一个电脑技术员的心得

杨云鹏 整理

windows 快捷键

一、常见用法：

F1 显示当前程序或者windows的帮助内容。

F2 当你选中一个文件的话，这意味着“重命名”

F3 当你在桌面上的时候是打开“查找：所有文件” 对话框

F10或ALT 激活当前程序的菜单栏

windows键或CTRL+ESC 打开开始菜单

CTRL+ALT+DELETE 在win9x中打开关闭程序对话框

DELETE 删除被选择的选择项目，如果是文件，将被放入回收站

SHIFT+DELETE 删除被选择的选择项目，如果是文件，将被直接删除而不是 放入回收站

CTRL+N 新建一个新的文件

CTRL+O 打开“打开文件”对话框

CTRL+P 打开“打印”对话框

CTRL+S 保存当前操作的文件

CTRL+X 剪切被选择的项目到剪贴板

CTRL+INSERT 或 CTRL+C 复制被选择的项目到剪贴板

HIFT+INSERT 或 CTRL+V 粘贴剪贴板中的内容到当前位置

ALT+BACKSPACE 或 CTRL+Z 撤销上一步的操作

ALT+SHIFT+BACKSPACE 重做上一步被撤销的操作

Winndows键+M 最小化所有被打开的窗口

Windows键+CTRL+M 重新将恢复上一项操作前窗口的大小和位置

Windows键+E 打开资源管理器

Windows键+F 打开“查找：所有文件”对话框

Windows键+R 打开“运行”对话框

Windows键+BREAK 打开“系统属性”对话框

Windows键+CTRL+F 打开“查找：计算机”对话框

SHIFT+F10或鼠标右击 打开当前活动项目的快捷菜单

SHIFT 在放入CD的时候按下不放，可以跳过自动播放CD。在打开word的时候按下不放，可以跳过自启动的宏

ALT+F4 关闭当前应用程序

ALT+SPACEBAR 打开程序最左上角的菜单

ALT+TAB 切换当前程序

ALT+ESC 切换当前程序

ALT+ENTER 将windows下运行的MSDOS窗口在窗口和全屏幕状态间切换

PRINT SCREEN 将当前屏幕以图象方式拷贝到剪贴板

ALT+PRINT SCREEN 将当前活动程序窗口以图象方式拷贝到剪贴板

CTRL+F4 关闭当前应用程序中的当前文本（如word中）

CTRL+F6 切换到当前应用程序中的下一个文本（加shift 可以跳到前

一个窗口）

在IE中：

ALT+RIGHT ARROW 显示前一页（前进键）

ALT+LEFT ARROW 显示后一页（后退键）

CTRL+TAB 在页面上的各框架中切换（加shift反向）

F5 刷新

CTRL+F5 强行刷新

目的快捷键

F10 激活程序中的菜单栏

ALT+菜单上带下划线的字母 执行菜单上相应的命令

CTRL+ F4 关闭多文档界面程序中的当前窗口

ALT+ F4 关闭当前窗口或退出程序

CTRL+ C 复制

CTRL+ X 剪切

DELETE 删除

F1 显示所选对话框项目的帮助

ALT+空格键 显示当前窗口的系统菜单

SHIFT+ F10 显示所选项目的快捷菜单

CTRL+ ESC 显示“开始”菜单

ALT+连字号(-) 显示多文档界面程序的系统菜单

CTR L+ V 粘贴

按住 ALT然后重复按TAB 切换到上次使用的窗口

ALT+ TAB 切换到另一个窗口

CTRL+ Z 撤消

二、使用“Windows资源管理器”的快捷键

NUM LOCK+负号(-) 如果当前选择展开了,要折叠

或者选择父文件夹左箭头

折叠所选的文件夹

NUM LOCK+* 如果当前选择折叠了，要展开或者选择第一个子文件夹右箭头展开当前选择下的所有文件夹

NUM LOCK+加号(+) 展开所选的文件夹

F6 在左右窗格间切换

三、使用 WINDOWS键

可以使用 Microsoft自然键盘或含有 Windows徽标键的其他任何兼容键盘的以下快捷键。

WINDOWS+ TAB 在任务栏上的按钮间循环

WINDOWS+ F 显示“查找：所有文件”

CTRL+ WINDOWS+ F 显示“查找：计算机”

WINDOWS+ F1 显示“帮助”

WINDOWS+ R 显示“运行”命令

WINDOWS 显示“开始”菜单

WINDOWS+ BREAK 显示“系统属性”对话框

WINDOWS+ E 显示“Windows资源管理器”

WINDOWS+ D 最小化或还原所有窗口

SHIFT+ WINDOWS+ M 撤消最小化所有窗口

四、使用“我的电脑”和“Windows资源管理器”的快捷键

按住SHIFT键再单击“关闭按钮（仅适用于“我的电脑”） 关闭所选文件夹及其所有父文件夹

ALT+左箭头 向后移动到上一个视图

ALT+右箭头 向前移动到上一个视图

BACKSPACE 查看上一级文件夹

五、使用对话框中的快捷键

ESC 取消当前任务

如果当前控件是个按钮，要单击该按钮或者如果当前控件是个复选框，要选择或清除该复选框或者如果当前控件是个选项按钮，要单击该选项空格键

ALT+带下划线的字母 单击相应的命令

ENTER 单击所选按钮

SHIFT+ TAB 在选项上向后移动

CTRL+ SHIFT+ TAB 在选项卡上向后移动

TAB

在选项上向前移动

CTRL+ TAB 在选项卡上向前移动

BACKSPACE 如果在“另存为”或“打开”对话框中选择了某文件夹，要打开上一级文件夹

F4 在“另存为”或“打开”对话框中打开“保存到”或“查阅”

F5 刷新“另存为”或“打开”对话框

六、使用“桌面”、“我的电脑”和“Windows资源管理器”快捷键

选择项目时，可以使用以下快捷键。 目的快捷键

按住SHIFT插入 CD-ROM 插入光盘时不用“自动播放”功能

CTRL拖动文件 复制文件按住

CTRL+SHIFT拖动文件 创建快捷方式按住

SHIFT+DELETE 立即删除某项目而不将其放入“回收站”

F3 显示“查找：所有文件”

APPLICATION键 显示项目的快捷菜单

F5 刷新窗口的内容

F2 重命名项目

CTRL+ A 选择所有项目

ALT+ ENTER或 ALT+双击 查看项目的属性

可将 APPLICATION键用于 Microsoft自然键盘或含有 APPLICATION键的其他兼容键

七、Microsoft放大程序的快捷键

这里运用Windows徽标键和其他键的组合。快捷键目的

Windows徽标+PRINT SCREEN 将屏幕复制到剪贴板（包括鼠标光标）

Windows徽标+SCROLL LOCK 将屏幕复制到剪贴板（不包括鼠标光标）

Windows徽标+ PAGE UP 切换反色

Windows徽标+ PAGE DOWN 切换跟随鼠标光标

Windows徽标+向上箭头 增加放大率

Windows徽标+向下箭头 减小放大率

八、使用辅助选项快捷键

右SHIFT八秒 切换筛选键开关

左ALT+左SHIFT+PRINT SCREEN 切换高对比度开关

左ALT+左SHIFT+NUM LOCK 切换鼠标键开关

SHIFT键五次 切换粘滞键开关

NUM LOCK五秒 切换切换键开关

巍巍昆仑 2008-09-17 00:35

好贴啊，要顶，辛苦了

yvzhou3308 2008-09-17 22:43

Windows变慢原因分析及解决方法

一、软件篇

1、设定虚拟内存

　　硬盘中有一个很宠大的数据jiao换文件，它是系统预留给虚拟内存作暂存的地方，很多应用程序都经常会使用到，所以系统需要经常对主存储器作大量的数据存取，因此存取这个档案的速度便构成影响计算机快慢的非常重要因素！一般Windows预设的是由系统自行管理虚拟内存，它会因应不同程序所需而自动调校jiao换档的大小，但这样的变大缩小会给系统带来额外的负担，令系统运作变慢！有见及此，用户最好自定虚拟内存的最小值和最大值，避免经常变换大小。要设定虚拟内存，在“我的电脑”上按右键选择“属性”，在“高级”选项里的“效能”的对话框中，对“虚拟内存”进行设置。

2、彻底删除程序

　　大家都知道，如果想删除某些程序，可到“添加/删除程序”中进行操作，但大家又知不知道，它只会帮你删除程序，而不会帮你删除该程序的注册码和一些登录项目呢？要彻底删除程序，要找回些“专业”软件来删除！symantec公司出品的nortonuninstall，因为有某部份破坏了某些删除软件的版权，故此全世界已停止出售，正因如此，symantec才出了cleansweep，不过论功能上，还是nortonuninstall更胜一寿！言归正传，其实除了这两个软件外，还有很多同类软件都能有效地删除程序。

3、检查应用软件或者驱动程序

　　有些程序在电脑系统启动会时使系统变慢。如果要是否是这方面的原因，我们可以从“安全模式”启动。因为这是原始启动，“安全模式”运行的要比正常运行时要慢。但是，如果你用“安全模式”启动发现电脑启动速度比正常启动时速度要快，那可能某个程序是导致系统启动速度变慢的原因。

4、桌面图标太多会惹祸

　　桌面上有太多图标也会降低系统启动速度。Windows每次启动并显示桌面时，都需要逐个查找桌面快捷方式的图标并加载它们，图标越多，所花费的时间当然就越多。同时有些杀毒软件提供了系统启动扫描功能，这将会耗费非常多的时间，其实如果你已经打开了杀毒软件的实时监视功能，那么启动时扫描系统就显得有些多余，还是将这项功能禁止吧！ 建议大家将不常用的桌面图标放到一个专门的文件夹中或者干脆删除！

5、ADSL导致的系统启动变慢

　　默认情况

下Windows XP在启动时会对网卡等网络设备进行自检，如果发现网卡的IP地址等未配置好就会对其进行设置，这可能是导致系统启动变慢的真正原因。这时我们可以打开 “本地连接”属性菜单，双击“常规”项中的“Internet协议”打开“TCP/IP属性”菜单。将网卡的IP地址配置为一个在公网（默认的网关是 192.168.1.1）中尚未使用的数值如192.168.1.X，X取介于2~255之间的值，子网掩码设置为255.255.255.0，默认网关和DNS可取默认设置。

6、字体对速度的影响

　　虽然微软声称Windows操作系统可以安装1000～1500种字体，但实际上当你安装的字体超过500 种时，就会出现问题，比如：字体从应用程序的字体列表中消失以及Windows的启动速度大幅下降。在此建议最好将用不礿iao蛘卟怀Ｓ玫淖痔迳境苊馍境蠓⑸馔猓上冉斜匾谋阜荨?br>

7、删除随机启动程序

　　何谓随机启动程序呢？随机启动程序就是在开机时加载的程序。随机启动程序不但拖慢开机时的速度，而且更快地消耗计算机资源以及内存，一般来说，如果想删除随机启动程序，可去“启动”清单中删除，但如果想详细些，例如是QQ、popkiller 之类的软件，是不能在“启动”清单中删除的，要去“附属应用程序”，然后去“系统工具”，再去“系统信息”，进去后，按上方工具列的“工具”，再按“系统组态编辑程序”，进去后，在“启动”的对话框中，就会详细列出在启动电脑时加载的随机启动程序了！XP系统你也可以在“运行”是输入Msconfig调用 “系统配置实用程序”才终止系统随机启动程序，2000系统需要从XP中复制msconfig程序。

8、取消背景和关闭activedesktop

　　不知大家有否留意到，我们平时一直摆放在桌面上漂亮的背景，其实是很浪费计算机资源的！不但如此，而且还拖慢计算机在执行应用程序时的速度！本想美化桌面，但又拖慢计算机的速度，这样我们就需要不在使用背景了，方法是：在桌面上按鼠标右键，再按内容，然后在“背景”的对话框中，选“无”，在“外观”的对话框中，在桌面预设的青绿色，改为黑色......至于关闭activedesktop，即是叫你关闭从桌面上的web画面，例如在桌面上按鼠标右键，再按内容，然后在“背景”的对话框中，有一幅背景，名为Windows XX，那副就是web画面了！所以如何系统配置不高就不要开启。

9、金山毒霸升级也可造成系统变慢

　　如果你升级了金山毒霸后发现系统速度变慢，PU占用率一直很高，那么这个问题可能就是毒霸升级文件惹的祸，如果有朋友也在升级之后发生该状况，请进行以下处理：首先进入毒霸的安装目录，找到KAExtend.DAT

这个文件，然后把它删除，接着点击毒霸“工具/在线升级”，在线更新 KAExtend.DAT这个文件，最后重启电脑即可解决此问题。

10、把Windows变得更苗条

　　与DOS系统相比，Windows过于庞大，而且随着你每天的操作，安装新软件、加载运行库、添加新游戏等等使得它变得更加庞大，而更为重要的是变大的不仅仅是它的目录，还有它的注册表和运行库。因为即使删除了某个程序，可是它使用的DLL文件仍然会存在，因而随着使用日久，Windows的启动和退出时需要加载的DLL动态链接库文件越来越大，自然系统运行速度也就越来越慢了。这时我们就需要使用一些彻底删除DLL的程序，它们可以使 Windows恢复苗条的身材。建议极品玩家们最好每隔两个月就重新安装一遍Windows，这很有效。

11、更改系统开机时间

　　虽然你已知道了如何新增和删除一些随机启动程序，但你又知不知道，在开机至到进入Windows的那段时间，计算机在做着什么呢？又或者是，执行着什么程序呢？那些程序，必定要全部载完才开始进入Windows，你有否想过，如果可删除一些不必要的开机时的程序，开机时的速度会否加快呢？答案是会的！想要修改，可按"开始"，选"执行"，然后键入win.ini，开启后，可以把以下各段落的内容删除，是删内容，千万不要连标题也删除！它们包括： [compatibility]、[compatibility32]、[imecompatibility]、[compatibility95]、[modulecompatibility] 和[embedding]。

yvzhou3308 2008-09-17 22:44

二、硬件篇

1、Windows系统自行关闭硬盘DMA模式

　　硬盘的DMA模式大家应该都知道吧，硬盘的PATA模式有DMA33、DMA66、DMA100和DMA133，最新的SATA-150都出来了！一般来说现在大多数人用的还是PATA模式的硬盘，硬盘使用DMA模式相比以前的PIO模式传输的速度要快2~8倍。DMA模式的起用对系统的性能起到了实质的作用。但是你知道吗？Windows 2000、XP、2003系统有时会自行关闭硬盘的DMA模式，自动改用PIO模式运行！这就造成在使用以上系统中硬盘性能突然下降，其中最明显的现象有：系统起动速度明显变慢，一般来说正常Windows XP系统启动时那个由左向右运动的滑条最多走2～4次系统就能启动，但这一问题发生时可能会走5～8次或更多！而且在运行系统时进行硬盘操作时明显感觉变慢，在运行一些大的软件时CPU占用率时常达到100%而产生停顿，玩一些大型3D游戏时画面时有明显停顿，出现以上问题时大家最好看看自己硬盘的DMA 模式是不是被Windows 系统自行关闭了。查看自己的系统是否打开DMA模式：

　　a. 双击“管理工具”，然后双击“计算机管理”；

　　b. 单击“系统工具”，然后单击“设备管理器

”；

　　c. 展开“IDE ATA/ATAPI 控制器”节点；

　　d. 双击您的“主要IDE控制器”；

　　e. 点击“高级设置”。

　　看到“设备0”，下面的传输模式应设为“DMA（若可用）”，再下面“当前传输模式”，如果是“Ultra DMA Mode （为数字，DMA33为2，DMA66为4，DMA100为5、DMA133为6）”，那么你的系统正常，但如果以前你自己设的是“Ultra DMA Mode 6”又没有改动，而现在是“Ultra DMA Mode 4”或“Ultra DMA Mode 2”更或者是“PIO 模式”而且改不过来！可能就是系统自行关闭了DMA模式了。

2、CPU 和风扇是否正常运转并足够制冷

　　当 CPU风扇转速变慢时，CPU本身的温度就会升高，为了保护CPU的安全，CPU就会自动降低运行频率，从而导致计算机运行速度变慢。有两个方法检测CPU的温度。你可以用“手指测法”用手指试一下处理器的温度是否烫手，但是要注意的是采用这种方法必须先拔掉电源插头，然后接一根接地线来防止身上带的静电击穿CPU以至损坏。另一个比较科学的方法是用带感温器的万用表来检测处理器的温度。

　　因为处理器的种类和型号不同，合理温度也各不相同。但是总的来说，温度应该低于 110 度。如果你发现处理器的测试高于这处温度，检查一下机箱内的风扇是否正常运转。

3、USB和扫描仪造成的影响

　　由于Windows 启动时会对各个驱动器（包括光驱）进行检测，因此如果光驱中放置了光盘，也会延长电脑的启动时间。所以如果电脑安装了扫描仪等设备，或在启动时已经连接了 USB硬盘，那么不妨试试先将它们断开，看看启动速度是不是有变化。一般来说，由于USB接口速度较慢，因此相应设备会对电脑启动速度有较明显的影响，应该尽量在启动后再连接USB设备。如果没有USB设备，那么建议直接在BIOS设置中将USB功能关闭。

4、是否使用了磁盘压缩

　　因为“磁盘压缩”可能会使电脑性能急剧下降，造成系统速度的变慢。所以这时你应该检测一下是否使用了“磁盘压缩”，具体操作是在“我的电脑”上点击鼠标右键，从弹出的菜单选择“属性”选项，来检查驱动器的属性。

5、网卡造成的影响

　　只要设置不当，网卡也会明显影响系统启动速度，你的电脑如果连接在局域网内，安装好网卡驱动程序后，默认情况下系统会自动通过DHCP来获得 IP地址，但大多数公司的局域网并没有DHCP服务器，因此如果用户设置成“自动获得IP地址”，系统在启动时就会不断在网络中搜索DHCP 服务器，直礿iao竦肐P 地址或超时，自然就影响了启动时间，因此局域网用户最好为自己的电脑指定固定IP地址。

6、文件夹和打印机共享

　　安

装了Windows XP专业版的电脑也会出现启动非常慢的时候，有些时候系统似乎给人死机的感觉，登录系统后，桌面也不出现，电脑就像停止反应，1分钟后才能正常使用。这是由于使用了Bootvis.exe 程序后，其中的Mrxsmb.dll文件为电脑启动添加了67秒的时间！

　　要解决这个问题，只要停止共享文件夹和打印机即可：选择“开始→设置→网络和拨号连接”，右击“本地连接”，选择“属性”，在打开的窗口中取消“此连接使用下列选定的组件”下的“Microsoft网络的文件和打印机共享”前的复选框，重启电脑即可。

7、系统配件配置不当

　　一些用户在组装机器时往往忽略一些小东西，从而造成计算机整体配件搭配不当，存在着速度上的瓶颈。比如有些朋友选的CPU档次很高，可声卡等却买了普通的便宜货，其实这样做往往是得不偿失。因为这样一来计算机在运行游戏、播放影碟时由于声卡占用CPU资源较高且其数据传输速度较慢，或者其根本无硬件解码而需要采用软件解码方式，常常会引起声音的停顿，甚至导致程序的运行断断续续。又如有些朋友的机器是升了级的，过去老机器上的一些部件如内存条舍不得抛弃，装在新机器上照用，可是由于老内存的速度限制，往往使新机器必须降低速度来迁就它，从而降低了整机的性能，极大地影响了整体的运行速度。

8、硬件驱动

　　许多玩家是新手，他们对于硬件的驱动不甚了解，装Windows时不知道安装驱动程序，如此一来就像茶壶里煮饺子，有嘴倒不出，没能发挥硬件的性能，极大地浪费了资源。我们大家知道，相同的硬件搭配不同版本的驱动程序或者是不同厂家的驱动程序常常都会造成性能上的差异极大，更何况是没有安装驱动程序呢。以播放影碟为例，即使你是最先进的TNT显卡，如果未安装驱动程序，那么在播放影碟时它不会采用任何显示卡的加速功能，而改用软件来模拟加速，其效果自然是惨不忍睹了。

9、断开不用的网络驱动器

　　为了消除或减少 Windows 必须重新建立的网络连接数目，建议将一些不需要使用的网络驱动器断开，也就是进入“我的电脑”，右击已经建立映射的网络驱动器，选择“断开”即可。

10、缺少足够的内存

　　Windows操作系统所带来的优点之一就是多线性、多任务，系统可以利用CPU来进行分时操作，以便你同时做许多事情。但事情有利自然有弊，多任务操作也会对你的机器提出更高的要求。朋友们都知道即使是一个最常用的WORD软件也要求最好有16MB左右的内存，而运行如3D MAX等大型软件时，64MB的内存也不够用。所以此时系统就会自动采用硬盘空间来

虚拟主内存，用于运行程序和储存jiao换文件以及各种临时文件。由于硬盘是机械结构，而内存是电子结构，它们两者之间的速度相差好几个数量级，因而使用硬盘来虚拟主内存将导致程序运行的速度大幅度降低。

11、硬盘空间不足

　　使用Windows系统平台的缺点之一就是对文件的管理不清楚，你有时根本就不知道这个文件对系统是否有用，因而Windows目录下的文件数目越来越多，容量也越来越庞大，加之现在的软件都喜欢越做越大，再加上一些系统产生的临时文件、jiao换文件，所有这些都会使得硬盘可用空间变小。当硬盘的可用空间小到一定程度时，就会造成系统的jiao换文件、临时文件缺乏可用空间，降低了系统的运行效率。更为重要的是由于我们平时频繁在硬盘上储存、删除各种软件，使得硬盘的可用空间变得支离破碎，因此系统在存储文件时常常没有按连续的顺序存放，这将导致系统存储和读取文件时频繁移动磁头，极大地降低了系统的运行速度。

12、硬盘分区太多也有错

　　如果你的Windows 2000没有升级到SP3或SP4，并且定义了太多的分区，那么也会使启动变得很漫长，甚至挂起。所以建议升级最新的SP4，同时最好不要为硬盘分太多的区。因为Windows 在启动时必须装载每个分区，随着分区数量的增多，完成此操作的时间总量也会不断增长。

yvzhou3308 2008-09-17 22:46

三、病毒篇

　　如果你的计算机感染了病毒，那么系统的运行速度会大幅度变慢。病毒入侵后，首先占领内存这个据点，然后便以此为根据地在内存中开始漫无休止地复制自己，随着它越来越庞大，很快就占用了系统大量的内存，导致正常程序运行时因缺少主内存而变慢，甚至不能启动；同时病毒程序会迫使CPU转而执行无用的垃圾程序，使得系统始终处于忙碌状态，从而影响了正常程序的运行，导致计算机速度变慢。下面我们就介绍几种能使系统变慢的病毒。

1、使系统变慢的bride病毒

　　 病毒类型：黑客程序

　　 发作时间：随机

　　 传播方式：网络

　　 感染对象：网络

　　 警惕程度：★★★★

病毒介绍：

　　此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行。运行时会自动连接www.hotmail.com网站，如果无法连接到此网站，则病毒会休眠几分钟，然后修改注册表将自己加入注册表自启动项，病毒会释放出四个病毒体和一个有漏洞的病毒邮件并通过邮件系统向外乱发邮件，病毒还会释放出FUNLOVE病毒感染局域网计算机，最 后病毒还会杀掉已知的几十家反病毒软件，使这些反病毒软件失效。

病毒特征

　　如果用户发现计算机

中有这些特征，则很有可能中了此病毒。

　　．病毒运行后会自动连接www.hotmail.com网站。

　　 ．病毒会释放出Bride.exe，Msconfig.exe，Regedit.exe三个文件到系统目录；释放出：Help.eml， Explorer.exe文件到桌面。

　　 ．病毒会在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入病毒Regedit.exe的路径。

　　 ．病毒运行时会释放出一个FUNLOVE病毒并将之执行，而FUNLOVE病毒会在计算机中大量繁殖，造成系统变慢，网络阻塞。

　　 ．病毒会寻找计算机中的邮件地址，然后按照地址向外大量发送标题为：（例：如果用户的计算机名为：张冬， 则病毒邮件的标题为：张冬）的病毒邮件。

　　 ．病毒还会杀掉几十家国外著名的反病毒软件。

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了Bride(Worm.bride)病毒，请用户立刻用手中的杀毒软件进行清除。

2、使系统变慢的阿芙伦病毒

　　病毒类型：蠕虫病毒

　　 发作时间：随机

　　 传播方式：网络/文件

　　 感染对象：网络

　　 警惕程度：★★★★

病毒介绍：

　　此病毒可以在Windows 9X、Windows NT、Windows 2000、Windows XP等操作系统环境下正常运行。病毒运行时将自己复到到TEMP、SYSTEM、RECYCLED目录下，并随机生成文件名。该病毒运行后，会使消耗大量的系统资源，使系统明显变慢，并且杀掉一些正在运行的反病毒软件，建立四个线程在局域网中疯狂传播。

病毒特征

　　如果用户发现计算机中有这些特征，则很有可能中了此病毒：

　　．病毒运行时会将自己复到到TEMP、SYSTEM、RECYCLED目录下，文件名随机

　　 ．病毒运行时会使系统明显变慢

　　 ．病毒会杀掉一些正在运行的反病毒软件

　　 ．病毒会修改注册表的自启动项进行自启动

　　 ．病毒会建立四个线程在局域网中传播

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“阿芙伦（Worm.Avron）”病毒，由于此病毒没有固定的病毒文件名，所以，最好还是选用杀毒软件进行清除。

3、恶性蠕虫震荡波

　　病毒名称: Worm.Sasser

　　 中文名称: 震荡波

　　 病毒别名: W32/Sasser.worm [Mcafee]

　　 病毒类型: 蠕虫

　　 受影响系统:WinNT/Win2000/WinXP/Win2003

病毒感染症状:

　　．莫名其妙地死机或重新启动计算机；

　　 ．系统速度极慢，cpu占用100%；

　　 ．网络变慢；

　　 ．最重要的是，任务管理器里有一个叫"avserve.exe"的进程在运行！

破坏方式：

　　．利用WINDOWS平台的 Lsass 漏洞进行广泛传播，开启上百个线程不停攻击其它网上

其它系统，堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。

　　 ．和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器

下载特定文件并运行，来达到感染的目的。

　　 ．文件名为：avserve.exe

解决方案:

　　．请到以下网址下载 补丁 升级您的操作系统，免受攻击

　　 ．请打开个人防火墙屏蔽端口：445、5554和9996，防止名为avserve.exe的程序访问网络

　　 ．手工解决方案：

　　首先，若系统为WinMe/WinXP，则请先关闭系统还原功能；

　　步骤一，使用进程程序管理器结束病毒进程

　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“avserve.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　　步骤二，查找并删除病毒程序

　　通过“我的电脑”或“资源管理器”进入系统安装目录（Winnt或windows)，找到文件“avser ve.exe”，将它删除;然后进入系统目录(Winnt\system32或windows\system32)，找　　到文件"*_up.exe"，将它们删除；

　　步骤三，清除病毒在注册表里添加的项

　　打开注册表编辑器: 点击开始——>运行， 输入REGEDIT， 按Enter；

　　在左边的面板中， 双击（按箭头顺序查找，找到后双击）：

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　在右边的面板中， 找到并删除如下项目："avserve.exe" = %SystemRoot%\avserve.exe

　　关闭注册表编辑器。

yvzhou3308 2008-09-17 22:49

第二部份 系统加速

一、Windows 98

1、不要加载太多随机启动程序

　　不要在开机时载入太多不必要的随机启动程序。选择“开始→程序→附件→系统工具→系统信息→系统信息对话框”，然后，选择“工具→系统配置实用程序→启动”，只需要internat.exe前打上钩，其他项都可以不需要，选中后确定重起即可。

2、转换系统文件格式

　　将硬盘由FAT16转为FAT32。

3、不要轻易使用背景

　　不要使用ActiveDesktop，否则系统运行速度会因此减慢(右击屏幕→寻显示器属性→Web标签→将其中关于“活动桌面”和“频道”的选项全部取消)。

4、设置虚拟内存

　　自己设定虚拟内存为机器内存的3倍，例如：有32M的内存就设虚拟内存为96M，且最大值和最小值都一样(此设定可通过“控制面板→系统→性能→虚拟内存”来设置)。

5、一些优化设置

　　a、到控制面板中，选择“系统→性能→文件系统”。将硬盘标签的“计算机主要用途”改为网

络服务器，“预读式优化"调到全速。

　　b、将“软盘”标签中“每次启动就搜寻新的软驱”取消。

　　c、CD-ROM中的“追加高速缓存”调至最大，访问方式选四倍速或更快的CD-ROM。

6、定期对系统进行整理

　　定期使用下列工具：磁盘扫描、磁盘清理、碎片整理、系统文件检查器(ASD)、Dr Watson等。

二、Windows 2000

1、升级文件系统

　　a、如果你所用的操作系统是win 9x与win 2000双重启动的话，建议文件系统格式都用FAT32格式，这样一来可以节省硬盘空间，二来也可以9x与2000之间能实行资源共享。

　　提醒：要实现这样的双重启动，最好是先在纯DOS环境下安装完9x在C区，再在9x中或者用win 2000启动盘启动在DOS环境下安装2000在另一个区内，并且此区起码要有800M的空间以上

　　b、如果阁下只使用win 2000的话，建议将文件系统格式转化为NTFS格式，这样一来可节省硬盘空间，二来稳定性和运转速度更高，并且此文件系统格式有很好的纠错性；但这样一来，DOS和win 9x系统就不能在这文件系统格式中运行，这也是上面所说做双启动最好要用FAT32格式才能保证资源共享的原因。而且，某些应用程序也不能在此文件系统格式中运行，大多是DOS下的游戏类。

　　提醒：在win 2000下将文件系统升级为NTFS格式的方法是，点击“开始-程序-附件”选中“命令提示符”，然后在打开的提示符窗口输入"convert drive_letter:/fs:ntfs"，其中的"drive"是你所要升级的硬盘分区符号，如C区；还需要说明的是，升级文件系统，不会破坏所升级硬盘分区里的文件，无需要备份。

2、清除不需要的文件和程序：

　　a、删除Windows强加的附件：

　　． 用记事本NOTEPAD修改\winnt\inf\sysoc.inf，用查找/替换功能，在查找框中输入，hide（一个英文逗号紧跟hide），将“替换为”框设为空。并选全部替换，这样，就把所有的，hide都去掉了，

　　． 存盘退出，

　　． 再运行“添加-删除程序”，就会看见多出了个“添加/删除 Windows 组件”的选项；

　　b、打开“文件夹选项”，在“查看”标签里选中“显示所有文件和文件夹”，此时在你安装win 2000下的区盘根目录下会出现Autoexec.bat和Config.sys两个文件，事实上这两个文件里面根本没有任何内容，可以将它们安全删除。

　　c、右击“我的电脑”，选中“管理”，在点“服务和应用程序”下的“服务”选项，会看见win 2000上加载的各个程序组见，其中有许多是关于局域网设置或其它一些功能的，你完全可以将你不使用的程序禁用；

　　如：Alertr，如果你不是处于局域网中，完全可以它设置为禁用；还有Fax Service，

不发传真的设置成禁用；Print Spooler，没有打印机的设置成制用；Uninterruptible power Supply，没有UPS的也设置成禁用，这些加载程序你自己可以根据自己实际情况进行设置。

　　各个加载程序后面都有说明，以及运行状态；选中了要禁用的程序，右击它，选“属性”，然后单击停止，并将“启动类型”设置为“手动”或者“已禁用”就行了

　　d、关掉调试器Dr. Watson；

　　运行drwtsn32，把除了“转储全部线程上下文”之外的全都去掉。否则一旦有程序出错，硬盘会响很久，而且会占用很多空间。如果你以前遇到过这种情况，请查找user.dmp文件并删掉，可能会省掉几十兆的空间。这是出错程序的现场，对我们没用。另外蓝屏时出现的memory.dmp也可删掉。可在我的电脑/属性中关掉BSOD时的DUMP。

3、去掉文鼎字体

　　Win 2000似乎与文鼎字体并不怎么兼容，如果你在运行2000时总是安装不了新的软件，或者运行些程序总是出错，请把文鼎字体删除；

4、优化硬盘参数

　　a、右击“我的电脑”，选“属性”，选中“硬件”下的“设备管理器”标签，然后在“磁盘驱动器”中找到你的硬盘，查看它的属性，在“磁盘属性”标签中选中“启用了写入缓存”；

　　b、在“IDE控制器”中分别查看“Primary IDE Channel”和“Secondary IDE Channel”的属性，在“高级设置”中将“设备类型”设定为“自动检测”，“传输模式”设定为“DMA（若可用）”；

5、优化系统属性

　　a、右击“我的电脑”，选“属性”，在“高级”的“性能选项”标签下，选中“应用程序响应”下的“应用程序”；这样系统会分配给前台程序更多的资源，使之运行速度更快；

　　b、选中仍然在此标签下“虚拟内存”下的“更改”选项，将虚拟内存的值定为你物理内存的2.5倍，且最大值和最小值一样；例如你的物理内存为 32M，那虚拟内存值就是80，64M内存则为160；并且尽量避免将虚拟内存设置在与系统文件同一个分区上，如果win 2000安装在C区，就将虚拟内存设置在D区或者E区；

6、 优化启动设置

　　a、右击“我的电脑”，选“属性 ”，选中“高级”下的“启动和故障修复”标签，如果你只安装了win 2000一套操作系统的话，就去掉“显示操作系统列表”复选框；然后去掉“将事件写入系统日志”、“发送管理警报”和“自动重新启动”的选项；并将“写入调试信息”设置为“无”；

　　b、将C区根目录下的boot.ini文件的系统、隐含及只读属性去除，用记事本打开，将

　　[operating systems]

　　multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect

　

　最后的fastdetect改为nodetect

　　c、在“开始-运行”中输入regedit，打开“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control”，将右边窗口的SystemStartOptions键值改为NODETECT

三、Windows XP

　　在使用Windows XP的过程中，系统速度会随着时间的推移越来越慢，你可重装系统，但重装后，那么多的应用软件也要重新安装，如何在不安装系统的前提下提升Windows XP的运行速度呢？

1、定期整理磁盘碎片

　　计算机硬盘中最细小的单位是扇区，一个档案通常会占用若干扇区，每当硬盘用久了，无数次的新增、更改和删除档案后，就会造成很多断断续续的扇区，因而非连续性的档案便会愈来愈多，硬盘磁头便需要花更多时间跳来跳去来读取数据，这就导致硬盘速度减慢。有见及此，windows才会有“整理磁盘碎片”出现。只要执行“整理磁盘碎片”，所有非连续性的档案都会被重新编排得整整齐齐，至于执行时间，大约一星期左右执行一次便可了。

2、去掉预定任务

　　通常情况下，Windows XP在连接其它计算机时，会全面检查对穓iao由纤性ざǖ娜挝瘢飧黾觳榛崛媚愕壬?0秒钟或更多时间。去掉的方法是开始

　　a、修改注册表的run键，取消那几个不常用的东西，比如Windows Messenger。启用注册表管理器：开始→运行→Regedit→找到“HKEY_CURRENT_USER\Software\Microsoft \Windows\Current\Version\Run\

MSMSGS”/BACKGROUND这个键值，右键→删除，世界清静多了，顺便把那几个什么cfmon的都干掉吧。　　

　　b、修改注册表来减少预读取，减少进度条等待时间，效果是进度条跑一圈就进入登录画面了，开始→运行→regedit启动注册表编辑器，找 HKEY_LOCAL_MACHINESYSTEM\ Current\Control\SetControl\ Session anagerMemory\ManagementPrefetchParameters，有一个键EnablePrefetcher把它的数值改为“1” 就可以了。另外不常更换硬件的朋友可以在系统属性中把总线设备上面的设备类型设置为none(无)。

3、关闭系统属性中的特效

　　这可是简单有效的提速良方。点击开始→控制面板→系统→高级→性能→设置→在视觉效果中，设置为调整为最佳性能→确定即可。这样桌面就会和 win2000很相似的，我还是挺喜欢XP的蓝色窗口，所以在“在窗口和按钮上使用视觉样式”打上勾，这样既能看到漂亮的蓝色界面，又可以加快速度。

4、快速浏览局域网络的共享

　　通常情况下，Windows XP在连接其它计算机时，会全面检查对穓iao由纤性ざǖ娜挝瘢飧黾觳榛崛媚愕壬?0秒钟或更多时间。去掉的方法是开始→运行→Regedit→在注册表中找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current

　　 \Version\Explorer\Remote\Computer\Name\Sp

ace。在此键值下，会有个D6277990-4C6A -11CF-8D87-00AA0060F5BF{}键，把它删掉后，重新启动计算机，Windows XP就不再检查预定任务了，速度会明显的提高！

5、Windows XP实现1秒关机

　　体积庞大的Windows XP操作系统关机起来很慢，大约需要30～50秒，但是按我们下面提供的方法更改注册表选项，你的Windows XP系统关机速度就会非常的快了。

　　找到HKEY－CURRENT－USER＼Control Panel＼Desktop键，将WaitToKillAppTimeout改为：1000，即关闭程序时仅等待1秒。

另：程序出错和系统自动关闭停止响应的程序如何实现快速关闭。

　　a、将HungAppTimeout　值改为：200，表示程序出错时等待0.5秒。

　　b、将AutoEndTasks 值设为：1，让系统自动关闭停止响应的程序。

6、关掉调试器Dr. Watson

　　我好像从win95年代开始一次也没用过这东西，可以这样取消：打开册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\Current\Version\AeDebug子键分支，双击在它下面的Auto键值名称，将其“数值数据”改为0，最后按F5刷新使设置生效，这样就取消它的运行了。沿用这个思路，我们可以把所有具备调试功能的选项取消，比如蓝屏时出现的memory.dmp，在“我的电脑→属性→高级→设置→ 写入调试信息→选择无”等等。

7、加快启动速度

　　要加快Windows XP的启动速度。可以通过修改注册表来达到目的，在注册表编辑器，找到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory ManagementPrefetchParameters，在右边找到EnablePrefetcher主键，把它的默认值3改为1，这样滚动条滚动的时间就会减少；

8、加快开关机速度

　　在Windows XP中关机时，系统会发送消息到运行程序和远程服务器，告诉它们系统要关闭，并等待接礿iao赜笙低巢趴脊鼗＜涌炜俣龋梢韵壬柚米远崾挝瘢紫日业紿KEY_CURRENT_USERControl PanelDesktop，把AutoEndTasks的键值设置为1；然后在该分支下有个“HungAppTimeout”，把它的值改为“4000 (或更少)，默认为50000；最后再找到HKEY_LOCAL_MACHINESystemCurrentControlSetControl，同样把 WaitToKillServiceTimeout设置为“4000”；通过这样设置关机速度明显快了不少。

9、优化网上邻居

　　Windows XP网上邻居在使用时系统会搜索自己的共享目录和可作为网络共享的打印机以及计划任务中和网络相关的计划任务，然后才显示出来，这样速度显然会慢的很多。这些功能对我们没多大用的话，可以将其删除。在注册表编辑器中找到 HKEY_LOCAL_MACHINEsofewareMicrosoftWindowsCurrent VersionExploreRemoteComputerNameSpace，删除其下的(打印机)和{D6277990-4C6A-11CF8D87 - 00AA0060F5BF}(计划任务)，重新启动电脑，再次访问网上邻居，你会发

现快了很多。

10、自动关闭停止响应程序

　　有些时候，Win XP会提示你某某程序停止响应，很烦，通过修改注册表我们可以让其自行关闭，在HKEY_CURRENT_USERControl PanelDesktop中将字符健值是AutoEndTasks的数值数据更改为1，重新注销或启动即可。

11、加快菜单显示速度

　　为了加快菜单的显示速度，我们可以按照以下方法进行设置：我们可以在HKEY_CURRENT_USERControl PanelDesktop下找到“MenuShowDelay”主键，把它的值改为“0”就可以达到加快菜单显示速度的效果。

12、清除内存中不被使用的DLL文件

　　在注册表的HKKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion，在Explorer增加一个项AlwaysUnloadDLL，默认值设为1。注：如由默认值设定为0则代表停用此功能。

13、加快预读能力改善开机速度

　　Windows XP预读设定可提高系统速度，加快开机速度。按照下面的方法进行修改可进一步善用CPU的效率：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManager

MemoryManagement]，在PrefetchParameters右边窗口，将EnablePrefetcher的数值数据如下更改，如使用PIII 800MHz CPU以上的建议将数值数据更改为4或5，否则建议保留数值数据为默认值即3。

四、Windows 2003

　　现在最新的微软操作系统是Win Server 2003。它是对应服务器的，现在有越来越多有朋友都升级到Windows 2003，安装之后大家发现没有，些操作系统麻烦多多，这样功能没有，那样功能打不开，甚至连听歌，玩游戏也成问题了。其实，Server 2003在XP的基础强化了安全性和稳定性，不得不关闭了一些工作站系统。我们是把Win 2003当工作站用，当然要重新打开这些服务。

1、为DirectX加速

　　刚刚安装了Windows 2003，但是现在发现很多3D游戏都不能运行，只有一些传统2D平面游戏还能勉强运行，而且速度很慢。感觉上Windows 2003在运行PhotoShop时很快，但是为何不能运行3D游戏？

　　这并不是因为Windows 2003不支持3D游戏，而是系统设置的问题。首先请确保以正确的方式安装好显卡驱动，然后就要打开DirectX加速。DirectX加速是3D游戏最基本的需要，然而“为了”使Windows Server 2003更为单一地面向服务器平台应用，微软居然默认将其加速功能关闭。即便是在安装了最新的DirectX 9.0之后也不会自动打开加速功能，而必须手动设置。在“开始”→“运行”对话框中输入“dxdiag”以打开DirectX诊断工具。随后在显示一栏中将DirectDraw、Direct3D、AGP纹理加速功能启用。如此一来，Windows Server 2003便能运行各种3D游戏。除此以外，Windows Server 2003还默认关闭了硬件加速，你可以在显示属性的高级菜单中将其设置为完全加速。

2、关闭服务器向导

　　装

完win 2003，你会发现“管理您的服务器”出现，把左下角的“登录时不要显示该页”勾上。如果你在开机时找不到，可以进入控制面板－管理工具－管理你的服务器中找到　　

3、开启硬件加速

　　桌面点击右键，进入属性－设置－高级－疑难解答，开启完全的硬件加速，这时会出现黑屏，然后回复正常。

4、声音加速

　　开始－运行－输入dxdiag－声音，把“声音的硬件加速级别”拉到“完全加速”。　　

5、提高开/关机速度

　　如果你的内存有768MB或以上，可以禁用虚拟内存，XP内核的内存管理已经相当优秀，而且虚拟内存（pagefile.sys）和休眠模式（Hiberfil.sys）采用不同的文件，可以避免Win9x系统禁用虚拟内存出现的无法正常待机和休眠。在我们的测试系统上，开机一整天，关机仅仅用了9秒钟。

　　右键点击“我的电脑”图标，进入属性－高级－性能－设置－高级－虚拟内存－更改，勾上无分页文件，然后按设置并确定。

　　无论在什么时候，增加内存都是提高相对速度的最快方法，因此，如果不是经常进行高级计算、图像处理、DX9 3d/33.shtml‘ target=‘_blank‘ class=‘article‘>3D游戏的朋友，升级时尽可能先考虑内存容量。　　

6、提高系统性能

　　右键点击“我的电脑”图标，进入属性－高级－性能－设置，调整为最佳性能。

7、加速任务栏

　　除了将“任务栏保持在其它窗口的前端”其它全部去掉，原因如下：　　

　　自动隐藏任务栏：避免找不到任务栏，而且占用系统分组相似

　　任务栏按钮：程序过于集中，很难找到

　　显示时钟：有钟就无须用时钟

　　隐藏不活动图标：不知道现在使用了那些应用程序　　

8、提高桌面显示速度

　　右键点击桌面进入显示属性，把桌面墙纸和屏幕保护都关掉，在外观－效果中，把所有勾去掉。

9、资源管理器提速

　　在资源管理器或我的电脑上，选择工具－文件夹选项－常规，选择“使用windows传统风格的文件夹”。　　

　　把“隐藏受保护的操作系统文件”和“隐藏己知文件类型的扩展名”之外所有的选项都去掉。特别是“记住每个文件夹的视图设置”、“鼠标指向文件夹和桌面项时显示提示信息”、“在文件夹提示中显示文件大小信息”这几项关掉，去掉个性化设置。

　　第三是资源管理器的优化，查看中使用“列表”形式，以最小的图标和信息显示内容。在工具栏菜单中，把标准按钮和链接都去掉，这些功能全部通过快捷键可以实现，多留无益。　　

10、关掉系统桌面图标

　　在桌面上按右键，选择排列图标，去掉显示桌

面图标的勾，关掉所有图标，节省大量资源。

11、IE的优化

　　IE的界面优化基本和资源管理器相同，都是尽可能减少功能条，只留下地址栏。不过，在工具－Internet选项中就有许多好玩东西了。

　　常规－可以更改的主页用空白页，开启时无须载入任何网页，速度快

　　高级－多媒体，去掉“启用自动图像大小调整”，直接显示整幅图像，减少IE的工作量。

　　浏览，去掉“启用脱机项目按计划同步”，在宽带包月如此流行的今天，脱机还有什么用？

　　去掉“使用苆iao龆保米蟊叩牡己教酰凑照５膒age up/down方式快速翻页。

　　去掉“下载完成后发出通知”，download完就算还通知什么，多此一举。

　　去掉“在地址栏中显示转到按钮”，转到的网址我们都没多大用处。

　　去掉“自动检查Internet Explorer更新”，手动更新永远比自动更新要快，而且无须让IE经常留意是否需要更新。　　

12、使用耗电模式

　　为了让电脑经常处于最佳状态，把所有的省电模式关掉，在控制面板－电源使用方案中选择“演示”方案，从不关闭监视器、硬盘或进行系统待机。　　

13、键盘提速

　　在控制面板－键盘中，把“重复延迟”和“重复速度”都拉到右边，文字编辑的时候立即见功。

14、优化系统启动项

　　有部分应用程序在启动时没有通过启动菜单载入，而是直接通过注册表运行，对于这部分程序，我们可以在开始－运行，输入msconfig，在启动中找出没有用的选项。如：　　

　　realsched：real播放器的升级选项

　　elbycheck：CloneCD的实时监控

　　qqtask：Quicktime播放器的任务栏

　　neroCheck：nero刻录软件的检查

　　Adobe Gamma Loader：Adobe软件（photoshop之流）的伽玛纠正。

yvzhou3308 2008-09-20 15:47

MAC地址与IP地址绑定的策略

引言 对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略，这种做法是十分危险的，本文将就这个问题进行探讨。在这里需要声明的是，本文是处于对对MAC与IP地址绑定策略安全的忧虑，不带有任何黑客性质。

为什么要绑定MAC与IP 地址

影响网络安全的因素很多，IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中，许多网络应用是基于IP的，比如流量统计、账号控制等都将IP 地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据就可能被破坏、窃听，甚至盗用，造成无法弥补的损失。

盗用外部网络的IP地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不

属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是Ethernet内部合法用户的IP地址，这种网络互连设备显然无能为力了。“道高一尺，魔高一丈”，对于Ethernet内部的IP地址被盗用，当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。

MAC与IP 地址绑定原理

IP 地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败：而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙（硬件防火墙和软件防火墙）为了防止网络内部的IP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。

从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。

破解MAC与IP地址绑定策略

IP地址和MAC地址简介

现行的TCP/IP网络是一个四层协议结构，从下往上依次为链路层、网络层、传输层和应用层。

Ethernet 协议是链路层协议，使用的地址是MAC地址。MAC地址是Ethernet网卡在Ethernet中的硬件标志，网卡生产时将其存于网卡的EEPROM 中。网卡的MAC地址各不相同，MAC地址可以唯一标志一块网卡。在Ethernet上传输的每个报文都含有发送该报文的网卡的MAC地址。

Ethernet 根据Ethernet报文头中的源MAC地址和目的MAC来识别报文的发送端和接收端。IP协议应用于网络层，使用的地址为IP地址。使用IP协议进行通讯，每个IP报文头中必须含有源IP和目的IP地址，用以标志该IP报文的发送端和接收端。在Ethernet上使用IP协议传输报文时，IP报文作为 Ethernet报文的数据。IP地址对于Ethernetjiao换机或处理器是透明的。用户可以根据实际网络的需要为网卡配置一个或多个IP地址。MAC地址和IP地址之间并不存在一一对应的关系。

MAC地址存储在网卡的EEPROM中并且唯一确定，但网卡驱动在发送Ethernet报文时，并不从EEPROM中读取MAC地址，而是在内存中来建立一块缓存区，Ethernet报文从中读取源 MAC地址。而且，用户可以通过操作系统修改实际发送的Ethernet报文中的源MAC地址。既然MAC地址可以修改，那么MAC地址与IP地址的绑定也就失去了它原有的意义。

破

解方案

下图是破解试验的结构示意图。其内部服务器和外部服务器都提供Web服务，防火墙中实现了MAC地址和IP地址的绑定。报文中的源MAC地址与1P地址对如果无法与防火墙中设置的MAC地址与1P地址对匹配，将无法通过防火墙。主机2和内部服务器都是内部网络中的合法机器；主机1是为了做实验而新加入的机器。安装的操作系统是W2000企业版，网卡是3Com的。

试验需要修改主机1中网卡的MAC 和IP地址为被盗用设备的MAC和IP地址。首先，在控制面板中选择“网络和拨号连接”，选中对应的网卡并点击鼠标右键，选择属性，在属性页的“常规”页中点击“配置”按钮。在配置属性页中选择“高级”，再在“属性”栏中选择“Network Address”，在“值”栏中选中输人框，然后在输人框中输人被盗用设备的MAC地址，MAC地址就修改成功了。

然后再将IP地址配置成被盗用设备的IP地址。盗用内部客户机IP地址：将主机1的MAC地址和IP地址分别修改为主机2的MAC地址和IP地址。主机1可以访问外部服务器，能够顺利地通过防火墙，访问权限与主机2没有分别。而且，与此同时主机2也可以正常地访问外部服务器，完全不受主机1的影响。无论是主机2还是防火墙都察觉不到主机1的存在。主机1如果访问内部服务器，根本无需通过防火墙，更是畅通无阻了。

盗用内部服务器IP地址：将主机1的MAC地址和U地址修改为内部服务器的MAC地址和IP地址。主机1也提供Web服务。为了使效果更明显，主机1上提供的Web服务内容与内部服务器提供的内容不同。

因为在实际的实验中主机1与主机2连在同一个HUB上，主机2的访问请求总是先被主机1响应，主机2期望访问的是内部服务器，得到的却总是主机1提供的内容。更一般地，主机2如果试图访问内部服务器，获得的到底是主机1提供的内容还是内部服务器提供的内容具有随机性，要看它的访问请求首先被谁响应，在后面的分析中我们将进一步对此进行阐述。

盗用服务器的MAC和IP危害可能更大，如果主机1提供的Web内容和内部服务器中的内容一样，那么主机2将无法识别它访问的到底是哪个机器；如果Web内容中要求输人账号、密码等信息，那么这些信息对于主机1来说则是一览无遗了。

破解成功的原因

上面的实验验证了绑定MAC地址与IP地址的确存在很大的缺陷，无法有效地防止内部IP地址被盗用。接下来，将从理论上对该缺陷进行详细的分析。

缺陷存在的前提是网卡的混杂接收模式，所蝚iao煸咏邮漳Ｊ绞侵竿ǹ梢越邮胀缟洗涞乃斜ㄎ模蘼燮淠康腗AC地址是否为该网卡的MAC地址。正是由于网卡支持混杂模式，才使网卡驱动程序支持MAC地址的

修改成为可能；否则，就算修改了MAC地址，但是网卡根本无法接收相应地址的报文，该网卡就变得只能发送，无法接收，通信也就无法正常进行了。

MAC地址可以被盗用的直接原因是网卡驱动程序发送 Ethernet报文的实现机制。Ethernet报文中的源MAC地址是驱动程序负责填写的，但驱动程序并不从网卡的EEPROM中读取MAC，而是在内存中建立一个MAC地址缓存区。网卡初始化的时候将EEPROM中的内容读入到该缓存区。如果将该缓存区中的内容修改为用户设置的MAC地址，以后发出去的Ethernet报文的源地址就是修改后的MAC地址了。

如果仅仅是修改MAC地址，地址盗用并不见得能够得逞。Ethernet是基于广播的，Ethernet网卡都能监听到局域网中传输的所有报文，但是网卡只接收那些目的地址与自己的 MAC地址相匹配的Ethernet报文。如果有两台具有相同MAC地址的主机分别发出访问请求，而这两个访问请求的响应报文对于这两台主机都是匹配的，那么这两台主机就不只接收到自己需要的内容，而且还会接收到目的为另外一台同MAC主机的内容。

按理说，两台主机因为接收了多余的报文后，都应该无法正常工作，盗用马上就会被察觉，盗用也就无法继续了；但是，在实验中地址被盗用之后，各台实验设备都可以互不干扰的正常工作。这又是什么原因呢?答案应该归结于上层使用的协议。

目前，网络中最常用的协议是TCP/IP协议，网络应用程序一般都是运行在TCP或者UDP之上。例如，实验中Web服务器采用的HTTP协议就是基于 TCP的。在TCP或者UDP中，标志通信双方的不仅仅是IP地址，还包括端口号。在一般的应用中，用户端的端口号并不是预先设置的，而是协议根据一定的规则生成的，具有随机性。像上面利用IE来访问Web服务器就是这样。UDP或者TCP的端口号为16位二进制数，两个16位的随机数字相等的几率非常小，恰好相等又谈何容易?两台主机虽然MAC地址和IP地址相同，但是应用端口号不同，接收到的多余数据由于在TCP/UDP层找不到匹配的端口号，被当成无用的数据简单地丢弃了，而TCP/UDP层的处理对于用户层来说是透明的；所以用户可以“正确无误”地正常使用相应的服务，而不受地址盗用的干扰。

当然，某些应用程序的用户端口号可能是用户或者应用程序自己设置的，而不是jiao给协议来随机的生成。那么，结果又会如何呢?例如，在两台MAC地址和IP地址都相同的主机上，启动了两个端口相同的应用程序，这两个应用是不是就无法正常工作了呢?其实不尽然。

如果下层使用的是UDP协议，两个应用将互相干扰无法正常工作。如果使用的是TCP协议，结果就不一样了。因为TCP是面向连接

的，为了实现重发机制，保证数据的正确传输，TCP引入了报文序列号和接收窗口的概念。在上述的端口号匹配的报文中，只有那些序列号的偏差属于接收窗口之内的报文才会被接收，否则，会被认为是过期报文而丢弃。TCP协议中的报文的序列号有32位，每个应用程序发送的第一个报文的序列号是严格按照随机的原则产生的，以后每个报文的序列号依次加1。

窗口的大小有16位，也就是说窗口最大可以是216，而序列号的范围是232，主机期望接收的TCP数据的序列号正好也处于对方的接收范围之内的概率为1/216，可谓小之又小。 TCP的序列号本来是为了实现报文的正确传输，现在却成了地址盗用的帮凶。

解决MAC与IP地址绑定被破解的方法

解决MAC与IP地址绑定被破解的方法很多，主要以下几种。

jiao换机端口、MAC地址和IP地址三者绑定的方法；代理服务与防火墙相结合的方法；用PPPoE协议进行用户认证的方法；基于目录服务策略的方法；统一身份认证与计费软件相结合的方法等（这些方法的实现原理和过程可以参考拙作《校园网IP地址盗用解决方案》）。在这里笔者尤其推荐最后一种方法，这种方法是将校园网办公自动化系统和网络计费软件结合在一起而实现的，这在校园网信息化建设的今天具有很强的实践性