让您一生都受用的电脑知识大搜集（含技巧和系统，安全等类）

[普通效果]

现在很多网站广告做的如火如荼，现在我就来介绍一下常见的对联浮动广告效果的代码使用方法，介绍的这种效果，在1024*768分辨率下正常显示，在800*600的分辨率下可以自动隐藏，以免遮住页面影响访问者浏览内容，下面就是实现效果所需代码：
var delta=0.015
  var collection;
  function floaters() {
    this.items   = [];
    this.addItem   = function(id,x,y,content)
            {
            document.write('<DIV id='+id+' style="Z-INDEX: 0; POSITION: absolute; width:80px; height:60px;left:'+(typeof(x)=='string'?eval(x):x)+';top:'+(typeof(y)=='string'?eval(y):y)+'">'+content+'</DIV>');
            
            var newItem           = {};
            newItem.object         = document.getElementById(id);
            newItem.x           = x;
            newItem.y           = y;

            this.items[this.items.length]     = newItem;
            }
    this.play   = function()
            {
            collection           = this.items
            setInterval('play()',10);
            }
    }
    function play()
    {
        if(screen.width<=800)
        {
          for(var i=0;i<collection.length;i++)
          {
            collection.object.style.display   = 'none';
          }
          return;
        }
        for(var i=0;i<collection.length;i++)
        {
          var followObj     = collection.object;
          var followObj_x     = (typeof(collection.x)=='string'?eval(collection.x):collection.x);
          var followObj_y     = (typeof(collection.y)=='string'?eval(collection.y):collection.y);

          if(followObj.offsetLeft!=(document.body.scrollLeft+followObj_x)) {
            var dx=(document.body.scrollLeft+followObj_x-followObj.offsetLeft)*delta;
            dx=(dx>0?1:-1)*Math.ceil(Math.abs(dx));
            followObj.style.left=followObj.offsetLeft+dx;
            }

          if(followObj.offsetTop!=(document.body.scrollTop+followObj_y)) {
            var dy=(document.body.scrollTop+followObj_y-followObj.offsetTop)*delta;
            dy=(dy>0?1:-1)*Math.ceil(Math.abs(dy));
            followObj.style.top=followObj.offsetTop+dy;
            }
          followObj.style.display   = '';
        }
    }   
   
  var theFloaters     = new floaters();
  theFloaters.addItem('followDiv1','document.body.clientWidth-100',0,'</a><br><a href=广告链接地址 target=_blank><img src=广告图片地址 width=100 height=400 border=0></a>');
  theFloaters.addItem('followDiv2',0,0,'<br><a href=广告链接地址 target=_blank><img src=广告图片地址 width=100 height=400 border=0></a>');
  theFloaters.play();

把上面的代码另存为一个JS文件，然后在想实现此效果的页面用 调用即可！注意修改广告图片地址和连接地址！


[鼠标感应]

与前面一个代码不同的是，当鼠标移动到广告图片上是可以感应显示另外设置好的广告大图效果，下面就是实现效果所需代码：
function bigshow(){
document.all.div_250.style.visibility = 'visible';
document.all.div_80.style.visibility = 'hidden';
}
function bighide(){
document.all.div_80.style.visibility = 'visible';
document.all.div_250.style.visibility = 'hidden';
}

var ad_80= new Array(1);
var ad_250= new Array(1);

ad_80[0]="<a href=http://www.dfeng.net target=_blank><img src=/skin/adv43/ad/ad_ad.gif border=0></a>";
ad_250[0]="<a href=http://www.dfeng.net target=_blank><img src=/skin/adv43/ad/ad_ad2.gif border=0></a>";

var imgheight;
var fubioleft;
window.screen.width>800 ? fubioleft=15:fubioleft=15

document.write('<DIV id=floater_left style="Z-INDEX: 25; LEFT:'+fubioleft+'px; WIDTH: 28pxOSITION: absolute; TOP: 42px; HEIGHT: 22px">');

ad_now = new Date();
ad_id= ad_now.getSeconds() %1



var adhead1="<div id=div_80 style='position:absolute; width:95px; height:62px; z-index:12' onMouseOver=bigshow();>";
var adhead2="</div><div id=div_250 style='position:absolute; visibility: hidden; z-index:13;width: 80; height: 60' onMouseOut=bighide();>";

//var adhead1="<div id=div_80 style='position:absolute; width:95px; height:62px; z-index:20' onMouseOut='//MM_showHideLayers(\"div_250\",\"\",\"hide\")' onMouseOver='MM_showHideLayers(\"div_250\",\"\",\"show\")'>";
//var adhead2="</div><div id=div_250 style='position:absolute; z-index:21;visibility: hidden; width: 80; height: 60' onMouseOver='MM_showHideLayers(\"div_250\",\"\",\"show\")' onMouseOut='MM_showHideLayers(\"div_250\",\"\",\"hide\")'>";

document.write(adhead1+ad_80[ad_id]+adhead2+ad_250[ad_id]+"</div>");



document.write ("</div>");
self.onError=null;
currentX = currentY = 0;
  whichIt = null;      
  lastScrollX = 0; lastScrollY = 0;
  NS = (document.layers) ? 1 : 0;
  IE = (document.all) ? 1: 0;   
  function heartBeat() {
    if(IE) {
diffY = document.body.scrollTop;
diffX = document.body.scrollLeft; }
        if(NS) {
  diffY = self.pageYOffset; diffX = self.pageXOffset; }
    if(diffY != lastScrollY) {
              percent = .5 * (diffY - lastScrollY);
              if(percent > 0) percent = Math.ceil(percent);
              else percent = Math.floor(percent);
      if(IE) document.all.floater_left.style.pixelTop += percent;
      if(NS) document.floater_left.top += percent;
              lastScrollY = lastScrollY + percent;
      }
    if(diffX != lastScrollX) {
    percent = .5 * (diffX - lastScrollX);
    if(percent > 0) percent = Math.ceil(percent);
    else percent = Math.floor(percent);
    if(IE) document.all.floater_left.style.pixelLeft += percent;
    if(NS) document.floater_left.left += percent;
    lastScrollX = lastScrollX + percent;
    }
  }

  if(NS || IE) action = window.setInterval("heartBeat()",1);var ad_80= new Array(1);
var ad_250= new Array(1);

ad_80[0]="<a href=http://www.dfeng.net target=_blank><img src=/skin/adv43/ad/ad_ad.jpg border=0></a>";
ad_250[0]="<a href=http://www.dfeng.net target=_blank><img src=/skin/adv43/ad/ad_ad.jpg border=0></a>";

var imgheight;
var fubioleft;
window.screen.width>800 ? fubioleft=15:fubioleft=15

document.write('<DIV id=floater_right style="Z-INDEX: 25; LEFT:'+fubioleft+'px; WIDTH: 28pxOSITION: absolute; TOP: 42px; HEIGHT: 22px">');

ad_now = new Date();
ad_id= ad_now.getSeconds() %1


function myload()
{
if (navigator.appName == "Netscape")
{
document.div_right_80.pageX=+window.innerWidth-130;
document.div_right_250.pageX=+window.innerWidth-300;
mymove();
}
else
{
div_right_80.style.left=document.body.offsetWidth-130;
div_right_250.style.left=document.body.offsetWidth-300;
mymove();
}
}

function mymove()
{
if(document.ns)
{
document.div_right_80.left=pageXOffset+window.innerWidth-130;
document.div_right_250.left=pageXOffset+window.innerWidth-300;
setTimeout("mymove();",20)
}
else
{
div_right_80.style.left=document.body.scrollLeft+document.body.offsetWidth-145;
div_right_250.style.left=document.body.scrollLeft+document.body.offsetWidth-300;
setTimeout("mymove();",20)
}
}



var adhead1="<div id=div_right_80 style='position:absolute; width:95px; height:60px; z-index:12' onMouseOver=bigshow_right();>";
var adhead2="</div><div id=div_right_250 style='position:absolute; visibility: hidden; z-index:13;width: 250; height: 250' onMouseOut=bighide_right();><div align=right>";

document.write(adhead1+ad_80[ad_id]+adhead2+ad_250[ad_id]+"</div></div>");

myload()

document.write ("</div>");
self.onError=null;
currentX_right = currentY_right = 0;
  whichIt_right = null;      
  lastScrollX_right = 0; lastScrollY_right = 0;
  NS = (document.layers) ? 1 : 0;
  IE = (document.all) ? 1: 0;   
  function heartBeat_right() {
    if(IE) {
diffY_right = document.body.scrollTop;
diffX_right = document.body.scrollLeft; }
        if(NS) {
  diffY_right = self.pageYOffset; diffX_right = self.pageXOffset; }
    if(diffY_right != lastScrollY_right) {
              percent_right = .5 * (diffY_right - lastScrollY_right);
              if(percent_right > 0) percent_right = Math.ceil(percent_right);
              else percent_right = Math.floor(percent_right);
      if(IE) document.all.floater_right.style.pixelTop += percent_right;
      if(NS) document.floater_right.top += percent_right;
              lastScrollY_right = lastScrollY_right + percent_right;
      }
    if(diffX_right != lastScrollX_right) {
    percent_right = .5 * (diffX_right - lastScrollX_right);
    if(percent_right > 0) percent_right = Math.ceil(percent_right);
    else percent_right = Math.floor(percent_right);
    if(IE) document.all.floater_right.style.pixelLeft += percent_right;
    if(NS) document.floater_right.left += percent_right;
    lastScrollX_right = lastScrollX_right + percent_right;
    }
  }

  if(NS || IE) action = window.setInterval("heartBeat_right()",1);
function bigshow_right(){
document.all.div_right_250.style.visibility = 'visible';
document.all.div_right_80.style.visibility = 'hidden';
}
function bighide_right(){
document.all.div_right_80.style.visibility = 'visible';
document.all.div_right_250.style.visibility = 'hidden';
}document.write('');
document.write('');
document.write('');
把上面的代码另存为一个JS文件，然后在想实现此效果的页面用


调用即可，*代表你另存的文件名！注意修改广告图片地址和连接地址！


[允许关闭]

与前面两个代码不同的是，广告图下方增加了一个图片按纽，允许访客点击关闭广告图片，下面文本框中就是实现效果所需代码：
var delta=0.015;
var collection;
var closeB=false;
function floaters() {
this.items = [];
this.addItem = function(id,x,y,content)
    {
  document.write('<DIV id='+id+' style="Z-INDEX: 10; POSITION: absolute; width:80px; height:60px;left:'+(typeof(x)=='string'?eval(x):x)+';top:'+(typeof(y)=='string'?eval(y):y)+'">'+content+'</DIV>');
  
  var newItem   = {};
  newItem.object   = document.getElementById(id);
  newItem.x   = x;
  newItem.y   = y;

  this.items[this.items.length] = newItem;
    }
this.play = function()
    {
  collection   = this.items
  setInterval('play()',30);
    }
}
function play()
{
  if(screen.width<=800 || closeB)
  {
  for(var i=0;i<collection.length;i++)
  {
  collection.object.style.display = 'none';
  }
  return;
  }
  for(var i=0;i<collection.length;i++)
  {
  var followObj = collection.object;
  var followObj_x = (typeof(collection.x)=='string'?eval(collection.x):collection.x);
  var followObj_y = (typeof(collection.y)=='string'?eval(collection.y):collection.y);

  if(followObj.offsetLeft!=(document.body.scrollLeft+followObj_x)) {
  var dx=(document.body.scrollLeft+followObj_x-followObj.offsetLeft)*delta;
  dx=(dx>0?1:-1)*Math.ceil(Math.abs(dx));
  followObj.style.left=followObj.offsetLeft+dx;
  }

  if(followObj.offsetTop!=(document.body.scrollTop+followObj_y)) {
  var dy=(document.body.scrollTop+followObj_y-followObj.offsetTop)*delta;
  dy=(dy>0?1:-1)*Math.ceil(Math.abs(dy));
  followObj.style.top=followObj.offsetTop+dy;
  }
  followObj.style.display = '';
  }
}
function closeBanner()
{
  closeB=true;
  return;
}

var theFloaters = new floaters();
//
theFloaters.addItem('followDiv1','document.body.clientWidth-100',0,'<a onClick="closeBanner();" href=http://www.dfeng.net target=_blank><img src=ad/doublead/right.gif width=100 height=554 border=0></a><br><br><img src=ad/doublead/close.gif onClick="closeBanner();">');
theFloaters.addItem('followDiv2',0,0,'<a onClick="closeBanner();" href=http://www.dfeng.net target=_blank><img src=ad/doublead/ad_ad.gif width=100 height=400 border=0 ></a><br><br><img src=ad/doublead/close.gif onClick="closeBanner();">');
theFloaters.play();

把上面的代码另存为一个JS文件，然后在想实现此效果的页面用 调用即可，*代表你另存的文件名！注意修改广告图片地址和连接地址！

[左侧代码]

如果您想只有一侧显示的话,下面是实现左侧效果所需代码：

var ad_float_left_src ="图片地址";
var ad_float_left_url ="地址";
var ad_float_left_type = "";
document.ns = navigator.appName == "Microsoft Internet Explorer"

var imgheight_close
var imgleft
window.screen.width>800 ? imgheight_close=120:imgheight_close=120
window.screen.width>800 ? imgleft=8:imgleft=122
function myload()
{
myleft.style.top=document.body.scrollTop+document.body.offsetHeigh
t-imgheight_close;
myleft.style.left=imgleft;
leftmove();
}
function leftmove()
{
myleft.style.top=document.body.scrollTop+document.body.offsetHeigh
t-imgheight_close;
myleft.style.left=imgleft;
setTimeout("leftmove();",50)
}

function MM_reloadPage(init) { //reloads the window if Nav4
resized
if (init==true) with (navigator) {if ((appName=="Netscape")&&
(parseInt(appVersion)==4)) {
  document.MM_pgW=innerWidth; document.MM_pgH=innerHeight;
onresize=MM_reloadPage; }}
else if (innerWidth!=document.MM_pgW || innerHeight!
=document.MM_pgH) location.reload();
}
MM_reloadPage(true)

function close_float_left(){
myleft.style.visibility='hidden';
}

document.write("<div id=myleft style='position:
absolute;width:80;top:300;left:5;visibility: visible;z-index: 1'>"
+"<style>"
+"A.closefloat:link,A.refloat:visited {text-
decoration:none;color:#000000;font-size:12px}"
+"A.closefloat:active,A.refloat:hover {text-decoration:underline;color:#0000FF;font-size:12px}"
+"</style>"
+"<table border=0 cellpadding=0 cellspacing=0><tr><td>");

if(document.ns){
if(ad_float_left_type!="swf")
document.write("<a href='" + ad_float_left_url + "' target
= '_blank'><img src='" + ad_float_left_src + "' WIDTH=88
height=31 border=0></a>");
else
document.write("<EMBED src='" + ad_float_left_src + "'
quality=high WIDTH=80 HEIGHT=80 TYPE='application/x-shockwave-
flash' id=changhongout ></EMBED>");

document.write("</td></tr><tr><td width=80 height=20
align=right><a href='javascript:close_float_left();void(0);'
class=closefloat><b><font color=#ff0000>关闭</font></b></a></td></tr>"
+"</table>"
+"</div>");

myload()}
调用即可，*代表你另存的文件名！注意修改广告图片地址和连接地址！相应的参数可以根据页面自行调整。

无线网络安全六种简单技巧

无线网络系统如果没有采取适当的安全措施，无论这个无线系统是安装在家中还是办公室里，都可能引发严重的安全问题。事实上，一些针对住宅区提供互联网服务的提供商已经在他们的服务协议中禁止用户和其它非授权人共享联网服务。一个不安全的无线网络可能造成服务丢失或是被利用来对其他网络发起攻击。为了避免类似的一些无线网络安全漏洞，这里我们介绍六种便捷的无线网络安全技巧。

为什么要关闭网络线路？

　 保证无线接入点安全的关键是禁止非授权用户访问网络。也就是说，安全的接入点对非授权用户是关闭的。保障无线网络的安全比保障有线网络的安全要困难得多。因为有线网络只有有限个固定的接入点，而无线网络可以从天线允许范围内的任意一点接入。

设计天线的放置位置

　 使无线接入点保持封闭的第一步是正确放置天线，从而限制能够到达天线有效范围的信号量。不要把天线放在靠近窗户的地方，因为玻璃不能阻挡无线信号。天线的理想位置是目标覆盖区域的中心，并使泄露到墙外的信号尽可能的少。不过，完全控制无线信号是几乎不可能的，所以还需要同时采取其它一些措施来保证网络安全。

使用无线加密协议

　 无线加密协议（WEP）是无线网络上信息加密的一种标准方法。尽管它存在一些缺点，但对阻止黑客仍然有用。为了使产品安装简单易行，许多无线设备?潭及阉?遣?返某龀?渲蒙柚贸山?筗EP模式，这样做最大的弊病是数据可以被直接从无线网络上读取，因此黑客从你的无线网络建成开始就能立即扫描该无线网络上的各类信息。

改变服务集标识符并且禁止SSID广播

　 服务集标识符（SSID）是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。

　 如果可能的话，还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户，当然这并不是说你的网络不可用，只是它不会出现在可使用网络的名单中。

禁用动态主机配置协议

　 这好象是一个奇怪的安全策略，但是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去破解你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

禁用或修改SNMP设置

　 如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。

使用访问列表

　 为了更好地保护你的网络，尽可能设置一个访问列表。但是，不是所有的无线接入点都支持这一功能。如果你能够这样做的话，你就可以指定某台机器有权访问接入点。支持这项功能的接入点有时利用TFTP（简单文件传输协议）定期地来下载更新访问列表，从而避免了必须使所有设备上的列表保持同步的巨大管理麻烦。

更改IE的默认搜索引擎
　　问：我使用的系统是Windows XP。我用超级兔子IE保护器的功能把搜索引擎改为百度的http://www.baidu.com/baidu，可现在超级兔子IE保护器显示的搜索引擎是百度，但实际使用的还是微软的搜索引擎。请问我该怎么办？

　　答：首先纠正一下，百度的搜索引擎是http://www.baidu.com。在注册表编辑器中找到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant，将这两个键值修改为：http://www.baidu.com。如果由于某种原因确实不能修改，你可以到http://bar.baidu.com安装一个百度搜霸或IE搜索伴侣。它会自动将IE的默认搜索引擎更改为百度的搜索引擎。

更改IE的默认搜索引擎
　　问：我使用的系统是Windows XP。我用超级兔子IE保护器的功能把搜索引擎改为百度的http://www.baidu.com/baidu，可现在超级兔子IE保护器显示的搜索引擎是百度，但实际使用的还是微软的搜索引擎。请问我该怎么办？

　　答：首先纠正一下，百度的搜索引擎是http://www.baidu.com。在注册表编辑器中找到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant，将这两个键值修改为：http://www.baidu.com。如果由于某种原因确实不能修改，你可以到http://bar.baidu.com安装一个百度搜霸或IE搜索伴侣。它会自动将IE的默认搜索引擎更改为百度的搜索引擎。

黑客实施攻击的初步一般是要查到欲攻击目标的IP地址。查他人IP地址的方法有很多，按查找对象来划分，大致可分为四大类（我自己定义的，不准确）：查QQ用户IP地址、聊天室中查IP、查任意一个人的IP地址、查互联网中已知域名主机对应的IP地址。下面我们举例来看看如何查他人IP地址。  


一、查QQ用户IP地址  

1.通过FolkOicq查IP  

　　FolkOicq是个能给QQ添加IP显示补丁的程序，最新版本FolkQQ0530SE_B2。下载后得到一个Zip的压缩包，用Winzip解压出文件QQ2000.EXE，将它复制到QQ的安装目录下（在这之前最好是备份一下原来的QQ2000.exe，防止以后出错不能恢复）。然后运行QQ2000，点一个在线用户，你会发现在QQ号下面有IP地址了。看到61.183.121.18了吗？对！这就是对方的IP地址。  

2.通过IpSniper查IP  

　　IpSniper是针对QQ2000的IP地址查询工具。它支持目前OQ2000所有的版本，在Win98和Win2000操作系统下都可正常工作。当你第一次运行IpSniper程序时，会弹出一个对话框，要求你在“设置”中设置好各个参数。点击“设置”，指定QQ执行文件所在的目录以及文件名，点击“确定”即可。  
下次运行IpSniper，就会直接启动QQ主程序。当你与好友或者陌生人通话的同时，IpSniper会实时的截获通话者的Ip地址、端口号以及对方的QQ号码，并把对方所在地的地理位置一并显示出来  
3.通过防火墙查IP  

　　由于QQ使用的是UDP协议来传送信息的，而UDP是面向无连接的协议，QQ为了保证信息到达对方，需要对方发一个认证，告诉本机，对方已经收到消息，防火墙(例如天网)则带有UDP监听的功能，因此我们就可以利用这个认证来查看IP，哈哈，得来全不费功夫！  

　　现在让我们举一个实际的例子来看看如何用天网查IP。  

　　第一步：打开天网防火墙的UDP监听　  
第二步：向他(她)发送一个消息；  

　　第三步：查看自己所用的QQ服务器地址  
第四步：排除QQ服务器地址，判断出对方的IP地址，怎么样，他(她)跑不掉了吧？闲太麻烦？要知道腾迅的QQ升级速度比火箭都快，用前两个办法总是有版本限制的，用这个方法可是一劳永逸啊！天网下载地址：http://sky.net.cn  
4.通过NetXRay查IP  

　　NetXRay是由Cinco Networks公司开发的一个用于高级分组检错的软件，功能很强大。用一个功能如此强大的武器来查QQ的IP，有点“大才小用”了。  

　　第一步：运行NetXRay，在菜单中选取tools→Matrix  

　　第二步：选择选择下端出现的IP标签。  

　　第三步：按右键，在弹出的菜单中选中Show Select Nodes  

　　第四步：打开QQ和你想查的人聊上一句，同时观察窗口，在数据包发送的那一瞬间颜色有变化的数据线就是你和他之间的IP连线。看看数据线的另一头，那个ip地址  
用NetXRay查QQ用户IP地址的方法还有好几种，其余的方法大家可以自己摸索试试。Netxray下载地址：http://www.sycatv.net/ftp/ftp2/net/NetXRay.ZIP。  

　　查QQ用户IP地址的方法和工具还有很多，这里介绍的方法已经足够你用的了，实在不行，自己找一些这方面的工具用用，很容易的  
二、聊天室中查IP  

1.用IP Hunter  

　　IP Hunter是独孤剑客开发的软件。用IP Hunter在聊天室查IP方法如下：在允许贴图、放音乐的聊天室，利用HTML语言向对方发送图片和音乐，如果把图片或音乐文件的路径设定到自己的IP上来, 那么尽管这个URL地址上的图片或音乐文件并不存在，但你只要向对方发送过去，对方的浏览器将自动来访问你的IP。对于不同的聊天室可能会使用不同的格式，但你只需将路径设定到你的IP上就行了。 实例说明如下：  

　　如：“XXX聊天室”发送格式如下：  

　　发图象：img src="/UpLoadFiles/NewsPhoto/.29alove.jpg"  
　　发音乐：img bgsound="http://61.159.91.29/love.mid"  

　　在IP Hunter的“对方IP地址”栏中就会显示出他(她)的IP。  

　　局限性：如果对方在浏览器中将图象，声音全部禁止了，此方法无能为力。对于使用代理服务器的，此方法也只能查到他所用代理的IP地址，无法查到其真实IP地址。  

2.用F_ip  

　　F_ip是一个网络工具，可以查本地IP和远程IP。用F_ip查IP必须在支持WEB的聊天室才可以使用，也就是说，你可以在聊天室贴自己主页上的图片，你才能使用这个功能。  

　　首先：运行f_ip，看到“http:”页面里有2句html语句，假设你看到的第一条是img src=/UpLoadFiles/NewsPhoto/1.23a001.gif，如果你所在的聊天室也是用这条命令贴图，那么你就可以直接使用它向你想查ip的人发这句话，1分钟之内就会在文本框中输出对方的ip， 如果你所在的聊天室不支持img src=/UpLoadFiles/NewsPhoto/1.23a001.gif语句，就用所在聊天室所用的语句，但记住要把地址换成你的IP。  

3.利用聊天室中的资料文件查IP  

　　有些聊天室的服务器会把使用者的资料或对话及IP地址存为一个文件，并且大多数的服务器并没有将这个文件做加密处理，所以，我们可以通过访问这个文件从而得到用户的IP地址列表。 这些文件通常是叫：online.txt 、userdata.txt 、message.txt、whoisonline.txt、或干脆就叫IP.txt。你只要在浏览器中叫出那个文件来看就可以查看一切了……由于本方法对聊天室威胁太大，因此这里就不介绍具体查找文件的方法了，在此提出的只是个思路而已。  
三、查任意一个人的IP地址  

1.主动查对方的IP  

　　这种查任意一个人IP地址的基本思路是：若想知道对方的地址，只需设法让对方访问自己的IP地址就可以了，一旦对方来访问，也就建立了一个SOCKET连接，我们就可以轻松地捕获他(她)的IP地址。当然前提他得在线。  

　　第一步：申请一个转向域名，如126.com等，并在网上做一个主页(主页无论怎么简单都可以，目的是为了查IP地址嘛)；  

　　第二步：在你想查别人IP的时候，到你申请域名的地方，将链接转到你的IP；  

　　第三步：打开查IP地址的软件，如IP Hunter；  

　　第四步：告诉那个你想查其IP地址的人，想办法(是用甜言蜜语还是美…计，就看你的了)让他去你的网站看看，给他这个转向域名；  

　　第五步：当他输入此网址以后，域名会自动指向你的IP，因此你就能知道他的IP了；  

　　第六步：当你查到他的IP地址后，再将转向的地址改为你网站的地址，达到隐藏的目的。  

2.被动查对方IP  

　　如今的网上真的不大安静，总有些人拿着扫描器扫来扫去。如果你想查那个扫你电脑的人的IP，可用下面的方法。  

　　一种做法是用天网，用软件默认的规则即可。如果有人扫描你的电脑，那么在“日志”中就可以看到那个扫你的人的IP了，他扫描你电脑的哪个端口也可从中看出。由于我们在前面已经讲了用天网查QQ用户IP的方法，因此在这里就不多说了。  

　　另外一种做法是用黑客陷阱软件，如“小猪快跑”、“猎鹿人”等，这些软件可以欺骗对方你的某些端口已经打开，让他误以为你已经中了木马，当他与你的电脑产生连接时，他的IP就记录在这些软件中了。以“小猪快跑”为例，在该软件中有个非常不错的功能：“自定义密码欺骗端口设置”，你可以用它来自定义开启10个端口用来监听，不大明白？OK，下面就以把自己的计算机伪装成中了冰河木马为例，看看可爱的小猪是怎样欺骗对方、如何查到扫描者的IP的吧！点击“端口设置”选“自定义木马欺骗端口设置”，进入“木马欺骗端口设置”对话框。  

　在“木马欺骗端口设置”界面上用鼠标选中“端口1”，“端口数”填冰河木马的默认端口7626，其他不用填，点击“设置完毕”退出。好了，冰河木马欺骗端口设置完毕。  

　　现在回到“小猪快跑”的主界面，点击“开始监视”，工作区内立即出现“7626端口开始监视”的提示，欺骗开始了……  

这时，如果有“灰”客对你的计算机进行扫描，他就会发现你计算机的7626端口开着，这个“灰”客自然会以为你中了木马冰河呢。当他用冰河控制端登陆你的计算机时，冰河会告诉他“命令发送完毕”，由于你没有中木马，所谓的木马是你设置出来的假木马，因此他也就无法再进行下一步了。无论他登陆多少次，都只会看到“命令发送完毕”，而“小猪快跑”的主窗口中却清清楚楚地显示出“xxx.xxx.xxx.xxx试图连接你的7626端口，已经开始欺骗”。其中“xxx.xxx.xxx.xxx”就是对方的IP地址了，知道了对方的IP地址后，你就可以爱怎么办就怎么办了。  
四、查互联网中已知域名主机的IP  

1.用Windows自带的网络小工具Ping.exe  

　　如你想知www.sina.com.cn的IP地址，只要在DOS窗口下键入命令“ping www.sina.com.cn”，就可以看到IP了。  

2.用工具查  

　　这里我们以网络刺客II为例来说说。  

　　网络刺客II是是天行出品的专门为安全人士设计的中文网络安全检测软件，运行网络刺客II，进入主界面，选择“工具箱”菜单下的“IP<->主机名”，出现一个对话框，在“输入IP或域名”下面的框中写入对方的域名(我们这里假设对方的域名为www.sina.com.cn)，点击“转换成IP”按钮，对方的IP就出来了，是202.106.184.200。

看看你的爱机是不是正被别人控制，Windows日志与入侵检测

系统日志源自航海日志：当人们出海远行的时候，总是要做好航海日志，以便为以后的工作做出依据。日志文件作为微软Windows系列操作系统中的一个比较特殊的文件，在安全方面具有无可替代的价值。日志每天为我们忠实的记录着系统所发生一切，利用系统日志文件，可以使系统管理员快速对潜在的系统入侵作出记录和预测，但遗憾的是目前绝大多数的人都忽略了它的存在。反而是因为黑客们光临才会使我们想起这个重要的系统日志文件。
7.1 日志文件的特殊性
要了解日志文件，首先就要从它的特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护，一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等，都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作，否则系统就会很不客气告诉你:访问被拒绝。当然，在纯DOS的状态下，可以对它进行一些常规操作(例如Win98状态下)，但是你很快就会发现，你的修改根本就无济于事，当重新启动Windows 98时，系统将会自动检查这个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录。
7.1.1 黑客为什么会对日志文件感兴趣
黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己，网络上有很多专门进行此类功能的程序，例如Zap、Wipe等。
7.1.2 Windows系列日志系统简介
1.Windows 98的日志文件
因目前绝大多数的用户还是使用的操作系统是Windows 98，所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志，除非有特殊用途，例如，利用Windows 98建立个人Web服务器时，就会需要启用系统日志来作为服务器安全方面的参考，当已利用Windows 98建立个人Web服务器的用户，可以进行下列操作来启用日志功能。
(1)在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关的网络协议，并添加“个人Web服务器”的情况下)。
(2)在“管理”选项卡中单击“管理”按钮； 　　
(3)在“Internet服务管理员”页中单击“WWW管理”； 　　
(4)在“WWW管理”页中单击“日志”选项卡； 　　
(5)选中“启用日志”复选框，并根据需要进行更改。 将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录，则文件将被保存在Windows文件夹中。
普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它，或是启动“任务计划程序”，在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单，只是记录了一些预先设定的任务运行过程，相对于作为服务器的NT操作系统，真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。
2.Windows NT下的日志系统
Windows NT是目前受到攻击较多的操作系统，在Windows NT中，日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类：
系统日志 ：跟踪各种各样的系统事件，记录由 Windows NT 的系统组件产生的事件。例如，在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。
应用程序日志：记录由应用程序或系统程序产生的事件，比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。
安全日志 ：记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件，安全日志的默认状态是关闭的。
Windows NT的日志系统通常放在下面的位置，根据操作系统的不同略有变化。
C:\systemroot\system32\config\sysevent.evt
C:\systemroot\system32\config\secevent.evt
C:\systemroot\system32\config\appevent.evt
Windows NT使用了一种特殊的格式存放它的日志文件，这种格式的文件可以被事件查看器读取，事件查看器可以在“控制面板”中找到，系统管理员可以使用事件查看器选择要查看的日志条目，查看条件包括类别、用户和消息类型。
3.Windows 2000的日志系统
与Windows NT一样，Windows 2000中也一样使用“事件查看器”来管理日志系统，也同样需要用系统管理员身份进入系统后方可进行操作，如图7-1所示。
图7-1
在Windows 2000中，日志文件的类型比较多，通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同而略有变化。启动Windows 2000时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会关闭“安全日志”，但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启，就会无限制的记录下去，直到装满时停止运行。
Windows 2000日志文件默认位置：
应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\sys tem32\config，默认文件大小512KB，但有经验的系统管理员往往都会改变这个默认大小。
安全日志文件：c:\sys temroot\sys tem32\config\SecEvent.EVT
系统日志文件：c:\sys temroot\sys tem32\config\SysEvent.EVT
应用程序日志文件：c:\sys temroot\sys tem32\config\AppEvent.EVT
Internet信息服务FTP日志默认位置：c:\systemroot\sys tem32\logfiles\msftpsvc1\。
Internet信息服务WWW日志默认位置：c:\systemroot\sys tem32\logfiles\w3svc1\。
Scheduler服务器日志默认位置：c:\systemroot\schedlgu.txt 。该日志记录了访问者的IP，访问的时间及请求访问的内容。
因Windows2000延续了NT的日志文件，并在其基础上又增加了FTP和WWW日志，故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显，所以高级黑客们根本不会用这种方法来传文件，取而代之的是使用RCP。FTP日志文件和WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下，默认是每天一个日志文件，
FTP和WWW日志可以删除，但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来，如果用户需要尝试删除这些文件，通过一些并不算太复杂的方法，例如首先停止某些服务，然后就可以将该日志文件删除。具体方法本节略。
Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst，CLA)的工具，有很强的日志管理功能，它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录，而是通过分类的方式将各种事件整理好，让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个网络环境中多个系统的各种活动同时进行分析，避免了一个个单独去分析的麻烦。
4.Windows XP日志文件
说Windows XP的日志文件，就要先说说Internet连接防火墙(ICF)的日志，ICF的日志可以分为两类：一类是ICF审核通过的IP数据包，而一类是ICF抛弃的IP数据包。日志一般存于Windows目录之下，文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format)，分为两部分，分别是文件头(Head Information)和文件主体(Body Information)。文件头主要是关于Pfirewall.log这个文件的说明，需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息，包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式，这与在常用日志分析工具中使用的格式类似。 当我们在WindowsXP的“控制面板”中，打开事件查看器，如图7-2所示。
就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件，当你单击其中任一文件时，就可以看见日志文件中的一些记录，如图7-3所示。
图7-2 图7-3
在高级设备中，我们还可以进行一些日志的文件存放地址、大小限制及一些相关操作，如图7-4所示。
图7-4
若要启用对不成功的连接尝试的记录，请选中“记录丢弃的数据包”复选框，否则禁用。另外，我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。
5.日志分析
当日志每天都忠实的为用户记录着系统所发生的一切的时候，用户同样也需要经常规范管理日志，但是庞大的日志记录却又令用户茫然失措，此时，我们就会需要使用工具对日志进行分析、汇总，日志分析可以帮助用户从日志记录中获取有用的信息，以便用户可以针对不同的情况采取必要的措施。
7.2 系统日志的删除
因操作系统的不同，所以日志的删除方法也略有变化，本文从Windows 98和Windows 2000两种有明显区别的操作系统来讲述日志的删除。
7.2.1 Windows 98下的日志删除
在纯DOS下启动计算机，用一些常用的修改或删除命令就可以消除Windows 98日志记录。当重新启动Windows98后，系统会检查日志文件的存在，如果发现日志文件不存在，系统将自动重建一个，但原有的日志文件将全部被消除。
7.2.2 Windows 2000的日志删除
Windows 2000的日志可就比Windows 98复杂得多了，我们知道，日志是由系统来管理、保护的，一般情况下是禁止删除或修改，而且它还与注册表密切相关。在Windows 2000中删除日志首先要取得系统管理员权限，因为安全日志和系统日志必须由系统管理员方可查看，然后才可以删除它们。
我们将针对应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件，就必须停止系统对日志文件的保护功能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件，但安全日志就必须要使用系统中的“事件查看器”来控制它，打开“控制面板”的“管理工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单，点击它如图7-5所示。
图7-5
输入远程计算机的IP，然后需要等待，选择远程计算机的安全性日志，点击属性里的“清除日志”按钮即可。
7.3 发现入侵踪迹
如何当入侵者企图或已经进行系统的时候，及时有效的发现踪迹是目前防范入侵的热门话题之一。发现入侵踪迹的前题就是应该有一个入侵特征数据库，我们一般使用系统日志、防火墙、检查IP报头(IP header)的来源地址、检测Email的安全性以及使用入侵检测系统(IDS)等来判断是否有入侵迹象。
我们先来学习一下如何利用端口的常识来判断是否有入侵迹象：
电脑在安装以后，如果不加以调整，其默认开放的端口号是139，如果不开放其它端口的话，黑客正常情况下是无法进入系统的。如果平常系统经常进行病毒检查的话，而突然间电脑上网的时候会感到有反应缓慢、鼠标不听使唤、蓝屏、系统死机及其它种种不正常的情况，我们就可以判断有黑客利用电子信件或其它方法在系统中植入的特洛伊木马。此时，我们就可以采取一些方法来清除它，具体方法在本书的相关章节可以查阅。
7.3.1 遭受入侵时的迹象
入侵总是按照一定的步骤在进行，有经验的系统管理员完全可以通过观察到系统是否出现异常现象来判断入侵的程度。
1.扫描迹象
当系统收到连续、反复的端口连接请求时，就可能意味着入侵者正在使用端口扫描器对系统进行外部扫描。高级黑客们可能会用秘密扫描工具来躲避检测，但实际上有经验的系统管理员还是可以通过多种迹象来判断一切。
2.利用攻击
当入侵者使用各种程序对系统进行入侵时，系统可能报告出一些异常情况，并给出相关文件(IDS常用的处理方法)，当入侵者入侵成功后，系统总会留下或多或少的破坏和非正常访问迹象，这时就应该发现系统可能已遭遇入侵。
3.DoS或DDoS攻击迹象
这是当前入侵者比较常用的攻击方法，所以当系统性能突然间发生严重下降或完全停止工作时，应该立即意识到，有可能系统正在遭受拒绝服务攻击，一般的迹象是CPU占用率接近90%以上，网络流量缓慢、系统出现蓝屏、频繁重新启动等。
7.3.2 合理使用系统日志做入侵检测
系统日志的作用和重要性大家通过上几节的讲述，相信明白了不少，但是虽然系统自带的日志完全可以告诉我们系统发生的任何事情，然而，由于日志记录增加得太快了，最终使日志只能成为浪费大量磁盘空间的垃圾，所以日志并不是可以无限制的使用，合理、规范的进行日志管理是使用日志的一个好方法，有经验的系统管理员就会利用一些日志审核工具、过滤日志记录工具，解决这个问题。
要最大程度的将日志文件利用起来，就必须先制定管理计划。
1.指定日志做哪些记录工作？
2.制定可以得到这些记录详细资料的触发器。
7.3.3 一个比较优秀的日志管理软件
要想迅速的从繁多的日志文件记录中查找到入侵信息，就要使用一些专业的日志管理工具。Surfstats Log Analyzer4.6就是这么一款专业的日志管理工具。网络管理员通过它可以清楚的分析“log”文件，从中看出网站目前的状况，并可以从该软件的“报告”中，看出有多少人来过你的网站、从哪里来、在系统中大量地使用了哪些搜寻字眼，从而帮你准确地了解网站状况。
这个软件最主要的功能有：
1、整合了查阅及输出功能，并可以定期用屏幕、文件、FTP或E-mail的方式输出结果；
2.可以提供30多种汇总的资料；
3.能自动侦测文件格式，并支持多种通用的log文件格式，如MS IIS的W3 Extended log格式；
4.在“密码保护”的目录里，增加认证(Authenticated)使用者的分析报告；
5.可按每小时、每星期、或每月的模式来分析；
6.DNS资料库会储存解析(Resolved)的IP地址；
7.每个分析的画面都可以设定不同的背景、字型、颜色。
发现入侵踪迹的方法很多，如入侵检测系统IDS就可以很好的做到这点。下一节我们将讲解详细的讲解入侵检测系统。
7.4 做好系统入侵检测
7.4.1 什么是入侵检测系统
在人们越来越多和网络亲密接触的同时，被动的防御已经不能保证系统的安全，针对日益繁多的网络入侵事件，我们需要在使用防火墙的基础上选用一种协助防火墙进行防患于未然的工具，这种工具要求能对潜在的入侵行为作出实时判断和记录，并能在一定程度上抗击网络入侵，扩展系统管理员的安全管理能力，保证系统的绝对安全性。使系统的防范功能大大增强，甚至在入侵行为已经被证实的情况下，能自动切断网络连接，保护主机的绝对安全。在这种情形下，入侵检测系统IDS(Intrusion Detection System)应运而生了。入侵检测系统是基于多年对网络安全防范技术和黑客入侵技术的研究而开发的网络安全产品
它能够实时监控网络传输，自动检测可疑行为，分析来自网络外部入侵信号和内部的非法活动，在系统受到危害前发出警告，对攻击作出实时的响应，并提供补救措施，最大程度地保障系统安全。
NestWatch
这是一款运行于Windows NT的日志管理软件，它可以从服务器和防火墙中导入日志文件，并能以HTML的方式为系统管理员提供报告。
7.4.2 入侵检测系统和日志的差异
系统本身自带的日志功能可以自动记录入侵者的入侵行为，但它不能完善地做好入侵迹象分析记录工作，而且不能准确地将正常的服务请求和恶意的入侵行为区分开。例如，当入侵者对主机进行CGI扫描时，系统安全日志能提供给系统管理员的分析数据少得可怜，几乎全无帮助，而且安全日志文件本身的日益庞大的特性，使系统管理员很难在短时间内利用工具找到一些攻击后所遗留下的痕迹。入侵检测系统就充分的将这一点做的很好，利用入侵检测系统提供的报告数据，系统管理员将十分轻松的知晓入侵者的某些入侵企图，并能及时做好防范措施。
7.4.3 入侵检测系统的分类
目前入侵检测系统根据功能方面，可以分为四类：
1.系统完整性校验系统(SIV)
SIV可以自动判断系统是否有被黑客入侵迹象，并能检查是否被系统入侵者更改了系统文件，以及是否留有后门(黑客们为了下一次光顾主机留下的)，监视针对系统的活动(用户的命令、登录/退出过程，使用的数据等等)，这类软件一般由系统管理员控制。
2.网络入侵检测系统(NIDS)
NIDS可以实时的对网络的数据包进行检测，及时发现端口是否有黑客扫描的迹象。监视计算机网络上发生的事件，然后对其进行安全分析，以此来判断入侵企图；分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视，中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。
3.日志分析系统(LFM)
日志分析系统对于系统管理员进行系统安全防范来说，非常重要，因为日志记录了系统每天发生的各种各样的事情，用户可以通过日志记录来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志分析系统的主要功能有：审计和监测、追踪侵入者等。日志文件也会因大量的记录而导致系统管理员用一些专业的工具对日志或者报警文件进行分析。此时，日志分析系统就可以起作用了，它帮助系统管理员从日志中获取有用的信息，使管理员可以针对攻击威胁采取必要措施。
4.欺骗系统(DS)
普通的系统管理员日常只会对入侵者的攻击作出预测和识别，而不能进行反击。但是欺骗系统(DS)可以帮助系统管理员做好反击的铺垫工作，欺骗系统(DS)通过模拟一些系统漏洞来欺骗入侵者，当系统管理员通过一些方法获得黑客企图入侵的迹象后，利用欺骗系统可以获得很好的效果。例如重命名NT上的administrator账号，然后设立一个没有权限的虚假账号让黑客来攻击，在入侵者感觉到上当的时候，管理员也就知晓了入侵者的一举一动和他的水平高低。
7.4.4 入侵检测系统的检测步骤
入侵检测系统一般使用基于特征码的检测方法和异常检测方法，在判断系统是否被入侵前，入侵检测系统首先需要进行一些信息的收集。信息的收集往往会从各个方面进行。例如对网络或主机上安全漏洞进行扫描，查找非授权使用网络或主机系统的企图，并从几个方面来判断是否有入侵行为发生。
检测系统接着会检查网络日志文件，因为黑客非常容易在会在日志文件中留下蛛丝马迹，因此网络日志文件信息是常常作为系统管理员检测是否有入侵行为的主要方法。取得系统管理权后，黑客们最喜欢做的事，就是破坏或修改系统文件，此时系统完整性校验系统(SIV)就会迅速检查系统是否有异常的改动迹象，从而判断入侵行为的恶劣程度。将系统运行情况与常见的入侵程序造成的后果数据进行比较，从而发现是否被入侵。例如：系统遭受DDoS分布式攻击后，系统会在短时间内性能严重下降，检测系统此时就可以判断已经被入侵。
入侵检测系统还可以使用一些系统命令来检查、搜索系统本身是否被攻击。当收集到足够的信息时，入侵检测系统就会自动与本身数据库中设定的已知入侵方式和相关参数匹配，检测准确率相当的高，让用户感到不方便的是，需要不断的升级数据库。否则，无法跟上网络时代入侵工具的步伐。入侵检测的实时保护功能很强，作为一种“主动防范”的检测技术，检测系统能迅速提供对系统攻击、网络攻击和用户误操作的实时保护，在预测到入侵企图时本身进行拦截和提醒管理员预防。
7.4.5 发现系统被入侵后的步骤
1.仔细寻找入侵者是如何进入系统的，设法堵住这个安全漏洞。
2.检查所有的系统目录和文件是否被篡改过，尽快修复。
3.改变系统中的部分密码，防止再次因密码被暴力破解而生产的漏洞。
7.4.6 常用入侵检测工具介绍
1.NetProwler
作为世界级的互联网安全技术厂商，赛门铁克公司的产品涉及到网络安全的方方面面，特别是在安全漏洞检测、入侵检测、互联网内容/电子邮件过滤、远程管理技术和安全服务方面，赛门铁克的先进技术的确让人惊叹！NetProwler就是一款赛门铁克基于网络入侵检测开发出的工具软件，NetProwler采用先进的拥有专利权的动态信号状态检测(SDSI)技术，使用户能够设计独特的攻击定义。即使最复杂的攻击也可以由它直观的攻击定义界面产生。
(1)NetProwler的体系结构
NetProwler具有多层体系结构，由Agent、Console和Manager三部分组成。Agent负责监视所在网段的网络数据包。将检测到的攻击及其所有相关数据发送给管理器，安装时应与企业的网络结构和安全策略相结合。Console负责从代理处收集信息，显示所受攻击信息，使你能够配置和管理隶属于某个管理器的代理。Manager对配置和攻击警告信息响应，执行控制台发布的命令，将代理发出的攻击警告传递给控制台。
当NetProwler发现攻击时，立即会把攻击事件记入日志并中断网络连接、创建一个报告，用文件或E-mail通知系统管理员，最后将事件通知主机入侵检测管理器和控制台。
(2)NetProwler的检测技术
NetProwler采用具有专利技术的SDSI(Stateful Dynamic Signature Inspection状态化的动态特征检测)入侵检测技术。在这种设计中，每个攻击特征都是一组指令集，这些指令是由SDSI虚处理器通过使用一个高速缓存入口来描述目前用户状态和当前从网络上收到数据包的办法执行。每一个被监测的网络服务器都有一个小的相关攻击特征集，这些攻击特征集都是基于服务器的操作和服务器所支持的应用而建立的。Stateful根据监视的网络传输内容，进行上下文比较，能够对复杂事件进行有效的分析和记录
基于SDSI技术的NetProwler工作过程如下：
第一步：SDSI虚拟处理器从网络数据中获取当今的数据包；
第二步：把获取的数据包放入属于当前用户或应用会话的状态缓冲中；
第三步：从特别为优化服务器性能的特征缓冲中执行攻击特征；
第四步：当检测到某种攻击时，处理器立即触发响应模块，以执行相应的响应措施。
(3)NetProwler工作模式
因为是网络型IDS，所以NetProwler根据不同的网络结构，其数据采集部分(即代理)有多种不同的连接形式：如果网段用总线式的集线器相连，则可将其简单的接在集线器的一个端口上即可。
(4)系统安装要求
用户将NetProwler Agent安装在一台专门的Windows NT工作站上，如果NetProwler和其他应用程序运行在同一台主机上，则两个程序的性能都将受到严重影响。网络入侵检测系统占用大量的资源，因此制造商一般推荐使用专门的系统运行驱动引擎，要求它有128M RAM和主频为400MHz的Intel Pentium II或Pentium

1.使用逻辑词辅助查找
比较大的搜索引擎都支持使用逻辑词进行更复杂的搜索界定，常用的有:AND(和)、OR(或)、NOT(否，有些是AND NOT)及NEAR(两个单词的靠近程度)，恰当应用它们可以使结果非常精确，另外，也可以使用括号将搜索词分别组合，如在http://www.liszt.con(Liszt)里(music or jazz) and edu) not ("bill morrissey" or indiana)。
**********************************************************
**********************************************************
2.使用双引号进行精确查找
如果查找的是一个词组或多个汉字，最好的办法就是将它们用双引号括起来，这样得到的结果最少、最精确。例如在搜索引擎的Search(查询)框中输入"search engine"，这会比输入search engine得到更少、更好的结果。如果按上述方法查不到任何结果，可以去掉双引号试试。
**********************************************************
**********************************************************
3.使用加减号限定查找
很多搜索引擎都支持在搜索词前冠以加号(+)限定搜索结果中必须包含的词汇，用减号(-)限定搜索结果不能包含的词汇。
**********************************************************
**********************************************************
4.有针对性地选择搜索引擎
用不同的搜索引擎进行查询得到的结果常常有很大的差异，这是因为它们的设计目的和发展走向存在着许多的不同，比如ejanews(http://www.dejanews.com)是专用于USENET的搜索引擎，而Liszt(http://www.liszt.com)则是针对邮递列表、IRC等的搜索引擎。
**********************************************************
**********************************************************
5.逐步细化法
按照搜索引擎的分类一层一层地点击下去，这对一些关键字不太确定的资料查询十分有效。Yahoo把网上的各种资料归类整理，分得很细，有休闲与运动、娱乐、健康与医药、艺术与人文等很多类别，而且有每一大类的链接进入后分成很多小类，一层一层地进入链接，分类也就越来越细，离你的目标也就越来越近。由于都是链接形式，所以使用起来又方便又简单，不用我多说了吧。
**********************************************************
**********************************************************
6.根据要求选择查询方法
如果需要快速找到一些相关性比较大的信息，可以使用目录式搜索引擎的查找功能，如使用Yahoo(http://www.yahoo.com)。如果想得到某一方面比较系统的资源信息，可以使用目录一级一级地进行查找。如果要找的信息比较冷门，应该用比较大的全文搜索引擎查找，如Altavista(http://www.altavista.digital.com/)或Hotbot(http://www.hotbot.com/)。
**********************************************************
**********************************************************
7.注意细节
在Internet上进行查询时如果能注意一些细节问题，常常能增加搜索结果的准确性，如许多搜索引擎都区分字母的大小写，因此，如果您正在搜索人名或地名等关键词，应该正确使用它们的大小写字母形式。
**********************************************************
**********************************************************
8.利用搜索引擎的特性进行查找
不同的搜索引擎有一些专用的特性，应用它们可以使查询事半功倍，比如:若想知道某个新闻组上最近一段时间发表的文章，可以在Dejanews的查找框中输入"～g 组名"，例如"～g comp.lang.java.programmer"。
**********************************************************
**********************************************************
9.使用多元搜索引擎
多元搜索引擎是一种只需输入一次关键词就可以对多个搜索引擎进行查询的搜索代理网站，如Searchspaniel(http://www.searchspaniel.com/)就可以同时对200多个搜索引擎进行查询。
**********************************************************
**********************************************************
10.利用选项界定查询
目前越来越多的搜索引擎开始提供更多的查询选项，利用这些选项人们可以轻松地构造比较复杂的搜索模式，进行更为精确的查询，并且能更好地控制查询结果的显示。
**********************************************************
**********************************************************
11.尽可能将搜索范围限制在特定的领域里
比如：在 Yahoo 中文网站中，你要查找的是与电脑相关的知识，那么你没有必要让搜索引擎在休闲与运动、健康与医药、艺术与人文等其他分类中查找。你可以进入“电脑与因特网”这一类，选中“检索此目录下的网站”。然后再开始搜索。
**********************************************************
**********************************************************
12.使用更特定的词汇
比如，不用“服装”，而用“西服”；不用“ flower ”而用“ rose ”。 但要尽可能删去一些同义词或近义词。
**********************************************************
**********************************************************
13.指定关键词出现的字段
在关键词前加t:，搜索引擎将仅在网站名称中查询，即只显示在网站名称中包含关键字的网站。
在关键词前加u:，搜索引擎将仅在网址（URL）中查询。
**********************************************************
**********************************************************
14.限制查询范围
范围限制的能力越强，则越能准确地找到需要的信息。搜索引擎提供的范围限制类型大体有分类范围、地域范围、时间范围、网站类型范围以及其他特殊范围。一些搜索引擎，提供了许多特殊范围的限定，如域名后缀（com、gov、org等）、文件类型（文本、图形、声音等）。这些范围限制、实现的方法各不相同：有些是通过在关键词前加特殊的字符，有些是通过下拉式菜单。
**********************************************************
**********************************************************
15.尽量少用空格
在输入汉字作关键词的时候，不要在汉字后追加不必要的空格，因为空格将被认作特殊操作符，其作用与AND一样。比如，你输入了这样的关键词“电 脑”，那么它不会被当作一个完整词“电脑”去查询，由于中间有空格，会被认为是需要查出所有同时包含“电”“脑”两个字的文档，这个范围就要比“电脑”作关键词的查询结果大多了，更重要的是它偏离了本来的含义。
**********************************************************
**********************************************************
16.修改IE浏览器的默认搜索引擎
在IE4.0/IE5.0的工具栏上，点击“搜索”图标，IE就会调用缺省的搜索引擎Excite为你检索。要想改变缺省的搜索引擎，你必须改动Win98的注册表。IE4.0修改方法是：关闭IE，打开注册表编辑器，找到[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]，在右侧窗格中双击“查找”，输入要改变的默认搜索引擎网址，例如把缺省搜索引擎改为google，此时就键入http://www.google.com/。
IE5.0/6.0修改方法是：打开注册表编辑器，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]，在右侧窗格中修改CustomizeSearch和SearchAssistant的内容，输入要改变的默认搜索引擎网址。
**********************************************************
**********************************************************
17.使用词组提速搜索
如果只给出一个单词进行搜索，那么将发现数以千计甚至以百万计的匹配网页。然而如果再加上一个单词，那么搜索结果会更加切题。在搜索时，给出两个关键词，并将两个词用AND(与逻辑)结合起来，或者在每个词前面加上加号，这种与逻辑技术大大地缩小了命中范围，从而加快了搜索。幸运的是，所有主要的搜索引擎都使用同样有语法。一个带引号的词组意味着只有完全匹配该词组(包括空格)的网页才是要搜索的网页。例如在搜索说明中，有“this exact phrase(这个确切词组)”这个词组，那么搜索引擎只搜索包含“this exact phrase(这个确切词组)”的网页。
**********************************************************
**********************************************************
18.如何运用词组选择
一般说来在网页搜索引擎中，用词组搜索来缩小范围从而找到搜索结果是最好的办法。但是，运用词组搜索涉及到如何使用一个词组来表达某一具体问题。有时简单地输入一个问题作为词组就能奏效，尤其是在Altavista这个站点上，因为它采用了“Ask Jeeves”引擎技术，该技术就常见问题给出预置的答案。
在Altavista上输入“ Why is the sky blue(为什么天是蓝的)”，就会在“Ask Jeeves"部分找到答案，并给出若干网页回答这个问题。然而简单明了的提问方法只对一部分搜索奏效。其他词组也可以作为搜索条件，尤其这些词组中有一个词十分独特或者该词组是几个词独特的组合。试一试用人名、产品名、甚至是嵌入程序中的字符串去搜索。
**********************************************************
**********************************************************
19.巧妙利用错误信息
将全部或部分错误信息作为词组进行搜索。比如：当夏时制时间变化时，Netscape Navigator (浏览器)会产生一条错误信息，该信息包含词组“book marks have changed on disk(磁盘书签已变动)”。在google或HotBot站点上输入该词组，就会找到对该问题的解释以及如何处理。
**********************************************************
**********************************************************
20.最容易忽视的搜索方法
有时词组搜索太精确或者一个词组无法准确表达所需信息。那么可以直接到信息源，这种技术“简单得似乎不值一提”，但却很有效。根本不用搜索引擎，直接到提供某种信息组织的站点去。很多时候我们可以用公式“www.公司名.com”去猜测某一组织的站点。如果猜不中，那么到Yahoo去，或用搜索引擎。例如，要找Dell公司现有附件的说明书，直接去该站点www.dell.com，想知道Oracle公司有什么新闻，试一试www.oracle.com，然后再去新闻栏看一看。人们在搜索引擎中得到很多无用信息，却忘了试一试该方法。这种技术还可用于其他搜索目的，并不一定与公司有关。政府机构、职业协会、教育机构也可以提供很好的信息资源。有关人口统计请去www.census.gov，还能去www.acm.org看看最近的会议清单。
**********************************************************
**********************************************************
21.从页面上部或底部寻找作者姓名、组织机构名称或公司名称
如果是个人页面，那么是否有作者的简介，看看他的受教育程度、职位、所属单位等；如果是一个组织机构或公司，是否有详细的介绍页面，其历史怎样？发布这些信息的目的如何？这些个人或单位你是否听说过？是否是你所熟悉的？信誉是否良好？等这些都有助于让你判读出其页面内容的可信程度。
**********************************************************
**********************************************************
22.从URL上可以得到一些该网站的线索
比如：凡带“ ~ ”符号的大都是个人主页。从域名的后缀上也可以得到一些大概的线索：
.edu 是教育类网站，既可能是严肃的学术研究，也可能是学生随意制作的主页。
.gov 或 .gov.cn 是政府网站，一般比较权威、可靠，不会随意发布不准确的信息。
.com 或 .com.cn 是商业网站，最常见。在介绍自己的产品时往往会夸大其辞，所以要注意“批判”性地接受。
.net 网络服务公司，为商业或个人用户提供服务。
.org 一般是非赢利性组织，其观点可能带有倾向性。
**********************************************************
**********************************************************
23.点到该站点的主页上，看一下该组织的相关资料
如果页面上没有其主页的链接，可以直接访问域名前部的地址，那往往就是该网站的首页。如： http://www.chinabyte.com/staticp ... r_schedule/asp.html 这一大串网址，你只需要把地址中“/staticpages”以后的所有字母都删去，只留下 http://www.chinabyte.com，然后敲回车，往往就能看到该网址的首页。

很多资料性的网络文章，往往在网页禁止使用“复制”、“粘贴”命令。
破解方法很简单： 单击IE浏览器的“工具”——“internet选项”——“安全”，将其中的“internet”的安全级别设为最高级别，“确定”后刷新网页即可。
安全级别最高的时候，一切控件和脚本均不能运行，再厉害的网页限制手段统统全部作废。

1、测试物理网络

命令：ping 192.168.0.8 －t ，参数－t是等待用户去中断测试

友情提示：这个是最基本，最常用的网络命令



2.查看DNS、IP、Mac等信息

A.Win98：winipcfg

B.Win2000以上：Ipconfig/all



3.网络信使

命令：Net send 计算机名/IP　* (广播) 传送内容，注意不能跨网段

命令：net stop messenger 停止信使服务，也可以在面板－服务修改

命令：net start messenger 开始信使服务



4.探测对方计算机名，所在的组、域及当前用户名 （追捕的工作原理）

命令：ping －a IP －t ，只显示NetBios名

命令：nbtstat -a IP 比较全的



5.netstat -a 显示出你的计算机当前所开放的所有端口

命令：netstat -s -e

比较详细的显示你的网络资料，包括TCP、UDP、ICMP 和 IP的统计等



6.探测arp绑定（动态和静态）列表，显示所有连接了我的计算机，显示对方IP和MAC地址

命令：arp -a


7.在代理服务器端

捆绑IP和MAC地址，解决局域网内盗用IP！：

命令：ARP －s 192.168.10.59 00 －50－ff－6c－08－75

解除网卡的IP与MAC地址的绑定：

命令：arp -d 网卡IP



8.在网络邻居上隐藏你的计算机

命令：net config server /hidden:yes

命令：net config server /hidden:no 则为开启



9.net命令

A.显示当前工作组服务器列表 net view，当不带选项使用本命令时，它就会显示当前域或网络上的计算机上的列表。

比如：查看这个IP上的共享资源，就可以

C:\>net view 192.168.10.8

在 192.168.10.8 的共享资源

资源共享名 类型 用途 注释

网站服务 Disk

命令成功完成。

B.查看计算机上的用户帐号列表 net user

C.查看网络链接 net use

例如：net use z: \192.168.10.8\movie 将这个IP的movie共享目录映射为本地的Z盘

D.记录链接 net session

例如: C:\>net session

计算机 用户名 客户类型 打开空闲时间

\192.168.10.110 ROME Windows 2000 2195 0 00:03:12

\192.168.10.51 ROME Windows 2000 2195 0 00:00:39

命令成功完成。


10.路由跟踪命令

A.tracert software.pchome.net

B.pathping software.pchome.net 除了显示路由外，还提供325S的分析，计算丢失包的％。



11.关于共享安全的几个命令

A.查看你机器的共享资源 net share

B.手工删除共享（可以编个bat文件，开机自运行，把共享都删了！）

命令：net share c$ /d

命令：net share d$ /d

命令：net share ipc$ /d

命令：net share admin$ /d

注意$后有空格。

C.增加一个共享：

c:\net share mymovie=e:\downloads\movie /users:1

mymovie 共享成功。

同时限制链接用户数为1人。



12.在DOS行下设置静态IP

A.设置静态IP

CMD

netsh

netsh>int

interface>ip

interface ip>set add "本地链接" static IP地址 mask gateway

B.查看IP设置

interface ip>show address

Arp

显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息

让IE以最大化显示
　　问：我使用的*作系统是Windows 2000，上网一段时间后，突然发觉IE无法以最大化显示，把IE重装一遍后，也无法解决这个问题，请问我该怎么办？

　　答：在“运行”中输入regedit打开注册表编辑器，选择“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\”，在右边的窗口中删除“Window_Placement”键，在 “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Old Work-Areas”右边窗口中删除“OldWorkAreaRects”键。关闭注册表编辑器，重新启动计算机，连续两次最大化IE窗口(即“最大化→还原→最大化”)，再次重新启动IE就可以了。

让你的ＱＱ超动速度加快

在开机第一次启动ＱＱ的时候，会加载一个TIMPlatform进程，目的是为了避免同时登陆两个相同的ＱＱ号吗，虽然这个进程加载的很快，但是多少也影响点速度，加载了这个进程后也不能同时登陆两个相同的ＱＱ号码，而且是进程就占用系统资源，可以说是百害而无一利，有米有办法让其不加载呢？办法当然是有的。

　　办法很简单，找到ＱＱ目录里的TIMPlatform.exe文件，然后按Shift+Delete将其删除，ＯＫ，大功告成，看看ＱＱ启动速度素不素快了？至少也要快1秒！（如果你的电脑是古董级的，登陆速度会明显加快哟！）而且现在也能同时登陆两个相同的ＱＱ号码了，还能倒出一点点CPU和内存来，素不素不错噢。