来源:蜘蛛抓取(WebSpider)
时间:2018-04-11 02:20
标签:
250ppcom页面升级到
[推荐] 电脑故障全集
阅读权限100
在线时间 小时
Q:市场上的BIOS主要有哪些品牌?
A:当年IBM PC刚一推出时,大家都以IBM原厂的BIOS为标准,竞相撰写功能与它最接近、但程序码略不相同的BIOS(因为,若程序码相同便可能侵犯著作权),这也正是决定能否号称“与IBM PC百分之百相兼容”的关键。后来随着大环境的改变,兼容机开始盛行,IBM已不再掌握个人计算机规格的主导权,因此兼容厂家的BIOS也都摆脱它的影子,走出自己的风格来,以下便简介其中较具有代表性的四家厂商。
Award公司创立于1983年,总部位于美国加州Mountain View,台湾分公司称为“帷尔科技股份有限公司”。在386、486时期,BIOS市场仍是AMI、Award和Phoenix三雄鼎立,产品占有率互有高低,但是自从Phoenix转战笔记本计算机市场、AMI产品青黄不接时,Award及时推出优良的产品填补此空白,因此争取到许多主板厂的订单,占有率节节攀升。以目前台湾生产的主板而言,绝大多数都是采用Award BIOS,它几乎已经成为 Pentium、Pentium Ⅱ主板的标准规格。
AMI 为American Megatrend Inc.的缩写,成立于1985年,在早期AMI BIOS以其简洁的画面、易学的操作方式,迅速攻占台式计算机的市场,深受大众喜爱。尤其是许多 DIY玩家在购买主板时,更指定非采用AMI BIOS不可,可见当时其气势之盛实在令人咋舌。然而曾几何时,不知是因为行销策略、产品质量或是开发进度的问题,在Pentium、Pentium Ⅱ主板市场上,AMI BIOS就如同当初迅速窜红一般,也快速地沉寂于市场,以致于大好江山拱手让给了Award,虽然后来仍推出WinBIOS和HIFLEX等一系列评价不错的产品,无奈先机已失,终究是无力回天,难再恢复往日荣景。
●Phoenixqx
Phoenix 的总部位于加州圣荷西,从它的BIOS设置画面来看,不难发现其产品风格一直都很固定,没有什么大的改变,或许这正是该公司所坚持的传统吧。在早期的Pentium级台式计算机上还偶尔见到Phoenix BIOS,但自从转入笔记本电脑这个计算机市场后,在台式计算机市场已经难觅它的踪影了。而深耕笔记本电脑领域的结果,的确开拓了另一大市场,现在国内、外许多知名品牌的笔记本电脑都采用Phoenix BIOS,由此可知其产品质量深获许多厂商信赖。
●Microid Researcht
在诸多BIOS设计厂商中,Microid Research可算是其中最不同凡响的异类,因为早期它几乎是唯一提供“用满意才买”的公司。您可以先从网站上(http:\\)下载合用的BIOS文件,试用一定期限后若是满意才须注册付款,否则停止使用、回复到原BIOS即可,不必付一毛钱,这种破天荒的策略确实造福了许多计算机玩家,也打响了“MR BIOS”的名号。]l可惜,曾几何时,Microid Research公司改变了行销策略,不再提供试用版给个人使用, 而是建议使用者向Unicore Software,Inc.订购正式版本,从此结束了许多爱用者的试用美梦,也因此MR BIOS不再是网路讨论区的热门话题,逐渐被大众所淡忘了。
Q:如何进入BIOS的设置程序?
A:进入BIOS设置程序通常有三种方法:
1、开机启动时按热键
在开机时按下特定的热键可以进入BIOS设置程序,不同类型的机器进入BIOS设置程序的按键不同,有的在屏幕上给出提示,有的不给出提示,几种常见的BIOS设置程序的进入方式如下: Award BIOS:按Ctrl+Alt+Esc或Del,屏幕有提示; AMI BIOS:按Del或Esc,屏幕有提示; COMPAQ BIOS:屏幕右上角出现光标时按F10,屏幕无提示; AST BIOS:按Ctrl+Alt+Esc,屏幕无提示。
2、用系统提供的软件现在很多主板都提供了在DOS下进入BIOS设置程序而进行设置的程序,在Windows 95的控制面板和注册表中已经包含了部分BIOS设置项。
3、用一些可读写CMOS的应用软件 部分应用程序,如QAPLUS提供了对CMOS的读、写、修改功能,通过它们可以对一些基本系统配置进行修改。
Q:COMPAQ的Professional WorkStation工作站,敲F10为什么进不了BIOS的设置程序?
A:COMPAQ机的BIOS设置程序及设置参数的存放位置和普通的计算机不同,它是存放在硬盘的一个特殊的分区中。 COMPAQ的Professional WorkStation随盘有一张SmartStart光盘,其中有对工作站进行初始安装的每一步过程,而第一步就是在硬盘上建立一个新的分区并把CMOS中的数据存放在该分区,在该分区中还有对CMOS进行设置的软件,这一点和其他的品牌机、兼容机十分不同,不是直接就可以进入CMOS的设置。所以,如果工作站没有按照正确的步骤进行安装,没有这一特殊的分区,所以也就对F10键没有反应了。解决方法很简单,就是使用SmartStart光盘启动,并按照提示完成CMOS Setup的安装,但是注意应该把原来硬盘中的有用的数据进行备份,因为CMOS分区的过程会把硬盘中数据完全抹掉。
Q:为什么要升级BIOS0
A:BIOS中的程序决定了系统对硬件的支持、协调能力。现在的新硬件层出不穷,BIOS不可能预先具备对如此繁多的硬件的支持,这就依赖于对BIOS芯片内程序的更新。升级BIOS最直接的好处就是不用花钱就能获得许多新功能,比如原来你用的是PⅡ的CPU,升级BIOS后也许就能直接使用PⅢ的CPU,不用换主板了;看着别人能用光驱来启动的计算机,自己的不行,升级BIOS后,成了;另外还能增加PnP即插即用功能、新硬盘的LBA和DMA功能、识别其它新硬件等等,简直就是免费升级电脑!
另外,升级BIOS还可以解决一些特殊的电脑故障,这些故障往往令电脑高手也觉得莫名其妙。2000年的到来对全世界都是一件大事,对电脑更是一个大问题,升级BIOS可以有效地解决电脑的2000年问题。为了充分发挥主板的性能,支持层出不穷的新硬件,并改正以前BIOS版本中的缺陷,厂家不断推出新的BIOS版本。利用专用的刷新程序,改写主板BIOS的内容,这就是我们常说的BIOS升级。现在的主板几乎都采用FLASH ROM(快闪ROM)作BIOS,在一定的电压、电流条件下,可对其Firmware进行改写。
Q:为什么BIOS升级具有很大的危险性?
A:BIOS存储在主板上的ROM 芯片中,这确保了BIOS的一般可用性和不会因为磁盘错误而损坏。BIOS在整个PC机系统中的地位,决定了它的重要性。它是否正常工作、是否能工作,直接决定了整个微机系统的生死。据不完全统计,主板的不良原因中有60%至80%是由于主板的BIOS芯片引起的,因此,BIOS的正常工作就显得尤其重要!但是,升级BIOS在提升性能的同时,常会出现一些不可预料的事。在升级过程中断电、升级时用错了升级文件、升级文件的版本不正确、升级文件被修改过(例受病毒侵袭过)等,都会造成重开机时没有显示。正因为此,一些主板厂家,如采用i820芯片组的华硕系列主板采用更贴近用户的方式来升级BIOS,在新出的华硕P3C系列主板中,具有方便的Live Update功能,更新BIOS时,只需要放入随机附带的驱动程序光盘,在选定更新BIOS的选项后,即可全自动下载最新版的BIOS,并全自动更新,避免了用户在操作上的失误。
Q:什么样的BIOS才能升级?
A:从BIOS出现至今,BIOS的存储介质由ROM、EPROM、EEPROM到今天的FLASH ROM,ROM的形式不同,更新其内部Firmware的方法也不同。ROM中的内容是无法更新的,一旦完成芯片的制造过程,其内部的内容便只能读出不能写入;EPROM的擦除要使用专用的紫外线擦除器,普通用户也无法完成对其的擦除、刷新的过程。从EEPROM起,BIOS芯片可以借助一定的电压(+12V)或电流,使用专用的程序完成刷新的过程,从而使EEPROM芯片能够迅速为市场所接受。FLASH ROM的更新更为简单,不需要特定的条件,在工作电压(+5V)下,利用刷新程序即可完成芯片的刷新。
Q:什么是ROM、EPROM、EEPROM、FLASH ROM
A:在微机的发展初期,BIOS都存放在ROM(Read Only Memory,只读存储器)中。ROM内部的资料是在ROM的制造工序中,在工厂里用特殊的方法被烧录进去的,其中的内容只能读不能改,一旦烧录进去,用户只能验证写入的资料是否正确,不能再作任何修改。如果发现资料有任何错误,则只有舍弃不用,重新订做一份。ROM是在生产线上生产的,由于成本高,一般只用在大批量应用的场合。
由于ROM制造和升级的不便,后来人们发明了PROM(Programmable ROM,可编程ROM)。最初从工厂中制作完成的PROM内部并没有资料,用户可以用专用的编程器将自己的资料写入,但是这种机会只有一次,一旦写入后也无法修改,若是出了错误,已写入的芯片只能报废。PROM的特性和ROM相同,但是其成本比ROM高,而且写入资料的速度比ROM的量产速度要慢,一般只适用于少量需求的场合或是ROM量产前的验证。
EPROM(Erasable Programmable ROM,可擦除可编程ROM)芯片可重复擦除和写入,解决了PROM芯片只能写入一次的弊端。EPROM芯片有一个很明显的特征,在其正面的陶瓷封装上,开有一个玻璃窗口,透过该窗口,可以看到其内部的集成电路,紫外线透过该孔照射内部芯片就可以擦除其内的数据,完成芯片擦除的操作要用到EPROM擦除器。EPROM内资料的写入要用专用的编程器,并且往芯片中写内容时必须要加一定的编程电压(VPP=12—24V,随不同的芯片型号而定)。EPROM的型号是以27开头的,如27C020(8*256K)是一片2M Bits容量的EPROM芯片。EPROM芯片在写入资料后,还要以不透光的贴纸或胶布把窗口封住,以免受到周围的紫外线照射而使资料受损。
鉴于EPROM操作的不便,后来出的主板上的BIOS ROM芯片大部分都采用EPROM(Electrically Erasable Programmable ROM,电可擦除可编程ROM)。EPROM的擦除不需要借助于其它设备,它是以电子信号来修改其内容的,而且是以Byte为最小修改单位,不必将资料全部洗掉才能写入,彻底摆脱了EPROM Eraser和编程器的束缚。EPROM在写入数据时,仍要利用一定的编程电压,此时,只需用厂商提供的专用刷新程序就可以轻而易举地改写内容,所以,它属于双电压芯片。借助于EPROM芯片的双电压特性,可以使BIOS具有良好的防毒功能,在升级时,把跳线开关打至“ON”的位置,即给芯片加上相应的编程电压,就可以方便地升级;平时使用时,则把跳线开关打至“OFF”的位置,防止CIH类的病毒对BIOS芯片的非法修改。所以,至今仍有不少主板采用EPROM作为BIOS芯片并作为自己主板的一大特色。
FLASH ROM则属于真正的单电压芯片,在使用上很类似EPROM,因此,有些书籍上便把FLASH ROM作为EPROM的一种。事实上,二者还是有差别的。FLASH ROM在擦除时,也要执行专用的刷新程序,但是在删除资料时,并非以Byte为基本单位,而是以Sector(又称Block)为最小单位,Sector的大小随厂商的不同而有所不同;只有在写入时,才以Byte为最小单位写入;FLASH ROM芯片的读和写操作都是在单电压下进行,不需跳线,只利用专用程序即可方便地修改其内容;FLASH ROM的存储容量普遍大于EPROM,约为512K到至8M KBit,由于大批量生产,价格也比较合适,很适合用来存放程序码,近年来已逐渐取代了EPROM,广泛用于主板的BIOS ROM,也是CIH攻击的主要目标。
阅读权限100
在线时间 小时
四十三、被入侵系统恢复指南本文主要讲述UNIX或者NT系统如果被侵入,应该如何应对。 注意:你在系统恢复过程中的所有步骤都应该与你所在组织的网络安全策略相符。 A.准备工作 1.商讨安全策略 如果你的组织没有自己的安全策略,那么需要按照以下步骤建立自己的安全策略。 1.1.和管理人员协商 将入侵事故通知管理人员,可能在有的组织中很重要。在be aware进行事故恢复的时候,网络管理人员能够得到内部各部门的配合。也应该明白入侵可能引起传媒的注意。 1.2.和法律顾问协商 在开始你的恢复工作之前,你的组织需要决定是否进行法律调查。 注意CERT(Computer Emergency Response Team)只提供技术方面的帮助和提高网络主机对安全事件的反应速度。它们不会提出法律方面的建议。所以,对于法律方面的问题建议你咨询自己的法律顾问。你的法律顾问能够告诉你入侵者应该承担的法律责任(民事的或者是刑事的),以及有关的法律程序。 现在,是你决定如何处理这起事故的时候了,你可以加强自己系统的安全或者 选择报警。 如果你想找出入侵者是谁,建议你与管理人员协商并咨询法律顾问,看看入侵者是否触犯了地方或者全国的法律。根据这些,你可以报案,看看警方是否愿意对此进行调查。 针对与入侵事件,你应该与管理人员和法律顾问讨论以下问题: 如果你要追踪入侵者或者跟踪网络连接,是否会触犯法律。 如果你的站点已经意识到入侵但是没有采取措施阻止,要承担什么法律责任。 入侵者是否触犯了全国或者本地的法律。 是否需要进行调查。 是否应该报警。 1.3.报警 通常,如果你想进行任何类型的调查或者 *** 入侵者,最好先跟管理人员和法律顾问商量以下。然后通知有关执法机构。 一定要记住,除非执法部门的参与,否则你对入侵者进行的一切跟踪都可能是非法的。 1.4.知会其他有关人员 除了管理者和法律顾问之外,你还需要通知你的恢复工作可能影响到的人员,例如其他网络管理人员和用户。 2.记录恢复过程中所有的步骤 毫不夸张地讲,记录恢复过程中你采取的每一步措施,是非常重要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定,还可以留作以后的参考。记录还可能对法律调查提供帮助。 B.夺回对系统的控制权 1.将被侵入的系统从网络上断开 为了夺回对被侵入系统的控制权,你需要将其从网络上断开,包括播号连接。断开以后,你可能想进入UNIX系统的单用户模式或者NT的本地管理者(local administrator)模式,以夺回系统控制权。然而,重启或者切换到单用户/本地管理者模式,会丢失一些有用的信息,因为被侵入系统当前运行的所有进程都会被杀死。 因此,你可能需要进入C.5.检查网络嗅探器节,以确定被侵入的系统是否有网络嗅探器正在运行。 在对系统进行恢复的过程中,如果系统处于UNIX单用户模式下,会阻止用户、入侵者和入侵进程对系统的访问或者切换主机的运行状态。如果在恢复过程中,没有断开被侵入系统和网络的连接,在你进行恢复的过程中,入侵者就可能连接到你的主机,破坏你的恢复工作。 2.复制一份被侵入系统的影象 在进行入侵分析之前,建议你备份被侵入的系统。以后,你可能会用得着。 如果有一个相同大小和类型的硬盘,你就可以使用UNIX命令dd将被侵入系统复制到这个硬盘。 例如,在一个有两个SCSI硬盘的Linux系统,以下命令将在相同大小和类型的备份硬盘(/dev/sdb)上复制被侵入系统(在/dev/sda盘上)的一个精确拷贝。 # dd if=/dev/sda of=/dev/sdb 请阅读dd命令的手册页获得这个命令更详细的信息。 还有一些其它的方法备份被侵入的系统。在NT系统中没有类似于dd的内置命令,你可以使用一些第三方的程序复制被侵入系统的整个硬盘影象。 建立一个备份非常重要,你可能会需要将系统恢复到侵入刚被发现时的状态。它对法律调查可能有帮助。记录下备份的卷标、标志和日期,然后保存到一个安全的地方以保持数据的完整性。 C.入侵分析 现在你可以审查日志文件和系统配置文件了,检查入侵的蛛丝马迹,入侵者对系统的修改,和系统配置的脆弱性。 1.检查入侵者对系统软件和配置文件的修改 a.校验系统中所有的二进制文件 在检查入侵者对系统软件和配置文件的修改时,一定要记住:你使用的校验工具本身可能已经被修改过,操作系统的内核也有可能被修改了,这非常普遍。因此,建议你使用一个可信任的内核启动系统,而且你使用的所有分析工具都应该是干净的。对于UNIX系统,你可以通过建立一个启动盘,然后对其写保护来获得一个可以信赖的操作系统内核。 你应该彻底检查所有的系统二进制文件,把它们与原始发布介质(例如光盘)做比较。因为现在已经发现了大量的特洛伊木马二进制文件,攻击者可以安装到系统中。 在UNIX系统上,通常有如下的二进制文件会被特洛伊木马代替:telnet、in.telnetd、login、su、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、inetd和syslogd。除此之外,你还需要检查所有被/etc/inetd.conf文件引用的文件,重要的网络和系统程序以及共享库文件。 在NT系统上。特洛伊木马通常会传播病毒,或者所谓的"远程管理程序",例如Back Orifice和NetBus。特洛伊木马会取代处理网络连接的一些系统文件。 一些木马程序具有和原始二进制文件相同的时间戳和sum校验值,通过校验和无法判断文件是否被修改。因此,对于UNIX系统,我们建议你使用cmp程序直接把系统中的二进制文件和原始发布介质上对应的文件进行比较。 你还可以选择另一种方法检查可疑的二进制文件。向供应商索取其发布的二进制文件的MD5校验值,然后使用MD5校验值对可疑的二进制文件进行检查。这种方法适用于UNIX和NT。 b.校验系统配置文件 在UNIX系统中,你应该进行如下检查: 检查/etc/passwd文件中是否有可疑的用户 检查/etc/inet.conf文件是否被修改过 如果你的系统允许使用r命令,例如rlogin、rsh、rexec,你需要检查/etc/hosts.equiv或者.rhosts文件。 检查新的SUID和SGID文件。下面命令会打印出系统中的所有SUID和SGID文件: #find / ( -perm -004000 -o -perm -002000 ) -type f -print 对于NT,你需要进行如下检查: 检查不成对的用户和组成员 检查启动登录或者服务的程序的注册表入口是否被修改 检查"net share"命令和服务器管理工具共有的非验证隐藏文件 检查pulist.ext程序无法识别的进程 2.检查被修改的数据 入侵者经常会修改系统中的数据。所以建议你对web页面文件、ftp存档文件、用户目录下的文件以及其它的文件进行校验。 3.检查入侵者留下的工具和数据 入侵者通常会在系统中安装一些工具,以便继续监视被侵入的系统。 入侵者一般会在系统中留下如下种类的文件: 网络嗅探器 网络嗅探器就是监视和记录网络行动的一种工具程序。入侵者通常会使用网络嗅探器获得在网络上以明文进行传输的用户名和密码。(见C.5) 嗅探器在UNIX系统中更为常见。 特洛伊木马程序 特洛伊木马程序能够在表面上执行某种功能,而实际上执行另外的功能。因此,入侵者可以使用特洛伊木马程序隐藏自己的行为,获得用户名和密码数据,建立后门以便将来对系统在此访问被侵入系统。 后门 后门程序将自己隐藏在被侵入的系统,入侵者通过它就能够不通过正常的系统验证,不必使用安全缺陷攻击程序就可以进入系统。 安全缺陷攻击程序 系统运行存在安全缺陷的软件是其被侵入的一个主要原因。入侵者经常会使用一些针对已知安全缺陷的攻击工具,以此获得对系统的非法访问权限。这些工具通常会留在系统中,保存在一个隐蔽的目录中。 入侵者使用的其它工具 以上所列无法包括全部的入侵工具,攻击者在系统中可能还会留下其它入侵工具。这些工具包括: 系统安全缺陷探测工具 对其它站点发起大规模探测的脚本 发起拒绝服务攻击的工具 使用被侵入主机计算和网络资源的程序 入侵工具的输出 你可能会发现入侵工具程序留下的一些日志文件。在这些文件中可能会包含被牵扯的其它站点,攻击者利用的安全缺陷,以及其它站点的安全缺陷。 因此,建议你对系统进行彻底的搜索,找出上面列出的工具及其输出文件。一定要注意:在搜索过程中,要使用没有被攻击者修改过的搜索工具拷贝。 搜索主要可以集中于以下方向: 检查UNIX系统/dev/目录下意外的ASCII文件。一些特洛伊木马二进制文件使用的配置文件通常在/dev目录中。 仔细检查系统中的隐藏文件和隐藏目录。如果入侵者在系统中建立一个一个新的帐户,那么这个新帐户的起始目录以及他使用的文件可能是隐藏的。 检查一些名字非常奇怪的目录和文件,例如:...(三个点)、..(两个点)以及空白(在UNIX系统中)。入侵者通常会在这样的目录中隐藏文件。对于NT,应该检查那些名字和一些系统文件名非常接近的目录和文件。 4.审查系统日志文件 详细地审查你的系统日志文件,你可以了解系统是如何被侵入的,入侵过程中,攻击者执行了哪些操作,以及哪些远程主机访问了你的主机。通过这些信息,你能够对入侵有更加清晰的认识。 记住:系统中的任何日志文件都可能被入侵者改动过。 对于UNIX系统,你可能需要查看/etc/syslog.conf文件确定日志信息文件在哪些位置。NT通常使用三个日志文件,记录所有的NT事件,每个NT事件都会被记录到其中的一个文件中,你可以使用Event Viewer查看日志文件。其它一些NT应用程序可能会把自己的日志放到其它的地方,例如ISS服务器默认的日志目录是c:winntsystem32logfiles。 以下是一个通常使用的UNIX系统日志文件列表。由于系统配置的不同可能你的系统中没有其中的某些文件。 messages messages日志文件保存了大量的信息。可以从这个文件中发现异常信息,检查入侵过程中发生了哪些事情。 *** erlog 如果被侵入系统提供FTP服务, *** erlog文件就会记录下所有的FTP传输。这些信息可以帮助你确定入侵者向你的系统上载了哪些工具,以及从系统下载了哪些东西。 utmp 保存当前登录每个用户的信息,使用二进制格式。这个文件只能确定当前哪些用户登录。使用who命令可以读出其中的信息。 wtmp 每次用户成功的登录、退出以及系统重启,都会在wtmp文件中留下记录。这个文件也使用二进制格式,你需要使用工具程序从中获取有用的信息。last就是一个这样的工具。它输出一个表,包括用户名、登录时间、发起连接的主机名等信息,详细用法可以使用man last查询。检查在这个文件中记录的可疑连接,可以帮助你确定牵扯到这起入侵事件的主机,找出系统中的哪些帐户可能被侵入了。 secure 某些些版本的UNIX系统(例如:RedHat Linux)会将tcp_wrappers信息记录到secure文件中。如果系统的inetd精灵使用tcp_wrappers,每当有连接请求超出了inetd提供的服务范围,就会在这个文件中加入一条日志信息。通过检查这个日志文件,可以发现一些异常服务请求,或者从陌生的主机发起的连接。 审查日志,最基本的一条就是检查异常现象。 5.检查网络嗅探器 入侵者侵入一个UNIX系统后,为了获得用户名和密码信息,一般会在系统上安装一个网络监视程序,这种程序就叫作嗅探器或者数据包嗅探器。对于NT,入侵者会使用远程管理程序实现上述目的。 判断系统是否被安装了嗅探器,首先要看当前是否有进程使你的网络接口处于混杂(Promiscuous)模式下。如果任何网络接口处于promiscuous模式下,就表示可能系统被安装了网络嗅探器。注意如果你重新启动了系统或者在单用户模式下操作,可能无法检测到Promiscuous模式。使用ifconfig命令就可以知道系统网络接口是否处于promoscuous模式下(注意一定使用没有被侵入者修改的ifconfig): #/path-of-clean-ifconfig/ifconfig -a 有一些工具程序可以帮助你检测系统内的嗅探器程序: cpm(Check Promiscuous Mode)--UNIX可以从以下地址下载:
ifstatus--UNIX可以从以下地址下载:
neped.c可以从以下地址的到:
一定要记住一些合法的网络监视程序和协议分析程序也会把网络接口设置为promiscuous模式。检测到网络接口处于promicuous模式下,并不意味着系统中有嗅探器程序正在运行。 但是,在Phrack杂志的一篇文章Phrack Magazine Volume 8,Issue 53 July 8,1998,article 10 of 15, Interface Promiscuity Obscurity)中,有人提供了一些针对FreeBSD、Linux、HP-UX、IRIX和Solaris系统的模块,可以擦除IFF_PROMISC标志位,从而使嗅探器逃过此类工具的检查。以此,即使使用以上的工具,你没有发现嗅探器,也不能保证攻击者没有在系统中安装嗅探器。 现在,LKM(Loadable Kernel Model,可加载内核模块)的广泛应用,也增加了检测难度。关于这一方面的检测请参考使用KSAT检测可加载内核模块。 还有一个问题应该注意,嗅探器程序的日志文件的大小会急剧增加。使用df程序查看文件系统的某个部分的大小是否太大,也可以发现嗅探器程序的蛛丝马迹。建议使用lsof程序发现嗅探器程序打开的日志文件和访问访问报文设备的程序。在此,还要注意:使用的df程序也应该是干净的。 一旦在系统中发现了网络嗅探器程序,我们建议你检查嗅探器程序的输出文件确定哪些主机受到攻击者威胁。被嗅探器程序捕获的报文中目的主机将受到攻击者的威胁,不过如果系统的密码是通过明文传输,或者目标主机和源主机互相信任,那么源主机将受到更大的威胁。 通常嗅探器程序的日志格式如下: -- TCP/IP LOG -- TM: Tue Nov 15 15:12:29 -- PATH: not_at_risk.domain.com(1567) =& at_risk.domain.com(telnet) 使用如下命令可以从嗅探器程序的日志文件中得到受到威胁的主机列表: % grep PATH: $sniffer_log_file | awk '{print $4}' | awk -F( '{print $1}'| sort -u 你可能需要根据实际情况对这个命令进行一些调整。一些嗅探器程序会给日志文件加密,增加了检查的困难。 你应该知道不只是在嗅探器程序日志文件中出现的主机受到攻击者的威胁,其它的主机也可能受到威胁。 建议你参加获得更为详细的信息。 6.检查网络上的其它系统 除了已知被侵入的系统外,你还应该对网络上所有的系统进行检查。主要检查和被侵入主机共享网络服务(例如:NIX、NFS)或者通过一些机制(例如:hosts.equiv、.rhosts文件,或者kerberos服务器)和被侵入主机相互信任的系统。 建议你使用CERT的入侵检测检查列表进行这一步检查工作。
7.检查涉及到的或者受到威胁的远程站点 在审查日志文件、入侵程序的输出文件和系统被侵入以来被修改的和新建立的文件时,要注意哪些站点可能会连接到被侵入的系统。根据经验那些连接到被侵入主机的站点,通常已经被侵入了。所以要尽快找出其它可能遭到入侵的系统,通知其管理人员。
阅读权限100
在线时间 小时
& & & & & & & &
D.通知相关的CSIRT和其它被涉及的站点 1.事故报告 入侵者通常会使用被侵入的帐户或者主机发动对其它站点的攻击。如果你发现针对其它站点的入侵活动,建议你马上和这些站点联络。告诉他们你发现的入侵征兆,建议他们检查自己的系统是否被侵入,以及如何防护。要尽可能告诉他们所有的细节,包括:日期/时间戳、时区,以及他们需要的信息。 你还可以向CERT(计算机紧急反应组)提交事故报告,从他们那里的到一些恢复建议。 中国大陆地区的网址是:
2.与CERT调节中心联系 你还可以填写一份事故报告表,使用电子邮件发送,从那里可以得到更多帮助。CERT会根据事故报告表对攻击趋势进行分析,将分析结果总结到他们的安全建议和安全总结,从而防止攻击的蔓延。可以从以下网址获得事故报告表:
3.获得受牵连站点的联系信息 如果你需要获得顶级域名(.com、.edu、.net、.org等)的联系信息,建议你使用interNIC的whois数据库。
如果你想要获得登记者的确切信息,请使用interNIC的登记者目录:
想获得亚太地区和澳洲的联系信息,请查询:
如果你需要其它事故反应组的联系信息,请查阅FIRST(Forum of Incident Response and Security Teams)的联系列表:
要获得其它的联系信息,请参考:
建议你和卷入入侵活动的主机联系时,不要发信给root或者postmaster。因为一旦这些主机已经被侵入,入侵者就可能获得了超级用户的权限,就可能读到或者拦截送到的e-mail。 E.恢复系统 1.安装干净的操作系统版本 一定要记住如果主机被侵入,系统中的任何东西都可能被攻击者修改过了,包括:内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常,需要从发布介质上重装操作系统,然后在重新连接到网络上之前,安装所有的安全补丁,只有这样才会使系统不受后门和攻击者的影响。只是找出并修补被攻击者利用的安全缺陷是不够的。 我们建议你使用干净的备份程序备份整个系统。然后重装系统。 2.取消不必要的服务 只配置系统要提供的服务,取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。通常,最保守的策略是取消所有的服务,只启动你需要的服务。 3.安装供应商提供的所有补丁 我们强烈建议你安装了所有的安全补丁,要使你的系统能够抵御外来攻击,不被再次侵入,这是最重要的一步。 你应该关注所有针对自己系统的升级和补丁信息。 4.查阅CERT的安全建议、安全总结和供应商的安全提示 我们鼓励你查阅CERT以前的安全建议和总结,以及供应商的安全提示,一定要安装所有的安全补丁。 CERT安全建议:
CERT安全总结:
供应商安全提示:
5.谨慎使用备份数据 在从备份中恢复数据时,要确信备份主机没有被侵入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。如果你只是恢复用户的home目录以及数据文件,请记住文件中可能藏有特洛伊木马程序。你还要注意用户起始目录下的.rhost文件。 6.改变密码 在弥补了安全漏洞或者解决了配置问题以后,建议你改变系统中所有帐户的密码。一定要确信所有帐户的密码都不容易被猜到。你可能需要使用供应商提供的或者第三方的工具加强密码的安全。 澳大利亚CERT发表了一篇choosing good passwords的文章,可以帮助你选择良好的密码。 F.加强系统和网络的安全 1.根据CERT的UNIX/NT配置指南检查系统的安全性 CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。
查阅安全工具文档可以参考以下文章,决定使用的安全工具。
2.安装安全工具 在将系统连接到网络上之前,一定要安装所有选择的安全工具。同时,最好使用Tripwire、aide等工具对系统文件进行MD5校验,把校验码放到安全的地方,以便以后对系统进行检查。 3.打开日志 启动日志(logging)/检查(auditing)/记帐(accounting)程序,将它们设置到准确的级别,例如sendmail日志应该是9级或者更高。经常备份你的日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者一个安全的日志主机。 4.配置防火墙对网络进行防御 现在有关防火墙的配置文章很多,在此就不一一列举了。你也可以参考:
G.重新连接到Internet全 完成以上步骤以后,你就可以把系统连接回Internet了。 H.升级你的安全策略 CERT调节中心建议每个站点都要有自己的计算机安全策略。每个组织都有自己特殊的文化和安全需求,因此需要根据自己的情况指定安全策略。关于这一点请参考RFC2196站点安全手册:
1.总结教训 从记录中总结出对于这起事故的教训,这有助于你检讨自己的安全策略。 2.计算事故的代价 许多组织只有在付出了很大代价以后才会改进自己的安全策略。计算事故的代价有助于让你的组织认识到安全的重要性。而且可以让管理者认识到安全有多么重要。 3.改进你的安全策略 最后一步是对你的安全策略进行修改。所做的修改要让组织内的所有成员都知道,还要让他们知道对他们的影响。四十四、防火墙封阻应用攻击技术综述
你已经决心下大力气搞好应用安全吗?毕竟,例如金融交易、信用卡号码、机密资料、用户档案等信息,对于企业来说太重要了。不过这些应用实在太庞大、太复杂了,最困难的就是,这些应用在通过网络防火墙上的端口80(主要用于HTTP)和端口443(用于SSL)长驱直入的攻击面前暴露无遗。这时防火墙可以派上用场,应用防火墙发现及封阻应用攻击所采用的八项技术如下: 深度数据包处理 深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。 TCP/IP终止 应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。 SSL终止 如今,几乎所有的安全应用都使?*** TTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输,你就需要在流量发送到Web服务器之前重新进行加密的解决方案。 URL过滤 一旦应用流量呈明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL,这是远远不够的。这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作,可以阻止通常的脚本少年类型的攻击,但无力抵御大部分的应用层漏洞。 请求分析 全面的请求分析技术比单单采用URL过滤来得有效,可以防止Web服务器层的跨站脚本执行(cross-site scripting)漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步:可以确保请求符合要求、遵守标准的HTTP规范,同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而,请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样,记住以前的行为能够获得极有意义的分析,同时获得更深层的保护。 用户会话跟踪 更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分:跟踪用户会话,把单个用户的行为关联起来。这项功能通常借助于通过URL重写(URL rewriting)来使用会话信息块加以实现。只要跟踪单个用户的请求,就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持(session-hijacking)及信息块中毒(cookie-poisoning)类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块,还能对应用生成的信息块进行数字签名,以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应,并从中提取信息块信息。
阅读权限100
在线时间 小时
响应模式匹配 响应模式匹配为应用提供了更全面的保护:它不仅检查提交至Web服务器的请求,还检查Web服务器生成的响应。它能极其有效地防止网站受毁损,或者更确切地说,防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行,它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动,防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面,应用防火墙会监控响应,寻找可能表明服务器有问题的模式,譬如一长串Java异常符。如果发现这类模式,防火墙就会把它们从响应当中剔除,或者干脆封阻响应。 采用“停走”字(‘stop and go’word)的方案会寻找必须出现或不得出现在应用生成的响应里面的预定义通用模式。譬如说,可以要求应用提供的每个页面都要有版权声明。 行为建模 行为建模有时称为积极的安全模型或“白名单”(white list)安全,它是唯一能够防御最棘手的应用漏洞——零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为,其它行为一律禁止。这项技术要求对应用行为进行建模,这反过来就要求全面分析提交至应用的每个请求的每次响应,目的在于识别页面上的行为元素,譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞,同时对允许用户访问的URL实行极其严格的监控。行为建模是唯一能够有效对付全部16种应用漏洞的技术。行为建模是一种很好的概念,但其功效往往受到自身严格性的限制。某些情况譬如大量使用javascript或者应用故意偏离行为模型都会导致行为建模犯错,从而引发误报,拒绝合理用户访问应用。行为建模要发挥作用,就需要一定程度的人为干预,以提高安全模型的准确性。行为自动预测又叫规则自动生成或应用学习,严格说来不是流量检测技术,而是一种元检测(meta-inspection)技术,它能够分析流量、建立行为模型,并且借助于各种关联技术生成应用于行为模型的一套规则,以提高精确度。行为建模的优点在于短时间学习应用之后能够自动配置。保护端口80是安全人员面临的最重大也是最重要的挑战之一。所幸的是,如今已出现了解决这一问题的创新方案,而且在不断完善。如果在分层安全基础设施里面集成了能够封阻16类应用漏洞的应用防火墙,你就可以解决应用安全这一难题。 四十五、 不用专门软件照样修复硬盘分区表
硬盘分区表一旦被破坏,系统就无法启动。这种情况下该怎么办呢?看到有些媒体推荐用Disk Genius。可是并不是每个朋友手里都有这个软件。当电脑出现问题时,电脑已经不能启动了,更别提上网去下载这个软件了!其实有更简单的办法,那就是用Windows的安装光盘来修复。 第一种方法,只有Windows 98光盘时。首先用光盘或者软盘引导系统,然后用Fdisk/ mbr修复分区表,不过这样未必能够完全修复。但一般情况下,至少可以用上C盘了,然后再下载Disk Genius修复也是可行之道。 第二种方法:有Windows XP光盘的,用Windows XP光盘启动后,选择第二项“要用恢复控制台修复Windows XP安装,请按R键”。按下R键,就可以进入Windows XP的故障控制台了。然后键入Fixmbr,回车,就可以恢复大多数情况下的分区表错误了。经我实际使用发现用fixmbr命令不仅可以修复Windows XP系统下的分区错误,对Windows 98系统,以及Windows 98/XP双系统均有效,fixmbr命令格式如下:fixmbr [device_name(驱动器盘符)]。四十六、【Windows非法操作代码含义】 这里的同志们肯定都用过Windows的,想必经历过“非法操作”吧。一般的“非法操作”有两个选项:“关闭”和“详细资料”。可是“详细资料”里面的内容大多数人都看不明白,只好草草的给关闭了。现在不用怕了,我来给大家讲解一下非法操作的每个详细资料的具体含义: 1.停止错误编号:0x0000000A 说明文字:IRQL-NOT-LESS-OR-EQUAL 通常的原因:驱动程序使用了不正确的内存地址. 解决方法:如果无法登陆,则重新启动计算机.当出现可用的作系统列表时,按F8键.在Windows高级选项菜单屏幕上,选择"最后一次正确的配置",然后按回车键. 检查是否正确安装了所有的新硬件或软件.如果这是一次全新安装,请与硬件或软件的制造商联系,获得可能需要的任何Windows更新或驱动程序. 运行由计算机制造商提供的所有的系统诊断软件,尤其是内存检查. 禁用或卸掉新近安装的硬件(RAM,适配器,硬盘,调制解调器等等),驱动程序或软件. 确保硬件设备驱动程序和系统BIOS都是最新的版本. 确保制造商可帮助你是否具有最新版本,也可帮助你获得这些硬件. 禁用 BIOS内存选项,例如cache或shadow. 2.停止错误编号:0x0000001E 说明文字:KMODE-EXPTION-NOT-HANDLED 通常的原因:内核模式进程试图执行一个非法或未知的处理器指令. 解决方法:确保有足够的空间,尤其是在执行一次新安装的时候. 如果停止错误消息指出了某个特定的驱动程序,那么禁用他.如果无法启动计算机.应试着用安全模式启动,以便删除或禁用该驱动程序. 如果有非 Microsoft支持的视频驱动程序,尽量切换到标准的VGA驱动程序或Windows提供的适当驱动程序. 禁用所有新近安装的驱动程序. 确保有最新版本的系统BIOS.硬件制造商可帮助确定你是否具有最新版本,也可以帮助你获得他. BIOS内存选项,例如cache,shadow. 3.停止错误编号:0xx 说明文字:FAT-FILE-SYSTEM或MTFS-FILE-SYSTEM 通常原因:问题出现在Ntfs.sys(允许系统读写NTFS驱动器的驱动程序文件)内. 解决方法:运行由计算机制造商提供的系统诊断软件,尤其是硬件诊断软件. 禁用或卸载所有的反病毒软件,磁盘碎片整理程序或备份程序. 通过在命令提示符下运行Chkdsk /f命令检查硬盘驱动器是否损坏,然后重新启动计算机. 4.停止编号:0x0000002E 说明文字ATA-BUS-ERROR 通常的原因:系统内存奇偶校验出错,通常由硬件问题导致. 解决方法:卸掉所有新近安装的硬件(RAM.适配器.硬盘.调制解调器等等). 运行由计算机制造商提供的系统诊断软件,尤其是硬件诊断软件. 确保硬件设备驱动程序和系统BIOS都是最新版本. 使用硬件供应商提供的系统诊断,运行内存检查来查找故障或不匹配的内存. 禁用BIOS内存选项,例如cache或shadow. 在启动后出现可用作系统列表时,按F8.在Windows高级选项菜单屏幕上,选择"启动VGA模式:.然后按回车键.如果这样做还不能解决问题,可能需要更换不同的视频适配器列表,有关支持的视频适配器列表,请参阅硬件兼容性列表. 5.停止编号:0x0000003F 说明文字:NO-MOR-SYSTEM-PTES 通常的原因:没有正确清理驱动程序. 解决方法:禁用或卸载所有的反病毒软件,磁盘碎片处理程序或备份程序. 6:停止错误编号:0x 说明文字:FTDISK-INTERN-ERROR 通常的原因:容错集内的某个主驱动器发生故障. 解决方法:使用Windows安装盘启动计算机,从镜象(第2)系统驱动器引导.有关如何编辑Boot.ini文件以指向镜象系统驱动器的指导,可在MIcrosoft支持服务Web站点搜索"Edit ARC path". 7.停止错误编号:0x0000007B 说明文字:INACCESSI-BLE-BOOT-DEVICE 通常原因:初始化I/O系统(通常是指引导设备或文件系统)失败. 解决方法:引导扇区病毒通常会导致这种停止错误.是用反病毒软件的最新版本,检查计算机上是否有存在病毒.如果找到病毒,则必须执行必要的不找把他从计算机上清除掉,请参阅反病毒软件文档了解如何执行这些步骤. 卸下所有新近安装的硬件(RAM,适配器,调制解调器等等). 核对MIcrosoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容. 如果使用的适SCSI适配器,可以从硬件供应商除获得最新WINDOWS驱动程序,禁用SCSI设备的同步协商,检查该SCSI链是否终结,并核对这些设备的SCSI ID,如果无法确定如何执行能够这些步骤,可参考硬件设备的文档. 如果你用的是IDE设备,将板上的IDE端口定义为唯一的主端口.核对IDE设备的主/从/唯一设置.卸掉除硬盘之外的所有IDE设备.如果无法确认如何执行这些不找,可参考硬件文档. 如果计算机已使用NTFS文件系统格式化,可重新启动计算机,然后在该系统分区上运行Chkdsk /f/r命令.如果由于错误而无法启动系统,那么使用命令控制台,并运行Chkdsk /r命令. 运行Chkdsk /f命令以确定文件系统是否损坏.如果Windows不能运行Chkdsk命令,将驱动器移动到其他运行Windows的计算机上,然后从这台计算机上对该驱动器运行Chkdsk命令. 8.停止错误编号:0x0000007F 说明文字:UNEXPECTED-KERNEL-MODE-TRAP 通常的原因:通常是由于硬件或软件问题导致,但一般都由硬件故障引起的. 解决方法:核对Microsoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容.如果计算机主板不兼容就会产生这个问题. 卸掉所由新近安装的硬件. 运行由计算机制造商提供的所有系统诊断软件,尤其是内存检查. 禁用BIOS内存选项,例如cache或shadow. 9.停止错误编号:0x 说明文字AGE-FAULT-IN-NONPAGED-AREA 通常的原因:内存错误(数据不能使用分页文件交换到磁盘中). 解决方法:卸掉所有的新近安装的硬件. 运行由计算机制造商提供的所有系统诊断软件.尤其是内存检查. 检查是否正确安装了所有新硬件或软件,如果这是一次全新安装,请与硬件或软件制造商联系,获得可能需要的任何Windows更新或驱动程序. 禁用或卸载所有的反病毒程序. 禁用BIOS内存选项,例如cache或shadow. 10.停止错误编号:0x 说明文字:KERNEL-STEL-STACK-INPAGE-ERROR 通常的原因:无法从分页文件将内核数据所需的页面读取到内存中。 解决方法:使用反病毒软件的最新版本,检查计算机上是否有病毒。如果找到病毒,则执行必要的步骤把他从计算机上清除掉。请参阅制造商提供的所有系统诊断软件,尤其是内存检查。禁用BIOS内存选项,例如cache,shadow. 11.停止错误编号:0x 说明文字:MISMATCHED-HAL 通常的原因:硬件抽象层与内核或机器类型不匹配(通常发生在单处理器和多处理器配置文件混合在同一系统的情况下)。 解决方法:要解决本错误,可使用命令控制台替换计算机上错误的系统文件。单处理器系统的内核文件是Ntoskml.exe,而多处理器系统的内核文件是Ntkrnlmp.exe,但是,这些文件要与安装媒体上的文件相对应;在安装完Windows2000和,不论使用的是哪个原文件,都会被重命名为Ntoskrnl.exe文件。HAL文件在安装之后也使用名称Hal.dll但是在安装媒体,但是在安装媒体上却有若干个可能的HAL文件。 12.停止错误编号:0x0000007A 说明文字:KERNEL-DATA-INPAGE-ERROR 通常的原因:无法从分页文件将内核数据所需的页面读取到内存中。(通常是由于分页文件上的故障,病毒,磁盘控制器错误或由故障的RAM引起的)。 解决方法:使用反病毒软件的最新版本,检查计算机上是否存在病毒。如果找到病毒。则执行必要的步骤把他从计算机上清除掉,请参阅犯病度软件文档了解如何执行这些步骤。 如果计算机已使用NTFS文件系统格式化。可重新启动计算机,然后在该系统分区上运行Chkdsk /f/r命令。如果由于错误而无法启动命令,那么使用命令控制台,并运行Chkdsk /r命令。 运行由计算机制造商提供的所有的系统在低端软件,尤其是内存检查。 13.停止错误编号:0xC000021A 说明文字:STATUS-SYSTEM-PROCESS-TERMINATED 通常的原因:用户模式子系统,例如Winlogon或客户服务器运行时子系统(CSRSS)已被损坏,所以无法再保证安全性。 解决方法:卸掉所有新近安装的硬件。如果无法登陆,则重新启动计算机。当出现可用的作系统列表时按F8。在Windows2000高级选项菜单屏幕上,选择:“最后一次正确的配置”。然后按回车。运行故障恢复台,并允许系统修复任何检测到的错误。 14.停止错误编号:0xC0000221 说明文字:STATUS-IMAGE-CHECKISU7M-MISMATCH 通常的原因:驱动程序或系统DLL已经被损坏。 解决方法:运行故障复控台,并且允许系统修复任何检测到的错误。 如果在RAM添加到计算机之后,立即发生错误,那么可能是分页文件损坏,或者新RAM由故障或不兼容。删除Pagefile.sys并将系统返回到原来的RAM配置。运行由计算机制造商提供的所有的系统诊断软件,尤其是内存检查。四十七、几种常用故障处理遭遇停电 现象:显示器,主机,音箱等会在一瞬间“强行关闭”。 现象分析:这是突然“停电”造成的。由停电的瞬间产生的电压波动会冲击电脑硬件的芯片,电路,电阻等。而一旦停电时您正在进行磁盘读写操作,则有可能产生坏道,或当你在编写文稿时,则数据资料就会丢失…… 应当之策:配电脑时选配个品牌电源,这样能最大限度的从电源上减小电压波动对硬件造成的不良影响。停电后,关闭所有电源,以防下次来电时显示器和部份ATX电源同时启动,这样会造成对硬件的不良损害。当您用WORD编辑文稿时,用上WORD的自动保存功能。如果停电的瞬间恰好您在对磁盘进行操作,建议您下次开机不要在启动时跳过磁盘检测,检测有无产生坏道。一旦发现坏道,则用NORTON,PQMAGIC等工具软件来修复或屏蔽坏道。另外,如果您经济上许可,建议选配一个UPS,为电脑提供一段时间的断电保护。 自动关机 现象:电脑在正常运行过程中,突然自动关闭系统或重启系统。 现象分析:现今的主板对CPU有温度监控功能,一旦CPU温度过高,超过了主板BIOS中所设定的温度,主板就会自动切断电源,以保护相关硬件。另一方面,系统中的电源管理和病毒软件也会导致这种现象发生。 应当之策:上述突然关机现象如果一直发生,先确认CPU的散热是否正常。开机箱目测风扇叶片是否工作正常,再进入BIOS选项看风扇的转速和CPU的工作温度。发现是风扇的问题,就对风扇进行相关的除尘维护或更换质量更好的风扇。如果排除硬件的原因,进入系统,从“吻到死”的安装光盘中覆盖安装电源管理,再彻底查杀病毒。当这些因素都排除时,故障的起因就可能是电源老化或损坏,这可以通过替换电源法来确认,电源坏掉就换个新的,切不可继续使用,会烧毁硬件的。系统当机 现象:桌面被锁定,鼠标不能动,严重时连热启动(ALT+CTRL+DEL)都不行。还有就是蓝屏现象。 现象分析:“吻到死”系统自身的BUG以及各软件间的兼容性问题是该故障的原因,也可能是用户同一时间运行了过多的大程序,从而导致进程阻塞,引发当机。 应对之策:当机分2种,真当和假当,二者区分的最简单方法是按下小键盘区的Numlock键,观察其指示灯有无变化。有,则假当;反之,真当。假当可以同时按下ALT+CTRL+DEL在出现的任务列表里选定程序名后标注没有响应的项,单击结束任务。真当,只有冷启动了。对于蓝屏,在按下ESC键无效后,选择重启,按机箱面板上的复位键。对于兼容性问题,可以从卸载“问题”软件和更新主板BIOS和相关主板驱动程序上来解决。病毒发作 现象:系统运行缓慢,当机,非法操作,硬盘灯乱闪,经常蓝屏,以及莫名奇妙的系统提示…… 现象分析:病毒实质上是一种恶意的电脑程序代码,病毒通过大量的自身复制,同时在系统中隐秘运行,占有系统资源,严重的还会对软件和硬件造成破坏,如CIH,硬盘锁等。应对之策:道高一尺,魔低一丈,病毒的克星是杀毒软件。一旦怀疑自己的机器染上病毒,请重新启动系统到DOS,运行正版的杀毒软件(DOS版)这样可以杀掉在“吻到死”下杀不了的病毒;而后再启动到系统桌面,运行杀毒软件的WINDOWS版本进行再杀毒。另一方面,由于病毒发作严重时会破坏一些文件;我们就在病毒发作之前把重要的文件备份到C盘之外其它驱动器,且把数据文件的属性设定为只读。同时,大家要时刻更新杀毒软件病毒库,少用盗版碟,已上网的朋友们对不明的邮件附件千万不要下载。系统故障 现象:进不了系统,典型表现为开机自检通过,在启动画面处停止,或显示:The disk is error等有E文提示的诸多现象。 现象分析:此为系统故障,可由很多原因引起,比较常见的就是系统文件被修改,破坏,或是加载了不正常的命令行。此外,硬盘的故障也是原因之一。 应对之策:首先要尝试能否进入安全模式,开机按F8键,选择启动菜单里的第三项:Safe model(安全模式)。进入安全模式后,可以通过设备管理器和系统文件检查器来找寻故障,遇到有“!”号的可以查明正身再确定是否del或设置中断。也可以重装驱动程序,系统文件受损可以从安装文件恢复(建议事先就把WINDOWS的安装盘复制在硬盘里)。如果连安全模式都不能进入,就通过带启动的光盘或是软盘启动到DOS,在DOS下先杀毒并且用Dir检查C盘内的系统文件是否完整,必要时可通过系统软盘进行Sys C:,恢复相关的基本系统文件。如果C盘内没有发现文件,则只有对系统进行彻底重装。驱动丢失 现象:开机时16色显示,放音频文件时显示“XXX”设备正被占用。 现象分析:排除病毒的原因后,这种现象多发生在用过N个月的老机子上,或用户新近动过主机内的部件,(如显卡和PCI卡),则可能造成该硬件的接触不良,导致系统实质上并没有彻底检测到相关硬件。 应对之策:重新安装显卡的驱动程序,并检查相关配件与主板是否完全接触:一是要保证显卡,声卡金手指上的清洁,二是将其插入相关插槽时用力适当,对准垂直插入即可,再接上与之搭配的音箱和显示器连线。必要时,可以更换PCI卡的插槽位置,避免和显卡产生资源冲突。开机黑屏 现象:开机黑屏,没有显示,可能会有报警声。 现象分析:硬件之间接触不良,或硬件发生故障,相关的硬件涉及到内存,显卡,CPU,主板,电源等。电脑的开机要先通过电源供电,再由主板的BIOS引导自检,而后通过CPU,内存,显卡等。这个过程反映在屏幕上叫自检,先通过显卡BIOS的信息,再是主板信息,接着内存,硬盘,光驱等。如果这中间哪一步出了问题,电脑就不能正常启动,甚至黑屏。 应对之策:首先确认外部连线和内部连线是否连接顺畅。外部连线有显示器,主机电源等。内部有主机电源和主机电源接口的连线(此处有时接触不良)。比较常见的原因是:显卡,内存由于使用时间过长,与空气中的粉尘长期接触,造成金手指上的氧化层,从而导致接触不良。对此,用棉花粘上适度的酒精来回擦拭金手指,待干后插回。除此外,观察CPU是否工作正常,开机半分钟左右,用手触摸CPU风扇的散热片是否有温度。有温度,则CPU坏掉的可能性就可基本排除。没温度就整理一下CPU的插座,确保接触到位。这之后还没温度,阁下的CPU就可以升级了:(除了上面的方法外,还有一招必杀技:用拔跳线的方法清除BIOS设置或更换主板的CMOS电池。当这些方法都尝试过并全部失败的话,就可以召唤大虾哥出山相助了。
阅读权限100
在线时间 小时
怪响异味 现象:听到怪响或者闻到异味。 现象分析:怪响,可能是由于硬盘的坏道造成硬盘发出的(格格的刺耳声);也有可能是硬盘,光驱螺丝没有上牢,造成机箱的共振。异味,多为焦糊味,很刺鼻子的那种。 应对之策:首先关闭电源。若是怪响,则打开机箱面板,一一检查,若是坏道,则修复或屏蔽。对于异味,要千万小心。这时用你的鼻子闻闻,找到发出异味的部件,然后卸下交由电脑公司处理,在这中间,大家一定要捍卫自己的消费者权益。(没过质保期的——该换的换,该修的修。)这个千万大意不得!因为,笔者的昂达光驱就是闻到焦糊味后断电不及(慢了N秒)给活活烧坏驱动芯片的,而后,再拿钱找JS大叔也没办法。(所以大家如果闻到异味,马上断掉电源,然后再下开机箱寻找原因,但是显示器千万别开,只能交由专业人员维修,那可是有高压电的,千万别拿自己的生命开玩笑。四十九、Windows2000安全检查清单具体清单如下: 初级安全篇 1.物理安全 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。 2.停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。 3.限制不必要的用户数量 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。 4.创建2个管理员用帐号 虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。 5.把系统administrator帐号改名 大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。 6.创建一个陷阱帐号 什么是陷阱帐号? Look!&创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 s cripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login s cripts上面做点手脚。嘿嘿,够损! 7.把共享文件的权限从”everyone”组改成“授权用户” “everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。 8.使用安全密码 一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。 9.设置屏幕保护密码 很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。 10. 使用NTFS格式分区 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。 11.运行防毒软件 我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库 12.保障备份盘的安全 一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。 中级安全篇: 1.利用win2000的安全配置工具来配置策略 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
2.关闭不必要的服务 windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务: Computer Browser service TCP/IP NetBIOS Helper Microsoft DNS server Spooler NTLM SSP Server RPC Locator WINS RPC service Workstation Netlogon Event log 3.关闭不必要的端口 关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为: 网上邻居&属性&本地连接&属性&internet 协议(tcp/ip)&属性&高级&选项&tcp/ip筛选&属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。 4.打开审核策略 开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加: 策略 设置 审核系统登陆事件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败 5.开启密码密码策略 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 6.开启帐户策略 策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 7.设定安全记录的访问权限 安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。 8.把敏感文件存放在另外的文件服务器中 虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。 9.不让系统显示上次登陆的用户名 默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的键值改成 1 . 10.禁止建立空连接 默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。 10.到微软网站下载最新的补丁程序 很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。 高级篇 1. 关闭 DirectDraw 这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。 2.关闭默认共享 win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具&计算机管理&共享文件夹&共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。 默认共享目录 路径和功能 C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator 和Backup Operators组成员才可连接,Win2000 Server版本 Server Operatros组也可以连接到这些共享目录 ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都 指向Win2000的安装路径,比如 c:\winnt FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。 IPC$ 空连接。IPC$共享提供了登录到系统的能力。 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处 理登陆域请求时用到 PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机 3.禁止dump file的产生 dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板&系统属性&高级&启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。 4.使用文件加密系统EFS Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
5.加密temp文件夹 一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。 6.锁住注册表 在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考:
7.关机时清除掉页面文件 页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 把ClearPageFileAtShutdown的值设置成1。 8.禁止从软盘和CD Rom启动系统 一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。 9.考虑使用智能卡来代替密码 对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。 10.考虑使用IPSec 正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。有关IPSes的详细信息可以参考:
五十、搞定非法操作
作为“菜鸟”,相信大多数朋友在操作Windows时都遇到过和我一样的情况:正在优哉游哉地听着歌曲爬格子,忽然机器罢工了,马上弹出个窗口,“XX程序执行了非法操作,即将关闭”,然后只得眼睁睁地看着刚刚点灯熬油写出来的文章消失在蓝天白云的背景之中,懊恼不已。其实,“非法操作”这种情况并不可怕,只要稍加处理是完全可以避免的。
造成“非法操作”的原因主要是动态链接库(.dll文件)出现了问题,通常由于安装程序时改变了程序的初始目录,或是删除程序时误删了.dll文件,也可能是病毒修改了.dll文件等原因造成的。我们可以通过查看C盘Windows目录下System文件夹中的.dll文件的日期,找出最近更新的.dll文件;也可以将可能引起问题的.dll文件找出,然后设法恢复即可。
找出症结,我们就可以用“附件”中的“系统工具”,从指定文件夹中提取未被更新过的.dll文件,恢复它就行了。具体步骤是:
打开“附件/系统工具”中的“系统信息”,点击“工具”菜单中“系统文件检查器”命令,选择“从安装软盘提取一个文件”,输入要提取的文件名称,点击“开始”,在弹出的对话框“还原自”一项中指定要提取的文件所在的文件夹,通常在d:\win98目录下,也可以通过安装光盘从.cab文件中提取(当然要先“查找”该.dll文件在那个.cab文件夹中);在“保存到”一项中选定要恢复的文件所在的文件夹,点“确定”提取该文件,重新启动系统即可。
要想减少“非法操作”情况的出现,可以这样做:少安装测试版软件;不安装多个防火墙;删除程序时,不要用“Del”键,而尽量使用软件自带的卸载程序,若没有,则要用“控制面板”中“添加/删除程序”来删除
阅读权限100
在线时间 小时
五十二、软件残骸地大曝光 ??被你一次次删除的软件,并没有完全从你的系统中消失,它们还留了一些“尾巴”在你注册表里面。上期《电脑报》给大家介绍了用第三方软件来自动删除这些残骸,这次笔者就把这些残骸的藏身之地给大家曝曝光。??第一处:??“HKEY_USERS\.DEFAULT??Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\&Programs”把它打开一看,咦?怎么以前删除的软件名称都在这?原来这是程序菜单下软件的排序。??程序目录下是没有了,而排序仍然保留了下来。??第二处:??“HKEY_LOCAL_MACHINE??Software\Microsoft\Windows\Current??Version\Uninstall”这里是软件的卸载信息,一些软件有时会在“添加/删除”程序里留下垃圾,而又在此静坏簦?缓迷谡馍玖耍?br /& 五十三、内存故障详解 一、开机无显示 由于内存条原因出现此类故障一般是因为内存条与主板内存插槽接触不良造成,只要用橡皮擦来回擦试其金手指部位即可解决问题(不要用酒精等清洗),还有就是内存损坏或主板内存槽有问题也会造成此类故障。 由于内存条原因造成开机无显示故障,主机扬声器一般都会长时间蜂鸣(针对Award Bios而言)二、windows系统运行不稳定,经常产生非法错误 出现此类故障一般是由于内存芯片质量不良或软件原因引起,如若确定是内存条原因只有更换一途。三、windows注册表经常无故损坏,提示要求用户恢复 此类故障一般都是因为内存条质量不佳引起,很难予以修复,唯有更换一途。四、windows经常自动进入安全模式 此类故障一般是由于主板与内存条不兼容或内存条质量不佳引起,常见于PC133内存用于某些不支持PC133内存条的主板上,可以尝试在CMOS设置内降低内存读取速度看能否解决问题,如若不行,那就只有更换内存条了。五、随机性死机 此类故障一般是由于采用了几种不同芯片的内存条,由于各内存条速度不同产生一个时间差从而导致死机,对此可以在CMOS设置内降低内存速度予以解决,否则,唯有使用同型号内存。还有一种可能就是内存条与主板不兼容,此类现象一般少见,另外也有可能是内存条与主板接触不良引起电脑随机性死机,此类现象倒是比较常见。六、内存加大后系统资源反而降低 此类现象一般是由于主板与内存不兼容引起,常见于PC133内存条用于某些不支持PC133内存条的主板上,即使系统重装也不能解决问题。七、windows启动时,在载入高端内存文件himem.sys时系统提示某些地址有问题 此问题一般是由于内存条的某些芯片损坏造成,解决方法可参见下面内存维修一法。八、运行某些软件时经常出现内存不足的提示 此现象一般是由于系统盘剩余空间不足造成,可以删除一些无用文件,多留一些空间即可,一般保持在300M左右为宜。九、从硬盘引导安装windows进行到检测磁盘空间时,系统提示内存不足 此类故障一般是由于用户在config.sys文件中加入了emm386.exe文件,只要将其屏蔽掉即可解决问题。 其实,从硬盘以DOS方式引导安装windows的方法比较复杂而且速度慢,其一,必须要在硬盘上安装DOS文件,且还要配置config.sys和autoexec.bat文件,若文件配置不当,还会引发一系例不可预见的故障,对于初学者很不实用。其二,windows装入成功后,由于每次启动系统都会调入config.sys与autoexec.bat文件来驱动光驱,使得系统启动时间延长,如若屏蔽掉config.sys与autoexec.bat后,在windows下有时光驱又不能正常工作。十、安装windows进行到系统配置时产生一个非法错误 此类故障一般是由于内存条损坏造成,可以按内存维修一法来解决,如若不行,那就只有更换内存条了。十一、启动windows时系统多次自动重新启动 此类故障一般是由于内存条或电源质量有问题造成,当然,系统重新启动还有可能是CPU散热不良或其他人为故障造成,对此,唯有用排除法一步一步排除。十二、内存维修一法 出现上面几种故障后,倘若内存损坏或芯片质量不行,如条件不允许可以用烙铁将内存一边的各芯片卸下,看能否解决问题,如若不行再换卸另一边的芯片,直到成功为止(如此焊工只怕要维修手机的人方可达到)。当然,有条件用示波器检测那就事半功倍了),采用此法后,因为已将内存的一边芯片卸下,所以内存只有一半可用,例如,64M还有32M可用,为此,对于小容量内存就没有维修的必要了。 五十四、拯救硬盘十大方法
为了有效地保存硬盘中的数据,除了经常性地进行备份工作以外,还要学会在硬盘出现故障时如何救活硬盘,或者从坏的区域中提取出有用的数据,把损失降到最小程度。 一、系统不认硬盘 系统从硬盘无法启动,从A盘启动也无法进入C盘,使用CMOS中的自动监测功能也无法发现硬盘的存在。这种故障大都出现在连接电缆或IDE端口上,硬盘本身故障的可能性不大,可通过重新插接硬盘电缆或者改换IDE口及电缆等进行替换试验,就会很快发现故障的所在。如果新接上的硬盘也不被接受,一个常见的原因就是硬盘上的主从跳线,如果一条IDE硬盘线上接两个硬盘设备,就要分清楚主从关系。 二、CMOS引起的故障 CMOS中的硬盘类型正确与否直接影响硬盘的正常使用。现在的机器都支持“IDE Auto Detect”的功能,可自动检测硬盘的类型。当硬盘类型错误时,有时干脆无法启动系统,有时能够启动,但会发生读写错误。比如CMOS中的硬盘类型小于实际的硬盘容量,则硬盘后面的扇区将无法读写,如果是多分区状态则个别分区将丢失。还有一个重要的故障原因,由于目前的IDE都支持逻辑参数类型,硬盘可采用“Normal,LBA,Large”等,如果在一般的模式下安装了数据,而又在CMOS中改为其它的模式,则会发生硬盘的读写错误故障,因为其映射关系已经改变,将无法读取原来的正确硬盘位置。 三、主引导程序引起的启动故障 主引导程序位于硬盘的主引导扇区,主要用于检测硬盘分区的正确性,并确定活动分区,负责把引导权移交给活动分区的DOS或其他操作系统。此段程序损坏将无法从硬盘引导,但从软驱或光驱启动之后可对硬盘进行读写。修复此故障的方法较为简单,使用高版本DOS的FDISK最为方便,当带参数/mbr运行时,将直接更换(重写)硬盘的主引导程序。实际上硬盘的主引导扇区正是此程序建立的,FDISK.EXE之中包含有完整的硬盘主引导程序。虽然DOS版本不断更新,但硬盘的主引导程序一直没有变化,从DOS 3.x到Windos 95的DOS,只要找到一种DOS引导盘启动系统并运行此程序即可修复。 四、分区表错误引发的启动故障 分区表错误是硬盘的严重错误,不同的错误程度会造成不同的损失。如果是没有活动分区标志,则计算机无法启动。但从软驱或光驱引导系统后可对硬盘读写,可通过FDISK重置活动分区进行修复。 如果是某一分区类型错误,可造成某一分区的丢失。分区表的第四个字节为分区类型值,正常的可引导的大于32MB的基本DOS分区值为06,而扩展的DOS分区值是05。很多人利用此类型值实现单个分区的加密技术,恢复原来的正确类型值即可使该分区恢复正常。 分区表中还有其它数据用于记录分区的起始或终止地址。这些数据的损坏将造成该分区的混乱或丢失,可用的方法是用备份的分区表数据重新写回,或者从其它的相同类型的并且分区状况相同的硬盘上获取分区表数据。 恢复的工具可采用NU等工具软件,操作非常方便。当然也可采用DEBUG进行操作,但操作繁琐并且具有一定的风险。 五、分区有效标志错误的故障 在硬盘主引导扇区中还存在一个重要的部分,那就是其最后的两个字节:“55aa”,此字节为扇区的有效标志。当从硬盘、软盘或光盘启动时,将检测这两个字节,如果存在则认为有硬盘存在,否则将不承认硬盘。此处可用于整个硬盘的加密技术,可采用DEBUG方法进行恢复处理。另外,当DOS引导扇区无引导标志时,系统启动将显示为:“Mmissing Operating System”。方便的方法是使用下面的DOS系统通用的修复方法。 六、DOS引导系统引起的启动故障 DOS引导系统主要由DOS引导扇区和DOS系统文件组成。系统文件主要包括IO.SYS、MSDOS.SYS、COMMAND.COM,其中COMMAND.COM是DOS的外壳文件,可用其它的同类文件替换,但缺省状态下是DOS启动的必备文件。在Windows 95携带的DOS系统中,MSDOS.SYS是一个文本文件,是启动Windows必须的文件,但只启动DOS时可不用此文件。DOS引导出错时,可从软盘或光盘引导系统后使用SYS C:命令传送系统,即可修复故障,包括引导扇区及系统文件都可自动修复到正常状态。 七、FAT表引起的读写故障 FAT表记录着硬盘数据的存储地址,每一个文件都有一组FAT链指定其存放的簇地址。FAT表的损坏意味着文件内容的丢失。庆幸的是DOS系统本身提供了两个FAT表,如果目前使用的FAT表损坏,可用第二个进行覆盖修复。但由于不同规格的磁盘其FAT表的长度及第二个FAT表的地址也是不固定的,所以修复时必须正确查找其正确位置,一些工具软件如NU等本身具有这样的修复功能,使用也非常的方便。采用DEBUG也可实现这种操作,即采用其m命令把第二个FAT表移到第一个表处即可。如果第二个FAT表也损坏了,则也无法把硬盘恢复到原来的状态,但文件的数据仍然存放在硬盘的数据区中,可采用CHKDSK或SCANDISK命令进行修复,最终得到*.CHK文件,这便是丢失FAT链的扇区数据。如果是文本文件则可从中提取出完整的或部分的文件内容。 八、目录表损坏引起的引导故障 目录表记录着硬盘中文件的文件名等数据,其中最重要的一项是该文件的起始簇号。目录表由于没有自动备份功能,所以如果目录损坏将丢失大量的文件。一种减少损失的方法也是采用CHKDSK或SCANDISK程序恢复的方法,从硬盘中搜索出*.CHK文件,由于目录表损坏时仅是首簇号丢失,每一个*.CHK文件即是一个完整的文件,把其改为原来的名字即可恢复大多数文件。 九、误删除分区时数据的恢复 当用FDISK删除了硬盘分区之后,表面上是硬盘中的数据已经完全消失,在未格式化时进入硬盘会显示为无效驱动器。如果了解FDISK的工作原理,就会知道FDISK只是重新改写了硬盘的主引导扇区(0面0道1扇区)中的内容,具体说就是删除了硬盘分区表信息,而硬盘中的任何分区的数据均没有改变。可仿照上述的分区表错误的修复方法,即想办法恢复分区表数据即可恢复原来的分区及数据。如果已经对分区格式化,在先恢复分区后,可按下面的方法恢复分区数据。 十、误格式化硬盘数据的恢复 在DOS高版本状态下,formAT格式化操作在缺省状态下都建立了用于恢复格式化的磁盘信息,实际上是把磁盘的DOS引导扇区、FAT分区表及目录表的所有内容复制到了磁盘的最后几个扇区中(因为后面的扇区很少使用),而数据区中的内容根本没有改变。这样通过运行UNformAT命令即可恢复。另外DOS还提供了一个MIROR命令用于记录当前磁盘的信息,供格式化或删除之后的恢复使用,此方法也比较有效。五十五、光电鼠标常见故障全解决
光电鼠标使用光电传感器替代机械鼠标中的机械元件,因而维修方法具有独特性。光电鼠标故障的90%以上为断线、按键接触不良、光学系统脏污造成,少数劣质产品也常有虚焊和元件损坏的情况出现。 ??1.电缆芯片断线??电缆芯线断路主要表现为光标不动或时好时坏,用手推动连线,光标抖动。一般断线故障多发生在插头或电缆线引出端等频繁弯折处,此时护套完好无损,从外表上一般看不出来,而且由于断开处时接时断,用万用表也不好测量。处理方法是:拆开鼠标,将电缆排线插头从电路板上拔下,并按芯线的颜色与插针的对应关系做好标记后,然后把芯线按断线的位置剪去5cm~6cm左右,如果手头有孔形插针和压线器,就可以照原样压线,否则只能采用焊接的方法,将芯线焊在孔形插针的尾部。 ??为了保证以后电缆线不再因疲劳而断线,可取废圆珠笔弹簧一个,待剪去芯线时将弹簧套在线外,然后焊好接点。用鼠标上下盖将弹簧靠线头的一端压在上下盖边缘,让大部分弹簧在鼠标外面起缓冲作用,这样可延长电缆线的使用寿命。??2.按键故障??1)按键磨损。这是由于微动开关上的条形按钮与塑料上盖的条形按钮接触部位长时间频繁摩擦所致,测量微动开关能正常通断,说明微动开关本身没有问题。处理方法可在上盖与条形按钮接触处刷一层快干胶解决,也可贴一张不干胶纸做应急处理。??2)按键失灵:按键失灵多为微动开关中的簧片断裂或内部接触不良,这种情况须另换一只按键;对于规格比较特殊的按键开关如一时无法找到代用品,则可以考虑将不常使用的中键与左键交换,具体操作是:用电烙铁焊下鼠标左、中键,做好记号,把拆下的中键焊回左键位置,按键开关须贴紧电路板焊接,否则该按键会高于其他按键而导致手感不适,严重时会导致其他按键而失灵。另外,鼠标电路板上元件焊接不良也可能导致按键失灵,最常见的情况是电路板上的焊点长时间受力而导致断裂或脱焊。这种情况须用电烙铁补焊或将断裂的电路引脚重新连好。??3.灵敏度变差??灵敏度变差是光电鼠标的常见故障,具体表现为移动鼠标时,光标反应迟钝,不听指挥。故障原因及解决方法是:??1)发光管或光敏元件老化:光电鼠标的核心IC内部集成有一个恒流电路,将发光管的工作电流恒定在约50mA,高档鼠标一般采用间歇采样技术,送出的电流是间歇导通的(采样频率约5KHz),可以在同样功耗的前提下提高检测时发光管的功率,故检测灵敏度高。有些厂家为了提高光电鼠标的灵敏度,人为加大了发光二极管的工作电流,增大发射功能。这样会导致发光二极管较早老化。在接收端,如果采用了质量不高的光敏三极管,工作时间长了,也会自然老化,导致灵敏度变差。此时,只有更换型号相同的发光管或光敏管。??2)光电接收系统偏移,焦距没有对准。光电鼠标是利用内部两对互相垂直的光电检测器,配合光电板进行工作的。从发光二极管上发出的光线,照射在光电板上,反射后的光线经聚焦后经反光镜再次反射,调整其传输路径,被光敏管接收,形成脉冲信号,脉冲信号的数量及相位决定了鼠标移动的速度及方向。光电鼠标的发射及透镜系统组件是组合在一体的,固定在鼠标的外壳上,而光敏三极管是固定在电路板上的,二者的位置必须相当精确,厂家是在校准了位置后,用热熔胶把发光管固定在透镜组件上的,如果在使用过程中,鼠标被摔碰过或震动过大,就有可能使热熔胶脱落、发光二极管移位。如果发光二极管偏离了校准位置,从光电板反射来的光线就可能到达不了光敏管。此时,要耐心调节发光管的位置,使之恢复原位,直到向水平与垂直方向移动时,指针最灵敏为止,再用少量的502胶水固定发光管的位置,合上盖板即可。??3)外界光线影响。为了防止外界光线的影响,透镜组件的裸露部分是用不透光的黑纸遮住的,使光线在暗箱中传递,如果黑纸脱落,导致外界光线照射到光敏管上,就会使光敏管饱和,数据处理电路得不到正确的信号,导致灵敏度降低。??4)透镜通路有污染,使光线不能顺利到达。原因是工作环境较差,有污染,时间长了,污物附着在发光管、光敏管、透镜及反光镜表面,遮挡光线接收路径使光路不通。处理方法是用棉球沾无水乙醇擦洗,擦洗的部件包括发光管、透镜及反光镜、光敏管表面,要注意无水乙醇一定要纯,否则会越清洗越脏,也可以在用无水乙醇清洗后
