董师傅茶坊(30)
董师傅茶坊
防止内鬼捣乱局域网
阎艳力(网络专家)
很多单位电脑数量多,所以多采用组建内部局域网(简称内网)而后专线接入外部互联网(简称外网)的方式来上网。上网的电脑多了,单位内便衍生了许多问题,比如有些人就会通过限制你上网来达到增加自己带宽的目的。本期,董师傅邀请到网络专家阎艳力,让他来谈谈局域网中的问题。
董师傅:如果你的电脑中了蠕虫病毒,就会疯狂向外发送大量无用的数据包,往往导致整个内网瘫痪,许多网管在发现这种情况后,大多会不通知电脑主人而迅速切断你在内外网之间的连接,要进行这样的操作很简单。所以,一般情况下,单位内电脑不能上网的原因多是网管限制的缘故,今后我们电脑出了此类问题直接找网管“解禁”就是了。
阎艳力:也不尽如此,据我所知网管对电脑限制的情况很少,不会有网管动不动就限制员工电脑上网的情况。以前要限制内网电脑与外网的连接必须是可以控制路由器设置或交换机设置的网管,现在流行的一些网络管理软件可以让不知晓路由器管理页面和控制密码的普通员工也可以随意控制内网电脑上网,如P2P终结者、NETcut网络剪刀手等网络管理软件。
董师傅:我想P2P终结者、NETcut网络剪刀手等软件的设计目的并不是让普通用户随意切断其他用户上网的连接,剥夺其他用户上网的权利吧,应是为了方便网络管理人员对网络的操作控制,不过是被有着险恶用心的人利用罢了。
阎艳力:可以这么说,P2P终结者终结了大家的网络生活,NETcut网络剪刀手剪断了大家的美好心情,此类软件之所以如此“恶毒”,是因为它调用比TCP/IP协议更低层的ARP协议,ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在网络中,一个主机要和另一个主机进行直接通信,必须通过“地址解析”来明确目标主机的MAC地址。
ARP协议中的“地址解析”可以将目标IP地址转换成目标MAC地址,就如同TCP/IP协议中的DNS将域名解析成IP地址一样,ARP协议的基本功能就是通过目标主机的IP地址来查询目标主机的MAC地址,在两张网卡之间直接通信。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。
董师傅:局域网内出了使用此类软件的“内鬼”显然让人很恼火,不过我们也有相应的对策:只要用ARP命令绑定自己的MAC和路由MAC就行了,在“本地连接”中查看自己的IP地址和实际地址(即MAC地址),然后在“命令提示符”中执行:“ARP IP地址 MAC地址”命令即可,如“ARP 192.168.0.10 00-0B-6A-7D-67-A4”,不过遗憾的是绑定后与网络的通信连接只能维持一段时间,片刻后P2P终结者、NETcut网络剪刀手等软件就会再次将你的IP地址与不存在的IP地址绑定,所以我们需要反复执行此命令以维持网络正常通信连接。
阎艳力:我这里倒有两个好工具:反P2P终结者软件和反网络剪刀手,大家不妨一试,它们都可以完成保护网络正常通信连接的功能,其中反P2P终结者软件还可自动终止网络中P2P终结者的运行,虽然我们有了防矛之盾,但还是希望局域网内少出一些为了自己上网速度快而限制别人上网的内鬼,毕竟这些软件都是要耗费系统资源的,况且被人揭穿后还伤感情丢面子,得不偿失呀。
工商银行又遭李鬼
本期,一位读者爆料说发现了一个假工商银行网站,我们一起来看看。
一位自称英子的朋友,给董师傅发来邮件。她反映几天前在淘宝做个小交易的时候,对方要求她到http://www.zhykd.com点在线快件→然后提交订单→点中国工商银行提交订单,然后输入工行的账号和密码。之后到她发现被骗了的时候,她卡里的1355.45元钱都没有了。
在接到这位英子朋友的投诉后,董师傅赶快去这个网站查询了一下。发现这个网站是一个快递公司的网站,然后根据她所说的,点击在线快件→然后提交订单→点中国工商银行提交订单,就进入了一个和工商银行非常类似的网站(图1)。但是,董师傅注意到这个网页的网址是http://www.zhykd.com/servlet/gh.asp。
大多数朋友看到这么逼真的网页,一般都不会怀疑网页的真伪。董师傅在这个网页随便输入了工商银行的账号和密码,结果不管怎么输入,进入的页面都是系统繁忙(图2)。
董师傅已经可以肯定这个网址有问题了。随后董师傅拨打工商银行的客服电话95588询问此事。得到的工商银行客服的回答是,只有http://www.95588.com和http://www.icbc.com.cn的网址才是工商银行的正确网址,工商银行没有其他的网址。
董师傅又咨询了如果被这种网站欺骗,被盗取了金钱该怎么办。工商银行客服给出的建议是:赶紧向公安机关报案,工商银行有受害人的交易记录,会全力协助公安机关破案。并且以后发现这类钓鱼网址,为避免更多人受害,请和工商银行联系。
董师傅热线
进程minisearch是什么
曹勇:我的电脑任务管理器中出现名为minisearch的进程,请问是何进程?有什么作用?这是流氓软件吗?
A:这是流氓软件,而且是用Perl编写的站内搜索引擎。删除方法如下:首先在任务管理器里点“结束任务”,关掉这个程序。然后到 C:\Program Files\wsearch 这个文件夹双击运行mUninstall.exe,它会提示你输入一个验证码,按照要求输入,点卸载,电脑会自动删除一些文件。接下来删除整个wsearch文件夹,为了保证删除干净,请下载并升级恶意软件清除助手检查一下。
一开QQ视频就死掉
TEFans:我在QQ中和对方视频,只要一连接成功对话框就没反应,但系统并没死机,只能强行关闭对话框。我换过QQ版本,也换过摄像头,结果都是一样的。这到底是怎么回事?
A:你用的是Windows Server 2003 企业版吧?董师傅以前也遇到过这样的问题,同一台机器,装的Windows XP Professional或者Windows Server 2003标准版就没问题,但一旦装了Windows Server 2003企业版就不行,出现的现象和你说的一模一样。董师傅认为这是因为摄像头驱动和Windows Server 2003企业版兼容性不好的缘故。可能只有换一个操作系统才能够解决这个问题。
电脑发出怪声是病毒吗
王功亦:我是用笔记本上网的,最近不知中了什么病毒。上网时每隔一段时间就有个声音“皇上驾到”,这让人毛骨悚然,我该怎么办?
A:这不是病毒,那是QQ好友上线的QQ炫铃,你的好友一上线,如果他对你设置的上线通知是这个QQ炫铃,你听到的就是这个。他要付费才能用这个炫铃的。你可以留意一下是哪位QQ好友上线带来的这个声音,然后和他沟通一下,让他不使用这个声音。
装江民防火墙后系统极慢
张龙:我的电脑装了江民防火墙后现在开机时图标出现得很慢,再过一会出现后,机子才正常,可是当打开网页或下载游戏时,又很慢。请问是怎么回事,有什么解决办法?
A:江民防火墙的实时监控功能要占用资源,如你打开电脑、下载或者浏览网页的时候,它要检查端口是否正常、注册表是否被篡改、代码是否安全等等。唯一的办法就是卸载江民防火墙,换用另一款杀毒软件试试。
双击E盘打不开
林书飞:最近的我电脑的E盘双击时老是打不开,双击时会出现一个窗口,上面标注:Windows找不到“setup1.exe”,打开文件类型需要该文件。其他盘不会出现这样的问题。我该怎么办?
A:董师傅认为是木马删除后留下的后遗症。你可以在MS-DOS方式下(Windows 95/98/ME)或者命令行提示符(Windows NT/2000/XP/2003)下,删除E盘根目录的autorun.inf。这样你的问题就解决了。如果这样都不行,你可以尝试对E盘进行格式化。
开机后桌面没有开始菜单和图标
陈特立:我的电脑开机进入系统后,桌面没有了开始菜单和图标,不重装系统,怎样才能正常进入电脑,请你教教我。
A:在开机时按F8进入选择,选择“带命令提示符下安全模式”进入计算机。进入过程有点慢,要耐心等待。 进入以后,再运行regedit.exe,按下列路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 看一下Winlogon子键下的shell键值是什么,如果是“explorer.exe”就没有问题。 同时按Ctrl+Alt+Delete组合键,调出任务管理器,在文件→新建任务→浏览,找到这个文件:C:\system32\restore\rstrui.exe 点确定来运行, 找到以前的一个还原点,还原一下就行。
开机后system32文件夹自动打开
杨武国:我每次开机的时候,Windows下的system32这个文件夹都会自动打开。请问我的系统是不是中了什么病毒?
A:由于原因不详,所以董师傅根据经验,请你到注册表的 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]键下,看看其中某个键的值是否为空或只有一个英文双引号,如果出现这种情况,那么是会出现此问题的。还有就是检查系统中是不是安装了 KV 3000 杀毒王,这个软件的监控程序也容易引起这种问题。