【楼主：Ducktang1985 】网管知识大汇总，当好网管，来这里~~

Ducktang1985

对现在网络里出现的问题进行详细汇总，希望各个网管们各显其能，互帮互助，经验共享，齐头并进。\r\n\r\n大家来帮忙，谢谢各位了！\n\n[ 本帖最后由 静楠 于 2007-8-17 17:31 编辑 ]

Ducktang1985

IE选项注册表控制大全 http://www.canglou.com/ShowArticle.asp?ArticleID=1517 \r\n近来，很多网友在各大BBS提出一个相同的问题----IE选项全部或其中某几个不能使用，怎么办？有很多不是很了解注册表的朋友看不懂，在这种情况下，我只好重新解释一下相关的Dword值的用途，希望大家能够理解。如果还是不能够理解的话，就到这里下载一个还原文件吧。 \r\n特别注意：有些系统没有以下的键值，需要手工添加： \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\GeneralTab Internet Explorer选项中的常规 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\SecurityTab Internet Explorer选项中的安全 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ContentTab Internet Explorer选项中的内容 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ConnectionsTab Internet Explorer选项中的连接 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ProgramsTab Internet Explorer选项中的程序 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\AdvancedTab Internet Explorer选项中的高级 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\PrivacyTab Internet Explorer选项中的隐私 ◆IE6中才有◆ \r\n\r\n以上是几个大项，小项的解释在下面： \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Colors 颜色 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Links 链接 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Fonts 字体 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Languages 语言 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Connection Settings 连接 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Proxy 代理 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: HomePage 主页 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: History 历史 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Messaging 程序--电子邮件、新闻组、Internet呼叫 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Ratings 分级审查 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Certificates 证书+发行商 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: CertifPers 证书 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: CertifSite 证书 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: CertifPub 发行商 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Cache IE临时文件大小设置控制 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: AutoConfig 局域网自动配置 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Accessibility 辅助功能 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: SecChangeSettings 安全自定义 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: SecAddSites IE中安全--站点增加控制 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Profiles 内容--个人信息--配置文件 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: formSuggest 内容--个人信息--自动完成--表单 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: formSuggest Passwords 内容--个人信息--自动完成--表单上的用户名和密码 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Connwiz Admin Lock 连接--建立连接 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: CalendarContact 程序--日历、联系人列表 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Advanced 高级 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Settings Internet临时文件 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: ResetWebSettings 程序--重置WEB设置 \r\nHKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\ \r\nDword: Check_If_Default 检查IE是不是默认浏览器 \r\n\r\n以上就是注册表中IE选项控制键值。 \r\n使用方法：假设要屏蔽主页选项，就可以在HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\下建立一个Dwoed值，并修改为1，这样就可以直接取消IE中有关主页的选项。还原方法：将Dword=1修改为Dword=0即可。经过测试，这种方法在98/2000/XP下均有效。 \r\n利用注册表定制IE的技巧数则 http://www.canglou.com/ShowArticle.asp?ArticleID=1261 \r\n经常从有关电脑报刊上看到利用注册表定制Windows的介绍，不过其中涉及IE的内容却并不是很多，事实上我们通过对注册表数据库进行修改同样可达到对IE的运行状态进行调整的目的。这些定制项目主要包括以下几个方面（限于篇幅，下面介绍的都是必须使用注册表数据库进行调整的项目，那些可以使用控制面板及IE的\"Internet选项\"对话框进行修改的项目则不在此之列）： \r\n\r\n　　一、调整IE的默认下载文件夹　 \r\n\r\n　　一般来说，我们若直接使用IE在网上下载文件，系统会自动将其下载到\"C:\\WINDOWS\\Desktop\"文件夹（即Windows 98的桌面）中，时间一长就会将桌面搞得乱七八糟！与其事后清理，不如直接对系统设置进行调整，将其改为某个专门的下载文件夹（如\"C:\\下载\"文件夹中）。为此，我们只需启动Windows 98的注册表编辑器并依次展开HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer分支，此时我们就可以在Internet Explorer分支下发现一个名为\"DownLoad Directory\"的字符串值，其默认值为\"C:\\WINDOWS\\Desktop\"。它就是用于定义IE默认文件下载路径的，我们只需对其进行适当修改（如将其改为\"C:\\下载\"），此后再使用IE直接下载文件时，系统就会将文件直接保存到\"C:\\下载\"文件夹中。 \r\n　 \r\n　　二、让IE在状态栏中显示完整超级链接地址的方法 \r\n　 \r\n　　大家都知道，我们使用IE浏览某个网页时，只需将鼠标放到某个超级链接的下面，系统就会在状态栏中显示出该超级链接的地址，不过系统默认显示的是相对地址（跟我们在DOS中使用的相对路径差不多），这在某些情况下可能并不能满足广大用户的需要。别着急，我们只需启动Windows 98的注册表编辑器并依次展开HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer分支，然后就可以在Internet Explorer分支发现一个名为\"Show_FullURL\"的Dword值，它就是用于设置是否在IE状态栏上显示超级链接地址的，我们只需将其由0改为1，IE就会在状态栏上显示出相应超级链接的绝对地址，从而满足了广大用户的需要。 \r\n　 \r\n　　三、取消超级链接下面的下划线 \r\n　 \r\n　　尽管添加一个下划线可以让用户更加容易分清超级链接与普通文本的区别，不过有些人似乎不太喜欢这些超级连接下划线，而希望取消它们，这也是非常容易办到的！事实上，IE同时为下划线提供了三种不同的显示状态，它们分别是\"始终显示下划线\"、\"始终不显示下划线\"和\"将鼠标放到超级链接上面的时候显示下划线\"，广大用户完全可根据自己的需要对其加以调整。具体来说，我们若拟对IE是否显示超级链接的下划线进行设置，则应启动Windows 98的注册表编辑器并依次展开HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼Main分支，然后就可以看到一个名为\"Ancher Underline\"的字符串值，它就是用于设置是否显示超级链接的下划线的。当其值为NO时表示始终不显示下划线、为YES时表示始终显示下划线、为HOVER则表示通常不显示下划线，而将鼠标放到相应超级链接下面之后显示下划线，广大用户只需根据自己的需要加以更改即可。 \r\n\r\n　　需要注意的是，采用上面的方法修改的是系统默认值，也就是说只有当我们浏览的网站本身没有设置是否显示下划线时，系统才会按上述设置进行显示，若用户浏览的网站自己已经设置了是否显示下划线，IE将会按照相应网站自己的设置进行显示（也就是说此时系统的默认值无效），这点务必引起广大用户的注意！ \r\n\r\n　　四、清除IE历史记录的技巧 \r\n\r\n　　大家都知道，Windows 98具有历史记录功能，它能将用户从事过的各种操作（如查找的内容、运行的程序、浏览的网站）一一记录下来，而后我们再次从是相同操作时就能直接从历史记录中进行检索，从而方便了广大用户的使用。不过任何事情都有两个方面，历史记录尽管可以方便用户的使用，但它也带了泄密的可能，这就要求我们采取适当的方法对这些历史记录进行清除。对于我们使用IE上网所留下的历史记录而言，我们该如何进行清除呢？很简单，启动Windows 98的注册表编辑器并展开HKEY_CURRENT_USER＼Software＼Microsoft＼Inertnet Explorer＼TypedURLs分支，该分支就是专门用于保存IE历史记录的，它一共有25条记录，保存了用户最近浏览过的25个网站，我们根据需要对有关记录进行选择性删除即可。 \r\n\r\n　　五、增强IE的自动匹配功能 \r\n\r\n　　许多资深网虫都知道，IE提供的自动匹配功能并不十分完整，它只提供了对\".com\"、\".edu\"和\".org\"等三种后缀的自动匹配功能。而无法对其它后缀（如\".gov\"、\".net\"及\".com.cn\"等）进行匹配，这就影响了用户的使用。那么我们能不能对IE的自动匹配功能进行扩充，使之能自动匹配\".gov\"、\".net\"、\".com.cn\"之类的后缀呢？回答是肯定的，我们只需启动Windows 98的注册表编辑器，并依次展开HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼Main＼UrlTemplate分支，然后就可以在UrlTemplate分支下看到6个分别名为\"1\"、\"2\"……\"6\"字符串值，其键值分别为\"www.%s.com\"、\"%s.com\"、\"www.%s.edu\"、\"%s.edu\"……等，它们就是用于指定IE自动匹配范围的。广大用户若拟为IE增加新的自动匹配功能，只需在UrlTemplate分支下再新建两个字符串（如\"7\"和\"8\"），并将其值分别设置为\"www.%s.com.cn\"和\"%s.com.cn\"，然后就能让IE对\".com.cn\"后缀进行自动匹配。当然我们还可采用此方法增加IE对\".gov\"、\".net\"等后缀的自动匹配。 \r\n　 \r\n　　六、为IE工具栏添加背景图片的技巧 \r\n\r\n　　为美化用户的生活，IE5提供了对系统工具栏中的背景图片进行更换的功能，我们可以利用该功能将自己喜爱的图片设置为IE工具栏的背景，从而使系统变得\"个性\"十足！不过令人遗憾的时，尽管IE5提供了更换背景图片的功能，但它并没有将该功能公开，我们无法直接对工具栏的背景进行替换，而只能通过对注册表数据库进行修改才能达到目的，具体步骤为： \r\n　 \r\n　　1. 准备一张适合作为背景的BMP格式文件（注意，颜色不要太深，否则可能影响工具栏的显示）。 \r\n\r\n　　2. 启动Windows 98的注册表编辑器并依次展开HKEY_Current_User＼Software＼Microsoft＼Internet Explorer＼Toolbar分支。 \r\n\r\n　　3. 在Explorer主键下新建一个名为\"BackBitmap\"的字符串值，并将其值修改为事先准备的BMP图片的完整路径及文件名。 \r\n\r\n　　这样我们就完成了为IE的工具栏添加背景图片的步骤，重新启动计算机之后，其程序窗口的菜单栏及工具栏中就会出现用户选定的图片（Windows 98的资源管理器也会发生同样的变化），效果相当好。 \r\n\r\n　　七、遗忘分级审查密码之后的应急措施 \r\n\r\n　　为防止未成年人接触到网上那些不健康的东西，IE提供了分级审查功能，允许监护人对未成年人可以浏览的网站进行控制，当然这就涉及到一个分级审查的密码问题，我们只有凭借这个密码才能对分级审查的内容进行浏览、修改，假如你不小心忘记了这个密码，那将是一件非常麻烦的事情--你非但不能访问那些受限制的站点，而且不能对已有的限制级别进行更改，这就极大的影响了用户的使用。更严重的是，即使用户重装IE浏览器也无法解决这一难题，这该怎么办呢？难道要重装整个系统吗？当然不是，下面的方法可解除你的苦恼： \r\n\r\n　　1. 启动Windows 98的注册表编辑器并依次展开HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Ratings分支。 \r\n\r\n　　2. 此时广大用户就可以从Ratings主键中发现一个名为\"KEY\"的键值，它就是用于设置IE分级审查口令（数据已经加密），广大用户只需删除该键值即可取消IE的分级审查口令。 \r\n\r\n　　3. 关闭注册表编辑器并重新启动IE浏览器。 \r\n\r\n　　4. 执行\"工具\"菜单的\"Internet选项\"命令，打开\"Internet选项\"对话框。 \r\n\r\n　　5. 单击\"内容\"选项卡。 \r\n\r\n　　6. 单击\"使分级无效\"按钮，当提示键入口令时不键入任何字符，直接点击\"确定\"按钮。 \r\n\r\n　　这样我们就顺利的清除了\"分级审查\"功能的密码，然后就可以重新进行设置了。 \r\n解决IE点击链接后不能打开新窗口问题的方法 http://www.canglou.com/ \r\n\r\n最近发现我的IE不能打开新窗口，具体表现形式是：用鼠标左键点击超链接没有反应，用鼠标右键点击超链接，在弹出的菜单中选择“在新窗口打开”也没有动静。怎么办呢？经过查找试验，终于找到了解决方法： \r\n　　1、在“开始”菜单中打开“运行”窗口，在其中输入“regsvr32 actxprxy.dll”，然后“确定”，接着会出现一个信息对话框“DllRegisterServer in actxprxy.dll succee \r\nded”，再次点击“确定”。 \r\n\r\n　　2、再次打开“运行”窗口，输入“regsvr32 shdocvw.dll”，“确定”后在出现的信息对话框中点击“确定”。 \r\n\r\n　　3、重新启动Windows，运行IE，随便打开一个网页，点击一个超链接，你会发现IE又能打开新窗口。再试试用鼠标右键选择“在新窗口打开”，问题解决。 \r\n\r\n\r\n\r\n\r\n打开记事本，把以下文字复制进去，然后保存这个文件，在保存对话框的文件类型中选择所有文件，然后文件名中输入ie.bat。 \r\n之后只要双击这个bat文件就可以修复IE的这种问题。 \r\n以下是需要复制的内容： \r\n把以下命令行作成一个批处理文件(.bat),然后运行它. \r\n\r\n\r\n=====batch file for registering all IE dlls======== \r\n\r\nrundll32.exe advpack.dll /DelNodeRunDLL32 C:\\WINNT\\System32\\dacui.dll \r\nrundll32.exe advpack.dll /DelNodeRunDLL32 C:\\WINNT\\Catroot\\icatalog.mdb \r\nregsvr32 setupwbv.dll \r\nregsvr32 wininet.dll \r\nregsvr32 comcat.dll \r\nregsvr32 shdoc401.dll \r\nregsvr32 shdoc401.dll /i \r\nregsvr32 asctrls.ocx \r\nregsvr32 oleaut32.dll \r\nregsvr32 shdocvw.dll /I \r\nregsvr32 shdocvw.dll \r\nregsvr32 browseui.dll \r\nregsvr32 browseui.dll /I \r\nregsvr32 msrating.dll \r\nregsvr32 mlang.dll \r\nregsvr32 hlink.dll \r\nregsvr32 mshtml.dll \r\nregsvr32 mshtmled.dll \r\nregsvr32 urlmon.dll \r\nregsvr32 plugin.ocx \r\nregsvr32 sendmail.dll \r\nregsvr32 comctl32.dll /i \r\nregsvr32 inetcpl.cpl /i \r\nregsvr32 mshtml.dll /i \r\nregsvr32 scrobj.dll \r\nregsvr32 mmefxe.ocx \r\nregsvr32 proctexe.ocx mshta.exe /register \r\nregsvr32 corpol.dll \r\nregsvr32 jscript.dll \r\nregsvr32 msxml.dll \r\nregsvr32 imgutil.dll \r\nregsvr32 thumbvw.dll \r\nregsvr32 cryptext.dll \r\nregsvr32 rsabase.dll \r\nregsvr32 triedit.dll \r\nregsvr32 dhtmled.ocx \r\nregsvr32 inseng.dll \r\nregsvr32 iesetup.dll /i \r\nregsvr32 hmmapi.dll \r\nregsvr32 cryptdlg.dll \r\nregsvr32 actxprxy.dll \r\nregsvr32 dispex.dll \r\nregsvr32 occache.dll \r\nregsvr32 occache.dll /i \r\nregsvr32 iepeers.dll \r\nregsvr32 wininet.dll /i \r\nregsvr32 urlmon.dll /i \r\nregsvr32 digest.dll /i \r\nregsvr32 cdfview.dll \r\nregsvr32 webcheck.dll \r\nregsvr32 mobsync.dll \r\nregsvr32 pngfilt.dll \r\nregsvr32 licmgr10.dll \r\nregsvr32 icmfilter.dll \r\nregsvr32 hhctrl.ocx \r\nregsvr32 inetcfg.dll \r\nregsvr32 trialoc.dll \r\nregsvr32 tdc.ocx \r\nregsvr32 MSR2C.DLL \r\nregsvr32 msident.dll \r\nregsvr32 msieftp.dll \r\nregsvr32 xmsconf.ocx \r\nregsvr32 ils.dll \r\nregsvr32 msoeacct.dll \r\nregsvr32 wab32.dll \r\nregsvr32 wabimp.dll \r\nregsvr32 wabfind.dll \r\nregsvr32 oemiglib.dll \r\nregsvr32 directdb.dll \r\nregsvr32 inetcomm.dll \r\nregsvr32 msoe.dll \r\nregsvr32 oeimport.dll \r\nregsvr32 msdxm.ocx \r\nregsvr32 dxmasf.dll \r\nregsvr32 laprxy.dll \r\nregsvr32 l3codecx.ax \r\nregsvr32 acelpdec.ax \r\nregsvr32 mpg4ds32.ax \r\nregsvr32 voxmsdec.ax \r\nregsvr32 danim.dll \r\nregsvr32 Daxctle.ocx \r\nregsvr32 lmrt.dll \r\nregsvr32 datime.dll \r\nregsvr32 dxtrans.dll \r\nregsvr32 dxtmsft.dll \r\nregsvr32 vgx.dll \r\nregsvr32 WEBPOST.DLL \r\nregsvr32 WPWIZDLL.DLL \r\nregsvr32 POSTWPP.DLL \r\nregsvr32 CRSWPP.DLL \r\nregsvr32 FTPWPP.DLL \r\nregsvr32 FPWPP.DLL \r\nregsvr32 FLUPL.OCX \r\nregsvr32 wshom.ocx \r\nregsvr32 wshext.dll \r\nregsvr32 vbscript.dll \r\nregsvr32 scrrun.dll mstinit.exe /setup \r\nregsvr32 msnsspc.dll /SspcCreateSspiReg \r\nregsvr32 msapsspc.dll /SspcCreateSspiReg \r\n\r\n=====end of batch file for registering all IE dlls======== \r\n注册表在IE中的应用技巧 \r\n由于各个网友的兴趣、爱好不一样，那么他们在上网时获取的信息也就可能不一样。既然他们获取的信息不同，那么就有可能会用到IE浏览器中的不同设置或命令。为了能够保证高效地使用IE浏览器，我们可以把自己经常使用的这些设置和命令进行重新定制，让IE浏览器更适合自己的浏览风格。现在有许多媒体都对如何进行定制IE作了介绍，但它们介绍的都是通过修改“Internet选项”中的设置，达到定制IE的目的。而笔者今天要向大家介绍的是，通过修改注册表的方法来定制IE浏览器的几个应用。 \r\n\r\n1、改变IE窗口的动感效果 \r\n　　如果我们希望在打开或者关闭IE窗口时，被打开的窗口有动感效果，可以按照下面的步骤来修改注册表：首先打开注册表编辑器操作窗口，在该窗口中用鼠标依次单击键值HKEY_ CURRENT_USER / Control Panel/ desktop / WindowMetrics键值，并在右边的窗口中新建串值\"Minanimat\"与\"Maxanimat\"并设值为\"0\"，为\"1\"，这样在IE窗口最大最小化切换时有递变的效果。 \r\n\r\n2、更改IE浏览器中的安全口令 \r\n　　我们可以在 IE浏览器的“ Internet 选项”对话框的“内容”选项页的“分级审查”框中设置口令，这样，在显示有 ActiveX 的页面时，总会出现“分级审查不允许查看”的提示信息，然后弹出口令对话框，要求您输入监护人口令。如果口令不对，则将停止浏览。但是，如果此口令遗忘了，则无法浏览这些特征的页面。在口令遗忘后，重装 IE浏览器也无法去掉安全口令。这时只有求助于注册表了：打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies 分支，在 Policies 子键下选择“ Ratings ”子键，按 Del 键将其删除，由于 Ratings 子键下的 Key 键值数据就是经过加密后的口令，删除了这一项， IE浏览器自然就认为我们没有设置口令了。 \r\n\r\n3、更改IE的默认下载目录 \r\n　　大家如果经常用IE在网上下载文件就会知道，浏览器程序默认地会将下载内容存放?quot;C:WINDOWSDesktop\"目录中，也就是放到Windows桌面上，时间一长就会将桌面搞得乱七八糟！有的用户为了保持桌面的整洁，同时希望能够有效地管理下载下来的文件，他们需要更改IE的默认下载目录，将其改为某个专门的下载文件夹，例如\"C:download\"目录中。为此，我们只需启动Windows 98的注册表编辑器，并在编辑器窗口中用鼠标依次展开HKEY_CURRENT_USER ＼Software＼Microsoft＼Internet Explorer键值，此时我们就可以在Internet Explorer键值下发现一个名为\"DownLoad Directory\"的字符串值，其默认值为\"C:WINDOWSDesktop\"。它就是用于定义IE默认文件下载路径的，我们只需对其进行适当修改，例如将其改为\"C:download\"，此后再使用IE直接下载文件时，系统就会将文件直接保存到\"C:download\"目录中了。 \r\n\r\n4、修改IE5.0的搜索引擎 \r\n　　在注册表中依次展开“HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch”，在右侧窗口中把“CustomizeSearch”、“SearchAssistant”改为我们定义的搜索引擎，如 www.canglou.com \r\n\r\n以后当我们每次点IE5.0的搜索引擎时，即可自动调出我们定义的搜索引擎，如上面设定的藏陋网. \r\n\r\n5、删除IE页面下的下划线 \r\n　　当我们打开一个IE页面时，会发现在超级链接下方有一划线，这主要是让用户更加容易分清超级链接与普通文本的区别。但有时我们为了达到某个版面效果，不希望看到在这些超级链接下有划线，而希望取消它们，这也是非常容易办到的！事实上，IE同时为下划线提供了三种不同的显示状态，它们分别是\"始终显示下划线\"、\"始终不显示下划线\"和\"将鼠标放到超级链接上面的时候显示下划线\"，广大用户完全可根据自己的需要对其加以调整。具体来说，我们若拟对IE是否显示超级链接的下划线进行设置，则应启动Windows 98的注册表编辑器并依次展开HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼Main分支，然后就可以看到一个名为\"Ancher Underline\"的字符串值，它就是用于设置是否显示超级链接的下划线的。当其值为NO时表示始终不显示下划线、为YES时表示始终显示下划线、为HOVER则表示通常不显示下划线，而将鼠标放到相应超级链接下面之后显示下划线，广大用户只需根据自己的需要加以更改即可。 \r\n\r\n　　需要注意的是，采用上面的方法修改的是系统默认值，也就是说只有当我们浏览的网站本身没有设置是否显示下划线时，系统才会按上述设置进行显示，若用户浏览的网站自己已经设置了是否显示下划线，IE将会按照相应网站自己的设置进行显示。 \r\n\r\n6、定制IE浏览器的地址 \r\n　　用过IE的人都遇到过“取消操作”提示，还有“Web页不可脱机使用”，“警告：网页已经过期”等情况，但是我们有没有注意到出现提示页时地址栏中显示的是什么，URL为“about :xxxxxxx”。about是除了“http”、“ftp”、“mailto”、“gopher”外的特殊协议，利用它可以使用别名调阅特定的网页，比如IE的空白页，则的URL栏中打入about :blank即可，blank即为空白页的别名。 \r\n\r\n　　利用这可通过创建类似的别名，指向我们指定的网页地址，在注册表中依次展开“HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerAboutURLs”，在右侧窗口中单击鼠标右键，从弹出的快捷菜单中，选择“新建”、“串值”，然后将“新值#1”更名为我们要给指向的网页（网址）取的名字，右击该名字，再将其值设置为我们想要指向的网址，注意不能省了“ http://” 。 \r\n\r\n　我们也可以用此法给硬盘上常用网页取个别名，填上路径即可方便打开了。 \r\n\r\n7、让IE显示超级链接的完整地址 \r\n　　我们知道，在使用IE浏览某个网页时，只需将鼠标放到某个超级链接的下面，系统就会在状态栏中显示出该超级链接的地址，不过系统默认显示的是相对地址（跟我们在DOS中使用的相对路径差不多），这在某些情况下可能并不能满足广大用户的需要。别着急，我们只需启动Windows 98的注册表编辑器，然后在注册表编辑器窗口中用鼠标依次展开HKEY_CURRENT_USER＼ Software＼Microsoft＼ Internet Explorer键值，此时我们会在右边的窗口中发现一个名为\"Show_FullURL\"的Dword值，它就是用于设置是否在IE状态栏上显示超级链接地址的，我们只需将其由0改为1，IE就会在状态栏上显示出相应超级链接的绝对地址，从而满足了广大用户的需要。 \r\n\r\n8、增加IE的自动识别功能 \r\n　　经常上网的朋友知道，我们要访问形如www.aaa.com 这样的网站时，只要在?..]www.aaa.com.cn 这样的网站就没那么方便了，因为IE未包含.cn后缀的自动连接功能。那么我们能不能对IE的自动匹配功能进行扩充，使之能自动匹配\".gov\"、\".net\"、\".com.cn\"之类的后缀呢？回答是肯定的，我们只需启动Windows 98的注册表编辑器，并依次展开HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼Main＼UrlTemplate分支，然后就可以在UrlTemplate分支下看到6个分别名为\"1\"、\"2\"……\"6\"字符串值，其键值分别为\"www.%s.com\"、 \"%s.com\"、\"www.%s.edu\"、 \"%s.edu\"……等，它们就是用于指定IE自动匹配范围的。广大用户若拟为IE增加新的自动匹配功能，只需在UrlTemplate分支下再新建两个字符串（如\"7\"和\"8\"），并将其值分别设置为\"www.%s.com.cn\" 和\"%s.com.cn\"， 然后就能让IE对\".com.cn\"后缀进行自动识别。当然我们还可采用此方法增加IE对\".gov\"、\".net\"等后缀的自动识别。 \r\n\r\n9、防止他人获取对Web页面的访问信息 \r\n　　大家都知道，Windows 98具有历史记录功能，它能将用户从事过的各种操作（如查找的内容、运行的程序、浏览的网站）一一记录下来，而后我们再次从是相同操作时就能直接从历史记录中进行检索，从而方便了广大用户的使用。不过任何事情都有两个方面，历史记录尽管可以方便用户的使用，但它也带来了泄密的可能，有些不法用户就会利用这些记录来获取我们已经访问过的Web页面信息。为保证绝对安全，我们就需要采取适当的方法对这些历史记录进行清除。对于我们使用IE上网所留下的历史记录而言，我们该如何进行清除呢？很简单，启动Windows 98的注册表编辑器并展开HKEY_CURRENT_USER＼Software＼Microsoft＼Inertnet Explorer＼TypedURLs键值，该键值就是专门用于保存IE历史记录的，它一共有25条记录，保存了用户最近浏览过的25个网站，我们根据需要对有关记录进行选择性删除即可。 \r\n\r\n10、为IE的工具栏添加背景 \r\n　　为了愉悦网友的视线，IE5提供了对系统工具栏中的背景图片进行更换的功能，我们可以利用该功能将自己喜爱的图片设置为IE工具栏的背景，从而使系统变得\"个性\"十足！不过令人遗憾的时，尽管IE5提供了更换背景图片的功能，但它并没有将该功能公开，我们无法直接对工具栏的背景进行替换，而只能通过对注册表数据库进行修改才能达到目的，具体操作步骤为：首先准备一张适合作为背景的BMP格式文件，并且该图象的颜色不能太深，否则可能影响工具栏的显示效果；接着打开注册表编辑器操作窗口，并在该窗口中依次展开HKEY_Current_User＼ Software＼Microsoft＼Internet Explorer＼Toolbar键值；随后在Explorer主键下新建一个名为\"BackBitmap\"的字符串值，并将其值修改为事先准备的BMP图片的完整路径及文件名；这样我们就完成了为IE的工具栏添加背景图片的步骤，重新启动计算机之后，其程序窗口的菜单栏及工具栏中就会出现用户选定的图象。 \r\n\r\n11、更改Outlook Express 信箱存放路径 \r\n　　如果我们想修改Outlook Express 信箱存放路径，可以在HKEY_CURRENT_USERIdentities{4C44D002-7BCF-11D3-9957-AB53DA238B0C}SoftwareMicrosoftOutlook Express5.0下修改“Store Root”字符串值为要修改的路径。 \r\n修复IE6.0中文正式版中的bug \r\nIE6.0中文正式版有一个小小的Bug，虽然这个Bug不会影响正常使用，但是却会影响使用的方便性。这个Bug表现在当你在IE的地址栏中输入目标网址，比如“sohu”，然后按动Ctrl+Enter，在正常情况下，IE应该自动匹配完成输入网址http://www.sohu.com，并开始访问该网...dows\\system下。\r\n　　 \r\n　　工具介绍：eXeScope是一个可以修改软件资源的工具，功能强大。eXeScope能在没有资源文件的情况下分析、显示不同的信息，重写可执行文件的资源，包括菜单、对话框、字串表等，是汉化外文软件的常用工具，文件大小544KB，汉化版下载地址为：http://newhua.ruyi.com/down/EXESC630.ZIP。 \r\n\r\nIE6.0中文正式版有一个小小的bug。虽然这个bug不会影响正常使用，但是却会影响使用的方便性。bug体现在当你想使用自动添加“http://www.”和“.com”功能的时候。...L文件就可以了。 \r\n\r\n首先复制C:\\windows\\system\\browselc.dll文件到一个文件夹里面，然后用eXeScope打开这个文件，找到“资源”－“字串表”下的809字，打开找到12936，把“12936,http://www.%s.co.cn”改为“12936,ht...哺恰Ｇ屑乔屑牵?/a>

Ducktang1985

硬件准备：\r\nPC一台，需求如下\r\n主版: 440BX主板最好，当然其他也没问题，至少是支持440BX，VIA686a；AMD芯片应该也可以。\r\nCPU: 基本不限，PII 以上均可，当然越高越好，建议600MHz以上主频；至少支持我的Athlon 1.7。\r\nRAM: 256M - 4G， 推荐512M以上\r\n硬盘: 普通IDE硬盘就可以，当然几种常见SCSI也是没问题的，另外似乎也支持iSCSI\r\n网卡: 唯一最重要的要求就是这个了，至少需要两块网卡，根据你想制造的型号不同\r\n     注意其中至少一块必须是百兆(EEPro100各型)或千兆(EEPro1000各型)的Intel网卡；\r\n     芯片组可以是Intel 82557/82558/82559/82550等。(可能也支持Broadcom BCM5700)\r\n     这块Intel网卡是作为监听卡用的，因此必须插在PCI 1槽上，或者，至少要比第二块卡\r\n     在PCI上的位置靠前，这样在系统中它会被认为ETH0，而ETH0是系统默认的监听口，必须\r\n     为Intel网卡。\r\n     另一块卡理论上可以是Linux 2.4内核所能支持的任何芯片的网卡，但是我们也推荐使用\r\n     Intel EEpro100，这样可以省去很多麻烦，避免不必要的错误发生。这块卡在系统中会\r\n     被认为是ETH1，用作管理和通讯。\r\n\r\n好了，看下我的配置：代码  \r\n\r\n\r\n\r\n  AMD Athlon XP 1700+\r\n\r\n\r\n  1G RAM\r\n\r\n\r\n  160G IDE 或 LSI 160 SCSI (均支持)\r\n\r\n\r\n  默认监听口 ETH0@ PCI1: Intel 82559(EEPro 100 Management+)    \r\n\r\n\r\n  默认通讯口 ETH1@ PCI*: Intel 82559(EEPro 100+)\r\n\r\n\r\n  监听口2    ETH2@ PCI*: Intel 82559(EEPro 100+)\r\n\r\n\r\n  无        ETH2@ PCI*: Intel 82559(EEPro 100+) \r\n\r\n\r\n\r\n接下来开始安装CiscoIDS。准备好CiscoIDS的Recovery CD，一切就像安装普通的Redhat Linux\r\n一样简单 --其实还更简单一点。 启动界面会给你一个选择，是使用 控制台(键盘+显示器)还是\r\n串口。当然选控制台，会快得多，在boot:提示符后输入 k <回车>。之后就不用管了，它会完\r\n全自动的完成安装，注意！它可是独占硬盘的，如果你的硬盘上还有其他系统，它会自动格式\r\n化整个盘，可不会提示你。\r\n\r\n0. 进入单用户模式状态\r\n安装完成后系统会自动重新启动，你可以看见熟悉的GRUB引导菜单，在这里我们进行第一次\r\n修改和初始化设置。选择在菜单的第一项 [ Cisco IDS (2.4.18-5smpbigphys) ]上，按下\"e\"键\r\n进行设置，然后在[kernel /boot/vmlinuz-2.4.18-5smpbigphys ro root=/dev/hda1 bigphysarea=32768 ]\r\n这一行上(应该是第二行)再按\"e\"，进行编辑，在行尾加上\"single\"，进行单用户模式引导。修改\r\n如下：代码  \r\n\r\n\r\n\r\nkernel /boot/vmlinuz-2.4.18-5smpbigphys ro root=/dev/hda1 bigphysarea=32768 single \r\n\r\n\r\n然后按\"ESC\" \"b\"，开始引导。完成之后，会进入Linux的单用户模式Shell下，开始Crack步骤。\r\n\r\n\r\n我们需要做以下几步工作：\r\n1. 设置root密码代码  \r\n\r\n\r\n\r\n======================================================\r\n\r\n\r\n# passwd root\r\n\r\n\r\n[输入两次确认密码]\r\n\r\n\r\n======================================================\r\n\r\n\r\n\r\n\r\n\r\n2. 破解IDS设备型号识别代码  \r\n\r\n\r\n\r\n======================================================\r\n\r\n\r\n# vi /etc/init.d/ids_functions\r\n\r\n\r\n\r\n\r\n\r\n编辑 isCPU() 函数一节如下：\r\n\r\n\r\n======================================================\r\n\r\n\r\nisCPU(){\r\n\r\n\r\n# $1 = CPU speed\r\n\r\n\r\n#   MAX_DIFF=4\r\n\r\n\r\n#   PROC=`awk \'/^cpu MHz/{ print $4 }\' $CPU_INFO_FILE | tail -1 | cut -f1 -d\".\"`\r\n\r\n\r\nMAX_DIFF=150\r\n\r\n\r\nPROC=1260\r\n\r\n\r\n====================================================== \r\n\r\n(在MAX_DIFF=4和PROC=`两行前加上 \"#\" 注释；然后添加 MAX_DIFF=150 和 PROC=1260\r\n两行)\r\n\r\nvi快捷指南：代码  \r\n\r\n\r\n\r\nvi是Linux下默认的编辑器，作上面修改可以按下列键序：\r\n\r\n\r\n:输入  /isCPU\r\n\r\n\r\n-会自动跳转到isCPU()一行\r\n\r\n\r\n:输入 i\r\n\r\n\r\n-进入编辑模式\r\n\r\n\r\n:输入 在MAX_DIFF和PROC二行前加上 # 字符\r\n\r\n\r\n:输入 MAX_DIFF=150\r\n\r\n\r\n:输入 PROC=1260\r\n\r\n\r\n:输入 [ESC]键\r\n\r\n\r\n:输入 :wq 三个字符，回车\r\n\r\n\r\n-修改和保存文件 \r\n\r\n\r\n\r\n3. 重新启动系统代码  \r\n\r\n\r\n\r\n======================================================\r\n\r\n\r\n# init 3\r\n\r\n====================================================== \r\n\r\n之后系统会自动检查设备型和配置硬件，在这个过程中系统可能或重新启动数次，直至最后\r\n稳定的进入命令提示符状态：代码  \r\n\r\n\r\n\r\nsensor login:\r\n\r\n\r\n\r\n\r\n这时可以使用 [ 用户名: cisco 口令: cisco ]进行登录，第一次登录系统会强制要求 更改系统\r\n默认帐户密码，以及添加一个Service用户。\r\n\r\n完成之后，输入 reset 命令，重新启动系统。\r\n\r\n\r\n4. 再次重启系统时，进行一些其他设置； 引导时使用 0 节的方法，进入单用户模式。然后：\r\n\r\n修改ssh配置文件，允许root远程登录，修改/etc/ssh/sshd_config文件，修改如下两行代码  \r\n\r\n\r\n\r\nPort 22\r\n\r\n\r\nPermitRootLogin yes    #(默认为no) \r\n\r\n\r\n修改grub配置文件/boot/grub/grub.conf ，允许控制台管理；修改如下一行：代码  \r\n\r\n\r\n\r\nkernel /boot/vmlinuz-2.4.18-5smpbigphys ro root=/dev/hda1 bigphysarea=32768 #console=ttyS0,9600 \r\n\r\n(在console=ttyS0,9600前加 # 号，或删除console=...至行尾)\r\n\r\n最后执行下一个步骤，最后一点初始化设置。\r\n\r\n\r\n5. 进行系统初始化设置代码  \r\n\r\n\r\n\r\n======================================================\r\n\r\n\r\n# init 3\r\n\r\n\r\n====================================================== \r\n\r\n使用cisco用户登录进入系统，然后运行setup命令。代码  \r\n\r\n\r\n\r\n======================================================\r\n\r\n\r\n# setup\r\n\r\n\r\n    --- System Configuration Dialog ---\r\n\r\n\r\nAt any point you may enter a question mark \'?\' for help.\r\n\r\n\r\nUser ctrl-c to abort configuration dialog at any prompt.\r\n\r\n\r\nDefault settings are in square brackets \'[]\'.\r\n\r\n\r\n\r\nCurrent Configuration:                                                            (显示当前配置)\r\n\r\n\r\n........\r\n\r\n\r\nCurrent time: Wed Mar 16 18:06:41 2005\r\n\r\n\r\nSetup Configuration last modified: Wed Mar 16 16:42:07 2005\r\n\r\n\r\nContinue with configuration dialog?[yes]:                                  (输入yes继续配置)\r\n\r\n\r\nEnter host name[sensor]:                                                       (输入主机名)\r\n\r\n\r\nEnter IP address[192.168.0.99]:                                          (输入通讯口IP地址[eth1])\r\n\r\n\r\nEnter netmask[255.255.255.0]:                                              (子网掩码)\r\n\r\n\r\nEnter default gateway[192.168.0.254]:                                  (默认网关)\r\n\r\n\r\nEnter telnet-server status[enabled]:                                         (允许telnet登录)\r\n\r\n\r\nEnter web-server port[443]:                                                   (允许Web管理)\r\n\r\n\r\nModify current access list?[no]: yes                                          (编辑访问控制列表，按 [IP_Address 空格 NetMask]格式)\r\n\r\n\r\nModify system clock settings?[no]:\r\n\r\n\r\n[0] Go to the command prompt without saving this config.\r\n\r\n\r\n[1] Return back to the setup without saving this config.\r\n\r\n\r\n[2] Save this configuration and exit setup.   \r\n\r\n\r\n\r\nEnter your selection[2]:                                                          (选择2保存配置)\r\n\r\n\r\n====================================================== \r\n\r\n\r\n最后，可以reset重启一次，你的系统应该完全伪造成功了。\r\n之后可以用你熟悉的任何管理方式连接上去进行管理，telnet,ssh,串口,或https://访问地址。\r\n如果需要更详细的管理功能，恐怕你得安装CiscoWorks VMS或IDS Manager了。\r\n\r\n\r\n6. 补充一点设备型号，在这个例子中，我们仿造的系统型号是Cisco IDS4235，其实也可以\r\n修改成其他型号，一个列表如下：\r\n代码  \r\n\r\n\r\n\r\nTYPE         CPU            RAM            NIC        XL ACCEL        FIBER\r\n\r\n\r\n4210        567    x1        512            2        -            -\r\n\r\n\r\n4215        845    x1        512            2        -            -\r\n\r\n\r\n4220        598    x1        ?            >=2        -            -\r\n\r\n\r\n4230        598    x2        ?            3        -            -\r\n\r\n\r\n4235        1260    x1        ?            3        -            -\r\n\r\n\r\n4250        1260    x2        ?            ?        -            -\r\n\r\n\r\n4250SX    1260    x2        ?            ?        -            1\r\n\r\n\r\n4250XL    1260    x2        ?            ?        1            1\r\n\r\n\r\nXL = XL加速卡\r\n\r\nFIBER = 千兆光纤卡\r\n\r\nNIC = 网卡\r\n\r\nRAM 推荐任意型号都>512M\r\n\r\nCPU 表中为CPU标称主频，后面为数量\r\n\r\n\r\n在破解过程中，所关系到的主要设备就是CPU，只要把第二节中PROC=1260的数字改成\r\n其他频率，系统就会认为系统TYPE为其他型号，当然CPU数量也是一个次要决定因素，\r\n暂时我们就不考虑Crack 双CPU的型号了  虽然理论上可行，但是不确定是否能稳定工作。\r\n\r\n另一个因素就是网卡，建议至少配备2块Intel 82559芯片的网卡；当然，多一点也可以。\r\n在其他型号的网卡和硬件上系统也可以安装和运行，甚至Vmware里也可以，但是是无法\r\n正常抓包工作的，仅仅能做个游戏品罢了。此外，非官方推断，众多Dell服务器上配置的\r\nBroadcom BCM 5700网卡可能也是可以工作的。正如PIX OS实际可能也支持BCM 5600\r\n/5700一样。\r\n\r\n.

Ducktang1985

在搞清楚所述及的问题之前 \r\n首先明确一下什么是匹配 \r\n匹配可以从两个方面来理解 \r\n1 一个正则表达式和一个字符串是否匹配 \r\n   在perl中 =~ 代表捆绑 也就是让正则表达式去匹配指定的字符串 \r\n   如果如果用匹配的符号形式来表现 对于 /regular/ =~ \"string\"  如果返回值为真 则说/regular/ 匹配了\"string\" \r\n2 一个正则表达式不只可以匹配一个字符串 \r\n   例如  /a*b/   不仅可以匹配aaaab 还可以匹配aaaaaab     b 等 \r\n   这里所谓的“匹配”也是指  /a*b/ =~ aaaab   /a*b/ =~ b  返回值都是真 \r\n下面说说依次匹配 \r\n首先的一个问题是一个正则表达式的工作过程 \r\n举个例子 \r\n代码: \r\n$data is 192.168.0.1 \r\n$data =~ /([0-9]*\\.)([0-9]*.)([0-9]*\\.)([0-9])/; \r\n$1 is 192. \r\n$2 is 168. \r\n$3 is 0. \r\n$4 is 1 \r\n这里 \r\n/([0-9]*\\.)([0-9]*\\.)([0-9]*\\.)([0-9])/  匹配了192.168.0.1 \r\n同时在这个较长的正则表达式子是由几个短的正则表达式组成的,这些短的在()中的正则表达式称为模式,大家对$1,$2,$3,$4的值的输出都非常理解 \r\n\r\n下面再举一个例子 \r\n代码: \r\n$data =~ /([0-9]*\\.)([0-9]*\\.)*([0-9])/; \r\n$1 is 192. \r\n$2 is 0. \r\n$3 is 1 \r\n\r\n\r\n这里有观点解释到这里([0-9]*\\.) ([0-9]*\\.) *([0-9])  红色部分\"依次匹配\" 了168.    0.       所以是0.   \r\n这并不是很好理解 \r\n有证: \r\n3x3eyes 写到: \r\n....匹配.168都还好理解所谓的依次匹配是什么意思，请各位帮忙 \r\n\r\n问题的关键是为什么这里的红色部分会去依次匹配168.     0.呢?regular 有这种依次匹配的机制吗 它在什么情况下会这样做 什么情况下不会这么做呢 \r\n下面我们通过一个例子来验证regular 会不会有这种依次匹配的机制 \r\n代码: \r\n$data =~ /([0-9]*\\.)([0-9]*\\.)([0-9])/; \r\n$1 is 192. \r\n$2 is 168. \r\n$3 is 0 \r\n\r\n这里红色部分并没有去依次匹配168.  0. 而是直接匹配了168.   \r\n为什么呢 看来 问题出现在* 上面 \r\n也就是当正则表达式是 $data =~ /([0-9]*\\.)([0-9]*\\.)*([0-9])/;   的时候  红色部分依次匹配了168.   0.   并最终把最后匹配的0.存到了分组2中 \r\n     当正则表达式是 $data =~ /([0-9]*\\.)([0-9]*\\.)([0-9])/;    的时候  红色部分就不再依次匹配了??  它就匹配168.  并把168存在分组2中 这是什么道理？   \r\n正则表达式有一个引擎 引擎的工作原理细节没有找到相应文档 但是对于这种情况 可以试着解释为 \r\n代码: \r\n对于 $data =~ /([0-9]*\\.)([0-9]*\\.)([0-9])/; \r\n这时候对于模式1 模式2 模式3 他们没有机会选择  分别将各自匹配的 192.   168.   0  存在正则表达式的记忆体 \\1 \\2 \\3中 \r\n而对于 $data =~ /([0-9]*\\.)([0-9]*\\.)*([0-9])/; \r\n对于模式1  从左到右搜索$data 匹配了192.    把它存在了记忆体  \\1中 \r\n对于模式2  从左到右搜索剩下的$data 部分  匹配了 168.  并把它存在了记忆体\\2中 \r\n下面到了*  这里*代表 前面模式的0次或多次出现 虽然在功能上对于这个例子它等于([0-9]*\\.)([0-9]*\\.)([0-9]*\\.)([0-9])/， 但是它并不等价于正则表达式/([0-9]*\\.)([0-9]*\\.)([0-9]*\\.)([0-9])/ 。这时候仍然是模式2 去从左到右搜索$data剩余的字符串0.1  结果匹配了0.  由于仍然是模式2去匹配，所以0. 仍然存在记忆体\\2中，冲掉了原来存在记忆体\\2中的内容 下面([0-9])  匹配了1 并把它存在了记忆体\\3中。 \r\n\r\n看到这里，可以试着总结出正则表达式的引擎搜索机制： \r\n代码: \r\n1  如果在正则表达式中有模式 ，那么每个模式从左到右搜索要匹配的字符串，如果匹配成功，则把匹配的字符串存到相对应的记忆体中。 \r\n2  如果正则表达式中有下一个模式，那么这个模式将继续从左到右搜索没有被匹配的字符串 ，重复前面的步骤1的过程，匹配成功则立即停止，并把匹配的字符串存到相应的记忆体中。 \r\n3  如果在2中的模式后面出现了数量符* + ? ，形如：(模式2)*，则匹配过程变为：模式2仍然按照步骤1的过程匹配，匹配成功则停止。但是由于这时候在模式2后面出现了数量符 * ，则仍然由模式2去匹配字符串中没有被匹配的的部分，如果这时候出现了可以匹配多个字符串的情况，那么作后一次匹配成功的字符串被存放到了模式2对应的记忆体中(注意：中间匹配成功的并不是没有存，而是被后面匹配成功的覆盖了)。 \r\n\r\n说到这里仿佛一切问题都得到了很好的解释 \r\n可是请看下面的例子 \r\n代码: \r\n$data = 192.168.0.1 \r\n$data =~ /([0-9]*\\.)([0-9]*\\.)*([0-9]*\\.)([0-9]*.)([0-9])/ \r\n按照上面的结论，大家不妨猜测一下\\2的内容 ，也就是记忆体2中的值是什么 \r\n在没有看到答案之前，也许会有人猜测是0. 或者168.。 \r\n但是这里 \\2的值是空值，*在这里是“0个”。 \r\n\r\n由此可以得到：正则表达式并不是按照模式按照从左到右搜索，\"一个正则表达式\" 就是一段程序，一个正则表达式的匹配引擎机制应该是：尽量多的精确的去匹配目标字符串，至于它采取哪种策略实现这一过程，这也是在此抛砖引玉的目的所在。

Ducktang1985

1、什么是NTFS－新(N)技术(T)文件(F)系统(S)？ \r\n\r\n　　想要了解NTFS，我们首先应该认识一下FAT。FAT(File Allocation Table)是“文件分配表”的意思。对我们来说，它的意义在于对硬盘分区的管理。FAT16、FAT32、NTFS是目前最常见的三种文件系统， FAT16：我们以前用的DOS、Windows 95都使用FAT16文件系统，现在常用的Windows 98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区，但每个分区最多只能有65525个簇（簇是磁盘空间的配置单位）。随着硬盘或分区容量的增大，每个簇所占的空间将越来越大，从而导致硬盘空间的浪费。 FAT32：随着大容量硬盘的出现，从Windows 98开始，FAT32开始流行。它是FAT16的增强版本，可以支持大到2TB（2048G的分区。FAT32使用的簇比FAT16小，从而有效地节约了硬盘空间。 \r\nNTFS：微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。随着以NT为内核的Windows 2000/XP的普及，很多个人用户开始用到了NTFS。NTFS也是以簇为单位来存储数据文件，但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费，还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能，可为用户提供更高层次的安全保证。 \r\n\r\n　  2、什么系统可以支持NTFS文件系统？ \r\n\r\n　　只有Windows NT/2000/XP才能识别NTFS系统，Windows 9x/Me以及DOS等操作系统都不能支持、识别NTFS格式的磁盘。由于DOS系统不支持NTFS系统，所以最好不要将C:盘制作为NTFS系统，这样在系统崩溃后便于在DOS系统下修复。 \r\nNTFS与操作系统支持情况如下： \r\nFAT16　windows 95/98/me/nt/2000/xp unix，linux，dos \r\nFAT32　windows 95/98/me/2000/xp \r\nNTFS　 windows nt/2000/xp \r\n\r\n　 3、我们需要NTFS吗？ \r\n\r\n　　Windows 2000/XP在文件系统上是向下兼容的，它可以很好地支持FAT16/FAT32和NTFS，其中NTFS是Windows NT/2000/XP专用格式，它能更充分有效地利用磁盘空间、支持文件级压缩、具备更好的文件安全性。如果你只安装Windows 2000/XP，建议选择NTFS文件系统。如果多重引导系统，则系统盘（C盘）必须为FAT16或FAT32，否则不支持多重引导。当然，其他分区的文件系统可以为NTFS。 \r\n\r\n　 4、如何将FAT分区转换为NTFS？ \r\n\r\n　　Windows 2000/XP提供了分区格式转换工具“Convert.exe”。Convert.exe是Windows 2000附带的一个DOS命令行程序，通过这个工具可以直接在不破坏FAT文件系统的前提下，将FAT转换为NTFS。它的用法很简单，先在Windows 2000环境下切换到DOS命令行窗口，在提示符下键入：D:＼>convert 需要转换的盘符 /FS:NTFS。如系统E盘原来为FAT16/32，现在 需要转换为NTFS，可使用如下格式：D:＼>convert e: /FS:NTFS。所有的转换将在系统重新启动后完成。本人强烈推荐使用此法进行转换！ \r\n　　此外，你还可以使用专门的转换工具，如著名的硬盘无损分区工具Powerquest Partition Magic 7.0，软件下载页面http://soft.km169.net/soft/html/1964.htm,使用它完成磁盘文件格式的转换也是非常容易的。首先在界面中的磁盘分区列表中选择需要转换的分区。从界面按钮条中选择“Convert Partition”按钮，或者是从界面菜单条“Operations”项下拉菜单中选择“Convert”命令。激活该项功能界面。在界面中选择转换输出为“NTFS”，之后单击“OK”按钮返回程序主界面。单击界面右下角的“Apply”添加设置。此后系统会重新引导启动，并完成分区格式的转换操作。 \r\n\r\n　　5、如何在NTFS格式分区下找回意外删除丢失的文件？ \r\n\r\n　　你可以使用专门的软件，如Final Data for NTFS，或者是Get Data Back for NTFS 1.04。这两个软件的文件恢复效果都不错。本人推荐使用数据恢复功能强大、速度快的Get Data Back for FAT 1.05/NTFS 1.04（是2个软件），下载地址http://download-tipp.de/cgi-bin/suc...phrase&bool=and。如果在文件删除后没有任何文件操作，恢复率接近100%。所以不要等到文件删除后才安装这个软件，最好是与Windows系统一起安装，并在出现文件误删除后立刻执行恢复操作，一般可以将删除的文件恢复回来。 \r\n\r\n　　6、如果Windows 2000/XP安装在C盘（NTFS格式），当Windows崩溃时在DOS状态下不能进入C盘，怎么办？ \r\n\r\n　　你可以使用Windows 2000/XP的安装光盘启动来修复Windows，或者是制作Windows 2000/XP的安装启动应急盘。注意：Windows 2000的安装盘制作程序在程序的安装光盘中，而Windows XP的应急盘制作是独立提供的，需要从微软的网站下载。 \r\n\r\n　 7、Final Data for NTFS或Get Data Back for NTFS可以修复被意外格式化的硬盘吗？ \r\n\r\n　　这两个软件都可以恢复格式化删除的数据（低级格式化除外）。常规格式化删除的只是数据信息，低级格式化则删除全部数据区，当硬盘技术还不像现在这样发达的时候，磁盘表面很容易磨损。硬盘使用者对经常出现的读错误，往往采用低级格式化。修复被格式化的硬盘，只能将这个硬盘拆下来，安装到其他的计算机中，之后执行文件修复操作。Final Data甚至可以修复由CIH病毒破坏的硬盘。\r\n\r\n　 8、Windows 98(FAT系统)下如何直接读写NTFS文件系统？ \r\n\r\n　　当电脑安装有Windows 98和Windows 2000/XP两个操作系统，如何在FAT系统下直接读写NTFS文件系统？虽然FAT系统可以转换为NTFS系统，但是有时我们需要在机器中同时安装Windows 98和Windows 2000/XP。此时的麻烦就来了，由于Windows 98不能读取Windows 2000的NTFS，那么如何进行数据交换呢？实际上我们只需要使用一个小小的软件NTFS for Windows 98就可以让Windows 98轻松读取、甚至写入NTFS分区。首先，到该工具的下载网址http://down.hothost.com/list.asp?id=514下载NTFS for Windows 98　1.07版(能读、写!)。解压缩后，请把CR整个目录（里边有7个读取NTFS文件系统必须使用到Windows 2000/XP的系统文件，其它3个是注释文件）COPY到C盘（也可改名为NTFS＿FILES，我是这样改的），安装结束后会出现一个配置界面，在该界面中的“NTFS System Files”项中需要设置的是程序可以借用的Windows 2000/XP系统的相关文件保存路径，你就选择刚才COPY到盘的CR目录即可，然后其它什么都不必去操作，到此设置完成，单击OK按钮保存设置并退出。重启后就可以在Windows 98下访问NTFS分区了！经过实际使用，证明安装此软件后，在NTFS分区上能读、写！ \r\n　　以上内容本人在WIN98SE＋WINXP＿PROCN＋WINXP＿PROEN及WINME＋WINXP＿PROCN＋WINXP＿PROEN上验证通过！（2台机） \r\n　　下面的内容仅供参考，建议你不要实施，至少我是这样做的。 \r\n　　 [Drive Letter Assignments”项中提供的设置是设置允许可以识别的NTFS分区盘符，设置的依据可以参考在Windows 2000/XP下的盘符顺序。如果单击界面中的“Advanced”按钮，在关联界面中提供了针对设置的NTFS分区高级设置，其中包括设置为只读属性“Read-Only”、允许写入“Write-Through”。对于检查点间隔“Checkpoint Interval”和写回间隔“Writeback nterval”，使用程序提供的默认设置即可。 \r\n\r\n　 9、如何在DOS系统下直接读写NTFS文件系统? \r\n\r\n　　Winternals Software LP 公司提供了工具软件解决了这个问题。用一张MS-DOS启动盘就可以作到以前不可能作到的事，修改，删除，更新 NTFS上的文件，实际 NTFSDOS pro 是在 Windows NT 出问题时的一个修复工具。下载页面http://soft.winzheng.com/searchengine.asp，键入“NTFS”查找该站软件，就可以找出NTFSDOS　PRO　4.0，最好选择服务器2下载。具体安装过程并不复杂，按照提示做好启动盘即可。 \r\n\r\n　　10、在NTFS系统下，如何保护自己的文件、文件夹？ \r\n\r\n　　由于NTFS文件分区格式具有良好的安全性，如果你不希望自己在硬盘中的文件被其他人调用或查看，使用权限控制方式加密是非常有效的方法。设置方法非常简单：以系统管理员身份登录，使用鼠标右键单击需要加密的文件夹，选择“Properties”，切换到“Security”选项卡。在“Group of user names”项中设置允许访问的用户只有Administrator和自己。删除其他的所有用户。保存设置退出即可。此后，其他用户将不能访问该文件夹。使用这项功能需要注意的是：一定要保证只有你一个人知道Administrator密码，并且设置其他用户不能属于Administrator。此外，你还可以详细的给每个用户设置权限，包括设置读取权限、写入权限、删除权限等，这样使用起来就更加灵活。你还可以设置权限，控制一个磁盘，或者磁盘分区只为自己使用，这样其他人就不能看到你的任何东西了。

Ducktang1985

　　Access 数据库限制:\r\n\r\n　　Access 数据库 (.mdb) 文件大小最大值: 2G 字节减去系统对象所需的空间。\r\n\r\n　　数据库中的对象个数最大值: 32,768\r\n\r\n　　模块最大值: 1,000 (包括“内含模块”属性为“是”的窗体和报表)\r\n\r\n　　对象名称中的字符数最大值: 64\r\n\r\n　　密码的字符个数最大值: 14\r\n\r\n　　用户名或组名的字符个数最大值: 20\r\n\r\n　　并发用户的个数最大值: 255\r\n\r\n　　表\r\n\r\n　　表名的字符个数最大值: 64\r\n\r\n　　字段名的字符个数最大值: 64\r\n\r\n　　表中字段的个数最大值: 255\r\n\r\n　　打开表的个数最大值: 2048(实际可打开的表的数目可能会少一些，因为Access 还要打开一些内部的表.)\r\n\r\n　　表的大小最大值: 2G 字节减去系统对象所需的空间\r\n\r\n　　“文本”字段的字符个数最大值: 255\r\n\r\n　　“备注”字段的字符个数最大值: 通过用户界面输入为 65,535;以编程方式输入时为 1G 字节的字符存储。\r\n\r\n　　“OLE 对象”字段的大小最大值: 1G 字节\r\n\r\n　　表中的索引个数最大值: 32\r\n\r\n　　索引中的字段个数最大值: 10\r\n\r\n　　有效性消息的字符个数最大值: 255\r\n\r\n　　有效性规则的字符个数最大值: 2,048\r\n\r\n　　表或字段说明的字符个数最大值: 255\r\n\r\n　　记录的字符个数最大值: 2,000 (除“备注”字段和“OLE 对象”字段外)\r\n\r\n　　字段属性设置的字符个数最大值: 255\r\n\r\n　　查询\r\n\r\n　　属性 最大值\r\n\r\n　　实施关系的个数 每个表为 32 减去表中不包含在关系中的字段或字段组合的索引个数\r\n\r\n　　查询中的表的个数 32\r\n\r\n　　记录集中的字段个数 255\r\n\r\n　　记录集大小 1G 字节\r\n\r\n　　排序限制 255 个字符(一个或一个以上字段)\r\n\r\n　　嵌套查询的层次数 50\r\n\r\n　　查询设计网格一个单元格中的字符个数 1,024\r\n\r\n　　参数查询的参数字符个数 255\r\n\r\n　　WHERE 或 HAVING 子句中 AND 的个数 99\r\n\r\n　　SQL 语句中的字符个数 约为 64,000\r\n\r\n　　窗体和报表\r\n\r\n　　属性 最大值\r\n\r\n　　标签中的字符个数 2,048\r\n\r\n　　文本框中的字符个数 65,535\r\n\r\n　　窗体或报表宽度 22 英寸(55.87 厘米)\r\n\r\n　　节高度 22 英寸(55.87 厘米)\r\n\r\n　　所有节加上节页眉的高度(在“设计”视图中) 200 英寸(508 厘米)\r\n\r\n　　窗体或报表的最大嵌套层数 7\r\n\r\n　　报表中可作为排序或分组依据的字段或表达式个数 10\r\n\r\n　　报表中页眉和页脚的个数 1 对报表页眉/报表页脚，1 对页面页眉/页面页脚，10 对组页眉/组页脚\r\n\r\n　　报表的打印页数 65,536\r\n\r\n　　可添加到窗体或报表的控件和节的个数 754\r\n\r\n　　SQL 语句中作为窗体、报表或控件的“记录源”或“行来源”属性的字符个数(适用于 .mdb 和 .adp) 32,750\r\n\r\n　　宏\r\n\r\n　　属性 最大值\r\n\r\n　　宏中的操作个数 999\r\n\r\n　　条件中的字符个数 255\r\n\r\n　　备注中的字符个数 255\r\n\r\n　　操作参数中的字符个数 255

Ducktang1985

近几年，木马活动越来越频繁。针对这些木马的查杀工具和方法也先后登场。反病毒、反黑客软件的反应速度远没有木马出现的速度快，所以，如果自己懂得手工查杀木马的方法，就可以应付自如了。 \r\n\r\n　　发现木马 \r\n\r\n  \r\n　　由于木马是基于远程控制的程序，因此，中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网，会有其他端口，这是本机与网上主机通讯时打开的，如IE一般会打开连续的端口:1025，1026，1027等。 \r\n\r\n　　在DOS命令行下用”netstat -na”命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用(特别是木马常用端口被占用)，那可要好好查查了，很有可能中了木马。 \r\n\r\n　　查找木马 \r\n\r\n　　要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了)，启动项一般都是加在注册表中的，具体位置在：HKEY_LOCAL _MACHINE\\Software \\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\\Software\\ Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY_USERS\\Default\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“Run”开头的键值。 \r\n\r\n　　不过，也有一些木马不在这些地方加载，它们躲在下面这些地方: \r\n\r\n　　●在Win.ini中启动 \r\n\r\n　　在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有程序，比方说是: run=c:\\windows\\file.exe或load=c:\\windows\\file.exe，要小心了，这个file.exe很可能就是木马。 \r\n\r\n　　●在System.ini中启动 \r\n\r\n　　System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。 \r\n\r\n　　另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。 \r\n\r\n　　●在Autoexec.bat和Config.sys中加载运行 \r\n\r\n　　这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。 \r\n\r\n　　●在Winstart.bat中启动 \r\n\r\n　　Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。 \r\n\r\n　　●启动组 \r\n\r\n　　木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此，还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: \\Windows\\Start Menu\\Programs\\StartUp，在注册表中的位置:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Shell Folders Startup=\"C:\\windows\\start menu\\programs\\startup\"。 \r\n\r\n　　●*.INI \r\n\r\n　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。 \r\n\r\n　　●修改文件关联 \r\n\r\n　　修改文件关联是木马常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说，正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的冰河就是这样干的。一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT\\文件类型\\shell\\open\\command主键，查看其键值是否正常。 \r\n\r\n　　●捆绑文件 \r\n\r\n　　实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后，控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样，即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么，每一次Windows启动均会启动木马。 \r\n\r\n　　手工清除木马 \r\n\r\n　　如果发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标、屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面，此时，就应该想办法清除它们了。 \r\n\r\n　　当发现可疑文件时，可以试试能不能删除它，因为木马多是以后台方式运行，通过按“Ctrl+Alt+Del”是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了(提示正在被使用)，那就应该注意了。 \r\n\r\n　　那么，如何清除木马而不误删其他有用文件呢？当你通过上述方法找到可疑程序时，你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年，而不应该是最近的时间(安装最新的Win2000、WinXP的系统除外)，文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。 \r\n\r\n　　首先，查进程。检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉，然后，再看看原来怀疑的端口还有没有开放(有时需重启)，如果没有了，那说明杀对了，再把该程序删掉，这样，就手工删除了这个木马了。 \r\n\r\n　　如果该木马改变了TXT、EXE或ZIP等文件的关联，那应把注册表改过来，如果不会改，那就把注册表改回到以前的，就可以恢复文件关联，可通过在DOS下执行“scanreg/restore”命令来恢复注册表，不过这条命令只能恢复前5天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值，简单易用。

Ducktang1985

在购买入侵检测系统的过程中，一个决策的关键点通常是入侵检测系统采用签名还是异常检测引擎。最初厂商了解两种方法的优点并且把这两种方法都集成到入侵检测系统中。理解签名和异常检测这两种方法的优点和弱点揭示了它们是如何相互补充的。\r\n\r\n　　签名检测\r\n　　签名检测包括在网络通信中搜索一系列字节或者数据包队列以查找已知的恶意程序。这种检测方法的最大的好处是，如果你清楚你想要找出的网络行为，这种签名就很容易开发和理解。例如，你可以利用一个签名寻找在一个可利用的安全漏洞中的特定的字符串来检测利用特定的缓存溢出安全漏洞实施攻击的企图。这个由基于签名的入侵检测系统产生的事件能够传达什么导致了报警。模式匹配在现代系统上能够很快完成，因此对于确定的一套规则来说，进行这种检查所需要的计算能力是最小的。例如，如果你要保护的系统仅通过DNS、ICMP和SMTP通信，所有的其它签名都将被删除。\r\n　　签名引擎也有自己的弱点。由于签名引擎仅检测已知的攻击，必须为每一种攻击制作一个签名，而且新的攻击还无法检测。由于签名通常是根据正常的表达和字符串设计的，因此，签名引擎还会出现不正确的检测结果。这两种机制只是在线路上传输的数据包中检测字符串。\r\n　　虽然签名对于检测以固定方式实施的攻击很成功，但是对于人工制作的或者具有自我修正行为功能的蠕虫发起的多种形式的攻击的检测就有些力不从心。有些利用安全漏洞允许恶意用户把攻击隐藏在“nop 发生器”、负载编码器和加密数据通道的后面，使检测更加复杂。由于必须为每一种攻击的变体制作一个新的签名，而且随着规则的增加检测系统的运行速度将减缓，因此，签名引擎检测这些变化的攻击的整体能力将受到影响。这就是大多数入侵检测系统都使用2路服务器至8路服务器并且配置许多GB网卡的原因。\r\n　实际上，基于签名的入侵检测系统可以归结为攻击者和入侵检测系统签名开发商之间的军备竞赛。这场竞赛的关键是签名编写和应用到入侵检测引擎中的速度。\r\n\r\n        异常检测\r\n　　异常检测技术是以网络行为基准概念为中心的。这个基准是人们接受的网络行为的解释。任何不符合人们预先制定的或者接受的行为模式都会被异常检测引擎查出来。\r\n　　网络行为基准不可分割的组成部分是异常检测引擎认真分析所有层的协议的能力。对于每一个被监视的协议来说，异常检测引擎必须具有解码和处理协议的能力，以便理解其目的和负载。这种协议分析一开始将耗费昂贵的计算机资源，但是，这种分析能够让异常检测引擎随着规则数量的增长进行调整，并且在检测到异常行为时很少发出错误的警报。\r\n　　异常检测引擎的缺点是确定规则的困难。进行分析的每一个协议都必须要进行定义、执行和测试，以验证其准确性。不同的厂商执行不同的协议使规则的制定过程更加复杂。在网络上传输的客户协议没有很大的努力是不能进行分析的。因此，必须要建立异常网络行为的详细知识，并且把这些知识输入到异常检测引擎的内存中，以便正确地实施监测。另一方面，一旦建立一个协议和定义一个行为，异常检测引擎就可以更迅速和更方便地调整检测范围。这个速度要比签名检测引擎的速度快得多，因为异常检测引擎不需要为每一个攻击和潜在的变体制作一个签名。\r\n　　异常检测引擎的另一个弱点是异常使用行为中的恶意行为不能够检测出来。例如，一种对有安全漏洞的服务器实施的目录遍历攻击行为，由于这种攻击是根据网络协议编写的攻击程序，并且不启动任何协议以外的行为、负载或者限制带宽的标志，因此这类攻击就检测不出来。\r\n　　然而，异常检测在检测新的攻击方面比签名检测引擎有优势，能够检测到签名引擎中不存在的新的攻击，如果新的攻击有异常的网络行为的话。最好的例子是这种系统检测新的自动传播的蠕虫。当一台新的系统被蠕虫感染之后，这个蠕虫就会以非常快的、异常的速度查找网络中具有安全漏洞的计算机，从而导致违反TCP连接或者带宽规则的不正常的恶意通信。\r\n　　你可以看到一种检测方式的优点正好可以弥补另一种检测方式的弱点。反之亦然。在购买入侵检测系统时，选择检测方式不再是选择这一种而不选择那一种的问题了。而应该全部选择。

Ducktang1985

Google-Watch近日刊登文章，警告用户小心Google对隐私资料获取的“阴险”与“强硬”，并列举了Google在用户隐私资料收集方面的九大“阴谋疑点”：　　 \r\n\r\n　　1. Google的“老不死”cookie\r\n\r\nGoogle是第一个使用Cookie的搜索引擎供应商，其Cookie有效时间竟然直至2038年。Google的Cookie在你的硬盘上留下独一的ID记录，当你浏览Google页面时，Google会检查你是否拥有Cookie文件，如果没有则留下新Cookie，如果已经存在便会读取旧Cookie中的信息。　　 \r\n\r\n　　2. Google记录所有能记录的资料　　 \r\n\r\n　　Google将记录所有搜索引擎用户的Cookie ID、网址IP、登录时间与日期、搜索偏好以及浏览器类型。Google还会针对你的IP地址提供给你不同的地域性搜索结果。　　 \r\n\r\n　　3. Google资料保护并不完善　　 \r\n\r\n　　Google没有任何资料保存政策，很显然，他们可以自由读取搜集到的用户个人资料。　　 \r\n\r\n　　4. Google不会透露资料的用途　　 \r\n\r\n　　当纽约时报2002年在采访中就资料用途问题咨询Sergey Brin时，他拒绝对此发表评论。　　 \r\n\r\n　　5. Google雇佣“危险人物”　　 \r\n\r\n　　Mutt Cutts－－Google重要软件工程师，曾经为美国国家安全局工作。而且Google还想雇佣更多有类似背景的人。 \r\n\r\n　　6. Google工具条是间谍软件　　 \r\n\r\n　　Google的免费工具条能够记录你浏览的所有页面，并且读取你的所有Cookie，Google已经在其隐私政策中承认这一点。而且Goolge工具条每次更新都无声无息，并不询问用户是否需要更新。 \r\n\r\n　　7. Google的页面缓存拷贝行为违法　　 \r\n\r\n　　根据美国网络版权法，Google的页面缓存记录行为违法。　　 \r\n\r\n　　8. Google并不是你的朋友　　 \r\n\r\n　　目前Google占有75％站外链接份额，网站管理员不得不寻求Google的认可。如果网站管理员试图利用Google已知的搜索排名算法提高自己的排名，将受到Google的惩罚，其链接和流量将被Google中止。而Google目前并没有出台公开处罚标准和政策。　　 \r\n\r\n　　9. Google是个人隐私的定时炸弹　　 \r\n\r\n　　每天有2亿用户使用Google搜索服务，其中大部分在美国本土以外，Google的隐私资料收集行为将成为个人数据的定时炸弹。连华盛顿新成立的安全局资料采集部门都梦想获得Google搜集资料的高效能力。

梦中人的梦

URL结构 \r\n我们来仔细看看URLs和与其有关的安全含义。一种“有趣”的URL利用方式已被垃 \r\n圾广告投递者发现很长时间了，不过现在“KB”（Knowledge Base）欺骗和二月发 \r\n表于Crypto-Gram的文章，已经使得URL可以做更多的事。 \r\n虽然大部分Internet用户把WWW地址或FTP同URLs联系起来，但Uniform Resource \r\nLocators（URL，统一资源定位器）使用的更普遍一些。URLs的标准在RFC1738中规 \r\n定，其中最普通的形式定义为： \r\n: \r\n部分是网络协议名称，部分被定义为： \r\n//:/ \r\n其中只有部分是必须的。\":\"和\"@\"字符具有特殊的含义,从而服务器可以解 \r\n析完整的字符串.如果用户名和密码包含在URL中,部分只是从\"@\"字符后开始 \r\n.看看在KB欺骗论及的例子: http://www.microsoft.com&item=q209354@www. \r\nhwnd.net/pub/mskb/Q209354.asp \r\n其中真正的主机是\"www.hwnd.net\".\"www.microsoft.com\"在这个URL中不过是个假 \r\n的用户名,服务器会忽略它. \r\n信任 \r\n虽然上面的例子是合乎语法的,但是却可能引起同安全相关的问题.在Internet节点 \r\n的终端,不是网卡、Modems或计算机，而是人.他们有意识或无意识都应该考虑到屏 \r\n幕上出现的东西是否值得信任. \r\n信任是最基本的安全评价.像上面例子那样的带有欺骗性的URL,利用了我们对常识 \r\n中URLs格式的信任.这种欺骗还利用了我们把主要注意力都集中到主要内容而不是 \r\nURL地址(虽然有时URL可以帮助我们判断可信度)这个事实.SSL保护的站点,把一部 \r\n分对可信度的判断工作交给浏览器,浏览器会比较带有SSL认证信息的域;另一方面 \r\n,如果目的主机是虚构的,那么仅仅依靠加密技术并不能提供太多有用的评价. \r\n隐藏 \r\n上面关于URL的分析只是简单的隐藏了它的真实目的地.我们可以用更好的方法来进 \r\n行隐藏.由于某些原因(有可能是内部处理引起的),有的操作系统对IP地址的操作并 \r\n不是通过我们常用的格式,就象是:aaa.bbb.ccc.ddd,而是相应的十进制数. \r\n上面这类地址可以改写成十进制的值:aaa*256^3+bbb*256^2+cccc*256+ddd.这样, \r\n3633633987就是216.148.218.195(属于www.redhat.com红帽子公司).你可以在浏览 \r\n器中输入3633633987,你会发现你已经来到了REDHAT公司的网站上.上面的操作可以 \r\n使用IE5.X或者是Linux下的Lynx,但并没对其他操作系统进行测试,可能会相差很多 \r\n.一些软件会对你的输入提示\"非法的URLs\",但你只要用很少的软件(包括常用的工 \r\n具,如ping)进行测试,你就可以判断出这个操作系统是否支持这种URLs的使用方式. \r\n如果该操作系统支持这种使用,那么就可以通过构造如下的URL来制造更大的迷惑: \r\nhttp://www.toronto.comntario@3633633987/,这个URL仍然指到REDHAT.因为很 \r\n多的网站都把HTTP的SessionID存在URL中,来代替使用Cookie,所以Internet使用者 \r\n并不会注意URL中的数字值,这样上面构造的URL不会带来任何怀疑.密码部分可以省 \r\n略,这样http://www.toronto.com@3633633987/的迷惑性更强. \r\n现在,我们可以使用一些HTTP知识:anchor(锚)标记允许显示的文本指到一个不是文 \r\n本本身的连接上,这样我们可以把连接写成http://www.toronto.com,然后把连接的 \r\n文字设成锚,再把这个锚连接到http://www.toronto.com@3633633987/上,是不是很 \r\n危险,如果你点击这个连接,依旧会把你带到REDHAT公司. \r\n另一个对信任的利用是可信站点的间接寻址提供的.很多知名网站通过如下格式的 \r\n连接来记录引导访问者来此的网址:\"http://www.thisisarespectablesite. \r\ncom/outsidelinks/http://externalsite\",在服务器端捕获请求信息后,再把用户 \r\n重定向到目标网站上. \r\n这就使任何人都可以使用这种间接寻址服务,通过与URL困惑组合使用,给欺诈性的 \r\nURLs提供更多的合法性.可以限制HTTP提交区域的输入值,来避免非法的输入,但很 \r\n少有网站这么做. \r\n如果你觉着以上说的还不够,哪你还可以利用Unicode编码,把真实目的URL通过 \r\nUnicode码写出,再解析时会还原成真实目的. \r\n上面的这些对于\"知识渊博\"的垃圾广告制造者来说都不是新东西,但对于用来攻击 \r\n一般不会起疑的用户来说,还是非常有用的. \r\nOne-click 攻击 \r\n下面,我们对URL安全问题进一步讨论. \r\n很多\"标准\"的攻击都可以从缓冲区溢出开始,但是现在这种溢出却不好找到.那么, \r\n我们怎么办呢? \r\n在注册表中,有如下的键值: \r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\PROTOCOLS\\Handler,在 \r\nHKEY_CLASSES_ROOT\\Shell下还有\"URL Protocol\"这个子键(你可以使用查找来搜索 \r\n这些键).其中你可以找到ftp://, http://, https://, mailto://, news://, \r\npnm://和其他协议.这里面有很多协议都是以前没见过的,比如msee://.通过快速的 \r\n试验,发现msee://是\"微软大百科\"使用的,可能是用来查阅内部文章用的.\"微软大 \r\n百科\"是否会引起缓冲区溢出呢,如果是,那么是否可以实际利用呢?这些都要进行更 \r\n深的研究. \r\nHKEY_LOCAL_MACHI阿瑟OFTWARE\\Classes\\PROTOCOLS\\Handler,在 \r\nHKEY_CLASSES_ROOT\\Shell下还有\"URL Protocol\"这个子键(你可以使用查找来搜索 \r\n这些键).其中你可以找到ftp://, http://, https://, mailto://, news://, \r\npnm://和其他协议.这里面有很多协议都是以前没见过的,比如msee://.通过快速的 \r\n试验,发现msee://是\"微软大百科\"使用的,可能是用来查阅内部文章用的.\"微软大 \r\n百科\"是否会引起缓冲区溢出呢,如果是,那么是否可以实际利用呢?这些都要进行更 \r\n深的研究. \r\n我们可以找到很多在安装软件时添加的URL构造(比如copernic://就是copernic搜 \r\n索工具生成的).另外,还可以使用脚本语言修改受害机注册表来添加我们的URL结构 \r\n,脚本语言可以用vbs编制,然后通过email发送过去,在然后.........你就可以使用 \r\n这个URL结构来引起缓冲区溢出了.虽然这看起来同URL联系不大,但多少还有些联系 \r\n,所以就一起说了.