值得一看的文章,收藏

为了让落伍里的朋友更好为自己的服务器找到一个好归宿,更好的发展自己的网站,苦心经营的事业,4月初就萌发了写这篇文章的念头,所以前期一直整 理以前落伍朋友们在和我谈托管的时候告诉我的一些情况,另外把平时看到的这方面好文章也好好的再重看了一遍。也许我下面写的内容是你在那边看到过的类似内 容,甚至就是你在QQ上告诉我的情况和经验,我想这篇文章毕竟是经验总结,而不是技术创新,而且我也是参照一些优秀的文章,再加上自己的经验进行总结的, 所以难免会有朋友以前看到过的类似内容。首先申明,文章中可能会有代理商和小托管商们不想看到的内容,我这篇文章是站在一个客户的角度为自己的服务器选择 一个好的归宿,所以难免会有一些代理商不喜欢看到的内容,希望能得到你们的谅解。

现在进入正题:

一、限制流量与限制带宽
现在有很多托管商大玩文字游戏,在托管合同里写明:不限制流量。这个看上去非常不错,而实际情况是,流量不等于带宽,不限制流量不代表不限制带 宽,很多说不限制流量的托管商,实际上是这样做的,把你得端口限制成10M或5M,假如你网站上有一些图片,限制了端口打开就会慢很多,但要是放在说限制 流量的地方托管,端口没有限制,你峰值可以跑好高,好的机房100M共享峰值可以跑50M-60M的,那样打开图片的速度就和限制端口的时候不是一个概念 了。其实现在有很多客户的实际流量并不会很高,但对打开网站的时候速度要求比较高,这种情况就需要寻找那些不限制端口速度的托管商,而不是找那些合同上说 不限制流量的托管商。这个问题其实就好比说,一个自来水龙头,不限制流量,但是限制流速,龙头只拧开细细一丝,虽然不限制流量,但是10分钟也放不满一桶 水。但如果是放在限制流量的地方,比如一天要求你最多只能放100桶水,但速度都非常快,放一桶水只需要1分钟,而你实际上的用水量一天也才50桶的时 候,你就知道那种方式对你好了。我这边有个广东的客户对这个问题就看得比较透,他在QQ里首先一句话就问我,你们这边限制流量嘛,我其实这个时候都蛮郁闷 的,因为一般的情况客户问这个问题我们要好好解释一翻才可以的,可这位朋友马上就说不错,只要我们服务器的流量不是特别大,你们就不会限制我的端口速度, 后面问了些价格和双线路的情况,当时就说好了过2个月托管在上海的机器要到期,到期了就搬到我这边来, 4月中旬这个客户就把上海托管的一台机器搬过来了,8月份广州还有2台到期也要搬过来。
还有一些托管商,明确表示:我们不但不限制流量,而且不限制带宽!听着这个就更厉害了,其实人家还有后面一句话:我不限制你,也不限制别人。都 不限制,那么一个机柜里好几台机器都是做下载的,最终大家速度慢如老牛,你去找托管商理论 ,人家可能会回答:这个问题比较麻烦,我不限制你的流量和带宽,也就不能限制别人的流量和带宽,带宽总量就这么多。最终才明白,这种无限制是最可怕的,很 可能最慢。如果大家还不明白,我再举个例子,比 如在十字路口,一般都会有红绿灯,对于两条路来说,那就是有“限制”的,但正是这样的限制才能保证交通畅顺,但是如果大家都觉得红绿灯是在浪费时间,交通 部门把它给拿掉的话,那么车子就一脑儿都堵上去了,这时候你通过十字路口的速度恐怕会非常慢,这种“不限制”却成了最大“限制”了。

二、托管价格与服务(待续,先去吃晚饭

落伍里经常有朋友问我,服务器托管在那里比较好。有些人认为选贵的总不会错,其实有些时候情况不是这样的,这个主要是看你这台服务器做什么用途 的,有那些具体的需求,比如要是你服务器主要是做下载的,那你就不能放到双线路机房去,因为双线路机房带宽都是花高价格到电信和网通去买的,而你做下载的 要消耗很多带宽,流量太大肯定会限制你速度的,而双线路机房相对价格都比较高的,到时候你花了高价格,速度又被限制的很低,得不偿失的。像这样的情况建议 托管到2级(地市级)机房,这些机房带宽虽然稳定性及接点比不上省会城市的机房,但带宽相对省会城市机房要宽松的多,而且一般情况下价格也要便宜很多,可 能有些经济不怎么发达的地方,2000元多点就可以托管一台服务器,而且可以跑很大的带宽。所以说贵不一定好,要看到底适合不适合自己。
当然,我也不是在这里说选择便宜的没什么关系,很多朋友一味追求低价,大家也都知道便宜没好货的道理,我在这里也不是说价格低的地方就一定不 好,但价格便宜的,速度快服务好的托管商确实不多,机率很低。我还是建议朋友们不要把服务器托管到价格很低的地方,不要拿自己辛苦经营的网站去冒这个风 险,为了省这点钱拿自己的事业去冒风险真得不值得。
市场上有很多托管商变数非常大,很多时候不能始终如一的经营,因为现在做服务器托管门槛很低,管理上不严格,一个稍微懂点服务器维护的人就可以 去机房租一个机柜搞,但是小公司和个人的不稳定因素太多,有相关资料显示,这些托管商基本上半年左右就会有一大部分有变化,一但遇到自己以前没有预见到的 一些不好情况,就可能乱换地方,乱换IP,甚至散手不管的情况都时有发生。
 许多小公司的技术力量太弱,这在维护十几台服务器的时候还不明显,一旦靠低价吸引来的客户多了,弊端就显示出来了,比如几十台服务器的时候, 一两个技术员维护起来就很困难了。客户多了,问题自然也就多起来,死机、重启、速度慢、去机房检修线路、杀毒、机房出问题等等,客户半夜三更打手机咆哮是 常事,本来收钱就少,而且要是问题出到一起来,电话不断,连续几天都不能休息好,你说能不烦吗?烦透了,所以有些时候会有人把电话提起来,手机一关,万事 皆休。
当然,我这里不是故意说小公司的坏话,我自己是做托管的,知道做托管服务的辛酸,例如4月30号晚上,本来白天上家四台机器,就和工程师一起加 班到11点多,后面回来刚睡着,大概1点50分钟的时候手机响了,大连的一个客户说机器出了问题,而且因为是5.1节,技术员明天中午要赶回家见对象,谈 婚事,所以希望我马上帮忙去机房重装下系统,没办法,客户机器要马上用,总不能耽误这为技术员兄弟的美事吧,所以马上起来骑车半小时赶到机房去帮客户重 装,装好了回到家天都快亮了。这之中的辛苦不是一般人能想象的,做过IDC的人就知道干IDC比做保姆还麻烦很多。我觉得只要小公司认真做事,负责任,有 耐力,是完全可以选择的,但是有些事情真的不以人的意志为转移,我经常遇到很多小公司,开始雄心万丈,不到半年,就出大问题。因为这期间正是客户多不多少 不少,麻烦事情多的阶段,很多人挺不过去,就倒了。我们其实凭心而论,有些时候真得很难挺过去,就1-2人维护那么多机器,要是一有点什么状况,半夜电话 不断,经常是连续2-3个星期不能睡个安稳觉,问题一堆一堆的等着解决,有装不完的系统在等着装,确实很难挺过去,毕竟我们都不是圣人。所以尽量要选择有 实力的规范的大公司,至少不会出现不接电话,人间蒸发等类似的事情。

三、如何选择托管商(待续)

1、看承诺(合同)?还是看口碑?
经常有朋友在QQ里向我提要求,要我们保证这个保证哪个,我基本回答不能保证,因为有些事情是不好保证的,经常有落伍的朋友说某某托管商100M 共享,保证10M,其实我觉得这个话是明显在骗人,既然是共享,何以能保证10M?我和客户说一直能说峰值大概可以跑到50M左右,但不能保证最低的速 度,要是网段被攻击的时候肯定不好保证10M的,还有就是托管别太重承诺,就算合同上写了也不能算的,你注意下,托管合同会不会写明赔偿的事,一般情况都 不写的,合同上写不会发生的事,所以即使出了问题,你基本也不会等到赔偿的,所以承诺是没有用的,我觉得在IDC行业中,口碑更重要些,要找那些承诺少, 帮你做实事的人,经常有客户问我,你们这个不能保证,哪个又不能保证,那我怎么放心把我的服务器放你们那边托管啊,这个时候我一般都会这样告诉客户,我们 这边将近托管了3000台服务器,而且我们的价格这么高,客户肯定不傻的,都一直往我们这边加机器,那就肯定有他的道理的。

2、尽量跨过不必要的中间商
  尽量跨过不必要的中间商,因为中间商越多,将来的不稳定因素就越多,可能发生互相推诿,很难办。要尽量直接找机房(因为现在很多商业IDC也 非常乐意做直接单台的客户的)或者找到那些直接从机房租用机柜的托管商。而且正规机房的规矩都是只认直接客户,间接客户打电话要求重起机器或其他什么事情 的话都不会同意的,因为这个牵涉到一个责任的事,比如一个代理商在我们机房放个40来台机器,有30多个客户,要是间接客户打电话过来要求重起机器我们也 不会帮忙重起的,这个是个安全的问题,机房值班人员并不清楚你是不是机器的真正拥有人,要是有人故意搞麻烦问题就大了。2月份河南有个做游戏的客户就出现 了这样的情况,他通过河南一个代理把机房放到我们机房,后面机器死机了,打电话给代理没人接,打手机又是关机,他后面就在QQ里让我帮忙打电话让机房重起 下,可机房的规矩是只认上架单上相关责任负责人的,所以我也只能是有心无力了,最好这个客户有些停了一个晚上,第二天上午上班后才开机。虽然这是个小事 情,却能反映去代理关系多了以后解决问题的复杂性和解决问题的速度。

3、考察托管商和机房(正在思考整理中。。。)
考察托管商比较考察机房重要,因为以后有什么情况你都是找托管商的,不是找机房,就像我们机房有几十个租柜子做生意的托管商,服务水平和态度就相 差甚远。考察代理商主要考察规模、历史、人数,因为毕竟这些因素都是到时候机器出了问题,代理商能否很快的帮忙解决的主要因素,比如说要是几台机器同时出 出问题,一个技术员的公司,再好服务态度也不能马上全部帮忙解决,毕竟一个人处理问题的速度是有限的。对托管商不是很熟悉的时候,最好看下他是否有ICP 证,一般能办到这个证的,服务应该不会很差,至少不会出现托管的机器被丢的事。
考察机房主要是看规模和历史,不要光看设备,新机房得设备一般都非常好的,而且也不能光看速度,因为新建的机房开始机器少,速度肯定OK的。但 是这种新机房考虑到初期的启动成本,往往通往互联网主干线的总出口较小,经营一段时间,客户多了,速度就会变得很慢。而且许多新机房因为人才、设备、经 验、规章跟不上,经常会出现很多奇怪的问题,并且出现问题后,由于经验不足,解决的方式上也是和老牌机房没办法比拟的。

落伍者(www.im286.com)——世导IDC李逵

1.《河东狮吼》

“从现在开始,你只许疼我一个人,要宠我,不能骗我,答应我的每一件事都要做到,对我讲得每一句话都要真心,不许欺负我,骂我,要相信我,别人欺 负我,你要在第一时间出来帮我,我开心了,你就要陪着我开心,我不开心了,你就要哄我开心,永远都要觉得我是最漂亮的,梦里也要见到我,在你的心里面只有 我,就是这样了。”

2.《我的野蛮女友》

第一、不要叫她温柔。
第二、不要让她喝三杯以上,否则她会逢人就打;
第三、在咖啡馆一定要喝咖啡、不要喝可乐或橙汁;
第四、如果她打你,一定要装得很痛,如果真的很痛,那要装得没事;
第五、在你们认识的第一百天,一定要去她班上送一支玫瑰,她会非常喜欢;
第六、你一定要学会击剑,打壁球;
第七、要随时做好蹲监狱的思想准备;
第八、如果她说她会杀了你,那不要当真,这样你会好受些;
第九、如果她的鞋穿着不舒服,一定要和她换鞋穿;
第十、她喜欢写东西,要好好地鼓励她。

3.《大话西游》

你应该这么做,我也应该死。曾经有一份真诚的爱情放在我面前,我没有珍惜,等我失去的时候我才后悔莫及,人世间最痛苦的事莫过于此。你的剑在我的 咽喉上割下去吧!不用再犹豫了!如果上天能够给我一个再来一次的机会,我会对那个女孩子说三个字:我爱你。如果非要在这份爱上加上一个期限,我希望是…… 一万年……

4.《堕落天使》

当你年轻时,以为什么都有答案,可是老了的时候,你可能又觉得其实人生并没有所谓的答案。每天你都有机会和很多人擦身而过,有些人可能会变成你的朋友或者是知己所以我从来没有放弃任何跟人磨擦的机会。有时候搞得自己头破血流,管他呢!开心就行了。

5.《花样年华》

“如果,我多一张船票,你会不会跟我一起走?”

6.《东邪西毒》

N年之后,我有个绰号叫西毒,任何人都可以变得狠毒,只要你尝试过什么叫做嫉妒。我不介意其他人怎么看我,我只不过不想别人比我更开心。我以为有 一些人永远都不会嫉妒,因为他太骄傲。在我出道的时候,我认识了一个人,因为他喜欢在东边出没,所以很多年后,他有个绰号叫东邪。知不知道饮酒和饮水有什 么区别?酒越饮越暖,水越喝越寒。你越想忘记一个人时,其实你越会记得他。人的烦恼就是记性太好,如果可以把所有事都忘掉,以后每一日都是个新开始,你说 多好。每个人都会经过这个阶段,见到一座山,就想知道山后面是什么。我很想告诉他,可能翻过山后面,你会发现没什么特别。回望之下,可能会觉得这一边更 好。每个人都会坚持自己的信念,在别人看来,是浪费时间,她却觉得很重要

7.《向左走,向右走》

生命中充满了巧合,两条平行线也会有相交的一天。
他们会很压抑/原来缘分已经戏弄他们多年/时机尚未成熟/变成他们的命运/缘分将他们推进/距离阻挡他们的去路/忍住消失然后闪到一旁

8.《红玫瑰与白玫瑰》

也许每一个男子全都有过这样的两个女人,至少两个。娶了红玫瑰,久而久之,红的变了墙上的一抹蚊子血,白的还是“床前明月光”;娶了白玫瑰,白的便是衣服上的一粒饭粘子,红的却是心口上的一颗朱砂痣

9.《东方不败》

有人就有恩怨,有恩怨就有江湖。人就是江湖,你怎么退出?

10.《半生缘》

十四年了,日子过的真快,对中年以后的人来讲,十年八年好像是指缝间的事,可是对年轻人来说,三年五年就可以是一生一世。

  世均,我们再也回不去了……

  ASP开发必备:WEB打印代码大全这篇文章主要介绍了如何使用ASP控制Web的各种打印效果,它能够控制纵打、横打和页面边距等。

  1、控制"纵打"、 "横打"和"页面的边距"。 

  (1)

<script defer> 
  function SetPrintSettings() { 
  // — advanced features 
  factory.printing.SetMarginMeasure(2) // measure margins in inches 
  factory.SetPageRange(false, 1, 3) // need pages from 1 to 3 
  factory.printing.printer = "HP DeskJet 870C" 
  factory.printing.copies = 2 
  factory.printing.collate = true 
  factory.printing.paperSize = "A4" 
  factory.printing.paperSource = "Manual feed" 

  // — basic features 
  factory.printing.header = "This is MeadCo" 
  factory.printing.footer = "Advanced Printing by ScriptX" 
  factory.printing.portrait = false 
  factory.printing.leftMargin = 1.0 
  factory.printing.topMargin = 1.0 
  factory.printing.rightMargin = 1.0 
  factory.printing.bottomMargin = 1.0 
  } 
  </script> 

  (2) 


  <script language="javascript"> 
  function printsetup(){ 
  // 打印页面设置 
  wb.execwb(8,1); 
  } 
  function printpreview(){ 
  // 打印页面预览 
  
  wb.execwb(7,1); 
  
  
  } 

  function printit() 
  { 
  if (confirm(‘确定打印吗?‘)) { 
  wb.execwb(6,6) 
  } 
  } 
  </script> 
  </head> 
  <body> 


  <OBJECT classid="CLSID:8856F961-340A-11D0-A96B-00C04FD705A2" 

  height=0 id=wb name=wb width=0></OBJECT> 
  <input type=button name=button_print value="打印" 

  onclick="javascript:printit()"> 
  <input type=button name=button_setup value="打印页面设置" 

  onclick="javascript:printsetup();"> 
  <input type=button name=button_show value="打印预览" 

  onclick="javascript:printpreview();"> 
  <input type=button name=button_fh value="关闭" 

  onclick="javascript:window.close();"> 

  ———————————————— 
  关于这个组件还有其他的用法,列举如下: 
  WebBrowser.ExecWB(1,1) 打开 
  Web.ExecWB(2,1) 关闭现在所有的IE窗口,并打开一个新窗口 
  Web.ExecWB(4,1) 保存网页 
  Web.ExecWB(6,1) 打印 
  Web.ExecWB(7,1) 打印预览 
  Web.ExecWB(8,1) 打印页面设置 
  Web.ExecWB(10,1) 查看页面属性 
  Web.ExecWB(15,1) 好像是撤销,有待确认 
  Web.ExecWB(17,1) 全选 
  Web.ExecWB(22,1) 刷新 
  Web.ExecWB(45,1) 关闭窗体无提示 

  2、分页打印 


  <HTML> 
  <HEAD> 
  <STYLE>   
  P {page-break-after: always} 
  </STYLE> 
  </HEAD> 
  <BODY> 
  <%while not rs.eof%> 
  <P><%=rs(0)%></P> 
  <%rs.movenext%> 
  <%wend%> 
  </BODY> 
  </HTML> 

  3、ASP页面打印时如何去掉页面底部的路径和顶端的页码编号 
  (1)ie的文件-〉页面设置-〉讲里面的页眉和页脚里面的东西都去掉,打印就不出来了。 
  (2)


<HTML> 
  <HEAD> 
  <TITLE> New Document </TITLE> 
  <META NAME="Generator" CONTENT="EditPlus"> 
  <META NAME="Author" CONTENT="YC"> 
  <script language="VBScript"> 


  dim hkey_root,hkey_path,hkey_key 
  hkey_root="HKEY_CURRENT_USER" 
  hkey_path="SoftwareMicrosoftInternet ExplorerPageSetup" 
  ‘//设置网页打印的页眉页脚为空 
  function pagesetup_null() 
  on error resume next 
  Set RegWsh = CreateObject("WScript.Shell") 
  hkey_key="header"   
  RegWsh.RegWrite hkey_root+hkey_path+hkey_key,"" 
  hkey_key="footer" 
  RegWsh.RegWrite hkey_root+hkey_path+hkey_key,"" 
  end function 
  ‘//设置网页打印的页眉页脚为默认值 
  function pagesetup_default() 
  on error resume next 
  Set RegWsh = CreateObject("WScript.Shell") 
  hkey_key="header"   
  RegWsh.RegWrite hkey_root+hkey_path+hkey_key,"&w&b页码,&p/&P" 
  hkey_key="footer" 
  RegWsh.RegWrite hkey_root+hkey_path+hkey_key,"&u&b&d" 
  end function 
  </script> 
  </HEAD> 

  <BODY> 
  <br/> 
  <br/> 
  <br/> 
  <br/> 
  <br/> 
  <br/><p align=center> 
  <input type="button" value="清空页码" onclick=pagesetup_null()> <input type="button" value="恢复页吗" onclick=pagesetup_default()><br/> 

  </p> 
  </BODY> 
  </HTML> 

  4、浮动帧打印 


  <SCRIPT LANGUAGE=javascript> 
  function button1_onclick() { 
  var odoc=window.iframe1.document; 
  var r=odoc.body.createTextRange(); 
  var stxt=r.htmlText; 
  alert(stxt) 
  var pwin=window.open("","print"); 
  pwin.document.write(stxt); 
  pwin.print(); 
  } 
  </SCRIPT> 

  4、用FileSystem组件实现WEB应用中的本地特定打印 


  <script Language=VBScript> 
  function print_onclick //打印函数 
  dim label 
  label=document.printinfo.label.value //获得HTML页面的数据 
  set objfs=CreateObject("Scripting.FileSystemObject") //创建FileSystem组件对象的实例 
  set objprinter=objfs.CreateTextFile ("LPT1:",true) //建立与打印机的连接 
  objprinter.Writeline("__________________________________") //输出打印的内容 
  objprinter.Writeline("| |") 
  objprinter.Writeline("| 您打印的数据是:"&label& " |”) 
  objprinter.Writeline("| |") 
  objprinter.Writeline("|_________________________________|") 
  objprinter.close //断开与打印机的连接 
  set objprinter=nothing 
  set objfs=nothing // 关闭FileSystem组件对象 
  end function 
  </script> 
  服务器端脚本: 
  <%……… 
  set conn=server.CreateObject ("adodb.connection") 
  conn.Open "DSN=name;UID=XXXX;PWD=XXXX;" 
  set rs=server.CreateObject("adodb.recordset") 
  rs.Open(“select ……”),conn,1,1 
  ……….%> //与数据库进行交互 
  HTML页面编码: 
  <HTML> 
  ……… 
  <FORM ID=printinfo NAME="printinfo" > 
  <INPUT type="button" value="打印>>" id=print name=print > //调用打印函数 
  <INPUT type=hidden id=text1 name=label value=<%=………%>> //保存服务器端传来的数据 
  ……… 
  </HTML>


0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。

1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。
Iris机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。

7 Echo 你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息.
常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个机器的UDP数据包,而两个机器分别以它们最快的 方式回应这些数据包.(参见Chargen)另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat 这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐 户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11

19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。 Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个 chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。

21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少 漏洞。(建议在其它端口运行ssh)还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主 机。你有时会被使用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 (十六进制的0x1600)位交换后是0x0016(使进制的22)。

23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。

25 smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单 的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由 是复杂的(暴露+复杂=弱点)。

53 DNS Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录

53端口.
需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机 器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle) 攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的 IP地址。

69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。

79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP 漏洞可能存在(缓冲区溢出,历遍目录等)
109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有: rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的 记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火 墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接。

119 NNTP news 新闻组传输协议,承载USENET通讯。当你链接到诸如:news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节

139 NetBIOS
File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享 自己的硬盘是可能是最常见的问题。大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。

143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁 殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。 Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于 Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。SNMP包可能会 被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台, 它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。

553 CORBA
IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedurecall)系统。Hacker会利用这些信息进入系统。

600 Pcserver backdoor 请查看1524端口
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统– Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常 运行于2049端口。

1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配 从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。

1025 参见1024

1026 参见1024

1080 SOCKS
这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到 Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上 的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这 种情况。

1114 SQL
系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

1243 Sub-7木马(TCP)
参见Subseven部分。

1524 ingreslock后门
许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。

2049 NFS
NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid
这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口: 8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是 否支持代理。请查看5.3节。

5632 pcAnywere
你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指 agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的 扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact
这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此 当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)

6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。

13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作为其连接企图的前四个字节。

17027 Conducent
这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP 地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:机器会不断试图解析DNS名—ads.conducent.com即IP地址 216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP)
通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “elite”
Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。

31789 Hack-a-tack
这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控 制连接,317890端口是文件传输连接)

32770~32900 RPC服务
Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的 RPC服务。

33434~33600 traceroute
如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。

41508 Inoculan
早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。

河边的苹果*

  一位老和尚,他身边聚拢着一帮虔诚的弟子。这一天,他嘱咐弟子每人去南山打一担柴回来。弟子们匆匆行至离山不远的河边,人人目瞪口呆。只见洪水从山上奔泻而下,无论如何也休想渡河打柴了。

  无功而返,弟子们都有些垂头丧气。唯独一个小和尚与师傅坦然相对。师傅问其故,小和尚从怀中掏出一个苹果,递给师傅说,过不了河,打不了柴,见河边有棵苹果树,我就顺手把树上唯一个苹果摘来了。

  后来,这位小和尚成了师傅的衣钵传人。

  世上有走不完的路,也有过不了的河。过不了的河掉头而回,也是一种智慧。但真正的智慧还要在河边做一件事情:放飞思想来的风筝,摘下一个“苹 果”。历览古今抱定这样一种生活信念的人,最终都实现了人生的突围和超越。 (书外人语:很多有只盯着奔腾的河水发悉,而看不到河边的苹果树。)

*强迫自己*

  在我读书的时候,我就觉得我必须烈写点什么。我时常感到自己看到听到的东西老憋在胸中,胀得难受。可每次坐下来,又不知如何下手,有时连标题 也想不出。就这样过了许多年。终于有一天,这种令我困惑苦恼的局面发生了变化。那是我在巴塞罗那遇到一个朋友之后,我的这个朋友原状来是个小商人,可现在 成了一位大饭店的老板。“伙计”,那天晚宴时他对我说,“我失败了许多次,但每次都强迫自己干下去。”他举起洒杯,感慨地环视了一下华丽的餐厅,“这一切 都有是强迫自己的结果。”

  强迫自己!我明白了,以往我有的只是自信,缺乏强迫自己干去的劲头。从此我强迫自己坐下来,强迫自己写下去,强迫自己接受和解脱痛苦的失 败……谢谢那位朋友,我强迫了自己,也有了今天。(书外人语:做是一个比想和说都难过百倍的过程,也是一个要切实战胜自我各种惰性过程。)

*成败只差1角钱*

  那一次求职受益一生。

  当我和另外一名对手过关闯隘接受决战时,我对最终取胜充懑信心。奇怪的是,聘试公司总经理并未提问,而是带领我和对手去另一家公司签单。距要去的公司只有一站路,总经理建议乘公共汽车去,并递给每人一张5角钱的纸币,嘱每人买自己的票。

  票价4角钱,因缺少零币,公共汤车乘务员已养成收取5角钱不找零的习惯,我也便没有索要应找回的1角钱。总觉得为1角钱开口,太丢面子。没想 到,我的对手却向乘务员索要找零。乘务员轻蔑的眼神如刀般切割了几眼我的对手,才递出1角钱。一旁的我,幸灾乐祸地想,对手的“财迷”表现或许将让他落 败。到站、下车,总经理拍着对手的肩:“你被聘用了——只有懂得坚诗自己权益的人,才能够维护公司的利益。”

(书外人语:我们不是说要在生活中处处跟人斤斤计较,但确不可养成因爱面子而不敢坚持自己权益的习惯。)

*一碗汤的哲理*

  有一次,台湾诗人林先生在日本到一家中国人开的餐馆,要了一份他感兴趣的汤。入座不久,服务生将一大盆汤放在他面前。他一愣,问服务生:“这 么大一盆汤,我能喝得了吗?”服务生理直气壮地回答:“你没说明是要一小碗呀!”他一时语塞,匆匆喝喝了几口汤,心里感到不是滋味,便按一大盆汤的价格付 了钱后拂袖而去。

  后来,他又到一家日本人开的料理店,要了一份同样的汤,也没有说是一大盆还是一碗。不一会,服务生给他端来一小碗汤,并说:“如果不够,可再 来一碗。”他只喝了一小碗,当然只付了一小碗汤的钱。再后来,他每次去日本,都要到那家料理到那家料理店用餐,包括喝他感兴趣的汤。 (书外人语:只有切实为顾客着想,而不是想方设法算计顾客的商家,才能长久地赚钱,因为最聪明的永远是顾客。)

*公仪休嗜鱼*

  公仪休很喜欢吃鱼,当了鲁国的相国后,全国各地很多人送鱼给他,他都有一一婉言谢绝了。他的学生劝他说:“先生,你这么喜欢吃鱼,别人反鱼送上门来,为何又不要了呢?”

  他回答说:“正因为我爱吃鱼,才不能随便收下别人所送的鱼。如果我经常由受别人送的鱼,就会背上徇私受贿之罪,说不定哪一天会免去我相国的职 务,到那时,我这个喜欢吃鱼的人就不能常常有鱼吃了。现在我廉洁奉公,不接受别人的贿赂,鲁君就不会随随便便地免掉我相国的职务,只要不免掉我的职务,就 能常常有鱼吃了。”(书外人语:要想长久地吃鱼,就必须舍弃这些来路不正的鱼,这就是眼前利前边与长远利益

      19条欠扁的短信息

      1.跟你当这么久的朋友,你一直都很关心我,我却时常给你添麻烦,真不知该怎么报答你…所以…下辈子作牛作马….我一定会拔草给你吃的…

      2.很想你,可是又不好意思打给你,怕你正在忙,怕你不理我,怕你觉得我骚扰,真的好想跟你联络,但是…电话费实在很贵,你打给我吧!

      3. 如果你是流星我就追定你, 如果你是卫星我就等待你, 如果你是恒星我就会恋上你, 可惜…你是猩猩~我只能在动物园看到你!!唉..可惜ㄚ!!

      4.现在的我好乱..心里不知道在想些什么.. 头脑都被快烦死了..我真的不知道要怎么办?.. 你能不能告诉我….我真的不知道要吃大乾面还是阿q桶面!

      5.谢谢你在我最失意的时候陪伴著我,在我最须要帮助的时候拉了我一把,千言万语诉不尽, 只想告诉你:「自从认识你没有一件好事发生!你真带衰!」

      6.对不起唷~~那么晚了还传简讯给你~~ 如果有吵到你的话~~在此跟你说声~~活该~~谁叫你要比我早睡ㄚ~~~呵呵!!

      7. 遇到你~是我心动的开始
        爱上你~是我幸福的选择
        拥有你~是我最珍贵的财富
        踏入红毯~是我永恒的动力
        永远爱的人~是你
        遗憾的是~我传错人了

      8.你好,这里是胸罩检查局。我们发现你的胸部已违反了「罩杯管制法中」
        第二章第七条的「胸部严重极度下垂条例」!所以我们必须强迫你隆乳,否
则通缉你!

      9.因为你,我相信命 也许这一切都是上天注定,冥冥之中牵引著我俩,
        现在的我,好想说… 我上辈子是造了什么孽呀!

      10.由明天开始,市决定清除所有长相丑陋,有损市容的弱智青年!
        你快快收拾东西,出去避避风头,别跟人说是我通知你的,切记!不用感谢

      11.上帝看见你口渴,创造了水;
        上帝看见你饿,,创造了米;
        上帝看见你没有可爱的朋友,创造了我;
        然而祂也看见这世界上没有白痴,顺便也创造你。

      12.如果规定一个人一生只能对一个好,我情愿那个人就是你。
        我无怨无悔,至死不渝!但偏偏没规定…那就算了!

      13.想你是件快乐的事!
        见你是件开心的事!
        爱你是我永远要做的事!
        把你放在心上是我一直在做的事!
        不过骗你,是刚发生的事!哈哈!

      14.电话响了一声,代表我正在想你!
        两声,代表我喜欢你!
        三声,代表我爱你!
        当第七声响起…
        妈的,我是真的有事找你,还不快接电话!

      15.根据统计,超过99.9%长的像猪头的人都用大拇指来按钮看简讯!
        嘿嘿,不用换手了啦,已经来不及了。猪头! 哈哈哈

      16.我把你的名字写在天空里,可是被风吹走了;
        我把你的名字写在沙滩上,可是被海冲走了;
        我把你的名字写在每一个角落…
        干,我被警察抓走了!

      17.如果长得好看是一种错…我已经铸成大错
        如果可爱是一种罪…我已经犯了滔天大罪
        做人真难!…你就好啦~没错又没罪…真羡慕你

      18.当白云飘过,那是我想你的痕迹;
        当阳光闪耀,那是我想你的感觉;
        当雨水落下,那是我想你的证据;
        当雷电交加,那是我向天祈求你被劈中…哈–哈–

      19.如果说烧一年的香可以与你相遇,
        烧三年的香可以与你相识,
        烧十年的香可以与你相惜,
        为了我下辈子的幸福,我愿意…改信基督教..

很多企业用户都拥有多台SQL Server 2000服务器,为了使多台数据库服务器上的数据保持一致,我们可以将一台数据库服务器中的某个数据库移动到另外的数据库服务器中。

  下面以两台SQL Server 2000服务器为例(分别用A和B表示),介绍具体操作过程。

  1、前期准备

  首先确保这两台安装了SQL Server 2000服务器的计算机可以互相访问,并且操作者有管理员权限。假设数据库jk只在A中存在,而B中没有此数据库。然后确定两台计算机在一个域中,或者域之间有信任关系。

  提示:如果上面两个条件一个都不能满足,就需要进行如下操作:在“企业管理器”中右击数据库项,选择“属性”,进入“安全性”选项卡,勾选“身份验证”栏中的“SQL Server 和Windows”项。否则sa账号将无法使用。

  2、选择数据源

  在A中右击数据库jk,选择“所有任务→导出数据”,在出现的向导窗口中点击“下一步”,进入“选择数据源”窗口。由于在本文中数据库是在A中,所以我们保持默认设置。

  3、选择目的

  点击“下一步”,进入“选择目的”窗口。在“服务器”栏中选择B的服务器名,由于本文是在B中没有jk数据库的情况下进行操作的,所以我们必 须在“数据库”栏中选择“新建”,在出现的窗口(图1)中输入数据库名jk(也可以自由选取)。然后勾选“使用SQL Server身份验证”项,并输入管理员账号和密码。如果没有配置管理员账号,也可以输入用户名sa,密码为空。

看原大图
图 1

  4、选择复制方式

  在出现的数据库复制选项中有3个选择项(图2),下面分别说明。

看原大图
图 2

  ① “从源数据库复制表和视图”:将A数据库的表和视图导入到B数据库中,而存储过程等不会被导入。

  ② “用一条查询指定要传输的数据”:这时点击“下一步”后将显示“键入 SQL 语句”对话框,输入SQL 语句,则只有符合条件的记录才可导入到B的数据库中。

  ③“在 SQL Server 数据库之间复制对象和数据”:这时点击“下一步”后将显示“选择要传输的对象”对话框,如果数据的源和目的都是Microsoft SQL Server 数据库,则在此对话框中可以指定要复制的对象和数据。可传输的对象包括表、视图、存储过程、默认值、规则、约束、用户定义的数据类型、登录、用户、角色和 索引等。

  在这里我们选择最后一项,因为本文的目的是保持整个数据库一致。

  5、运行

  点击“下一步”,勾选所有的复选框,并在“复制数据”栏中勾选“替换现有的数据”项,点击“下一步”,勾选“立即运行”,再点击“下一步”,最后单击“完成”就可以将A中的jk数据库导入到B中。

  优点:用本文的方法我们可以使位于不同地点的数据库服务器中的数据集中在一处,便于集中管理和维护;如果某个数据库出现问题,我们可以很快将它恢复原状。

对于流氓软件的清理,我算小有点经验,其实在网上看到很多关于流氓软件清除的文章,不是写得太过简单,就是把流氓软件赖着不走的本事看得太过于简单。刚又看到贴子说暴风影音的捆梆软件惹出了麻烦,那就写点东西吧。

我刚来论坛的时候,最开始时我曾发过如何删除删除不了的DLL文件的文章,那时被不少网站转载过,可是我发现有的人在抱怨了,说我的方法不管用了,现在都没办法清除掉那些流氓软件留下来的文件了。呵呵~

实际上,现在对他们不起作用是因为他们即使根本没被使用也无法被删除掉。这是因为流氓软件利用系统驱动模式将文件和对应的注册表项保护了起来并且进行着实时监控。所以即使文件被用或者不被使用,都不能被删除掉。而且注册表中的启动项

(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

也是无法被删除的,就算你表面上看被删除了,刷新一下再看?

而且在系统驱动模式的保护下,即使你想创建一个相同名称的dll文件都是不允许的,例如被系统驱动程序保护的某个DLL文件c:\xx\xx.dll,无论你到哪儿,右键新建,你试试新建一个xx.dll文件,是不是不行的?

被加载的伪装成系统驱动程序的文件存放在c:\windows\system32\drivers下面,这下面文件比较多,找是比较费时一点啦,一般根据创建时间和公司等信息来找会比较有头绪。有的时候,流氓软件会无耻到伪装成MS公司的版本(上次手动清除CNNIC时的发现)

一旦你删除对应的sys文件后再清除注册表里

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

里的对应文件名的键值后(这里面是包含着系统启动时要加载的驱动程序和服务)你会发现,就算正常进入系统也可以把那些文件直接DEL掉。

从“开始-程序-所有程序-附件-系统工具-系统信息-软件环境”这里可以得到非常有用的信息~大家自己打开看看吧

如果在加载的模块里看不到流氓软件里所含的模块而又无法删除的那么应该就是我上面说那种情况了~~

所以大家在装好系统和一些必要的软件后,最好对drivers文件夹下面的文件详单做一个备份。

开始-运行-CMD

输入命令 dir /b c:\windows\system32\drivers >>c:\1.txt

这样你drivers下的所有文件名称就被备份到了c:\1.txt中。加上/b参数的原因是省略那些详细的文件信息,方便用fc进行比对。一旦发现有上述情况时,可以用文本比对的方法找出那几个多出来的sys系统驱动文件。进行排查。这样问题会比较容易解决一些

应该不会有太多人觉得我说了等于什么都没说吧,呵呵~

附:暴风影音那两个sys文件的名字为:abhcop.sys和hcalway.sys(因版本问题可能有变)

既然有人说不懂怎么查找删除,我索性讲得再清楚一点,其实查找的方法有很多种,我在这里所讲的只是手工查找的方法,用专门的流氓软件清理工具的也许要比手工的要快,我在这里只是介绍DIY的方法。

定位到drivers目录下后,点工具栏上的查看,选择详细信息,默认显示的是名称,大小,类型,修改日期,当然,这些信息是不够的,选择查看,选择选择详细信息,至少把创建日期和公司和版本也勾上,这样看来就会比较直观了,点击上面的大小或日期栏可以排序。

如下图:
看原大图

这样,通过创建日期和公司等信息,你总会发现可疑目标的。当然,也可以跟别人正常机上的来进行比对。

另一种情况是,如果你按我说的对drivers目录下的文件名称作了备份的话,那么你可以将现在的diveres目录下的文件名再一次dir导出到文本,然后利用fc.exe这个WINDOWS自带的小工具来完成比对~

例如:我事先备份好了文件名称,为c:\1.txt然后在drivers目录下新建了一个xxx.sys。然后再次用dir命令导出到c:\2.txt

然后在CMD里输入命令 fc /w c:\1.txt c:\2.txt>>c:\3.txt

这个命令会把比较的结果输出到c:\3.txt中去。(加/w参数是为了忽略空格)

这是结果:

正在比较文件 C:\1.txt 和 C:\2.TXT
***** C:\1.txt
***** C:\2.TXT
xxx.sys
*****

怎么样,是不是很直观呢?这时你就可以挨个进行排查了。

我再说一遍,这是手工清除的方法,大家尽管可以利用工具来进行清除,毕竟不是谁都有那么多时间耗在这无聊的事上的,大家看看就行了。

今天送走了两个移民到Canada的朋友,她们可以开始新的生活了。呵呵,有机会大家都往外面跑。外面的世界很精彩~ 


就是照片照得太粗糙了点,呵呵

  今天在机场买了两本书《中国自助游2006升级版》,《时尚旅游》第五期。《中国自助游》没得说,上面有好多旅游方面的资料,比如某个地方有 些什么值得去的景点啊,怎么去啊,花费大概多少啊,还是不错的。《时尚旅游》呢,我今天第二次买,第一次是前天在家乐福偶然买了一本第四期的,觉得还是非 常吸引人的。看了它就想去旅行,呵呵。上面的图片都非常的精美,等找机会扫几张上来。