2010年10月1日 星期五

WinRAR實用技巧

WinRAR幾乎是現在裝機必備軟體,
大量的使用者使用它進行檔案的壓縮和解壓縮。
其實它還有一些實用的小技巧未被大家瞭解。

    ★輸入密碼一次搞定

    當我們用WinRAR開啟一個加密的壓縮檔,
並執行裡面的檔案時,
每執行一個程式,
它都要詢問密碼,
當檔案較多時,
使人不勝其煩。

    其實,只要在開啟加密的壓縮檔以後,
點擊「檔案→密碼」,
並且輸入正確的密碼,
就可以一次性解決問題。

    ★隱藏壓縮檔裡的檔案名

    為了避免暴力破解密碼,
最好能把檔案名也列入加密範圍。
假如根本不知道壓縮檔裡有些什麼,
誰還會費時費力進行破解?

    首先在WinRAR界面的工具列點擊「加入」按鈕,
建立新的壓縮檔。
然後在跳出的視窗上選取「檔案」索引檔,
選定要新增到壓縮檔的檔案,
接下來轉換到「進階」索引檔,
點選「設定密碼…」按鈕,輸入密碼,
並且選中「加密檔案名」即可。

    ★快速加入壓縮檔檔案

    WinRAR可以快速將一個壓縮檔中的檔案,
新增到另一個壓縮檔裡,
開啟裝有待加入檔案的壓縮檔,
在「我的電腦」裡找到要加入檔案的壓縮檔。
選中WinRAR視窗中的檔案,
按住滑鼠將其拖到要加入檔案的壓縮檔圖示上即可。

    ★解壓某些特殊的壓縮檔

    通常我們解壓檔案都是直接在檔案上,
點選右鍵選取「解壓到…」選項,
但是在一些大型軟體的下載中,
經常會遇到一些特殊的壓縮後附加檔名,
例如aaa.001、aaa.002……等。
對於這樣的檔案WinRAR是無法辨認的,
也就無法直接點擊滑鼠解壓。

    其實這類怪異的格式,
也是由WinRAR壓縮而來的,
要解壓這種檔案,
必須啟動WinRAR,
然後選取aaa.001這個數字最小的檔案,
WinRAR會自動讀取出所有連續的檔案,
點擊「解壓到」,
即可開始標準解壓了。

    ★WinRAR巧做管理器

    有些時候我們要對隱藏檔案
或是系統檔案進行一些編輯,
例如boot.ini之類。
這個時候就要先選取「顯示所有檔案」,
再選取「顯示系統檔案」,
最後才能編輯。
編輯完成後還得再把設定修改回去,非常麻煩。
這個問題,完全可以利用WinRAR來動作完成。

    啟動WinRAR,選取要編輯檔案所在的目錄,
這個時候不管系統檔案是加密檔案
或是隱藏檔案,全部乖乖顯形。
選中檔案直接按兩下就可以標準開啟動作,
可以把WinRAR當作強力資源管理器來使用。

    ★批量處理壓縮檔

    如果你有一大堆檔案需要壓縮,
而且每個檔案要生成單獨的壓縮檔,
你會如何動作?
一個一個壓縮太累了。

    其實你只需選取要壓縮的檔案,點選右鍵,
選取「新增到壓縮檔…」。
在跳出的對話框中點選「檔案」標籤,
勾選中「把每個檔案放到單獨的壓縮檔中」,
點擊「確定」按鈕即可。

2010年9月30日 星期四

針對電動自行車的高效8位元MCU解決方案

電動自行車是將馬達整合於自行車,以協助騎車人減少踩腳踏板所費的體力。而利用電子控制單元(ECU)控制電動自行車,根據騎車人踩腳踏板所付出的體力來提供相應的電動助力,則是目前電動車設計方向。在這裡,微控制器相當於ECU的大腦,負責三相無刷直流馬達的換向並處理騎行所需的電動助力。

本文以英飛凌8位元微控制器(MCU) XC864為例,說明電動自行車的設計方案。這款微控制器採用小型TSSOP-20封裝,並具有適用於三相無刷直流馬達應用的CAPCOM馬達控制模組。腳踏板運動透過計時器2(Timer2)來測量,以運算協助騎車人順利騎行所需的助力。此外,它還有過流與過壓保護功能。


電動自行車解決方案


XC864基於相容產業標準8051處理器的XC800核心,具備擷取比較單元(CAPCOM)和10位元類比數位轉換器(ADC)。這些功能使得XC864適用於三相無刷直流(BLDC)馬達應用,如電動自行車等。該控制器的主要功能包括三相對稱PWM(帶自動死區產生)、可與PWM同步觸發的快速ADC、硬體故障處理與自動霍爾效應感測器解碼及硬體雜訊過濾等。


CAPCOM有一組檢測無刷直流馬達內嵌霍爾感測器訊號的輸入接腳(CCPOS0,1,2)。馬達轉動時,CAPCOM透過傳送適當的馬達驅動訊號,對任何霍爾感測器訊號改變做出自主響應。CAPCOM可同步三組高邊低邊訊號,以開關MOSFET為馬達轉動提供電能。若產生過流情況,電流感應機制可透過連接CTRAP接腳,立即禁用馬達。



圖1:XC864 8位元微處理器架構圖。


對於無刷直流馬達,下一多通道狀態值取決於霍爾輸入模式。霍爾模式(CURH)與調變模式(MCMP)之間是有緊密關聯的。因為馬達的種類不同,所以驅動馬達的調變模式也可以有所不同。因此,界定霍爾模式及其相關調變模式之間關聯時保留較大靈活性是有利的。CCU6透過一個暫存器儲存實際霍爾模式(CURHS)、下一預期霍爾模式(EXPHS)和它的輸出模式(MCMPS)來實現這一功能。在每一個正確的霍爾事件中,新的霍爾模式及其相關輸出模式可以透過軟體載入(從預定義表中)至MCMOUTS暫存器。這有助於微控制單元為下一即將到來的正確霍爾事件做好準備,因而可使其即時做出響應。


無刷直流模式下,計時器12的通道0執行擷取功能,通道1與通道2執行比較功能。檢測到有效霍爾邊緣後,計時器12的計數值將被擷取至通道0(代表實際馬達轉速),然後計時器12將被重置。當計時器達到通道1中的比較值時,輸出將透過觸發MCMP位字段的轉移來切換。此觸發事件可結合實施雜訊過濾(正確霍爾事件)的幾個必須條件並可將下一多通道狀態同步至調變源(避免輸出線峰值)。通道1比較功能可作為輸入至輸出切換的相位延遲,該功能對採用無感測器反電動勢技術而非霍爾感測器是必須的。



圖2:電動自行車架構圖


通道2的比較值可作為指示馬達目的速度遠小於所需值(可能由異常負載變化而導致)的超時觸發(中斷)。


大多數情況下,與電源開關行為相關的打開或關閉時間是不對稱的。如果打開電源設備所花時間比關閉該電源設備所花時間短,就會產生一個比較普遍的問題。這將導致轉換器橋臂產生短路,可能會損壞整個系統。為了從硬體上解決該問題,CCU6帶有一個可程式死區計數器,這將延遲切換訊號(主用至被用邊緣未被延遲)的備用至主用邊緣。


暫存器T12DTC控制計時器12比較通道的死區產生。每個通道均可透過位DTEx獨立啟用/禁用死區產生。這三個通道中的每一個通道均可通其自有觸發器及啟用訊號獨立工作。


自陷功能允許脈寬調變輸出對輸入接腳/CTRAP狀態作出反應。該功能可在自陷輸入被啟動時(例如因過流導致的緊急停止)關閉電源設備。處於自陷狀態時,所選擇的輸出將強制轉入備用狀態,並將停止任何主用調變。

2010年9月29日 星期三

Epson Toyocom新型角速度感測器適合人體動作分析

Epson Toyocom公司日前推出一款具備寬廣偵測範圍的高敏感角速度感測器 XV-3700CB ,
可同時輸出兩種模式進而準確地感測範圍寬廣的動作,
此兩種模式分別為:靈敏度0.8 mV/dps的高速模式(感測範圍:±1,500deg/s),
以及靈敏度3.624 mV/dps的低速模式(感測範圍:±300 deg/s)

XV-3700CB 適合用於分析人體動作,或作為動作使用者介面的輸入裝置,
可準確感測如無線遙控直升機的動作,
將有助於提升專為動作感測應用領域所設計的裝置(例如控制器和3D滑鼠)之效能。
該元件是一款能夠以低速及高速模式同時感測快慢動作的單一封裝產品,
採用Epson Toyocom的類比電路技術,支援同步雙訊號輸出,
並提供優異的偏壓穩定度。



XV-3700CB使庣q壓2.7 ~ 3.3V;工作溫度-20 ~ +80℃。
靈敏度公差為 +/-8 Ta=25℃;溫度靈敏度誤差(%)為+/-5VDD=3.0V Ta=25℃
Based;尺寸為5.0 x 3.2 x t1.3mm。

內建感測器高爾夫球手套 可指導最佳揮桿力道

德國公司 Sensosolutions
推出了一款號稱是全球首創的、內建數位感測器的高爾夫球手套;
該款命名為 SensoGlove 的產品,據說會讀取使用者的握力,
以保證準確、流暢且有力的揮桿。
該款手套配備1.2吋的 LED 數位顯示器,
會透過放置在手套中的感測器來分析揮桿的力道。

Sensosolutions 表示,使用者的握力設定可儲存在手套的記憶體中,
好在揮桿時運用;
人們可以藉此以最適當的力道,輕鬆自然地揮桿。
據了解,該款手套有18段敏感度設定,
較高敏感度(13~18)設定是非常輕微的握力時使用,
適合切桿(chipping)與推桿(putting),
較低敏感度設定(1~12),是顜U使用者加強握力。


「每個高爾夫球友都想把球打得很遠,
而自然的反應就是會很用力又很快速地揮桿;」
Sensosolutions 總裁David Bauer表示:「但往往揮桿揮得越用力,
握球桿就會僵硬,
造成手掌、手腕、手臂與肩膀的緊繃,而且效果還不如順暢的揮桿,
甚至因為肌肉緊繃導致桿頭速度變得更慢。」該種手套已經開始銷售,
定價89美元。


(參考原文: Firm rolls digital golf glove,by Mark LaPedus)

2010年9月27日 星期一

入侵檢驗術語全接觸

隨著IDS(入侵檢驗系統)的超速發展,與之關聯的術語同樣急劇演變。本文向大家介紹一些IDS技術術語,其中一些是非常基本並相對通用的,而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力,不同的產商可能會用同一個術語表示不同的意義,從而導致某些術語的確切意義出現了混亂。對此,本文會試圖將所有的術語都囊括進來。

Alerts(警報)


當一個入侵正在發生或是試圖發生時,IDS系統將發佈一個alert訊息知會系統管理員。若果控制台與IDS系統同在一台機器,alert訊息將顯示在監視器上,也可能伴隨著音效提示。若果是遠端控制台,那麼alert將通過IDS系統內置方法(通常是加密的)、SNMP(簡單網路管理協定,通常不加密)、email、SMS(短訊息)或是以上幾種方法的混合模式傳遞給管理員。


Anomaly(異常)


當有某個事件與一個已知攻擊的信號相符合時,多數IDS都會告警。一個基於anomaly(異常)的IDS會構造一個當時活動的主電腦或網路的大致輪廓,當有一個在這個輪廓以外的事件發生時,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個使用者突然取得了管理員或根目錄的權限。有些IDS廠商將此方法看做啟髮式功能,但一個啟髮式的IDS應該在其推理判斷方面具有更多的智慧。


Appliance(IDS硬體)


除了那些要安裝到現有系統上去的IDS軟體外,在市場的貨架上還可以買到一些現成的IDS硬體,只需將它們接入網路中就可以套用。一些可用IDS硬體內含CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。


ArachNIDS


ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫,它是動態更新的,適用於多種基於網路的入侵檢驗系統,它的URL地http://www.whitehats.com/ids/。


ARIS:Attack Registry & Intelligence Service(攻擊事件註冊及智慧服務)


ARIS是SecurityFocus公司提供的一個附加服務,它容許使用者以網路匿名模式連線到Internet上向SecurityFocus報送網路安全事件,隨後SecurityFocus會將這些資料與許多其它參與者的資料結合起來,最終形成詳細的網路安全統計分析及趨勢預測,發佈在網路上。它的URL地http://aris.securityfocus.com/。


Attacks(攻擊)


Attacks可以理解為試圖滲透系統或繞過系統的安全策略,以取得訊息、修改訊息以及破壞目的網路或系統功能的行為。以下列出IDS能夠檢驗出的最常見的Internet攻擊類型:


●攻擊類型1-DOS(Denial Of Service attack,拒絕服務攻擊):DOS攻擊不是通過黑客手段破壞一個系統的安全,它只是使系統癱瘓,使系統拒絕向其使用者提供服務。其種類內含緩沖區溢出、通過洪流(flooding)耗盡系統資源等等。


●攻擊類型2-DDOS(Distributed Denial of Service,分散式拒絕服務攻擊):一個標準的DOS攻擊使用大量來自一個主電腦的資料向一個遠端主電腦發動攻擊,卻無法發出足夠的訊息包來達到理想的結果,因此就產生了DDOS,即從多個分散的主電腦一個目的發動攻擊,耗盡遠端系統的資源,或是使其連線失效。


●攻擊類型3-Smurf:這是一種老式的攻擊,但目前還時有發生,攻擊者使用攻擊目的的偽裝源位址向一個smurf放大器廣播位址執行ping動作,然後所有活動主電腦都會向該目的應答,從而中斷網路連線。以下是10大smurf放大器的參考資料URhttp://www.powertech.no/smurf/。


●攻擊類型4-Trojans(特洛伊木馬):Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當木馬運到城裡,士兵就湧出木馬向這個城市及其居民發起攻擊。在電腦術語中,它原本是指那些以合法程式的形式出現,其實包藏了惡意軟體的那些軟體。這樣,當使用者執行合法程式時,在不知情的情況下,惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程式都是遠端控制工具,Trojan這個術語很快就演變為專指這類工具,例如BackOrifice、SubSeven、NetBus等等。


Automated Response(自動響應)


除了對攻擊發出警報,有些IDS還能自動抵禦這些攻擊。抵禦模式有很多:首先,可以通過重新組態路由器和防火牆,拒絕那些來自同一位址的訊息流;其次,通過在網路上傳送reset包切斷連線。但是這兩種模式都有問題,攻擊者可以反過來利用重新組態的裝置,其方法是:通過偽裝成一個友方的位址來發動攻擊,然後IDS就會組態路由器和防火牆來拒絕這些位址,這樣實際上就是對「自己人」拒絕服務了。傳送reset包的方法要求有一個活動的網路接口,這樣它將置於攻擊之下,一個補救的辦法是:使活動網路接口位於防火牆內,或是使用專門的發包程式,從而避開標準IP棧需求。


CERT(Computer Emergency Response Team,電腦應急響應小群組)


這個術語是由第一支電腦應急反映小群組選取的,這支團隊建立在Carnegie Mellon大學,他們對電腦安全方面的事件做出反應、採取行動。現在許多群組織都有了CERT,比如CNCERT/CC(中國電腦網路應急處理協調中心)。由於emergency這個詞有些不夠明確,因此許多群組織都用Incident這個詞來取代它,產生了新詞Computer Incident Response Team(CIRT),即電腦事件反應團隊。response這個詞有時也用handling來代替,其含義是response表示緊急行動,而非長期的研究。


CIDF(Common Intrusion Detection Framework;通用入侵檢驗框架)


CIDF力圖在某種程度上將入侵檢驗標準化,開發一些協定和套用程式接口,以使入侵檢驗的研究項目之間能夠共享訊息和資源,並且入侵檢驗元件也能夠在其它系統中再利用。CIDF的URL位址http://www.isi.edu/gost/cidf/。


CIRT(Computer Incident Response Team,電腦事件響應小群組)


CIRT是從CERT演變而來的,CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的電腦緊急情況的,而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。


CISL(Common Intrusion Specification Language,通用入侵規範語系)


CISL是CIDF元件間彼此通信的語系。由於CIDF就是對協定和接口標準化的嘗試,因此CISL就是對入侵檢驗研究的語系進行標準化的嘗試。


CVE(Common Vulnerabilities and Exposures,通用漏洞披露)


關於漏洞的一個老問題就是在設計掃瞄程式或應對策略時,不同的廠商對漏洞的稱謂也會完全不同。還有,一些產商會對一個漏洞定義多種特徵並套用到他們的IDS系統中,這樣就給人一種錯覺,好像他們的產品更加有效。MITRE建立了CVE,將漏洞名稱進行標準化,參與的廠商也就順理成章按照這個標準開發IDS產品。CVE的URL位址http://cve.mitre.org/。


Crafting Packets(自訂封包)


建立自訂封包,就可以避開一些慣用規定的封包結構,從而製造封包欺騙,或是使得收到它的電腦不知該如何處理它。製作自訂封包的一個可用程式Nemesis,它的URL位址http://jeff.chi.wwti.com/nemesis/。


Desynchronization(同步失效)


desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑,從而導致無法重新構建資料。這一技術在1998年很流行,現在已經由時了,有些文章把desynchronization這個術語代指其它IDS逃避方法。


Eleet


當黑客編寫漏洞開發程式時,他們通常會留下一個簽名,其中最聲名狼藉的一個就是elite。若果將eleet轉換成數字,它就是31337,而當它是指他們的能力時,elite=eleet,表示精英。31337通常被用做一個連接埠號或序號。目前流行的詞是「skillz」。


Enumeration(列舉)


經由被動研究和社會工程學的工作後,攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於現在的行動不再是被動的,它就有可能被檢驗出來。當然為了避免被檢驗到,他們會盡可能地悄悄進行。


Evasion(躲避)


Evasion是指發動一次攻擊,而又不被IDS成功地檢驗到。其中的竅門就是讓IDS只看到一個方面,而實際攻擊的卻是另一個目的,所謂明修棧道,暗渡陳倉。Evasion的一種形式是為不同的訊息包設定不同的TTL(有效時間)值,這樣,經由IDS的訊息看起來好像是無害的,而在無害訊息位上的TTL比要到達目的主電腦所需要的TTL要短。一旦經由了IDS並接近目的,無害的部分就會被丟掉,只剩下有害的。


Exploits(漏洞利用)


對於每一個漏洞,都有利用此漏洞進行攻擊的機制。為了攻擊系統,攻擊者編寫出漏洞利用代碼或教本。


對每個漏洞都會存在利用這個漏洞執行攻擊的模式,這個模式就是Exploit。為了攻擊系統,黑客會編寫出漏洞利用程式。


漏洞利用:Zero Day Exploit(零時間漏洞利用)


零時間漏洞利用是指還未被瞭解且仍在肆意橫行的漏洞利用,也就是說這種類型的漏洞利用目前還沒有被發現。一旦一個漏洞利用被網路安全界發現,很快就會出現針對它的補丁程式,並在IDS中寫入其特徵標識訊息,使這個漏洞利用無效,有效地捕獲它。


False Negatives(漏報)


漏報是指一個攻擊事件未被IDS檢驗到或被分析人員認為是無害的。


False Positives(誤報)


誤報是指實際無害的事件卻被IDS檢驗為攻擊事件。


Firewalls(防火牆)


防火牆是網路安全的第一道關卡,雖然它不是IDS,但是防火牆日誌可以為IDS提供寶貴訊息。防火牆工作的原理是根據規則或標準,如源位址、連接埠等,將危險連線阻擋在外。


FIRST(Forum of Incident Response and Security Teams,事件響應和安全團隊論壇)


FIRST是由國際性政府和私人群組織聯合起來交換訊息並協調響應行動的聯盟,一年一度的FIRST受到高度的重視,它的URL位址http://www.first.org/。


Fragmentation(分片)


若果一個訊息包太大而無法裝載,它就不得不被分成片斷。分片的依據是網路的MTU(Maximum Transmission Units,最大傳輸單元)。例如,靈牌環網(token ring)的MTU是4464,乙太網(Ethernet)的MTU是1500,因此,若果一個訊息包要從靈牌環網傳輸到乙太網,它就要被分裂成一些小的片斷,然後再在目的地重建。雖然這樣處理會造成效率降低,但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法,另外還有一些DOS攻擊也使用分片技術。


Heuristics(啟發)


Heuristics就是指在入侵檢驗中使用AI(artificial intelligence,人工智慧)思想。真正使用啟發理論的IDS已經出現大約10年了,但他們還不夠「聰明」,攻擊者可以通過訓練它而使它忽視那些惡意的訊息流。有些IDS使用異常模式去檢驗入侵,這樣的IDS必須要不斷地學習什麼是標準事件。一些產商認為這已經是相當「聰明」的IDS了,所以就將它們看做是啟髮式IDS。但實際上,真正套用AI技術對輸入資料進行分析的IDS還很少很少。


Honeynet Project(Honeynet工程)


Honeynet是一種學習工具,是一個包括安全缺陷的網路系統。當它受到安全威脅時,入侵訊息就會被捕獲並接受分析,這樣就可以瞭解黑客的一些情況。Honeynet是一個由30餘名安全專業群組織成員群組成、專門致力於瞭解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots,提供了看似易受攻擊的Honeynet網路,觀察入侵到這些系統中的黑客,研究黑客的戰術、動機及行為。


Honeypot(蜜罐)


蜜罐是一個包括漏洞的系統,它類比一個或多個易受攻擊的主電腦,給黑客提供一個容易攻擊的目的。由於蜜罐沒有其它任務需要完成,因此所有連線的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目的的攻擊,讓攻擊者在蜜罐上浪費時間。與此同時,最初的攻擊目的受到了保護,真正有價值的內容將不受侵犯。


蜜罐最初的目的之一是為起訴惡意黑客搜集證據,這看起來有「誘捕」的感覺。但是在一些國家中,是不能利用蜜罐收集證據起訴黑客的。


IDS Categories(IDS分類)


有許多不同類型的IDS,以下分別列出:


●IDS分類1-Application IDS(套用程式IDS):套用程式IDS為一些特殊的套用程式發現入侵信號,這些套用程式通常是指那些比較易受攻擊的套用程式,如Web伺服器、資料庫等。有許多原本著眼於動作系統的基於主電腦的IDS,雖然在預設狀態下並不針對套用程式,但也可以經由訓練,套用於套用程式。例如,KSE(一個基於主電腦的IDS)可以告訴我們在事件日誌中正在進行的一切,內含事件日誌報告中有關套用程式的輸出內容。套用程式IDS的一個例子是Entercept的Web Server Edition。


●IDS分類2-Consoles IDS(控制台IDS):為了使IDS適用於協同環境,分散式IDS代理需要向中心控制台報告訊息。現在的許多中心控制台還可以接收其它來源的資料,如其它產商的IDS、防火牆、路由器等。將這些訊息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵新增到代理層級的控制台,並提供遠端管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。


●IDS分類3-File Integrity Checkers(檔案完整性檢查器):當一個系統受到攻擊者的威脅時,它經常會改變某些關鍵檔案來提供持續的訪問和預防檢驗。通過為關鍵檔案附加訊息摘要(加密的雜亂信號),就可以定時地檢查檔案,檢視它們是否被改變,這樣就在某種程度上提供了保證。一旦檢驗到了這樣一個變化,完整性檢查器就會發出一個警報。而且,當一個系統已經受到攻擊後,系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的檔案檢查器在事件發生好久之後才能將入侵檢驗出來,是「事後諸葛亮」,最近出現的許多產品能在檔案被訪問的同時就進行檢查,可以看做是實時IDS產品了。該類產品有Tripwire和Intact。


●IDS分類4-Honeypots(蜜罐):關於蜜罐,前面已經介紹過。蜜罐的例子內含Mantrap和Sting。


●IDS分類5-Host-based IDS(基於主電腦的IDS):這類IDS對多種來源的系統和事件日誌進行監控,發現可疑活動。基於主電腦的IDS也叫做主電腦IDS,最適合於檢驗那些可以信賴的內定人員的誤用以及已經避開了傳統的檢驗方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能,主電腦IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包括了啟髮式功能。因為主電腦IDS幾乎是實時工作的,系統的錯誤就可以很快地檢驗出來,技術人員和安全人士都非常喜歡它。現在,基於主電腦的IDS就是指基於伺服器/工作站主電腦的所有類型的入侵檢驗系統。該類產品內含Kane Secure Enterprise和Dragon Squire。


●IDS分類6-Hybrid IDS(混合IDS):現代交換網路的結構給入侵檢驗動作帶來了一些問題。首先,預設狀態下的交換網路不容許網卡以混雜模式工作,這使傳統網路IDS的安裝非常困難。其次,很高的網路速度意味著很多訊息包都會被NIDS所丟棄。Hybrid IDS(混合IDS)正是解決這些問題的一個專案,它將IDS提升了一個層次,群組合了網路節點IDS和Host IDS(主電腦IDS)。雖然這種解決專案覆蓋面極大,但同時要考慮到由此引起的巨大資料量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS,實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。


●IDS分類7-Network IDS(NIDS,網路IDS):NIDS對所有流經監測代理的網路通信量進行監控,對可疑的異常活動和包括攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合訊息包嗅探器,但是近來它們變得更加智慧化,可以破譯協定並維護狀態。NIDS存在基於套用程式的產品,只需要安裝到主電腦上就可套用。NIDS對每個訊息包進行攻擊特徵的分析,但是在網路高負載下,還是要丟棄些訊息包。網路IDS的產品有SecureNetPro和Snort。


●IDS分類8-Network Node IDS(NNIDS,網路節點IDS):有些網路IDS在高速下是不可靠的,裝載之後它們會丟棄很高比例的網路訊息包,而且交換網路經常會妨礙網路IDS看到混合傳輸的訊息包。NNIDS將NIDS的功能委託給單獨的主電腦,從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似,但它們之間還有區別。對於被歸類為NNIDS的個人防火牆,應該對企圖的連線做分析。例如,不像在許多個人防火牆上發現的「試圖連線到連接埠xxx」,一個NNIDS會對任何的探測都做特徵分析。另外,NNIDS還會將主電腦接收到的事件傳送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。


●IDS分類9-Personal Firewall(個人防火牆):個人防火牆安裝在單獨的系統中,防止不受歡迎的連線,無論是進來的還是出去的,從而保護主電腦系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。


●IDS分類10-Target-Based IDS(基於目的的IDS):這是不明確的IDS術語中的一個,對不同的人有不同的意義。可能的一個定義是檔案完整性檢查器,而另一個定義則是網路IDS,後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度,因為它不搜尋那些不必要的攻擊。


IDWG(Intrusion Detection Working Group,入侵檢驗工作群組)


入侵檢驗工作群組的目的是定義資料格式和交換訊息的程式步驟,這些訊息是對於入侵檢驗系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢驗工作群組與其它IETF群組織協同工作。


IDWG的URL位址http://www.ietf.org/html.charters/idwg-charter.html。


IETF的URL位址http://www.ietf.org/。


Incident Handling(事件處理)


檢驗到一個入侵只是開始。更普遍的情況是,控制台動作員會不斷地收到警報,由於根本無法分出時間來親自追蹤每個潛在事件,動作員會在感興趣的事件上做出標誌以備將來由事件處理團隊來調查研究。在最初的反應之後,就需要對事件進行處理,也就是諸如調查、辯論和起訴之類的事宜。


Incident Response(事件響應)


對檢驗出的潛在事件的最初反應,隨後對這些事件要根據事件處理的程式進行處理。


Islanding(孤島)


孤島就是把網路從Internet上完全切斷,這幾乎是最後一招了,沒有辦法的辦法。一個群組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。


Promiscuous(混雜模式)


預設狀態下,IDS網路接口只能看到進出主電腦的訊息,也就是所謂的non-promiscuous(非混雜模式)。若果網路接口是混雜模式,就可以看到網段中所有的網路通信量,不管其來源或目的地。這對於網路IDS是必要的,但同時可能被訊息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題,在能看到全面通信量的地方,會都許多跨越(span)連接埠。


Routers(路由器)


路由器是用來連線不同子網的中樞,它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路訊息包傳輸到它們的目的地。一些路由器還有訪問控制清單(ACLs),容許將不想要的訊息包過濾出去。許多路由器都可以將它們的日誌訊息注入到IDS系統中,提供有關被阻擋的訪問網路企圖的寶貴訊息。


Scanners(掃瞄器)


掃瞄器是自動化的工具,它掃瞄網路和主電腦的漏洞。同入侵檢驗系統一樣,它們也分為很多種,以下分別描述。


●掃瞄器種類1-Network Scanners(網路掃瞄器):網路掃瞄器在網路上搜尋以找到網路上所有的主電腦。傳統上它們使用的是ICMP ping技術,但是這種方法很容易被檢驗出來。為了變得隱蔽,出現了一些新技術,例如ack掃瞄和fin掃瞄。使用這些更為隱蔽掃瞄器的另一個好處是:不同的動作系統對這些掃瞄會有不同的反應,從而為攻擊者提供了更多有價值的訊息。這種工具的一個例子是nmap。


●掃瞄器種類2-Network Vulnerability Scanners(網路漏洞掃瞄器):網路漏洞掃瞄器將網路掃瞄器向前發展了一步,它能檢驗目的主電腦,並突出一切可以為黑客利用的漏洞。網路漏洞掃瞄器可以為攻擊者和安全專家使用,但會經常讓IDS系統「緊張」。該類產品有Retina和CyberCop。


●掃瞄器種類3-Host Vulnerability Scanners(主電腦漏洞掃瞄器):這類工具就像個有特權的使用者,從內定掃瞄主電腦,檢驗密碼強度、安全策略以及檔案許可等內容。網路IDS,特別是主電腦IDS可以將它檢驗出來。該類產品有SecurityExpressions,它是一個遠端Windows漏洞掃瞄器,並且能自動修復漏洞。還有如ISS資料庫掃瞄器,會掃瞄資料庫中的漏洞。


Script Kiddies(腳本小子)


有些受到大肆宣揚的Internet安全破壞,如2000年2月份對Yahoo的拒絕服務攻擊,是一些十來歲的國中生干的,他們幹這些壞事的目的好像是為了揚名。安全專家通常把這些人稱為腳本小子(Script Kiddies)。腳本小子通常都是一些自發的、不太熟練的cracker,他們使用從Internet 上下載的訊息、軟體或腳本對目的站台進行破壞。黑客群組織或法律實施權威機構都對這些腳本小孩表示輕蔑,因為他們通常都技術不熟練,手上有大把時間可以來搞破壞,他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩,他們不需要懂得彈道理論,也不必能夠製造槍支,就能成為強大的敵人。因此,無論何時都不能低估他們的實力。


Shunning(躲避)


躲避是指組態邊界裝置以拒絕所有不受歡迎的訊息包,有些躲避甚至會拒絕來自某些國家所有IP位址的訊息包。


Signatures(特徵)


IDS的核心是攻擊特徵,它使IDS在事件發生時觸發。特徵訊息過短會經常觸發IDS,導致誤報或錯報,過長則會減慢IDS的工作速度。有人將IDS所支援的特徵數視為IDS好壞的標準,但是有的產商用一個特徵涵蓋許多攻擊,而有些產商則會將這些特徵單獨列出,這就會給人一種印象,好像它包括了更多的特徵,是更好的IDS。大家一定要清楚這些。


Stealth(隱藏)


隱藏是指IDS在檢驗攻擊時不為外界所見,它們經常在DMZ以外使用,沒有被防火牆保護。它有些缺點,如自動響應。

2010年9月25日 星期六

拯救硬碟十大絕招大放送

每個使用者的硬碟中都存放著大量的有用資料,而硬碟又是一個易出毛病的部件。
為了有效的儲存硬碟中的資料,除了有效的儲存硬碟中的資料,備份工作以外,
還要學會在硬碟出現故障時如何救活硬碟,或是提取其中的有用資料,
把損失降到最小程度。

1、系統不接受硬碟

此類故障比較常見,即從硬碟無法啟動,從A磁碟啟動也無法進入C碟,
使用CMOS中的自動監測功能也無法發現硬碟的存在。
這種故障大都出現在連線電纜或IDE排線上,硬碟本身的故障率很少,
可通過重新插拔硬碟電纜或是改換IDE排線及電纜等進行置換試驗,
可很快發現故障的所在。
如果新接上的硬碟不接受,還有一個常見的原因就是硬碟上的主排線,
如果硬碟接在IDE的主連接位置,則硬碟必須跳為Master,
跳線錯誤一般無法檢驗到硬碟。

2、CMOS引起的故障

CMOS的正確與否直接影響硬碟的標準使用,這裡主要指其中的硬碟類型。
好在現在的機器都支援"IDE auto detect"的功能,可自動檢驗硬碟的類型。
當連線新的硬碟或是更換新的硬碟後都要通過此功能重新進行設定類型 。
當然,現在有的類型的主板可自動識別硬碟的類型。
當硬碟類型錯誤時,有時乾脆無法啟動系統,有時能夠啟動,但會發生讀寫錯誤。
比如CMOS中的硬碟類型小於實際的硬碟容量,則硬碟後面的扇區將無法讀寫,
如果是多分區狀態則個別分區將丟失。
還有一個重要的故障原因,由於目前的IDE都支援邏輯參數類型,
硬碟可採用Normal、LBA、Large等 。
如果在一般的模式下安裝了資料,而又在CMOS中改為其他的模式,
則會發生硬碟的讀寫錯誤故障,因為其物理地質的映射關係已經改變 ,
將無法讀取原來的正確硬碟位置。

3、主引導程式引起的啟動故障

硬碟的主引導扇區是硬碟中的最為敏感的一個部件,
其中的主引導程式是它的一部分,
此段程式主要用於檢驗硬碟分區的正確性,並確定活動分區,
負責把引導權移交給活動分區的DOS或其他動作系統 。
此段程式損壞將無法從硬碟引導,但從軟區或光區之後可對硬碟進行讀寫。
修復此故障的方法較為簡單,使用高版本DOS的fdisk最為方便,
當帶參數/mbr執行時 ,將直接更換(重寫)硬碟的主引導程式。
實際上硬碟的主引導扇區正是此程式建立的,
fdisk.exe之中包括有完整的硬碟主引導程式。
雖然DOS版本不斷更新,但硬碟的主引導程式一直沒有變化,
從DOS 3.x到目前有winDOS 95的DOS,
所以只要找到一種DOS引導盤啟動系統並執行此程式即可修復。
另外,像kv300等其他工具軟體也具有此功能。

4、分區表錯誤引導的啟動故障

分區表錯誤是硬碟的嚴重錯誤,不同錯誤的程度會造成不同的損失。
如果是沒有活動分區標誌,則電腦無法啟動。
但從軟區或光區引導系統後可對硬碟讀寫,可通過fdisk重設活動分區進行修復。
如果是某一分區類型錯誤,可造成某一分區的丟失。
分區表的第四個位元組為分區類型值,
標準的可引導的大於32mb的基本DOS分區值為06,
而延伸的DOS分區值是05。
如果把基本DOS分區類型改為05則無法啟動系統,並且不能讀寫其中的資料。
如果把06改為DOS不識別的類型如efh,則DOS認為改分區不是 DOS分區,
當然無法讀寫。
很多人利用此類型值實現單個分區的加密技術,
恢復原來的正確類型值即可使該分區恢復標準。
分區表中還有其他資料用於紀錄分區的起始或終止位址。
這些資料的損壞將造成該分區的混亂或丟失,一般無法進行手動恢復,
唯一的方法是用備份的分區表資料重新寫回,
或是從其他的相同類型的並且分區狀況相同的硬碟上取得分區表資料,
否則將導致其他的資料永久的丟失。在對主引導扇區進行動作時,
可採用nu等工具軟體,動作非常的方便,
可直接對硬碟主引導扇區進行讀寫或編輯。
當然也可採用debug進行動作,但動作繁瑣並且具有一定的風險。

5、分區有效標誌錯誤引起的硬碟故障

在硬碟主引導扇區中還存在一個重要的部分,
那就是其最後的兩個位元組:55aah,
此字為扇區的有效標誌。
當從硬碟,軟碟或光碟啟動時,將檢驗這兩個位元組,
如果存在則認為有硬碟存在,否則將不接受硬碟。
此標誌時從硬碟啟動將轉入rom basic或提示放入軟碟。
從軟碟啟動時無法轉入硬碟。
此處可用於整個硬碟的加密技術。
可採用debug方法進行恢復處理。
另外,DOS引導扇區仍有這樣的標誌存在,
當DOS引導扇區無引導標誌時,
系統啟動將顯示為:"missing operating system"。
其修復的方法可採用的主引導扇區修復方法,只是位址不同,
更方便的方法是使用下面的DOS系統通用的修復方法。

6、DOS引導系統引起的啟動故障

DOS引導系統主要由DOS引導扇區和DOS系統檔案群組成。
系統檔案主要內含iosys、msdos.sys、command.com,
其中command.com是DOS的外殼檔案,可用其他的同類檔案置換,
但預設狀態下是DOS啟動的必備檔案。
在Windows 攜帶的DOS 系統中,msdos.sys是一個文字檔案,
是啟動windows必須的檔案。
但只啟動DOS時可不用此檔案 。
但DOS引匯出錯時,可從軟碟或光碟引導系統,
之後使用sys c:傳輸系統即可修復故障,
內含引導扇區及系統檔案都可自動修復到標準狀態。

7、FAT表引起的讀寫故障

FAT表紀錄著硬碟資料的存儲位址,
每一個檔案都有一群組連線的fat鏈指定其存放的簇位址。
FAT表的損壞意味著檔案內容的丟失。
慶幸的是DOS系統本身提供了兩個fat表,如果目前使用的FAT表損壞,
可用第二個進行覆蓋修復。
但由於不同規格的磁碟其fat表的長度及第二個fat表的位址也是不固定的,
所以修復時必須正確尋找其正確位置,
由一些工具軟體如nu等本身具有這樣的修復功能,
使用也非常的方便。
採用debug也可實現這種動作,
即採用其m指令把第二個fat表移到第一個表處即可。
如果第二個FAT表也損壞了,則也無法把硬碟恢復到原來的狀態,
但檔案的資料仍然存放在硬碟的資料區中,
可採用chkdsk或scandisk指令進行修復,
最終得到*。chk檔案,這便是丟失FAT連結的扇區資料。
如果是文字檔案則可從中提取並可合併完整的檔案,
如果是二進位的資料檔 ,則很難恢復出完整的檔案。

8、目錄表損壞引起的引導故障

目錄表紀錄著硬碟中檔案的檔案名等資料,
其中最重要的一項是該檔案的起始簇號,
目錄表由於沒有自動備份功能,所以如果目錄損壞將丟失大量的檔案。
一種減少損失的方法也是採用上面的chkdsk或scandisk程式的方法,
從硬碟中搜尋出chk檔案,由目錄表損壞時是首簇號丟失,
在fat為損壞的情況下所形成的chk檔案一般都比較完整的檔案資料,
每一個chk檔案即是一個完整的檔案,
把其改為原來的名字可恢復大多數檔案。

9、誤移除分區時資料的恢復

當用fdisk移除了硬碟分區之後,
表面現象是硬碟中的資料已經完全消失,
在未格式化時進入硬碟會顯示無效磁碟機。
如果瞭解fdisk的工作原理,就會知道,
fdisk只是重新改寫了硬碟的主引導扇區(0面0道1扇區)中的內容。
具體說就是移除了硬碟分區表訊息,而硬碟中的任何分區的資料均沒有改變,
可仿造上述的分區表錯誤的修復方法,
即想辦法恢復分區表資料即可恢復原來的分區即資料,
但這只限於除分區或重建分區之後。
如果已經對分區用format格式化,在先恢復分區後,
在按下面的方法恢復分區資料。

10、誤格式化硬碟資料的恢復

在DOS高版本狀態下,
格式化動作format在預設狀態下都建立了用於恢復格式化的磁碟訊息,
實際上是把磁碟的DOS引導扇區,
fat分區表及目錄表的所有內容複製到了磁碟的最後幾個扇區中
(因為後面的扇區很少使用),
而資料區中的內容根本沒有改變。
這樣通過執行"unformat c:"即可恢復原來的檔案分配表及目錄表,
從而完成硬碟訊息的恢復。
另外DOS還提供了一個miror指令用於紀錄目前的磁碟的訊息 ,
供格式化或移除之後的恢復使用,此方法也比較有效。

2010年9月24日 星期五

體驗人生勝過崇尚名牌╱戴勝益:花錢換視野才值得

王品集團董事長戴勝益從小就教育孩子,不能用名牌,愈是名牌加身,和其他人就愈顯得有距離。
他打趣的提到:「這樣你的朋友都不敢跟你吃飯,因為你貴氣逼人,他反而變得像你的菲傭。」
不希望養成孩子過度重視物欲的習慣,因此戴勝益從來不把孩子送到所謂的「貴族學校」,
導致「未富先貴」,總是在意別人看法,落入比較的循環。
但戴勝益也強調,「節儉」並不是意味著把自己搞得很寒酸、很困苦,而是生活應該有「捨」才有「得」,
把買名牌的錢省下來,一旦有增廣見聞的機會,就不要怕花錢,這樣「花掉的錢才是錢」!
可以物欲低 但不能沒品味
在戴勝益的欲望管理教育下,即使現在戴勝益的一雙兒女已經負笈美國紐約就讀大學,物質欲望依然很低,身上不僅一堆折扣卡、買東西也習慣比價。
戴勝益提到,去年冬天他發現女兒連續一星期都穿同一件黑色外套,提著同一個白色包包,問她為什麼都穿同一件,
女兒的回答是,她只有這件黑色外套,還是比價6間商店之後才敢下手購買,
而冬天提著白色包包,不也是創意的表現,貨源來自逢甲夜市,要價500多元。
其實,不若在台灣讀高中時,每個月只有1000元零用錢,戴勝益提供孩子每個月在美國的生活費折合台幣大約是5萬元。
「紐約畢竟是個多采多姿的城市,所以我認為錢就應該花在生活體驗上」,戴勝益如此說。
去美國前,戴勝益和孩子們就錢的用途「約法三章」,不需要儲蓄,他希望孩子把錢花在每一場百老匯的演出、去美國的每一州、看每一場球賽,然後多交朋友。
戴勝益相信一個人的身價是建立在氣質和談吐上,而不是在行頭上,這樣花錢才算值得。
這印證了他「擴大視野」的金錢教育觀念,就像他認為一般人如果月薪不超過4萬,不要一直想儲蓄。
很多人以為省錢是好事,這個月比上個月多省下一些錢,就會開心的不得了,卻不知道這樣是把自己的生活圈變得愈來愈小。
和朋友交際要花錢會捨不得、旅遊要花錢也捨不得、吃美食要花錢更捨不得,久而久之,一直在減少和他人的互動,不了解社會趨勢,沒有朋友話題的注入,人生視野變得很狹隘,每天生活在斤斤計較上。
在孩子求學的階段,只要有喜慶、公司旅遊、活動,戴勝益就幫他們請假,因為他相信成長的機會不是只有在課內,課外的體驗也很重要。
無後盾,才能義無反顧向前衝。
39歲毅然決然離開家族企業「三勝製帽」,選擇自行創業的戴勝益,也認為父母不應該把大筆的錢財留給自己的孩子,他提到,愈是讓孩子從小處於富裕的環境,就等於是剝奪他們奮鬥的希望。
他特別用一則小故事說明:「我家有養一隻雞,每天早上我把雞舍的門打開,讓牠到山上或野外去覓食,等到牠晚上回來時,不僅吃飽了,運動量也很足夠,精神相當飽滿,不太會生病,羽毛顏色也很漂亮,是隻健康的雞。」
「可是有一天,我覺得這隻雞很辛苦,每天都為了三餐奔波,於是我決定跟牠商量,不需要這麼辛苦,家裡後面有穀倉,就把牠丟到穀倉裡去,
牠說好哇!好哇!每天2分鐘就吃飽了,然後躺下來睡覺,吃飽睡、睡飽吃,於是逐漸失去生活的動力,和努力的目標!」
戴勝益覺得,如果一個人可以不用經過努力而憑空得到財富,讓自己生活無慮,這樣跟穀倉裡的雞並沒有兩樣。
所以,戴勝益明文規定自己的孩子不能進入王品集團,「非親條款」的設立就是不希望孩子失去奮鬥的機會,尋找出一條屬於自己的謀生之道。
「非親條款」果然逼出了戴勝益兒子的潛力,19歲就考上CCIE(美國網路設備大廠Cisco推行的網路工程師認證)的電腦執照,
由於考試難度高,加上需要實驗室實作測試,讓CCIE成為網路證照中的最高榮譽,更有身價鍍金的效果,擁有這張證照,在美國大型企業聘用年薪約美金8~10萬元,而在台灣應有新台幣100~120萬元年薪的價值。
一直到現在,戴勝益還是很慶幸自己離開了家族企業,才能嘗試到「從零開始」的喜悅。
也因為沒有背景沒有退路,才能逼自己面對挑戰,想盡辦法活下去,戴勝益相信「人生有多少挑戰,就會有多少成就」。
獨立才能自我謀生
他提到,通常上一代傳遞的金錢觀念是,要得到自由,必須先擁有財務上的自由。
畢竟如果在金錢上或是日常生活開支上有捉襟見肘的情況,每天光是為了打拼生活所需就會變得綁手綁腳,有所限制。
然而到最後,往往不顧一切追逐金錢的累積,也習慣用金錢衡量一個人的成就。
對戴勝益來說,人生最重要的事,依序是健康、快樂,然後才是成就(金錢),所以他認為,培養孩子獨立思考的能力,知道人生的價值在哪,並且努力去追求,才是正確的教育方式。
父母與其總是幫孩子安排好他們的生活,不如放手讓他們自己去做。
戴勝益在孩子赴美國讀書時,只送他們到桃園機場,等抵達美國之後,申請學校、找住所等一切事宜都要靠自己,才會想辦法獨立。
他相信,等到孩子出社會找工作之後,這樣的歷練和勇氣,也能幫助他們成長,靠自己獲得應有的報酬。

全面瞭解系統中 svchost.exe 檔案

筆者經常在一些反病毒論壇上瀏覽時,發現一些朋友對任務管理器中的 svchost進度不甚瞭解,看見存在許多svchost進度就以為自己中了病毒,其實不然。

svchost.exe是NT核心系統非常重要的檔案,對於Win2000/XP來說,不可或缺。這些svchost進度提供很多系統服務,如:rpcss服務(remote procedure call)、dmserver服務(logical disk manager)、dhcp服務(dhcp client)等等。

如果要瞭解每個svchost進度到底提供了多少系統服務,可以在WinXP的指令提示符視窗中輸入「tasklist /svc」指令來檢視。

工作原理

一般來說,Windows系統進度分為獨立進度和共享進度兩種。

svchost.exe檔案存在於%systemroot%\system32目錄下,屬於共享進度。

隨著Windows系統服務不斷增多,為了節省系統資源,微軟把很多服務都做成共享模式,交由svchost進度來啟動。但svchost進度只作為服務宿主,並不能實現任何服務功能,即它只能提供條件讓其他服務在這裡被啟動,而它自己卻不能給使用者提供任何服務。

這些服務是如何實現的呢?原來這些系統服務是以動態連結庫(dll)形式實現的,它們把可執行程式指向svchost,由svchost呼叫相應服務的動態連結庫來啟動服務。

那svchost又怎麼知道某個系統服務該呼叫哪個動態連結庫呢?這是通過系統服務在註冊表中設定的參數來實現的。

具體案例

下面以Remote Registry服務為例,來看看svchost進度是如何呼叫DLL檔案的。在WinXP中,點擊「開始→執行」,輸入「services.msc」指令,會跳出服務對話框,然後開啟「Remote Registry」屬性對話框,可以看到Remote Registry服務的可執行檔案的路徑為「C:\Windows\System32\svchost -k LocalService」,這說明Remote Registry服務是依靠svchost呼叫「LocalService」參數來實現的,而參數的內容則是存放在系統註冊表中的。

在執行對話框中輸入「regedit.exe」後Enter,開啟註冊表編輯器,找到「HKEY_LOCAL_MACHINE\System\currentcontrolset\services\Remote Registry」項,再找到類型為「reg_expand_sz」的「Imagepath」項,其鍵值為「%systemroot%\system32\svchost -k LocalService」(這就是在服務視窗中看到的服務啟動指令),另外在「parameters」次基碼中有個名為「ServiceDll」的鍵,其值為「% systemroot%\system32\regsvc.dll」,其中「regsvc.dll」就是Remote Registry服務要使用的動態連結庫檔案。這樣svchost進度通過讀取「Remote Registry」服務註冊表訊息,就能啟動該服務了。

也正是因為svchost的重要性,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑使用者,達到感染、入侵、破壞的目的。

那麼應該如何判斷到底哪個是病毒進度呢?

標準的svchost.exe檔案應該存在於「C:\Windows\system32」目錄下,如果發現該檔案出現在其他目錄下就要小心了。

提示:svchost.exe檔案的呼叫路徑可以通過「系統訊息→軟體環境→正在執行任務」來檢視。

2010年9月19日 星期日

XP系統檔案的清理

 

在XP系統安裝目錄中有許多不會造成任何影響的檔案。下面看看哪些是可精簡的內容。

一、從「我的文件」開始清理

「我的文件」在系統中稱為「Documents and Settings」,這也是XP中比較特殊的目錄,它記錄了使用者的一些特別的檔案訊息。下面來看看有什麼內容是可以移除的。

C:\ Documents and Settings\All Users\Application Data\Microsoft\Media Index

這個資料夾與WMP8有關,如果已升級到WMP9,那就可把它移除。

C:\ Documents and Settings\All Users\Application Data\Microsoft\Media Player

這個資料夾與WMP9有關,若果不常用WMP9,就可以移除它,它不會影響以後使用WMP9。因為在下次使用WMP9時,系統會自動重建這些內容。

C:\ Documents and Settings\All Users\Application Data\Microsoft\User Account Pictures\Default Pictures

在設定帳戶或使用MSN時都會使用到.這些圖片沒什麼特別,可以移除,也可以用自己喜歡的圖片來替代。

C:\ Documents and Settings\All Users\ Documents(或Shared Documents)\My Music

這個目錄比較特殊,它顯示的名字與工具列中顯示的名字有所不同。進入這個目錄的實際步驟是:「C:\ Documents and Settings\All Users\」→「共享文件」→「共享音樂」。一般使用者不會把音樂檔案放在這裡,如果不放這裡,則可移除它。

C:\ Documents and Settings\All Users\ Documents(或Shared Documents)\ My Pictures

與My Music目錄相似,如果不把圖片放在這裡,則可移除它。

C:\ Documents and Settings\使用者名\ My Documents\My Music

一般人們都在硬碟中開闢專門的存放音樂的地方,那麼把它移除吧。有一點要注意,若果經常播放WMA檔案,難免會下載一些音樂播放許可證到近端硬碟,而系統預設會把這些許可證放在這個目錄中,若果在目錄中看到「許可證備份」目錄,建議把它複製到其它位置,並在WMP的:工具/許可證管理「中變更路徑。當然也可移除該證,下次播放時會自動從網上下載此證。

C:\ Documents and Settings\All Users\[開始]選單\程式\附件\輔助工具

這裡存放著系統輔助功能精靈的程式捷徑,這為有特殊需求的使用者準備的,若果你沒特別的使用習慣,則可移除。

C:\ Documents and Settings\All Users\[開始]選單\程式\附件\通信

這個也可完全移除,因為它只是一些快捷圖示。

C:\ Documents and Settings\使用者名\[開始]選單\程式\附件
這個目錄是一些程式的快捷圖示。在附件中真正用到的功能很少,常用的只有「記事本」、「Windows資源管理器」。把這些要的程式複製到「C:\ Documents and Settings\All Users\[開始]選單\程式\附件」中,然後再移除此目錄。

C:\ Documents and Settings\使用者名\Favorites

這裡的快捷圖示,「MSN.com」和「Radio Station Guide」,這些你用過嗎?沒用就刪吧。

C:\ Documents and Settings\使用者名\Favorites\Links

與上面一樣,如果用不到,就可移除這個目錄。在這裡還要修改一下註冊表,以永久移除連結資料夾。在註冊表中找到「HKEY_CURRENT_USER\Software\ Microsoft\Internet Explorer\Toolbar」項,在右側中將「LinksFolderName」的值移除。

二、對執行檔動手

「C:\Program Files」大家很熟悉,因為在安裝程式時,其預設的安裝路徑就在這裡。下面看看裡面有什麼內容。

C:\Program Files\Windows Update

這個目錄用於升級,可以移除。只要再次登入Windows的升級網站進行升級,這個目錄系統就地自動重建。

C:\Program Files\Windows Media Player\Skins

這是WMP自帶的「外觀」,相信很多「外觀」不會用到,不如只留下幾個常用的,把其餘的刪掉。

C:\Program Files\Common Files\Microsoft Shared\Stationery

這是Outlook中的信紙圖案,有用的留著,不用到的就移除。如果不用Outlook收發信件,則全部刪掉。

C:\Program Files\Internet Explorer\SIGNUP

這裡放著一個程式的捷徑,用以啟動進行網路設定精靈,如果你的網路一切標準,也不需要精靈的幫助,那就移除它吧。

三、Windows目錄同樣可清理

不要被「C:\Windows」所嚇倒,這裡同樣有不少東西可移除。在這個目錄下,.BAK、.BMP、.OLD、.TMP類型的檔案可以移除。除SchedLgU.txt(它被用於計劃任務程式服務),.TXT檔案也可移除。Notepad.exe和TASKMAN.exe也可移除,因為在「System32」目錄下還有一個備份。另外,clock.avi、Control.ini檔案也可移除,它不會對系統造成任何影響。

C:\Windows\$NtUninstall$

這是線上升級Windows時,系統自動建立的目錄,其作用是方便卸載已安裝的系統更新。若果更新標準執行了,這些目錄就無意義了,可安全移除這些目錄及檔案。你可在「加入或移除程式」中去卸載這些更新,當然更新並沒有真正移除,只是讓「加入或移除程式」視窗變得乾淨些。

C:\Windows\Cursors

這個目錄裡是滑鼠專案,如果用不上,就刪吧。

C:\Windows\Help

在第一次執行Windows XP時,系統總會提示執行「Windows XP導引教學」,中文版使用的是一個HTML格式的檔案,只有檔案,沒有音效。其實在系統中還安裝英文版的漫遊功能,雖然是英文,但有語系,有音樂,還有漂亮的動畫。它就是「Tours/mmtour」目錄中的「tour.exe」。若果沒有用了,則可將「Tours」整個目錄刪掉。在這之前,應先在「C:\Windows\ System32\dllcache」中移除「tourstrt.exe、tourW.exe以及「C:\Windows\ System32」目錄下的「tourstart.exe」檔案。

C:\Windows\inf

在這個目錄中會看到很多相同檔案名,不同後綴的檔案,分別為.inf和.pnf ,.pnf是.inf檔案的預編譯檔案,如果沒有.pnf檔案,.inf檔案執行時會自動建立相應的.pnf檔案。因此,這個目錄的所有.pnf檔案都可以移除。

C:\Windows\Media

這是系統自帶的一些MID和WAV音效,喜歡的留下,不喜歡的也可移除。

C:\Windows\Temp

這是暫存檔夾,當然可移除。但有一點要注意,最好是在啟動系統後才移除,因為有很多軟體的安裝程式會在重新新啟動後利用這裡的檔案來完成最後的安裝。

C:\Windows\Web

這裡的「gif」和「htm」檔案均可移除。到「Wallpaper」目錄中看看,系統自帶的大部分桌面背景都在這裡,不喜歡的均可移除。

C:\Windows\System32

這裡有很多名如「1033」的資料夾,這些主要存放系統出現的錯誤報告,其中大部分是空資料夾,這些空資料夾可放心移除。

C:\Windows\System32\Direct\Dinput

這個目錄裡的檔案主要是遊戲裝置的組態檔,如果用不上,就刪吧。

C:\Windows\System32\ReinstallBackups

這裡有很多子目錄,它們分別是電腦中硬體的驅動程式備份。如果對某一硬體進行升級或更換,並且確定不會再使用原來的驅動程式,則可以移除相應的目錄。

另外,還可在系統中搜尋「desktop.ini」檔案,並全部移除。如果某個「desktop.ini」檔案是系統需要的,那麼系統會在需要的時候重新建立它。在C盤根目錄下有AUTOEXEC.BAT、CONFIG.SYS、IO.SYS和MSDOS.SYS這四個檔案,如果為0位元組,則可移除。

Windows自動啟動程式十大藏身之所

 

Windows啟動時通常會有一大堆程式自動啟動。不要以為管好了「開始→程式→啟動」選單就萬事大吉,實際上,在Windows XP/2K中,讓Windows自動啟動程式的辦法很多,下文告訴你最重要的兩個資料夾和八個註冊鍵。

一、目前使用者專有的啟動資料夾

這是許多套用軟體自動啟動的常用位置,Windows自動啟動放入該資料夾的所有捷徑。使用者啟動資料夾一般在:\Documents and Settings\<使用者名字>\「開始」選單\程式\啟動,其中「<使用者名字>」是目前登入的使用者帳戶名稱。

二、對所有使用者有效的啟動資料夾

這是尋找自動啟動程式的第二個重要位置,不管使用者用什麼身份登入系統,放入該資料夾的捷徑總是自動啟動——這是它與使用者專有的啟動資料夾的區別所在。該資料夾一般在:\Documents and Settings\All Users\「開始」選單\程式\啟動。

三、Load註冊鍵

介紹該註冊鍵的資料不多,實際上它也能夠自動啟動程式。位置:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\ CurrentVersion\Windows\load。

四、Userinit註冊鍵

位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Winlogon\Userinit。這裡也能夠使系統啟動時自動起始化程式。通常該註冊鍵下面有一個userinit.exe,但這個鍵容許指定用逗號分隔的多個程式,例如「userinit.exe,OSA.exe」(不含引號)。


五、Explorer\Run註冊鍵

和load、Userinit不同,Explorer\Run鍵在HKEY_CURRENT_USER和
HKEY_LOCAL_MACHINE下都有,具體位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\Explorer\Run。

六、RunServicesOnce註冊鍵

RunServicesOnce註冊鍵用來啟動服務程式,啟動時間在使用者登入之前,而且先於其他通過註冊鍵啟動的程式。RunServicesOnce註冊鍵的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce,
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServicesOnce。

七、RunServices註冊鍵

RunServices註冊鍵特殊的程式緊接RunServicesOnce特殊的程式之後執行,但兩者都在使用者登入之前。RunServices的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices,和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices。

八、RunOnce\Setup註冊鍵

RunOnce\Setup指定了使用者登入之後執行的程式,它的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup,
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce\Setup。

九、RunOnce註冊鍵

安裝程式通常用RunOnce鍵自動執行程式,它的位置在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。
HKEY_LOCAL_MACHINE下面的RunOnce鍵會在使用者登入之後立即執行程式,執行時機在其他Run鍵特殊的程式之前。HKEY_CURRENT_USER下面的RunOnce鍵在動作系統處理其他Run鍵以及「啟動」資料夾的內容之後執行。若果是XP,你還需要檢查一下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnceEx。

十、Run註冊鍵

Run是自動執行程式最常用的註冊鍵,位置在:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
HKEY_CURRENT_USER下面的Run鍵緊接HKEY_LOCAL_MACHINE下面的Run鍵執行,但兩者都在處理「啟動」資料夾之前。

2010年9月18日 星期六

Windows XP 啟動服務


Windows XP裡有許多預設啟動的服務是我們平時用不到的,但它的啟動卻又佔了不少系統資源,這也讓電腦速度減慢。這些無用的服務我們應該停掉,但很多使用者都不知 道應該停哪些服務,亂來會導致系統很多問題的出現。在這裡說明這些服務的作用,並給出了相應的建議。好!下面就正式開始。
  有人不知道在哪看Windows XP的服務吧,在螢幕左下角的「開始」--「執行」--「輸入msconfig」,這樣就開啟了一個新視窗,點擊「服務」,你就可以看到了。

Alerter

微軟: 知會選取的使用者及電腦系統管理警示。如果停止這個服務,使用系統管理警示的程式將不會收到知會。如果停用這個服務,所有類別於它的服務將無法啟動。
補充: 一般家用電腦根本不需要傳輸或接收電腦系統管理來的警示(Administrative Alerts),除非你的電腦用在區域網路上
類別: Workstation
建議: 已停用

Application Layer Gateway Service

微軟: 提供網路連結共享和網路連結防火牆的第三方通信協定外掛的支援
補充: 如果你不使用網路連結共享 (ICS) 提供多台電腦的網路存取和網路連結防火牆 (ICF) 軟體你可以關掉
類別: Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議: 已停用

Application Management (
套用程式管理)
微軟: 提供指派、發行、以及移除的軟體安裝服務。
補充: 如上說的軟體安裝變更的服務
建議: 手動

Automatic Updates

微軟: 啟用重要 Windows 更新的下載及安裝。如果停用此服務,可以手動的從 Windows Update 網站上更新動作系統。
補充: 容許 Windows 於背景自動連結之下,到 Microsoft Servers 自動檢查和下載更新修補程式
建議: 已停用


Background Intelligent Transfer Service

微軟: 使用閒置的網路頻寬來傳輸資料。
補充: 經由 Via HTTP1.1 在背景傳輸資料的東西,例如 Windows Update 就是以此為工作之一
類別: Remote Procedure Call (RPC) Workstation
建議: 已停用

ClipBook (
剪貼簿)
微軟: 啟用剪貼簿檢視器以儲存訊息並與遠端電腦共享。如果這個服務被停止,剪貼簿檢視器將無法與遠端電腦共享訊息。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 把剪貼簿內的訊息和其它台電腦分享,一般家用電腦根本用不到
類別: Network DDE
建議: 已停用

COM+ Event System (COM+
事件系統)
微軟: 支援「系統事件知會服務 (SENS)」,它可讓事件自動分散到訂閱的 COM 元件。如果服務被停止,SENS 會關閉,並無法提供登入及登出知會。如果此服務被停用,任何明顯類別它的服務都無法啟動。
補充: 有些程式可能用到 COM+ 元件,像 BootVis optimize system 套用,如事件檢視器內顯示的 DCOM 沒有啟用
類別: Remote Procedure Call (RPC) System Event Notification
建議: 手動

COM+ System Application

微軟: 管理 COM+ 元件的設定及追蹤。如果停止此服務,大部分的 COM+ 元件將無法適當?#092;作。如果此服務被停用,任何明確類別它的服務將無法啟動。
補充: 如果 COM+ Event System 是一台車,那麼 COM+ System Application 就是司機,如事件檢視器內顯示的 DCOM 沒有啟用
類別: Remote Procedure Call (RPC)
建議: 手動

Computer Browser (
電腦瀏覽器)
微軟: 維護網路上更新的電腦清單,並將這個清單提供給做為瀏覽器的電腦。如果停止這個服務,這個清單將不會被更新或維護。如果停用這個服務,所有類別於它的服務將無法啟動。
補充: 一般家庭用電腦不需要,除非你的電腦套用在區網之上,不過在大型的區網上有必要開這個拖慢速度嗎?
類別: Server Workstation
建議: 已停用

Cryptographic Services

微軟: 提供三個管理服務: 確認 Windows 檔案簽章的 [類別目錄資料庫服務]; 從這個電腦新增及移除受信任根憑證授權憑證的 [受保護的根目錄服務]; 以及協助註冊這個電腦以取得憑證的 [金鑰服務]。如果這個服務被停止,這些管理服務將無法正確工作。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 簡單的說就是 Windows Hardware Quality Lab (WHQL)微軟的一種認證,如果你有使用 Automatic Updates ,那你可能需要這個
類別: Remote Procedure Call (RPC)
建議: 手動

DHCP Client (DHCP
使用者端)
微軟: 透過登入及更新 IP 位址和 DNS 名稱來管理網路設定。
補充: 使用 DSL/Cable ICS IPSEC 的人都需要這個來指定動態 IP
類別: AFD 網路支援環境、NetBTSYMTDITCP/IP Protocol Driver NetBios over TCP/IP
建議: 手動

Distributed Link Tracking Client (
分散式連結追蹤使用者端)
微軟: 維護電腦中或網路網域不同電腦中 NTFS 檔案間的連結。
補充: 維護區網內不同電腦之間的檔案連結
類別: Remote Procedure Call (RPC)
建議: 已停用

Distributed Transaction Coordinator (
分散式交易協調器)
微軟: 協調跨越多個資源管理員的交易,比如資料庫、訊息佇列及檔案系統。如果此服務被停止,這些交易將不會發生。如果服務被停用,任何明顯類別它的服務將無法啟動。
補充: 如上所說的,一般家庭用電腦用不太到,除非你啟用的 Message Queuing
類別: Remote Procedure Call (RPC) Security Accounts Manager
建議: 已停用

DNS Client (DNS
使用者端)
微軟: 解析並快取這台電腦的網域名稱系統 (DNS) 名稱。如果停止這個服務,這台電腦將無法解析 DNS 名稱並尋找 Active Directory 網域控制站的位置。如果停用這個服務,所有類別於它的服務將無法啟動。
補充: 如上所說的,另外 IPSEC 需要用到
類別: TCP/IP Protocol Driver
建議: 手動

Error Reporting Service

微軟: 容許對執行於非標準環境中的服務和套用程式的錯誤報告。
補充: 微軟的套用程式錯誤報告
類別: Remote Procedure Call (RPC)
建議: 已停用

Event Log (
事件記錄檔案)
微軟: 啟用 Windows 為主的程式和元件所發出的事件訊息可以在事件檢視器中檢視。這個服務不能被停止。
補充: 容許事件訊息顯示在事件檢視器之上
類別: Windows Management Instrumentation
建議: 自動

Fast User Switching Compatibility

微軟: 在多使用者環境下提供套用程式管理。
補充: 另外像是登出畫面中的切換使用者功能
類別: Terminal Services
建議: 手動

Help and Support

微軟: 讓說明及支援中心能夠在這台電腦上執行。如果這個服務停止,將無法使用說明及支援中心。如果這個服務被停用,它的所有類別服務將無法啟動。
補充: 如果不使用就關了吧
類別: Remote Procedure Call (RPC)
建議: 已停用

Human Interface Device Access

微軟: 啟用對人性化接口裝置 (HID) 的通用輸入存取,HID 裝置啟動並維護對這個鍵盤、遠端控制、以及其它多媒體裝置上事先定義的快捷紐的使用。如果這個服務被停止,這個服務控制的快捷紐將不再起作用。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 如上所提到的
類別: Remote Procedure Call (RPC)
建議: 已停用

IMAPI CD-Burning COM Service

微軟: 使用 Image Mastering Applications Programming Interface (IMAPI) 來管理光碟錄製。如果這個服務被停止,這個電腦將無法錄製光碟。如果這個服務被停用,任何明確地依賴它的服務將無法啟動。
補充: XP 整合的 CD-R CD-RW 光碟機上拖曳的燒錄功能,可惜比不上燒錄軟體,關掉還可以加快 Nero 的開啟速度
建議: 已停用

Indexing Service (
索引服務)
微軟: 本機和遠端電腦的索引內容和檔案屬性; 透過彈性的查詢語系提供快速檔案存取。
補充: 簡單的說可以讓你加快搜查速度,不過我想應該很少人和遠端電腦作搜尋吧
類別: Remote Procedure Call (RPC)
建議: 已停用

Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)

微軟: 為您的家用網路或小型辦公室網路提供網路位址轉譯、尋址及名稱解析服務和/或防止干擾的服務。
補充: 如果你不使用網路連結共享(ICS)或是 XP 內含的網路連結防火牆(ICF)你可以關掉
類別: Application Layer Gateway ServiceNetwork ConnectionsNetwork Location Awareness(NLA)Remote Access Connection Manager
建議: 已停用

IPSEC Services (IP
安全性服務)
微軟: 管理 IP 安全性原則並啟動 ISAKMP/Oakley (IKE) IP 安全性驅動程式。
補充: 協助保護經由網路傳輸的資料。IPSec 為一重要環節,為虛擬私人網路 (VPN) 中提供安全性,而 VPN 容許群群組織經由網路連結安全地傳輸資料。在某些網域上也許需要,但是一般使用者大部分是不太需要的
類別: IPSEC driverRemote Procedure Call (RPC)TCP/IP Protocol Driver
建議: 手動

Logical Disk Manager (
邏輯磁碟管理員)
微軟: 偵測及監視新硬碟磁碟,以及傳輸磁碟區訊息到邏輯磁碟管理系統管理服務以供設定。如果這個服務被停止,動態磁碟狀態和設定訊息可能會過時。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 磁碟管理員用來動態管理磁碟,如顯示磁碟可用空間等和使用 Microsoft Management Console(MMC)主控台的功能
類別: Plug and PlayRemote Procedure Call (RPC)Logical Disk Manager Administrative Service
建議: 自動

Logical Disk Manager Administrative Service (
邏輯磁碟管理員系統管理服務)
微軟: 設定硬碟磁碟及磁碟區,服務只執行設定程式然後就停止。
補充: 使用 Microsoft Management Console(MMC)主控台的功能時才用到
類別: Plug and PlayRemote Procedure Call (RPC)Logical Disk Manager
建議: 手動

Messenger (
信差)
微軟: 在使用者端及伺服器之間傳輸網路傳輸及 [Alerter] 服務訊息。這個服務與 Windows Messenger 無關。如果停止這個服務,Alerter 訊息將不會被傳輸。如果停用這個服務,所有類別於它的服務將無法啟動。
補充: 容許網路之間互相傳輸提示訊息的功能,如 net send 功能,如不想被騷擾話可關了
類別: NetBIOS InterfacePlug and PlayRemote Procedure Call (RPC)Workstation
建議: 已停用

MS Software Shadow Copy Provider

微軟: 管理磁碟區陰影複製服務所取得的以軟體為主的磁碟區陰影複製。如果停止這個服務,就無法管理以軟體為主的磁碟區陰影複製。如果停用這個服務,任何明確類別於它的服務將無法啟動。
補充: 如上所說的,用來備份的東西,如 MS Backup 程式就需要這個服務
類別: Remote Procedure Call (RPC)
建議: 已停用

Net Logon

微軟: 支援網域上電腦的賬戶登入事件的 pass-through 驗證。
補充: 一般家用電腦不太可能去用到登入網域審查這個服務
類別: Workstation
建議: 已停用

NetMeeting Remote Desktop Sharing (NetMeeting
遠端桌面共享)
微軟: 讓經由授權的使用者可以使用 NetMeeting 透過公司近端內定網路,由遠端訪問這部電腦。如果這項服務停止的話,遠端桌面共享功能將無法使用。如果服務停用的話,任何依賴它的服務將無法啟動。
補充: 如上說的,讓使用者可以將電腦的控制權分享予網路上或因特網上的其它使用者,如果你重視安全性不想多開後門,就關了吧
建議: 已停用

Network Connections (
網路連結)
微軟: 管理在網路和撥號連結資料夾中的對象,您可以在此資料夾中檢視局域網路和遠端連結。
補充: 控制你的網路連結
類別: Remote Procedure Call (RPC)Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議: 手動

Network DDE (
網路 DDE)
微軟: 為動態資料交換 (DDE) 對在相同或不同電腦上執行的程式提供網路傳輸和安全性。如果這個服務被停止,DDE 傳輸和安全性將無法使用。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 一般人好像用不到
類別: Network DDE DSDMClipBook
建議: 已停用

Network DDE DSDM (
網路 DDE DSDM)
微軟: 訊息動態資料交換 (DDE) 網路共享。如果這個服務被停止,DDE 網路共享將無法使用。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 一般人好像用不到
類別: Network DDE
建議: 已停用

Network Location Awareness (NLA)

微軟: 收集並存放網路設定和位置訊息,並且在這個訊息變更時知會套用程式。
補充: 如果不使用 ICF ICS 可以關了它
類別: AFD網路支援環境、TCP/IP Procotol DriverInternet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議: 已停用

NT LM Security Support Provider (NTLM
安全性支援提供者)
微軟: 為沒有使用命名管道傳輸的遠端過程呼叫 (RPC) 程式提供安全性。
補充: 如果不使用 Message Queuing 或是 Telnet Server 那就關了它
類別: Telnet
建議: 已停用

Performance Logs and Alerts (
效能記錄檔案及警示)
微軟: 基於事先設定的排程參數,從本機或遠端電腦收集效能資料,然後將資料寫入記錄或東發警訊。如果這個服務被停止,將不會收集效能訊息。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 沒什麼價值的服務
建議: 已停用

Plug and Play

微軟: 啟用電腦以使用者沒有或很少的輸入來識別及適應硬體變更,停止或停用這個服務將導致系統不穩定。
補充: 顧名思義就是 PNP 環境
類別: Logical Disk ManagerLogical Disk Manager Administrative ServiceMessengerSmart CardTelephonyWindows Audio
建議: 自動

Portable Media Serial Number

微軟: Retrieves the serial number of any portable music player connected to your computer
補充: 透過連結電腦重新取得任何音樂撥放序號?沒什麼價值的服務
建議: 已停用



Print Spooler (
列印多任務緩衝處理器)
微軟: 將檔案加載記憶體中以待稍後列印。
補充: 如果沒有印表機,可以關了
類別: Remote Procedure Call (RPC)
建議: 已停用

Protected Storage (
受保護的存放裝置)
微軟: 提供受保護的存放區,來儲存私密金鑰這類敏感資料,防止未授權的服務、處理、或使用者進行存取。
補充: 用來儲存你電腦上密碼的服務,像 Outlook、撥號程式、其它套用程式、主從架構等等
類別: Remote Procedure Call (RPC)
建議: 自動

QoS RSVP (QoS
許可控制,RSVP)
微軟: 提供網路訊號及區域流量控制安裝功能給可識別 QoS 的程式和控制小程式項。
補充: 用來保留 20% 頻寬的服務,如果你的網路卡不支援 802.1p 或在你電腦的網域上沒有 ACS server ,那麼不用多說,關了它
類別: AFD網路支援環境、TCP/IP Procotol DriverRemote Procedure Call (RPC)
建議: 已停用

Remote Access Auto Connection Manager (
遠端訪問自動連結管理員)
微軟: 當程式參照到遠端 DNS NetBIOS 名稱或位址時,建立遠端網路的連結。
補充: 有些 DSL/Cable 提供者,可能需要用此來處理登入程式
類別: Remote Access Connection ManagerTelephony
建議: 手動

Remote Access Connection Manager (
遠端訪問連結管理員)
微軟: 建立網路連結。
補充: 網路連結用
類別: TelephonyInternet Connection Firewall (ICF) / Internet Connection Sharing (ICS)Remote Access Auto Connection Manager
建議: 手動

Remote Desktop Help Session Manager

微軟: 管理並控制遠端協助。如果此服務停止的話,遠端協助將無法使用。停止此服務之前,請先參閱內容對話框中的 [類別性]標籤。
補充: 如上說的管理和控制遠端協助,如果不使用可以關了
類別: Remote Procedure Call (RPC)
建議: Disable

Remote Procedure Call (RPC) (
遠端過程呼叫,RPC)
微軟: 提供結束點對應程式以及其它 RPC 服務。
補充: 一些裝置都類別它,別去動它
類別: 太多了,自己去看看
建議: 自動

Remote Procedure Call (RPC) Locator (
遠端過程呼叫定位程式)
微軟: 管理 RPC 名稱服務資料庫。
補充: 如上說的,一般電腦上很少用到,可以嘗試關了
類別: Workstation
建議: Disable

Remote Registry (
遠端登入服務)
微軟: 啟用遠端使用者修改這個電腦上的登入設定。如果這個服務被停止,登入只能由這個電腦上的使用者修改。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 基於安全性的理由,如果沒有特別的需求,建議最好關了它,除非你需要遠端協助修改你的登入設定
類別: Remote Procedure Call (RPC)
建議: 已停用

Removable Storage (
卸除式存放裝置)
微軟: None
補充: 除非你有 Zip 磁碟磁碟機或是 USB 之類可攜式的硬體或是 Tape 備份裝置,不然可以嘗試關了
類別: Remote Procedure Call (RPC)
建議: Disable

Routing and Remote Access (
路由和遠端訪問)
微軟: 提供連到局域網路及廣域網路的公司的路由服務。
補充: 如上說的,提供撥號連結到區網或是 VPN 服務,一般使用者用不到
類別: Remote Procedure Call (RPC)NetBIOSGroup
建議: 已停用

Secondary Logon

微軟: 啟用在其它認證下的起始程式。如果這個服務被停止,這類的登入存取將無法使用。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 容許多個使用者處理程式,執行分身等
建議: 自動

Security Accounts Manager (
安全性賬戶管理員)
微軟: 儲存本機賬戶的安全性訊息。
補充: 管理賬號和群群群組原則(gpedit.msc)套用
類別: Remote Procedure Call (RPC)Distributed Transaction Coordinator
建議: 自動

Server (
伺服器)
微軟: 透過網路為這台電腦提供檔案、列印、及命名管道的共享。如果停止這個服務,將無法使用這些功能。如果停用這個服務,所有類別於它的服務將無法啟動。
補充: 簡單的說就是檔案和列印的分享,除非你有和其它電腦分享,不然就關了
類別: Computer Browser
建議: 已停用

Shell Hardware Detection

微軟: 為自動播放硬體事件提供知會。
補充: 一般使用在記憶卡或是CD裝置、DVD裝置上
類別: Remote Procedure Call (RPC)
建議: 自動

Smart Card (
智慧卡)
微軟: 管理這個電腦所讀取智慧卡的存取。如果這個服務被停止,這個電腦將無法讀取智慧卡。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 如果你不使用 Smart Card ,那就可以關了
類別: Plug and Play
建議: 已停用

Smart Card Helper (
智慧卡協助程式)
微軟: 啟用對這個電腦使用的舊版非隨插即用智慧卡讀取頭的支援。如果這個服務被停止,這個電腦將不支援舊版讀取頭。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 如果你不使用 Smart Card ,那就可以關了
建議: 已停用

SSDP Discovery Service

微軟: 在您的家用網路上啟用通用隨插即用裝置的搜尋。
補充: 如上說的,通用隨插即用服務 (Universal Plug and Play, UPnP) 讓電腦可以找到並使用網路上的裝置,經由網路連結透過 TCP/IP 來搜尋裝置,像網路上的掃瞄器、數字相機或是印表機,亦即使用 UPnP 的功能,基於安全性沒用到的大可關了
類別: Universal Plug and Play Device Host
建議: 已停用

System Event Notification (
系統事件知會)
微軟: 追蹤諸如 Windows 登入、網路、和電源事件的系統事件。知會這些事件的 COM+ 事件系統訂閱者。
補充: 如上所說的
類別: COM+ Event System
建議: 自動

System Restore Service

微軟: 執行系統復原功能。若要停止服務,從我的電腦->內容,[系統復原] 中關機復原
補充: 將電腦回覆至先前的狀態,不使用就關了
類別: Remote Procedure Call (RPC)
建議: 已停用

Task Scheduler (
工作排程器)
微軟: 讓使用者能夠在這個電腦上設定和排定自動的工作。如果停止這個服務,這些工作在它們排定的時間時將不會執行。如果停用這個服務,任何明確類別於它的服務將無法啟動。
補充: 設定排定自動的工作,像一些定時磁碟掃瞄、病毒定時掃瞄、更新等等
類別: Remote Procedure Call (RPC)
建議: 自動

TCP/IP NetBIOS Helper (TCP/IP NetBIOS
協助程式)
微軟: 啟用 [NetBIOS over TCP/IP (NetBT)] 服務及 NetBIOS 名稱解析的支援。
補充: 如果你的網路不使用 NetBios 或是 WINS ,你大可關閉
類別: AFD 網路支援環境、NetBt
建議: 已停用

Telephony (
電話語音)
微軟: 為本機電腦上及經由局域網路連線到正在執行此服務的伺服器上,控制電話語音裝置和 IP 為主語音連結的程式,提供電話語音 API (TAPI) 支援。
補充: 一般的撥號數據機或是一些 DSL/Cable 可能用到
類別: Plug and PlayRemote Procedure Call (RPC)Remote Access Connection ManagerRemote Access Auto Connection Manager
建議: 手動

Telnet

微軟: 啟用一個遠端使用者來登入到這台電腦和執行套用程式,以及支援各種 TCP/IP Telnet 使用者端,內含以 UNIX 為基本和以 Windows 為基本的電腦。如果服務停止了,遠端使用者可能無法存取套用程式。如果服務停用了,任何明確地類別於這項服務的其它服務將會啟動失敗。
補充: 容許遠端使用者用 Telnet 登入本電腦,一般人會誤解關了就無法使用BBS,這其實和BBS無關,基於安全性的理由,如果沒有特別的需求,建議最好關了
類別: NT LM Security Support ProviderRemote Procedure Call (RPC)TCP/IP Protocol Driver
建議: 已停用

Terminal Services (
終端機服務)
微軟: 容許多位使用者互動連線到同一部電腦、桌面的顯示器及到遠端電腦的套用程式。遠端桌面的加強 (內含系統管理員的 RD)、快速切換使用者、遠端協助和終端機伺服器。
補充: 遠端桌面或是遠端協助的功能,不需要就關了
類別: Remote Procedure Call (RPC)Fast User Switching CompatibilityInteractiveLogon
建議: 已停用

Themes

微軟: 提供使用者經驗主旨管理。
補充: 很多人使用佈景主旨,不過如果沒有使用的人,那就可以關閉
建議: 自動

Uninterruptible Power Supply (
不斷電供電系統)
微軟: 管理連線到這台電腦的不斷電電源供應 (UPS)
補充: 不斷電電源供應 (UPS)一般人有用到嗎?除非你的電源供應器有具備此功能,不然就關了
建議: 已停用

Universal Plug and Play Device Host

微軟: 提供主電腦通用隨插即用裝置的支援。
補充: 用來偵測安裝通用隨插即用服務 (Universal Plug and Play, UPnP)裝置,像是數字相機或印表機
類別: SSDP Discovery Service
建議: 已停用

Volume Shadow Copy

微軟: 管理及執行用於備份和其它目的的磁碟區卷影複製。如果這個服務被停止,卷影複製將無法用於備份,備份可能會失敗。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 如上所說的,用來備份的東西,如 MS Backup 程式就需要這個服務
類別: Remote Procedure Call (RPC)
建議: 已停用

WebClient

微軟: 啟用 Windows 為主的程式來建立、存取,以及修改因特網為主的檔案。如果停止這個服務,這些功能將無法使用。如果停用這個服務,任何明確類別於它的服務將無法啟動。
補充: 使用 WebDAV 將檔案或資料夾上載到所有的 Web 服務,基於安全性的理由,你可以嘗試關閉
類別: WebDav Client Redirector
建議: 已停用

Windows Audio

微軟: 管理用於 Windows 為主程式的音訊裝置。如果這個服務被停止,音訊裝置和效果將無法標準動作。如果這個服務被停用,任何明確類別於它的服務將無法啟動。
補充: 如果你沒有聲卡可以關了他
類別: Plug and PlayRemote Procedure Call (RPC)
建議: 自動

Windows Image Acquisition (WIA) (Windows
影像取得程式)
微軟: 為掃瞄器和數字相機提供影像擷取服務。
補充: 如果掃瞄器和數字相機內定具有支援WIA功能的話,那就可以直接看到圖檔,不需要其它的驅動程式,所以沒有掃瞄器和數字相機的使用者大可關了
類別: Remote Procedure Call (RPC)
建議: 已停用

Windows Installer (Windows
安裝程式)
微軟: 根據內含在 .MSI 檔案內的指示來安裝,修復以及移除軟體。
補充: 是一個系統服務,協助使用者正確地安裝、設定、追蹤、升級和移除軟體程式,可管理套用程式建立和安裝的標準格式,並且追蹤例如檔案群群群組、登入項目及捷徑等元件
類別: Remote Procedure Call (RPC)
建議: 手動

Windows Management Instrumentation (WMI)

微軟: 提供公用接口及對像模型,以存取有關動作系統、裝置、套用程式及服務的管理訊息。如果這個服務已停止,大多數的 Windows 軟體將無法標準?#092;作。如果這個服務已停用,所有類別於它的服務都將無法啟動。
補充: 如上說的,是一種提供一個標準的基礎結構來監視和管理系統資源的服務,由不得你動他
類別: Event LogRemote Procedure Call (RPC)
建議: 自動

Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation
驅動程式延伸)
微軟: 提供系統管理訊息給予/取自驅動程式。
補充: Windows Management Instrumentation 的延伸,提供訊息用的
建議: 手動

Windows Time (Windows
時間設定)
微軟: 維護在網路上所有使用者端及伺服器的資料及時間同步處理。如果這個服務停止,將無法進行日期及時間同步處理。如果這個服務被停用,所有類別的服務都會停止。
補充: 網路對時校準用的,沒必要就關了
建議: 已停用

Wireless Zero Configuration

微軟: 為 802.11 適配卡提供自動設定
補充: 自動群組態無線網路裝置,言下之意就是說,除非你有在使用無線網路適配卡裝置,那麼你才有必要使用這個網路零管理服務
類別: NDIS Usermode I/O ProtocolRemote Procedure Call (RPC)
建議: 已停用

WMI Performance Adapter

微軟: 提供來自 WMIHiPerf 提供者的效能連結庫訊息。
補充: 如上所提
類別: Remote Procedure Call (RPC)
建議: 已停用

Workstation (
工作站)
微軟: 建立並維護到遠端伺服器的使用者端網路連結。如果停止這個服務,這些連結將無法使用。如果停用這個服務,所有類別於它的服務將無法啟動。
補充: 網路連結中所必要的一些功能
類別: AlerterBackground Intelligent Transfer ServiceComputer BrowserMessengerNet LogonRemote Procedure Call (RPC) Locator
建議: 自動