~~~我喜欢,迎着风走的感觉~~~已习惯,孤单的像寂寞的小孩~~~





相信大家都看到报道了,据说要两周到一个月左右才能恢复,现在许多的国内用户已经不能正常访问国外的网站了。汗!

还好我的BLOG还可以上,就是HI慢!由于海底光缆中断倒致blogger的无法访问。这几天一直没有发表文章,不过还好。GMAIL可以上,docs.google.com还可以使用!虽然访问都很慢,但起码都可以发布BLOG了。想想GOOGLE的功能真是强大,也祝愿GOOGLE在不声不响中变得更猛吧^_^

XD卡是由奥林巴斯和富士公司联合设计,由东芝和三星公司负责生产的小型闪存卡,其处理芯片也由东芝和三星二家公司提供(目前市场上有背部标明两种处理芯片的XD卡,许多消费者不明白哪种卡才是正规原产,哪种是假货,其实两种都是正货。)采用单面18针接口。XD卡是目前为止最为袖珍的闪存卡,外形尺寸为20mm×25mm×1.7mm,总体积只有0.85立方厘米,约为2克重。它的处理速度也很快,写入速度3m/S,读出速度5M/S,非常的省电,消耗电力仅25mW。

XD卡是目前市场上比较贵的一种存储卡,价格接近索尼的记忆棒。正因为如此,所以XD卡出现问题时用户很为难,是普通CF卡很便宜的,256M才一百多块钱了,维修麻烦再买一块就是了,但XD卡256M要将近四百块啊,维修又比较麻烦,奥林巴斯和富士只在几个大城市有维修点。而且同是一样规格奥林巴斯品牌的XD卡比富士品牌的更容易出现问题,出现问题的现象有这样同种:

1.开机时屏幕显示"关闭电源""格式化存储卡"

2开机时屏幕显示"此卡不能使用"

3.XD卡插入后开机会马上关机

下面到了本文的重点,教您如何解决奥林巴斯XD卡遇到的问题。方便而又有效的方法有两种,如下:

1.当XD卡在奥林巴斯相机里不能正常使用时,找一台富士数码相机(只要是使用XD卡的任何型号都可以),如果自已和朋友都没有可以去找经销商,经营数码相机的不可能一台富士数码相机都没有,而且你在他那里买的卡,出了问题不用他们维修只是借用一下富士相机,他们肯定会很乐意的。然后把奥林巴斯的XD卡放入富士相机内格式化一次,再把卡放回奥林巴斯相机,发现已能正常使用了!

2.找一台安装windows2000的电脑,使用读卡器让XD卡在电脑里面格式化。

如果XD卡的芯片坏掉了,那以上两种方法就无能为力了,不过大多数奥林巴斯XD卡出现问题都是程序问题,就是说还有得救的!

再告诉大家使用XD卡的注意事项:

1.去冲印店冲印相片时,不要用他们的读卡器读卡,要么把相机拷进U盘或移动硬盘里面带过去,要么使用相机标配的USB线传输。

2.删除相片时尽量在相机里面进行操作,把相机输入电脑里,使用复制,不要剪切。

新年将至 蠕虫肆虐

明天就是新的2007年了,不过每逢节日期间,各种各样的病毒就会趁机出来捣乱,以祝福的名义肆虐泛滥,这次也不例外。

安全机构VeriSign iDefense警告说,如果在E-mail中发现标题为"Happy New Year"(新年快乐)、附件为"postcard.exe"或"postcard.zip"(明信片),那就要小心了,因为这是一种新的蠕虫。卡巴斯基将其命名为"Tibs",不过趋势科技认为它是"Nuwar"的一个变种。无论如何,这个类似Warezov的蠕虫一旦执行,就会感染用户的PC:屏蔽Windows防火墙、杀掉安全软件进程(比如F-Secure的rootkit扫描软件BlackLight)、植入两个rootkit后门软件、安装木马机器人软件以构建僵尸网络。显然,这是一个复合型病毒,通过安装10多种恶意代码来互相配合,以达到感染PC、保护自己的邪恶目的。

VeriSign iDefense还透露说,各大杀毒软件暂时都还没有及时升级,而该蠕虫已经感染了160多台服务器,在至少一个网络上,蠕虫每秒都会对外发送5封垃圾邮件。

由于节日期间病毒防护的力度会有所削弱,人们也纷纷发送祝福消息,所以接下来的元旦期间是最危险的,用户应对"新年祝福"之类的邮件特别小心。在此之前就有一个利用圣诞节的恶意蠕虫,通过名为"Christmas+Blessing-4.ppt"的附件传播。

关注这东东很长一段时间了。一直没时间和条件自己动手做,现在就把别人写的教程贴了上来!

一、Windows更新服务(WSUS)简介
Windows 自动更新是 Windows 的一项功能,当适用于您的计算机的重要更新发布时,它会及时提醒您下载和安装。使用自动更新可以在第一时间更新您的操作系统,修复系统漏洞,保护您的计算机安全。

二、Windows更新服务(WSUS)服务器端软件安装
这个见局域网内WSUS服务器的安装与使用经验

三、Windows更新服务(WSUS)客户端软件安装
如果你的操作系统是:
1)Windows2000 sp2及其以上
2)WindowsXP sp1及其以上
3)Windows2003
请直接跳到三>>>>

如果你的操作系统是:
1)Windows2000 sp2以下
2)WindowsXP sp1以下
请点击下载并安装好下列客户端:
中文版客户端:WUAU22CHS.msi

四、Windows更新服务(WSUS)客户端配置
Windows更新服务(WSUS)客户端配置目前有二种方法

方法一:使用现成的批处理脚本安装

个人用户自动更新安装脚本:pc-update.rar
服务器自动更新安装脚本:server-update.rar

使用方法:下载相应压缩包到本机,并解压缩,执行解压文件夹里的update.bat批处理文件。脚本说明:个人用户自动更新脚本适用于非24小时开机者,开机10-30分钟内更新。服务器自动更新脚本适用于24小时开机者。

方法二:手工通过组策略编辑器来配置,具体安装过程如下:
(1)、选择"开始","运行",输入gpedit.msc,打开组策略窗口。
注意:有些win2000、winxp版本(例如:OEM版的winxp home)不带有组策略功能,因此无法使用这种方法。请您选择第一种方式。
(2)、选择"管理模板",然后从菜单中选择"操作","添加/删除模板"。
(3)、在"添加/删除模板"窗口中选择"添加"wuau.adm。
(4)、在"策略模板"中选择"wuau.adm",并选择"打开"。
注意:有些版本中这个wuau.adm已经添加了,您可以直接跳到第六步。
(5)、选择"关闭",关闭"添加/删除模板"窗口。
(6)、选择"计算机配置"->"管理模板"->"Windows 组件"->"Windows Update",并选择"配置自动更新"。
(7)、在"配置自动更新"的属性窗口中,选择"启用",并选择"确定"。
(8)、在"指定Intranet Microsoft更新服务器位置"的属性窗口中,选择"启用",并在"设置检测更新的Intranet更新服务:"框中输入"http://update.zjjy.com/",在"设置Intranet统计服务器:"框中输入"http://update.zjjy.com/",并选择确定。
(9)、关闭组策略窗口。

这个方法也是网上找到。在我的WIN2003上测试成功!方法如下:

用记事本将下列注册表信息存成任意*.reg文件,将其导入到注册表中即可实现Windows 2003 SP1的升级了。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"ProductId"="69713-640-9722366-45198"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"CurrentBuild"="1.511.1 () (Obsolete data - do not use)"
"InstallDate"=dword:3f6c976d
"ProductName"="Microsoft Windows Server 2003"
"RegDone"=""
"SoftwareType"="SYSTEM"
"CurrentVersion"="5.2"
"CurrentBuildNumber"="3790"
"BuildLab"="3790.srv03_rtm.030324-2048 "
"CurrentType"="Uniprocessor Free"
"ProductId"="69713-640-9722366-45198"
"DigitalProductId"=hex:a4,00,00,00,03,00,00,00,36,39,37,31,33,2d,36,34,30,2d,\
39,37,32,32,33,36,36,2d,34,35,31,39,38,00,5a,00,00,00,41,32,32,2d,30,30,30,\
30,31,00,00,00,00,00,00,00,00,e5,3f,e9,6a,2c,ed,25,35,12,ec,11,c9,8d,01,00,\
00,00,00,00,37,03,6d,3f,44,22,06,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,31,32,32,32,30,00,00,00,00,00,00,00,dc,0f,\
00,00,bf,4a,94,6c,80,00,00,00,15,18,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,34,79,ca,d7
"LicenseInfo"=hex:71,84,c7,56,a0,d6,10,6e,70,b4,9f,e9,10,1a,1e,7a,01,a4,41,09,\
25,20,0e,80,83,80,1f,31,27,86,64,1f,31,dc,22,af,f7,7d,aa,e4,2a,b9,e5,e3,6c,\
e2,01,69,85,70,91,be,a7,9f,95,e5

79端口:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。

端口说明:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机www.abc.com上的user01用户的信息,可以在命令行中键入“finger user01@www.abc.com”即可。

端口漏洞:一般黑客要攻击对方的计算机,都是通过相应的端口扫描工具来获得相关信息,比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本,获得用户信息,还能探测已知的缓冲区溢出错误。这样,就容易遭遇到黑客的攻击。而且,79端口还被Firehotcker木马作为默认的端口。

操作建议:建议关闭该端口。

80端口:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。

端口说明:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。我们可以通过HTTP地址加“:80”(即常说的“网址”)来访问网站的,比如http://www.cce.com.cn:80,因为浏览网页服务默认的端口号是80,所以只要输入网址,不用输入“:80”。

端口漏洞:有些木马程序可以利用80端口来攻击计算机的,比如Executor、RingZero等。

操作建议:为了能正常上网冲浪,我们必须开启80端口。

99端口:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。

端口说明:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。

端口漏洞:虽然“Metagram Relay”服务不常用,可是Hidden Port、NCx99等木马程序会利用该端口,比如在Windows 2000中,NCx99可以把cmd.exe程序绑定到99端口,这样用Telnet就可以连接到服务器,随意添加用户、更改权限。

操作建议:建议关闭该端口。

109、110端口:109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的。

端口说明:109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的,目前POP3使用的比较多,许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务,如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候,会要求输入POP3服务器地址,默认情况下使用的就是110端口。

端口漏洞:POP2、POP3在提供邮件接收服务的同时,也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个,比如WebEasyMail POP3 Server合法用户名信息泄露漏洞,通过该漏洞远程攻击者可以验证用户账户的存在。另外,110端口也被ProMail trojan等木马程序所利用,通过110端口可以窃取POP账号用户名和密码。

操作建议:如果是执行邮件服务器,可以打开该端口。

111端口:111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。

端口说明:111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等等。在Microsoft的Windows中,同样也有RPC服务。

端口漏洞:SUN RPC有一个比较大漏洞,就是在多个RPC服务时xdr_array函数存在远程缓冲溢出漏洞,通过该漏洞允许攻击者传递超

113端口:113端口主要用于Windows的“Authentication Service”(验证服务)。

端口说明:113端口主要用于Windows的“Authentication Service”(验证服务),一般与网络连接的计算机都运行该服务,主要用于验证TCP连接的用户,通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中,还有专门的IAS组件,通过该组件可以方便远程访问中进行身份验证以及策略管理。

端口漏洞:113端口虽然可以方便身份验证,但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器,这样会被相应的木马程序所利用,比如基于IRC聊天室控制的木马。另外,113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。

操作建议:建议关闭该端口。

119端口:119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的。

端口说明:119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的,主要用于新闻组的传输,当查找USENET服务器的时候会使用该端口。

端口漏洞:著名的Happy99蠕虫病毒默认开放的就是119端口,如果中了该病毒会不断发送电子邮件进行传播,并造成网络的堵塞。

操作建议:如果是经常使用USENET新闻组,就要注意不定期关闭该端口。

135端口:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。

端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。

端口漏洞:相信之前很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。

操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端口。

137端口:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务)。

端口说明:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务),属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IIS是否正在运行等信息。

端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。

操作建议:建议关闭该端口。

139端口:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。

端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。

操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。

143端口:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP)。

端口说明:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP),和POP3一样,是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于POP3协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。

端口漏洞:同POP3协议的110端口一样,IMAP使用的143端口也存在缓冲区溢出漏洞,通过该漏洞可以获取用户名和密码。另外,还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。

操作建议:如果不是使用IMAP服务器操作,应该将该端口关闭。

161端口:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP)。

端口说明:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP),该协议主要用于管理TCP/IP网络中的网络协议,在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对SNMP的支持。

在Windows 2000/XP中要安装SNMP服务,我们首先可以打开“Windows组件向导”,在“组件”中选择“管理和监视工具”,单击“详细信息”按钮就可以看到“简单网络管理协议(SNMP)”,选中该组件;然后,单击“下一步”就可以进行安装。

端口漏洞:因为通过SNMP可以获得网络中各种设备的状态信息,还能用于对网络设备的控制,所以黑客可以通过SNMP漏洞来完全控制网络。

操作建议:建议关闭该端口。
443端口:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。

端口说明:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用HTTPS服务,这样在这些网站上的交换信息其他人都无法看到,保证了交易的安全性。网页的地址以https://开始,而不是常见的http://。

端口漏洞:HTTPS服务一般是通过SSL(安全套接字层)来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统,盗取信用卡账号等。

操作建议:建议开启该端口,用于安全性网页的访问。另外,为了防止黑客的攻击,应该及时安装微软针对SSL漏洞发布的最新安全补丁。

554端口:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP)。

端口说明:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP),该协议是由RealNetworks和Netscape共同提出的,通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放,并能有效地、最大限度地利用有限的网络带宽,传输的流媒体文件一般是Real服务器发布的,包括有.rm、.ram。如今,很多的下载软件都支持RTSP协议,比如FlashGet、影音传送带等等。

端口漏洞:目前,RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞,相对来说,使用的554端口是安全的。

操作建议:为了能欣赏并下载到RTSP协议的流媒体文件,建议开启554端口。

1024端口:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。

端口说明:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。之前,我们曾经提到过动态端口的范围是从1024~65535,而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务,在关闭服务的时候,就会释放1024端口,等待其他服务的调用。

端口漏洞:著名的YAI木马病毒默认使用的就是1024端口,通过该木马可以远程控制目标计算机,获取计算机的屏幕图像、记录键盘事件、获取密码等,后果是比较严重的。

操作建议:一般的杀毒软件都可以方便地进行YAI病毒的查杀,所以在确认无YAI病毒的情况下建议开启该端口。

在上网的时候,我们经常会看到“端口”这个词,也会经常用到端口号,比如在FTP地址后面增加的“21”,21就表示端口号。那么端口到底是什么意思呢?怎样查看端口号呢?一个端口是否成为网络恶意攻击的大门呢?,我们应该如何面对形形色色的端口呢?下面就将介绍这方面的内容,以供大家参考。

21端口:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。

端口说明:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器,可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。目前,通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外,还有一个20端口是用于FTP数据传输的默认端口号。

在Windows中可以通过Internet信息服务(IIS)来提供FTP连接和管理,也可以单独安装FTP服务器软件来实现FTP功能,比如常见的FTP Serv-U。

操作建议:因为有的FTP服务器可以通过匿名登录,所以常常会被黑客利用。另外,21端口还会被一些木马利用,比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器,建议关闭21端口。

23端口:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。

端口说明:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端,开启Telnet服务的客户端就可以登录远程Telnet服务器,采用授权用户名和密码登录。登录之后,允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中,键入“Telnet”命令来使用Telnet远程登录。

操作建议:利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。Telnet服务的23端口也是TTS(Tiny Telnet Server)木马的缺省端口。所以,建议关闭23端口。

25端口:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。

端口说明:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候,在创建账户时会要求输入SMTP服务器地址,该服务器地址默认情况下使用的就是25端口。

端口漏洞:

1. 利用25端口,黑客可以寻找SMTP服务器,用来转发垃圾邮件。

2. 25端口被很多木马程序所开放,比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说,通过开放25端口,可以监视计算机正在运行的所有窗口和模块。

操作建议:如果不是要架设SMTP邮件服务器,可以将该端口关闭。

53端口:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。

端口说明:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换,只要记住域名就可以快速访问网站。

端口漏洞:如果开放DNS服务,黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址,再利用53端口突破某些不稳定的防火墙,从而实施攻击。近日,美国一家公司也公布了10个最易遭黑客攻击的漏洞,其中第一位的就是DNS服务器的BIND漏洞。

操作建议:如果当前的计算机不是用于提供域名解析服务,建议关闭该端口。

67、68端口:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。

端口说明:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议,我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址,而不需要每个用户去设置静态IP地址。

端口漏洞:如果开放Bootp服务,常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”(man-in-middle)方式进行攻击。

操作建议:建议关闭该端口。

69端口:TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。

端口说明:69端口是为TFTP(Trival File Tranfer Protocol,次要文件传输协议)服务开放的,TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。不过与FTP相比,TFTP不具有复杂的交互存取接口和认证控制,该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。

端口漏洞:很多服务器和Bootp服务一起提供TFTP服务,主要用于从系统下载启动代码。可是,因为TFTP服务可以在系统中写入文件,而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。

操作建议:建议关闭该端口。

原文见:Improve the Readability of Your Web Page

1. 使用对比色 (Use contrasting colours). 这里说的对比是文字的颜色和背景色的对比。这样用户可以比较容易的看清文字,减少阅读疲劳。有视力障碍的人可能看不清楚低对比度的文字。可以去Vischeck这个网站可以看看你的网站在色弱(或色盲)用户眼中的样子。

2. 把文字圈成小块 (”Chunk up” your copy). 大块的高密度的文字让你的用户感觉信息负荷超载,有压抑感。几个小技巧:

用列表(或者1-2-3)和副标题.
保持段落短小.
在重要的观点上使用加粗或使用不同颜色,便于那些不太耐心而快速浏览的用户能抓住重点。
控制文字的行宽(Use columns to control text width.)

3. 避免杂乱的背景(Avoid busy backgrounds),让文字容易看清楚。

4. 少一点更好(Less is better). 在页面上放置越多杂乱的东西,越是让用户迷惑,分散注意力,不能集中阅读。网站看起来也不够专业.在放任何一项东西前想想,真的不放不可么?

5. 使用辨识性好的字体(Strive for a clean font style for maximum readability.)

6. 文字不要太小(Don’t use itsy-bitsy font sizes). 蚂蚁似的文字,很难快速的阅读。如果用户自己可以控制就更好了.

7. 让链接更像链接(Make your links look like links). 如果不是标准蓝色链接,最好可以加上下划线。不是链接的文字,最好不要加下划线。Email

今天电脑一开机,就弹出了提示某个驱动错误的对话框.查看事件日志,发现是npkcrypt服务启动失败:
经查询相关资料得知QQ2005 Beta3 以上版本都整合了一个叫做 npkcrypt 的键盘加密程序。

安装上述版本的QQ后,密码不能通过粘贴的方法输入,密码为中文的QQ用户没法登录。卸载该版本后,npkcrypt可能不能正常卸载,会出现npkcrypt.vxd 错误,或者出现“npkcrypt 服务启动失败: 系统找不到指定的文件”的错误。

解决方法如下:

1、在“我的电脑”上点右键,选“管理”->“设备管理器”
2、选择“查看”/“显示隐藏的设备”,在“非即插即用驱动程序”中选择“npkcrypt”,点击右键卸载.在弹出的对话框中选稍后重启电脑.
3、在运行中输入“regedit”进入注册表,并查找“nplcrypt”并删除相关键值,也可以直接到“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npkcrypt”或“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\npkcrypt”下直接删除“npkcrypt”.
4、重启电脑.
Email

原文见咖啡鱼的色彩斑澜,以下是我的笔记:

1、备份模板。以便出错时恢复.

2、申请Google AJAX Search API Key.申请地址:
http://code.google.com/apis/ajaxsearch/signup.html

选择I have read and agree with the terms and conditions 之后,在下面My web site URL的文本框中填入你的网站地址或BLOG地址.然后单击Generate API Key按钮就会得到Google AJAX Search API的代码.

3、在模板>HTML>中的</head>之前,添加下面代码.

在上面的代码中的经度和纬度是默认的Google maps加载时的地点,要得到经纬度的值,可以通过Google earth得到。经纬度格式示例:4.700000, 52.300000.

4、保存模板,可能会弹出错误提示,可以忽略,因为你申请的Key是为你的Blog地址,而此时的地址是beta.blogger.com

5、将下面代码加入到文章或侧边栏里了.就可以将Google Maps地图加到网页中了!

Rundll32专题

一、使用Rundll32命令安装和卸载Windows程序

提示:Rundll32.exe是 Windows系统提供的一个命令,它用来调用32位的DLL函数(16位的DLL文件用Rundll.exe来调用。DLL文件是Windows的基础,所有的API函数都是在DLL中实现的,它不能独立运行,一般由进程加载并调用,运行DLL文件最简单的方法是利用Rundll32.exe,它的命令格式是“Rundll32.exe 动态链接库名 函数名 参数名”。

1、卸载微软Java虚拟机

在Windows系统中,要想IE浏览器执行包含Java小程序的网页,必须安装微软Java虚拟机(MSJVM),Windows 98/2000已经捆绑了MSJVM,Windows XP/2003中虽然已经剥离了微软Java虚拟机,但还是可以手工安装。不过,有个现实我们不得不面对:由于微软和SUN公司的明争暗斗,微软已经停止对MSJVM的开发,因此很多用户改用SUN公司提供的Java虚拟机。但微软没有提供MSJVM的卸载工具,使用Rundll32命令,我们可以轻松卸载MSJVM。

单击“开始→运行”命令,在“运行”对话框中输入“RunDll32 advpack.dll,LaunchINFSection java.inf,UnInstall”,回车后系统会打开“Microsoft VM uninstall”对话框,单击“是(Y)”按钮后,系统就会开始卸载微软Java虚拟机,卸载完成后需要重新启动系统。

接下来删除系统目录下的\inf下的java.pnf文件,以及\system32下的jview.exe文件和wjview.exe文件。最后打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\JavaVM]分支和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\
AdvancedOptions\JAVA_VM]分支,删除这两个分支下的所有子键。

提示:以上方法不适用Windows 98系统。

2、重新安装Windows XP自带的IE6.0

Windows系统的IE浏览器漏洞很多,最容易出现问题。有时无法解决,就只能重新安装了。使用Rundll32命令可以很轻松地完成重新安装工作。我们以重新安装Windows XP中的IE6.0为例:

首先将Windows XP光盘插入光驱,然后单击“开始→运行”命令,在“运行”对话框中输入“Rundll32 setupapi,InstallHinfSection DefaultInstall 132 C:\windows\inf\ie.inf”命令,回车后系统会打开安装进程对话框,开始重新安装IE6.0。

提示:如果你的Windows XP系统不是安装在C盘,请将 “C\Windows\Inf\Ie.inf” 修改为“%systemroot%\inf\ie.inf”。

3、卸载Windows Messenger

卸载Windows Messenger的方法很多,最常用的就是修改“Sysoc.inf”文件,但此方法比较复杂,使用Rundll32命令能很轻松完成卸载:

首先要确保已经关闭了Outlook和IE等Windows自带的组件,然后单击“开始→运行”,在“运行”对话框中输入“RunDll32 advpack.dll,LaunchINFSection %windir%\inf\msmsgs.inf,BLC.Remove”命令,回车后系统会打开一个卸载对话框,单击“是(Y)”按钮后,系统就开始卸载Windows Messenger 程序。

二、恢复“Rundll32”文件

在XP/2000光盘找到\i386\rundll32.ex_ ,改名为rundll32.rar,用winrar解压缩。得到rundll32.exe

三、“Rundll32错误”显示

DLL是微软提出的动态链接库概念。其原理是每个程序所需的代码可以从同一个地址获取,可以节约系统空间。但这也就成了Windows最大的弱点:应用程序在安装时为了让自己运行的更好,会将这些数据库升级成自己的版本,这样就导致其他程序甚至连Windows自己都无法启动,DLL成了“陷阱”。出现Rundll32错误可能的原因是操作系统中的mmsystem.dll文件损坏或丢失,在其他计算机上拷贝此文件覆盖即可;另外有可能是system.ini文件中有关mmsystem.dll的语句丢失。解决的方法是:C:\Windows 下的 System.ini 文件,找到 [ boot ] 这个区段,补上drivers=mmsystem.dll,补上后,重新启动。

使用 Windows 98 的人,还有一个较方便的方法,你可以直接到「开始」>>「运行」,输入 msconfig,然后在 System.ini 这一页,打开 boot 文件夹,按新增,去新增一行叙述: drivers=mmsystem.dll.

Regsvr32和Rundll32大家经常遇到,但很少朋友真正会使用他们,不少朋友还会搞混淆,我整理了他们最常用的功能推荐给大家。

Regsvr32专题

Regsvr32命令是 Windows 系统提供的一个实用工具,它用来向系统注册控件或者卸载控件,利用该命令,可找回系统丢失的功能。

1、修复不能在新窗口中打开的IE:

“Regsvr32 Actxprxy.dll”、“Regsvr32 Shdocvw.dll”、“Regsvr32 Oleaut32.dll”。这三个控件注册成功后,重新启动电脑,IE就恢复正常了

2、卸载winXP自带的ZIP功能:

输入Regsvr32 /u zipfldr.dll,则卸载winXP自带的ZIP功能。如果输入Regsvr32 zipfldr.dll,则恢复ZIP功能。

3、防范脚本病毒

很多脚本病毒的复制,传播都离不开“FSO对象(FileSystemObject,很多人利用自己的电脑建论坛、网站,论坛或者动态网站程序都可进行在线文件管理,这样一来很多人就在自己的网页代码中加入恶意的内容)”,因此禁用“FileSystemObject”就能有效地控制脚本病毒的传播。 输入“Regsvr32 /u scrrun.dll”,即可禁用FSO对像。

4、恢复/禁止“预览功能”

在打开含有视频文件/图片的文件夹时,打开速度很慢,因为系统使用了媒体预览功能,开始——运行,输入:“regsvr32 /u shmedia.dll”命令关闭“视频预览”功能,另外“Regsvr32 /u Thumbvw.dll”禁止“图片预览”功能。如果想恢复,只需把命令中的“/u”删除就可以了。

另外:2000中禁止的话,打开要禁止预览的文件夹,右键单击空白处,选择“自定义文件夹”,会出现自定义文件夹向导,其中有一个“请选择模板”项,选择其中的“简易”就可以禁止预览了。

5、恢复在线升级功能

在Windows的“开始”菜单的顶端,有一个“Windows Update”项,可以快捷的对系统进行在线升级打补。但有时会发现无法进行在线升级,要解决这个故障,只要在运行框中执行“Regsvr32 Wupdinfo.dll”,重启电脑即可解决。(当然首先保证打开“AutoUpdate”服务。)

6、恢复“添加/删除程序”

有的时候因为勿删除或者其他原因造成控制面板的“添加删除程序”损坏,无法使用,可以尝试这个办法。首先运行“regsvr32 mshtml.dll”,回车,然后“regsvr32 shdocvw.dll -i”,回车,最后“regsvr32 shell32.dll -i”,回车,这样,“添加/删除程序”组件就可以重新使用了。

相关链接:

Rundll32专题

操作系统瘦身行动

家里的电脑使用了很长一段时间了,感觉速度越来越慢.系统盘的空间也不知不觉中也被一些未知的文件塞满了.没办法,只得自己动手清理了一下!为了方便大家阅读,整理如下:

1、C盘只安装系统文件,其它应用程序全部安装到其它盘了。更改我的文档的位置,将它移到D盘或E盘.这样以后就算系统损坏,重要的文件也不丢失!

2、删除系统备份文件吧:开始→运行→sfc.exe /purgecache这样可以节省将近3xxM。

3、删除驱动备份:%windows%\driver cache\i386目录下的driver.cab文件,通常这个文件是76M。 (这一条是网络上流传的,但是本人强烈部推荐新手朋友,因为以后变动硬件后添加驱动对于他们会很麻烦,动手能力很强的朋友可以尝试。)

4、如果没有看help的习惯,删除Windows\help目录下的东西都干掉,近4xM。

5、“WindowsUpdate"在线升级完成后你还会发现系统目录里面多了许多类似$NtUninstallQ311889$这些目录,都是系统更新后的临时文件夹,都干掉吧,1x-3xM。

6、关闭"休眠"这功能占用太多空间. 控制面板——显示——屏幕保护程序——电源——休眠。

7、删除\windows\ime下不用的入法 8xM。(这一技巧使用前做好备份工作,本人建议大家小心进行)

8、关了系统还原,(这功能对我这样常下载、测试软件的人来说简直是灾难),用鼠标右健单击桌面上的“我的电脑”,选择“属性”,找到“系统还原”,选择“在所有驱动器上关闭系统还原”呵呵,又可以省空间了。

9、合理设置回收站,推荐设置成“所有分区统一”,“直接删除”,“删除时显示对话框”三项选中,会节省不少的空间。

10、关闭Dr.Watson:在"开始"-"运行"中输入"drwtsn32"命令,调出系统里的Dr.Watson ,只保留"转储全部线程上下文"选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间 。

注:做完瘦身行动后,最好将系统盘做下磁盘碎片整理!

1、Michael Scofield
头脑。我理解的头脑,应该是智慧+冷静。作为这部戏的主角,导演很慷慨地把这两点都赋予了Michael,他的智慧和冷静是贯穿始终的,近乎完美。

2、Lincoln Burrows
勇气。在整部戏中,Lincoln 应该是最有男子汉气质的人了。他明知有圈套还是要去救出儿子;当监狱暴乱他遭遇T-Bag一伙时,在没有退路的情况下勇敢的搏斗,毫无惧色。

如果你失去了财富,那你失去了一点;如果你失去了名誉,那你失去了很多;如果你失去了勇气,那你把一切都失去了。

3、Benjamin Franklin
责任。作为一名美国军人,当他发现虐囚事件时,勇敢的站出来揭露,结果被迫害(当然在中国,不要学他这一点,否则会死的很难看);当他为了生计去给别人开偷来的卡车被抓时,为了不让妻子担心和维护在女儿心中的形象,扔谎称在服役,而独自承受坐牢的痛苦;为了和妻女团聚,冒着极大的风险越狱。

有责任感的男人是值得信赖的,朋友也不会抛弃他,看看那些帮助他妻子和女儿逃亡的黑人铁哥们吧。

4、John Abruzzi
尊严。因为那句著名的临终遗言:“我只向上帝下跪,但他不在这里。”当你赢得了尊严,也就赢得了别人的尊重,包括你的对手。

5、David Apolskis
忠诚。虽然开始David 处于对鸡奸的恐惧和汉堡的诱惑,曾经出卖过Michael他们,但当时他并不是他们中的一员,而且Michael警告T-Bag不要打他的主意这件事情,他似乎也并不知道。

在最后,当他被FBI抓获时,他没有背叛自己的朋友,毅然的选择了忠诚。

我们都看到了FBI给他开出的价码:不追究他的越狱行为,并送他到一所高级监狱去服刑。的确如果他供出Michael他们,这种“重大立功表现”是很有可能得到这些的。

我想当他敲开那个同车的漂亮姑娘的家门时,他一定知道这对他意味着什么,毕竟他一共只被判了2年的刑期。

6、Theodore Bagwell
信念。作为最不受欢迎的一个同伴,他一开始就是被越狱小组排斥的,他是以差点杀死John Abruzzi为代价才保住了这张票,而且刚逃出监狱,就失去了一只手。

两次失去左手的是他,两次得到巨款也是他,别人都有朋友、家人帮忙或陪伴,只有他是孤独的,但他就凭着求生的信念,勇敢的活了下来。

7、Fernando Sucre
浪漫。作为一个只剩下16个月刑期的犯人,他越狱的理由竟然是怀孕的女友要和别人结婚。当他骑着朋友的大哈雷去拉斯维加斯准备在婚礼上把女友抢回来时,每个女人也许都在想:我要是他的女友该多幸福啊。

8、Sara Tancredi
敬业。当监狱开始暴乱的时候,她不顾警卫队长的劝告,执意进去抢救一个中暑的犯人;当生命垂危的John Abruzzi被送往直升飞机时,是她陪在旁边焦急但是很不失冷静的不断呼喊:“John,坚持住,呼吸,坚持住,你会没事的。”在那一刻,我觉得这个恶贯满盈的犯人更象她的亲人,那也是Sara最美的时候。大家可以去看看,在第1季第13集一开始,那一刻,Sara就象一个天使。

电脑中毒后的症状如下:所有.EXE程序的图标变成熊猫烧香的头像,并且在每的盘符的根目录下会生成一个setup.exe文件和autorun.inf文件。用我的NOD32检测出来说是win32/delf.nbp蠕虫病毒.

查阅相关资料得知该病毒很有可能是威金病毒的一个变种。病毒在运行后,会在系统文件下释放FuckJacks.exe和Dd11.exe两个文件,同时在硬盘每一分区根目录下释放setup.exe和autorun.inf文件,这样病毒可以借助微软“自动播放”功能,在用户每次双击硬盘时即可自动启动运行。
  
而且病毒运行后,会结束目前几乎所有主流的杀毒软件进程和服务,以逃避杀毒软件查杀。病毒会修改注册表启动项,以使自身随操作系统同步运行。


中毒后具体特征如下:

1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%\system32\FuckJacks.exe
%SystemRoot%\SVCH0ST.exe
%SystemRoot%\system32\SVCH0ST.exe

2、添加注册表启动项目确保自身在系统重启动后被加载:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
FuckJacks
键值:"C:WINDOWS\system32\FuckJacks.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
svohost
键值:"C:WINDOWS\system32\FuckJacks.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Userinit
键值:"C:WINDOWS\system32\SVCH0ST.exe"

3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
X:\autorun.inf 1KB RHS
X:\setup.exe 230KB RHS

4、关闭众多杀毒软件和安全工具。

5、并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。

6、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。


清除方法:

1. 断开网络

2. 结束病毒进程
%System%\drivers\spoclsv.exe
SystemRoot%\SVCH0ST.exe
%SystemRoot%\system32\SVCH0ST.exe

3. 删除病毒文件:
%System%\drivers\spoclsv.exe
SystemRoot%\SVCH0ST.exze
%SystemRoot%\system32\SVCH0ST.exe

4. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

5. 删除病毒创建的启动项:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
键名:FuckJacks
键值:"C:WINDOWS\system32\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
键名:svohost
键值:"C:WINDOWS\system32\FuckJacks.exe"

6. 右键点击分区盘符(不要双击直接打开,不然话还会自动感染病毒的),点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf

7. 修复或重新安装反病毒软件

8. 进安全模式使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件

Sniffer Pro的操作说明

一、sniffer原理

sniffer是用于高级分组检错的工具。它可提供分组获取和译码的功能,它可以提供图形以确切的指出在你的网络中哪里正出现严重的业务拥塞。

在以太网中,所有的通讯都是广播的,也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据,而每一个网络接口都有一个唯一的硬件地址,这个硬件地址也就是网卡的MAC地址,大多数系统使用48比特的地址,这个地址用来表示网络中的每一个设备,一般来说每一块网卡上的MFC地址都是不同的,每个网卡厂家得到一段地址,然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。

在正常的情况下,一个网络接口应该只响应这样的两种数据帧:                                      
1.与自己硬件地址相匹配的数据祯

2.发向所有机器的广播数据帧。

在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式:

广播方式:该模式下的网卡能够接收网络中的广播信息。
                
组播方式:设置在该模式下的网卡能够接收组播数据。

直接方式:在这种模式下,只有目的网卡才能接收该数据。

混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。

总结一下,首先,我们知道了在以太网中是基于广播方式传送数据的,也就是说,所有的物理信号都要经过我的机器,再次,网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是他。这实际上就是我们SNIFF工作的基本原理:让网卡接收一切他所能接收的数据。

二、网络监控的几种模式

1、monitor>hosttable图中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少。本例以IP地址为测量基准。

2、monitor>matrix该兰色圆中的各点连线表明了当前处于活跃状态的点对点连接,也可通过将鼠标放在IP地址上点右键>showselectnodes查看特定的点对多点的网络连接,如下图,表示出与192.168.0.250相连接的IP地址

3、monitor>protocol>distribution查看协议分布状态,可以看到不同颜色的区块代表不同的网络协议。

4、monitor>dashboard该表显示各项网络性能指标包括利用率、传输速度、错误率

5、monitor>sizedistribution可以查看网络上传输包的大小比例分配。

6、monitor>application>responsetime该表显示了局域网内的通信其响应速度列表,并将本地网段的机器名以NETBIOS名的形式解析出来。

三、包的抓取与分析

1、过滤器的定制definefilter.Capture-definefilter

进入该界面后address指定以IP地址为类型,然后在下面的station1和station2中分别指定源和目的地地址。并将该设置指定为某settingprofile.

这个图中显示的是sniffer设置过滤条件的对话框。过滤条件可以用逻辑关系,比如像AND、OR、NOT等组合来设置。在这里可以设置的过滤条件有IP地址或者物理地址(一般我们说的都是在Internet之中,使用的是TCP/IP协议,所以选择Ip地址是比较合适的)、数据包、协议等。好,那就一下下来设置看看了。

第一、地址类型,选择IP了。选择模式,如果选包括,其意义就是指sniffer在捕获的时候就会只对你在Station1中和Station2中所列的节点包进行捕获。选择除外则恰恰相反。也就是说它在捕获的时候会过滤掉Station1和Station2中所列及的地址数据包的。

第二、在Station1和Station2以及DIR的设置中,你可以指定地址对,而我要对它截获的是与他连接的所有主机,也就是说这个Any代表的是任何主机的意思。至于Dir,则是要选择你要捕获的目标主机与其连接主机间的信息流向,这里选的是互流,即为要截获的是与之所连接的所有主机与它的信息数据.

2、capture>selectfilter>start

在上图中的1部分,显示的是所监控的202.103.190.4与202.103.137.1主机间的应用层的协议以及对监控之后所得到的数据包的总结以及有效数据包的长度和整个数据包的长度、确认序列号的信息。上图中是我对OICQ的监控,所以它显示的端口是8000和4000。

而第2部分是对应1中的灰色区域里的数据包内容从协议的上进行的分析。这个图中所显示的是1中灰色部分的IP和TCP层的解释,从这里可以看出这个捕获到的数据包的组成以及数据包使用的端口、状态、时间等许多信息,用鼠标拉动滚动条可以看到更详细的对以太桢和应用层的解释。

第3部分是这次捕获的数据包的内容,能看到的是十六进制和ASCII两中显示形式。左边是用十六进制表示的包中每一个数据的位置,中间的部分是用十六进制表示的被截获的数据包中的内容,右边看到的则是ASCII形式。

我们知道解决网络问题可以用ipconfig命令(查看网络配置)、arp命令(地址解析协议)、ping命令(验证与远程计算机的连接)和tracert命令(路由跟踪)。其实在这之外还有一个方法是使用pathping命令。这个命令工作起来就像是把ping和tracert这两个命令结合在了一起。

该命令的使用方法很简单,只需在命令行输入pathping,就像这样:pathping 目标。这里的目标可以是一个主机名称也可以是一个IP地址,例如,www.163.com或者219.14.38.51.

接下来,你将得到一个分为两部分的报告。第一部分是通向目的地的线路上的每一个跳点的列表,第二部分是每一个跳点的统计,包括每一个跳点的数据包丢失的数量。它使用下面例子中显示的一些开关(switch),如:

pathping -n -w 1000 msn.com

这个命令告诉pathping不解析路由器的IP地址,并且为每一个回显应答信息等待1秒钟(1000毫秒)。

下面是一些最重要的pathping命令开关(switch):

·n 不显示每一台路由器的主机名。

·hvalue 设置跟踪到目的地的最大跳点数量。默认是30个跳点。

·wvalue 设置等待应答的最多时间(按毫秒计算)。

·p 设置在发出新的ping命令之前等待的时间(按毫秒计算)。默认是250毫秒。

·qvalue 设置ICMP回显请求信息发送的数量。默认是100.

以上命令在win2ooo/xp/2003下测试通过!

脆弱的XP防火墙

IDG近日称:黑客已经发布了可以使XP自带的防火墙(ICS)崩溃的攻击代码。

被公布在网上的代码可以使在打过补丁的Windows XP附带的防火墙崩溃,攻击者可以发送恶意的数据包到使用ICS的电脑,使被攻击的计算机将会自动终止自带防火墙。

Tyler Reguly在周一的访问中说道:“一旦防火墙停止工作,你的安全呢?”(Tyler Reguly,nCircle网络安全公司负责调查的工程师)。

在防火墙停止工作后,用户将会受到更多的新方式的攻击,用户可以禁用ICS来防止攻击,或者加装其他防火墙,但是这样也会终止互联网连接共享功能。

Stefano Zanero说:“一个简单的解决办法可以使用路由器或者是NAT设备”,(Stefano Zanero, SRL公司CTO),“现在这种设备很便宜,他们也可以对你的局域网进行更好的保护”。

报道称只有Windows xp会受到此种攻击,在Windows Server 2003 不会受到此种攻击。

新闻来源:IDG

VNN安装及账号申请

相关介绍见VNN与VPN的对比

软件下载地址:http://www.bizvnn.cn/download/client/vnnc302201-winall.zip 目前最新版本为3.0.2201.如果想要下载最新的版本可到www.vnn.cn网站下载.

安装过程比较简单.安装语言选择中文(简体),按默认安装即可.当出现安装虚拟网卡:你希望隐藏虚拟网卡吗?选择是!

出现如图所示的对话框时
选择仍然继续!安装完成后,在开始程序中就会出现如下菜单
申请账号

由于是第一次运行!因此需要向VNN申请免费的帐号.目前VNN有两种版本,一种是VIP的,这个是针对企业用户,是要收费的,因此不在我们的介绍之列.在这里主要介绍的是他的个人版也就是免费版本!
单击左键以注册一个新账号.由于免费版只能建普通用户组,因此账号名称只能用以下格式进行注册:用户号.user.vnn.cn,用户名最好选一个别人没有注册过的,不然又得重新注册了.如我的用户名用znnet,那么我的账号为znnet.user.vnn.cn,其它值按默认值,点注册就OK了.注册成功后,就会出现如下的对话框.

VNN与VPN对比

什么是VNN?

VNN (Virtual Native Network),中文意思是“虚拟本地网”,是为接入因特网的任意两个机器提供互通的服务。VNN连通了的机器就像处于同一个局域网中一样,即使这些机器都不拥有公网地址,而都是处于私网内。

通过VNN就可以借助全球互联网直接构建属于自己的“本地”网络,是目前最方便、最有效、支持最多应用的构建“网中网”的基础平台。

VNN可以直接在现有的网络上进行部署,不需要更换任何网络设备和终端设备,不需要拥有公网地址,不需要拥有域名,只需要能够访问互联网,就可以使用 VNN,并通过她与同样使用了VNN的用户进行极限沟通(如即时消息、文件共享、个人主页、企业Intranet、数据库),唯一的限制就是您网络的接入带宽。

VNN自2004年3月10日正式发布以来,目前已经拥有56万以上的用户,随着VNN对网络环境支持的越来越全面,以及对企业服务的展开,将会为用户体验互联网、使用互联网、享受互联网提供越来越坚实的基础。

什么是VPN?

VPN(Virtual Private Network),即“虚拟私人网络”。举个简单的例子,当某个公司一个部门在北京,另一个部门在上海,要连接这两个部门的电脑,让它们就象处在同一个局域网一样,就需要使用VPN技术。

总的来说VNN则是利用软件来实现VPN技术,使得本不在同一个局域网的电脑能够直接快速通信,就好象他们在一个局域网中一样。

1、大型企业是如何实现VPN的?
企业建立VPN的方法主要有两种:一种是通过建立一个具有公网IP的接入服务器(一般选择WIN2000server),然后启用“拨号及远程服务”并做相应的配置,最后给予相应的帐户接入权限即可。另一种方法是通过对企业的路由器进行设置,在路由器上开启VPN功能,再结合Radius服务器对拨入的用户实行统一计费管理。

2、小型企业和个人用户如何实现VPN?
对于小型企业或个人用户来说,拥有公网IP并且保证24小时开机的VPN接入服务器是件非常困难的事情,而购买相应的路由器进行VPN设置又不符合小型企业和个人用户实际的使用情况。所以唯一的方法就是寻找更廉价更方便的解决方案。

目前用软件实现VPN技术已经很成熟了。这里推荐两款软件softether和VNN(Virtual Native Network)。

3、VNN相对于softether的优势

1)、SoftEther使用ssl/tcp进行数据封装,需要一个hub进行中转,如果使用公共HUB的话安全性没有任何保障。VNN使用udp进行数据封装,封装上比ssl/tcp封装效率要高,并且安全性可以通过对VNN中好友及黑名单等多项配置来完成。

2)、VNN数据通讯的时候,在绝大多数情况下,不会通过服务器转发。他提供的是两个nat后面的主机之间的点到点直连,而softether是大家都通过hub去中转。即VNN提供的端到端的直连,而SoftEther完全依赖于转发,所以vnn的速度要比softether快得多。

3)、VNN代码不公开,因此用户无法轻易架设自己VNN服务器。但是VNN对于个人用户将一直免费。而Softether现在还处在测试阶段,以后会不会收费还不确定。

4)、VNN集成了DNS,也就是说,不管另一方在哪里,都可以通过dns访问,例如ftp softer.user.vnn.cn,或者\\softer.user.vnn.cn,有了dns,你可以很方便的配置你的应用。而softether没有这个功能。

VNN网址:http://www.vnn.cn/

相关链接:

VNN教程

本文以NOD32 2.70.16英文版为例,介绍其安装步骤.安装截图如下:


相关链接:

NOD32初级教程安装篇(下)

TeamViewer初级教程

软件介绍:

这款软件是至今唯一的一款能穿透内网的远程控制软件,可以穿透各种防火墙,要求双方都安装这个软件,使用时要求双开打开软件并且接受连接即可,最大优势在于此软件任何一方都不需要拥有固定IP地址,双方都可以相互控制,只要连入Internet即可,不受防火墙影响!相比VNC等软件优势在于VNC要求两方至少有一方有固定IP地址!

这是免费版本,可以远程控制15分钟。但是你可以免费获得一个注册码注册后就可以将每次的控制时间延长到30分钟,应该是足够用了。访问www.dyngate.com/licensing/register.aspx申请注册码

安装:

这里推荐使用风之痕老大TeamViewer1.5汉化版.点击下载

这里安装很简单,按默认设置来就可以了.需要注意的事,在单击完成前,将安装百度搜霸和安装酷酷网址的勾勾取消.广告软件!:)

注册方法:

首先连接上网,鼠标右键点击系统托盘区的DynGate图标,选择“激活许可”菜单,将收到的号码填入再点击“激活许可”按钮就可以了.

设置:

1、双击TeamViewer图标,进入TeamViewer连接,在TeamViewer模式中选择控制模式.
2、在选项>属性>常规中,访问控制:选择允许传送文件,在确认后传送.显示属性:选择自动选择质量,连接期间移除服务端桌面背景.DynGate:选择使用DynGate路由.连入连接:选择验证身份后允许.
3、在选项>属性>高级中,连接断开后:选择锁定计算机.屏幕图像刷新:选择速度优先.另外选择启用日志记录.其它的选项按默认值即可.
4、在选项>属性>主机模式中,一定要选择使用TeamViewer主机模式.在主机模式中选择系统启动时自动运行TeamViewer,当然也可以选择将TeamViewer安装为系统服务.另外将禁止退出TeamViewer勾上.最后别忘了输入远程登陆的密码.以后连接方机时就要用到.

连接远程计算机:

由于在激活了DynGate以后,DynGate会给每一个用户分配一个用户ID,以后在进行远程连接时,在TeamViewer连接窗口中输入对方用户的ID或IP地址,点击下面连接到用户就可以连接到远程的计算机了.

UPDATA 20070508
现在提供TeamViewer 2.38 英文绿色正式版下载:
点击下载

清除QQ尾巴的方法

最近经常有QQ好友发来邀请收听点歌、借钱给同学急用的消息。虽然像我们这样的用户都知道这是对方的QQ中了木马病毒,自动发送的一些虚假诈骗信息,但听说网上还是有不少QQ用户上当受骗。他们要么拨打了高额收费的点歌声讯电话;要么信以为真,汇钱热心给好友的同学解决燃眉之急。等事后向QQ好友询问才发现是受骗了,无不气愤不已。

腾讯公司客服热线员工就QQ尾巴诈骗一事表示,最近在全国各地不断有类似的诈骗案件发生。用户的电脑中了QQ木马病毒后,病毒程序通过查找QQ的登陆窗口来截获用户输入的密码,然后控制用户的QQ来发送诈骗信息。不法分子通过木马病毒和破解他人QQ密码,利用QQ用户的名义欺骗钱财,希望网友们提高警惕。

腾讯方面介绍,一旦腾讯公司的账号异常检测系统发现用户QQ号码在正常使用过程中多次收到被迫下线的提示、或者QQ号码有“发送垃圾广告”或“发送诈骗信息”的异常情况,该公司将采用“暂时限制登陆”的方式来保护用户QQ号码安全,用户必须进行“号码激活”才能正常登陆;

此外,腾讯公司表示将继续完善和加强软件的安全性能。与此同时,一旦用户的使用报告查实病毒后,会立即与反病毒软件厂商合作及时推出查杀工具软件,确保用户今后使用安全。在此提供QQ病毒专杀工具:XP QQKav 2006 V4.15的下载地址http://price.tech.qq.com/soft/detail.php?softid=149554

中毒后症状如下:
1、打开我的电脑或IE浏览器时会不停弹出http://down.v369v.com的窗口,另外杀毒软件不停的弹出发现木马窗口的对话框.
2、在系统目录和temp临时文件夹下会产生1.exe 2.exe 3.exe~8.exe的文件,杀毒软件扫描时提示是木马,删除会,还会继续跳出.
3、在%ProgramFiles%\Internet Explorer\目录下生成WinHook.sys和WinHook.jmp 两个文件,由于这两个文件劫持了IE,因此只要运行了IE,病素会自动从网上下载1.exe 2.exe 3.exe~8.exe等木马.
4、病毒修改了注册表,使其一开机就自动加载病素文件.

解决方法:
1. 删除病毒创建的ShellExecuteHooks:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
"{EFAE7B4A-FA39-4818-ACAC-6B6D851CEFF4}"=""
[HKEY_CLASSES_ROOT\CLSID\{EFAE7B4A-FA39-4818-ACAC-6B6D851CEFF4}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\WinHook.sys"
2. 重新启动计算机。
3. 删除病毒文件:
%ProgramFiles%\Internet Explorer\WinHook.jmp
%ProgramFiles%\Internet Explorer\WinHook.sys
4. 删除病毒添加的注册表信息:
[HKEY_CURRENT_USER\Software\Ms\QQHooker6]
可以在清除注册表run=和load=后的可以运行项目,还有大家都知道的RUN下的可疑项目,如果杀毒的还正常的话可以杀毒后重新启动系统,再杀毒就可以彻底清除掉了。
还有就是要注意如果是SP2的系统的话可以在IE加载项目里禁用可以项目,在系统目录下的download programfilse目录下可以删除可疑下载程序。还可以用其他工具软件配合使用.