軟體 - 網管員對付中毒Windows單機的五大絕招

[psac]

由於Windows被大量的使用，因此它也成了黑客們的目標，木馬、病毒接踵而至，防患於未然就顯得格外的重要。

　　防患於未燃

　　最簡單也最見效的方法就是安裝殺毒軟件，並時時更新病毒庫，再有就是通過Windows update及時給Windows系統打上必須的修正檔，這樣也可以將病毒和黑客拒之門外。還有很重要的一點，不要訪問可疑的網站和下載來歷不明的軟件，訪問不明網站時要看清彈出的視窗的提示，是否要你安裝軟件或其他有危險性的操作，不要一見彈出選項就去點「yes」。

　　養成良好的備份習慣，可以在出現意外後將損失降到最低。如果嫌重裝系統太麻煩的話，可以用ghost備份一個乾淨的系統，這也是個簡單易行的方法，但「收藏夾」和「我的文檔」這些存有個人創建的文檔的資料夾也應注意儲存。

　　病毒並不可怕

　　當電腦出現中毒的跡象後，看看網管們的幾個絕招，如果你掌握了這些技巧，你完全可以自己處理中毒的電腦。

　　絕招一:按Ctrl+Alt+DEL調出任務管理器，檢查陌生的可疑程式和工作行程，選中這些程式和工作行程用結速任務或結束工作行程停止這些程式。之後可以嘗試用殺毒軟件殺毒。

　　絕招二:檢查Windows啟動項裡是否有奇怪的項，可以到C:\Documents and Settings\All Users\Start Menu\Programs\Startup或C:\Documents and Settings\以當前用戶名命名的資料夾\Start Menu\Programs\Startup項裡檢視是否有可疑文件(注意隱藏內容的文件)。

　　絕招三:開始-執行-msconfig，在這裡可以檢視system.ini、Win.ini、Boot.ini幾個重要的文件，還可以檢視所有的系統服務和啟動項。msconfig最早出現在Windows98中，但是到了Windows2000時不知何故被微軟省掉了，直到Windows XP時又重新出現在系統中。如果你現在仍然在使用Windows 2000，可以將Windows XP中的msconfig.exe拷貝到Windows 2000系統中的任何路徑下，便可正常使用。

　　絕招四:開始-執行-Regedit，進入HEKY_LOCAL_ MACHINE_Software_Microsoft_Windows_Currentversion_Run，檢查來路不明的項。

　　絕招五:記事本打開c:\autoexec.bat和c:\config.sys，是否被改動過。

　　相信使出這五招必殺技後，病毒很難藏身了。

[psac]

系統中毒後的自救
現在雖然有眾多的殺毒軟件和防火牆作為電腦的保護網，但由於不可預知病毒的不斷更新加上系統的未知漏洞和更隱蔽的黑客入侵，電腦中毒在互連網時代還是司空見慣的。那麼萬一中毒了，該如何處理呢?下面就談談中毒後的一些處理措施(比較初級，寫出來給一些剛學習電腦的人看看咯。有錯誤還請指出。)
　　一、正在上網的用戶，發現異常應立刻離線連接

　　所謂的異常:1.機器執行速度明顯減慢。2.打開某網頁後無數對話框彈出。3.螢幕花掉以及出現奇怪的消息。4.滑鼠鍵盤不受控制等現象。

　　典型的上網中毒有兩種情況:

　　一是瀏覽某些帶惡意代碼的網頁時候被修改了瀏覽器的預定主頁或是標題。還有就是遇到可以格式化硬碟或是令你的Windows不斷打開視窗，直到耗盡資源死機——這種情況惡劣得多，你未儲存和已經放在硬碟上的資料都可能會受到部分或全部的損失。

　　二是潛在的木馬發作，或是蠕蟲類病毒發作，讓你的機器不斷地向外界發送你的隱私，或是利用你的名義和郵件地址發送垃圾，進一步傳播病毒;還有就是黑客的手工入侵，窺探你的隱私或是刪除破壞你的文件。

　　自救措施:馬上離線連接，這樣在自己的損失降低的同時，也避免了病毒向更多的線上電腦傳播。請先不要馬上重新啟動系統或是關機，進一步的處理措施請參看後文。

　　二、中毒後，應馬上備份、轉移文檔和郵件等

　　中毒後執行殺毒軟件殺毒是理所當然的了，但為了防止殺毒軟件誤殺或是刪掉你還未處理完的文檔和重要的郵件，你應該首先將它們備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在Windows下備份，所以上文筆者建議你先不要退出Windows，因為病毒一旦發作，可能就不能進入Windows了。

　　不管這些文件是否帶毒，你都應該備份，用標籤紙標記為「待查」即可。因為有些病毒是專門針對某個殺毒軟件設計的，一執行就會破壞其他文件，所以先備份是防患於未然的措施。等你清除完硬碟內的病毒後，再來慢慢分析處理這些額外備份的文件較為妥善。

　　三、需要在Windows下先執行一下殺CIH的軟件(即使是帶毒環境)

　　如果是發現了CIH病毒，要注意不能完全按平時報刊和手冊建議的措施，即先關機、冷啟動後用系統盤來啟始再殺毒，而應在帶毒的環境下也執行一次專殺CIH的軟件。這樣做，殺毒軟件可能會報告某些文件受讀寫保護無法清理，但帶毒執行的實際目的不在於完全清除病毒，而是在於把CIH下次開機時候的破壞減到最低，以防它在再次開機時破壞主板的BIOS硬體，導致黑屏，讓你下一步的殺毒工作無法進行。

　　四、需要乾淨的DOS啟動碟和DOS下面的殺毒軟件

　　到現在，就應該按很多殺毒軟件的標準手冊去按部就班地做。即關機後冷啟動，用一張乾淨的DOS啟動碟啟始;另外由於中毒後可能Windows已經被破壞了部分關鍵文件，會頻繁地報告非法操作，所以Windows下的殺毒軟件可能會無法執行。所以請你也準備一個DOS下面的殺毒軟件以防萬一。

　　即使能在Windows下執行殺毒軟件，也請用兩種以上工具交叉清理。在多數情況下Windows可能要重裝，因為病毒會破壞掉一部分文件讓系統變慢或出現頻繁的非法操作。比如即使殺了CIH，微軟的Outlook郵件程式也是反應較慢的。

　　五、如果有Ghost和分區表、啟始區的備份，用之來恢復一次最保險

　　如果你在平時用Ghost備份做了Windows的，用之來鏡像一次，得到的操作系統是最保險的。這樣連潛在的未殺光的木馬程式也順便清理了。當然，這要求你的Ghost備份是絕對可靠的。要是作Ghost的時候把木馬也「備份」了就後患無窮了。

　　六、再次恢復系統後，更改你的網路相關密碼

　　包括登入網路的用戶名、密碼，郵箱的密碼和QQ的密碼等，防止黑客用上次入侵過程中得到的密碼進入你的系統。另外因為很多蠕蟲病毒發作會向外隨機發送你的訊息，所以及時地更改是必要的。

[psac]

交換器，路由器，集線器，網卡等網路設備的區別和聯繫
網卡和路由器是兩種網路硬體設備。網卡是網路終端與網路的接頭設備；而路由器是用來啟始網路中的訊息傳輸的。

　 集線器
集線器實際就是一種多連接阜的中繼器。集線器一般有4、8、16、24、32等數量的RJ45接頭，通過這些接頭，集線器便能為相應數量的電腦完成「中繼」功能（將已經衰減得不完整的信號經過整理，重新產生出完整的信號再繼續傳送）。由於它在網路中處於一種「中心」位置，因此集線器也叫做「Hub」。
　　集線器的工作原理很簡單，比如有一個具備8個連接阜的集線器，共連接了8台電腦。集線器處於網路的「中心」，通過集線器對信號進行轉發，8台電腦之間可以互連互通。具體通信過程是這樣的：假如電腦1要將一條訊息發送給電腦8，當電腦1的網卡將訊息通過雙絞線送到集線器上時，集線器並不會直接將訊息送給電腦8，它會將訊息進行「廣播」——將訊息同時發送給8個連接阜，當8個連接阜上的電腦接收到這條廣播訊息時，會對訊息進行檢查，如果發現該訊息是發給自己的，則接收，否則不予理睬。由於該訊息是電腦1發給電腦8的，因此最終電腦8會接收該訊息，而其它7台電腦看完訊息後，會因為訊息不是自己的而不接收該訊息。

交換機
　　交換機也叫交換式集線器，它通過對訊息進行重新產生，並經過內部處理後轉發至指定連接阜，具備自動尋址能力和交換作用，由於交換機根據所傳遞訊息包的目的地址，將每一訊息包獨立地從源連接阜送至目的連接阜，避免了和其他連接阜發生碰撞。廣義的交換機就是一種在通信系統中完成訊息交換功能的設備。
　　在電腦網路系統中，交換機是針對共享工作模式的弱點而推出的。集線器是採用共享工作模式的代表，如果把集線器比作一個郵遞員，那麼這個郵遞員是個不認識字的「傻瓜」——要他去送信，他不知道直接根據信件上的地址將信件送給收信人，只會拿著信分發給所有的人，然後讓接收的人根據地址訊息來判斷是不是自己的!而交換機則是一個「聰明」的郵遞員——交換機擁有一條高帶寬的背部總線和內部交換矩陣。交換機的所有的連接阜都掛接在這條背部總線上，當控制電路收到資料包以後，處理連接阜會查找記憶體中的地址對照表以確定目的MAC（網卡的硬體地址）的NIC（網卡）掛接在哪個連接阜上，通過內部交換矩陣迅速將資料包傳送到目的連接阜。目的MAC若不存在，交換機才廣播到所有的連接阜，接收連接阜回應後交換機會「學習」新的地址，並把它新增入內部地址表中。
　　可見，交換機在收到某個網卡發過來的「信件」時，會根據上面的地址訊息，以及自己掌握的「常住居民戶口簿」快速將信件送到收信人的手中。萬一收信人的地址不在「戶口簿」上，交換機才會像集線器一樣將信分發給所有的人，然後從中找到收信人。而找到收信人之後，交換機會立刻將這個人的訊息登記到「戶口簿」上，這樣以後再為該客戶服務時，就可以迅速將信件送達了。

路由器
路由器是網路中進行網間連接的關鍵設備。作為不同網路之間互相連接的樞紐，路由器系統構成了基於 TCP/IP 的國際互連網路Internet 的主體脈絡。
　　路由器之所以在互連網路中處於關鍵地位，是因為它處於網路層，一方面能夠跨越不同的物理網路類型（DDN、FDDI、以太網等等），另一方面在邏輯上將整個互連網路分割成邏輯上獨立的網路單位，使網路具有一定的邏輯結構。路由器的主要工作就是為經過路由器的每個資料幀尋找一條最佳傳輸路徑，並將該資料有效地傳送到目的站點。
路由器的基本功能是，把資料（IP 報文）傳送到正確的網路，細分則包括：1、IP 資料報的轉發，包括資料報的尋徑和傳送;2、子網隔離，抑制廣播風暴;3、維護路由表，並與其它路由器交換路由訊息，這是 IP 報文轉發的基礎;4、IP 資料報的差錯處理及簡單的擁塞控制;5、實現對 IP 資料報的過濾和記帳。
路由器構成了 Internet 的骨架。它的處理速度是網路通信的主要瓶頸之一，它的可靠性則直接影響著網路互連的質量。因此Internet 研究領域中，路由器技術始終處於核心地位。
最近看到很多人在詢問交換機、集線器、路由器是什麼，功能如何，有何區別，筆者就這些問題簡單的做些解答。

　　首先說HUB,也就是集線器。它的作用可以簡單的理解為將一些機器連接起來組成一個局域網。而交換機（又名交換式集線器）作用與集線器大體相同。但是兩者在性能上有區別：集線器採用的式共享帶寬的工作方式，而交換機是獨享帶寬。這樣在機器很多或資料量很大時，兩者將會有比較明顯的。而路由器與以上兩者有明顯區別，它的作用在於連接不同的網段並且找到網路中資料傳輸最合適的路徑 ，可以說一般情況下個人用戶需求不大。路由器是產生於交換機之後，就像交換機產生於集線器之後，所以路由器與交換機也有一定聯繫，並不是完全獨立的兩種設備。路由器主要克服了交換機不能路由轉發資料包的不足。

　　總的來說，路由器與交換機的主要區別體現在以下幾個方面：

　　（1）工作層次不同

　　最初的的交換機是工作在OSI／RM開放體系結構的資料鏈路層，也就是第二層，而路由器一開始就設計工作在OSI模型的網路層。由於交換機工作在OSI的第二層（資料鏈路層），所以它的工作原理比較簡單，而路由器工作在OSI的第三層（網路層），可以得到更多的協議訊息，路由器可以做出更加智慧式的轉發決策。

　　（2）資料轉發所依據的對象不同

　　交換機是利用物理地址或者說MAC地址來確定轉發資料的目的地址。而路由器則是利用不同網路的ID號（即IP地址）來確定資料轉發的地址。IP地址是在軟件中實現的，描述的是設備所在的網路，有時這些第三層的地址也稱為協議地址或者網路地址。MAC地址通常是硬體自帶的，由網卡生產商來分配的，而且已經固化到了網卡中去，一般來說是不可更改的。而IP地址則通常由網路管理員或系統自動分配。

　　（3）傳統的交換機只能分割衝突域，不能分割廣播域；而路由器可以分割廣播域

　　由交換機連接的網段仍屬於同一個廣播域，廣播資料包會在交換機連接的所有網段上傳播，在某些情況下會導致通信擁擠和安全漏洞。連接到路由器上的網段會被分配成不同的廣播域，廣播資料不會穿過路由器。雖然第三層以上交換機具有VLAN功能，也可以分割廣播域，但是各子廣播域之間是不能通信交流的，它們之間的交流仍然需要路由器。

　　（4）路由器提供了防火牆的服務

　　路由器僅僅轉發特定地址的資料包，不傳送不支持路由協議的資料包傳送和未知目標網路資料包的傳送，從而可以防止廣播風暴。

　　交換機一般用於LAN-WAN的連接，交換機歸於網橋，是資料鏈路層的設備，有些交換機也可實現第三層的交換。 路由器用於WAN-WAN之間的連接，可以解決異性網路之間轉發分組，作用於網路層。他們只是從一條線路上接受輸入分組，然後向另一條線路轉發。這兩條線路可能分屬於不同的網路，並採用不同協議。相比較而言，路由器的功能較交換機要強大，但速度相對也慢，價格昂貴，第三層交換機既有交換機線速轉發報文能力，又有路由器良好的控制功能，因此得以廣泛應用。

　　目前個人比較多寬帶接入方式就是ADSL，因此筆者就ADSL的接入來簡單的說明一下。現在購買的ADSL貓大多具有路由功能（很多的時候廠家在出廠時將路由功能屏蔽了，因為電信安裝時大多是不啟用路由功能的，啟用DHCP。打開ADSL的路由功能），如果個人上網或少數幾台通過ADSL本身就可以了，如果電腦比較多你只需要再購買一個或多個集線器或者交換機。考慮到如今集線器與交換機的 價格相差十分小，不是特殊的原因，請購買一個交換機。不必去追求高價，因為如今產品同質化十分嚴重，我最便宜的交換機現在沒有任 何問題。給你一個參考報價，建議你購買一個8口的，以滿足擴充需求，一般的價格100元左右。接上交換機，所有電腦再接到交換機上就行了。餘下所要做的事情就只有把各個機器的網線插入交換機的接頭，將貓的網線插入uplink接頭。然後設置路由功能，DHCP等， 就可以共享上網了。

　　看完以上的解說讀者應該對交換機、集線器、路由器有了一些瞭解，目前的使用主要還是以交換機、路由器的組合使用為主，具體的組合方式可根據具體的網路情況和需求來確定。

[psac]

]~~~手動關閉連接阜~~~~ 加為IE收藏 · 收藏主題
每一項服務都對應相應的連接阜，比如眾如周知的WWW服務的連接阜是80，smtp是25，ftp是21，win2000安裝中預定的都是這些服務開啟的。對於個人用戶來說確實沒有必要，關掉連接阜也就是關閉無用的服務。「控制台」的「管理工具」中的「服務」中來配置。
1、關閉7.9等等連接阜：關閉SimpleTCP/IPService,支持以下TCP/IP服務：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。

2、關閉80口：關掉WWW服務。在「服務」中顯示名稱為"WorldWideWebPublishingService"，通過Internet訊息服務的管理單元提供Web連接和管理。

3、關掉25連接阜：關閉SimpleMailTransportProtocol(SMTP)服務，它提供的功能是跨網傳送電子郵件。

4、關掉21連接阜：關閉FTPPublishingService,它提供的服務是通過Internet訊息服務的管理單元提供FTP連接和管理。

5、關掉23連接阜：關閉Telnet服務，它允許遠端用戶登入到系統並且使用命令行執行控制台程式。

6、還有一個很重要的就是關閉server服務，此服務提供RPC支持、文件、印表以及命名管道共享。關掉它就關掉了win2k的預定共享，比如ipc$、c$、admin$等等，此服務關閉不影響您的共他操作。

7、還有一個就是139連接阜，139連接阜是NetBIOSSession連接阜，用來文件和印表共享，注意的是執行samba的unix機器也開放了139連接阜，功能一樣。以前流光2000用來判斷對方主機類型不太準確，估計就是139連接阜開放既認為是NT機，現在好了。關閉139口聽方法是在「網路和撥號連接」中「本機連接」中選取「Internet協議(TCP/IP)」內容，進入「高階TCP/IP設置」「WINS設置」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了139連接阜。對於個人用戶來說，可以在各項服務內容設置中設為「禁用」，以免下次重啟服務也重新啟動，連接阜也開放了。

每一項服務都對應相應的連接阜，比如眾如周知的WWW服務的連接阜是80，smtp是25，ftp是21，win2000安裝中預定的都是這些服務開啟的。對於個人用戶來說確實沒有必要，關掉連接阜也就是關閉無用的服務。

「控制台」的「管理工具」中的「服務」中來配置。

1、關閉7.9等等連接阜：關閉SimpleTCP/IPService,支持以下TCP/IP服務：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。

2、關閉80口：關掉WWW服務。在「服務」中顯示名稱為"WorldWideWebPublishingService"，通過Internet訊息服務的管理單元提供Web連接和管理。

3、關掉25連接阜：關閉SimpleMailTransportProtocol(SMTP)服務，它提供的功能是跨網傳送電子郵件。

4、關掉21連接阜：關閉FTPPublishingService,它提供的服務是通過Internet訊息服務的管理單元提供FTP連接和管理。

5、關掉23連接阜：關閉Telnet服務，它允許遠端用戶登入到系統並且使用命令行執行控制台程式。

6、還有一個很重要的就是關閉server服務，此服務提供RPC支持、文件、印表以及命名管道共享。關掉它就關掉了win2k的預定共享，比如ipc$、c$、admin$等等，此服務關閉不影響您的共他操作。

7、還有一個就是139連接阜，139連接阜是NetBIOSSession連接阜，用來文件和印表共享，注意的是執行samba的unix機器也開放了139連接阜，功能一樣。以前流光2000用來判斷對方主機類型不太準確，估計就是139連接阜開放既認為是NT機，現在好了。

關閉139口聽方法是在「網路和撥號連接」中「本機連接」中選取「Internet協議(TCP/IP)」內容，進入「高階TCP/IP設置」「WINS設置」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了139連接阜。

對於個人用戶來說，可以在各項服務內容設置中設為「禁用」，以免下次重啟服務也重新啟動，連接阜也開放了。

我們一般採用一些功能強大的反黑軟件和防火牆來保證我們的系統安全，但是有些用戶不具備上述條件。怎麼辦呢？下面就介紹一種簡易的辦法——通過限制連接阜來幫助大家防止非法入侵。

非法入侵的方式

簡單說來，非法入侵的方式可粗略分為4種：

1、掃瞄連接阜，通過已知的系統Bug攻入主機。

2、種植木馬，利用木馬開闢的後門進入主機。

3、採用資料溢出的手段，迫使主機提供後門進入主機。

4、利用某些軟件設計的漏洞，直接或間接控制主機。

非法入侵的主要方式是前兩種，尤其是利用一些流行的黑客工具，通過第一種方式攻擊主機的情況最多、也最普遍；而對後兩種方式來說，只有一些手段高超的黑客才利用，波及面並不廣泛，而且只要這兩種問題一出現，軟件服務商很快就會提供修正檔，及時修復系統。

因此，如果能限制前兩種非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前兩種非法入侵方式有一個共同點，就是通過連接阜進入主機。

連接阜就像一所房子(服務器)的幾個門一樣，不同的門通向不同的房間(服務器提供的不同服務)。我們常用的FTP預定連接阜為21，而WWW網頁一般預定連接阜是80。但是有些馬虎的網路管理員常常打開一些容易被侵入的連接阜服務，比如139等；還有一些木馬程式，比如冰河、BO、廣外等都是自動開闢一個您不察覺的連接阜。那麼，只要我們把自己用不到的連接阜全部封鎖起來，不就杜絕了這兩種非法入侵嗎？

限制連接阜的方法

對於個人用戶來說，您可以限制所有的連接阜，因為您根本不必讓您的機器對外提供任何服務；而對於對外提供網路服務的服務器，我們需把必須利用的連接阜(比如WWW連接阜80、FTP連接阜21、郵件服務連接阜25、110等)開放，其他的連接阜則全部關閉。

這裡，對於採用Windows2000或者WindowsXP的用戶來說，不需要安裝任何其他軟件，可以利用「TCP/IP篩選」功能限制服務器的連接阜。具體設置如下：

1、右鍵點擊「網上的芳鄰」，選擇「內容」，然後雙擊「本機連接」(如果是撥號上網用戶，選擇「我的連接」圖示)，彈出「本機連接狀態」對話框。

2、點擊[內容]按鈕，彈出「本機連接內容」，選擇「此連接使用下列專案」中的「Internet協議(TCP/IP)」，然後點擊[內容]按鈕。

3、在彈出的「Internet協議(TCP/IP)」對話框中點擊[高階]按鈕。在彈出的「高階TCP/IP設置」中，選擇「選項」標籤，選中「TCP/IP篩選」，然後點擊[內容]按鈕。

4、在彈出的「TCP/IP篩選」對話框裡選擇「啟用TCP/IP篩選」的復選框，然後把左邊「TCP連接阜」上的「只允許」選上(請見附圖)。

這樣，您就可以來自己新增或刪除您的TCP或UDP或IP的各種連接阜了。

新增或者刪除完畢，重新啟動機器以後，您的服務器就被保護起來了。

如果只上網瀏覽的話，可以不新增任何連接阜。但是要利用一些網路聯絡工具，比如OICQ的話，就要把「4000」這個連接阜打開，同理，如果發現某個常用的網路工具不能起作用的時候，請搞清它在您主機所開的連接阜，然後在「TCP/IP篩選」中新增連接阜即可。