2006年04月29日

           现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料。

     ARP病毒的症状:有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,使用 Arp查询的时候会发现不正常的Mac地址,或者是错误的Mac地址对应,还有就是一个Mac地址对应多个IP的情况也会有出现。

     ARP攻击的原理:ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。
    处理办法:
通用的处理流程:
    1 .先保证网络正常运行
   方法一:编辑个***.bat文件内容如下:
   arp.exe -s **.**.**.**(网关ip) **-**-**-**-**-**(网关mac地址)
   end
  让网络用户点击就可以了!
 办法二:编辑一个注册表问题,键值如下:
 Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mac"="arp -s 网关IP地址 网关Mac地址"
然后保存成Reg文件以后在每个客户端上点击导入注册表。
 2 找到感染ARP病毒的机器。
     一:在电脑上ping一下网关的IP地址,然后使用ARP -a的命令看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。
     二:使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。
     三:使用mac地址扫描工具,nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。    
 预防措施:
 1,及时升级客户端的操作系统和应用程式补丁;
 2,安装和更新杀毒软件。
 4,如果网络规模较少,尽量使用手动指定IP设置,而不是使用DHCP来分配IP地址。
 5,如果交换机支持,在交换机上绑定MAC地址与IP地址。(不过这个实在不是好主意
 

2006年03月29日

         首先我们弄明白什么是远程共享。

  远程共享--通过软件和互联协议实现对远程计算机上某些功能的享用。通俗的讲,就是可以操纵对方的电脑,就想在本地一样使用电脑,这样就可以解决一下通过语言描述所不能解决的问题。

   由于远程协助属于窗口类的功能,所以 QQ 将其启动放在了聊天窗口工具中,点击消息模式中上方的窗口功能,选择“远程协助”。 图1 (如何发起远程共享请求)

  需要说明的是,这里的远程协助是请求性质的。就是说,是您发送请求,需要聊天的对方协助您完成某项任务。在后面的过程中, 对方 可以看到和操控您的电脑。为了更好的演示此功能,我使用对方发送的请求来讲解。

  当对方选择此功能时,界面如下图所示: 图2

  选择“接受”就会在彼此间建立连接,这时在对方的界面上会再次出现确认的信息,确定后窗口会自动变大,己方就可以看到对方的桌面。 图3

  在这张图中我们可以看到,左侧部分是聊天窗口,您的正常交流不受影响;右侧分为对方形象,应用程序共享,我的 QQ秀等部分。“应用程序共享”中显示的就是对方的桌面。测试时,双方同时使用宽带,界面的变换仍有些滞后,但是却十分清晰。另外,我们还同时进行了语音聊天测试,连接十分通畅,这声图并茂的形式就为我们创造了了类似课堂演示一样的环境。

  在对方窗口界面中显示的是实时界面,您甚至可以清楚的看到对方打字的情景,流畅程度取决于图像的质量和网络速度(稍后说明),很是方便。对方此时桌面没有什么大的变化,而在其应用程序共享中有一个状态提示“连接到××”,还有“申请控制”命令(见图 3),当对方选择此功能时,就把桌面的操控权转移到了被请求方。选择后的界面如下:图4

  同意后对方同样有一个确认的过程,同时提示使用快捷键“ Shift ”+“ Ctrl ”停止受控。 图5

  对方同意后,己方就可以对其实行控制,这样就可以帮助对方完成某些任务。需要注意的是,在此状态下,鼠标是唯一可以使用的工具。您可以进行打开文件,单双击图标等操作等等,键盘是没有用处的。下图是我使用自己的鼠标打开对方“应用程序共享”中的“远程协助设置”选项的情景。在这里,我将软件默认的“较低质量”改换成了“较高质量”,色彩改为“ 24位”。确定后,我看到的对方桌面质量马上提高了,除了传输更慢了些没什么其他感觉。图6

  请求控制是自愿的,我不可以主动控制对方,所以我们在使用此功能是要确认对方意图,另外请求控制后己方界面会出现“释放控制”,可以选择它放弃控制权。 图7

  连接完成以后就可以关闭了,这样的好处是远程的用户可以很清楚的了解协助人的所有的操作。

2005年11月05日

          防火墙的分类及特点
  对于市面上种类品牌繁多的防火墙,选购者们是不是会很头疼呢?究竟是看重这个防火墙厂商的知名度还是它的功能?到底国内防火墙好还是国外防火墙更优秀?他们都各自有什么优势呢?
  不同环境的网络,对于防火墙的要求各不一样。比如说IDS功能、VPN功能,对于一些小型的公司来说就不需要这些功能。再比如说流量和性能、处理能力之间的关系,究竟多大规模的网络,多大的流量需要多大的性能和多强的处理能力才算是合适呢?那么就需要选购者对于防火墙的选型方面仔细考虑了。
  首先大概说一下防火墙的分类。就防火墙的组成结构而言,可分为以下三种:
  第一种:软件防火墙
  这里指的是网络版的软件防火墙而不是个人防火墙。个人防火墙在网上有很多可以免费下载的,不需要花钱买。软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。
  第二种:硬件防火墙
  这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。
  第三种:芯片级防火墙
  它们基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了。
  对防火墙的分类有了初步的了解之后,选购者比较关心的就是下面所说的――这三种防火墙各自的优缺点以及这几种防火墙对于不同的网络环境的应用有何不同。弄清楚这些才能对防火墙本身有个比较好的了解,对于选购也是及其有帮助的。
  在防火墙的应用上,除了防火墙的基本功能之外,还根据企业用户的需要添加了许多其他的扩展功能。
  通常有NAT、DNS、VPN、IDS等。由于软件防火墙和硬件防火墙是运行于一定操作系统上的特定软件,所以一些防火墙所需要实现的功能就可以像大家普遍使用的软件一样,分成许多个模块。一些防火墙的厂商也是这样做的,他们将一些扩展的功能划分出来,如果需要使用则另行购买安装。例如IDS功能,有些公司已经购买了专业的IDS产品,那么防火墙上单加了一个IDS的功能则显得有些多余。那么就可以不再购买防火墙中IDS的部分。
  芯片级防火墙的核心部分就是ASIC芯片,所有的功能都集成做在这一块小小的芯片上,可以选择这些功能是否被启用。由于有专用硬件的支持,在性能和处理速度上高出前两种防火墙很多,在拥有全部功能后处理速度还是比较令人满意的。
  大多数人在选购防火墙的时候会着重于这个防火墙相对于其他防火墙都多出什么功能,性能高多少之类的问题。但对于防火墙来说,自身的安全性决定着全网的安全性。
  由于软件防火墙和硬件防火墙的结构是软件运行于一定的操作系统之上,就决定了它的功能是可以随着客户的实际需要而做相应调整的,这一点比较灵活。当然了,在性能上来说,多添加一个扩展功能就会对防火墙处理数据的性能产生影响,添加的扩展功能越多,防火墙的性能就越下降。
  由于前两种防火墙运行于操作系统之后,所以它的安全性很大程度上决定于操作系统自身的安全性。无论是UNIX、Linux、还是FreeBSD系统,它们都会有或多或少的漏洞,一旦被人取得了控制权,整个内网的安全性也就无从谈起了,黑客可以随意修改防火墙上的策略和访问权限,进入内网进行任意破坏。由于芯片级防火墙不存在这个问题,自身有很好的安全保护,所以较其他类型的防火墙安全性高一些。
  芯片级防火墙专有的ASIC芯片,促使它们比其他种类的防火墙速度更快,处理能力更强。专用硬件和软件强大的结合提供了线速处理深层次信息包检查、坚固的加密、复杂内容和行为扫描功能的优化。不会在网络流量的处理上出现瓶颈。
  防毒对于一个企业来说也是必不可少的。芯片级防火墙的后起之秀Fortinet就可以在网关处结合FortiContent技术为各种网络数据交易和企业网络进行高级别的病毒安全防护,保护内部网络的安全。大部分防火墙都可以与防病毒软件搭配实现扫毒功能,而扫毒功能通常是由其他的server来实现处理的。如此互动,与在防火墙在进行流量处理的同时就完成的扫毒功能相比自然是差了许多。
  在小型且不需要其他特殊功能的网络来说,硬件防火墙无非是比较好的选择。由于不需要扩展功能,或者扩展功能用的比较少,另行购买的模块就少,在价格上和使用方面就比芯片级要合算。
  在了解了防火的种类以及它们各自的优缺点之后,在具体进行选购时,还应该就每台防火墙的各项参数指示进行对比,从众多的型号中选出真正适合自己企业的防火墙,这将是我们下一部分所要讲述的内容。
防火墙选型中的关键――参数详解
  在防火墙的选型中离不开那些参数,而搞懂那些参数意味着选购者能买到一款称心如意的防火墙。
  并发会话数
并发会话连接数指的是防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点会话连接的最大数目,它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数。
  大多数人也许不明白,普通会话数会有几千到几十万不等,那么是不是内网中的机器数量跟会话数有直接联系呢?想到这里,其实答案马上就能出来了。举例说明,一个并发会话数代表一台机器打开的一个窗口或者一个页面。那么内网中一台机器同时开很多页面,并且聊天工具或者网络游戏同时进行着,那么这一台机器占用的会话数就会有几十到几百不等。内网中同时在线的机器数量越多,需要的会话数就越多。所以,根据防火墙的型号不同,型号越大,并发会话数就会越多。
  在一些防火墙中还有另外一个概念,那就是每秒新建会话数。假设在第一时间,已经占用了防火墙的全部会话数,在下一秒,就要等待防火墙处理完之前不需要的会话数才能让需要的人继续使用剩余的会话数。那么这个每秒新增会话数就很重要了。如果每秒新增会话数不够的话,剩下的人就要等待有新的会话数出来。那么就会体现为上网速度很慢。了解了这一情况,选购者就不会承担这个防火墙导致网速变慢的黑锅了。
  性能
  防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位。从几十兆到几百兆不等,千兆防火墙还会达到几个G的性能。关于性能的比较,参看防火墙的彩页介绍就可以比较的出来,比较明了。
  工作模式
  目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NAT模式还有透明模式。
  透明模式时,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第2层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0,防火墙对于用户来说是可视或"透明"的。
  处于"网络地址转换(NAT)"模式下时,防火墙的作用与Layer 3(第3层)交换机(或路由器)相似,将绑定到外网区段的IP封包包头中的两个组件进行转换:其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外,它用另一个防火墙生成的任意端口号替换源端口号。
  路由模式时,防火墙在不同区段间转发信息流时不执行NAT;即,当信息流穿过防火墙时,IP封包包头中的源地址和端口号保持不变。与NAT不同,不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同,内网区段中的接口和外网区段中的接口在不同的子网中。
  管理界面
  管理一个防火墙的方法一般来说是两种:图形化界面(GUI)和命令行界面(CLI)。
  图形界面最常见的方式是通过web方式(包括http和https)和java等程序编写的界面进行远程管理;命令行界面一般是通过console口或者telnet/ssh进行远程管理。
  接口
  防火墙的接口也分为以太网口(10M)、快速以太网口(10/100M)、千兆以太网口(光纤接口)三种类型。防火墙一般都预先设有具有内网口、外网口和DMZ区接口和默认规则,有的防火墙也预留了其它接口用于用户自定义其它的独立保护区域。防火墙上的RS232 Console口主要用于初始化防火墙时的进行基本的配置或用于系统维护。另外有的防火墙还有可能提供PCMCIA插槽、IDS镜像口、高可用性接口(HA)等,这些是根据防火墙的功能来决定的。
  策略设置
  防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表(区段间策略、内部区段策略和全局策略)产生的信息流。
  策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开,以及它们进入和离开的时间和地点。
  简单的说,防火墙应该具有灵活的策略设置,针对源和目的IP地址、网络服务以及时间几个方面实施不同的安全策略。
  内容过滤
  面对当前互联网上的各种有害信息,有的防火墙还增加了URL阻断、关键词检查、Java Apple、ActiveX和恶意脚本过滤等。
  入侵检测
  黑客普通攻击的实时检测。实时防护来自IP Source Routing、IP Spoofing、SYN flood、ICMP flood、UDP flood、Address sweep、Tear drop attack、Winnuke attack、Port Scan Attack、Ping of Death、Land attack、拒绝服务和许多其他的攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。
  用户认证
  完善的用户认证机制,可以指定内部用户必须经过认证,方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动,可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多数认证方式。
  对于内部网络的安全又多了一层保障。
  虚拟专用网VPN
  在网络之间或网络与客户端之间进行安全通讯。可以支持的最大VPN数目,支持的加密方式(手工密钥、IKE、PKI、DES、3DES和AES加密等),是否支持完全的正反向加密,是否有冗余的VPN网关。
  一般异地办公的网络都会注意这点。尤其是加密方式。不过硬的加密方式会导致黑客窃取机密文件等。所以加密的方式越高级越好。
  日志/监控
  防火墙对受到的攻击和通过防火墙的请求应具有完备的日志功能,包括安全日志、时间日志和传输日志。最好可以通过同步分析软件同步到指定主机上,实现对日志的详尽审计。
  高可用性
  提高可*性和负载分配。HA端口:专用于两点间通讯连接。分两种工作方式:一是两台防火墙同时工作,共同负担网络流量,在其中一台防火墙中断的同时,另外一台自动接管所有任务,保证不会发生网络中断;另外一种是在同一时间只使用其中一台防火墙,当其不能正常工作时,另外一台防火墙立刻接管当前的防火墙,不会造成网络中断。
  写在最后
  掌握了文章中提到的这些关键性要素对于选购防火墙的标准相信就可以有一个明确的概念了,也希望能通过本文帮助您选购到称心的防火墙产品!
     有一些问题常令用户困惑:在产品的功能上,各个厂商的描述十分雷同,一些“后起之秀”与知名品牌极其相似。面对这种情况,该如何鉴别?
  描述得十分类似的产品,即使是同一个功能,在具体实现上、在可用性和易用性上,个体差异地十分明显。
  一、网络层的访问控制
  所有防火墙都必须具备此项功能,否则就不能称其为防火墙。当然,大多数的路由器也可以通过自身的ACL来实现此功能。
  1.规则编辑
  对网络层的访问控制主要表现在防火墙的规则编辑上,我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则,是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?
  2.IP/MAC地址绑定
  同样是IP/MAC地址绑定功能,有一些细节必须考察,如防火墙能否实现IP地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用,如果防火墙不能提供IP地址和MAC地址的自动搜集,网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址,这将是一件非常乏味的工作。
  3、NAT(网络地址转换)
  这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能,各厂家实现的差异非常大,许多厂家实现NAT功能存在很大的问题:难于配置和使用,这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理,提高自身的网络知识水平,通过分析比较,找到一种在NAT配置和使用上简单处理的防火墙。
  二、应用层的访问控制
  这一功能是各个防火墙厂商的实力比拼点,也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测),但是对应用层的控制却无法实现“拿来主义”,需要实实在在的编程。
  对应用层的控制上,在选择防火墙时可以考察以下几点。
  1.是否提供HTTP协议的内容过滤?
  目前企业网络环境中,最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。
  2.是否提供SMTP协议的内容过滤?
  对电子邮件的攻击越来越多:邮件炸弹、邮件病毒、泄漏机密信息等等,能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。
  2. 是否提供FTP协议的内容过滤?
  在考察这一功能时一定要细心加小心,很多厂家的防火墙都宣传说具备FTP的内容过滤,但细心对比就会发现,其中绝大多数仅实现了FTP协议中两个命令的控制:PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制,包括CD、LS等,要提供基于命令级控制,实现对目录和文件的访问控制,全部过滤均支持通配符。
  三、管理和认证
  这是防火墙非常重要的功能。目前,防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。
  各种管理方式中,基于命令行的CLI方式最不适合防火墙。
  WUI和GUI的管理方式各有优缺点。
  WUI的管理方式简单,不用专门的管理软件,只要配备浏览器就行;同时,WUI的管理界面非常适合远程管理,只要防火墙配置一个可达的IP,可实现在美国管理位于中国分公司的防火墙。
  WUI形式的防火墙也有缺点:首先,WEB界面非常不适合进行复杂、动态的页面显示,一般的WUI界面很难显示丰富的统计图表,所以对于审计、统计功能要求比较苛刻的用户,尽量不要选择WUI方式;另外,它将导致防火墙管理安全威胁增大,如果用户在家里通过浏览器管理位于公司的防火墙,信任关系仅仅依赖于一个简单的用户名和口令,黑客很容易猜测到口令,这增加了安全威胁。
  GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业,可以提供丰富的管理功能,便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件,同时在远程和集中管理方面没有WUI管理方式灵活。
四、审计和日志以及存储方式
  目前绝大多数防火墙都提供了审计和日志功能,区别是审计的粒度粗细不同、日志的存储方式和存储量不同。
  很多防火墙的审计和日志功能很弱,这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显,有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能,就需要考察防火墙的存储方式,如果是DOM、DOC等Flash电子盘的存储方式,将可能限制审计和日志的功能效果。
  目前绝大多数防火墙审计日志采用硬盘存储的方式,这种方式的优点是可以存储大量的日志(几个G到几十个G),但是在某些极端的情况下,如异常掉电,硬盘受到的损坏往往要比电子盘的损坏严重。
  好的防火墙应该提供多种存储方式,便于用户灵活选择和使用。
  五、如何区分包过滤和状态监测
  一些小公司为了推销自己的防火墙产品,往往宣称采用的是状态监测技术; 从表面上看,我们往往容易被迷惑。这里给出区分这两种技术的小技巧。
  1. 是否提供实时连接状态查看?
  状态监测防火墙可以提供查看当前连接状态的功能和界面,并且可以实时断掉当前连接,这个连接应该具有丰富的信息,包括连接双方的IP、端口、连接状态、连接时间等等,而简单包过滤却不具备这项功能。
  2. 是否具备动态规则库?
  某些应用协议不仅仅使用一个连接和一个端口,往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议,用户命令是通过对21端口的连接传输,而数据则通过另一个临时建立的连接(缺省的源端口是20,在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用,包过滤防火墙很难简单设定一条安全规则,往往不得不开放所有源端口为20的访问。
  状态监测防火墙则可以支持动态规则,通过跟踪应用层会话的过程自动允许合法的连接进入,禁止其他不符合会话状态的连接请求。对于FTP来说,只需防火墙中设定一条对21端口的访问规则,就可以保证FTP传输的正常,包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单,同时消除了必须开放所有20端口的危险。

2005年10月29日

        vi编辑器是所有Unix及Linux系统下标准的编辑器,它的强大不逊色于任何最新的文本编辑器,这里只是简单地介绍一下它的用法和一小部分指令。由于对Unix及Linux系统的任何版本,vi编辑器是完全相同的,因此您可以在其他任何介绍vi的地方进一步了解它。Vi也是Linux中最基本的文本编辑器,学会它后,您将在Linux的世界里畅行无阻。
1、vi的基本概念
  基本上vi可以分为三种状态,分别是命令模式(command mode)、插入模式(Insert mode)和底行模式(last line mode),各模式的功能区分如下:
    1) 命令行模式command mode)
  控制屏幕光标的移动,字符、字或行的删除,移动复制某区段及进入Insert mode下,或者到 last line mode。
    2) 插入模式(Insert mode)
  只有在Insert mode下,才可以做文字输入,按「ESC」键可回到命令行模式。
    3) 底行模式(last line mode)
  将文件保存或退出vi,也可以设置编辑环境,如寻找字符串、列出行号……等。
 
    不过一般我们在使用时把vi简化成两个模式,就是将底行模式(last line mode)也算入命令行模式command mode)。
2、vi的基本操作
a) 进入vi
    在系统提示符号输入vi及文件名称后,就进入vi全屏幕编辑画面:
   $ vi myfile
  不过有一点要特别注意,就是您进入vi之后,是处于「命令行模式(command mode)」,您要切换到「插入模式(Insert mode)」才能够输入文字。初次使用vi的人都会想先用上下左右键移动光标,结果电脑一直哔哔叫,把自己气个半死,所以进入vi后,先不要乱动,转换到「插入模式(Insert mode)」再说吧!
 
b) 切换至插入模式(Insert mode)编辑文件
  在「命令行模式(command mode)」下按一下字母「i」就可以进入「插入模式(Insert mode)」,这时候你就可以开始输入文字了。
 
c) Insert 的切换
  您目前处于「插入模式(Insert mode)」,您就只能一直输入文字,如果您发现输错了字!想用光标键往回移动,将该字删除,就要先按一下「ESC」键转到「命令行模式(command mode)」再删除文字。
 
d) 退出vi及保存文件
  在「命令行模式(command mode)」下,按一下「:」冒号键进入「Last line mode」,例如:
: w filename (输入 「w filename」将文章以指定的文件名filename保存)
: wq (输入「wq」,存盘并退出vi)
: q! (输入q!, 不存盘强制退出vi)

3、命令行模式(command mode)功能键
1). 插入模式
       按「i」切换进入插入模式「insert mode」,按"i"进入插入模式后是从光标当前位置开始输入文件;
  按「a」进入插入模式后,是从目前光标所在位置的下一个位置开始输入文字;
  按「o」进入插入模式后,是插入新的一行,从行首开始输入文字。
 
2). 从插入模式切换为命令行模式
      按「ESC」键。
 
3). 移动光标
  vi可以直接用键盘上的光标来上下左右移动,但正规的vi是用小写英文字母「h」、「j」、「k」、「l」,分别控制光标左、下、上、右移一格。
  按「ctrl」+「b」:屏幕往"后"移动一页。
  按「ctrl」+「f」:屏幕往"前"移动一页。
  按「ctrl」+「u」:屏幕往"后"移动半页。
  按「ctrl」+「d」:屏幕往"前"移动半页。
  按数字「0」:移到文章的开头。
  按「G」:移动到文章的最后。
  按「$」:移动到光标所在行的"行尾"。
  按「^」:移动到光标所在行的"行首"
  按「w」:光标跳到下个字的开头
  按「e」:光标跳到下个字的字尾
  按「b」:光标回到上个字的开头
  按「#l」:光标移到该行的第#个位置,如:5l,56l。
 
4). 删除文字
  「x」:每按一次,删除光标所在位置的"后面"一个字符。
  「#x」:例如,「6x」表示删除光标所在位置的"后面"6个字符。
  「X」:大写的X,每按一次,删除光标所在位置的"前面"一个字符。
  「#X」:例如,「20X」表示删除光标所在位置的"前面"20个字符。
  「dd」:删除光标所在行。
  「#dd」:从光标所在行开始删除#行
 
5). 复制
  「yw」:将光标所在之处到字尾的字符复制到缓冲区中。
  「#yw」:复制#个字到缓冲区
  「yy」:复制光标所在行到缓冲区。
  「#yy」:例如,「6yy」表示拷贝从光标所在的该行"往下数"6行文字。
  「p」:将缓冲区内的字符贴到光标所在位置。注意:所有与"y"有关的复制命令都必须与"p"配合才能完成复制与粘贴功能。
 
6). 替换
  「r」:替换光标所在处的字符。
  「R」:替换光标所到之处的字符,直到按下「ESC」键为止。
 
7). 回复上一次操作
  「u」:如果您误执行一个命令,可以马上按下「u」,回到上一个操作。按多次"u"可以执行多次回复。
 
8). 更改
  「cw」:更改光标所在处的字到字尾处
  「c#w」:例如,「c3w」表示更改3个字
 
9). 跳至指定的行
  「ctrl」+「g」列出光标所在行的行号。
  「#G」:例如,「15G」,表示移动光标至文章的第15行行首。

4、Last line mode下命令简介
  在使用「last line mode」之前,请记住先按「ESC」键确定您已经处于「command mode」下后,再按「:」冒号即可进入「last line mode」。

A) 列出行号

 「set nu」:输入「set nu」后,会在文件中的每一行前面列出行号。

B) 跳到文件中的某一行

 「#」:「#」号表示一个数字,在冒号后输入一个数字,再按回车键就会跳到该行了,如输入数字15,再回车,就会跳到文章的第15行。

C) 查找字符

 「/关键字」:先按「/」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直按「n」会往后寻找到您要的关键字为止。

 「?关键字」:先按「?」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直按「n」会往前寻找到您要的关键字为止。

D) 保存文件

 「w」:在冒号输入字母「w」就可以将文件保存起来。

E) 离开vi

 「q」:按「q」就是退出,如果无法离开vi,可以在「q」后跟一个「!」强制离开vi。

 「qw」:一般建议离开时,搭配「w」一起使用,这样在退出的时候还可以保存文件。

5、vi命令列表
1、下表列出命令模式下的一些键的功能:

h
左移光标一个字符

l
右移光标一个字符

k
光标上移一行

j
光标下移一行

^
光标移动至行首

0
数字"0",光标移至文章的开头

G
光标移至文章的最后

$
光标移动至行尾

Ctrl+f
向前翻屏

Ctrl+b
向后翻屏

Ctrl+d
向前翻半屏

Ctrl+u
向后翻半屏

i
在光标位置前插入字符

a
在光标所在位置的后一个字符开始增加

o
插入新的一行,从行首开始输入

ESC
从输入状态退至命令状态

x
删除光标后面的字符

#x
删除光标后的#个字符

X
(大写X),删除光标前面的字符

#X
删除光标前面的#个字符

dd
删除光标所在的行

#dd
删除从光标所在行数的#行

yw
复制光标所在位置的一个字

#yw
复制光标所在位置的#个字

yy
复制光标所在位置的一行

#yy
复制从光标所在行数的#行

p
粘贴

u
取消操作

cw
更改光标所在位置的一个字

#cw
更改光标所在位置的#个字


2、下表列出行命令模式下的一些指令
w filename
储存正在编辑的文件为filename

wq filename
储存正在编辑的文件为filename,并退出vi

q!
放弃所有修改,退出vi

set nu
显示行号

/或?
查找,在/后输入要查找的内容

n
与/或?一起使用,如果查找的内容不是想要找的关键字,按n或向后(与/联用)或向前(与?联用)继续查找,直到找到为止。


对于第一次用vi,有几点注意要提醒一下:
1、用vi打开文件后,是处于「命令行模式(command mode)」,您要切换到「插入模式(Insert mode)」才能够输入文字。切换方法:在「命令行模式(command mode)」下按一下字母「i」就可以进入「插入模式(Insert mode)」,这时候你就可以开始输入文字了。
2、编辑好后,需从插入模式切换为命令行模式才能对文件进行保存,切换方法:按「ESC」键。
3、保存并退出文件:在命令模式下输入:wq即可!(别忘了wq前面的:)

2005年10月16日

      今天本来想转贴一个关于系统被入侵以后的处理,后来发现转贴不是很合理,所以就放弃了,等仔细研究一下再写一个新的帖子上来了。

2005年08月31日

       今天收到一封邮件内容如下:

       尊敬的用户 :

您好!
您申诉的QQ号码 [3000565] 成功通过审核,请点击以下链接查看密码保护资料 :

http://service.qq.com/psw/qq.shtml?3000565
登陆确认码 FTkk56985YKJSJHm

建议您尽快点击以上链接,重新设定新的密码(点击QQ面板左下方"QQ2003或2004"主菜单,选择"个人设定",在"网络安全"页面中修改当前密码).

1 .密码保护资料非常重要,请您一定要牢记,只要您申请过并且能够记住自己的密码保护资料, 即使号码再次被盗,您只要登录以下网址就可以轻松取回密码:http://service.qq.com/psw/mo.shtml?psw_cs.htm

2 .我们向您推荐更安全的超强号码保护功能,用手机开通QQ会员即可独享手机取回密码、手机锁定号码、密码修改手机通知功能。开通方法:手机发送55到1700(移 动)/9777(/联通),或者小灵通发送55到1700(电信)/17000(/网通)快速开通QQ会员(资费10元/月)。如果您已经用手机或小灵通开通了QQ会员,发送手机短信16到1700 (移动)/9777(/联通),或小灵通发送16到1700(电信)/17000(/网通)即可立即取回QQ密码。详情请见 http://club.qq.com/incre/incre_csmm.shtml 。

3 .如果您想修改当前密码保护资料,您可以登录以下网址操作:http://service.qq.com/psw/mo.shtml?psw_mdf.htm

4. 申诉证实后对应QQ号码中的相关五项业务会被取消:绑定QQ、QQ加油站、QQ交友、短信超人、QQ蜜语。如果您需要开通,可以重新在网页上进行相关操作。 感谢您使用腾讯服务,有任何问题您都可以登录
http://service.qq.com/与我们的客服中心联系.谢谢

qq.com 腾讯公司1998-2005
客户服务热线:0755-83765566 (24小时全天候为您服务)

       看了邮件就是有点纳闷,腾讯有这么好心?送一个这么好的QQ号码给我,内容看来都像是真的,呵呵,于是把连接复制到浏览器地址栏,结果打不开哦,后来查看邮件源代码看到的地址是:

         <a target="_blank" href="http://www.lumix.cn">http://service.qq.com/psw/qq.shtml?3000565</a>

         原来是一个网站的宣传,广告宣传无可厚非,不过通过这种欺诈的方式就有点让人不理解了,可能会暂时提高网站的浏览人数,但是结果会遭到大多数人的唾弃。

2005年08月25日

     How to defragment with the Eseutil utility (Eseutil.exe)

      http://support.microsoft.com/kb/192185/

    Exchange 2000 Server Eseutil 命令行开关

   http://support.microsoft.com/kb/317014/

   虚拟内存碎片的检测和EXCHANGE的内存优化

   http://www.5dmail.net/./html/2004-7-7/200477192750.htm

   MS Exchange Server 和 Outlook:优化邮件客户端性能     http://www.microsoft.com/china/technet/archives/exchange/technote/optimsg.asp

  

2005年08月12日

        在上网的时候看到一篇与QQ有关系的诈骗方式,特意转发,希望能够让更多的人了解这种方式,增加戒备的能力。

        http://it.sohu.com/20050812/n240247288.shtml

         一般人对QQ在使用上安全意识比较淡薄,所以经常会出现一些问题,容易帐号被盗,帐号被盗以后就会被别有用心的人拿来行骗。

         所以在遇到QQ好有借钱的时候还是需要多多通过其他的方式联系核实比较好。

2005年07月01日

       

今天又在在网上看到一篇有关网上银行安全的文章。自己在CISSP考试以前就有打算做一篇各家网上银行针对立身行事很重要的银子的安全所采取的安全措施深度分析文章,结果考试虽然结束了,但是因为考试积累了一堆的工作却也让自己忙得团团转。今天就看到的这篇文章说一点相关的话题。

文章的连接:

http://it.sohu.com/20050628/n240131956.shtml

随着网上银行使用越来越广泛,网上银行的安全就是一个很关键的问题,毕竟金钱是非常重要的一个东西,随着网上银行给我们这个社会带来很多便利性的同时,通过网上银行来非法获取金钱的案例也就越来越多。这个方面需要银行和用户双方来努力才能有效地减少风险。

就上面的案例所发生的事情来说, 丁先生没有注册过网上银行服务,所以不存在黑客通过网上获取 丁先生网上银行帐号和密码的可能。而且我对工商银行的网上银行注册流程也比较熟悉,第一次注册需要填写身份证号码,账号和帐号密码。所以应该是熟悉 丁先生的人并且有机会接触到这三个东西才有可能完成网上银行的注册,以前工商银行大众版并不具备支付能力,但是在出现诸如淘宝的支付宝和Ebay的安付通之后,大众版就具备网上支付能力了。并且使用了两级密码体系。 丁先生的情况可以通过立案来跟踪网上交易的记录以及网上交易的货物送达地址来找到嫌疑人。

看过多家银行提供的网上银行服务,各有千秋,其中感觉比较有特色的就是建行的在输入密码的时候提供一个动态键盘,通过鼠标来输入密码,这样就可以减少被木马通过监控键盘输入的方式来获取密码。浦发银行则在第一次注册以后使用了客户号的方式来取代每次输入帐号的方式,增加了恶意木马获取用户银行帐号的难度。招商银行虽然是国内网上银行起步比较早的银行,但是安全措施方面个人感觉比较简陋。

目前网上银行在发生客户钱款被盗用的时候,往往都是采取对自身有利的条款而将责任归于用户。所以用户做好或者了解更多的安全常识和措施就显得尤为重要了。

1,              保管好帐号和密码,尽量不要使用与自己生日有关的数字作为密码或者过于简单的密码,使用复杂的字母大小写和数字以及特殊符号混和的方式设置密码。

2,              使用网上银行的时候,尽量选择使用证书的方式,这个只需下载并安装一份证书,跑一次银行和银行签署一份协议就可以搞定。不过这个更多的时候需要懂计算机方面的朋友来协助,使用这种方式可以最大程度的保证网上银行的安全。

3,              不要在网吧或者公共场合的电脑登陆网上银行。

4,              做好计算机的安全防范,安装计算机防毒软件或者防火墙,并定期升级,减少被植入木马或者病毒而发生帐号和密码被盗取的机会。

5,              不要被网络钓鱼所迷惑,银行一般不会发什么抽奖或者更改密码的邮件给用户,这些基本上都是网络钓鱼的手法诱骗用户帐号和密码,最重要的一点就是,银行要把钱打入用户帐号根本不需要用户输入密码的。

6,              使用分离的密码措施,卡或存折的实际密码不要和网上银行所使用的密码一样。

7,              记住网上银行的网址,只在确认是正确的网上银行输入帐号或者密码。

              

 

 

     附注:

各个网上银行的网址

中国建设银行: www.ccb.cn

中国工商银行: www.icbc.com.cn

中国农业银行: http://www.95599.cn/

中国银行    http://www.bank-of-china.com

招商银行    www.cmbchina.com

浦东发展银行: http://www.spdb.com.cn

           交通银行    http://www.bankcomm.com

2005年06月30日

      

今天之所以贴出这篇文章来,就是在网上看到一个朋友的教材,说是可以通过特殊的方法来实现windows自启动程序在注册表中实现隐身,也就是程序可以随系统自动启动,但是在注册表中找不到他存在的位置,当时也是玩隐身。当时很好奇,看完以后发现他是通过组策略来实现的,按照windows的特点,组策略修改以后,还是会被写入注册表,绝对不会找不到他的。按照他所提供的修改办法简单测试一下就会跟踪到该项是写入注册表:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun 项下。

    该朋友使用组策略添加自启动程序的方法见图:

  

     Windows启动时通常会有一大堆程序自动启动。不要以为管好了“开始→程序→启动”菜单就万事大吉, 实际上,在Windows XP/2K中,让Windows自动启动程序的办法很多,下文告诉你最重要的两个文件夹和八个注册键。 通过了解自启动程序可能存在的位置,对手工铲除木马和病毒有很大的帮助。

  一、当前用户专有的启动文件夹

  这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings<用户名字>\“开始”菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。

  二、对所有用户有效的启动文件夹

  这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and SettingsAll Users\“开始”菜单\程序\启动。

  三、Load注册键

  介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload

  四、Userinit注册键

  位置:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,如图,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe(不含引号)

  五、ExplorerRun注册键

  和loadUserinit不同,ExplorerRun键在HKEY_CURRENT_USERHKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun

  六、RunServicesOnce注册键

  RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce

  七、RunServices注册键

  RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

  八、RunOnceSetup注册键

  RunOnceSetup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceSetup

  九、RunOnce注册键

  安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx

  十、Run注册键

  Run是自动运行程序最常用的注册键,位置在:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。