0x7c931746指令引用0xfffffffd

内存不能为read/written 问题的最简单的办法(原创答案，欢迎分享→请活学活用→仅供参考):

一、如果能排除硬件上的原因（内存条不兼容，更换内存。显卡驱动是否正确按装或者是否被恶意覆盖否？）往下看：

二、系统或其它软件引起的，可用下述方法处理： 系统本身有问题，及时安装官方发行的补丁，必要时重装系统。 病毒问题：杀毒 。杀毒软件与其它软件冲突：卸载有问题的软件。

三、浏览器出现内存不能读、写的提示：1、运行→regedit→进入注册表, 在→

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

这个位置有一个正常的键值{AEB6717E-7E19-11d0-97EE-00C04FD91972}, 将其他的删除。

2、打开CMD窗口输入如下命令:

for %i in (%windir%\system32\*.dll) do regsvr32.exe /s %i 回车

for %i in (%windir%\system32\*.ocx) do regsvr32.exe /s %i 回车 重启。

四、如果以上方法无法解决只能使用最后一招：

完全注册dll：打开“运行”输入→cmd→回车

然后把下面这行字符复制到黑色cmd框里面去回车等待dll文件全部注册完成就关闭可以了,为防止输入错误可以复制这条指令，然后在命令提示符后击鼠标右键→粘贴→回车，耐心等待，直到屏幕滚动停止。

（下面是要运行的代码）：

for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1

完成后重新启动机器。

我想要一份网易学院的”黑客必学dos命令“能发给我一份么 谢谢

这是我从网上找的DOS技巧100例，希望对你有用

1、*.*的简写

*.*可以用．代替，例如，删除当前目录中的全部文件∶

DEL.

2、返回父目录即上级目录

CD..

3、把目录文件的列表存入文本文件中

DIRfilename

4、查看当前目录下任何属性的文件

方法一∶DIR

方法二∶DIR/A

5、取消当前目录下所有文件的所有属性(实际上只能查看属性而不能取消-jm注)

ATTRIB，

若在C盘根目录下执行此命令，再用DIR来查看，可以看到IO.SYS、MSDOS.SYS等隐含文件

6、显示当前目录下的所有子目录名

DIR/AD

7、连续显示多个文件的内容

COPY *.* CON

8、分屏显示文件内容

方法一∶MOREfilename

方法二∶TYPE filename|more

9、改变磁盘文件的注册时间

方法一∶COPY filename＋NUL

方法二∶COPY filename＋,,

10、如何屏蔽DOS行的输出信息?

方法是将屏幕输出重定向到DOS空设备NUL，例如∶

COPY MYPROG.EXE A:NUL

11、在DOS状态下直接显示用D方式编辑的WPS文件内容

COPY filename.wps CON/B

12、向文本文件中追加数据

方法一∶COPY filename＋CON

方法二∶TYPE CONfilename

输入完毕后按F6或Ctrl＋Z键结束。

13、键盘指法练习或汉字输入练习的简易屏幕

COPY CON NUL

14、直接打印键盘输入的内容

方法一∶COPY CON PRN

方法二∶MOREPRN

方法三∶SORTPRN

输入完毕后按F6或Ctrl＋Z键。

15、DOS下直接编辑生成文件

在没有任何编辑软件(如EDLIN、EDIT等)的情况下，可临时用以下六种方法从键盘编辑生成文件，当文件内容输入完毕后，按F6键

或按Ctrl＋Z键存盘退出∶

方法一∶COPY CON filename

方法二∶TYPE CONfilename

方法三∶MOREfilename

方法四∶SORTfilename

方法五∶FIND"XXX"/V/Nfilename

方法六∶SORT|FIND"XXX"/V/Nfilename

方法四、五、六均有特殊用处，读者不妨一试。

16、零字节文件的生成

方法∶TYPE NULfilename

上述方法常用于处理需保密的磁盘文件，起到删除文件内容的作用，内容被删除后一般不可恢复。

17、对零字节文件的拷贝，不能用COPY命令，只能用XCOPY命令。

例如∶XCOPY filename1 filename2

18、目录中的所有文件和子目录的复制

XCOPY 目录名.驱动器号:/S

19、如何正确使用COPY 和XCOPY命令?

●将若干个文件联结成一个文件时，应使用COPY命令。

●拷贝小于64KB的单个文件，使用COPY命令。拷贝大于64KB的文件，应使用XCOPY命令。

●拷贝多个文件应使用XCOPY命令。

●拷贝子目录中的内容，应使用XCOPY/S命令。拷贝一批文件到软盘，应使用XCOPY/M命令。

20、什么时候用XCOPY命令的/D开关项?

有时候需要从某个目录中"选出"从某一天开始建立或修改过的文件，并将它们备份，此时可使用XCOPY/D命令。例如，下述命令可

以把C∶目录下那些在1996年7月1日以后建立或修改过的文件拷贝到A盘∶

XCOPY C:*.* A:/D:07－01－96

21、单软驱复制软盘

有的PC机只装有一个软驱，这个驱动器既当A盘又当B盘使用，如果要在这样的系统上进行软盘复制，使用下述的XCOPY 命令∶

XCOPY A: B:

22.整理软盘中碎块，提高使用效率

一张软盘经过多次建立和删除文件操作后，某些文件记录会以不连续的形式存放在软盘空间中，造成软盘空间产生许多碎块，影

响软盘的读写操作性能，严重时可导致读写故障。

解决以上问题可使用COPY命令进行整盘拷贝，则新盘上的文件保持连续存放。

23.将多个文件连续拷入多张软盘。

首先，用ATTRIB命令设置每一文件的文档特性∶

ATTRIB＋A *.*/S

然后使用XCOPY命令，在软盘装满后插入新盘，根据文档特性决定哪些文件需要拷贝，哪些不拷。

XCOPY *.* A∶/S/M/W

24.使用TYPE命令"拷贝"文件

拷贝文件通常使用COPY命令或XCOPY命令，其实，TYPE也有"拷贝"文件的用途∶

TYPE filenamelfilename2

这种方法对于拷贝隐含文件非常有效。例如∶TYPE IO.SYSA∶IO.SYS

25.以小写方式显示文件或目录

DIR/L

26.只显示文件名与子目录名，不显示文件大小和生成时间等信息

DIR/B

27.使DIR总是按文件名的字母顺序来显示文件

在AUTOEXEC BAT中加入下述命令即可∶

SET DIRCMD=/O

28.列当天创建的文件目录

若想知道当天(如1996年10月21日)建立了多少文件，可用下述命令列出∶

DIR|FIND"10 21 1996"

29.若不希望别人使用DIR命令进行目录文件列表，有什么方法呢?

方法一∶DOSKEY DIR=You can not use DIR!

方法二∶在AUTOEXEC BAT中加入命令行∶SET DIRCMD=0

此命令的功能是在用DIR命令来显示文件时，只显示"File not found"，能起到暂时保密的作用。若想显示文件及目录，只有指

定具体的文件名或路径。

方法三∶SET DIRCMD=DIRNUL

此命令执行后再使用DIR命令，将输出没有文件的信息，也颇具迷惑性。

30.出所有目录中的文件

CHKDSK/V|MORE

31.如何在有多级目录的磁盘上查找文件

方法一∶CHKDSK/V|FIND"文件名"其中文件名必须用大写字母。

方法二∶DIR/S文件名

32.实时控制打印机的换行或换页

ECHO＋PRN(换行)

ECHO^LPRN(换页)

33.使计算机在DOS命令行发出声音

ECHO ^G

34.DOS命令提问的自动响应

例如∶

ECHO Y|DEL C∶

ECHO N|CHKDSK C∶/F

35.使ECHO命令显示空行

ECHO命令后直接跟空格字符时，ECHO将显示当前的信息回显状态(ON或OFF)，而不直接向屏幕回显空行。其实，下面一些非常简

单的命令格式都能使ECHO命令显示空行∶

ECHO ECHO， ECHO； ECHO＋

ECHO[ ECHO] ECHO/ ECHO\par

36.用ECHO命令向交互式DOS命令馈送回车符

例如∶

ECHO＋|DATE|FIND"Current date"

ECHO＋|TIME|FIND"Current time"

此技巧可用于AUTOEXEC.BAT中，使每次开机后直接显示当前日期和时间信息，不必按回车键就能继续下去。

37.开机时间黑匣子

有时需要记录每次使用计算机的日期和时间，以便加强用机管理。可以利用上述技巧，只须在AUTOEXEC.BAT文件中加入下列命令

∶

ECHO＋|DATEABC

ECHO＋|TIMEABC

这样在每次启动计算机后，文件ABC中就自动记录了日期和时间，执行命令TYPE ABC即可查看以往开机日期和时间。

38.自动统计命令或文件的运行时间

下面给出一个计时器TIMETEST.BAT，实现了自动统计命令或文件的运行时间∶

@ECHO OFF

TIME 0

COMMAND /C ％1 ％2 ％3 ％4

ECHO ％1 ％2 ％3 ％4运行时间为∶

ECHO＋|TIME|FIND"time is"

@ECHO ON

例如，测试AUTOEXEC.BAT运行时间∶

CTIMETEST AUTOEXEC.BAT ┆

AUTOEXEC.BAT运行时间为∶

Current time is 0∶00∶03 49

说明AUTOEXEC.BAT运行了3.49秒。

39.跳过或单步执行CONFIG.SYS和AUTOEXEC.BAT文件

方法一∶启动计算机，屏幕出现Starting MS-DOS…时，按F5键或SHIFT键，DOS便会跳过CONFIG.SYS和AUTOEXEC.BAT两文件，用

系统运行的基本环境配置来启动机器。

方法二∶当出现上面的提示后，按F8键，并通过键盘逐一回答Y或N来选择执行命令。

方法三∶在CONFIG.SYS文件的命令中加上"?"号。如DOS?=UMS，这样在执行到该条命令时，便会出现[Y，N]?的选择提示，让你选

择是否装入该命令。

40.能否省去DOS启动时等待按F8或F5的两秒时间?

能。方法是在CONFIG SYS文件的头部加上语句SWITCHES=/F，此后同样可以实现以前的功能，方法是在未出现"Starting MS-DOS

…"时就按下F8或F5键。

41.单步执行批处理文件

COMMAND/Y/C(批处理文件名)

开关/Y告诉DOS在执行每一行前暂停，提示[Y，N]?询问用户是否执行。

42.快速获取DOS命令的帮助信息

方法一∶FAST HELP 命令名

方法二∶命令名/?

方法三∶命令名/H

43.方便地更改子目录名

以下MOVE命令能将C∶目录改名为C∶∶

MOVE C∶ C∶

44.什么时候使用MOVE命令移动文件?

MOVE命令的最大特点是可以在一个命令行里列出多个要移的文件，文件之间可用"，"号相隔。例如，将当前目录中所有可执行文

件均移进目录中∶

MOVE *.COM，*.EXE，*.BAT

45.用MOVE命令对子目录进行简单加密或解密

加密∶如将C∶目录利用半个汉字进行简单加密，可执行命令∶

MOVE C∶ C(半个汉字字符)

解密∶反之，可用MOVE命令结合通配符*或?，将不可识别的目录名改成其它名字，达到解密目的。

46.快速进入深层子目录

可用SUBST命令设置驱动器标识符，取代深层次子目录路径，使得进入深层次子目录十分方便。例如，下述命令可以将子目录C∶

模拟成M盘∶

SUBST M∶ C∶

这样，在任何目录下，只要将当前驱动器变成M，即可进入PRG子目录。

47.如何取消SUBST设置的盘符?

例如，要取消上例中的M盘，只须执行命令SUBST M∶/D即可。

48.建立并进入新目录的MD命令

DOS中的MD命令只能建立子目录，建好后再用CD命令进入，其实可以用∶

DOSKEY MD=MD ＄1 ＄T CD ＄1

对MD命令进行重新定义，此后使用MD时，建立目录和进入目录同步完成。

49.排除法文件列表

DIR命令中支持通配符*和?来代替其它字符，但却没有提供相应的排除字符的功能，而利用FIND命令中的/V参数，则能方便地实

现排除法列表。下述命令能将除去.BAK文件和子目录以外的所有文件列出∶

DIR|FIND/V"BAK"|FIND/V"DIR"

50.和的区别

DIRDIRLIST∶如果DIRLIST文件存在，将清除其文件内容，并将新内容输入文件中。

DIRDIRLIST∶如果DIRLIST文件存在，将输出数据附加到这个文件末尾。

在DIRLIST文件不存在时，两者是等价的。

51.快速添加搜索路径

PATH=％PATH％；％1

52.对数据文件及由字处理程序生成的文本文件等不可执行文件，建立自动搜索路径。

APPEND命令能将一组指定的目录添加进当前目录的逻辑扩展，从而不用指定路径就能打开这组文件。APPEND后可以放多个目录，

只要用"；"隔开即可，例如∶

APPEND C∶；C∶；C∶；C∶；

53.将目录名隐藏起来

由于ATTRIB命令可改变一个目录的属性，所以利用该命令可将目录名隐藏起来。例如，将目录C∶隐藏起来∶

ATTRIB ＋H C∶

54.快速删除目录树

用DELTREE命令可快速地删除指定目录，而不管目录中有多少子目录和目录及文件为何种属性。例如∶DELTREE C∶

55.防止误删除文件

DEL命令是一个危险的命令，可以用下述命令对其进行重新定义，使得在删除文件时有确认提示∶

DOSKEY DEL=DEL ＄1/P

56.如果误删除了某些文件，有什么办法及时地将它们恢复?

UNDELETE命令可以用来恢复删除文件，以下命令能将当前目录中的被删文件恢复出来∶

UNDELETE *.*/ALL

此命令恢复出来的文件名的第一个字符变成了＃，可用REN命令更改成原来的文件名。

57.删除多个文件名无共同特征的文件时，由于难用通配符，只能逐个删除，比较麻烦。有没有其他方便的方法?

有。使用DEL *.*/P命令，系统会逐个列出指定目录的所有文件，询问用户是否删除，对欲删除文件回答Y，否则回答N。

58.加密文件名一法

在要加密的文件名最后加上ASCII字符255。方法是输入文件名后按下ALT键，然后输入255。这样，用DIR命令列出该文件时，并

不显示这个字符，即从文件名看不出发生了任何变化，起到了一定的加密作用。

59.回忆用过的命令

执行DOSKEY命令后，用户所输入的命令便被存储起来，以后若要回忆使用过的命令，可随时用"↑"或"↓"键进行前后逐条查找。

60.禁止非法访问某个驱动器

在AUTOEXEC.BAT文件中加入下述两条命令，可以禁止非法访问D盘，当输入D∶时，屏幕即关闭，只有知道密码ZM的人才能进入D

盘∶

DOSKEY D∶=ECHO OFF

DOSKEY ZM=D∶

61.防止别人误将C盘格式化

为了保护C盘，防止别人格式化，可用DOSKEY对FORMAT命令进行重新定义，例如∶

DOSDEY FORMAT=You can not format C∶!

这样，别人在使用FORMAT时将出现Yor can not format C∶!的提示，从而使C盘得到保护。若自己想用FORMAT时，再用如下命令

恢复∶

DOSKEY FORMAT=

62.检查屏幕状态，获得有关屏幕显示字符和行数的报告

MODE CON

63.设置屏幕每行显示字符数和每屏的行数

例如∶

MODE CON COLS=80 LINES=25

64.提高键盘的响应速度

MODE CON∶RATE=32 DELAY=1

65.不喜欢系统启动时Num Lock键的缺省设置怎么办?

在CONFIG SYS文件中加进NUMLOCK命令，根据你的爱好指定系统启动时NUMLOCK键的状态∶

NUMLOCK=ON(或OFF)

66.简单的键盘锁

在你使用计算机时，如果只离开一会，又不想关机，为了不让别人随意使用，可编制一个简单的键盘锁LOCK BAT程序(内容如下)

∶

@ECHO OFF

CLS

CHOICE/C:*/N

运行之后，形同死机，"*"号就是键盘锁的钥匙，不知道的人无法破译。

67.文件的选择显示

假设有MY1 TXT、MY2 TXT、…、MY10.TXT共10个文件，现欲显示其中的MY2.TXT、MY3.TXT、MY6.TXT和MY9.TXT 4个文件，可用如

下命令很方便地实现∶

FOR ％A IN(2369)DO TYPE MY％A.TXT

68.删除误拷贝文件

当用COPY A∶*.*命令把A盘上所有文件拷贝到硬盘某子目录下时，却不慎误拷贝到硬盘根目录下，如误拷贝的文件数量很多，且

文件名没有任何特征，这时如要删除这些文件，通常做法是用PCTOOLS工具软件进行选择删除，比较麻烦。使用FOR命令就简单多了∶

AFOR ％A IN(*.*)DO DEL C∶％A

69.由于FIND命令不能接受通配符，若希望在若干个文本文件中寻找含有某个字符串插，就只能对每个文件依次使用FIND命令，

显然很费功夫，没有捷径吗?

有。使用FOR命令与FIND命令配合，格式为∶

FOR％A IN(文件组)DO FIND"string"％A

70.FOR命令不能嵌套，有没有办法实现FOR循环嵌套呢?

有。可以把COMMAND.COM作为第一层循环里的命令，让它再执行一个FOR循环命令。例如，下述命令可以在屏幕上显示12

行"Welcome you":FOR ％A IN(123)DO COMMAND/C FOR ％B IN(1234)DO ECHO Welcome you

71.双冒号∶∶在注释行中的作用

在DOS批处理文件开头，经常使用REM注释命令加一个程序头。例如，假设有一个名为TEST.BAT的批处理文件，它以一个文本文件名

为输入参数，若在开头说明其用法时，使用了一个采用和和括号的注释行，即∶

REM TESTfilename

程序执行此命令时，DOS将显示"File not found"信息，因为它以为filename是一个重定向输入操作的源文件，它在当前目录中

找不到。如何解决这个问题?

很简单，只须将REM改为双冒号"∶∶"，即∶

∶∶TESTfilename

72.批处理中的IF ERRORLEVEL

在批处理文件里使用IF ERRORLEVEL命令时要小心，因为DOS认为任何大于或等于设定值的出口状态值都是等效的。通常应按从大到

小的次序测试出口状态值，例如∶

IF ERRORLEVEL 2 ECHO TWO

IF ERRORLEVEL 1 ECHO ONE

IF ERRORLEVEL 0 ECHO ZERO

73.能不能按从小到大的次序测试出口状态值?

能。但应结合IF NOT的形式进行判断，例如72例中的命令应改为∶

IF ERRORLEVEL 0 IF NOT ERRORLEVEL 1 ECHO ZERO

IF ERRORLEVEL 1 IF NOT ERRORLEVEL 2 ECHO ONE

IF ERRORLEVEL 2 IF NOT ERRORLEVEL 3 ECHO TWO

74.批处理文件中使用@符禁止命令显示在屏幕上

由于DOS是在各个命令执行前就将它们显示到屏幕上的，因此，即使你将ECHO命令置为OFF，它本身也会出现在屏幕上。要抑制它

的显示，可在ECHO命令行前加@符∶@ ECHO OFF

75.统计源程序的行数

假设源程序名为ZM.PRG，下述FIND命令可方便地统计它共有多少行∶

FIND/V/C" "ZM.PRG

76.对文本文件进行排序

SORT命令常用来对一些基于文本行的文件进行排序显示。例如，按姓名的开头字母显示一个含有电话号码的清单文件。命令格式

∶

SORT[/R][/＋n]filename1filename2

其中，/R表示反向排序，/＋n表示从第几行开始排序，filename1为源文件名，filename2为排序后的文件名。

77.用PROMPT设置有意义的提示符

PROMPT命令用于设置新的DOS系统提示符。例如∶

PROMPT ＄P＄G 取当前驱动器名及目录作为提示符

PROMPT ＄D＄G 取当前系统日期作为提示符。

78.如何设定屏幕颜色?

假设ANSI.SYS已被安装在内存中，以下命令可把屏幕设置成白底红字∶

PROMPT ＄E[31；47m

79.在屏幕上选定的位置显示日期和时间信息

把ANSI SYS的屏幕和光标控制功能与PROMPT的设定DOS命令提示符功能结合起来，可以在屏幕上选定的位置显示特殊的信息。例

如，在AUTOEXEC BAT中加入下述命令行，可将日期和时间信息移到屏幕的右下方∶

PROMPT ＄E[S ＄E[25;52H ＄D＄T ＄E[u ＄P＄G

80.用F2键编辑上次命令

用F1或F3功能键可复制上次命令，类似地F2键能得到部分上次命令，当按下F2键时，DOS就将上次命令内容拷贝到按F2键后键入的

字符(不含)为止。

例如，键入了以下命令∶

CDIR.COMenter

按F2键及M键，可以得到∶

CDIR

这时再按INS插入键，输入R，再按F3键复制上次命令剩余部分，得到正确的命令∶

CDIR.COM

81、用F4键编辑上次命令

当按下F4键时，DOS从按F4键后按的字母开始复制上次命令。例如，上次命令为∶

CDIR[enter]

按下F4键，再输入F，然后再按F3，DOS就会显示FORMAT命令∶

CFORMAT

82、用SHELL命令改变环境空间的大小

将环境变量空间增加到1KB，可在CONFIG.SYS文件中加进命令行∶

SHELL=C∶.COM/P/E∶1024

83、在批处理文件中引用环境变量

批处理文件可以引用系统上已定义的环境变量。具体方法是在环境变量名的前后各放一个百分号"％"。例如，要在批处理文件中显

示环境变量PATH的内容，可加进命令行∶

ECHO ％PATH％

84、查看单个环境变量

如果你经常使用环境变量，当用SET命令显示当前所有已分配的环境变量时，列表就可能很长，屏幕可能很杂乱。为方便起见，可

用下面的批处理文件VIEWENV.BAT在命令行直接显示单个环境变量∶

SET|FIND/I "％1"

例如，要察看COMSPEC的内容，只须执行∶

VIEWENV COMSPEC

85、制作DOS系统盘

方法一∶FORMAT A∶/S

方法二∶SYS A∶

86、定期整理硬盘

具体步骤∶

?删除硬盘中不必要的文件

?运行CHKDSK/F

?运行DEFRAG

87、了解内存的类型

?常规内存∶0～640KB

?上位内存区(UMA)∶640KB～1MB

?扩展内存∶自1MB起向上延伸

?高内存区(HMA)∶1MB以上的稍小于64KB的扩展内存区

?扩充内存

88、将DOS移到高内存区

为使用户有较大的可用基本内存，可以在CONFIG.SYS文件中加入下述命令，加载HIMEM.SYS，将DOS移入高内存区(HMA)∶

DEVICE=C∶.SYS

DOS=HIGH

89、将设备驱动程序和内存驻留程序装入上位内存(UMB)

在CONFIG.SYS文件中加进命令∶

DEVICE=C∶.EXE NOEMS

DOS=UMB

90、将程序装入高内存区

将程序装入HMA的方法是在命令行上加一个/U开关，例如∶

MOUSE/U

91、上位内存的使用

为将程序驻留上位内存，使用LOADHIGH(或LH)程序名即或，例如∶

LH MOUSE

92、如何显示某个特定程序占用内存的情况?

MEM/M module

其中，module表示特定程序文件名，不要带扩展名。

93、使用Memmaker自动优化内存

执行MEMMAKER/BATCH命令，MEMMAKER就自动为CONFIG.SYS和AUTOEXEC.BAT文件做最优的设置，此后，执行MEM/C/P来观察内存的分

配情况，你会发现主存变大了。

94、若不满意MEMMAKER的优化设置，应该怎么办?

很简单，只须执行MEMMAKER/UNDO即可恢复你原来的配置。

95、磁盘高速缓冲存储器SMARTDRV的使用

为建立一个具有256K(默认值)的磁盘高速缓存，可在AUTOEXEC.BAT文件中加入命令行∶

C∶

由于SMARTDRV是建立在扩展内存中，所以还必须在CONFIG.SYS文件中加入命令行∶

DEVICE=C∶.SYS

96、当你关闭计算机或重新启动时，希望确定所有在高速缓存的信息均已写入硬盘时，应在系统提示符下键入命令∶

SMARTDRV/C

97、跳过SCANDISK的磁介质扫描

运行SCANDISK时，磁介质扫描要消耗很长时间，其实，使用SCANDISK/CHECKONLY便可跳过它。

98、LOADFIX命令的正确使用

在优化过程中，有少数程序不能在640KB常规内存的低64KB内正确运行。此时，可使用LOADFIX命令让可执行程序(如ZMPROG.EXE)在

低64KB以上的内存中运行，方法是在要运行的应用程序前加上LOADFIX∶

LOADFIX ZMPROG

99、何时使用虚拟盘(也称RAM盘)?

RAM盘能显着提高磁盘文件的存取速度，但它在断电或重启动时会丢失数据。因此，使用RAM盘时要特别小心。在没有硬盘的系统上

，RAM盘值得一用；在需要存放较大的临时文件或复制程序时，也可以使用；当你的系统上配有CD-ROM时，在开始工作前，可将CD-

ROM盘上的文件与数据复制进RAM盘，能够显着提高效率。

100、虚拟盘的安装

DOS提供的RAMDRIVE.SYS是一个虚拟盘驱动程序，你可以将它安装进内存，让它使用扩展内存或扩充内存，生成指定大小的RAM盘。

例如，在CONFIG.SYS中加进下述命令，可在扩展内存中生成一个1MB的RAM盘∶

DEVICE=C∶.SYS 1024/E

黑客给苹果手机加内存带吗

黑客只能用程序攻击手机，怎么会控制你的硬件物理内存呢？ 你到底是什么意思，看不明白。

缓充区溢出是怎么回事，黑客是如何利用它入侵个人电脑的？

什么是缓冲区溢出

单的说就是程序对接受的输入数据没有进行有效的检测导致错误，后果可能造成程序崩溃或者执行攻击者的命令，详细的资料可以看unsecret.org的漏洞利用栏目 。

缓冲区溢出的概念

堆栈溢出（又称缓冲区溢出）攻击是最常用的黑客技术之一。我们知道，UNIX本身以及其上的许多应用程序都是用C语言编写的，C语言不检查缓冲区的边界。在某些情况下，如果用户输入的数据长度超过应用程序给定的缓冲区，就会覆盖其他数据区。这称作“堆栈溢出或缓冲溢出”。

一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误。但是，如果输入的数据是经过“黑客”精心设计的，覆盖堆栈的数据恰恰是黑客的入侵程序代码，黑客就获取了程序的控制权。如果该程序恰好是以root运行的，黑客就获得了root权限，然后他就可以编译黑客程序、留下入侵后门等，实施进一步地攻击。按照这种原理进行的黑客入侵就叫做“堆栈溢出攻击”。

为了便于理解，我们不妨打个比方。缓冲区溢出好比是将十磅的糖放进一个只能装五磅的容器里。一旦该容器放满了，余下的部分就溢出在柜台和地板上，弄得一团糟。由于计算机程序的编写者写了一些编码，但是这些编码没有对目的区域或缓冲区——五磅的容器——做适当的检查，看它们是否够大，能否完全装入新的内容——十磅的糖，结果可能造成缓冲区溢出的产生。如果打算被放进新地方的数据不适合，溢得到处都是，该数据也会制造很多麻烦。但是，如果缓冲区仅仅溢出，这只是一个问题。到此时为止，它还没有破坏性。当糖溢出时，柜台被盖住。可以把糖擦掉或用吸尘器吸走，还柜台本来面貌。与之相对的是，当缓冲区溢出时，过剩的信息覆盖的是计算机内存中以前的内容。除非这些被覆盖的内容被保存或能够恢复，否则就会永远丢失。

在丢失的信息里有能够被程序调用的子程序的列表信息，直到缓冲区溢出发生。另外，给那些子程序的信息——参数——也丢失了。这意味着程序不能得到足够的信息从子程序返回，以完成它的任务。就像一个人步行穿过沙漠。如果他依赖于他的足迹走回头路，当沙暴来袭抹去了这些痕迹时，他将迷失在沙漠中。这个问题比程序仅仅迷失方向严重多了。入侵者用精心编写的入侵代码（一种恶意程序）使缓冲区溢出，然后告诉程序依据预设的方法处理缓冲区，并且执行。此时的程序已经完全被入侵者操纵了。

入侵者经常改编现有的应用程序运行不同的程序。例如，一个入侵者能启动一个新的程序，发送秘密文件（支票本记录，口令文件，或财产清单）给入侵者的电子邮件。这就好像不仅仅是沙暴吹了脚印，而且后来者也会踩出新的脚印，将我们的迷路者领向不同的地方，他自己一无所知的地方。

缓冲区溢出的处理

你屋子里的门和窗户越少，入侵者进入的方式就越少……

由于缓冲区溢出是一个编程问题，所以只能通过修复被破坏的程序的代码而解决问题。如果你没有源代码，从上面“堆栈溢出攻击”的原理可以看出，要防止此类攻击，我们可以：

1、开放程序时仔细检查溢出情况，不允许数据溢出缓冲区。由于编程和编程语言的原因，这非常困难，而且不适合大量已经在使用的程序；

2、使用检查堆栈溢出的编译器或者在程序中加入某些记号，以便程序运行时确认禁止黑客有意造成的溢出。问题是无法针对已有程序，对新程序来讲，需要修改编译器；

3、经常检查你的操作系统和应用程序提供商的站点，一旦发现他们提供的补丁程序，就马上下载并且应用在系统上，这是最好的方法。但是系统管理员总要比攻击者慢一步，如果这个有问题的软件是可选的，甚至是临时的，把它从你的系统中删除。举另外一个例子，你屋子里的门和窗户越少，入侵者进入的方式就越少。

黑客主要先从微软漏洞公布表上或者0days上找到漏洞,再根据漏洞编写溢出程序(好多都自带扫描功能)包括本地提权溢出,远程提权溢出.编好后,先用那个扫描一下有漏洞的主机,然后再用它溢出获得权限,控制目标主机.

紧急求救SOS,电脑中毒！！！！

一、对于你的具体问题的分析

本人是黑客技术爱好者，对你的情况断定如下：

1。木马如何工作：对方将木马程序的图标更换成图片的图标来进行伪装直接发送给你，不过那个图片必定是.exe后缀的（也可能是.cmd后缀等，总之绝不是图片格式后缀），你打开图片后可能图片自动消失了（木马的自删除功能），然后你的QQ就全部被强行关闭（定时自动关闭程序，时间可以由木马制造者设计），木马程序插入QQ进程（只有在内一进程内才能访问进程的内存，目的就是截获你的密码），当你重新登陆时，密码被木马发送到接收者手中。

2。杀毒软件为何打不开：木马做了反杀毒软件外壳，对其原理请看下文，同时做了些网络安全相关的介绍，希望对你会有所帮助。

二、什么是计算机病毒与木马

计算机病毒是一个程序，一段可执行码。它和我们常用的各种软件如播放器、QQ聊天软件等一样都属于应用程序，计算机病毒与普通应用程序的区别在于它一般具有传染性、隐蔽性、破坏性等特点。计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。木马程序通常由客户端(Client)和服务端(Server)两部分组成，服务端被种植到远程计算机上，客户端由黑客在自己的主机上运行，客户端可以向服务端发送各种指令来控制服务端的电脑。

计算机病毒和木马都是一种应用程序，病毒的主要特点在于传染性和破坏性，木马的主要特点在于远程控制，木马与病毒相比更具有潜在的危险性。

三、什么是计算机漏洞

顾名思义，计算机漏洞就是指计算机软件在程序设计上的缺陷，留下了隐患。黑客利用计算机漏洞可能完全控制你的电脑。微软的操作系统本身就存在着大量的漏洞（微软的主要操作系统有：MS-DOS，Windows 98/Me，Windows NT，Windows 2000，Windows XP，Windows 2003等），比较著名的漏洞有MS05039溢出漏洞、MS0601图形呈形引擎导致的远程执行代码漏洞、HELP控件跨域执行代码漏洞等，黑客利用这些漏洞曾一度使互联网病毒泛滥。

四、流行木马工作过程详解

1. 密码窃取木马，在此以QQ窃密木马“阿拉QQ大盗”为例：

阿拉QQ大盗在互联网上很流行，通过对木马程序进行初步的配置后它可以自动生成一个木马程序，如果你的计算机不幸运行此程序后，你的QQ将会在指定的时间内被强行关闭，当你再次登陆QQ时，你的号码及密码就会被此木马程序悄悄的发送到木马制造者指定的收信程序中，从此你的QQ号就不再是你的了。

2. 远程控制木马，在此以让人望而生畏的“灰鸽子”为例：

灰鸽子是一款很有名的远程控制软件，它由服务端和控制端两部分组成。它属于反弹端口型的木马程序，当你的电脑不幸中了灰鸽子服务端后，服务端会自动向木马制造者设置的地址发送连接请求，当服务端与客户端建立网络连接后，木马制造者将拥有你的电脑的完全控制权，包括密码窃取（如窃取你的宽带上网帐号进行网上消费）、屏幕监控（木马制造者可以远程看到你的桌面，你在做什么他可是了如指掌）、数据下载（你的所有资料都可以被他窃取）、格式化硬盘（让你的所有数据灰飞烟灭）、远程开启视频（如果你安装了摄像头的话，对方可以悄悄的打开你的视频而不被你察觉，真实的你也会展现在黑客面前）。

五、木马、病毒的传播途径

通过上面的介绍，相信大家对木马、病毒的危害巳经有一个感观的认识了，你也许会问：木马、病毒是如何进入我的计算机的呢？下面我就对木马、病毒的几种主要传播手段做一个简单介绍。

1. 通过硬件存储介质传播

前面讲过计算机病毒有自动复制传染的特性，所以如果U盘、MP3、SD卡、软盘、移动硬盘等移动存储设备如果接入感染了病毒的计算机后，其本身可能也会被感染病毒，如果再接入没有被感染病毒的计算机后，该计算机可能也会被传染病毒。

2. 通过局域网共享传播

前面提到了计算机的漏洞，微软的IPC共享就存在严重漏洞，许多病毒可以通过IPC默认共享自动感染局域网内的所有计算机。（我们在局域网内实现共享打印机、共享文件都是利用IPC来实现共享的）

3. 通过与应用软件捆绑传播

此种手段较为高明，木马制作者把木马程序捆绑到一个比较常用的应用软件上，比如Photoshop、QQ、Realplayer、Word等软件上，然后把这些捆绑了木马程序的应用软件放到互联网上提供给网友下载，当你下载下来安装这些软件的时候，被捆绑其上的木马也被你同时安装到自己的电脑中了，这一过程是不被你察觉的。

4. 通过电子邮件附件传播

木马制作者可以直接把木马程序作为附件发送给你，利用社会工程学的知识来骗你打开附件，比如说是你的同学，发给你一张新拍的照片，如果你信以为真，那可能就中计了。直接发送木马程序对于稍有网络安全意识的人来讲还是可以防范的，因为木马程序既然是应用程序，那么它的后缀名必定是.EXE。更高级的附件发送木马手法还是挺高明的，比如把木马程序的图标改为图片文件的图标或是Word文档的图标来进行鱼目混珠，还可以利用Word的宏命令直接把木马程序写入Word文档中，这样就更难察觉了。

5. 通过网页木马传播

什么是网页木马？答：网页木马就是利用计算机漏洞构造出的具有特殊功能的网页，当你打开此网页且你的计算机有此网页利用的漏洞时，你的电脑就会自动从指定的网址下载木马程序到你的电脑上并自动运行。这一切都是在隐蔽状态下进行的，对于你来说，你只不过就是打开了一个网页而巳，没有进行任何其它操作，但是你的电脑巳经中毒了。相对于其它传播手段而言，此种传播手段的传播效率最高！大约90％以上的木马程序都是通过网页木马来进行传播的。你也许会说你没有上什么不正规的网站，怎么也会中毒？事实上目前的许多网站都存在着各种各样的漏洞，黑客利用这些漏洞可以入侵网站，包括有名的网易、搜狐、新浪等大型知名网站都曾遭遇过黑客入侵而被篡改主页。黑客入侵网站后如果在这些网站的首页加上一段调用网页木马的代码，那么当你浏览这一网站时你就可能中了木马了。

6. 通过邮件网页木马传播

前面巳讲到什么是网页木马，那么邮件网页木马顾名思义就是通过邮件传播的网页木马了，木马制造者通过编辑电子邮件的源代码，可以发送一封网页格式的电子邮件给你，此种格式的邮件如果在源代码中加入调用网页木马的代码就称为邮件网页木马，此中邮件没有附件，你只要打开了这封邮就会中马，不需要进行其它任何操作！它相对于网页木马的优点在于可以发送到指定的邮箱指定目标进行攻击。

7. 通过影音文件网页木马传播

不知大家是否有过这样的经历，下载到一部自己喜爱的电影，正在观看时突然弹出来一个网页，这个网页就有可能是网页木马了（也有可能只是做广告），视频文件是可以添加事件的，可以让它在播放到指定时间时打开一个网页，如果打开的网页是网页木马，那么你的电脑从此就中毒了。此种木马常见于一些不正规的小网站提供的电影下载中或是BT等共享视频中。

六、杀毒软件与防火墙的工作原理

杀毒软件杀毒的一个重要依据就是根据自己病毒库中的特征码定义，所谓特征码就是某程序所特有的代码段，病毒特征码就是指某病毒所特有的代码，杀毒软件在对文件进行杀毒时对文件内的内码逐一进行检查，一旦发现此文件中含有某种病毒的特征码那么它就认为是某种病毒，无论这个文件到底是不是病毒。比较高级的杀毒软件通常对同一种病毒有两种特征码定义：文件特征码和内存特征码。程序是运行于内存中的，内存中的代码与文件本身的代码是不同的，有些文件直接用杀毒软件查杀是没有病毒的，但是你一旦运行它就会查出有病毒就是这个原因。

“黑客会打上我的主意吗？”这么想就对了，黑客就想钻鸡蛋缝的苍蝇一样，看到一丝从系统漏洞发出的光亮就会蠢蠢欲动！好，如何保护你的网络呢？计算机的高手们也许一张嘴就提议你安装网络的防火墙，那么第一个问题就来了：到底什么是防火墙呢？防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。 天下的防火墙至少都会说两个词：Yes或者No。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。值得一提的是，只要你想上网，你的防火墙就一定会对一些程序和端口说“YES”来放行的。

七、道高一尺魔高一丈，木马病毒如何逃过防火墙与杀毒软件的拦截查杀

前面讲到杀毒软件杀毒的一个重要依据就是特征码，那么如果一个程序中不含有病毒库中定义的所有特征码的话，杀毒软件就自然不会认为这个程序是病毒了！黑客高手们通常的做法是做出来一个木马、病毒程序后，用各种杀毒软件去杀它，而后取得各种杀毒软件对此程序的特征码的定义，然后就是修改特征码，把征征码的代码改用其它的程序代码来实现相同的功能，经过大多数杀毒软件的轮攻与修改后，这个病毒就可以顺利逃过各种杀毒软件的查杀了！前面亦有提到只要你想上网，防火墙就会对某些程序（如IE浏览器）和端口放行，那么病毒木马通过线程插入系统进程的技术可以将自身置入系统进程之中，木马程序通常会利用80端口进行远程连接（WEB服务默认端口），这样只要你的电脑可以上网，那么木马程序同样也会被防火墙放行！对于黑客高手而言，普通的杀毒软件和防火墙（普通用户用到的杀毒软件及防火墙）就等于是花边，对们来说是不起什么作用的！所以当你用杀毒软件把你的所有硬盘都扫了一遍而没有发现病毒时你也不要沾沾自喜，很可能你中了做了免杀处理的病毒，这样虽然你中毒了你的杀毒软件也会视若无睹。-

八、木马隐藏技术，木马程序藏身何处

木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马，于是便出现了下面要介绍的“进程隐藏”技术。

第一代进程隐藏技术：Windows 98的后门

在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。

第二代进程隐藏技术：进程插入

一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程。

一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，这里以盗QQ密码的木马为便进行简单讲解。

普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！

不要相信自己的眼睛：恐怖的进程“蒸发”

严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！

它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。

而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。

什么是Hook？Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。

毫无踪迹:全方位立体隐藏

利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。

跟杀毒软件对着干：反杀毒软件外壳

木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为穿上件马夹我就不认识你了)。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。

什么是壳？顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。

九、普通用户网络安全的出路：防胜于杀

综上可见，依赖于防火墙和杀毒软件想做到百毒不侵那是不可能办到的事情！可以这样说，只要你接入互联网那就有可能中毒，而且有可能中了毒也查不出有毒，那么对于没有专业的网络安全知识的普通用户来说，如何才能保障自身的网络安全呢？

1. 打好系统补丁，修复系统漏洞

前面讲到病毒的最大来源就是网页木马，而网页木马必定依赖于系统漏洞而生存，如果你的系统没有网页木马所利用的漏洞，自然它就不能发挥任何作用了！所以防范木马病毒进入电脑的最佳办法就是及时打好系统补丁，然后用漏洞扫描工具检测一下系统是否存在漏洞，直到修复到没有任何巳公布的漏洞而巳。

2. 及时更新杀毒软件的病毒库

虽然杀毒软件不是万能的，但是安装一个好的杀毒软件还是很有必要的，微软公司每年都会公布出大量的系统漏洞，然后在官方网站提供漏洞补丁供用户下载，然而仍然有许多未被发现的漏洞有可能被黑客利用，所以装个比较好的杀毒软件还是很必要的，推荐卡巴斯基和瑞星，卡巴斯基除了利用特征码杀毒外，还启用了虚拟机技术和行为跟踪技术，其文件查杀与内存查杀能力可谓是出类拔萃！瑞星与其它杀毒软件相比最出色的地方就在于内存查杀能力相当强大，缺点就是许多病毒木马都特别针对瑞星做了反查杀处理。

3. 做好系统备份，做好灾难恢复的准备

既然打补丁和安装杀毒软件都不是万能的，那么就要做好中毒的准备，及时做好系统备份，一旦出现灾难性故障可以迅速恢复操作系统，免去数据丢失的风险和重装系统的麻烦。

请问在不加内存条的情况下怎样提高内存？

1. 2G的内存，现在大概要300元，看你的主板支持什么频率。1066的现在很便宜

2. 提高虚拟内存没必要。除非你的机器提示过虚拟内存不足。

3. 开始-运行-msconfig-启动。去掉不需要的驱动项目。一般留下杀软和ctfmon（跟输入法有关的）就可以了。建议用微点，占内存小。

4，关掉不必要的后台服务：我的电脑（右键）-管理-服务和应用程序-服务。具体如下（内容比较多，但很实用）：

01：Application Layer Gateway Service

XP_SP2 自带的防火墙,在我看来是一张纸，根本不起作用。

02：Computer Browser

计算机浏览器.一般家庭用计算机不需要,除非你的计算机应用在局域网之上。

03：Distributed Link Tracking Client

分布式连结追踪客户端.用于局域网更新连接信息,比如在电脑A有个文件,在B做了个连接,如果文件移动了,这个服务将会更新信息.对于绝大多数用户来说,形同虚设,可以关闭,特殊用户除外.

04：Error Reporting Service

微软的应用程序错误报告服务,把错误信息报告给微软总部。

05：Help and Support

现实中证明没有多少人需要它,除非有特别需求。

06：IMAPI CD-Burning COM Service

XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快Nero的开启速度,如果你习惯使用第三方软件或者根本没有刻录机,那就停用。

07：IPSEC Services

IP 安全性服务。协助保护经由网络传送的数据。IPSec 为一重要环节，为虚拟私人网络 (VPN) 中提供安全性，而 VPN 允许组织经由因特网安全地传输数据.在某些网域上也许需要，但是一般使用者大部分是不太需要的。

08：Network Location Awareness (NLA)

如果不使用ICF和ICS可以关了它.如有网络共享或ICS/ICF可能需要(服务器端).对于移动办公用户，启动

09：Print Spooler

将文件加载到内存中以便迟后打印.打印多任务缓冲处理器。可以优化打印，对于打印功能有一定的帮助，没有打印机的可以禁用

10：Remote Registry

使远程用户能修改此计算机上的注册表设置.远程登录注册表服务，允许远程用户在权限许可的情况下登录本机并修改注册表设置.一般而言,这项服务是很少用到的，而且容易被黑客利用，给自己的计算机增加了不必要的危险。

11：Security Center

SP2的安全中心,只是个提示功能,防火墙都关了，这个也要禁掉，不然老是在屏幕右下角给那些让人觉得很烦的友情建议。

12：Server

简单的说就是档案和打印的共享,除非你有和其它计算机共享，不然就关了.局域网文件/打印共享需要的。

13：Shell Hardware Detection

为自动播放硬件事件提供通知.一般使用在移动存储或是CD装置、DVD装置上。一插上移动盘就跳出个窗口疯狂扫描音频和视频，自作多情地要自动播放。这是个比较烦的东西，而且很容易将移动盘里面的病毒释放出来。

14：System Restore Service

系统还原,因人而定,本人觉得比较浪费资源，给禁掉了。

15：Wireless Zero Configuration

自动配置无线网络装置，言下之意就是说，除非你有在使用无线网络装置,那么你才有必要使用这个网络零管理服务,否则这个对你一点作用也没有。

黑客怎样打电话延长电池寿命或增大手机内存

如果我们希望能够延长电池的有效使用时间，除了充电器的质量要有保证外，正确的充电技巧也是必不可少的，因为质量差的充电器或错误的充电方法都将影响电池的使用时间和循环寿命.

1、电池出厂前，厂家都进行了激活处理，并进行了预充电，因此电池均有余电，有朋友说电池按照调整期时间充电，待机仍严重不足，假设电池确为正品电池的话，这种情况下应延长调整期再进行3-5次完全充放电。

2、如果新买的手机电池是锂离子，那么前3-5次充电一般称为调整期，应充14小时以上，以保证充分激活锂离子的活性。锂离子电池没有记忆效应，但有很强的隋性，应给予充分的激活后，才能保证以后的使用能达到最佳效能。

3、有些自动化的智能型快速充电器当指示信号灯转变时，只表示充满了90%。充电器会自动改变用慢速充电将电池充满。最好将电池充满后使用，否则会缩短使用时间。

4、充电前，锂电池不需要专门放电，放电不当反而会损坏电池。

5、充电时尽量以慢充充电，减少快充方式；时间不要超过24小时。

6、电池经过三至五次完全充放电循环后其内部的化学物质才会被全部”激活”达到最佳使用效果。

7、请使用原厂或声誉较好的品牌的充电器，锂电池要用锂电池专用充电器，并遵照指示说明，否则会损坏电池，甚至发生危险。

8、有很多用户不知是没有注意还是不懂，常常在充电时还把手机开着，其实这样会很容易伤害手机寿命的，因为在充电的过程中，手机的电路板会发热，此时如果有外来电话时，可能会产生瞬间回流电流，对手机内部的零件造成损坏。

9、电池的寿命决定于反复充放电次数，所以应尽量避免电池有余电时充电，这样会缩短电池的寿命。手机关机时间超过7天时，应先将手机电池完全放电，充足电后再使用。

10、手机电池都存在自放电，不用时镍氢电池每天会按剩余容量的1%左右放电，锂电池每天会按0.2～0.3%放电。

11、在给电池充电时，尽量使用专用插座，不要将充电器与电视机等家电共用插座。

12、尽管我们的手机在网络覆盖区域之内，但在手机关机充电时，我们的手机已经无法接受和拨打电话了。此时，我们可以使用手机的未通转移功能，将手机转移到身边的固定电话上，以防止来电丢失，这种方法对于手机不在网络覆盖区域内或者信号微弱而暂时无法接通时也适用。

13、不要将电池暴露在高温或严寒下，像三伏天时，不应把手机放在车里，经受烈日的曝晒；或拿到空调房中，放在冷气直吹的地方。当充电时，电池有一点热是正常的，但不能让它禁受高温的“煎熬”。为了避免这种情况的发生，最好是在室温下进行充电，并且不要在于机上覆盖任何东西。

14、镍镉(NiCd)电池充电前必须保证电池完全没电，再充电后必须保证电池充足电。

15、如果手机电池放置太长时间而未用，最好到手机维修部门申请给电池作一个活化处理，也可以自己用一个直流恒压器，调整电压为5-6V，电流500-600mA反向连接电池。注意，一触即放开，最多重复三次，就可以了，经过这样处理后，再用原装充电器进行“调整期”充电。

16、充电时不是时间越长越好，对没有保护电路的电池充满后即应停止充电，否则电池会因发热或过热影响性能。

17、锂离子电池必须选用专用充电器，否则可能会达不到饱和状态，影响其性能发挥。充电完毕后，应避免放置在充电器上超过12小时以上，长期不用时应使电池和手机分离。

黑客的入侵手段～～

死亡之ping （ping of death）

概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。

防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。

泪滴（teardrop）

概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。

防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

UDP洪水（UDP flood）

概览：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。

防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。

SYN洪水（SYN flood）

概览：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。

防御：在防火墙上过滤来自同一主机的后续连接。

未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。

Land攻击

概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。

防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。（包括10域、127域、192.168域、172.16到172.31域）

Smurf攻击

概览：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。

防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。

Fraggle攻击

概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP

防御：在防火墙上过滤掉UDP应答消息

电子邮件炸弹

概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮，攻击者能够耗尽接受者网络的带宽。

防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。

畸形消息攻击

概览：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。

防御：打最新的服务补丁。

利用型攻击

利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：

口令猜测

概览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。

防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。

特洛伊木马

概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。

防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。

缓冲区溢出

概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。

防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。

信息收集型攻击

信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务

扫描技术

地址扫描

概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。

防御：在防火墙上过滤掉ICMP应答消息。

端口扫描

概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。

防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。

反响映射

概览：黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。

防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答?.

慢速扫描

概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

防御：通过引诱服务来对慢速扫描进行侦测。

体系结构探测

概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法（例NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。

防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。

利用信息服务

DNS域转换

概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

防御：在防火墙处过滤掉域转换请求。

Finger服务

概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。

LDAP服务

概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。

防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。

假消息攻击

用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

DNS高速缓存污染

概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

伪造电子邮件

概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。

防御：使用PGP等安全工具并安装电子邮件证书。

漏洞攻击

对微软（Microsoft）而言，最具讽刺的是总被黑客先发现漏洞，待Windows们倒下后，微软才站出来补充两句：“最新的补丁已经发布，如果客户没有及时下载补丁程序而造成的后果，我们将不承担责任！”

攻击：

细细盘查，漏洞攻击主要集中在系统的两个部分：1.系统的对外服务上，如“冲击波”病毒针对系统的“远程协助”服务；“尼姆达”病毒由系统的“IPC漏洞”（资源共享）感染。2. 集成的应用软件上， IE、OutLook Express、MSN Messager、Media Player这些集成的应用程序，都可能成为漏洞攻击的桥梁。

那黑客又是如何利用这些漏洞，实施攻击的呢？首先利用扫描技术，了解对方计算机存在哪些漏洞，然后有针对性地选择攻击方式。以IE的IFRAME漏洞为例，黑客能利用网页恶意代码（恶意代码可以采用手工编写或者工具软件来协助完成），制作带毒网页，然后引诱对方观看该网页，未打补丁的IE将会帮助病毒进入计算机，感染后的系统利用IE通讯簿，向外发送大量带毒邮件，最终堵塞用户网络。

防范：

漏洞的防御，升级自然是首选。有两种方式可以很好的升级：

1. Update

系统的“开始”菜单上，会有“Windows Update”的链接，选择后，进入Microsoft的升级主页，网站上的程序会自动扫描当前系统存在哪些漏洞，哪些需要升级，根据“向导”即可完成，如图所示（笔者推崇这种方式）。

漏洞攻击

对微软（Microsoft）而言，最具讽刺的是总被黑客先发现漏洞，待Windows们倒下后，微软才站出来补充两句：“最新的补丁已经发布，如果客户没有及时下载补丁程序而造成的后果，我们将不承担责任！”

攻击：

细细盘查，漏洞攻击主要集中在系统的两个部分：1.系统的对外服务上，如“冲击波”病毒针对系统的“远程协助”服务；“尼姆达”病毒由系统的“IPC漏洞”（资源共享）感染。2. 集成的应用软件上， IE、OutLook Express、MSN Messager、Media Player这些集成的应用程序，都可能成为漏洞攻击的桥梁。

那黑客又是如何利用这些漏洞，实施攻击的呢？首先利用扫描技术，了解对方计算机存在哪些漏洞，然后有针对性地选择攻击方式。以IE的IFRAME漏洞为例，黑客能利用网页恶意代码（恶意代码可以采用手工编写或者工具软件来协助完成），制作带毒网页，然后引诱对方观看该网页，未打补丁的IE将会帮助病毒进入计算机，感染后的系统利用IE通讯簿，向外发送大量带毒邮件，最终堵塞用户网络。

防范：

漏洞的防御，升级自然是首选。有两种方式可以很好的升级：

1. Update

系统的“开始”菜单上，会有“Windows Update”的链接，选择后，进入Microsoft的升级主页，网站上的程序会自动扫描当前系统存在哪些漏洞，哪些需要升级，根据“向导”即可完成，如图所示（笔者推崇这种方式）。

2. 使用升级程序

使用Update虽然比较准确、全面。但它所有的升级组件都需要在Microsoft的网站上下载，“窄带”的情况下显然不现实；“宽带”也需要很长的时间。Microsoft提供升级程序的打包下载，或者一些工具光盘上也带有这些升级包。常说的“Service Pack 1”、“Service Pack 2”就是指这些升级包。

除了升级，使用一些工具软件，也能够达到效果，如3721的“上网助手”，它能够很好填补IE漏洞。这些软件一般定向保护系统的应用程序，针对“对外服务”漏洞的较少。

DDOS攻击

DDOS（分布式拒绝服务攻击）的本质是：利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。它实现简单，是目前黑客常用的一种方式。

攻击：

DDOS的实现方式较多，如多人同时向主机提出Web请求；多人同时Ping主机……这里介绍一种“先进”的“伪装IP地址的洪水Ping攻击”。

Ping指令是用来探测网络通讯状况和对方主机状况的网络指令，先前有过一些资料介绍不断的Ping对方主机，可能会造成该主机无法承受的情况，但随着Windows XP等新系统的普及，网络带宽的升级、计算机硬件的升级，单纯的大量Ping包基本上没有效果了。

Ping指令的工作流程是这样的：先由使用Ping命令的主机A发送ICMP报文给主机B；再由主机B回送ICMP报文给主机A。

网络通讯中有一种被称为“广播”（Broadcast）的方式，所谓广播的意思是说有一个地址，任何局域网内的主机都会接收发往这个地址的报文（就像电台广播一样），以此类推。如果往一个局域网的广播地址（利用一些“局域网嗅探软件”就可以查找它的广播地址）发送一个ICMP报文（就是一下Ping广播地址），会得到非常多的ICMP报文回应。把当前计算机的地址伪装成被攻击主机的（SOCK_RAW就可以实现伪装IP），向一个广播地址发送Ping请求的时候，所有这个广播地址内的主机都会回应这个Ping请求，被攻击主机被迫接受大量的Ping包。这就形成了伪装IP地址的洪水Ping攻击形式。

防范：

对于DDOS而言，目前网络上还没有找到什么有效的防御方法，对于一种使用Ping包的攻击方式，虽然可以使用一些防火墙拒绝Ping包，但如果DDOS采用了另一种载体——合法的Web请求（打开该主机上的网页）时，依然无法防范。现在对付DDOS的普遍方法是由管理员，手工屏蔽DDOS的来源和服务器形式，如有一段IP对主机进行DDOS，就屏蔽该段IP的访问；DDOS使用的是FTP、HTTP服务，就暂时停止这些服务。

最后还要提醒一下大家，高明的黑客在攻击后都会做一些扫尾工作，扫尾工作就是要清除一些能够发现自己的残留信息。对于用户而言一般只能通过日志来捕捉这些残留信息，如防火墙的日志；Web服务器的日志（IIS、Server_U都具有日志查看功能）。能否通过日志找到这些残留信息只能靠运气了，真正够厉害的黑客会悄然无声地离去，而不留下一片“云彩”。

六、ICMP Flood能防吗？

先反问你一个问题：洪水迅猛的冲来时，你能否拿着一个脸盆来抵挡？（坐上脸盆做现代鲁宾逊倒是个不错的主意，没准能漂到MM身边呢）

软件的网络防火墙能对付一些漏洞、溢出、OOB、IGMP攻击，但是对于洪水类型的攻击，它们根本无能为力，我通常对此的解释是“倾倒垃圾”：“有蟑螂或老鼠在你家门前逗留，你可以把它们赶走，但如果有人把一车垃圾倾倒在你家门口呢？”前几天看到mikespook大哥对此有更体面的解释，转载过来——“香蕉皮原理：如果有人给你一个香蕉和一个香蕉皮你能区分，并把没有用的香蕉皮扔掉。（一般软件防火墙就是这么判断并丢弃数据包的。）但是如果有人在同一时间内在你身上倒一车香蕉皮，你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~（所以就算防火墙能区分是DoS的攻击数据包，也只能识别，根本来不及丢弃~~死了，死了，死了~~）”

所以，洪水没法防！能做的只有提高自己的带宽和预防洪水的发生（虽然硬件防火墙和分流技术能做到，但那价格是太昂贵的，而且一般人也没必要这样做）。

如果你正在被攻击，最好的方法是抓取攻击者IP（除非对方用第一种，否则抓了没用——假的IP）后，立即下线换IP！（什么？你是固定IP？没辙了，打电话找警察叔叔吧）

七、被ICMP Flood攻击的特征

如何发现ICMP Flood？

当你出现以下症状时，就要注意是否正被洪水攻击：

1.传输状态里，代表远程数据接收的计算机图标一直亮着，而你没有浏览网页或下载

2.防火墙一直提示有人试图ping你

3.网络速度奇慢无比

4.严重时系统几乎失去响应，鼠标呈跳跃状行走

如果出现这些情况，先不要慌张，冷静观察防火墙报警的频率及IP来确认是否普通的Ping或是洪水，做出相应措施（其实大多数情况也只能换IP了）。

1.普通ping

这种“攻击”一般是对方扫描网络或用ping -t发起的，没多大杀伤力（这个时候，防火墙起的作用就是延迟攻击者的数据报发送间隔时间，请别关闭防火墙！否则后果是严重的！），通常表现如下：

==============================================================

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:24] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:26] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:30] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

这么慢的速度，很明显是由ping.exe或IcmpSendEcho发出的，如果对方一直不停的让你的防火墙吵闹，你可以给他个真正的ICMP Flood问候。

2.直接Flood

这是比较够劲的真正意义洪水了，防火墙的报警密度会提高一个数量级：

==============================================================

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

这时候你的防火墙实际上已经废了，换个IP吧。

3.伪造IP的Flood

比较厉害的ICMP Flood，使用的是伪造的IP而且一样大密度，下面是the0crat用56K拨号对我的一次攻击测试的部分数据（看看时间，真晕了，这可是56K小猫而已啊）

=============================================================

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:13] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

无言…………

4、反射ICMP Flood

估计现在Smurf攻击还没有多少人会用（R-Series的RSS.EXE就是做这事的，RSA.EXE和RSC.EXE分别用作SYN反射和UDP反射），所以这种方法还没有大规模出现，但Smurf是存在的！而且这个攻击方法比前面几种更恐怖，因为攻击你的是大网站（或一些受苦受难的服务器）！

我正在被网易、万网和新浪网站攻击中（懒得修改天网策略，直接用其他工具抓的。实际攻击中，反射的IP会多几倍！）

=======================================================================

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet fro