20招安全设置防止黑客攻击入侵

1、禁止IPC空连接

Cracker可以利用netuse命令建立空连接，进而入侵，还有netview，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous把这个值改成”1”即可。

2、禁止At命令

Cracker往往给你个木马然后让它运行，这时他就需要at命令了。打开管理工具-服务，禁用taskscheduler服务即可。

3、关闭超级终端服务

如果你开了的话，这个漏洞都烂了。

4、关闭SSDPDiscoverService服务

这个服务主要用于启动家庭网络设备上的UPnP设备，服务同时会启动5000端口。可能造成DDOS攻击，让CPU使用达到100%，从而使计算机崩溃。照理说没人会对个人机器费力去做DDOS，但这个使用过程中也非常的占用带宽，它会不断的向外界发送数据包，影响网络传输速率，所以还是关了好。

5、关闭RemoteRegistry服务

看看就知道了，允许远程修改注册表？！

6、禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样Cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

7、关闭DCOM服务

这就是135端口了，除了被用做查询服务外，它还可能引起直接的攻击，关闭方法是：在运行里输入dcomcnfg，在弹出的组件服务窗口里选择默认属性标签，取消“在此计算机上启用分布式COM”即可。

8、把共享文件的权限从“everyone”组改成“授权用户”

“everyone”在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资

料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。

9、取消其他不必要的服务

请根据自己需要自行决定，下面给出HTTP/FTP服务器需要最少的服务作为参考：

EventLog

LicenseLoggingService

WindowsNTLMSecuritySupportProvider

RemoteProcedureCall(RPC)Service

WindowsNTServerorWindowsNTWorkstation

IISAdminService

MSDTC

WorldWideWebPublishingService

ProtectedStorage

10、更改TTL值

Cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT)；

TTL=108(win2000)；

TTL=127或128(win9x)；

TTL=240或241(linux)；

TTL=252(solaris)；

TTL=240(Irix)；

实际上你可以自己更改的：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip

Parameters：DefaultTTLREG_DWORD0-0xff(0-255十进制，默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。

11、账户安全

首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧！破完了才发现是个低级账户，看你崩溃不？

12、取消显示最后登录用户 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon：DontDisplayLastUserName把值改为1。

13、删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServer

Parameters：AutoShareServer类型是REG_DWORD把值改为0即可。

14、禁用LanManager身份验证

WindowsNTServersServicePack4和后续的版本都支持三种不同的身份验证方法：LanManager(LM)身份验证；WindowsNT(也叫NTLM)身份验证；WindowsNTVersion2.0(也叫NTLM2)身份验证；

默认的情况下，当一个客户尝试连接一台同时支持LM和NTLM身份验证方法的服务器时，LM身份验证会优先被使用。所以建议禁止LM身份验证方法。

1.打开注册表编辑器；

2.定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa；

3.选择菜单“编辑”，“添加数值”；

4.数值名称中输入：LMCompatibilityLevel，数值类型为：DWORD，单击确定；

5.双击新建的数据，并根据具体情况设置以下值：

0-发送LM和NTLM响应；

1-发送LM和NTLM响应；

2-仅发送NTLM响应；

3-仅发送NTLMv2响应；(Windows2000有效)

4-仅发送NTLMv2响应，拒绝LM；(Windows2000有效)

5-仅发送NTLMv2响应，拒绝LM和NTLM；(Windows2000有效)

6.关闭注册表编辑器；

7.重新启动机器。

**************************************************************** 安全设置你的 Windows XP 操作系统

WindowsXP以其稳定性、强大的个人和网络功能为大家所推崇，而它的“NT内核”，让我们不得不加强安全防护。

1.常规的安全防护

所谓“常规的安全防护”即施行同Windows98一样的安装防病毒软件、升级系统、禁止Ping三种安全方式。要强调的是WindowsXP和它的前辈Windows2000一样，漏洞层出不穷，对于系统的升级不能像对Windows98般马虎，除了要安装Microsoft针对“冲击波”的漏洞补丁外，建议将WindowsXP升级为最新的ServicePack1(升级后会提高资源占有，不过安全性、稳定性有所提高)。

2.禁止远程协助，屏蔽闲置的端口

在WindowsXP上有一项名为“远程协助”的功能，它允许用户在使用计算机发生困难时，向MSN上的好友发出远程协助邀请，来帮助自己解决问题。

而这个“远程协助”功能正是“冲击波”病毒所要攻击的RPC(RemoteProcedureCall)服务在WindowsXP上的表现形式。建议用户不要使用该功能，使用前也应该安装Microsoft提供的RPC漏洞工具和“冲击波”免疫程序。禁止“远程协助”的方法是：打开系统属性对话框(右键“我的电脑”、“属性”)，在“远程”项里去掉“允许从这台计算机发送远程协助邀请”前面的“√”。

使用系统自带的“TCP/IP筛选服务”就能够端口。方法如下：在“网络连接”上单击右键，选择“属性”，打开“网络连接属性”对话框，在“常规”项里选中里面的“Internet协议(TCP/IP)”然后单击下面的[属性]按钮，在“Internet协议(TCP/IP)属性”窗口里，单击下面的[高级]按钮，在弹出的“高级TCP/IP设置”窗口里选择“选项”项，再单击下面的

[属性]按钮，最后弹出“TCP/IP筛选”窗口，通过窗口里的“只允许”单选框，分别添加“TCP”、“UDP”、“IP”等网络协议允许的端口，未提供各种服务的情况，可以屏蔽掉所有的端口。这是最佳的安全防范形式。

3.禁止终端服务远程控制

“终端服务”是WindowsXP在Windows2000系统(Windows2000利用此服务实现远程的服务器托管)上遗留下来的一种服务形式。用户利用终端可以实现远程控制。“终端服务”和“远程协助”是有一定区别的，虽然都实现的是远程控制，终端服务更注重用户的登录管理权限，它的每次连接都需要当前系统的一个具体登录ID，且相互隔离，“终端服务”于当前计算机用户的邀请，可以、自由登录远程计算机。

在WindowsXP系统下，“终端服务”是被默认打开的，(Windows2000系统需要安装相应的组件，才可以开启和使用终端服务)也就是说，如果有人知道你计算机上的一个用户登录ID，并且知道计算机的IP，它就可以完全控制你的计算机。

在WindowsXP系统里关闭“终端服务”的方法如下：右键选择“我的电脑”、“属性”，选择“远程”项，去掉“允许用户远程连接到这台计算机”前面的“√”即可。

4.关闭Messenger服务

Messenger服务是Microsoft集成在WindowsXP系统里的一个通讯组件，它默认情况下也是被打开的。利用它发送信息时，只要知道对方的IP，然后输入文字，对方的桌面上就会弹出相应的文字信息窗口，且在未关闭掉Messenger服务的情况下强行接受。

很多用户不知道怎么关闭它，而饱受信息的骚扰。其实方法很简单，进入“控制面板”，选择“管理工具”，启动里面的“服务”项，然后在Messenger项上单击右键，选择“停止”即可。

5.防范IPC默认共享

WindowsXP在默认安装后允许任何用户通过空用户连接(IPC$)得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。黑客就利用这项功能，查找系统的用户列表，并使用一些字典工具，对系统进行攻击。这就是网上较流行的IPC攻击。

要防范IPC攻击就应该从系统的默认配置下手，可以通过修改注册表弥补漏洞：

第一步：将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA的RestrictAnonymous项设置为“1”，就能禁止空用户连接。 第二步：打开注册表的HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters项。

对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。

于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。

6.合理管理Administrator

Windows2000/XP系统，系统安装后都会默认创建一个Administrator用户，它拥有计算机的最高管理权限。而有的用户在安装时，根本没有给Administrator用户设置密码。黑客就利用这一点，使用高级用户登录对方计算机。因此，个人用户应该妥善保管“Administrator”用户信息，Windows2000登录时，要求输入Administrator用户的登录密码，而WindowsXP在正常启动后，是看不到Administrator用户的，建议使用WindowsXP的用户进入安全模式，再在“控制面板”的“用户账户”项里为Administrator用户添加密码，或者将其删除掉，以免留下隐患。

*************************************************************** 安全设置系统策略及自带防火墙介绍

防火墙与杀毒软件一直是用户计算机中不可缺少的一部分，很多网民的网络安全全靠此两点在支撑，而如何用好杀毒软件、防火墙及策略的安全设置才是关键问题。虽然普通的杀毒软件只需按默认设置再加入当前的用户安全理念即可开始工作，但是设置一个功能良好的安全策略却不是那么简单，尤其是计算机中自带的软件防火墙，如果不配备有力的策略支持，那么阻敌率只能占到7成左右。

使用现状

很显然在当今计算机木马病毒流行的时代，网络安全尤为重要。高手对此却不屑一顾，依然在不安装杀软与防火墙的网络中“裸奔”，虽然高手们没有安装杀软与第三方防火墙，但其却用系统中自带的防火墙功能，构建策略将来敌抵御在警戒线之外。很多门外汉一直以为windows防火墙并不可靠，其实那是因为不了解该防火墙策略是如何配制的，所以才无法让其发挥出因有的特性，以至于四方奔走到处求医问药来保护系统安全。

防火墙整体设置

对于普通网民与服务器管理人员来说，配置系统自带的防火墙安全策略与杀毒软件同等重要。打开控制面板，在防火墙的普通设置中，用户可根据例外列表中的数据，对当前通往外界的程序是否于是放行，作出勾选，并可以在其中进行相应的编辑与添加程序和端口。在高级选项中用户可以指定windows防火墙日志的配置， 是否记录数据包的丢弃与成功连接并指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。

而由于icmp消息用于诊断、报告错误情况和配置的作用，用户可以在其设置项中自行设置，以达启用和禁用windows防火墙允许在高级选项卡上选择的所有连接传入的icmp消息的类型，而在默认情况下，该列表中不允许任何icmp消息。设置好了以上项目后，即可启用该自带防火墙进行日常工作，并在其后建立下列软件策略。

软件策略

设置好此点可以保证在计算机中所运行软件的安全性。首先在开始运行菜单中输入gpedit.msc调出组策略配置窗口，在其下的：计算机安全配置-windows设置-安全设置-软件策略中的其它设置内，用户可以看到这里以配的四条软件策略，(小提示：如果以前未设置过安全策略，那么在软件策略上右键新建策略后将会出现菜单)而这4条规则是正是为了保证Windows运行所必须的程序不会被禁用而配置的。

一、环境变量与优先级

随后用户可以在其它规则上右击，新建新路径规则，常用通配符有：“*”和“?”，*表示任意个字符，?表示一个字符。常见文件夹环境变量有(以下以XP默认装在C盘例举)：

%SYSTEMDRIVE% 表示 C:

%ProgramFiles% 表示 C:\\Program Files %SYSTEMROOT% 和 %WINDIR% 表示 C:\\WINDOWS

%USERPROFILE% 表示 C:\\Documents and Settings\\当前用户名 %ALLUSERSPROFILE% 表示 C:\\Documents and Settings\\All Users

%APPDATA% 表示 C:\\Documents and Settings\\当前用户名\\Application Data

%TEMP% 和 %TMP% 表示 C:\\Documents and Settings\\当前用户名\\Local Settings\\Temp

用户在这里也可以指定要禁止运行的程序名，但要注意优先级问题，微软规定为：绝对路径>使用通配符的路径>文件名。以禁止病毒模仿系统文件svchost.exe运行为例，由于该系统文件位于system32文件夹下，是系统文件所以病毒不可能替换它。伪装后的病毒文件将位于windows其他位目录下，此时可以通过建立两条策略即：svchost.exe 不允许的，%windir%\\system32\\svchost.exe 不受限的，来禁止运行。该配置是利用优先级中第二条使用绝对路径的规则优先级高于第一条基于文件名的路径关系，来达到让真正的系统文件运行，而病毒文件无法运行的效果。

二、禁止双扩展名与U盘运行文件

由于多数用户都使用XP的默认设置，包含系统隐藏已知扩展名的。为了不被病毒多扩展名迷惑用户，这里需建立*.jpg.exe 不允许和*.txt.exe 不允许策略。然后加入h:\\*.exe 不允许，h\\*.com 不允许的两条，让U盘中的可执行文件无法启动。(注：这里笔者的U盘盘符为h盘)

三、禁止四地运行

目前潜入用户计算机中的病毒木马很多都会自行隐蔽行踪，从而躲开管理人员的目光。这里要建立策略，防止木马从回收站、System Volume Information(系统还原文件夹)、C:\\WINDOWS\\system文件夹、C:\\WINDOWS\\system32\\Drivers文件夹四地启动。如下：

?:\\Recycled\\*.* 不允许的 %windir%\\system\\*.* 不允许的

%windir%\\system32\\Drivers\\*.* 不允许的 ?:\\System Volume Information\\*.* 不允许的

注：使用*.*格式时不会屏蔽掉可执行程序以外的的程序，如：txt、jpg等。

四、禁止伪装进程

随着病毒会自行将文件名改为与系统进程接近的名称时，如：explorer.exe、sp00lsv.exe等，其大小写及O与0的问题让用户无法识别，所以这里需建立如下策略让其无法启动。

*.pif 不允许

sp0olsv.exe 不充许 spo0lsv.exe 不充许 sp00lsv.exe 不充许 svch0st.exe 不充许 expl0rer.exe 不允许 explorer.com 不允许

注：有些病毒会用pif后缀，即explorer.pif.pif 和exe、com，都属于可执行文件，并且在XP系统中默认的com的优先级要高于exe可执行程序，其后缀具有极强的隐蔽性。如果用户在开启显视文件扩展名的情况下无法看到程序后缀时，即可以通过WinRAR或第三方浏览器进行查看。

端口组策略

当软件策略完成后，用户即可进入到最后一关，计算机端口策略的配置。众所皆知，设置好端口策略很大程序中可以对入侵攻击及木马病毒常用端口起到阻止作用，设置过程也很简单，只分四步走如下：

第一步、依次打开：控制面板-管理工具-本地安全策略-IP安全策略，在向导中下一步，填写安全策略名-安全通信请求，并将激活默认相应规则的钩去掉，点完成创建新的IP安全策略。

第二步、右击该IP安全策略，在属性对话框中，将使用添加向导左边的钩去掉，然后单击添加加入新规则，并在弹出的新规则属性对话框点击添加，在随后弹出的IP筛选器列表窗口中，把使用添加向导左边的钩去掉，然后添加新的筛选器。

第三步、进入筛选器属性对话框，在源地址中选择任何IP地址，目标地址选我的IP地址，点协议选项，在选择协议类型下拉表中选TCP，然后在到此端口下文本框中输入“XXXX”(XXXX为要关闭的端口号，如33、139等)，确定退出即可。(注：详细的关闭端口设置方案请用户根据端口列表大全及自身需求量身而定，端口列表可以各大搜索引擎中自行查找)

第四步、随后在新规则属性对话框中，选新IP筛选器列表，激活后点筛选器操作选项，将使用添加向导左边钩去掉，添加阻止操作，在新筛选器操作属性的安全措施选项里选阻止，

确定即可回到新IP安全策略属性”对话框，在新的IP筛选器列表左边打钩，确定。在本地安全策略窗口中右击鼠标指派刚才建立的IP安全策略即可。

*************************************************************** 检查电脑是否被安装木马三个命令

一、检测网络连接

如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

二、禁用不明服务

很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“netstart”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。

方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。

三、轻松检查账户

很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。

为了避免这种情况，可以用很简单的方法对账户进行检测。

首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧！

联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的

计算机时刻处于最佳的保护环境之下。

******************************************************** 安全技巧：找到电脑中隐藏的入侵黑手

平时使用电脑的时候也许会遇到这样的情况：

计算机突然死机，有时又自动重新启动，无端端的少了些文件，发现桌面刷新慢，没有运行什么大的程序，硬盘却在拼命的读写，系统也莫明其妙地对软驱进行搜索，杀毒软件和防火墙报警，发现系统的速度越来越慢，这时候你就要小心了。

第一时间反应(养成一个好的习惯往碗可以减少所受的损失)：用CTRL＋ALT＋DEL调出任务表，查看有什么程序在运行，如发现陌生的程序就要多加注意，一般来说，凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响(注意：这里说的是基本运行，先和大家说明白，关于这条我是在网络上关于这个研究的结果)，所以大家可以关闭一些可疑的程序来看看，发现一些不正常的情况恢复了正常，那么就可以初步确定是中了木马了，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多，这也是一种可疑的现象也要特别注意，你这时是在连入Internet网或是局域网后才发现这些现象的话，不要怀疑，动手查看一下吧！，(注：也有可能是其它一些病毒在作怪)

1先升级杀毒软件到最新，对系统进行全面的检查扫描。

2点击工具→文件夹选项→查看把隐藏受保护的操作系统文件(推荐)和隐藏已知文件类型的扩展名这两项前面的勾去掉，以方便查看。

3查看Windows目录下的WIN.INI文件中开头的几行：[WINDOWS]load=ren=这里放的是启动Windows自动执行的程序，可以看看对比对比一下。

4查看Windows目录下的SYSTEM.INI文件中的这几行：[386Enh]device=这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径，如：device=c：windowssystem32tianyangdemeng.exe(这里只是打个比方)

5查看开始菜单中的“程序”→“启动”。这里放的也是启动Windows自动执行的程序，如果有的话，它就放在C：WindowsStartMenuPrograms中，将它保存在较安全的地方后再删除，需要恢复时在拿出来恢复即可。

6在“开始”→“运行”中输入”MSCONFIG”查看是否有可疑的启动项，你也许会问，前面不是说了吗？其实，这两种方法是不同的，你分别用这两个方法查看一下就会发现不同了，至于要说更深入点，说实在话，我也不知道。呵呵不要笑话，希望高手出来解答一下！

7查看注册表，在“开始”→“运行”中输入“REGEDIT”。

先对注册表进行备份，才对注册查看。(一定要养成一个习惯，在修改木文件时，对自己没有把握的需要先进行备份)

查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和Run项，看看有没有可疑的程序。

查看HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND，看看是否有。EXE文件关联的木马，正确值为”%1″%*查看HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND，看看是否有。INF文件关联的木马，正确值为”SYSTEMROOT%SYSTEM32NOTEPAD.EXE%1查看HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND，看看是否有。TXT文件关联的木马，正确值为%SYSTEMROOT%SYSTEM32NOTEPAD.EXE%1启动CMD，输入NETSTAT-AN查看有没有异常的端口。

8Windows中的执行文件。exe、。com、。dll„„它们都有可能是黑客放置的病毒或是黑客病毒的携带者。在系统正常的时候，把以上文件做一个备份，到需要的时候就可以写回去！

9在Windows目录下，看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件，不过，它只能在Windows工作而不能在DOS下使用。仔细看看有没有什么你不知道的驱动程序，把它记录下来，到百度查一下，一般这个自动批处理文件是不会被用到的。(只能凭经验判断了)

10查看c：autoexec.bat与c：config.sys，这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。

11右击“我的电脑”→事件查看器查看安全日志，看看里面有没有可疑的内容。

12在CMD下输入NETUSER看看有没有可疑的用户，出现自己不曾设立的用户，马上用NETUSERABCD/DEL把它删除(这里的ABCD是用户名，只要把它改成想要删除的用户就行了，也可去下个检查用户克隆器查看和其它一切能帮助到你的工具，有些黑客建立的用户用一般方法是看不见的，大家就要注意了。)

********************************************************************* 电脑自动重启应该考虑的问题

电脑自动重启应该考虑的问题如下：

一、软件方面

1．病毒

“冲击波”病毒发作时还会提示系统将在60秒后自动启动。

木马程序从远程控制你计算机的一切活动，包括让你的计算机重新启动。

清除病毒，木马，或重装系统。

2．系统文件损坏

系统文件被破坏，如Win2K下的KERNEL32.DLL，Win98FONTS目录下面的字体等系统运行时基本的文件被破坏，系统在启动时会因此无法完成初始化而强迫重新启动。

解决方法：覆盖安装或重新安装。

3．定时软件或计划任务软件起作用

如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时，当定时时刻到来时，计算机也会再次启动。对于这种情况，我们可以打开“启动”项，检查里面有没有自己不熟悉的执行文件或其他定时工作程序，将其屏蔽后再开机检查。当然，我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。

二、硬件方面

1．机箱电源功率不足、直流输出不纯、动态反应迟钝。

用户或装机商往往不重视电源，采用价格便宜的电源，因此是引起系统自动重启的最大嫌疑之一。

①电源输出功率不足，当运行大型的3D游戏等占用cpu资源较大的软件时，CPU需要大功率供电时，电源功率不够而超载引起电源保护，停止输出。电源停止输出后，负载减轻，此时电源再次启动。由于保护/恢复的时间很短，所以给我们的表现就是主机自动重启。

②电源直流输出不纯，数字电路要求纯直流供电，当电源的直流输出中谐波含量过大，就会导致数字电路工作出错，表现是经常性的死机或重启。

③CPU的工作负载是动态的，对电流的要求也是动态的，而且要求动态反应速度迅速。有些品质差的电源动态反应时间长，也会导致经常性的死机或重启。

④更新设备（高端显卡/大硬盘/视频卡），增加设备（刻录机/硬盘）后，功率超出原配电源的额定输出功率，就会导致经常性的死机或重启。

解决方法：现换高质量大功率计算机电源。

2．内存热稳定性不良、芯片损坏或者设置错误

内存出现问题导致系统重启致系统重启的几率相对较大。

①内存热稳定性不良，开机可以正常工作，当内存温度升高到一定温度，就不能正常工作，导致死机或重启。

②内存芯片轻微损坏时，开机可以通过自检（设置快速启动不全面检测内存），也可以进入正常的桌面进行正常操作，当运行一些I/O吞吐量大的软件（媒体播放、游戏、平面/3D

绘图）时就会重启或死机。

解决办法：更换内存。

③把内存的CAS值设置得太小也会导致内存不稳定，造成系统自动重启。一般最好采用BIOS的缺省设置，不要自己改动。

3．CPU的温度过高或者缓存损坏

①CPU温度过高常常会引起保护性自动重启。温度过高的原因基本是由于机箱、CPU散热不良，CPU散热不良的原因有：散热器的材质导热率低，散热器与CPU接触面之间有异物（多为质保帖），风扇转速低，风扇和散热器积尘太多等等。还有P2/P3主板CPU下面的测温探头损坏或P4CPU内部的测温电路损坏，主板上的BIOS有BUG在某一特殊条件下测温不准，CMOS中设置的CPU保护温度过低等等也会引起保护性重启。

②CPU内部的一、二级缓存损坏是CPU常见的故障。损坏程度轻的，还是可以启动，可以进入正常的桌面进行正常操作，当运行一些I/O吞吐量大的软件（媒体播放、游戏、平面/3D绘图）时就会重启或死机。

解决办法：在CMOS中屏蔽二级缓存（L2）或一级缓存（L1），或更换CPU排除。

4．AGP显卡、pcI卡（网卡、猫）引起的自动重启

①外接卡做工不标准或品质不良，引发AGP/PCI总线的RESET信号误动作导致系统重启。

②还有显卡、网卡松动引起系统重启的事例。

5.并口、串口、USB接口接入有故障或不兼容的外部设备时自动重启

①外设有故障或不兼容，比如打印机的并口损坏，某一脚对地短路，USB设备损坏对地短路，针脚定义、信号电平不兼容等等。

②热插拔外部设备时，抖动过大，引起信号或电源瞬间短路。

6．光驱内部电路或芯片损坏

光驱损坏，大部分表现是不能读盘/刻盘。也有因为内部电路或芯片损坏导致主机在工作过程中突然重启。光驱本身的设计不良，FireWare有Bug。也会在读取光盘时引起重启。

7．机箱前面板RESET开关问题

机箱前面板RESET键实际是一个常开开关，主板上的RESET信号是+5V电平信号，连接到RESET开关。当开关闭合的瞬间，+5V电平对地导通，信号电平降为0V，触发系统复位重启，RESET开关回到常开位置，此时RESET信号恢复到+5V电平。如果RESET键损坏，开关始

终处于闭合位置，RESET信号一直是0V，系统就无法加电自检。当RESET开关弹性减弱，按钮按下去不易弹起时，就会出现开关稍有振动就易于闭合。从而导致系统复位重启。

解决办法：更换RESET开关。

还有机箱内的RESET开关引线短路，导致主机自动重启。

8.主板故障

主板导致自动重启的事例很少见。一般是与RESET相关的电路有故障；插座、插槽有虚焊，接触不良；个别芯片、电容等元件损害。

三、其他原因

1．市电电压不稳

①计算机的开关电源工作电压范围一般为170V－240V，当市电电压低于170V时，计算机就会自动重启或关机。

解决方法：加稳压器（不是UPS）或130－260V的宽幅开关电源。

②电脑和空调、冰箱等大功耗电器共用一个插线板的话，在这些电器启动的时候，供给电脑的电压就会受到很大的影响，往往就表现为系统重启。

解决办法就是把他们的供电线路分开。

2．强磁干扰

不要小看电磁干扰，许多时候我们的电脑死机和重启也是因为干扰造成的，这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰，也有来自外部的动力线，变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良，就会出现主机意外重启或频繁死机的现象。

3、交流供电线路接错

有的用户把供电线的零线直接接地（不走电度表的零线），导致自动重启，原因是从地线引入干扰信号。

4．插排或电源插座的质量差，接触不良。

电源插座在使用一段时间后，簧片的弹性慢慢丧失，导致插头和簧片之间接触不良、电阻不断变化，电流随之起伏，系统自然会很不稳定，一旦电流达不到系统运行的最低要求，电脑就重启了。解决办法，购买质量过关的好插座。

5.积尘太多导致主板RESET线路短路引起自动重启。

*************************************************************** 安全模式下 我们可以做什么

进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键（或者在启动计算机时按住Ctrl键不放），在出现的启动选项菜单中，选择”SafeMode”，即可以安全模式启动计算机。那么安全模式到底有哪些用途呢？下面就让我们具体来看一下。

1、修复系统故障

如果Windows运行起来不太稳定或者无法正常启动，这时候先不要忙着重装系统，试着重新启动计算机并切换到安全模式启动，之后再重新启动计算机，系统是不是已经恢复正常了？如果是由于注册表有问题而引起的系统故障，此方法非常有效，因为Windows在安全模式下启动时可以自动修复注册表问题，在安全模式下启动Windows成功后，一般就可以在正常模式（Normal）下启动了。

2、恢复系统设置

如果用户是在安装了新的软件或者更改了某些设置后，导致系统无法正常启动，也需要进入安全模式下解决，如果是安装了新软件引起的，请在安全模式中卸载该软件，如果是更改了某些设置，比如显示分辨率设置超出显示器显示范围，导致了黑屏，那么进入安全模式后就可以改变回来，还有把带有密码的屏幕保护程序放在”启动”菜单中，忘记密码后，导致无法正常操作该计算机，也可以进入安全模式更改。

3、删除顽固文件

我们在Windows下删除一些文件或者清除回收站内容时，系统有时候会提示”某某某文件正在被使用，无法删除”的字样，有意思的是，通常这些文件并没有正在被使用，那么是不是让这些文件永远霸占我们的硬盘呢？请不要着急，重新启动计算机，并在启动时按下F8键进入安全模式，试着删除那些顽固文件并清空回收站看一看，没了！原来Windows已经放弃了对这些文件的保护，可以把它们删除了。

4、彻底清除病毒

现在病毒一天比一天多，杀毒软件也跟着天天更新。但是，在Windows正常模式下有时候并不能干净彻底地清除病毒，因为它们极有可能会交叉感染，而一些杀毒程序又无法在DOS下运行，这时候我们当然也可以把系统启动至安全模式，使Windows只加载最基本的驱动程序，这样杀起病毒来就更彻底、更干净了。

*****************************************************************

Windows系统安全模式下的查杀病毒方法[时间：2008-08-21 9:32 am | 编辑：飞羽 无痕 ] 我要评论 | 分类：安全模式 | 标签：Windows，查杀病毒，系统安全 相信有一部份的

用户对Windows操作系统安全模式的应用还比较模糊，下面的我们就给大家讲讲Windows安全模式的应用技巧。

基础知识

安全模式是Windows操作系统中的一种特殊模式，经常使用电脑的朋友肯定不会感到陌生，在安全模式下用户可以轻松地修复系统的一些错误，起到事半功倍的效果。安全模式的工作原理是在不加载第三方设备驱动程序的情况下启动电脑，使电脑运行在系统最小模式，这样用户就可以方便地检测与修复计算机系统的错误。

进入安全模式

只要在启动计算机时，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键)，就会出现操作系统多模式启动菜单，只需要选择“Safe Mode”，就可以将计算机启动到安全模式。

删除顽固文件

我们在Windows下删除一些文件或清除资源回收站内容时，系统有时会提示「某某文件正在使用中，无法删除」的字样，不过这些文件并无使用中，此时可试着重新启动计算机并在启动时进入安全模式。进入安全模式后，Windows会自动释放这些文件的控制权，便可以将它们删除。

“安全模式”还原

如果计算机不能正常启动，可以使用“安全模式”或者其它启动选项来启动计算机，在电脑启动时按下F8键，在启动模式菜单中选择安全模式，然后按下面方法进行系统还原：

点击“开始”→“所有程序”→“附件”→“系统工具” →“系统还原”，打开系统还原向导，然后选择“恢复我的计算机到一个较早的时间”选项，点击“下一步”按钮，在日历上点击黑体字显示的日期选择系统还原点(图3)，点击“下一步”按钮即可进行系统还原。

查杀病毒

现在病毒一天比一天多，杀毒软件也天天更新。但是，在Windows下杀毒我们未免有些不放心，因为它们极有可能会交叉感染。而一些杀毒程序又无法在DOS下运行，这时候我们当然也可以把系统启动至安全模式，使Windows只加载最基本的驱动程序，这样杀起病毒来就更彻底、更干净了。

解除组策略锁定

其实Windows中组策略是通过加载注册表特定键值来实现的，而在安全模式下并不会加载这个。重启开机后按住F8键，在打开的多重启动菜单窗口，选择“带命令提示符的安全模式”。进入桌面后，在启动的命令提示符下输入“C:WindowsSystem32XXX.exe(你启

动的程序)”，启动控制台，再按照如上操作即可解除，最后重启正常登录系统即可解锁。

注：组策略的很多在安全模式下都无法生效，如果碰到无法解除的，不妨进入下寻找解决办法。

修复系统故障

如果Windows运行起来不太稳定或者无法正常启动，这时候先不要忙着重装系统，试着重新启动计算机并切换到安全模式启动，之后再重新启动计算机，系统是不是已经恢复正常了?如果是由于注册表有问题而引起的系统故障，此方法非常有效，因为Windows在安全模式下启动时可以自动修复注册表问题，在安全模式下启动Windows成功后，一般就可以在正常模式(Normal)下启动了。

恢复系统设置

如果用户是在安装了新的软件或者更改了某些设置后，导致系统无法正常启动，也需要进入安全模式下解决，如果是安装了新软件引起的，请在安全模式中卸载该软件，如果是更改了某些设置，比如显示分辨率设置超出显示器显示范围，导致了黑屏，那么进入安全模式后就可以改变回来，还有把带有密码的屏幕保护程序放在“启动”菜单中，忘记密码后，导致无法正常操作该计算机，也可以进入安全模式更改。

揪出恶意的自启动程序或服务

如果电脑出现一些莫明其妙的错误，比如上不了网，按常规思路又查不出问题，可启动到带网络连接的安全模式下看看，如果在这里能上，则说明是某些自启动程序或服务影响了网络的正常连接。

检测不兼容的硬件

XP由于采用了数字签名式的驱动程序模式，对各种硬件的检测也比以往严格，所以一些设备可能在正常状态下不能驱动使用。例如一些早期的CABLE MODEM，如果你发现在正常模式下XP不能识别硬件，可以在启动的时候按F8，然后选进入安全模式，在安全模式里检测新硬件，就有可能正确地为CABLE MODEM加载驱动了。

卸载不正确的驱动程序

一般的驱动程序，如果不适用你的硬件，可以通过XP的驱动还原来卸载。但是显卡和硬盘IDE驱动，如果装错了，有可能一进入GUI界面就死机;一些主板的ULTRA DMA补丁也是如此，因为Windows是要随时读取内存与磁盘页面文件调整计算机状态的，所以硬盘驱动一有问题马上系统就崩溃。此时怎么办呢?

某些情况下，禁用管理员账户可能造成维护上的困难。例如，在域环境中，当用于建立连接的安全信道由于某种原因失败时，如果没有其他的本地管理员账户，则必须以安全模式重新启动计算机来修复致使连接状态中断的问题。

如果试图重新启用已禁用的管理员账户，但当前的管理员密码不符合密码要求，则无法重新启用该账户。这种情况下，该管理员组的可选成员必须通过“本地用户和组”用户界面来设置该管理员账户的密码。

************************************************************ Windows系统“安全模式”妙用绝招

经常使用电脑的人可能都听说过，当电脑出了故障时，Windows会提供一个名为“安全模式”的平台，在这里用户能解决很多问题–不管是硬件（驱动）还是软件的。然而你会使用这个安全模式么？今天我们就来带您认识一下它的真面目。

初识安全模式

要进入安全模式，只要在启动时不停地按F8，就会出现选项菜单，再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个：

1.安全模式

只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等，但无网络连接。

如果采用安全模式也不能成功启动计算机，则可能需要使用恢复控制台功能来修复系统。

2.带网络连接的安全模式

在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行，如MSN等，还有很多自启动的应用程序不会自动加载，如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载，否则恶意程序等可能会入侵在你修复电脑的过程中。

3.带命令行提示符的安全模式

只使用基本的文件和驱动程序来启动，在登录之后，屏幕上显示命令提示符，而非Windows图形界面。

说明：在这种模式下，如果你不小心关闭了命令提示符窗口，屏幕会全黑。可按下组合键Ctrl+Alt+Del，调出“任务管理器”，单击“新任务”，再在弹出对话框的“运行”后输入“C:\\WINDOWS\\explorer.exe”，可马上启动Windows XP的图形界面，与上述三种安全模式下的界面完全相同。如果输入“c:\\windows\\system32\\cmd”也能再次打开命令提示符窗口。事实上，在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。

4.启用启动日志

以普通的安全模式启动，同时将由系统加载(或没有加载)的所有驱动程序和服务记录到

一个文本文件中。该文件称为 ntbtlog.txt，它位于 %windir% (默认为c:\\windows\\)目录中。启动日志对于确定系统启动问题的准确原因很有用。

5.启用VGA模式

利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时，这种模式十分有用。事实上，不管以哪种形式的安全模式启动，它总是使用基本的视频驱动程序。因此，在这些模式下，屏幕的分辨率为0×480且不能改动。但可重新安装驱动程序。

6.最后一次正确的配置

使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下，才使用最

后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。

7.目录服务恢复模式

这是针对服务器操作系统的，并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。

8.调试模式

启动时通过串行电缆将调试信息发送到另一台计算机。

如果正在或已经使用远程安装服务在您的计算机上安装 Windows，则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。

现实应用

1.笔者过去用的是一款旧显示器，又是初学者，初学者最爱干的是什么，换点墙纸，设一下分辨率也觉得很有成就感，没想到误将分辨率和刷新率调得太高，下次启动时屏幕花屏，害得的重新安装了操作系统才算了事。

现在想起来那时也真的傻瓜可爱，只要将其重启到安全模式(前四种模式都行)下，删除显卡驱动程序，再重启电脑即可，重启(正常启动)时，系统会自动扫描显卡并安装驱动程序，屏幕即可恢复正常显示。

还有些问题也可用这种方法来处理，比如Windows XP会自动识别硬件并安装驱动程序，但有时总是老眼昏花，而且在设备管理器下不会显示出错信息。但就是工作不正常，如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等，也可在安全模式重新安装驱动程序。

2.揪出恶意的自启动程序或服务

如果电脑出现一些莫明其妙的错误，比如上不了网，按常规思路又查不出问题，可启动

到带网络连接的安全模式下看看，如果在这里能上，则说明是某些自启动程序或服务影响了网络的正常连接。

可在带网络连接的安全模式下，用带重定向的命令提示符工具TaskList >d:\\Anquan.txt将当时的进程记录到D：盘根目录下的文本文件 Anquan.txt中。接着，以正常的方式启动电脑，将Anquan.txt中记录到的进程与此时的进程进行比较，你会发现此时的进程要多得多，请逐个结束多出来的进程，并检查网络连接是否正常。如果结束到某一进程时网络连接正常了，则说明就是刚结束的进程就是罪魁祸首。查出后，可删除与进程相关的可执行文件。但还要注意的是，由于它是自动运行的，强行删除后，可能会引起启动时报“找不到某文件”的错误，还得将其与自启动有关的设置全部清除，包括“系统配置实用程序”的“启动”、“Win.ini”下的内容、注册表下的内容、启动脚本下的内容、“开始”菜单“启动”下的内容等。

3.调整分区

有一次，笔者带着本本儿出差，途中想处理一下下车即用的报表文件，可本本儿偏不争气，启动时报分区错误。天啊，出门在外的，又没带任何工具软件，好在天无绝人之路，还能启动到安全模式下——有法了，命令行工具Diskpart能胜任分区魔术师的一切工作(可能还少有朋友听说吧)。Diskpart功能非常强大，它工作于一个集成的环境，输入Diskpart后，显示图1所示的专用提示符即Diskpart>(注意：这不是一个路径)，在这一环境下可输入很多与之相关的同时也是它的专用子命令。下面就来演示分区的扩容功能。

说明在先：以下的操作是在台式机上记录下来的。

①启动到带命令提示符的安全模式下，输入命令Diskpart。再输入list partition 显示一下分区，显然，其中有两个主分区、两个扩展分区。

②输入“Select Parttition 3”使第3分区(5004MB的那个)，使该分区具有焦点属性。再输入“Delete Partition”即可删除该分区。请将图3第1、2两个“List partition”命令后的值进行比较，不难看出，原分区3确实已被删除了。

③输入“Select partition 1”使其具有焦点属性，再输入“Extend”,刚才被删除分区所空出来的末分配空间就能自动添加到第1分区中去。

为分区扩容，这可是分区魔术师的专利，“diskpart”也能实现，看来，Windows server 2003不支持分区魔术师是有道理的。再输入“List partition”可观察到第1个分区的容量变化情况。

说明：将带有焦点的分区扩展为最邻近的未分配空间时。对于普通分区，未分配的空间必须在同一磁盘上，并且必须接着带有焦点的分区。

如果要被扩容的分区是NTFS格式，扩容后不会丢失任何数据。如果是非 NTFS 的文件系统格式，此命令就会失败，但不会对分区作任何更改也不会破坏数据。不能扩展当前系统分区或启动分区，也不能对包含页面文件的分区进行扩容。从图中可看出，我的电脑中有两个

主分区，分区5才是活动分区。不然，不能对分区1进行扩容操作。

语法：extend [size=n]

参数说明： size=n ：添加到当前分区的空间大小 (MB)。如果不指定大小，磁盘就扩展为占用所有最邻近的未分配空间。

④不管对硬盘分区做了什么样的改动，包括创建、删除、扩容等，都用不着重新启动电脑即可生效(这是分区魔术师不能做到的)，但在“我的电脑”却看不到这些分区，这是为什么呢，原来，还没为其指定驱动器号(也就是盘符)，怎样指定盘符呢？下面以为第一个分区指定盘符为例进行说明。

使第1个分区具有焦点属性，再输入命令“Assign”，Diskpart就会自动为其分配一个。当然也可用命令“Assign Letter=X”来手动指定，手动指定时，不能与已存在的盘符如C等相同。经过这样的处理后，就能在“我的电脑”下查看到这些分区了。

⑤将分区5设为活动分区，先用Select Parttition 5使其具有焦点属性再用Active激活即可。最后输入Exit，退出Diskpart集成环境，让电脑自动重启。

说明：如果用惯了DiskPart，你就会觉得它的设计很符合人们的思维习惯，一般是先指定焦点，再进行操作，操作过程中还可随显示分区状态以便掌握进度。输入Help可查看到所有的子命令，输入有错时，它还会自动列出子命令列表及简要说明，将你引导到正路上来。另外，安装Windows 2003后，大家最熟悉的分区魔术师(非服务器版)不能正常运行，使用Diskpart确实是一个不错的选择。

如前所述，在Diskpart下进行任何操作前都必须指定焦点，即指明对哪一对象进行操作，这一方面使的我的操作逻辑清楚，但另一方面，如果对误指定了焦点又执行了破坏性的命令，如删除分区等，会造成无可挽回的损失。所以，请随时用List命令查看各分区状态，焦点分区前有一个星号(*)标志。

此外，你还可以借助安全模式来完成病毒的清除工作。比如有的杀毒软件能报告病毒但却不能清除甚至隔离、删除，遇到这种情况，可启动到安全模式下尝试删除这些病毒文件。当然，这里我们也只是介绍了一些比较常见的安全模式用途，算是抛砖引玉吧，希望各位能够在实际的电脑使用中，逐步体验其更多的便捷之处。

***************************************************************** 黑客入侵Windows XP系统七大手法

本文讲述了黑客入侵WindowsXP操作系统常用的七种方法，如果大家遇到类似那可要注意了„„

第一招：屏幕保护

在Windows中启用了屏幕保护之后，只要我们离开计算机(或者不操作计算机)的时间达

到预设的时间，系统就会自动启动屏幕保护程序，而当用户移动鼠标或敲击键盘想返回正常工作状态时，系统就会打开一个密码确认框，只有输入正确的密码之后才能返回系统，不知道密码的用户将无法进入工作状态，从而保护了数据的安全。

提示：部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键，因此需要设置完成之后测试一下程序是否存在这个重大Bug。

不过，屏幕保护最快只能在用户离开1分钟之后自动启动，难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗？其实我们只要打开Windows安装目录里面的system子目录，然后找到相应的屏幕保护程序(扩姑荢CR)，按住鼠标右键将它们拖曳到桌面上，选择弹出菜单中的“在当前位置创建快捷方式”命令，在桌面上为这些屏幕保护程序建立一个快捷方式。

此后，我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。

第二招：巧妙隐藏硬盘

在“按Web页”查看方式下，进入Windows目录时都会弹出一句警告信息，告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，这时单击“显示文件”就可以进入该目录了。

原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件，之前必须在文件夹选项中单击“查看”标签，选择“显示所有文件”，这样就可以看见这两个文件了)。再按“F5”键刷新一下，看看发生了什么，是不是和进入Windows目录时一样。

接下来我们用“记事本”打开folder.htt，这是用HTML语言编写的一个文件，发挥你的想像力尽情地修改吧。

如果你不懂HTML语言也没关系，先找到“显示文件”将其删除，找到“修改该文件夹的内可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，将其改为自己喜欢的文字，例如“安全重地，闲杂人等请速离开”。

将“要查看该文件夹的内容，请单击”改为“否则，后果自负！”，接着向下拖动滑块到倒数第9行，找到“(file：//%TEMPLATEDIR%\\wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径，将其改为自己图片的路径，例如用“d：\upian\upian1.jpg”替换“//”后面的内容，记住这里必须将图片的后缀名打出，否则将显示不出图片。

当然，你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果，然后只要将原文件拷贝到下面这段文字的后面，覆盖掉原文件中“～”之间的内容就可以了。

*ThisfilewasautomaticallygeneratedbyMicrosoftInternetEXPlorer5.0

*usingthefile%THISDIRPATH%\\folder.htt.

保存并退出，按“F5”键刷新一下，是不是很有个性？接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来，不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的，就是干脆将folder.htt原文件中“～”之间的内容全部删除，这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象，使其中的文件更安全。

第三招：禁用“开始”菜单命令

在Windows2000/XP中都集成了组策略的功能，通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按钮即可启动WindowsXP组策略编辑器。

在“本地计算机策略”中，逐级展开“用户配置→管理模板→任务栏和开始菜单”分支，在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。

在禁用“开始”菜单命令的时候，在右侧窗口中，提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可，比如以删除“我的文档”图标为例，具体操作步骤为：

1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。

2)在弹出窗口的“设置”标签中，选择“已启用”单选按钮，然后单击“确定”即可。

第四招：桌面相关选项的禁用

WindowsXP的桌面就像你的办公桌一样，有时需要进行整理和清洁。有了组策略编辑器之后，这项工作将变得易如反掌，只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支，即可在右侧窗口中显示相应的策略选项。

1)隐藏桌面的系统图标

倘若隐藏桌面上的系统图标，传统的方法是通过采用修改注册表的方式来实现，这势必造成一定的风险性，采用组策略编辑器，即可方便快捷地达到此目的。

若要隐藏桌面上的“网上邻居”和“InternetEXPlorer”图标，只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的InternetEXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可。

当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

2)禁止对桌面的某些更改

如果你不希望别人随意改变计算机桌面的设置，请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后，其他用户可以对桌面做某些更改，但有些更改，诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。

第五招：禁止访问“控制面板”

如果你不希望其他用户访问计算机的控制面板，你只要运行组策略编辑器，并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支，然后将右侧窗口的“禁止访问控制面板”策略启用即可。

此项设置可以防止控制面板程序文件的启动，其结果是他人将无法启动控制面板或运行任何控制面板项目。另外，这个设置将从“开始”菜单中删除控制面板，同时这个设置还从Windows资源管理器中删除控制面板文件夹。

提示：如果你想从上下文菜单的属性项目中选择一个“控制面板”项目，会出现一个消息，说明该设置防止这个操作。

第六招：设置用户权限

当多人共用一台计算机时，在WindowsXP中设置用户权限，可以按照以下步骤进行：

1)运行组策略编辑器程序。

2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。

3)双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。

第七招：文件夹设置审核

WindowsXP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件，而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下：

1)在组策略窗口中，逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支，然后在该分支下选择“审核策略”选项。

2)在右侧窗口中用鼠标双击“审核对象访问”选项。

3)用鼠标右键单击想要审核的文件或文件夹，选择弹出菜单的“属性”命令，接着在弹出的窗口中选择“安全”标签。

4)单击“高级”按钮，然后选择“审核”标签。

5)根据具体情况选择你的操作：

倘若对一个新组或用户设置审核，可以单击“添加”按钮，并且在“名称”框中键入新用户名，然后单击“确定”按钮打开“审核项目”对话框。

要查看或更改原有的组或用户审核，可以选择用户名，然后单击“查看/编辑”按钮。

要删除原有的组或用户审核，可以选择用户名，然后单击“删除”按钮即可。

6)如有必要的话，在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。

7)如果想禁止目录树中的文件和子文件夹继承这些审核项目，选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。

注意：必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在WindowsXP审核文件、文件夹之前，你必须启用组策略中“审核策略”的“审核对象访问”。否则，当你设置完文件、文件夹审核时会返回一个错误消息，并且文件、文件夹都没有被审核

******************************************************* 常见的网络攻击_针对数据链路层的攻击

ARP欺骗攻击

ARP协议用来完成IP地址到MAC地址的转换。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“maninthemiddle”进行ARP重定向和嗅探攻击。目前网络上有很多种工具可以完成此类攻击，如网络执法官等。针对此类攻击也有很多种防范措施，比如MAC地址静态绑定，ARP智能检测等。

Mac地址泛洪

交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表以此建立交换路径，这个表就是通常我们所说的MAC地址表。MAC地址表的大小是固定的，不同的交换机的MAC地址表大小不同。Mac地址泛洪攻击是指利用工具产生欺骗MAC，快速填满MAC地址表，交换机MAC地址表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。MAC地址表满了后，流量以泛洪方式发送到所有接口，也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。目前主流厂家的中低端交换MAC地址表容量在8K左右，而使用Dsniff工具可以轻松地在1分钟内产生15万左右MAC地址冲击我们的局域网。而针对这种类型的攻击防护可以在交换机启动最大MAC地址，端口安全等策略。

针对网络层的攻击

针对路由协议的攻击

BGP协议：由于BGP协议是依赖于TCP的179端口进行传输，因此可以很容易的通过扫描工具

探测179端口来判别BGP的存在而实现攻击。同时，很多基于TCP的攻击以及TCP本身暴露出来的协议漏洞同样都成为BGP协议潜在的风险。如基于TCP的SYNflood攻击，序列号攻击，针对此类攻击，可以采用针对179端口的访问过滤以及BGP对等体的MD5认证来加以保护。

OSPF协议：常见的针对OSPF协议的攻击主要有以下几种。

Maxage攻击。指的是攻击者持续发送带有最大maxage(缺省为3600秒)的LSA，将导致路由器产生刷新信息来发送这个LSA，最终将导致整个网络混乱路由震荡后以及产生拒绝服务攻击。

序列号攻击。RFC规定OSPF通过序列号来判断旧的LSA是否需要更新。当攻击者持续插入比较大的LSA序列号报文时，网络中的路由器将发送更新的LSA序列号报文来与攻击者的LSA报文进行竞争，最终导致网络的不稳定。

最大序列号攻击。根据RFC规定，当LSA的报文超过最大序列号0×7FFFFFFF，需要将此LSA重新初始化在域中进行刷新。当攻击者持续发送带有最大序列号的LSA报文到网络中时，将造成OSPF整个域的持续震荡。

ISIS协议：针对ISIS协议的攻击比较难以实现，因为本身ISIS的LSP的交互是直接承载于二层的，而不是由IP包头来承载的，因此ISIS协议本身安全性较高并被大型骨干数据网络选为IGP协议的主要原因之一。

给予ICMP协议的攻击

死亡之ping攻击：即向目的主机发送大于K字节载荷的报文，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。可以通过打系统补丁或防火墙过滤等方法来进行保护。

Smurf攻击：用一台PC发包，将目的地址改为广播地址(不一定为255.255.255.255，也可以是一个网段的广播地址如192.168.1.255)，源地址改为你想要攻击的那台设备的地址，这样所有的设备都将向这台设备回ACK包。导致那台设备性能下降。利用Sniffer就可实现此类攻击。可以通过打系统补丁或防火墙过滤等方法来进行保护。

ICMP重定向攻击：通过伪造ICMP重定向报文，使受害设备的路由表混乱。可以通过在网关设备上关闭ICMP重定向来进行防护。

****************************************************************** 全面绝杀U盘病毒

U盘病毒背景

随着 U 盘，移动硬盘，存储卡等移动存储设备的普及，U 盘病毒也随之泛滥起来。国家计算机病毒处理中心发布公告称 U 盘已成为病毒和恶意木马程序传播的主要途径。

U盘病毒概念

定义:

U盘病毒又称Autorun病毒，是通过AutoRun.inf文件使用户所有的硬盘完全共享或中木马的病毒；能通过产生AutoRun.inf进行传播的病毒，都可以称为U盘病毒。随着U盘、移动硬盘、存储卡等移动存储设备的普及，U盘病毒也开始泛滥。

特性:

U盘病毒会在系统中每个磁盘目录下创建Autorun.inf病毒文件(不是所有的Autorun.inf都是病毒文件)；借助“Windows自动播放”的特性，使用户双击盘符时就可立即激活指定的病毒。

隐藏方式:

有了启动方法，病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的，但是堂而皇之的放在U盘里肯定会被用户发现而删除，所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方。

一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的。

另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，改名并让人以为是杀毒软件的程序，其实是病毒。

也许有人会问，为什么在你的机器上能看到上面的文件，我的机器看不到呢？很简单，通常的系统安装，默认是会隐藏一些文件夹和文件的，病毒就会将自己改造成系统文件夹、隐藏文件等等，一般情况下当然就看不到了。要让自己能看到隐藏的文件，怎么办？个人如操作，按如下步骤：打开“我的电脑”，在菜单栏上点“工具”，点“文件夹选项”，出现一个对话框，选择“查看”标签。

如果U盘带有上述病毒，还会一个现象，当你点击U盘时，会多了一些东西：右键菜单多了“自动播放”、“Open”、“Browser”等项目；杀毒后的没有这些项目。这里注明一下：凡是带Autorun.inf的移动媒体，包括光盘，右键都会出现“自动播放”的菜单，这是正常的功能。

传播途径：

被感染的计算机会向连接该计算机的U盘上写入由病毒实现编好的 autorun.inf 文件和病毒程序使U盘染毒.当染毒U盘在其他计算机上使用的时候就会感染其他计算机.

U盘病毒防御方式

由此可以看出 U盘病毒的关键在于 autorun.inf 文件 我们可以通过禁止写入autorun.inf 文件来达到U盘病毒免疫的效果。 方法就是在U盘中建立一个autorun.inf的文件夹（不是文件）， 为了不被误删，可以设置文件夹为只读隐藏属性。这样当病毒想向U盘中写入文件的时候，系统就会由于 autorun.inf的名称已存在而拒绝写入。同样的方法也可以用于利用硬盘根目录加载的病毒。

解决方案

综上所述，目前的U盘病毒都是通过Autorun.inf来进入的；Autorun.inf本身是正常的文件，但可被利用作其他恶意的操作；不同的人可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等；一般情况下，U盘不应该有Autorun.inf文件；如果发现U盘有Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒；如果有貌似回收站、杀毒文件等文件，而你又能通过对比硬盘上的回收站名称、正版的杀毒软件名称，同时确认该内容不是你创建生成的，请删除它。

同时，一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。 ydtyettirtirtrjhrutruurtuy

杀掉U盘中的病毒的方法：

对移动存储设备，如果中毒，则把文件夹选项中隐藏受保护的操作系统文件钩掉，点上显示所有文件和文件夹，点击确定，然后在移动存储设备中会看到如下几个文件，autorun.inf，msvcr71.dl，都删除掉，还有一个后缀为tmp的文件，也可以删除，完成后，病毒就清除了。16 17 18 58