tack云服务器

A. 点击查看工作机组 服务器没有足够存储空间 无法完成此处理

1.重启服务器
2.由于“服务器的配置参数"irps4tacksize"太小”导致
注册表的修改办法，请小心一试：
通过事件管理器,查看到系统有一个错误,事件ID 2011,服务器的配置参数"irps4tacksize"太小,无法让服务器使用本地设备请增加此参数的值要解决服务器存储空间不足的问题,请在注册表中增大 IRPStackSize 值：
1. 运行 regedit
2. 找到以下项：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
3. 在右窗格中双击 IRPStackSize 值
注意：如果 IRPStackSize 值不存在,请使用以下过程创建此值：
a. 在注册表的 Parameters 文件夹中,右健单击右窗格
b. 指向新建,然后单击 DWord 值
c. 键入 IRPStackSize
重要说明: 因为此数值名称区分大小写,所以请完全按照其显示的形式键入 "IRPStackSize"
4. 将"基数"更改为十进制
5. 在"数值数据"框中,键入比列出的值大的一个值
建议将 IRPStackSize 值增大 3 : 如果以前的值为 11,则请键入 14,然后单击"确定"
6. 关闭注册表编辑器并重新启动计算机

原文链接：http://www.lucktu.com/html/2009/08/536.html

B. 灾备云的等级

灾难恢复等级是指灾难恢复能力国家标准等级，以下简要为大家分别介绍六个等级的内容：

灾难恢复等级：第一级

需满足国标《信息系统灾难恢复规范》(GB/T 20988-2007)灾难恢复等级第1级要求，存储介质为各种磁介质、光介质和纸介质，完全数据备份至少要每周一次，备份介质要场外存放，并且要有介质存取、验证和转储管理制度。

灾难恢复等级：第二级

满足国标《信息系统灾难恢复规范》(GB/T 20988-2007)灾难恢复等级第2级要求，介质存储为各种磁介质、光介质和纸介质，要具有高标准的介质存储环境和设置，同时具有7*24小时门禁、视像监控和保安管理，还要有7*24小时响应的媒体存放及获取服务。

灾难恢复等级：第三级

第三级的介质存储和第二级的相同，其机房环境需要符合国家标准，以满足灾难演练和灾难恢复期间的机房环境要求。一旦灾难发生，灾备中心可在约定的时间内提供灾难备份中心所需要的机房场地，并提供备用主机和外围设备，使企业能够利用备份磁带尽快恢复信息系统的运行，同时还要有必要的通信线路和网络设备，以便建立所需的通信网络，尽快恢复业务。

灾难恢复等级：第四级

需满足国标《信息系统灾难恢复规范》(GB/T 20988-2007)灾难恢复等级第3、4级要求，一旦灾难发生，灾备中心已保留有企业生产系统在线备份的最新业务数据，所以可在此备份数据的基础上，使用灾备中心的机房场地、备用主机及外围系统，迅速恢复信息系统的运行;各服务渠道及各分支机构可在建立与备份中心的网络连接后立即恢复业务运作，进一步提高了企业业务恢复的速度。

灾难恢复等级：第五级

需满足国标《信息系统灾难恢复规范》(GB/T 20988-2007)灾难恢复等级第5级要求，在灾难发生后，其恢复机制和第四级大体相似，但是其速度要更快一些，能够利用灾备中心的机房场地等设施立即恢复信息系统运行。

灾难恢复等级：第六级

需满足国标《信息系统灾难恢复规范》(GB/T 20988-2007)灾难恢复等级第6级要求，一旦灾难发生，灾备中心的远程集群系统将利用实时最新业务数据自动进行系统切换，企业的分支机构及服务渠道也能够自动切换到备份中心的网络系统，在短时间内恢复企业信息系统的运作，避免了企业业务及对外服务出现停顿事件。

相比传统的异地灾难恢复方法，UCACHE灾备云具有多种优势：

降低的企业为此的成本、资源、人力投入，同时获得了更多功能、更多存储容量和更加灵活的企业信息架构，企业主也可以将资金投入到企业生产中，更加专业于生产和销售

（目前UCache云灾备100G免费使用，数据压缩、重删比例：可达到7：1，实际700G的数据意思是经过加密切块压缩，及并行重删备份后实际在UCache灾备云平台上显示的占用容易仅为100G。）

在以下应用场景中UCACHE都有非常完美的支持

勒索病毒防护

保护企业的核心数据免遭这类勒索软件加密或锁定降低企业生存风险。

云平台备份/恢复

保护企业的自建云平台运营安全，兼容Opens tack、CAS、FusionCloud等云平台。

虚拟化备份/恢复

保护企业的虚拟化平台数据运营安全，兼容VMware、Hyper-v、XenServer等虚拟化平台。

文件系统备份/恢复

保护企业的非结构化数据，满足全量备份和增量备份要求。

C. 服务器端口是什么

服务器端口：随着计算机网络技术的发展，原来物理上的接口（如键盘、鼠标、网卡、显示卡等输入/输出接口）已不能满足网络通信的要求，TCP/IP协议作为网络通信的标准协议就解决了这个通信难题。

TCP/IP协议集成到操作系统的内核中，这就相当于在操作系统中引入了一种新的输入/输出接口技术，因为在TCP/IP协议中引入了一种称之为"Socket（套接字）"应用程序接口。有了这样一种接口技术，一台计算机就可以通过软件的方式与任何一台具有Socket接口的计算机进行通信。端口在计算机编程上也就是"Socket接口"。

(3)tack云服务器扩展阅读：

一台服务器为什么可以同时是Web服务器，也可以是ftp服务器，还可以是邮件服务器等，其中一个很重要的原因是各种服务采用不同的端口分别提供不同的服务，比如：通常TCP/IP协议规定Web采用80号端口，FTP采用21号端口等，而邮件服务器是采用25号端口。这样，通过不同端口，计算机就可以与外界进行互不干扰的通信。

D. 请教特洛伊木马彻底删除方法

记得加分哦
1. 冰河v1.1 v2.2
冰河是国产最好的木马
清除木马v1.1
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径，并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。
因此，不能明确说明。
你可以察看注册表，把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK

2. Acid Battery v1.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。
重新启动。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤：

重新启动到MSDOS方式
删除C:\windows\MSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
关闭Regedit
重新启动。OK

重新启动到MSDOS方式
删除C:\windows\wintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
关闭Regedit
重新启动。OK
4. Ambush
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\Windows\ zcn32.exe
重新启动。OK
5. AOL Trojan
清除木马的步骤：

启动到MSDOS方式
删除C:\ command.exe（删除前取消文件的隐含属性）
注意：不要删除真的command.com文件。
删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）
删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）

打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：
run=
load=
保存WIN.INI

还要改正注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的WinProfile = c:\command.exe
关闭Regedit，重新启动Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤：

注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名，必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马，把它查找出来，删除。
保存退出win.ini。
OK
7. AttackFTP
清除木马的步骤：

打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ，正确是load=
保存退出win.ini。

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit，重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
OK
8. Back Construction 1.0 - 2.5
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe"
关闭Regedit，重新启动到MSDOS系统中
删除C:\WINDOWS\Cmctl32.exe
OK
9. BackDoor v2.00 - v2.03
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的‘c:\windows\notpa.exe /o=yes‘
关闭Regedit，重新启动到MSDOS系统中
删除c:\windows\notpa.exe
注意：不要删除真正的notepad.exe笔记本程序
OK
10. BF Evolution v5.3.12
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=" "
关闭Regedit，再次重新启动计算机。
将C:\windows\system\ .exe（空格exe文件）
OK
11. BioNet v0.84 - 0.92 + 2.21

0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑NT被感染的系统完全一样。
清除木马的步骤：
首先准备一张98的启动盘，用它启动后，进入c:\windows目录下，用attrib libupd~1.exe -h
命令让木马程序可见，然后删除它。
抽出软盘后重新启动，进入98下，在注册表里找到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子键WinLibUpdate = "c:\windows\libupdate.exe -hide"
将此子键删除。

12. Bla v1.0 - 5.03
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Systemdoor = "C:\WINDOWS\System\mprdll.exe"
关闭Regedit，重新启动计算机。
查找到C:\WINDOWS\System\mprdll.exe和
C:\WINDOWS\system\rundll.exe
注意：不要删除C:\WINDOWS\RUNDLL.EXE正确文件。
并删除两个文件。
OK
13. BladeRunner
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
可以找到System-Tray = "c:\something\something.exe"
右边的路径可能是任何东西，这时你不需要删除它，因为木马会立即自动加上，你需要的是记下木马的名字与目录，然后退回到MS-DOS下，找到此木马文件并删除掉。
重新启动计算机，然后重复第一步，在注册表中找到木马文件并删除此键。

14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe"
关闭Regedit，重新启动计算机。
DEL C:\Windows\System\Dllclient.exe
OK

清除木马v2.0
打开注册表Regedit
点击目录至：
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键，选中ICQ Accel主键并把它删除。
重新启动计算机。OK
15. BrainSpy vBeta
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右边有 ??? = "C:\WINDOWS\system\BRAINSPY .exe"
???标签选是随意改变的。
关闭Regedit，重新启动计算机
查找删除C:\WINDOWS\system\BRAINSPY .exe
OK
16. Cain and Abel v1.50 - 1.51
这是一个口令木马

进入MS-DOS方式
查找到C:\windows\msabel32.exe
并删除它。OK
17. Canasson
清除木马的步骤：

打开WIN.INI文件
查找c:\msie5.exe，删除全部主键
保存win.ini
重新启动计算机
删除c:\msie5.exe木马文件
OK
18. Chupachbra
清除木马的步骤：

打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini，再打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的‘System Protect‘ = winprot.exe
重新启动Windows
查找到C:\windows\system\ winprot.exe，并删除。
OK
19. Coma v1.09
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的‘RunTime‘ = C:\windows\msgsrv36.exe
重新启动Windows
查找到C:\windows\ msgsrv36.exe，并删除。
OK
20. Control
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的Load MSchv Drv = C:\windows\system\MSchv.exe
保存Regedit，重新启动Windows
查找到C:\windows\system\MSchv.exe，并删除。
OK
21. Dark Shadow
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
删除右边的winfunctions="winfunctions.exe"
保存Regedit，重新启动Windows
查找到C:\windows\system\ winfunctions.exe，并删除。
OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
版本1.0
删除右边的项目‘System32‘=c:\windows\system32.exe
版本2.0-3.1
删除右边的项目‘SystemTray‘ = ‘Systray.exe‘
保存Regedit，重新启动Windows
版本1.0删除c:\windows\system32.exe
版本2.0-3.1
删除c:\windows\system\systray.exe
OK
23. Delta Source v0.5 - 0.7
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目：DS admin tool = C:\TEMPSERVER.exe
保存Regedit，重新启动Windows
查找到C:\TEMPSERVER.exe，并删除它。
OK
24. Der Spaeher v3
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目：explore = "c:\windows\system\dkbdll.exe "
保存Regedit，重新启动Windows
删除c:\windows\system\dkbdll.exe木马文件。
OK
25. Doly v1.1 - v1.7 (SE)
清除木马V1.1-V1.5版本：

这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。
首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除：
C:\WINDOWS\SYSTEM\tesk.sys
C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe
c:\Program Files\Mdm.exe
重新启动Windows。

接着，打开win.ini文件
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目，删除路径，改变为load=
保存win.ini文件。

最后，修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
和
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:\AUTOEXEC.BAT文件，删除
@echo off c:\sys.lon c:\windows\StartMenu\Startup Items\
del c:\win.reg
关闭保存autoexec.bat。
OK

清除木马V1.6版本：
该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下：
1．打开控制面板——添加删除程序——删除memory manager 3.0，这就是木马程序，但是它并不会把木马的EXE文件删除掉。
2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容删除：
@echo off c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件：
del sys.lon
del windows\startm~1\programs\startup\mdm.exe
del progra~1\mdm.exe
3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录删除。

清除木马V1.7版本：
首先，打开C:\AUTOEXEC.BAT文件，删除
@echo off c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
关闭保存autoexec.bat

然后打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目
点击目录至：
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目
关闭保存Regedit。重新启动Windows。

最后，删除以下木马程序：
c:\sys.lon
c:\iecookie.exe
c:\windows\start menu\programs\startup\mdm.exe
c:\program files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意：kernal32是A
OK

26. Donald Dick v1.52 - 1.55
清除木马V1.52-1.53版本：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\
删除右边的项目：StaticVxD = "vmldir.vxd"
关闭保存Regedit，重新启动Windows
删除C:\WINDOWS\System\vmldir.vxd
OK

清除木马V1.54-1.55版本：

这两个版本跟上面的版本只是默认文件名不同，其它都一样，
把vmldir.vxd改为intld.vdx即可。
27. Drat v1.0 - 3.0b
清除木马的步骤：

打开注册表Regedit
点击目录至：hkey_classes_root\exefile\shell\open\command
找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*
关闭保存Regedit，重新启动Windows。
查找c:\windows\下shell32．＊文件，并删除它。
OK
28. Eclipse 2000
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：bybt = "c:\windows\system\eclipse2000.exe"
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\
删除右边的项目：cksys = "c:\windows\system\ could be anything .exe"
关闭保存Regedit，重新启动Windows
查找到eclipse2000.exe木马文件，并删除

29. Eclypse v1.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：Rnaapp ="C:\WINDOWS\SYSTEM\rmaapp.exe"
关闭保存Regedit，重新启动Windows
删除C:\WINDOWS\SYSTEM\rmaapp.exe
注意：不要删除Rnaapp.exe
OK
30. Executer v1
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
在右边的项目查找到"C:\windows\sexec.exe"，并删除。
关闭保存Regedit，重新启动Windows
相应删除木马程序文件。
OK
31. FakeFTP beta
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：Rundll32 = rundll3.tww /h
关闭保存Regedit，重新启动Windows
找到C:\windows\文件夹下的三个文件并删除它们
rundll3.bat - 9x.reg - nt.reg
OK
32. Forced Entry
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：MicrosoftRegistration32 = "C:\somepath \trojanhrs.exe"
关闭保存Regedit，重新启动Windows
由于路径容易改变，只要查找到trojanhrs.exe，并删除它。
33. GateCrasher v1.0 - 1.2
清除木马v1.0：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：Explore=‘c:\windows\explore.exe‘
关闭保存Regedit，重新启动Windows
然后，删除相应的木马程序。
OK

清除木马v1.1：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：Inet=‘EXPLORE.EXE‘
关闭保存Regedit，重新启动Windows
然后，找到相应的木马程序，并删除。
OK

清除木马v1.2：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：Command = ‘c:\windows\system.exe‘

关闭保存Regedit，重新启动Windows
然后，找到相应的木马程序，并删除。
OK
34. Girlfriend v1.3x (Including Patch 1 and 2)
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：Windll.exe ="C:\windows\windll.exe"
Regedit里也保存着服务器的数据
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General
删除General项目标题
关闭保存Regedit，重新启动Windows
然后，找到相应的木马程序，并删除。
OK
35. Golden Retreiver v1.1b
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：Task Manager="c:\mstask.exe"
关闭保存Regedit，重新启动Windows
然后，找到相应的木马程序，并删除。
OK
36. Hack`a`Tack 1.0 - 2000
清除木马v1.0-1.2：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：Explorer32 ="C:\windows\Expl32.exe"
关闭保存Regedit，重新启动Windows
然后，找到相应的木马程序，并删除。
OK

清除木马v2000：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：Configuration Wizard = c:\windows\cfgwiz32.exe
关闭保存Regedit，重新启动Windows
删除c:\windows\cfgwiz32.exe
OK
37. Hack99 KeyLogger
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目：HKeyLog = "C:\Windows\System\HKeyLog.exe"
关闭保存Regedit，重新启动Windows
删除C:\Windows\System\HKeyLog.exe
OK

E. 在服务中可以关闭哪些无用的端口[请说明端口的作用]

端口可分为3大类：

1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是HTTP通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。 7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 （十六进制的0x1600）位交换后是0x0016（使进制的22）。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。

作者： 211.71.57.* 2005-3-25 00:05 回复此发言

--------------------------------------------------------------------------------

2 端口详解

25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件

79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？ 这个端口除了被用来查询服务（如使用epmp）还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。
25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件

79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？ 这个端口除了被用来查询服务（如使用epmp）还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。

作者： 211.71.57.* 2005-3-25 00:05 回复此发言

--------------------------------------------------------------------------------

3 端口详解

137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procere call）系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。

1025 参见1024

1026 参见1024

1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。 WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

1243 Sub-7木马（TCP）参见Subseven部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口： 000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Concent这是一个外向连接。这是由于公司内部有人安装了带有Concent "adbot" 的共享软件。Concent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载： 机器会不断试图解析DNS名—ads.concent.com，即IP地址216.33.210.40 ； 216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即 3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT,Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连 接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见traceroute分。

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见 http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。 常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述

1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

20/tcp 动态 FTP FTP服务器传送文件的端口

53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。

27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP asquerade）

F. xp系统访问共享文件操作一会提示服务器存储空间不足,无法处理此命令

电脑打开某些网上邻居的东西或是打开某个文件夹时,总是提示“服务器存储空间不足，无法处理此命令 (Not enough server storage is available to process this command)”，原来曾经遇到相同的错误提示，原因是安装了某些Windows更新之后服务器没有重启，如发炮制之后问题依旧，查日志发现有错误记录“事件ID 2011，服务器的配置参数“irps4tacksize”太小，无法让服务器使用本地设备。请增加此参数的值。”。

解决方法:

创建键值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\IRPstackSize

类型为DWORD，取值设置为0x32，重启之后问题解决。

----------------------------------------------------------------
防病毒软件可能导致出现事件 ID 2011
解决方案
警告：注册表编辑器使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

要解决此问题，请在注册表中增大 IRPStackSize 值： 1. 单击开始，然后单击运行。
2. 键入 regedit，然后单击确定。
3. 导航到以下项：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
4. 在右窗格中双击 IRPStackSize 值。

注意：如果 IRPStackSize 值仍不存在，请使用以下过程创建此值： a. 在注册表的 Parameters 文件夹中，右健单击右窗格。
b. 指向新建，然后单击 DWord 值。
c. 键入 IRPStackSize。

重要说明：因为此数值名称区分大小写，所以请完全按照其显示的形式键入“IRPStackSize”。

5. 将“基数”更改为十进制。
6. 在“数值数据”框中，键入比列出的值大的一个值。

如果使用步骤 4 中描述的步骤创建了 IRPStackSize 值，则默认值为 15。建议将此值增大 3，因此，如果以前的值为 11，则请键入 14，然后单击“确定”。
7. 关闭注册表编辑器。
8. 重新启动计算机。
如果在完成上述步骤后仍存在此问题，请尝试进一步增大 IRPStackSize 的值。在 Windows 2000 中，这一最大值为 50（0x32 十六进制）。

G. 访问网上邻居的共享,出现“服务器存储空间不足,无法处理此命令”的提示

楼主你好：电脑打开某些网上邻居的东西或是打开某个文件夹时,总是提示“服务器存储空间不足，无法处理此命令 (Not enough server storage is available to process this command)”，原来曾经遇到相同的错误提示，原因是安装了某些Windows更新之后服务器没有重启，如发炮制之后问题依旧，查日志发现有错误记录“事件ID 2011，服务器的配置参数“irps4tacksize”太小，无法让服务器使用本地设备。请增加此参数的值。”。

解决方法:

创建键值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\IRPstackSize

类型为DWORD，取值设置为0x32，重启之后问题解决。

----------------------------------------------------------------
防病毒软件可能导致出现事件 ID 2011
解决方案
警告：注册表编辑器使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

要解决此问题，请在注册表中增大 IRPStackSize 值： 1. 单击开始，然后单击运行。
2. 键入 regedit，然后单击确定。
3. 导航到以下项：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
4. 在右窗格中双击 IRPStackSize 值。

注意：如果 IRPStackSize 值仍不存在，请使用以下过程创建此值： a. 在注册表的 Parameters 文件夹中，右健单击右窗格。
b. 指向新建，然后单击 DWord 值。
c. 键入 IRPStackSize。

重要说明：因为此数值名称区分大小写，所以请完全按照其显示的形式键入“IRPStackSize”。

5. 将“基数”更改为十进制。
6. 在“数值数据”框中，键入比列出的值大的一个值。

如果使用步骤 4 中描述的步骤创建了 IRPStackSize 值，则默认值为 15。建议将此值增大 3，因此，如果以前的值为 11，则请键入 14，然后单击“确定”。
7. 关闭注册表编辑器。
8. 重新启动计算机。
如果在完成上述步骤后仍存在此问题，请尝试进一步增大 IRPStackSize 的值。在 Windows 2000 中，这一最大值为 50（0x32 十六进制）。

H. 怎样使所有程序都自动通过代理服务器上网

不对，应该是Permeo Security Driver

Permeo Security Driver 是Permeo Application Security Platform平台中的核心模块,这个软件其实是SockCap, e-border的延伸，功能更加强大，它将SOCKSCAP做成了WINDOWS的驱动程序。它能够将本地应用程序的网络连接请求直接转化为socks5，使得本来不能直接使用的网络应用程序可以通过代理来使用。

客户端软件Permeo Security Driver以4.22版本为例。
假设:代理服务器地址：192.168.0.1，开放的socks5端口为1080。

1.要启动CCProxy设置的DNS服务,客户端机器的TCP/IP协议里要设置DNS地址，DNS填代理服务器的IP地址。

2.下载Permeo Security Driver软件(下载)

3. 运行安装程序，如下图：

4.点“NEXT”下一步，填入注册信息，结果如下图：

License:CCE41-J0UWF-EG3KJ-9AHH0-4YTVU-UVW7E-56949-M5DTN-KSC61

Encrypt License:CCE41-A6BZS-JAE00-BF848-62K69-G7FV1-SS6UW-SRD60-QWE75

5.继续“Next”,直到安装完成。如果是第一次安装会弹出一个窗口,在server IP or host里输入代理服务器的IP地址和端口号(如图1),点击OK.然后重新启动电脑：
(图1)

该软件在系统启动后会自动加载，以图标方式显示在屏幕右下角的托盘中。图2显示的是该软件被禁止使用的图像，图3显示的是该软件被激活时的图像。
(图2)

(图3)

6.当我们在该图标上点击右键时，会出现该软件的设置菜单。如图4所示。
(图4)

7.因为我们是要使用该软件和外面的网络连接，因此我们选中Out of Office选项，然后选择"User Properties",进入设置界面(图5)。
(图5)

8.给show icon on the tackbar选项打上勾，可以让软件图标出现在系统右下角的托盘中。再点击Out of Office后面的Edit按钮，会出现具体的设置界面，如图6所示。
(图6)

9.接着我们在Application页继续进行设置，我们选择Proxy all选项，也就是代理所有的应用程序(图7)。如果要排除某个程序，点击include list按钮，把需要排除的程序添加即可。当然，如果你确切的知道只有那些程序需要通过代理连接到网络上，也可以选择Proxy only选项，对应的将这些程序加入到include list中就可以了。
(图7)

10.接着选择DNS，设置如图8所示：
(图8)

11.点击“应用”，“确定”即可。

图例、下载地址：http://www.mmweb.cn/tools/proxy/

I. 文件存放位置不是共享服务器

文件存放位置不是共享服务器，可能是由于服务器存储不足，无法处理此命令。
电脑存储某些网上邻居的东西或是某个文件夹时,有时会发生文件存放位置不在共享服务器的情况，原因是安装了某些Windows更新之后服务器没有重启，如发炮制之后问题依旧，查日志发现有错误记录“事件ID 2011，服务器的配置参数“irps4tacksize”太小，无法让服务器使用本地设备。
解决方法:：
创建键值HKEY_LOCAL_ze，类型为DWORD，取值设置为0x32，重启之后问题解决。

J. 云计算未来发展趋势

一、虚拟化技术向软硬协同方向发展
按照IDC的研究，2005年之前是虚拟化技术发展的第一阶段，称之为虚拟化1.0，从2005年到2010年时虚拟化发展的第二阶段，称之为虚拟化2.0，目前已经进入虚拟化2.5阶段，虚拟化3.0阶段在不久也将会到来。根据Gartner的预测，到2016年中国70%的X86企业服务器将实现虚拟化。

ArsTechnica网站上刊出的一篇文章评论到，当前的虚拟化市场当中，VMware是老大，微软Hyper-V老二，思杰Xen第三，红帽和甲骨文在争夺第四把交椅。随着服务器等硬件技术和相关软件技术的进步、软件应用环境的逐步发展成熟以及应用要求不断提高，虚拟化由于具有提高资源利用率、节能环保、可进行大规模数据整合等特点成为一项具有战略意义的新技术。

首先，随着各大厂商纷纷进军虚拟化领域，开源虚拟化将不断成熟。

其次，随着虚拟化技术的发展，软硬协同的虚拟化将加快发展。在这方面，内存的虚拟化已初显端倪。

第三，网络虚拟化发展迅速。网络虚拟化可以高效地利用网络资源，具有节能成本、简化网络运维和管理、提升网络可靠性等优点。

二、数据中心向整合化和绿色节能方向发展

目前传统数据中心的建设正面临异构网络、静态资源、管理复杂、能耗高等方面问题，云计算数据中心与传统数据中心有所不同，它既要解决如何在短时间内快速、高效完成企业级数据中心的扩容部署问题，同时要兼顾绿色节能和高可靠性要求。高利用率、一体化、低功耗、自动化管理成为云计算数据中心建设的关注点，整合、绿色节能成为云计算数据中心构建技术的发展特点。

数据中心的整合首先是物理环境的整合，包括供配电和精密制冷等，主要是解决数据中心基础设施的可靠性和可用性问题。进一步的整合是构建针对基础设施的管理系统，引入自动化和智能化管理软件，提升管理运营效率。还有一种整合是存储设备、服务器等的优化、升级，以及推出更先进的服务器和存储设备。艾默生公司就提出，整合创新决胜云计算数据中心。

兼顾高效和绿色节能的集装箱数据中心出现。集装箱数据中心是一种既吸收了云计算的思想，又可以让企业快速构建自有数据中心的产品。与传统数据中心相比，集装箱数据中心具有高密度、低PUE、模块化、可移动、灵活快速部署、建设运维一体化等优点，成为发展热点。国外企业如谷歌、微软、英特尔等已经开始开发和部署大规模的绿色集装箱数据中心。

通过服务器虚拟化、网络设备智能化等技术可以实现数据中心的局部节能，但尚不能真正实现绿色数据中心的要求，因此，以数据中心为整体目标来实现节能降耗正成为重要的发展方向，围绕数据中心节能降耗的技术将不断创新并取得突破。数据中心高温化是一个发展方向，低功耗服务器和芯片产品也是一个方向。

三、大规模分布式存储技术进入创新高峰期

在云计算环境下，存储技术将主要朝着从安全性、便携性及数据访问等方向发展。分布存储的目标是利用多台服务器的存储资源来满足单台服务器不能满足的存储需求，它要求存储资源能够被抽象表示和统一管理，并且能够保证数据读写操作的安全性、可靠性、性能等各方面要求。为保证高可靠性和经济性，云计算采用分布式存储的方式来存储数据，采用冗余存储的方式来保证存储数据的可靠性，以高可靠软件来弥补硬件的不可靠，从而提供廉价可靠的海量分布式存储和计算系统。在大规模分布式存储技术中，基于块设备的分布式文件系统适用于大型的、海量数据的云计算平台，它将客户数据冗余部署在大量廉价的普通存储上，通过并行和分布式计算技术，可以提供优秀的数据冗余功能。且由于采用了分布式并发数据处理技术，众多存储节点可以同时向用户提供高性能的数据存取服务，也保证数据传输的高效性。目前国外很多大学、研究机构和公司已经或正在着手开发分布式文件系统，已经涌现出一批着名的分布式文件系统，如PVFS、GPFS、zFS、Google FS、Hadoop FS等，进一步更深入的研发也还在进行中。

除了大规模分布式存储技术，P2P存储、数据网格、智能海量存储系统等方也是海量存储发展的趋势体现。其中，P2P存储可以看做是分布式存储的一种，是一个用于对等网络的数据存储系统，旨在提供高效率、鲁棒和负载均衡的文件存取。数据网格是有机的智能单元的组合，类似于计算网格。智能海量存储系统包括主动的数据采集、数据分析、主动调整等。云计算中存储的海量数据应用将为云计算提供新的价值高点，也必将成为云计算发展的重点方向之一。

四、安全与隐私将获得更多关注

云计算作为一种新的应用模式，在形态上与传统互联网相比发生了一些变化，势必带来新的安全问题，例如数据高度集中使数据泄漏风险激增、多客户端访问增加了数据被截获的风险等等。云安全技术是保障云计算服务安全性的有效手段，它要解决包括云基础设施安全、数据安全、认证和访问管理安全以及审计合规性等诸多问题。云计算本身的安全仍然要依赖于传统信息安全领域的主要技术。不过另一方面，云计算具有虚拟化、资源共享等特点，传统信息安全技术需要适应其特点采取不同的模式，或者有新的技术创新。另外，由于在云计算中用户无法准确知道数据的位置，因此云计算提供商和用户的信任问题是云计算安全要考虑的一个重点。总体来说，云计算提供商要充分结合云计算特点和用户要求，提供整体的云计算安全措施，这将驱动云计算安全技术发展。适应云计算的特点和安全需求，云计算安全技术在加密技术、信任技术、安全解决方案、安全服务模式方面加快发展。

此外，未来的安全趋势，势必会涉及终端及移动终端各个层面，包括各类PC、手机在内的智能终端、可穿戴设备，都有可能会面临攻击者的挑战，这样的攻击对多种设备会变得日益难以防护。解决终端安全，云安全是首先需要解决的，即从云端首先判断安全的趋势，而不是孤立的从一台终端来判断。通过云端安全的大数据分析，可以清晰发现其中存在的多种威胁趋势，从而及时拦截新木马以及防止网络入侵和攻击。隐私权保护问题虽是云计算普及过程中需要解决的一大难题，但随着云计算的发展及相关标准的成熟。相信隐私权会得到更好地保护，云计算也将像互联网上的其他应用环境一样，深刻地影响我们的生活方式。

五、分布式计算技术不断完善和提升

资源调度管理被认为是云计算的核心，因为云计算不仅是将资源集中，更重要的是资源的合理调度、运营、分配、管理。云计算数据中心的突出特点，是具备大量的基础软硬件资源，实现了基础资源的规模化。但如何合理有效调度管理这些资源，提高这些资源的利用率，降低单位资源的成本，是云计算平台提供商面临的难点和重点。业务/资源调度中心、副本管理技术、任务调度算法、任务容错机制等资源调度和管理技术的发展和优化，将为云计算资源调度和管理提供技术支撑。不过，正成为业界关注重点的云计算操作系统有可能使云计算资源调度管理技术走向新的道路。云计算操作系统是云计算数据中心运营系统，是指架构于服务器、存储、网络等基础硬件资源和单机操作系统、中间件、数据库等基础软件管理海量的基础硬件资源和软件资源的云平台综合管理系统，可以实现极为简化和更加高效的计算模型，以低成本实现指定服务级别、响应时间、安全策略、可用性等规范。

现在云计算的商业环境对整个体系的可靠性提供了更高的需求，为了支持商业化的云计算服务，分布式的系统协作和资源调度最重要的就是可靠性。未来成熟的分布式计算技术将能够支持在线服务(SaaS)，自从2007年苹果iPhone进入市场开始，事情发生很大的变化，智能手机时代的到来使得Web开始走进移动终端，SaaS的风暴席卷整个互联网，在线应用成为一种时尚。分布式计算技术不断完善和提升，将支持在跨越数据中心的大型集群上执行分布式应用的框架。

六、SLA细化服务质量监控实时化

要想让用户敢于将关键业务应用放在云计算平台上，粗放的服务协议显然无法让人放心，用户需要知道云计算厂商能否快速地将数据传遍全国、网络连接状况又能好到何种程度。对于激增的商业需求而言，性能的拓展是不够的，而云计算提供商能够多快地拓展性能也事关重要。用户需要能够让他们高枕无忧的服务品质协议，细化服务品质是必然趋势。云计算对计算、存储和网络的资源池化，使得对底层资源的管理越来越复杂，越来越重要，基于云计算的高效工作负载监控要在性能发生问题之前就提前发现苗头，从而防患于未然，实时的了解云计算运行详细信息将有助于交付一个更强大的云计算使用体验，也是未来发展的方向（关于更多可以关注微信公号漫步云计算）谢谢。