史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-10-31, 02:17 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - 常見問題的解決方法 之 網路全攻略...

常見問題的解決方法 之 網路全攻略...(
IE 瀏覽器被迫連接某網站的解決辦法

第一:右鍵點擊IE瀏覽器,打開內容檢查internet選項設置「主頁」項是否被修改,如果是請改為空白頁,並清空IE的臨時資料夾。

  第二:升級「瑞星殺毒軟件」至最新版,查殺記憶體中是否有病毒執行(只查殺記憶體即可)。

  第三:在開始表菜單中的「執行」項中輸入msconfig命令調出「系統配置實用程式」,檢查「啟動」項(2000系統可以從XP系統拷貝MSCONFIG.EXE使用,也可以使用第三方軟件檢視,如Windows優化大師)。記錄每個不明啟動項的文件名及所在路徑,並取消這些自啟動項。

  第四:CTRL+ALT+DEL 打開 任務管理器 ,檢查「工作行程」中是否有和啟動項中同名的的程式在執行,嘗試結束該工作行程!(注意,該名稱很可能與某些系統程式同名,即惡意攻擊程式偽裝成系統工作行程執行。也許會有兩個同名工作行程存在,這很可能就是你要找的兇手。)

  附:已知偽裝工作行程

  英文文件名taskmgr.exe 中文名「任務管理器」

  現象:兩個同名工作行程同時執行,基本無法分辨。但結束正確工作行程會關閉任務管理器,而結束假冒工作行程則可暫時解決IE自動連接問題!

  第五:按照在啟動項裡所找到的文件路徑,查找你剛剛你所結束的可以工作行程的文件。打開我的電腦,在視窗上方表菜單中依次打開「工具——資料夾選項——檢視,點選 顯示所有文件和資料夾」項,同時取消「隱藏受保護的操作系統文件」前的對勾,以便完全檢查所有文件。(注意,已知惡意程式均為深度隱藏,98系統下需打開顯示隱藏文件功能,2000、XP系統下必須同時取消隱藏受保護的操作系統文件功能)

  第六:找到目標文件後,請右鍵該文件檢視內容。注意其創建時間和修改時間,多數病毒文件這兩個時間都會一致或相差較小,這個時間就是你中招的時間。還有,請將檢視設置為 詳細訊息 檢查是否在該資料夾下還有同時間創建的文件,病毒有可能偽裝成影音或其他格式的文件,不要被它迷惑更不要點擊執行它。馬上原地將它們壓縮,改為其他名稱,這樣以來可以解除威脅,二來可以防止誤刪除系統文件。(如果提示你該程式正在執行,你可以重起機器後連續按F8鍵進入安全模式,然後壓縮)當然,如果你可以確認是病毒,最好直接刪除~

  第七:使用開始表菜單中的「搜索」功能在硬碟上完全查找你發現的可以文件,看是否在其他位置還有該文件副本一併刪除。(筆者所遭遇的惡意程式就是在偽裝成 任務管理器 的同時又偽裝成notepad.exe記事本程式,並使得所有記事本文件都會通過它打開,也就是說你打開某個記事本文件的同時惡意程式會再度執行。)另外,請手動檢查windows資料夾下是否存留同名病毒文件,還有windows下的system和system32資料夾也要仔細檢查,筆者發現最近的病毒都將自身副本加入了上述三個資料夾中,如果清楚不乾淨很可能死灰復燃!

  第八:重新啟動你的電腦,連線上網打開IE,看看是否已經恢復正常。如果不行請再次按上述方法更詳細的分析一下,看看是否有遺漏。

  第九:問題解決不要高興的太早,這種惡意程式啟始的網站很有可能帶有病毒或木馬程式。請將殺毒軟件升級至最新版本進入安全模式完全查殺一遍,保證安全!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
有 2 位會員向 psac 送花:
ckman321 (2008-06-06),kmvsld (2009-02-27)
感謝您發表一篇好文章
舊 2006-10-31, 02:18 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

ADSL 讓WIN XP 開機就假死的解決方法


許多朋友反映安裝ADSL後,啟動Windows XP進入桌面,執行虛擬撥號軟件(或執行其他程式)時,系統就會處於假當掉的狀態,要等一分鐘左右才能彈出視窗。
  分 析
  Windows XP在預定安裝方式下,對網卡的TCP/IP設置礎「自動獲取」狀態。當系統啟動後,系統首先檢測網卡配置中是否有固定的IP位址,如果沒有找到固定IP位址,則會向外發送資料包請求網路中的DHCP服務器分配IP位址;如果沒有連接到DHCP服務器,系統將使用自動專用IP尋址,指定網卡的IP位址為169.254.0.1到169.254.255.254之間的任意一個,並將子網掩碼設為255.255.0.0。
  現在常用的ADSL Modem在預定狀態下,其DHCP功能是被禁用的,因此不會向系統提供IP位址,在Windows XP假死過程中,我們會看到ADSL Modem的資料上傳與下載燈不停閃爍,而在資料燈停止閃爍時,系統才恢復正常。此時,執行「ipconfig」可看到網卡的IP位址是169.254.X.X。
  解決方法1:給網卡指定固定IP位址
  在「控制台」中打開「網路連接」視窗,找到與ADSL相連的「區域連線」進入該連接的「內容」視窗,雙擊「一般」項中的「Internet協議(TCP/IP)」,把網卡的IP位址設為192.168.0.1,子網掩碼設為255.255.255.0,網路閘道器和DNS為預定設置,最後點擊「確定」按鍵即可。
  解決方法2:開啟Windows XP的Internet連接共享
  雖然ADSL只連接了一台電腦,再設置Internet連接共享好像多此一舉,但如果開啟「Internet連接共享」,Windows XP系統就會變成一個微型的DHCP服務器,它會強行把網卡的IP位址設為192.168.0.1,這一方法和方法1有異曲同工之妙。
  解決方法3:開啟ADSL寬帶貓的DHCP功能
  大多數的ADSL Modem都內置了DHCP功能,這項功能在預定狀態下是禁用的,我們可以通過ADSL的設置程式開啟DHCP,當Windows XP系統發出IP位址分配請求時,迅速提供可用的IP位址,Windows XP系統就不會出現假死現象。
  下面以東信E700A為例來說明如何開啟ADSL的DHCP功能。E700A的IP位址預定為192.168.1.1。首先在網路內容中把網卡的IP位址設為192.168.1.2。打開IE,在位址欄中輸入http://192.168.1.1,用戶名和密...選擇「DHCP Server」,再點擊下方的「提交」按鍵,接著儲存設置並重新啟動即可。
  在上述三種方法中,第一種方法無疑是最簡單有效的。而對於ADSL安裝除錯以及電腦維護人員來說,將方法2、方法3與方法1配合使用可以幫助他們解決許多後期維護的難題。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
向 psac 送花的會員:
ckman321 (2008-06-06)
感謝您發表一篇好文章
舊 2006-10-31, 02:18 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

QQ五種異常情況及解決方法

一、感染了病毒所致
這種情況往往表現在打開IE時,在IE界面的左下框裡提示:正在打開網頁,但老半天沒響應。在任務管理器裡檢視工作行程,(進入方法, 把滑鼠放在任務欄上,按右鍵—任務管理器—工作行程)看看CPU的佔用率如何,如果是100%,可以肯定,是感染了病毒,這時你想執行其他程式簡 直就是受罪。這就要查查是哪個工作行程貪婪地佔用了CPU資源。
找到後,最好把名稱記錄下來,然後點擊結束,如果不能結束,則要啟動到安全模式下把該東東刪除,還要進入註冊表裡,(方法:開 始—執行,輸入regedit)在註冊表交談視窗裡,點編輯—查找,輸入那個程式名,找到後,點滑鼠右鍵刪除,然後再進行幾次的搜索,往往能徹 底刪除乾淨。
有很多的病毒,殺毒軟件無能為力時,唯一的方法就是手動刪除。
二、與設置代理服務器有關
有些朋友,出於某些方面考慮,在瀏覽器裡設置了代理服務器(控制台--Internet選項—連接—局域網設置—為LAN使用代理服務器 ),設置代理服務器是不影響QQ聯網的,因為QQ用的是4000連接阜,而訪問互連網使用的是80或8080連接阜。這就是很多的朋友們不明白為什麼QQ 能上,而網頁不能打開的原因。而代理服務器一般不是很穩定,有時侯能上,有時候不能上。如果有這樣設置的,請把代理取消就可以了。
三、DNS服務器解釋出錯
所謂DNS,即域名服務器(Domain Name Server),它把域名轉換成電腦能夠識別的IP位址,如深圳之窗(www.sz.net.cn)對應的IP位址是219.133.46.54,深圳熱線http://www.szonline.net)對應的I...上網了。
如果是這種情況,有時候是網路服務接入商即ISP的問題,可打電話咨詢ISP;有時候則是路由器或網卡的問題,無法與ISP的DNS服務連接 。
這種情況的話,可把路由器關一會再開,或者重新設置路由器。或者是網卡無法自動搜尋到DNS的服務器位址,可以嘗試用指定的DNS服 務器位址。在網路的內容裡進行,(控制台—網路和拔號連接—區域連線—右鍵內容—TCP/IP協議—內容—使用下面的DNS服務器位址)。不 同的ISP有不同的DNS位址,如電信常用的是202.96.134.133(主用) 202.96.128.68(備用)。
四、系統文件丟失導致IE不能正常啟動
這種現象頗為常見,由於:
1、系統的不穩定 表現為當機頻繁、經常莫名重啟、非法關機造成系統文件丟失;
2、軟硬體的衝突 常表現為安裝了某些程式引起網卡驅動的衝突或與IE的衝突。自從INTEL推出超線程CPU後,有一個突出的問題是XP SP1下的IE6與超線程產生沖 突;
3、病毒的侵擾 導致系統文件損壞或丟失。
如果是第一種情況,可嘗試修復系統,2K或XP系統下,放入原安裝光碟(注意:一定要原安裝光碟),在開始—執行裡輸入sfc /scanow,按Enter鍵。98的系統也可以用sfc命令進行檢查。
如果是第二種情況,可以把最近安裝的硬體或程式卸載,2K或XP的系統可以在機器啟動後,長按F8,進入啟動表菜單,選擇「最後一次正 確的配置」,若是XP系統,還可以利用系統的還原功能,一般能很快解決問題。
如果是XP的系統因超線程CPU的原因,可以在BIOS裡禁用超線程,或升級到SP2。(當然,XP如何升級SP2涉及到很多知識及要注意的問 題,在此限於篇幅不再詳述)。這種情況下,QQ裡自帶的TT瀏覽器一般能正常瀏覽,可改用一試。
如果是第三種情況,則要對系統硬碟進行全面的查殺病毒。
4、還有一種現象也需特別留意:就是能打開網站的首頁,但不能打開二級連接,如果是這樣,處理的方法是重新註冊如下的DLL文件:
在開始—執行裡輸入:
regsvr32 Shdocvw.dll
regsvr32 Shell32.dll (注意這個命令,先不用輸)
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 Msjava.dll
regsvr32 Browseui.dll
注意:每輸入一條,按Enter鍵。第二個命令可以先不用輸,輸完這些命令後重新啟動windows,如果發現無效,再重新輸入一遍,這次輸 入第二個命令。還有,如果是98的系統,到微軟的網站上下載這個文件也許更簡單,這個文件的下載位址是:
http://download.microsoft.com/downlo...s/mcrepair.exe
五、IE損壞
以上方法若果都不奏效,有可能是IE的內核損壞,雖經系統修復,亦無法彌補,那麼重裝IE就是最好的方法了。
如果是98或2K系統,IE的版本若是5.0,建議升級到6.0。
98的系統如果已經升級安裝了6.0,那麼在控制台裡點擊新增/刪除程式,將會彈出一個修復交談視窗,選擇預定的修復,重新啟動即可 。
如果是2K+IE6.0或XP(自帶的IE就是6.0的)的系統,重新IE有點麻煩,有兩種方法:
1、打開註冊表,展開HKEY_LOCAL_MACHINE SOFTWARE Microsoft Active Setup Installed Components{ 89820200-ECBD-11cf-8B85-00AA005B4383 },將IsInstalled的DWORD的值改為0即可;
2、放入XP安裝光碟,在開始—執行裡輸入「rundll32.exe setupapi,InstallHinfSection DefaultInstall 132%windir%Infie.inf」
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:19 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Radmin服務端保持連接不斷問題分析與解決

1、問題描述
Radmin是一個絕佳的遠端控制軟件,用來做跳板的後門再好不過了,不過每次連過跳板後,察看跳板連線,可以仍然看見我們和跳板上Radmin的連接,只不過顯示為TIME_WAIT,且一直這樣。
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1031 0.0.0.0:0 LISTENING
TCP 192.168.11.1:139 0.0.0.0:0 LISTENING
TCP 192.168.72.1:139 0.0.0.0:0 LISTENING
TCP 192.168.168.220:1030 192.168.168.221:1034 TIME_WAIT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1900 *:*
UDP 192.168.11.1:123 *:*
UDP 192.168.11.1:137 *:*
UDP 192.168.11.1:138 *:*
UDP 192.168.11.1:1900 *:*
UDP 192.168.72.1:123 *:*
UDP 192.168.72.1:137 *:*
UDP 192.168.72.1:138 *:*
UDP 192.168.72.1:1900 *:*
UDP 192.168.168.220:123 *:*
UDP 192.168.168.220:1900 *:*
2、問題分析
初步猜測應該是setsocketopt設置超時有問題,可能是設置了無限超時?
除錯Radmin服務端,下中斷點在setsocketopt,結果如下:
第一次斷下來
71A42E30 > 8BFF MOV EDI,EDI
71A42E32 55 PUSH EBP
71A42E33 8BEC MOV EBP,ESP
71A42E35 837D 0C 00 CMP DWORD PTR SS:[EBP+C],0
71A42E39 0F84 25010000 JE WSOCK32.71A42F64
71A42E3F 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10]
71A42E42 837D 0C 06 CMP DWORD PTR SS:[EBP+C],6
71A42E46 8B4D 14 MOV ECX,DWORD PTR SS:[EBP+14]
71A42E49 74 75 JE SHORT WSOCK32.71A42EC0
71A42E4B FF75 18 PUSH DWORD PTR SS:[EBP+18]
71A42E4E 51 PUSH ECX
71A42E4F 50 PUSH EAX
71A42E50 FF75 0C PUSH DWORD PTR SS:[EBP+C]
71A42E53 FF75 08 PUSH DWORD PTR SS:[EBP+8]
71A42E56 E8 09000000 CALL <JMP.&WS2_32.#21__setsockopt@20>
71A42E5B 5D POP EBP
71A42E5C C2 1400 RETN 14
71A42E5F 90 NOP
71A42E60 90 NOP
71A42E61 90 NOP
71A42E62 90 NOP
71A42E63 90 NOP
71A42E64 - FF25 0010A471 JMP DWORD PTR DS:[<&WS2_32.#21__setsocko>; WS2_32.setsockopt
察看堆疊:
0012F808 0096D367 /CALL 到 setsockopt 來自 0096D362
0012F80C 0000007C |Socket = 7C
0012F810 0000FFFF |Level = SOL_SOCKET
0012F814 00000080 |Option = SO_LINGER
0012F818 0012F844 |Data = 0012F844
0012F81C 00000004 \DataSize = 4
0012F820 0000FFFF
0012F824 0012F84C
0012F828 /0012F850
0012F82C |009652F2 返回到 009652F2 來自 0096D340
0012F830 |00000080
0012F834 |0012F844
0012F838 |00000004
0012F83C |0012F870
0012F840 |001D0406
0012F844 |00010001
0012F848 |0012F870
0012F84C |0000007C
0012F850 ]0012F884
可以看到,它設置了SO_LINGER選項,值為0x00010001
第二次中斷點:
71A42E30 > 8BFF MOV EDI,EDI
71A42E32 55 PUSH EBP
71A42E33 8BEC MOV EBP,ESP
71A42E35 837D 0C 00 CMP DWORD PTR SS:[EBP+C],0
71A42E39 0F84 25010000 JE WSOCK32.71A42F64
71A42E3F 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10]
71A42E42 837D 0C 06 CMP DWORD PTR SS:[EBP+C],6
71A42E46 8B4D 14 MOV ECX,DWORD PTR SS:[EBP+14]
71A42E49 74 75 JE SHORT WSOCK32.71A42EC0
71A42E4B FF75 18 PUSH DWORD PTR SS:[EBP+18]
71A42E4E 51 PUSH ECX
71A42E4F 50 PUSH EAX
71A42E50 FF75 0C PUSH DWORD PTR SS:[EBP+C]
71A42E53 FF75 08 PUSH DWORD PTR SS:[EBP+8]
71A42E56 E8 09000000 CALL <JMP.&WS2_32.#21__setsockopt@20>
71A42E5B 5D POP EBP
71A42E5C C2 1400 RETN 14
堆疊:
0012F80C 0096D367 /CALL 到 setsockopt 來自 0096D362
0012F810 00000078 |Socket = 78
0012F814 0000FFFF |Level = SOL_SOCKET
0012F818 00000080 |Option = SO_LINGER
0012F81C 0012F84C |Data = 0012F84C
0012F820 00000004 \DataSize = 4
0012F824 0000FFFF
0012F828 0012F848
0012F82C /0012F850
0012F830 |00965419 返回到 00965419 來自 0096D340
0012F834 |00000080
0012F838 |0012F84C
0012F83C |00000004
0012F840 |0012F864
0012F844 |0012F870
0012F848 |00000078
0012F84C |00010001
0012F850 ]0012F884
可見第一次與第二次相同
F9,沒有下個中斷點,可見只有這兩處,上網搜索SO_LINGER選項,其描述如下:

/* 當連接中斷時,需要延遲關閉(linger)以保證所有資料都
   * 被傳輸,所以需要打開SO_LINGER這個選項 //註:大致意思就是說SO_LINGER選項用來設置當呼叫closesocket時是否馬上關閉socket
   * linger的結構在/usr/include/linux/socket.h中定義://註:這個結構就是SetSocketOpt中的Data的資料結構
   *  struct linger
   *  {
   *   int l_onoff;  /* Linger active */ //低字節,0和非0,用來表示是否延時關閉socket
   *   int l_linger; /* How long to linger */ //高字節,延時的時間數,單位為秒
   *  };
   *  如果l_onoff為0,則延遲關閉特性就被取消。如果非零,則允許套接頭延遲關閉。
   *  l_linger字段則指明延遲關閉的時間
   */
更具體的描述如下:
若設置了SO_LINGER(亦即linger結構中的l_onoff域設為非零,參見2.4,4.1.7和4.1.21各節),並設置了零超時間隔,則closesocket()不被阻塞立即執行,不論是否有排隊資料未發送或未被確認。這種關閉方式稱為「強制」或「失效」關閉,因為套接頭的虛電路立即被復位,且丟失了未發送的資料。在遠端的recv()呼叫將以WSAECONNRESET出錯。

若設置了SO_LINGER並確定了非零的超時間隔,則closesocket()呼叫阻塞工作行程,直到所剩資料發送完畢或超時。這種關閉稱為「優雅的」關閉。請注意如果套接頭置為非阻塞且SO_LINGER設為非零超時,則closesocket()呼叫將以WSAEWOULDBLOCK錯誤返回。

若在一個流類套接頭上設置了SO_DONTLINGER(也就是說將linger結構的l_onoff域設為零;參見2.4,4.1.7,4.1.21節),則closesocket()呼叫立即返回。但是,如果可能,排隊的資料將在套接頭關閉前發送。請注意,在這種情況下WINDOWS套接頭實現將在一段不確定的時間內保留套接頭以及其他資源,這對於想用所以套接頭的應用程式來說有一定影響。

這是網上的解釋
主要是影響close socket時的動作
知道了問題的原因,我們就動手修改一下試試
0012F80C 0096D367 /CALL 到 setsockopt 來自 0096D362
0012F810 00000078 |Socket = 78
0012F814 0000FFFF |Level = SOL_SOCKET
0012F818 00000080 |Option = SO_LINGER
0012F81C 0012F84C |Data = 0012F84C
0012F820 00000004 \DataSize = 4
0012F824 0000FFFF
0012F828 0012F848
0012F82C /0012F850
0012F830 |00965419 返回到 00965419 來自 0096D340
0012F834 |00000080
0012F838 |0012F84C
0012F83C |00000004
0012F840 |0012F864
0012F844 |0012F870
0012F848 |00000078
0012F84C |00010100 //原來的00010001表示延時256秒,將延時改為1秒
F9執行,用客戶端連接,連上後再離線,察看服務端連線,發現以前總是顯示為TIME_WAIT的連接,現在馬上消失了,至此問題解決
3、Radmin修改
Radmin的保護措施做的還是很不錯的,它的真正的執行程式是一個RES資源,主程式只負責將其解壓縮到記憶體中並執行,如果要修改就需要自己解壓縮,修改後再自己壓縮了放回去,具體怎麼做我就不說了:)
提示:如果要重複我一樣步驟,直接下setsocketopt是斷不下來的,先下jmp eax ,斷下來後F8一次,再下setsoketopt中斷點,好了,就提示這麼多了
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:20 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

IE無法打開網頁的常見原因及解決

一、網路設置的問題 這種原因比較多出現在需要手動指定IP、網路閘道器、DNS服務器聯網方式下,及使用代理服務器上網的。仔細檢查電腦的網路設置。

二、DNS服務器的問題

當IE無法瀏覽網頁時,可先嘗試用IP位址來訪問,如果可以訪問,那麼應該是DNS的問題,造成DNS的問題可能是連網時獲取DNS出錯或DNS服務器本身問題,這時你可以手動指定DNS服務(位址可以是你當地ISP提供的DNS服務器位址,也可以用其它地方可正常使用DNS服務器位址。)在網路的內容裡進行,(控制台—網路和拔號連接—區域連線—右鍵內容—TCP/IP協議—內容—使用下面的DNS服務器位址)。不同的ISP有不同的DNS位址。有時候則是路由器或網卡的問題,無法與ISP的DNS服務連接,這種情況的話,可把路由器關一會再開,或者重新設置路由器。

還有一種可能,是本機DNS快取記憶體出現了問題。為了提高網站訪問速度,系統會自動將已經訪問過並獲取IP位址的網站存入本機的DNS快取記憶體裡,一旦再對這個網站進行訪問,則不再通過DNS服務器而直接從本機DNS快取記憶體取出該網站的IP位址進行訪問。所以,如果本機DNS快取記憶體出現了問題,會導致網站無法訪問。可以在「執行」中執行ipconfig /flushdns來重建本機DNS快取記憶體。

三、IE瀏覽器本身的問題

當IE瀏覽器本身出現故障時,自然會影響到瀏覽了;或者IE被惡意修改破壞也會導致無法瀏覽網頁。這時可以嘗試用「黃山IE修復專家」來修復(建議到安全模式下修復),或者重新IE(如重裝IE遇到無法重新的問題,可參考:附一解決無法重裝IE)

四、網路防火牆的問題

如果網路防火牆設置不當,如安全等級過高、不小心把IE放進了阻止訪問列表、錯誤的防火牆策略等,可嘗試檢查策略、降低防火牆安全等級或直接關掉試試是否恢復正常。

五、網路協議和網卡驅動的問題

IE無法瀏覽,有可能是網路協議(特別是TCP/IP協議)或網卡驅動損壞導致,可嘗試重新網卡驅動和網路協議。

六、HOSTS文件的問題

HOSTS文件被修改,也會導致瀏覽的不正常,解決方法當然是清空HOSTS文件裡的內容。

七、系統文件的問題

當與IE有關的系統文件被更換或損壞時,會影響到IE正常的使用,這時可使用SFC命令修復一下,WIN98系統可在「執行」中執行SFC,然後執行掃瞄;WIN2000/XP/2003則在「執行」中執行sfc /scannow嘗試修復。

其中當只有IE無法瀏覽網頁,而QQ可以上時,則往往由於winsock.dll、wsock32.dll或wsock.vxd(VXD只在WIN9X系統下存在)等文件損壞或丟失造成,Winsock是構成TCP/IP協議的重要組成部分,一般要重裝TCP/IP協議。但xp開始整合TCP/IP協議,所以不能像98那樣簡單卸載後重裝,可以使用 netsh 命令重置 TCP/IP協議,使其恢復到初次安裝操作系統時的狀態。具體操作如下:

點擊「開始 執行」,在執行交談視窗中輸入「CMD」命令,彈出命令提示字元視窗,接著輸入「netsh int ip reset c:\resetlog.txt」命令後會Enter鍵即可,其中「resetlog.txt」文件是用來記錄命令執行結果的日誌文件,該參數選項必須指定,這裡指定的日誌文件的完整路徑是「c:\resetlog.txt」。執行此命令後的結果與刪除並重新安裝 TCP/IP 協議的效果相同。

小提示:netsh命令是一個基於命令行的腳本編寫工具,你可以使用此命令配置和監視Windows 系統,此外它還提供了交互式網路外殼程式接頭,netsh命令的使用格式請參看幫助文件(在令提示字元視窗中輸入「netsh/?」即可)。

第二個解決方法是修復以上文件,WIN9X使用SFC重新提取以上文件,WIN2000/XP/2003使用sfc /scannow命令修復文件,當用sfc /scannow無法修復時,可試試網上發佈的專門針對這個問題的修復工具WinSockFix,可以在網上搜索下載。

八、殺毒軟件的既時監控問題

這倒不是經常見,但有時的確跟既時監控有關,因為現在殺毒軟件的既時監控都新增了對網頁內容的監控。舉一個實例:KV2005就會在個別的電腦上會導致IE無法瀏覽網頁(不少朋友遇到過),其具體表現是只要打開網頁監控,一開機上網大約20來分鐘後,IE就會無法瀏覽網頁了,這時如果把KV2005的網頁監控關掉,就一切恢復正常;經過徹底地重裝KV2005也無法解決。雖然並不是安裝KV2005的每台電腦都會出現這種問題,畢竟每台電腦的系統有差異,安裝的程式也不一樣。但如果出現IE無法瀏覽網頁時,也要注意檢查一下殺毒軟件。

九、Application Management服務的問題

出現只能上QQ不能開網頁的情況,重新啟動後就好了。不過就算重新啟動,開7到8個網頁後又不能開網頁了,只能上QQ。有時電信往往會讓你禁用Application Management服務,就能解決了。具體原因不明。

十、感染了病毒所致

這種情況往往表現在打開IE時,在IE界面的左下框裡提示:正在打開網頁,但老半天沒響應。在任務管理器裡檢視工作行程,(進入方法,把滑鼠放在任務欄上,按右鍵—任務管理器—工作行程)看看CPU的佔用率如何,如果是100%,可以肯定,是感染了病毒,這時你想執行其他程式簡直就是受罪。這就要查查是哪個工作行程貪婪地佔用了CPU資源.找到後,最好把名稱記錄下來,然後點擊結束,如果不能結束,則要啟動到安全模式下把該東東刪除,還要進入註冊表裡,(方法:開始—執行,輸入regedit)在註冊表交談視窗裡,點編輯—查找,輸入那個程式名,找到後,點滑鼠右鍵刪除,然後再進行幾次的搜索,往往能徹底刪除乾淨。

有很多的病毒,殺毒軟件無能為力時,唯一的方法就是手動刪除。

十一、無法打開二級連接

還有一種現象也需特別留意:就是能打開網站的首頁,但不能打開二級連接,如果是這樣,處理的方法是重新註冊如下的DLL文件:

在開始—執行裡輸入:

regsvr32 Shdocvw.dll

regsvr32 Shell32.dll(注意這個命令,先不用輸)

regsvr32 Oleaut32.dll

regsvr32 Actxprxy.dll

regsvr32 Mshtml.dll

regsvr32 Urlmon.dll

regsvr32 Msjava.dll

regsvr32 Browseui.dll

注意:每輸入一條,按Enter鍵。第二個命令可以先不用輸,輸完這些命令後重新啟動windows,如果發現無效,再重新輸入一遍,這次輸入第二個命令。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:21 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

IIS5 HTTP500內部錯誤解決辦法

一.錯誤表現
iis5的http 500內部服務器錯誤是我們經常碰到的錯誤之一,它的主要錯誤表現就是asp程式不能瀏覽但htm靜態網頁不受影響。另外當錯誤發生時,系統事件日誌和安全事件日誌都會有相應的記錄。
具體如下:
(一)ie中的表現
當瀏覽以前能夠正常執行的asp網頁面時會出現如下的錯誤:
網頁無法顯示
您要訪問的網頁存在問題,因此無法顯示。
請嘗試下列操作:
打開 http://127.0.0.1 主頁,尋找指向所需訊息的連接。
單擊重新整理按鍵,或者以後重試。
http 500 - 內部服務器錯誤
internet 訊息服務
技術訊息(支持個人)
詳細訊息:
microsoft 支持
或者是:
server application error
the server has encountered an error while loading an application during
the processing of your request. please refer to the event log for more
detail information. please contact the server administrator for assistance.
(二)安全日誌記錄(2條)
事件類型: 失敗審核
事件來源: security
事件種類: 登入/註銷
事件 id: 529
日期: 2001-9-9
事件: 11:17:07
用戶: nt authority\system
電腦: myserver
描述:
登入失敗:
原因: 用戶名未知或密碼錯誤
用戶名: iwam_myserver
域: mydom
登入類型: 4
登入過程: advapi
身份驗證程式包: microsoft_authentication_package_v1_0
工作站名: myserver
事件類型: 失敗審核
事件來源: security
事件種類: 帳戶登入
事件 id: 681
日期: 2001-9-9
事件: 11:17:07
用戶: nt authority\system
電腦: myserver
描述:
登入到帳戶: iwam_myserver
登入的用戶: microsoft_authentication_package_v1_0
從工作站: myserver
未成功。錯誤代碼是: 3221225578
(三)系統日誌中的記錄(2條)
事件類型: 錯誤
事件來源: dcom
事件種類: 無
事件 id: 10004
日期: 2001-9-9
事件: 11:20:26
用戶: n/a
電腦: myserver
描述:
dcom 遇到錯誤「無法更新密碼。提供給新密碼的值包含密碼中不允許的值。 」並且無法登入到 .\iwam_myserver 上以執行服務器:
{3d14228d-fbe1-11d0-995d-00c04fd919c1}
事件類型: 警告
事件來源: w3svc
事件種類: 無
事件 id: 36
日期: 2001-9-9
事件: 11:20:26
用戶: n/a
電腦: myserver
描述:
服務器未能轉入應用程式 『/lm/w3svc/4/root『。錯誤是 『runas 的格式必須是<域名>\<用戶名>或只是<用戶名>『。
若要獲取關於此消息的更多的訊息,請訪問 microsoft 聯機支持站點: http://www.microsoft.com/contentredirect.asp
二.原因分析
綜合分析上面的錯誤表現我們可以看出,主要是由於iwam賬號(在我的電腦即是iwam_myserver賬號)的密碼錯誤造成了http 500內部錯誤。
在詳細分析http500內部錯誤產生的原因之前,先對iwam賬號進行一下簡要的介紹:iwam賬號是安裝iis5時系統自動建立的一個內置賬號,主要用於啟動工作行程之外的應用程式的internet訊息服務。iwam賬號的名字會根據每台電腦netbios名字的不同而有所不同,通用的格式是iwam_machine,即由「iwam」前綴、連接線「_」加上電腦的netbios名字組成。我的電腦的netbios名字是myserver,因此我的電腦上iwam賬號的名字就是iwam_myserver,這一點與iis匿名賬號isur_machine的命名方式非常相似。
iwam賬號建立後被active directory、iis metabase資料庫和com+應用程式三方共同使用,賬號密碼被三方分別儲存,並由操作系統負責這三方儲存的iwam密碼的同步工作。按常理說,由操作系統負責的工作我們大可放心,不必擔心出錯,但不知是bug還是其它什麼原因,系統的對iwam賬號的密碼同步工作有時會失敗,使三方iwam賬號所用密碼不統一。當iis或com+應用程式使用錯誤iwam的密碼登入系統,啟動iis out-of-process pooled applications時,系統會因密碼錯誤而拒絕這一請求,導致iis out-of-process pooled applications啟動失敗,也就是我們在id10004錯誤事件中看到的「不能執行服務器{3d14228d-fbe1-11d0-995d-00c04fd919c1} 」(這裡{3d14228d-fbe1-11d0-995d-00c04fd919c1} 是iis out-of-process pooled applications的key),不能轉入iis5應用程式,http 500內部錯誤就這樣產生了。
三.解決辦法
知道了導致http 500內部錯誤的原因,解決起來就比較簡單了,那就是人工同步iwam賬號在active directory、iis metabase資料庫和com+應用程式中的密碼。
具體操作分三步,均需要以管理員身份登入電腦以提供足夠的操作權限(iwam賬號以iwam_myserver為例)。
(一)更改active directory中iwam_myserver賬號的密碼
因iwam賬號的密碼由系統控制,隨機產生,我們並不知道是什麼,為完成下面兩步的密碼同步工作,我們必須將iwam賬號的密碼設置為一個我們知道的值。
1、選擇「開始」->「程式」->「管理工具」->"active directory用戶和電腦",啟動「active directory用戶和電腦」管理單元。
2、單擊「user」,選中右面的「iwam_myserver」,右擊選擇「重設密碼(t)...」,在跳出的重設密碼對方框中給iwam_myserver設置新的密碼,這兒我們設置成「aboutnt2001」(沒有引號的),確定,等待密碼修改成功。
(二)同步iis metabase中iwam_myserver賬號的密碼
可能因為這項改動太敏感和重要,微軟並沒有為我們修改iis metabase中iwam_myserver賬號密碼提供一個顯式的用戶接頭,只隨iis5提供了一個管理腳本adsutil.vbs,這個腳本位於c:\inetpub\adminscripts子目錄下(位置可能會因你安裝iis5時設置的不同而有所變動)。
adsutil.vbs腳本功能強大,參數非常多且用法複雜,這裡只提供使用這個腳本修改iwam_myserver賬號密碼的方法:
adsutil set w3svc/wamuserpass password
"password"參數就是要設置的iwam賬號的新的密碼。因此我們將iis metabase中iwam_myserver賬號的密碼修改為「aboutnt2001」的命令就是:
c:\inetpub\adminscripts>adsutil set w3svc/wamuserpass "aboutnt2001"
修改成功後,系統會有如下提示:
wamuserpass: (string) "aboutnt2001"
(三)同步com+應用程式所用的iwam_myserver的密碼
同步com+應用程式所用的iwam_myserver的密碼,我們有兩種方式可以選擇:一種是使用元件服務mmc管理單元,另一種是使用iwam賬號同步腳本synciwam.vbs。
1、使用元件服務mmc管理單元
(1)啟動元件服務管理單元:選擇「開始」->「執行」->「mmc」,啟動管理控制台,打開「新增/刪除管理單元」交談視窗,將「元件服務」管理單元新增上。
(2)找到「元件服務」->「電腦」->「我的電腦」->「com+應用程式」->「out-of-process pooled applications」,右擊「out-of-process pooled applications」->「內容」。
(3)切換到「out-of-process pooled applications」內容交談視窗的「標誌」選擇項。「此應用程式在下列賬戶下執行」選擇中「此用戶」會被選中,用戶名是「iwam_myserver」。這些都是預設的,不必改動。在下面的「密碼」和「確認密碼」文本框內輸入正確的密碼「aboutnt2001」,確定退出。
(4)系統如果提示「應用程式被一個以上的外部產品創建。你確定要被這些產品支持嗎?」時確定即可。
(5)如果我們在iis中將其它一些web的「應用程式保護」設置為「高(獨立的)」,那麼這個web所使用的com+應用程式的iwam賬號密碼也需要同步。重複(1)-(4)步,同步其它相應out of process application的iwam賬號密碼。
2、使用iwam賬號同步腳本synciwam.vbs
實際上微軟已經發現iwam賬號在密碼同步方面存在問題,因此在iis5的管理腳本中單獨為iwam賬號密碼同步編寫了一個腳本synciwam.vbs,這個腳本位於c:\inetpub\adminscripts子目錄下(位置可能會因你安裝iis5時設置的不同而有所變動)。
synciwam.vbs腳本用法比較簡單:
cscript synciwam.vbs [-v│-h]
「-v」參數表示詳細顯示腳本執行的整個過程(建議使用),「-h」參數用於顯示簡單的幫助訊息。
我們要同步iwam_myserver賬號在com+應用程式中的密碼,只需要執行「cscript synciwam.vbs -v」即可,如下:
cscript c:\inetpub\adminscripts\synciwam.vbs -v
microsoft (r) windows script host version 5.6
版權所有(c) microsoft corporation 1996-2000。保留所有權利。
wamusername:iwam_myserver
wamuserpass:aboutnt2001
iis applications defined:
name, appisolated, package id
w3svc, 0, {3d14228c-fbe1-11d0-995d-00c04fd919c1}
root, 2,
iishelp, 2,
iisadmin, 2,
iissamples, 2,
msadc, 2,
root, 2,
iisadmin, 2,
iishelp, 2,
root, 2,
root, 2,
out of process applications defined:
count: 1
{3d14228d-fbe1-11d0-995d-00c04fd919c1}
updating applications:
name: iis out-of-process pooled applications key: {3d14228d-fbe1-11d0-995d-00c04fd919c1}
從上面腳本的執行情況可以看出,使用synciwam.vbs腳本要比使用元件服務的方法更全面和快捷。它首先從iis的metabase資料庫找到iwam賬號"iwam_myserver"並取出對應的密碼「aboutnt2001」,然後查找所有已定義的iis applications和out of process applications,並逐一同步每一個out of process applications應用程式的iwam賬號密碼。
使用synciwam.vbs腳本時,要注意一個問題,那就是在你執行synciwam.vbs之前,必須保證iis metabase資料庫與active directory中的iwam密碼已經一致。因為synciwam.vbs腳本是從iis metabase資料庫而不是從active directory取得iwam賬號的密碼,如果iis metabase中的密碼不正確,那synciwam.vbs取得的密碼也會不正確,同步操作執行到「updating applications」系統就會報80110414錯誤,即「找不到應用程式{3d14228d-fbe1-11d0-995d-00c04fd919c1}」。
好了,到現在為止,iwam賬號在active directory、iis metabase資料庫和com+應用程式三處的密碼已經同步成功,你的asp程式又可以執行了!
修改成功後,系統會有如下提示:
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:22 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Win2003_IIS6服務器設置排錯解答

希望給2003做服務器系統的朋友實際的解決問題
很多朋友在用IIS6架網站的時候遇到不少問題,而這些問題有些在過去的IIS5里面就遇到過,有些是新出來的,俺忙活了一下午,做了很多次試驗,結合以前的排錯經驗,做出了這個總結,希望能給大家幫上忙:)

問題1:未啟用父路徑

症狀舉例:
Server.MapPath() 錯誤 ASP 0175 : 80004005
不允許的 Path 字元
/0709/dqyllhsub/news/OpenDatabase.asp,行 4
在 MapPath 的 Path 參數中不允許字元 ..。

原因分析:
許多Web網頁面裡要用到諸如../格式的語句(即回到上一層的網頁面,也就是父路徑),而IIS6.0出於安全考慮,這一選項預定是關閉的。

解決方法:
在IIS中 內容->主目錄->配置->選項中。把」啟用父路徑「前面打上勾。確認重新整理。


問題2:ASP的Web擴展配置不當(同樣適用於ASP.NET、CGI)

症狀舉例:
HTTP 錯誤 404 - 文件或目錄未找到。

原因分析:
在IIS6.0中新增了web程式擴展這一選項,你可以在其中對ASP、ASP.NET、CGI、IDC等程式進行允許或禁止,預定情況下ASP等程式是禁止的。

解決方法:
在IIS中的Web服務擴展中選中Active Server Pages,點擊「允許」。


問題3:身份認證配置不當

症狀舉例:
HTTP 錯誤 401.2 - 未經授權:訪問由於服務器配置被拒絕。

原因分析:IIS 支持以下幾種 Web 身份驗證方法:
匿名身份驗證
IIS 創建 IUSR_電腦名稱 帳戶(其中 電腦名稱 是正在執行 IIS 的服務器的名稱),用來在匿名用戶請求 Web 內容時對他們進行身份驗證。此帳戶授予用戶本機登入權限。你可以將匿名用戶訪問重置為使用任何有效的 Windows 帳戶。
基本身份驗證
使用基本身份驗證可限制對 NTFS 格式 Web 服務器上的文件的訪問。使用基本身份驗證,用戶必須輸入憑據,而且訪問是基於用戶 ID 的。用戶 ID 和密碼都以明文形式在網路間進行發送。
Windows 整合身份驗證
Windows 整合身份驗證比基本身份驗證安全,而且在用戶具有 Windows 域帳戶的內部網環境中能很好地發揮作用。在整合的 Windows 身份驗證中,瀏覽器嘗試使用當前用戶在域登入過程中使用的憑據,如果嘗試失敗,就會提示該用戶輸入用戶名和密碼。如果你使用整合的 Windows 身份驗證,則用戶的密碼將不傳送到服務器。如果該用戶作為域用戶登入到本機電腦,則他在訪問此域中的網路電腦時不必再次進行身份驗證。
摘要身份驗證
摘要身份驗證克服了基本身份驗證的許多缺點。在使用摘要身份驗證時,密碼不是以明文形式發送的。另外,你可以通過代理服務器使用摘要身份驗證。摘要身份驗證使用一種挑戰/響應機制(整合 Windows 身份驗證使用的機制),其中的密碼是以加密保護形式發送的。
.NET Passport 身份驗證
Microsoft .NET Passport 是一項用戶身份驗證服務,它允許單一簽入安全性,可使用戶在訪問啟用了 .NET Passport 的 Web 站點和服務時更加安全。啟用了 .NET Passport 的站點會依靠 .NET Passport 中央服務器來對用戶進行身份驗證。但是,該中心服務器不會授權或拒絕特定用戶訪問各個啟用了 .NET Passport 的站點。

解決方法:
根據需要配置不同的身份認證(一般為匿名身份認證,這是大多數站點使用的認證方法)。認證選項在IIS的內容->安全性->身份驗證和訪問控制下配置。

問題4:IP限制配置不當

症狀舉例:
HTTP 錯誤 403.6 - 禁止訪問:客戶端的 IP 位址被拒絕。

原因分析:
IIS提供了IP限制的機制,你可以通過配置來限制某些IP不能訪問站點,或者限制僅僅只有某些IP可以訪問站點,而如果客戶端在被你阻止的IP範圍內,或者不在你允許的範圍內,則會出現錯誤提示。

解決方法:
進入IIS的內容->安全性->IP位址和域名限制。如果要限制某些IP位址的訪問,需要選擇授權訪問,點新增選擇不允許的IP位址。反之則可以只允許某些IP位址的訪問。


問題5:IUSR賬號被禁用

症狀舉例:
HTTP 錯誤 401.1 - 未經授權:訪問由於憑據無效被拒絕。

原因分析:
由於用戶匿名訪問使用的賬號是IUSR_機器名,因此如果此賬號被禁用,將造成用戶無法訪問。

解決辦法:
控制台->管理工具->電腦管理->本機用戶和組,將IUSR_機器名賬號啟用。


問題6:NTFS權限設置不當

症狀舉例:
HTTP 錯誤 401.3 - 未經授權:訪問由於 ACL 對所請求資源的設置被拒絕。

原因分析:
Web客戶端的用戶隸屬於user組,因此,如果該文件的NTFS權限不足(例如沒有讀權限),則會導致網頁面無法訪問。

解決辦法:
進入該資料夾的安全選擇項,配置user的權限,至少要給讀權限。關於NTFS權限設置這裡不再饋述。


問題7:IWAM賬號不同步

症狀舉例:
HTTP 500 - 內部服務器錯誤

原因分析:
IWAM賬號是安裝IIS時系統自動建立的一個內置賬號。IWAM賬號建立後被Active Directory、IIS metabase資料庫和COM+應用程式三方共同使用,賬號密碼被三方分別儲存,並由操作系統負責這三方儲存的IWAM密碼的同步工作。系統對IWAM賬號的密碼同步工作有時會失效,導致IWAM賬號所用密碼不統一。

解決辦法:
如果存在AD,選擇開始->程式->管理工具->Active Directory用戶和電腦。為IWAM賬號設置密碼。
執行c:\Inetpub\AdminScripts>adsutil SET w3svc/WAMUserPass +密碼 同步IIS metabase資料庫密碼
執行cscript c:\inetpub\adminscripts\synciwam.vbs -v 同步IWAM賬號在COM+應用程式中的密碼


問題8:MIME設置問題導致某些類型文件無法下載(以ISO為例)

症狀舉例:
HTTP 錯誤 404 - 文件或目錄未找到。

原因分析:
IIS6.0取消了對某些MIME類型的支持,例如ISO,致使客戶端下載出錯。

解決方法:
在IIS中 內容->HTTP頭->MIME類型->新增。在隨後的交談視窗中,延伸名填入.ISO,MIME類型是application。


另外,防火牆阻止,ODBC配置錯誤,Web服務器性能限制,線程限制等因素也是造成IIS服務器無法訪問的可能原因,這裡就不再一一饋述了。希望此帖能解決大家的大部分問題:)
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:23 PM   #8 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

VPN 技術部分問題解答

1.為什麼CISCO力推第二層隧道協議,而不是第三層隧道協議?
  
  CISCO都提供這兩種方案。CISCO沒有著重強調那一個。第二層隧道協議主要用在訪問VPN方案,而第三層隧道協議則對Intranet和Extranet提供VPN方案支持。第三層隧道協議同樣也可用於一些訪問VPN的方案,例如,客戶端初始化的隧道模式和Internet大規模的訪問解決方案。
  
  2.什麼是第三層隧道?
  
  第三層隧道不是一個新的技術。RFC1701中定義的GRE已經存在很長時間了。CISCO在自從ios版本9.21就支持該技術。Ipsec是新的為支持加密保護隧道而定義的IETF標準。CISCO自從ios版本11.3(3)T支持該項特性。CISCO在ios版本12.0(1)T支持移動IP。
  
  3.GRE的主要作用是什麼?
  
  GRE是一種基於IP的隧道技術,它可被用來在基於IP的骨幹網上傳輸多種協議的資料流量,如IPX、AppleTalk等。同時,GRE還可被用來在Internet網路上通過隧道傳輸廣播和組播訊息,如路由更新訊息等。需要注意的是,在使用GRE之前需要先在作為VPN終點設備的物理接頭上進行相關配置,隨後可以使用諸如IPSec等安全措施保護隧道。
  
  4.語音和資料整合的資料流是否能夠通過VPN進行很好的傳輸,Cisco的哪些設備支持該項功能?
  
  一般來講,如果沒有硬體加速、壓縮以及優秀的QOS機制,使用加密保護機制如IPSec傳輸語音幾乎是無法想像的。目前,我們已經距離通過VPN傳輸加密保護的語音和資料的組合資料流的目標越來越近,在7100系列路由器中使用硬體加密保護技術已經成為現實,在不遠的將來,這一功能將會在Cisco7200、3600、2600以及1700系列的路由器中實現。另外,通過使用對IPSec資料包的LZS壓縮技術和QOS機制如NBAR,都將加速語音的VPN傳輸。
  
  5.使用基於VPN的防火牆解決方案與使用基於IPSec的路由器解決方案相比較,有哪些優勢和不足?
  
  優勢:
  *整合的解決方案,不需安裝額外的設備。
  *降低了設備投資成本,減少了設備支持和維護工作。
  不足:
  *防火牆可能不支持路由功能和其它一些特性,如QOS。
  *在同一台設備上同時執行防火牆和加密保護功能,將會影響設備的性能。
  *在特定的VPN設備上同時支持的VPN隧道數量過於巨大。
  
  6.IPSec是什麼?它是否是一種新的加密保護形式?
  
  IPSec是一套用來通過公共IP網路進行安全通訊的協議格式,它包括資料格式協議、密鑰交換和加密保護算法等。IPSec在遵從IPSec標準的設備之間提供安全的通訊,即使這些設備可能是由不同廠商所提供的。
  
  7.L2TP和IPSec在VPN的接入實施中起到什麼作用?
  
  L2TP提供隧道建立或封裝,以及第二層驗證。IPSec提供L2TP隧道的加密保護,從而可以提供對會話的安全保證。用戶可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用戶驗證功能。
  
  8.IPSEC和CET的比較?
  
  答案在於你的要求。如果你所需要的是CISCO路由器到CISCO路由器的資料加密保護,你就可以用CET,他是更成熟,更高速的解決方案。如果你需要基於工業界標準,提供對多廠商和遠端客戶訪問連接的支持,你就該用IPSEC。再者,如果你要在有或沒有加密保護的情況下對資料認證的支持,IPSEC也是正確的選擇。如果你願意,你可以在網路中同時配置CET和IPSEC,甚至在同一個設備上。CISCO設備可以同時支持對多個終端的CET安全會話和IPSEC安全會話。
  
  9.Cisco1700系列路由器上是否支持硬體VPN功能,該硬體產品號是什麼?
  
  支持,該硬體VPN功能模塊為:MOD1700-VPN。
  
  10.帶VPN模塊的Cisco1700系列路由器與靠IPSec軟件實現VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什麼特點?
  
  帶IPSec軟件而不帶VPN模塊的Cisco1700系列路由器可以對具有256個字節資料包達到300kbps的3DES加密保護,具有VPN模塊的1700路由器對相同大小的資料包達到3400kbps的加密保護速率。Cisco800和1600系列VPN路由器只能支持56KDES加密保護,不支持3DES。所能達到的速率適合進行ISDN128K的連接。
  
  11.帶VPN模塊的Cisco1700系列路由器能否與其它廠商提供的VPN產品進行互操作?
  
  儘管在許多不同的廠商之間已經就VPN形成了IPSec標準,如PKI和數位驗證等,但仍有許多廠商在設計和實施VPN的時候都或多或少地超出了這一標準。因此,在這之間進行互操作時有可能會遇到問題。
  
  12.Cisco系列VPN路由器一般可以支持多少個遠端移動用戶?
  
  Cisco1700系列VPN路由器可以支持20-30個用戶,如果採用硬體加速技術,則可以支持100個左右的用戶。Cisco2600/3600系列VPN路由器可以支持100-500個左右的用戶。對於超過500個以上的用戶數的VPN應用,建議採用Cisco7XXX系列的VPN路由器。
  
  13.Cisco的VPN軟件能否在同一個連接中支持多種協議(如IP、IPX等)?
  
  如果VPN支持多協議隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS軟件中被支持),那麼就可以支持多協議。
  
  14.什麼是CiscoVPNClient?
  
  CiscoVPNclient是一個軟件,用於訪問使能VPN產品的服務器端。他提供對Windows95,98,NT4.0,和2000,XP的支持。
  
  15.什麼是CISCOvpn3002硬體客戶端?
  
  CISCOvpn3002硬體客戶端是一個小的硬體系統,作為一個VPN環境中的客戶端。代替在基於MSDOS,WINDOWS和NT平台的軟件客戶端。
  
  安全產品部分問題解答
  
  1.ciscopix放火牆採用的是何種算法?資料是如何通過防火牆進行轉發?
  
  Ciscopix放火牆採用的是自適應安全算法,這是一種同設備連接狀態密切相關的安全檢測的方法。每一個進入放火牆的資料包都要通過自適應安全算法和記憶體中的連接狀態訊息的檢查。通過這種面向連接的動態防火牆設備,能同時處理500000個並發的連接和高達1Gbps的吞吐量。可想而知這種同連接狀態有關的方法比僅僅檢查資料包(如訪問列表)篩選的方法安全的多。當一個向外發送的包到達一個Pix放火牆較高階別接頭時,不管前一個包是否來自哪個主機,Pix放火牆用自適應安全算法檢察該包是否有效。如果不是,該包屬於一個新的連接,Pix放火牆會為該連接在狀態表中創建轉換槽。Pix放火牆存儲在轉換槽中的訊息包括內部的IP位址和全局唯一的IP位址,該位址由NAT,PAT,或身份分配。Pix放火牆接著改變包的源位址為全局唯一位址,按照要求修改校驗和以及其他域的位址,並將包轉發給較低的安全級別借口。
  
  2.Ciscopixfailover的作用?
  
  使用pix版本5.0,如果你有100Mbps的LAN接頭,你可以選擇與StatefulFailover選項。這樣一使連接狀態自動地在兩個放火牆部件之間傳遞。在failover偶對中的兩個部件通過failover線纜通信。failover線纜是修改過的RS-232串行線纜,它以9600的速率傳輸資料。資料提供主部件或從部件的標識號,另外一個部件電源狀態,並作為兩個部件不同的failover之間的通信鏈路。
  
  3.AAA的作用?
  
  訪問控制是用來控制允許何種人訪問服務器,以及一旦他們能夠訪問該服務器,以及一旦他們能夠訪問該服務器,允許他們使用何種服務的方法。AAA是使用相同方式配置三種獨立的安全功能的一種結構。它提供了完成下列服務的模塊化方法:認證—一種提供識別用戶的方法,包括註冊和口令交談視窗,詢問和響應,消息支持以及根據所選擇的安全協議進行加密保護。授權—一種提供遠端訪問控制的方法包括一次性授權或者單項服務服務授權,每個用戶帳戶列表和簡介,用戶包支持以及IP,IPX,ARP和Telnet支持。記帳—一種給安全服務器收集,發送訊息提供服務的方法,這些訊息用來開列帳單,審計和形成報表,如用戶標識,開始時間和停止時間,執行的命令,包的數量以及字節數。
  
  4.RADIUS?
  
  RADIUS是分佈式客戶機/服務器系統,它保護網路不受未授權訪問的干擾。在Cisco實現中,Radius客戶機執行於路由器上,並向中央RADIUS服務器發出認證請求,這裡的中央服務器包含了所有的用戶認證和網路服務訪問訊息。Cisco利用其AAA安全模式支持RADIUS,RADIUS也可以用於其他AAA安全協議,比如,TACACS,KERBEROS或本機用戶名查找,所有Cisco平台都支持RADIUS。
  
  5.Cisco加密保護技術如何實現?
  
  網路資料加密保護是在IP包一級提供的,只有IP包可以被加密保護。只有當包滿足在路由器上配置加密保護時所建立的條件時,這個資料包才會被加密保護/解密。當加密保護以後,單個資料包在傳輸時可以被檢測到,但IP包的內容不能被讀取。IP頭和上層協議頭沒有被加密保護,但TCP或UDP包內所有的淨荷資料都被加密保護,因此,在傳輸過程中不能被讀取。
  
  6.IPSec如何工作?
  
  IPSec為兩個同位體(路由器),提供安全隧道。由用戶來定義哪些包將被認為是敏感訊息,並將由這些安全隧道傳送。並且通過指定這些隧道的參數來定義用於保護這些敏感的參數。然後,當IPSec看到這樣的一個敏感包時,它將建立起相應的安全隧道,通過這隧道將這份資料包傳送給遠端同位體。
  
  7.TACACS+的作用?
  
  TACACS+是一種安全應用程式,它為用戶獲得對路由器或網路訪問服務器的訪問提供集中化的驗證。TACACS+服務在TACACS+後台程式的資料庫中進行維護,這種後台程式典型地執行在UNIX或WindowsNT工作站上。在為網路訪問服務器配置的TACACS+特性可用之前,必須能夠訪問並配置TACACS+服務器。
  
  8.CiscoIOS軟件支持哪幾種授權類型?
  
  1)EXEC授權—適用於與用戶EXEC終端對話相關的內容。
  2)命令授權—適用於用戶發出的EXEC模式命令。命令授權試圖給所有的EXEC模式命令使用指定的特權級別授權。
  3)網路授權—適用於網路連接,包括PPP,SLIP或ARAP連接。
   
  9.CiscoIOS在網路上管理記帳?
  
  在網路上管理記帳的命令。使用記帳管理可以跟蹤單個用戶使用的網路資源和群組用戶的網路資源。使用AAA記賬功能,不僅可以跟蹤用戶所訪問的服務,還可以跟蹤他們所消耗的網路資源的數量。
  
  10.Kerberos的作用?
  
  Kerberos是秘密密鑰網路認證協議,使用資料加密保護標準加密保護算法進行加密保護和認證。Kerberos是為對網路資源的請求進行認證而設計的。與其他秘密密鑰系統一樣,Kerberos基於可信任的第三方概念,這個第三方對用戶和服務執行安全認證。
  
  11.鎖定和密鑰的作用?
  
  鎖定和密鑰是一種流量過濾安全特性,它動態過濾IP協議流量。鎖定和密鑰是使用IP動態擴展訪問列表進行配置的,它可以與其他標準訪列表或靜態訪問列表結合起來一起使用。
  
  12.CiscoSecureScanner的作用?
  
  CiscoSecureScanner是一種企業級的軟件工具,提供卓越的網路系統識別,革新性資料管理,靈活的用戶定義脆弱性規則,全面的安全報告功能以及Cisco24*7的全球支持。
  
  13.CiscoSecurePolicyManager的作用?
  
  CiscoSecurePolicyManager是一個用於Cisco放火牆,IPSec虛擬網路閘道器路由器和入侵檢測系統Sensor的強大,可伸縮的安全政策管理系統。
  
  14.Cisco安全入侵檢測系統的作用?
  
  Cisco安全入侵檢測系統可以為企業和服務提供商網路提供一系列高性能的安全監視監控方案。
  
  15.CiscoSecure訪問控制服務器的作用?
  
  CiscoSecure訪問控制服務器是為了解決Internet和所有共用的,專用的網路或外部企業網等網路的快速發展為用戶如何對網路訪問進行控制,授權和記費提出的安全方面的具體解決工具。
  
  16.CiscoIos防火牆的作用?
  
  CiscoIos防火牆為每一個網路周邊整合了穩健的放火牆功能性和入侵檢測,豐富了Cisco軟件的安全功能。
  
  17.PIX防火牆的關於license訊息。
  
  PIX防火牆的license有Unrestricted,Restricted,andFail-Over三種配置。
這些基本的配置都可以用VPNDES和3DES來加強安全性。
Unrestricted—操作在UR模式下的PIX防火牆允許支持最大數目的接頭和最大可支持的記憶體。

UR的License支持熱備份冗余,最小化down網路的時間。Restricted—操作在R模式下的PIX防火牆限制支持的接頭數和支持的記憶體大小。限制的許可特性提供對那些小網路的應用價格優化的防火牆方案。限制的許可特性不支持冗余的FO特性。

Fail-Over—操作在FO模式下的PIX防火牆跟另一台帶UR許可證的防火牆協同工作,提供一個熱冗余備份的結構。

FO許可證提供基於狀態的容錯特性,從而使能高可用性的網路結構。在FO模式下的PIX防火牆維護跟主放火強完全一樣的連接既時狀態,從而最小化因為設備或網路失敗而引起的連接失敗。U

R和FO的許可證有完全一樣的特徵和性能指數。UR和FO的防火牆中間需要Fail-over的電纜線。

當前的PIX防火牆是基於特性集的許可證,這類許可秘匙限定哪些特性可用,哪些特性不可用。以前的PIX放火牆支持基於連接數的秘匙系統,它是限定PIX放火牆支持的最大連接數。為了統一和易於管理的目的,當前的PIX防火牆都支持基於特性集的許可證。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:24 PM   #9 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

SQL Server連接中三個常見的錯誤分析

  一、"SQL Server 不存在或訪問被拒絕"

  這個是最複雜的,錯誤發生的原因比較多,需要檢查的方面也比較多。

  一般說來,有以下幾種可能性:

  1、SQL Server名稱或IP位址拼寫有誤
  2、服務器端網路配置有誤
  3、客戶端網路配置有誤

  要解決這個問題,我們一般要遵循以下的步驟來一步步找出導致錯誤的原因。

  首先,檢查網路物理連接
  ping <服務器IP位址/服務器名稱>
  如果 ping <服務器IP位址> 不成功,說明物理連接有問題,這時候要檢查硬體設備,如網卡,HUB,路由器等。

  還有一種可能是由於客戶端和服務器之間安裝有防火牆軟件造成的,比如 ISA Server。防火牆軟件可能會屏蔽對 ping,telnet 等的響應,因此在檢查連接問題的時候,我們要先把防火牆軟件暫時關閉,或者打開所有被封閉的連接阜。

  如果ping <服務器IP位址> 成功而,ping <服務器名稱> 失敗,則說明名字解析有問題,這時候要檢查 DNS 服務是否正常。

  有時候客戶端和服務器不在同一個局域網裡面,這時候很可能無法直接使用服務器名稱來標識該服務器,這時候我們可以使用HOSTS文件來進行名字解析,具體的方法是:

  1、使用記事本打開HOSTS文件(一般情況下位於C:\WINNT\system32\drivers\etc)。
  新增一條IP位址與服務器名稱的對應記錄,如:
  172.168.10.24 myserver

  2、或在 SQL Server 的客戶端網路實用工具裡面進行配置,後面會有詳細說明。

  其次,使用 telnet 命令檢查SQL Server服務器工作狀態
  telnet <服務器IP位址> 1433

  如果命令執行成功,可以看到螢幕一閃之後游標在左上角不停閃動,這說明 SQL Server 服務器工作正常,並且正在監聽1433連接阜的 TCP/IP 連接,如果命令返回"無法打開連接"的錯誤訊息,則說明服務器端沒有啟動 SQL Server 服務,也可能服務器端沒啟用 TCP/IP 協議,或者服務器端沒有在 SQL Server 預定的連接阜1433上監聽。

  接著,我們要到服務器上檢查服務器端的網路配置,檢查是否啟用了命名管道。是否啟用了 TCP/IP 協議等等,可以利用 SQL Server 自帶的服務器網路使用工具來進行檢查。

  點擊:程式 Microsoft SQL Server 服務器網路使用工具

  打開該工具後,在"一般"中可以看到服務器啟用了哪些協議。
  一般而言,我們啟用命名管道以及 TCP/IP 協議。
  點中 TCP/IP 協議,選擇"內容",我們可以來檢查 SQK Server 服務預定連接阜的設置
  一般而言,我們使用 SQL Server 預定的1433連接阜。如果選中"隱藏服務器",則意味著客戶端無法通過枚舉服務器來看到這台服務器,起到了保護的作用,但不影響連接。

  接下來我們要到客戶端檢查客戶端的網路配置
  我們同樣可以利用 SQL Server 自帶的客戶端網路使用工具來進行檢查,
  所不同的是這次是在客戶端來執行這個工具。

  點擊:程式 Microsoft SQL Server 客戶端網路使用工具

  打開該工具後,在"一般"項中,可以看到客戶端啟用了哪些協議。
  一般而言,我們同樣需要啟用命名管道以及 TCP/IP 協議。
  點擊 TCP/IP 協議,選擇"內容",可以檢查客戶端預定連接連接阜的設置,該連接阜必須與服務器一致。

  單擊"別名"選擇項,還可以為服務器配置別名。服務器的別名是用來連接的名稱,連接參數中的服務器是真正的服務器名稱,兩者可以相同或不同。別名的設置與使用HOSTS文件有相似之處。

  通過以上幾個方面的檢查,基本上可以排除第一種錯誤。
  二、"無法連接到服務器,用戶xxx登入失敗"

  該錯誤產生的原因是由於SQL Server使用了"僅 Windows"的身份驗證方式,因此用戶無法使用SQL Server的登入帳戶(如 sa )進行連接。解決方法如下所示:

  1、在服務器端使用企業管理器,並且選擇"使用 Windows 身份驗證"連接上 SQL Server
  2、展開"SQL Server組",滑鼠右鍵點擊SQL Server服務器的名稱,選擇"內容",再選擇"安全性"選擇項
  3、在"身份驗證"下,選擇"SQL Server和 Windows "。
  4、重新啟動SQL Server服務。

  在以上解決方法中,如果在第 1 步中使用"使用 Windows 身份驗證"連接 SQL Server 失敗,那就通過修改註冊表來解決此問題:

  1、點擊"開始" "執行",輸入regedit,Enter鍵進入註冊表編輯器
  2、依次展開註冊表項,瀏覽到以下註冊表鍵:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer
  \MSSQLServer]
  3、在螢幕右方找到名稱"LoginMode",雙擊編輯雙字節值
  4、將原值從1改為2,點擊"確定"
  5、關閉註冊表編輯器
  6、重新啟動SQL Server服務。

  此時,用戶可以成功地使用sa在企業管理器中新增SQL Server註冊,
  但是仍然無法使用Windows身份驗證模式來連接SQL Server。
  這是因為在 SQL Server 中有兩個預設的登入帳戶:
  BUILTIN\Administrators
  <機器名>\Administrator 被刪除。
  要恢復這兩個帳戶,可以使用以下的方法:

  1、打開企業管理器,展開服務器組,然後展開服務器
  2、展開"安全性",右擊"登入",然後單擊"新增登入"
  3、在"名稱"框中,輸入 BUILTIN\Administrators
  4、在"服務器角色"選擇項中,選擇"System Administrators"
  5、點擊"確定"退出
  6、使用同樣方法新增 <機器名>\Administrator 登入。

  說明:

  以下註冊表鍵:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer
  \MSSQLServer\LoginMode
  的值決定了SQL Server將採取何種身份驗證模式。
  1、表示使用"Windows 身份驗證"模式
  2、表示使用混合模式(Windows 身份驗證和 SQL Server 身份驗證)。

  三、提示連接超時

  如果遇到第三個錯誤,一般而言表示客戶端已經找到了這台服務器,並且可以進行連接,不過是由於連接的時間大於允許的時間而導致出錯。

  這種情況一般會發生在當用戶在Internet上執行企業管理器來註冊另外一台同樣在Internet上的服務器,並且是慢速連接時,有可能會導致以上的超時錯誤。有些情況下,由於局域網的網路問題,也會導致這樣的錯誤。

  要解決這樣的錯誤,可以修改客戶端的連接超時設置。

  預定情況下,通過企業管理器註冊另外一台SQL Server的超時設置是 4 秒,而查詢分析器是 15 秒(這也是為什麼在企業管理器裡發生錯誤的可能性比較大的原因)。

  具體步驟為:
  企業管理器中的設置:
  1、在企業管理器中,選擇表菜單上的"工具",再選擇"選項"
  2、在彈出的"SQL Server企業管理器內容"視窗中,點擊"高階"選擇項
  3、在"連接設置"下的"登入超時(秒)"右邊的框中輸入一個比較大的數位,如 20。

  查詢分析器中的設置:
  工具 選項 連接 將登入超時設置為一個較大的數位

  連接超時改為0

  1、先保證ping通
  2、在dos下寫入telnet ip 1433不會報錯
  3、用ip連如企業管理器:
  企業管理器>右鍵SQlserver組>新增sqlserver註冊>下一步>寫入遠端實例名(IP,機器名)>下一步>選Sqlserver登入>下一步>寫入登入名與密碼(sa,pass)>下一步>下一步>完成
  4、如果還不行:
  sqlserver服務器>開始表菜單>SQLserver>服務器網路實用工具>啟用 WinSock代理>代理位址:(sqlserver服務器IP)>代理連接阜>1433>OK了
  5、如果還不行:
  sqlserver客戶端>開始表菜單>SQLserver>客戶端網路實用工具>別名>新增>寫入別名如"大力">"網路庫"選tcp/ip>服務器名稱寫入遠端ip或實例名>OK了
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:25 PM   #10 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

★★★IE問題解決方法匯總!★★★

1、網頁亂碼的排除。
有些朋友問我,上網時為什麼在網頁上經常出現亂碼?其實這一問題有兩種現象:一種是語言的選擇不當引起的,比如說瀏覽繁體網頁,或國外有些網站,電腦一時不能自動轉換內碼,而出現了亂碼。消除這種情況,可單擊瀏覽器上的「檢視」/「編碼」,選取你要顯示的文字,則亂碼取消。另一種是電腦缺少內碼轉換器,如是則安裝上就好了。

2、上網時發生非法操作的排除。
上網時經常出現「非法操作」的提示,只有關閉重新打開才能消除。其原因和排除方法:一是可能是資料在傳輸過程中發生錯誤,當傳過來的訊息在記憶體中錯誤積累太多時便會影響正常瀏覽,只能重新呼叫或重啟機器;二是清除硬碟快取記憶體;三是升級瀏覽器版本;四是硬體相容性差,可與商家提出更換的要求。

3、如何消除操作系統和瀏覽器在他人網站上顯示。
瀏覽有些網站,它總能知道我採用的操作系統、瀏覽器、訪問該站點的次數以及每次停留的時間,並且直接把這些內容顯示在他的網站上,不知者弄得怪嚇人的。消除辦法:將Cookies資料夾的內容改為只讀即可。

4、系統找不到網卡的故障原因及排除方法。
當網卡正確插到主板PCI或ISA插槽中後,系統無法找到該設備,也無法安裝對應的驅動程式。在打開控制台中的系統對象,選擇設備管理器標籤,單擊重新整理按鍵,仍然沒有發現新的設備。解決的辦法:啟動電腦,進入CMOS,選擇其中的「BIOS FEATURES SETUP」一項,在「Report No FDD For Windows95"後的「Yes」改為「No」即可。

5、在「網上的芳鄰」中看不到任何用戶名稱的故障排除。
在「網上的芳鄰」中看不到任何用戶的電腦,包括自己的電腦。一般情況下,這是網卡的安裝和設置不正確造成的。通過選擇「開始/設置/控制台/系統/設備管理器」,在列表框中找到網卡後單擊「內容」按鍵,在出現的交談視窗中看網卡與系統中的其它設備有否發生衝突,如有衝突則在「網上的芳鄰」中看不到任何電腦的名稱。

6、IE預定首頁被修改的故障排除。
  IE瀏覽器上方的標題欄被改成「歡迎訪問……網站」的樣式模板,這是最常見的篡改手段,受害者眾多。排除辦法可通過修改註冊表來解決:
  1在Windows啟動後,點擊「開始」→「執行」表菜單項,在「打開」欄中鍵入regedit,然後按「確定」鍵;
  2展開註冊表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
  下,在右半部分視窗中找到串值「Start Page」雙擊 ,將Start Page的鍵值改為「about:blank」即可;
  3同理,展開註冊表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
  在右半部分視窗中找到串值「Start Page」,然後按2中所述方法處理。
  4退出註冊表編輯器,重新啟動電腦,一切OK了!
  特殊例子:當IE的起始頁變成了某些網址後,就算你通過選項設置修改好了,重啟以後又會變成他們的網址啦,十分的難纏。其實他們是在你機器裡加了一個自執行程式,它會在系統啟動時將你的IE起始頁設成他們的網站。
  解決辦法:執行註冊表編輯器regedit.exe,然後依次展開
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
  主鍵,然後將其下的registry.exe子鍵刪除,然後刪除自執行程式c:\Program Files\registry.exe,最後從IE選項中重新設置起始頁就好了。

7、惡意網頁篡改IE的預定頁的排除方法。
  有些IE被改了起始頁後,即使設置了「使用預定頁」仍然無效,這是因為IE起始頁的預定頁也被篡改啦。具體說來就是以下註冊表項被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\
Main\Default_Page_URL
  「Default_Page_URL」這個子鍵的鍵值即起始頁的預定頁。排除辦法:
  執行註冊表編輯器,然後展開上述子鍵,將「Default_Page_UR」子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置為IE的預定值。

8、IE瀏覽器預設主頁被修改的排除辦法。
[$nbsp][$nbsp]修改IE瀏覽器預設主頁,並且鎖定設置選項,禁止用戶更改回來。主要是修改了註冊表中IE設置的下面這些鍵值(DWORD值為1時為不可選):
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Settings"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Links"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"SecAddSites"=dword:1  

排除辦法:將上面這些DWORD值改為「0」即可恢復功能。

9、預定首頁變灰色且按扭不可用的故障排除。
  這是由於註冊表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel
  下的DWORD值「homepage」的鍵值被修改的緣故。原來的鍵值為「0」,被修改為「1」(即為灰色不可選狀態)。  

排除辦法:將「homepage」的鍵值改為「0」即可。

10、IE標題欄被修改的故障排除。
  在系統預定狀態下,是由應用程式本身來提供標題欄的訊息,但也允許用戶自行在上述註冊表專案中填加訊息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改為其網站名或更多的廣告訊息,從而達到改變瀏覽者IE標題欄的目的。
  具體說來受到更改的註冊表專案為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
  排除辦法:
  1在Windows啟動後,點擊「開始」→「執行」表菜單項,在「打開」欄中鍵入regedit,然後按「確定」鍵;
  2展開註冊表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
  下,在右半部分視窗中找到串值「Window Title」 ,將該串值刪除即可,或將Window Title的鍵值改為「IE瀏覽器」等你喜歡的名字;
  3同理,展開註冊表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
  然後按2中所述方法處理。
  4退出註冊表編輯器,重新啟動電腦,執行IE,你會發現困擾你的問題解決了!

11、IE右鍵表菜單被修改的故障排除。
  受到修改的註冊表專案為:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
  下被新增了網頁的廣告訊息,並由此在IE右鍵表菜單中出現!
  排除辦法:打開註冊標編輯器,找到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
  刪除相關的廣告條文即可,注意不要把下載軟件FlashGet和Netants也刪除掉啊,這兩個可是「正常」的呀,除非你不想在IE的右鍵表菜單中見到它們。

12、IE預定搜索引擎被修改的故障排除。
  在IE瀏覽器的工具欄中有一個搜索引擎的工具按鍵,可以實現網路搜索,被篡改後只要點擊那個搜索工具按鍵就會連接到那個篡改網站。出現這種現象的原因是以下註冊表被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
  排除辦法:執行註冊表編輯器,依次展開上述子鍵,將「CustomizeSearch」和「SearchAssistant」的鍵值改為某個搜索引擎的網址即可。

13、排除上網自動彈出的廣告訊息。
  我們每次上網,經常有網頁廣告訊息彈出!讓人很討厭啊。

[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]排除辦法:打開註冊表編輯器,找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
  這一個主鍵,然後在右邊視窗中找到「LegalNoticeCaption」和「LegalNoticeText」這兩個字元串,刪除這兩個字元串就可以解決問題了。

14、瀏覽網頁註冊表被禁用故障的排除。
  上網時,註冊表被禁用,這是由於註冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值「DisableRegistryTools」被修改為「1」的緣故,將其鍵值恢復為「0」即可恢復註冊表的使用。

[$nbsp][$nbsp][$nbsp]解決辦法:用記事本程式建立以REG為後綴名的文件,將下面這些內容複製在其中就可以了。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
「DisableRegistryTools」=dword:00000000

15、檢視「「源文件」表菜單被禁用故障的排除。
  在IE視窗中點擊「檢視」→「源文件」,發現「源文件」表菜單已經被禁用。這是惡意網頁修改了註冊表,具體的位置為:
  在註冊表
[$nbsp][$nbsp][$nbsp][$nbsp]HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
  下建立子鍵「Restrictions」,然後在「Restrictions」下面建立兩個DWORD值:「NoViewSource」和「NoBrowserContextMenu」,並為這兩個DWORD值賦值為「1」。
  在註冊表
[$nbsp][$nbsp][$nbsp]HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions
  下,將兩個DWORD值:「NoViewSource」和「NoBrowserContextMenu」的鍵值都改為了「1」。
  通過上面這些鍵值的修改就達到了在IE中使滑鼠右鍵失效,使「檢視」表菜單中的「源文件」被禁用的目的。要向你說明的是第2點中提到的註冊表其實相當於第1點中提到的註冊表的分支,修改第1點中所說的註冊表鍵值,第2點中註冊表鍵值隨之改變。
  排除辦法:將以下內容另存為後綴名為reg的註冊表文件,比方說unlock.reg,雙擊unlock.reg匯入註冊表,不用重啟電腦,重新執行IE就會發現IE的功能恢復正常了。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
「NoViewSource」=dword:00000000
"NoBrowserContextMenu"=dword:00000000
[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions]
「NoViewSource」=dword:00000000
「NoBrowserContextMenu」=dword:00000000
  要特別注意的是,在你編製的註冊表文件unlock.reg中,「REGEDIT4」一定要大寫,並且它的後面一定要空一行,還有,「REGEDIT4」中的「4」和「T」之間一定不能有空格,否則將前功盡棄!許多朋友寫註冊表文件之所以不成功,就是因為沒有注意到上面所說的內容,這回該注意點嘍。請注意如果你是Win2000或WinXP用戶,請將「REGEDIT4」改為Windows Registry Editor Version 5.00。





另外加幾條湊個熱鬧先。
這都是惡意網站經常幹的好事,關於修改起始主頁龍猴說的很清楚,所以就不囉嗦了

1、修改IE工具欄

  IE的工具欄包括工具按鍵、位址欄、連接等幾個專案,惡意網頁可能會自作主張的在工具欄上新增按鍵,或者在位址欄的下拉列表中加入一些並未訪問過的網址,甚至會通過篡改連接欄的標題顯示一些噁心的文字。

  要去掉不需要的按鍵,方法很簡單,對工具欄按鍵點右鍵選「自定義」,在「當前工具欄按鍵」下拉框中選定不需要的按鍵後點擊「刪除」即可。

  要去掉多餘的位址列表,可通過註冊表編輯器展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\TypeURLs]主鍵,將右部視窗中「url1」、「url2」等鍵值名全部刪除即可。

  要修復連接欄標題,首先展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Toolbar]主鍵,在右部視窗中對鍵值名「LinksFolderName」雙擊,修改其鍵值為欲顯示的訊息,或直接將該鍵值名刪除,連接欄的標題將恢復為預定的「連接」字樣。
2、修改預定的搜索引擎

  在IE的工具欄中有一個「搜索」按鍵,它連接到一個指定的搜索引擎,可實現網路搜索。被惡意網頁修改後的該按鍵並不能進行搜索工作,而是連接到由惡意網頁指定的網頁上去了。

  要修復搜索引擎,首先展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Search]主鍵,在右部視窗中將「CustomizeSearch」、「SearchAssistant」這兩個鍵值名對應的網址改為某個搜索引擎的網址即可。
3、修改IE標題欄

  我們瀏覽網頁時,IE標題欄顯示的是由當前網頁決定的標題訊息。但某些惡意網頁通過修改註冊表,使IE無論瀏覽什麼網頁都要在標題後附加一段訊息,要麼是某個網站的名稱,要麼是一些LJ廣告,甚至是一些政治反動或不堪入目的訊息。

  要修復IE標題欄,在註冊表編輯器中展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主鍵,將右部視窗中的「Window Title」鍵值名直接刪除即可。
4、修改或禁止IE右鍵

  有些惡意網頁對IE右鍵快捷表菜單進行修改,加入一些無聊訊息,或是加入指向其網站的連接,以為這樣人們就會經常光顧他們的網站,真是很可笑。

  要刪除右鍵表菜單中的LJ內容,可通過註冊表編輯器展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\MenuExt]主鍵,將下面的LJ內容全部刪除即可,也可直接把「MenuExt」子鍵刪除掉,因為「MenuExt」子鍵下是右鍵表菜單的擴展內容,把它刪除,右鍵表菜單便恢復為預定樣式模板。

  有些惡意網頁為禁止下載,竟然禁止使用右鍵,簡直太可惡了。展開[HKEY_CURRENT_USER\Software\Policies\Wicrosoft\Internet Explorer\Restrictions]主鍵(注意這裡是Policies分支下的Internet Explorer),在右部視窗中將鍵值名「NoBrowserContextMenu」的Dword鍵值改為「0」即可,或者將該鍵值名刪除,甚至可將「Restrictions」子鍵刪除,「Restrictions」子鍵下是一些限制IE功能的設置。

  有些惡意網頁更狡猾,當使用滑鼠右鍵時不會顯示表菜單,而是彈出交談視窗警告你不要「侵權」,或是強迫你閱讀他們的LJ廣告,這種情況並未修改註冊表,所以退出這個網頁就不會有事了。如果非要在這個網頁中使用右鍵,可採取變通的方法:當彈出交談視窗後,先按下鍵盤上的「內容」鍵(右側Ctrl鍵左邊的一個鍵)不放,再按Enter鍵鍵,彈出幾次交談視窗就按幾次Enter鍵鍵,最後放開「內容」鍵,右鍵快捷表菜單便出來了。
5、系統啟動時彈出網頁或交談視窗

  若出現啟動Windows時彈出網頁,這是惡意網頁對Windows的「啟動」組動了手腳的緣故。我們在註冊表中將「啟動」組內相應專案刪除即可解決。

  方法是:展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主鍵,在右部視窗中將包含有url、htm、html、asp、php等網址內容的鍵值名全部刪除。

  惡意網頁還有一種類似的伎倆是,啟動Windows時會彈出交談視窗,以顯示它們的廣告訊息。解決辦法是:展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version]主鍵,該主鍵下的子鍵「Winlogon」可以使Windows啟動時顯示訊息提示視窗,直接將該子鍵刪除即可避免啟動時出現LJ訊息了。
6、定時彈出IE新視窗

  IE瀏覽器中每隔一段時間就會彈出新的視窗去訪問別的網頁,這種情況也是典型的惡意網頁中毒症狀。惡意網頁是通過在Windows的「啟動」組新增hta文件來達到目的的。同樣,我們利用第5條中的方法,將啟動組內包含hta文件的專案全部刪除即可。
7、禁止修改註冊表

  這是惡意網頁最無恥的行徑了,惡意網頁修改了我們的系統,當我們使用註冊表編輯器Regedit.exe時去修復註冊表時,系統提示「註冊表編輯器被管理員所禁止」。惡意網頁試圖通過禁止Regedit.exe的使用,來阻止我們修復註冊表,可謂用心險惡。

  但註冊表編輯工具除了Regedit.exe外還有很多種,隨便從網上下載一個註冊表編輯器,展開[HKEY_CURRENT_USER\Software\Wicrosoft\Windows\Current Version\Policies\System]主鍵,將鍵值名「DisableRegistryTools」的鍵值改為「0」,或將該鍵值名刪除,這樣便可使用Windows自帶的註冊表編輯器了。

  如果找不到其它編輯器,利用記事本編寫以下三行內容:

  REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"disableregistrytools"=dword:0

  將以上內容儲存為aaa.reg,文件名可任取,但延伸名一點要為reg,然後雙擊這個文件,提示訊息成功輸入註冊表之後,你便又可使用Regedit.exe了。
8、下載執行木馬程式

  惡意網頁最陰險的一招就是下載並執行木馬程式,從而控制訪問者的電腦。這利用的是IE5.0的一個漏洞,惡意網頁通過一段惡代碼連接一個嵌入了exe文件(木馬)的eml文件(E-mail文件),當訪問者瀏覽這類網頁並點擊經過偽裝的連接時,便會自動下載eml文件並執行其中的exe文件(木馬),並且不會有任何提示訊息,一切在悄無聲息中進行。

  如此罪惡的行徑,我們卻沒有什麼好的對付辦法。唯有升級IE版本了,因為這個漏洞在IE5.0以上版本中都不復存在。
9、格式化硬碟

  惡意網頁能把你的硬碟格式化!?你沒看錯,這可是惡意網頁最狠毒的一招了,後果不堪設想,簡直太恐怖了。惡意網頁是利用IE執行ActiveX功能,呼叫Windows下的Format.com程式對硬碟進行格式化,由於使用了一個微軟未曾公開的執行參數,Format.com格式化硬碟時無需經過你的確認而自動進行,同時視窗處於最小化狀態,很可能你還沒反應過來,你的系統就已經完蛋了。此招真是太卑鄙了。

  但險招有險象,當你訪問此類惡意網頁時,由於要使用ActiveX功能,IE會提示當前網頁面含有不安全的ActivcX,可能會對系統造成危害,並詢問是否執行,這時你就要提高警惕了,千萬不要隨便選擇「是」,而且這種提示訊息還可能經過偽裝,例如:「瀏覽器將使用防毒功能,避免你受到惡意攻擊,是否繼續?」真是顛倒是非,讓你霧裡看花,你得小心再小心,否則沒有後悔藥給你吃。

  其實最安全的辦法是,將你電腦中的Format.com程式改名,使惡意網頁呼叫程式無門、行惡不成。在Windows中還有一個危險命令Deltree.exe,它的作用是刪除整個目錄,也可帶參數自動執行,為了不讓惡意網頁有機可乘,你不妨也把它改名大吉。

  以上揭露的只是惡意網頁最普遍的十種罪行,除此之外,還有一些五花八門的小伎倆,也給我們上網帶來不少麻煩。另外,以上提出的解決辦法,都是在受到惡意網頁危害後的解救措施,並不保證以後就太平無事了。若要避免或減輕危害,還得從預防做起。最簡單的預防措施是升級IE版本和使用殺毒軟件的病毒防火牆:

  1、升級IE版本:很多惡意網頁只對IE5.0及以下版本有效。高版本軟件一般都修復了低版本中的Bug,我們使用高版本IE就相對安全得多。
2、啟用病毒防火牆:現在的殺毒軟件大都有病毒防火牆功能,例如金山毒霸、瑞星等。病毒防火牆可以智慧式的識別、查殺、隔離惡意網頁,除此之外,殺毒軟件還是各種木馬程式的「剋星」。殺毒軟件總是站在與電腦界的各種惡魔抗爭的最前線,讓反毒戰士來保護我們,準沒錯!
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:27 PM   #11 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

上網操作1000問

^比酷
黑客的定義及其危害
什麼是黑客?
答:談到網路安全問題,就沒法不談黑客(Hacker)。翻開1998年日本出版的《新黑客字典》,可以看到上面對黑客的定義是:「喜歡探索軟件程式奧秘、並從中增長其個人才幹的人。我可不是啊如果做朋友的可以共同討論啊.還是說正題吧他們不像絕大多數電腦使用者,只規規矩矩地瞭解別人指定瞭解的範圍狹小的部分知識。」
「黑客」大都是程式員,他們對於操作系統和編程語言有著深刻的認識,樂於探索操作系統的奧秘且善於通過探索瞭解系統中的漏洞及其原因所在,他們恪守這樣一條準則:「Never
damage any
system」(永不破壞任何系統)。他們近乎瘋狂地鑽研更深入的電腦系統知識並樂於與他人共享成果,他們一度是電腦發展史上的英雄,為推動電腦的發展起了重要的作用。那時候,從事黑客活動,就意味著對電腦的潛力進行智力上最大程度的發掘。國際上的著名黑客均強烈支持訊息共享論,認為訊息、技術和知識都應當被所有人共享,而不能為少數人所壟斷。大多數黑客中都具有反社會或反傳統的色彩,同時,另外一個特徵是十分重視團隊的合作精神。
顯然,「黑客」一詞原來並沒有絲毫的貶義成分。直到後來,少數懷著不良的企圖,利用非法手段獲得的系統訪問權去闖入遠端機器系統、破壞重要資料,或為了自己的私利而製造麻煩的具有惡意行為特徵的人(他們其實是「Crack」)慢慢玷污了「黑客」的名聲,「黑客」才逐漸演變成入侵者、破壞者的代名詞。
「他們瞄準一台電腦,對它進行控制,然後毀壞它。」——這是1995年美國拍攝第一部有關黑客的電影《戰爭遊戲》中,對「黑客」概念的描述。
雖然現在對黑客的準確定義仍有不同的意見,但是,從訊息安全這個角度來說,「黑客」的普遍含意是特指對電腦系統的非法侵入者。多數黑客都癡迷電腦,認為自己在電腦方面的天賦過人,只要自己願意,就可毫無顧忌地非法闖入某些敏感的訊息禁區或者重要網站,以竊取重要的訊息資源、篡改網址訊息或者刪除該網址的全部內容等惡作劇行為作為一種智力的挑戰而自我陶醉。
目前黑客已成為一個特殊的社會群體,在歐美等國有不少完全合法的黑客組織,黑客們經常召開黑客技術交流會,97年11月,在紐約就召開了世界黑客大會,與會者達四五千人之眾。另一方面,黑客組織在因特網上利用自己的網站上介紹黑客攻擊手段、免費提供各種黑客工具軟件、出版網上黑客雜誌。這使得普通人也很容易下載並學會使用一些簡單的黑客手段或工具對網路進行某種程度的攻擊,進一步惡化了網路安全環境。
黑客可以分為哪幾種類型?
答:黑客通常可以分為以下幾種類型:
1.好奇型
他們沒有反社會色彩,只是在追求技術上的精進,
只在好奇心驅使下進行一些並無惡意的攻擊,以不正當侵入為手段找出網路漏洞,他們在發現了某些內部網路漏洞後,會主動向網路管理員指出或者乾脆幫助修補網路錯誤以防止損失擴大。他們能使更多的網路趨於完善和安全。
2.惡作劇型
闖入他人網站,以篡改、更換網站訊息或者刪除該網站的全部內容,並在被攻擊的網站上公佈自己的綽號,以便在技術上尋求刺激,炫耀自己的網路攻擊能力。
3.隱密型
喜歡先通過種種手段把自己深深地隱藏起來,然後再以匿名身份從暗處實施主動網路攻擊;有時乾脆冒充網路合法用戶,通過正常渠道侵入網路後再進行攻擊。此類黑客大都技術高超、行蹤無定,攻擊性比較強。
4.定時炸彈型
極具破壞性的一種類型。為了達到個人目的,通過在網路上設置陷阱或事先在生產或網路維護軟件內置入邏輯炸彈或後門程式,在特定的時間或特定條件下,根據需要干擾網路正常執行或致使生產線或者網路完全陷入癱瘓狀態。
5. 重磅炸彈型
這種黑客憑借高超的黑客技術,利用高技術手段干擾競爭對手的正常商業行為。或者非法闖入軍事情報機關的內部網路,干擾軍事指揮系統的正常工作,竊取、調閱和篡改有關軍事資料,使高度敏感訊息洩密,意圖製造軍事混亂或政治動盪。
黑客有什麼樣的危害?
答:黑客對於窺視別人在網路上的秘密有著特別的興趣,如政府和軍隊的機密、企業的商業秘密及個人隱私等均在他們的雙目注視之下。他們的所作所為常常讓人們為之瞠目:
1990年4月—1991年5月間,幾名荷蘭黑客自由進出美國國防部的34個站點如入無人之境,調出了所有包含「武器」、「導彈」等關鍵詞的訊息。嚴重的是,而美國國防部當時竟一無所知。
在1991年的海灣戰爭中,美國首次將訊息戰用於實戰,但黑客很快就攻擊了美國軍方的網路系統。同時。黑客們將竊取到的部分美軍機密文件提供給了伊拉克。
1996年9月18日,美國中央情報局的網頁被一名黑客破壞,「中央情報局」被篡改成「中央愚蠢局」 ……
據《今日美國報》報道,黑客每年給全球電腦網路帶來的損失估計高達上百億美元。
為了打擊黑客的犯罪活動,美國政府計劃成立一個由聯邦調查局、中央情報局、司法局和商務部聯合組成的特別小組,來保護美國的重要電腦系統不受恐怖分子的攻擊。五角大樓籌劃組建一個國家安全情報交流小組,以防止發生「電子珍珠港事件」。
二、黑客常用的攻擊手段
在高速執行的Internet上,除了機器設備、通訊線路等硬體設施本身的可靠性問題之外,可以說每時每刻都受到潛在人為攻擊的威脅,而這種攻擊一旦成功,小則文件受損、商業機密洩漏,大至威脅國家安全。以下就是黑客通常都採用幾種攻擊手段:後門、炸彈攻擊、拒絕服務攻擊等。
什麼是後門程式?
答:當一個訓練有素的程式員設計一個功能較複雜的軟件時,都習慣於先將整個軟件分割為若干模塊,然後再對各模塊單獨設計、除錯,而後門則是一個模塊的秘密入口。在程式開發期間,後門的存在是為了便於測試、更改和增強模塊的功能。當然,程式員一般不會把後門記入軟件的說明文檔,因此用戶通常無法瞭解後門的存在。
按照正常操作程式,在軟件交付用戶之前,程式員應該去掉軟件模塊中的後門,但是,由於程式員的疏忽,或者故意將其留在程式中以便日後可以對此程式進行隱蔽的訪問,方便測試或維護已完成的程式等種種原因,實際上並未去掉。
這樣,後門就可能被程式的作者所秘密使用,也可能被少數別有用心的人用窮舉搜索法發現利用。想想看,如果黑客發現了你的服務器正執行著有後門的軟件,結果將會怎樣?!
炸彈攻擊的原理是什麼?
答:炸彈攻擊的基本原理是利用特殊工具軟件,在短時間內向目標機集中發送大量超出系統接收範圍的訊息或者LJ訊息,目的在於使對方目標機出現超負荷、網路堵塞等狀況,從而造成目標的系統崩潰及拒絕服務。常見的炸彈攻擊有郵件炸彈、邏輯炸彈、聊天室炸彈、特洛伊木馬、網路監聽等。
什麼是郵件炸彈?
答:郵件炸彈攻擊是各種炸彈攻擊中最常見的攻擊手段。現在網上的郵件炸彈程式很多,雖然它們的安全性不盡相同,但基本上都能保證攻擊者的不被發現。任何一個剛上網的新手利用現成郵件炸彈工具程式,要實現這種攻擊都是易如反掌的。
郵件炸彈造成的危害原理是這樣的:由於接收郵件訊息需要系統來處理,而且郵件的儲存也需要一定的空間。所以,因郵件炸彈而導致的巨量郵件會大大加劇網路連接負擔、消耗大量的存儲空間,甚至溢出文件系統,這將會給Unix、Windows等許多操作系統形成威脅,除了操作系統有崩潰的危險之外,由於大量LJ郵件集中湧來,將會佔用大量的處理器時間與帶寬,造成正常用戶的訪問速度急劇下降。而對於個人的免費郵箱來說,由於其郵箱容量是有限制的,郵件容量一旦超過限定容量(即郵箱被「撐爆」),系統就會拒絕服務。
有矛就會有盾,針對郵件炸彈的氾濫,一些對抗郵件炸彈的「砍信」軟件開始應運而生(比如E-mail Chomper等),這些「砍信」軟件可以幫助你快速刪除炸彈郵件。而各免費郵箱提供商也通過使用郵件過濾器等措施加強了這方面的防護。如果被攻擊者能夠及時發現遭受攻擊的話,完全可以使用系統提供的郵件過濾器系統來拒絕接收此類郵件,但是,目前對於解決郵件炸彈的困擾還沒有萬全之策,應以預防為主。
什麼是邏輯炸彈?
答:邏輯炸彈是指對電腦程式進行修改,使之在某種特定條件下觸發,按某種特殊的方式執行。在不具備觸發條件的情況下,邏輯炸彈深藏不露,系統執行情況良好,用戶也感覺不到異常之處。但是,觸發條件一旦被滿足,邏輯炸彈就會「爆炸」。雖然它不能炸毀你的機器,但是可以嚴重破壞你的電腦裡存儲的重要資料,導致凝聚了你心血的研究、設計成果毀於一旦,或者自動生產線的癱瘓等嚴重後果。
什麼是聊天室炸彈?
答:在聊天室裡也相對容易受到炸彈攻擊,不過還好,並不是所有的聊天室都支持炸彈,一般的聊天室炸彈有兩種,一種是使用javascript編就的,只有在支持javascript的聊天室才可以使用它;另外一種炸彈是基於IP原理的,使用時需要知道對方的IP位址或者主機支持擴展郵件的標準。如果主機是Unix的,且支持擴展郵件標準,那麼可以使用flash之類的軟件去襲擊他們,如果知道對方的IP位址,事情就更簡單了,使對方的系統過載的軟件簡直不勝枚舉。此外,還有瀏覽器炸彈和留言本炸彈等。當觸發瀏覽器炸彈的時候,系統會打開無數的視窗,直到耗盡電腦的資源導致當機為止(也稱「視窗炸彈」)。
什麼是拒絕服務攻擊?
答:拒絕服務攻擊,也叫分佈式D.O.S攻擊(Distributed Denial Of Service)。拒絕服務就是用超出被攻擊目標處理能力的海量資料包消耗可用系統,帶寬資源,致使網路服務癱瘓的一種攻擊手段。它的攻擊原理是這樣的:攻擊者首先通過比較一般的黑客手段侵入並控制某個網站之後,在該網站的服務器上安裝並啟動一個可由攻擊者發出的特殊指令來進行控制的工作行程。當攻擊者把攻擊對象的IP位址作為指令下達給這些工作行程的時候,這些工作行程就開始對目標主機發起攻擊。這種方式集中了成百上千台服務器的帶寬能力,對某個特定目標實施攻擊,所以威力驚人,在這種懸殊的帶寬對比下,被攻擊目標的剩餘帶寬會迅速耗盡,從而導致服務器的癱瘓。當黑客於1999年8月17 日 攻擊美國明尼蘇達大學的時候就採用了一個典型的拒絕服務攻擊工具Trin00,攻擊包從被Trin00控制的至少227個主機源源不斷地送到明尼蘇達大學的服務器,造成其網路嚴重癱瘓達48小時。在一定時間內,徹底使被攻擊的網路喪失正常服務功能,這種攻擊手法為 DDoS,即分佈式拒絕服務攻擊 .
拒絕服務攻擊工具Trin00有何特點?
答: Trin00是一個基於UDP flood的比較成熟攻擊軟件,執行環境為Unix或NT。
它通過向被攻擊目標主機的隨機連接阜發送超出其處理能力的UDP包, 致使被攻擊主機的帶寬被大量消耗,直至不能提供正常服務甚至崩潰。
Trin00由以下三個模塊組成:客戶端(如Telnet之類的連接軟件)、攻擊控制工作行程(MASTER)、攻擊守護工作行程(NS) 。其中,攻擊守護工作行程NS是具體實施攻擊的程式,它一般和攻擊控制工作行程(MASTER)所在主機分離。
黑客先通過主機系統漏洞將大量NS植入有漏洞主機裡。當NS執行時,會首先向攻擊控制工作行程(MASTER)所在主機的31335連接阜發送內容為HELLO的UDP包,隨後,攻擊守護工作行程即對連接阜27444處於檢測狀態,等待MASTER攻擊指令的到來。
MASTER在正確輸入預定密碼後開始啟動,它一方面偵聽連接阜31335,等待攻擊守護工作行程的HELLO包,另一方面偵聽連接阜27665,等待客戶端對其的連接。當客戶端連接成功並發出指令時, MASTER所在主機將向攻擊守護工作行程ns所在主機的27444連接阜傳遞指令。
當客戶端完成了與MASTER所在主機的27665連接阜的連接後,即開始進入預備攻擊控制狀態。
你以為自己的密碼很安全嗎?
答:只要我們需要上網衝浪,那麼就少不了一系列的密碼:撥號上網需要密碼,收取電子郵件需要密碼,進入免費電子信箱要密碼、進入網路社區也要密碼,使用ICQ、OICQ還是離不開密碼......眾所周知,在Win9X下,我們的用戶密碼通常被儲存為*.pwl文件。而*.pwl文件就安全了嗎?不!在網上就可以找到不少可以直接讀取*.pwl文件的小工具。另外,拿用於撥號上網的應用軟件來說,我們輸入的密碼雖然顯示為「*」號,但也同樣有許多工具(比如PwdView)可以看到用「*」號後面隱藏的秘密。再比如說,當黑客通過某種手段知道了你上傳網頁的FTP密碼以後,就可以很輕易地黑掉你的主頁。所以說,通常我們密碼的安全性並沒有我們想像的那麼高。
哪幾類密碼最危險?
答:通常不很安全的密碼主要有以下幾種:
第一類:使用用戶名/帳號作為密碼。雖然這種密碼很方便記憶,可是其安全幾乎為0。因為幾乎所有以破解密碼為手段的黑客軟件,都首先會將用戶名作為破解密碼的突破口,而破解這種密碼的速度極快,這就等於為黑客的入侵提供了敞開著的大門。
第二類:使用用戶名/帳號的變換形式作為密碼。
將用戶名顛倒或者加前後綴作為密碼,雖然容易記憶又可以使一部分初級黑客軟件一籌莫展。但是,現在已經有專門對付這類密碼的黑客軟件了。
第三類:使用紀念日作為密碼。這種純數位的密碼破解起來幾乎沒有什麼難度可言。
第四類:使用常用的英文單詞作為密碼。尤其是如果選用的單詞是十分偏僻的,那麼這種方法遠比前幾種方法都要安全。但是,對於有較大的字典庫的黑客來說,破解它也並不那麼太困難。
第五類:使用5位或5位以下的字元作為密碼。5位的密碼是很不可靠的,而6位密碼也不過將破解的時間延長到一周左右。
比較安全的密碼首先必須是8位長度,其次必須包括大小寫、數位字母,如果有特殊控制符最好,最後就是不要太常見。比如說:d9C&v6Q0這樣的密碼就是相對比較安全的,如果再堅持每隔幾個月更換一次密碼,那就更安全了。另外,還要注意最好及時清空自己的臨時文件,上網撥號的時候不選擇「儲存密碼」,在瀏覽網頁輸入密碼的時候不讓瀏覽器記住自己的密碼等。
黑客破解密碼的窮舉法是怎麼回事?
答:窮舉法對於純數位密碼(比如以出生日期或者電話號碼作為密碼)有很好的破解效果,但是包含字母的密碼不適合這種方式。。窮舉法的原理逐一嘗試數位密碼的所有排列組合,雖然效率最低,但很可靠,所以又有暴力法破解之稱。純數位密碼是很不可靠的,為什麼呢?
因為即使是完全窮舉,6位數位密碼的極限也只有100萬種,
如果使用密碼破解工具NoPassword,在網路暢通的情況下不出一天即可窮舉完畢。而即使是使用8位純數位密碼,只要破解時間稍長,也難保安全。
黑客破解密碼的字典法是怎麼回事?
答:字典法的工作原理是這樣的:由於網路用戶通常採用某些英文單詞或者自己姓名的縮寫作為密碼,所以就先建立一個包含巨量英語詞彙和短語、短句的可能的密碼詞彙字典(也稱「字典檔」),然後使用破解軟件去一一嘗試,如此循環往復,直到找出正確的密碼,或者將密碼詞彙字典裡的所有單詞試完一遍為止。這種破解密碼方法的效率遠高於窮舉法,因此大多數密碼破解軟件都支持這種破解方法。
黑客破解密碼的猜測法是怎麼回事?
答:猜測法依靠的是經驗和對目標用戶的熟悉程度。現實生活中,很多人的密碼就是姓名漢語拼音的縮寫和生日的簡單組合。甚至還有人用最危險的密碼——與用戶名相同的密碼!這時候,猜測法擁有最高的效率。
什麼是特洛伊木馬?
答:特洛伊木馬是指一個程式表面上在執行一個任務,實際上卻在執行另一個任務。黑客的特洛伊木馬程式事先已經以某種方式潛入你的機器,並在適當的時候啟動,潛伏在後台監視系統的執行,它同一般程式一樣,能實現任何軟件的任何功能。例如,拷貝、刪除文件、格式化硬碟、甚至發電子郵件。典型的特洛伊木馬是竊取別人在網路上的帳號和口令,它有時在用戶合法的登入前偽造一登入現場,提示用戶輸入帳號和口令,然後將帳號和口令儲存至一個文件中,顯示登入錯誤,退出特洛伊木馬程式。用戶還以為自己輸錯了,再試一次時,已經是正常的登入了,用戶也就不會有懷疑。其實,特洛伊木馬已完成了任務,躲到一邊去了。更為惡性的特洛伊木馬則會對系統進行全面破壞。
特洛伊木馬法最大的缺陷在於,必須先想方設法將木馬程式植入到用戶的機器中去。這也是為什麼建議普通用戶不要輕易地執行電子郵件中附帶的程式的原因之一,因為特洛伊木馬可能就在你的滑鼠點擊之間悄然潛入到了你的系統之中。
網路監聽是怎麼回事?
答:網路監聽工具本來是提供給管理員的一種監視網路的狀態、資料流動情況以及網路上傳輸的訊息的管理工具。當訊息以明文的形式在網路上傳輸時,將網路接頭設置在監聽模式,便可以源源不斷地截獲網上傳輸的訊息。網路監聽可以在網上的任何一個位置實施,如局域網中的一台主機、網路閘道器上或遠端網的調製解調器之間等。當黑客成功登入一台網路上的主機並取得這台主機的超級用戶權之後,若想嘗試登入其它主機,那麼使用網路監聽將是最快捷有效的方法,它常常能輕易獲得用其它方法很難獲得的訊息。由於它能有效地截獲網上的資料,因此也成了網上黑客使用得最多的方法。網路監聽有一個前提條件,那就是監聽只能物理上的連接屬於同一網段的主機。因為不是同一網段的資料包,在網路閘道器就被濾掉,無法傳入該網段。
總之,網路監聽常常被用來獲取用戶的口令。因為當前網上的資料絕大多數是以明文的形式傳輸,而且口令通常都很短且容易辨認。當口令被截獲,則可以非常容易地登上另一台主機。
三、神秘的黑客工具
 Internet上為數不少的黑客網站大都提供各種各樣的黑客軟件,下面就來瞭解其中的一些「典型」,並瞭解應對措施。
必須說明,安全防範與攻擊破解是相互依存的,我們初步瞭解黑客軟件的攻擊原理和手段,是為了更好地進行黑客防範,其中涉及的黑客手段切勿輕易嘗試,否則必將受到國家有關的網路安全法規的懲處,一切後果由使用者自負。
什麼是WinNuke,如何清除?
答:WinNuke的工作原理是利用Windows 95的系統漏洞,通過TCP/IP協議向遠端機器發送一段可導致OOB錯誤的訊息,使電腦螢幕上出現一個藍底白字畫面及提示:「系統出現異常錯誤」,按ESC鍵後又回到原來的狀態,或者當機。對策是用寫字板或其它的編輯軟件建立一個文件名為OOBFIX.REG的文本文件,內容如下:
REGEDIT4 [HKEY_LOCAL_MACHINE\System\ CurrentControlSet \
Services\VxD\MSTCP]
「BSDUrgent」=「0」
啟動視窗檔案總管,雙擊該文件即可。
什麼是BO2K?
答:BO2K是黑客組織「死牛崇拜」(Cult Dead Cow)所開發的曾經令人聞之色變的黑客程式BO1.2版的最新升級版本。
雖然BO2K可以當作一個簡單的監視工具,但它主要的目的還是控制遠端機器和搜集資料。BO2K的匿名登入和可惡意控制遠端機器的特點,使得它在網路環境裡成為一個極其危險的工具。
BO2K既可以通過Email發送,也可以手工安裝,安裝包括兩個部分:客戶端和服務器端。
利用客戶端程式,能夠很輕鬆地對被控制的電腦進行眾多的操作:比如重新啟動電腦、鎖死系統、獲取系統口令,搜索、下載和編輯所有軟件和文檔,執行任何應用程式、記錄鍵盤輸入情況(也就是說可以易如反掌地竊取你的網路登入密碼)等等。而且,BO2K不僅可以在Windows NT上順暢執行,就連剛問世的Windows 2000也不能倖免。 另外,Cult Dead Cow還在其專為BO2K而設的網站上還提供了一些用於增強BO2K程式功能的插件(Plug-In),其中有一個名為SilkRope2K的插件(158KB),通過它可以非常容易地把BO2K的服務器程式捆綁到任何一個可執行文件上,而這個已經暗藏玄機的可執行文件,除了文件長度變大了130KB左右之外,並無其它任何異樣,而這個可執行程式一旦被執行,BO2K服務器程式就會悄然無聲地自動安裝在對方的電腦之中。就樣一來,只要被控制的電腦連上了Internet,哪怕遠隔千山萬水,黑客都可以像操作自己的電腦一樣方便地對對方電腦進行隨心所欲的控制。
BO2K的組成與工作原理是怎樣的?
答:雖然BO2K可以當作一個簡單的監視工具,但它主要的目的還是控制遠端機器和搜集資料。BO2K的匿名登入和可惡意控制遠端機器的特點,使得它在網路環境裡成為一個極其危險的工具。
BO2K包括服務器端的BO2K.exe、BO2Kcfg.exe和用戶端的
BO2Kgui.exe、BO3des.dll、BO_peep.dll。其中,兩個服務器端的文件一般是通過Email的方式進行傳送,BO2K服務器端的程式大小僅為112KB,非常便於在網路上傳輸;客戶端程式解壓後的大小約2.07MB左右,功能非常強悍,由於採用了很簡明的圖形化界面,略通電腦的人都可以很容易地掌握其使用方法。BO2K既可以通過Email發送,也可以手工安裝,安裝包括兩個部分:客戶端和服務器端。在服務器端安裝BO2K非常簡單。只要執行BO2K的服務器端程式,就完成了安裝。這個可執行文件名字最初叫做bo2k.exe,但可能會被改名(比如更容易迷惑人的Readme.exe)。這個可執行文件的名字是在BO2K客戶端安裝時,或在BO2K設置嚮導裡指定的。
BO2K的設置嚮導會指導用戶進行以下幾方面的設置:包括服務端文件名(可執行文件)、網路協議(TCP或UDP)、連接阜、加密保護和密碼。這個過程完成後,執行bo2kgui.exe(BO2K圖形用戶界面), 就可以看見工作區, 工作區包括了服務器的列表(如果你儲存了上次的結果)。指定要連接的服務器,開始使用BO。給這個服務器起個名字,輸入IP位址和連接的一些訊息。指定了服務器後,服務器命令的客戶端就出現了。這個視窗裡可以使用BO的功能....點個命令,功能就列給你看了,有的命令如文件名和連接阜還需要設置參數。設置嚮導允許服務端執行快速安裝,使用預定設置,以便立即使用BO2K控制遠端機器。通過設置工具手動進行設置,可以管理很多選項,其中很多選項主要是用於防止BO被發現的偽裝工作。
設置嚮導的過程分為以下幾個步驟: 1.服務端文件名 、2.網路協議(TCP或UDP) 、3.連接阜 、4.加密保護方法(XOR或3DES) 、5.密碼/加密保護鑰匙。設置嚮導執行完後,會列出服務器的設置工具,有BO2K的執行狀況,控制BO2K,客戶端/服務器的通訊協議和程式的隱藏。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:29 PM   #12 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

BO2K怎樣進行自我保護?
答:BO2K提供一個圖形化的文件瀏覽方式,可以方便地修改註冊表,所有危險之舉已經簡化到只需滑鼠輕輕一點。對於Windows NT而言,BO2K的危害性就更為巨大:為進行自我保護,BO2K不僅會自動改變自己的工作行程名稱,而且還能自動建立一個自身工作行程的副本,以備BO2K被刪除後還能夠「在烈火中永生」。它自己的文件名後面加上一些隨機的空格及字母,所以在Windows下無法刪除該文件,只能在純DOS下刪掉。也就是說,一旦服務器感染BO2K就必須停機,才能刪除。眾所周知,重要的服務器停機會造成多大的損失......BO2k還支持多種網路協議。它可以利用TCP或UDP來傳送,還可以用XOR加密保護算法或更高階的3DES加密保護算法加密保護。雖然用3DES算法加密保護的BO2K也有可能被發現,但現在還沒有方法來判斷其執行的命令。更為令人擔心的是,BO2K可以自由地增加或者去掉網路目錄的共享內容,也就是說,一旦BO2K進入公司內部網路服務器,那麼整個公司網路上的所有文件就都隨時有可能被居心叵測的人所「共享」.
BO2K具體可以對電腦進行哪些遠端控制?
答:O2K的服務器端程式一旦被啟動,你就成為了BO2K的服務器,從此處於黑客的完全控制之下, BO2K裡共有70多條命令,這些命令用來在服務器上搜集資料和控制服務器,包括在BO2K服務器的電腦上增加目錄、刪除文件、檢視系統中各種可能存在的口令、修改註冊表,遙控BO2K服務器的多媒體播放、捕捉等功能。兩台電腦建立連接後,選個命令,加上參數(如果需要的話),按 「Send ommand」(發送命令),就在選擇的服務器上執行該命令,服務器的回應也會在回應視窗中顯示出來。
黑客可隨時啟動和鎖死系統、獵取密碼、獲得系統訊息;可在你的電腦上出現系統訊息框提示,改變HTTP文件服務器訪問;可檢視、刪除、創建網路共享驅動盤和程式;修改註冊表;通過遠端來拷貝、刪除、改變文件名;解壓文件;
可使用DNS服務改變主機名和IP位址;可啟動和停止BO2K服務系統;載入和卸裝有關插件。下面就是BO2K的一些主要的遠端控制手段:
1.搜索動態IP位址
從BO2K客戶機向特定的IP位址發送命令即可對BO2K服務器操作。如果BO2K服務器無靜態IP位址,BO2K客戶機提供命令:在BO2K客戶機的圖形界面中使用「Ping...」命令,給對方電腦發個資料包看它能否被訪問,看其是否已經「中招」;另外還可以設定目標IP如「202.102.87.*」,通過掃瞄子網列表來查找和監控那些電腦被安裝了BO2K服務器、而IP位址又是動態分配的用戶的電腦。
2.系統控制和文件管理
通過相應的命令,BO2K可以輕鬆獲取和顯示包括當前用戶、CPU、記憶體、Window版
本、驅動器(硬碟)容量及未使用空間等內容BO2K服務器上的相關係統訊息。另外可以將BO2K服務器上的擊鍵情況和執行輸入的視窗名記錄下來。
甚至還可以在BO服務器上開一個交談視窗來與對方進行對話。BO2K還提供諸如對文件進行查找、拷貝、刪除等操作的一系列命令,可在BO2K服務器的硬碟目錄中查找目標文件,並能任意增加目錄和刪除文件、檢視和拷貝文件、更改目錄名、刪除目錄等。BO2K還可以任意修改BO2K服務器的註冊表,鎖住BO2K服務器的電腦,甚至可以控制BO2K服務器的系統重啟動。
3.音頻及視頻控制
通過BO2K客戶端可以列出BO2K服務器的視頻輸入設備。如果存在視頻輸入設備,既可以將視頻和音頻信號捕捉成為avi文件,也可以將BO2K服務器螢幕影像捕捉成為位圖文件。只要願意,甚至還可以遙控BO2K服務器的多媒體播放,比如在BO2K服務器上播放一個avi文件等等。
4.網路控制 BO2K提供了網路連接、出口位址、TCP
文件接收、網路使用等命令,可以檢視BO2K服務器上所有的域名、網路接頭、服務器等內容,並可列出當前共享名、共享驅動器以及共享目錄、權限和密碼。通過TCP文件傳輸,還能將BO2K服務器主機連接到一個特定的IP位址和連接阜並發送特定文件中的內容,或將所接收到的資料儲存到特定文件中。
5.工作行程控制
BO2K可以通過Telnet對話來控制基於文本或DOS的應用程式。可以在BO2K服務器列出當前啟動的插件和已存在的插件並加以執行。另外還能在BO2K服務器上執行一個程式。也可以檢視當前執行的所有程式並發送命令關閉其中的某個程式。
作為一個功能強悍的黑客程式,BO2K的這些功能頗有些令人不寒而慄:因為如果我們的電腦不慎被BO2K侵入,當我們上網的時候自己的電腦就已經毫無秘密可言了,別說撥號上網的口令和系統加密保護口令了,就連你的螢幕保護口令黑客也知道的一清二楚。
如何清除BO2K?
答:BO2K的功能雖然十分強悍,但它的工作原理卻很簡單。我們知道它發生作用的前提是每次在Windows啟動時,同時悄悄地在我們的電腦上啟動一個服務器程式,黑客通過我們登入因特網時的IP位址,用配套的客戶端程式登入到我們的電腦,從而實現遠端控制我們電腦的目的。從原理上講,BO2K和著名的PC
Anywhere一樣,是一套簡單的遠端登入及控制軟件工具。既然我們知道了BO2K進行工作的關鍵在於隱藏了一個會在Windows啟動時悄悄執行的服務端程式,那麼對付它的最直接有效的方法,就是從我們Windows的啟動配置中將自動執行的黑客服務器程式刪除掉。
對付BO2K的方法如下:首先檢查Windows\system下有沒有一個名叫UMGR32~1.EXE的文件;如果是NT系統,則在Winnt\system32目錄下檢查它是否存在,這個文件的存在往往意味著系統已經被BO2K入侵。但這種方法並不是絕對保險,因為BO2K允許入侵者自行改變這個文件名,較可靠的辦法還是檢查可疑文件的長度,BO2K服務端的文件大小是114688字節, 如果發現某個文件剛好符合這個長度,可使用EDIT打開它,如果發現「Back Orifice」字串,那麼該系統已經確實無疑地感染了BO2K。
BO2K執行時必須修改註冊表,因此我們可根據下面的線索通過註冊表編輯器使用「查找」檢查自己的系統是否被BO2K入侵。被BO2K修改過的註冊表應該包含下列特徵:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices]
「UMGR32.EXE」=「C:\\WINDOWS\\
SYSTEM\\UMGR32.EXE」
發現了BO2K的蛛絲馬跡後,Windows9x用戶可以在純DOS(而不是DOS視窗)下刪除文件名以UMGR32打頭的文件(del
umgr*.*),再把它增加的註冊表項刪掉即可。對於WindowsNT,因為不能進入純DOS狀態,可以先刪除它的相關註冊表項,然後重啟機器再看能否刪掉以UMGR32打頭的文件。如果這樣不行的話,只好用系統軟碟啟始別的操作系統再做修改了。
另外,如果你已經在使用Windows 98 Second Edition版(即98第2版), BO2K
1.0會因為在隱身時的一個小缺陷,它會導致每次開機時都出現「非法操作」提示而無法在系統中順利駐留,因此使用Windows98
SE版是暫時免疫BO2K的方法之一(可是這種暫時的優勢隨時可能會因BO2K新修正版的推出而不復存在)。



什麼是KeyboardGhost,如何清除?
答:KeyboardGhost(鍵盤幽靈)是一個專門記錄鍵盤按鍵情況的黑客軟件,可以執行在Win9x/NT/2000下。它的原理是這樣的:Windows系統為了開闢鍵盤輸入的緩衝區,在核心區保留了一定數量的字節,其資料結構形式是隊列。KeyboardGhost就是通過直接訪問這一隊列來記錄鍵盤上輸入的一切以星號形式顯示的密碼視窗中的符號。並在系統根目錄下產生一文件名為KG.DAT的隱含文件。對策是啟動註冊表,將[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunService]→KG.EXE這一鍵值刪除,並將文件KG.EXE從Windows\System目錄下刪除。
同時刪除C:\KG.DAT這個文件。
什麼是萬能鑰匙Xkey?
答:萬能鑰匙Xkey是產自國內的密碼查找軟件,該軟件把詞典內容分為「電話號碼」、「出生日期」、「姓名字母」、「英文數位」四個部分,在每一部分可以按照需要設置有關參數,以快速地製作出許多破解工具所需要的詞典文件。萬能鑰匙Xkey的
1.1版本還增加了電腦和網路常用英文作為字典文件中的單詞。 萬能鑰匙Xkey可以根據你的設置產生各種類型的口令,下面逐一介紹:
1、電話號碼:分為「普通電話」和「數位移動電話或尋呼機」兩種,這裡可以選擇不同位數的號碼。
在「詞典長度」狀態欄可以直觀地看到詞典的長度。詞典的越長,那麼產生的時間越長、詞典文件也越大。2、出生日期:分為月日、年月、年月日三種,並可選擇二位或四位年份和設置年份範圍。3、姓名字母:分為姓名聲母、姓或英文名、中文姓+名、中文姓+名字聲母、中文姓+英文名;在姓氏範圍中,你可以直接輸入某個姓氏或按照人口頻度選擇姓氏範圍,在「姓氏範圍」中,你可以直接輸入某個姓氏或調整人口頻度。
除此之外,你還可選擇加上固定前綴、常用數位和出生日期,姓名換位或使用分隔符。4、英文數位:此項包括有「電腦和網路常用英文(150個)」、其它常用英文(53123個)、常用數位(175個)和其它數位(0-999999)。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:30 PM   #13 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

在產生詞典文件之前,你還可以對詞典中的字母進行大小寫設定和設定詞條寬度,並可以根據不同的系統平台對文本文件的換行符進行設定。在一切設置好後,來到「產生詞典」交談視窗,點擊「完成」按鍵,彈出「儲存詞典文件」交談視窗,設置要儲存的詞典文件類型為TXT或DIC,然後用滑鼠單擊「儲存」按鍵,Xkey就開始為你產生詞典了。
什麼是NetSpy,如何清除?
答:Netspy是一個執行Win95/98的客戶機/服務器模式遠端控制軟件,由客戶程式和服務器程式兩部分組成。在最新的Netspy版本中,客戶程式通過互連網與安裝執行在遠端電腦上的服務器程式打交道。實際上可以將其看作一個沒有權限控制的增強型FTP服務器。通過NetSpy可以神不知鬼不覺地下載和上載目標機器上的任意文件。並可以執行一些特殊的操作,如:停止遠端電腦中執行的程式、在遠端電腦上執行程式、關閉遠端電腦等。
要想通過NetSpy自由存取別的電腦上的軟件,同樣必須先在目標電腦上安裝NetSpy的服務器。Netspy服務器的安裝方法十分簡單,只需在目標電腦上執行一次netspy.exe文件即可。NetSpy會自動註冊到系統裡,以後每次啟動Windows95/98時,就會自動啟動netspy.exe程式了。這時,只要在別的電腦上執行netmonitor.exe,在表菜單裡選擇新增電腦,輸入目標電腦的IP位址或域名位址,就可以連接到目標電腦上進行操作了,使用方法十分簡單。Netspy的缺點是不能為具體的機器設置密碼,所以說安裝了netspy server的機器一旦上網,有可能被任何安裝了NetSpy客戶程式的機器所控制。
由於Netspy.exe程式安裝後,每次重新啟動Windows95/98都會在不為人覺察的情況下自動載入NetSpy,所以它也是一個典型的特洛伊黑客程式:只要設法使欲攻擊對像執行一次netspy.exe文件,目標電腦的後門就徹底對外開放了。只要對方的電腦一上網,入侵者就可以神不知鬼不覺地取得它的絕對控制權!
對策是在「開始--執行」裡輸入REGEDIT.EXE,直接打開註冊表,如果在:「HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\CurrentVersion\Run」裡如果有類似「netspy」、「C:\windows\system\netspy.exe」等字樣,說明NetSpy已經進駐系統。另外一種識別方法是:打開視窗檔案總管,進入Windows下的System子目錄,如果發現有NetSpy.exe文件(86.5KB),沒說的,中招了!
清除NetSpy的方法是:重新啟動電腦,進入DOS狀態,在Windows下的System子目錄裡刪掉NetSpy.exe這個文件。再次啟動機器,進入Windows的註冊表,找到並刪除「KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下NetSpy的鍵值即可。
什麼是ProxyThief,如何清除?
答:ProxyThief被安裝後,會用NetInspect 對機器的0到9999連接阜進行掃瞄,以找出可用的Free Proxy!連接阜,
然後通過將你的電腦設置成代理服務器, 達到冒用你的IP上網的目的
。黑客可以通過NetSpy或BO2K這樣的工具對ProxyThief進行遠端控制。清除方法是執行註冊表,查找關鍵字「ProxyThief」,將所有與之相關的鍵和鍵值刪除。




什麼是「冰河」,如何清除?
答:大陸國產黑客軟件「冰河」
與所有的特洛伊木馬程式一樣,當「冰河」的服務器端程式G_Server.exe一旦被某台電腦的使用者所執行,雖然在表面上看不出任何變化,但事實上,該服務器端程式已悄悄地進駐該機的註冊表,以後,只要這台電腦一啟動上網,可怕的「後門」(預定連接阜號7626)就會悄然洞開,可輕易地被藏在網路某個角落的客戶端程式G_Client.exe掃瞄到並實施包括可顯示系統訊息及上網密碼、系統控制(重新啟動、關機等)、註冊表鍵值讀寫等幾乎是全方位的控制。
如果上網時一旦不小心誤入了「冰河」,脫身的方法如下:
1.在c:\Windows\system目錄下,查找並刪除名為KERNEL32.EXE的文件。
2.「冰河」為了進行自我保護,它可將自己與文本文件關聯,以便在程式被刪除後在打開文本文件的時候又自動恢復,這個關聯文件是SYSEXPLR.EXE。
3. 檢查註冊表。在「開始—執行」裡輸入「regedit」並Enter鍵,在「HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion \Run和HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices」,查找並刪除有KERNEL32.EXE文件的鍵值。
4.最後,因為「冰河」的服務器端程式名不一定就是KERNEL32.EXE,所以最可靠的辦法還是把C硬碟格式化後重新安裝Windows。
什麼是GirlFriend,如何清除?
答:GirlFriend屬於木馬程式。主要是獲取目標機的密碼等資料,另還可以傳送訊息、顯示bmp圖像等。執行了該木馬之後,會在HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RUN下面找到鍵值名Systemtray,在Windows
下產生一個Wind11.exe文件,並將自身刪除,然後修改註冊表。 清除方法是刪除該木馬在註冊表中所修改的鍵值名,再在純DOS下刪除Wind11.
exe。


什麼是PortHunter,有何對策?
答:PortHunter佔用大量的Socks進行連接阜搜索,盜用SMTP連接阜(:119)發E-mail、盜用沒有密碼的代理連接阜(:8080)、盜用內部使用的FTP連接阜(:25)。PortHunter降低局域網的資料傳輸效率,危害網路安全。對策是對於Novell
的局域網,採用限制指定程式執行的方法;對於其它框架的局域網的用戶,則可以在服務器中設定禁止一些黑客程式的執行。
什麼是Deep Throat,如何清除?
答:Deep
Throat屬於特洛伊木馬,功能還不少:可獲取密碼及系統訊息,重啟目標機器,將目標機設置成FTP服務器,讀寫、執行和刪除目標機器上的文件,隱藏開始表菜單和任務欄,截獲螢幕圖像等功能。
Deep Throat 2.0被執行後會在註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RUN下面找到鍵值名Systemtray,在Windows下產生「Systray.exe」。
清除方法是刪除該木馬在註冊表中的鍵值,接著在純DOS下刪除該木馬啟動文件。
什麼是HDFILL,有何對策?
答:HDFILL屬於特洛伊木馬程式,表面上是個有著可愛畫面的安裝程式,但是在實際「安裝」過程中會自動產生999999999個變長的文件,直到把你的硬碟填滿LJ為止。雖然要清除這麼多LJ文件非常辛苦,但是也只得耐心清除,要不然怎麼辦,格式化硬碟?對策還是防患於未然,安裝LockDown2000來攔截來歷不明的軟件。
什麼是天行刺客,有何對策?
答:執行於Windows
95/98平台的天行刺客通過從路由器中竊取未加密保護的訊息,從而對指定的機器進行監控。你的E-mail、FTP、BBS登入的用戶名和密碼都會被黑客竊取。對策是盡量少用MS
—DOS下的FTP命令和Windows下的Telnet命令,盡量採用IE這樣對你的重要資料進行了加密保護的瀏覽器上站。
四、網上防黑術
必須說明,安全防範與攻擊破解是相互依存的,我們初步瞭解黑客軟件的攻擊原理和手段,是為了更好地進行黑客防範,其中涉及的黑客手段切勿輕易嘗試,否則必將受到國家有關的網路安全法規的懲處,一切後果由使用者自負。
如何防止IP的洩露?
答:很多黑客軟件都需要先瞭解對方的IP位址方能發起有效的攻擊,為此還出現了類似IPHunter這樣的專門用於截獲IP位址的工具。顯然,要防範黑客的進攻,第一步應該先保護好自己的IP。要想不讓對方刺探到我們的真實IP,一個行之有效的方法就是設置並使用具有防火牆作用的代理服務器(Proxy)。我們在通過代理服務器上網的時候,那些「功力」還不是太深厚的黑客通常就只能定位到代理服務器的IP,而無法獲得我們的真實IP。
如何讓Win98更安全?
答:對普通個人用戶來說,Windows
98還是目前最常用的操作系統,但其安全性能比較薄弱,面對潛在的安全隱患,我們可以通過設置登入密碼、以及修改註冊表裡的一些內容,來屏蔽和限制Windows
98系統裡的某些敏感功能,限制普通用戶的系統使用權限,以提高上網的安全性。
如何設置系統登入密碼?
答:設置登入密碼可有效地改善系統的安全性,設置方法如下:首先選擇「開始」→「設置」→「控制台」→「密碼」,在隨後出現的「密碼內容」交談視窗裡,在「更改密碼」標籤下,點擊「更改Windows密碼」設置新的系統登入密碼,當出現「成功更改了Windows密碼」提示後,按「確定」退出。接著打開「用戶配置文件」標籤,選擇「用戶可自定義首選項及桌面設置...」,完成後按「確定」退出。
重新啟動系統,會出現密碼輸入框,需要正確輸入密碼方可正常登入。
如何請不速之客吃閉門羹?
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:32 PM   #14 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

答:要謝絕不速之客以預定配置造訪我們的Win98系統
,可在每天離開系統前做如下的修改:在「開始」→「執行」裡輸入「regedit」,然後按「確定」,打開Win98註冊表,在「\HKEY_USERS\.Default\Software\Micorosoft\
Windows\CurrentVersion\Run」中單擊滑鼠右鍵,選擇「新增」---「字元串值」,將該字元串值命名為「你是非法用戶吧?哈哈」,將該鍵值設為「RUNDLL.EXE
user.exe,exitwindows」。這樣,當不速之客想要「光臨」我們的Win98系統時,電腦將會執行自動關機操作。
如何屏蔽註冊表編輯器?
答:通過修改文件註冊表,可以根據需要限制普通用戶的系統使用權限:為了防止黑客修改註冊表,可做如下的修改:在「開始」→「執行」裡輸入「regedit」,然後按「確定」,打開Win98註冊表,在「\HKEY_CURRENT_USER\Software\
Micorsoft\Windows\CurrentVersion\Policies\System」中,選擇「新增」→「DWORD值」「DisableRegistryTools」,將其鍵值設置為「1」。
如何隱藏驅動器?
CurrentVersion\Policies\Explorer」中,選擇「新增」→「二進制值」,取名為「NoDrives」,若將其值設為00000000(由四個字節組成),則表示任何驅動器都不隱藏,該值每個字節的第一位對應從A:到Z:的一個驅動器磁碟代號,即01為A,02為B,04為C,08為D......
比方:需要把D盤隱藏起來,則將該鍵鍵值設為08000000。
如何屏蔽MS DOS方式?
答:當我們用上一步中的方法隱藏了驅動器後,如果普通用戶選擇使用MS DOS方式,那麼他還是可以進入任何驅動器的,所以還應該考慮屏蔽MS
DOS方式:啟動註冊表,在「\HKEY_ CURRENT_USER\Software\Micorsoft\Windows\
CurrentVersion\Policies」中新增「WinOldApp」主鍵,在其下新增一個DOWRD值「Disabled」,鍵值設置為「1」。
問:如何隱藏桌面上所有圖示? 答:啟動註冊表,在 「\HKEY_CURRENT_USER\Software\Micorsoft\
Windows\CurrentVersion\Policies\Explorer」中,選擇「新增」——「DOWRD值」,取名為「NoDesktop」,鍵值設置為「1」,重新啟動系統後,普通用戶桌面上的圖示就統統消失了。
如何隱藏密碼文件?
答:在Win98中,用戶設置的撥號上網等密碼都是以.pwl文件的形式儲存在Window目錄中,這樣,一個侵入你系統的人是很容易找到該.pwl文件的。所以,應該把這個密碼文件盡快隱藏起來:在C硬碟的WIndows目錄下找到並打開System.ini文件,在其中找到[Password Lists]項,將密碼文件的存放路徑改到剛才隱藏起來的驅動器下的目錄中,這樣你的密碼文件就相對安全多了。
如何讓ICQ更安全?
答:廣受歡迎的網路尋呼軟件ICQ具有功能齊全、穩定性好等特點,但是它存在著一些安全上的漏洞。雖然現有的這些漏洞還不至於使ICQ用戶的本機資料受到直接損失,但是卻可能使我們在網上受到一些別有用心的人的攻擊,為有效地避免這種煩惱,可以採取以下的措施來進行一定程度上的防禦(以ICQ2000a為例):
1.提高ICQ的安全級別 單擊「ICQ」按鍵,打開表菜單,在「Security & Privacy」欄裡找到「Security level」(安全級別)項,將其設置為「High」(高)。
2.對特定的人「隱身」
如果不希望某人看到你線上,可以這樣做:對ICQ的列表中對該人的名字單擊左鍵,在彈出的表菜單中選擇「Alert/Aeceptmodes」項,在「Status」(狀態)標籤裡「Invisible
To user」(對該人「隱身」)前的復選框裡打勾。
3.保護好自己的IP
自己的IP一旦暴露,對方就可以很容易地使用類似ICQBomber(160KB)的攻擊性很強的IP炸彈對你進行「轟炸」。比較簡單的保護措施如下:
(1)在「Security & Privacy」的「General」標籤中,把「Change Contactlist
Authorization」設置為「My authorization is required...」,設定只有經過你自己同意,別人才能把你新增到列表中。同時,打開「Invisible」標籤,通過設置,讓某些特定的人看不到我是否線上。
(2)對於2000a以前的版本,可以按「ICQ」按鍵,在ICQ表菜單裡的「Security & privacy」項中選「Do not allow others to see my IP address」(不允許別人檢視我的IP位址)。另外,在「Preferences」(設置)中的Contact list(聯繫列表)選擇「Show Online Only Tab in the Contact」,這樣可以使只有在你列表上的人才能看到你線上。
在ICQ中如何使用SOCK代理服務器?
答:使用SOCK代理服務器也是避免騷擾的一個有效方法。在ICQ中的設置方法如下:在「My Contact List」(我的聯繫名單)中把ICQ由「Simple Mode」(簡單模式)切換為「Adeanced Mode」(高階模式)。接著單擊「ICQ」按鍵,在彈出的表菜單裡選擇「Preferences」(性能設置),選擇左側的「Connections」(連接)一項,將其中的「Server」(服務器)標籤下的「Proxy Settings」(代理服務設置)裡選擇「Using Firewall---Using Proxy」,並在「Proxy」裡選擇SOCK5代理服務器;再選中「Firewall」(防火牆)標籤,選擇「SOCK5」代理服務器,然後在右邊的「Proxy Server」裡把你的SOCK代理服務器位址填入Host框,Port框中填寫連接阜(通常為1080)。最後,在「User」標籤下選中「Using Proxy」,類型選擇「SOCK5」。最後單擊「Apply」(應用)按鍵後按「確定」就可以了。
目前主要有哪些OICQ惡意攻擊軟件?
答:大陸國產網路尋呼軟件OICQ雖然在功能和穩定性上暫時還無法和ICQ相提並論,但是親切的全中文的界面還是吸引了越來越多的國內用戶。隨著用戶數量的急劇上升,各類針對OICQ的惡意攻擊軟件也開始紛至踏來,它的安全性也日益受到挑戰。
目前比較功能較強的常見惡意攻擊軟件主要:OICQ Send、網路追捕、OICQ Sniffer、OICQ Nuke Plus、OICQ 密碼終結者、OICQ Spy、OICQ好友炸彈、OICQPASS、OICQ對話閱讀器、OICQPEEP等,簡單介紹如下:
(1) OICQ Nuke Plus:極具攻擊性的OICQ炸彈,它的主要手段是在短時間內向 指定的OICQ用戶發送大量的訊息,使對方的OICQ超載從而達到轟炸對方的目的。
(2) OICQ 密碼終結者:採用窮舉法來竊取OICQ的密碼。新版經過優化後密碼搜索速度極快,可以達到2萬個/秒。
(3) OICQ閱讀器:不需任何密碼即可直接檢視OICQ聊天紀錄文件。?
(4)OICQ Spy:一個非常全面的OICQ攻擊性工具,整合了IP及連接阜位址的查尋、用戶位址查尋、顯示對方真實上線位址等功能,非常全面,具有較強的殺傷力!
(5) OICQ對話閱讀器:針對本機OICQ的黑客工具,能很容易檢視你的OICQ賬號、密碼和聊天記錄,可以說什麼秘密都沒有了。
(6) OICQPeep: 可以輕易地查出任何一個OICQ用戶的線上好友名單和他們的IP位址。
OICQ Send有何特點?
答:OICQ Send是一個利用OICQ發佈消息的工具,還可以查找OICQ好友的IP。使用方法十分簡單,啟動OICQ Send,將需要發送的OICQ好友的IP位址和連接阜以及發送內容填入相應的交談視窗內,按「開始」按鍵即可將訊息發出,不需要自己的OICQ線上。
要注意的是:在OICQ號的欄目內如果不填如何數值,則程式將自動隨機的產生OICQ號,虛擬發送到對方的OICQ的陌生人一欄中,而且每發送一次會更換一個號碼!如果填入相應的數值,就可以向該OICQ號碼用戶發送訊息,但最多只能發送8條記錄。作者為了避免產生不良影響,特別將發送次數限制在每次20條。另外,在發送內容中填寫的字元不能超過1000個,否則會產生系統緩衝溢出。
OICQ Sniffer有何特點?
答:OICQ Sniffer是用於破解OICQ密碼的UDP協議嗅探器,目前只能夠支持Win
9x系列。該軟件針對OICQ的消息協議進行了優化,可以探測到OICQ點對點的通信情況。軟件啟動後的界面十分簡潔、明快。用戶只要選擇上網方式後按下追蹤按鍵,便可以檢視主界面中顯示的內容。
OICQ 密碼終結者有何特點?
答:利用OICQ密碼終結者可以幫助你快速找回6位的OICQ密碼(或者說是採用窮舉法暴力破解本機機器上OICQ密碼的老牌工具),比以前的密碼查找軟件OICQPass在功能上前進了一步。
完成安裝後啟動OICQ密碼終結者,可以看到它有一個簡單而實用的工作界面。使用的方法是先選擇用戶搜索用到的字元集,然後在選項前面的復選框裡打鉤;然後選擇自己的想要搜索密碼的起止位數,最後選擇OICQ的解密目錄。例如:你的OICQ目錄是c:\program
files\oicq,你要解密的OICQ號是123456,那麼你應該選擇的解密目錄就是:c:\program
files\oicq\123456。點擊「開始」,立即開始查找OICQ密碼,可以觀察到工作進度。
什麼是OICQPassSniff?
答:OICQPassSniff是一個近乎於「木馬」性質的工具,用於破解本機的OICQ密碼,只能在Windows
9x下使用。執行程式後沒有任何界面出現,程式在後台不露聲色地自動運作。最好是手動設置為在Windows啟動後自動執行,以後每當有用戶登入OICQ時,所有的密碼都會被記錄在c:\log.txt文件裡。
何為OICQ好友炸彈?
答:OICQ好友炸彈是專門對那些在OICQ加入好友時需要身份驗證的人進行惡作劇的小工具。填寫OICQ服務器名稱或IP位址、自己及對方的OICQ號碼、請求訊息的內容和發送次數,然後點擊「開始」,你設置好的騷擾訊息就會向陌生人的OICQ發起狂轟濫炸......另外,在進行攻擊之前,點擊「他的資料」就能檢視對應號碼用戶的所有資料,以保證自己不會隨便亂炸。對付這個惡作劇工具的方法是:在OICQ中修改用戶資料,在「網路安全」標籤中把「身份驗證」級別定在「不允許任何人把我列為好友」。這樣,你的好友將全部由自己來新增,但卻會失去一些廣交朋友的機會。
什麼是XOICQ?
答:XOICQ是一個查OICQ好友IP以及進行炸彈攻擊的二合一OICQ攻擊工具。
使用時啟動軟件,先在根據自己的上網方式在「Adaptor」裡選擇正確的適配器(否則程式無法繼續執行並可能當機),接著點擊 「Detect」按鍵,截獲的對象資料將顯示在「線上名單」「List on line」裡面。最後選擇對象,點擊「Add in attack」,把它新增到攻擊對像名單裡,然後按「Attack」開始發起攻擊。
OICQPeep有何特點?
答:OICQPeep執行於Win98/NT,用於檢視OICQ上聊天對象的IP位址,該程式短小精悍且無須特別安裝。第一次啟動OICQPeep時,在彈出的視窗裡選擇的上網類型、預定連接阜號,再填入自己OICQ號碼即可。先啟動你的OICQ,再執行OICQPeep,然後再按下OICQ的顯示按鍵,此時你的OICQ線上好友列表裡的OICQ號碼及其IP位址便就會顯示在右邊的文本框裡。用OICQPeep 來查找IP位址比傳統的NETXRAY更為簡單、實用,無鬚髮送消息給對方。
網路追捕有何特點?
答:網路追捕是一個針對OICQ的黑客軟件。可以查詢對方IP的域名,可以設置智慧式追捕功能,在啟動追捕時可以自動從剪貼板上取出IP位址進行查詢;可以把查詢結果隱藏在系統任務欄中;可以分析一些IRC服務器為了保護聊天者而虛設的IP位址等。第一次啟動網路追捕會彈出一個很簡潔的提示表菜單,根據需要選擇執行的操作後,點擊一下表菜單上的追捕按扭即可。
OICQSpy有何特點?
答:
OICQSpy是一個重量級的OICQ工具。利用它不僅可以監視對方的IP和連接阜位址,顯示對方的上網真實位址和上線時間,而且還可以發送匿名信件;掃瞄指定電腦的NetBIOS訊息。另外,它還可以過濾OICQ炸彈;
軟件安裝完成後執行OICQSpy.exe,首次執行該程式時會自動彈出一個設置交談視窗。將其中的OICQ服務器位址設為202.103.190.46,連接阜設為8000即可。代理連接阜可任意設置(最好大於1024),選擇IP資料庫的路徑時可設置為OICQSpy自帶的wry.d11。
啟動OICQ後,更改系統設置中的網路設置,將上網類型設置為「局域網接入Internet」,用戶類型為「Internet用戶」,服務器位址設置為「127.0.0.1」,然後點擊「新增到列表」,連接阜號應為前面設置的OICQSpy的代理連接阜。完成上述設置後,OICQSpy主視窗中將列出所有線上好友的IP、連接阜、真實位址、上線時間等各種訊息。
使用OICQSpy後,由於OICQ的訊息要通過代理服務器傳送,所以起到了保護自己IP不被OICQPeep這樣的工具探查,從而避免OICQ炸彈的襲擊。
OICQ ShellTools有何特點?
答:該軟件的功能與OICQSpy比較接近,
利用這個軟件可以查出自己OICQ好友的IP位址;配合網路追捕的資料庫,不僅可以知道對方的位址,甚至還可以冒充其它人發言。安裝好OICQ
ShellTools軟件後,首先啟動自己的OICQ,然後離線,然後再啟動OICQ
ShellTools,按照提示填上號碼、密碼,然後點擊「OK」,OICQ好友的秘密就都將呈現眼前。如果想要匿名發送,只需要填上號碼和對方的IP位址、連接阜位址,然後選擇發送即可。
如何提高OICQ的安全性?
答:(1)盡量使用最新版本的OICQ軟件,因為新版本不僅修改了舊版中的各種BUG,而且往往更穩定快速(最近修改了通訊底層協議的Build
0820版就一個典型的例子)。重要的是,原來針對舊版的OICQ黑客軟件,面對時新版往往無能為力。
(2)如果是在網咖或機房等公共場合上網執行OICQ結束後,找到OICQ的安裝目錄,將以你的OICQ號碼命名的那個子目錄刪除,並隨即清空資源回收筒,就可以避免密碼被盜和記錄被別人偷看了。
(3)使用OICQShield之類的OICQ「盾牌」軟件,能夠使你避免遭受OICQ Nuke之類OICQ炸彈的攻擊。
(4)如果可能的話,使用個人防火牆。單擊「OICQ」按鍵,選擇「系統參數」,進入「網路設置」標籤,在「使用ProxySocket5
防火牆」,並填入防火牆的位址和連接阜號就可以了。另外,在「本機安全」標籤裡,還可「啟用本機消息加密保護」。
為什麼要提防CGI?
答:我們平時上網用的IE等瀏覽器大都支持CGI、JAVA、ASP等技術。一些別有用心的人利用系統存在的漏洞編寫出一些特殊的代碼,當你打開包含這些代碼的網頁面時,該代碼就會被瀏覽器自動執行並產生破壞作用。其中典型的惡作劇代碼——「視窗炸彈」,包含這一代碼的網頁面被打開後,就會迅速自動打開無數個瀏覽器視窗,直至你的系統資源被徹底耗盡!另外一種代碼則更為陰險,包含了該種代碼的網頁面一旦被打開後,就會自動尋找本機的密碼文件並發回服務器。
有效的防範方法是使用防火牆、避免訪問來歷不明的站點,增強網路管理級別,盡量避免CGI等代碼的自動執行。
怎樣防止電子郵件炸彈的攻擊?
答:1. 不要輕易向別人透露自己的ISP電子郵箱,可根據用途多申請幾個163、263這樣的免費郵箱,以方便對外聯繫時使用。
2.一般ISP郵箱或163、263免費郵箱都具有郵件過濾器系統,提供郵件拒收功能。這個功能可以幫助我們把那些令人討厭的LJ信件自動退回。只要在郵箱的服務器端設置好就行了。同時你還可以設置具體的過濾規則,同時關閉郵件的自動回復功能。
3.對於使用Foxmail的用戶,如果意外遭到電子郵件炸彈的的襲擊,可以利用Foxmail的遠端郵箱管理功能(在表菜單裡選「工具」——「遠端郵箱管理」),先不會把信件直接從主機上下載,而只是先取包括了它包含了信件的發送者,信件的主題等訊息的所有郵件頭訊息,用「view」功能檢查頭部訊息,看到信件中的不速之客後,可直接使用刪除命令把它從主機服務器端直接刪除掉。
4.如果你的電子郵箱支持POP3,郵箱被炸後你也可以採用專門的砍信軟件(如E-mail Chomper等)來處理,可以高速刪除大量的LJ信件。
五、網上安全策略
訊息的全面數位化和電子網路的四通八達,突破了時空的阻隔,使得當今世界正朝一個電子化的「e—World」逐漸演進,依靠電腦網路,就可以運籌帷幄、決勝於千里之外。然而,這一切都必須建立在良好的網路發展環境和安全的網路運作基礎之上。
各種黑客程式雖然功能強大,但並不可怕。只要我們作好相應的防範工作,上網時又能獨善其身,這樣就可以大大降低被黑客攻擊的可能性:
 1.重要資料常備份 確保重要資料不被破壞最好的辦法是定期或不定期的備份工作,
如硬碟分區表、系統註冊表、WIN.INI和SYSTEM.INI等。特別重要的文件應該每天備份。
2.不執行來歷不明的軟件
我們知道,黑客的服務器程式必須被植入目標電腦系統方能發揮作用,所以我們就不要輕易執行從陌生的不可靠的Internet網站(特別是某些黑客站點)、不可靠的FTP站點上下載的軟件,因為黑客軟件可以被十分容易地捆綁到任何一個可執行程式上,執行又無法發覺,當你接受到一個來歷不明的軟件,就有可能包含了後門程式。攻擊者常把後門程式換一個名字作為E-mail附件發給你,並騙你說:「我不知道這個軟件怎麼用,請幫我試一下」之類的話,這時一定不要上當!其他的程式比如遊戲軟件、螢幕保護程式、新年賀卡程式都很有可能攜特洛伊木馬進駐你的電腦,所以千萬不要執行來歷不明的軟件。另外,盜版光碟上的許多黑客工具也是暗藏玄機,別輕易中招喔。
3.使用駭客防護程式軟件
盡可能經常性地使用多種最新的、能夠查解黑客的殺毒軟件(或可靠的駭客防護程式軟件)來檢查系統。必要時應在系統中安裝具有既時檢測、攔截、查解黑客攻擊程式的工具。應該注意的是,與病毒不同,黑客攻擊程式不具有病毒傳染的機制,因此,傳統的防病毒工具未必能夠防禦黑客程式。另外防火牆也是抵禦BO2K等黑客程式入侵的非常有效的手段。
4.防人之心不可無
要時刻保持警惕性,例如,不要關閉瀏覽器的資料傳輸提示窗,許多上網的用戶都設置為「以後不再詢問此類問題」,這樣容易失去警覺,越來越大膽地訪問、下載和在WEB上回答問題。
最好關閉瀏覽器的「接受Cookie」——不管是在IRC或是訪問別人的網站, 因為沒人能保證它給你的那幾十個或幾百個字節的Cookie
是出於一片好心。上網覺得不對勁時(比如程式自動執行、頻繁的當機),應該立刻斷線下網,用我們剛才說過的多種方法進行安全檢查,看看是否已經被黑客的特洛伊木馬進攻了。
5.不要暴露自己的IP 上網注意不要把自己的IP顯示出來。某些聊天室會把你聊天用的密碼寫入你的快取記憶體裡面,
自己最好每次清理你的快取記憶體(WINDOWS目錄下的Internet Temp資料夾),刪掉那些文件名含有自己密碼的文件。
總之,對於個人用戶而言,要提高上網時的安全性,除了獨善其身,做到不訪問黑客站點、不執行來歷不明的軟件,並對系統進行一定的安全性設置外,還有一個很有效的防範措施就是安裝使用個人防火牆。對此,我們以後將做詳細的介紹。[經典]
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-31, 02:33 PM   #15 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

[漏洞]如何過濾'or'='or'!!

現在很多的公司網站的後台漏洞是大的叫人害怕
只要寫入'or' '=',

就可以順利的登入它的後台管理
針對於此,大家都是如和處理的?

希望各位發出自己的檢驗,完善下這個帖子,

PS:為安全做點力量

我本著拋磚引玉思想歡迎大家來一起討論此帖,謝謝!
此帖已經在遠望論壇發帖子討論,已經有人回復總結一文,在此一起發出,希望更多的人針對此發表自己的見解

針對ASP中SQL Injection的初級防護(總結版)
robur/文

記得大約是在2002年的時候,SQL Injection(SQL注入)開始有了最初的雛形。黑客們發現,在動態網頁的某些地方(表單等……)插入一些可以在資料庫查詢中起作用的語句和符號,就可以讓網網頁面執行後,返回特殊的結果。於是,經過了2003的發展,到2004年,SQL Injection已經作為一種很成熟的入侵技術登上了安全界的舞台。也是2004年,有大批的網站程式被發現了SQL Injection漏洞,也有大批的網站栽倒在這種攻擊手段之下。
下面,我就小行和逍遙一指令的帖子,作總結性的說明,僅供參考。
正如如小行所說的,在某些網站的登入界面,如果你知道了存在的用戶名(例如:admin),你無須知道密碼。只需在密碼框中輸入' or ''='即可。(注意,全是單引號!)這樣在不知道密碼的情況下,也可以用admin的身份登入。
但是,我想說的是,' or ''='在一些地方會出現問題。有些資料庫不會認為「空」=「空」是成立的條件,這樣就不行了。最好寫成' or '1'='1
這樣,SQL的查詢語句,就變成了如下的樣子。
select * from users where name='admin' and pass='123456' or '1'='1'
上面,藍色的部分是用戶在密碼框中輸入的資料。大家可以看見,由於用戶的巧妙構造,使得SQL Server把這條查詢語句解析為3個條件:
1、name='admin'
2、pass='123456'
3、'1'='1'
關鍵是中間的那個or,這樣一來,SQL Server在解析的時候,只要條件2、3,符合一個就可以了。
因為1=1是衡成立的,所以這個查詢的結果肯定是true。

既然已經知道了原理,那我們可以試著防範這種攻擊。
我們的根本目標,就是把用戶輸入的單引號和or過濾掉,這樣就能在基本上杜絕SQL Injection攻擊。但是,需要強調的是,SQL語句中,起作用的還有and,分號,--(兩個減號)等等。

解釋一下:and用於連接兩個條件。;(分號)用於分隔兩個語句。(如果把兩個語句寫在一行,就需要它。)--(雙減號只在MS SQL Server中起作用,含義是忽略後面的內容。這個通常在繁瑣的MS SQL注入中使用。)

回歸主題。asp中為我們提供的字元轉義函數:Replace。看代碼:

<%
Dim Usr,Pwd
Usr=Request.form("username") '從表單獲得資料
Pwd=Request.form("password") '同上
if (Usr<>"") and (Pwd<>"") then '判斷資料為非空
Usr=Replace(Replace(Usr,"'",""),"or","") '嵌套了兩個replace函數,過濾特殊字元
Pwd=Replace(Replace(Pwd,"'",""),"or","")
end if
%>

Repalce語法規則:
Replace(變數名稱,"要過濾的字元","要替換的字元")
說明,「要替換的字元」那裡,如果留空,就是把要過濾的字元直接刪除。
例子:
Replace(Pwd,"'or","")
過濾Pwd變數中的or字元。
由於Replace函數,一次只能對一組字元進行轉義,所以講講Replace的嵌套:
Replace(Replace(Pwd,"or",""),"'","")
代碼中紅色的地方,被外面的replace函數看作一個變數,依此類推。
如果你還想過濾and,分號,--什麼的,請看下面(完全過濾了在SQL注入中最關鍵的5個字元串。)
Replace(Replace(Replace(Replace(Replace(變數名稱,"'",""),"or",""),"and",""),"--",""),";","")

上面只是防範從表單提交的資料,對於一些新聞系統,經常會出現諸如:
http://host/news/show.asp?id=1
之類的URL。
如果在那個1後面,加上一個單引號,一樣會報錯。我們往下看。
如果加上了單引號,SQL語句就變成了:
select * from news where id='1''
因為最後一個引號沒有閉合,所以系統一定會報錯。
防範如下(其實和上面的原理是一樣D……)看代碼:

<%
Dim id
id=Request("id")
if Not IsNumeric(id) then '------事先聲明了變數,所以可以直接寫進去。否則,就要寫Request("id")
Response.write "Error!" '------反饋錯誤訊息
Response.end '------中止執行下面的語句
end if
%>

因為,類似新聞ID之類的變數,是根本不需要有字母和符號存在的,所以用IsNumeric來判斷是否為純數位,確保萬無一失。
如果一個變數,裡面需要有字母和符號,那你就只好用Replace函數慢慢過濾了……:O)

最後,再說兩種防止ASP網網頁面暴出錯誤訊息的方法。
眾所周知,入侵者往往都是通過網網頁面暴出的錯誤來得知一些額外的訊息。比如你的系統,SQL Server的版本,是否存在某資料庫,SQL語句是否執行成功等……
防止入侵者看到錯誤訊息,就是讓入侵者變成了睜眼瞎,找不到頭緒。(骨灰級黑客除外~~~~)
方法1:打開你的IIS管理器(以IIS6.0為例),選擇你的網站=》內容網網頁面=》主目錄選擇項=》點擊配置按鍵=》除錯選擇項=》向客戶端發送下列文本錯誤消息
這樣,即使入侵者找到了注入點,注入後,得到也只是服務器返回的固定的錯誤消息。不能得到任何有價值的錯誤訊息。

方法2:在你的ASP語句中(一般是在最開頭的地方),加上一句
On Error Resume Next
(注意,這句必須加在<% %>裡面,不然IIS可不認。)
這就是著名的容錯語句,當ASP語句執行時發生錯誤,就跳過錯誤,繼續向下執行,而且不會返回錯誤訊息。
當然,入侵者看不到錯誤訊息,除錯人員也看不到。所以,你一定在把一個ASP程式除錯完畢後,再把這個語句加到ASP語句的頂端。否則,除錯的時候,會煩死你的~~~~~~:O)
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
有 2 位會員向 psac 送花:
kmvsld (2009-02-27),wulihua (2006-11-01)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:54 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1