯端口的正确位置。
10.故障现象:连接因特网速度过慢。
分析、排除:检查服务器系统设置在“拨号网络”中的端口连接速度是否是设置的最大值;线路是否正常;可通过优化MODEN的设置来提高连接的速度;通过修改注册表也可以提高上网速度;同时上网的客户机是否很多;若是很多,而使连接速度过慢是正常现象。
11.故障现象:计算机屏幕上出现“错误678”或“错误650”的提示框。
分析、排除:一般是你所拨叫的服务器线路较忙、占线,暂时无法接通,你可进一会后继续重拨。
12.故障现象:计算机屏幕上出现“错误680:没有拨号音。请检测调制解调器是否正确连到电话线。”或者“There is no dialtone。 Make sure your Modem is connected to the phone line properly。”的提示框。
分析、排除:检测调制解调器工作是否正常,是否开启;检查电话线路是否正常,是否正确接入调制解调器,接头有无松动。
13.故障现象:计算机屏幕上出现“The Modem is being used by another Dial-up Networding connection or another program。Disconnect the other connection or close the program,and then try again” 的提示框。
分析、排除:检查是否有另一个程序在使用调制解调器;检查调制解调器与端口是否有冲突。
14.故障现象:计算机屏幕上出现“The computer you are dialing into is not answering。Try again later”的提示框。
分析、排除:电话系统故障或线路忙,过一会儿再拨。
15.故障现象:计算机屏幕上出现“Connection to xx.xx.xx. was terminated. Do you want to reconnect?” 的提示框。
分析、排除:电话线路中断使拨号连接软件与ISP主机的连接被中断,过一会重试。
16.故障现象:计算机屏幕上出现“The computer is not receiving a response from the Modem. Check that the Modem is plugged in,and if necessary,turn the Modem off ,and then turn it back on” 的提示框。
分析、排除:检查调制解调器的电源是否打开;检查与调制解调器连接的线缆是否正确的连接。
17.故障现象:计算机屏幕上出现“Modem is not responding” 的提示框。
分析、排除:表示调制解调器没有应答;检查调制解调器的电源是否打开;检查与调制解调器连接的线缆是否正确连接;调制解调器是损坏。
18.故障现象:计算机屏幕上出现“NO CARRIER” 的提示信息。
分析、排除:表示无载波信号。这多为非正常关闭调制解调器应用程序或电话线路故障;检查与调制解调器连接的线缆是否正确的连接;检查调制解调器的电源是否打开。
19.故障现象:计算机屏幕上出现“No dialtone” 的提示框。
分析、排除:表示无拨号声音;检查电话线与调制解调器是否正确连接。
20.故障现象:计算机屏幕上出现“Disconnected” 的提示时。
分析、排除:表示终止连接;若该提示是在拨号时出现,检查调制解调器的电源是否打开;若该提示是使用过程中出现,检查电话是否在被人使用。
21.故障现象:计算机屏幕上出现“ERROR” 的提示框。
分析、排除:是出错信息;调制解调器工作是否正常,电源是否打开;正在执行的命令是否正确。
22.故障现象:计算机屏幕上出现“A network error occurred unable to connect to server (TCP Error:No router to host)The server may be down or unreadchable。Try connectin gagain later” 的提示时。
分析、排除故障:表示是网络错误,可能是TCP协议错误;没有路由到主机,或者是该服务器关机而导致不能连接,这时只有重试了。
23.故障现象:计算机屏幕上出现“The line id busy, Try again later”或“BUSY” 的提示时。
分析、排除:表示占线,这时只在重试了。
24.故障现象:计算机屏幕上出现:“The option timed out”的提示时。
分析、排除:表示连接超时,多为通讯网络故障,或被叫方忙,或输入网址错误。向局端查询通讯网络工作情况是否正常。检查输入网址是否正确。
25.故障现象:计算机屏幕上出现“Another program is dialing the selected connection” 的提示时。
分析、排除:表示有另一个应用程序已经在使用拨号网络连接了。只有停止该连接后才能继续我们的拨号连接。
26.故障现象: 在用IE浏览器浏览中文站点时出现乱码。
分析、排除故障:IE浏览器中西文软件不兼容造成的汉字会显示为乱码,可试用NetScape的浏览器看看;我国使用的汉字内码是GB,而*使用的是BIG5,若是这个原因造成的汉字显示为乱码,可用RichWin 变换内码试试。
27.故障现象: 浏览网页的速度较正常情况慢。
分析、排除:主干线路较拥挤,造成网速较慢;(属正常情况)浏览某一网页的人较多,造成网速较慢;(属正常情况) 有关Modem的设置有问题;局端线路有问题。
28.故障现象: 能正常上网,但总是时断时续的。
分析、排除:电话线路问题,线路质量差;调制解调器的工作不正常,影响上网的稳定性。
29.故障现象: 用拨号上网时,听不见拨号音,无法进行拨号。
分析、排除:检查调制解调器工作是否正常,电源打开否,电缆线接好了没,电话线路是否正常。(大众网络报)
30.故障现象: 在拨号上网的过程中,能听见拨号音,但没有拨号的动作,而计算机却提示“无拨号声音”。
分析、排除:可通过修改配置,使拨号器不去检测拨号声音。可进入“我的连接”的属性窗口,单击“配置”标签,在“连接”一栏中去掉“拨号前等待拨号音”的复选框。
31.故障现象: 在拨号上网的过程中,计算机屏幕上出现:“已经与您的计算机断开,双击‘连接’重试。”的提示时。
分析、排除: 电话线路质量差,噪声大造成的,可拨打:112报修。也可能是病毒造成的,用杀毒软件杀一遍毒。
32.故障现象: 若计算机屏幕上出现:“拨号网络无法处理在‘服务器类型’设置中指定的兼容网络协议”的提示时。
分析、排除:检查网络设置是否正确;调制解调器是否正常;是否感染上了宏病毒,用最新的杀毒软件杀一遍毒。
33.故障现象:Windows 98网上邻居中找不到域及服务器,但可找到其他的工作站。
分析、排除:在“控制面板→网络→Microsoft网络客户”中,将登录时Windows 98与网络的连接由慢速改为快速连接。
34.故障现象:在查看"网上邻居"时,会出现“无法浏览网络。网络不可访问。想得到更多信息,请查看‘帮助索引‘中的‘网络疑难解答’专题。”的错误提示。
分析、排除:第一种情况是因为在Windows启动后,要求输入Microsoft网络用户登录口令时,点了"取消"按钮所造成的,如果是要登录NT服务器,必须以合法的用户登录,并且输入正确口令。第二种情况是与其它的硬件产生冲突。打开“控制面板→系统→设备管理”。查看硬件的前面是否有*的问号、感叹号或者红色的问号。如果有,必须手工更改这些设备的中断和I/O地址设置。
35.故障现象:在“网上邻居”或“资源管理器”中只能找到本机的机器名。
分析、排除:网络通信错误,一般是网线断路或者与网卡的接确不良,还有可能是Hub有问题 36.故障现象:可以访问服务器,也可以访问Internet,但却无法访问其他工作站?
分析、排除:如果使用了WINS解析,可能是WINS服务器地址设置不当;检查网关设置,若双方分属不同的子网而网关设置有误,则不能看到其他工作站;检查子网掩码设置37.故障现像:网卡在计算机系统无法安装。
分析、排除:第一个可能是计算机上安装了过多其它类型的接口卡,造成中断和I/O地址冲突。可以先将其他不重要的卡拿下来,再安装网卡,最后再安装其他接口卡。第二个可能是计算机中有一些安装不正确的设备,或有"未知设备"一项,使系统不能检测网卡。这时应该删除"未知设备"中的所有项目,然后重新启动计算机。第三个可能是计算机不能识别这一种类型的网卡,一般只能更换网卡。
38.故障现象:局域网上可以Ping通IP地址,但Ping不通域名?
分析、排除:TCP/IP协议中的“DNS设置”不正确,请检查其中的配置。对于对等网,“主机”应该填自己机器本身的名字,“域”不需填写,DNS服务器应该填自己的IP。对于服务器/工作站网,“主机”应该填服务器的名字,“域”填局域网服务器设置的域,DNS服务器应该填服务器的IP。
39.故障现象:网络上的其他计算机无法与某一台计算机连接。
分析、排除:确认是否安装了该网络使用的网络协议?如果要登录NT域,还必须安装NetBEUI协议。确认是否安装并启用了文件和打印共享服务?如果是要登录NT服务器网络,在“网络”属性的“主网络登录”中,应该选择“Microsoft网络用户”。如果是要登录NT服务器网络,在“网络”属性框的“配置”选项卡中,双击列表中的“Microsoft网络用户”组件,检查是否已选中“登录到Windows域”复选框,以及“Windows域”下的域名是否正确。
40.故障现象:安装网卡后,计算机启动的速度慢了很多。
分析、排除:可能在TCP/IP设置中设置了"自动获取IP地址",这样每次启动计算机时,计算机都会主动搜索当前网络中的DHCP服务器,所以计算机启动的速度会大大降低。解决的方法是指定静态的IP地址。(大众网络报)
50.故障现象:网络安装后,在其中一台计算机上的“网络邻居”中看不到任何计算机?
分析、排除:主要原因可能是网卡的驱动程序工作不正常。请检查网卡的驱动程序,必要时重新安装驱动程序。
51.故障现象:从“网络邻居”中能够看到别人的机器,但不能读取别人电脑上的数据?
分析、排除:
(1)首先必须设置好资源共享。选择"网络→配置→文件及打印共享",将两个选项全部打勾并确定,安装成功后在"配置"中会出现"Microsoft 网络上的文件与打印机共享"选项。
  (2)检查所安装的所有协议中,是否绑定了"Microsoft网络上的文件与打印机共享"。选择"配置"中的协议如"TCP/IP协议",点击"属性"按钮,确保绑定中"Microsoft网络上的文件与打印机共享"、"Microsoft网络用户"前已经打勾了。
52.故障现象:在安装网卡后通过"控制面板→系统→设备管理器"查看时,报告"可能没有该设备,也可能此设备未正常运行,或是没有安装此设备的所有驱动程序"的错误信息。
分析、排除:
(1)没有安装正确的驱动程序,或者驱动程序版本不对。
  (2)中断号与I/O地址没有设置好。有一些网卡通过跳线开关设置;另外一些是通过随卡带的软盘中的Setup程序进行设置。
53.故障现象:已经安装了网卡和各种网络通讯协议,但网络属性中的选择框"文件及打印共享"为灰色,无法选择。
分析、排除:原因是没有安装"Microsoft 网络上的文件与打印共享"组件。在"网络"属性窗口的"配置"标签里,单击"添加"按钮,在"请选择网络组件"窗口单击"服务",单击"添加"按钮,在"选择网络服务"的左边窗口选择"Microsoft",在右边窗口选择"Microsoft网络上的文件与打印机共享",单击"确定"按钮,系统可能会要求插入Windows安装光盘,重新启动系统即可。
54.故障现象:无法在网络上共享文件和打印机。
分析、排除:
(1)确认是否安装了文件和打印机共享服务组件。要共享本机上的文件或打印机,必须安装"Microsoft网络上的文件与打印机共享"服务。
  (2)确认是否已经启用了文件或打印机共享服务。在"网络"属性框中选择"配置"选项卡,单击"文件与打印机共享"按钮,然后选择"允许其他用户访问的我的文件"和"允许其他计算机使用我的打印机"选项。
  (3)确认访问服务是共享级访问服务。在"网络"属性的"访问控制"里面应该选择"共享级访问"。
55.故障现象:客户机无法登录到网络上。
分析、排除:
  (1)检查计算机上是否安装了网络适配器,该网络适配器工作是否正常。
  (2)确保网络通信正常,即网线等连接设备完好。
  (3)确认网络适配器的中断和I/O地址没有与其他硬件冲突。
  (4)网络设置可能有问题。
56.故障现象:无法将台式电脑与笔记本电脑使用直接电缆连接。
分析、排除:笔记本电脑自身可能带有PCMCIA网卡,在"我的电脑→控制面板→系统→设备管理器"中删除该"网络适配器"记录后,重新连接即可。
57.故障现象:在网上邻居上可以看到其它机器,别人却看不到自己?
分析、排除:经检查网络配置,发现是漏装"Microsoft 网络上的文件与打印机共享"所致。  解决办法:开始--设置--控制面板--网络,单击"添加",在网络组件中选择"服务",单击"添加"按钮,型号中选择"Microsoft 网络上的文件与打印机共享"即可。重新启动后问题解决。
58.故障现象:在网上邻居上只能看到计算机名,却没有任何内容?
分析、排除:出现这种问题时一般都以为是将文件夹没有共享所致。打开资源管理器,点取要共享的文件夹,却发现右键菜单中的"共享"项都消失了。解决办法是右击“网上邻居”图标,点取“文件及打印共享”,钩选“允许其它用户访问我的文件”,重启后,问题解决。
59.故障现象:在Windows 98的“网上邻居”中找不到域及服务器,但可找到其他的工作站?
分析、排除:在“控制面板→网络→Microsoft网络客户”中,将登录时Windows 98与网络的连接由慢速改为快速连接。
60.故障现象:在查看“网上邻居”时,会出现“无法浏览网络。网络不可访问。想得到更多信息,请查看'帮助索引'中的'网络疑难解答'专题。”的错误提示。
分析、排除:(1)这是在Windows启动后,要求输入Microsoft网络用户登录口令时,点了“取消”按钮所造成的,如果是要登录Windows NT或者Windows 2000服务器,必须以合法的用户登录,并且输入正确口令。
(2)与其它的硬件起冲突。打开“控制面板→系统→设备管理”。查看硬件的前面是否有*的问号、感叹号或者红色的问号。如果有,必须手工更改这些设备的中断和I/O地址设置。
61.故障现象:用Windows 2000专业版做服务器,然后用Windows 98做客户机,网上邻居正常,Windows 98与Windows 98之间突然变得很慢,但从Windows 2000访问Windows 98却很快。
分析、排除:大家在通过网络系统浏览共享文件时,大概都会要等上30秒钟。这其实是因为Windows 2000有个BUG,一定要先在“计划任务”里搜索,再找出共享文件。而我们提到的这个方法就是专门修补这个BUG的,如果做一些改动的话,Windows 2000的用户就会发现,无论是互联网还是视窗浏览的速度都有了很显著的提高:
打开注册表
HKEY_LOCAL_MACHINE/Software/Microsoft[url]http://windows.chinaitlab.com/Current[/url] Version/Explorer/RemoteComputer/NameSpace
在其分栏出选择键值:
 {D6277990-4C6A-11CF-8D87-00AA0060F5BF
 然后删除。
  因为就是这个健值引导Windows去搜索“计划任务”。不需要重新开机,几乎立刻就可以感受到你的浏览程序快了很多!
62.故障现象:已经按照要求安装、设置好Sygate,但服务器仍不能连接网络。
分析、排除:使用Sygate中特有的Sygate Diagnostics(诊断)功能。可以通过以下两种方式来启动诊断医生,在 Sygate王界面的工具栏电权击 Diagnosticstool(诊断工具)图标,或者点去开始一程序一Sygate——Sygate Diagnostics。这时诊断工具会依次测试系统设置、网络适配器、拨号连接、TCP/IP协议与设置等。如果测试不能通过,系统会出现一个提示,描述问题及指点正确的方向。此时你可以根据提示作相应的更改。如果测试通过,诊断工具会显示已经测试通过的提示。
63.故障现象:正确安装Sygate4后,网络中的某些客户机不能正常使用。
分析、排除:一般情况,客户机不能正常使用多为TCP/IP的配置出现问题,当然也不排除操作系统和硬件(比如网卡已坏等)的问题,在这种情况下,你可以使用Sygate的Troubleshooting(发现并解决故障)功能,在出现的表单中详细列出使用Sygate后产生的信息资料,例如:sdsys.log、 Sygate.log、 sgconf.log、 sgsys.log等,在这些日志中包含了服务器、操作系统、拨号网络、网卡、浏览网址、应用程序等详细资料,你可以根据这些资料来判断故障,然后作出相应修改。
64.故障现象:自从安装Sygate后,服务器经常会莫名其妙自动拨号上网。
分析、排除:这是因为网络中的客户机启动了某些网络软件,例如浏览器、电子邮件软件等,而又在配置中勾进了Enable Dial-on-Demand For Cline(允许客户机拨号),这样当SyGate侦测到网络中有连接到Internet的请求,如此时系统尚未建立连接,便会自动拨号。只要去掉前面的小勾,即能解决这个问题。
65. 故障现象:用分机电话线上网,Modem为实达网上之星,上网连接速度最快才48000bps。 还有,将Modem放在主机箱侧,开机后(未打开Modem电源),家里的电话就处于忙音状态。
分析、排除:第一个问题跟分机电话线或线接头质量有很大关系,另外,如果Modem的速度平常都能接近48000bps,也不要太在意,应该重点先看一下它的实际下载速度是否令你满意。第二个问题,肯定和主机电源的电磁辐射强和屏蔽效果差有关,最好用物体在主机和Modem之间进行屏蔽,或将Modem远离主机。
66.故障现象:一台计算机通过局域网连接,一切正常。但是换了一个硬盘、重新安装Win98操作系统后,查看网上邻居时,只能看到自己的计算机和所属的工作组;而访问外部网却没有问题,收发邮件也没问题。
分析、排除:启动电脑后不要立即打开网上邻居,而是等一下再打开,并且按F5键刷新,一般可以看到新的工作组和用户。如果实在不行,就用查找计算机,找到其他组的计算机后作成快捷方式放在桌面上。
67.故障现象:有时ADSL的访问速度较平时慢。
分析、排除:原因很多:可能是出口带宽及对方站点配置情况等原因的影响;可能是线路的质量情况的影响;可能是接入局端设备影响。
68.故障现象: 在Windows NT4.0操作系统上已经安装了Modem、TCP/IP协议和RAS服务,但在拔号上网铁过程中,计算机屏幕上出:“734错误,对方服务器终止(口令和用户名均无误,在Windows下可以正常上网)”的提示框。
分析、排除:在“设置”中不要输入域名试试看。
69.故障现象:在Windows NT4.0操作系统上拨号上网的过程中,在检测用户名和密码时要断线。
分析、排除:可以将验证密码的选项改成明文验证方式试试看;可以把拨号网络属性中“拨号后出现终端窗口”复选框选中试试看。
70.故障现象: 在Windows NT4.0操作系统上拨号上网的过程中,在检测用户名和密码后自动断开。
分析、排除:可在“新的电话簿项”中,单击“安全”项,然后在“认证与加密规则”中选中“接受任何验证”。
71.故障现象: 只要一启动IE浏览器,就会自动执行发送和接收邮件。
分析、排除:可打开IE浏览器,在菜单栏中单击“工具(T)”项,在弹出的下拉式菜单中选中并单击“Internet选项(O)”项,在弹出的对话框中单击“常规”标签,去掉“启动时自动接收所有帐号怕邮件”项便可以了

海盗 发表于 2007-11-16 16:40

[实用资料系列]十七点安全知识详细了解进程和病毒

[align=left][size=3][b]第一:进程是什么[/b] [/size][/align][align=left][size=3]进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。 [/size][/align][align=left][size=3]危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。 [/size][/align][align=left][size=3][b]第二:什么是木马[/b] [/size][/align][align=left][size=3]木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。 [/size][/align][align=left][size=3]传染方式:通过电子邮件附件发出,捆绑在其他的程序中。 [/size][/align][align=left][size=3]病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。 [/size][/align][align=left][size=3]木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。 [/size][/align][align=left][size=3]防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。 [/size][/align][align=left][size=3][b]第三:什么是计算机病毒[/b] [/size][/align][align=left][size=3]计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。 [/size][/align][align=left][size=3]除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏, 同时能够自我复制, 具有传染性。 [/size][/align][align=left][size=3]所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。 [/size][/align][align=left][size=3][b]第四:什么是蠕虫病毒[/b] [/size][/align][align=left][size=3]蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。 [/size][/align][align=left][size=3]比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。 [/size][/align][align=left][size=3]蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。 [/size][/align][align=left][size=3][b]第五:什么是广告软件Adware[/b] [/size][/align][align=left][size=3]广告软件(Adware)是指 未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后,往往造成系统运行缓慢或系统异常。 [/size][/align][align=left][size=3]防治广告软件,应注意以下方面: [/size][/align][align=left][size=3]1、不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。 [/size][/align][align=left][size=3]2、有些广告软件通过恶意网站安装,所以,不要浏览不良网站。 [/size][/align][align=left][size=3]3、采用安全性比较好的网络浏览器,并注意弥补系统漏洞。 [/size][/align][align=left][size=3][b]第六:什么是间谍软件Spyware[/b] [/size][/align][align=left][size=3]间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获, 甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。 [/size][/align][align=left][size=3]防治间谍软件,应注意以下方面: [/size][/align][align=left][size=3]1、不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。 [/size][/align][align=left][size=3]2、有些间谍软件通过恶意网站安装,所以,不要浏览不良网站。 [/size][/align][align=left][size=3]3、采用安全性比较好的网络浏览器,并注意弥补系统漏洞。 [/size][/align][align=left][size=3][b]第七:Dll文件是什么[/b] [/size][/align][align=left][size=3]DLL是Dynamic Link Library的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL 文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:\WindowsSystem目录下。 [/size][/align][align=left][size=3]1、如何了解某应用程序使用哪些DLL文件 [/size][/align][align=left][size=3]右键单击该应用程序并选择快捷菜单中的“快速查看”命令,在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。 [/size][/align][align=left][size=3]2、如何知道DLL文件被几个程序使用 [/size][/align][align=left][size=3]运行Regedit,进入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent- [/size][/align][align=left][size=3]ersionSharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。 [/size][/align][align=left][size=3]3、如何解决DLL文件丢失的情况 [/size][/align][align=left][size=3]有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的 DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到 System文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。 [/size][/align][align=left][size=3]rundll的功能是以命令列的方式呼叫Windows的动态链结库。 [/size][/align][align=left][size=3]Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库,后者是用于16位的链结库。rundll32.exe是专门用来调用dll文件的程序。 [/size][/align][align=left][size=3]如果用的是Win98,rundll32.exe一般存在于Windows目录下; [/size][/align][align=left][size=3]如果用的WinXP,rundll32.exe一般存在于WindowsSystem32目录下。 [/size][/align][align=left][size=3]若是在其它目录,就可能是一个木马程序,它会伪装成rundll32.exe。 [/size][/align][align=left][size=3][b]第八:什么是系统进程[/b] [/size][/align][align=left][size=3]进程是指在系统中正在运行的一个应用程序;线程是系统分配处理器时间资源的基本单元,或者说进程之内独立执行的一个单元。对于操作系统而言,其调度单元是线程。一个进程至少包括一个线程,通常将该线程称为主线程。一个进程从主线程的执行开始进而创建一个或多个附加线程,就是所谓基于多线程的多任务。[/size][/align][align=left][size=3]那进程与线程的区别到底是什么?进程是执行程序的实例。例如,当你运行记事本程序(Nodepad)时,你就创建了一个用来容纳组成Notepad.exe的代码及其所需调用动态链接库的进程。每个进程均运行在其专用且受保护的地址空间内。因此,如果你同时运行记事本的两个拷贝,该程序正在使用的数据在各自实例中是彼此独立的。在记事本的一个拷贝中将无法看到该程序的第二个实例打开的数据。 [/size][/align][align=left][size=3]以沙箱为例进行阐述。一个进程就好比一个沙箱。线程就如同沙箱中的孩子们。孩子们在沙箱子中跑来跑去,并且可能将沙子攘到别的孩子眼中,他们会互相踢打或撕咬。但是,这些沙箱略有不同之处就在于每个沙箱完全由墙壁和顶棚封闭起来,无论箱中的孩子如何狠命地攘沙,他们也不会影响到其它沙箱中的其他孩子。因此,每个进程就象一个被保护起来的沙箱。未经许可,无人可以进出。 [/size][/align][align=left][size=3]实际上线程运行而进程不运行。两个进程彼此获得专用数据或内存的唯一途径就是通过协议来共享内存块。这是一种协作策略。下面让我们分析一下任务管理器里的进程选项卡。 [/size][/align][align=left][size=3]这里的进程是指一系列进程,这些进程是由它们所运行的可执行程序实例来识别的,这就是进程选项卡中的第一列给出了映射名称的原因。请注意,这里并没有进程名称列。进程并不拥有独立于其所归属实例的映射名称。换言之,如果你运行5个记事本拷贝,你将会看到5个称为 Notepad.exe的进程。它们是如何彼此区别的呢?其中一种方式是通过它们的进程ID,因为每个进程都拥有其独一无二的编码。该进程ID由 Windows NT或Windows 2000生成,并可以循环使用。因此,进程ID将不会越编越大,它们能够得到循环利用。 [/size][/align][align=left][size=3]第三列是被进程中的线程所占用的CPU时间百分比。它不是CPU的编号,而是被进程占用的CPU时间百分比。此时我的系统基本上是空闲的。尽管系统看上去每一秒左右都只使用一小部分CPU时间,但该系统空闲进程仍旧耗用了大约99%的CPU时间。 [/size][/align][align=left][size=3]第四列,CPU时间,是CPU被进程中的线程累计占用的小时、分钟及秒数。请注意,我对进程中的线程使用占用一词。这并不一定意味着那就是进程已耗用的CPU时间总和,因为,如我们一会儿将看到的,NT计时的方式是,当特定的时钟间隔激发时,无论谁恰巧处于当前的线程中,它都将计算到CPU周期之内。通常情况下,在大多数NT系统中,时钟以10毫秒的间隔运行。每10毫秒NT的心脏就跳动一下。有一些驱动程序代码片段运行并显示谁是当前的线程。让我们将CPU时间的最后10毫秒记在它的帐上。因此,如果一个线程开始运行,并在持续运行8毫秒后完成,接着,第二个线程开始运行并持续了2毫秒,这时,时钟激发,请猜一猜这整整10毫秒的时钟周期到底记在了哪个线程的帐上?答案是第二个线程。因此,NT中存在一些固有的不准确性,而NT恰是以这种方式进行计时,实际情况也如是,大多数32位操作系统中都存在一个基于间隔的计时机制。请记住这一点,因为,有时当你观察线程所耗用的CPU总和时,会出现尽管该线程或许看上去已运行过数十万次,但其CPU时间占用量却可能是零或非常短暂的现象,那么,上述解释便是原因所在。上述也就是我们在任务管理器的进程选项卡中所能看到的基本信息列。 [/size][/align][align=left][size=3][b]第九:什么是应用程序[/b] [/size][/align][align=left][size=3]应用程序指的是程序开发人员要开发的一个数据库应用管理系统,它可以是一个单位的财务管理系统、人事管理系统等。(各种有关功能的窗口的集合构成一个完整的应用系统,分发给各个终端用户的就是一个应用程序。 [/size][/align][align=left][size=3][b]第十:如何察看正在运行的进程[/b] [/size][/align][align=left][size=3]察看正在运行的进程的方法有很多,最简单就是使用Windows自带的进程管理器察看正在运行的进程:同时按下“Ctl Alt Del”打开Windows进程管理器。点击进程的标签,即可察看系统中进行的进程列表。或者用鼠标右键点系统状态栏“系统管理器”进入系统进程管理器。 [/size][/align][align=left][size=3][b]第十一:如何强制结束一个运行中的进程[/b] [/size][/align][align=left][size=3]1、打开“终端服务管理器(任务管理器)”。 [/size][/align][align=left][size=3]2、在“进程”选项卡上的“用户”列下,右键单击要结束的进程,然后单击“结束进程”。 [/size][/align][align=left][size=3]注意: [/size][/align][align=left][size=3](1)必须具有完全控制权限才能结束进程。 [/size][/align][align=left][size=3](2)要打开“终端服务管理器”,请依次单击“开始”和“控制面板”,双击“管理工具”,然后双击“终端服务管理器”。 [/size][/align][align=left][size=3](3)请注意:在没有警告的情况下结束进程会导致用户会话中的数据丢失。 [/size][/align][align=left][size=3](4)可能需要结束进程,因为应用程序没有响应 [/size][/align][align=left][size=3](5)也可以使用 tskill 命令结束进程。 [/size][/align][align=left][size=3]强制结束进程的命令行 [/size][/align][align=left][size=3]Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。ntsd会新开一个调试窗口,本来在纯命令行下无法控制,但如果只是简单的命令,比如退出(q),用-c参数从命令行传递就行了。Ntsd按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息,请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口,输入: [/size][/align][align=left]
[size=3]ntsd -c q -p PID
[/size][/align][align=left][size=3]把最后那个PID,改成你要终止的进程的ID。如果你不知道进程的ID,任务管理器->进程选项卡->查看->选择列->勾上“PID(进程标识符)”,然后就能看见了。 [/size][/align][align=left][size=3]XP下还有两个好用的工具tasklist和tskill。tasklist能列出所有的进程,和相应的信息。tskill能查杀进程,语法很简单:tskill 程序名! [/size][/align][align=left][size=3]结束进程的一些巧用小窍门 [/size][/align][align=left][size=3]误删VCD文件的另类恢复 [/size][/align][align=left][size=3]现在很多人会把一些不错的VCD直接拷入硬盘保存。但你是否误删过这些百看不厌的经典之作呢?那么怎样才能在不用恢复软件的情况下手动恢复它们呢? [/size][/align][align=left][size=3]笔者找到了一个另类的恢复方法,并且效果还不错。首先要知道误删的VCD文件的文件名和原文件存储路径。一般情况下 VCD的主要视频文件是VCD根目录下的Mpegav文件夹,文件名一般为Avseq0?.dat或Music0?.dat,其中“?”代表数字 (1~9)。有的VCD序幕和正式内容是一个文件,即Avseq01.dat或Music01.dat;也有的VCD序幕和正式内容分别为两个文件,即序幕为Avseq01.dat或Music01.dat,而正式内容为Avseq02.dat或Music02.dat。 [/size][/align][align=left][size=3]首先,找一个和误删文件同名的文件(暂且称为A),接着将A复制到原误删文件的同一文件夹中。在出现“正在复制...”窗口时,按下Ctrl+Alt+Del结束“正在复制...”任务,如果“正在复制...”窗口不消失,就再次按下Ctrl+Alt+Del结束“正在复制...”任务。就这么简单,到原误删文件存储的地方看一下,是不是又失而复得了?用多媒体播放软件打开,只是开头几秒种是文件A的内容,后面的照看不误。 [/size][/align][align=left][size=3]保存拷了一部分的文件 [/size][/align][align=left][size=3]如果你经常会把MP3、CD、VCD、MPEG、RM等音、视频文件(或其他类型的文件)从光盘中复制到硬盘,那么可能会遇到复制到只剩下一点点时,Windows提示“复制文件出错”,这时只要按回车键或点击“确定”按钮,那么辛辛苦苦复制的文件就会丢失。 [/size][/align][align=left][size=3]其实只要马上激活“任务管理器”,把“出错的对话框”和“正在复制”的任务都关闭掉。那么文件就会以原文件大小保存下来了,当然这还是有缺点的,当此类文件播放到断点的地方时就会停止。 [/size][/align][align=left][size=3]巧玩游戏 [/size][/align][align=left][size=3]本人用的是Windows XP家庭版,运行一些支持Windows 2000但不支持Windows XP的游戏时,鼠标、键盘失去反应。某日发现一解法:打开“任务管理器”,结束EXPLORER.EXE进程,点“新任务”,找到游戏运行文件,运行即可。另外,结束SVCHOST.exe(为当前用户名的)进程可以去掉Windows XP风格。 [/size][/align][align=left][size=3][b]第十二:一些常见的进程[/b] [/size][/align][table=400][tr][td][size=3]进程名描述
smss.exeSessionManager
csrss.exe 子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。
explorer.exe资源管理器
internat.exe托盘区的拼音图标
mstask.exe允许程序在指定时间运行.
regsvc.exe允许远程注册表操作。(系统服务)→remoteregister
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
llssrv.exe证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源
管理器。
grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以
节省磁盘空间(只对 NTFS 文件系统有用)。
snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。[/size][/td][/tr][/table]
[align=left][size=3]以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。 [/size][/align][align=left][size=3][b]第十三:什么是网络钓鱼[/b] [/size][/align][align=left][size=3]什么是网络钓鱼? [/size][/align][align=left][size=3]网络钓鱼(Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。 [/size][/align][align=left][size=3]如何防备网络钓鱼? [/size][/align][align=left][size=3]不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。 [/size][/align][align=left][size=3]不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播,这些途径往往可能被黑客利用来进行诈骗。 [/size][/align][align=left][size=3]不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言,伺机窃取用户的身份资料等。 [/size][/align][align=left][size=3]不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。 [/size][/align][align=left][size=3]如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。 [/size][/align][align=left][size=3]不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。 [/size][/align][align=left][size=3][b]第十四:什么是浏览器劫持[/b] [/size][/align][align=left][size=3]浏览器劫持是一种恶意程序,通过DLL插件、BHO 、Winsock LSP 等形式 对用户的浏览器进行篡改,使用户浏览器出现 访问正常网站时被转向到恶意网页、IE浏览器主页 / 搜索页等被修改为劫持软件指定的网站地址等异常。 [/size][/align][align=left][size=3]浏览器劫持如何防止,被劫持之后应采取什么措施? [/size][/align][align=left][size=3]浏览器劫持分为多种不同的方式,从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程,劫持浏览器,都有人采用。针对这些情况,用户应该采取如下措施: [/size][/align][align=left][size=3]不要轻易浏览不良网站。 [/size][/align][align=left][size=3]不要轻易安装共享软件、盗版软件。 [/size][/align][align=left][size=3]建议使用安全性能比较高的浏览器,并可以针对自己的需要对浏览器的安全设置进行相应调整。 [/size][/align][align=left][size=3]如果给浏览器安装插件,尽量从浏览器提供商的官方网站下载。 [/size][/align][align=left][size=3][b]第十五:什么是恶意共享软件[/b] [/size][/align][align=left][size=3]恶意共享软件(malicious shareware)是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上,并且利用一些病毒常用的技术手段造成软件很难被卸载,或采用一些非法手段强制用户购买的免费、共享软件。 安装共享软件时,应注意以下方面: 注意仔  细阅读软件提供的“安装协议”,不要随便点“next”进行安装。 [/size][/align][align=left][size=3]不要安装从不良渠道获得的盗版软件,这些软件往往由于破解不完全,安装之后带来安全风险。 [/size][/align][align=left][size=3]使用具有破坏性功能的软件,如硬盘整理、分区软件等,一定要仔细了解它的功能之后再使用,避免因误操作产生不可挽回的损失。 [/size][/align][align=left][size=3][b]第十六:如何更好地预防计算机病毒入侵[/b] [/size][/align][align=left][size=3]有病治病,无病预防这是人们对健康生活的最基本也是最重要的要求,预防比治疗更为重要。对计算机来说,同样也是如此,了解病毒,针对病毒养成一个良好的计算机应用管理习惯,对保障您的计算机不受计算机病毒侵扰是尤为重要的。为了减少病毒的侵扰,建议大家平时能做到“三打三防”。 [/size][/align][align=left][size=3]“三打” 就是安装新的计算机系统时,要注意打系统补丁,震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的,打好补丁就可以防止此类病毒感染;用户上网的时候要打开杀毒软件实时监控,以免病毒通过网络进入自己的电脑;玩网络游戏时要打开个人防火墙,防火墙可以隔绝病毒跟外界的联系,防止木马病毒盗窃资料。 [/size][/align][align=left][size=3]“三防” 就是防邮件病毒,用户收到邮件时首先要进行病毒扫描,不要随意打开电子邮件里携带的附件;防木马病毒,木马病毒一般是通过恶意网站散播,用户从网上下载任何文件后,一定要先进行病毒扫描再运行;防恶意“好友”,现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播,一旦你的在线好友感染病毒,那么所有好友将会遭到病毒的入侵。 [/size][/align][align=left][size=3][b]第十七:如何干净地清除病毒[/b] [/size][/align][align=left][size=3]1、在安全模式或纯DOS模式下清除病毒 [/size][/align][align=left][size=3]当计算机感染病毒的时候,绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒,这里说的正常模式准确的说法应该是实模式(Real Mode),这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的“MS-DOS 方式” 或 " 命令提示符”。但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法,针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。 [/size][/align][align=left][size=3]在安全模式(Safe Mode)或者纯DOS下进行清除清除时,对于现在大多数流行的病毒,如蠕虫病毒、木马程序和网页代码病毒等,都可以在安全模示下清除。DOS下杀毒(建议用干净软盘启动杀毒)。而且,当计算机原来就感染了病毒,那就更需要在安装反病毒软件后(升级到最新的病毒库),在安全模式(Safe Mode)或者纯DOS下清除一遍病毒了! [/size][/align][align=left][size=3]2、带毒文件在\Temporary Internet Files目录下 [/size][/align][align=left][size=3]由于这个目录下的文件,Windows 会对此有一定的保护作用,所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然后打开 IE ,选择IE工具栏中的“工具\Internet 选项”,选择 "删除文件”删除即可,如果有提示“删除所有脱机内容”,也请选上一并删除。 [/size][/align][align=left][size=3]3、带毒文件在 \_Restore 目录下,*.cpy 文件中 [/size][/align][align=left][size=3]这是系统还原存放还原文件的目录,只有在装了Windows Me/XP 操作系统上才会有这个目录,由于系统对这个目录有保护作用。 [/size][/align][align=left][size=3]对于这种情况需要先取消“系统还原”功能,然后将带毒文件删除,甚至将整个目录删除也是可以的。 [/size][/align][align=left][size=3]4、带毒文件在.rar、.zip、.cab 等压缩文件中 [/size][/align][align=left][size=3]对于绝大多数的反病毒软件来说,现在的查杀压缩文件中病毒的功能已经基本完善了,单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。 [/size][/align][align=left][size=3]要清除压缩文件中的病毒,建议解压缩后清除,或者借助压缩工具软件的外挂杀毒程序的功能,对带毒的压缩文件进行杀毒。 [/size][/align][align=left][size=3]5、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中 [/size][/align][align=left][size=3]这种病毒一般是引导区病毒,报告的病毒名称一般带有 boot 、 wyx 等字样。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病毒软件直接进行查杀。 [/size][/align][align=left][size=3]如果这种病毒是在硬盘上,则需要用干净的可引导盘启动进行查杀。 对于这类病毒建议用干净软盘启动进行查杀,不过在查杀之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows 、Linux 等。 如果没有干净的可引导盘,则可使用下面的方法进行应急杀毒: [/size][/align][align=left][size=3](1) 在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows 95/98/ME 系统上通过“添加/删除程序”进行制作,但要注意的是,制作软盘的操作系统须和自己所使用的操作系统相同; [/size][/align][align=left][size=3](2) 用这张软盘引导启动带毒的计算机,然后运行以下命令: [/size][/align][table=400][tr][td][size=3]A:\>fdisk/mbr
A:\>sys a: c:[/size][/td][/tr][/table]
[align=left][size=3]针对 NT 构架的操作系统可首先安装“管理员控制台”,安装后使用管理员控制台,然后分别执行 fixmbr(恢复主引导记录)和 fixboot(恢复启动盘上的引导区)命令对引导区及启动信息进行修复。 [/size][/align][align=left][size=3]如果带毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中,那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件,一般作用不大,病毒在其中已经不起作用了。 [/size][/align][align=left][size=3]6、带毒文件在一些邮件文件中,如dbx、eml、box 等 [/size][/align][align=left][size=3]绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒,对于邮箱中的带毒的信件,可以根据用户的设置杀毒或删除带毒邮件,但是由于此类邮箱的复合文件结构,易出现杀毒后的邮箱依旧可以检测到病毒情况,这是由于没有压缩邮箱进行空间释放的原因导致的,您可以尝试在 Outlook Express 中选择“工具” — 〉“选项” — 〉“维护” — 〉“立即清除” — 〉“压缩” [/size][/align][align=left][size=3]7、文件中有病毒的残留代码 [/size][/align][align=left][size=3]这种情况比较多见的就是带有 CIH、Funlove、宏病毒(包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒)和个别网页病毒的残留代码,通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app 等结尾,而且并不常见,如 W32/FunLove.app、W32.Funlove.int。一般情况下,这些残留的代码不会影响正常程序的运行,也不会传染,如果需要彻底清除的话,要根据各个病毒的实际情况进行清除。 [/size][/align][align=left][size=3]8、文件错误 [/size][/align][align=left][size=3]这种情况出现的并不多,通常是由于某些病毒对系统中的关键文件修改后造成的,异常的文件无法正常使用,同时易造成别的系统错误,针对此种情况建议进行修复安装的方法恢复系统中的关键文件。 [/size][/align][align=left][size=3]9、加密的文件或目录 [/size][/align][align=left][size=3]对于一些加密了的文件或目录,请在解密后再进行病毒查杀。 [/size][/align][align=left][size=3]10 、共享目录杀毒 [/size][/align][align=left][size=3]这里包括两种情况:本地共享目录和网络中远程共享目录(其中也包括映射盘)。 [/size][/align][align=left][size=3]遇到本地共享的目录中的带毒文件不能清除的情况,通常是局域网中别的用户在读写这些文件,杀毒的时候表现为无法直接清除这些带毒文件中的病毒,如果是有病毒在对这些目录在写病毒操作,表现为对共享目录进行清除病毒操作后,还是不断有文件被感染或者不断生成病毒文件。以上这两种情况,都建议取消共享,然后针对共享目录进行彻底查杀,恢复共享的时候,注意不要开放太高的权限,并对共享目录加设密码。对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话,建议还是直接在远程计算机进行查杀病毒。 [/size][/align][align=left][size=3]特别的,如果在清除别的病毒的时侯都建议取消所有的本地共享,再进行杀毒操作。在平时的使用中,也应注意共享目录的安全性,加设密码,同时,非必要的情况下,不要直接读取远程共享目录中的文件,建议拷贝到本地检查过病毒后再进行操作。 [/size][/align][align=left][size=3]11、光盘等一些存储介质 [/size][/align][align=left][size=3]对于光盘上带有的病毒,不要试图直接清除,这是因为光盘上的文件都是只读的原因导致的。同时,对另外一些存储设备查杀病毒的,也需要注意其是否处于写保护或者密码保护状态。[/size][/align]

[[i] 本帖最后由 海盗 于 2007-11-16 17:13 编辑 [/i]]

海盗 发表于 2007-11-16 17:23

[实用资料系列]电脑黑屏故障分析及处理

[color=#800000]计算机世界日报     (2002-01-14)

[/color]  [color=green]有道是自古装机谁无死,装机使用的过程中,黑屏现象更是屡见而不鲜。DIY一台计算机,开机后出现“黑屏”现象是很多装机者初期都可能会遇到的问题之一。这时候千万不要紧张,呵呵,很平常嘛。从黑暗产生的原因来分析,目前造成计算机黑屏的原因主要有两个,一是硬件的故障,二是软件的冲突,而二者的区别主要在于发生黑屏的位置,即是在开机时发生黑屏,还是在正常启动机器后,在使用的过程中出现黑屏。

  当然,无论是硬件故障,还是软件的问题,从某种意义上讲都不是孤立的,尝试顺着以下的思路去解决,相信黑屏会很快得到妥善的解决。

  黑屏硬伤

  在开机后突然出现“黑屏”的时候,请读者先注意听一下电脑中的PC喇叭是否有报警的声音。如果PC喇叭发出了报警声音,那么我们就可以根据声音的长短来初步判定可能出现问题的硬件部位。比方说,如果电脑开机时PC喇叭报警声为一长四短,那么根据这个提示就可以很容易地判断出问题就发生在显示卡上。如果是这样,读者就可以打开机箱,看一看自己的显示卡是否插牢。如果感觉有些松动,请将显示卡拔出来再重新插入、插紧,然后用螺丝固定。

  如果排除了插法的问题,插入卡槽也比较牢固,可以把显示卡拔出来再换主板上的另一插槽试试。如果用户的显示卡不属于PCI而是新式的AGP插槽板,而电脑主板上又只有一条AGP插槽,可以再另找一块主板的AGP插槽试一试,排除显示卡物理方面的故障。如果显示卡插的也比较紧,而且也排除了物理方面的故障,还有一种可能就是显示卡本身的“金手指”在正常接触方面存在问题。如果是这种情况,可以把显示卡重新拔出,然后找一块干净的橡皮在“金手指”上来回擦一擦,因为这种“金手指”方面的接触不良问题大多是由于其上沾了一些脏东西而导致。

  如果电脑开机时PC喇叭报警声不是一长四短,而是一阵急促的短叫,同时也是出现黑屏的情况,那么根据现象可以大致判断您电脑的内存在接触方面有问题。接触不良的解决办法与显示卡基本一样,就是把它们拔出来然后再重新插入,注意插的时候一定要一插到底,并将内存槽两侧的卡子卡牢。

  一些主板上的SDRAM插槽比较麻烦,因为这些主板上的插槽制作的大都很紧,用户如果遇到这种情况千万不能使强用狠,可以用手指托着主板SDRAM插槽的下方,然后再用拇指用力把内存压下去,听到一声微响后证明内存已经探底,最后用卡子固定内存就可以了。

  还有一些黑屏现象电脑不会报警,这时最简单的就是要根据数学上的“排它法”来具体问题具体分析了。先检查电源接线板是否有问题,将电脑的有关配套部件拆下,换上另外的一些能够使用的设备来检查一下电源接线板是否正常工作。如果电源接线板没有故障,然后按正常的程序检查计算机电源与主板之间的连接是否正常,也就是说检查一下主板供电是否正常。

  如果插口没有连接错就应该检查电源是否烧了,如果电源烧了电源风扇也会停转。一些早期的电脑机箱电源常常会出现供点不足的情况,如果怀疑是属于这种问题,请用户把所有的硬盘、光驱、软驱的电源线都拔出,然后重新启动计算机,耗电率大幅降低后,看此情况是否得到解决。如果问题仍然不能解决,请排除主板BIOS被CIH等病毒意外损坏、主板是否有焊头接触不良或短路。

  除上述以外,随着CPU的主频速度不断提高,电源之于整个PC动力系统的作用也越来越重要。有人把CPU形容作一台电脑的心脏,可能很长时间我们都过于关心心脏是否健康有力,却忽视了能够为心脏提供动力和能源的机箱电源。而由于电源的功率不足,也可能造成计算机的黑屏现象。其症状是开机后可以听到机箱电源风扇启动正常,也没有听到系统报错的“滴滴”声,但机器却不工作,也没有开机自检过程,显示器黑屏。如果切断电源后,重新插拔各板卡及内存,确认所有板卡或部件没有松动的话,那大多是由电源功率不足造成的。

  笔者强烈建设,为了您爱机的健康,选购电脑时千万不要忽视了机箱和电源,买一个额定功率在250瓦以上的电源是对您机器的一种关爱。这里还有一点需要说明,目前市场上很多标明额定功率在250W的电源实际上根本达不到为一要求,这就又引出了我们另一个建议,在买电源时尽量要照顾名牌儿,品牌在这个时候是对您机器安全的有力保证。如果您的机器上安装有较多的外设,如双硬盘、双CPU、双光驱、SCSI卡或者其它什么的,最好找个功率更大的(300~400瓦)或服务器电源。至于那些P4、雷鸟、GeForce3的用户则一定要用上300瓦以上的电源,否则,比黑屏更麻烦的事也会层出不穷。

  黑屏软不良

  当然,造成黑屏现象大多数是因为PC上的硬伤在作怪,但也并不是绝对如此,软伤害有时可能更容易蒙蔽用家。在我们使用计算机的过程中,某些黑屏现象也可能是进入了WINDOWS 98/WINME/WIN2000甚至WINXP系统之后出现的软性故障(不过笔者目前还没有发现WINDOWS XP的黑屏故障,不过既然也没有定论,我们权且认为它也有吧)。

  如果用户发现在机器组装完成后,安装作系统等软件的过程中总出现莫名其妙的问题,甚至突然出现黑屏死机的情况。这里我们有必要排除病毒的原因,因为系统运行中由于病毒作怪而导致黑屏的情况虽然不少,但解决办法却是唯一的,那就是杀病毒,没有什么可以多说的。相反,由于程序在运行中的报错或黑屏才更应该引起我们的足够重视。这里最明显的就是由于硬件的驱动问题而引发的程序运行故障。该类问题频繁地发生在一些3D加速显示卡、PCI声卡、网卡、SCSI卡、RAID卡等第三方板卡上,而这类问题最多、最明显的表现方式也就是在应用程序、游戏软件等运行过程中频频死机而导致黑屏。

  比方讲在玩《地下城守护者II》时,S3的DIAMOND VIPER 770/GEFORCE 2PRO加速显示卡经常会被游戏拒之门外(不识别显示卡),甚至游戏还会放弃硬件加速而改用软件效果。分析造成这一问题的原因,主要是由于游戏源程序在编写时忽视了标准3D加速芯片或更高端、更新的非主流型3D加速芯片的力量,因此游戏本身在硬件的支持度上做的不尽理想,也影响了产品性能的发挥。再如PCI声卡、PCI网卡等由于驱动程序与系统应用程序的冲突,导致在机器运行中出现突然黑屏或重新启动,碰到这种问题读者可以通过安装更新版本的驱动程序来加以解决。

  有道是魔高一尺,道高一丈。在处理微型黑屏故障的过程中,只要读者理清思路,认真分析,办法总比困难多[/color]

海盗 发表于 2007-11-16 17:31

[实用资料系列]打造个人电脑安全终极防线(整理很全的)

【一、禁止默认共享 】

1.先察看本地共享资源

运行-cmd-输入net share

2.删除共享(每次输入一个)

net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)

3.删除ipc$空连接

在运行内输入regedit

在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA

项里数值名称RestrictAnonymous的数值数据由0改为1.

4.关闭自己的139端口,ipc和RPC漏洞存在于此.

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”

属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关

闭了139端口,禁止RPC漏洞.



----------------------------------------




【二、设置服务项,做好内部防御】





-------------------



A计划.服务策略:


控制面板→管理工具→服务

关闭以下服务:

1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持
而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机]


-------------------

B计划.帐号策略:

一.打开管理工具.本地安全设置.密码策略


1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是10
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用

-------------------

C计划.本地策略:


打开管理工具

找到本地安全设置.本地策略.审核策略


1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
然后再到管理工具找到
事件查看器
应用程序 右键 属性 设置日志大小上限 我设置了512000KB 选择不覆盖事件
安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不覆盖事件
系统 右键 属性 设置日志大小上限 我都是设置了512000KB 选择不覆盖事件

-------------------

D计划.安全策略:


打开管理工具

找到本地安全设置.本地策略.安全选项

1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
9.帐户.重命名系统管理员帐户[建议取中文名]


-------------------


E计划.用户权限分配策略:


打开管理工具

找到本地安全设置.本地策略.用户权限分配

1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过终端允许登陆 删除Remote Desktop Users




---------------------

F计划.终端服务配置


打开管理工具

终端服务配置

1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话


---------------------

G计划.用户和组策略


打开管理工具

计算机管理.本地用户和组.用户

删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限

计算机管理.本地用户和组.组

组.我们就不组了.分经验的(不管他.默认设置)

---------------------

X计划.DIY策略[根据个人需要]

1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3.对匿名连接的额外限制
4.禁止按 alt+crtl+del
5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6.只有本地登陆用户才能访问cd-rom
7.只有本地登陆用户才能访问软驱
8.取消关机原因的提示
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9.禁止关机事件跟踪
开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-> ”管理模板“
(Administrative Templates)-> ”系统“(System),在右边窗口双击
“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),
点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口

----------------------------------------


【三、修改权限防止病毒或木马等破坏系统】


winxp、windows2003以上版本适合本方法.


因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令

---------------------

A命令


cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录
cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录


呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全,
还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行


---------------------

B命令

cacls C: /G administrator:R 禁止修改、写入C盘
cacls C: /G administrator:F 恢复修改、写入C盘

这个方法防止病毒,
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^


---------------------

X命令

以下命令推荐给高级管理员使用[因为win版本不同,请自行