第13章 计算机常见安全故障诊断与排除

第13章计算机常见安全故障诊断与排除第13章计算机常见安全故障诊断与排除在使用计算机的时候，常常会遇到一些与安全相关的问题或故障，从而影响对计算机的使用，因此这些安全故障诊断与排除就显得尤为重要了，本章从常用的计算机命令入手，介绍怎样采用一些DOS命令来对信息系统常见的安全故障进行诊断与排除方法，最后还介绍了一些Windows操作系统下常见的安全故障与排除方法。第13章计算机常见安全故障诊断与排除13.1常用网络命令Windows是从简单的DOS字符界面发展过来，虽然平时在使用Windows操作系统的时候，主要是对图形界面进行操作，但是DOS命令仍然非常有用，特别是在计算机安全故障诊断与排除过程中，这些命令就显得更为重要了。第13章计算机常见安全故障诊断与排除13.1常用网络命令Windows是从简单的DOS字符界面发展过来的。虽然平时在使用Windows操作系统的时候，主要是对图形界面进行操作，但是DOS命令仍然非常有用，特别是在计算机安全故障诊断与排除过程中，这些命令就显得更为重要的，下面介绍这些命令的作用。第13章计算机常见安全故障诊断与排除13.1.1ping命令ping是个使用频率很高的命令，用于确定本地主机是否能与另一台主机进行交换数据报。根据返回的信息就可以推断TCP/IP参数是否设置得正确而且运行是否正常，需要注意的是，成功地与另一台主机进行一次或两次数据报交换并不表示TCP/IP配置是否正确的，必须执行大量的本地主机与远程主机的数据报交换，才能确信TCP/IP正确性。第13章计算机常见安全故障诊断与排除Ping就是一个测试程序，如果ping运行正常，大体上就可以排除网络层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障，从而减小了问题的范围，但由于可以自定义所发数据报的大小及无休止的高速发送，ping也被某些别有用心的人作为DDoS的工具。第13章计算机常见安全故障诊断与排除按照缺省设备，Windows上运行的ping命令发送4个ICMP回送请求，每个32B数据，如果一切正常，应得到4个回送应答，ping能够以ms为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络连接速度比较快。Ping还能显示TTL值值，可以通过TTL值推算一下数据包已经通过了多少个路由器，源地点TTL起始值是比返回TTL略大的一个2的乘方数减去返回时TTL值。第13章计算机常见安全故障诊断与排除1.通过ping检测网络故障的典型次序（1）ping127.0.0.1（2）ping本机IP（3）ping局域网内其他IP（4）ping网管IP（5）ping远程IP（6）pinglocalhost（7）ping章计算机常见安全故障诊断与排除2.ping命令的常用参数选项（1）pingIP-t（2）pingIP-l3000（3）pingIP-n第13章计算机常见安全故障诊断与排除13.1.2ipconfig命令ipconfig使用程序和它的等价图形用户界面Ipconfig最常用的参数如下：（1）ipconfig（2）ipconfig/all（3）ipconfig/release和ipconfig/renew第13章计算机常见安全故障诊断与排除13.1.3netstatnetstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。1.netstat的一些常用参数netstat-snetstat-enetstat-rnetstat-qnetstat-n2.netstat的妙用第13章计算机常见安全故障诊断与排除13.1.4arp命令arp是地址转换协议的意思，它也是一个重要的命令，用于确定对应IP地址的网卡物理地址。用arp命令，能够查看本地计算机或另一台计算机的arp高速缓冲中的当前内容。使用arp命令，也可以用人工方式输入静态的网卡物理/IP地址对，可能会使用这种方式为默认网关和本地服务器等常用主机进行这项工作，有助于减少网络上的信息量。第13章计算机常见安全故障诊断与排除Arp常用命令参数如下：（1）arp-a或arp-g（2）arp-aIP（3）arp-sIP物理地址（4）arp-dIP第13章计算机常见安全故障诊断与排除13.1.5net命令1.NetView2.NetUser3.NetUse4.NetTime5.NetStart6.NetPause7.NetContinue第13章计算机常见安全故障诊断与排除8.NetStop9.NetStatistics10.Netshare11.NetSession12.NetSend13.NetPrint14.NetName15.NetLocalgroup第13章计算机常见安全故障诊断与排除16.NetGroup17.NetFile18.NetConfig19.NetComputer20.NetAccounts第13章计算机常见安全故障诊断与排除13.1.6at命令at命令是Windows系列操作系统下中内置的命令，它也可以媲美Windows中的“计划任务”，而且在计划的安排、任务的管理、工作事务的处理方面，at命令具有更强大更神通的功能。第13章计算机常见安全故障诊断与排除1.定时关机2.定时提醒3.自动运行批处理文件4.取消已经安排的计划第13章计算机常见安全故障诊断与排除13.1.7tracert命令如果有网络连通性问题，可以使用tracert命令来检查到达的目标IP地址的路径并记录结果。Tracert命令显示用于将数据包从计算机传递到目标位置的一组IP路由器，以及每个跃点所需的时间。如果数据包不能传递到目标，tracert命令将显示成功转发数据包的最后一个路由器。第13章计算机常见安全故障诊断与排除13.1.8route命令大多数主机一般都是驻留在只连接一台路由器的网段上，由于只有一台路由器，因此不存在使用哪一台服务器将数据报发送到远程计算机去的问题，该路由器的I怕地址可作为该网段上的所有计算机的默认网关来输入。（1）routeprint（2）routeadd（3）routechange（4）routedelete第13章计算机常见安全故障诊断与排除13.1.9nbtstat命令使用nbtstat命令释放和刷新NetBIOS名称。NBTStat（TCP/IP上的NetBIOS统计数据）使用程序用于提供关于NetBIOS的统计数据。运行NetBIOS，可以查看本地计算机或远程计算机上的NetBIOS名字表格。Nbstat命令的常用参数：（1）nbtstat-n（2）nbtstat-c（3）nbtstat-r（4）nbtstat-aIP（5）nbtatat-sIP第13章计算机常见安全故障诊断与排除13.2Runauto病毒文件夹不能删除问题经常在计算机硬盘里会发现名为“runauto”的一个文件夹，在正常模式或安全模式下都无法删除，粉碎也不可以。其实这个文件夹是在MS-DOS下建立的，其真实名称应为“runauto…、”，最后面多了一个反斜杠“\”。删除办法：以D盘为例，在桌面点击“开始”、“运行”，输入“cmd”，在输入“D”，“输入”rd/s/qrunauto…\”，就可以了。第13章计算机常见安全故障诊断与排除13.3WindowsXP内存出错的排除在使用WindowsXP计算机里面应用程序的时候，经常会出现程序错误或内存错误等现象。出现这种错误的时候，有可能是WindowsXP下的内存DEP保护所引起的。WindowsXP下的内存DEP保护是为了防止内存缓冲溢出等现象而设置的。第13章计算机常见安全故障诊断与排除解决方法：在桌面上点击“开始”，右击“我的电脑”，选择“属性”，选择高级标签，再单击“设置”。在这个界面单击“添加”，只要将相应问题的可执行文件加到DEP列表里面就行了。第13章计算机常见安全故障诊断与排除13.4IE5.0不能升级到IE6.0问题在使用Windows2000操作系统下某些软件的时候，经常系统提示需要IE6.0以上版本的浏览器才能正常运行，而很多时候，在安全IE6.0的时候，安装不上。系统提示“以前的安装有尚未完成的操作，需要重新启动。建议在运行InternetExplorer安装程序之前重新启动计算机。第13章计算机常见安全故障诊断与排除第1步：”控制面板”→“管理工具”→“服务”，找到“WindowsInstaller”服务禁用它。第2步：删除注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SessionMessager下的PendingFileRenameOperations。第3步：重新启动计算机，再安装IE6.0，安装完成后，重新启动计算机，就恩那个使用IE6.0，至此问题就解决了。第13章计算机常见安全故障诊断与排除13.5U盘病毒及其解决方案U盘是目前使用最为广泛的移动存储器，它有体积小，重量轻，容量大，携带方便等优点，但是目前U盘也是传播病毒的主要途径之一，有人统计发现U盘有病毒的比例高达90%。第13章计算机常见安全故障诊断与排除13.5.1autorun.inf文件病毒及解决方案1.问题分析目前几乎所有的U盘类病毒的最大特征都是利用autorun.inf这个来入侵的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。第13章计算机常见安全故障诊断与排除这个文件是保存在驱动器的根目录下的，是一个隐藏的系统文件。它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。多亿这本身是一个常规且合理的文件和技术但上面反复提到“自动”是关键，可以正常放置任何恶意的内容。第13章计算机常见安全故障诊断与排除病毒肯定会隐藏起来存放在一般的情况下看不到的地方。一种是假回收站方式：病毒通常在U盘中建立一个”RECYCLER“的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站，回收站的名称”Recycled“。另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，改名为”RavMonE.exe“，这很容易让人以为是瑞星的程序，其实是病毒。第13章计算机常见安全故障诊断与排除2.解决方案目前的U盘病毒是通过autorun.inf来进入的。Autorun.inf本身是正常的文件，但可利用做其他恶意软件的操作。不同的人通过autorun.inf放置不同的病毒。（1）如果发现U盘有autorun.inf且不是你自己创建生成的，请删除它，并且尽快查毒。（2）如果有貌似回收站、瑞星文件等文件，而又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它。第13章计算机常见安全故障诊断与排除13.5.2RavMon.exe病毒及解决办法1.病毒描述经常有人发现自己的U盘有病毒，杀毒软件报出一个RavMonE.exe病毒文件，这个也是一个经典的U盘病毒。第13章计算机常见安全故障诊断与排除2.解决方法：（1）打开任务管理器，终止所有ravmone.exe进程（2）进入c：\windows，删除其中的ravmone.exe（3）打开系统注册表，删除C：\windows\ravmone.exe的把它删除掉（4）完成后，重新启动计算机，病毒就被清除了第13章计算机常见安全故障诊断与排除13.5.3杀掉U盘中的病毒的方法对移动存储设备，如果中毒，则把文件夹的选项中”隐藏受保护的操作系统文件”删掉，选择“显示所有文件和文件夹”单击“确定”,然后在移动存储设备中会看到如下几个文件，autorun.inf，msvcr71.dl，ravmone.exe，都删除掉，还有一个后缀为tmp的文件，也可以删除，完成后，病毒就清除了。第13章计算机常