• 2007年07月27日

    Vista轻松管理数码照片Exif信息 - [系统技巧]

    Vista轻松管理数码照片Exif信息

      作者:易水寒

      【IT168 实用技巧】Exif是数码相机在拍摄时往照片中写入一些属性资料,它主要包括拍摄时的光圈、快门、ISO、日期时间等各种与当时摄影条件相关的资料。通过Exif,我们可还以轻易的查看数码相机品牌型号、色彩编码、甚至还有拍摄时的全球定位系统(GPS)等信息。

      以往我们查看Exif信息一般都需要使用专门的软件,不过已经在使用Vista操作系统的用户就不必那么麻烦了,Vista提供了非常强大的Exif信息查看、编辑功能。

    一、初识“详细信息面板”

    Vista中查看图片文件中包含的Exif信息非常简单,直接在资源管理器中就能看了。打开“计算机”,定位到包含数码照片的文件夹,点击工具栏“组织”→“布局”→“详细信息面板”,在文件夹下方即增加了全新的“详细信息面板”,如图1。



    图1

    Vista的“详细信息面板”可比XP强了很多,我们选择图片文件后,即可在“详细信息面板”中看到拍摄日期、图片尺寸,甚至你还可以直接为图片标记“分级”信息,如图2。



    图2    “详细信息面板”中并不是只显示资料,还可以让你实时编辑。例如:你可以马上在这里修改照片的拍摄日期,修改完成后,直接在面板中点击“保存”按钮即可,如图3。



    图3

    二、“详细信息面板”使用进阶

    看到这里,可能有朋友说了,不是说Vista有强大的Exif信息查看、编辑功能,在哪呢?别急,下面就讲,这还得靠“详细信息面板”。鼠标在“详细信息面板”空白处点击右键,调用菜单“大小”→“大”,如图4。



    图4

    现在一切都变的不同了,可以在面板中看到“照相机制作商”、“照相机型号”、“曝光补偿”、“焦距”等数码照片专用的Exif信息了吧,如图5。



    图5    怎么,这样做了,你还是看不到Exif信息?简单,鼠标点击文件夹窗口右上的“最大化”窗口按钮,现在能看到这些信息了吧。也就是说,你的窗口范围越大,你看到的Exif信息的项目就越详细。都说Vista的最佳搭档是宽屏液晶显示器,在这里就体现的很明白了。

    三、查看详细Exif信息

    的确,“详细信息面板”中可以查看数码照片Exif信息,不过如果你的显示器分辩率不够大,我们是查看不了足够详细的Exif信息的,现在我们来查看更详细的信息。在文件夹中选择图片文件,调用右键菜单,点击“属性”命令。进入对话框后,切换到“详细信息”选项卡,可以在这里查看到详细的Exif资料。Vista对于Exif的信息分类很详细、细致,一点不输专业Exif查看工具,如图6。



    图6

    四、数码照片分类管理

    由于Vista系统可以读取数码照片的Exif信息,配合操作系统强大的文件管理功能,我们就可以便利的管理数码照片了,例如:我们可以根据相机的型号对数码照片进行自动分类。

    我们先为文件夹“详细信息”列表中增加一个“照相机型号”的项目。点击菜单“查看”→“选择详细信息”(如果看不到文件夹的菜单,请按键盘“Alt”)。进入对话框后,在列表中找到并勾选“照相机型号”,如图7。



    图7

    接下来,你就可以在“详细信息”中找到“照相机型号”列了,点击该列右侧“倒三角”图标,在下拉菜单中选择“分组”,现在图片文件就按照相机型号分类列出了,如图8。



    图8    依此类推,大家还可以其它不同的“详细信息”列,从而获得更加灵活的图片分组模式,这一方便的文件归类法定会极大提高你的工作效率。

    Vista小技巧:巧妙消除照片红眼

      作者:易水寒

      【IT168 实用技巧】现在数码相机已经非常普及了,我们经常会看见一些数码照片中人物的眼睛是红红,这一现象就是俗称的“红眼”。只要我们在拍摄照片时曾经使用过闪光灯,那么最后出现人物红眼现象是很普遍的。如果照片出现红眼,我们都会用一些图像处理工具对照片进行后期处理,例如著名的Photoshop就内置了专门的去红眼工具。

    不过,使用专门软件处理照片红眼,显然对于电脑初学者有些麻烦,今天我们就介绍一个非常简单的消除照片红眼的方法。我们将利用Vista操作系统中新增加的“Windows 照片库”工具来解决这一问题,去红眼效果前后对比如图1。



    图1

    进入需要修复图片文件夹,双击图片文件,系统自动调用“Windows 照片库”打开文件。虽然Vista浏览图片的功能极大的增强,但是许多用户还是喜欢用第三方的看图软件来看图。如果你默认打开图片的程序不是“Windows 照片库”,那么还需要做一下调用。

    鼠标选中所需文件,点击工具栏“打开”按钮旁“倒三角”图标,在下拉列表中选择“Windows 照片库”,如图2。



    图2(点击看大图)

    现在图片被载入“Windows 照片库”,点击工具栏“修复”按钮,在窗口右侧出现一列修复工具。“Windows 照片库”内置了一些非常实用的工具,例如:调整曝光、调整颜色、裁剪图片、修复红眼等。我们点击其中的“修复红眼”。

    下面的操作就很简单了,拖动鼠标光标,在需要修复的红眼周围画一个矩形框,如图3。



    图3(点击看大图)

    操作就如此简单,大家可以立杆见影的看到修改后的效果,绝对是百分百傻瓜化操作。

    操作小提示:

    1.您可以通过多次选择一只眼来增加删除红眼的数量。

    2.如果“修复红眼”似乎对您的图片不起任何作用,则可能是因为眼睛过暗。请先尝试单击“自动调整”,然后单击“修复红眼”。

    让Vista停止讨厌的报告程序问题

      大家都知道微软为了搜集自己系统存在的问题,可谓是不惜用户的时间来发送呢些报告。如果我们想停止报告程序问题怎么办呢?

      提示:可以点击看大图。

      具体步骤如下:

      1)开始,然后在搜索里输入“问题波啊高和解决方案”。

      截图“图一”如下:

    Click here to open new window CTRL+Mouse wheel to zoom in/out

      2)看看红色的子旁边点击“更改设置”。

      截图“图二”如下:

    Click here to open new window CTRL+Mouse wheel to zoom in/out

      3)下一步同样红字旁边的“高级设置”点击一下。

    Click here to open new window CTRL+Mouse wheel to zoom in/out

      4)如果你对微软发送错误报告不感兴趣。直接点击最上面的那个“关闭”就什么烦恼都没有了。

      如果只是想对特定的程序停止报告程序问题,接着向下看。

      5)点击“添加”。弹出如下界面。

      接入“图四”如下:



      自己看看你想禁用那个选择他,然后“确定”即可。

      放心了 将C盘重要文件备份到其他分区

      作者:我爱我家

      操作系统出问题了,需要全新的重新安装系统,可是等到安装完系统,才发觉放在桌面或者我的文档里的资料忘记了备份出来,资料丢失了。安装了还原软件,设置了c盘保护,重启后C盘自动还原,一不小心,把资料保存到了桌面或我的文档重启时忘记备份出来,资料丢失了。

      想尽量避免这些丢失文件的误操作么?当然可以,让我们把桌面、我的文档、收藏夹等比较常用于保存资料文件的系统文件夹转移到其它分区。

      我们需要用到的工具是《个人资料转移工具》,有了它,便可以方便的把以上的系统文件夹默认路径快捷的修改到启发分区,这样就可以尽量避免因某种原因而带来资料丢失的意外。点击下载



    图1 软件运行主界面

      解释一下两个不常用的系统文件夹。

      Cookies:简单的来说就是你上论坛时,选择了自动登录时需要用到的cookie文件所在的系统文件夹。

      Recent:即开始菜单→文档(最近访问的文档、程序)记录的快捷方式存放所在的系统文件夹。

      软件运行很简单,选中需要转移的文件夹→选择转移到哪个分区→点击"移动"→系统自动注销。这样就完成了转移。

      这时会在目标分区生成Temp(包含临时文件)、我的文档(包含我的文档、桌面、收藏夹等)。可不要看它们不顺眼把它们删除了哦。



    图2 生成的文件夹
    Tag:Vista 数码照片 Exif 红眼 错误报告
    chapi 发表于20时17分24秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2007年07月27日

    Excel中几个鲜为人知的小技巧 - [软件学院]

    Excel中几个鲜为人知的小技巧

      作者:王道才 朱若飞

      【IT168 实用技巧】如今使用Excel协助处理各种各样数据的人已经越来越多了,但Excel中一些隐蔽很深的小技巧却不为大多数人所知,下面我们就把几个实用的、常用的小技巧列举给大家。

      一、快速选中所有非空单元格:

      在Excel中选中所有单元格比较容易,只需单击工作表左上角的行号(A、B、C……)行与列号(1、2、3、……)列的交叉空格,也可以按住左键拖选。但如果要在一个有几百几千行数据的工作表中选中所有有数据的单元格时,再去按住左键拖选就有点麻烦了,这时我们可以这样做:先在任意一个有数据的单元格中单击,然后按Ctrl+Shift+*键(先用一只手按住一个Ctrl键和一个Shift键不放开,再用另一只手按一下星号键)就能轻松搞定了。

    二、快速打开所需工作表:

      我们一般把许多数据相关的工作表建在一个工作簿中,且为查看方便,每个工作表的名都用汉字起得很长,由于受屏幕大小的限制,就造成了有许多工作表名称没有被显示出来,这时我们可以右键单击第一个工作表名前边的工作表选择按钮,再在弹出的菜单中选择你看不到的工作表。(如图1)



    图1

    三、快速定位到某一单元格:

      有时我们需要在一个几百上千的工作表中快速定位到某一个单元格,如想快速查看年级段第200名同学的总成绩:

    1、单击“编辑”→定位,在“定位”对话框中的“引用位置”框中输入L201(L是“总分”所在列,201是因为有表头,所在200名的基础上加1。)点“确定”就能直接定位到年级段第200名同学总成绩的单元格了。(如图2)



    图2(点击看大图)    2、在编辑栏上的地址栏中直接输入行列号,然后回车即可。(如图3)



    图3

    四、打印行列号:

      为了更加方便的查看数据及公式引用,有时需要把工作表的行号和列号也打印出来,如实施素质教育的今天,不准给学生排名次,但我们可以利用列号来查看学生的具体名次:单击“文件”→页面设置,在“页面设置”对话框中选择“工作表”选项卡,在“打印”项中把“行号列标”勾选上,点“确定”退出后再打印就可以了。(如图4)



    图4

    五、利用分页预览调整打印区域:

      数据在打印输出之前一般要使用打印预览查看一下纸张是否够大,如果只多出一两行或一两列,则需返复调整,这时可以单击“视图”→分页预览,在分页预览模式下,直接按住左键拖动分页符(蓝色虚线)就可以了,调整完后再单击“视图”→普通,返回默认模式。(如图5)



    图5

    举手之劳 实现Excel 2007文档逆序打印

      作者: 周玲生 原创

      在Word 2007中,只要依次点击左上角Office徽标→打印,在打开的“打印”设置窗口中点击“选项”按钮,在接着出现的“Word 选项”窗口中切换到“高级”标签页,然后勾选“打印”项中的“逆序打印页面”选项(图1),这样打印机打印时就会从最后一页开始逆序打印到第一页,打印完毕后,最后一页自然处于最底下,而第一页处于最上面,如此则无须逆序重排文档,直接就可以装订成册,对于长篇打印文档尤其方便。



    图1 逆序打印页面选项

      与Word相比, Excel的打印功能就相形见绌,Excel 2007中也未见对打印功能有任何改善。但我们只要稍费心思,也能让Excel 2007轻松拥有“逆序打印”功能。

      一.打印机属性巧设置

      有些打印机只要安装了自带的驱动程序,就可以在打印属性中找到类似“逆序打印”的打印选项。以笔者的Canon PIXMA iP1000为例(事先请安装打印机附带光盘中的驱动程序),打印时,只要打开Excel 2007工作簿,依次点击左上角Office徽标→打印,打开“打印”设置窗口,在打印机名称中选中“Canon PIXMA iP1000”,然后点击“属性”按钮,调出“Canon PIXMA iP1000属性”窗口,切换到“页设置”标签页,勾选“反向”复选框再点击“确定”按钮即可(图2)。



    图2  页设置

      二. 宏代码实现法

      有些打印机不具备上述属性,但通过宏照样可以实现逆序打印功能。

      打开该Excel文件,切换到“视图”选项卡,点击“宏”→“录制宏”,出现“录制新宏”窗口,在“宏名”定义一个名称为:ReversePrint(图3),点击“确定”退出;



    图3 录制新宏

      再点击“宏”→“查看宏”,选择“宏名”下的“ReversePrint”并点击“编辑”,打开“Microsoft Visual Basic”编辑器,用如下内容替换右侧窗口中的所有代码(图4),然后保存关闭VBA编辑器:



    图4  打开“Microsoft Visual Basic”编辑器

      Sub ReversePrint()

      Dim NumPages As Long, Page As Long

      NumPages = ExecuteExcel4Macro("GET.DOCUMENT(50)")

      For Page = NumPages To 1 Step -1

      ActiveSheet.PrintOut from:=Page, To:=Page

      Next Page

      End Sub

      再点击“宏”→“查看宏”,选择“宏名”下的“ReversePrint”并点击“执行”即可逆序打印。

    Excel 2003使用技巧 特殊班级排序方法

     作者:王道才 窦海山

      【IT168 实用技巧】在使用Excel 2003进行成绩统计时,一般都是把成绩按班级录入并计算出个人总分,然后把所有班级成绩粘到一起,再以总分为关键字从高到低排列好,并填充上校名次,然后再按班级顺序排列,以便以班级为单位打印输出成绩单。这样一看成绩单,就能知道班级在全校前50、100名有多少学生,每个学生在全校的名次等。但是在Excel 2003中却不认识一班、二班、三班……的顺序,而是以第一个汉字的拼音的第一个字母顺序排列,排完的顺序是八班、二班……,让人看起来很不舒服。于是便想办法让Excel 2003认识了一班,二班,三班……

    1、在L1单元格中输入1,L2单元格中输入2,然后拖选上L1和L2单元格,把鼠标指针指向L2单元格右下角,等鼠标指针变成填充柄(黑色实线加号)时,双击左键,就自动完成校名次的填加了。(如图1)



    图1    2、单击“工具”菜单→选项,在打开的“选项”对话框中选“自定义序列”选项卡,在“输入序列”列表框中输入“一班,二班,三班,四班,五班,六班,七班,八班,九班,十班”,中间用英文逗号分开,再依次点“添加”和“确定”按钮。(如图2)



    图2    3、单击“数据”菜单→排序,在“排序”对话框中,“主要关键字”选“班级”并选择后面的“升序”,再点“选项”按钮,打开“排序选项”对话框,接着在“自定义排序次序”列表框中选“一班,二班……”,再依次点“确定”按钮退出,看是不是非常听话的按一班,二班,三班……的顺序排列了。(如图3)



    图3
    Tag:Excel 技巧 文档 逆序 打印
    chapi 发表于20时11分34秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2007年07月26日

    综合手段清除流氓软件8749病毒解决方案 - [安全资讯]

    综合手段清除流氓软件8749病毒解决方案

    来源:赛迪网    作者:李铁军

    【编者按:现在流氓软件和病毒的界定越来越模糊,借用王建锋先生的一句话,流氓软件越来越会“学习”了!】

    8749病毒每次入侵后生成的病毒程序是随机的,不同的电脑中毒后会发现不同的病毒程序。病毒还破坏了安全模式,并监视注册表键,即使您使用金山毒霸的AV终结者专杀工具,也不能在病毒运行时,修复被破坏的安全模式,造成手工解除病毒非常困难。

    金山毒霸已经紧急升级了有关8749病毒的特征库,需要将金山毒霸查毒和金山清理专家的文件粉碎器结合使用,将病毒清除掉。金山清理专家也正在紧急升级中,升级后,可顺利将8749病毒清除。已经受8749病毒困扰的用户,可参考以下步骤修复系统。

    1.使用金山毒霸检查系统盘,毒霸会提示病毒文件的位置,这时记录下病毒的具体路径。

    2.使用金山清理专家,在百宝箱中调出文件粉碎器,将这几个文件添加到删除列表,点界面上的彻底删除。

    3.立即重启电脑,使用金山清理专家修复被病毒破坏的注册表,修复被病毒添加的加载项。

    4.下载AV终结者专杀工具修复被破坏的安全模式。

    5.右键单击我的电脑,选择属性,点击“系统还原”标签页,把禁用的勾去掉。建议至少要选择保护C分区,在系统遇到紧急故障时,利用系统还原可以减少恢复系统的成本。

    8749病毒分析报告 了解病毒化流氓软件

    来源:赛迪网    作者:李铁军

    病毒行为:

    1.使用“删除文件”、“移动文件”、“写入空信息”三种方式清空HOST文件。

    2.病毒利用文件占用技术,实现对自身程序文件的保护。

    3.修改注册表键,禁用XP的系统还原。

    Software\Microsoft\Internet Explorer\Search

    Software\Microsoft\Internet Explorer\Main

    4.添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce,实现自动注册组件。

    5.破坏安全模式(清空注册表SAFEMODE下的所有项目),使你不能进入安全模式调试系统。

    6.终止所有包含下列字符的窗口的进程。

    btbaicai

    wopticlean

    360safe

    8749病毒

    8749专杀

    卡卡

    安全卫士

    IE修复

    8749.com病毒

    清除8749

    删除8749

    7.子DLL,每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表,下载后的文件保存在%sys32dir%\andttrs文件中。类似以下内容:

    125.91.1.20 www.kzdh.com

    125.91.1.20 www.7255.com

    125.91.1.20 www.7322.com

    125.91.1.20 www.7939.com

    125.91.1.20 www.piaoxue.com

    125.91.1.20 www.feixu.net

    125.91.1.20 www.6781.com

    125.91.1.20 www.7b.com.cn

    125.91.1.20 www.918188.com

    125.91.1.20 hao.allxue.com

    125.91.1.20 good.allxue.com

    125.91.1.20 baby.allxue.com

    125.91.1.20 www.allxue.com

    125.91.1.20 about.lank.la

    125.91.1.20 www.x114x.com

    125.91.1.20 www.37ss.com

    125.91.1.20 www.7k.cc

    125.91.1.20 www.73ss.com

    125.91.1.20 www.hao123.com

    125.91.1.20 www.81915.com

    125.91.1.20 www.9991.com

    125.91.1.20 www.my123.com

    125.91.1.20 www.haokan123.com

    125.91.1.20 www.5566.net

    125.91.1.20 www.gjj.cc

    125.91.1.20 www.2345.com

    125.91.1.20 www.123wa.com

    125.91.1.20 www.ku886.com

    125.91.1.20 www.5icrack.com

    125.91.1.20 www.jjol.cn

    125.91.1.20 www.xinhai168.com

    125.91.1.20 ooooos.com

    125.91.1.20 www.ooooos.com

    125.91.1.20 www.8757.com

    125.91.1.20 4199.5009.com

    125.91.1.20 www.13886.cn

    125.91.1.20 www.8757.com

    125.91.1.20 www.baidu345.com

    125.91.1.20 www.dedewang.com

    125.91.1.20 allxun.5009.cn

    125.91.1.20 4199.5009.cn

    125.91.1.20 yahoo.5009.cn

    125.91.1.20 tom.5009.cn

    125.91.1.20 zh130.5009.cn

    125.91.1.20 piaoxue.5009.cn

    125.91.1.20 3448.5009.cn

    125.91.1.20 ttmp3.5009.cn

    125.91.1.20 fx120.5009.cn

    125.91.1.20 7939.5009.cn

    125.91.1.20 99488.5009.cn

    125.91.1.20 7333.5009.cn

    125.91.1.20 www.ld123.com

    125.91.1.20 www.anyiba.com

    125.91.1.20 www.999991.cn

    125.91.1.20 www.hao123.cn

    125.91.1.20 www.3721.com

    125.91.1.20 www.haol23.com

    125.91.1.20 haol23.com

    8.生成与子DLL同名的SYS驱动程序,驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控),如果被安全软件修改,病毒会再改回来。

    9.IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION),保护文件,不能删除,不能更名。

    10.挂钩ZwCreateFile,在其访问system32\drivers\etc\hosts时,将该访问操作重定向到%sys32dir%\andttrs。相当于用这个andttrs取代了系统的hosts文件,达到跟修改HOST文件相同的效果,用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。

    11.挂钩ZwLoadDriver,禁止ICESWORD(冰刃)的驱动加载。

    流氓软件病毒化 锁定浏览器主页为8749

    这是一个典型的病毒化的流氓软件,中标后的典型现象是主页被锁定为www.8749.com。在短短几天之间,已经出现了数个变种。以变种出现的速度来看,估计该流氓软件会很快在互联网大规模传播。

    破坏性

    该病毒为了保护自身不被用户清除,使用了极端的手段。除了让一些安全软件无法运行之外(差不多是复制了AV终结者病毒的破坏特性),任何包含“8749病毒”、“删除8749”一类字符的窗口都会被该病毒强制终止,病毒还会禁用系统还原,破坏安全模式等手段,令清除病毒或恢复系统变得更加困难。

    病毒发展新趋势

    过去,大多数病毒都选择隐藏在系统目录。这个病毒最显著的特点是隐藏在QQ目录中,并且插入QQ进程,以绕过反病毒软件的监控。显然,病毒技术已经从过去的发掘系统漏洞、攻击杀毒软件转向攻击通用软件。

    改写host文件

    8749病毒把www.piaoxue.com(曾经十分流行的飘雪)网址,杀毒厂商的服务器列表都被阻止访问,显然病毒除了跟反病毒软件作斗争,病毒之间抢地盘的趋势也更加明朗。
    Tag:流氓软件 8749 病毒 解决 方案 杀毒
    chapi 发表于21时25分24秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2007年07月26日

    用11款新软完全抹杀微软的捆绑软件 - [软件学院]

    用11款新软完全抹杀微软的捆绑软件

    出处:PConline 作者:任宏伟

    毫不夸张地说,当今世界上的绝大多数PC,都已经被微软掌控其中。但是,频繁出现的系统漏洞和明显“嬴弱”的软件功能,却始终无法让我们这些“准上帝们”满意。

      其实,如果跳出微软的光环,纵观周围,您就会发现,原来我们的选择还有很多的。那么,此时的微软,你还牛什么呢?

      本文姐妹篇拒绝破解 用10大免费软件来代替盗版

      No1.  替换“任务管理器”

    软件名称: Windows进程管理器

    软件版本: 4.0

    软件大小: 1.6 MB

    软件授权: 免费

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      和系统自带的“任务管理器”相比,Windows进程管理器主要在“进程管理”和“端口监听”两个方面有所加强。在它的界面中,我们不仅可以清楚地看到每个进程所代表的含义,而且还能直接查出该进程所属的文件名称,而这两点显然正是判断一个进程是否恶意的最终标志。

      除此之外,为了更有效地防范恶意进程,Windows进程管理器还在原有“终止进程”的基础上,增加了一项“删除文件”功能,允许用户直接删掉可疑文件,为系统的安全运行斩草除根。

      至于这款软件最有特色的地方,恐怕还是它的在线更新功能。由于恶意进程同电脑病毒一样,也在不断地更新。因此,一款优秀的进程管理软件也要像杀毒软件一样定期升级。凭借这项功能,我们的进程管理器就像长了双眼,无论进程多么狡猾,再也难逃它的法眼,如图1所示。



    图1

    No2.  替换“命令提示符”

    软件名称: PromptPal

    软件版本: 1.4.0.0

    软件大小: 1.9 MB

    软件授权: 共享/汉化

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      众所周知,“命令提示符”能够帮我们完成很多图形界面下难以完成的任务,但系统自带的“命令提示符”由于功能简单,很多时候并不能令我们满意。而这款PromptPal,创新性地将软件分成了上、中、下三栏,并分别划分为“语法提示区”、“命令输入区”和“结果显示区”,使得条理性大大增强。从此,再长的显示结果也不会遮挡住命令原文了。

      此外,PromptPal还支持命令行全程提示功能。当我们忘记一个命令的拼写时,只要将命令的前几位字母输入进去,软件随即会以列表的形式向用户发出提示,而我们只要耐心地在列表中查找,就一定能找出想要的命令来。

      如今,文件夹名称越来越冗长,显然已经成为阻碍我们快速输入命令的“罪魁祸首”之一。不过,这个难题早已被PromptPal解决。只要我们点击“编辑”菜单下的“插入目录”命令,软件便会将文件夹名称直接粘贴到这里,非常方便,如图2所示。



    图2

    No3.  替换“记事本”

    软件名称: EmEditor

    软件版本: 6.00.4

    软件大小: 1.8 MB

    软件授权: 免费

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      在微软的产品列表中,“记事本”应该算是资格最老的一位了。虽说经过这么多年,但这款元老级的软件竟然没有一丝改进。相比之下,年轻的EmEditor则要显得强悍很多。因为,它不仅包含了记事本软件的所有功能,而且还创新性地推出了很多特色任务,比如“搜索记录自动高亮”、“多标签文件编辑”、“无限次撤销上次操作”等等。

      此外,EmEditor还允许用户直接在文件中打开URL链接,支持插件来扩展EmEditor的现有功能,不愧为记事本程序的最佳替代产品,如图3所示。



    图3

    No4.  替换“资源管理器”

    软件名称: SpeedCommander

    软件版本: 11.62

    软件大小: 5.3 MB

    软件授权: 共享

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      与“记事本”一样,Windows的“资源管理器”也经常受到用户们的批评。而这款SpeedCommander则完全可以看作是资源管理器的换代更新产品。首先,它的界面是由两个窗口组合而成,窗口间互不干涉,能够方便地实现不同文件夹之间的文件交换。

      同时,SpeedCommander内置了对 .zip、.cab等10余种压缩包的支持,允许直接进行压缩文件搜索。而独特的文件预览功能,又可以让用户直接了解到文件内容。甚至,它还能当作影音试听器,直接播放歌曲和视频呢,如图4所示。



    图4

    No5.  替换“微软拼音输入法”

    软件名称: 搜狗拼音输入法

    软件版本: 3.0公测第二版

    软件大小: 8.8 MB

    软件授权: 免费

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      在没有搜狗输入法之前,微软拼音输入法也许还能算是一款不错的产品,它所支持的基于语句的输入方式为我们提供了很多便利。但当搜狗输入法问世之后,这一切都改变了。

      搜狗输入法除了能够支持微软拼音的全部功能之外,还创新性地借助搜索引擎,生成了一套超强的日常词库。不夸张地说,只要拼音输入正确,不光是热门词汇,还是曲艺名人,搜狗输入法都能将它们又快又准地显示出来。

      此外,在最新版本中,搜狗还吸取了金山词霸的经验,开始将术语按专业划分。同时,划分后的词库(搜狗称之为“细胞词库”)被直接提供给用户下载。而这种定向式词库设计,不仅专业针对性更强,而且软件的体积也被有效地控制住了,如图5所示。



    图5

    No6.  替换“画图”

    软件名称: Paint.NET

    软件版本: 3.08

    软件大小: 1.28 MB

    软件授权: 免费

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      Photoshop的复杂是很多初学者都已领教过的,而系统自带的“画图”,却又因为功能简单而无法满足需要。那么,这两者之间难道就没有软件可以中和一下。既保持了画图软件的简单,又具备相应的专业功能吗?我想,恐怕只有这款“Paint.NET”能够担此重任。

      从Paint.NET的界面图中,我们可以看到,这简直就是一款精简版Photoshop。除了那些常规功能以外,Paint.NET还创新性地将Photoshop中特有的图层、滤镜功能加入其中。而且,对于图像的色阶及曲线运算,Paint.NET也完全不在话下。毫不夸张地说,如果Paint.NET能被更多的用户所熟知,恐怕Photoshop的用户就要骤减几成了,如图6所示。



    图6

    No7.  替换“IE浏览器

    软件名称: Firefox

    软件版本: 2.0.0.4

    软件大小: 5.7 MB

    软件授权: 免费

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      您的爱机是否经常被病毒和插件“光顾”?如果是的话,恐怕就与那漏洞百出的IE浏览器不无关系了。凭借着与IE完全不同的核心,Firefox在抵御恶意软件入侵方面要高效很多。

      同时,Firefox十分注重细节表现,不仅加入了广受好评的多标签网页浏览,而且RSS订阅也没有被它落下。此外,独创的反钓鱼保护及自我恢复功能也在另一个侧面,保护了系统的安全。那么,当我们再回头来看看IE时,您还会选择哪个呢?如图7所示。



    图7

    No8.  替换“XP刻录”

    软件名称: Ashampoo Burning Studio

    软件版本: 7.01

    软件大小: 21.3 MB

    软件授权: 免费

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      很多朋友都知道XP内置了光盘刻录功能,但由于这项功能过分简单,实际上并没有多少人去使用它。其实,在这个领域中,有很多性能优异的免费软件也是值得推荐的,比如这款Ashampoo Burning Studio(以下简称ABS)就是其中一例。

      ABS支持的光盘种类十分丰富,几乎囊括了我们日常能够见到的所有格式。而且,和其他同类软件所不同的是,在ABS中,几乎很少有需要用户设置的地方。大多数情况下,我们只要敲击几下鼠标,便能轻松地制作出一张光盘,非常适合新手使用,如图8所示。



    图8

    No9.  替换“Windows Media Player”

    软件名称: 风雷影音

    软件版本: 2.0.9.4

    软件大小: 17.7 MB

    软件授权: 免费

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      由于体积非常小巧,因此,风雷影音的启动速度,要远远强于Windows Media Player。而在它的内部,由于内嵌了多达32种影音解码器。因此,风雷影音能够直接播放市面上绝大多数影音文件,而无须用户再安装其他工具。除此之外,风雷影音的选项也很丰富,能够提供给了用户更加灵活的使用体验,如图9所示。



    图9

    No10.  替换“Outlook Express”

    软件名称: Foxmail

    软件版本: 6.0 Beta 5

    软件大小: 6.1 MB

    软件授权: 免费

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      和系统中其他组件一样,Outlook Express也仅包含了最最简单的功能。而相比之下,免费软件Foxmail就显得强大多了。在它的界面下,我们不仅可以同时设置多组邮箱,而且Foxmail的树形显示结构,也能保证用户在操作多个邮箱时,不会发生混淆。

      此外,Foxmail的写邮件功能同样十分惹眼,我们除了可以任意选择邮件模板之外,还能够直接在邮件中添加表情,使得电子邮件再不像以前那样“死气沉沉”。而在最新的6.0 Beta 5版本中,Foxmail还增加了一项“邮箱中转站”功能,允许用户一次性上传大小为500MB的超大文件,从而实现了大文件的共享及传送。而这对于经常使用邮件办公的朋友来说,无疑具有相当大的诱惑力,如图10所示。



    图10

    No11.  替换“Office办公套件”

    软件名称: WPS Office

    软件版本: 2005个人版

    软件大小: 19.3 MB

    软件授权: 免费

    适用平台: Windows 98/Me/2000/XP

    下载地址:点击这里下载

      微软的Office是目前市场占有率最高的办公软件,虽说功能强大,但对系统的要求也的确不低。在很多低配电脑上,运行Office软件真的是非常勉强。其实,对于一般的家庭用户,我们并没有必要非去安装Office。

      就拿这款WPS Office 2005个人版来说,它的界面就完全仿照了Office 2003设计。甚至,就连菜单项目的位置也与Office别无二异。

      最为关键的是,为了最大程度上与Office保持一致,WPS Office还能直接打开并生成Office文档。当然,除此之外,WPS Office还有一些自己的特色功能,比如多标签文档编辑、直接输出PDF等等。可以这么说,如果只是作为一般家用的话,这款土生土长的“国产Office”也许比“洋品牌”更加合适,如图11所示。



    图11
    Tag:微软 捆绑软件 免费
    chapi 发表于21时14分34秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2007年07月26日

    学会如何巧妙从进程中判断出病毒和木马 - [安全资讯]

    学会如何巧妙从进程中判断出病毒和木马

    来源:赛迪网技术社区    作者:jcx860

    任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。

    病毒进程隐藏三法

    当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:

    1.以假乱真

    系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。

    2.偷梁换柱

    如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),如果病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?

    3.借尸还魂

    除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。

    系统进程解惑

    上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

    svchost.exe

    常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。

    在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。

    explorer.exe

    常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

    explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。

    iexplore.exe

    常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。

    iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

    rundll32.exe

    常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”,在别的目录则可以判定是病毒。

    spoolsv.exe

    常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。

    限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:

    1.仔细检查进程的文件名;

    2.检查其路径。

    通过这两点,一般的病毒进程肯定会露出马脚。

    找个管理进程的好帮手

    系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。

    运行Procexp后,进程会被分为两大块,“System Idle Process”下属的进程属于系统进程,

    explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的。

    Windows2000服务器入侵前兆检测方法技巧

    来源:赛迪网技术社区    作者:jcx860

    入侵检测系统(IDS)是防火墙的合理补充,它帮助安全系统发现可能的入侵前兆,并对付网络攻击。入侵检测系统能在不影响网络性能的情况下对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,能够扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。但是,入侵检测系统并不是万能的,高昂的价格也让人退却,而且,单个服务器或者小型网络配置入侵检测系统或者防火墙等投入也太大了。

    一、对于WWW服务入侵的前兆检测

    对于网络上开放的服务器来说,WWW服务是最常见的服务之一。基于80端口的入侵也因此是最普遍的。很多sceipt kids就对修改WEB页面非常热衷。WWW服务面对的用户多,流量相对来说都很高,同时WWW服务的漏洞和相应的入侵方法和技巧也非常多,并且也相对容易,很多“黑客”使用的漏洞扫描器就能够扫描80端口的各种漏洞,比如wwwscan 、X-scanner等,甚至也有只针对80端口的漏洞扫描器。Windows系统上提供WWW服务的IIS也一直漏洞不断,成为系统管理员头疼的一部分。

    虽然80端口入侵和扫描很多,但是80端口的日志记录也非常容易。IIS提供记录功能很强大的日志记录功能。在“Internet 服务管理器”中站点属性可以启用日志记录。默认情况下日志都存放在%WinDir%\System32\LogFiles,按照每天保存在exyymmdd.log文件中。这些都可以进行相应配置,包括日志记录的内容。

    在配置IIS的时候应该让IIS日志尽量记录得尽量详细,可以帮助进行入侵判断和分析。现在我们要利用这些日志来发现入侵前兆,或者来发现服务器是否被扫描。打开日志文件,我们能够得到类似这样的扫描记录(以Unicode漏洞举例):

    2002-03-10 05:42:27 192.168.1.2 - 192.168.1.1 80 HEAD /script/..蜡../..蜡../..

    蜡../winnt/system32/cmd.exe /c+dir 404 -

    2002-03-10 05:42:28 192.168.1.2 - 192.168.1.1 80

    GET /script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404 -

    需要注意类似这样的内容:

    /script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404

    如果是正常用户,那么他是不会发出这样的请求的,这些是利用IIS的Unicode漏洞扫描的结果。后面的404表示并没有这样的漏洞。如果出现的是200,那么说明存在Unicode漏洞,也说明它已经被别人扫描到了或者已经被人利用了。不管是404或者200,这些内容出现在日志中,都表示有人在扫描(或者利用)服务器的漏洞,这就是入侵前兆。日志也记录下扫描者的来源:192.168.1.2这个IP地址。

    再比如这个日志:

    2002-03-10 06:17:50 192.168.1.2 - 192.168.1.1 80 HEAD / - 400 -

    这是一个使用HEAD请求来扫描WWW服务器软件类型的记录,攻击者能够通过了解WWW使用的软件来选择扫描工具扫描的范围。

    IIS通常都能够记录下所有的请求,这里面包含很多正常用户的请求记录,这也让IIS的日志文件变得非常庞大,上十兆或者更大,人工浏览分析就变得不可取。这时可以使用一些日志分析软件,帮助日志分析。或者使用下面这个简单的命令来检查是否有Unicode漏洞的扫描事件存在:

    find /I "winnt/system32/cmd.exe" C:\log\ex020310.log

    “find”这个命令就是在文件中搜索字符串的。我们可以根据扫描工具或者漏洞情况建立一个敏感字符串列表,比如“HEAD”、“cmd.exe”(Unicode漏洞)、“.ida”“.idq”(IDA/IDQ远程溢出漏洞)、“.printer”(Printer远程溢出漏洞)等等。

    二、对于FTP等服务入侵的前兆检测

    根据前面对于WWW服务入侵前兆的检测,我们可以照样来检测FTP或者其他服务(POP、SMTP等)。以FTP服务来举例,对于FTP服务,通常最初的扫描或者入侵必然是进行帐号的猜解。对于IIS提供的FTP服务,也跟WWW服务一样提供了详尽的日志记录(如果使用其他的FTP服务软件,它们也应该有相应的日志记录)。

    我们来分析这些日志:

    2002-03-10 06:41:19 192.168.21.130 administrator [36]USER administrator 331

    2002-03-10 06:41:19 192.168.21.130 - [36]PASS - 530

    这表示用户名administrator请求登录,但是登录失败了。当在日志中出现大量的这些登录失败的记录,说明有人企图进行FTP的帐号猜解。这就是从FTP服务来入侵的入侵前兆。

    分析这些日志的方法也跟前面分析WWW服务的日志方法类似。因为FTP并不能进行帐号的枚举,所以,如果发现有攻击者猜测的用户名正好和你使用的帐号一致,那么就需要修改帐号并加强密码长度。

    三、系统帐号密码猜解入侵的前兆检测

    对于Windows 2000服务器来说,一个很大的威胁也来自系统帐号密码的猜解,因为如果配置不佳的服务器允许进行空会话的建立,这样,攻击者能够进行远程的帐号枚举等,然后根据枚举得到的帐号进行密码的猜测。即使服务器拒绝进行空会话的建立,攻击者同样能够进行系统帐号的猜测,因为基本上很多服务器的系统管理员都使用administrator、admin、root等这样的帐号名。那些黑客工具,比如“流光”等,就可以进行这样的密码猜测,通过常用密码或者进行密码穷举来破解系统帐号的密码。

    要检测通过系统帐号密码猜解的入侵,需要设置服务器安全策略,在审核策略中进行记录,需要审核记录的基本事件包括:审核登录事件、审核帐户登录事件、帐户管理事件。审核这些事件的“成功、失败”,然后我们可以从事件查看器中的安全日志查看这些审核记录。

    比如:如果我们在安全日志中发现了很多失败审核,就说明有人正在进行系统帐号的猜解。我们查看其中一条的详细内容,可以看到:

    登录失败:

    原因:用户名未知或密码错误

    用户名:administrator

    域:ALARM

    登录类型:3

    登录过程:NtLmSsp

    身份验证程序包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

    工作站名:REFDOM

    进行密码猜解的攻击者打算猜测系统帐号administrator的密码,攻击者的来源就是工作站名:REFDOM,这里记录是攻击者的计算机名而不是他的IP地址。

    当我们发现有人打算进行密码猜解的时候,就需要对相应的配置和策略进行修改。比如:对IP地址进行限制、修改被猜解密码的帐号的帐号名、加强帐号密码的长度等等来应对这样的入侵。

    四、终端服务入侵的前兆检测

    Windows2000 提供终端控制服务(Telminal Service),它是一个基于远程桌面协议(RDP)的工具,方便管理员进行远程控制,是一个非常好的远程控制工具。终端服务使用的界面化控制让管理员使用起来非常轻松而且方便,速度也非常快,这一样也让攻击者一样方便。而且以前终端服务存在输入法漏洞,可以绕过安全检查获得系统权限。对于打开终端服务的服务器来说,很多攻击者喜欢远程连接,看看服务器的样子(即使他们根本没有帐号)。

    对终端服务进行的入侵一般在系统帐号的猜解之后,攻击者利用猜解得到的帐号进行远程终端连接和登录。

    在管理工具中打开远程控制服务配置,点击"连接",右击你想配置的RDP服务(比如 RDP-TCP(Microsoft RDP 5.0),选中书签"权限",点击"高级",加入一个Everyone组,代表所有的用户,然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败,这个审核是记录在安全日志中的,可以从"管理工具"->"日志查看器"中查看。但是这个日志就象前面的系统密码猜解那样,记录的是客户端机器名而不是客户端的IP地址。我们可以做一个简单的批处理bat文件(文件名为TerminalLog.bat),用它来记录客户端的IP,文件内容是:

    time /t >>Terminal.log

    netstat -n -p tcp | find ":3389">>Terminal.log

    start Explorer

    终端服务使用的端口是TCP 3389,文件第一行是记录用户登录的时间,并把这个时间记入文件Terminal.log中作为日志的时间字段;第二行是记录用户的IP地址,使用netstat来显示当前网络连接状况的命令,并把含有3389端口的记录到日志文件中去。这样就能够记录下对方建立3389连接的IP地址了。

    要设置这个程序运行,可以在终端服务配置中,登录脚本设置指定TerminalLOG.bat作为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认的脚本是Explorer(资源管理器),所以在Terminal.bat的最后一行加上了启动Explorer的命令start Explorer,如果不加这一行命令,用户是没有办法进入桌面的。当然,可以把这个脚本写得更加强大,但是请把日志记录文件放置到安全的目录中去。

    通过Terminal.log文件记录的内容,配合安全日志,我们就能够发现通过终端服务的入侵事件或者前兆了。

    对于Windows2000服务器来说,上面四种入侵是最常见的,也占入侵Windows2000事件的绝大多数。从上面的分析,我们能够及时地发现这些入侵的前兆,根据这些前兆发现攻击者的攻击出发点,然后采取相应的安全措施,以杜绝攻击者入侵。

    我们也可以从上面分析认识到,服务器的安全配置中各种日志记录和事件审核的重要性。这些日志文件在被入侵后是攻击者的重要目标,他们会删除和修改记录,以便抹掉他们的入侵足迹。因此,对于各种日志文件,我们更应该好好隐藏并设置权限等保护起来。同时,仅仅记录日志而不经常性地查看和分析,那么所有的工作就等于白做了。

    在安全维护中,系统管理员应该保持警惕,并熟悉黑客使用的入侵手段,做好入侵前兆的检测和分析,这样才能未雨绸缪,阻止入侵事件的发生。
    Tag:进程 判断 病毒 木马 服务器 入侵检测
    chapi 发表于21时10分40秒 | 阅读全文 | 评论 0 | 编辑 | 分享
共58页 第一页 上一页 6 7 8 9 10 11 12 13 14 15 下一页 最后一页

Lessons by English, baby!

随时随地看wap