tqtvfhpgu

四十一、“内存不足”的解决方法

　　大家在应用电脑时一定都遇到过机器提示内存不足的现象吧，那么什么是内存不足，又该如何处理呢，下面我们就来讲一讲有关这方面的内容。
　　所谓"内存不足"就是指在启动或运行DOS应用程序和Windows应用程序时，系统报"Out of memory"或"内存不足"的错误信息。"内存不足"是一种很常见的故障，运行DOS应用程序和Windows应用程序引起"内存不足"的原因不完全相同。

　　一、DOS下的内存不足
　　如果是在运行DOS应用程序时出现" Out of memory"（内存不足）的故障，可按以下方法进行检查和处理：
　　1、检查系统是否提供对扩充内存的支持，必须保证CONFIG.SYS文件中的EMM386.EXE命令中含有RAM参数，关于RAM参数的设置请参考相关文章，这里就不述叙；

　　2、 如果故障仍存在，检查DOS内核程序与其它运行的应用程序是否兼容，某些程序是否占用了大量的常规内存，并作出相应的处理。

　　举个例子：一次我在运行WPS 时，屏幕显示"内存不够"，系统无法运行。考虑到在运行WPS之前曾执行过一些其它程序，可能是这些程序没有完全从内存中退出，于是重新启动，运行金山汉字系统，WPS 编辑软件仍无法进入，用DOS 6.22的Mem命令查看内存，仅剩200KB左右的空间，且CHLIB文件占用主内存达255KB，即字库放在了常规内存中，而金山系统是应该可以自动使用扩展内存存放字库的，查看系统配置情况，在CONFIG.SYS中设有：

　　DEVICE=C：\DOS\HIMEM.SYS
　　DOS=HIGH

　　这就是说，DOS内核程序调入扩展内存后，虽然扩大了可用主内存空间，但是由于扩展内存与金山系统发生冲突，以致汉字库无法载入扩展内存。解决的办法有两种：

　　1、去掉DOS=HIGH设置，将DOS内核程序从扩展内存撤出，即可正常运行。

　　2、将"/DEVICE=C：\DOS\HIMEM.SYS"改为"/DEVICE=C：\DOS\HIMEM.SYS/INT15=320"，因金山系统使用的是扩展内存的低端，这一区域若有其它程序驻留，字库就不能正常载入，利用INT15参数给系统先预留出一部分传统的扩展存储器(即不由XMS规范管理而由INT15直接使用的扩展存储器)，字库和DOS内核都可使用扩展内存了，这样设置之后，在金山汉字系统状态下可用的主内存空间可达512KB，比不设置时多出250KB左右。

　　二、Windows中的内存不足
　　如果在运行Windows应用程序时，出现"内存不足"的故障，可按下列方法进行检查和处理：

　　1、首先应检查Windows的资源使用情况，如果资源占用较多，可用资源较少，打开新文件时会出现"内存不足"的问题。这时可以清理屏幕，减少窗口的数目，关闭不用的应用程序，包括TSR内存驻留程序，将Windows应用程序最小化为图标，如果问题只是在运行一特殊的应用程序时出现，则与应用软件销售商联系，可能是数据对象的管理不好所致；

　　2、如果问题没有解决，清除或保存Clipboard(剪贴板)的内容，使用ControlPanel Desktop选项将墙纸(Wallpaper)设置为None；

　　3、如问题仍存在，可用PIF编辑器编辑PIF文件，增大PIF文件中定义的MemoryRequirements：KB Required的值；在标准模式下，选择Prevent ProgramSwitch，该开关选项打开后，退出应用程序返回Windows；如果是386增强模式，则要将Display Usage设置成Full Screen(全屏幕方式)，将Execution设置为Exclusive，将Video memory设置为尽可能低的方式；

　　4、 如果问题仍存在，则重新开机进入Windows系统，并且确保在"启动"图标中没有其它无关的应用软件同时启动运行，在WIN.INI文件中也没有Run或Load命令加载的任何无关的应用程序。

　　在平时，出现"内存不足"的问题一般可以按以下办法处理。 首先，退出那些不需要运行的应用程序，然后，再检查系统的可用资源为多少。如果可用资源大于30％，一般可以运行新的程序。当有多个应用程序在系统中运行时，可以退出一个，检查一次可用资源，如果某个应用程序在退出前后，可用资源的百分比没有变化，说明这个应用程序没有释放它所占用的资源。如果要收回这些没有释放的资源，只能退出Windows后，再重新进入Windows。为了确保在启动进入Windows时系统的可用资源足够，在"启动"图标中应该没有无关的应用软件同时启动运行，在WIN.INI文件中也没有由Run或Load命令加载的任何无关的应用程序，因为这些同时启动的无关应用程序可能已经占用了很多资源，使得要使用的应用程序无法运行。

　　一般说来，经过这样处理，就不会出现"内存不足"的问题了.

tqtvfhpgu

四十二、 BIOS问答　

  Q：什么是BIOS
  A：BIOS（Basic Input／Output System）即基本输入输出系统，通常是固化在只读存储器（ROM）中，所以又称为ROM－BIOS。它直接对计算机系统中的输入、输出设备进行设备级、硬件级的控制，是连接软件程序和硬件设备之间的枢纽。ROM－BIOS是计算机系统中用来提供最低级、最直接的硬件控制的程序。就PC而言，BIOS 包含了控制键盘、显示屏幕，磁盘驱动器，串行通讯设备和很多其它功能的代码。计算机技术发展到今天，出现了各种各样新技术，许多技术的软件部分是借助于BIOS来管理实现的。如PnP技术（Plug and Play-即插即用技术），就是在BIOS中加上PnP模块实现的。又如热插拔技术，也是由系统BIOS将热插拔信息传送给BIOS中的配置管理程序，并由该程序进行重新配置（如：中断、DMA通道等分配）。事实上热插拔技术也属于PnP技术。

  Q：BIOS包含哪些部分
  A：当我们打开PC机的电源后，中央处理器（CPU）便会自动执行一连串的命令，这些命令按其功能可分为以下几种：

  POST上电自检：是微机接通电源后，系统进行的一个自我检查的例行程序。这个过程通常称为POST―上电自检（Power On Self Test）。对系统的几乎所有的硬件进行检测。

  系统启动自举程序：在完成POST自检后，ROM BIOS将按照系统CMOS设置中的启动顺序搜寻软硬盘驱动器及CDROM、网络服务器等有效的启动驱动器 ，读入操作系统引导记录，然后将系统控制权交给引导记录，由引导记录完成系统的启动。

  BIOS中断调用：即BIOS中断服务程序，它是微机系统软、硬件之间的一个可编程接口，用于程序软件功能与微机硬件实现的衍接。
此外，BIOS内还包含系统设置程序和服务程序等。

  Q：BIOS在系统启动中的作用
  A：当通电开机后，计算机即从BIOS芯片中读取出指令代码进行系统硬件的自检（含BIOS程序完整性检验、RAM可读写性检验、进行CPU、DMA控制器等部件测试）。对PnP设备进行检测和确认，然后依次从各个PnP部件上读出相应部件正常工作所需的系统资源数据等配置信息。BIOS中的PnP模块试图建立不冲突的资源分配表，使得所有的部件都能正常地工作。配置完成之后，系统要将所有的配置数据即ESCD――Extended System Config Data写入BIOS中，这就是为什么我们在开机时看到主机启动进入Windows前出现一系列检测：配置内存、硬盘、光驱、声卡等，而后出现的“UPDATE.ESCD.
SUCCESSED”等提示信息。所有这些检测完成后，BIOS将系统控制权移交给系统的引导模块，由它完成操作系统的装入。

  Q：BIOS在哪里
  A：BIOS尽管也是一组程序，但是它同我们常见的在磁盘上的程序有很大的区别。对个人计算机而言，在软盘、光盘或硬盘上的程序必须先读到存储器中才能运行，但BIOS的运行顺序却在这些程序之前，换句话说，必须先跑完BIOS才能使软盘、光盘或硬盘上的程序正常工作，因此，不能把BIOS放在这些存储介质中，而应该直接放在存储器中，但是这种存储器也不能是常说的RAM（Read And Write Memory，随机存取存储器），因为RAM中的内容在断电后会全部消失，下次再开机时就找不到BIOS了，因此，BIOS必须存放在ROM（Read Only Memory，只读存储器）中。BIOS既是软件，但它与普通的软件完全不同，它是固化在集成电路内部的程序代码，又属于硬件的一部分，所以，有时候人们就称它为Firmware ―“固件”。另外，存放BIOS的ROM占用的地址也是固定的，也就是说该地址不能被其它的程序占用，以免每次开机都要寻找BIOS程序的起始点。正由于BIOS和ROM这种密不可分的关系，人们将它们合称为“BIOS ROM”或“ROM BIOS”。所以，我们通常所说的BIOS芯片实际上指的是储存BIOS的ROM芯片，ROM仅仅只是Firmware的载体。

  Q：是不是只有主板才有BIOS
  A：除了主板以外，其它设备上如网卡、显卡、MODEM、数字相机、硬盘等也有所谓的BIOS，部分SCSI卡和一些特殊功能的界面卡也有自己的BIOS。象显卡上的BIOS，来完成显卡和主板之间的通讯；硬盘的启动和使用也需要HDD BIOS来完成。在开机过程中，主板BIOS会调用并执行这些外加的BIOS的程序，完成对这些硬件的初始化工作。因此从理论上来讲，每种硬件都可以有自己的BIOS。但是BIOS满天飞的结果，不但会增加成本，更会导致兼容性的问题，因此，一般是把已标准化的装置整合在主板BIOS内，对于那些厂商独有的规格，才以外加BIOS的形式出现。这些外部设备上的BIOS也和主板的BIOS一样，采用FLASH ROM作BIOS ROM芯片，同样也可以方便地升级，以修改其缺陷及增强其兼容性。
但是如果主板厂商愿意合作，仍然可以把原本外加的BIOS整合到主板BIOS中，比如技嘉的G400显卡，上面就没有BIOS芯片，它的BIOS就是写在主板的BIOS中。

  Q：BIOS芯片有哪些封装形式？
  A：早期的BIOS芯片大多采用DIP（双列直插）形式的封装，随着半导体封装技术的发展，SOJ、TSOP、PSOP、PLCC等多种封装形式相继出台。目前台式机主板上的BIOS大多是DIP封装，有的为节省空间，采用了PLCC形式的封装。笔记本电脑上的BIOS大多采用SOJ封装。为了方便更换BIOS芯片，现在主板上都安装有插座，使用工具可以取下、更换BIOS芯片。

  Q：BIOS芯片主要有哪些生产厂商？
  A：生产ROM芯片的厂家很多，主要有Winbond、Intel、ATMEL、SST、MXIC等品牌。由于Winbond（华邦）生产BIOS ROM芯片时间较早，与主板的原始设计相兼容，因而市场占用量较大。Intel公司则在FLASH ROM市场始终占领着领导者的地位，其586时代的I28F001BX芯片、I810（815）主板上的N82802AB芯片，都在BIOS的恢复方面有独特的效果。

  Q：计算机启动时出现的提示信息的含义是什么，应如何处理？
  A：计算机启动时出现的提示信息

  1.CMOS battery failed（CMOS 电池失效）。
　　原因：说明CMOS 电池的电力已经不足，请更换新的电池。wA1l^1

  2.CMOS check sum error－Defaults loaded（CMOS 执行全部检查时发现错误，因此载入预设的系统设定值）。
　　原因：通常发生这种状况都是因为电池电力不足所造成，所以不妨先换个电池试试看。如果问题依然存在的话，那就说明 CMOS RAM 可能有问题，最好送回原厂处理。

  3.Display switch is set incorrectly（显示开关配置错误）。
　　原因：较旧型的主板上有跳线可设定显示器为单色或彩色，而这个错误提示表示主板上的设定和 BIOS 里的设定不一致，重新设定即可。

  4.Press ESC to skip memory test（内存检查，可按ESC键跳过）。　   原因：如果在 BIOS 内并没有设定快速加电自检的话，那么开机就会执行内存的测试，如果你不想等待，可按 ESC 键跳过或到 BIOS 内开启 Quick Power On Self Test。

  5.HARD DISK initializing【Please wait a moment...】（硬盘正在初始化 请等待片刻）。
　　原因：这种问题在较新的硬盘上根本看不到。但在较旧的硬盘上，其启动较慢，所以就会出现这个问题。

  6.HARD DISK INSTALL FAILURE （硬盘安装失败）。
　　原因：硬盘的电源线、数据线可能未接好或者硬盘跳线不当出错误 ( 例如一根数据线上的两个硬盘都设为Master 或 Slave。)

  7.Secondary slave hard fail （检测从盘失败）。
　　原因：1、 CMOS 设置不当（例如没有从盘但在CMOS里设有从盘）
　     2、 硬盘的电源线、数据线可能未接好或者硬盘跳线设置不当。

  8.Hard disk(s) diagnosis fail (执行硬盘诊断时发生错误)。
　　原因：这通常代表硬盘本身的故障。你可以先把硬盘接到另一台电脑上试一下，如果问题一样，那只好送修了。

  9.Floppy Disk(s) fail 或 Floppy Disk(s) fail(80) 或Floppy Disk(s) fail(40)（无法驱动软驱）。}
　　原因：软驱的排线是否接错或松脱？电源线有没有接好？如果这些都没问题，那买个新的吧。

  10.Keyboard error or no keyboard present(键盘错误或者未接键盘)
　　原因：键盘连接线是否插好？连接线是否损坏？

  11.Memory test fail (内存检测失败)
　　原因：通常是因为内存不兼容或故障所导致。

  12.Override enable－Defaults loaded ( 当前CMOS设定无法启动系统，载入 BIOS 预设值以启动系统)。
　　原因：可能是你在BIOS内的设定并不适合你的电脑( 像你的内存只能跑100MHz但你让它跑133MHz )，这时进入 BIOS 设定重新调整即可。

  13.Press TAB to show POST screen (按 TAB 键 可以切换屏幕显示)f
　　原因：有一些 OEM 厂商会以自己设计的显示画面来取代 BIOS 预设的开机显示画面，而此提示就是要告诉使用者可以按TAB来把厂商的自定义画面和BIOS预设的开机画面进行切换。

  14.Resuming from disk，Press TAB to show POST screen（从硬盘恢复开机，按TAB显示开机自检画面）。
　　原因：某些主板的BIOS 提供了 Suspend to disk(挂起到硬盘)的功能，当使用者以 Suspend to disk 的方式来关机时，那么在下次开机时就会显示此提示消息。

  Q：BIOS和CMOS有什么区别？
  A：CMOS（Complimentary Metal Oxide Semiconductor，原意是指互补金属氧化物半导体――一种应用于大规模集成电路芯片制造的原料）是微机主板上的一块可读写的RAM芯片，用来保存当前系统的硬件配置和用户对某些参数的设定。为了保证系统掉电后信息不会丢失，在主板上专门设置了一块电池给CMOS供电。

  由于CMOS与BIOS都跟微机系统设置密切相关，所以才有CMOS设置与BIOS设置的说法，CMOS是系统存放参数的地方，而BIOS中的系统设置程序是完成参数设置的手段。因此，准确的说法是通过BIOS设置程序对CMOS参数进行设置。而我们平常所说的CMOS设置与BIOS设置是其简化说法，也就在一定程度上造成两个概念的混淆。

  Q：什么时候要对BIOS进行设置？
  A：进行BIOS设置是由操作人员根据微机实际情况而人工完成的一项十分重要的系统初始化工作。在以下情况下，必须进行BIOS或CMOS进行设置：

  1、新购微机：
  即使带PnP功能的系统也只能识别一部分微机外围设备，而对软硬盘参数、当前日期、时钟等基本资料等必须由操作人员进行设置，因此新购买的微机必须通过进行CMOS参数设置来告诉系统整个微机的基本配置情况。Vcn

  2．新增设备：
  由于系统不一定能认识新增的设备，所以必须通过CMOS设置来告诉它。另外，一旦新增设备与原有设备之间发生了IRQ、DMA冲突，也往往需要通过BIOS设置来进行排除。

  3．CMOS数据意外丢失：
  在系统后备电池失效、病毒破坏了 CMOS数据程序、意外清除了CMOS参数等情况下，常常会造成CMOS数据意外丢失。此时只能重新进入BIOS设置程序完成新的CMOS参数设置。

  4．系统优化：
  对于内存读写等待时间、硬盘数据传输模式、内／外 Cache的使用、节能保护、电源管理、开机启动顺序等参数， BIOS中预定的设置对系统而言并不一定就是最优的，此时往往需要经过多次试验才能找到系统优化的最佳组合。

  Q：市场上的BIOS主要有哪些品牌？
  A：当年IBM PC刚一推出时，大家都以IBM原厂的BIOS为标准，竞相撰写功能与它最接近、但程序码略不相同的BIOS（因为，若程序码相同便可能侵犯著作权），这也正是决定能否号称“与IBM PC百分之百相兼容”的关键。后来随着大环境的改变，兼容机开始盛行，IBM已不再掌握个人计算机规格的主导权，因此兼容厂家的BIOS也都摆脱它的影子，走出自己的风格来，以下便简介其中较具有代表性的四家厂商。

  ●Award
  Award公司创立于1983年，总部位于美国加州Mountain View，台湾分公司称为“帷尔科技股份有限公司”。在386、486时期，BIOS市场仍是AMI、Award和Phoenix三雄鼎立，产品占有率互有高低，但是自从Phoenix转战笔记本计算机市场、AMI产品青黄不接时，Award及时推出优良的产品填补此空白，因此争取到许多主板厂的订单，占有率节节攀升。以目前台湾生产的主板而言，绝大多数都是采用Award BIOS，它几乎已经成为 Pentium、Pentium Ⅱ主板的标准规格。

  ●AMI
  AMI 为American Megatrend Inc.的缩写，成立于1985年，在早期AMI BIOS以其简洁的画面、易学的操作方式，迅速攻占台式计算机的市场，深受大众喜爱。尤其是许多 DIY玩家在购买主板时，更指定非采用AMI BIOS不可，可见当时其气势之盛实在令人咋舌。然而曾几何时，不知是因为行销策略、产品质量或是开发进度的问题，在Pentium、Pentium Ⅱ主板市场上，AMI BIOS就如同当初迅速窜红一般，也快速地沉寂于市场，以致于大好***拱手让给了Award，虽然后来仍推出WinBIOS和HIFLEX等一系列评价不错的产品，无奈先机已失，终究是无力回天，难再恢复往日荣景。

  ●Phoenixqx
  Phoenix 的总部位于加州圣荷西，从它的BIOS设置画面来看，不难发现其产品风格一直都很固定，没有什么大的改变，或许这正是该公司所坚持的传统吧。在早期的Pentium级台式计算机上还偶尔见到Phoenix BIOS，但自从转入笔记本电脑这个计算机市场后，在台式计算机市场已经难觅它的踪影了。而深耕笔记本电脑领域的结果，的确开拓了另一大市场，现在国内、外许多知名品牌的笔记本电脑都采用Phoenix BIOS，由此可知其产品质量深获许多厂商信赖。

  ●Microid Researcht
  在诸多BIOS设计厂商中，Microid Research可算是其中最不同凡响的异类，因为早期它几乎是唯一提供“用满意才买”的公司。您可以先从网站上（http:\\www.mrbios.com）下载合用的BIOS文件，试用一定期限后若是满意才须注册付款，否则停止使用、回复到原BIOS即可，不必付一毛钱，这种破天荒的策略确实造福了许多计算机玩家，也打响了“MR BIOS”的名号。]l
可惜，曾几何时，Microid Research公司改变了行销策略，不再提供试用版给个人使用, 而是建议使用者向Unicore Software,Inc.订购正式版本，从此结束了许多爱用者的试用美梦，也因此MR BIOS不再是网路讨论区的热门话题，逐渐被大众所淡忘了。

  Q：如何进入BIOS的设置程序？
  A：进入BIOS设置程序通常有三种方法：

  1、开机启动时按热键
  在开机时按下特定的热键可以进入BIOS设置程序，不同类型的机器进入BIOS设置程序的按键不同，有的在屏幕上给出提示，有的不给出提示，几种常见的BIOS设置程序的进入方式如下：
　Award BIOS：按Ctrl＋Alt＋Esc或Del，屏幕有提示；
　AMI BIOS：按Del或Esc，屏幕有提示；
　COMPAQ BIOS：屏幕右上角出现光标时按F10，屏幕无提示；
　AST BIOS：按Ctrl＋Alt＋Esc，屏幕无提示。

  2、用系统提供的软件
现在很多主板都提供了在DOS下进入BIOS设置程序而进行设置的程序，在Windows 95的控制面板和注册表中已经包含了部分BIOS设置项。

  3、用一些可读写CMOS的应用软件
　　部分应用程序，如QAPLUS提供了对CMOS的读、写、修改功能，通过它们可以对一些基本系统配置进行修改。

  Q：COMPAQ的Professional WorkStation工作站，敲F10为什么进不了BIOS的设置程序？
  A：COMPAQ机的BIOS设置程序及设置参数的存放位置和普通的计算机不同，它是存放在硬盘的一个特殊的分区中。 COMPAQ的Professional WorkStation随盘有一张SmartStart光盘，其中有对工作站进行初始安装的每一步过程，而第一步就是在硬盘上建立一个新的分区并把CMOS中的数据存放在该分区，在该分区中还有对CMOS进行设置的软件，这一点和其他的品牌机、兼容机十分不同，不是直接就可以进入CMOS的设置。所以，如果工作站没有按照正确的步骤进行安装，没有这一特殊的分区，所以也就对F10键没有反应了。解决方法很简单，就是使用SmartStart光盘启动，并按照提示完成CMOS Setup的安装，但是注意应该把原来硬盘中的有用的数据进行备份，因为CMOS分区的过程会把硬盘中数据完全抹掉。

  Q：为什么要升级BIOS0
  A：BIOS中的程序决定了系统对硬件的支持、协调能力。现在的新硬件层出不穷，BIOS不可能预先具备对如此繁多的硬件的支持，这就依赖于对BIOS芯片内程序的更新。升级BIOS最直接的好处就是不用花钱就能获得许多新功能，比如原来你用的是PⅡ的CPU，升级BIOS后也许就能直接使用PⅢ的CPU，不用换主板了；看着别人能用光驱来启动的计算机，自己的不行，升级BIOS后，成了；另外还能增加PnP即插即用功能、新硬盘的LBA和DMA功能、识别其它新硬件等等，简直就是免费升级电脑！

  另外，升级BIOS还可以解决一些特殊的电脑故障，这些故障往往令电脑高手也觉得莫名其妙。2000年的到来对全世界都是一件大事，对电脑更是一个大问题，升级BIOS可以有效地解决电脑的2000年问题。
为了充分发挥主板的性能，支持层出不穷的新硬件，并改正以前BIOS版本中的缺陷，厂家不断推出新的BIOS版本。利用专用的刷新程序，改写主板BIOS的内容，这就是我们常说的BIOS升级。现在的主板几乎都采用FLASH ROM(快闪ROM)作BIOS，在一定的电压、电流条件下，可对其Firmware进行改写。

  Q：为什么BIOS升级具有很大的危险性？
  A：BIOS存储在主板上的ROM 芯片中，这确保了BIOS的一般可用性和不会因为磁盘错误而损坏。BIOS在整个PC机系统中的地位，决定了它的重要性。它是否正常工作、是否能工作，直接决定了整个微机系统的生死。据不完全统计，主板的不良原因中有60%至80%是由于主板的BIOS芯片引起的，因此，BIOS的正常工作就显得尤其重要！但是，升级BIOS在提升性能的同时，常会出现一些不可预料的事。在升级过程中断电、升级时用错了升级文件、升级文件的版本不正确、升级文件被修改过（例受病毒侵袭过）等，都会造成重开机时没有显示。正因为此，一些主板厂家，如采用i820芯片组的华硕系列主板采用更贴近用户的方式来升级BIOS，在新出的华硕P3C系列主板中，具有方便的Live Update功能，更新BIOS时，只需要放入随机附带的驱动程序光盘，在选定更新BIOS的选项后，即可全自动下载最新版的BIOS，并全自动更新，避免了用户在操作上的失误。

  Q：什么样的BIOS才能升级?
  A：从BIOS出现至今，BIOS的存储介质由ROM、EPROM、EEPROM到今天的FLASH ROM，ROM的形式不同，更新其内部Firmware的方法也不同。ROM中的内容是无法更新的，一旦完成芯片的制造过程，其内部的内容便只能读出不能写入；EPROM的擦除要使用专用的紫外线擦除器，普通用户也无法完成对其的擦除、刷新的过程。从EEPROM起，BIOS芯片可以借助一定的电压（＋12V）或电流，使用专用的程序完成刷新的过程，从而使EEPROM芯片能够迅速为市场所接受。FLASH ROM的更新更为简单，不需要特定的条件，在工作电压（＋5V）下，利用刷新程序即可完成芯片的刷新。

  Q：什么是ROM、EPROM、EEPROM、FLASH ROM
  A：在微机的发展初期，BIOS都存放在ROM（Read Only Memory，只读存储器）中。ROM内部的资料是在ROM的制造工序中，在工厂里用特殊的方法被烧录进去的，其中的内容只能读不能改，一旦烧录进去，用户只能验证写入的资料是否正确，不能再作任何修改。如果发现资料有任何错误，则只有舍弃不用，重新订做一份。ROM是在生产线上生产的，由于成本高，一般只用在大批量应用的场合。

  由于ROM制造和升级的不便，后来人们发明了PROM（Programmable ROM，可编程ROM）。最初从工厂中制作完成的PROM内部并没有资料，用户可以用专用的编程器将自己的资料写入，但是这种机会只有一次，一旦写入后也无法修改，若是出了错误，已写入的芯片只能报废。PROM的特性和ROM相同，但是其成本比ROM高，而且写入资料的速度比ROM的量产速度要慢，一般只适用于少量需求的场合或是ROM量产前的验证。

  EPROM（Erasable Programmable ROM，可擦除可编程ROM）芯片可重复擦除和写入，解决了PROM芯片只能写入一次的弊端。EPROM芯片有一个很明显的特征，在其正面的陶瓷封装上，开有一个玻璃窗口，透过该窗口，可以看到其内部的集成电路，紫外线透过该孔照射内部芯片就可以擦除其内的数据，完成芯片擦除的操作要用到EPROM擦除器。EPROM内资料的写入要用专用的编程器，并且往芯片中写内容时必须要加一定的编程电压（VPP=12―24V，随不同的芯片型号而定）。EPROM的型号是以27开头的，如27C020(8*256K)是一片2M Bits容量的EPROM芯片。EPROM芯片在写入资料后，还要以不透光的贴纸或胶布把窗口封住，以免受到周围的紫外线照射而使资料受损。

  鉴于EPROM操作的不便，后来出的主板上的BIOS ROM芯片大部分都采用EPROM（Electrically Erasable Programmable ROM，电可擦除可编程ROM）。EPROM的擦除不需要借助于其它设备，它是以电子信号来修改其内容的，而且是以Byte为最小修改单位，不必将资料全部洗掉才能写入，彻底摆脱了EPROM Eraser和编程器的束缚。EPROM在写入数据时，仍要利用一定的编程电压，此时，只需用厂商提供的专用刷新程序就可以轻而易举地改写内容，所以，它属于双电压芯片。借助于EPROM芯片的双电压特性，可以使BIOS具有良好的防毒功能，在升级时，把跳线开关打至“ON”的位置，即给芯片加上相应的编程电压，就可以方便地升级；平时使用时，则把跳线开关打至“OFF”的位置，防止CIH类的病毒对BIOS芯片的非法修改。所以，至今仍有不少主板采用EPROM作为BIOS芯片并作为自己主板的一大特色。

  FLASH ROM则属于真正的单电压芯片，在使用上很类似EPROM，因此，有些书籍上便把FLASH ROM作为EPROM的一种。事实上，二者还是有差别的。FLASH ROM在擦除时，也要执行专用的刷新程序，但是在删除资料时，并非以Byte为基本单位，而是以Sector（又称Block）为最小单位，Sector的大小随厂商的不同而有所不同；只有在写入时，才以Byte为最小单位写入；FLASH ROM芯片的读和写操作都是在单电压下进行，不需跳线，只利用专用程序即可方便地修改其内容；FLASH ROM的存储容量普遍大于EPROM，约为512K到至8M KBit，由于大批量生产，价格也比较合适，很适合用来存放程序码，近年来已逐渐取代了EPROM，广泛用于主板的BIOS ROM，也是CIH攻击的主要目标。

tqtvfhpgu

四十三、被入侵系统恢复指南

  本文主要讲述UNIX或者NT系统如果被侵入，应该如何应对。

　　注意:你在系统恢复过程中的所有步骤都应该与你所在组织的网络安全策略相符。

A.准备工作
1.商讨安全策略
　　如果你的组织没有自己的安全策略，那么需要按照以下步骤建立自己的安全策略。

1.1.和管理人员协商
　　将入侵事故通知管理人员，可能在有的组织中很重要。在be aware进行事故恢复的时候，网络管理人员能够得到内部各部门的配合。也应该明白入侵可能引起传媒的注意。

1.2.和法律顾问协商
　　在开始你的恢复工作之前，你的组织需要决定是否进行法律调查。
　　注意CERT(Computer Emergency Response Team)只提供技术方面的帮助和提高网络主机对安全事件的反应速度。它们不会提出法律方面的建议。所以，对于法律方面的问题建议你咨询自己的法律顾问。你的法律顾问能够告诉你入侵者应该承担的法律责任(民事的或者是刑事的)，以及有关的法律程序。
　　现在，是你决定如何处理这起事故的时候了，你可以加强自己系统的安全或者

选择报警。
　　如果你想找出入侵者是谁，建议你与管理人员协商并咨询法律顾问，看看入侵者是否触犯了地方或者全国的法律。根据这些，你可以报案，看看警方是否愿意对此进行调查。
　　针对与入侵事件，你应该与管理人员和法律顾问讨论以下问题：
　　如果你要追踪入侵者或者跟踪网络连接，是否会触犯法律。
　　如果你的站点已经意识到入侵但是没有采取措施阻止，要承担什么法律责任。
　　入侵者是否触犯了全国或者本地的法律。
　　是否需要进行调查。
　　是否应该报警。

1.3.报警
　　通常，如果你想进行任何类型的调查或者 *** 入侵者，最好先跟管理人员和法律顾问商量以下。然后通知有关执法机构。
　　一定要记住，除非执法部门的参与，否则你对入侵者进行的一切跟踪都可能是非法的。

1.4.知会其他有关人员
　　除了管理者和法律顾问之外，你还需要通知你的恢复工作可能影响到的人员，例如其他网络管理人员和用户。

2.记录恢复过程中所有的步骤
　　毫不夸张地讲，记录恢复过程中你采取的每一步措施，是非常重要的。恢复一个被侵入的系统是一件很麻烦的事，要耗费大量的时间，因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定，还可以留作以后的参考。记录还可能对法律调查提供帮助。

B.夺回对系统的控制权

1.将被侵入的系统从网络上断开
　　为了夺回对被侵入系统的控制权，你需要将其从网络上断开，包括播号连接。断开以后，你可能想进入UNIX系统的单用户模式或者NT的本地管理者(local administrator)模式，以夺回系统控制权。然而，重启或者切换到单用户/本地管理者模式，会丢失一些有用的信息，因为被侵入系统当前运行的所有进程都会被杀死。

　　因此，你可能需要进入C.5.检查网络嗅探器节，以确定被侵入的系统是否有网络嗅探器正在运行。
　　在对系统进行恢复的过程中，如果系统处于UNIX单用户模式下，会阻止用户、入侵者和入侵进程对系统的访问或者切换主机的运行状态。如果在恢复过程中，没有断开被侵入系统和网络的连接，在你进行恢复的过程中，入侵者就可能连接到你的主机，破坏你的恢复工作。

2.复制一份被侵入系统的影象
　　在进行入侵分析之前，建议你备份被侵入的系统。以后，你可能会用得着。
　　如果有一个相同大小和类型的硬盘，你就可以使用UNIX命令dd将被侵入系统复制到这个硬盘。

　　例如，在一个有两个SCSI硬盘的Linux系统，以下命令将在相同大小和类型的备份硬盘(/dev/sdb)上复制被侵入系统(在/dev/sda盘上)的一个精确拷贝。 # dd if=/dev/sda of=/dev/sdb

　　请阅读dd命令的手册页获得这个命令更详细的信息。
　　还有一些其它的方法备份被侵入的系统。在NT系统中没有类似于dd的内置命令，你可以使用一些第三方的程序复制被侵入系统的整个硬盘影象。
　　建立一个备份非常重要，你可能会需要将系统恢复到侵入刚被发现时的状态。它对法律调查可能有帮助。记录下备份的卷标、标志和日期，然后保存到一个安全的地方以保持数据的完整性。

C.入侵分析
　　现在你可以审查日志文件和系统配置文件了，检查入侵的蛛丝马迹，入侵者对系统的修改，和系统配置的脆弱性。

1.检查入侵者对系统软件和配置文件的修改
　　a.校验系统中所有的二进制文件
　　在检查入侵者对系统软件和配置文件的修改时，一定要记住:你使用的校验工具本身可能已经被修改过，操作系统的内核也有可能被修改了，这非常普遍。因此，建议你使用一个可信任的内核启动系统，而且你使用的所有分析工具都应该是干净的。对于UNIX系统，你可以通过建立一个启动盘，然后对其写保护来获得一个可以信赖的操作系统内核。

　　你应该彻底检查所有的系统二进制文件，把它们与原始发布介质(例如光盘)做比较。因为现在已经发现了大量的特洛伊木马二进制文件，攻击者可以安装到系统中。

　　在UNIX系统上，通常有如下的二进制文件会被特洛伊木马代替：telnet、in.te
lnetd、login、su、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、inetd和syslogd。除此之外，你还需要检查所有被/etc/inetd.conf文件引用的文件，重要的网络和系统程序以及共享库文件。

　　在NT系统上。特洛伊木马通常会传播病毒，或者所谓的"远程管理程序"，例如Back Orifice和NetBus。特洛伊木马会取代处理网络连接的一些系统文件。

　　一些木马程序具有和原始二进制文件相同的时间戳和sum校验值，通过校验和无法判断文件是否被修改。因此，对于UNIX系统，我们建议你使用cmp程序直接把系统中的二进制文件和原始发布介质上对应的文件进行比较。

　　你还可以选择另一种方法检查可疑的二进制文件。向供应商索取其发布的二进制文件的MD5校验值，然后使用MD5校验值对可疑的二进制文件进行检查。这种方法适用于UNIX和NT。

b.校验系统配置文件
　　在UNIX系统中，你应该进行如下检查：
　　检查/etc/passwd文件中是否有可疑的用户
　　检查/etc/inet.conf文件是否被修改过
　　如果你的系统允许使用r命令,例如rlogin、rsh、rexec，你需要检查/etc/hosts.equiv或者.rhosts文件。
1.检查新的SUID和SGID文件
下面命令会打印出系统中的所有SUID和SGID文件：
#find / ( -perm -004000 -o -perm -002000 ) -type f -print
　　对于NT，你需要进行如下检查：
　　检查不成对的用户和组成员
　　检查启动登录或者服务的程序的注册表入口是否被修改
　　检查"net share"命令和服务器管理工具共有的非验证隐藏文件
　　检查pulist.ext程序无法识别的进程

2.检查被修改的数据
　　入侵者经常会修改系统中的数据。所以建议你对web页面文件、ftp存档文件、用户目录下的文件以及其它的文件进行校验。

3.检查入侵者留下的工具和数据
　　入侵者通常会在系统中安装一些工具，以便继续监视被侵入的系统。
　　入侵者一般会在系统中留下如下种类的文件：

　　网络嗅探器
　　网络嗅探器就是监视和记录网络行动的一种工具程序。入侵者通常会使用网络嗅探器获得在网络上以明文进行传输的用户名和密码。(见C.5)
　　嗅探器在UNIX系统中更为常见。

　　特洛伊木马程序
　　特洛伊木马程序能够在表面上执行某种功能，而实际上执行另外的功能。因此，入侵者可以使用特洛伊木马程序隐藏自己的行为，获得用户名和密码数据，建立后门以便将来对系统在此访问被侵入系统。

　　后门
　　后门程序将自己隐藏在被侵入的系统，入侵者通过它就能够不通过正常的系统验证，不必使用安全缺陷攻击程序就可以进入系统。

　　安全缺陷攻击程序
　　系统运行存在安全缺陷的软件是其被侵入的一个主要原因。入侵者经常会使用一些针对已知安全缺陷的攻击工具，以此获得对系统的非法访问权限。这些工具通常会留在系统中，保存在一个隐蔽的目录中。

　　入侵者使用的其它工具

　　以上所列无法包括全部的入侵工具，攻击者在系统中可能还会留下其它入侵工具。这些工具包括：
　　系统安全缺陷探测工具
　　对其它站点发起大规模探测的脚本
　　发起拒绝服务攻击的工具
　　使用被侵入主机计算和网络资源的程序
　　入侵工具的输出

　　你可能会发现入侵工具程序留下的一些日志文件。在这些文件中可能会包含被牵扯的其它站点，攻击者利用的安全缺陷，以及其它站点的安全缺陷。

　　因此，建议你对系统进行彻底的搜索，找出上面列出的工具及其输出文件。一定要注意：在搜索过程中，要使用没有被攻击者修改过的搜索工具拷贝。
　　搜索主要可以集中于以下方向：
　　检查UNIX系统/dev/目录下意外的ASCII文件。一些特洛伊木马二进制文件使用的配置文件通常在/dev目录中。

　　仔细检查系统中的隐藏文件和隐藏目录。如果入侵者在系统中建立一个一个新的帐户，那么这个新帐户的起始目录以及他使用的文件可能是隐藏的。

　　检查一些名字非常奇怪的目录和文件，例如:...(三个点)、..(两个点)以及空白(在UNIX系统中)。入侵者通常会在这样的目录中隐藏文件。对于NT，应该检查那些名字和一些系统文件名非常接近的目录和文件。

4.审查系统日志文件
　　详细地审查你的系统日志文件，你可以了解系统是如何被侵入的，入侵过程中，攻击者执行了哪些操作，以及哪些远程主机访问了你的主机。通过这些信息，你能够对入侵有更加清晰的认识。

　　记住:系统中的任何日志文件都可能被入侵者改动过。

　　对于UNIX系统，你可能需要查看/etc/syslog.conf文件确定日志信息文件在哪些位置。NT通常使用三个日志文件，记录所有的NT事件，每个NT事件都会被记录到其中的一个文件中，你可以使用Event Viewer查看日志文件。其它一些NT应用程序可能会把自己的日志放到其它的地方，例如ISS服务器默认的日志目录是c:winntsystem32logfiles。

　　以下是一个通常使用的UNIX系统日志文件列表。由于系统配置的不同可能你的系统中没有其中的某些文件。
　　messages
　　messages日志文件保存了大量的信息。可以从这个文件中发现异常信息，检查入侵过程中发生了哪些事情。

　　 *** erlog
　　如果被侵入系统提供FTP服务， *** erlog文件就会记录下所有的FTP传输。这些信息可以帮助你确定入侵者向你的系统上载了哪些工具，以及从系统下载了哪些东西。

　　utmp
　　保存当前登录每个用户的信息，使用二进制格式。这个文件只能确定当前哪些用户登录。使用who命令可以读出其中的信息。

　　wtmp
　　每次用户成功的登录、退出以及系统重启，都会在wtmp文件中留下记录。这个文件也使用二进制格式，你需要使用工具程序从中获取有用的信息。last就是一个这样的工具。它输出一个表，包括用户名、登录时间、发起连接的主机名等信息，详细用法可以使用man last查询。检查在这个文件中记录的可疑连接，可以帮助你确定牵扯到这起入侵事件的主机，找出系统中的哪些帐户可能被侵入了。

　　secure
　　某些些版本的UNIX系统(例如：RedHat Linux)会将tcp_wrappers信息记录到secure文件中。如果系统的inetd精灵使用tcp_wrappers,每当有连接请求超出了inetd提供的服务范围，就会在这个文件中加入一条日志信息。通过检查这个日志文件，可以发现一些异常服务请求，或者从陌生的主机发起的连接。

　　审查日志，最基本的一条就是检查异常现象。

5.检查网络嗅探器
　　入侵者侵入一个UNIX系统后，为了获得用户名和密码信息，一般会在系统上安装一个网络监视程序，这种程序就叫作嗅探器或者数据包嗅探器。对于NT，入侵者会使用远程管理程序实现上述目的。

　　判断系统是否被安装了嗅探器，首先要看当前是否有进程使你的网络接口处于混杂（Promiscuous）模式下。如果任何网络接口处于promiscuous模式下，就表示可能系统被安装了网络嗅探器。注意如果你重新启动了系统或者在单用户模式下操作，可能无法检测到Promiscuous模式。使用ifconfig命令就可以知道系统网络接口是否处于promoscuous模式下(注意一定使用没有被侵入者修改的ifconfig):
#/path-of-clean-ifconfig/ifconfig -a

　　有一些工具程序可以帮助你检测系统内的嗅探器程序：
　　cpm(Check Promiscuous Mode)--UNIX可以从以下地址下载：
ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/
　　ifstatus--UNIX可以从以下地址下载：
ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/
　　neped.c可以从以下地址的到：
ftp://apostols.org/AposTolls/snoapshots/neped/neped.c
　　一定要记住一些合法的网络监视程序和协议分析程序也会把网络接口设置为promiscuous模式。检测到网络接口处于promicuous模式下，并不意味着系统中有嗅探器程序正在运行。
　　但是，在Phrack杂志的一篇文章Phrack Magazine Volume 8,Issue 53 July
8,1998,article 10 of 15, Interface Promiscuity Obscurity)中,有人提供了一些针对FreeBSD、Linux、HP-UX、IRIX和Solaris系统的模块，可以擦除IFF_PROMISC标志位，从而使嗅探器逃过此类工具的检查。以此，即使使用以上的工具，你没有发现嗅探器，也不能保证攻击者没有在系统中安装嗅探器。

　　现在，LKM(Loadable Kernel Model,可加载内核模块)的广泛应用，也增加了检测难度。关于这一方面的检测请参考使用KSAT检测可加载内核模块。

　　还有一个问题应该注意，嗅探器程序的日志文件的大小会急剧增加。使用df程序查看文件系统的某个部分的大小是否太大，也可以发现嗅探器程序的蛛丝马迹。建议使用lsof程序发现嗅探器程序打开的日志文件和访问访问报文设备的程序。在此，还要注意:使用的df程序也应该是干净的。

　　一旦在系统中发现了网络嗅探器程序，我们建议你检查嗅探器程序的输出文件确定哪些主机受到攻击者威胁。被嗅探器程序捕获的报文中目的主机将受到攻击者的威胁，不过如果系统的密码是通过明文传输，或者目标主机和源主机互相信任，那么源主机将受到更大的威胁。

　　通常嗅探器程序的日志格式如下：
-- TCP/IP LOG -- TM: Tue Nov 15 15:12:29 --
PATH: not_at_risk.domain.com(1567) => at_risk.domain.com(telnet)

　　使用如下命令可以从嗅探器程序的日志文件中得到受到威胁的主机列表：
% grep PATH: $sniffer_log_file | awk '{print $4}' |
awk -F( '{print $1}'| sort -u

　　你可能需要根据实际情况对这个命令进行一些调整。一些嗅探器程序会给日志文件加密，增加了检查的困难。

　　你应该知道不只是在嗅探器程序日志文件中出现的主机受到攻击者的威胁，其它的主机也可能受到威胁。
　　建议你参加http://www.cert.org/advisories/C ... toring.attacks.html获得更为详细的信息。

6.检查网络上的其它系统
　　除了已知被侵入的系统外，你还应该对网络上所有的系统进行检查。主要检查和被侵入主机共享网络服务(例如:NIX、NFS)或者通过一些机制(例如：hosts.equiv、.rhosts文件，或者kerberos服务器)和被侵入主机相互信任的系统。
　　建议你使用CERT的入侵检测检查列表进行这一步检查工作。
http://www.cert.org/tech_tips/intruder_detection_checklist.html
http://www.cert.org/tech_tips/wi ... tion_checklist.html

7.检查涉及到的或者受到威胁的远程站点
　　在审查日志文件、入侵程序的输出文件和系统被侵入以来被修改的和新建立的文件时，要注意哪些站点可能会连接到被侵入的系统。根据经验那些连接到被侵入主机的站点，通常已经被侵入了。所以要尽快找出其它可能遭到入侵的系统，通知其管理人员。
D.通知相关的CSIRT和其它被涉及的站点

1.事故报告
　　入侵者通常会使用被侵入的帐户或者主机发动对其它站点的攻击。如果你发现针对其它站点的入侵活动，建议你马上和这些站点联络。告诉他们你发现的入侵征兆，建议他们检查自己的系统是否被侵入，以及如何防护。要尽可能告诉他们所有的细节，包括：日期/时间戳、时区，以及他们需要的信息。
　　你还可以向CERT(计算机紧急反应组)提交事故报告，从他们那里的到一些恢复建议。
　　中国大陆地区的网址是:
http://www.cert.org.cn

2.与CERT调节中心联系
　　你还可以填写一份事故报告表，使用电子邮件发送http://www.cert.org,从那里可以得到更多帮助。CERT会根据事故报告表对攻击趋势进行分析，将分析结果总结到他们的安全建议和安全总结，从而防止攻击的蔓延。可以从以下网址获得事故报告表：
http://www.cert.org/ftp/incident_reporting_form
3
.获得受牵连站点的联系信息
　　如果你需要获得顶级域名(.com、.edu、.net、.org等)的联系信息，建议你使用interNIC的whois数据库。
http://rs.internic.net/whois.html
　　如果你想要获得登记者的确切信息，请使用interNIC的登记者目录：
http://rs.internic.net/origin.html
　　想获得亚太地区和澳洲的联系信息，请查询：
http://www.apnic.net/apnic-bin/whois.pl
http://www.aunic.net/cgi-bin/whois.aunic
　　如果你需要其它事故反应组的联系信息，请查阅FIRST(Forum of Incident Response and Security Teams)的联系列表:
http://www.first.org/team-info/
　　要获得其它的联系信息，请参考：
http://www.cert.org/tech_tips/finding_site_contacts.html

　　建议你和卷入入侵活动的主机联系时，不要发信给root或者postmaster。因为一旦这些主机已经被侵入，入侵者就可能获得了超级用户的权限，就可能读到或者拦截送到的e-mail。

E.恢复系统
1.安装干净的操作系统版本
　　一定要记住如果主机被侵入，系统中的任何东西都可能被攻击者修改过了，包括：内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常，需要从发布介质上重装操作系统，然后在重新连接到网络上之前，安装所有的安全补丁，只有这样才会使系统不受后门和攻击者的影响。只是找出并修补被攻击者利用的安全缺陷是不够的。
　　我们建议你使用干净的备份程序备份整个系统。然后重装系统。

2.取消不必要的服务
　　只配置系统要提供的服务，取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可*。通常，最保守的策略是取消所有的服务，只启动你需要的服务。

3.安装供应商提供的所有补丁
　　我们强烈建议你安装了所有的安全补丁，要使你的系统能够抵御外来攻击，不被再次侵入，这是最重要的一步。
　　你应该关注所有针对自己系统的升级和补丁信息。

4.查阅CERT的安全建议、安全总结和供应商的安全提示
　　我们鼓励你查阅CERT以前的安全建议和总结，以及供应商的安全提示，一定要安装所有的安全补丁。
　　CERT安全建议：
http://www.cert.org/advisories/
　　CERT安全总结：
http://www.cert.org/advisories/
　　供应商安全提示：
ftp://ftp.cert.org/pub/cert_bulletins/

5.谨慎使用备份数据
　　在从备份中恢复数据时，要确信备份主机没有被侵入。一定要记住，恢复过程可能会重新带来安全缺陷，被入侵者利用。如果你只是恢复用户的home目录以及数据文件，请记住文件中可能藏有特洛伊木马程序。你还要注意用户起始目录下的.rhost文件。

6.改变密码
　　在弥补了安全漏洞或者解决了配置问题以后，建议你改变系统中所有帐户的密码。一定要确信所有帐户的密码都不容易被猜到。你可能需要使用供应商提供的或者第三方的工具加强密码的安全。
　　澳大利亚CERT发表了一篇choosing good passwords的文章，可以帮助你选择良好的密码。

F.加强系统和网络的安全
1.根据CERT的UNIX/NT配置指南检查系统的安全性
　　CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。
http://www.cert.org/tech_tips/unix_configuration_guidelines.html
http://www.cert.org/tech_tips/win_configuration_guidelines.html
　　查阅安全工具文档可以参考以下文章，决定使用的安全工具。
http://www.cert.org/tech_tips/security_tools.html

2.安装安全工具
　　在将系统连接到网络上之前，一定要安装所有选择的安全工具。同时，最好使用Tripwire、aide等工具对系统文件进行MD5校验，把校验码放到安全的地方，以便以后对系统进行检查。

3.打开日志
　　启动日志(logging)/检查(auditing)/记帐(accounting)程序,将它们设置到准确的级别,例如sendmail日志应该是9级或者更高。经常备份你的日志文件，或者将日志写到另外的机器、一个只能增加的文件系统或者一个安全的日志主机。

4.配置防火墙对网络进行防御
　　现在有关防火墙的配置文章很多，在此就不一一列举了。你也可以参考：
http://www.cert.org/tech_tips/packet_filtering.html

G.重新连接到Internet全
　　完成以上步骤以后，你就可以把系统连接回Internet了。

H.升级你的安全策略
　　CERT调节中心建议每个站点都要有自己的计算机安全策略。每个组织都有自己特殊的文化和安全需求，因此需要根据自己的情况指定安全策略。关于这一点请参考RFC2196站点安全手册:
ftp://ftp.isi.edu/in-notes/rfc2196.txt

1.总结教训
　　从记录中总结出对于这起事故的教训，这有助于你检讨自己的安全策略。

2.计算事故的代价
　　许多组织只有在付出了很大代价以后才会改进自己的安全策略。计算事故的代价有助于让你的组织认识到安全的重要性。而且可以让管理者认识到安全有多么重要。

3.改进你的安全策略
　　最后一步是对你的安全策略进行修改。所做的修改要让组织内的所有成员都知道，还要让他们知道对他们的影响。

tqtvfhpgu

四十四、防火墙封阻应用攻击技术综述

  你已经决心下大力气搞好应用安全吗？毕竟，例如金融交易、信用卡号码、机密资料、用户档案等信息，对于企业来说太重要了。不过这些应用实在太庞大、太复杂了，最困难的就是，这些应用在通过网络防火墙上的端口80（主要用于HTTP）和端口443（用于SSL）长驱直入的攻击面前暴露无遗。这时防火墙可以派上用场，应用防火墙发现及封阻应用攻击所采用的八项技术如下：

　　深度数据包处理

　　深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。

　　TCP/IP终止

　　应用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。

　　SSL终止

　　如今，几乎所有的安全应用都使?*** TTPS确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器如入侵检测系统（IDS）产品来说是不透明的。为了阻止恶意流量，应用防火墙必须终止SSL，对数据流进行解码，以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输，你就需要在流量发送到Web服务器之前重新进行加密的解决方案。

　　URL过滤

　　一旦应用流量呈明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，譬如可疑的统一代码编码（unicode encoding）。对URL过滤采用基于特征的方案，仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL，这是远远不够的。这就需要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本少年类型的攻击，但无力抵御大部分的应用层漏洞。

请求分析

　　全面的请求分析技术比单单采用URL过滤来得有效，可以防止Web服务器层的跨站脚本执行（cross-site scripting）漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步：可以确保请求符合要求、遵守标准的HTTP规范，同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而，请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样，记住以前的行为能够获得极有意义的分析，同时获得更深层的保护。

　　用户会话跟踪

　　更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分：跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过URL重写（URL rewriting）来使用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持（session-hijacking）及信息块中毒（cookie-poisoning）类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块，还能对应用生成的信息块进行数字签名，以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应，并从中提取信息块信息。

　　响应模式匹配

　　响应模式匹配为应用提供了更全面的保护：它不仅检查提交至Web服务器的请求，还检查Web服务器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说，防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行，它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动，防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面，应用防火墙会监控响应，寻找可能表明服务器有问题的模式，譬如一长串Java异常符。如果发现这类模式，防火墙就会把它们从响应当中剔除，或者干脆封阻响应。

　　采用“停走”字（‘stop and go’word）的方案会寻找必须出现或不得出现在应用生成的响应里面的预定义通用模式。譬如说，可以要求应用提供的每个页面都要有版权声明。

　　行为建模

　　行为建模有时称为积极的安全模型或“白名单”（white list）安全，它是唯一能够防御最棘手的应用漏洞――零时间漏洞的保护机制。

  零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它行为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应用的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞，同时对允许用户访问的URL实行极其严格的监控。

  行为建模是唯一能够有效对付全部16种应用漏洞的技术。行为建模是一种很好的概念，但其功效往往受到自身严格性的限制。某些情况譬如大量使用javascript或者应用故意偏离行为模型都会导致行为建模犯错，从而引发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预，以提高安全模型的准确性。行为自动预测又叫规则自动生成或应用学习，严格说来不是流量检测技术，而是一种元检测（meta-inspection）技术，它能够分析流量、建立行为模型，并且借助于各种关联技术生成应用于行为模型的一套规则，以提高精确度。

  行为建模的优点在于短时间学习应用之后能够自动配置。保护端口80是安全人员面临的最重大也是最重要的挑战之一。所幸的是，如今已出现了解决这一问题的创新方案，而且在不断完善。如果在分层安全基础设施里面集成了能够封阻16类应用漏洞的应用防火墙，你就可以解决应用安全这一难题。

tqtvfhpgu

四十五、不用专门软件照样修复硬盘分区表

  硬盘分区表一旦被破坏，系统就无法启动。这种情况下该怎么办呢？看到有些媒体推荐用Disk Genius。可是并不是每个朋友手里都有这个软件。当电脑出现问题时，电脑已经不能启动了，更别提上网去下载这个软件了！其实有更简单的办法，那就是用Windows的安装光盘来修复。

　　第一种方法，只有Windows 98光盘时。首先用光盘或者软盘引导系统，然后用Fdisk/ mbr修复分区表，不过这样未必能够完全修复。但一般情况下，至少可以用上C盘了，然后再下载Disk Genius修复也是可行之道。

　　第二种方法：有Windows XP光盘的，用Windows XP光盘启动后，选择第二项“要用恢复控制台修复Windows XP安装，请按R键”。按下R键，就可以进入Windows XP的故障控制台了。然后键入Fixmbr，回车，就可以恢复大多数情况下的分区表错误了。经我实际使用发现用fixmbr命令不仅可以修复Windows XP系统下的分区错误，对Windows 98系统，以及Windows 98/XP双系统均有效，fixmbr命令格式如下：
fixmbr [device_name(驱动器盘符)]。

tqtvfhpgu

四十六、无法删除的文件解决办法

  有时候我们在删除某个文件或文件夹时，系统提示无法删除，这确定令人十分头疼，现在我们就来看看解决的办法。

一、常规解决办法：

1，注消或重启电脑，然后再试着删除。

2，进入“安全模式删除”。

3，在纯DOS命令行下使用DEL，DELTREE和RD命令将其删除。

4，如果是文件夹中有比较多的子目录或文件而导致无法删除，可先删除该文件夹中的子目录和文件，再删除文件夹。

5，在任务管理器中结束Explorer.exe进程，然后在命令提示符窗口删除文件。

6，如果你有安装ACDSee，FlashFXP，Nero，Total这几个软件，可以尝试在这几个软件中删除文件夹。

二、高级解决方案：

1，磁盘错误
  运行磁盘扫描，并扫描文件所在分区，扫描前确定已选上修复文件和坏扇区，全面扫描所有选项，扫描后再删除文亻。

2，预读机制：
  某些媒体播放中断或正在预览时会造成无法删除。在“运行”框中输入：REGSVR32 /U SHMEDIA.DLL，注销掉预读功能。或删除注册表中下面这个键值：[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87D62D94-71B3-4b9a- 9489-5FE6850DC73E}\InProcServer32]。

3，防火墙：
  由于反病毒软件在查毒时会占用正在检查的文件，从而导致执行删除时提示文件正在使用，这时可试着暂时关闭它的即时监控程序，或许可以解决。

4，Office、WPS系列软件：
  Office的非法关闭也会造成文件无法删除或改名。重新运行该程序，然后正常关闭，再删除文件。

5，借助WinRAR：
  右击要删除的文件夹，选择“添加到压缩文件”。在弹出的对话框中选中“压缩后删除源文件，”随便写个压缩包名，点确定。

6，权限问题：
  如果是2000和xp系统，请先确定是否有权限删除这个文件或文件夹。

7，可执行亠件的删除：
  如果可执行文件的映像或程序所调用的DLL动态链接库文件还在内存中未释放，删除时就会提示文件正在使用，解决方法是删除系统的页面文件，Win98中是Win386.SWP，Win2000/XP是pagefile.sys。注意要在DOS下删除。

8，文件粉碎法：
  使用文件粉碎机，如File Pulverizer，可以彻底删除一些顽固文件。

三、制作一个无法删除的“文件保险箱”
  文件夹无法删除，未必就是不好的事情，如果把一些重要的文件放在这个目录中，不就可以避免误删了吗？一个文件名只包含空格的文件夹在Windows中是不允许创建和删除的，但在DOS下却可以创建文件名包含\的文件夹。

tqtvfhpgu

四十七、常见故障分析处理

遭遇停电
　　现象：显示器，主机，音箱等会在一瞬间“强行关闭”。
　　现象分析：这是突然“停电”造成的。由停电的瞬间产生的电压波动会冲击电脑硬件的芯片，电路，电阻等。而一旦停电时您正在进行磁盘读写操作，则有可能产生坏道，或当你在编写文稿时，则数据资料就会丢失……
　　应当之策：配电脑时选配个品牌电源，这样能最大限度的从电源上减小电压波动对硬件造成的不良影响。停电后，关闭所有电源，以防下次来电时显示器和部份ＡＴＸ电源同时启动，这样会造成对硬件的不良损害。当您用WORD编辑文稿时，用上WORD的自动保存功能。如果停电的瞬间恰好您在对磁盘进行操作，建议您下次开机不要在启动时跳过磁盘检测，检测有无产生坏道。一旦发现坏道，则用NORTON，PQMAGIC等工具软件来修复或屏蔽坏道。另外，如果您经济上许可，建议选配一个UPS，为电脑提供一段时间的断电保护。

自动关机
　　现象：电脑在正常运行过程中，突然自动关闭系统或重启系统。
　　现象分析：现今的主板对CPU有温度监控功能，一旦CPU温度过高，超过了主板BIOS中所设定的温度，主板就会自动切断电源，以保护相关硬件。另一方面，系统中的电源管理和病毒软件也会导致这种现象发生。
　　应当之策：上述突然关机现象如果一直发生，先确认CPU的散热是否正常。开机箱目测风扇叶片是否工作正常，再进入BIOS选项看风扇的转速和CPU的工作温度。发现是风扇的问题，就对风扇进行相关的除尘维护或更换质量更好的风扇。如果排除硬件的原因，进入系统，从“吻到死”的安装光盘中覆盖安装电源管理，再彻底查杀病毒。当这些因素都排除时，故障的起因就可能是电源老化或损坏，这可以通过替换电源法来确认，电源坏掉就换个新的，切不可继续使用，会烧毁硬件的。

系统当机
　　现象：桌面被锁定，鼠标不能动，严重时连热启动（ALT+CTRL+DEL）都不行。还有就是蓝屏现象。
　　现象分析：“吻到死”系统自身的BUG以及各软件间的兼容性问题是该故障的原因，也可能是用户同一时间运行了过多的大程序，从而导致进程阻塞，引发当机。
　　应对之策：当机分2种，真当和假当，二者区分的最简单方法是按下小键盘区的Numlock键，观察其指示灯有无变化。有，则假当；反之，真当。假当可以同时按下ALT+CTRL+DEL在出现的任务列表里选定程序名后标注没有响应的项，单击结束任务。真当，只有冷启动了。对于蓝屏，在按下ESC键无效后，选择重启，按机箱面板上的复位键。对于兼容性问题，可以从卸载“问题”软件和更新主板BIOS和相关主板驱动程序上来解决。

病毒发作
　　现象：系统运行缓慢，当机，非法操作，硬盘灯乱闪，经常蓝屏，以及莫名奇妙的系统提示……
　　现象分析：病毒实质上是一种恶意的电脑程序代码，病毒通过大量的自身复制，同时在系统中隐秘运行，占有系统资源，严重的还会对软件和硬件造成破坏，如CIH，硬盘锁等。
应对之策：道高一尺，魔低一丈，病毒的克星是杀毒软件。一旦怀疑自己的机器染上病毒，请重新启动系统到DOS，运行正版的杀毒软件（DOS版）这样可以杀掉在“吻到死”下杀不了的病毒；而后再启动到系统桌面，运行杀毒软件的WINDOWS版本进行再杀毒。另一方面，由于病毒发作严重时会破坏一些文件；我们就在病毒发作之前把重要的文件备份到Ｃ盘之外其它驱动器，且把数据文件的属性设定为只读。同时，大家要时刻更新杀毒软件病毒库，少用盗版碟，已上网的朋友们对不明的邮件附件千万不要下载。

系统故障
　　现象：进不了系统，典型表现为开机自检通过，在启动画面处停止，或显示：The disk is error等有E文提示的诸多现象。
　　现象分析：此为系统故障，可由很多原因引起，比较常见的就是系统文件被修改，破坏，或是加载了不正常的命令行。此外，硬盘的故障也是原因之一。
　　应对之策：首先要尝试能否进入安全模式，开机按F８键，选择启动菜单里的第三项：Safe model（安全模式）。进入安全模式后，可以通过设备管理器和系统文件检查器来找寻故障，遇到有“！”号的可以查明正身再确定是否del或设置中断。也可以重装驱动程序，系统文件受损可以从安装文件恢复（建议事先就把WINDOWS的安装盘复制在硬盘里）。如果连安全模式都不能进入，就通过带启动的光盘或是软盘启动到DOS，在DOS下先杀毒并且用Dir检查Ｃ盘内的系统文件是否完整，必要时可通过系统软盘进行Sys C:，恢复相关的基本系统文件。如果C盘内没有发现文件，则只有对系统进行彻底重装。

驱动丢失
　　现象：开机时16色显示，放音频文件时显示“XXX”设备正被占用。
　　现象分析：排除病毒的原因后，这种现象多发生在用过N个月的老机子上，或用户新近动过主机内的部件，（如显卡和PCI卡），则可能造成该硬件的接触不良，导致系统实质上并没有彻底检测到相关硬件。
　　应对之策：重新安装显卡的驱动程序，并检查相关配件与主板是否完全接触：一是要保证显卡，声卡金手指上的清洁，二是将其插入相关插槽时用力适当，对准垂直插入即可，再接上与之搭配的音箱和显示器连线。必要时，可以更换PCI卡的插槽位置，避免和显卡产生资源冲突。

开机黑屏
　　现象：开机黑屏，没有显示，可能会有报警声。
　　现象分析：硬件之间接触不良，或硬件发生故障，相关的硬件涉及到内存，显卡，CPU，主板，电源等。电脑的开机要先通过电源供电，再由主板的BIOS引导自检，而后通过CPU，内存，显卡等。这个过程反映在屏幕上叫自检，先通过显卡BIOS的信息，再是主板信息，接着内存，硬盘，光驱等。如果这中间哪一步出了问题，电脑就不能正常启动，甚至黑屏。
　　应对之策：首先确认外部连线和内部连线是否连接顺畅。外部连线有显示器，主机电源等。内部有主机电源和主机电源接口的连线（此处有时接触不良）。比较常见的原因是：显卡，内存由于使用时间过长，与空气中的粉尘长期接触，造成金手指上的氧化层，从而导致接触不良。对此，用棉花粘上适度的酒精来回擦拭金手指，待干后插回。除此外，观察CPU是否工作正常，开机半分钟左右，用手触摸CPU风扇的散热片是否有温度。有温度，则CPU坏掉的可能性就可基本排除。没温度就整理一下CPU的插座，确保接触到位。这之后还没温度，阁下的CPU就可以升级了：（除了上面的方法外，还有一招必杀技：用拔跳线的方法清除BIOS设置或更换主板的CMOS电池。当这些方法都尝试过并全部失败的话，就可以召唤大虾哥出山相助了。

怪响异味
　　现象：听到怪响或者闻到异味。
　　现象分析：怪响，可能是由于硬盘的坏道造成硬盘发出的（格格的刺耳声）；也有可能是硬盘，光驱螺丝没有上牢，造成机箱的共振。异味，多为焦糊味，很刺鼻子的那种。
　　应对之策：首先关闭电源。若是怪响，则打开机箱面板，一一检查，若是坏道，则修复或屏蔽。对于异味，要千万小心。这时用你的鼻子闻闻，找到发出异味的部件，然后卸下交由电脑公司处理，在这中间，大家一定要捍卫自己的消费者权益。（没过质保期的――该换的换，该修的修。）这个千万大意不得！因为，笔者的昂达光驱就是闻到焦糊味后断电不及（慢了N秒）给活活烧坏驱动芯片的，而后，再拿钱找JS大叔也没办法。（所以大家如果闻到异味，马上断掉电源，然后再下开机箱寻找原因，但是显示器千万别开，只能交由专业人员维修，那可是有高压电的，千万别拿自己的生命开玩笑。

tqtvfhpgu

四十八、谨防由软件使用不当造成硬盘的“硬伤害”

  硬盘是计算机中最重要的存储介质，关于硬盘的维护保养，相信每个电脑用户都有所了解。不过，以前的很多文章都是针对拨号时代的单机用户，在宽带逐渐普及、大硬盘不断降价的今天，很多人一打开电脑就会让硬盘满负荷运转：看高清晰的DVDRip影片、进行不间断的BT下载、使用Windows的系统还原功能……不过，你可能并不清楚，这些新软件带来的新的应用模式，会给硬盘带来新的伤害！

　　新应用模式带来的隐患

　　1.编码错误的DVDRip
　　现在网上由DVD转录压缩的DVDRip格式的影片相当受欢迎。这种格式的影片清晰度和DVD相差无几，但下载一部影片只有700MB~1.3GB大小，因此很多用户喜欢将DVDRip格式的影片下载到硬盘上慢慢欣赏。不过，播放这种格式的影片对系统有较高的要求：除了CPU、显卡要求足够强劲以保证播放流畅外，硬盘负荷也非常大――因为播放DVDRip就是一个不断解码解压缩，再输送到显示系统的过程。笔者发现，在遇到有编码错误的DVDRip文件时，Windows会出现磁盘占用率非常高的现象：系统不断想要把编码转换为视频信号，但编码错误的文件索引和相应的信号段是不匹配的――此时，硬盘灯会不断地闪烁，整个系统对用户的操作响应极慢，用户点击菜单但几乎没有反应。如果编码错误较多，系统有时候甚至会死机。很多用户在此时非常不耐烦，直接按下机箱上的RESET键甚至是直接关闭计算机电源，在硬盘磁头没有正常复位的情况下，这种操作相当危险！
　　晨风提示：Windows XP的用户需要特别注意，当我们在Windows XP中自动预览一些体积较大的ASF、WMV等文件时，虽然没有进行正式播放，但也会出现计算机速度突然变慢、硬盘灯不断闪烁等现象，其罪魁祸首仍然是视频文件错误编码！

　　2. Bittorrent下载
　　Bittorrent下载是宽带时代新兴的P2P交换文件模式，各用户之间共享资源，互相当种子和中继站，俗称BT下载。由于每个用户的下载和上传几乎是同时进行，因此下载的速度非常快。不过，它会将下载的数据直接写进硬盘(不像FlashGet等下载工具可以调整缓存，到指定的数据量后才写入硬盘)，因此对硬盘的占用率比FTP下载要大得多！
　　此外，BT下载事先要申请硬盘空间，在下载较大的文件的时候，一般会有2-3分钟时间整个系统优先权全部被申请空间的任务占用，其他任务反应极慢。有些人为了充分利用带宽，还会同时进行几个BT下载任务，此时就非常容易出现由于磁盘占用率过高而导致的死机故障。
　　因此，除非你的电脑硬件配置相当高(尤其是内存，至少要在256MB以上)，否则在BT下载作出改进以前，如果要进行长时间、多任务的下载应用，最好还是采用传统的FTP软件。

　　3. PQMAGIC转换的危险
　　PQMAGIC是大名鼎鼎的分区魔术师，能在不破坏数据的情况下自由调整分区大小及格式。不过，PQMAGIC刚刚推出的时候，一般用户的硬盘也就2GB左右，而现在60~80GB的硬盘已是随处可见，PQMAGIC早就力不从心了：调整带数据的、5GB以上的分区，通常都需要1小时以上！
　　除了容量因素影响外，PQMAGIC调整硬盘分区时，大量的时间都花在校验数据和检测硬盘上，可以看出，在这种情况下“无损分区”是很难保证的：由于转换的速度很慢，耗时过长，转换调整过程中，很容易因为计算机断电、死机等因素造成数据丢失。这种损失通常是一个或数个分区丢失，或是容量变得异常，严重时甚至会导致整个硬盘的数据无法读取。

　　4.硬盘保护软件造成的异常
　　容易造成硬盘异常的，还有硬盘保护软件。比如“还原精灵”，由于很多人不注意在重装系统或是重新分区前将它正常卸载，往往会发生系统无法完全安装等情况。此时再想安装并卸载“还原精灵”，却又提示软件已经安装，无法继续，陷入死循环中。这种故障是由于“还原精灵”接管了INT13中断，在操作系统之前就控制了硬盘的引导，用FDISK/MBR指令也无法解决。本来这只是软件的故障，但很多人经验不足，出了问题会找各种分区工具“试验”，甚至轻率地低级格式化，在这样的折腾之下，硬盘很可能提前夭折！

　　5.频繁地整理磁盘碎片
　　磁盘碎片整理和系统还原本来是Windows提供的正常功能，不过如果你频繁地做这些操作，对硬盘是有害无利的。磁盘整理要对硬盘进行底层分析，判断哪些数据可以移动、哪些数据不可以移动，再对文件进行分类排序。在正式安排好硬盘数据结构前，它会不断随机读取写入数据到其他簇，排好顺序后再把数据移回适当位置，这些操作都会占用大量的CPU和磁盘资源。其实，对现在的大硬盘而言，文档和邮件占用的空间比例非常小，多数人买大硬盘是用来装电影和音乐的，这些分区根本无需频繁整理――因为播放多媒体文件的效果和磁盘结构根本没有关系，播放速度是由显卡和CPU决定的。

　　6. Windows XP的自动重启
　　Windows XP的自动重启功能可以自动关闭无响应的进程，自动退出非法操作的程序，从而减少用户的操作步骤。不过，这个功能也有一个很大的问题：它会在自动重新启动前关闭硬盘电源，在重新启动机器的时候再打开硬盘电源！这样一来，硬盘在不到10秒的时间间隔内，受到电流两次冲击，很可能会发生突然“死亡”的故障。为了节省一些能源设置成让系统自动关闭硬盘，对硬盘来说也是弊大于利的。

　　消除隐患的应对方案
　　1.解决编码错误
　　遇到编码错误的视频文件，最好的方法是通过正常途径向系统发出关机或重新启动指令，耐心等待系统自己处理完毕后重新启动计算机。然后上网搜索一些专门修复编码错误的软件来修复这些影片，再进行观看。

　　2.加大系统缓存
　　对于像BT这种线程没优化好、同时读取和写入硬盘的软件，如果一定要使用，可以通过修改注册表的方式加大磁盘缓冲，以减小硬盘读写的频率。以Windows XP为例：
　　单击“开始”、“运行”，键入“Regedit”后回车，打开注册表编辑器。依次展开HKEY_LOCAL_MACHINE＼SYSTEM＼CURRENTCONTROLSET＼CONTROL＼SESSION MANAGER＼MEMORY MANAGEMENT分支，在右侧窗口中单击鼠标右键，选择“新建”、“DWORD”值，将新值命名为“Iopagelocklimit”，并将其值设置为“4000”(16进制，即16MB)或“8000”(即32MB)，这样硬盘的读写频率会降低不少。对于BT造成的CPU占用率过高问题，可以通过调节任务的优先级来解决：在Windows 2000/XP下同时按下“Ctrl+Alt+Delete”组合键，选择“任务管理器”，然后单击“进程”选项卡，用鼠标右键单击“Btdownloadgui.exe”，选择“设置优先级”下低于“标准”的一个级别即可。不过这样调节有时会引起BT非法操作退出。

　　3.巧妙卸载“还原精灵”
　　如果你的计算机安装了“还原精灵”，但在重装系统前忘记了正确卸载“还原精灵”，导致无法分区及安装系统，那么可尝试使用以下方法来解决问题：启动计算机后在系统引导前按“Ctrl+Home”组合键，调出“还原精灵”的菜单，输入密码进去后，选择“卸载”即可。也可以在光驱中放入“还原精灵”安装光盘，找到卸载程序Uninst.exe并执行它，当出现“不能运行在……要重新启动计算机吗？”的提示时，单击“确定”，重新启动后再安装“还原精灵”，然后再将它卸载。此方法在“还原精灵”5.0、2002、2003等版本上均验证通过。

　　4.加速PQMAGIC的操作
　　在PQMAGIC中打开“常规”选项下的“PartitionMagic优选设置”，将“忽略FAT上的OS/2 EA错误”和“跳过坏扇区检查”这两个选项均选中，忽略校验数据和检测硬盘的过程，自然会大大加快PQMAGIC的速度。当然，在使用PQMAGIC对分区进行操作之前，我们应该先用磁盘扫描工具检查和修复硬盘上的错误，然后再进行分区转换操作。
　　此外，最好不要用PQMAGIC调整带数据的分区，更不要在调整分区容量时进行分区格式转换。最好的方法是将要调整的分区上的数据备份到不参与调整的分区(最好是其他硬盘上)，然后清空调整的一个或多个分区，这样转换速度会快很多，也更安全。

　　5.采用NTFS格式的分区
　　NTFS分区的好处在这里就不用多说了吧？由于NTFS分区本身的簇很小，不容易产生磁盘碎片，微软在文件分配表和目录索引上也作了特殊处理，万一出错后恢复文件也较容易。不过为了保证系统兼容性，最好不要将引导分区设置为NTFS格式。

　　6.禁用自动重启功能
　　在Windows XP中用鼠标右键单击“我的电脑”，选择“属性”，然后单击“高级”选项卡，单击“启动和故障恢复”按钮，在打开的界面中将“系统失败”下面的“自动重新启动”前的复选框清空。不过在系统遇到像显卡驱动兼容性这样严重的故障时，Windows XP还是会自动重新启动。但此时Windows XP一般会先生成一个日志文件，以便你启动后查看，此时要抓紧时间按下RESET键启动，防止Windows XP关闭硬盘。

　　7.关闭硬盘节能功能
　　先在BIOS中的电源选项中将硬盘节能全部设置为“DISABLED”，然后在Windows的“控制面板”、“电源选项”中，将“电源方案”下面的“关闭硬盘”、“系统待机”设置为“从不”(要让系统关机和休眠，还是手工控制好)

tqtvfhpgu

四十九、Windows2000安全检查清单



具体清单如下：
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。



2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。



3．限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。



4．创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。



5．把系统administrator帐号改名
大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。



6．创建一个陷阱帐号
什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 s cripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login s cripts上面做点手脚。嘿嘿，够损！



7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。



8.使用安全密码
一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。



9.设置屏幕保护密码
很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。



10． 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。



11．运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库



12．保障备份盘的安全
一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。



中级安全篇：
1．利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：
http://www.microsoft.com/windows ... urity/sctoolset.asp



2．关闭不必要的服务
windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log



3．关闭不必要的端口
关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。



4．打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：
策略 设置
审核系统登陆事件 成功，失败
审核帐户管理 成功，失败
审核登陆事件 成功，失败
审核对象访问 成功
审核策略更改 成功，失败
审核特权使用 成功，失败
审核系统事件 成功，失败



5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天



6．开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次



7．设定安全记录的访问权限
安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。



8．把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。



9.不让系统显示上次登陆的用户名
默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的键值改成 1 .



10．禁止建立空连接
默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。



10.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。




高级篇
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。



2.关闭默认共享
win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator
和Backup Operators组成员才可连接，Win2000 Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径，比如 c:\winnt
FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机



3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。



4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
http://www.microsoft.com/windows ... ecurity/encrypt.asp



5.加密temp文件夹
一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。



6.锁住注册表
在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考：
http://support.microsoft.com/support/kb/articles/Q153/1/83.asp



7.关机时清除掉页面文件
页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。



8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。



9.考虑使用智能卡来代替密码
对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。



10.考虑使用IPSec
正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。有关IPSes的详细信息可以参考：



http://www.microsoft.com/china/technet/security/ipsecloc.asp

tqtvfhpgu

五十、搞定非法操作

  作为“菜鸟”，相信大多数朋友在操作Windows时都遇到过和我一样的情况：正在优哉游哉地听着歌曲爬格子，忽然机器罢工了，马上弹出个窗口，“XX程序执行了非法操作，即将关闭”，然后只得眼睁睁地看着刚刚点灯熬油写出来的文章消失在蓝天白云的背景之中，懊恼不已。其实，“非法操作”这种情况并不可怕，只要稍加处理是完全可以避免的。

  造成“非法操作”的原因主要是动态链接库(.dll文件)出现了问题，通常由于安装程序时改变了程序的初始目录，或是删除程序时误删了.dll文件，也可能是病毒修改了.dll文件等原因造成的。我们可以通过查看C盘Windows目录下System文件夹中的.dll文件的日期，找出最近更新的.dll文件；也可以将可能引起问题的.dll文件找出，然后设法恢复即可。

  找出症结，我们就可以用“附件”中的“系统工具”，从指定文件夹中提取未被更新过的.dll文件，恢复它就行了。具体步骤是：

  打开“附件/系统工具”中的“系统信息”，点击“工具”菜单中“系统文件检查器”命令，选择“从安装软盘提取一个文件”，输入要提取的文件名称，点击“开始”，在弹出的对话框“还原自”一项中指定要提取的文件所在的文件夹，通常在d:\win98目录下，也可以通过安装光盘从.cab文件中提取(当然要先“查找”该.dll文件在那个.cab文件夹中)；在“保存到”一项中选定要恢复的文件所在的文件夹，点“确定”提取该文件，重新启动系统即可。

  要想减少“非法操作”情况的出现，可以这样做：少安装测试版软件；不安装多个防火墙；删除程序时，不要用“Del”键，而尽量使用软件自带的卸载程序，若没有，则要用“控制面板”中“添加/删除程序”来删除