超精華80種電腦故障集總貼（1--80）（附案例）

微塵

電腦故障集5（51~80）綜合篇

五十一、綜合類錯誤信息及其故障部位(或原因)
103、131： 主板 104： 硬盤 201： RAM 24XX： 顯示卡 301： 鍵盤 601： 軟驅(qū) 1701： 硬盤 1801： 擴展設(shè)備 BASIC： 驅(qū)動器 Parity Check ?： RAM，電源 Memory Parity Error at xxxx： 內(nèi)存的xxxx地址奇偶校驗錯誤 I/O Card Parity Error at xxxx ：輸入/輸出設(shè)備的xxxx地址奇偶校驗錯誤 DMA Bus Time-out： 設(shè)備的總線驅(qū)動超過了7。8微秒 8042 Gate A-20 Error： 鍵盤控制器(8042)中的Gate A20開關(guān) Address Line Short： 主板的地址解碼線路 Cache Memory Bad Do Not Enable Cache： Cache出錯 C: Drive Failure： C 盤出錯 CH-2 Timer Error： 主板上的第2時鐘 CMOS Battery State Low： 主板電池沒電 CMOS Checksum Failure： CMOS RAM和正常值不符 CMOS Display Type Mismatch： 顯示類型和CMOS設(shè)定值不符 CMOS Memory Size Mismatch： 內(nèi)存容量和CMOS設(shè)定值不符 CMOS System Options Not Set： CMOS設(shè)置被破壞或不存在 CMOS Time and Date Not Set： 進入CMOS設(shè)置時間和日期 Diskette Boot Failure： 啟動盤失效，不能引導(dǎo)，換其它啟動盤重啟 Display Switch Not Proper ：關(guān)掉機器，設(shè)置主板上關(guān)于顯示卡器的跳線 DMA Error： DMA控制器出錯 DMA #1 Error： 第1個DMA控制器出錯 DMA #2 Error： 第2個DMA控制器出錯 FDD Controller Failure： BIOS不能和軟驅(qū)控制器通信，檢查一下軟驅(qū)的連線 File Allocation Table Bad： FAT(文件分配表)被破壞 General Failure Reading Drive C: C盤有一般性讀錯誤 HDD Controller Failure ：BIOS不能和硬盤控制器通信，檢查一下硬盤的連線 INTR #1 Error： 在POST時第一個中斷通道出錯 INTR #2 Error ：在POST時第二個中斷通道出錯 Invalid Boot Diskette： BIOS不能讀A驅(qū)的盤，換一只試試 Keyboard is Locked：Unlock It 鍵盤被鎖，必須開鎖才能繼續(xù)系統(tǒng)引導(dǎo) Keyboard Error：鍵盤時鐘有問題，在CMOS中重新設(shè)置成Not Installed來跳過POST KB/Interface Error： 鍵盤控制器出錯 Off Board Parity Error： 在擴展內(nèi)存卡上的xxxx地址發(fā)生奇偶校驗錯誤 On Board Parity Error： 主內(nèi)存的xxxx地址發(fā)生奇偶校驗錯誤 Parity Error： 內(nèi)存中的不明地址發(fā)生奇偶校驗錯誤 Timer Not Operational： 計時器出錯

五十二、電腦軟件故障
①軟件與系統(tǒng)不兼容引起的故障。軟件的版本與運行的環(huán)境配置不兼容，造成不能運行、系統(tǒng)死機、某些文件被改動和丟失等等。
②軟件相互沖突產(chǎn)生的故障。兩種或多種軟件和程序的運行環(huán)境、存取區(qū)域、工作地址等發(fā)生沖突，造成系統(tǒng)工作混亂，文件丟失等故障。
③誤操作引起的故障。誤操作分為命令誤操作和軟件程序運行誤操作，執(zhí)行了不該使用的命令，選擇了不該使用的操作，運行了某些具有破壞性的程序、不正確或不兼容的診斷程序、磁盤操作程序、性能測試程序等而使文件丟失、磁盤格式化等等。
④計算機病毒引起的故障。計算機病毒將會極大地干擾和影響計算機使用，可以使計算機存儲的數(shù)據(jù)和信息遭受破壞，甚至全部丟失，并且會傳染上其他的計算機。大多數(shù)計算機病毒可以隱藏起來像定時炸彈一樣待機發(fā)作。
⑤不正確的系統(tǒng)配置引起的故障。系統(tǒng)配置故障分為三種類型，即系統(tǒng)啟動基本CMOS芯片配置、系統(tǒng)引導(dǎo)過程配置的系統(tǒng)命令配置，如果這些配置的參數(shù)和設(shè)置不正確，或者沒有設(shè)置，電腦也可能會不工作和產(chǎn)生操作故障。電腦的軟故障一般可以恢復(fù)，不過在某些情況下有的軟件故障也可以轉(zhuǎn)化為硬件故障。

五十三、電腦故障的種類
①電源故障。系統(tǒng)和部件沒有供電，或者只有部分供電。
②元器件與芯片故障。器件與芯片失效、松動、接觸不良、脫落，或者因溫度過熱而不正常工作。
③跳線與開關(guān)故障。系統(tǒng)與各部件上及印制板上的跳線連接脫落，錯誤連接，開關(guān)設(shè)置錯誤，構(gòu)成不正常的系統(tǒng)配置。
④連線與接插件故障。電腦外部和電腦內(nèi)部的各個部件間的連接電纜或者接插頭（座）松動，及至脫落，或者錯誤連接。
⑤部件工作故障。電腦中的主要部件如顯示器、鍵盤、磁盤驅(qū)動器、光驅(qū)等硬件產(chǎn)生的故障，造成系統(tǒng)工作不正常。
⑥系統(tǒng)硬件--兼容性故障。這是涉及到各硬件部件和各種電腦芯片能否相互配合，在工作速度、頻率、溫度等方面能否具有一致性
電腦故障排除常用的方法
⑴拔插法。
拔插法是排除電腦故障最常用的法方之一。具體操作是有故障的電腦關(guān)機后拔出一塊插件板再開機，如果故障依舊，則插回插件板，重復(fù)以上步驟。一旦拔出某塊插件板后故障消失，說明故障點即在該插件板上。此方法的優(yōu)點是能迅速的找出故障點，缺點是對一些故障如顯示字符不正常則不能使用（因為只有一塊顯卡，無法拔插）。常見的例子是內(nèi)存塊故障。
　 ⑵替換法
替換法也是排除故障最常用的方法之一。在不能使用"拔插法"來找故障時，可采用"替換法"來排除故障。此方法是用好的插件板換下可疑的插件板，若故障消失，說明原插件卡的確有問題，此方法的優(yōu)點是方便可靠，尤其是對大規(guī)模集成電路芯片（如CPU）；缺點是一般用戶很難有較多的備用件，所以在電腦維修部門此方法被經(jīng)常使用。
　 ⑶敲擊法
機器運行時好時壞可能是虛焊或接觸不良或金屬氧化電阻增大等原因造成的，對于這種情況可以用敲擊法進行檢查。 例如，有的組件管腳沒焊好，有時能接觸上，有時接觸目驚心不上，造成機器時好時壞。通過敲擊插件板后，使之徹底接觸不良，再進行檢查就容易發(fā)現(xiàn)了。
　 ⑷直接觀察法
用手模、眼看、鼻聞、耳聽等方法作輔助檢查，一般組件發(fā)熱的正常溫度（指組件外殼的溫度）不超過40℃～50℃，手指摸上去有一點溫度，大的組件摸去有點熱，但不燙手。如果手指模組件燙手，度組件可能內(nèi)部短路或是散熱不行，而發(fā)熱，應(yīng)將該組件換下來或是換散熱裝置。 對電路板，有時要看仔細看一下有沒有斷線、焊錫片、雜物和虛焊等。對焦色、龜裂、組件字跡顏色變黃等，應(yīng)更換該組件。 一般機器內(nèi)部某芯片燒壞時會發(fā)出一種臭味，此時應(yīng)馬上關(guān)機檢查，不應(yīng)再加電使用。 耳聽一般要聽有無異聲，特別是驅(qū)動器更應(yīng)仔細聽。如果聽與正常聲音不同則應(yīng)立即檢修。例如驅(qū)動器被啟動后，若有撞車聲，說明沒有尋到零道。 另外還有幾種方法只是對電源部分的就不再多說。因為現(xiàn)在的電源很少要自己修，都有一張封條貼著。

會BIOS設(shè)置易解決電腦故障
BIOS是"基本輸入輸出系統(tǒng)"（Basic Input and Output System）的英語縮寫，BIOS實際上是主板設(shè)計者為使主板能正確管理和控制電腦硬件系統(tǒng)而預(yù)置的管理程序。考慮用戶在組裝或使用電腦時可能需要對部分硬件的參數(shù)以及運行方式進行調(diào)整，所以廠家在BIOS芯片中專門設(shè)置了一片SRAM（靜態(tài)存儲器)，并配備電池來保存這些可能經(jīng)常需要更改的數(shù)據(jù)，由于SRAM采用傳統(tǒng)的CMOS半導(dǎo)體技術(shù)生產(chǎn)，所以人們也習(xí)慣地將其稱為CMOS，而將BIOS設(shè)置稱為CMOS設(shè)置，事實上在BIOS設(shè)置主菜單上顯示的就是"CMOS Setup"(CMOS設(shè)置)。
　　BIOS設(shè)置和BIOS升級可不是一回事，BIOS設(shè)置是指用戶進入BIOS設(shè)置菜單后，更改部分硬件控制參數(shù)或運行模式，而BIOS升級則是指使用專用工具程序來對BIOS程序進行版本升級。BIOS設(shè)置一般不會對電腦構(gòu)成危險，而BIOS升級則可能會出現(xiàn)升級操作失誤而使電腦徹底癱瘓。
　　一、怎樣進入BIOS設(shè)置菜單
　　目前電腦中常使用三類BIOS，其中市場上銷售的各類主板和大部分國產(chǎn)品牌機多使用Award BIOS（由美國Award公司開發(fā)）或AMI BIOS（由美國AMI公司）開發(fā)，另一種就是國外品牌機中常用的Phoenix BIOS（由美國鳳凰公司開發(fā)）。
　　電腦在接通電源時首先由BIOS對硬件系統(tǒng)進行檢測，同時還在屏幕上提示進入BIOS設(shè)置主菜單的方法，例如使用Award BIOS的電腦在啟動時將在屏幕下方顯示"ress DEL to enter SETUP, ESC to Skip Memory test"（按下Del鍵進行CMOS設(shè)置，ESC鍵則跳過內(nèi)存檢測），而使用AMI BIOS的電腦則在啟動時在屏幕上方提示"Hit if you want to run setup"。所以對使用Award BIOS和AMI BIOS的電腦，我們可以在啟動過程中出現(xiàn)上述提示時立即按一下"DEL"鍵來進入BIOS設(shè)置菜單（動作慢了它可不買賬！）。而使用Phoenix BIOS 的機器也會在啟動時提示用戶按"F2"鍵進入設(shè)置菜單。至于其它一些品牌機所使用的BIOS也都可以在電腦啟動時注意察看屏幕提示按相應(yīng)的鍵來進入設(shè)置菜單。
　　二、怎樣選擇項目和更改參數(shù)
　　當我們進入BIOS設(shè)置菜單后，無論哪一種BIOS都會在菜單的特定位置顯示選擇項目和更改參數(shù)的操作方法，另外在進入具體項目設(shè)置菜單后，除了為用戶顯示能夠選擇的具體設(shè)置參數(shù)外，還將為用戶提供一至兩種可供選擇的廠家預(yù)置的設(shè)置選擇項。用戶可以使用光標鍵進行項目選擇，使用翻頁鍵Page Up和Page Down修改參數(shù)，但使用Phoenix BIOS的電腦則使用F7和F8鍵來更改參數(shù)。
　　另外在Award和AMI BIOS設(shè)置的一些主要項目中還可能提示用戶可以分別使用F6和F7鍵調(diào)出廠家預(yù)設(shè)的參數(shù)，也可以在使用廠家預(yù)設(shè)參數(shù)后再通過F5鍵恢復(fù)更改的BIOS設(shè)置。因此初學(xué)乍練的朋友在進行設(shè)置時，可以在進入具體設(shè)置菜單后使用F6或F7鍵調(diào)出廠家預(yù)設(shè)參數(shù)，然后再根據(jù)自己需要和對各種設(shè)置項的了解來進行具體設(shè)置，對于自己不熟悉的項目可暫時保留廠家預(yù)設(shè)值，這樣比較穩(wěn)妥。

微塵

三、怎樣保存BIOS設(shè)置結(jié)果
　　在BIOS設(shè)置結(jié)束后，可退到主菜單選擇"Save ＆ Exit Setup"或"Save Setting and Exit" 退出BIOS設(shè)置，也可以在主菜單位置直接按F10鍵存盤退出。 BIOS中的主要設(shè)置項及相關(guān)內(nèi)容:
　　目前使用最多的Award和AMI BIOS設(shè)置主菜單，分別列有常規(guī)設(shè)置項和功能設(shè)置項，常規(guī)設(shè)置有六個，它們分別是標準設(shè)置、BIOS特性設(shè)置、芯片組功能設(shè)置、PnP／PCI資源管理設(shè)置、I／O綜合端口設(shè)置和能源管理設(shè)置；而功能設(shè)置項是指密碼設(shè)置（Supervisor Password、User Password ）和語言設(shè)置（Change Language）。Award BIOS和AMI BIOS這兩種BIOS設(shè)置菜單中的項目種類和用途相差不大，但可能使用的項目名不同。
　　由于功能項的設(shè)置比較簡單，因此我們先以功能項的設(shè)置和應(yīng)用為例進行介紹，然后再簡單介紹一下六種常規(guī)設(shè)置項中的主要內(nèi)容及其設(shè)置，以下就以較新版本的Award BIOS為例進行介紹。
　　一、BIOS主菜單中的功能設(shè)置項
　　 BIOS主菜單中的密碼設(shè)置和語言設(shè)置功能是最簡單的設(shè)置項，其中超級用戶的密碼權(quán)限高于用戶級密碼，具體體現(xiàn)在使用"超級密碼"的用戶不但可以正常啟動電腦運行各類軟件，而且可以進入BIOS設(shè)置菜單對部分項目進行修改，包括直接修改或撤消由普通用戶已經(jīng)設(shè)置的"用戶密碼"，而使用"用戶密碼"的用戶雖然可以正常啟動電腦運行各類軟件，也能夠進入BIOS設(shè)置菜單進行瀏覽，但不能更改其中的設(shè)置。語言設(shè)置功能則是決定BIOS設(shè)置主菜單使用中文還是英文顯示。
　　1.兩種權(quán)限密碼的設(shè)置方法和步驟
　　"超級密碼"和"用戶密碼"可以同時設(shè)置，并可設(shè)成不同的密碼，也可只設(shè)置其中的一種。具體設(shè)置步驟如下：
　　第一步，開機啟動電腦，當BIOS檢測完CPU和內(nèi)存后在屏幕下方顯示"ress DEL to enter SETUP, ESC to Skip Memory test"時按一下DEL鍵；　　第二步，當屏幕顯示BIOS設(shè)置主菜單后，選擇"Advanced BIOS Features"項后回車，進入"Advanced BIOS Features"設(shè)置菜單；
　　第三步，在"Advanced BIOS Features"設(shè)置菜單中找到"Security Option"后根據(jù)需要用"age UP"和"age Down"鍵設(shè)置電腦使用密碼情況，設(shè)置為"System"時電腦在啟動和進入BIOS設(shè)置菜單時都需要密碼，而設(shè)置為"Setup"時，則只需要在進入BIOS設(shè)置菜單時才需要密碼；
　　第四步，返回主菜單，用光標鍵移動"光條"壓住"Set Supervisor Password"或"Set User Password"后回車，當顯示一個密碼錄入框時（其中提示"Enter Password:"）,輸入預(yù)先想好的3～8位密碼，此時輸入的字符會以"＊"號代替，輸入密碼并回車后會再次提示將剛才已輸入密碼重新輸入一遍以進行確認，再次輸入密碼后提示框消失；
　　注意：密碼最好只使用26個英文字符和0～9的數(shù)字，而不要使用其它符號，因為有的BIOS在你混合使用標點等符號輸入密碼時并不報錯，但當用戶存盤退出后再使用所輸密碼開機或試圖重新進入BIOS設(shè)置菜單時則提示為無效密碼，致使用戶不得不打開機箱對CMOS放電來取消密碼！
　　第五步，選擇主菜單上"Save ＆ Exit Setup"或直接按"F10"鍵，在屏幕出現(xiàn)"Save to CMOS and EXIT(Y／N)?N"提示后按Y鍵退出BIOS設(shè)置菜單后，所輸密碼生效。操作難度：不太難，跟我走吧?易理解程度：有不少術(shù)語，:-( ,只好先記下來了?危險度：有危險，設(shè)置不當可能Down機喲?標準設(shè)置（Standard CMOS Setup）
?最重要的是設(shè)置硬盤類型。可設(shè)置系統(tǒng)日期、時間、硬盤和軟盤的規(guī)格和顯示卡類型等內(nèi)容。其中硬盤"TYPE"可設(shè)為"AUTO"和"USER"兩種類型。如果設(shè)為"AUTO"，電腦在啟動時將自動對IDE接口進行檢測，所以在啟動時在依次檢測CPU和內(nèi)存后，屏幕上會逐行提示：Detecting IDE Primary Master …Quantum EX6.4AT、Detecting IDE Primary Slav…[Press F4 to Skip]等，雖然我們可以通過按F4鍵跳過檢測，但仍然需要消耗一定的時間來跳過檢測，所以這種檢測會影響了電腦啟動的速度，如果我們將其設(shè)為"USER"模式，電腦在啟動時將不進行硬盤參數(shù)檢測，屏幕上也不再顯示BIOS檢測IDE接口的狀況，因此能迅速啟動進入操作系統(tǒng)。另外無論是將IDE端口設(shè)為"AUTO"還是"USER"模式時，都應(yīng)將沒聯(lián)接硬盤的IDE端口設(shè)成"None"，這樣可避免電腦啟動時BIOS對沒使用的IDE端口進行無謂的檢測而浪費時間。
? ##1 BIOS特性設(shè)置（BIOS Features Setup）?最重要的是設(shè)置電腦啟動順序。可設(shè)置的主要內(nèi)容有硬盤防病毒（Anti-Virus Protection）、電腦由軟盤、硬盤或光盤啟動的優(yōu)先順序等。如果硬盤防病毒功能設(shè)為"Enable"，在進行操作系統(tǒng)的安裝（如DOS或Windows 9x等）時將會有報警提示，可能有些軟件就無法繼續(xù)，所以在安裝操作系統(tǒng)時最好暫時關(guān)閉此功能。
?在BIOS特性各項設(shè)置中有些只需選擇"Disabled"或"Enabled",有的則有更多的選擇，例如啟動順序（Boot Sequence）中的設(shè)置就有多種選擇，如"A,C,SCSI"、"C,A,SCSI"、"CDROM,C,A"和"LS／ZIP,C"等，可設(shè)定是由軟驅(qū)A優(yōu)先啟動，硬盤C優(yōu)先啟動還是由光驅(qū)CDROM優(yōu)先啟動電腦等，總之，符號所處排列位置（從左至右）決定了啟動電腦的優(yōu)先順序。
? ##1 自動檢測硬盤參數(shù)?想知道你的硬盤到底有多大嗎？在Award和AMI兩種BIOS中都有自動檢測和設(shè)置硬盤參數(shù)的功能。如在Award BIOS中有"IDE HDD AUTO DETECTION"項，在AMI BIOS中有"Auto-Detect Hard Disks"項。廠家預(yù)置項?在Award和AMI兩種BIOS主菜單中，廠家都設(shè)有一至兩個預(yù)置項，如"Load BIOS SETUP"和"LOAD PERformACE DEFAULTS"，或者是"Load Fail-Safe Defaults"和"Load Optimized Defaults"；如果BIOS主菜單中只有一個預(yù)置項則通常是"Load setup Defaults"。"Load BIOS SETUP"和"Load setup Defaults"的設(shè)置參數(shù)都是按比較保守的指標設(shè)置的。廠家提供這種預(yù)置項的目的是想讓用戶在第一次裝機后加電時能順利開機，或者是在碰到故障（如原因不明的死機等、系統(tǒng)常提示保護性報錯等）時能啟動系統(tǒng)查找故障原因。"LOAD PERformACE DEFAULTS"和"Load Optimized Defaults"項的設(shè)置是廠家按電腦硬件系統(tǒng)的優(yōu)化參數(shù)值設(shè)置的，如果用戶裝機時所使用的硬件不存在兼容問題，那么可以從主菜單上直接調(diào)入這類預(yù)置項，然后再根據(jù)電腦實際運行狀態(tài)進行調(diào)整使其達到最佳狀態(tài)。其他BIOS設(shè)置項的內(nèi)容，供大家參考。

五十四、常見Windows故障全面排除
故障一、顯示藍天白云圖的時間太長
故障現(xiàn)象:
　　啟動計算機時，Windows系統(tǒng)會顯示藍天白云圖，其顯示時間一般在半分鐘左右，然后就進入Windows 9X的桌面。但有些用戶反映自己的計算機在啟動時，用于顯示藍天白云圖的時間往往長達2～3分鐘，這是怎么造成的？
故障分析:
　 顯示藍天白云圖時，系統(tǒng)主要是在執(zhí)行Config.sys、Autoexec.bat以及Win.ini、System.ini和注冊表中的啟動選項，若上述文件中的自啟動選項太多，就會極大地影響系統(tǒng)的啟動速度。另外磁盤出現(xiàn)壞道及系統(tǒng)中存在病毒也會影響系統(tǒng)的啟動速度。
解決方法:
　　首先檢查Autoexec.bat文件，看其中有沒有比較耗時的DOS程序命令行（如新近推出的金山毒霸就利用Autoexec.bat文件在啟動時對整個Windows目錄進行檢測），若有，我們可根據(jù)自己的需要進行取舍，然后再查看Win.ini、System.ini和注冊表中的啟動選項，根據(jù)自己的需要進行取舍。如果這些文件中的啟動選項都被取消后，系統(tǒng)顯示藍天白云圖的時間仍然很長，就應(yīng)該懷疑系統(tǒng)被病毒感染了，這時啟動某個（或多個）最新版本的反病毒程序?qū)ο到y(tǒng)進行掃描是非常必要的。若病毒原因也被排除，我們就應(yīng)該考慮是磁盤故障了。首先對磁盤進行全面掃描，檢查硬盤是否存在壞道，然后運行磁盤碎片整理程序，消除磁盤碎片，最后運行磁盤清理程序，清除計算機中的垃圾文件以騰出必要的磁盤空間。經(jīng)過上述操作后，系統(tǒng)的啟動速度將會大幅度的提升。
故障二、鼠標雙擊操作無效
故障現(xiàn)象:
　　在 Windows窗口中，鼠標的單擊和拖拽操作有效，但無法通過雙擊鼠標來啟動應(yīng)用程序。
故障分析:
　　該故障是用戶無意中將鼠標雙擊的時間間隔設(shè)置得太短，致使系統(tǒng)將用戶的雙擊操作視為兩次不連續(xù)的單擊操作。我們只須適當調(diào)整鼠標雙擊的速度即可解決該問題。
解決方法:
　　進入Windows 9X的"控制面板"，選中"鼠標"選項, 單擊鼠標右鍵，然后選擇彈出菜單中的"打開"命令,啟動鼠標設(shè)置功能。在"鼠標屬性"對話框中選擇"按鈕"選項卡,然后將"雙擊速度"中的滑桿向左移動，適當調(diào)節(jié)Windows 9X的鼠標雙擊速度（此速度可通過旁邊的"測試區(qū)域"進行測試），使之與自己的操作速度相適應(yīng)。

微塵

故障三、在DOS環(huán)境中找不到物理光驅(qū)
故障現(xiàn)象:
　　在Windows 9X下，光驅(qū)使用正常。在DOS環(huán)境中，卻找不到物理光驅(qū)。 故障分析: 　　這主要是用戶對DOS環(huán)境下非標準硬件設(shè)備的使用不了解造成的。在DOS環(huán)境下，要使用任何非標準硬件設(shè)備都必須為它們添加相應(yīng)的驅(qū)動程序，否則，將找不到相應(yīng)的硬件設(shè)備。
解決方法:
　　在DOS下安裝相應(yīng)的光驅(qū)驅(qū)動程序即可。不過根據(jù)不同情況，我們采用的方法也不同:
1.如用戶擁有光驅(qū)驅(qū)動程序盤，且驅(qū)動程序盤中有類似Install.bat、Setup.exe的安裝程序，我們只須在DOS狀態(tài)下運行這些安裝程序即可解決問題。
2.如用戶擁有光驅(qū)驅(qū)動程序盤，但盤中只有一個SYS驅(qū)動程序（如ATAPI_CD.SYS），我們就只能進行手工安裝:首先將該文件拷貝到C盤的CDROM目錄（如沒有該目錄則新建一個）中,然后在Config.sys文件中加入"DEVICE=C:\CDROM\ATAPI_CD.SYS/D:MSCD000"命令行,在Autoexec.bat文件中加入"C:\WINDOWS\ COMMAND\MSCDEX.EXE/D:MSCD000 /V"命令行，或在Windows目錄下的Dosstart.bat文件中加入"C:\Windows\Command\MSCDEX.EXE/D:MSCD000/V"命令。其中，Config.sys和DOSSTART.BAT文件用于解決從Windows 9X退到DOS環(huán)境下的光驅(qū)問題,Config.sys和
Autoe xec.bat文件用于解決開機后直接進入DOS環(huán)境中的光驅(qū)問題。
3.如果用戶沒有光驅(qū)驅(qū)動程序盤，可使用Windows 98中自帶的OAKCDROM.SYS光驅(qū)驅(qū)動程序，該光驅(qū)驅(qū)動程序能兼容現(xiàn)在90%以上的光驅(qū)(注:OAKCD ROM.SYS程序在Windows 98的啟動軟盤上可以找到，我們假設(shè)已將它拷到了C盤CDROM目錄中)。因此，我們只須將第二步Config.sys文件中的"DEVICE=C:＼CDROM＼ATAPI_CD.SYS /D:MSCD000"命令行改為"DEVICE=C:＼CDROM＼OAKCDROM.SYS /D:MSCD000"命令即可。 執(zhí)行上述步驟后，我們就可以在DOS環(huán)境中使用光驅(qū)了。
故障四、整理磁盤碎片導(dǎo)致死循環(huán)
故障現(xiàn)象 :
　　使用Windows 9X的磁盤碎片整理程序整理磁盤碎片，在進行到10%時程序陷入死循環(huán)。
故障分析:
　　磁盤碎片整理的1%～10%階段是檢查驅(qū)動程序是否有錯和讀取驅(qū)動程序信息，10%之后才進行真正的磁盤碎片整理。系統(tǒng)總是進行到10%之后陷入死循環(huán)，多半是因為內(nèi)存駐留程序，如殺毒軟件、屏幕保護程序干擾了正常的磁盤掃描，使程序不能正常進行，從而形成死循環(huán)。
解決方法:
　　在整理磁盤碎片之前先關(guān)閉內(nèi)存駐留程序，然后再進行整理。如果取消這些內(nèi)存駐留程序之后磁盤碎片整理仍然不能進行，則應(yīng)使用SCANDISK對磁盤進行全面檢查（包括表面測試），以排除磁盤故障的可能性。另外，用戶若較長時間沒有整理過磁盤碎片，那么從10%開始到11%的過程的確需要很長的時間（單擊"顯示資料"按鈕，打開系統(tǒng)操作進程可以知道操作是否陷入了死循環(huán)）。
故障五、"控制面板"中的設(shè)置項目不全
故障現(xiàn)象:
　　進入"控制面板"，發(fā)現(xiàn)其中少了某些設(shè)置項目。
故障分析:
　　造成該故障的原因主要有兩種，一是用戶在CONTROL.INI文件中錯誤地設(shè)置了"*.cpl=no"命令,禁止了這些控制圖標的顯示;二是相應(yīng)的系統(tǒng)設(shè)置文件(.CPL文件)不存在。
解決方法:
　　首先打開Windows 目錄中的CONTROL.INI文件，找到[don't load]節(jié)，若在該節(jié)中發(fā)現(xiàn)了相應(yīng)的"*.cpl=no"命令行則說明故障是由第一種原因造成的，我們只須將這些"*.cpl=no"命令行刪除即可解決問題。若在[don't load]節(jié)中沒有發(fā)現(xiàn)"*.cpl=no"命令，說明系統(tǒng)"控制面板"中的設(shè)置項目不全是因為對應(yīng)的.CPL文件不存在。最簡單的解決辦法就是在其它Windows 版本相同的計算機中將這些.CPL文件拷貝到本機的Windows＼SYSTEM目錄中。另外，我們也可以利用Windows的"系統(tǒng)文件檢查器"對所需的CPL文件進行恢復(fù)。經(jīng)過上述步驟后，那些丟失的設(shè)置項目就會重新出現(xiàn)在Windows 的"控制面板"中。
故障六、無法安裝GBK輸入法
故障現(xiàn)象:
　　在試圖使用GBK輸入法輸入大字符集的漢字時,發(fā)現(xiàn)中文Windows 98居然沒有提供GBK輸入法，即使使用系統(tǒng)的"輸入法添加"功能也不能進行添加。
故障分析:
　　這并非中文Windows 98沒有向用戶提供GBK輸入法（微軟公司就是GBK字符集的倡導(dǎo)者），而是Windows 98將原來在Windows 95中分別用于輸入普通文字的普通輸入法和專用的GBK輸入法合二為一了（如它將原來的"全拼輸入法"和"GBK全拼輸入法"合并成新的"全拼輸入法"）。我們可利用這些合并后的輸入法直接輸入GBK大字符集中的任何字符。不過由于大字符集中的字符太多，因此GBK輸入法的重碼也特別多，為加快用戶的輸入速度，Windows 98特意為這些輸入法提供了一個GB2312和GBK的切換開關(guān)，平常我們可關(guān)閉GBK開關(guān)以減少重碼，需要時再打開GBK開關(guān)輸入GBK大字符集漢字。 解決方法: 　　調(diào)出能輸入GBK漢字的輸入法（如"全拼輸入法"），用鼠標右鍵單擊"輸入法狀態(tài)條"，選擇彈出菜單中的"設(shè)置"選項，調(diào)出"輸入法設(shè)置"對話框，從"檢索字符集"框中選擇"GBK"選項即可。
故障七、系統(tǒng)總是首先打開漢字輸入法
故障現(xiàn)象:
　　啟動中文Windows 9X后，系統(tǒng)托盤中的輸入法圖標不是常見的圖標，而是某種漢字輸入法圖標。
故障分析:
　　這是用戶將某種中文輸入法錯誤地設(shè)置為了默認輸入法所致，我們只須將系統(tǒng)默認輸入法還原為英文輸入法即可解決問題。
解決方法: 　
　 右擊系統(tǒng)托盤中的"輸入法"圖標，接著選擇彈出菜單中的"屬性"命令，選擇"鍵盤屬性"設(shè)置框中的 "語言"選項卡，然后在"語言"列表框中選擇"En英語"輸入法并單擊"設(shè)成默認值"按鈕即可。
故障八:系統(tǒng)任務(wù)欄不見了
故障現(xiàn)象: 　
　 啟動計算機后，桌面上的圖標顯示正常，可是卻發(fā)現(xiàn)屏幕下邊的系統(tǒng)任務(wù)欄不見了。
故障分析:
　　計算機啟動過程中，沒出現(xiàn)異常情況，運行程序也正常，故懷疑是任務(wù)欄屬性被設(shè)置成了"自動隱藏"并被拖到了上邊、左邊和右邊的任一邊上。
解決方法:
　　將鼠標移到上邊、左邊或右邊的任一邊上，任務(wù)欄就會顯現(xiàn)出來。然后單擊任務(wù)欄中的空白處，選擇彈出菜單中的"屬性"選項，取消任務(wù)欄的"自動隱藏"屬性后單擊"確定"按鈕，接著按住鼠標左鍵，將任務(wù)欄拖拽到屏幕下邊即可。
故障九、漢字輸入法的狀態(tài)條"失蹤"了
故障現(xiàn)象:
　　調(diào)出某種漢字輸入法后，發(fā)現(xiàn)用來切換半角/全角、中西標點符號的輸入法狀態(tài)條不見了。
故障分析:
　　事實上，中文Windows 9X的輸入法狀態(tài)條具有顯示和隱藏兩種狀態(tài)，不過由于它的切換開關(guān)比較隱蔽，有些用戶沒發(fā)現(xiàn)而已。輸入法狀態(tài)條的失蹤，就是用戶無意中取消了輸入法狀態(tài)條的顯示功能所致。
解決方法:
　　細心的用戶可能會發(fā)現(xiàn)，當我們激活了某種漢字輸入法后，系統(tǒng)托盤中的輸入法狀態(tài)圖標會變成兩個。其中一個為相應(yīng)的輸入法程序圖標，如，另一個是類似于"紙和筆"的小圖標，這就是Windows 9X的輸入法屬性設(shè)置開關(guān)。單擊該圖標后，系統(tǒng)即會彈出一個快捷菜單，其中就有"顯示輸入法狀態(tài)"命令（如圖4），剩下的嘛……不說你也知道了。
故障十、無法在Windows 98中發(fā)送傳真
故障現(xiàn)象:
　　在Windows 98中找不到傳真程序，導(dǎo)致無法發(fā)送傳真。
故障分析:
　　由于國外基本上用電子郵件代替了傳真，因此Windows 98在默認情況下也就沒有提供傳真程序。鑒于中國的特殊情況（聯(lián)網(wǎng)的計算機少于傳真機），微軟公司特意為中文Windows 98提供了單獨的傳真程序，我們只須安裝該程序即可解決問題（前提是你的計算機已經(jīng)能上網(wǎng)了）。
解決方法:
　　將中文Windows 98完整版安裝光盤插入光驅(qū)，然后進入光盤的＼tools＼oldwin95＼message目錄，依次安裝該目錄下的awfax.exe及wms.exe程序，久違的傳真功能就會重新出現(xiàn)在你的面前。
故障十一、 幫助文件目錄變成亂碼
故障現(xiàn)象:
　　進入Windows 98后，發(fā)現(xiàn)幫助目錄中的漢字全變成了亂碼（Windows 98自帶的幫助、應(yīng)用程序的幫助都是如此），但點擊幫助目錄進入幫助文件正文后，顯示的內(nèi)容又完全正常。
故障分析:
　　這是用戶在IE中安裝了繁體中文字庫后出現(xiàn)的故障。
解決方法:
　　在IE中重新安裝簡體中文字庫即可。

五十五、木馬入侵的常用手法及避免木馬入侵的方法
雖然木馬程序千變?nèi)f化，但正如一位木馬組織的負責(zé)人所講，大多數(shù)木馬程序沒有特別的功能，入侵的手法也差不多，只是以前有關(guān)木馬程序的重復(fù)，只是改了個名而已，現(xiàn)在他們都要講究效率，據(jù)說他們要杜絕重復(fù)開發(fā)，浪費資源。當然我們也只能講講以前的一些通用入侵手法，因為我們畢竟不是木馬的開發(fā)者，不可能有先知先覺。
1、在win.ini文件中加載
　　一般在win.ini文件中的[windwos]段中有如下加載項：
run= load= ，一般此兩項為空。
　　如果你發(fā)現(xiàn)你的系統(tǒng)中的此兩項加載了任何可疑的程序時，應(yīng)特別當心，這時可根據(jù)其提供的源文件路徑和功能進一步檢查。我們知道這兩項分別是用來當系統(tǒng)啟動時自動運行和加載程序的，如果木馬程序加載到這兩個子項中之后，那么當你的系統(tǒng)啟動后即可自動運行或加載了。當然也有可能你的系統(tǒng)之中確是需要加載某一程序，但你要知道這更是木馬利用的好機會，它往往會在現(xiàn)有加載的程序文件名之后再加一個它自己的文件名或者參數(shù)，這個文件名也往往用你常見的文件，如command.exe、sys.com等來偽裝

微塵

2、在System.ini文件中加載 　　我們知道在系統(tǒng)信息文件system.ini中也有一個啟動加載項，那就是在[BOOT]子項中的"Shell"項。 　　在這里木馬最慣用的伎倆就是把本應(yīng)是"Explorer"變成它自己的程序名，名稱偽裝成幾乎與原來的一樣，只需稍稍改"Explorer"的字母"l"改為數(shù)字"1"，或者把其中的"o"改為數(shù)字"0"，這些改變?nèi)绻蛔屑毩粢馐呛茈y被人發(fā)現(xiàn)的，這就是我們前面所講的欺騙性。當然也有的木馬不是這樣做的，而是直接把"Explorer"改為別的什么名字，因為他知道還是有很多朋友不知道這里就一定是"Explorer"，或者在"Explorer"加上點什么東東，加上的那些東東肯定就是木馬程序了。 3、修改注冊表 　　如果經(jīng)常研究注冊表的朋友一定知道，在注冊表中我們也可以設(shè)置一些啟動加載項目的，編制木馬程序的高手們當然不會放過這樣的機會的，況且他們知道注冊表中更安全，因為會看注冊表的人更少。事實上，只要是"Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木馬程序加載的入口，如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce。 　　你只要按照其指定的源文件路徑一路查過去，并具體研究一下它在你系統(tǒng)這中的作用就不難發(fā)現(xiàn)這些鍵值的作用了，不過同樣要注意木馬的欺騙性，它可是最善于偽裝自己呵！同時還要仔細觀察一下在這些鍵值項中是否有類似netspy.exe、空格、.exe或其它可疑的文件名，如有則立即刪除。 4、修改文件打開關(guān)聯(lián) 　　木馬程序發(fā)展到了今天，他們發(fā)現(xiàn)以上的那些老招式不靈了，為了更加隱蔽自己，他們所采用隱蔽的手段也是越來越高明了（不過這也是萬物的生存之道，你說呢？），它們采用修改文件打開關(guān)聯(lián)來達到加載的目的，當你打開了一個已修改了打開關(guān)聯(lián)的文件時，木馬也就開始了它的運作，如冰河木馬就是利用文本文件（.txt）這個最常見，但又最不引人注目的文件格式關(guān)聯(lián)來加載自己，當有人打開文本文件時就自動加載了冰河木馬。 　　修改關(guān)聯(lián)的途經(jīng)還是選擇了注冊表的修改，它主要選擇的是文件格式中的"打開"、"編輯"、"打印"項目，如冰河木馬. 　　如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的鍵值不是"c:\windows\notepad.exe %1"，而是改為"syXXXplr.exe %1"。 　　以上所介紹的幾種木馬入侵方式，如果發(fā)現(xiàn)了我們當然是立即對其刪除，并要立即與網(wǎng)絡(luò)斷開，切斷黑客通訊的途徑，在以上各種途徑中查找，如果是在注冊表發(fā)現(xiàn)的，則要利用注冊表的查找功能全部查找一篇，清除所有的木馬隱藏的窩點，做到徹底清除。如果作了注冊表備份，最好全部刪除注冊表后再導(dǎo)入原來的備份注冊表。 　　在清除木馬前一定要注意，如果木馬正在運行，則你無法刪除其程序，這時你可以重啟動到DOS方式然后將其刪除。有的木馬會自動檢查其在注冊表中的自啟動項，如果你是在木馬處于活動時刪除該項的話它能自動恢復(fù)，這時你可以重啟到DOS下將其程序刪除后再進入Win9x下將其注冊表中的自啟動項刪除。 上面是講了我們已發(fā)現(xiàn)的情況下可以采取這些補救措施，但是一般情況下我們沒有那么容易發(fā)現(xiàn)它，只好利用專門的殺毒軟件來幫助我們進行了。目前專門查殺木馬病毒的反木馬軟件主要有以下幾種，我們可以借助它們的功力來鏟助木馬。目前最常用的反木馬程序有： 　　a、the cleaner 　　它可以隨時自動升級，只要輕點UPDATE按紐即可，不象LOCKDOWN還要查你的密碼。它的實時監(jiān)控程序TCA，可即時顯示當前所有運行程序并有詳細的描述信息，是個幫你了解系統(tǒng)的好幫手。 　　b、Trojan Remover 　　它是一個專門用來清除特洛伊木馬和自動修復(fù)系統(tǒng)文件的工具，能夠檢查系統(tǒng)登錄文件、掃描WIN.INI、SYSTEM.INI和系統(tǒng)登錄文件，且掃描完成后會產(chǎn)生Log信息文件，并幫你自動清除特洛伊木馬和修復(fù)系統(tǒng)文件。 c. iparmor 0719版本可以查殺5021種國際木馬，112種電子郵件木馬，保證查殺冰河類文件關(guān)聯(lián)木馬，oicq類寄生木馬，icmp類幽靈木馬,網(wǎng)絡(luò)神偷類反彈木馬。內(nèi)置木馬防火墻，任何黑客試圖與本機建立連接，都需要Iparmor 確認，不僅可以查殺木馬，更可以查黑客。 　　當然還有許多反病毒軟件也具有一些反木馬的功能，而且功能還可以。 如何避免木馬的入侵 　　1、 不要執(zhí)行任何來歷不明的軟件 　　對于從網(wǎng)上下載的軟件在安裝、使用前一定要用多幾種反病毒軟件，最好是專門查殺木馬的軟件進行檢查，確定無毒了再執(zhí)行、使用。 2、不要相信你的郵箱不會收到垃圾和帶毒的郵件 　　永遠不要相信你的郵箱就不會收到垃圾和帶毒的郵件，即使從沒露過面的郵箱或是ISP郵箱，有些時候你永遠沒辦法知道別人如何得知你的mail地址的。 3、不要輕信他人 　　不要因為是你的好朋友發(fā)來的軟件就運行，因為你不能確保他的電腦上就不會有病毒，當然好朋友故意欺騙的可能性不大，但也許他（她）中了黑客程序自己還不知道！同時，網(wǎng)絡(luò)發(fā)展到今天，你也不能保證這一定是你的朋友發(fā)給你的，因為別人也可冒名給你發(fā)郵件。 4、不要隨便留下你的個人資料 　　特別不要在聊天室內(nèi)公開你的Email地址。 因為你永遠不會知道是否有人會處心積慮收集起你的資料，以備將來黑你！更不要將重要口令和資料存放在上網(wǎng)的電腦里，以防黑客侵入你的電腦盜走你一切"值錢的東東"。 5、網(wǎng)上不要得罪人 　　在聊天時，永遠不要以為網(wǎng)絡(luò)上誰也不認識誰就出言不遜，這樣會不小心得罪某些高人，到時找你開刀。 6、不要隨便下載軟件 　　特別是不可靠的小FTP站點、公眾新聞級、論壇或BBS上，因為這些地方正是新病毒發(fā)布的首選之地。 7、最好使用第三方郵件程序 　　如Foxmail等,不要使用Microsoft的Outlook程序，因為Outlook程序的安全漏洞實在太多了，況且Outlook也是那些黑客們首選攻擊的對象，已經(jīng)選好了許多攻擊入口；

微塵

8、不要輕易打開廣告郵件中附件或點擊其中的鏈接
　　因為廣告郵件也是那些黑客程序依附的重要對象，特別是其中的一些鏈接。
9、將windows資源管理器配置成始終顯示擴展名
　　因為一些擴展名為：VBS、SHS、PIF的文件多為木馬病毒的特征文件，更有些文件為又擴展名，那更應(yīng)重點查看，一經(jīng)發(fā)現(xiàn)要立即刪除，千萬不要打開，只有時時顯示了文件的全名才能及時發(fā)現(xiàn)。
10、盡量少用共享文件夾
　　如果因工作等其它原因必需設(shè)置成共享，則最好單獨開一個共享文件夾，把所有需共享的文件都放在這個共享文件夾中，注意千萬不要系統(tǒng)目錄設(shè)置成共享！
11、給電子郵件加密
　　為了確保你的郵件不被其它人看到，同時也為了防止黑客們的攻擊，可使用一些郵件加密軟件，相信它一定不會讓你失望的！
12、隱藏IP地址
　　這一點非常重要！！你上網(wǎng)時最好用一些工具軟件隱藏你的電腦的IP地址，或使用代理服務(wù)器。
13、運行反木馬實時監(jiān)控程序
　　最后，好是最重要的一點就是你在上網(wǎng)時必需運行你的反木馬實時監(jiān)控程序，可即時顯示當前所有運行程序并有詳細的描述信息，加外如加上一些專業(yè)的最新殺毒軟件、個人防火墻進行監(jiān)控那更是放心了，當然這要你的愛機夠檔次才行，你說呢？

五十六、網(wǎng)上鄰居找不到其他計算機
既然在網(wǎng)上鄰居中能夠看到自己的計算機，說明網(wǎng)卡和軟件安裝均沒有問題，可以從以下幾個方面尋找原因：
1. 線路或集線器的問題
(1) ping其他主機的ip地址，檢查其他計算機的連接速度是否正常，如正常，跳至第2步的第4小步，否則進行以下操作.
(2) 檢查機箱背后的網(wǎng)卡提示燈是否閃爍，如果閃爍，一般可以證明本機與集線器的連接正常。否則應(yīng)當檢查網(wǎng)線的兩端是否插好，集線器的電源是否打開。
(3) 檢查集線器上端口和其他計算機端口的指示燈是否處于正常狀態(tài)。如果正常，說明連網(wǎng)設(shè)備與計算機的連接沒有問題。否則應(yīng)當檢查網(wǎng)線的兩端是否已經(jīng)插好，并用網(wǎng)線測試儀對網(wǎng)線的連同性重新進行測試。
2．其他計算機的問題
（1） 檢查其他計算機的網(wǎng)卡燈是否閃爍，如果網(wǎng)卡燈不亮，可能是網(wǎng)卡沒有正確安裝，也可能是沒有和網(wǎng)絡(luò)連接設(shè)備正常連接。打開"控制面板"----"系統(tǒng)"----"設(shè)備管理器"，檢查是否有"網(wǎng)絡(luò)適配器"，或者網(wǎng)絡(luò)適配器下的設(shè)備是否帶有"？"或者"！"。如果是，刪除該設(shè)備，刷新并重新為其安裝驅(qū)動程序。如果不是，則證明是網(wǎng)絡(luò)設(shè)備沒有問題，或者是網(wǎng)線的問題，按照第1步的第2小步所述的方法處理.
（2） 協(xié)議是否安裝，選擇"控制面板"----"網(wǎng)絡(luò)"----"配置"，檢查是否每臺計算機都安裝有tcp/ip協(xié)議和netbeui協(xié)議。如果沒有，添加上述協(xié)議，刪除IPX/SPX協(xié)議。
（3） IP地址設(shè)置是否正確。當只選擇安裝TCP/IP協(xié)議時，該項檢查尤為重要。在MS-DOS方式，運行IPCONFIG命令，將顯示該機的IP地址和子網(wǎng)掩碼(Subnet Mask)，檢查該ip地址是否和其他計算機在同一網(wǎng)段。
（4） 是否已設(shè)置好文件和打印機共享。打開"控制面板"-----"網(wǎng)絡(luò)"----"配置"----"文件及打印共享"，查看是否選中"允許其他用戶訪問我的文件"和"允許其他計算機使用我的打印機"復(fù)選框，如果沒有，選中該選項。
（5） 是否以用身份登陸，無論是Microsoft網(wǎng)絡(luò)用戶，Microsoft友好登陸還是Windows登陸，在計算機啟動時均要求輸入用戶名和密碼，如果不是在輸入用戶名和密碼后按確定登陸Windows98,而是按取消進入，那么他將不會出現(xiàn)在網(wǎng)絡(luò)鄰居之中。檢查"開始"----"注銷"，看"注銷"后是否跟有計算機名，如果顯示為"注銷。。。"，則表明沒有以用戶身份登陸。單擊"注銷"，重新啟動WINDOWS，輸入用戶名和密碼，按確定，進入.
（6） 查找其他計算機。在"開始"----"查找"----"計算機"中，輸入另外一臺計算機名，進行查找，或者在"資源管理器"----"工具"----"查找"----"計算機"中輸入另外一臺計算機的名字，如果一切正常，應(yīng)當能夠?qū)ふ覍Ψ健?br /> 有時候網(wǎng)卡配置正常，網(wǎng)上鄰居也能看到自己（看不到別人），ping自己也可，這是最主要原因是網(wǎng)卡沒有安裝好造成的，（不過這樣的網(wǎng)卡一般比較老，如ISA接口的）。檢查網(wǎng)卡I/O及DMA號：
1、在DOS下用網(wǎng)卡檢測盤檢測I/O及DMA是否與WINDOWS下一致。不一至請將WINDOWS下配置改成DOS下一致即可。
2、打開機箱檢查網(wǎng)卡跳線是否設(shè)置AUTO方式。不是的成AUTO然后，在WINDOWS下重新安裝網(wǎng)卡即可。
Windows優(yōu)化大師的使用
Windows優(yōu)化大師使用時要注意幾個問題：
1.不要完全依靠軟件，因為軟件只是程序不是完全智能的。
2.特別是在注冊表清理時，要認真確認，有的錯誤信息需要修改，如果盲目刪除就會使系統(tǒng)運行不正常。
3.刪除注冊表信息時，要認真核對。
4.優(yōu)化項目，要有選擇。
5.要用好Windows優(yōu)化大師，比較艱苦的每一條信息都要經(jīng)過核對，特別是注冊表信息要確認文件是否存在。不能只是優(yōu)化、刪除，以補充分析的智能化不足。

五十七、忘記Win2000管理員密碼的解決方法
客戶打電腦來問我他的電腦的開機密碼是多少，這個問題我答不上來，因為我壓根兒也沒有在他的電腦上設(shè)什么密碼，經(jīng)仔細詢問后才知道，他自己把自已鎖在門外了，忘記了自己設(shè)的管理員密碼。客戶是上帝，我只有當回黑客了。其實也很簡單，這里告訴大家的兩種方法，都不需第三方軟件。
客戶打電腦來問我他的電腦的開機密碼是多少，這個問題我答不上來，因為我壓根兒也沒有在他的電腦上設(shè)什么密碼，經(jīng)仔細詢問后才知道，他自己把自已鎖在門外了，忘記了自己設(shè)的管理員密碼。客戶是上帝，我只有當回黑客了。其實也很簡單，這里告訴大家的兩種方法，都不需第三方軟件。
方法一：
開機后，Win2000自啟動，出現(xiàn)登錄窗口，顯示用戶名，并要求輸入密碼（當然這時你不會有密碼）。這時請將輸入焦點置于用戶名一項，用Ctrl+Shift切換輸入法（隨便選上一種，只要能出現(xiàn)輸入法工具條的就行）。在出現(xiàn)的輸入法提示工具條上單擊右鍵，選擇幫助，會彈出一個幫助窗口。接下來你需要在這個窗口里找到一個（綠色帶下劃線）超級鏈接，并用SHIFT＋鼠標左鍵單擊，打開它會彈出一個IE窗口，請在窗口地址欄里輸入c:，到這步你應(yīng)該很清楚怎么做了。只要點擊標準按鍵的"向上"，會發(fā)現(xiàn)你可以進入"控制面板"了，進入后你可以直奔"用戶和密碼"接下發(fā)生的事只有你自己知道了。^_^
注意：此方法只能在沒有安裝SP補丁前使用，因為后來有人把這個方法透露給老蓋，老蓋就把他龔斷了。如果你不幸安裝了SP補丁，請不要灰心，下面將繼續(xù)給你介紹第二種方法。
方法二：
用光盤（軟盤）啟動系統(tǒng)，或者說如果硬盤上有雙系統(tǒng)，你也可以從另一個系統(tǒng)進入硬盤，只要你能進入win2000所在的分區(qū)，用哪種方法都行。進入后，找到winnt/system32/config目錄下的sam文件，刪除它后重啟動，大功告成，很簡單吧。
注意：如果win2000的系統(tǒng)分區(qū)為NTFS和NTFS格式，此方法無效。
注解：SAM，即安全賬號管理數(shù)據(jù)庫（Security Accounts Management Database），它是Win NT/2000操作系統(tǒng)的核心，其中存放了本地機和操作系統(tǒng)所控制域的組賬號及用戶賬號信息。SAM中的開始存放了域中各組的描述信息和權(quán)限信息，接下來的部分存放了域用戶的描述信息和加密后的密碼數(shù)據(jù)等。超級用戶Administrator的密碼存放在SAM文件中最后一個"Administrator"字串之后。

五十八、Windows2000安全檢查清單
具體清單如下：
初級安全篇
1.物理安全
服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。另外，機箱,鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在另外的安全的地方。
2.停掉Guest 帳號
在計算機管理的用戶里面把guest帳號停用掉，任何時候都不允許guest帳號登陸系統(tǒng)。為了保險起見，最好給guest 加一個復(fù)雜的密碼，你可以打開記事本，在里面輸入一串包含特殊字符,數(shù)字，字母的長字符串，然后把它作為guest帳號的密碼拷進去。
　
3．限制不必要的用戶數(shù)量
去掉所有的duplicate user 帳戶, 測試用帳戶, 共享帳號，普通部門帳號等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不在使用的帳戶。這些帳戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。國內(nèi)的nt/2000主機，如果系統(tǒng)帳戶超過10個，一般都能找出一兩個弱口令帳戶。我曾經(jīng)發(fā)現(xiàn)一臺主機197個帳戶中竟然有180個帳號都是弱口令帳戶。
4．創(chuàng)建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規(guī)則的。 創(chuàng)建一個一般權(quán)限帳號用來收信以及處理一些日常事物，另一個擁有Administrators 權(quán)限的帳戶只在需要的時候使用。可以讓管理員使用 " RunAS" 命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理。
5．把系統(tǒng)administrator帳號改名
大家都知道，windows 2000 的administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當然，請不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone 。
6．創(chuàng)建一個陷阱帳號
什么是陷阱帳號? Look!>創(chuàng)建一個名為" Administrator"的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 s cripts s忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖。或者在它的login s cripts上面做點手腳。嘿嘿，夠損！
7.把共享文件的權(quán)限從"everyone"組改成"授權(quán)用戶"
"everyone" 在win2000中意味著任何有權(quán)進入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設(shè)置成"everyone"組。包括打印共享，默認的屬性就是"everyone"組的，一定不要忘了改。
8.使用安全密碼
一個好的密碼對于一個網(wǎng)絡(luò)是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經(jīng)可以說明這一點了。一些公司的管理員創(chuàng)建帳號的時候往往用公司名，計算機名，或者一些別的一猜就到的東西做用戶名，然后又把這些帳戶的密碼設(shè)置得N簡單，比如 "welcome" "iloveyou" "letmein"或者和用戶名相同等等。這樣的帳戶應(yīng)該要求用戶首此登陸的時候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。前些天在IRC和人討論這一問題的時候，我們給好密碼下了個定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文檔，必須花43天或者更長的時間才能破解出來，而你的密碼策略是42天必須改密碼。
9.設(shè)置屏幕保護密碼
很簡單也很有必要，設(shè)置屏幕保護密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護程序，浪費系統(tǒng)資源，讓他黑屏就可以了。還有一點，所有系統(tǒng)用戶所使用的機器也最好加上屏幕保護密碼。
10． 使用NTFS格式分區(qū)
把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)安全得多。這點不必多說，想必大家得服務(wù)器都已經(jīng)是NTFS的了。
11．運行防毒軟件
我見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的，其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，"黑客"們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫
12．保障備份盤的安全
一旦系統(tǒng)資料被破壞，備份盤將是你恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。千萬別把資料備份在同一臺服務(wù)器上，那樣的話，還不如不要備份。
中級安全篇：
1．利用win2000的安全配置工具來配置策略
微軟提供了一套的基于MMC(管理控制臺)安全配置和分析工具，利用他們你可以很方便的配置你的服務(wù)器以滿足你的要求。具體內(nèi)容請參考微軟主頁：
http://www.microsoft.com/windows ... urity/sctoolset.asp
2．關(guān)閉不必要的服務(wù)
windows 2000 的 Terminal Services（終端服務(wù)），IIS ,和RAS都可能給你的系統(tǒng)帶來安全漏洞。為了能夠在遠程方便的管理服務(wù)器，很多機器的終端服務(wù)都是開著的，如果你的也開了，要確認你已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運行。要留意服務(wù)器上面開啟的所有服務(wù)，中期性(每天)的檢查他們。下面是C2級別安裝的默認服務(wù)：
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3．關(guān)閉不必要的端口
關(guān)閉端口意味著減少功能，在安全和功能上面需要你作一點決策。如果服務(wù)器安裝在防火墻的后面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，確定開放了哪些服務(wù)是黑客入侵你的系統(tǒng)的第一步。\system32\drivers\etc\services 文件中有知名端口和服務(wù)的對照表可供參考。具體方法為：
網(wǎng)上鄰居>屬性>本地連接>屬性>internet 協(xié)議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性 打開tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。
4．打開審核策略
開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統(tǒng)進行某些方式（如嘗試用戶密碼,改變帳戶策略，未經(jīng)許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。很多的管理員在系統(tǒng)被入侵了幾個月都不知道，直到系統(tǒng)遭到破壞。下面的這些審核是必須開啟的，其他的可以根據(jù)需要增加：
策略 設(shè)置
審核系統(tǒng)登陸事件 成功，失敗
審核帳戶管理 成功，失敗
審核登陸事件 成功，失敗
審核對象訪問 成功
審核策略更改 成功，失敗
審核特權(quán)使用 成功，失敗
審核系統(tǒng)事件 成功，失敗

微塵

5.開啟密碼密碼策略
策略 設(shè)置
密碼復(fù)雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5 次
強制密碼歷史 42 天
6．開啟帳戶策略
策略 設(shè)置
復(fù)位帳戶鎖定計數(shù)器 20分鐘
帳戶鎖定時間 20分鐘
帳戶鎖定閾值 3次
7．設(shè)定安全記錄的訪問權(quán)限
安全記錄在默認情況下是沒有保護的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問。
8．把敏感文件存放在另外的文件服務(wù)器中
雖然現(xiàn)在服務(wù)器的硬盤容量都很大，但是你還是應(yīng)該考慮是否有必要把一些重要的用戶數(shù)據(jù)(文件，數(shù)據(jù)表，項目文件等)存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們。
9.不讓系統(tǒng)顯示上次登陸的用戶名
默認情況下，終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸的帳戶明，本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名，具體是：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的鍵值改成 1 .
10．禁止建立空連接
默認情況下，任何用戶通過通過空連接連上服務(wù)器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成"1"即可。
10.到微軟網(wǎng)站下載最新的補丁程序
很多網(wǎng)絡(luò)管理員沒有訪問安全站點的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補給人家當靶子用。誰也不敢保證數(shù)百萬行以上代碼的2000不出一點安全漏洞，經(jīng)常訪問微軟和一些安全站點，下載最新的service pack和漏洞補丁，是保障服務(wù)器長久安全的唯一方法。
高級篇
1. 關(guān)閉 DirectDraw
這是C2級安全標準對視頻卡和內(nèi)存的要求。關(guān)閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲，在服務(wù)器上玩星際爭霸？我暈..$%$^%^&??），但是對于絕大多數(shù)的商業(yè)站點都應(yīng)該是沒有影響的。 修改注冊表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)為 0 即可。
2.關(guān)閉默認共享
win2000安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，你可以在cmd下打 net share 查看他們。網(wǎng)上有很多關(guān)于IPC入侵的文章，相信大家一定對它不陌生。要禁止這些共享 ，打開 管理工具>計算機管理>共享文件夾>共享 在相應(yīng)的共享文件夾上按右鍵，點停止共享即可，不過機器重新啟動后，這些共享又會重新開啟的。
默認共享目錄 路徑和功能
C$ D$ E$ 每個分區(qū)的根目錄。Win2000 Pro版中，只有Administrator
和Backup Operators組成員才可連接，Win2000 Server版本
Server Operatros組也可以連接到這些共享目錄
ADMIN$ %SYSTEMROOT% 遠程管理用的共享目錄。它的路徑永遠都
指向Win2000的安裝路徑，比如 c:\winnt
FAX$ 在Win2000 Server中，F(xiàn)AX$在fax客戶端發(fā)傳真的時候會到。
IPC$ 空連接。IPC$共享提供了登錄到系統(tǒng)的能力。
NetLogon 這個共享在Windows 2000 服務(wù)器的Net Login 服務(wù)在處
理登陸域請求時用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用戶遠程管理打印機
3.禁止dump file的產(chǎn)生
dump文件在系統(tǒng)崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而，它也能夠給黑客提供一些敏感信息比如一些應(yīng)用程序的密碼等。要禁止它，打開 控制面板>系統(tǒng)屬性>高級>啟動和故障恢復(fù) 把 寫入調(diào)試信息 改成無。要用的時候，可以再重新打開它。
4.使用文件加密系統(tǒng)EFS
Windows2000 強大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數(shù)據(jù)。記住要給文件夾也使用EFS,而不僅僅是單個的文件。 有關(guān)EFS的具體信息可以查看
http://www.microsoft.com/windows ... ecurity/encrypt.asp
5.加密temp文件夾
一些應(yīng)用程序在安裝和升級的時候，會把一些東西拷貝到temp文件夾，但是當程序升級完畢或關(guān)閉的時候，它們并不會自己清除temp文件夾的內(nèi)容。所以，給temp文件夾加密可以給你的文件多一層保護。
6.鎖住注冊表
在windows2000中，只有administrators和Backup Operators才有從網(wǎng)絡(luò)上訪問注冊表的權(quán)限。如果你覺得還不夠的話，可以進一步設(shè)定注冊表訪問權(quán)限，詳細信息請參考：
http://support.microsoft.com/support/kb/articles/Q153/1/83.asp
7.關(guān)機時清除掉頁面文件
頁面文件也就是調(diào)度文件，是win2000用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中，頁面文件中也可能含有另外一些敏感的資料。 要在關(guān)機的時候清楚頁面文件，可以編輯注冊表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值設(shè)置成1。
8.禁止從軟盤和CD Rom啟動系統(tǒng)
一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機制。如果你的服務(wù)器對安全要求非常高，可以考慮使用可移動軟盤和光驅(qū)。把機箱鎖起來扔不失為一個好方法。
9.考慮使用智能卡來代替密碼
對于密碼，總是使安全管理員進退兩難，容易受到 10phtcrack 等工具的攻擊，如果密碼太復(fù)雜，用戶把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。
10.考慮使用IPSec
正如其名字的含義，IPSec 提供 IP 數(shù)據(jù)包的安全性。IPSec 提供身份驗證、完整性和可選擇的機密性。發(fā)送方計算機在傳輸之前加密數(shù)據(jù)，而接收方計算機在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec可以使得系統(tǒng)的安全性能大大增強。有關(guān)IPSes的詳細信息可以參考：
http://www.microsoft.com/china/technet/security/ipsecloc.asp
電腦故障速查系統(tǒng) v1.0
軟件授權(quán)： 免費版
軟件類別： 國產(chǎn)軟件 / 教育學(xué)習(xí)
運行環(huán)境： Win9x/NT/Me/2000/Xp/
軟件語言： 簡體中文
軟件大小： 2665K
軟件簡介： 該軟件匯集了電腦常用軟件使用說明，電腦經(jīng)常出現(xiàn)的問題，以及解決方法，并提供分類查詢,一共有700條記錄，十二個分類。界面友好，共有八種程序界面。
此外您還可以自己添加資料，是查找資料的好幫手。
下載
http://hnpy.onlinedown.net/down/pcgzsc.exe
解決IE不能打開新窗口的小方法
上網(wǎng)時用鼠標右鍵點擊超鏈接，在彈出的菜單中選擇"在新窗口打開"也沒有動靜。不要著急，也許這樣可以解決
　　1、在"開始"菜單中打開"運行"窗口，在其中輸入"regsvr32 actxprxy.dll"，然后"確定"，接著會出現(xiàn)一個信息對話框"DllRegisterServer in actxprxy.dll succeeded"，再次點擊"確定"。
　　2、再次打開"運行"窗口，輸入"regsvr32 shdocvw.dll"，"確定"后在出現(xiàn)的信息對話框中點擊"確定"。
　　3、重新啟動Windows，運行IE，隨便打開一個網(wǎng)頁，點擊一個超鏈接，你會發(fā)現(xiàn)IE又能打開新窗口。再試試用鼠標右鍵選擇"在新窗口打開"，問題解決。


五十九、實戰(zhàn)Fdisk
啟動FDisk
　　在啟動盤根目錄（如A：＼）下鍵入FDisk，按回車鍵確認后，系統(tǒng)會詢問是采用FAT16還是FAT32分區(qū)格式？由于FAT32擁有更好的磁盤空間利用率等優(yōu)點，且Windows 95 OS2版本后的Windows操作系統(tǒng)都支持FAT32，因此建議大家采用FAT32分區(qū)格式。
　　按"Y"鍵進入FDisk后。會出現(xiàn)如下界面：
fdisk的主界面
microsoft window 98fixed disk setup program(c)
copyright microsoft corp. 1983-1998fdisk options
版權(quán)信息
current fixed disk drive：1
檢測到一個硬盤：1
choose one of the following:
在下面的內(nèi)容中選擇其一
1.create dos partition or logical dos drive
1.建立主分區(qū)或邏輯分區(qū)
2.set active partition
2.設(shè)置活動分區(qū)
3.delete partition or logical dos drive
3.刪除主分區(qū)或邏輯驅(qū)動器(區(qū))
4.display partition information
4.顯示分區(qū)信息
enter choice [1]
當前選項[1]
　　查看分區(qū)信息
　　選擇表1中的"4.Display Partition Information"，查看現(xiàn)有的分區(qū)狀況，如出現(xiàn)下表內(nèi)容（如表2），則至"刪除分區(qū)"。如無分區(qū)信息顯示，則跳至"創(chuàng)建分區(qū)"。
顯示現(xiàn)有的分區(qū)狀況
display partition information
current fixed disk drive：1
partition
status
type
volume label
mybytes
system
usage
c:1
2
a
pri dos
ext dos
5005
14614
unknow
26%
74%
total disk space is 19618 mbytes(1mbyte=1048576 bytes)
the extended dos partition contains logial dos drive.
do you want to display the logial dos drive information（y/n）…[y]
邏輯驅(qū)動器包含在擴展分區(qū)中。
你要查看邏輯驅(qū)動器的信息嗎？（是/不）……［是］
　　刪除分區(qū)
　　選擇表1中的"3、Delete Partition Or Logial Dos Drive"，出現(xiàn)下表（如表3）：
刪除分區(qū)的主界面
choose one of the following:
在下面的內(nèi)容中選擇其一
1.delete primary dos partition
1.刪除主分區(qū)
2.delete extended dos partition
2.選擇擴展分區(qū)
3.delete logical dos drive in the extended dos partition
3.刪除邏輯驅(qū)動器(區(qū))
4.delete non-dos partition
4.設(shè)置活動分區(qū)
enter choice [1]
當前選項[1]
　　建議以"邏輯驅(qū)動器→擴展分區(qū)→主分區(qū)"的順序?qū)⒏鞣謪^(qū)（驅(qū)動器）刪除，刪除后硬盤上的內(nèi)容將全部丟失。
　　創(chuàng)建分區(qū)
　　選擇表1中的"1.Create Dos Partition Or Logical Dos Drive"會出現(xiàn)下面的內(nèi)容（如表4）：
創(chuàng)建分區(qū)的主界面
current fixed disk drive：1
檢測到一個硬盤：1
choose one of the following:
在下面的內(nèi)容中選擇其一
1.create primary dos partition

微塵

1.創(chuàng)建主分區(qū)
2. create extended dos partition
2.創(chuàng)建擴展分區(qū)
3. create logical dos drive in the extended dos partition
3.創(chuàng)建邏輯驅(qū)動器（區(qū)）
enter choice [1]
當前選項[1]
　　選擇"1.Create Primary Dos Partition"，隨后FDisk會詢問"你希望用最大容量創(chuàng)建一個主分區(qū)且把它激活嗎？"
　　如果想將所有的硬盤空間劃分為一個區(qū)，則按鍵盤上的"Y"鍵，否則至"創(chuàng)建主分區(qū)"。
　　創(chuàng)建主分區(qū)
　　如果不止創(chuàng)建一個分區(qū)，這時則按"N"鍵。會得到如下提示（如表5）：
　　Total Disk Space Is 19618 Mbytes(1Mbyte=1048576 Bytes)Maximum Space Avaible For Partition Size In Mbytes Or Percent Of Disk Space(%)To Create A Primary Dos Partition
　　總計磁盤空間為19618MB，創(chuàng)建主分區(qū)要輸入數(shù)量或百分比（注：這個括號內(nèi)的數(shù)字是硬盤的整個空間，這時你可以根據(jù)需要輸入一個具體的數(shù)字或百分比，百分比是對整個硬盤而言的）。
　 提示輸入主分區(qū)的容量或百分比
　　輸入具體的數(shù)字或百分比后，按回車鍵即創(chuàng)建了主分區(qū)，這時FDisk會提示："rimary Dos Partition Created（主分區(qū)創(chuàng)建完畢）"，接著按"Esc"鍵返上級菜單。
　　創(chuàng)建擴展分區(qū)
　　選擇"2. Create Extended Dos Partition"，創(chuàng)建擴展分區(qū)，提示如下（如表6）：
　　Total Disk Space Is 19618　Mbytes(1mbyte=1048576bytes)Maximum Space Available For Partition Is 15608 Mbytes (80%) Enter Partition Size In Mbyte Or Percent Of Disk Spack(%)To Create An Extended Dos Partition ...
　　在19618MB的磁盤空間中，有15608MB（80%）可用作創(chuàng)建擴展分區(qū)
　　創(chuàng)建擴展分區(qū)
　　直接按回車鍵即可把剩余空間劃分為擴展分區(qū)，隨后得到如下提示："Extended Dos Partition Created（擴展分區(qū)創(chuàng)建完成）。"
　　創(chuàng)建邏輯驅(qū)動器
　　按"Esc"繼續(xù)出現(xiàn)如下提示（如表7）：
　　Total Extended Dos Partition Size Is 15608 Mbytes(1mbyte=1048576bytes)Maximum Space Available For Logical Drive Is 15608 Mbytes(100%).
　　Enter Logical Drive Size In Mbytes Or Percent Of Disk Space( %).
　　總計擴展分區(qū)的空間為15608MB，有效邏輯驅(qū)動器空間15608MB。鍵入邏輯驅(qū)動器的所占空間的大小（百分比）。
　 創(chuàng)建邏輯驅(qū)動器
　　此時如果只想給硬盤分兩個區(qū)，即C、D兩個區(qū)，則把全部空間劃分為一個邏輯驅(qū)動器。如想劃分多個分區(qū)，則根據(jù)需要進行調(diào)整。比如想賦予D區(qū)7000MB的空間，E區(qū)剩余空間。就在上面的提示中輸入7000，在創(chuàng)建好D區(qū)后，系統(tǒng)會提示輸入下一個邏輯驅(qū)動器的空間，此時將剩余空間全部輸入即可。
激活分區(qū)
分區(qū)的空間調(diào)整好了，最后我們還需要將主分區(qū)激活，方法是選擇表1中的"2.Set Active Partition"一項，接著會出現(xiàn)下面的內(nèi)容（如表8）。
表8 激活主分區(qū)
set active partition
current fixed disk drive：1
partition
status
type
volume label
mybytes
system
usage
c:1
2
pri dos
ext dos
5005
14614
unknow
26%
74%
total disk space is 19618 mbytes(1mbyte=1048576 bytes)
enter the number of the partition you want to make active...：（1）你需要激活哪個分區(qū)?
　　此時選擇"1"將主分區(qū)激活，隨后提示：
　　You Must Restart Your System For Your Changed To Take Effect，Any Drives You Have Created Or Changed Must Be formatted After You Restart Shut Down Windows Before
Restarting.Press Esc To Exit FDisk.
　　你必須重新啟動系統(tǒng)才能完成分區(qū)工作，在使用這些分區(qū)前你需要對它們進行格式化。按Esc鍵退出FDisk。
　　按下"Ctrl+Alt+Del"鍵重新啟動計算機，分區(qū)工作全部完成。


六十、被入侵系統(tǒng)恢復(fù)指南（UNIX或者NT）
本文主要講述UNIX或者NT系統(tǒng)如果被侵入，應(yīng)該如何應(yīng)對。
　　注意:你在系統(tǒng)恢復(fù)過程中的所有步驟都應(yīng)該與你所在組織的網(wǎng)絡(luò)安全策略相符。
A.準備工作
1.商討安全策略
　　如果你的組織沒有自己的安全策略，那么需要按照以下步驟建立自己的安全策略。
1.1.和管理人員協(xié)商
　　將入侵事故通知管理人員，可能在有的組織中很重要。在be aware進行事故恢復(fù)的時候，網(wǎng)絡(luò)管理人員能夠得到內(nèi)部各部門的配合。也應(yīng)該明白入侵可能引起傳媒的注意。
1.2.和法律顧問協(xié)商
　　在開始你的恢復(fù)工作之前，你的組織需要決定是否進行法律調(diào)查。

微塵

注意CERT(Computer Emergency Response Team)只提供技術(shù)方面的幫助和提高網(wǎng)絡(luò)主機對安全事件的反應(yīng)速度。它們不會提出法律方面的建議。所以，對于法律方面的問題建議你咨詢自己的法律顧問。你的法律顧問能夠告訴你入侵者應(yīng)該承擔(dān)的法律責(zé)任(民事的或者是刑事的)，以及有關(guān)的法律程序。
　　現(xiàn)在，是你決定如何處理這起事故的時候了，你可以加強自己系統(tǒng)的安全或者
選擇報警。
　　如果你想找出入侵者是誰，建議你與管理人員協(xié)商并咨詢法律顧問，看看入侵者是否觸犯了地方或者全國的法律。根據(jù)這些，你可以報案，看看警方是否愿意對此進行調(diào)查。
　　針對與入侵事件，你應(yīng)該與管理人員和法律顧問討論以下問題：
　　如果你要追蹤入侵者或者跟蹤網(wǎng)絡(luò)連接，是否會觸犯法律。
　　如果你的站點已經(jīng)意識到入侵但是沒有采取措施阻止，要承擔(dān)什么法律責(zé)任。
　　入侵者是否觸犯了全國或者本地的法律。
　　是否需要進行調(diào)查。
　　是否應(yīng)該報警。
1.3.報警
　　通常，如果你想進行任何類型的調(diào)查或者 *** 入侵者，最好先跟管理人員和法律顧問商量以下。然后通知有關(guān)執(zhí)法機構(gòu)。
　　一定要記住，除非執(zhí)法部門的參與，否則你對入侵者進行的一切跟蹤都可能是非法的。
1.4.知會其他有關(guān)人員
　　除了管理者和法律顧問之外，你還需要通知你的恢復(fù)工作可能影響到的人員，例如其他網(wǎng)絡(luò)管理人員和用戶。
2.記錄恢復(fù)過程中所有的步驟
　　毫不夸張地講，記錄恢復(fù)過程中你采取的每一步措施，是非常重要的。恢復(fù)一個被侵入的系統(tǒng)是一件很麻煩的事，要耗費大量的時間，因此經(jīng)常會使人作出一些草率的決定。記錄自己所做的每一步可以幫助你避免作出草率的決定，還可以留作以后的參考。記錄還可能對法律調(diào)查提供幫助。
B.奪回對系統(tǒng)的控制權(quán)
1.將被侵入的系統(tǒng)從網(wǎng)絡(luò)上斷開
　　為了奪回對被侵入系統(tǒng)的控制權(quán)，你需要將其從網(wǎng)絡(luò)上斷開，包括播號連接。斷開以后，你可能想進入UNIX系統(tǒng)的單用戶模式或者NT的本地管理者(local administrator)模式，以奪回系統(tǒng)控制權(quán)。然而，重啟或者切換到單用戶/本地管理者模式，會丟失一些有用的信息，因為被侵入系統(tǒng)當前運行的所有進程都會被殺死。
　　因此，你可能需要進入C.5.檢查網(wǎng)絡(luò)嗅探器節(jié)，以確定被侵入的系統(tǒng)是否有網(wǎng)絡(luò)嗅探器正在運行。
　　在對系統(tǒng)進行恢復(fù)的過程中，如果系統(tǒng)處于UNIX單用戶模式下，會阻止用戶、入侵者和入侵進程對系統(tǒng)的訪問或者切換主機的運行狀態(tài)。如果在恢復(fù)過程中，沒有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接，在你進行恢復(fù)的過程中，入侵者就可能連接到你的主機，破壞你的恢復(fù)工作。
2.復(fù)制一份被侵入系統(tǒng)的影象
　　在進行入侵分析之前，建議你備份被侵入的系統(tǒng)。以后，你可能會用得著。
　　如果有一個相同大小和類型的硬盤，你就可以使用UNIX命令dd將被侵入系統(tǒng)復(fù)制到這個硬盤。
　　例如，在一個有兩個SCSI硬盤的Linux系統(tǒng)，以下命令將在相同大小和類型的備份硬盤(/dev/sdb)上復(fù)制被侵入系統(tǒng)(在/dev/sda盤上)的一個精確拷貝。 # dd if=/dev/sda of=/dev/sdb
　　請閱讀dd命令的手冊頁獲得這個命令更詳細的信息。
　　還有一些其它的方法備份被侵入的系統(tǒng)。在NT系統(tǒng)中沒有類似于dd的內(nèi)置命令，你可以使用一些第三方的程序復(fù)制被侵入系統(tǒng)的整個硬盤影象。
　　建立一個備份非常重要，你可能會需要將系統(tǒng)恢復(fù)到侵入剛被發(fā)現(xiàn)時的狀態(tài)。它對法律調(diào)查可能有幫助。記錄下備份的卷標、標志和日期，然后保存到一個安全的地方以保持數(shù)據(jù)的完整性。
C.入侵分析
　　現(xiàn)在你可以審查日志文件和系統(tǒng)配置文件了，檢查入侵的蛛絲馬跡，入侵者對系統(tǒng)的修改，和系統(tǒng)配置的脆弱性。
1.檢查入侵者對系統(tǒng)軟件和配置文件的修改
　　a.校驗系統(tǒng)中所有的二進制文件
　　在檢查入侵者對系統(tǒng)軟件和配置文件的修改時，一定要記住:你使用的校驗工具本身可能已經(jīng)被修改過，操作系統(tǒng)的內(nèi)核也有可能被修改了，這非常普遍。因此，建議你使用一個可信任的內(nèi)核啟動系統(tǒng)，而且你使用的所有分析工具都應(yīng)該是干凈的。對于UNIX系統(tǒng)，你可以通過建立一個啟動盤，然后對其寫保護來獲得一個可以信賴的操作系統(tǒng)內(nèi)核。
　　你應(yīng)該徹底檢查所有的系統(tǒng)二進制文件，把它們與原始發(fā)布介質(zhì)(例如光盤)做比較。因為現(xiàn)在已經(jīng)發(fā)現(xiàn)了大量的特洛伊木馬二進制文件，攻擊者可以安裝到系統(tǒng)中。
　　在UNIX系統(tǒng)上，通常有如下的二進制文件會被特洛伊木馬代替：telnet、in.te
lnetd、login、su、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、inetd和syslogd。除此之外，你還需要檢查所有被/etc/inetd.conf文件引用的文件，重要的網(wǎng)絡(luò)和系統(tǒng)程序以及共享庫文件。
　　在NT系統(tǒng)上。特洛伊木馬通常會傳播病毒，或者所謂的"遠程管理程序"，例如Back Orifice和NetBus。特洛伊木馬會取代處理網(wǎng)絡(luò)連接的一些系統(tǒng)文件。
　　一些木馬程序具有和原始二進制文件相同的時間戳和sum校驗值，通過校驗和無法判斷文件是否被修改。因此，對于UNIX系統(tǒng)，我們建議你使用cmp程序直接把系統(tǒng)中的二進制文件和原始發(fā)布介質(zhì)上對應(yīng)的文件進行比較。
　　你還可以選擇另一種方法檢查可疑的二進制文件。向供應(yīng)商索取其發(fā)布的二進制文件的MD5校驗值，然后使用MD5校驗值對可疑的二進制文件進行檢查。這種方法適用于UNIX和NT。
　　b.校驗系統(tǒng)配置文件
　　在UNIX系統(tǒng)中，你應(yīng)該進行如下檢查：
　　檢查/etc/passwd文件中是否有可疑的用戶
　　檢查/etc/inet.conf文件是否被修改過
　　如果你的系統(tǒng)允許使用r命令,例如rlogin、rsh、rexec，你需要檢查/etc/hosts.equiv或者.rhosts文件。
　　檢查新的SUID和SGID文件。下面命令會打印出系統(tǒng)中的所有SUID和SGID文件：
#find / ( -perm -004000 -o -perm -002000 ) -type f -print
　　對于NT，你需要進行如下檢查：
　　檢查不成對的用戶和組成員
　　檢查啟動登錄或者服務(wù)的程序的注冊表入口是否被修改
　　檢查"net share"命令和服務(wù)器管理工具共有的非驗證隱藏文件
　　檢查pulist.ext程序無法識別的進程
2.檢查被修改的數(shù)據(jù)
　　入侵者經(jīng)常會修改系統(tǒng)中的數(shù)據(jù)。所以建議你對web頁面文件、ftp存檔文件、用戶目錄下的文件以及其它的文件進行校驗。
3.檢查入侵者留下的工具和數(shù)據(jù)
　　入侵者通常會在系統(tǒng)中安裝一些工具，以便繼續(xù)監(jiān)視被侵入的系統(tǒng)。
　　入侵者一般會在系統(tǒng)中留下如下種類的文件：
　　網(wǎng)絡(luò)嗅探器
　　網(wǎng)絡(luò)嗅探器就是監(jiān)視和記錄網(wǎng)絡(luò)行動的一種工具程序。入侵者通常會使用網(wǎng)絡(luò)嗅探器獲得在網(wǎng)絡(luò)上以明文進行傳輸?shù)挠脩裘兔艽a。(見C.5)
　　嗅探器在UNIX系統(tǒng)中更為常見。
　　特洛伊木馬程序
　　特洛伊木馬程序能夠在表面上執(zhí)行某種功能，而實際上執(zhí)行另外的功能。因此，入侵者可以使用特洛伊木馬程序隱藏自己的行為，獲得用戶名和密碼數(shù)據(jù)，建立后門以便將來對系統(tǒng)在此訪問被侵入系統(tǒng)。
　　后門
　　后門程序?qū)⒆约弘[藏在被侵入的系統(tǒng)，入侵者通過它就能夠不通過正常的系統(tǒng)驗證，不必使用安全缺陷攻擊程序就可以進入系統(tǒng)。
　　安全缺陷攻擊程序
　　系統(tǒng)運行存在安全缺陷的軟件是其被侵入的一個主要原因。入侵者經(jīng)常會使用一些針對已知安全缺陷的攻擊工具，以此獲得對系統(tǒng)的非法訪問權(quán)限。這些工具通常會留在系統(tǒng)中，保存在一個隱蔽的目錄中。
　　入侵者使用的其它工具
　　以上所列無法包括全部的入侵工具，攻擊者在系統(tǒng)中可能還會留下其它入侵工具。這些工具包括：
　　系統(tǒng)安全缺陷探測工具
　　對其它站點發(fā)起大規(guī)模探測的腳本
　　發(fā)起拒絕服務(wù)攻擊的工具
　　使用被侵入主機計算和網(wǎng)絡(luò)資源的程序
　　入侵工具的輸出
　　你可能會發(fā)現(xiàn)入侵工具程序留下的一些日志文件。在這些文件中可能會包含被牽扯的其它站點，攻擊者利用的安全缺陷，以及其它站點的安全缺陷。
　　因此，建議你對系統(tǒng)進行徹底的搜索，找出上面列出的工具及其輸出文件。一定要注意：在搜索過程中，要使用沒有被攻擊者修改過的搜索工具拷貝。
　　搜索主要可以集中于以下方向：
　　檢查UNIX系統(tǒng)/dev/目錄下意外的ASCII文件。一些特洛伊木馬二進制文件使用的配置文件通常在/dev目錄中。
　　仔細檢查系統(tǒng)中的隱藏文件和隱藏目錄。如果入侵者在系統(tǒng)中建立一個一個新的帳戶，那么這個新帳戶的起始目錄以及他使用的文件可能是隱藏的。
　　檢查一些名字非常奇怪的目錄和文件，例如:...(三個點)、..(兩個點)以及空白(在UNIX系統(tǒng)中)。入侵者通常會在這樣的目錄中隱藏文件。對于NT，應(yīng)該檢查那些名字和一些系統(tǒng)文件名非常接近的目錄和文件。
4.審查系統(tǒng)日志文件
　　詳細地審查你的系統(tǒng)日志文件，你可以了解系統(tǒng)是如何被侵入的，入侵過程中，攻擊者執(zhí)行了哪些操作，以及哪些遠程主機訪問了你的主機。通過這些信息，你能夠?qū)θ肭钟懈忧逦恼J識。
　　記住:系統(tǒng)中的任何日志文件都可能被入侵者改動過。
　　對于UNIX系統(tǒng)，你可能需要查看/etc/syslog.conf文件確定日志信息文件在哪些位置。NT通常使用三個日志文件，記錄所有的NT事件，每個NT事件都會被記錄到其中的一個文件中，你可以使用Event Viewer查看日志文件。其它一些NT應(yīng)用程序可能會把自己的日志放到其它的地方，例如ISS服務(wù)器默認的日志目錄是c:winntsystem32logfiles。
　　以下是一個通常使用的UNIX系統(tǒng)日志文件列表。由于系統(tǒng)配置的不同可能你的系統(tǒng)中沒有其中的某些文件。
　　messages
　　messages日志文件保存了大量的信息。可以從這個文件中發(fā)現(xiàn)異常信息，檢查入侵過程中發(fā)生了哪些事情。
　　 *** erlog
　　如果被侵入系統(tǒng)提供FTP服務(wù)， *** erlog文件就會記錄下所有的FTP傳輸。這些信息可以幫助你確定入侵者向你的系統(tǒng)上載了哪些工具，以及從系統(tǒng)下載了哪些東西。
　　utmp
　　保存當前登錄每個用戶的信息，使用二進制格式。這個文件只能確定當前哪些用戶登錄。使用who命令可以讀出其中的信息。
　　wtmp
　　每次用戶成功的登錄、退出以及系統(tǒng)重啟，都會在wtmp文件中留下記錄。這個文件也使用二進制格式，你需要使用工具程序從中獲取有用的信息。last就是一個這樣的工具。它輸出一個表，包括用戶名、登錄時間、發(fā)起連接的主機名等信息，詳細用法可以使用man last查詢。檢查在這個文件中記錄的可疑連接，可以幫助你確定牽扯到這起入侵事件的主機，找出系統(tǒng)中的哪些帳戶可能被侵入了。
　　secure
　　某些些版本的UNIX系統(tǒng)(例如：RedHat Linux)會將tcp_wrappers信息記錄到secure文件中。如果系統(tǒng)的inetd精靈使用tcp_wrappers,每當有連接請求超出了inetd提供的服務(wù)范圍，就會在這個文件中加入一條日志信息。通過檢查這個日志文件，可以發(fā)現(xiàn)一些異常服務(wù)請求，或者從陌生的主機發(fā)起的連接。
　　審查日志，最基本的一條就是檢查異常現(xiàn)象。
5.檢查網(wǎng)絡(luò)嗅探器
　　入侵者侵入一個UNIX系統(tǒng)后，為了獲得用戶名和密碼信息，一般會在系統(tǒng)上安裝一個網(wǎng)絡(luò)監(jiān)視程序，這種程序就叫作嗅探器或者數(shù)據(jù)包嗅探器。對于NT，入侵者會使用遠程管理程序?qū)崿F(xiàn)上述目的。
　　判斷系統(tǒng)是否被安裝了嗅探器，首先要看當前是否有進程使你的網(wǎng)絡(luò)接口處于混雜（Promiscuous）模式下。如果任何網(wǎng)絡(luò)接口處于promiscuous模式下，就表示可能系統(tǒng)被安裝了網(wǎng)絡(luò)嗅探器。注意如果你重新啟動了系統(tǒng)或者在單用戶模式下操作，可能無法檢測到Promiscuous模式。使用ifconfig命令就可以知道系統(tǒng)網(wǎng)絡(luò)接口是否處于promoscuous模式下(注意一定使用沒有被侵入者修改的ifconfig):
#/path-of-clean-ifconfig/ifconfig -a
　　有一些工具程序可以幫助你檢測系統(tǒng)內(nèi)的嗅探器程序：
　　cpm(Check Promiscuous Mode)--UNIX可以從以下地址下載：
ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/
　　ifstatus--UNIX可以從以下地址下載：
ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/
　　neped.c可以從以下地址的到：
ftp://apostols.org/AposTolls/snoapshots/neped/neped.c
　　一定要記住一些合法的網(wǎng)絡(luò)監(jiān)視程序和協(xié)議分析程序也會把網(wǎng)絡(luò)接口設(shè)置為promiscuous模式。檢測到網(wǎng)絡(luò)接口處于promicuous模式下，并不意味著系統(tǒng)中有嗅探器程序正在運行。
　　但是，在Phrack雜志的一篇文章Phrack Magazine Volume 8,Issue 53 July
8,1998,article 10 of 15, Interface Promiscuity Obscurity)中,有人提供了一些針對FreeBSD、Linux、HP-UX、IRIX和Solaris系統(tǒng)的模塊，可以擦除IFF_PROMISC標志位，從而使嗅探器逃過此類工具的檢查。以此，即使使用以上的工具，你沒有發(fā)現(xiàn)嗅探器，也不能保證攻擊者沒有在系統(tǒng)中安裝嗅探器。
　　現(xiàn)在，LKM(Loadable Kernel Model,可加載內(nèi)核模塊)的廣泛應(yīng)用，也增加了檢
測難度。關(guān)于這一方面的檢測請參考使用KSAT檢測可加載內(nèi)核模塊。
　　還有一個問題應(yīng)該注意，嗅探器程序的日志文件的大小會急劇增加。使用df程序查看文件系統(tǒng)的某個部分的大小是否太大，也可以發(fā)現(xiàn)嗅探器程序的蛛絲馬跡。建議使用lsof程序發(fā)現(xiàn)嗅探器程序打開的日志文件和訪問訪問報文設(shè)備的程序。在此，還要注意:使用的df程序也應(yīng)該是干凈的。
　　一旦在系統(tǒng)中發(fā)現(xiàn)了網(wǎng)絡(luò)嗅探器程序，我們建議你檢查嗅探器程序的輸出文件確定哪些主機受到攻擊者威脅。被嗅探器程序捕獲的報文中目的主機將受到攻擊者的威脅，不過如果系統(tǒng)的密碼是通過明文傳輸，或者目標主機和源主機互相信任，那么源主機將受到更大的威脅。
　　通常嗅探器程序的日志格式如下：
-- TCP/IP LOG -- TM: Tue Nov 15 15:12:29 --
PATH: not_at_risk.domain.com(1567) => at_risk.domain.com(telnet)
　　使用如下命令可以從嗅探器程序的日志文件中得到受到威脅的主機列表：
% grep PATH: $sniffer_log_file | awk '{print $4}' |
awk -F( '{print $1}'| sort -u
　　你可能需要根據(jù)實際情況對這個命令進行一些調(diào)整。一些嗅探器程序會給日志文件加密，增加了檢查的困難。
　　你應(yīng)該知道不只是在嗅探器程序日志文件中出現(xiàn)的主機受到攻擊者的威脅，其它的主機也可能受到威脅。

微塵

6.檢查網(wǎng)絡(luò)上的其它系統(tǒng)
　　除了已知被侵入的系統(tǒng)外，你還應(yīng)該對網(wǎng)絡(luò)上所有的系統(tǒng)進行檢查。主要檢查和被侵入主機共享網(wǎng)絡(luò)服務(wù)(例如:NIX、NFS)或者通過一些機制(例如：hosts.equiv、.rhosts文件，或者kerberos服務(wù)器)和被侵入主機相互信任的系統(tǒng)。
　　建議你使用CERT的入侵檢測檢查列表進行這一步檢查工作。
http://www.cert.org/tech_tips/intruder_detection_checklist.html
http://www.cert.org/tech_tips/wi ... tion_checklist.html
7.檢查涉及到的或者受到威脅的遠程站點
　　在審查日志文件、入侵程序的輸出文件和系統(tǒng)被侵入以來被修改的和新建立的文件時，要注意哪些站點可能會連接到被侵入的系統(tǒng)。根據(jù)經(jīng)驗?zāi)切┻B接到被侵入主機的站點，通常已經(jīng)被侵入了。所以要盡快找出其它可能遭到入侵的系統(tǒng)，通知其管理人員。
D.通知相關(guān)的CSIRT和其它被涉及的站點
1.事故報告
　　入侵者通常會使用被侵入的帳戶或者主機發(fā)動對其它站點的攻擊。如果你發(fā)現(xiàn)針對其它站點的入侵活動，建議你馬上和這些站點聯(lián)絡(luò)。告訴他們你發(fā)現(xiàn)的入侵征兆，建議他們檢查自己的系統(tǒng)是否被侵入，以及如何防護。要盡可能告訴他們所有的細節(jié)，包括：日期/時間戳、時區(qū)，以及他們需要的信息。
　　你還可以向CERT(計算機緊急反應(yīng)組)提交事故報告，從他們那里的到一些恢復(fù)建議。
　　中國大陸地區(qū)的網(wǎng)址是:
http://www.cert.org.cn
2.與CERT調(diào)節(jié)中心聯(lián)系
　　你還可以填寫一份事故報告表，使用電子郵件發(fā)送http://www.cert.org,從那里可以得到更多幫助。CERT會根據(jù)事故報告表對攻擊趨勢進行分析，將分析結(jié)果總結(jié)到他們的安全建議和安全總結(jié)，從而防止攻擊的蔓延。可以從以下網(wǎng)址獲得事故報告表：
http://www.cert.org/ftp/incident_reporting_form
3.獲得受牽連站點的聯(lián)系信息
　　如果你需要獲得頂級域名(.com、.edu、.net、.org等)的聯(lián)系信息，建議你使用interNIC的whois數(shù)據(jù)庫。
http://rs.internic.net/whois.html
　　如果你想要獲得登記者的確切信息，請使用interNIC的登記者目錄：
http://rs.internic.net/origin.html
　　想獲得亞太地區(qū)和澳洲的聯(lián)系信息，請查詢：
http://www.apnic.net/apnic-bin/whois.pl
http://www.aunic.net/cgi-bin/whois.aunic
　　如果你需要其它事故反應(yīng)組的聯(lián)系信息，請查閱FIRST(Forum of Incident Response and Security Teams)的聯(lián)系列表:
http://www.first.org/team-info/
　　要獲得其它的聯(lián)系信息，請參考：
http://www.cert.org/tech_tips/finding_site_contacts.html
　　建議你和卷入入侵活動的主機聯(lián)系時，不要發(fā)信給root或者postmaster。因為一旦這些主機已經(jīng)被侵入，入侵者就可能獲得了超級用戶的權(quán)限，就可能讀到或者攔截送到的
e-mail。
E.恢復(fù)系統(tǒng)
1.安裝干凈的操作系統(tǒng)版本
　　一定要記住如果主機被侵入，系統(tǒng)中的任何東西都可能被攻擊者修改過了，包括：內(nèi)核、二進制可執(zhí)行文件、數(shù)據(jù)文件、正在運行的進程以及內(nèi)存。通常，需要從發(fā)布介質(zhì)上重裝操作系統(tǒng)，然后在重新連接到網(wǎng)絡(luò)上之前，安裝所有的安全補丁，只有這樣才會使系統(tǒng)不受后門和攻擊者的影響。只是找出并修補被攻擊者利用的安全缺陷是不夠的。
　　我們建議你使用干凈的備份程序備份整個系統(tǒng)。然后重裝系統(tǒng)。
2.取消不必要的服務(wù)
　　只配置系統(tǒng)要提供的服務(wù)，取消那些沒有必要的服務(wù)。檢查并確信其配置文件沒有脆弱性以及該服務(wù)是否可靠。通常，最保守的策略是取消所有的服務(wù)，只啟動你需要的服務(wù)。
3.安裝供應(yīng)商提供的所有補丁
　　我們強烈建議你安裝了所有的安全補丁，要使你的系統(tǒng)能夠抵御外來攻擊，不被再次侵入，這是最重要的一步。
　　你應(yīng)該關(guān)注所有針對自己系統(tǒng)的升級和補丁信息。
4.查閱CERT的安全建議、安全總結(jié)和供應(yīng)商的安全提示
　　我們鼓勵你查閱CERT以前的安全建議和總結(jié)，以及供應(yīng)商的安全提示，一定要安裝所有的安全補丁。
　　CERT安全建議：
http://www.cert.org/advisories/
　　CERT安全總結(jié)：
http://www.cert.org/advisories/
　　供應(yīng)商安全提示：
ftp://ftp.cert.org/pub/cert_bulletins/
5.謹慎使用備份數(shù)據(jù)
　　在從備份中恢復(fù)數(shù)據(jù)時，要確信備份主機沒有被侵入。一定要記住，恢復(fù)過程可能會重新帶來安全缺陷，被入侵者利用。如果你只是恢復(fù)用戶的home目錄以及數(shù)據(jù)文件，請記住文件中可能藏有特洛伊木馬程序。你還要注意用戶起始目錄下的.rhost文件。
6.改變密碼
　　在彌補了安全漏洞或者解決了配置問題以后，建議你改變系統(tǒng)中所有帳戶的密碼。一定要確信所有帳戶的密碼都不容易被猜到。你可能需要使用供應(yīng)商提供的或者第三方的工具加強密碼的安全。
　　澳大利亞CERT發(fā)表了一篇choosing good passwords的文章，可以幫助你選擇良好的密碼。
F.加強系統(tǒng)和網(wǎng)絡(luò)的安全
1.根據(jù)CERT的UNIX/NT配置指南檢查系統(tǒng)的安全性
　　CERT的UNIX/NT配置指南可以幫助你檢查系統(tǒng)中容易被入侵者利用的配置問題。
http://www.cert.org/tech_tips/unix_configuration_guidelines.html
http://www.cert.org/tech_tips/win_configuration_guidelines.html
　　查閱安全工具文檔可以參考以下文章，決定使用的安全工具。
http://www.cert.org/tech_tips/security_tools.html
2.安裝安全工具
　　在將系統(tǒng)連接到網(wǎng)絡(luò)上之前，一定要安裝所有選擇的安全工具。同時，最好使用Tripwire、aide等工具對系統(tǒng)文件進行MD5校驗，把校驗碼放到安全的地方，以便以后對系統(tǒng)進行檢查。
3.打開日志
　　啟動日志(logging)/檢查(auditing)/記帳(accounting)程序,將它們設(shè)置到準確的級別,例如sendmail日志應(yīng)該是9級或者更高。經(jīng)常備份你的日志文件，或者將日志寫到另外的機器、一個只能增加的文件系統(tǒng)或者一個安全的日志主機。
4.配置防火墻對網(wǎng)絡(luò)進行防御
　　現(xiàn)在有關(guān)防火墻的配置文章很多，在此就不一一列舉了。你也可以參考：
http://www.cert.org/tech_tips/packet_filtering.html
G.重新連接到Internet全
　　完成以上步驟以后，你就可以把系統(tǒng)連接回Internet了。
H.升級你的安全策略
　　CERT調(diào)節(jié)中心建議每個站點都要有自己的計算機安全策略。每個組織都有自己特殊的文化和安全需求，因此需要根據(jù)自己的情況指定安全策略。關(guān)于這一點請參考RFC2196站點安全手冊:
ftp://ftp.isi.edu/in-notes/rfc2196.txt
1.總結(jié)教訓(xùn)
　　從記錄中總結(jié)出對于這起事故的教訓(xùn)，這有助于你檢討自己的安全策略。
2.計算事故的代價
　　許多組織只有在付出了很大代價以后才會改進自己的安全策略。計算事故的代價有助于讓你的組織認識到安全的重要性。而且可以讓管理者認識到安全有多么重要。
3.改進你的安全策略
　　最后一步是對你的安全策略進行修改。所做的修改要讓組織內(nèi)的所有成員都知道，還要讓他們知道對他們的影響。

六十一、防火墻封阻應(yīng)用攻擊技術(shù)綜述
你已經(jīng)決心下大力氣搞好應(yīng)用安全嗎？畢竟，例如金融交易、信用卡號碼、機密資料、用戶檔案等信息，對于企業(yè)來說太重要了。不過這些應(yīng)用實在太龐大、太復(fù)雜了，最困難的就是，這些應(yīng)用在通過網(wǎng)絡(luò)防火墻上的端口80（主要用于HTTP）和端口443（用于SSL）長驅(qū)直入的攻擊面前暴露無遺。這時防火墻可以派上用場，應(yīng)用防火墻發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的八項技術(shù)如下：
　　深度數(shù)據(jù)包處理
　　深度數(shù)據(jù)包處理有時被稱為深度數(shù)據(jù)包檢測或者語義檢測，它就是把多個數(shù)據(jù)包關(guān)聯(lián)到一個數(shù)據(jù)流當中，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應(yīng)用流量，以避免給應(yīng)用帶來時延。下面每一種技術(shù)代表深度數(shù)據(jù)包處理的不同級別。
　　TCP/IP終止
　　應(yīng)用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及多種請求，即不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應(yīng)用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。
　　SSL終止
　　如今，幾乎所有的安全應(yīng)用都使?*** TTPS確保通信的保密性。然而，SSL數(shù)據(jù)流采用了端到端加密，因而對被動探測器如入侵檢測系統(tǒng)（IDS）產(chǎn)品來說是不透明的。為了阻止惡意流量，應(yīng)用防火墻必須終止SSL，對數(shù)據(jù)流進行解碼，以便檢查明文格式的流量。這是保護應(yīng)用流量的最起碼要求。如果你的安全策略不允許敏感信息在未加密的前提下通過網(wǎng)絡(luò)傳輸，你就需要在流量發(fā)送到Web服務(wù)器之前重新進行加密的解決方案。
　　URL過濾
　　一旦應(yīng)用流量呈明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，譬如可疑的統(tǒng)一代碼編碼（unicode encoding）。對URL過濾采用基于特征的方案，僅僅尋找匹配定期更新的特征、過濾掉與已知攻擊如紅色代碼和尼姆達有關(guān)的URL，這是遠遠不夠的。這就需要一種方案不僅能檢查RUL，還能檢查請求的其余部分。其實，如果把應(yīng)用響應(yīng)考慮進來，可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作，可以阻止通常的腳本少年類型的攻擊，但無力抵御大部分的應(yīng)用層漏洞。
請求分析
　　全面的請求分析技術(shù)比單單采用URL過濾來得有效，可以防止Web服務(wù)器層的跨站腳本執(zhí)行（cross-site scripting）漏洞和其它漏洞。全面的請求分析使URL過濾更進了一步：可以確保請求符合要求、遵守標準的HTTP規(guī)范，同時確保單個的請求部分在合理的大小限制范圍之內(nèi)。這項技術(shù)對防止緩沖器溢出攻擊非常有效。然而，請求分析仍是一項無狀態(tài)技術(shù)。它只能檢測當前請求。正如我們所知道的那樣，記住以前的行為能夠獲得極有意義的分析，同時獲得更深層的保護。
　　用戶會話跟蹤
　　更先進的下一個技術(shù)就是用戶會話跟蹤。這是應(yīng)用流量狀態(tài)檢測技術(shù)的最基本部分：跟蹤用戶會話，把單個用戶的行為關(guān)聯(lián)起來。這項功能通常借助于通過URL重寫（URL rewriting）來使用會話信息塊加以實現(xiàn)。只要跟蹤單個用戶的請求，就能夠?qū)π畔K實行極其嚴格的檢查。這樣就能有效防御會話劫持（session-hijacking）及信息塊中毒（cookie-poisoning）類型的漏洞。有效的會話跟蹤不僅能夠跟蹤應(yīng)用防火墻創(chuàng)建的信息塊，還能對應(yīng)用生成的信息塊進行數(shù)字簽名，以保護這些信息塊不被人篡改。這需要能夠跟蹤每個請求的響應(yīng)，并從中提取信息塊信息。
　　響應(yīng)模式匹配
　　響應(yīng)模式匹配為應(yīng)用提供了更全面的保護：它不僅檢查提交至Web服務(wù)器的請求，還檢查Web服務(wù)器生成的響應(yīng)。它能極其有效地防止網(wǎng)站受毀損，或者更確切地說，防止已毀損網(wǎng)站被瀏覽。對響應(yīng)里面的模式進行匹配相當于在請求端對URL進行過濾。響應(yīng)模式匹配分三個級別。防毀損工作由應(yīng)用防火墻來進行，它對站點上的靜態(tài)內(nèi)容進行數(shù)字簽名。如果發(fā)現(xiàn)內(nèi)容離開Web服務(wù)器后出現(xiàn)了改動，防火墻就會用原始內(nèi)容取代已毀損頁面。至于對付敏感信息泄露方面，應(yīng)用防火墻會監(jiān)控響應(yīng)，尋找可能表明服務(wù)器有問題的模式，譬如一長串Java異常符。如果發(fā)現(xiàn)這類模式，防火墻就會把它們從響應(yīng)當中剔除，或者干脆封阻響應(yīng)。

微塵

采用"停走"字（'stop and go'word）的方案會尋找必須出現(xiàn)或不得出現(xiàn)在應(yīng)用生成的響應(yīng)里面的預(yù)定義通用模式。譬如說，可以要求應(yīng)用提供的每個頁面都要有版權(quán)聲明。
　　行為建模
　　行為建模有時稱為積極的安全模型或"白名單"（white list）安全，它是唯一能夠防御最棘手的應(yīng)用漏洞--零時間漏洞的保護機制。零時間漏洞是指未寫入文檔或"還不知道"的攻擊。對付這類攻擊的唯一機制就是只允許已知是良好行為的行為，其它行為一律禁止。這項技術(shù)要求對應(yīng)用行為進行建模，這反過來就要求全面分析提交至應(yīng)用的每個請求的每次響應(yīng)，目的在于識別頁面上的行為元素，譬如表單域、按鈕和超文本鏈接。這種級別的分析可以發(fā)現(xiàn)惡意表單域及隱藏表單域操縱類型的漏洞，同時對允許用戶訪問的URL實行極其嚴格的監(jiān)控。行為建模是唯一能夠有效對付全部16種應(yīng)用漏洞的技術(shù)。行為建模是一種很好的概念，但其功效往往受到自身嚴格性的限制。某些情況譬如大量使用javascript或者應(yīng)用故意偏離行為模型都會導(dǎo)致行為建模犯錯，從而引發(fā)誤報，拒絕合理用戶訪問應(yīng)用。行為建模要發(fā)揮作用，就需要一定程度的人為干預(yù)，以提高安全模型的準確性。行為自動預(yù)測又叫規(guī)則自動生成或應(yīng)用學(xué)習(xí)，嚴格說來不是流量檢測技術(shù)，而是一種元檢測（meta-inspection）技術(shù)，它能夠分析流量、建立行為模型，并且借助于各種關(guān)聯(lián)技術(shù)生成應(yīng)用于行為模型的一套規(guī)則，以提高精確度。行為建模的優(yōu)點在于短時間學(xué)習(xí)應(yīng)用之后能夠自動配置。保護端口80是安全人員面臨的最重大也是最重要的挑戰(zhàn)之一。所幸的是，如今已出現(xiàn)了解決這一問題的創(chuàng)新方案，而且在不斷完善。如果在分層安全基礎(chǔ)設(shè)施里面集成了能夠封阻16類應(yīng)用漏洞的應(yīng)用防火墻，你就可以解決應(yīng)用安全這一難題。

六十二、不用專門軟件照樣修復(fù)硬盤分區(qū)表
硬盤分區(qū)表一旦被破壞，系統(tǒng)就無法啟動。這種情況下該怎么辦呢？看到有些媒體推薦用Disk Genius。可是并不是每個朋友手里都有這個軟件。當電腦出現(xiàn)問題時，電腦已經(jīng)不能啟動了，更別提上網(wǎng)去下載這個軟件了！其實有更簡單的辦法，那就是用Windows的安裝光盤來修復(fù)。
　　第一種方法，只有Windows 98光盤時。首先用光盤或者軟盤引導(dǎo)系統(tǒng)，然后用Fdisk/ mbr修復(fù)分區(qū)表，不過這樣未必能夠完全修復(fù)。但一般情況下，至少可以用上C盤了，然后再下載Disk Genius修復(fù)也是可行之道。
　　第二種方法：有Windows XP光盤的，用Windows XP光盤啟動后，選擇第二項"要用恢復(fù)控制臺修復(fù)Windows XP安裝，請按R鍵"。按下R鍵，就可以進入Windows XP的故障控制臺了。然后鍵入Fixmbr，回車，就可以恢復(fù)大多數(shù)情況下的分區(qū)表錯誤了。經(jīng)我實際使用發(fā)現(xiàn)用fixmbr命令不僅可以修復(fù)Windows XP系統(tǒng)下的分區(qū)錯誤，對Windows 98系統(tǒng)，以及Windows 98/XP雙系統(tǒng)均有效，fixmbr命令格式如下：
fixmbr [device_name(驅(qū)動器盤符)]。


六十三、幾種常用故障處理
遭遇停電
　　現(xiàn)象：顯示器，主機，音箱等會在一瞬間"強行關(guān)閉"。
　　現(xiàn)象分析：這是突然"停電"造成的。由停電的瞬間產(chǎn)生的電壓波動會沖擊電腦硬件的芯片，電路，電阻等。而一旦停電時您正在進行磁盤讀寫操作，則有可能產(chǎn)生壞道，或當你在編寫文稿時，則數(shù)據(jù)資料就會丟失……
　　應(yīng)當之策：配電腦時選配個品牌電源，這樣能最大限度的從電源上減小電壓波動對硬件造成的不良影響。停電后，關(guān)閉所有電源，以防下次來電時顯示器和部份ＡＴＸ電源同時啟動，這樣會造成對硬件的不良損害。當您用WORD編輯文稿時，用上WORD的自動保存功能。如果停電的瞬間恰好您在對磁盤進行操作，建議您下次開機不要在啟動時跳過磁盤檢測，檢測有無產(chǎn)生壞道。一旦發(fā)現(xiàn)壞道，則用NORTON，PQMAGIC等工具軟件來修復(fù)或屏蔽壞道。另外，如果您經(jīng)濟上許可，建議選配一個UPS，為電腦提供一段時間的斷電保護。
自動關(guān)機
　　現(xiàn)象：電腦在正常運行過程中，突然自動關(guān)閉系統(tǒng)或重啟系統(tǒng)。
　　現(xiàn)象分析：現(xiàn)今的主板對CPU有溫度監(jiān)控功能，一旦CPU溫度過高，超過了主板BIOS中所設(shè)定的溫度，主板就會自動切斷電源，以保護相關(guān)硬件。另一方面，系統(tǒng)中的電源管理和病毒軟件也會導(dǎo)致這種現(xiàn)象發(fā)生。
　　應(yīng)當之策：上述突然關(guān)機現(xiàn)象如果一直發(fā)生，先確認CPU的散熱是否正常。開機箱目測風(fēng)扇葉片是否工作正常，再進入BIOS選項看風(fēng)扇的轉(zhuǎn)速和CPU的工作溫度。發(fā)現(xiàn)是風(fēng)扇的問題，就對風(fēng)扇進行相關(guān)的除塵維護或更換質(zhì)量更好的風(fēng)扇。如果排除硬件的原因，進入系統(tǒng)，從"吻到死"的安裝光盤中覆蓋安裝電源管理，再徹底查殺病毒。當這些因素都排除時，故障的起因就可能是電源老化或損壞，這可以通過替換電源法來確認，電源壞掉就換個新的，切不可繼續(xù)使用，會燒毀硬件的。
系統(tǒng)當機
　　現(xiàn)象：桌面被鎖定，鼠標不能動，嚴重時連熱啟動（ALT+CTRL+DEL）都不行。還有就是藍屏現(xiàn)象。
　　現(xiàn)象分析："吻到死"系統(tǒng)自身的BUG以及各軟件間的兼容性問題是該故障的原因，也可能是用戶同一時間運行了過多的大程序，從而導(dǎo)致進程阻塞，引發(fā)當機。
　　應(yīng)對之策：當機分2種，真當和假當，二者區(qū)分的最簡單方法是按下小鍵盤區(qū)的Numlock鍵，觀察其指示燈有無變化。有，則假當；反之，真當。假當可以同時按下ALT+CTRL+DEL在出現(xiàn)的任務(wù)列表里選定程序名后標注沒有響應(yīng)的項，單擊結(jié)束任務(wù)。真當，只有冷啟動了。對于藍屏，在按下ESC鍵無效后，選擇重啟，按機箱面板上的復(fù)位鍵。對于兼容性問題，可以從卸載"問題"軟件和更新主板BIOS和相關(guān)主板驅(qū)動程序上來解決。
病毒發(fā)作
　　現(xiàn)象：系統(tǒng)運行緩慢，當機，非法操作，硬盤燈亂閃，經(jīng)常藍屏，以及莫名奇妙的系統(tǒng)提示……
　　現(xiàn)象分析：病毒實質(zhì)上是一種惡意的電腦程序代碼，病毒通過大量的自身復(fù)制，同時在系統(tǒng)中隱秘運行，占有系統(tǒng)資源，嚴重的還會對軟件和硬件造成破壞，如CIH，硬盤鎖等。
應(yīng)對之策：道高一尺，魔低一丈，病毒的克星是殺毒軟件。一旦懷疑自己的機器染上病毒，請重新啟動系統(tǒng)到DOS，運行正版的殺毒軟件（DOS版）這樣可以殺掉在"吻到死"下殺不了的病毒；而后再啟動到系統(tǒng)桌面，運行殺毒軟件的WINDOWS版本進行再殺毒。另一方面，由于病毒發(fā)作嚴重時會破壞一些文件；我們就在病毒發(fā)作之前把重要的文件備份到Ｃ盤之外其它驅(qū)動器，且把數(shù)據(jù)文件的屬性設(shè)定為只讀。同時，大家要時刻更新殺毒軟件病毒庫，少用盜版碟，已上網(wǎng)的朋友們對不明的郵件附件千萬不要下載。
系統(tǒng)故障
　　現(xiàn)象：進不了系統(tǒng)，典型表現(xiàn)為開機自檢通過，在啟動畫面處停止，或顯示：The disk is error等有E文提示的諸多現(xiàn)象。
　　現(xiàn)象分析：此為系統(tǒng)故障，可由很多原因引起，比較常見的就是系統(tǒng)文件被修改，破壞，或是加載了不正常的命令行。此外，硬盤的故障也是原因之一。
　　應(yīng)對之策：首先要嘗試能否進入安全模式，開機按F８鍵，選擇啟動菜單里的第三項：Safe model（安全模式）。進入安全模式后，可以通過設(shè)備管理器和系統(tǒng)文件檢查器來找尋故障，遇到有"！"號的可以查明正身再確定是否del或設(shè)置中斷。也可以重裝驅(qū)動程序，系統(tǒng)文件受損可以從安裝文件恢復(fù)（建議事先就把WINDOWS的安裝盤復(fù)制在硬盤里）。如果連安全模式都不能進入，就通過帶啟動的光盤或是軟盤啟動到DOS，在DOS下先殺毒并且用Dir檢查Ｃ盤內(nèi)的系統(tǒng)文件是否完整，必要時可通過系統(tǒng)軟盤進行Sys C:，恢復(fù)相關(guān)的基本系統(tǒng)文件。如果C盤內(nèi)沒有發(fā)現(xiàn)文件，則只有對系統(tǒng)進行徹底重裝。
驅(qū)動丟失
　　現(xiàn)象：開機時16色顯示，放音頻文件時顯示"XXX"設(shè)備正被占用。
　　現(xiàn)象分析：排除病毒的原因后，這種現(xiàn)象多發(fā)生在用過N個月的老機子上，或用戶新近動過主機內(nèi)的部件，（如顯卡和PCI卡），則可能造成該硬件的接觸不良，導(dǎo)致系統(tǒng)實質(zhì)上并沒有徹底檢測到相關(guān)硬件。
　　應(yīng)對之策：重新安裝顯卡的驅(qū)動程序，并檢查相關(guān)配件與主板是否完全接觸：一是要保證顯卡，聲卡金手指上的清潔，二是將其插入相關(guān)插槽時用力適當，對準垂直插入即可，再接上與之搭配的音箱和顯示器連線。必要時，可以更換PCI卡的插槽位置，避免和顯卡產(chǎn)生資源沖突。
開機黑屏
　　現(xiàn)象：開機黑屏，沒有顯示，可能會有報警聲。
　　現(xiàn)象分析：硬件之間接觸不良，或硬件發(fā)生故障，相關(guān)的硬件涉及到內(nèi)存，顯卡，CPU，主板，電源等。電腦的開機要先通過電源供電，再由主板的BIOS引導(dǎo)自檢，而后通過CPU，內(nèi)存，顯卡等。這個過程反映在屏幕上叫自檢，先通過顯卡BIOS的信息，再是主板信息，接著內(nèi)存，硬盤，光驅(qū)等。如果這中間哪一步出了問題，電腦就不能正常啟動，甚至黑屏。
　　應(yīng)對之策：首先確認外部連線和內(nèi)部連線是否連接順暢。外部連線有顯示器，主機電源等。內(nèi)部有主機電源和主機電源接口的連線（此處有時接觸不良）。比較常見的原因是：顯卡，內(nèi)存由于使用時間過長，與空氣中的粉塵長期接觸，造成金手指上的氧化層，從而導(dǎo)致接觸不良。對此，用棉花粘上適度的酒精來回擦拭金手指，待干后插回。除此外，觀察CPU是否工作正常，開機半分鐘左右，用手觸摸CPU風(fēng)扇的散熱片是否有溫度。有溫度，則CPU壞掉的可能性就可基本排除。沒溫度就整理一下CPU的插座，確保接觸到位。這之后還沒溫度，閣下的CPU就可以升級了：（除了上面的方法外，還有一招必殺技：用拔跳線的方法清除BIOS設(shè)置或更換主板的CMOS電池。當這些方法都嘗試過并全部失敗的話，就可以召喚大蝦哥出山相助了。
怪響異味
　　現(xiàn)象：聽到怪響或者聞到異味。
　　現(xiàn)象分析：怪響，可能是由于硬盤的壞道造成硬盤發(fā)出的（格格的刺耳聲）；也有可能是硬盤，光驅(qū)螺絲沒有上牢，造成機箱的共振。異味，多為焦糊味，很刺鼻子的那種。
　　應(yīng)對之策：首先關(guān)閉電源。若是怪響，則打開機箱面板，一一檢查，若是壞道，則修復(fù)或屏蔽。對于異味，要千萬小心。這時用你的鼻子聞聞，找到發(fā)出異味的部件，然后卸下交由電腦公司處理，在這中間，大家一定要捍衛(wèi)自己的消費者權(quán)益。（沒過質(zhì)保期的--該換的換，該修的修。）這個千萬大意不得！因為，筆者的昂達光驅(qū)就是聞到焦糊味后斷電不及（慢了N秒）給活活燒壞驅(qū)動芯片的，而后，再拿錢找JS大叔也沒辦法。（所以大家如果聞到異味，馬上斷掉電源，然后再下開機箱尋找原因，但是顯示器千萬別開，只能交由專業(yè)人員維修，那可是有高壓電的，千萬別拿自己的生命開玩笑。

六十四、軟件殘骸地大曝光
被你一次次刪除的軟件，并沒有完全從你的系統(tǒng)中消失，它們還留了一些"尾巴"在你注冊表里面。上期《電腦報》給大家介紹了用第三方軟件來自動刪除這些殘骸，這次筆者就把這些殘骸的藏身之地給大家曝曝光。
　　第一處：
　　"HKEY_USERS\.DEFAULT　　Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\&rograms"把它打開一看，咦？怎么以前刪除的軟件名稱都在這？原來這是程序菜單下軟件的排序。
　　程序目錄下是沒有了，而排序仍然保留了下來。
　　第二處：
　　"HKEY_LOCAL_MACHINE　　Software\Microsoft\Windows\Current
　　Version\Uninstall"這里是軟件的卸載信息，一些軟件有時會在"添加/刪除"程序里留下垃圾，而又在此刪不掉，只好在這刪了！

六十五、光電鼠標常見故障全解決
光電鼠標使用光電傳感器替代機械鼠標中的機械元件，因而維修方法具有獨特性。光電鼠標故障的90%以上為斷線、按鍵接觸不良、光學(xué)系統(tǒng)臟污造成，少數(shù)劣質(zhì)產(chǎn)品也常有虛焊和元件損壞的情況出現(xiàn)。
　　1.電纜芯片斷線
　　電纜芯線斷路主要表現(xiàn)為光標不動或時好時壞，用手推動連線，光標抖動。一般斷線故障多發(fā)生在插頭或電纜線引出端等頻繁彎折處，此時護套完好無損，從外表上一般看不出來，而且由于斷開處時接時斷，用萬用表也不好測量。處理方法是：拆開鼠標，將電纜排線插頭從電路板上拔下，并按芯線的顏色與插針的對應(yīng)關(guān)系做好標記后，然后把芯線按斷線的位置剪去5cm~6cm左右，如果手頭有孔形插針和壓線器，就可以照原樣壓線，否則只能采用焊接的方法，將芯線焊在孔形插針的尾部。
　　為了保證以后電纜線不再因疲勞而斷線，可取廢圓珠筆彈簧一個，待剪去芯線時將彈簧套在線外，然后焊好接點。用鼠標上下蓋將彈簧靠線頭的一端壓在上下蓋邊緣，讓大部分彈簧在鼠標外面起緩沖作用，這樣可延長電纜線的使用壽命。
　　2.按鍵故障
　　1)按鍵磨損。這是由于微動開關(guān)上的條形按鈕與塑料上蓋的條形按鈕接觸部位長時間頻繁摩擦所致，測量微動開關(guān)能正常通斷，說明微動開關(guān)本身沒有問題。