偶看新闻3ds荒野老城攻略:计算机综合知识500个为什么
来源:百度文库 编辑:偶看新闻 时间:2024/04/26 10:57:23
一、软件1.病毒破坏
自从有了计算机以后不久,计算机病毒也应运而生。当网络成为当今社会的信息大动脉后,病毒的传播更加方便,所以也时不时的干扰和破坏我们的正常工作。比较典型的就是前一段时间对全球计算机造成严重破坏的“冲击波”病毒,发作时还会提示系统将在60秒后自动启动。其实,早在DOS时代就有不少病毒能够自动重启你的计算机。
对于是否属于病毒破坏,我们可以使用最新版的杀毒软件进行杀毒,一般都会发现病毒存在。当然,还有一种可能是当你上网时被人恶意侵入了你的计算机,并放置了木马程序。这样对方能够从远程控制你计算机的一切活动,当然也包括让你的计算机重新启动。对于有些木马,不容易清除,最好重新安装操作系统。
2.系统文件损坏
当系统文件被破坏时,如Win2K下的KERNEL32.DLL,Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏,系统在启动时会因此无法完成初始化而强迫重新启动。你可以做个试验,把WIN98目录下的字库“FONTS”改名试一试。当你再次开机时,我们的计算机就会不断的重复启动。
对于这种故障,因为无法进入正常的桌面,只能覆盖安装或重新安装。
3.定时软件或计划任务软件起作用
如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时,当定时时刻到来时,计算机也会再次启动。对于这种情况,我们可以打开“启动”项,检查里面有没有自己不熟悉的执行文件或其他定时工作程序,将其屏蔽后再开机检查。当然,我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。
二、硬件1.市电电压不稳
一般家用计算机的开关电源工作电压范围为170V-240V,当市电电压低于170V时,计算机就会自动重启或关机。因为市电电压的波动我们有时感觉不到,所以就会误认为计算机莫名其妙的自动重启了。
解决方法:对于经常性供电不稳的地区,我们可以购置UPS电源或130-260V的宽幅开关电源来保证计算机稳定工作。
2.插排或电源插座的质量差,接触不良
市面上的电源插排多数质量不好,内部的接点都是采用手工焊接,并且常采用酸性助焊剂,这样容易导致在以后的使用中焊点氧化引起断路或者火线和零线之间漏电。因为手工焊接,同时因为采用的磷黄铜片弹性差,用不了多长时间就容易失去弹性,致使与主机或显示器的电源插头接触不良而产生较大的接触电阻,在长时间工作时就会大量发热而导致虚接,这时就会表现为主机重新启动或显示器黑屏闪烁。
还有一个可能是我们家里使用的墙壁插座,多数墙壁插座的安装都不是使用专业人员,所以插座内部的接线非常的不标准,特别这些插座如果我们经常使用大功率的电暖器时就很容易导致内部发热氧化虚接而形成间歇性的断电,引起计算机重启或显示器眨眼现象。
解决方法:
① 不要图省钱而购买价廉不物美的电源排插,购买一些名牌的电源插排,因为其内部都是机器自动安装压接的,没有采用手工焊接。
② 对于是否属于墙壁插座内部虚接的问题,我们可以把主机换一个墙壁插座试一试,看是否存在同样的自动重启问题。
3.计算机电源的功率不足或性能差
这种情况也比较常见,特别是当我们为自己主机增添了新的设备后,如更换了高档的显卡,增加了刻录机,添加了硬盘后,就很容易出现。当主机全速工作,比如运行大型的3D游戏,进行高速刻录或准备读取光盘,刚刚启动时,双硬盘对拷数据,就可能会因为瞬时电源功率不足而引起电源保护而停止输出,但由于当电源停止输出后,负载减轻,这时电源再次启动。因为保护后的恢复时间很短,所以给我们的表现就是主机自动重启。
还有一种情况,是主机开关电源性能差,虽然电压是稳定的也在正常允许范围之内,但因为其输出电源中谐波含量过大,也会导致主机经常性的死机或重启。对于这种情况我们使用万用表测试其电压时是正常的,最好更换一台优良的电源进行替换排除。
解决方法:现换高质量大功率计算机电源。
4.主机开关电源的市电插头松动,接触不良,没有插紧
这种情况,多数都会出现在DIY机器上,主机电源所配的电源线没有经过3C认证,与电源插座不配套。当我们晃动桌子或触摸主机时就会出现主机自动重启,一般还会伴有轻微的电打火的“啪啪”声。
解决方法:更换优质的3C认证电源线。
5.主板的电源ATX20插座有虚焊,接触不良
这种故障不常见,但的确存在,主要是在主机正常工作时,左右移动ATX20针插头,看主机是否会自动重启。同时还要检查20针的电源插头内部的簧片是否有氧化现象,这也很容易导致接触电阻大,接触不良,引起主机死机或重启。有时还需要检查20针插头尾部的连接线,是否都牢K。
解决方法:
① 如果是主板焊点虚焊,直接用电烙铁补焊就可以了。注意:在对主板、硬盘、显卡等计算机板卡焊接时,一定要将电烙铁良好接地,或者在焊接时拔下电源插头。
② 如果是电源的问题,最好是更换一台好的电源。
6.CPU问题
CPU内部部分功能电路损坏,二级缓存损坏时,计算机也能启动,甚至还会进入正常的桌面进行正常操作,但当进行某一特殊功能时就会重启或死机,如画表,播放VCD,玩游戏等。
解决办法:试着在CMOS中屏蔽二级缓存(L2)或一级缓存(L1),看主机是否能够正常运行;再不就是直接用好的CPU进行替换排除。如果屏蔽后能够正常运行,还是可以凑合着使用,虽然速度慢些,但必竟省钱了。
7.内存问题
内存条上如果某个芯片不完全损坏时,很有可能会通过自检(必竟多数都设置了POST),但是在运行时就会因为内存发热量大而导致功能失效而意外重启。多数时候内存损坏时开机会报警,但内存损坏后不报警,不加电的故障都还是有的。最好使用排除法,能够快速确定故障部位。
8.光驱问题
如果光驱内部损坏时,也会导致主机启动缓慢或不能通过自检,也可能是在工作过程中突然重启。对于后一种情况如果是我们更换了光驱后出现的,很有可能是光驱的耗电量不同而引起的。大家需要了解的是,虽然光驱的ATPI接口相同,但不同生产厂家其引脚定义是不相同的,如果我们的硬盘线有问题时,就可能产生对某一牌子光驱使用没有问题,但对其他牌子光驱就无法工作的情况,这需要大家注意。
9.RESET键质量有问题
如果RESET开关损坏,内部簧片始终处于短接的位置时,主机就无法加电自检。但是当RESET开关弹性减弱或机箱上的按钮按下去不易弹起时,就会出现在使用过程中,因为偶尔的触碰机箱或者在正常使用状态下而主机突然重启。所以,当RESET开关不能按动自如时,我们一定要仔细检查,最好更换新的RESET按钮开关或对机箱的外部按钮进行加油润滑处理。
还有一种情况,是因为机箱内的RESET开关引线在焊接时绝缘层剥离过多,再加上使用过程中多次拆箱就会造成RESET开关线距离过近而引起碰撞,导致主机自动重启。
10.接入网卡或并口、串口、USB接口接入外部设备时自动重启
这种情况一般是因为外设有故障,比如打印机的并口损坏,某一脚对地短路,USB设备损坏对地短路,网卡做工不标准等,当我们使用这些设备时,就会因为突然的电源短路而引起计算机重启。
三、其他原因1.散热不良或测温失灵
CPU散热不良,经常出现的问题就是CPU的散热器固定卡子脱落,CPU散热器与CPU接触之间有异物,CPU风扇长时间使用后散热器积尘太多,这些情况都会导致CPU散热不良,积聚温度过高而自动重启。
还有就是CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏,主板上的BIOS有BUG在某一特殊条件下测温不准,这些都会引起主机在工作过程中自动保护性重启。
最后就是我们在CMOS中设置的CPU保护温度过低也会引起主机自动重启。
2.风扇测速失灵
当CPU风扇的测速电路损坏或测速线间歇性断路时,因为主板检测不到风扇的转速就会误以为风扇停转而自动关机或重启,但我们检查时可能看到CPU风扇转动正常,并且测速也正常。
3.强磁干扰
不要小看电磁干扰,许多时候我们的电脑死机和重启也是因为干扰造成的,这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰,也有来自外部的动力线,变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良,就会出现主机意外重启或频繁死机的现象 。
让XP的键盘说话!一个罕见的功能!
长期面对无声的电脑,我们难免疲倦。如果正在输入的内容被系统一
字(字母)不差地念出来,你还能在无声的疲倦中输入错误的内容吗?本文以
Windows 2000/XP中一个鲜为人知的“讲述人”为例教你DIY一个完全免费的语音
键盘。
在“运行”中输入“narrator”,点“确定”,首先弹出的是一条警告信息,不予睬,
点“确定”跳过后便请出本文的主角──“讲述人”。如果你的音箱已经打开,听到
了什么?不想听的话就按一下Ctrl键。再按任意键试试,你输入的字母键被系统
用标准的美国英语读了出来,这时一个完全免费的语音键盘就诞生在你的手中
了,有兴趣的朋友不妨试试。
Windows XP 启动过程概述
在按下计算机电源使计算机启动,并且在Windows XP专业版操作系统启动之前这段时间,我们称之为预引导(Pre-Boot)阶段,在这个阶段里,计算机首先运行Power On Self Test(POST),POST检测系统的总内存以及其他硬件设备的现状。
从按下计算机开关启动计算机,到登入到桌面完成启动,一共经过了以下几个阶段:
1. 预引导(Pre-Boot)阶段;
2. 引导阶段;
3. 加载内核阶段;
4. 初始化内核阶段;
5. 登陆。
每个启动阶段的详细介绍
a) 预引导阶段
在按下计算机电源使计算机启动,并且在Windows XP专业版操作系统启动之前这段时间,我们称之为预引导(Pre-Boot)阶段,在这个阶段里,计算机首先运行Power On Self Test(POST),POST检测系统的总内存以及其他硬件设备的现状。如果计算机系统的BIOS(基础输入/输出系统)是即插即用的,那么计算机硬件设备将经过检验以及完成配置。计算机的基础输入/输出系统(BIOS)定位计算机的引导设备,然后MBR(Master Boot Record)被加载并运行。在预引导阶段,计算机要加载Windows XP的NTLDR文件。
b) 引导阶段
Windows XP Professional引导阶段包含4个小的阶段。
首先,计算机要经过初始引导加载器阶段(Initial Boot Loader),在这个阶段里,NTLDR将计算机微处理器从实模式转换为32位平面内存模式。在实模式中,系统为MS-DOS保留640kb内存,其余内存视为扩展内存,而在32位平面内存模式中,系统(Windows XP Professional)视所有内存为可用内存。接着,NTLDR启动内建的mini-file system drivers,通过这个步骤,使NTLDR可以识别每一个用NTFS或者FAT文件系统格式化的分区,以便发现以及加载Windows XP Professional,到这里,初始引导加载器阶段就结束了。
接着系统来到了操作系统选择阶段,如果计算机安装了不止一个操作系统(也就是多系统),而且正确设置了boot.ini使系统提供操作系统选择的条件下,计算机显示器会显示一个操作系统选单,这是NTLDR读取boot.ini的结果。(至于操作系统选单,由于暂时条件不够,没办法截图,但是笔者模拟了一个,见图一。)
在boot.ini中,主要包含以下内容:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Windows Windows 2000 Professional"
.
其中,multi(0)表示磁盘控制器,disk(0)rdisk(0)表示磁盘,partition(x)表示分区。NTLDR就是从这里查找Windows XP Professional的系统文件的位置的。(*本文不会更详细地讲解boot.ini的组成结构,因为其与本主题关系不大,如果想了解,可以到一些专门的网站处查询相关信息。)如果在boot.ini中只有一个操作系统选项,或者把timeout值设为0,则系统不出现操作系统选择菜单,直接引导到那个唯一的系统或者默认的系统。在选择启动Windows XP Professional后,操作系统选择阶段结束,硬件检测阶段开始。
在硬件检测阶段中,ntdetect.com将收集计算机硬件信息列表并将列表返回到NTLDR,这样做的目的是便于以后将这些硬件信息加入到注册表HKEY_LOCAL_MACHINE下的hardware中。
硬件检测完成后,进入配置选择阶段。如果计算机含有多个硬件配置文件列表,可以通过按上下按钮来选择。如果只有一个硬件配置文件,计算机不显示此屏幕而直接使用默认的配置文件加载Windows XP专业版。
引导阶段结束。在引导阶段,系统要用到的文件一共有:NTLDR,Boot.ini,ntdetect.com,ntokrnl.exe,Ntbootdd.sys,bootsect.dos(可选的)。
c) 加载内核阶段
在加载内核阶段,ntldr加载称为Windows XP内核的ntokrnl.exe。系统加载了Windows XP内核但是没有将它初始化。接着ntldr加载硬件抽象层(HAL,hal.dll),然后,系统继续加载HKEY_LOCAL_MACHINE\system键,NTLDR读取select键来决定哪一个Control Set将被加载。控制集中包含设备的驱动程序以及需要加载的服务。NTLDR加载HKEY_LOCAL_MACHINE\system\service\...下start键值为0的最底层设备驱动。当作为Control Set的镜像的Current Control Set被加载时,ntldr传递控制给内核,初始化内核阶段就开始了。
d) 初始化内核阶段
在初始化内核阶段开始的时候,彩色的Windows XP的logo以及进度条显示在屏幕中央,在这个阶段,系统完成了启动的4项任务:
内核使用在硬件检测时收集到的数据来创建了HKEY_LOCAL_MACHINE\HARDWARE键。
内核通过引用HKEY_LOCAL_MACHINE\system\Current的默认值复制Control Set来创建了Clone Control Set。Clone Control Set配置是计算机数据的备份,不包括启动中的改变,也不会被修改。
系统完成初始化以及加载设备驱动程序,内核初始化那些在加载内核阶段被加载的底层驱动程序,然后内核扫描HKEY_LOCAL_MACHINE\system\CurrentControlSet\service\...下start键值为1的设备驱动程序。这些设备驱动程序在加载的时候便完成初始化,如果有错误发生,内核使用ErrorControl键值来决定如何处理,值为3时,错误标志为危机/关键,系统初次遇到错误会以LastKnownGood Control Set重新启动,如果使用LastKnownGood Control Set启动仍然产生错误,系统报告启动失败,错误信息将被显示,系统停止启动;值为2时错误情况为严重,系统启动失败并且以LastKnownGood Control Set重新启动,如果系统启动已经在使用LastKnownGood值,它会忽略错误并且继续启动;当值是1的时候错误为普通,系统会产生一个错误信息,但是仍然会忽略这个错误并且继续启动;当值是0的时候忽略,系统不会显示任何错误信息而继续运行
Session Manager启动了Windows XP高级子系统以及服务,Session Manager启动控制所有输入、输出设备以及访问显示器屏幕的Win32子系统以及Winlogon进程,初始化内核完毕。
e) 登陆
Winlogon.exe启动Local Security Authority,同时Windows XP Professional欢迎屏幕或者登陆对话框显示,这时候,系统还可能在后台继续初始化刚才没有完成的驱动程序。
?提示输入有效的用户名或密码。
?Service Controller最后执行以及扫描HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servives来检查是否还有服务需要加载,Service Controller查找start键值为2或更高的服务,服务按照start的值以及DependOnGroup和DepandOnService的值来加载。
只有用户成功登陆到计算机后,Windows XP的启动才被认为是完成,在成功登陆后,系统拷贝Clone Control Set到LastKnownGood Control Set,完成这一步骤后,系统才意味着已经成功引导了。
实用的网络基本DOS命令。
网络基本DOS命令
一、ping
它是用来检测网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。
下面就来看看它的一些常用的操作。先看看帮助,在DOS窗口中键入:ping /? 回车。在此,我们只需掌握一些基本的却很有用的参数就可以了。
-t 表示将不间断地向目标IP发送数据包,直到我们强迫其停止。
-l 定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。
-n 定义向目标IP发送数据包的次数,默认为3次。
说明一下,如果参数-t和参数-n一起使用,ping命令就以放在后面的参数为标准,比如“ping IP -t -n 3”,虽然使用了-t参数,但并不是一直ping下去,而是只ping 3次。另外,ping命令不一定非得ping IP,也可以直接ping主机域名,这样就可以得到主机的IP。
(小知识:如果TTL=128,则表示目标主机可能是Win2000;如果TTL=250,则目标主机可能是Unix)
二、nbtstat
该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接,使用这个命令你可以得到远程主机的NETBIOS信息,比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。
-a 使用这个参数,只要你知道了远程主机的机器名称,就可以得到它的NETBIOS信息(下同)。
-A 这个参数也可以得到远程主机的NETBIOS信息,但需要你知道它的IP。
-n 列出本地机器的NETBIOS信息。
三、netstat
这是一个用来查看网络状态的命令,操作简便功能强大。
-a 查看本地机器的所有开放端口,可以有效发现和预防木马,可以知道机器所开的服务等信息。这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法:netstat -a IP。
-r 列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。用法:netstat -r IP。
四、tracert
跟踪路由信息,使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对我们了解网络布局和结构很有帮助。用法:tracert IP。
五、net
这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,因为它的功能实在是太强大了,这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令,键入net /?回车。在这里,我们重点掌握几个入侵常用的子命令:
net view
使用此命令查看远程主机的所以共享资源。命令格式为net view \IP。
net use
把远程主机的某个共享资源映射为本地盘符,图形界面方便使用,呵呵。命令格式为net use x: \IPsharename。
net start
使用它来启动远程主机上的服务。当你和远程主机建立连接后,如果发现它的什么服务没有启动,而你又想利用此服务怎么办?就使用这个命令来启动吧。用法:net start servername。
net stop
入侵后发现远程主机的某个服务碍手碍脚,怎么办?利用这个命令停掉就ok了,用法和net start同。
net user
查看和帐户有关的情况,包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。
1、net user abcd 1234 /add,新建一个用户名为abcd,密码为1234的帐户,默认为user组成员。
2、net user abcd /del,将用户名为abcd的用户删除。
3、net user abcd /active:no,将用户名为abcd的用户禁用。
4、net user abcd /active:yes,激活用户名为abcd的用户。
5、net user abcd,查看用户名为abcd的用户的情况
net localgroup
查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。
net time
这个命令可以查看远程主机当前的时间。
六、at
这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序(知道net time的重要了吧?)。当我们知道了远程主机的当前时间,就可以利用此命令让其在以后的某个时间(比如2分钟后)执行某个程序和命令。用法:at time command \computer。
七、ftp
首先在命令行键入ftp回车,出现ftp的提示符,这时候可以键入“help”来查看帮助(任何DOS命令都可以使用此方法查看其帮助)。
大家可能看到了,这么多命令该怎么用?其实也用不到那么多,掌握几个基本的就够了。
首先是登陆过程,这就要用到open了,直接在ftp的提示符下输入“open 主机IP ftp端口”回车即可,一般端口默认都是21,可以不写。接着就是输入合法的用户名和密码进行登陆了。
用户名和密码都是ftp,密码是不显示的。当提示**** logged in时,就说明登陆成功。
接下来就要介绍具体命令的使用方法了。
dir 跟DOS命令一样,用于查看服务器的文件,直接敲上dir回车,就可以看到此ftp服务器上的文件。
cd 进入某个文件夹。
get 下载文件到本地机器。
put 上传文件到远程服务器。
delete 删除远程ftp服务器上的文件。
bye 退出当前连接。
quit 同上。
八、telnet
功能强大的远程登陆命令,几乎所有的入侵者都喜欢用它,屡试不爽。为什么?它操作简单,如同使用自己的机器一样,只要你熟悉DOS命令,在成功以Administrator身份连接了远程机器后,就可以用它来干你想干的一切了。下面介绍一下使用方法,首先键入telnet回车,再键入help查看其帮助信息。
然后在提示符下键入open IP回车,这时就出现了登陆窗口,让你输入合法的用户名和密码,这里输入任何密码都是不显示的。
详细端口分配列表
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、UUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E- MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd
等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的
这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是
FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服
务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉
到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于 IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。 Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些 人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于 2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询
端口:1503
服务:NetMeeting T.120
说明:NetMeeting T.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看是否会给你一个SHELL。连接到 600/pcserver也存在这个问题。
端口:1600
服务:issd
说明:木马Shivka-Burka开放此端口。
端口:1720
服务:NetMeeting
说明:NetMeeting H.233 call Setup。
端口:1731
服务:NetMeeting Audio Call Control
说明:NetMeeting音频调用控制。
端口:1807
服务:[NULL]
说明:木马SpySender开放此端口。
端口:1981
服务:[NULL]
说明:木马ShockRave开放此端口。
端口:1999
服务:cisco identification port
说明:木马BackDoor开放此端口。
端口:2000
服务:[NULL]
说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口:2001
服务:[NULL]
说明:木马Millenium 1.0、Trojan Cow开放此端口。
端口:2023
服务:xinuexpansion 4
说明:木马Pass Ripper开放此端口。
端口:2049
服务:NFS
说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
端口:2115
服务:[NULL]
说明:木马Bugs开放此端口。
端口:2140、3150
服务:[NULL]
说明:木马Deep Throat 1.0/3.0开放此端口。
端口:2500
服务:RPC client using a fixed port session replication
说明:应用固定端口会话复制的RPC客户
端口:2583
服务:[NULL]
说明:木马Wincrash 2.0开放此端口。
端口:2801
服务:[NULL]
说明:木马Phineas Phucker开放此端口。
端口:3024、4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、 8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口:3129
服务:[NULL]
说明:木马Master Paradise开放此端口。
端口:3150
服务:[NULL]
说明:木马The Invasor开放此端口。
端口:3210、4321
服务:[NULL]
说明:木马SchoolBus开放此端口
端口:3333
服务:dec-notes
说明:木马Prosiak开放此端口
端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。
端口:3700
服务:[NULL]
说明:木马Portal of Doom开放此端口
端口:3996、4060
服务:[NULL]
说明:木马RemoteAnything开放此端口
端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此端口。
端口:4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:4590
服务:[NULL]
说明:木马ICQTrojan开放此端口。
端口:5000、5001、5321、50505
服务:[NULL]
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口:5400、5401、5402
服务:[NULL]
说明:木马Blade Runner开放此端口。
端口:5550
服务:[NULL]
说明:木马xtcp开放此端口。
端口:5569
服务:[NULL]
说明:木马Robo-Hack开放此端口。
端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看 这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口 22的UDP数据包。
端口:5742
服务:[NULL]
说明:木马WinCrash1.03开放此端口。
端口:6267
服务:[NULL]
说明:木马广外女生开放此端口。
端口:6400
服务:[NULL]
说明:木马The tHing开放此端口。
端口:6670、6671
服务:[NULL]
说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
端口:6883
服务:[NULL]
说明:木马DeltaSource开放此端口。
端口:6969
服务:[NULL]
说明:木马Gatecrasher、Priority开放此端口。
端口:6970
服务:RealAudio
说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
端口:7000
服务:[NULL]
说明:木马Remote Grab开放此端口。
端口:7300、7301、7306、7307、7308
服务:[NULL]
说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口:7323
服务:[NULL]
说明:Sygate服务器端口。
端口:7626
服务:[NULL]
说明:木马Giscier开放此端口。
端口:7789
服务:[NULL]
说明:木马ICKiller开放此端口。
端口:8000
服务:OICQ
说明:腾讯QQ服务器端开放此端口。 '
端口:8010
服务:Wingate
说明:Wingate代理开放此端口。
端口:8080
服务:代理端口
说明:WWW代理开放此端口。
端口:9400、9401、9402
服务:[NULL]
说明:木马Incommand 1.0开放此端口。
端口:9872、9873、9874、9875、10067、10167
服务:[NULL]
说明:木马Portal of Doom开放此端口
端口:9989
服务:[NULL]
说明:木马iNi-Killer开放此端口。
端口:11000
服务:[NULL]
说明:木马SennaSpy开放此端口。
端口:11223
服务:[NULL]
说明:木马Progenic trojan开放此端口。
端口:12076、61466
服务:[NULL]
说明:木马Telecommando开放此端口。
端口:12223
服务:[NULL]
说明:木马Hack'99 KeyLogger开放此端口。
端口:12345、12346
服务:[NULL]
说明:木马NetBus1.60/1.70、GabanBus开放此端口。
端口:12361
服务:[NULL]
说明:木马Whack-a-mole开放此端口。
端口:13223
服务:PowWow
说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。
端口:16969
服务:[NULL]
说明:木马Priority开放此端口。
端口:17027
服务:Conducent
说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。 Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
端口:19191
服务:[NULL]
说明:木马蓝色火焰开放此端口。
端口:20000、20001
服务:[NULL]
说明:木马Millennium开放此端口。
端口:20034
服务:[NULL]
说明:木马NetBus Pro开放此端口。
端口:21554
服务:[NULL]
说明:木马GirlFriend开放此端口。
端口:22222
服务:[NULL]
说明:木马Prosiak开放此端口。
端口:23456
服务:[NULL]
说明:木马Evil FTP、Ugly FTP开放此端口。
端口:26274、47262
服务:[NULL]
说明:木马Delta开放此端口。
端口:27374
服务:[NULL]
说明:木马Subseven 2.1开放此端口。
端口:30100
服务:[NULL]
说明:木马NetSphere开放此端口。
端口:30303
服务:[NULL]
说明:木马Socket23开放此端口。
端口:30999
服务:[NULL]
说明:木马Kuang开放此端口。
端口:31337、31338
服务:[NULL]
说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
端口:31339
服务:[NULL]
说明:木马NetSpy DK开放此端口。
端口:31666
服务:[NULL]
说明:木马BOWhack开放此端口。
端口:33333
服务:[NULL]
说明:木马Prosiak开放此端口。
端口:34324
服务:[NULL]
说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。
端口:40412
服务:[NULL]
说明:木马The Spy开放此端口。
端口:40421、40422、40423、40426、
服务:[NULL]
说明:木马Masters Paradise开放此端口。
端口:43210、54321
服务:[NULL]
说明:木马SchoolBus 1.0/2.0开放此端口。
端口:44445
服务:[NULL]
说明:木马Happypig开放此端口。
端口:50766
服务:[NULL]
说明:木马Fore开放此端口。
端口:53001
服务:[NULL]
说明:木马Remote Windows Shutdown开放此端口。
端口:65000
服务:[NULL]
说明:木马Devil 1.03开放此端口。
端口:88
说明:Kerberos krb5。另外TCP的88端口也是这个用途。
端口:137
说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
端口:161
说明:Simple Network Management Protocol(SMTP)(简单网络管理协议)
端口:162
说明:SNMP Trap(SNMP陷阱)
端口:445
说明:Common Internet File System(CIFS)(公共Internet文件系统)
端口:464
说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。
端口:500
说明:Internet Key Exchange(IKE)(Internet密钥交换)
端口:1645、1812
说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
端口:1646、1813
说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问))
端口:1701
说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
端口:1801、3527
说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
端口:2504
说明:Network Load Balancing(网络平衡负荷)
一、开始→运行→输入的命令集锦
gpedit.msc-----组策略
sndrec32-------录音机
Nslookup-------IP地址侦测器
explorer-------打开资源管理器
logoff---------注销命令
tsshutdn-------60秒倒计时关机命令
lusrmgr.msc----本机用户和组
services.msc---本地服务设置
oobe/msoobe /a----检查XP是否激活
notepad--------打开记事本
cleanmgr-------垃圾整理
net start messenger----开始信使服务
compmgmt.msc---计算机管理
net stop messenger-----停止信使服务
conf-----------启动 netmeeting
dvdplay--------DVD播放器
charmap--------启动字符映射表
diskmgmt.msc---磁盘管理实用程序
calc-----------启动计算器
dfrg.msc-------磁盘碎片整理程序
chkdsk.exe-----Chkdsk磁盘检查
devmgmt.msc--- 设备管理器
regsvr32 /u *.dll----停止dll文件运行
drwtsn32------ 系统医生
rononce -p ----15秒关机
dxdiag---------检查DirectX信息
regedt32-------注册表编辑器
Msconfig.exe---系统配置实用程序
rsop.msc-------组策略结果集
mem.exe--------显示内存使用情况
regedit.exe----注册表
winchat--------XP自带局域网聊天
progman--------程序管理器
winmsd---------系统信息
perfmon.msc----计算机性能监测程序
winver---------检查Windows版本
sfc /scannow-----扫描错误并复原
taskmgr-----任务管理器(2000/xp/2003)
硬盘故障分析及日常维护全攻略
一.硬盘零磁道与分区表的修复
零磁道处于硬盘上一个非常重要的位置,硬盘的主引导记录区(MBR)就在这个位置上。MBR位于硬盘的0磁道0柱面1扇区,其中存放着硬盘主引导程序和硬盘分区表。在总共512字节的硬盘主引导记录扇区中,446字节属于硬盘主引导程序,64字节属于硬盘分区表(DPT),两个字节(55 AA)属于分区结束标志。由此可见,零磁道一旦受损,将使硬盘的主引导程序和分区表信息遭到严重破坏,从而导致硬盘无法自举。
零磁道损坏属于硬盘坏道之一,只不过由于它的位置太重要,因而一旦遭到破坏,就会产生严重的后果。
通常的维修方法是通过Pctools9.0的DE(磁盘编辑器)来修复(或者类似的可以对磁盘扇区进行编辑的工具也可以),其方法如下:
用Windows 9x启动盘启动,插入含有Pctools9.0的光盘。运行PCT90目录下的de.exe,先进入“Options”菜单,选“Configuration”(配置)命令,按下“空格”键去掉Read Only(只读)前面的勾(按Tab键切换),之后,保存退出。
接着选择并执行主菜单“Select”(选择)中的Drive(驱动器),进去之后在“Drive type”(驱动器类型)项中,选择Physical(物理的),并按空格选定,再按“Tab”键切换到“Drives”项,选中“Hard disk”(硬盘),最后,选择“OK”并回车。
之后,回到主菜单中,打开“Select”菜单,这时会出现Partition Table(分区表),选中并进入,之后出现硬盘分区表信息。如果硬盘有两个分区,l分区就是C盘,该分区是从硬盘的0柱面开始的,那么,将1分区的Beginning Cylinder(起始柱面)的0改成1就可以了。保存后退出。
要注意的是,在修改之前先将硬盘上的重要资料备份出来。重新启动,按Delete键进入回CMOS设置,选“IDE AUTO DETECT”,可以看到CYLS数比原来减少了1,之后,保存设置并退出。重新分区、格式化,即可救活硬盘。
需要注意的是:由于DE工具仅对FAT16分区的硬盘有效,因此,对于FAT32分区的硬盘来说,可以通过分区大师(PQ)等磁盘工具,将FAR32转换为FAT16,然后再对其进行处理。
另外,有人还探索出了通过修改硬盘电机定位系统来改变零磁道位置和通过电路调整来改变磁头的分配逻辑,以达到重新定位零磁道的目的。当然这需要更深厚的硬件水平,实现起来也比较复杂。
分区表损坏的修复
硬盘主引导记录所在的扇区也是病毒重点攻击的地方,通过破坏主引导扇区中的DPT(分区表),即可轻易地损毁硬盘分区信息。分区表的损坏通常来说不是物理损坏,而是分区数据被破坏。因此,通常情况下,可以用软件来修复。
通常情况下,硬盘分区之后,备份一份分区表至软盘、光盘或者USB盘上是极为明智的。这个方面,国内著名的杀毒软件KV3000系列和瑞星都提供了完整的解决方案。另外,对于没有备份分区表的硬盘,也提供了相应的修复方法,不过成功率相对较低。
另外,中文磁盘工具DiskMan在这方面也是行家里手。重建分区表作为它的一个“杀手锏”功能,非常适合用来修复分区表损坏。
对于硬盘分区表被分区调整软件(或病毒)严重破坏,引起硬盘和系统瘫痪,DiskMan可通过未被破坏的分区引导记录信息重新建立分区表。在菜单的工具栏中选择“重建分区表”,DiskMan即开始搜索并重建分区。DiskMan将首先搜索0柱面0磁头从2扇区开始的隐含扇区,寻找被病毒挪动过的分区表。接下来搜索每个磁头的第一个扇区。搜索过程可以采用“自动”或“交互”两种方式进行。自动方式保留发现的每一个分区,适用于大多数情况。交互方式对发现的每一个分区都给出提示,由用户选择是否保留。当自动方式重建的分区表不正确时,可以采用交互方式重新搜索。
但是,需要注意的是,重建分区表功能不能做到百分之百的修复分区表,除非你以前曾经备份过分区表,然后通过还原以前备份的分区表来修复分区表损坏。因此可见,平时备份一份分区表是多么的必要!
二.硬盘不能分区
用FDISK给硬盘重新分区时,遇到了一件非常奇怪的事情,就是原扩展分区怎么也删不掉(用的是品牌机)!
用软盘启动电脑,进入FDISK,发现该硬盘的容量为40GB,扩展分区占了25GB,没有逻辑盘(早被他删了)。于是依次进入“Delete partition Or Longical Dos Drive——Delete Extended Dos partition”菜单,删除扩展分区,然而却提示“Cannot delete Extended Dos partitionWhile logical drives exist”(当逻辑盘存在时不能删除扩展分区),咦,怎么回事?不是没有逻辑盘吗!为了再次确认,我又依次进入“Delete partition Or Longical Dos Drive——Delete Logical Dos Drive(s)in the Extended Dos partition”菜单,删除逻辑盘,却提示“No logical drives defined”(没有定义的逻辑盘)。
许多电脑厂商为了减轻顾客重装系统的苦恼,将系统装好后做了备份,放到一个专门的分区里,莫不是该品牌电脑也有个专门存放备份系统的分区,而且被隐藏起来了?由于FDISK本身不能查看分区是否隐藏,只好借助PQmagic工具软件,进入PQmagic查看硬盘,果然有一个分区被隐藏了,点击取消隐藏后退出PQmagic。当再次进入FDISK后,发现了一个逻辑盘,进入“Delete partition Or Longical Dos Drive——Delete Logical Dos Drive(s)in the Extended Dos partition”菜单,删掉逻辑盘。又进入“Delete partition Or Longical Dos Drive——Delete Extended Dos partition”菜单中,扩展分区终于被成功删除。
三.报废硬盘维修实例
微机对硬盘自检的故障提示一般有两种:一种是“HDD Not Detected(没有检测到硬盘)”,另一种是“HDD Control Error(硬盘控制错误)”。现介绍具体的修复步骤。
先用水洗净双手,目的是洗净手上的油迹与汗迹,同时泄放掉人体可能残存的静电。最好能戴一双医用手套再进行操作。本人的15只硬盘在自检时均能听到磁盘旋转的声音。磁盘能正常旋转,估计主电机和控制电路板均无故障。对于“HDD Not Detected”错误提示的硬盘,首先检查硬盘外部数据信号线的接口是否有变形,接口焊点是否存在虚焊。排除以上的可能后,取下硬盘后盖,露出电路控制板。拧下控制板上的固定螺丝,将控制板与硬盘主体分离。这时可以看见硬盘主体的两排弹簧片。一排作为主电机的电源,另一排作为硬盘主体的磁头机械臂驱动线圈电源以及硬盘主体与电路控制板间数据传输接口。对于无特殊封装的硬盘,往往可以看见弹簧片与控制电路板对应部位均有灰尘。用脱脂棉蘸无水酒精清洁,对弹簧片变形的部位校形,并除去氧化层。本人的7只硬盘经以上处理后,均恢复正常。
如果以上处理无效,那就得打开硬盘主体。选取一个灰尘很少的环境,拧开硬盘前盖的螺丝(有的是用胶粘牢)。取下硬盘的前盖,这时就可清楚地看到盘面。首先用数字万用表检测磁头机械臂驱动线圈是否断路。该线圈的正常阻值为20Ω左右。其次检测磁头上的连线是否断开。每张盘面的两侧均有一个磁头,每个磁头均有两根连线接到磁头机械臂上的集成芯片上。该芯片常见的型号为H1710Q,作用是将磁信号转变为电信号,再送到电路控制板处理。磁头阻值应在23Ω~26Ω之间。若磁头阻值较大,说明磁头损坏。磁头连线与芯片H1710Q相连,H1710Q对应脚阻值应在1.7kΩ左右,若在1.2kΩ以下说明该芯片已被击穿,可与排线一起更换。
若磁头上的连线断路,可用∮0.2mm的优质漆包线取代。一端压在磁头的金属弹片上,另一端焊在H1710Q相应的脚上。注意将漆包线卡在机械臂相应的卡槽内,并用少许502胶水固定,防止硬盘转动时与漆包线相摩擦。将硬盘各部分复原后,最后用702硅胶将硬盘周围封死,防止灰尘进入。由于磁头体积很小,不易将漆包线卡在上面,最好在放大镜下操作。在本人的废硬盘中,有两只系磁头上的连线损坏。本人在卡漆包线时由于用力过猛,造成一只磁头损坏,因此只修复好一只硬盘,开机后恢复正常。
对于提示“HDD Controller Error”错误的硬盘,大都是由于某种原因造成硬盘主引导记录(MBR)上文件受损。MBR位于0磁头/0柱面/1扇区上,由FDISK.EXE对硬盘分区时生成。若MBR受损,微机会提示HDD Controller Error,实际上是零磁道上文件损坏,这时格式化是解决不了问题的,必须用专用软件来处理。首先用系统盘在A盘启动后,运行Scandisk命令检查C盘。
若零磁道未损坏,只需用Norton8.0软件将该磁道上的文件修复即可。具体作法为:找一台内置硬盘与待修硬盘型号规格完全相同且装有Norton8.0版软件的电脑,将待修硬盘与硬盘电源线相连接,但硬盘信号线不接,跳线不变。1)开机后运行Disk Edit命令,从菜单Tools中点取CONFIGURATION项,将Read Only项取消,2)从下拉菜单O-biect中选取Driver项,将Hard Disk类型设置为Physical Disk,点击OK项确定;3)从Ob-ject菜单中选取Partition Table项,将接在完好硬盘上的信号线拔下,接到待修硬盘上,点击OK项确定。4)选择Hard Disk1点击OK项确定,再从Write Ob-ject to Physical Sectors对话框中将Cylinder、Side、Sector分别设置成0、0、1点击OK项确定。当出现Warning对话框时选Yes项。退出Norton软件,这样就将硬盘的主引导信息恢复。重新启动,硬盘恢复正常,原硬盘内的文件也不会丢失。
若零磁道损坏的硬盘,先仍按上述步骤用Nor-ton8.0软件处理,只是到了第三步时,将Cylinder、Side、Sector分别设置成1、0、1点击OK项确定。当出现Warning对话框时选Yes项。退出Norton软件,重新启动计算机,在CMOS设置硬盘自动检测一栏中可以看到,CYLS数值减少了1个。如原来CYLS为2112,则变为2111。说明原硬盘分区表是从C盘的0柱面开始,现从1柱面开始。保存CMOS设置后退出。重新分区、格式化后硬盘恢复正常。另有3块硬盘,自检时提示“HDD Controller Er-ror”。采用以上方法处理无效,只能报废。同行们手中若有坏硬盘,先不必废弃,可先按以上的方法维修,相信会有意想不到的收获。
四.硬盘维护全攻略
前段时候的IBM硬盘事件,可能许多受害者还记忆犹新、心有余悸吧。硬盘,也一度成为电脑中最脆弱、最娇贵的配件了,PCPOP上公布的三段IBM硬盘损坏的工作声音使我们毛骨悚然。由于硬盘存有用户的重要资料,所以,每个人都会尽自己所能地挽救硬盘。在BBS中,我们也常会看到许多人向大虾求救,询问维修的方法。而很多人却不负责任,很粗略地说了一下。完全不能解决用户的难题。针对这个迫在眉睫的问题,我们故将目前所常见的硬盘故障和其解决方法罗列以下,旨在将用户的损失降到最低。
硬盘常坏在哪里?
首先我们要搞清楚,硬盘常坏在哪里,是怎么坏的,这样才能对症下药,达到事半功倍的效果。
1、逻辑坏道:俗称“软坏道”。是由软件安装或使用错误造成的,一般对硬盘本身不会造成太大的危害。
2、物理坏道:这类坏道就是前段IBM硬盘事件的普遍症状。磁头和磁盘间的间隙仅有0.015~0.025 μm ,这么小的间隙,硬盘在运输途中,如果受到强烈颠簸,会使硬盘产生物理坏道。除此以外,人为的错误也会使一块硬盘报废。一些粗心大意的人在装机时,硬盘螺丝没有拧紧,为日后的使用埋下了隐患。硬盘工作时的震动也会造成物理坏道的产生。
3、零磁道故障:众所周知,硬盘读盘都是从0磁道开始的。如果0磁道损坏,就会造成硬盘不能读盘、开机不能找到硬盘等等。
以上三种算是硬盘常见的疑难症状。逻辑坏道算是硬盘故障中的伤寒而已,一般很容易解决,用Windows的磁盘扫描程序就能解决。如果无法“扫到病除”,大不了FORMAT硬盘、重装系统,也可以摆平。但对于物理坏道和零磁道故障,我们就得花费点时间和精力了。
症状一:在你打开某一文件或运行某一程序时,硬盘反复读盘且出错,或者要经过九牛二虎之力才能成功。与此同时,硬盘会发出异样的杂音;启动时不能通过硬盘引导系统,用软盘启动后可以转到硬盘盘符,但无法进入,用SYS命令传导系统也不能成功;FORMAT硬盘时,到某一进度停止不前,最后报错,无法完成;对硬盘执行FDISK时,到某一进度会反复进进退退。
这些症状都是物理坏道的常见病症。目前尚无完全修复物理坏道的良药。只能通过修复少量的坏道或屏蔽坏道来缓解这一问题。
1、首先从最简单的方法入手。如果能进入Win9X系统,则使用Win9X自带的磁盘扫描程序,“扫描类型”选择“完全”,对所在分区进行一次完整的“体检”,发现并尽量修复潜在的坏簇。对于以上不能通过硬盘引导,即不能进入Win9X的现象,则可以用Win9X的启动盘启动系统,然后在A:>提示符后键入SCANDISK D:(其中“D”是具体的硬盘盘符)来扫描硬盘。对于坏簇,程序会以黑底红字的“B”(bad)标出。
2、由于Win9X只能修复逻辑坏道,对付物理坏道就有些心有余而力不足了。所以第一步往往不会奏效,但在所有的修复工作中,它却是最重要的。我们可以病症发生在哪个部位。在这些坏道上作好标记,对它疏而远之,惹不起,总躲得起吧。切记第一步中坏道的位置,然后对硬盘Format,将有坏道的区域单独划成一个区,如果坏道不是连续的,而且相距较远,可以将邻近的坏道划在一个区内,甚至可以多划几个区。值得注意的是,不要为吝啬硬盘空间而把含有坏道的区划得过分紧凑,坏道周围应留有适当的“好道”空间作为缓冲。以后就不要在这些危险区域内存取文件了,因为坏道具有扩散性,如果动用与坏道K得过分近的“好道”,那么过不了多久,病情又会扩散了!
3、有些用户可能在硬盘中存储了大量的重要信息,如果亲手把这些价值连城的信息摧毁掉,那岂不是心如刀割?除了Format外,我们是否还有鱼和熊掌兼得的方法?答案是肯定的。我们可以尝试使用PartitionMagic对硬盘进行处理。PartitionMagic允许在不破坏数据的前提下对硬盘重新分区、动态改变分区大小、改变分区的文件格式、隐藏或显示已有分区等等。将PartitionMagic的DOS版拷在软盘上,用WIN9X启动盘引导系统,运行软盘上的PQMAGIC.EXE。由于PartitionMagic中
Operations菜单下的“check”命令也能扫描硬盘,检查坏道,所以我们大可以化烦为简,跳过前两步。检查完毕,标记了坏簇后,在Operations菜单下选择“Advanced/bad Sector Retest”;把坏簇分成一个(或几个)区后,再通过Hide Partition菜单项把含有坏道的分区隐藏,以免在Windows9X中误操作。要特别注意的是,如果没有经过格式化而直接将有坏道的分区隐藏的话,那么该分区的后续分区将由于驱动器盘符的变化而导致其中的一些与盘符有关的程序无法正确运行。解决的办法是利用Tools菜单下的DriveMapper菜单项,它会自动地收集快捷方式和注册表内的相关信息,立即更新应用程序中的驱动器盘符参数,以确保程序的正常运行。这种方法适用于全系列的PartitionMagic,不过,需要提醒大家的是:强烈建议不要使用3.0以下的版本(可能你也找不到这版本了),因为3.0以下的PartitionMagic还很不成熟,会造成执行操作失败、甚至硬盘资料丢失的情况。对于想保留自己信息的用户,可要关注一下啊。
症状二:当你开机时,检测CPU、内存正常后,硬盘不能通过自检,屏幕显示“HDD Controller Error(硬盘控制器故障)”,而后死机。进入BIOS中仍然无法对硬盘进行设置,也找不到硬盘。用Norton、KV3000等软件也无法找到硬盘。
六.硬盘坏道的维修
1、Scandisk磁盘扫描程序是解决硬盘逻辑坏道最常用的手段,而常见的Format命令不能对任何硬盘坏道起到修补作用。如果硬盘出现了坏道,可在Windows系统环境下,在“我的电脑”中选中要处理的硬盘盘符,选择其“属性”,在出现的“工具”按钮中选择“查错状态”,点击“开始检查”,再在“扫描类型”中选“全面检查”,并将“自动修复错误”打上“勾”,然后“开始”既可,它将对硬盘盘面作完全扫描处理,并且对可能出现的坏簇作自动修正。其次,在Dos状态下,硬盘有坏道,计算机在启动时一般会自动运行Scandisk进行扫描,并将坏簇以黑底红字的“B”(bad)标出。如果系统在启动时不进行磁盘扫描或已不能进入Windows系统,也可用软盘或光盘启动盘启动电脑后,在相应的盘符下运行Scandisk *:(注*为要扫描的硬盘盘符),回车后来对相应需要扫描修复的硬盘分区进行修理。
2、诺顿工具箱中的NDD“磁盘医生”及PCTOOLS等相关工具对硬盘进行扫描也是修复硬盘坏道的最常用的方法。
3、如果硬盘上出现了无法修复的坏簇或物理坏道,大家可用一些磁盘软件将这些坏道单独分为一个区并隐藏起来,这样可令你的硬盘延长很多正常的使用寿命。
4、系统显示“TRACK 0 BAD,DISK UNUSABLE”,意思为“零磁道损坏,硬盘无法使用”或用磁盘扫描程序扫描其它硬盘时其0扇区出现红色“B”。硬盘0扇区损坏,可以合理运用一些磁盘软件,把报废的0扇区屏蔽,而用1扇区取而代之就能起到起死回生的效果,这样的软件如Pctools9.0和NU8等等。以Pctools9.0为例来做说明。用盘启动电脑后,运行Pctools9.0目录下的De.exe文件,接着选主菜单Select中的Drive,进去后在Drive type项选Physical,按空格选定,再按Tall键切换到Drives项,选中hard disk,然后OK回车后回到主菜单,打开Select菜单,这时会出现Partition Table,选中进入后出现硬盘分区表信息。该硬盘有两个分区,找到C区,该分区是从硬盘的0柱面开始的,那么,将1分区的Beginning Cylinder的0改成1就可以了,保存后退出。重新启动电脑后按Del键进入回Coms设置,运行“Ide Auto Detect”,可以看到CYLS由782变成781,保存退出后重新分区格式化该硬盘。
七.硬盘出现物理坏道的迹象及修复技巧
对于个人电脑用户来说,硬盘的更新频率一般没有CPU 或显示卡那么快--即使要买新硬盘,老硬盘也要挂在机箱里发挥余热,所以人们最不愿意看到硬盘出故障,尤其是当硬盘中保存了珍贵的数据资料时。硬盘属逻辑损坏倒也罢了,大不了重装软件,但物理损坏呢?其实只要情况不是特别严重,用一些方法处理,一般也能解决问题。
首先来看看硬盘有了物理损伤,也就是有了坏道后有哪些现象:
1.读取某个文件或运行某个软件时经常出错,或者需要经过很长时间才能操作成功,其间硬盘不断读盘并发出刺耳的杂音,这种现象意味着硬盘上载有数据的某些扇区已坏。
2.开机时系统不能通过硬盘引导,软盘启动后可以转到硬盘盘符,但无法进入,用SYS命令传导系统也不能成功。这种情况比较严重,因为很有可能是硬盘的引导扇区出了问题。
3.正常使用计算机时频繁无故出现蓝屏。
对于前面3种情况,我们一般都有办法作或多或少地补救。以下提供了几种方法来对硬盘的坏道作修复,要注意的是,应该优先考虑排在前面的方法。
1).首先从最简单的方法入手。在Windows98的资源管理器中选择硬盘盘符,右击鼠标,在快捷菜单中选择 “属性”,在“工具”项中对硬盘盘面作完全扫描处理,并且对可能出现的坏簇作自动修正。对于以上第2种情况即不能进入 Windows98的现象,则可以用Windows98的启动盘引导机器,然后在“A:>”提示符后键入“scand isk X:”来扫描硬盘,其中“X”是具体的硬盘盘符。对于坏簇,程序会以黑底红字的“B”(bad)标出。
2).实际上,第1种方法往往不能奏效,因为Windows98对“坏道”的自动修复很大程度上是对逻辑坏道而言,而不能自动修复物理坏道,所以有必要考虑对这些坏道作“冷处理”。所谓“冷处理”就是在这些坏道上作标记,不去使用,惹不起还躲得起。记住第1种方法中坏道的位置,然后把硬盘高级格式化,将有坏道的区域划成一个区,以后就不要在这个区上存取文件了。要说明的是,不要为节约硬盘空间而把这个区划得过分“经济”,而应留有适当的余地,因为读取坏道周围的“好道”是不明智的--坏道具有蔓延性,如果动用与坏道K得过分近的“好道”,那么过不了多久,硬盘上新的坏道又将出现。
3).用一些软件对硬盘作处理,其中最典型的是PartitionMagic了。这里以5.0版本为例:扫描硬盘可以直接用PartitionMagic5中的“check”命令来完成,但该命令无自动修复功能,所以最好在Pa rtitionMagic5中调用Windows98的相关程序来完成这个任务。标记了坏簇后,可以尝试着对它进行重新测试,方法是在Operations菜单下选择“Advanced/bad Sector Retest”,把坏簇分成一个(或多个)区后,可以考虑把该区隐藏,以免在Windows98中误操作,这个功能是通过Hide Part ition菜单项来实现的。要特别注意的是,如果没有经过格式化而直接将有坏簇的分区隐藏的话,那么该分区的后续分区将由于盘符的变化而导致其中的一些与盘符有关的程序不能正确运行。比如一些软件在桌面上建立的快捷方式将找不到宿主程序,解决之道是利用Tools菜单下的DriveMapper菜单项,它会自动地收集快捷方式和注册表内的相关信息,并对它们作正确的修改。另外,DiskManager这个软件也能做这个工作。隐藏了分区后,不要试图把坏道所在的分区的前后分区合并,因为这两个分区在物理上并不连续。
4).对于硬盘0扇区损坏的情况,看起来比较棘手,但也不是无药可救--只要把报废的0扇区屏蔽,而用1扇区取而代之就行了,完成这项工作的理想软件是Pctools9.0,具体地说,是Pctools9.0中的DE工具,要注意的是,修改扇区完成后,只有对硬盘作格式化后才会把分区表的信息写入1扇区(现在作为0扇区了)。
5).不到万不得已,这一招最好不要用:即对硬盘作低格。因为对硬盘作低格至少有两点害处:一是磨损盘片,二是对有坏道的硬盘来说,低格还会加速坏道的扩散。
6).最后还有一点,那就是主板BIOS的相关内容要设置得当,特别是对于一些TX芯片组级别以前的主板,由于没有自动识别硬盘规格的能力,往往会因设置不当而影响硬盘的使用,轻则硬盘不能物尽其用,重则损伤硬盘。
以上介绍的是硬盘有物理损伤时的解决方法。但是,这些方法大多数是以牺牲硬盘容量为代价的一种补救措施。硬盘有了坏道,如果不是因为老化问题,则说明平时在使用上有不妥之处,比如对硬盘过分频繁地整理碎片、内存太少以致应用软件对硬盘频频访问等。而忽略对硬盘的防尘处理也会导致硬盘磁头因为定位困难引发机械故障。另外,对CPU超频引起外频增高,迫使硬盘长时间在过高的电压下工作,也会引发故障,所以,平时对硬盘的使用还应以谨慎操作为上策。
再介绍一款名为“Disk Genius”的软件,它同样是对付硬盘坏道的能手,操作前的准备:
1、在Windows下制作一张DOS启动软盘。
2、从www.ccednet.com/soft/cce下载DG,将其解压缩到软盘上。
如何对付硬盘坏道
2、在程序中,按键盘上的“Alt”键激活菜单,用左右箭头将其移动到“工具”项,在该选项中选中“硬盘表面检测”,系统提示“测试当前分区硬盘表面?坏扇区清单将保存到BACDSECT.TXT中” 。
3、执行扫描,里面共有三个选项,分别为:按扇区扫描、按磁道扫描和按柱面扫描。建议选择“按扇区”扫描,虽然其速度最慢但检测的最全面。
4、点击“按扇区”进行扫描之后,会弹出扫描进程对话框,扫描到坏道的时候会发出“咯滋、咯滋”的声响,但不一会儿就会扫描过去。完成之后,会出现一个是否有坏扇区、共有几个坏扇区的提示信息
5、重新启动Windows 98,进入DG软件所在的目录,找到并打开BACDSECT.TXT文件,在这个文件中详细地记录了刚才扫描的结果用笔记录下来,在下面的操作中我们将用到这些信息。
6、重新用刚才制作的启动盘启动计算机,在DOS下运行DG,把原有的分区删除。操作如下:按下“Alt”键激活DG功能菜单,将其移动到分区菜单项,选择“删除分区”,重复以上操作,将原有分区全部删除。
7、重建分区:激活菜单后,选择“新建分区”(或建扩展分区)项,根据BADSECT.TXT文件所记录下的坏扇区位置,把坏扇区前后10~20MB的空间单独划分为一个区(这样做是为了给坏道扩散预留一部分空间)。“Tab”键在分区时很有用,分好一个区后,记得要按“Tab”键切换到硬盘的其他位置才可以继续分其他的区。分区操作过程中,如果有误也不要紧,该软件提供了“重新加载”命令,可以把硬盘恢复到初始分区状态。因为这个软件在存盘之前的所有操作都只是保存在内存中,所以你可以用多次分区的方法把包含坏道的分区的大小控制在指定的范围之内。在本例中,有坏道的分区的起始柱面为137,结束柱面为164,这样就把坏道(148)包含在其中了。
8、用“Alt”键将DG菜单激活后,执行分区菜单里的“隐藏”命令,就可以把包含坏道的分区隐藏起来了。然后存盘并退出DG,系统提示分区已改动。
9、格式化分区:虽然DG自带的有格式化程序,但不推荐使用,建议用启动盘上的“Format”命令对硬盘进行格式化。
10、如果在对硬盘进行格式化时,系统提示“Track 0 Bad”的话,那么意味着硬盘的0磁道损坏了。一般来说这种故障是难以修好的,但是我们还是不必放弃,说不定还有一线生机。
其实0磁道损害也是坏道的问题,只不过关键的0磁道也有坏道而已。此时,我们所要做的就是重新标记0磁道的位置。这项工作我们可以交给PCTools 9.0工具包,我们要利用的是其中的DE.EXE命令。
为了修改0磁道文字,首先要去掉DE的只读属性,我们必须把Configuration下Read Only前的钩消去。随后在主菜单Select中进入Drive type,并选择下一级的Physical→Hard disk。回车之后,我们的主菜单就会出现Partition Table(分区表),注意找Beginning Cylinder(起始柱面)这一项,它代表硬盘的0柱面开始,也就是0磁道的位置。此时大家只要稍微动一下,把它改为1或者2即可。
通过以上操作,我们就完成了隐藏坏道的工作了,怎么样,硬盘是不是又可以正常工作了!
如何恢复误删除的文件,常常因为对系统不太熟悉,或者其它原因,误删除了系统内的文件或者其它有用的资料,而导致系统不正常,甚至无法启动,或者把很重要的资料给删除了,而后悔莫及。下面介绍几种找回误删除文件的方法,把失去的文件找回来。
恢复前的注意事项
在误删除文件以后,要注意不要马上向目标分区写入新文件,比如不要重新启动计算机,或者注销等。因为WINDOWS在重新启动和注销时都会向C盘生成一个临时文件,也就是说,分区内已经写入了新文件,这就给恢复文件造成一定的困难。如果设置不当或操作上稍不留意,可能已经写入了新文件而自己又不知道,针对该注意事项下面举出两点:
1、不要在删除了文件的分区内安装新软件或运行新的任务特别是C盘,因为一般用户都把系统装在C盘。另外虚拟内存要是设在C盘的话,此时也不要运行新的任务,以以免因为虚拟内存的更新而覆盖了数据。
2、要注意WINDOWS扫描和报告的设置,默认状态下,WINDOWS在启动时会检测系统分区有没有错误,如果上一次是非法关机的话,系统启动时就会扫描分区,这就对要恢复的文件造成致使的破坏,就算勉强恢复过来也不能用了。(如果用的是WINDSOWS98建议在MSDOS.SYS里设置一下,在OPTION组加入一句“AUTOSCAN=0”这样在启动时就不会再扫描分区了,要是在2000和XP里,按回车就可跳过扫描直接进入系统了。
五.解开硬盘逻辑死锁的一种有效方法
一、序言
不知道你是否曾碰到过从软盘和硬盘都启动不了计算机的情形?一般计算机的硬盘分区表被病毒感染后,若不能启动机子,通常从软盘可以启动。但在严重的情形下,不但从硬盘不能启动机子,就是从软盘也不能启动。有的恶毒的病毒就能使硬盘被死锁。笔者一次在自己机子上玩弄硬盘锁时,就被锁住过一次。结果在硬盘下选择DOS或WIN95模式启动机子都死机,在软盘下用DOS启动也死机;在COMS中将硬盘类型选择None,虽然可以从软盘启动,但启动后没有硬盘,使用软盘上的FDISK命令,想重新分区或格式化都没门。弄得我一筹莫展。
本来,硬盘被锁住时,可以采用3.0以下的DOS版本启动机子,机子启动后虽然也不认硬盘,但其不认的原因在于其管理不了现在的大硬盘,因此可以用Debug修改硬盘分区表,修改后可以启动。但在已进入WINDOWS的年代,3.0以下的DOS实难找到,即使找到,你的机子上恐怕也因没有5寸软驱而不能使用。因此,最好的办法是编制一个程序来解决这个问题。笔者通过尝试和思考,找到一种比较实用的方法,可以轻松解开死锁的硬盘,当然也把自己的硬盘解开了。下面,我将这种方法介绍出来。
二、硬盘锁住原理
硬盘锁住通常是对硬盘的分区表做手脚,因此首先应该了解硬盘的分区表。硬盘分区表位于0柱面0磁头1扇区,这个扇区的前面200多个字节是主引导程序,后面从01BEH开始的64个字节是分区表。分区表共64字节,分为4栏,每栏16字节,用来描述一个分区。如果是用DOS的FDISK程序分区后,最多只用两栏,第一栏描述基本的DOS分区, 二栏描述扩展的DOS分区。 分区表一栏的结构与各字节的含义如下:
00H—标志活动字节,活动DOS分区为80H,其它为00H。
01H—本分区逻辑0扇区所在的磁头号。
02H—逻辑0扇区所在柱面中的扇区号。
03H—逻辑0扇区所在的柱面号。
04H—分区类型标志。
05H—本分区最后一个扇区的磁头号。
06H—最后一个扇区的扇区号。
07H—最后一个柱面的柱面号。
08H—硬盘上在本分区之前的扇区总数,用双字表示。
0CH—本分区的扇区总数,从逻辑0扇区计数,不含隐藏扇区,用双字表示。
在上面的介绍中给出的柱面号与扇区号虽然各占一个字节,但实际上扇区号用6位表示,柱面号用10位表示,扇区号所在字节的最高两位实际上是柱面号的最高两位。 分区表的最后两个字节是分区表的有效标志,如果将其改变,将不能从硬盘启动,这是一种简单的锁住硬盘的方法。解决的办法是从软盘启动,启动后硬盘仍然可以使用。用Debug或Noratn中的Diskedit软件将硬盘该分区表中的标志恢复,则从硬盘启动也没有问题了。锁住硬盘的另一种方法是对分区参数做手脚,如果将分区参数全部变为0,则启动时由于找不到分区参数,从硬盘是没法启动,从软盘启动后也不认硬盘,如果你敲入盘符C并回车,将出现提示Invalid driver specification。
但所幸的是,毕竟可以启动机子,不认硬盘没关系,在A盘上用DOS的Debug仍然可以读出硬盘0柱面0磁头1扇区的内容,修改后再写入0柱面0磁头1扇区,重新启动机子又没问题了。如果将分区表参数随意改为其它参数,则有可能不能用可以安装DOS的DOS系统盘启动,按F3退出后将出现内存分配错误,不能装载DOS的命令解释器COMMAND的提示,系统就死机了,笔者就曾碰见过这种情形。但用一张格式化成系统盘的软盘则可以顺利启动,只要有Debug,你仍然可以将分区表参数修改回去。
可怕的事情是,如果你不幸将分区表参数改成一个循环链,即C盘的下一个分区指向D驱,D驱的下一个分区又指向C区,这样循环下去,DOS启动或WIN95启动时由于无休止的读取逻辑驱动器,就只有死机的份了。这是只要有硬盘存在,不管你用软盘还是硬盘都没法启动机子了,由于不能启动是由于硬盘造成的,即使你将硬盘下到其它计算机上,也没法使用,这样硬盘就彻底被锁死了,笔者所遭遇就是此情形。不信,你只需将硬盘0柱面0磁头1扇区的1D0H处改为1(如果你的D驱开始柱面号不够大,此处本来就为1),将1D1H处改为0,表示D盘的开始柱面号跟C盘一样,看看你的计算机还能不能启动,不过你在没有充分的准备前绝不要试。
一个完整的硬盘锁程序,不过是重新改写0柱面0磁头1扇区的引导程序,并将分区表破坏或故意制造一个循环分区表,而将真正的硬盘分区表参数和引导程序放在其它隐藏扇区并保护起来,如果启动时口令不对,则不能启动机子,口令对了则顺利启动。这种硬盘锁程序,情形好的还可以用软盘启动;情形严重的就是连软盘也不能启动,硬盘真被锁住。
八.硬盘0磁道损坏的排解
“0”磁道处于硬盘上一个非常重要的位置,硬盘的主引导记录区(MBR)就在这个位置上。MBR位于硬盘的0磁道0柱面1扇区,其中存放着硬盘主引导程序和硬盘分区表。在总共512字节的硬盘主引导记录扇区中,446字节属于硬盘主引导程序,64字节属于硬盘分区表(DPT),两个字节(55 AA)属于分区结束标志。由此可见,“0”磁道一旦受损,将使硬盘的主引导程序和分区表信息遭到严重破坏,从而导致硬盘无法自举。“0”磁道损坏也属于硬盘坏道,只不过由于它的位置太重要,因而一旦遭到破坏,就会产生严重的后果。
1.硬盘“0”磁道损坏后的症状
当硬盘“0”磁道损坏后:系统自检能通过,但启动时,分区丢失或者C盘目录丢失,硬盘出现有规律的“咯吱……咯吱”的寻道声,运行SCANDISK扫描C盘,在第一簇出现一个红色的“B”;Fdisk等分区软件找不到硬盘、利用低版本的DM进行分区时,程序“死”在0磁道上;在进行“Format C:”时,屏幕提示0磁道损坏或无休止地执行读命令“Track 0 Bad”。
2.解决硬盘“0”磁道损坏的思路
磁头总是把“0”磁道作为寻道的基准点,如果“0”磁道出现物理损坏,磁头定位机构会因找不到“0”磁道,使硬盘自举失败。因此,在解决硬盘“0”磁道损坏问题时,一般都采取“以1代0”的方法,也就是在划分硬盘分区时,重新定义“0”磁道,将原来的“1”磁道定义为逻辑上的“0”磁道,避开已损坏的“0”磁道。
3.通过工具软件解决硬盘“0”磁道损坏
(1)通过DM万用版解决
首先从网上下载DM万用版并制作好DM启动软盘,然后执行DM并进入其主界面。在主界面中按下Alt+M组合键进入DM的高级模式,将光标定位到“(E)dit/View partitions”(编辑/查看分区)选项,按回车键之后,程序要求选择需要修复的硬盘,选中硬盘,按回车便进入了该硬盘的分区查看界面。如图8所示。
在分区列表框中选中“1”号分区,此时上面的分区信息栏将显示该分区信息,例如分区格式、容量、开始的柱面、结束的柱面等。此时需要记住开始柱面中的“0”和结束柱面序号“2489”。保持光标定位在1号分区上,然后按下Del键删除该分区,在出现的确认删除分区的界面中选择“Yes”并回车,此时1号分区便删除了。
保持光标停留在1号分区上,然后按下Ins键添加分区。在出现的分区类型界面中选择“DOS-FAT32”选项,按回车后便到了此时修复的关键步骤——“Select Entry Mode”(设置容量模式)。在该界面中一定要选择“(C)ylinders”(柱头)选项,回车后便进入了容量输入界面。在该界面中,是按照柱面来输入容量的。对于第一个分区(也就是C盘)而言,都是从第1个柱面开始,但现在我们必需将前面的“0”改成“1”,至于后面该分区结束的柱面数没有必要修改,可以根据之1号分区的结束柱面数进行填写。
重新划分好1号分区后,返回到分区界面,将光标定位到“Save and Continue”(保存并继续)选项保存设置,然后按下Esc键推出DM,最后根据提示重新启动电脑。
重新启动电脑后,首先在BIOS中通过“IDE HDD Auto-Detection”功能重新设置硬盘参数,然后进入对C盘进行格式化。至此,修复工作结束。
(2)通过PCTools解决
工具软件PCTools是由美国Central Point公司针对PC机设计的实用工具包,该软件包中的DE(DiskEdit)工具可用来修复“0”磁道损坏的硬盘。
首先将PCTools 9.0下载到本地硬盘,由于该软件包体积比较大,且无法在FAT32格式上的硬盘上运行,因此最好是将下载得到的压缩包解压缩,然后将整个PCTools工具包刻录到光盘上。当然,如果硬盘上有FAT16格式的分区,也可以将PCTools放在该分区上并运行。
准备一张系统启动软盘(或启动光盘),将启动盘放入软驱并引导系统(注意,一定要加载光驱驱动),然后放入预先准备好有PCTools的光盘,进入光盘上DE所在的目录并运行DE。进入DE主界面之后,首先会弹出一个信息窗口,提示此时DE运行在只读状态。按回车之
自从有了计算机以后不久,计算机病毒也应运而生。当网络成为当今社会的信息大动脉后,病毒的传播更加方便,所以也时不时的干扰和破坏我们的正常工作。比较典型的就是前一段时间对全球计算机造成严重破坏的“冲击波”病毒,发作时还会提示系统将在60秒后自动启动。其实,早在DOS时代就有不少病毒能够自动重启你的计算机。
对于是否属于病毒破坏,我们可以使用最新版的杀毒软件进行杀毒,一般都会发现病毒存在。当然,还有一种可能是当你上网时被人恶意侵入了你的计算机,并放置了木马程序。这样对方能够从远程控制你计算机的一切活动,当然也包括让你的计算机重新启动。对于有些木马,不容易清除,最好重新安装操作系统。
2.系统文件损坏
当系统文件被破坏时,如Win2K下的KERNEL32.DLL,Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏,系统在启动时会因此无法完成初始化而强迫重新启动。你可以做个试验,把WIN98目录下的字库“FONTS”改名试一试。当你再次开机时,我们的计算机就会不断的重复启动。
对于这种故障,因为无法进入正常的桌面,只能覆盖安装或重新安装。
3.定时软件或计划任务软件起作用
如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时,当定时时刻到来时,计算机也会再次启动。对于这种情况,我们可以打开“启动”项,检查里面有没有自己不熟悉的执行文件或其他定时工作程序,将其屏蔽后再开机检查。当然,我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。
二、硬件1.市电电压不稳
一般家用计算机的开关电源工作电压范围为170V-240V,当市电电压低于170V时,计算机就会自动重启或关机。因为市电电压的波动我们有时感觉不到,所以就会误认为计算机莫名其妙的自动重启了。
解决方法:对于经常性供电不稳的地区,我们可以购置UPS电源或130-260V的宽幅开关电源来保证计算机稳定工作。
2.插排或电源插座的质量差,接触不良
市面上的电源插排多数质量不好,内部的接点都是采用手工焊接,并且常采用酸性助焊剂,这样容易导致在以后的使用中焊点氧化引起断路或者火线和零线之间漏电。因为手工焊接,同时因为采用的磷黄铜片弹性差,用不了多长时间就容易失去弹性,致使与主机或显示器的电源插头接触不良而产生较大的接触电阻,在长时间工作时就会大量发热而导致虚接,这时就会表现为主机重新启动或显示器黑屏闪烁。
还有一个可能是我们家里使用的墙壁插座,多数墙壁插座的安装都不是使用专业人员,所以插座内部的接线非常的不标准,特别这些插座如果我们经常使用大功率的电暖器时就很容易导致内部发热氧化虚接而形成间歇性的断电,引起计算机重启或显示器眨眼现象。
解决方法:
① 不要图省钱而购买价廉不物美的电源排插,购买一些名牌的电源插排,因为其内部都是机器自动安装压接的,没有采用手工焊接。
② 对于是否属于墙壁插座内部虚接的问题,我们可以把主机换一个墙壁插座试一试,看是否存在同样的自动重启问题。
3.计算机电源的功率不足或性能差
这种情况也比较常见,特别是当我们为自己主机增添了新的设备后,如更换了高档的显卡,增加了刻录机,添加了硬盘后,就很容易出现。当主机全速工作,比如运行大型的3D游戏,进行高速刻录或准备读取光盘,刚刚启动时,双硬盘对拷数据,就可能会因为瞬时电源功率不足而引起电源保护而停止输出,但由于当电源停止输出后,负载减轻,这时电源再次启动。因为保护后的恢复时间很短,所以给我们的表现就是主机自动重启。
还有一种情况,是主机开关电源性能差,虽然电压是稳定的也在正常允许范围之内,但因为其输出电源中谐波含量过大,也会导致主机经常性的死机或重启。对于这种情况我们使用万用表测试其电压时是正常的,最好更换一台优良的电源进行替换排除。
解决方法:现换高质量大功率计算机电源。
4.主机开关电源的市电插头松动,接触不良,没有插紧
这种情况,多数都会出现在DIY机器上,主机电源所配的电源线没有经过3C认证,与电源插座不配套。当我们晃动桌子或触摸主机时就会出现主机自动重启,一般还会伴有轻微的电打火的“啪啪”声。
解决方法:更换优质的3C认证电源线。
5.主板的电源ATX20插座有虚焊,接触不良
这种故障不常见,但的确存在,主要是在主机正常工作时,左右移动ATX20针插头,看主机是否会自动重启。同时还要检查20针的电源插头内部的簧片是否有氧化现象,这也很容易导致接触电阻大,接触不良,引起主机死机或重启。有时还需要检查20针插头尾部的连接线,是否都牢K。
解决方法:
① 如果是主板焊点虚焊,直接用电烙铁补焊就可以了。注意:在对主板、硬盘、显卡等计算机板卡焊接时,一定要将电烙铁良好接地,或者在焊接时拔下电源插头。
② 如果是电源的问题,最好是更换一台好的电源。
6.CPU问题
CPU内部部分功能电路损坏,二级缓存损坏时,计算机也能启动,甚至还会进入正常的桌面进行正常操作,但当进行某一特殊功能时就会重启或死机,如画表,播放VCD,玩游戏等。
解决办法:试着在CMOS中屏蔽二级缓存(L2)或一级缓存(L1),看主机是否能够正常运行;再不就是直接用好的CPU进行替换排除。如果屏蔽后能够正常运行,还是可以凑合着使用,虽然速度慢些,但必竟省钱了。
7.内存问题
内存条上如果某个芯片不完全损坏时,很有可能会通过自检(必竟多数都设置了POST),但是在运行时就会因为内存发热量大而导致功能失效而意外重启。多数时候内存损坏时开机会报警,但内存损坏后不报警,不加电的故障都还是有的。最好使用排除法,能够快速确定故障部位。
8.光驱问题
如果光驱内部损坏时,也会导致主机启动缓慢或不能通过自检,也可能是在工作过程中突然重启。对于后一种情况如果是我们更换了光驱后出现的,很有可能是光驱的耗电量不同而引起的。大家需要了解的是,虽然光驱的ATPI接口相同,但不同生产厂家其引脚定义是不相同的,如果我们的硬盘线有问题时,就可能产生对某一牌子光驱使用没有问题,但对其他牌子光驱就无法工作的情况,这需要大家注意。
9.RESET键质量有问题
如果RESET开关损坏,内部簧片始终处于短接的位置时,主机就无法加电自检。但是当RESET开关弹性减弱或机箱上的按钮按下去不易弹起时,就会出现在使用过程中,因为偶尔的触碰机箱或者在正常使用状态下而主机突然重启。所以,当RESET开关不能按动自如时,我们一定要仔细检查,最好更换新的RESET按钮开关或对机箱的外部按钮进行加油润滑处理。
还有一种情况,是因为机箱内的RESET开关引线在焊接时绝缘层剥离过多,再加上使用过程中多次拆箱就会造成RESET开关线距离过近而引起碰撞,导致主机自动重启。
10.接入网卡或并口、串口、USB接口接入外部设备时自动重启
这种情况一般是因为外设有故障,比如打印机的并口损坏,某一脚对地短路,USB设备损坏对地短路,网卡做工不标准等,当我们使用这些设备时,就会因为突然的电源短路而引起计算机重启。
三、其他原因1.散热不良或测温失灵
CPU散热不良,经常出现的问题就是CPU的散热器固定卡子脱落,CPU散热器与CPU接触之间有异物,CPU风扇长时间使用后散热器积尘太多,这些情况都会导致CPU散热不良,积聚温度过高而自动重启。
还有就是CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏,主板上的BIOS有BUG在某一特殊条件下测温不准,这些都会引起主机在工作过程中自动保护性重启。
最后就是我们在CMOS中设置的CPU保护温度过低也会引起主机自动重启。
2.风扇测速失灵
当CPU风扇的测速电路损坏或测速线间歇性断路时,因为主板检测不到风扇的转速就会误以为风扇停转而自动关机或重启,但我们检查时可能看到CPU风扇转动正常,并且测速也正常。
3.强磁干扰
不要小看电磁干扰,许多时候我们的电脑死机和重启也是因为干扰造成的,这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰,也有来自外部的动力线,变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良,就会出现主机意外重启或频繁死机的现象 。
让XP的键盘说话!一个罕见的功能!
长期面对无声的电脑,我们难免疲倦。如果正在输入的内容被系统一
字(字母)不差地念出来,你还能在无声的疲倦中输入错误的内容吗?本文以
Windows 2000/XP中一个鲜为人知的“讲述人”为例教你DIY一个完全免费的语音
键盘。
在“运行”中输入“narrator”,点“确定”,首先弹出的是一条警告信息,不予睬,
点“确定”跳过后便请出本文的主角──“讲述人”。如果你的音箱已经打开,听到
了什么?不想听的话就按一下Ctrl键。再按任意键试试,你输入的字母键被系统
用标准的美国英语读了出来,这时一个完全免费的语音键盘就诞生在你的手中
了,有兴趣的朋友不妨试试。
Windows XP 启动过程概述
在按下计算机电源使计算机启动,并且在Windows XP专业版操作系统启动之前这段时间,我们称之为预引导(Pre-Boot)阶段,在这个阶段里,计算机首先运行Power On Self Test(POST),POST检测系统的总内存以及其他硬件设备的现状。
从按下计算机开关启动计算机,到登入到桌面完成启动,一共经过了以下几个阶段:
1. 预引导(Pre-Boot)阶段;
2. 引导阶段;
3. 加载内核阶段;
4. 初始化内核阶段;
5. 登陆。
每个启动阶段的详细介绍
a) 预引导阶段
在按下计算机电源使计算机启动,并且在Windows XP专业版操作系统启动之前这段时间,我们称之为预引导(Pre-Boot)阶段,在这个阶段里,计算机首先运行Power On Self Test(POST),POST检测系统的总内存以及其他硬件设备的现状。如果计算机系统的BIOS(基础输入/输出系统)是即插即用的,那么计算机硬件设备将经过检验以及完成配置。计算机的基础输入/输出系统(BIOS)定位计算机的引导设备,然后MBR(Master Boot Record)被加载并运行。在预引导阶段,计算机要加载Windows XP的NTLDR文件。
b) 引导阶段
Windows XP Professional引导阶段包含4个小的阶段。
首先,计算机要经过初始引导加载器阶段(Initial Boot Loader),在这个阶段里,NTLDR将计算机微处理器从实模式转换为32位平面内存模式。在实模式中,系统为MS-DOS保留640kb内存,其余内存视为扩展内存,而在32位平面内存模式中,系统(Windows XP Professional)视所有内存为可用内存。接着,NTLDR启动内建的mini-file system drivers,通过这个步骤,使NTLDR可以识别每一个用NTFS或者FAT文件系统格式化的分区,以便发现以及加载Windows XP Professional,到这里,初始引导加载器阶段就结束了。
接着系统来到了操作系统选择阶段,如果计算机安装了不止一个操作系统(也就是多系统),而且正确设置了boot.ini使系统提供操作系统选择的条件下,计算机显示器会显示一个操作系统选单,这是NTLDR读取boot.ini的结果。(至于操作系统选单,由于暂时条件不够,没办法截图,但是笔者模拟了一个,见图一。)
在boot.ini中,主要包含以下内容:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Windows Windows 2000 Professional"
.
其中,multi(0)表示磁盘控制器,disk(0)rdisk(0)表示磁盘,partition(x)表示分区。NTLDR就是从这里查找Windows XP Professional的系统文件的位置的。(*本文不会更详细地讲解boot.ini的组成结构,因为其与本主题关系不大,如果想了解,可以到一些专门的网站处查询相关信息。)如果在boot.ini中只有一个操作系统选项,或者把timeout值设为0,则系统不出现操作系统选择菜单,直接引导到那个唯一的系统或者默认的系统。在选择启动Windows XP Professional后,操作系统选择阶段结束,硬件检测阶段开始。
在硬件检测阶段中,ntdetect.com将收集计算机硬件信息列表并将列表返回到NTLDR,这样做的目的是便于以后将这些硬件信息加入到注册表HKEY_LOCAL_MACHINE下的hardware中。
硬件检测完成后,进入配置选择阶段。如果计算机含有多个硬件配置文件列表,可以通过按上下按钮来选择。如果只有一个硬件配置文件,计算机不显示此屏幕而直接使用默认的配置文件加载Windows XP专业版。
引导阶段结束。在引导阶段,系统要用到的文件一共有:NTLDR,Boot.ini,ntdetect.com,ntokrnl.exe,Ntbootdd.sys,bootsect.dos(可选的)。
c) 加载内核阶段
在加载内核阶段,ntldr加载称为Windows XP内核的ntokrnl.exe。系统加载了Windows XP内核但是没有将它初始化。接着ntldr加载硬件抽象层(HAL,hal.dll),然后,系统继续加载HKEY_LOCAL_MACHINE\system键,NTLDR读取select键来决定哪一个Control Set将被加载。控制集中包含设备的驱动程序以及需要加载的服务。NTLDR加载HKEY_LOCAL_MACHINE\system\service\...下start键值为0的最底层设备驱动。当作为Control Set的镜像的Current Control Set被加载时,ntldr传递控制给内核,初始化内核阶段就开始了。
d) 初始化内核阶段
在初始化内核阶段开始的时候,彩色的Windows XP的logo以及进度条显示在屏幕中央,在这个阶段,系统完成了启动的4项任务:
内核使用在硬件检测时收集到的数据来创建了HKEY_LOCAL_MACHINE\HARDWARE键。
内核通过引用HKEY_LOCAL_MACHINE\system\Current的默认值复制Control Set来创建了Clone Control Set。Clone Control Set配置是计算机数据的备份,不包括启动中的改变,也不会被修改。
系统完成初始化以及加载设备驱动程序,内核初始化那些在加载内核阶段被加载的底层驱动程序,然后内核扫描HKEY_LOCAL_MACHINE\system\CurrentControlSet\service\...下start键值为1的设备驱动程序。这些设备驱动程序在加载的时候便完成初始化,如果有错误发生,内核使用ErrorControl键值来决定如何处理,值为3时,错误标志为危机/关键,系统初次遇到错误会以LastKnownGood Control Set重新启动,如果使用LastKnownGood Control Set启动仍然产生错误,系统报告启动失败,错误信息将被显示,系统停止启动;值为2时错误情况为严重,系统启动失败并且以LastKnownGood Control Set重新启动,如果系统启动已经在使用LastKnownGood值,它会忽略错误并且继续启动;当值是1的时候错误为普通,系统会产生一个错误信息,但是仍然会忽略这个错误并且继续启动;当值是0的时候忽略,系统不会显示任何错误信息而继续运行
Session Manager启动了Windows XP高级子系统以及服务,Session Manager启动控制所有输入、输出设备以及访问显示器屏幕的Win32子系统以及Winlogon进程,初始化内核完毕。
e) 登陆
Winlogon.exe启动Local Security Authority,同时Windows XP Professional欢迎屏幕或者登陆对话框显示,这时候,系统还可能在后台继续初始化刚才没有完成的驱动程序。
?提示输入有效的用户名或密码。
?Service Controller最后执行以及扫描HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servives来检查是否还有服务需要加载,Service Controller查找start键值为2或更高的服务,服务按照start的值以及DependOnGroup和DepandOnService的值来加载。
只有用户成功登陆到计算机后,Windows XP的启动才被认为是完成,在成功登陆后,系统拷贝Clone Control Set到LastKnownGood Control Set,完成这一步骤后,系统才意味着已经成功引导了。
实用的网络基本DOS命令。
网络基本DOS命令
一、ping
它是用来检测网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。
下面就来看看它的一些常用的操作。先看看帮助,在DOS窗口中键入:ping /? 回车。在此,我们只需掌握一些基本的却很有用的参数就可以了。
-t 表示将不间断地向目标IP发送数据包,直到我们强迫其停止。
-l 定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。
-n 定义向目标IP发送数据包的次数,默认为3次。
说明一下,如果参数-t和参数-n一起使用,ping命令就以放在后面的参数为标准,比如“ping IP -t -n 3”,虽然使用了-t参数,但并不是一直ping下去,而是只ping 3次。另外,ping命令不一定非得ping IP,也可以直接ping主机域名,这样就可以得到主机的IP。
(小知识:如果TTL=128,则表示目标主机可能是Win2000;如果TTL=250,则目标主机可能是Unix)
二、nbtstat
该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接,使用这个命令你可以得到远程主机的NETBIOS信息,比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。
-a 使用这个参数,只要你知道了远程主机的机器名称,就可以得到它的NETBIOS信息(下同)。
-A 这个参数也可以得到远程主机的NETBIOS信息,但需要你知道它的IP。
-n 列出本地机器的NETBIOS信息。
三、netstat
这是一个用来查看网络状态的命令,操作简便功能强大。
-a 查看本地机器的所有开放端口,可以有效发现和预防木马,可以知道机器所开的服务等信息。这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法:netstat -a IP。
-r 列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。用法:netstat -r IP。
四、tracert
跟踪路由信息,使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对我们了解网络布局和结构很有帮助。用法:tracert IP。
五、net
这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,因为它的功能实在是太强大了,这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令,键入net /?回车。在这里,我们重点掌握几个入侵常用的子命令:
net view
使用此命令查看远程主机的所以共享资源。命令格式为net view \IP。
net use
把远程主机的某个共享资源映射为本地盘符,图形界面方便使用,呵呵。命令格式为net use x: \IPsharename。
net start
使用它来启动远程主机上的服务。当你和远程主机建立连接后,如果发现它的什么服务没有启动,而你又想利用此服务怎么办?就使用这个命令来启动吧。用法:net start servername。
net stop
入侵后发现远程主机的某个服务碍手碍脚,怎么办?利用这个命令停掉就ok了,用法和net start同。
net user
查看和帐户有关的情况,包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。
1、net user abcd 1234 /add,新建一个用户名为abcd,密码为1234的帐户,默认为user组成员。
2、net user abcd /del,将用户名为abcd的用户删除。
3、net user abcd /active:no,将用户名为abcd的用户禁用。
4、net user abcd /active:yes,激活用户名为abcd的用户。
5、net user abcd,查看用户名为abcd的用户的情况
net localgroup
查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。
net time
这个命令可以查看远程主机当前的时间。
六、at
这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序(知道net time的重要了吧?)。当我们知道了远程主机的当前时间,就可以利用此命令让其在以后的某个时间(比如2分钟后)执行某个程序和命令。用法:at time command \computer。
七、ftp
首先在命令行键入ftp回车,出现ftp的提示符,这时候可以键入“help”来查看帮助(任何DOS命令都可以使用此方法查看其帮助)。
大家可能看到了,这么多命令该怎么用?其实也用不到那么多,掌握几个基本的就够了。
首先是登陆过程,这就要用到open了,直接在ftp的提示符下输入“open 主机IP ftp端口”回车即可,一般端口默认都是21,可以不写。接着就是输入合法的用户名和密码进行登陆了。
用户名和密码都是ftp,密码是不显示的。当提示**** logged in时,就说明登陆成功。
接下来就要介绍具体命令的使用方法了。
dir 跟DOS命令一样,用于查看服务器的文件,直接敲上dir回车,就可以看到此ftp服务器上的文件。
cd 进入某个文件夹。
get 下载文件到本地机器。
put 上传文件到远程服务器。
delete 删除远程ftp服务器上的文件。
bye 退出当前连接。
quit 同上。
八、telnet
功能强大的远程登陆命令,几乎所有的入侵者都喜欢用它,屡试不爽。为什么?它操作简单,如同使用自己的机器一样,只要你熟悉DOS命令,在成功以Administrator身份连接了远程机器后,就可以用它来干你想干的一切了。下面介绍一下使用方法,首先键入telnet回车,再键入help查看其帮助信息。
然后在提示符下键入open IP回车,这时就出现了登陆窗口,让你输入合法的用户名和密码,这里输入任何密码都是不显示的。
详细端口分配列表
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、UUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E- MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd
等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的
这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是
FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服
务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉
到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于 IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。 Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些 人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于 2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询
端口:1503
服务:NetMeeting T.120
说明:NetMeeting T.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看是否会给你一个SHELL。连接到 600/pcserver也存在这个问题。
端口:1600
服务:issd
说明:木马Shivka-Burka开放此端口。
端口:1720
服务:NetMeeting
说明:NetMeeting H.233 call Setup。
端口:1731
服务:NetMeeting Audio Call Control
说明:NetMeeting音频调用控制。
端口:1807
服务:[NULL]
说明:木马SpySender开放此端口。
端口:1981
服务:[NULL]
说明:木马ShockRave开放此端口。
端口:1999
服务:cisco identification port
说明:木马BackDoor开放此端口。
端口:2000
服务:[NULL]
说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口:2001
服务:[NULL]
说明:木马Millenium 1.0、Trojan Cow开放此端口。
端口:2023
服务:xinuexpansion 4
说明:木马Pass Ripper开放此端口。
端口:2049
服务:NFS
说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
端口:2115
服务:[NULL]
说明:木马Bugs开放此端口。
端口:2140、3150
服务:[NULL]
说明:木马Deep Throat 1.0/3.0开放此端口。
端口:2500
服务:RPC client using a fixed port session replication
说明:应用固定端口会话复制的RPC客户
端口:2583
服务:[NULL]
说明:木马Wincrash 2.0开放此端口。
端口:2801
服务:[NULL]
说明:木马Phineas Phucker开放此端口。
端口:3024、4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、 8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口:3129
服务:[NULL]
说明:木马Master Paradise开放此端口。
端口:3150
服务:[NULL]
说明:木马The Invasor开放此端口。
端口:3210、4321
服务:[NULL]
说明:木马SchoolBus开放此端口
端口:3333
服务:dec-notes
说明:木马Prosiak开放此端口
端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。
端口:3700
服务:[NULL]
说明:木马Portal of Doom开放此端口
端口:3996、4060
服务:[NULL]
说明:木马RemoteAnything开放此端口
端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此端口。
端口:4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:4590
服务:[NULL]
说明:木马ICQTrojan开放此端口。
端口:5000、5001、5321、50505
服务:[NULL]
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口:5400、5401、5402
服务:[NULL]
说明:木马Blade Runner开放此端口。
端口:5550
服务:[NULL]
说明:木马xtcp开放此端口。
端口:5569
服务:[NULL]
说明:木马Robo-Hack开放此端口。
端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看 这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口 22的UDP数据包。
端口:5742
服务:[NULL]
说明:木马WinCrash1.03开放此端口。
端口:6267
服务:[NULL]
说明:木马广外女生开放此端口。
端口:6400
服务:[NULL]
说明:木马The tHing开放此端口。
端口:6670、6671
服务:[NULL]
说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
端口:6883
服务:[NULL]
说明:木马DeltaSource开放此端口。
端口:6969
服务:[NULL]
说明:木马Gatecrasher、Priority开放此端口。
端口:6970
服务:RealAudio
说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
端口:7000
服务:[NULL]
说明:木马Remote Grab开放此端口。
端口:7300、7301、7306、7307、7308
服务:[NULL]
说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口:7323
服务:[NULL]
说明:Sygate服务器端口。
端口:7626
服务:[NULL]
说明:木马Giscier开放此端口。
端口:7789
服务:[NULL]
说明:木马ICKiller开放此端口。
端口:8000
服务:OICQ
说明:腾讯QQ服务器端开放此端口。 '
端口:8010
服务:Wingate
说明:Wingate代理开放此端口。
端口:8080
服务:代理端口
说明:WWW代理开放此端口。
端口:9400、9401、9402
服务:[NULL]
说明:木马Incommand 1.0开放此端口。
端口:9872、9873、9874、9875、10067、10167
服务:[NULL]
说明:木马Portal of Doom开放此端口
端口:9989
服务:[NULL]
说明:木马iNi-Killer开放此端口。
端口:11000
服务:[NULL]
说明:木马SennaSpy开放此端口。
端口:11223
服务:[NULL]
说明:木马Progenic trojan开放此端口。
端口:12076、61466
服务:[NULL]
说明:木马Telecommando开放此端口。
端口:12223
服务:[NULL]
说明:木马Hack'99 KeyLogger开放此端口。
端口:12345、12346
服务:[NULL]
说明:木马NetBus1.60/1.70、GabanBus开放此端口。
端口:12361
服务:[NULL]
说明:木马Whack-a-mole开放此端口。
端口:13223
服务:PowWow
说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。
端口:16969
服务:[NULL]
说明:木马Priority开放此端口。
端口:17027
服务:Conducent
说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。 Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
端口:19191
服务:[NULL]
说明:木马蓝色火焰开放此端口。
端口:20000、20001
服务:[NULL]
说明:木马Millennium开放此端口。
端口:20034
服务:[NULL]
说明:木马NetBus Pro开放此端口。
端口:21554
服务:[NULL]
说明:木马GirlFriend开放此端口。
端口:22222
服务:[NULL]
说明:木马Prosiak开放此端口。
端口:23456
服务:[NULL]
说明:木马Evil FTP、Ugly FTP开放此端口。
端口:26274、47262
服务:[NULL]
说明:木马Delta开放此端口。
端口:27374
服务:[NULL]
说明:木马Subseven 2.1开放此端口。
端口:30100
服务:[NULL]
说明:木马NetSphere开放此端口。
端口:30303
服务:[NULL]
说明:木马Socket23开放此端口。
端口:30999
服务:[NULL]
说明:木马Kuang开放此端口。
端口:31337、31338
服务:[NULL]
说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
端口:31339
服务:[NULL]
说明:木马NetSpy DK开放此端口。
端口:31666
服务:[NULL]
说明:木马BOWhack开放此端口。
端口:33333
服务:[NULL]
说明:木马Prosiak开放此端口。
端口:34324
服务:[NULL]
说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。
端口:40412
服务:[NULL]
说明:木马The Spy开放此端口。
端口:40421、40422、40423、40426、
服务:[NULL]
说明:木马Masters Paradise开放此端口。
端口:43210、54321
服务:[NULL]
说明:木马SchoolBus 1.0/2.0开放此端口。
端口:44445
服务:[NULL]
说明:木马Happypig开放此端口。
端口:50766
服务:[NULL]
说明:木马Fore开放此端口。
端口:53001
服务:[NULL]
说明:木马Remote Windows Shutdown开放此端口。
端口:65000
服务:[NULL]
说明:木马Devil 1.03开放此端口。
端口:88
说明:Kerberos krb5。另外TCP的88端口也是这个用途。
端口:137
说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
端口:161
说明:Simple Network Management Protocol(SMTP)(简单网络管理协议)
端口:162
说明:SNMP Trap(SNMP陷阱)
端口:445
说明:Common Internet File System(CIFS)(公共Internet文件系统)
端口:464
说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。
端口:500
说明:Internet Key Exchange(IKE)(Internet密钥交换)
端口:1645、1812
说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
端口:1646、1813
说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问))
端口:1701
说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
端口:1801、3527
说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
端口:2504
说明:Network Load Balancing(网络平衡负荷)
一、开始→运行→输入的命令集锦
gpedit.msc-----组策略
sndrec32-------录音机
Nslookup-------IP地址侦测器
explorer-------打开资源管理器
logoff---------注销命令
tsshutdn-------60秒倒计时关机命令
lusrmgr.msc----本机用户和组
services.msc---本地服务设置
oobe/msoobe /a----检查XP是否激活
notepad--------打开记事本
cleanmgr-------垃圾整理
net start messenger----开始信使服务
compmgmt.msc---计算机管理
net stop messenger-----停止信使服务
conf-----------启动 netmeeting
dvdplay--------DVD播放器
charmap--------启动字符映射表
diskmgmt.msc---磁盘管理实用程序
calc-----------启动计算器
dfrg.msc-------磁盘碎片整理程序
chkdsk.exe-----Chkdsk磁盘检查
devmgmt.msc--- 设备管理器
regsvr32 /u *.dll----停止dll文件运行
drwtsn32------ 系统医生
rononce -p ----15秒关机
dxdiag---------检查DirectX信息
regedt32-------注册表编辑器
Msconfig.exe---系统配置实用程序
rsop.msc-------组策略结果集
mem.exe--------显示内存使用情况
regedit.exe----注册表
winchat--------XP自带局域网聊天
progman--------程序管理器
winmsd---------系统信息
perfmon.msc----计算机性能监测程序
winver---------检查Windows版本
sfc /scannow-----扫描错误并复原
taskmgr-----任务管理器(2000/xp/2003)
硬盘故障分析及日常维护全攻略
一.硬盘零磁道与分区表的修复
零磁道处于硬盘上一个非常重要的位置,硬盘的主引导记录区(MBR)就在这个位置上。MBR位于硬盘的0磁道0柱面1扇区,其中存放着硬盘主引导程序和硬盘分区表。在总共512字节的硬盘主引导记录扇区中,446字节属于硬盘主引导程序,64字节属于硬盘分区表(DPT),两个字节(55 AA)属于分区结束标志。由此可见,零磁道一旦受损,将使硬盘的主引导程序和分区表信息遭到严重破坏,从而导致硬盘无法自举。
零磁道损坏属于硬盘坏道之一,只不过由于它的位置太重要,因而一旦遭到破坏,就会产生严重的后果。
通常的维修方法是通过Pctools9.0的DE(磁盘编辑器)来修复(或者类似的可以对磁盘扇区进行编辑的工具也可以),其方法如下:
用Windows 9x启动盘启动,插入含有Pctools9.0的光盘。运行PCT90目录下的de.exe,先进入“Options”菜单,选“Configuration”(配置)命令,按下“空格”键去掉Read Only(只读)前面的勾(按Tab键切换),之后,保存退出。
接着选择并执行主菜单“Select”(选择)中的Drive(驱动器),进去之后在“Drive type”(驱动器类型)项中,选择Physical(物理的),并按空格选定,再按“Tab”键切换到“Drives”项,选中“Hard disk”(硬盘),最后,选择“OK”并回车。
之后,回到主菜单中,打开“Select”菜单,这时会出现Partition Table(分区表),选中并进入,之后出现硬盘分区表信息。如果硬盘有两个分区,l分区就是C盘,该分区是从硬盘的0柱面开始的,那么,将1分区的Beginning Cylinder(起始柱面)的0改成1就可以了。保存后退出。
要注意的是,在修改之前先将硬盘上的重要资料备份出来。重新启动,按Delete键进入回CMOS设置,选“IDE AUTO DETECT”,可以看到CYLS数比原来减少了1,之后,保存设置并退出。重新分区、格式化,即可救活硬盘。
需要注意的是:由于DE工具仅对FAT16分区的硬盘有效,因此,对于FAT32分区的硬盘来说,可以通过分区大师(PQ)等磁盘工具,将FAR32转换为FAT16,然后再对其进行处理。
另外,有人还探索出了通过修改硬盘电机定位系统来改变零磁道位置和通过电路调整来改变磁头的分配逻辑,以达到重新定位零磁道的目的。当然这需要更深厚的硬件水平,实现起来也比较复杂。
分区表损坏的修复
硬盘主引导记录所在的扇区也是病毒重点攻击的地方,通过破坏主引导扇区中的DPT(分区表),即可轻易地损毁硬盘分区信息。分区表的损坏通常来说不是物理损坏,而是分区数据被破坏。因此,通常情况下,可以用软件来修复。
通常情况下,硬盘分区之后,备份一份分区表至软盘、光盘或者USB盘上是极为明智的。这个方面,国内著名的杀毒软件KV3000系列和瑞星都提供了完整的解决方案。另外,对于没有备份分区表的硬盘,也提供了相应的修复方法,不过成功率相对较低。
另外,中文磁盘工具DiskMan在这方面也是行家里手。重建分区表作为它的一个“杀手锏”功能,非常适合用来修复分区表损坏。
对于硬盘分区表被分区调整软件(或病毒)严重破坏,引起硬盘和系统瘫痪,DiskMan可通过未被破坏的分区引导记录信息重新建立分区表。在菜单的工具栏中选择“重建分区表”,DiskMan即开始搜索并重建分区。DiskMan将首先搜索0柱面0磁头从2扇区开始的隐含扇区,寻找被病毒挪动过的分区表。接下来搜索每个磁头的第一个扇区。搜索过程可以采用“自动”或“交互”两种方式进行。自动方式保留发现的每一个分区,适用于大多数情况。交互方式对发现的每一个分区都给出提示,由用户选择是否保留。当自动方式重建的分区表不正确时,可以采用交互方式重新搜索。
但是,需要注意的是,重建分区表功能不能做到百分之百的修复分区表,除非你以前曾经备份过分区表,然后通过还原以前备份的分区表来修复分区表损坏。因此可见,平时备份一份分区表是多么的必要!
二.硬盘不能分区
用FDISK给硬盘重新分区时,遇到了一件非常奇怪的事情,就是原扩展分区怎么也删不掉(用的是品牌机)!
用软盘启动电脑,进入FDISK,发现该硬盘的容量为40GB,扩展分区占了25GB,没有逻辑盘(早被他删了)。于是依次进入“Delete partition Or Longical Dos Drive——Delete Extended Dos partition”菜单,删除扩展分区,然而却提示“Cannot delete Extended Dos partitionWhile logical drives exist”(当逻辑盘存在时不能删除扩展分区),咦,怎么回事?不是没有逻辑盘吗!为了再次确认,我又依次进入“Delete partition Or Longical Dos Drive——Delete Logical Dos Drive(s)in the Extended Dos partition”菜单,删除逻辑盘,却提示“No logical drives defined”(没有定义的逻辑盘)。
许多电脑厂商为了减轻顾客重装系统的苦恼,将系统装好后做了备份,放到一个专门的分区里,莫不是该品牌电脑也有个专门存放备份系统的分区,而且被隐藏起来了?由于FDISK本身不能查看分区是否隐藏,只好借助PQmagic工具软件,进入PQmagic查看硬盘,果然有一个分区被隐藏了,点击取消隐藏后退出PQmagic。当再次进入FDISK后,发现了一个逻辑盘,进入“Delete partition Or Longical Dos Drive——Delete Logical Dos Drive(s)in the Extended Dos partition”菜单,删掉逻辑盘。又进入“Delete partition Or Longical Dos Drive——Delete Extended Dos partition”菜单中,扩展分区终于被成功删除。
三.报废硬盘维修实例
微机对硬盘自检的故障提示一般有两种:一种是“HDD Not Detected(没有检测到硬盘)”,另一种是“HDD Control Error(硬盘控制错误)”。现介绍具体的修复步骤。
先用水洗净双手,目的是洗净手上的油迹与汗迹,同时泄放掉人体可能残存的静电。最好能戴一双医用手套再进行操作。本人的15只硬盘在自检时均能听到磁盘旋转的声音。磁盘能正常旋转,估计主电机和控制电路板均无故障。对于“HDD Not Detected”错误提示的硬盘,首先检查硬盘外部数据信号线的接口是否有变形,接口焊点是否存在虚焊。排除以上的可能后,取下硬盘后盖,露出电路控制板。拧下控制板上的固定螺丝,将控制板与硬盘主体分离。这时可以看见硬盘主体的两排弹簧片。一排作为主电机的电源,另一排作为硬盘主体的磁头机械臂驱动线圈电源以及硬盘主体与电路控制板间数据传输接口。对于无特殊封装的硬盘,往往可以看见弹簧片与控制电路板对应部位均有灰尘。用脱脂棉蘸无水酒精清洁,对弹簧片变形的部位校形,并除去氧化层。本人的7只硬盘经以上处理后,均恢复正常。
如果以上处理无效,那就得打开硬盘主体。选取一个灰尘很少的环境,拧开硬盘前盖的螺丝(有的是用胶粘牢)。取下硬盘的前盖,这时就可清楚地看到盘面。首先用数字万用表检测磁头机械臂驱动线圈是否断路。该线圈的正常阻值为20Ω左右。其次检测磁头上的连线是否断开。每张盘面的两侧均有一个磁头,每个磁头均有两根连线接到磁头机械臂上的集成芯片上。该芯片常见的型号为H1710Q,作用是将磁信号转变为电信号,再送到电路控制板处理。磁头阻值应在23Ω~26Ω之间。若磁头阻值较大,说明磁头损坏。磁头连线与芯片H1710Q相连,H1710Q对应脚阻值应在1.7kΩ左右,若在1.2kΩ以下说明该芯片已被击穿,可与排线一起更换。
若磁头上的连线断路,可用∮0.2mm的优质漆包线取代。一端压在磁头的金属弹片上,另一端焊在H1710Q相应的脚上。注意将漆包线卡在机械臂相应的卡槽内,并用少许502胶水固定,防止硬盘转动时与漆包线相摩擦。将硬盘各部分复原后,最后用702硅胶将硬盘周围封死,防止灰尘进入。由于磁头体积很小,不易将漆包线卡在上面,最好在放大镜下操作。在本人的废硬盘中,有两只系磁头上的连线损坏。本人在卡漆包线时由于用力过猛,造成一只磁头损坏,因此只修复好一只硬盘,开机后恢复正常。
对于提示“HDD Controller Error”错误的硬盘,大都是由于某种原因造成硬盘主引导记录(MBR)上文件受损。MBR位于0磁头/0柱面/1扇区上,由FDISK.EXE对硬盘分区时生成。若MBR受损,微机会提示HDD Controller Error,实际上是零磁道上文件损坏,这时格式化是解决不了问题的,必须用专用软件来处理。首先用系统盘在A盘启动后,运行Scandisk命令检查C盘。
若零磁道未损坏,只需用Norton8.0软件将该磁道上的文件修复即可。具体作法为:找一台内置硬盘与待修硬盘型号规格完全相同且装有Norton8.0版软件的电脑,将待修硬盘与硬盘电源线相连接,但硬盘信号线不接,跳线不变。1)开机后运行Disk Edit命令,从菜单Tools中点取CONFIGURATION项,将Read Only项取消,2)从下拉菜单O-biect中选取Driver项,将Hard Disk类型设置为Physical Disk,点击OK项确定;3)从Ob-ject菜单中选取Partition Table项,将接在完好硬盘上的信号线拔下,接到待修硬盘上,点击OK项确定。4)选择Hard Disk1点击OK项确定,再从Write Ob-ject to Physical Sectors对话框中将Cylinder、Side、Sector分别设置成0、0、1点击OK项确定。当出现Warning对话框时选Yes项。退出Norton软件,这样就将硬盘的主引导信息恢复。重新启动,硬盘恢复正常,原硬盘内的文件也不会丢失。
若零磁道损坏的硬盘,先仍按上述步骤用Nor-ton8.0软件处理,只是到了第三步时,将Cylinder、Side、Sector分别设置成1、0、1点击OK项确定。当出现Warning对话框时选Yes项。退出Norton软件,重新启动计算机,在CMOS设置硬盘自动检测一栏中可以看到,CYLS数值减少了1个。如原来CYLS为2112,则变为2111。说明原硬盘分区表是从C盘的0柱面开始,现从1柱面开始。保存CMOS设置后退出。重新分区、格式化后硬盘恢复正常。另有3块硬盘,自检时提示“HDD Controller Er-ror”。采用以上方法处理无效,只能报废。同行们手中若有坏硬盘,先不必废弃,可先按以上的方法维修,相信会有意想不到的收获。
四.硬盘维护全攻略
前段时候的IBM硬盘事件,可能许多受害者还记忆犹新、心有余悸吧。硬盘,也一度成为电脑中最脆弱、最娇贵的配件了,PCPOP上公布的三段IBM硬盘损坏的工作声音使我们毛骨悚然。由于硬盘存有用户的重要资料,所以,每个人都会尽自己所能地挽救硬盘。在BBS中,我们也常会看到许多人向大虾求救,询问维修的方法。而很多人却不负责任,很粗略地说了一下。完全不能解决用户的难题。针对这个迫在眉睫的问题,我们故将目前所常见的硬盘故障和其解决方法罗列以下,旨在将用户的损失降到最低。
硬盘常坏在哪里?
首先我们要搞清楚,硬盘常坏在哪里,是怎么坏的,这样才能对症下药,达到事半功倍的效果。
1、逻辑坏道:俗称“软坏道”。是由软件安装或使用错误造成的,一般对硬盘本身不会造成太大的危害。
2、物理坏道:这类坏道就是前段IBM硬盘事件的普遍症状。磁头和磁盘间的间隙仅有0.015~0.025 μm ,这么小的间隙,硬盘在运输途中,如果受到强烈颠簸,会使硬盘产生物理坏道。除此以外,人为的错误也会使一块硬盘报废。一些粗心大意的人在装机时,硬盘螺丝没有拧紧,为日后的使用埋下了隐患。硬盘工作时的震动也会造成物理坏道的产生。
3、零磁道故障:众所周知,硬盘读盘都是从0磁道开始的。如果0磁道损坏,就会造成硬盘不能读盘、开机不能找到硬盘等等。
以上三种算是硬盘常见的疑难症状。逻辑坏道算是硬盘故障中的伤寒而已,一般很容易解决,用Windows的磁盘扫描程序就能解决。如果无法“扫到病除”,大不了FORMAT硬盘、重装系统,也可以摆平。但对于物理坏道和零磁道故障,我们就得花费点时间和精力了。
症状一:在你打开某一文件或运行某一程序时,硬盘反复读盘且出错,或者要经过九牛二虎之力才能成功。与此同时,硬盘会发出异样的杂音;启动时不能通过硬盘引导系统,用软盘启动后可以转到硬盘盘符,但无法进入,用SYS命令传导系统也不能成功;FORMAT硬盘时,到某一进度停止不前,最后报错,无法完成;对硬盘执行FDISK时,到某一进度会反复进进退退。
这些症状都是物理坏道的常见病症。目前尚无完全修复物理坏道的良药。只能通过修复少量的坏道或屏蔽坏道来缓解这一问题。
1、首先从最简单的方法入手。如果能进入Win9X系统,则使用Win9X自带的磁盘扫描程序,“扫描类型”选择“完全”,对所在分区进行一次完整的“体检”,发现并尽量修复潜在的坏簇。对于以上不能通过硬盘引导,即不能进入Win9X的现象,则可以用Win9X的启动盘启动系统,然后在A:>提示符后键入SCANDISK D:(其中“D”是具体的硬盘盘符)来扫描硬盘。对于坏簇,程序会以黑底红字的“B”(bad)标出。
2、由于Win9X只能修复逻辑坏道,对付物理坏道就有些心有余而力不足了。所以第一步往往不会奏效,但在所有的修复工作中,它却是最重要的。我们可以病症发生在哪个部位。在这些坏道上作好标记,对它疏而远之,惹不起,总躲得起吧。切记第一步中坏道的位置,然后对硬盘Format,将有坏道的区域单独划成一个区,如果坏道不是连续的,而且相距较远,可以将邻近的坏道划在一个区内,甚至可以多划几个区。值得注意的是,不要为吝啬硬盘空间而把含有坏道的区划得过分紧凑,坏道周围应留有适当的“好道”空间作为缓冲。以后就不要在这些危险区域内存取文件了,因为坏道具有扩散性,如果动用与坏道K得过分近的“好道”,那么过不了多久,病情又会扩散了!
3、有些用户可能在硬盘中存储了大量的重要信息,如果亲手把这些价值连城的信息摧毁掉,那岂不是心如刀割?除了Format外,我们是否还有鱼和熊掌兼得的方法?答案是肯定的。我们可以尝试使用PartitionMagic对硬盘进行处理。PartitionMagic允许在不破坏数据的前提下对硬盘重新分区、动态改变分区大小、改变分区的文件格式、隐藏或显示已有分区等等。将PartitionMagic的DOS版拷在软盘上,用WIN9X启动盘引导系统,运行软盘上的PQMAGIC.EXE。由于PartitionMagic中
Operations菜单下的“check”命令也能扫描硬盘,检查坏道,所以我们大可以化烦为简,跳过前两步。检查完毕,标记了坏簇后,在Operations菜单下选择“Advanced/bad Sector Retest”;把坏簇分成一个(或几个)区后,再通过Hide Partition菜单项把含有坏道的分区隐藏,以免在Windows9X中误操作。要特别注意的是,如果没有经过格式化而直接将有坏道的分区隐藏的话,那么该分区的后续分区将由于驱动器盘符的变化而导致其中的一些与盘符有关的程序无法正确运行。解决的办法是利用Tools菜单下的DriveMapper菜单项,它会自动地收集快捷方式和注册表内的相关信息,立即更新应用程序中的驱动器盘符参数,以确保程序的正常运行。这种方法适用于全系列的PartitionMagic,不过,需要提醒大家的是:强烈建议不要使用3.0以下的版本(可能你也找不到这版本了),因为3.0以下的PartitionMagic还很不成熟,会造成执行操作失败、甚至硬盘资料丢失的情况。对于想保留自己信息的用户,可要关注一下啊。
症状二:当你开机时,检测CPU、内存正常后,硬盘不能通过自检,屏幕显示“HDD Controller Error(硬盘控制器故障)”,而后死机。进入BIOS中仍然无法对硬盘进行设置,也找不到硬盘。用Norton、KV3000等软件也无法找到硬盘。
六.硬盘坏道的维修
1、Scandisk磁盘扫描程序是解决硬盘逻辑坏道最常用的手段,而常见的Format命令不能对任何硬盘坏道起到修补作用。如果硬盘出现了坏道,可在Windows系统环境下,在“我的电脑”中选中要处理的硬盘盘符,选择其“属性”,在出现的“工具”按钮中选择“查错状态”,点击“开始检查”,再在“扫描类型”中选“全面检查”,并将“自动修复错误”打上“勾”,然后“开始”既可,它将对硬盘盘面作完全扫描处理,并且对可能出现的坏簇作自动修正。其次,在Dos状态下,硬盘有坏道,计算机在启动时一般会自动运行Scandisk进行扫描,并将坏簇以黑底红字的“B”(bad)标出。如果系统在启动时不进行磁盘扫描或已不能进入Windows系统,也可用软盘或光盘启动盘启动电脑后,在相应的盘符下运行Scandisk *:(注*为要扫描的硬盘盘符),回车后来对相应需要扫描修复的硬盘分区进行修理。
2、诺顿工具箱中的NDD“磁盘医生”及PCTOOLS等相关工具对硬盘进行扫描也是修复硬盘坏道的最常用的方法。
3、如果硬盘上出现了无法修复的坏簇或物理坏道,大家可用一些磁盘软件将这些坏道单独分为一个区并隐藏起来,这样可令你的硬盘延长很多正常的使用寿命。
4、系统显示“TRACK 0 BAD,DISK UNUSABLE”,意思为“零磁道损坏,硬盘无法使用”或用磁盘扫描程序扫描其它硬盘时其0扇区出现红色“B”。硬盘0扇区损坏,可以合理运用一些磁盘软件,把报废的0扇区屏蔽,而用1扇区取而代之就能起到起死回生的效果,这样的软件如Pctools9.0和NU8等等。以Pctools9.0为例来做说明。用盘启动电脑后,运行Pctools9.0目录下的De.exe文件,接着选主菜单Select中的Drive,进去后在Drive type项选Physical,按空格选定,再按Tall键切换到Drives项,选中hard disk,然后OK回车后回到主菜单,打开Select菜单,这时会出现Partition Table,选中进入后出现硬盘分区表信息。该硬盘有两个分区,找到C区,该分区是从硬盘的0柱面开始的,那么,将1分区的Beginning Cylinder的0改成1就可以了,保存后退出。重新启动电脑后按Del键进入回Coms设置,运行“Ide Auto Detect”,可以看到CYLS由782变成781,保存退出后重新分区格式化该硬盘。
七.硬盘出现物理坏道的迹象及修复技巧
对于个人电脑用户来说,硬盘的更新频率一般没有CPU 或显示卡那么快--即使要买新硬盘,老硬盘也要挂在机箱里发挥余热,所以人们最不愿意看到硬盘出故障,尤其是当硬盘中保存了珍贵的数据资料时。硬盘属逻辑损坏倒也罢了,大不了重装软件,但物理损坏呢?其实只要情况不是特别严重,用一些方法处理,一般也能解决问题。
首先来看看硬盘有了物理损伤,也就是有了坏道后有哪些现象:
1.读取某个文件或运行某个软件时经常出错,或者需要经过很长时间才能操作成功,其间硬盘不断读盘并发出刺耳的杂音,这种现象意味着硬盘上载有数据的某些扇区已坏。
2.开机时系统不能通过硬盘引导,软盘启动后可以转到硬盘盘符,但无法进入,用SYS命令传导系统也不能成功。这种情况比较严重,因为很有可能是硬盘的引导扇区出了问题。
3.正常使用计算机时频繁无故出现蓝屏。
对于前面3种情况,我们一般都有办法作或多或少地补救。以下提供了几种方法来对硬盘的坏道作修复,要注意的是,应该优先考虑排在前面的方法。
1).首先从最简单的方法入手。在Windows98的资源管理器中选择硬盘盘符,右击鼠标,在快捷菜单中选择 “属性”,在“工具”项中对硬盘盘面作完全扫描处理,并且对可能出现的坏簇作自动修正。对于以上第2种情况即不能进入 Windows98的现象,则可以用Windows98的启动盘引导机器,然后在“A:>”提示符后键入“scand isk X:”来扫描硬盘,其中“X”是具体的硬盘盘符。对于坏簇,程序会以黑底红字的“B”(bad)标出。
2).实际上,第1种方法往往不能奏效,因为Windows98对“坏道”的自动修复很大程度上是对逻辑坏道而言,而不能自动修复物理坏道,所以有必要考虑对这些坏道作“冷处理”。所谓“冷处理”就是在这些坏道上作标记,不去使用,惹不起还躲得起。记住第1种方法中坏道的位置,然后把硬盘高级格式化,将有坏道的区域划成一个区,以后就不要在这个区上存取文件了。要说明的是,不要为节约硬盘空间而把这个区划得过分“经济”,而应留有适当的余地,因为读取坏道周围的“好道”是不明智的--坏道具有蔓延性,如果动用与坏道K得过分近的“好道”,那么过不了多久,硬盘上新的坏道又将出现。
3).用一些软件对硬盘作处理,其中最典型的是PartitionMagic了。这里以5.0版本为例:扫描硬盘可以直接用PartitionMagic5中的“check”命令来完成,但该命令无自动修复功能,所以最好在Pa rtitionMagic5中调用Windows98的相关程序来完成这个任务。标记了坏簇后,可以尝试着对它进行重新测试,方法是在Operations菜单下选择“Advanced/bad Sector Retest”,把坏簇分成一个(或多个)区后,可以考虑把该区隐藏,以免在Windows98中误操作,这个功能是通过Hide Part ition菜单项来实现的。要特别注意的是,如果没有经过格式化而直接将有坏簇的分区隐藏的话,那么该分区的后续分区将由于盘符的变化而导致其中的一些与盘符有关的程序不能正确运行。比如一些软件在桌面上建立的快捷方式将找不到宿主程序,解决之道是利用Tools菜单下的DriveMapper菜单项,它会自动地收集快捷方式和注册表内的相关信息,并对它们作正确的修改。另外,DiskManager这个软件也能做这个工作。隐藏了分区后,不要试图把坏道所在的分区的前后分区合并,因为这两个分区在物理上并不连续。
4).对于硬盘0扇区损坏的情况,看起来比较棘手,但也不是无药可救--只要把报废的0扇区屏蔽,而用1扇区取而代之就行了,完成这项工作的理想软件是Pctools9.0,具体地说,是Pctools9.0中的DE工具,要注意的是,修改扇区完成后,只有对硬盘作格式化后才会把分区表的信息写入1扇区(现在作为0扇区了)。
5).不到万不得已,这一招最好不要用:即对硬盘作低格。因为对硬盘作低格至少有两点害处:一是磨损盘片,二是对有坏道的硬盘来说,低格还会加速坏道的扩散。
6).最后还有一点,那就是主板BIOS的相关内容要设置得当,特别是对于一些TX芯片组级别以前的主板,由于没有自动识别硬盘规格的能力,往往会因设置不当而影响硬盘的使用,轻则硬盘不能物尽其用,重则损伤硬盘。
以上介绍的是硬盘有物理损伤时的解决方法。但是,这些方法大多数是以牺牲硬盘容量为代价的一种补救措施。硬盘有了坏道,如果不是因为老化问题,则说明平时在使用上有不妥之处,比如对硬盘过分频繁地整理碎片、内存太少以致应用软件对硬盘频频访问等。而忽略对硬盘的防尘处理也会导致硬盘磁头因为定位困难引发机械故障。另外,对CPU超频引起外频增高,迫使硬盘长时间在过高的电压下工作,也会引发故障,所以,平时对硬盘的使用还应以谨慎操作为上策。
再介绍一款名为“Disk Genius”的软件,它同样是对付硬盘坏道的能手,操作前的准备:
1、在Windows下制作一张DOS启动软盘。
2、从www.ccednet.com/soft/cce下载DG,将其解压缩到软盘上。
如何对付硬盘坏道
2、在程序中,按键盘上的“Alt”键激活菜单,用左右箭头将其移动到“工具”项,在该选项中选中“硬盘表面检测”,系统提示“测试当前分区硬盘表面?坏扇区清单将保存到BACDSECT.TXT中” 。
3、执行扫描,里面共有三个选项,分别为:按扇区扫描、按磁道扫描和按柱面扫描。建议选择“按扇区”扫描,虽然其速度最慢但检测的最全面。
4、点击“按扇区”进行扫描之后,会弹出扫描进程对话框,扫描到坏道的时候会发出“咯滋、咯滋”的声响,但不一会儿就会扫描过去。完成之后,会出现一个是否有坏扇区、共有几个坏扇区的提示信息
5、重新启动Windows 98,进入DG软件所在的目录,找到并打开BACDSECT.TXT文件,在这个文件中详细地记录了刚才扫描的结果用笔记录下来,在下面的操作中我们将用到这些信息。
6、重新用刚才制作的启动盘启动计算机,在DOS下运行DG,把原有的分区删除。操作如下:按下“Alt”键激活DG功能菜单,将其移动到分区菜单项,选择“删除分区”,重复以上操作,将原有分区全部删除。
7、重建分区:激活菜单后,选择“新建分区”(或建扩展分区)项,根据BADSECT.TXT文件所记录下的坏扇区位置,把坏扇区前后10~20MB的空间单独划分为一个区(这样做是为了给坏道扩散预留一部分空间)。“Tab”键在分区时很有用,分好一个区后,记得要按“Tab”键切换到硬盘的其他位置才可以继续分其他的区。分区操作过程中,如果有误也不要紧,该软件提供了“重新加载”命令,可以把硬盘恢复到初始分区状态。因为这个软件在存盘之前的所有操作都只是保存在内存中,所以你可以用多次分区的方法把包含坏道的分区的大小控制在指定的范围之内。在本例中,有坏道的分区的起始柱面为137,结束柱面为164,这样就把坏道(148)包含在其中了。
8、用“Alt”键将DG菜单激活后,执行分区菜单里的“隐藏”命令,就可以把包含坏道的分区隐藏起来了。然后存盘并退出DG,系统提示分区已改动。
9、格式化分区:虽然DG自带的有格式化程序,但不推荐使用,建议用启动盘上的“Format”命令对硬盘进行格式化。
10、如果在对硬盘进行格式化时,系统提示“Track 0 Bad”的话,那么意味着硬盘的0磁道损坏了。一般来说这种故障是难以修好的,但是我们还是不必放弃,说不定还有一线生机。
其实0磁道损害也是坏道的问题,只不过关键的0磁道也有坏道而已。此时,我们所要做的就是重新标记0磁道的位置。这项工作我们可以交给PCTools 9.0工具包,我们要利用的是其中的DE.EXE命令。
为了修改0磁道文字,首先要去掉DE的只读属性,我们必须把Configuration下Read Only前的钩消去。随后在主菜单Select中进入Drive type,并选择下一级的Physical→Hard disk。回车之后,我们的主菜单就会出现Partition Table(分区表),注意找Beginning Cylinder(起始柱面)这一项,它代表硬盘的0柱面开始,也就是0磁道的位置。此时大家只要稍微动一下,把它改为1或者2即可。
通过以上操作,我们就完成了隐藏坏道的工作了,怎么样,硬盘是不是又可以正常工作了!
如何恢复误删除的文件,常常因为对系统不太熟悉,或者其它原因,误删除了系统内的文件或者其它有用的资料,而导致系统不正常,甚至无法启动,或者把很重要的资料给删除了,而后悔莫及。下面介绍几种找回误删除文件的方法,把失去的文件找回来。
恢复前的注意事项
在误删除文件以后,要注意不要马上向目标分区写入新文件,比如不要重新启动计算机,或者注销等。因为WINDOWS在重新启动和注销时都会向C盘生成一个临时文件,也就是说,分区内已经写入了新文件,这就给恢复文件造成一定的困难。如果设置不当或操作上稍不留意,可能已经写入了新文件而自己又不知道,针对该注意事项下面举出两点:
1、不要在删除了文件的分区内安装新软件或运行新的任务特别是C盘,因为一般用户都把系统装在C盘。另外虚拟内存要是设在C盘的话,此时也不要运行新的任务,以以免因为虚拟内存的更新而覆盖了数据。
2、要注意WINDOWS扫描和报告的设置,默认状态下,WINDOWS在启动时会检测系统分区有没有错误,如果上一次是非法关机的话,系统启动时就会扫描分区,这就对要恢复的文件造成致使的破坏,就算勉强恢复过来也不能用了。(如果用的是WINDSOWS98建议在MSDOS.SYS里设置一下,在OPTION组加入一句“AUTOSCAN=0”这样在启动时就不会再扫描分区了,要是在2000和XP里,按回车就可跳过扫描直接进入系统了。
五.解开硬盘逻辑死锁的一种有效方法
一、序言
不知道你是否曾碰到过从软盘和硬盘都启动不了计算机的情形?一般计算机的硬盘分区表被病毒感染后,若不能启动机子,通常从软盘可以启动。但在严重的情形下,不但从硬盘不能启动机子,就是从软盘也不能启动。有的恶毒的病毒就能使硬盘被死锁。笔者一次在自己机子上玩弄硬盘锁时,就被锁住过一次。结果在硬盘下选择DOS或WIN95模式启动机子都死机,在软盘下用DOS启动也死机;在COMS中将硬盘类型选择None,虽然可以从软盘启动,但启动后没有硬盘,使用软盘上的FDISK命令,想重新分区或格式化都没门。弄得我一筹莫展。
本来,硬盘被锁住时,可以采用3.0以下的DOS版本启动机子,机子启动后虽然也不认硬盘,但其不认的原因在于其管理不了现在的大硬盘,因此可以用Debug修改硬盘分区表,修改后可以启动。但在已进入WINDOWS的年代,3.0以下的DOS实难找到,即使找到,你的机子上恐怕也因没有5寸软驱而不能使用。因此,最好的办法是编制一个程序来解决这个问题。笔者通过尝试和思考,找到一种比较实用的方法,可以轻松解开死锁的硬盘,当然也把自己的硬盘解开了。下面,我将这种方法介绍出来。
二、硬盘锁住原理
硬盘锁住通常是对硬盘的分区表做手脚,因此首先应该了解硬盘的分区表。硬盘分区表位于0柱面0磁头1扇区,这个扇区的前面200多个字节是主引导程序,后面从01BEH开始的64个字节是分区表。分区表共64字节,分为4栏,每栏16字节,用来描述一个分区。如果是用DOS的FDISK程序分区后,最多只用两栏,第一栏描述基本的DOS分区, 二栏描述扩展的DOS分区。 分区表一栏的结构与各字节的含义如下:
00H—标志活动字节,活动DOS分区为80H,其它为00H。
01H—本分区逻辑0扇区所在的磁头号。
02H—逻辑0扇区所在柱面中的扇区号。
03H—逻辑0扇区所在的柱面号。
04H—分区类型标志。
05H—本分区最后一个扇区的磁头号。
06H—最后一个扇区的扇区号。
07H—最后一个柱面的柱面号。
08H—硬盘上在本分区之前的扇区总数,用双字表示。
0CH—本分区的扇区总数,从逻辑0扇区计数,不含隐藏扇区,用双字表示。
在上面的介绍中给出的柱面号与扇区号虽然各占一个字节,但实际上扇区号用6位表示,柱面号用10位表示,扇区号所在字节的最高两位实际上是柱面号的最高两位。 分区表的最后两个字节是分区表的有效标志,如果将其改变,将不能从硬盘启动,这是一种简单的锁住硬盘的方法。解决的办法是从软盘启动,启动后硬盘仍然可以使用。用Debug或Noratn中的Diskedit软件将硬盘该分区表中的标志恢复,则从硬盘启动也没有问题了。锁住硬盘的另一种方法是对分区参数做手脚,如果将分区参数全部变为0,则启动时由于找不到分区参数,从硬盘是没法启动,从软盘启动后也不认硬盘,如果你敲入盘符C并回车,将出现提示Invalid driver specification。
但所幸的是,毕竟可以启动机子,不认硬盘没关系,在A盘上用DOS的Debug仍然可以读出硬盘0柱面0磁头1扇区的内容,修改后再写入0柱面0磁头1扇区,重新启动机子又没问题了。如果将分区表参数随意改为其它参数,则有可能不能用可以安装DOS的DOS系统盘启动,按F3退出后将出现内存分配错误,不能装载DOS的命令解释器COMMAND的提示,系统就死机了,笔者就曾碰见过这种情形。但用一张格式化成系统盘的软盘则可以顺利启动,只要有Debug,你仍然可以将分区表参数修改回去。
可怕的事情是,如果你不幸将分区表参数改成一个循环链,即C盘的下一个分区指向D驱,D驱的下一个分区又指向C区,这样循环下去,DOS启动或WIN95启动时由于无休止的读取逻辑驱动器,就只有死机的份了。这是只要有硬盘存在,不管你用软盘还是硬盘都没法启动机子了,由于不能启动是由于硬盘造成的,即使你将硬盘下到其它计算机上,也没法使用,这样硬盘就彻底被锁死了,笔者所遭遇就是此情形。不信,你只需将硬盘0柱面0磁头1扇区的1D0H处改为1(如果你的D驱开始柱面号不够大,此处本来就为1),将1D1H处改为0,表示D盘的开始柱面号跟C盘一样,看看你的计算机还能不能启动,不过你在没有充分的准备前绝不要试。
一个完整的硬盘锁程序,不过是重新改写0柱面0磁头1扇区的引导程序,并将分区表破坏或故意制造一个循环分区表,而将真正的硬盘分区表参数和引导程序放在其它隐藏扇区并保护起来,如果启动时口令不对,则不能启动机子,口令对了则顺利启动。这种硬盘锁程序,情形好的还可以用软盘启动;情形严重的就是连软盘也不能启动,硬盘真被锁住。
八.硬盘0磁道损坏的排解
“0”磁道处于硬盘上一个非常重要的位置,硬盘的主引导记录区(MBR)就在这个位置上。MBR位于硬盘的0磁道0柱面1扇区,其中存放着硬盘主引导程序和硬盘分区表。在总共512字节的硬盘主引导记录扇区中,446字节属于硬盘主引导程序,64字节属于硬盘分区表(DPT),两个字节(55 AA)属于分区结束标志。由此可见,“0”磁道一旦受损,将使硬盘的主引导程序和分区表信息遭到严重破坏,从而导致硬盘无法自举。“0”磁道损坏也属于硬盘坏道,只不过由于它的位置太重要,因而一旦遭到破坏,就会产生严重的后果。
1.硬盘“0”磁道损坏后的症状
当硬盘“0”磁道损坏后:系统自检能通过,但启动时,分区丢失或者C盘目录丢失,硬盘出现有规律的“咯吱……咯吱”的寻道声,运行SCANDISK扫描C盘,在第一簇出现一个红色的“B”;Fdisk等分区软件找不到硬盘、利用低版本的DM进行分区时,程序“死”在0磁道上;在进行“Format C:”时,屏幕提示0磁道损坏或无休止地执行读命令“Track 0 Bad”。
2.解决硬盘“0”磁道损坏的思路
磁头总是把“0”磁道作为寻道的基准点,如果“0”磁道出现物理损坏,磁头定位机构会因找不到“0”磁道,使硬盘自举失败。因此,在解决硬盘“0”磁道损坏问题时,一般都采取“以1代0”的方法,也就是在划分硬盘分区时,重新定义“0”磁道,将原来的“1”磁道定义为逻辑上的“0”磁道,避开已损坏的“0”磁道。
3.通过工具软件解决硬盘“0”磁道损坏
(1)通过DM万用版解决
首先从网上下载DM万用版并制作好DM启动软盘,然后执行DM并进入其主界面。在主界面中按下Alt+M组合键进入DM的高级模式,将光标定位到“(E)dit/View partitions”(编辑/查看分区)选项,按回车键之后,程序要求选择需要修复的硬盘,选中硬盘,按回车便进入了该硬盘的分区查看界面。如图8所示。
在分区列表框中选中“1”号分区,此时上面的分区信息栏将显示该分区信息,例如分区格式、容量、开始的柱面、结束的柱面等。此时需要记住开始柱面中的“0”和结束柱面序号“2489”。保持光标定位在1号分区上,然后按下Del键删除该分区,在出现的确认删除分区的界面中选择“Yes”并回车,此时1号分区便删除了。
保持光标停留在1号分区上,然后按下Ins键添加分区。在出现的分区类型界面中选择“DOS-FAT32”选项,按回车后便到了此时修复的关键步骤——“Select Entry Mode”(设置容量模式)。在该界面中一定要选择“(C)ylinders”(柱头)选项,回车后便进入了容量输入界面。在该界面中,是按照柱面来输入容量的。对于第一个分区(也就是C盘)而言,都是从第1个柱面开始,但现在我们必需将前面的“0”改成“1”,至于后面该分区结束的柱面数没有必要修改,可以根据之1号分区的结束柱面数进行填写。
重新划分好1号分区后,返回到分区界面,将光标定位到“Save and Continue”(保存并继续)选项保存设置,然后按下Esc键推出DM,最后根据提示重新启动电脑。
重新启动电脑后,首先在BIOS中通过“IDE HDD Auto-Detection”功能重新设置硬盘参数,然后进入对C盘进行格式化。至此,修复工作结束。
(2)通过PCTools解决
工具软件PCTools是由美国Central Point公司针对PC机设计的实用工具包,该软件包中的DE(DiskEdit)工具可用来修复“0”磁道损坏的硬盘。
首先将PCTools 9.0下载到本地硬盘,由于该软件包体积比较大,且无法在FAT32格式上的硬盘上运行,因此最好是将下载得到的压缩包解压缩,然后将整个PCTools工具包刻录到光盘上。当然,如果硬盘上有FAT16格式的分区,也可以将PCTools放在该分区上并运行。
准备一张系统启动软盘(或启动光盘),将启动盘放入软驱并引导系统(注意,一定要加载光驱驱动),然后放入预先准备好有PCTools的光盘,进入光盘上DE所在的目录并运行DE。进入DE主界面之后,首先会弹出一个信息窗口,提示此时DE运行在只读状态。按回车之