本文目录一览：

• 1、使用按键精灵，内存、CPU占用不断增加，怎么解决？
• 2、增大c盘的内存
• 3、缓充区溢出是怎么回事，黑客是如何利用它入侵个人电脑的？
• 4、该内存不能为written怎么解决
• 5、黑客的入侵手段～～

使用按键精灵，内存、CPU占用不断增加，怎么解决？

引起CPU100%十大原因

对于Vagaa占用系统资源过高而导致系统缓慢和死机的问题，一直以来都是大家提问的热门，据Vagaa官方的解释是和【中文上网官方软件】冲突导致的，其实这只是一方面的原因。我想在此谈点儿自己的看法，抛出一块儿砖，希望能引来大家的玉，一起探讨。

说到冲突呢，其实是Kad网络和某些IE插件有冲突，其中的首恶就是【中文上网官方软件】，只要是应用Kad网络的p2p软件都会发生，不光是Vagaa。这些都好解决，只要把没用的IE插件都卸载了就行了。

据我分析，造成CPU100％的原因还有几个。当下载的一个文件有问题时，Vagaa可能会不断的尝试修复，造成系统资源大量占用。解决方法是删除那个有问题的文件。

1、防杀毒软件造成 故障

由于新版的 KV 、金山、 瑞星 都加入了对网页、 插件 、邮件的随机监控，无疑增大了系统负担。

处理方式:基本上没有合理的处理方式，尽量使用最少的监控服务吧，或者，升级你的硬件配备。

2、驱动没有经过认证，造成CPU资源占用100%

大量的测试版的驱动在网上泛滥，造成了难以发现的故障原因。 处理方式:尤其是 显卡驱动

特别要注意，建议使用 微软认证 的或由官方发布的驱动，并且严格核对型号、版本。

3、 病毒、木马 造成

大量的蠕虫病毒在系统内部迅速复制，造成CPU占用资源率据高不下。解决办法:用可靠的杀毒软件

彻底清理系统内存和本地硬盘，并且打开系统设置软件，察看有无异常启动的程序。经常性更新升

级杀毒软件和防火墙，加强防毒意识，掌握正确的防杀毒知识。

4、控制面板— 管理工具 —服务—RISING REALTIME MONITOR SERVICE 点鼠标右键，改为手动。

5、开始-运行-msconfig-启动，关闭不必要的启动项，重启。

6、查看“ svchost ”进程。

svchost . exe 是Windows XP系统 的一个核心进程。 svchost.exe 不单单只出现 在Window s XP中，

在使用 NT 内核的 Windows系统 中都会有svchost.exe的存在。一般在 Windows 2000 中 svchost.exe

进程 的数目为2个，而 在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。

7、查看 网络连接 。主要是网卡。

8、查看网络连接

当安装了Windows XP的计算机做服务器的时候，收到端口 445 上的连接请求时，它将分配内存和少量

地调配 CPU资源来为这些连接提供服务。当负荷过重的时候，CPU占用率可能过高，这是因为在工作项

的数目和响应能力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确，服务器的响应能力可能会受到影响，或者某个用户独占太 多系统 资源。

要解决此问题，我们可以通过修改注册表来解决:在 注册表编辑器 中依次展开

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver ]

分支，在右侧窗口中 新建 一个名为“maxworkitems”的 DWORD值 。然后双击该值，

在打开的窗口中键入下列数值并保存退出:

如果计算机有512MB以上的内存，键入“1024”；如果计算机内存小于 512 MB，键入“256”。

9、看看是不是Windows XP使用鼠标右键引起CPU占用100%

前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用，我们来看看是怎么回事？

征兆:

在资源管理器里面，当你右键点击一个目录或一个文件，你将有可能出现下面所列问题:

任何文件的拷贝操作在那个时间将有可能停止相应

网络连接速度将显著性的降低

所有的流输入/输出操作例如使用Windows Media Player 听音乐将有可能是音乐失真成因:

当你在资源管理器里面右键点击一个文件或目录的时候，当快捷 菜单显示 的时候，

CPU占用率将增加到100%，当你关闭快捷菜单的时候才返回正常水平。

解决方法:

方法一:关闭“为菜单和工具提示使用过渡效果”

1、点击“开始”--“控制面板”

2、在“控制面板”里面双击“显示”

3、在“显示”属性里面点击“外观”标签页

4、在“外观”标签页里面点击“效果”

5、在“效果”对话框里面，清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次

“确定”按钮。

方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。

然后再使用鼠标右键弹出快捷菜单。

CPU占用100%解决办法

一般情况下CPU占了100%的话我们的电脑总会慢下来，而很多时候我们是可以通过做 一点点

的改动就可以解决，而不必问那些大虾了。

当机器慢下来的时候，首先我们想到的当然是任务管理器了，看看到底是哪个程序占了较搞的比例，

如果是某个大程序那还可以原谅，在关闭该程序后只要CPU正常了那就没问题；如果不是，

那你就要看看是什幺程序了，当你查不出这个进程是什幺的时候就去google或者 baidu 搜。

有时只结束是没用的，在 xp下 我们可以结合msconfig里的启动项，把一些不用的项给关掉。

在2000下可以去下个winpatrol来用。

一些常用的软件，比如浏览器占用了很搞的CPU，那幺就要升级该软件或者干脆用别的同类软件代替，

有时软件和系统会有点不兼容，当然我们可以试下xp系统下给我们的那个兼容项，右键点该. exe文件

选兼容性。

svchost.exe有时是比较头痛的，当你看到你的某个svchost.exe占用很大CPU时你可以去下个aports

或者fport来检查其对应的程序路径，也就是什幺东西在掉用这个svchost.exe，

如果不是c:\Windows\ system32 (xp)或c:\winnt\system32(2000)下的，那就可疑。

升级杀毒软件杀毒吧。

右击 文件导致100%的CPU占用我们也会遇到，有时点右键停顿可能就是这个问题了。

官方的解释:先点左键选中，再右键(不是很理解)。非官方:通过在桌面点右键-属性-外观-效果，

取消”为菜单和工具提示使用下列过度效果(U)“来解决。还有某些杀毒软件对文件的监控也会有所影响，可以 关闭杀毒软件 的文件监控；还有就是对网页，插件，邮件的监控也是同样的道理。

一些驱动程序有时也可能出现这样的现象，最好是选择微软认证的或者是官方发布的驱动来装，

有时可以适当的升级驱动，不过记得最新的不是最好的。

CPU降温软件 ，由于软件在运行时会利用所以的CPU空闲时间来进行降温，

但Windows不能分辨普通的CPU占用和 降温软件 的降温指令 之间的区别 ，

因此CPU始终显示100%，这个就不必担心了，不影响正常的系统运行。

在处理较大的 word文件 时由于word的拼写和语法检查会使得CPU累，

只要打开word的工具-选项-拼写和语法把”检查拼写和检查语法“勾去掉。

单击 avi视频 文件后CPU占用率高是因为系统要先扫描该文件，并检查文件所有部分，

并建立索引；解决办法:右击保存视频文件的文件夹-属性-常规-高级，去掉为了快速搜索，允许索引服务编制该文件夹的索引的勾。

CPU占用100%案例分析

1、 dllhost进程造成CPU使用率占用100%

特征:服务器正常CPU消耗应该在75%以下，而且CPU消耗应该是上下起伏的，出现这种问题的服务器，

CPU会突然一直处100%的水平，而且不会下降。查看任务管理器，可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间，管理员在这种情况下，只好重新启动IIS服务，奇怪的是，重新启动IIS服务后一切正常，但可能过了一段时间后，问题又再次出现了。

直接原因:

有一个或多个ACCESS数据库在多次读写过程中损坏，微软的 MDAC 系统在写入这个损坏的ACCESS文件时，

ASP线程处于BLOCK状态，结果其它线程只能等待，IIS被死锁了，全部的CPU时间都消耗在DLLHOST中。

解决办法:

安装“一流信息监控拦截系统”，使用其中的“首席文件检查官IIS健康检查官”软件，

启用”查找死锁模块”，设置:

--wblock=yes

监控的目录，请指定您的主机的文件所在目录:

--wblockdir=d:\test

监控生成的日志的文件保存位置在安装目录的log目录中，文件名为:logblock.htm

停止IIS，再启动“首席文件检查官IIS健康检查官”，再启动IIS，

“首席文件检查官IIS健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的。

过了一段时间后，当问题出来时，例如CPU会再次一直处100%的水平，可以停止IIS，

检查logblock.htm所记录的最后的十个文件，注意，最有问题的往往是计数器类的ACCESS文件，例如:”**COUNT. MDB ”，”**COUNT.ASP”，可以先把最后十个文件或有所怀疑的文件删除到回收站中，再启动IIS，看看问题是否再次出现。我们相信，经过仔细的查找后，您肯定可以找到这个让您操心了一段时间的文件的。

找到这个文件后，可以删除它，或下载下来，用ACCESS2000修复它，问题就解决了。

2、 svchost.exe造成CPU使用率占用100%

在win.ini文件中，在[Windows]下面，“run=”和“load=”是可能加载“木马”程序的途径，

必须仔细留心它们。一般情况下，它们的等号后面什幺都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”

，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，

那幺后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，

在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，

查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，

这里切记:有的“木马”程序生成的文件很像系统自身文件，

想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒，与早先在西方英文系统下流行“红色代码”病毒有点相反，在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞，通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。

当感染一台服务器成功了以后，如果受感染的机器是中文的系统后，该程序会休眠2天，

别的机器休眠1天。当休眠的时间到了以后，该蠕虫程序会使得机器重新启动。

该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年，如果是，

受感染的服务器也会重新启动。当Windows NT系统启动时，

NT系统会自动搜索C盘根目录下的文件explorer.exe，

受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。

该文件的大小是8192字节，VirtualRoot网络蠕虫程序就是通过该程序来执行的。

同时，VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录，

给黑客的入侵敞开了大门。它还会修改系统的注册表项目，通过该注册表项目的修改，

该蠕虫程序可以建立虚拟的目录C或者D，病毒名由此而来。值得一提的是，

该网络蠕虫程序除了文件explorer.exe外，其余的操作不是基于文件的，

而是直接在内存中来进行感染、传播的，这就给捕捉带来了较大难度。

”程序的文件名，再在整个注册表中搜索即可。

我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述

:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。

其实svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中，

在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个，而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。

svchost.exe到底是做什幺用的呢?

首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。

由于Windows系统中的服务越来越多，为了节约有限的系统资源微软把很多的系统服务做成了共享模式。

那svchost.exe在这中间是担任怎样一个角色呢?

svchost.exe的工作就是作为这些服务的宿主，即由svchost.exe来启动这些服务。

svchost.exe只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能

，也不能为用户提供任何服务。

svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。

svchost.exe是病毒这种说法是任何产生的呢?

因为svchost.exe可以作为服务的宿主来启动服务，所以病毒、

木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。

如何才能 辨别 哪些是正常的svchost.exe进程，而哪些是 病毒进程 呢?

svchost.exe的键值是在

“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”，如图1所示。

图1中每个键值表示一个独立的svchost.exe组。

微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。

以Windows XP为例:在“运行”中输入:cmd，然后在命令行模式中输入:tasklist /svc。

系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。

如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。

如果你怀疑计算机有可能被病毒感染，svchost.exe的服务出现异常的话通过搜索

svchost.exe文件 就可以发现异常情况。一般只会找到一个在

:“C:\Windows\System32”目录下的svchost.exe程序。

如果你在其它目录下发现svchost.exe程序的话，那很可能就是中毒了。

还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。

但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。

上面简单的介绍了svchost.exe进程的相关情况。总而言之，

svchost.exe是一个系统的核心进程，并不是病毒进程。

但由于svchost.exe进程的特殊性，所以病毒也会千方百计的入侵svchost.exe。

通过察看svchost.exe进程的执行路径可以确认是否中毒。

3、 Services.exe造成CPU使用率占用100%

症状

在基于 Windows 2000 的计算机上，Services.exe 中的 CPU 使用率可能间歇性地达到100 %，

并且计算机可能停止响应(挂起)。出现此问题时，

连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。

您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式，

则会出现此症状。

解决方案

Service Pack 信息

要解决此问题，请获取最新的 Microsoft Windows 2000 Service Pack。有关其它信息，

请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章:

260910 如何获取最新的 Windows 2000 Service Pack

修复程序信息

Microsoft 提供了受支持的修补程序，但该程序只是为了解决本文所介绍的问题。

只有计算机遇到本文提到的特定问题时才可应用此修补程序。

此修补程序可能还会接受其它一些测试。因此，如果这个问题没有对您造成严重的影响，

Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。

要立即解决此问题，请与“Microsoft 产品支持服务”联系，以获取此修补程序。

有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表，

请访问 Microsoft Web 站点:

注意 :特殊情况下，如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题

，可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其它支持问题和事项，

将正常收取支持费用。

下表列出了此修补程序的全球版本的文件属性(或更新的属性)。

这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时，它将转换为本地时间。

要了解 UTC 与本地时间之间的时差，请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡。

状态

Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。

此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。

4、正常软件造成CPU使用率占用100%

首先，如果是从开机后就发生上述情况直到关机。

那幺就有可能是由某个随系统同时登陆的软件造成的。

可以通过运行输入“msconfig”打开“系统实用配置工具”，进入“启动”选项卡。接着，

依次取消可疑选项前面的对钩，然后重新启动电脑。反复测试直到找到造成故障的软件。

或者可以通过一些优化软件如“优化大师”达到上述目的。另:如果键盘内按键卡住也可能造成开机就出现上述问题。

如果是使用电脑途中出项这类问题，

可以调出任务管理器(WINXP CTRL+ALT+DEL WIN2000 CTRL+SHIFT“ESC)，进入”进程“选项卡，

看”CPU“栏，从里面找到占用资源较高的程序(其中SYSTEM IDLE PROCESS是属于正常，

它的值一般都很高，它的作用是告诉当前你可用的CPU资源是多少

，所以它的值越高越好)通过搜索功能找到这个进程属于哪个软件。然后，

可以通过升级、关闭、卸载这个软件或者干脆找个同类软件替换，问题即可得到解决。

5、病毒、木马、间谍软件造成CPU使用率占用100%

出现CPU占用率100% 的故障经常是因为病毒木马造成的，比如震荡波病毒。应该首先更新病毒库，

对电脑进行全机扫描 。接着，在使用反间谍软件Ad—Aware，检查是否存在间谍软件。

论坛上有不少朋友都遇到过svchost.exe占用CPU100%，这个往往是中毒的表现。

svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的，

其中一些会把可执行程序指向svchost.exe，由它调用相应服务的动态链接库并加上相应参数来启动服务

。正是因为它的特殊性和重要性，使它更容易成为了一些病毒木马的宿主。

6、 explorer.exe进程造成CPU使用率占用100%

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。

正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，

而是“shell= explorer.exe 程序名”，那幺后面跟着的那个程序就是“木马”程序，

就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，

在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，

查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，

这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，

如“Acid Battery v1.0木马”，

它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的

Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”，

“木马”程序与真正的Explorer之间只有“i”与“l”的差别。

当然在注册表中还有很多地方都可以隐藏“木马”程序，

如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”

、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，

最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”

下找到“木马”程序的文件名，再在整个注册表中搜索即可。

7、超线程导致CPU使用率占用100%

这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。

我查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突

，可以通过卸载天网并安装其它防火墙解决，也可以通过在BIOS中关闭超线程功能解决。

8、AVI视频文件造成CPU使用率占用100%

在Windows XP中，单击一个较大的AVI视频文件后，可能会出现系统假死现象，

并且造成exploere.exe进程的使用率100%，这是因为系统要先扫描该文件，并检查文件所有部分，

建立索引。如果文件较大就会需要较长时间并造成CPU占用率100%。

解决方法:右键单击保存视频文件的文件夹，选择”属性—常规—高级“，去掉”为了快速搜索，

允许索引服务编制该文件夹的索引“前面复选框的对钩即可。

9、杀毒软件CPU使用率占用100%

现在的杀毒软件一般都加入了，对网页、邮件、个人隐私的即时监空功能，

这样无疑会加大系统的负担。比如:在玩游戏的时候，会非常缓慢。

关闭该杀毒软件是解决得最直接办法。

10、处理较大的Word文件时CPU使用率过高

上述问题一般还会造成电脑假死，这些都是因为WORD的拼写和语法检查造成的，

只要打开WORD的“工具—选项”，进入“拼写和语法”选项卡，将其中的“键入时检查拼写”和

“键入时检查语法”两项前面的复选框中的钩去掉即可。

11、网络连接导致CPU使用率占用100%

系统将分配内存和少量CPU资源来为这些连接提供服务，当负荷过重，就会出现上述情况。

要解决这个问题可以通过修改注册表来解决，打开注册表，

找到HKEY—LOCAL—MACHNE\SYSTEM\CurrentControlSet\Services\lanmanserver，

在右面新建一个名为"；maxworkitems"；的DWORD值.然后双击该值，

如果你的电脑有512以上内存，就设置为"；1024"；，如果小于512，就设置为256.

一些不完善的驱动程序也可以造成CPU使用率过高

经常使用待机功能，也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅度下降，

系统启动速度变慢，也会使是系统在运行一些大型软件和游戏时CPU使用率100%，产生停顿。

还有一个.....如果你浏览网页什么出现CPU100%....而且出现波浪型的症状

增大c盘的内存

经常会遇到硬盘空间不够的情况，今天花几分钟说说我的做法：

1。 关闭休眠。推荐：××××× 节余空间：1G

在一些较新的具有STR功能的主板上安装了xp后，在系统区根目录下会有一个hiberfil.sys的文件。所谓休眠无非是做了一个内存快照在硬盘上，电脑处于休眠状态时，内存中的所有内容将保存到硬盘，并且电脑会被关闭。电脑在返回打开状态之后，关闭电脑时打开的所有程序和文档将全都还原到桌面。尽管我们基本用不到，但是休眠功能如果是打开的话，系统也会预留和内存一样大的空间——然而大家的内存都是1G的，这个空间岂不是白白浪费了？

方法：desktop right click -- Properties-- Screen Saver tab-- Power button-- Hibernate tab -- uncheck Enable hibernation.

2. 减小或者删除虚拟内存。 推荐：×××× 节余空间：1.5G

实际上也就是页面文件。页面文件实际上就是xp使用的虚拟内存的文件，你可以在系统区根目录底下看到一个名为pagefile.sys的文件，不过xp为了安全默认值总是设的很大，浪费了不少的硬盘空间，其实我们完全可以将它的值设小一点。根据微软的建议，页面文件应设为内存容量的1.5倍，但如果你的内存比较大，那它占用的空间也是很可观的，所以，建议如果内存容量在256MB以下，就设置为1.5倍，如果在512MB以上，设置为内存容量的一半完全可行，在中间的设为和内存容量相同。当然我们的内存高达1G，那就基本可以不需要页面文件了。

方法：Control panel-- System -- Advanced tab-- Performance section-- Settings button-- Advanced tab-- Change button-- select No paging file radio box -- Restart

3. 删除临时文件夹。 推荐：××××× 节余空间：不定，约600MB

这个不多说了，能删的全删————因为有些文件可能这在使用所以无法删除。所以大家可以在机子软件开的不多的情况下进行，没有副作用的:

方法：到目录：

C:\Documents and Settings\用户名\Local Settings\Temp

全选，删除，OK。遇到不让删的，跳过，删除，呵呵！

4。删除网页临时文件夹。 推荐：××× 节余空间：不定，约200MB

和上面那个一样了，不过这里存放的是网页浏览的文件————我们看网页上的东西都要下载到本地先，那么就是这里了。可以通删，没有副作用。

方法：到目录：

C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files

全选，删除，OK。

当然，还有很多系统文件（历史记录，cookies，链接，垃圾箱等）是不需要的，但是占用不是很多，就不多说了。

至于第三点和第四点，大家可以用以下批处理代码存成文本文档，并把后缀改成bat，也可以直接运行。

@echo off

echo starting.... Please wait....

del /f /s /q %systemdrive%\*.tmp

del /f /s /q %systemdrive%\*._mp

del /f /s /q %systemdrive%\*.log

del /f /s /q %systemdrive%\*.gid

del /f /s /q %systemdrive%\*.chk

del /f /s /q %systemdrive%\*.old

del /f /s /q %systemdrive%\recycled\*.*

del /f /s /q %windir%\*.bak

del /f /s /q %windir%\prefetch\*.*

rd /s /q %windir%\temp md %windir%\temp

del /f /q %userprofile%\cookies\*.*

del /f /q %userprofile%\recent\*.*

del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"

del /f /s /q "%userprofile%\Local Settings\Temp\*.*"

del /f /s /q "%userprofile%\recent\*.*"

echo finished

echo. pause

补充一下，在XP里还可以这样做：

1、在各种软硬件安装妥当之后，其实xp需要更新文件的时候就很少了。删除系统备份文件吧：开始→运行→sfc.exe /purgecache 近3xxm。

2、删除驱动备份： %windows%\driver cache\i386目录下的driver.cab文件，通常这个文件是76m。（不推荐，省得重装驱动麻烦，要插入xp光盘或者复制i386文件夹到硬盘里）。

3、偶没有看help的习惯，所以保留着%windows%\help目录下的东西对我来说是一种伤害，呵呵……都干掉，近4xm。（各有所好，自己看着办）

4、一会在升级完成后你还会发现%windows%\多了许多类似$ntuninstallq311889$这些目录，都干掉吧，1x-3xm。（在升级时可以选择文件不存档）

5、正好硬盘中还有win2000/server等，所以顺便把pagefile.sys文件都指向一个地方：控制面板→系统→性能—高级→虚拟内存→更改，注意要点“设置”、重启后才会生效。

6、卸载不常用组件：用记事本修改\%windows%\inf\sysoc.inf，用查找/替换功能，在查找框中输入,hide，全部替换为空。这样，就把所有的,hide都去掉了，存盘退出后再运行“添加-删除程序”，就会看见“添加/删除 windows 组件”中多出不少选项；删掉游戏，windows messenger，码表啊等不用的东西。

7、删除\windows\ime下不用的输入法，8xm。imjp8_1 日文输入法；imkr6_1 韩文输入法。（先删除\windos\system32\dllcache里面的文件，再删除韩/日文输入法。个别文件可能删不掉。）

8、如果实在空间紧张，启用ntfs的压缩功能，这样还会少用2x% 的空间，不过我没做。

9、关了系统还原，这破功能对我这样常下载、测试软件的人来说简直是灾难，右键单击“我的电脑”，选择“属性”，找到“系统还原”，选择“在所有驱动器上关闭系统还原”呵呵，又可以省空间了。（可以选择具体驱动器的系统还原功能，建议关闭所有系统还原，备份推荐norton ghost。）

10、还有几个文件，挺大的，也没什么用……忘了名字 ：（ 刚安装的系统可以用查找功能查找大于50m的文件来看看，应该能找到的。 ）

如果你能按照上面的过程做完，你的原本1.4g的xp，完全可以减少到800m以下。（建议选择性地进行上述步骤，我自己的xp pro优化完后占用空间918m）

二、加速计划

winxp的启动会有许多影响速度的功能，尽管ms说已经作过最优化处理，但对我们来说还是有许多可定制之处。我一般是这样来做的。

1、修改注册表的run键，取消那几个不常用的东西，比如windows messenger 。启用注册表管理器：开始→运行→regedit→找到“hkey_current_user\software\microsoft\windows\currentversion\run\msmsgs” /background 这个键值，右键→删除，世界清静多了，顺便把那几个什么cfmon的都干掉吧。

2、修改注册表来减少预读取，减少进度条等待时间，效果是进度条跑一圈就进入登录画面了，开始→运行→regedit启动注册表编辑器，找hkey_local_machine\system\currentcontrolset\control\session manager\memory management\prefetchparameters， 有一个键enableprefetcher把它的数值改为“1”就可以了。另外不常更换硬件的朋友可以在系统属性中把总线设备上面的设备类型设置为none（无）。

3、关闭系统属性中的特效，这可是简单有效的提速良方。“我的电脑”右键→属性→高级→性能→设置→在视觉效果中，设置为调整为最佳性能→确定即可。（建议只勾选“在窗口和按钮上使用视觉样式”，“在文件夹中使用常见任务”，“在桌面上为图标标签使用阴影”。）

4、关闭zip压缩文件夹功能。运行：regsvr32 /u zipfldr.dll，回车确认，成功的标志是出现个提示窗口，内容大致为：zipfldr.dll中的dll unrgisterserver成功。

5、据说xp的一个系统服务qos，这个调度要占用20%的网络带宽，像我这样的一毛不拔的人是无法忍受的，去掉方法是：运行:gpedit.msc ，出现“组策略”窗口， 展开 "管理模板”→“网络” ， 展开 "qos 数据包调度程序"， 在右边窗右键单击“限制可保留带宽" ，在属性中的“设置”中有“限制可保留带宽" ，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"qos packet scheduler（qos 数据包调度程序）"。说明修改成功，否则说明修改失败，顺便把网络属性中的那个qos 协议也一起干掉（卸载）吧。

6、快速浏览局域网络的共享

通常情况下，windows xp在连接其它计算机时，会全面检查对方机子上所有预定的任务，这个检查会让你等上30秒钟或更久。去掉的方法是开始→运行→regedit→在注册表中找到hkey_local_machine\software\microsoft\windows\current version\explorer\remotecomputer\namespace。在此键值下，会有个{d6277990-4c6a-11cf-87-00aa0060f5bf}键，把它删掉后，重新启动计算机，windows xp就不再检查预定任务了，hoho~~~ ，速度明显提高啦！

7、关掉调试器dr. watson

我好像从win95年代开始一次也没用过这东西，可以这样取消：打开注册表，找到hkey_local_machine\software\microsoft\windows nt\currentversion\aedebug子键分支，双击在它下面的auto键值名称，将其“数值数据”改为0，最后按f5刷新使设置生效，这样就取消它的运行了。沿用这个思路，我们可以把所有具备调试功能的选项取消，比如蓝屏时出现的memory.dmp，在“我的电脑→属性→高级→设置→写入调试信息→选择无”等等。

8、被我终止的服务列表以及相关说明

1)alerter 错误警报

2)automatic updates windows 自动更新

3)background intelligent transfer service 微软说使用空闲的网络带宽传数据

4)clipbook 与远程电脑来共享剪贴板内容，我看还是免了吧

5)computer browser 说什么要维护网络更新列表

6)dhcp client 我不需要这东西

7)distributed link tracking client 保持局域网连接更新等信息，偶很少用局域网，这东西占用4m左右内存。

8)distributed transaction coordinator 协调xxx，和上面的差不多

9)dns client 我不需要这东西

10)error reporting service 错误报告

11)event log 系统日志纪录

12)fast user switching compatibility 用户切换

13)help and support 帮助

14)human interface device access 据说是智能设备。。。

15)imapi cd-burning com service 偶不用这个刻碟

16)indexing service 索引，索引什么呢？

17)internet connection firewall(icf) icf防火墙

18)ipsec services 这个我不懂，你想知道问quack去

19)logical disk manager administrative service 配置磁盘

20)messenger 好像net send 等东西用的就是这个功能

21)ms software shadow copy provider 卷复制备份的

22)net logon 我可不想让黑客远程登录进来，关！

23)netmeeting remote desktop sharing 我不用netmeeting

24)network dde 动态数据交换传输

25)network dde dsdm 和上面差不多

26)network location awareness 关，我的机子不作共享

27)ntlm security support provider－telnet 呵呵，关！

28)performance logs and alert 将系统状态写日志或发警告

29)portable media serial number 关！

30)print spooler 打印机，不幸的是我的机子不连接print ~

31) qos rsvp 关！

32)remote desktop help session manager 远程帮助服务

33)remote procedure call locator 管理rpc

34)remote registry 远程管理注册表

35)removable storage

36)routing and remote access 我干脆禁用了它

37)security accounts manager 我的系统只是一个客户系统，不用iis。

38)smart card

39)smart card helper 关！！！

40)ssdp discovery service 我用不到这个

41)system event notification 如果是服务器肯定要记录的

42)system restore service 系统还原服务

43)task scheduler windows 计划服务

44)telephony 拨号服务，我不拨号还不行吗？

45)telnet

46)terminal services 终端服务

47)uninterruptible power supply ups，我没有呀

48)universal plug and play device host 太先进了点，用不到

49)upload manager 关了也能传输文件的

50)volume shadow copy 又是备份，晕

51)webclient 没用过

52)windows installer msi服务，我一直关着。

53)windows image acquisition (wia) 数码设备用的

54)windows management instrumentation driver extensions 关了

55)windows time 时间服务

56)wireless zero configuration 无线网络，偶用不到的

57)wmi perfromance adapter 关！

这里面的一些服务是刚开始就是关的，但我忘了，所以只好把现在系统中关闭的服务基本都列了出来。你根据自己的情况酌情处理吧。

缓充区溢出是怎么回事，黑客是如何利用它入侵个人电脑的？

什么是缓冲区溢出

单的说就是程序对接受的输入数据没有进行有效的检测导致错误，后果可能造成程序崩溃或者执行攻击者的命令，详细的资料可以看unsecret.org的漏洞利用栏目 。

缓冲区溢出的概念

堆栈溢出（又称缓冲区溢出）攻击是最常用的黑客技术之一。我们知道，UNIX本身以及其上的许多应用程序都是用C语言编写的，C语言不检查缓冲区的边界。在某些情况下，如果用户输入的数据长度超过应用程序给定的缓冲区，就会覆盖其他数据区。这称作“堆栈溢出或缓冲溢出”。

一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误。但是，如果输入的数据是经过“黑客”精心设计的，覆盖堆栈的数据恰恰是黑客的入侵程序代码，黑客就获取了程序的控制权。如果该程序恰好是以root运行的，黑客就获得了root权限，然后他就可以编译黑客程序、留下入侵后门等，实施进一步地攻击。按照这种原理进行的黑客入侵就叫做“堆栈溢出攻击”。

为了便于理解，我们不妨打个比方。缓冲区溢出好比是将十磅的糖放进一个只能装五磅的容器里。一旦该容器放满了，余下的部分就溢出在柜台和地板上，弄得一团糟。由于计算机程序的编写者写了一些编码，但是这些编码没有对目的区域或缓冲区——五磅的容器——做适当的检查，看它们是否够大，能否完全装入新的内容——十磅的糖，结果可能造成缓冲区溢出的产生。如果打算被放进新地方的数据不适合，溢得到处都是，该数据也会制造很多麻烦。但是，如果缓冲区仅仅溢出，这只是一个问题。到此时为止，它还没有破坏性。当糖溢出时，柜台被盖住。可以把糖擦掉或用吸尘器吸走，还柜台本来面貌。与之相对的是，当缓冲区溢出时，过剩的信息覆盖的是计算机内存中以前的内容。除非这些被覆盖的内容被保存或能够恢复，否则就会永远丢失。

在丢失的信息里有能够被程序调用的子程序的列表信息，直到缓冲区溢出发生。另外，给那些子程序的信息——参数——也丢失了。这意味着程序不能得到足够的信息从子程序返回，以完成它的任务。就像一个人步行穿过沙漠。如果他依赖于他的足迹走回头路，当沙暴来袭抹去了这些痕迹时，他将迷失在沙漠中。这个问题比程序仅仅迷失方向严重多了。入侵者用精心编写的入侵代码（一种恶意程序）使缓冲区溢出，然后告诉程序依据预设的方法处理缓冲区，并且执行。此时的程序已经完全被入侵者操纵了。

入侵者经常改编现有的应用程序运行不同的程序。例如，一个入侵者能启动一个新的程序，发送秘密文件（支票本记录，口令文件，或财产清单）给入侵者的电子邮件。这就好像不仅仅是沙暴吹了脚印，而且后来者也会踩出新的脚印，将我们的迷路者领向不同的地方，他自己一无所知的地方。

缓冲区溢出的处理

你屋子里的门和窗户越少，入侵者进入的方式就越少……

由于缓冲区溢出是一个编程问题，所以只能通过修复被破坏的程序的代码而解决问题。如果你没有源代码，从上面“堆栈溢出攻击”的原理可以看出，要防止此类攻击，我们可以：

1、开放程序时仔细检查溢出情况，不允许数据溢出缓冲区。由于编程和编程语言的原因，这非常困难，而且不适合大量已经在使用的程序；

2、使用检查堆栈溢出的编译器或者在程序中加入某些记号，以便程序运行时确认禁止黑客有意造成的溢出。问题是无法针对已有程序，对新程序来讲，需要修改编译器；

3、经常检查你的操作系统和应用程序提供商的站点，一旦发现他们提供的补丁程序，就马上下载并且应用在系统上，这是最好的方法。但是系统管理员总要比攻击者慢一步，如果这个有问题的软件是可选的，甚至是临时的，把它从你的系统中删除。举另外一个例子，你屋子里的门和窗户越少，入侵者进入的方式就越少。

黑客主要先从微软漏洞公布表上或者0days上找到漏洞,再根据漏洞编写溢出程序(好多都自带扫描功能)包括本地提权溢出,远程提权溢出.编好后,先用那个扫描一下有漏洞的主机,然后再用它溢出获得权限,控制目标主机.

该内存不能为written怎么解决

一、导致内存不能为written的原因

在运行某个程序时，会出现该内存不能为written的框，点击确定之后，程序就关闭了。

其原因有以下五条：

1.可能是木马或病毒导致，因为木马或病毒会注入到游戏进程，但是由于黑客编写的代码大多又不严谨，导致内存出现错误，然后就会出现该内存不能为写的问题；

2.误删了某些系统文件，程序正常运行时需要一些系统文件支持的，但是因为网友不小心误删了某些文件，也可以导致这个问题出现；

3.有些程序是本身的问题导致，程序编写代码编写不规范，导致内存出错，出现内存不能为写的问题；

4.使用盗版软件，盗版软件在国内非常流行，这些盗版软件因为破解的缘故也有可能导致这类情况发生；

5.最后就有可能是硬件问题了，比如内存条坏了或者存在其他质量问题，都有可能出现这类状况。

二、内存不能为written该怎么解决？内存不能为written修复工具？

1.使用正版软件，将一些破解的盗版软件卸载掉；

2.扫描电脑看看是否存在木马或病毒，建议下载软件查杀木马（如：金山网盾、巨盾之类的木马查杀工具）；

3.检查硬件是否存在问题，将内存条拔下来擦干净金手指；

4.重新安装出错的程序，或者到出现内存错误的程序的官网下载最新的安装包，重新安装解决问题。

       以后遇到这类内存不能为written的问题不要急于重装系统，先检查一下时候有上面这些原因，按照提出的解决办法自己试试解决一下。

黑客的入侵手段～～

死亡之ping （ping of death）

概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。

防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。

泪滴（teardrop）

概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。

防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

UDP洪水（UDP flood）

概览：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。

防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。

SYN洪水（SYN flood）

概览：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。

防御：在防火墙上过滤来自同一主机的后续连接。

未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。

Land攻击

概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。

防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。（包括10域、127域、192.168域、172.16到172.31域）

Smurf攻击

概览：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。

防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。

Fraggle攻击

概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP

防御：在防火墙上过滤掉UDP应答消息

电子邮件炸弹

概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮，攻击者能够耗尽接受者网络的带宽。

防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。

畸形消息攻击

概览：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。

防御：打最新的服务补丁。

利用型攻击

利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：

口令猜测

概览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。

防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。

特洛伊木马

概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。

防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。

缓冲区溢出

概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。

防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。

信息收集型攻击

信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务

扫描技术

地址扫描

概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。

防御：在防火墙上过滤掉ICMP应答消息。

端口扫描

概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。

防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。

反响映射

概览：黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。

防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答?.

慢速扫描

概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

防御：通过引诱服务来对慢速扫描进行侦测。

体系结构探测

概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法（例NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。

防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。

利用信息服务

DNS域转换

概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

防御：在防火墙处过滤掉域转换请求。

Finger服务

概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。

LDAP服务

概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。

防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。

假消息攻击

用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

DNS高速缓存污染

概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

伪造电子邮件

概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。

防御：使用PGP等安全工具并安装电子邮件证书。

漏洞攻击

对微软（Microsoft）而言，最具讽刺的是总被黑客先发现漏洞，待Windows们倒下后，微软才站出来补充两句：“最新的补丁已经发布，如果客户没有及时下载补丁程序而造成的后果，我们将不承担责任！”

攻击：

细细盘查，漏洞攻击主要集中在系统的两个部分：1.系统的对外服务上，如“冲击波”病毒针对系统的“远程协助”服务；“尼姆达”病毒由系统的“IPC漏洞”（资源共享）感染。2. 集成的应用软件上， IE、OutLook Express、MSN Messager、Media Player这些集成的应用程序，都可能成为漏洞攻击的桥梁。

那黑客又是如何利用这些漏洞，实施攻击的呢？首先利用扫描技术，了解对方计算机存在哪些漏洞，然后有针对性地选择攻击方式。以IE的IFRAME漏洞为例，黑客能利用网页恶意代码（恶意代码可以采用手工编写或者工具软件来协助完成），制作带毒网页，然后引诱对方观看该网页，未打补丁的IE将会帮助病毒进入计算机，感染后的系统利用IE通讯簿，向外发送大量带毒邮件，最终堵塞用户网络。

防范：

漏洞的防御，升级自然是首选。有两种方式可以很好的升级：

1. Update

系统的“开始”菜单上，会有“Windows Update”的链接，选择后，进入Microsoft的升级主页，网站上的程序会自动扫描当前系统存在哪些漏洞，哪些需要升级，根据“向导”即可完成，如图所示（笔者推崇这种方式）。

漏洞攻击

对微软（Microsoft）而言，最具讽刺的是总被黑客先发现漏洞，待Windows们倒下后，微软才站出来补充两句：“最新的补丁已经发布，如果客户没有及时下载补丁程序而造成的后果，我们将不承担责任！”

攻击：

细细盘查，漏洞攻击主要集中在系统的两个部分：1.系统的对外服务上，如“冲击波”病毒针对系统的“远程协助”服务；“尼姆达”病毒由系统的“IPC漏洞”（资源共享）感染。2. 集成的应用软件上， IE、OutLook Express、MSN Messager、Media Player这些集成的应用程序，都可能成为漏洞攻击的桥梁。

那黑客又是如何利用这些漏洞，实施攻击的呢？首先利用扫描技术，了解对方计算机存在哪些漏洞，然后有针对性地选择攻击方式。以IE的IFRAME漏洞为例，黑客能利用网页恶意代码（恶意代码可以采用手工编写或者工具软件来协助完成），制作带毒网页，然后引诱对方观看该网页，未打补丁的IE将会帮助病毒进入计算机，感染后的系统利用IE通讯簿，向外发送大量带毒邮件，最终堵塞用户网络。

防范：

漏洞的防御，升级自然是首选。有两种方式可以很好的升级：

1. Update

系统的“开始”菜单上，会有“Windows Update”的链接，选择后，进入Microsoft的升级主页，网站上的程序会自动扫描当前系统存在哪些漏洞，哪些需要升级，根据“向导”即可完成，如图所示（笔者推崇这种方式）。

2. 使用升级程序

使用Update虽然比较准确、全面。但它所有的升级组件都需要在Microsoft的网站上下载，“窄带”的情况下显然不现实；“宽带”也需要很长的时间。Microsoft提供升级程序的打包下载，或者一些工具光盘上也带有这些升级包。常说的“Service Pack 1”、“Service Pack 2”就是指这些升级包。

除了升级，使用一些工具软件，也能够达到效果，如3721的“上网助手”，它能够很好填补IE漏洞。这些软件一般定向保护系统的应用程序，针对“对外服务”漏洞的较少。

DDOS攻击

DDOS（分布式拒绝服务攻击）的本质是：利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。它实现简单，是目前黑客常用的一种方式。

攻击：

DDOS的实现方式较多，如多人同时向主机提出Web请求；多人同时Ping主机……这里介绍一种“先进”的“伪装IP地址的洪水Ping攻击”。

Ping指令是用来探测网络通讯状况和对方主机状况的网络指令，先前有过一些资料介绍不断的Ping对方主机，可能会造成该主机无法承受的情况，但随着Windows XP等新系统的普及，网络带宽的升级、计算机硬件的升级，单纯的大量Ping包基本上没有效果了。

Ping指令的工作流程是这样的：先由使用Ping命令的主机A发送ICMP报文给主机B；再由主机B回送ICMP报文给主机A。

网络通讯中有一种被称为“广播”（Broadcast）的方式，所谓广播的意思是说有一个地址，任何局域网内的主机都会接收发往这个地址的报文（就像电台广播一样），以此类推。如果往一个局域网的广播地址（利用一些“局域网嗅探软件”就可以查找它的广播地址）发送一个ICMP报文（就是一下Ping广播地址），会得到非常多的ICMP报文回应。把当前计算机的地址伪装成被攻击主机的（SOCK_RAW就可以实现伪装IP），向一个广播地址发送Ping请求的时候，所有这个广播地址内的主机都会回应这个Ping请求，被攻击主机被迫接受大量的Ping包。这就形成了伪装IP地址的洪水Ping攻击形式。

防范：

对于DDOS而言，目前网络上还没有找到什么有效的防御方法，对于一种使用Ping包的攻击方式，虽然可以使用一些防火墙拒绝Ping包，但如果DDOS采用了另一种载体——合法的Web请求（打开该主机上的网页）时，依然无法防范。现在对付DDOS的普遍方法是由管理员，手工屏蔽DDOS的来源和服务器形式，如有一段IP对主机进行DDOS，就屏蔽该段IP的访问；DDOS使用的是FTP、HTTP服务，就暂时停止这些服务。

最后还要提醒一下大家，高明的黑客在攻击后都会做一些扫尾工作，扫尾工作就是要清除一些能够发现自己的残留信息。对于用户而言一般只能通过日志来捕捉这些残留信息，如防火墙的日志；Web服务器的日志（IIS、Server_U都具有日志查看功能）。能否通过日志找到这些残留信息只能靠运气了，真正够厉害的黑客会悄然无声地离去，而不留下一片“云彩”。

六、ICMP Flood能防吗？

先反问你一个问题：洪水迅猛的冲来时，你能否拿着一个脸盆来抵挡？（坐上脸盆做现代鲁宾逊倒是个不错的主意，没准能漂到MM身边呢）

软件的网络防火墙能对付一些漏洞、溢出、OOB、IGMP攻击，但是对于洪水类型的攻击，它们根本无能为力，我通常对此的解释是“倾倒垃圾”：“有蟑螂或老鼠在你家门前逗留，你可以把它们赶走，但如果有人把一车垃圾倾倒在你家门口呢？”前几天看到mikespook大哥对此有更体面的解释，转载过来——“香蕉皮原理：如果有人给你一个香蕉和一个香蕉皮你能区分，并把没有用的香蕉皮扔掉。（一般软件防火墙就是这么判断并丢弃数据包的。）但是如果有人在同一时间内在你身上倒一车香蕉皮，你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~（所以就算防火墙能区分是DoS的攻击数据包，也只能识别，根本来不及丢弃~~死了，死了，死了~~）”

所以，洪水没法防！能做的只有提高自己的带宽和预防洪水的发生（虽然硬件防火墙和分流技术能做到，但那价格是太昂贵的，而且一般人也没必要这样做）。

如果你正在被攻击，最好的方法是抓取攻击者IP（除非对方用第一种，否则抓了没用——假的IP）后，立即下线换IP！（什么？你是固定IP？没辙了，打电话找警察叔叔吧）

七、被ICMP Flood攻击的特征

如何发现ICMP Flood？

当你出现以下症状时，就要注意是否正被洪水攻击：

1.传输状态里，代表远程数据接收的计算机图标一直亮着，而你没有浏览网页或下载

2.防火墙一直提示有人试图ping你

3.网络速度奇慢无比

4.严重时系统几乎失去响应，鼠标呈跳跃状行走

如果出现这些情况，先不要慌张，冷静观察防火墙报警的频率及IP来确认是否普通的Ping或是洪水，做出相应措施（其实大多数情况也只能换IP了）。

1.普通ping

这种“攻击”一般是对方扫描网络或用ping -t发起的，没多大杀伤力（这个时候，防火墙起的作用就是延迟攻击者的数据报发送间隔时间，请别关闭防火墙！否则后果是严重的！），通常表现如下：

==============================================================

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:24] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:26] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:30] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

这么慢的速度，很明显是由ping.exe或IcmpSendEcho发出的，如果对方一直不停的让你的防火墙吵闹，你可以给他个真正的ICMP Flood问候。

2.直接Flood

这是比较够劲的真正意义洪水了，防火墙的报警密度会提高一个数量级：

==============================================================

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

这时候你的防火墙实际上已经废了，换个IP吧。

3.伪造IP的Flood

比较厉害的ICMP Flood，使用的是伪造的IP而且一样大密度，下面是the0crat用56K拨号对我的一次攻击测试的部分数据（看看时间，真晕了，这可是56K小猫而已啊）

=============================================================

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:13] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

无言…………

4、反射ICMP Flood

估计现在Smurf攻击还没有多少人会用（R-Series的RSS.EXE就是做这事的，RSA.EXE和RSC.EXE分别用作SYN反射和UDP反射），所以这种方法还没有大规模出现，但Smurf是存在的！而且这个攻击方法比前面几种更恐怖，因为攻击你的是大网站（或一些受苦受难的服务器）！

我正在被网易、万网和新浪网站攻击中（懒得修改天网策略，直接用其他工具抓的。实际攻击中，反射的IP会多几倍！）

=======================================================================

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet fro