重建目標機硬體信息緩存已滿
『壹』 兩個物理小問題
什麼是TCP/IP?
TCP協議和IP協議指兩個用在Internet上的網路協議(或數據傳輸的方法)。它們分別是傳輸控制協議和互連網協議。這兩個協議屬於眾多的TCP/IP 協議組中的一部分。
TCP/IP協議組中的協議保證Internet上數據的傳輸,提供了幾乎現在上網所用到的所有服務。這些服務包括:電子郵件的傳輸 文件傳輸 新聞組的發布 訪問萬維網
在TCP/IP協議組分兩種協議:網路層的協議 應用層的協議
網路層協議
網路層協議管理離散的計算機間的數據傳輸。這些協議用戶注意不到,是在系統表層以下工作的。比如,IP協議為用戶和遠程計算機提供了信息包的傳輸方法。它是在許多信息的基礎上工作的,比如說是機器的IP地址。在機器IP地址和其它信息的基礎上,IP確保信息包能正確地到達目的機器。通過這一過程,IP和其它網路層的協議共同用於數據傳輸。如果沒有網路工具,用戶就看不到在系統里工作的IP。
應用層協議
相反地,應用層協議用戶是可以看得到的。比如,文件傳輸協議(ftp)用戶是看得到的。用戶為了傳輸一個文件請求一個和其它計算機的連接,連接建立後,就開始傳輸文件。在傳輸時,用戶和遠程計算機的交換的一部分是能看到的。
請記住這句總結性的話:TCP/IP協議是指一組使得Internet上的機器相互通信比較方便的協議。
TCP/IP是如何工作的?
TCP/IP通過使用協議棧工作。這個棧是所有用來在兩台機器間完成一個傳輸的所有協議的幾個集合。(這也就是一個通路,數據通過它從一台機器到另一台機器。)棧分成層,與這里有關的是五個層。學習下面的圖可以對層有個概念。
在數據通過圖示的步驟後,它就從網路中的一台機器傳到另一台機器了。在這個過程中,一個復雜的查錯系統會在起始機器和目的機器中執行。
棧的每一層都能從相鄰的層中接收或發送數據。每一層都與許多協議相聯系。在棧的每一層,這些協議都在起作用。本章的下一部分將分析這些服務,以及它們在棧中是如何聯系的。同時也分析一下它們的功能,它們提供的服務和與安全性的關系。
協議簡介
已經知道數據是怎樣使用TCP/IP協議棧來傳輸的了。現在仔細分析在棧中所用到的關鍵的協議。先從網路層的協議開始。
網路層協議
網路層協議是那些使傳輸透明化的協議。除了使用一些監視系統進程的工具外,用戶是看不見這些協議的。
Sniffers是能看到這些步驟的裝置。這個裝置可以是軟體,也可以是硬體,她能讀取通過網路發送的每一個包。Sniffers廣泛地用於隔離用戶看不到的、網路性能下降的問題。sniffers能讀取發生在網路層協議的任何活動。而且,正如你已經猜到的,sniffers會對安全問題造成威脅。參見Sniffers一章。
重要的網路層協議包括:
地址解析協議(ARP)
Internet控制消息協議(ICMP)
Internet協議(IP)
傳輸控制協議(TCP)
下面僅僅簡單介紹一下。
地址解析協議ARP
地址解析協議的目的是將IP地址映射成物理地址。這在使信息通過網路時特別重要。在一個消息(或其他數據)發送之前,被打包到IP包里,或適合於Internet傳輸的信息塊。這包括兩台計算機的IP地址。在這個包離開發送計算機之前,必須要找到目標的硬體地址。這就是ARP最初用到的地方。
一個ARP請求消息在網上廣播。請求由一個進程接收,它回復物理地址。這個回復消息由原先的那台發送廣播消息計算機接收,從而傳輸過程就開始了。
ARP的設計包括一個緩存。為了理解緩存的概念,考慮一下:許多現代的HTML瀏覽器(比如Netscape或Microsoft的Internet
Explorer)使用了一個緩存。緩存是磁碟的一部分,從Web網上經常訪問的東西就存在裡面(比如按鈕,或通用的圖形)。這是符合邏輯的,因為當你返回這些主頁的時候,這些東西不必再從遠程計算機上裝載了。從緩存中裝載的速度要比較快。
相似的,ARP的實現包括一個緩存。以這種方式,網路或遠程計算機的硬體地址就存著了,並為接著的ARP請求作準備。這樣節省了時間和網路資源。
但是,正是由於緩存,就引起了安全性。
對於網路安全來將,這並不是最重要的安全性問題。然而,地址緩存(不僅僅是在ARP而且在其他例子中)確實會引起安全性問題。一旦這些地址保存,都會是讓黑客偽造一個遠程連接,它們對緩存的地址很歡迎。 Internet控制消息協議ICMP
Internet控制消息協議是用來在兩台計算機間傳輸時處理錯誤和控制消息的。它允許這些主機共享信息。在這一方面,ICMP是用來診斷網路問題的重要工具。通過ICMP收集診斷信息的例子如下:
一台主機關機
一個網關堵塞和工作不正常
網路中其他的失敗
可能最著名的ICMP實現的網路工具是ping。ping通常用來判斷是否一台遠程機器正開著,數據包從用戶的計算機發到遠程計算機。這些包通常返回用戶的計算機。如果沒有返回數據包到用戶計算機,ping程序就產生一個表示遠程計算機關機的錯誤消息。
應用層協議
應用層協議是專門為用戶提供應用服務的。它是建立在網路層協議之上的。
Telnet
Telnet在RFC
854中有詳細地描述,Telnet協議中說明:Telnet協議的目的就是提供一個相當通用的,雙向的,面向八位位元組的通信機制。它的最初目的是允許終端和面向終端的進程之間的交互。
Telnet不僅允許用戶登錄到一個遠程主機,它允許用戶在那台計算機上執行命令。這樣,Los Angeles的一個人可以Telnet到New
York的一台機器,並在這台機器上運行程序,就跟在New York的用戶一樣。
對於熟悉Telnet的用戶來講,他的操作與BBS的界面一樣。Telnet是一個能提供建立在終端字體的訪問資料庫的一個應用程序。比如,多於80%的大學的圖書館的目錄可以通過Telnet訪問到。
即使GUI應用程序被大大採用,Telnet這個建立在字元基礎上的應用程序,仍相當的流行。這有許多原因。第一,Telnet允許你以很小的網路資源花費實現各種功能(如收發郵件)。實現安全的Telnet是件十分簡單的事。有許多這樣的程序,通用的是Secure
Shell。
要使用Telnet,用戶要指定啟動Telnet客戶的命令,並在後面指定目標主機的名字。在Linux中,可以這樣:
$telnet internic.net
這個命令啟動Telnet過程,連接到internic.net。這個連接可能被接受,或被拒絕,這與目標主機的配置有關。在UNIX,Telnet命令很久以前就是內置的。也就是說,Telnet已經包含在UNIX的發行版本中有十年了。但並不是所有操作系統都將Telnet作為內置的Telnet客戶。
文件傳輸協議FTP
文件傳輸協議是從一個系統向另一個系統傳遞文件的標准方法。它的目標在RFC 0765中寫得很清楚。
FTP的目標是1)促進文件和程序的共享,2)鼓勵間接和含蓄的使用遠程計算機,3)使用戶不必面對主機間使用的不同的文件存儲系統,4)有效和可靠地傳輸文件。FTP,盡管用戶可以直接通過終端來使用,是設計成讓別的程序使用的。
約有二十年,研究者調查了相當廣泛的文件傳輸方法。FTP經歷了多次改變。1971年作了第一次定義,整個的說名參見RFC 114。
FTP是怎樣工作的?
FTP文件傳輸應用在客戶/服務環境。請求機器啟動一個FTP客戶端軟體。這就給目標文件伺服器發出了一個請求。典型地,這個要求被送到埠21。一個連接建立起來後,目標文件伺服器必須運行一個FTP服務軟體。
FTPD是標準的FTP服務daemon。它的功能很簡單:回復inetd收到的連接請求,並滿足這些要傳輸文件的請求。這個daemon在許多發行版的UNIX中是個標准。
FTPD等待一個連接請求。當這樣的一個請求到達時,FTPD請求用戶登錄。用戶提供它的合法的登錄名和口令或匿名登錄。
一旦登錄成功,用戶可以下載文件了。在某些情況下,如果伺服器的安全允許,用戶可以上載文件。
簡單郵件傳輸協議SMTP
簡單郵件傳輸協議的目的是使得郵件傳輸可靠和高效。
SMTP是一個相當小和有效的協議。用戶給SMTP伺服器發個請求。一個雙向的連接隨後就建立了。客戶發一個MAIL指令,指示它想給Internet上的某處的一個收件人發個信。如果SMTP允許這個操作,一個肯定的確認發回客戶機。隨後,會話開始。客戶可能告知收件人的名稱和IP地址,以及要發送的消息。
盡管SMTP相當簡單,郵件服務是無窮的安全漏洞的源泉。
SMTP服務在Linux內部是內置的。其它網路操作系統也提供某些形式的SMTP。
Gopher
Gopher是一個分布式的文件獲取系統。它最初是作為Campus Wide Information
System在Minnesota大學實現的。它的定義如下:
Internet
Gopher協議最初是設計用來最為一個分布式文件發送系統的。文檔放在許多伺服器上,Gopher客戶軟體給客戶提供一個層次項和目錄,看上去象一個文件系統。事實上,Gopher的界面設計成類似一個文件系統,因為文件系統是查找文件和服務的最好模型。
Gopher服務功能相當強大。能提供文本,聲音,和其他媒體。主要用在文本模式,比通過用瀏覽器使用HTTP要來得快。毫無疑問,最流行的Gopher客戶軟體是為UNIX編寫的。其他操作系統也有Gopher客戶端軟體。
典型地,用戶啟動一個Gopher客戶端軟體,和一個Gopher伺服器。隨後,Gopher返回一個可以選擇的菜單。可能包括查找菜單,預先設置的目標,或文件目錄。
注意,Gopher模式完全是一個客戶伺服器模式。用戶每次登錄,客戶給Gopher伺服器發送一個請求,要求所有能得到的文檔。Gopher伺服器對這個信息做出反應知道用戶請求一個對象。
超聯結傳輸協議HTTP
由於它能讓用戶在網上沖浪,超聯結傳輸協議可能是最有名的協議。HTTP是一個應用層協議,它很小也很有效,符合發布、合成和超媒體文本系統的的需要。是一個通用的,面向對象的協議,通過擴展請求命令,可以用來實現許多任務。HTTP的一個特點是數據表現的類型允許系統相對獨立於數據的傳輸。
HTTP的出現永久地改變了Internet的特點,主要是使Internet大眾化。在某些程度上,他它的操作與Gopher相類似。比如,它的工作是請求/響應式的。這是相當重要的一點。其他應用程序,比如Telnet仍需要用戶登錄(當他們登錄時,便消耗系統資源)。但Gopher和HTTP協議,消除了這一現象。用戶(客戶)僅僅在他們請求或接受數據時消耗資源。
使用通用瀏覽器,象Netscape Navigator或Microsoft Internet
Explore,可以監視這一過程的發生。在WWW上的數據,你的瀏覽器會和伺服器及時聯系。這樣,它首先獲取文本,然後是圖形,再後是聲音,等等。在你的瀏覽器的狀態欄的左下角。當它裝載頁面時,看著它幾分鍾。你會看到請求和服務活動的發生,通常速度很快。
HTTP並不特別關注所需的是什麼類型的數據。各種形式的媒體都能插進,以及遠程的HTML主頁。
網路新聞傳輸協議NNTP
網路新聞傳輸協議是一個廣泛使用的協議。它提供通常作為USENET新聞組的新聞服務。
NNTP定義了一個協議,使用一個可靠的建立在流的基礎上的在Internet上傳輸新聞的分發,詢問,獲取和發布的一個協議。NNTP被設計成新聞被存儲在一個中心的資料庫,允許訂閱者選擇他們希望讀的主題。目錄,交叉引用和過期的新聞都能找到。
NNTP有許多特性和簡單郵件傳輸協議以及TCP相似。與SMTP相似,它接受一般的英語命令。和TCP相似,它是建立在流的傳輸和分發的基礎上的。NNTP通常在埠119運行。
下面詳細地講解一下乙太網,IP協議和TCP協議。
第二節 Etherner
乙太網的基本工作原理
乙太網上的所有設備都連在以太匯流排上,它們共享同一個通信通道。乙太網採用的是廣播方式的通信,即所有的設備都接收每一個信息包。網路上的設備通常將接收到的所有包都傳給主機界面,在這兒選擇計算機要接收的信息,並將其他的過濾掉。乙太網是最有效傳遞的意思是,硬體並不給發送者提供有關信息已收到的信息。比如,即使目標計算機碰巧關機了,送給它的包自然就丟失,但發送者並不會知道這一點。
乙太網的控制是分布式的。乙太網的存取方式叫做帶有Collision的Carrier Sense Multipe
Access。因為多台計算機可以同時使用乙太網,每台機器看看是否有載波信號出現判定匯流排是否空閑。如果主機介面有數據要傳輸,它就偵聽,看看是否有信號正在傳輸。如果沒有探測到,它就開始傳輸。每次傳輸都在一定的時間間隔內,即傳輸的包有固定的大小。而且,硬體還必須在兩次傳輸之間,觀察一個最小的空閑時間,也就是說,沒有一對機器可以不給其他計算機通信的機會而使用匯流排。
沖突偵測和恢復
當開始一個傳輸時,信號並不能同時到達網路的所有地方。傳輸速度實際上是光速的80%。這就有可能兩個設備同時探測到網路是空閑的,並都開始傳輸。但當這兩個電信號在網路上相遇時,它們都不再可用了。這種情況叫做沖突。
乙太網在處理這種情況時,很有技巧性。每台設備在它傳輸信號的時候都監視匯流排,看看它在傳輸的時候是否有別的信號的干擾。這種監視叫做沖突偵聽。在探測到沖突後,設備就停止傳輸。有可能網路會因為所有的設備都忙於嘗試傳輸數據而每次都產生沖突。
為了避免這種情況,乙太網使用一個2進制指數後退策略。發送者在第一次沖突後等待一個隨機時間,如果第二次還是沖突,等待時間延長一倍。第三次則再延長一倍。通過這種策略,即使兩台設備第二的等待時間會很接近,但由於後面的等待時間成指數倍增長,不就,他們就不會相互沖突了。
乙太網的硬體地址
每台連接到乙太網上的計算機都有一個唯一的48位乙太網地址。乙太網卡廠商都從一個機構購得一段地址,在生產時,給每個卡一個唯一的地址。通常,這個地址是固化在卡上的。這個地址又叫做物理地址。
當一個數據幀到達時,硬體會對這些數據進行過濾,根據幀結構中的目的地址,將屬於發送到本設備的數據傳輸給操作系統,忽略其他任何數據。
一個是地址位全為1的時表示這個數據是給所有匯流排上的設備的。
乙太網的幀結構
乙太網的幀的長度是可變的,但都大於64位元組,小於1518位元組。在一個包交換網路中,每個乙太網的幀包含一個指明目標地址的域。上圖是乙太網幀的格式,包含了目標和源的物理地址。為了識別目標和源,乙太網幀的前面是一些前導位元組,類型和數據域以及冗餘校驗。前導由64個0和1交替的位組成,用於接收同步。32位的CRC校驗用來檢測傳輸錯誤。在發送前,將數據用CRC進行運算,將結果放在CRC域。接收到數據後,將數據做CRC運算後,將結果和CRC域中的數據相比較。如果不一致,那麼傳輸過程中有錯誤。
幀類型域是一個16位的整數,用來指示傳輸的數據的類型。當一個幀到達台設備後,操作系統通過幀類型來決定使用哪個軟體模塊。從而允許在同一台計算機上同時運行多個協議。
第三節 Internet地址
網路上的每一台計算機都有一個表明自己唯一身份的地址。TCP/IP協議對這個地址做了規定。一個IP地址由一個32位的整數表示。它的一個較為聰明的地方是很好的規定了地址的范圍和格式,從而使地址定址和路由選擇都很方便。一個IP地址是對一個網路和它上面的主機的地址一塊編碼而形成的一個唯一的地址。
在同一個物理網路上的主機的地址都有一個相同前綴,即IP地址分成兩個部分:(netid,hostid)。其中netid代表網路地址,hostid代表這個網路上的主機地址,根據他們選擇的位數的不同,可以分成以下五類基本IP地址。
通過地址的前3位,就能區分出地址是屬於A,B或C類。其中A類地址的主機容量有16777216台主機,B類地址可以有65536台主機,C類地址可以有256台主機。
將地址分成網路和主機部分,在路由定址時非常有用,大大提高了網路的速度。路由器就是通過IP地址的netid部分來決定是否發送和將一個數據包發送到什麼地方。
一個設備並不只能有一個地址。比如一個連到兩個物理網路上的路由器,它就有兩個IP地址。所以可以將IP地址看成是一個網路連接。
為了便於記憶和使用32位的IP地址,可以將地址使用用小數點分開的四位整數來表示。下面舉個例子:
IP地址: 10000000 00001010 00000010 00011110
記為: 128.10.2.30
第四節 IP協議和路由
IP協議
IP協議定義了一種高效、不可靠和無連接的傳輸方式。由於傳輸沒有得到確認,所以是不可靠的。一個包可能丟失了,或看不見了,或是延時了,或是傳輸順序錯了。但是傳輸設備並不檢測這些情況,也不通知通信雙方。無連接
因為每個包的傳遞與別的包是相互獨立的。同一個機器上的包可能通過不同的路徑到達另一台機器,或在別的機器上時已經丟失。由於傳輸設備都試圖以最快的速度傳輸,所以是最高效的。
IP協議定義了通過TCP/IP網路傳輸的數據的格式,定義了數據進行傳遞的路由功能。
IP數據包的格式如下:
由一個頭和數據部分組成。數據包的頭部分包含諸如目的地址和源地址,數據的類型等信息。
數據包頭格式:
數據包是由軟體處理的,它的內容和格式並不是由硬體所限定。
比如,頭4位是一個VERS,表示的是使用的IP協議的版本號。它表示發送者、接收者和路由器對該數據的處理都要按所示的版本進行處理。現在的版本號是4。軟體通過版本來決定怎樣進行處理。
頭長度(HLEN)也是用4位來表示以32位為計量單位的頭的長度。
TOTAL LENGTH表示這個數據包的長度(位元組數)。從而包中的數據的長度就可以通過上面兩個數據而計算出來了。
一般來說,數據部分就是一個物理的幀。對於乙太網來講,就是將整個的一個乙太網的幀數據作為一個IP數據包的數據來傳輸的。
數據包的頭裡面還包含了一些其他的信息,請參見有關資料的具體介紹。 IP路由
在一個網路上,連接兩種基本設備,主機和路由器。路由器通常連接幾個物理網路。對一台主機來講,要將一個數據包發往別的網路,就需要知道這個數據包應該走什麼路徑,才能到達目的地。對於一台路由器來講,將收到的數據包發往哪個物理網路。因此,無論主機還是路由器,在發送數據包是都要做路由選擇。
數據發送有兩種方式:直接數據發送和間接數據發送。
直接數據發送通常是在同一個物理網路里進行的。當一個主機或路由器要將數據包發送到同一物理網路上的主機上時,是採用這種方式的。首先判斷IP數據包中的目的地址中的網路地址部分,如果是在同一個物理網路上,則通過地址分析,將該IP目的地址轉換成物理地址,並將數據解開,和該地址合成一個物理傳輸幀,通過區域網將數據發出。
間接數據發送是在不同物理網路里進行的。當一個主機或路由器發現要發送的數據包不在同一個物理網路上時,這台設備就先在路由表中查找路由,將數據發往路由中指定的下一個路由器。這樣一直向外傳送數據,到最後,肯定有一個路由器發現數據要發往同一個物理網路,於是,再用直接數據發送方式,將數據發到目的主機上。
主機和路由器在決定數據怎樣發送的時候,都要去查找路由。一般,都將路由組成一個路由表存在機器中。路由表一般採用Next-Hop格式,即(N,R)對。N是目標地址的網路地址,R是傳輸路徑中的下一個路由。通常這個路由和這台機器在同一物理網路里。
第五節 TCP協議
TCP傳輸原理
TCP協議在IP協議之上。與IP協議提供不可靠傳輸服務不同的是,TCP協議為其上的應用層提供了一種可靠傳輸服務。這種服務的特點是:可靠、全雙工、流式和無結構傳輸。
它是怎樣實現可靠傳輸的呢?
TCP協議使用了一個叫積極確認和重發送(positive acknowledgement with retransmission)的技術來實現這一點的。
接收者在收到發送者發送的數據後,必須發送一個相應的確認(ACK)消息,表示它已經收到了數據。
發送者保存發送的數據的記錄,在發送下一個數據之前,等待這個數據的確認消息。在它發送這個數據的同時,還啟動了一個記時器。如果在一定時間之內,沒有接收到確認消息,就認為是這個數據在傳送時丟失了,接著,就會重新發送這個數據。
這種方法還產生了一個問題,就是包的重復。如果網路傳輸速度比較低,等到等待時間結束後,確認消息才返回到發送者,那麼,由於發送者採用的發送方法,就會出現重復的數據了。解決的一個辦法是給每個數據一個序列號,並需要發送者記住哪個序列號的數據已經確認了。為了防止由於延時或重復確認,規定確認消息里也要包含確認序列號。從而發送者就能知道哪個包已經確認了。 TCP協議中還有一個重要的概念:滑動窗口。這一方法的使用,使得傳輸更加高效。
有前面的描述可見,發送者在發送完一個數據包之後,要等待確認。在它收到確認消息之前的這段時間是空閑的。如果網路延時比較長,這個問題會相當明顯。
滑動窗口方法是在它收到確認消息以前,發送多個數據包。可以想像成有一個窗口在一個序列上移動。
如果一個包發送出去之後還沒有確認,叫做未確認包。通常未確認的包的個數就是窗口的大小。
此窗口的大小為8。發送者允許在接收到一個確認消息以前發送8個數據包。當發送者接到窗口中第一個包的確認消息時,它就將窗口下滑一個。
在接收端,也有一個滑動窗口接收和確認一個包。
埠
使用TCP傳輸就是建立一個連接。在TCP傳輸中一個連接有兩個端點組成。其實,一個連接代表的是發送和接收兩端應用程序的之間的一個通信。可以把他們想像成建立了一個電路。通常一個連接用下面的公式表示:
(host,port)
host是主機,port是埠。TCP埠能被幾個應用程序共享。對於程序員來講,可以這樣理解:一個應用程序可以為不同的連接提供服務。
TCP格式
TCP傳輸的單位是段,在建立連接,傳送數據,確認消息和告之窗口大小時均要進行段的交換。
段的格式如下圖:
段的格式也分成兩部分,頭和數據。
上面格式中的名稱已經足夠說明了他們的作用了。具體的含義請參見有關資料。
建立一個TCP連接
TCP協議使用一個三次握手來建立一個TCP連接的。
握手過程的第一個段的代碼位設置為SYN,序列號為x,表示開始一次握手。接收方收到這個段後,向發送者回發一個段。代碼位設置為SYN和ACK,序列號設置為y,確認序列號設置為x 1。發送者在受到這個段後,知道就可以進行TCP數據發送了,於是,它又向接收者發送一個ACK段,表示,雙方的連接已經建立。
在完成握手之後,就開始正式的數據傳輸了。
上面握手段中的序列號都是隨機產生的。
TCP/IP
每種網路協議都有自己的優點,但是只有TCP/IP允許與Internet完全的連接。TCP/IP是在60年代由麻省理工學院和一些商業組織為美國國防部開發的,即便遭到核攻擊而破壞了大部分網路,TCP/IP仍然能夠維持有效的通信。ARPANET就是由基於協議開發的,並發展成為作為科學家和工程師交流媒體的Internet。
TCP/IP同時具備了可擴展性和可靠性的需求。不幸的是犧牲了速度和效率(可是:TCP/IP的開發受到了政府的資助)。
Internet公用化以後,人們開始發現全球網的強大功能。Internet的普遍性是TCP/IP至今仍然使用的原因。常常在沒有意識到的情況下,用戶就在自己的PC上安裝了TCP/IP棧,從而使該網路協議在全球應用最廣。
TCP/IP的32位定址功能方案不足以支持即將加入Internet的主機和網路數。因而可能代替當前實現的標準是IPv6。
『貳』 關於arp的問題
區域網中ARP病毒的防禦和清除(一)
7月5日,國內最大的計算機反病毒軟體供應商江民科技發布了2007年上半年十大病毒排行及病毒
疫情報告。據統計,從2007年1月1日到2007年6月 30日,一種主要是針對區域網用戶,通過偽造的ARP
數據包,嚴重干擾網路的正常運行的ARP病毒,已經僅次於位居第三的「威金」系列病毒(最出名的當
屬 「熊貓燒香」),在排行榜中名列第四。病毒疫情報告還顯示,我國計算機病毒疫情主要呈現的四
大特徵之一的ARP病毒所使用的欺騙技術,正在被越來越多的病毒所使用,成為區域網安全的新殺手,
是病毒未來發展的新趨勢。
ARP全稱為Address Resolution Protocol,地址解析協議。ARP病毒是一種新型的「 ARP 欺騙」
木馬病毒,病毒主機通過偽造的IP地址和MAC地址,向目標主機發出偽造的ARP響應包,從而更改了目
標主機ARP緩存中的IP-MAC條目,欺騙目標主機對本地的ARP緩存進行更新,將應答中的IP和MAC地址存
儲在ARP緩存中實現對目標主機的ARP欺騙。當區域網內有病毒主機在運行ARP欺騙的木馬程序時,就會
欺騙區域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機,這勢必造成區域網內大面積
的網路中斷或中間人攻擊(也稱會話劫持),具體表現為客戶端狀態頻頻變紅、用戶頻繁斷網、IE 瀏
覽器頻繁出錯以及一些常用軟體出現故障等問題,更有甚者,區域網的所有用戶原來直接通過路由器
上網,現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。當病毒主機上網後,如果用戶已經
登陸了傳奇等游戲伺服器或者其他需要輸入個人私密資料的重要網頁,那麼病毒主機就會經常偽造斷
線的假像,當用戶就得重新登錄伺服器後,病毒主機就可以盜號了,從而給用戶帶來極大的損失,ARP
病毒的危害之大由此可見一斑了。
一 、ARP病毒電腦的定位
檢測ARP中毒電腦的幾種常用方法有:
1. 命令行法
我們只要在受影響的電腦中查詢一下當前網關的MAC地址,就知道中毒電腦的MAC地址了,在cmd(Wind
ows98中輸入「command」)命令提示行下輸入查詢命令為arp -a。
這時,由於這個電腦的ARP表是錯誤的記錄,因此,該MAC地址不是真正網關的MAC地址,而是中毒電腦
的MAC地址!這時,再根據網路正常時,全網的 IP—MAC地址對照表,查找中毒電腦的IP地址就可以了
。由此可見,在網路正常的時候,保存一個全網電腦的IP—MAC地址對照表是多麼的重要。建議下載使
用NBTSCAN 工具掃描全網段的IP地址和MAC地址,保存下來,以備後用。
但是如果情形和我們校園網一樣,沒有對IP地址和MAC地址進行綁訂,甚至MAC地址也沒有記錄,現在
就算知道了IP地址,也無法找到病毒主機。臨時處理對策:在能上網時,進入MS-DOS窗口,輸入命令
:arp –a
查看網關IP對應的正確MAC地址,將其記錄下來;如果已經不能上網,則先運行一次命令arp –d將arp
緩存中的內容刪空,計算機可暫時恢復上網(攻擊如果不停止的話),一旦能上網就立即將網路斷掉
(禁用網卡或拔掉網線),再運行arp –a。
2. 工具軟體法
網上有很多ARP病毒定位工具,如CISCO515E,其中做得較好的是ARP防火牆。打開ARP防火牆,輸入網
關IP地址後,再點擊紅色框內的「枚舉 MAC」按鈕,即可獲得正確網關的MAC地址,接著點擊「自動保
護」按鈕,即可保護當前網卡與網關的正常通信。當區域網中存在ARP欺騙時,該數據包會被 Anti
ARP Sniffer記錄,該軟體會以氣泡的形式報警。這時,我們再根據欺騙機的MAC地址,對比查找全網
的IP-MAC地址對照表,即可快速定位出中毒電腦。
3. Sniffer 抓包嗅探法
當區域網中有ARP病毒欺騙時,往往伴隨著大量的ARP欺騙廣播數據包,這時,流量檢測機制應該能夠
很好的檢測出網路的異常舉動,此時Ethereal 這樣的抓包工具就能派上用場。從圖中的紅色框內的信
息可以看出,192.168.0.XXX 這台電腦正向全網發送大量的ARP廣播包,一般的講,區域網中有電腦發
送ARP廣播包的情況是存在的,但是如果不停的大量發送,就很可疑了。而這台192.168.0.XXX 電腦正
是一個ARP中毒電腦。
此外,在Win XP的Support Tools有一個Netcap工具(netcap.exe),它和Netmon.exe一樣也能夠捕獲
網路信息。但只可以看到連接數,卻不能看到連接機器名及IP。而Win2000/2003中的網路監視器就可
以抓取網路中的數據包,先查出發送arp數據的電腦的IP(可能是假的)及MAC地址,然後找對應的機器就
很容易找到中毒的機器了。
4.IP地址沖突法
運行 tracert –d www..com 找出作崇的主機IP地址;設置與作崇主機相同的IP,然後造成IP
地址沖突,使中毒主機報警然後找到這個主機。
二、ARP病毒的防禦和清除
1. 應急處理
客戶機中毒後,可先保證網路正常運行,方法有:
●在中毒客戶端主機運行 arp -d ,清除arp列表,可暫時恢復該主機正常網路通訊。
●在中毒客戶端主機進行針對網關的靜態IP-MAC地址綁定,命令arp -s 網關ip 網關mac,為避免計算
機重啟後記錄失效,可編寫一個批處理文件rarp1.bat,內容如下:
@echo off
arp -d
arp -s 您自己的網關Ip地址和MAC地址
將這個批處理軟體拖到「windows--開始--程序--啟動」中。
●編輯一個arp2.bat文件,內容如下:arp.exe s**.**.**.**(網關ip) ************(網關MAC地
址)end,讓網路用戶點擊。
●編輯一個注冊表問題,鍵值如下:Windows Registry Editor Version
5.00[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]"MAC"="arp
—s網關IP地址網關MAC地址",然後保存成Reg文件以後在每個客戶端上點擊導入注冊表。
●寫一個批處理,定時刷新arp緩存表
腳本代碼如下:
主程序arp3.bat
@echo off
cscript sleep.vbs
arp -d
exit
輔助計時程序 sleep.vbs
wscript.sleep 30000
就這樣,把代碼復制到記事本里,然後分別保存為arp3.bat,其中的30000 可以改的更大些。
2、解決思路
● 不要把你的網路安全信任關系建立在IP基礎上或MAC基礎上,(RARP同樣存在欺騙的問題),
理想的關系應該建立在IP+MAC基礎上。
●設置靜態的MAC-->IP對應表,不要讓主機刷新你設定好的轉換表。
● 除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。
● 使用ARP伺服器。通過該伺服器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP
伺服器不被黑。
● 使用\'proxy\'代理IP的傳輸。
● 使用硬體屏蔽主機。設置好你的路由,確保IP地址能到達合法的路徑。(靜態配置路由ARP條
目),注意,使用交換集線器和網橋無法阻止ARP欺騙。
●管理員定期用響應的IP包中獲得一個rarp請求,然後檢查ARP響應的真實性。
● 管理員定期輪詢,檢查主機上的ARP緩存。
●下載使用ARP防火牆。(2007-07-18 ARP防火牆單機版 v4.2beta4 發布 ;2007-07-11 ARP防
火牆網路版 v3.1.1 發布)
●可下載系統補丁:WINXP系統ARP病毒補丁 2KB WIN2000系統ARP病毒補丁 30.8MB。
三、幾點建議
1、病毒源,對病毒源頭的機器進行處理,殺毒或重新裝系統。此操作比較重要,解決了ARP攻擊的源
頭PC機的問題,可以保證內網免受攻擊。
2、網吧管理員檢查區域網病毒,安裝殺毒軟體(江民/瑞星,必須要更新病毒代碼),對機器進行病
毒掃描。
3、給系統安裝補丁程序,通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service
Pack)。
4、給系統管理員賬戶設置足夠復雜的強密碼,最好能是12位以上,字母+數字+符號的組合;也可以禁
用/刪除一些不使用的賬戶。
5、經常更新殺毒軟體(病毒庫),設置允許的可設置為每天定時自動更新。安裝並使用網路防火牆軟
件,網路防火牆在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網路的攻擊和病毒的
入侵。部分盜版Windows用戶不能正常安裝補丁,不妨通過使用網路防火牆等其它方法來做到一定的防
護。
6、關閉一些不需要的服務,條件允許的可關閉一些沒有必要的共享,也包括C$、D$等管理共享。完全
單機的用戶也可直接關閉Server服務。
7、不要隨便點擊打開QQ、MSN等聊天工具上發來的鏈接信息,不要隨便打開或運行陌生、可疑文件和
程序,如郵件中的陌生附件,外掛程序。
ARP地址欺騙木馬病毒專殺工具下載及其防治解決方案2007年06月17日 星期日 上午 11:50
近期,一種新型的「 ARP 欺騙」木馬病毒正在校園網中擴散,嚴重影響了校園網的正常運行。感染此木馬的計算機試圖通過「 ARP 欺騙」手段截獲所在網路內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。ARP欺騙木馬的中毒現象表現為:使用校園網時會突然掉線,過一段時間後又會恢復正常。比如客戶端狀態頻頻變紅,用戶頻繁斷網,IE瀏覽器頻繁出錯,以及一些常用軟體出現故障等。如果校園網是通過身份認證上網的,會突然出現可認證,但不能上網的現象(無法ping通網關),重啟機器或在MS-DOS窗口下運行命令arp -d後,又可恢復上網。ARP欺騙木馬十分猖狂,危害也特別大,各大學校園網、小區網、公司網和網吧等區域網都出現了不同程度的災情,帶來了網路大面積癱瘓的嚴重後果。ARP欺騙木馬只需成功感染一台電腦,就可能導致整個區域網都無法上網,嚴重的甚至可能帶來整個網路的癱瘓。該木馬發作時除了會導致同一區域網內的其他用戶上網出現時斷時續的現象外,還會竊取用戶密碼。如盜取QQ密碼、盜取各種網路游戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經濟損失。
什麼是ARP?
ARP(Address Resolution Protocol,地址解析協議)是一個位於TCP/IP協議棧中的低層協議,負責將某個IP地址解析成對應的MAC地址。
什麼是ARP欺騙?
從影響網路連接通暢的方式來看,ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。
第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址,並按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,「網路掉線了」。
如何檢查和處理「 ARP 欺騙」木馬的方法
1 .檢查本機的「 ARP 欺騙」木馬染毒進程
同時按住鍵盤上的「 CTRL 」和「 ALT 」鍵再按「 DEL 」鍵,選擇「任務管理器」,點選「進程」標簽。察看其中是否有一個名為「 MIR0.dat 」的進程。如果有,則說明已經中毒。右鍵點擊此進程後選擇「結束進程」。參見上圖。
2 .檢查網內感染「 ARP 欺騙」木馬染毒的計算機
在「開始」 - 「程序」 - 「附件」菜單下調出「命令提示符」。輸入並執行以下命令:
ipconfig
記錄網關 IP 地址,即「 Default Gateway 」對應的值,例如「 59.66.36.1 」。再輸入並執行以下命令:
arp –a
在「 Internet Address 」下找到上步記錄的網關 IP 地址,記錄其對應的物理地址,即「 Physical Address 」值,例如「 00-01-e8-1f-35-54 」。在網路正常時這就是網關的正確物理地址,在網路受「 ARP 欺騙」木馬影響而不正常時,它就是木馬所在計算機的網卡物理地址。
也可以掃描本子網內的全部 IP 地址,然後再查 ARP 表。如果有一個 IP 對應的物理地址與網關的相同,那麼這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網卡物理地址。
3 .設置 ARP 表避免「 ARP 欺騙」木馬影響的方法
本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網關 IP 地址和網關物理地址,然後在 「命令提示符」窗口中輸入並執行以下命令: 字串1
arp –s 網關 IP 網關物理地址
4.態ARP綁定網關
步驟一:
在能正常上網時,進入MS-DOS窗口,輸入命令:arp -a,查看網關的IP對應的正確MAC地址, 並將其記錄下來。
注意:如果已經不能上網,則先運行一次命令arp -d將arp緩存中的內容刪空,計算機可暫時恢復上網(攻擊如果不停止的話)。一旦能上網就立即將網路斷掉(禁用網卡或拔掉網線),再運行arp -a。
步驟二:
如果計算機已經有網關的正確MAC地址,在不能上網只需手工將網關IP和正確的MAC地址綁定,即可確保計算機不再被欺騙攻擊。
要想手工綁定,可在MS-DOS窗口下運行以下命令:
arp -s 網關IP 網關MAC
例如:假設計算機所處網段的網關為192.168.1.1,本機地址為192.168.1.5,在計算機上運行arp -a後輸出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是網關192.168.1.1對應的MAC地址,類型是動態(dynamic)的,因此是可被改變的。 字串1
被攻擊後,再用該命令查看,就會發現該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器,徹底根除攻擊,可以在此時將該MAC記錄下來,為以後查找該攻擊的機器做准備。
手工綁定的命令為:
arp -s 192.168.1.1 00-01-02-03-04-05
綁定完,可再用arp -a查看arp緩存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
這時,類型變為靜態(static),就不會再受攻擊影響了。
但是,需要說明的是,手工綁定在計算機關機重啟後就會失效,需要再次重新綁定。所以,要徹底根除攻擊,只有找出網段內被病毒感染的計算機,把病毒殺掉,才算是真正解決問題。
5 .作批處理文件
在客戶端做對網關的arp綁定,具體操作步驟如下:
步驟一:
查找本網段的網關地址,比如192.168.1.1,以下以此網關為例。在正常上網時,「開始→運行→cmd→確定」,輸入:arp -a,點回車,查看網關對應的Physical Address。
比如:網關192.168.1.1 對應00-01-02-03-04-05。
步驟二:
編寫一個批處理文件rarp.bat,內容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存為:rarp.bat。
步驟三:
運行批處理文件將這個批處理文件拖到「Windows→開始→程序→啟動」中,如果需要立即生效,請運行此文件。
注意:以上配置需要在網路正常時進行
6.使用安全工具軟體
及時下載Anti ARP Sniffer軟體保護本地計算機正常運行。具體使用方法可以在網上搜索。
如果已有病毒計算機的MAC地址,可使用NBTSCAN等軟體找出網段內與該MAC地址對應的IP,即感染病毒的計算機的IP地址,然後報告單位的網路中心對其進行查封。
或者利用單位提供的集中網路防病毒系統來統一查殺木馬。另外還可以利用木馬殺客等安全工具進行查殺。
7.應急方案
網路管理管理人員利用上面介紹的ARP木馬檢測方法在區域網的交換機上查出受感染該病毒的埠後,立即關閉中病毒的埠,通過埠查出相應的用戶並通知其徹底查殺病毒。而後,做好單機防範,在其徹底查殺病毒後再開放相應的交換機埠,重新開通上網。
附錄一
清華大學校園網路安全響應小組編的一個小程序
下載地址: ftp://166.111.8.243/tools/ArpFix.rar
清華大學校園網路安全響應小組編了一個小程序,它可以保護您的計算機在同一個區域網內部有ARP欺騙木馬計算機的攻擊時,保持正常上網。具體使用方法:
1、 程序運行後請先選擇網卡,選定網卡後點擊「選定」按鈕。
2、 選定網卡後程序會自動獲取您機器的網關地址。
3、獲得網關地址後請點擊獲取MAC地址按鈕獲取正確的網關MAC地址。
4、 確認網關的MAC地址後請點擊連接保護,程序開始保護您的機器。
5、 點擊程序右上角的叉,程序自動隱藏到系統托盤內。
6、要完全退出程序請在系統托盤中該程序圖標上點擊右鍵選擇EXIT。
注意:
1、這個程序只是一個ARP攻擊保護程序,即受ARP木馬攻擊時保持自己計算機的MAC地址不被惡意篡改,從而在遭受攻擊時網路不會中斷。本程序並不能清除已經感染的ARP木馬,要預防感染或殺除木馬請您安裝正版的殺毒軟體!
附錄二
Anti Arp Sniffer 的用法
下載地址:http://www.wipe.e.cn/Files/wlzx/Antiarp.rar
雙擊Antiarp文件,出現圖二所示對話框。
圖二
輸入網關地址(網關地址獲取方式:[開始] -->[程序]--> [附件]菜單下調出「命令提示符」,輸入ipconfig,其中Default Gateway即為網關地址);點擊獲取網關MAC地址,點擊自動防護保證當前網卡與網關的通信不被第三方監聽。
點擊恢復默認,然後點擊防止地址沖突,如頻繁的出現IP地址沖突,這說明攻擊者頻繁發送ARP欺騙數據包。
右擊[我的電腦]-->[管理]-->點擊[事件查看器]-->點擊[系統]-->查看來源為[TcpIP]--->雙擊事件可以看到顯示地址發生沖突,並記錄了該MAC地址,請復制該MAC地址並填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉換為-),輸入完成之後點擊[防護地址沖突],為了使MAC地址生效請禁用本地網卡然後再啟用網卡,在CMD命令行中輸入Ipconfig /all,查看當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符,如果成功將不再會顯示地址沖突。
註:1、如果您想恢復默認MAC地址,請點擊[恢復默認],為了使MAC地址生效請禁用本地網卡然後再啟用網卡;本軟體不支持多網卡,部分網卡可能更改MAC會無效。
本文轉載自「可可電腦網」
補充:我的電腦是在學校的區域網。我知道是區域網內有人的機子中了ARP欺騙木馬(我可以確定不是我的機子,因為我已經把整個硬碟格式化重裝系統了)
我裝了ARP防火牆,能攔住ARP攻擊,但仍然會斷網,郁悶
我用了ARP專殺工具,也沒用,還綁定了MAC地址,也沒什麼效果
用一些禁止P2P的工具雖然也有效但容易引起區域網風暴 數據爆增 並且有人不停的拿P2P工具搗亂 你也是沒辦法的 建議你進入路由 把網內所有IP和MAC碼綁定 這樣P2P工具就沒辦法欺騙.要查到這個人也很簡單 在DOS下輸入 arp -a(或者-S,忘了) 查看除了路由外的IP 如果除了路由IP還有別的 那就是那個人了.
或者可以試著下載P2P終結者,用其中的網路剪刀手,查一下他的IP.
另外 你可以去下載 彩影安全護盾 可以保持你的機器和路由不會被欺騙,還可以安裝arp保護神和arp衛士
更多詳細信息請參考ARP欺騙病毒專題:http://net.csai.cn/zt/arp/index.htm
ARP防火牆 單機版4.1.1下載: http://www.fzpchome.com/Soft/serversoft/200706/339.html
『叄』 ping 無法訪問目標主機
一般有以下四種原因:
一、訪問目標所需的躍點數超過了發送方主機為轉發數據包而設置的 TTL(生存時間)。Ping 發送的 ICMP 回顯消息的默認 TTL 值是 128。如果這個值不足以將所需的鏈接數傳遞到目標,您可以通過使用 ping -i 來增大 TTL,最高可增至 255 個鏈接(最大值)。如果增大 TTL 值未能解決問題,則說明在路由循環(即路由器之間的循環路徑)中轉發數據包。使用 Tracert 來跟蹤路由循環(它在 Tracert 報告中顯示為一系列重復的相同 IP 地址)中的一組路由器。接下來,對路由循環中路由器的路由表進行相應的更改。
二、目標主機無法訪問
此消息表明存在以下兩個問題之一:本地系統沒有到所需目標的路由;或者,遠程路由器報告它沒有到目標的路由。
通過消息的形式可以區分這兩個問題:
1. 如果消息僅僅是「目標主機無法訪問」,則沒有自本地系統的路由,而且從未傳輸要發送的數據包。使用 Route 實用程序可以檢查本地路由表,以確定到目標的路由是錯誤的還是缺少該路由。
2. 如果消息是「應答來自 IP Address:目標主機無法訪問」,則路由問題出在遠程路由器(IP Address 表明了其地址)上。使用相應的工具來檢查被分配了 IP 地址 IP Address 的路由器的 IP 路由表。
如果您通過使用 IP 地址執行了 ping 操作,請使用主機名重試,以確保您所嘗試的 IP 地址是正確的。
三、請求超時
此消息指示在四秒的默認時間內沒有收到回顯回復消息。許多不同的原因可以引起此問題;最常見的原因包括網路堵塞、ARP 解析下一躍點 MAC 地址失敗、數據包篩選、路由錯誤或無提示放棄。通常,這意味著返回到發送方主機的路由已失敗。這可能是因為目標主機不知道返回到發送方主機的路由,或者,某一個中間路由器不知道返迴路由,甚至還可能是因為目標主機的默認網關不知道返迴路由。在檢查路由器的路由表之前,檢查目標主機的路由表以確定它是否具有到發送方主機的路由。
如果遠程路由表是正確的,而且包含返回到發送方主機的有效路由,請通過使用 arp -a 命令輸出 ARP 緩存的內容來確定 ARP 緩存是否缺少正確的地址。此外,請檢查子網掩碼以確保沒有將遠程地址解釋為本地地址。
接下來,使用 Tracert 確定到目標的路徑。雖然 Tracert 不記錄回顯回復消息在其返迴路徑上經由的路徑,但是它可能顯示數據包使其到達目標。如果是這樣,則問題很可能是返迴路徑上的路由問題。如果跟蹤離目標相當遠,則可能是因為目標主機受防火牆保護。當防火牆保護目標時,ICMP 數據包篩選會防止 ping 數據包(或任何其他 ICMP 消息)穿過防火牆並到達其目標。
要檢查網路是否堵塞,只需通過使用 ping -w 命令設置更長的等待時間(例如 5,000 毫秒)來增大允許的滯後時間。請再次嘗試 ping 目標。如果請求仍然超時,則問題不是出在網路堵塞上。
PS:「destination host unreachable」和 「time out」的區別,如果所經過的路由器的路由表中具有到達目標的路由,而目標因為其他原因不可到達,這時候會出現「time out」,如果路由表中連到達目標的路由都沒有,那就會出現「destination host unreachable」。
『肆』 聯想m7206列印機顯示內存已滿
如出現聯想m7206列印機顯示內存已滿的情況,建議通過以下方式進行處理:
1、 關閉列印機電源、拔掉電源線,再拆卸所有電纜(如果有加裝雙面列印配件,就必須先拆掉後機座和電纜盒);
2、 從列印機背部扳開右側的蓋板;
3、 此時就可以看到在列印機內部的電路板上,預留一個列印內存擴展槽位;
4、 從防靜電包裝中取出DIMM內存;
5、 將DIMM內存稍微用點力,平直地推入DIMM內存插槽槽,並確定DIMM內存插槽兩端的固定鎖向內鎖住;
6、 將蓋板推回到列印機上;
7、 最後裝回所有介面電纜和電源線,然後打開電源測試。
『伍』 為什麼PS總是提示「不能完成請求,因為暫存檔已滿」解決方法
解決方法如下:
在使用PS過程中,有時會出現「不能完成請求,因為暫存檔已滿」的程序錯誤,造成這種錯誤的主要原因是由於PS緩存過小,加之不能及時清除PS產生的臨時信息緩沖,導致PS的緩存用完,從而產生此類錯誤信息,對此,可採用以下的解決方法。
1、設置暫存檔。打開PS,依次點擊「編輯」→「預設」→「特效工具與暫存檔」。
2、在打開的「預設」對話框中,將第二、第三和第四暫存檔分別設置為「D:」、「E:」和「F:」(如果本機存在多個盤符的情況下) 。最後點擊「好」按鈕保存設置。
3、在使用PS過程中經常性的清除緩存數據。依次點擊「編輯」→「清除」→「全部」,將PS緩存清理掉。
4、增大圖像緩存。點擊「編輯」→「預設」→「內存與圖像高速緩存」,在打開的「預設」對話框中將PS使用內存數量適當設置大一些。
5、增加Windows虛擬內存容量,建議設置為實現物理內存的1~2倍。右擊「我的電腦」,在彈出的右鍵菜單中選擇「屬性」,在打開的「屬性」窗口中點擊「高級系統設置」。
6、切換到「高級」選項卡, 在「性能」欄目中點擊「設置」按鈕。
7、在彈出的「性能選項」對話框中,切換到「高級」選項卡,在「處理器計劃」欄目中選擇「程序」,然後點擊「虛擬內存」欄目中的「設置」按鈕。
8、在打開的「虛擬內存」對話框中選擇一個容量最大的盤符(如小編電腦上F盤容量最大),勾選「自定義大小」,然後根據實際物理內存的大小進行適當的設置,數值輸入完成後,點擊「設置」進行保存。
9、最後根據系統提示,重啟一下電腦。然後再次打開PS,就會發現不會再彈出錯誤的提示框啦。
『陸』 電腦內存滿了,已經卸載了很多東西為什麼還說滿
在Windows操作系統在C盤空間不足的情況下,我們可以通過那些具體手段來增加C盤空間呢?
1.打開「我的電腦」-「工具」-「文件夾選項」-「查看」-在「顯示所有文件和文件夾」選項前打勾-「確定」
2.刪除以下文件夾中的內容:
x:\Documents and Settings\用戶名\Cookies\下的所有文件(保留index文件)
x:\Documents and Settings\用戶名\Local Settings\Temp\下的所有文件(用戶臨時文件)
x:\Documents and Settings\用戶名\LocalSettings\TemporaryInternet Files\下的所有文件(頁面文件)
x:\Documents and Settings\用戶名\Local Settings\History\下的所有文件(歷史紀錄)
x:\Documents and Settings\用戶名\Recent\下的所有文件(最近瀏覽文件的快捷方式)
x:\WINDOWS\Temp\下的所有文件(臨時文件)
x:\WINDOWS\ServicePackFiles(升級sp1或sp2後的備份文件)
x:\WINDOWS\Driver Cache\i386下的壓縮文件(驅動程序的備份文件)
x:\WINDOWS\SoftwareDistribution\download下的所有文件
3.如果對系統進行過windoes updade升級,則刪除以下文件:
x:\windows\下以 $u... 開頭的隱藏文件
4.然後對磁碟進行碎片整理,整理過程中請退出一切正在運行的程序
5.碎片整理後打開「開始」-「程序」-「附件」-「系統工具」-「系統還原」-「創建一個還原點」(最好以當時的日期作為還原點的名字)
6.打開「我的電腦」-右鍵點系統盤-「屬性」-「磁碟清理」-「其他選項」-單擊系統還原一欄里的「清理」-選擇「是」-ok了
7、在各種軟硬體安裝妥當之後,其實XP需要更新文件的時候就很少了。刪除系統備份文件吧:開始→運行→sfc.exe /purgecache近3xxM。(該命令的作用是立即清除"Windows 文件保護"文件高速緩存,釋放出其所佔據的空間)
8、刪掉\windows\system32\dllcache下dll檔(減去200——300mb),這是備用的dll檔, 只要你已拷貝了安裝文件,完全可以這樣做。
9、XP會自動備份硬體的驅動程序,但在硬體的驅動安裝正確後,一般變動硬體的可能性不大,所以也可以考慮將這個備份刪除,文件位於\windows\driver cache\i386目錄下,名稱為driver.cab,你直接將它刪除就可以了,通常這個文件是74M。
10、刪除不用的輸入法:對很多網友來說,Windows XPt系統自帶的輸入法並不全部都合適自己的使用,比如IMJP8_1 日文輸入法、IMKR6_1 韓文輸入法這些輸入法,如果用不著,我們可以將其刪除。輸入法位於\windows\ime\文件夾中,全部佔用了88M的空間。
11、升級完成發現windows\多了許多類似$NtUninstallQ311889$這些目錄,都幹掉吧,1x-3xM
12、另外,保留著\windows\help目錄下的東西對我來說是一種傷害,呵呵。。。都幹掉!
13、關閉系統還原:系統還原功能使用的時間一長,就會佔用大量的硬碟空間。因此有必要對其進行手工設置,以減少硬碟佔用量。打開"系統屬性"對話框,選擇"系統還原"選項,選擇"在所有驅動器上關閉系統還原"復選框以關閉系統還原。也可僅對系統所在的磁碟或分區設置還原。先選擇系統所在的分區,單擊"配置"按鈕,在彈出的對話框中取消"關閉這個驅動器的系統還原"選項,並可設置用於系統還原的磁碟空間大小。
14、休眠功能會佔用不少的硬碟空間,如果使用得少不妨將共關閉,關閉的方法是的:打開"控制面板",雙擊"電源選項",在彈出的"電源選項屬性"對話框中選擇"休眠"選項卡,取消"啟用休眠"復選框。
15、卸載不常用組件:XP默認給操作系統安裝了一些系統組件,而這些組件有很大一部分是你根本不可能用到的,可以在"添加/刪除Windows組件"中將它們卸載。但其中有一些組件XP默認是隱藏的,在"添加/刪除Windows 組件"中找不到它們,這時可以這樣操作:用記事本打開\windows\inf\sysoc.inf這個文件,用查找/替換功能把文件中的"hide"字元全部替換為空。這樣,就把所有組件的隱藏屬性都去掉了,存檔退出後再運行"添加-刪除程序",就會看見多出不少你原來看不見的選項,把其中那些你用不到的組件刪掉(記住存檔的時候要保存為sysoc.inf,而不是默認的sysoc.txt),如Internat信使服務、傳真服務、Windows messenger,碼表等,大約可騰出近50MB的空間。
16、清除系統臨時文件:系統的臨時文件一般存放在兩個位置中:一個Windows安裝目錄下的Temp文件夾;另一個是x:\Documents and Settings\"用戶名"\Local Settings\Temp文件夾(Y:是系統所在的分區)。這兩個位置的文件均可以直接刪除。
17、清除Internet臨時文件:定期刪除上網時產生的大量Internet臨時文件,將節省大量的硬碟空間。打開IE瀏覽器,從"工具"菜單中選擇"Internet選項",在彈出的對話框中選擇"常規"選項卡,在"Internet臨時文件"欄中單擊"刪除文件"按鈕,並在彈出"刪除文件"對話框,選中"刪除所有離線內容"復選框,單擊"確定"按鈕。
18、清除預讀文件:Windows XP的預讀設置雖然可以提高系統速度,但是使用一段時間後,預讀文件夾里的文件數量會變得相當龐大,導致系統搜索花費的時間變長。而且有些應用程序會產生死鏈接文件,更加重了系統搜索的負擔。所以,應該定期刪除這些預讀文件。預計文件存放在Windows XP系統文件夾的Prefetch文件夾中,該文件夾下的所有文件均可刪除。
19、壓縮NTFS驅動器、文件或文件夾:如果你的硬碟採用的是NTFS文件系統,空間實在緊張,還可以考慮啟用NTFS的壓縮功能。右擊要壓縮的驅動器-"屬性"-"常規"-"壓縮磁碟以節省磁碟空間",然後單擊"確定", 在"確認屬性更改"中選擇需要的選項。這樣可以節省約20% 的硬碟空間。在壓縮C盤的時候,最好在安全模式下壓縮,這樣效果要好一些。
20、關閉華醫生Dr.Watson:要關閉Dr.Watson可打開注冊表編輯器,找到"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AeDebug"分支,雙擊其下的Auto鍵值名稱,將其"數值數據"改為0,最後按F5刷新使設置生效,這樣就取消它的運行了。也在"開始"->"運行"中輸入"drwtsn32"命令,或者"開始"->"程序"->"附件"->"系統工具"->"系統信息"->"工具"->"Dr Watson",調出系統里的華醫生Dr.Watson ,只保留"轉儲全部線程上下文"選項,否則一旦程序出錯,硬碟會讀很久,並佔用大量空間。如以前有此情況,請查找user.dmp文件,刪除後可節省幾十MB空間。
21、關閉遠程桌面:"我的電腦"->"屬性"->"遠程","遠程桌面"里的"允許用戶遠程連接到這台計算機"勾去掉。
22、取消XP對ZIP支持:Windows XP在默認情況下打開了對zip文件支持,這要佔用一定的系統資源,可選擇"開始→運行",在"運行"對話框中鍵入"regsvr32 /u zipfldr.dll",回車確認即可取消XP對ZIP解壓縮的支持,從而節省系統資源。
23、關閉錯誤報告:當應用程序出錯時,會彈出發送錯誤報告的窗口,其實這樣的錯誤報告對普通用戶而言幾乎沒有任何意義,關閉它是明智的選擇。在"系統屬性"對話框中選擇"高級"選項卡,單擊"錯誤報告"按鈕,在彈出的"錯誤匯報"對話框中,選擇"禁用錯誤匯報"單選項,最後單擊"確定"即可。另外我們也可以從組策略中關閉錯誤報告:從"運行"中鍵入"gpedit.msc",運行"組策略編輯器",展開"計算機配置→管理模板→系統→錯誤報告功能",雙擊右邊設置欄中的"報告錯誤",在彈出的"屬性"對話框中選擇"已禁用"單選框即可將"報告錯誤"禁用。
24、關掉不用的設備:Windows XP總是盡可能為電腦的所有設備安裝驅動程序並進行管理,這不僅會減慢系統啟動的速度,同時也造成了系統資源的大量佔用。針對這一情況,你可在 設備管理器中,將PCMCIA卡、數據機、紅外線設備、列印機埠(LPT1)或者串口(COM1)等不常用的設備停用,方法是雙擊要停用的設備,在其屬性對話框中 的"常規"選項卡中選擇"不要使用這個設備(停用)"。在重新啟動設置即可生效,當需要使用這些設備時再從設備管理器中啟用它們。
25、定期清理系統還原點:打開磁碟清理,選擇其他選項->清理系統還原點,點擊清理。
26、卸載不需要的程序,這個就不用我多說了
27、其它優化:
a 將應用軟體裝在其它硬碟(不要安裝在系統盤下,這對重裝系統也有好處);
b 將"我的文檔"文件夾都轉到其他分區:在桌面的"我的文檔"圖標上是右擊滑鼠,選擇"屬性"->"移動" ;
c 將IE臨時文件夾都轉到其他分區:打開IE瀏覽器,選擇"工具"->"internet選項"->"常規"->"設置"->"移動文件夾";
d 把虛擬內存也轉到其它硬碟;
e 把pagefile.sys文件都指向一個地方:控制面板→系統→性能—高級→虛擬內存→更改,注意要點"設置"才會生效;
f 在桌面的"我的電腦"圖標上是右擊滑鼠,選擇"屬性"->"高級-性能設置"->"高級-虛擬內存",調至330-720。而且定時清理。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Windows如何釋放C盤空間
現在的軟體大部分採用標準的Windows安裝模式,用戶只需雙擊Setup.exe文件即可輕松安裝。不過,這樣的安裝方式也有一個弊病:很多程序在默認情況下都會安裝到操作系統所在分區(絕大多數用戶選擇了C盤),因此過一段時間後,C盤的可用空間必然越來越小。也許在不知不覺中,你發現C盤只有幾百兆甚至只有幾十兆了!重新對硬碟進行分區和格式化固然可以,但操作起來太麻煩,而且會有諸多限制。大多數用戶所希望的,應該是在保持原有系統和數據不被損壞的情況下,「消滅」磁碟空間不足的現象。在本文中,我們就一起來探討一下磁碟空間釋放的原則、方法與技巧。
要在裝滿數據的系統分區釋放空間,最可行的方法當然是轉移數據了。不過在轉移數據之前,我們應該清楚系統分區里到底裝了些什麼,這些數據哪些是可以移動的,哪些是不可以移動的。因為貿然移動數據或文件,很可能會引起程序找不到路徑或缺少必要的動態鏈接、資料庫文件而出現非法操作。
一般來說,可移動的數據都是Windows或應用程序自身已經提供的選項——如Windows可以讓你設置虛擬內存的保存位置、IE可讓你設置緩存文件的保存位置,有些系統文件夾的路徑設置隱藏在注冊表裡,需要手工修改或通過工具來改變。還有就是文檔、郵件這些由應用程序產生的文件,一般都可移動。不可移動的文件相對要復雜一些,NTFS分區、用Windows自帶壓縮功能壓縮過的文件分區通常有大量不可移動的數據,對這些分區的操作要十分謹慎小心。
轉移可移動數據 為系統騰出空間
1. 把握轉移數據的原則
盡量移動單個的、大容量的數據,這樣騰出空間的效果顯著,萬一出錯也容易查找原因。如果你移動的是包含眾多子目錄和多個文件的數據,不僅效果不明顯,出了問題也不容易查找到底是移動哪些文件引起的。
2. 移動文件跟我來
(1)移動虛擬內存
在系統分區中,最大的可移動文件就是虛擬內存,它通常是系統物理內存的1.5倍。如果你是Windows 98/Me的用戶,可以在系統選項中直接改變虛擬內存的設置。有關虛擬內存的設置方法相信各位大蝦、小蝦早已學會,在此不再多說。需要注意的是:修改系統虛擬內存後,一定要重新啟動計算機修改才能生效;在Windows 2000/XP中,系統允許多個分區同時存在虛擬內存,因此,改變虛擬內存位置後,一定要選擇虛擬內存原來所在的分區,再選擇「無分頁文件」單選按鈕,最後單擊「設置」按鈕。
(2)關閉休眠文件
系統分區中的第二個大文件就是休眠文件。在默認狀態下,休眠文件是放在Windows安裝分區的,沒有更改路徑的選項。用戶只能先禁止休眠功能,操作方法是:打開「控制面板」,然後雙擊「電源選項」圖標,再選中「休眠」選項卡,清空「啟用休眠」選項前的復選框,然後單擊「確定」按鈕退出即可,Windows會自動刪除這個文件。當然,如果以後你需要啟用休眠功能,只需在此頁面中選中「啟用休眠」選項前的復選框即可。
(3)轉移臨時文件
系統分區中第三大類文件是Windows及IE的臨時文件。包括下載和瀏覽需要的緩沖區、列印任務生成的臨時文件或者系統備份等等。我們可以在IE選項里移動IE臨時文件夾,方法是:打開IE後,單擊「工具」菜單下的「Internet選項」命令,再單擊「常規」選項卡下的「設置」按鈕,然後在打開的如圖1所示的對話框中,單擊「移動文件夾」按鈕,在打開的「瀏覽」對話框中指定其他分區上事先建好的新文件夾即可。
接下來設置系統臨時文件夾的存放路徑。Windows 98用戶如果將系統安裝在C盤,那麼臨時文件默認存放在C:\TEMP目錄下,我們可以將AUTOEXEC.BAT文件中的「set temp=C:\temp」改成「set temp=D:\temp」(其中D:\temp可以是硬碟分區上已存在的任意文件夾),這樣就可以設置臨時文件在D盤了。Windows 2000/XP用戶可以打開「系統屬性」、「高級」選項卡,再單擊「環境變數」按鈕,打開如圖2所示的界面,先在「系統變數」窗口中用滑鼠單擊選中需要修改路徑的變數(在本例中為「TEMP」和「TMP」兩個變數),然後再單擊對話框中部的「編輯」按鈕(注意:單擊該對話框上方窗口下面的「編輯」按鈕,可以更改當前用戶的變數保存位置,單擊該對話框下方窗口下面的「編輯」按鈕,可以修改所有使用該操作系統的用戶的變數的保存位置)。設置完畢後單擊「確定」按鈕退出即可。
3. 移動程序跟我來
(1)在Windows XP下移動程序
如果你是Windows XP的用戶,那麼移動程序是相當簡單的事:單擊「開始」、「所有程序」、「附件」、「系統工具」下的「文件轉移和設置向導」命令,可以打開「文件轉換和設置向導」。有關該向導的使用方法,大家可以在桌面上按下F1鍵,打開Windows XP的「幫助與支持」中心,在「搜索」後面鍵入「文件轉換和設置向導」進行搜索即可。
(2)藉助PartitionMagic移動程序
Windows 98用戶完整安裝PartitionMagic後,利用它的MagicMover工具可以非常方便地移動程序。單擊「開始」、「程序」、「PowerQuest PartitionMagic」下的「MagicMover」命令打開MagicMover主界面,然後瀏覽列表框中的驅動器和文件夾,選擇你想移動的應用程序。MagicMover會自動掃描所有的驅動器,自動分析你的選擇,掃描完畢後,在「Select the destination folder」框中指明要把應用程序移動到哪裡放置,確定新路徑後按提示移動即可。在移動過程中,MagicMover會自動更新注冊表,自動完成相關鏈接。移動完成後,MagicMover 將顯示已執行的操作匯總信息,包括應用程序的名稱和被移動文件的大小等等。
(3)使用諾頓工具包的卸載及恢復功能
諾頓工具包(Norton Utilities)是大家都非常喜愛的系統工具,我們可以使用它的CleanSweep工具來巧妙實現應用程序的轉移,不需要再重新安裝程序,當然應用程序的個性化設置也會保留。
在CleanSweep中選擇「CleanUp」,單擊「Uninstall Wizard」先進行卸載程序的操作。如圖3所示,在程序列表中選擇要卸載的程序,選中後單擊「Next」按鈕,此時程序會讓你指定備份文件存放位置,默認是存放在Norton CleanSweep文件夾下的子文件夾「Backup」中。單擊「下一步」按鈕,CleanSweep會詢問你是否要確認每一個要刪除的項目,一般選擇「NO」,單擊「Next」按鈕,在下一個窗口中單擊「Finish」按鈕開始進行程序的卸載及備份。
程序卸載完畢後,我們就可以利用它的恢復功能來轉移程序了:在CleanSweep主界面中單擊「Programs」按鈕,選擇「Restore Wizard」,程序會詢問你是否希望恢復最後一次卸載的程序,選中「Yes」後單擊「Next」,默認值為恢復剛刪除的所有文件,單擊「Next」按程序會提示用戶如果有相同文件是否要覆蓋,接受默認選項即可。接下來的一步比較關鍵:程序會詢問用戶是否將程序恢復到原來的位置。由於我們的目的就是移動應用程序,因此在如圖4所示的界面中應該選擇「No,let me Select the location」(不,讓我自己選擇位置)。
單擊「Next」後,就可以在打開的對話框中選擇程序恢復後的目標路徑了!
然後依次單擊「Next」按鈕,直至窗口中出現「Finish」按鈕,單擊該按鈕後即開始了程序的恢復,恢復完成後再按提示刪除程序的備份即可。至此,你選中的程序就被移動到了新的位置。
特別提示:推而廣之,這種方法可用作往另一台電腦上移植一個程序:在「Back Wizard」的時候,將備份放到目標電腦上,在目標電腦裝上CleanSweep後用「Restore Wizard」功能,按剛才介紹的方法恢復這個備份即可。注意目標分區中如果有同名的文件夾存在,應該改名後再進行恢復,否則原文件夾下的內容會被覆蓋。
清除文件 調整分區
如果用戶在移動了數據後磁碟空間依然不足,還有清除文件和調整分區最後兩招。不過,這兩種方法都有一定的危險性,建議用戶最好不要採用。
如果一定要採用清除文件的方法,建議採用「Windows優化大師」等優化軟體來實現,注意在清除文件之前,一定要進行備份;如果想通過調整硬碟分區的方法來解決系統分區磁碟空間緊張的問題,建議使用「硬碟分區魔法師」來進行,不過它也存在與中文長文件名兼容性不太好、中途死機或調整後無法訪問目錄等情況,因此在使用之前一定要備份好數據和硬碟分區表。
為大家介紹了這么多移動數據的操作,雖然從理論上說工具軟體會自動為我們完成,但我們也應該考慮到萬一出錯的補救。最好的辦法當然是備份注冊表、復制一份程序副本到其他分區,這樣一旦出錯可以直接將程序復制到原路徑,再恢復注冊表即可。
不過,最完美的辦法是預先規劃好硬碟的分區。如果硬碟空間充裕,安裝Windows 98/Me時C盤應預留2GB空間;安裝Windows 2000時C盤應預留4~5GB空間;安裝Windows XP時C盤應預留6~7GB空間。一旦確定了分區方案後,應該及時備份硬碟分區表,盡量不要再做改變分區的操
『柒』 金山T盤 目標驅動器已滿 是怎麼回事
很正常的、
出現這個問題的原因很多,給你提供點線索,供參考。
1、將BIOS設置為默認值。
2、檢查所有連接,給主機除塵。
3、檢查散熱。
4、測試內存是否存在問題,清理插槽,再插緊。
5、重新設置虛擬內存,將虛擬內存設置在空間比較大的C盤以外的分區中。
6、如果在上網時遇到這個藍屏, 而你恰恰又在進行大量的數據下載和上傳(比如:網路游戲、BT下載), 那麼應該是網卡驅動的問題,更換網卡驅動或換個網卡。
7、檢查最新安裝或升級的驅動程序,如果藍屏中出現"acpi.sys"等類似文件名, 可以非常肯定時驅動程序問題,將這個驅動卸載,重新安裝適宜的驅動程序 。
8、更換顯卡、音效卡驅動程序
9、卸載、更換機子中的懷疑有問題的軟體,特別是殺軟體。更換游戲軟體版本。
10、也有可能是由於硬體或其驅動程序和Windows 的電源管理不兼容。
(1)在「控制面板/電源選項」中如果有APM(高級電源管理)方面的設置,關閉APM功能。同時在「休眠」中禁用休眠功能。
(2)在BIOS中把電源管理選項「ACPI Suspend Type」設置為S1(有些機器顯示為STR)或直接關閉ACPI選項。
11、重裝系統。
電腦藍屏代碼大全
Windows藍屏代碼含意速查表
0 0x0000 作業完成。
1 0x0001 不正確的函數。
2 0x0002 系統找不到指定的檔案。
3 0x0003 系統找不到指定的路徑。
4 0x0004 系統無法開啟檔案。
5 0x0005 拒絕存取。
6 0x0006 無效的代碼。
7 0x0007 儲存體控制區塊已毀。
8 0x0008 儲存體空間不足,無法處理這個指令。
9 0x0009 儲存體控制區塊地址無效。
10 0x000A 環境不正確。
11 0x000B 嘗試載入一個格式錯誤的程序。
12 0x000C 存取碼錯誤。
13 0x000D 資料錯誤。
14 0x000E 儲存體空間不夠,無法完成這項作業。
15 0x000F 系統找不到指定的磁碟驅動器。
16 0x0010 無法移除目錄。
16 0x0010 無法移除目錄。
17 0x0011 系統無法將檔案移到 其它的磁碟驅動器。
18 0x0012 沒有任何檔案。
19 0x0013 儲存媒體為防寫狀態。
20 0x0014 系統找不到指定的裝置。
21 0x0015 裝置尚未就緒。
22 0x0016 裝置無法識別指令。
23 0x0017 資料錯誤 (cyclic rendancy check)
24 0x0018 程序發出一個長度錯誤的指令。
25 0x0019 磁碟驅動器在磁碟找不到 持定的扇區或磁軌。
26 0x001A 指定的磁碟或磁碟無法存取。
27 0x001B 磁碟驅動器找不到要求的扇區。
28 0x001C 列印機沒有紙。
29 0x001D 系統無法將資料寫入指定的磁碟驅動器。
30 0x001E 系統無法讀取指定的裝置。
31 0x001F 連接到系統的某個裝置沒有作用。
32 0x0020 The process cannot access the file because it is being
used by another process.
33 0x0021 檔案的一部份被鎖定, 現在無法存取。
34 0x0022 磁碟驅動器的磁碟不正確。 請將 %2 (Volume Serial
Number: %3) 插入磁碟機%1。
36 0x0024 開啟的分享檔案數量太多。
38 0x0026 到達檔案結尾。
39 0x0027 磁碟已滿。
50 0x0032 不支持這種網路要求。
51 0x0033 遠程計算機無法使用。
52 0x0034 網路名稱重復。
53 0x0035 網路路徑找不到。
54 0x0036 網路忙碌中。
55 0x0037 The specified network resource or device is no longer
available.
56 0x0038 The network BIOS command limit has been reached. 57
0x0039 網路配接卡發生問題。
58 0x003A 指定的伺服器無法執行要求的作業。
59 0x003B 網路發生意外錯誤。
60 0x003C 遠程配接卡不兼容。
61 0x003D 列印機隊列已滿。
62 0x003E 伺服器的空間無法儲存等候列印的檔案。
63 0x003F 等候列印的檔案已經刪除。
64 0x0040 指定的網路名稱無法使用。
65 0x0041 拒絕存取網路。
65 0x0041 拒絕存取網路。
66 0x0042 網路資源類型錯誤。
67 0x0043 網路名稱找不到。
68 0x0044 超過區域計算機網路配接卡的名稱限制。
69 0x0045 超過網路 BIOS 作業階段的限制。
70 0x0046 遠程伺服器已經暫停或者正在起始中。
71 0x0047 由於聯機數目已達上限,此時無法再聯機到這台遠程計算機。
72 0x0048 指定的列印機或磁碟裝置已經暫停作用。
80 0x0050 檔案已經存在。
82 0x0052 無法建立目錄或檔案。
83 0x0053 INT 2484 0x0054 處理這項要求的儲存體無法使用。
85 0x0055 近端裝置名稱已經在使用中。
86 0x0056 指定的網路密碼錯誤。
87 0x0057 參數錯誤。
88 0x0058 網路發生資料寫入錯誤。
89 0x0059 此時系統無法執行其它行程。
100 0x0064 無法建立其它的系統 semaphore。 101 0x0065 屬於其它行
程專用的 semaphore.
102 0x0066 semaphore 已經設定,而且無法關閉。
103 0x0067 無法指定 semaphore 。
104 0x0068 在岔斷時間無法要求專用的 semaphore 。
104 0x0068 在岔斷時間無法要求專用的 semaphore 。
105 0x0069 此 semaphore 先前的擁有權已經結束。
106 0x006A 請將磁碟插入 %1。
107 0x006B 因為代用的磁碟尚未插入,所以程序已經停止。
108 0x006C 磁碟正在使用中或被鎖定。
109 0x006D Pipe 已經中止。
110 0x006E 系統無法開啟指定的 裝置或檔案。
111 0x006F 檔名太長。
112 0x0070 磁碟空間不足。
113 0x0071 沒有可用的內部檔案標識符。
114 0x0072 目標內部檔案標識符不正確。
117 0x0075 由應用程序所執行的 IOCTL 呼叫 不正確。
118 0x0076 寫入驗證參數值不正確。
119 0x0077 系統不支持所要求的指令。
120 0x0078 此項功能僅在 Win32 模式有效。
121 0x0079 semaphore 超過逾世
『捌』 這個藍屏是什麼意思
藍屏死機(Blue Screen of Death,縮寫為:BSoD),指的是微軟Windows操作系統在無法從一個系統錯誤中恢復過來時所顯示的屏幕圖像。
◆錯誤分析:通常是由有問題的驅動程序引起的(比如羅技滑鼠的Logitech MouseWare 9.10和9.24版驅動程序會引發這個故障). 同時,有缺陷的內存、 損壞的虛擬內存文件、 某些軟體(比如多媒體軟體、殺毒軟體、備份軟體、DVD播放軟體)等也會導致這個錯誤.
◇解決方案:檢查最新安裝或升級的驅動程序(如果藍屏中出現"acpi.sys"等類似文件名, 可以非常肯定是驅動程序問題)和軟體; 測試內存是否存在問題; 進入"故障恢復控制台", 轉到虛擬內存頁面文件Pagefile.sys所在分區, 執行"del pagefile.sys"命令, 將頁面文件刪除; 然後在頁面文件所在分區執行"chkdsk /r"命令;進入Windows後重新設置虛擬內存.如果在上網時遇到這個藍屏, 而你恰恰又在進行大量的數據下載和上傳(比如:網路游戲、BT下載), 那麼應該是網卡驅動的問題, 需要升級其驅動程序.WinDbg是免費軟體,其微軟官方下載地址參考擴展閱讀,具體項目為Install Debugging Tools for Windows 32/64-bit Version。
使用WinDbg分析崩潰時的內存轉儲文件的前提是您要讓系統在崩潰時自動生成一個內存轉儲文件,做法如下:
1、單擊開始,然後單擊運行。
2、鍵入 control sysdm.cpl
復制代碼
,然後單擊確定。您將會打開系統屬性,請切換到高級選項卡。結果如下圖所示:
3、在高級選項卡上,在啟動和故障恢復部分中單擊設置。這將打開啟動和故障恢復對話框,如下圖所示:
4、在寫入調試信息列表中,選擇「小內存轉儲(64 KB)」或「核心內存轉儲」,這樣系統在崩潰時將會自動生成對應的內存轉儲文件。如果您不想讓藍屏只閃爍一下,而是想看清楚它直到您手動重新啟動計算機,請清除系統失敗部分中自動重新啟動(R)項目前的復選框。然後單擊確定。
5、在啟動和故障恢復對話框中,單擊確定。
6、單擊確定關閉系統屬性對話框。
7、在系統設置更改對話框中,如果要立即重新啟動計算機,則單擊是;如果要稍後重新啟動計算機,則單擊否。
註:?
Vista用戶請類似操作。? 對於原版操作系統,以上設置是默認的(除了禁止自動重新啟動)。? 對於第4點中的寫入調試信息列表內容,現給出以下參照釋義:
(以上三種轉儲文件的大小依次增大,關於三者的比較不在本文討論范圍之內,筆者僅推薦設置為「小內存轉儲」或者「核心內存轉儲」,一般性錯誤「小內存轉儲」就足夠了,如不能完好分析請選擇「核心內存轉儲」。為了數據的豐富性,您也可以直接選擇「核心內存轉儲」,但筆者強烈不推薦完全內存轉儲。)
值得注意的是,為了確保崩潰時自動生成內存轉儲文件,您可能還須啟用虛擬內存頁面文件。特別地,當您選擇記錄核心內存轉儲時,您必須啟用虛擬內存頁面文件,而且由於核心內存轉儲文件的大小取決於該機器上操作系統和所有活動驅動程序已經分配的內核模式內存的數量,因此沒有很好的辦法來預測內核內存轉儲的大小。下表僅給出該情況下的參考虛擬內存大小設置值:
另外,除了頁面文件佔用的磁碟空間,內存轉儲文件(*.DMP)的生成位置所在的磁碟還要有足夠的空閑空間來提取這個轉儲文件,否則一樣會「生成不了」(實際上是丟失了)。
設置好這些之後,一旦您的系統發生藍屏崩潰,系統就會在以上設置中選中的相應內存轉儲文件類型下對應的目錄處生成轉儲文件。您所要做的就是立刻拿出利器——啟動WinDbg進行分析。
筆者在此將結合一個實例進行詳細說明,過程中包含了WinDbg調試藍屏用到的一些命令,這些命令將不再額外整理,請於閱讀過程中注意識記。
首先,您要配置WinDbg將要使用的調試符號文件(Symbol File)的位置。什麼是調試符號文件呢?符號文件隨DLL文件或者EXE文件建立時產生,提供包含在可執行文件和動態鏈接庫 (DLL) 中的函數的佔位空間。此外,符號文件還可以表示達到失敗點的函數調用路線圖。當我們使用各種Microsoft工具調試應用程序時,必須擁有符號信息,這樣才能正確分析出問題根源。那我們該如何設置調試符號文件的位置呢?我們既可以從微軟官網下載完整的符號文件包(同位於WinDbg下載頁面),也可以使用微軟的符號文件伺服器(Microsoft Symbol Server)。筆者推薦後者,因為一次分析所要用到的符號文件局限於有限的幾個而已,使用後者可以讓程序自動下載,既節省時間,又可以確保符號文件是最新的並且是正確的。在WinDbg中點擊「File」菜單,選擇「Symbol File Path …」,在打開的對話框中輸入
復制代碼
後點擊「OK」按鈕即可。當然,還有一步就是再次點擊「File」菜單,選擇「Save Workspace」來保存當前的設置。
設置了符號文件之後,您就可以進行內存轉儲文件的分析了。同樣點擊「File」菜單,這次要選擇「Open Crash Dump …」,然後通過文件打開對話框打開生成的待分析的內存轉儲文件。本例中設置的是核心內存轉儲類型,於是應該定位至「%SystemRoot%」(即系統盤Windows文件夾下),打開MEMORY.DMP文件。但是筆者已經事先將其轉移至「E:\Memory Dump\MEMORY.DMP」,因此在後續的圖片中,您看到的是這個地址。此時WinDbg會滾動顯示一些信息並且會稍有掛起的感覺,直到從微軟符號文件伺服器下載完分析這個崩潰文件所需要的所有符號文件。
在上圖中,我們看到就是這個打開的調試器命令窗口(Debugger Command Window)(已經將符號文件載入完畢,待命),我們先看看位於底部的區域6,這個小的長方條就是WinDbg的命令輸入處(Command Entry),它又分為兩個區域,左邊顯示「0: kd>」的是提示區,右邊空白區是命令輸入區。當剛打開這個窗口而符號文件尚未下載/載入完畢時,提示區域會什麼都不顯示,而命令輸入區域將顯示「Debuggee not connected」。直到符號載入完畢,窗口中顯示出最後一行「Followup: MachineOwner」才會變為空閑狀態。在空閑狀態時,它將顯示為與上圖中類似的模樣。為什麼說類似呢?因為這個空閑待命提示根據調試類型、計算機處理器硬體配置不同,比如此例中,進行的是內核調試,於是顯示「kd>」(kernel debug),系統為多(核)處理器,因此在「kd>」之前還顯示一個「0:」,表明當前位於編號為0的處理器。在執行了某個命令之後,如果命令需要處理的任務較多(如「!analyze -v」),提示區域將顯示為忙碌狀態的「*BUSY*」,一旦顯示為這個狀態,您不論輸入什麼命令都不會立即執行,而是等待變為空閑狀態時延緩執行。
如上圖所示,圖中區域1處將顯示打開的這個內存轉儲文件的物理路經;區域2處顯示的則是當前載入的符號文件的位置,本例中表明是從微軟伺服器下載;區域3共有三行,顯示的為系統信息,第一行表明了系統為Windows XP,內核版本為2600(SP3),多處理器(2顆),32位,第二行表明了系統類型為NT系統,客戶端系統,第三行表明系統的詳細版本標識;區域4共兩行,第一行表明該內存轉儲文件生成的時間,也就是系統崩潰的具體時間,本例中(這是去年12月得到的一個崩潰轉儲文件,現用作本例進行說明)為星期六(Sat),12月(Dec)27日,22:56:31.062,2008年,格林尼治標准時間東八區(GMT+8),第二行顯示的是崩潰時自系統啟動以來,系統共運行了0天4小時5分15.797秒。區域5是很關鍵的錯誤信息,它的第一行僅在載入符號文件遇到錯誤時顯示,此例中,它告訴我們「對於BaseTDI.SYS文件,模塊已經載入完畢但卻不能夠為其載入符號文件」,如果之前配置了正確的符號文件路徑,這就告訴我們BaseTDI.SYS不是微軟公司的文件,而是第三方驅動程序文件,這很可能是引起錯誤的原因,值得關注但須進一步分析。區域5的第二行是WinDbg自動分析的結果,它告訴我們,引起崩潰的原因(Probably caused by:)很可能是HookUrl.sys文件。一般情況下,這就是引起錯誤的罪魁禍首了,但是也有不少的例外,最典型的就是顯示一個微軟自己的文件在此處,您可要注意了,為了避免枉殺無辜,最好進一步分析來看看都有哪些模塊牽扯在崩潰的最後一刻,這樣就能夠保證審判無誤了!進一步分析的命令可以從「!analyze -v」開始。
我們既可以在命令輸入區域手動鍵入命令
!analyze -v
復制代碼
,也可以在上圖中的區域7所示位置單擊藍色的這個命令。之後,提示區域將顯示為「*BUSY*」,WinDbg將分析一段時間直到將結果顯示完畢並再次轉為空閑狀態。下面我們根據一張例圖闡釋執行「!analyze -v」後顯示的各種結果:
WinDbg經過自動的分析,可能會顯示上圖中區域1處所示第一行的錯誤檢查說明(Bug Check Interpretation),而第二行則給出了詳細的解釋,從圖中信息看得出,此例錯誤由於「驅動程序在隊列工作項目完成之前卸載」造成的。這個「DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS」就應該是顯示在藍屏上方的錯誤說明字樣,後面的Arguments1~4就是藍屏時停止代碼後面的四個參數。圖中區域2所示的BUGCHECK_STR是WinDbg中分了類別的錯誤檢查(Bug Check)的一項,此例中為0xCE,也是停止代碼的分類簡寫,我們在命令輸入區執行
.bugcheck
復制代碼
命令,可以得到停止代碼及其參數,這和上圖的區域1、藍屏上的信息是一致的。本例中可以得到如下結果:
0: kd> .bugcheck
Bugcheck code 000000CE
Arguments bacb0a4e 00000008 bacb0a4e 00000000
我們在Bugcheck code值前補上「0x」就可以得到藍屏上的信息「***STOP: 0x000000CE (bacb0a4e, 00000008, bacb0a4e, 00000000)」。當然,關於這個錯誤如果您想了解更多,一個是可以在微軟在線幫助和支持網站上搜索字元串「0x000000CE」,再就是可以利用上圖中區域2的BUGCHECK_STR值「0xCE」執行
.hh bug check 0xCE
復制代碼
命令,在打開的窗口左欄右下角點擊「Display」按鈕。如果要在WinDbg中顯示一個停止代碼或者錯誤檢查類的詳細說明(以此錯誤為例),鍵入命令
!analyze -show 0x000000CE
復制代碼
或者
!analyze -show 000000CE
復制代碼
,也可以是
!analyze -show 0xCE
復制代碼
。區域3中顯示的就是二審判決的重要信息——線程堆棧信息。特別注意紅色框內的部分,第一行是「WARNING: Frame IP not in any known mole. Following frames may be wrong.」意思就是「警告:堆棧幀IP(InstructionPtr,僅x86處理器,用於決定幀的堆棧回朔的指令指針)不存在於任何已知的模塊中,下面的幀可能出現錯誤」。這個意思的解釋已超出本文討論范圍,筆者僅告訴大家,這行文字下面的一行右側的模塊是系統藍屏崩潰時刻使用的最後一個模塊(除了Windows內核最後調用KeBugCheckEx犧牲自己,就是警告文字上方的三行),往往就是它引起了崩潰!我們來細看。大家如果了解了堆棧的數據結構或是Windows內存分配機制就應該知道,Windows為 線程分配額外內存時是從高地指向低地址進行的,就是說,藍色區域3中的堆棧信息我們得倒過來由下往上看,這樣才是系統崩潰之前的一刻內核態函數的調用和傳遞情況,比如此例,系統內核執行體(nt!,即Ntoskrnl.exe)通過函數IopfCallDriver調用了BaseTDI,然後BaseTDI又調用了HookUrl.sys(Unloaded_字樣表示未載入),再然後就藍屏了。那麼在這最後一刻就涉及到了兩個非Windows內核的模塊——BaseTDI以及HookUrl.sys。之所以要進行這個「二審判決」,就是要避免一種情況——萬一HookUrl.sys與BaseTDI是來自兩個公司或者兩個軟體的模塊,而最後載入的HookUrl.sys是沒有問題的,出錯是因為BaseTDI給HookUrl.sys傳遞了格式錯誤或者已被破壞的、或者非法的參數信息,HookUrl.sys接受此無效數據而引發了崩潰。如果我們不看線程棧,就根據之前的「Probably Cause by:HookUrl.sys」進行判決,我們很有可能枉殺無辜而讓兇手逍遙法外。只有通過線程棧我們才能發現另一個驅動程序BaseTDI也被牽連進來。(在應用程序崩潰不致系統崩潰的調試分析中,由於處於用戶態,WinDbg自動分析結果中的「Probably Cause by:」幾乎都是錯誤的。在這種情況下,使用!thread命令是不能顯示出任何信息的,因為這個命令僅對內核態的崩潰調試有效,然而kb命令也顯示不出有用的信息,只有用「~*kb」來顯示詳細的全部線程棧才可能發現問題根源,有的時候還需配合其他命令,本文不作討論)
當然,如果您熟練以後,覺得沒有必要使用「!analyze -v」命令的話,可以直接使用
!thread
復制代碼
或者
kb
復制代碼
命令顯示出核心的線程棧信息來二審判決。現在好了,犯罪嫌疑人目標鎖定在BaseTDI和HookUrl.sys身上。現在,我們來看看它們究竟是什麼、是哪個公司、哪個程序的模塊。(從之前不能夠自動從微軟伺服器為他們載入符號文件就可以知道,它們一定都是第三方驅動程序)
使用命令
lm kv m Basetdi*
復制代碼
(使用lm(列出模塊)命令和內核k選項、詳細v選項以及參數m,配合包含通配符*的字元串BaseTDI,來列出當時已載入於內核模式的包含字元BaseTDI的所有驅動文件詳細信息。使用通配符來取代完整的文件名後綴可以避免信息的局限性,藉此也許可以發現多個相關的模塊以提供更多診斷線索),我們得到下圖結果:
從圖中藍色框選部分,我們可以看出,當時內核態下只有一個叫BaseTDI.SYS的文件,這個文件的路徑位於System32\Drivers下,屬於名稱為「瑞星個人防火牆」(ProctName: Rising PFW, PFW=Personal Firewall)的程序組件,軟體公司注冊商標為「瑞星」(LegalTrademarks: RISING)。文件的這些英文描述信息如果您不知道,可以網路一下。當然,沒有被筆者高亮顯示的信息(如文件時間戳、版本、校驗和等等)也是非常有用的,比如網路一下文件版本,也許您會發現該軟體已經提供了更新的解決此問題的文件。同樣,我們使用
lm kv m hookurl*
復制代碼
來顯示當時內核態下包含HookUrl的文件及其詳細信息。結果如下:
圖示是一個不令人滿意的結果,因為如高亮部分所示,這個模塊未被載入,因此沒有信息被記錄。不過我們有網路,不用急,網路一下你就知道。在搜索完HookUrl.sys之後,發現這個也是瑞星個人防火牆的文件。其實這個案例就是著名的「瑞星個人防火牆跨版本升級到2009版時引發藍屏」事件。您可以通過關鍵字「瑞星防火牆2009升級造成藍屏」進行網路搜索。到目前為止,瑞星官方都沒有任何針對此事件的正式答復,雖然不是每個用戶都出現此問題,但是非常多的用戶都報告了此問題,瑞星也不承認這個是軟體缺陷,只有官方卡卡論壇上有一個不知道是不是工作人員的人發帖要求大家遇到藍屏就上傳內存轉儲文件。說到這里,我對瑞星又要失望了,但是通過這個可見藍屏內存轉儲文件的分析是多麼的有用!
在這里,我還要給出兩個要得到更多信息時可能會使用到的命令,一個是
!process 0 0
復制代碼
,它可以列出當時運行著的所有進程的技術信息;另一個則是
!vm
復制代碼
,它能夠顯示出當時的虛擬內存使用情況,這對於分析系統是否耗盡了虛擬內存、換頁內存池或非換頁內存池,並結合進程列表找到可能的內存泄漏錯誤非常有用,不過已超出了本文的討論范圍。
最後,我們來看看以下的兩種特殊情況該如何使用WinDbg進行調試分析:
第一種情況是系統掛起,也就是「死機」、「系統沒有響應」,在這種情況下,系統是根本無法自動生成內存轉儲文件的,而且您也不可能操作本地軟體來查明是什麼掛起了系統,這個時候我們需要手動讓系統崩潰,以生成內存轉儲文件。具體做法為,在系統掛起之前,打開注冊表編輯器並定位至
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\i8042prt\Parameters
復制代碼
,在該項下面建立一個名為
CrashOnCtrlScroll
復制代碼
的DWORD類型鍵值(注意大小寫),並將其設置為1,然後重新啟動應用此更改。一旦系統掛起,就可以通過按住右邊Ctrl鍵的同時擊ScrollLock鍵兩次來生成一個停止代碼為0x000000E2(MANUALLY_INITIATED_CRASH)的手動崩潰。得到內存轉儲文件以後按照上面的方法分析。注意,此方法對插入USB口的USB鍵盤無效。(筆記本計算機鍵盤很多都是通過PS/2介面連接的,因此有效)
第二種情況是進不了系統就自動崩潰,無法提取出內存轉儲文件。這種情形以及當有特定的需要時,我們都可以採取雙機調試的方法。我們將發生崩潰的機器稱為「目標機」,將用來連接到「目標機」進行調試的機器稱為「調試主機」,調試主機必須安裝有WinDbg。
首先,我們需要在兩台機器間建立連接,在新版的WinDbg中,這里一共有三種方式連接到目標機。第一種方式為通過COM埠連接,使用零數據機線纜(Null-Modem),也就是COM對接線——兩個頭都是孔的RS232線;第二種是利用IEEE 1394線纜連接,但是這種連接要求兩台機器運行相同版本的至少為Windows XP的系統;第三種方式是使用特製的USB 2.0調試線纜連接,這不是普通的USB連接線,是一種內置硬體晶元來支持調試的線纜,而且這種方式要求目標機運行的系統至少為Windows Vista。使用這三種連接方式進行雙機調試都需要在目標機上作出相應的設置調整,具體參見WinDbg幫助文件,這里僅討論第一種連接方式的設置,因為這是XP及以上系統默認支持的最簡單的方式。此時我們假設已經使用COM線纜連接好了兩台機器。
其次,在調試主機上啟動WinDbg,配製好符號文件之後,我們展開「File」菜單,選擇「Kernal Debug…」,這將會打開如下的「Kernal Debugging」對話框:
默認打開的就是COM連接方式的配置頁面。這里的「Baud Rate(傳輸速率)」以及「Port(埠)」需要根據下一個步驟的操作方式來配置。
最後一步,我們可以啟動目標機,在引導Windows之前按下F8,在啟動菜單中選擇「調試模式」,這樣,傳輸速率被系統默認設為19200,埠也默認被設為COM2,因此上一步驟中應該照此設置後點擊「OK」。關於XP修改Boot.ini、Vista修改Bootcfg的方式啟用指定埠、傳輸速率的調試,請參見WinDbg幫助文件,在此不再贅述。目標機一起動Windows,位於調試主機的WinDbg就能夠有信息的顯示,然後按照本文介紹的方法進行調試。另外,對於上面提到的系統掛起的情況,也可以採用這種雙機調試,並且有新的命令
.crash
復制代碼
強迫目標機在它的本地硬碟驅動器中生成一個崩潰轉儲,當系統重新引導以後就可以提取此轉儲,當然,也可以使用
.mp /m COM.dmp
復制代碼
命令,在調試主機WinDbg所在目錄下生成一個名叫「COM.dmp」的小內存轉儲文件(命令中的文件名可以改成其它的)。
編輯本段
預防電腦藍屏的九個小技巧
1 定期對重要的注冊表文件進行手工備份,避免系統出錯後,未能及時替換成備份文件而產生不可挽回的錯誤。
2 盡量避免非正常關機,減少重要文件的丟失。如.VxD .DLL文件等。
3 對普通用戶而言,只要能正常運行,沒有必要去升級顯卡、主板的BIOS和驅動程序,避免升級造成的危害。
4 定期檢查優化系統文件,運行「系統文件檢查器」進行文件丟失檢查及版本校對。檢查步驟參見前面相關介紹。
5 減少無用軟體的安裝,盡量不用手工卸載或刪除程序,以減少非法替換文件和文件指向錯誤的出現。
6 如果不是內存特別大和其管理程序非常優秀,盡量避免大程序的同時運行,如果你發現在聽MP3時有沙沙拉拉的聲音,基本可以判定該故障是由內存不足而造成的。
7 定期用殺毒軟體進行全盤掃描,清除病毒。
8 不上一些不熟悉的網站,對於一些網站上的帶有誘惑性的圖片和一些中獎的消息,不要點擊。
9 定期升級操作系統,軟體和驅動。
字多了點...........慢慢看哈 ╮(╯▽╰)╭「苦連個」孩子