返回列表 发帖
好长好长的技术帖啊,楼主辛苦啊

TOP

第三部分--附录

每个用户的硬盘中都存放着大量的有用数据,而硬盘又是一个易出毛病的配件。为了有效的保存硬盘中的数据,除了有效的保存硬盘中的数据,备份工作以外,还要学会在硬盘出现故障时如何救活硬盘,或者提取其中的有用数据,把损失降到最小程度。

1、系统不承认硬盘

此类故障比较常见,即从硬盘无法启动,从A盘启动也无法进入C盘,使用CMOS中的自动监测功能也无法发现硬盘的存在。这种故障大都出现在连接电缆或IDE口端口上,硬盘本身的故障率很少,可通过重新插拔硬盘电缆或者改换IDE口及电缆等进行替换试验,可很快发现故障的所在。如果新接上的硬盘不承认,还有一个常见的原因就是硬盘上的主从条线,如果硬盘接在IDE的主盘位置,则硬盘必须跳为主盘状,跳线错误一般无法检测到硬盘。

2、CMOS引起的故障

CMOS的正确与否直接影响硬盘的正常使用,这里主要指其中的硬盘类型。好在现在的机器都支持"IDEautodetect"的功能,可自动检测硬盘的类型。当连接新的硬盘或者更换新的硬盘后都要通过此功能重新进行设置类型。当然,现在有的类型的主板可自动识别硬盘的类型。当硬盘类型错误时,有时干脆无法启动系统,有时能够启动,但会发生读写错误。比如CMOS中的硬盘类型小于实际的硬盘容量,则硬盘后面的扇区将无法读写,如果是多分区状态则个别分区将丢失。还有一个重要的故障原因,由于目前的IDE都支持逻辑参数类型,硬盘可采用Normal、LBA、Large等。如果在一般的模式下安装了数据,而又在CMOS中改为其他的模式,则会发生硬盘的读写错误故障,因为其物理地质的映射关系已经改变,将无法读取原来的正确硬盘位置。

3、主引导程序引起的启动故障

硬盘的主引导扇区是硬盘中的最为敏感的一个配件,其中的主引导程序是它的一部分,此段程序主要用于检测硬盘分区的正确性,并确定活动分区,负责把引导权移交给活动分区的DOS或其他操作系统。此段程序损坏将无法从硬盘引导,但从软区或光区之后可对硬盘进行读写。修复此故障的方法较为简单,使用高版本DOS的fdisk最为方便,当带参数/mbr运行时,将直接更换(重写)硬盘的主引导程序。实际上硬盘的主引导扇区正是此程序建立的,fdisk.exe之中包含有完整的硬盘主引导程序。虽然DOS版本不断更新,但硬盘的主引导程序一直没有变化,从DOS3.x到目前有winDOS95的DOS,所以只要找到一种DOS引导盘启动系统并运行此程序即可修复。

4、分区表错误引导的启动故障

分区表错误是硬盘的严重错误,不同错误的程度会造成不同的损失。如果是没有活动分区标志,则计算机无法启动。但从软驱或光驱引导系统后可对硬盘读写,可通过fdisk重置活动分区进行修复。如果是某一分区类型错误,可造成某一分区的丢失。分区表的第四个字节为分区类型值,正常的可引导的大于32mb的基本DOS分区值为06,而扩展的DOS分区值是05。如果把基本DOS分区类型改为05则无法启动系统,并且不能读写其中的数据。如果把06改为DOS不识别的类型如efh,则DOS认为改分区不是DOS分区,当然无法读写。很多人利用此类型值实现单个分区的加密技术,恢复原来的正确类型值即可使该分区恢复正常。分区表中还有其他数据用于纪录分区的起始或终止地址。这些数据的损坏将造成该分区的混乱或丢失,一般无法进行手工恢复,唯一的方法是用备份的分区表数据重新写回,或者从其他的相同类型的并且分区状况相同的硬盘上获取分区表数据,否则将导致其他的数据永久的丢失。在对主引导扇区进行操作时,可采用nu等工具软件,操作非常的方便,可直接对硬盘主引导扇区进行读写或编辑。当然也可采用debug进行操作,但操作繁琐并且具有一定的风险。

5、分区有效标志错误引起的硬盘故障

在硬盘主引导扇区中还存在一个重要的部分,那就是其最后的两个字节:55aah,此字为扇区的有效标志。当从硬盘,软盘或光区启动时,将检测这两个字节,如果存在则认为有硬盘存在,否则将不承认硬盘。此标志时从硬盘启动将转入rombasic或提示放入软盘。从软盘启动时无法转入硬盘。此处可用于整个硬盘的加密技术。可采用debug方法进行恢复处理。另外,DOS引导扇区仍有这样的标志存在,当DOS引导扇区无引导标志时,系统启动将显示为:"missingoperatingsystem"。其修复的方法可采用的主引导扇区修复方法,只是地址不同,更方便的方法是使用下面的DOS系统通用的修复方法。

6、DOS引导系统引起的启动故障

DOS引导系统主要由DOS引导扇区和DOS系统文件组成。系统文件主要包括io.sys、msdos.sys、command.com,其中command.com是DOS的外壳文件,可用其他的同类文件替换,但缺省状态下是DOS启动的必备文件。在Windows95携带的DOS系统中,msdos.sys是一个文本文件,是启动windows必须的文件。但只启动DOS时可不用此文件。但DOS引导出错时,可从软盘或光盘引导系统,之后使用sysc:传送系统即可修复故障,包括引导扇区及系统文件都可自动修复到正常状态。

7、fat表引起的读写故障

fat表纪录着硬盘数据的存储地址,每一个文件都有一组连接的fat链指定其存放的簇地址。fat表的损坏意味着文件内容的丢失。庆幸的是DOS系统本身提供了两个fat表,如果目前使用的fat表损坏,可用第二个进行覆盖修复。但由于不同规格的磁盘其fat表的长度及第二个fat表的地址也是不固定的,所以修复时必须正确查找其正确位置,由一些工具软件如nu等本身具有这样的修复功能,使用也非常的方便。采用debug也可实现这种操作,即采用其m命令把第二个fat表移到第一个表处即可。如果第二个fat表也损坏了,则也无法把硬盘恢复到原来的状态,但文件的数据仍然存放在硬盘的数据区中,可采用chkdsk或scandisk命令进行修复,最终得到*.chk文件,这便是丢失fat链的扇区数据。如果是文本文件则可从中提取并可合并完整的文件,如果是二进制的数据文件,则很难恢复出完整的文件。

8、目录表损坏引起的引导故障

目录表纪录着硬盘中文件的文件名等数据,其中最重要的一项是该文件的起始簇号,目录表由于没有自动备份功能,所以如果目录损坏将丢失大量的文件。一种减少损失的方法也是采用上面的chkdsk或scandisk程序的方法,从硬盘中搜索出chk文件,由目录表损坏时是首簇号丢失,在fat为损坏的情况下所形成的chk文件一般都比较完整的文件数据,每一个chk文件即是一个完整的文件,把其改为原来的名字可恢复大多数文件。

9、误删除分区时数据的恢复

当用fdisk删除了硬盘分区之后,表面现象是硬盘中的数据已经完全消失,在未格式化时进入硬盘会显示无效驱动器。如果了解fdisk的工作原理,就会知道,fdisk只是重新改写了硬盘的主引导扇区(0面0道1扇区)中的内容。具体说就是删除了硬盘分区表信息,而硬盘中的任何分区的数据均没有改变,可仿造上述的分区表错误的修复方法,即想办法恢复分区表数据即可恢复原来的分区即数据,但这只限于除分区或重建分区之后。如果已经对分区用format格式化,在先恢复分区后,在按下面的方法恢复分区数据。

10、误格式化硬盘数据的恢复

在DOS高版本状态下,格式化操作format在缺省状态下都建立了用于恢复格式化的磁盘信息,实际上是把磁盘的DOS引导扇区,fat分区表及目录表的所有内容复制到了磁盘的最后几个扇区中(因为后面的扇区很少使用),而数据区中的内容根本没有改变。这样通过运行"unformatc:"即可恢复原来的文件分配表及目录表,从而完成硬盘信息的恢复。另外DOS还提供了一个miror命令用于纪录当前的磁盘的信息,供格式化或删除之后的恢复使用,此方法也比较有效。

硬盘基本知识

硬盘的DOS管理结构

1.磁道,扇区,柱面和磁头数

  硬盘最基本的组成部分是由坚硬金属材料制成的涂以磁性介质的盘片,不同容量硬盘的盘片数不等。每个盘片有两面,都可记录信息。盘片被分成许多扇形的区域,每个区域叫一个扇区,每个扇区可存储128×2的N次方(N=0.1.2.3)字节信息。在DOS中每扇区是128×2的2次方=512字节,盘片表面上以盘片中心为圆心,不同半径的同心圆称为磁道。硬盘中,不同盘片相同半径的磁道所组成的圆柱称为柱面。磁道与柱面都是表示不同半径的圆,在许多场合,磁道和柱面可以互换使用,我们知道,每个磁盘有两个面,每个面都有一个磁头,习惯用磁头号来区分。扇区,磁道(或柱面)和磁头数构成了硬盘结构的基本参数,帮这些

参数可以得到硬盘的容量,基计算公式为:

存储容量=磁头数×磁道(柱面)数×每道扇区数×每扇区字节数

要点:(1)硬盘有数个盘片,每盘片两个面,每个面一个磁头

   (2)盘片被划分为多个扇形区域即扇区

   (3)同一盘片不同半径的同心圆为磁道

   (4)不同盘片相同半径构成的圆柱面即柱面

   (5)公式: 存储容量=磁头数×磁道(柱面)数×每道扇区数×每扇区字节数

   (6)信息记录可表示为:××磁道(柱面),××磁头,××扇区

2.

  “簇”是DOS进行分配的最小单位。当创建一个很小的文件时,如是一个字节,则它在磁盘上并不是只占一个字节的空间,而是占有整个一簇。DOS视不同的存储介质(如软盘,硬盘),不同容量的硬盘,簇的大小也不一样。簇的大小可在称为磁盘参数块(BPB)中获取。簇的概念仅适用于数据区。

本点:(1)“簇”是DOS进行分配的最小单位。

   (2)不同的存储介质,不同容量的硬盘,不同的DOS版本,簇的大小也不一样。

   (3)簇的概念仅适用于数据区。

3.扇区编号定义:绝对扇区与DOS扇区

  由前面介绍可知,我们可以用柱面/磁头/扇区来唯一定位磁盘上每一个区域,或是说柱面/磁头/扇区与磁盘上每一个扇区有一一对应关系,通常DOS将“柱面/磁头/扇区”这样表示法称为“绝对扇区”表示法。但DOS不能直接使用绝对扇区进行磁盘上的信息管理,而是用所谓“相对扇区”或“DOS扇区”。“相对扇区”只是一个数字,如柱面140,磁头3,扇区4对应的相对扇区号为2757。该数字与绝对扇区“柱面/磁头/扇区”具有一一对应关系。当使用相对扇区编号时,DOS是从柱面0,磁头1,扇区1开始(注:柱面0,磁头0,扇区1没有DOS扇区编号,DOS下不能访问,只能调用BIOS访问),第一个DOS扇区编号为0,该磁道上剩余的扇区编号为1到16(设每磁道17个扇区),然后是磁头号为2,柱面为0的17个扇区,形成的DOS扇区号从17到33。直到该柱面的所有磁头。然后再移到柱面1,磁头1,扇区1继续进行DOS扇区的编号,即按扇区号,磁头号,柱面号(磁道号)增长的顺序连续地分配DOS扇区号。

公式:记DH--第一个DOS扇区的磁头号

    DC--第一个DOS扇区的柱面号

    DS--第一个DOS扇区的扇区号

    NS--每磁道扇区数

    NH--磁盘总的磁头数

   则某扇区(柱面C,磁头H,扇区S)的相对扇区号RS为:

RS=NH×NS×(C-DC)+NS×(H-DH)+(S-DS)

   若已知RS,DC,DH,DS,NS和NH则

S=(RS MOD NS)+DS

H=((RS DIV NS)MOD NH)+DH

C=((RS DIV NS)DIV NH)+DC

要点:(1)以柱面/磁头/扇区表示的为绝对扇区又称物理磁盘地址

   (2)单一数字表示的为相对扇区或DOS扇区,又称逻辑扇区号

   (3)相对扇区与绝对扇区的转换公式

4.DOS磁盘区域的划分

  格式化好的硬盘,整个磁盘按所记录数据的作用不同可分为主引导记录(MBR:Main Boot Record),Dos引导记录(DBRosBoot Record),文件分配表(FAT:File Assign Table),根目录(BD:Boot Directory)和数据区。前5个重要信息在磁盘的外磁道上,原因是外圈周长总大于内圈周长,也即外圈存储密度要小些,可伤心性高些。

要点:(1)整个硬盘可分为MBR,DBR,FAT,BD和数据区。

   (2)MBR,DBR,FAT,和BD位于磁盘外道。

5.MBR

  MBR位于硬盘第一个物理扇区(绝对扇区)柱面0,磁头0,扇区1处。由于DOS是由柱面0,磁头1,扇区1开始,故MBR不属于DOS扇区,DOS不能直接访问。MBR中包含硬盘的主引导程序和硬盘分区表。分区表有4个分区记录区。记录区就是记录有关分区信息的一张表。它从主引导记录偏移地址01BEH处连续存放,每个分区记录区占16个字节。

分区表的格式

分区表项的偏移 意义   占用字节数

   00 引导指示符 1B

   01 分区引导记录的磁头号 1B

   02 分区引导记录的扇区和柱面号 2B

   04 系统指示符 1B

   05 分区结束磁头号 1B

   06 分区结束扇区和柱面号 2B

   08 分区前面的扇区数 4B

   0C 分区中总的扇区数 4B

4个分区中只能有1个活跃分区,即C盘。标志符是80H在分区表的第一个字节处。若是00H则表示非活跃分区。例如:

80 01 01 00 0B FE 3F 81 3F 00 00 00 C3 DD 1F 00

00 00 01 82 05 FE BF 0C 02 DE 1F 00 0E 90 61 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

要点:(1)MBR位于硬盘第一个物理扇区柱面0,磁头0,扇区1处。不属于DOS扇区,

   (2)主引导记录分为硬盘的主引导程序和硬盘分区表。

6.DBR

DBR位于柱面0,磁头1,扇区1,即逻辑扇区0。DBR分为两部分:DOS引导程序和BPB(BIOS参数块)。其中DOS引导程序完成DOS系统文件(IO.SYS,MSDOS.SYS)的定位与装载,而BPB用来描述本DOS分区的磁盘信息,BPB位于DBR偏移0BH处,共13字节。它包含逻辑格式化时使用的参数,可供DOS计算磁盘上的文件分配表,目录区和数据区的起始地址,BPB之后三个字提供物理格式化(低格)时采用的一些参数。引导程序或设备驱动程序根据这些信息将磁盘逻辑地址(DOS扇区号)转换成物理地址(绝对扇区号)。

BPB格式序号 偏移地址 意义

1 03H-0AH OEM号

2 0BH-0CH 每扇区字节数

3 0DH 每簇扇区数

4 0EH-0FH 保留扇区数

5 10H FAT备份数

6 11H-12H 根目录项数

7 13H-14H 磁盘总扇区数

8 15H 描述介质

9 16H-17H 每FAT扇区数

10 18H-19H 每磁道扇区数

11 1AH-1BH 磁头数

12 1CH-1FH 特殊隐含扇区数

13 20H-23H 总扇区数

14 24H-25H 物理驱动器数

15 26H 扩展引导签证

16 27H-2AH 卷系列号

17 2BH-35H 卷标号

18 36H-3DH 文件系统号

DOS引导记录公式:

文件分配表≡保留扇区数

根目录≡保留扇区数+FAT的个数×每个FAT的扇区数

数据区≡根目录逻辑扇区号+(32×根目录中目录项数+(每扇区字节数-1))DIV每扇区字节数

绝对扇区号≡逻辑扇区号+隐含扇区数

扇区号≡(绝对扇区号MOD每磁道扇区数)+1

磁头号≡(绝对扇区号DIV每磁道扇区数)MOD磁头数

磁道号≡(绝对扇区号DIV每磁道扇区数)DIV磁头数

要点:(1)DBR位于柱面0,磁头1,扇区1,其逻辑扇区号为0

   (2)DBR包含DOS引导程序和BPB。

   (3)BPB十分重要,由此可算出逻辑地址与物理地址。

7.文件分配表

  文件分配表是DOS文件组织结构的主要组成部分。我们知道DOS进行分配的最基本单位是簇。文件分配表是反映硬盘上所有簇的使用情况,通过查文件分配表可以得知任一簇的使用情况。DOS在给一个文件分配空间时总先扫描FAT,找到第一个可用簇,将该空间分配给文件,并将该簇的簇号填到目录的相应段内。即形成了“簇号链”。FAT就是记录文件簇号的一张表。FAT的头两个域为保留域,对FAT12来说是3个字节,FAT来说是4个字节。其中头一个字节是用来描述介质的,其余字节为FFH。介质格式与BPB相同。

第一个字节的8位意义:

7 6 5 4 3 2 1 0

└─────-┘ │ │ │┌0非双面

置1 │ │ └┤

│ │ └1双面

│ │┌0不是8扇区

│ └┤

│ └1是8扇区

│┌0不是可换的

└┤

└1是可换的

FAT结构含义

FAT12 FAT16 意义

000H 0000H 可用

FF0H-FF6H FFF0H-FFF6H 保留

FF7H FFF7H 坏

FF8H-FFFH FFF8H-FFFFH 文件最后一个簇

×××H ××××H 文件下一个簇

对于FAT16,簇号×2作偏移地址,从FAT中取出一字即为FAT中的域。

逻辑扇区号=数据区起始逻辑扇区号+(簇号-2)×每簇扇区数

簇号=(逻辑扇区号-数据区起始逻辑扇区号)DIV每簇扇区数+2

要点:(1)FAT反映硬盘上所有簇的使用情况,它记录了文件在硬盘中具体位置(簇)。

   (2)文件第一个簇号(在目录表中)和FAT的该文件的簇号串起来形成文件的“簇号链”,恢复被破坏的文件就是根据这条链。

   (3)由簇号可算逻辑扇区号,反之,由逻辑扇区号也可以算出簇号,公式如上。

   (4)FAT位于DBR之后,其DOS扇区号从1开始。

8.文件目录

  文件目录是DOS文件组织结构的又一重要组成部分。文件目录分为两类:根目录,子目录。根目录有一个,子目录可以有多个。子目录下还可以有子目录,从而形成“树状”的文件目录结构。子目录其实是一种特殊的文件,DOS为目录项分配32字节。目录项分为三类:文件,子目录(其内容是许多目录项),卷标(只能在根目录,只有一个。目录项中有文件(或子目录,或卷标)的名字,扩展名,属性,生成或最后修改日期,时间,开始簇号,及文件大小。

目录项的格式

字节偏移 意义 占字节数

00H 文件名 8B

08H 扩展名 3B

0BH 文件属性 1B

0CH 保留 10B

16H 时间 2B

18H 日期 2B

1AH 开始簇号 2B

1CH 文件长度 4B

目录项文件名区域中第一个字节还有特殊的意义:00H代表未使用

05H代表实际名为E5H

EBH代表此文件已被删除

目录项属性区域的这个字节各个位的意义如下: 7 6 5 4 3 2 1 0

                      未 修 修 子 卷 系 隐 只

                      用 改 改 目 标 统 藏 读

                        标 标 录   属 属 属

                        志 志     性 性 性

注意:WINDOWS的长文件名使用了上表中所说的“保留”这片区域。

要点:(1)文件目录是记录所有文件,子目录名,扩展名属性,建立或删除最后修改日期。文件开始簇号及文件长度的一张登记表.

   (2)DOS中DIR列出的内容训是根据文件目录表得到的。

(3)文件起始簇号填在文件目录中,其余簇都填在FAT中上一簇的位置上。

9.物理驱动器与逻辑驱动器

  物理驱动器指实际安装的驱动器。

  逻辑驱动器是对物理驱动器格式化后产生的。

要点:同上。

硬盘逻辑锁巧解

在谈论具体的解决方法前,先讲述一下被"逻辑锁"锁住的硬盘为什么不能用普通办法启 动的原因:

计算机在引导DOS系统时将会搜索所有逻辑盘的顺序,当DOS被引导时,首先要去找主引 导扇区的分区表信息,位于硬盘的零头零柱面的第一个扇区的OBEH地址开始的地方,当分区信息开始的地方为80H时表示是主引导分区,其他的为扩展分区,主引导分区被定义 为逻辑盘C盘,然后查找扩展分区的逻辑盘,被定义为D盘,以此类推找到E,F,G..... "逻辑锁"就是在此下手,修改了正常的主引导分区记录将扩展分区的第一个逻辑盘指向 自己,DOS在启动时查找到第一个逻辑盘后,查找下个逻辑盘总是找到是自己,这样一来就形成了死循环,这就是使用软驱,光驱,双硬盘都不能正常启动的原因。实际上这"逻辑锁"只是利用了DOS在启动时的一个小小缺陷,便令不少高手都束手无策。知道了"逻辑 锁"的"上锁"原理,要解锁也就比较容易了。以前我看到有位朋友采用"热拔插"硬盘电源的方法来处理:就是在当系统启动时,先不给被锁的硬盘插上电源线,等待启动完成后再给硬盘"热插"上电源线,这时如果硬盘没有烧坏的话,系统就可以控制硬盘了。当然这是一种非常危险的方法,大家不要轻易尝试,下面介绍两种比较简单和安全的处理方法。

方法一:修改DOS启动文件

首先准备一张DOS6.22的系统盘,带上debug、pctools5.0、fdisk等工具。然后在一台正常的机器上,使用你熟悉的二进制编辑工具(debug、pctools5.0,或者windows下的ultraedit都行)修改软盘上的IO.SYS文件(修改前记住改该文件的属性为正常),具体是在这个文件里面搜索第一个"55aa"字符串,找到以后修改为任何其他数值即可。用这张修改过的系统软盘你就可以顺利地带着被锁的硬盘启动了。不过这时由于该硬盘正常的分区表已经被黑客程序给恶意修改了,你无法用FDISK来删除和修改分区,而且仍无法用正常的启动盘启动系统,这时你可以用DEBUG来手工恢复。使用DEBUG手工修复硬盘步骤如下:

a:\ >debug

-a

-xxxx:100 mov ax,0201 读一个扇区的内容

-xxxx:103 mov bx,500 设置一个缓存地址

-xxxx:106 mov cx,0001 设置第一个硬盘的硬盘指针

-xxxx:109 mov dx,0080 读零磁头

-xxxx:10c int 13 硬盘中断

-xxxx:10e int 20

-xxxx:0110 退出程序返回到指示符

-g 运行

-d500 查看运行后500地址的内容

这时候会发现地址6be开始的内容是硬盘分区的信息,发现此硬盘的扩展分区指向自己,这就使DOS或WINDOWS启动时查找硬盘逻辑盘进去死循环,在DEBUG指示符下用E命令修改内存数据 具体如下:

E6BE

xx.0 xx.0 xx.0...............

.............................

.......................55 AA

55 AA表示硬盘有效的标记,不要修改,xx0表示把以前的数据"xx"改成0

再用硬盘中断13把修改好的数据写入硬盘就可以了,具体如下:

A:\ >debug

a 100 表示修改100地址的汇编指令

-xxxx:100 mov ax,0301 写硬盘一个扇区

-xxxx: 这里直接按回车

-g 运行

-q 退出

然后运行 FDISK/MBR(重置硬盘引导扇区的引导程序),再重新启动电脑就行了。 怎么样?用这种方法处理够简单的吧?而且这种方法还有一个好处就是可以保住盘上的 数据!如果你不需要保数据的话,还有更加简单的处理方法:

方法二:巧设BIOS,用DM解锁大家知道DM软件是不依赖于主板BIOS的硬盘识别安装软件,(所以在不能识别大硬盘的老主板上也可用DM来安装使用大容量硬盘)。就算在BIOS中将硬盘设为"NONE",DM也可识别并处理硬盘。

首先你要找到和硬盘配套的DM软件(找JS要或去网上荡),然后把DM拷到一张系统盘上。接上被锁硬盘,开机,按住DEL键,进CMOS设置,将所有IDE硬盘设为NONE(这是关键所在!),保存设置,重启动,这时系统即可 "带锁"启动。启动后运行DM,你会发现DM可以绕过BIOS,识别出硬盘,选中该硬盘,分区格式化,就OK了。这么简单?不过这种 方法的弱点是硬盘上的数据将全部丢失。

WINDOWS蓝色当机画面解读

1062 0x0426 服务尚未启动。

1063 0x0427 无法连线到服务控制程式。

1064 0x0428 处理控制要求时,发生意外状况。

1065 0x0429 指定的资料库不存在。

1066 0x042A 服务传回专属於服务的错误码。

1067 0x042B The process terminated unexpectedly.

1068 0x042C 从属服务或群组无法启动。

1069 0x042D 因为登入失败,所以没有启动服务。

1070 0x042E 在启动之後,服务在启动状态时当机。

1071 0x042F 指定服务资料库锁定无效。

1072 0x0430 指定的服务已经标示为删除。

1073 0x0431 指定的服务已经存在。

1074 0x0432 系统目前正以上一次执行成功的组态执行。

1075 0x0433 从属服务不存在,或已经标示为删除。

1076 0x0434 目前的启动已经接受上一次执行成功的 控制设定。

1077 0x0435 上一次启动之後,就没有再启动服务。

1078 0x0436 指定的名称已经用於服务名称或服务显示 名称。

1100 0x044C 已经到了磁带的最後。

1101 0x044D 到了档案标示。

1102 0x044E 遇到磁带的开头或分割区。

1103 0x044F 到了档案组的结尾。

1104 0x0450 磁带没有任何资料。

1105 0x0451 磁带无法制作分割区。

1106 0x0452 存取多重容体的新磁带时,发现目前 区块大小错误。

1107 0x0453 载入磁带时,找不到磁带分割区资讯。

1108 0x0454 无法锁住储存媒体退带功能。

1109 0x0455 无法解除载入储存媒体。

1110 0x0456 磁碟机中的储存媒体已经变更。

1111 0x0457 已经重设 I/O 汇流排。

1112 0x0458 磁碟机没有任何储存媒体。

1113 0x0459 目标 multi-byte code page,没有对应 Unicode 字元。

1114 0x045A 动态连结程式库 (DLL) 起始常式失败。

1115 0x045B 系统正在关机。

1116 0x045C 无法中止系统关机,因为没有关机的动作在进行中。

1117 0x045D 因为 I/O 装置发生错误,所以无法执行要求。

1118 0x045E 序列装置起始失败,会取消载入序列驱动程式。

1119 0x045F 无法开启装置。这个装置与其他装置共用岔断要求 (IRQ)。 至少已经

有一个使用同一IRQ 的其他装置已经开启。

1120 0x0460 A serial I/O operation was completed by another write to the serial port. (The IOCTL_SERIAL_XOFF_COUNTER reached zero.)

1121 0x0461 因为已经过了逾时时间,所以序列 I/O 作业完成。

(IOCTL_SERIAL_XOFF_COUNTER 不是零。)

1122 0x0462 在磁片找不到任何的 ID 位址标示。

1123 0x0463 磁片磁区 ID 栏位与磁片控制卡追踪位址 不符。

1124 0x0464 软式磁碟机控制卡回报了一个软式磁碟机驱动程式无法识别的错误。

1125 0x0465 软式磁碟机控制卡传回与暂存器中不一致的结果。

1126 0x0466 存取硬碟失败,重试後也无法作业。

1127 0x0467 存取硬碟失败,重试後也无法作业。

1128 0x0468 存取硬碟时,必须重设磁碟控制卡,但是 连重设的动作也失败。

1129 0x0469 到了磁带的最後。

1130 0x046A 可用伺服器储存空间不足,无法处理这项指令。

1131 0x046B 发现潜在的锁死条件。

1132 0x046C 指定的基本位址或档案位移没有适当 对齐。

1140 0x0474 尝试变更系统电源状态,但其他的应用程式或驱动程式拒绝。

1141 0x0475 系统 BIOS 无法变更系统电源状态。

1150 0x047E 指定的程式需要新的 Windows 版本。

1151 0x047F 指定的程式不是 Windows 或 MS-DOS 程式。

1152 0x0480 指定的程式已经启动,无法再启动一次。

1153 0x0481 指定的程式是为旧版的 Windows 所写的。

1154 0x0482 执行此应用程式所需的程式库档案之一毁损。

1155 0x0483 没有应用程式与此项作业的指定档案建立关联。

1156 0x0484 传送指令到应用程式发生错误。

1157 0x0485 找不到执行此应用程式所需的程式库档案。

1200 0x04B0 指定的装置名称无效。

1201 0x04B1 装置现在虽然未连线,但是它是一个记忆连线。

1202 0x04B2 尝试记忆已经记住的装置。

1203 0x04B3 提供的网路路径找不到任何网路提供程式。

1204 0x04B4 指定的网路提供程式名称错误。

1205 0x04B5 无法开启网路连线设定档。

1206 0x04B6 网路连线设定档坏掉。

1207 0x04B7 无法列举非容器。

1208 0x04B8 发生延伸的错误。

1209 0x04B9 指定的群组名称错误。

1210 0x04BA 指定的电脑名称错误。

1211 0x04BB 指定的事件名称错误。

1212 0x04BC 指定的网路名称错误。

1213 0x04BD 指定的服务名称错误。

1214 0x04BE 指定的网路名称错误。

1215 0x04BF 指定的资源分享名称错误。

1216 0x04C0 指定的密码错误。

1217 0x04C1 指定的讯息名称错误。

1218 0x04C2 指定的讯息目的地错误。

1219 0x04C3 所提供的条件与现有的条件组发生冲突。

1220 0x04C4 尝试与网路伺服器连线,但是 与该伺服器的连线已经太多。

1221 0x04C5 其他网路电脑已经在使用这个工作群组或网域名称。

1222 0x04C6 网路没有显示出来或者没有启动。

1223 0x04C7 使用者已经取消作业。

1224 0x04C8 要求的作业无法在已经开启使用者对应区段的档案执行。

1225 0x04C9 远端系统拒绝网路连线。

1226 0x04CA 关闭网路连线。

1227 0x04CB 网路传输端点已经有相关连的位址。

1228 0x04CC 位址尚未有相关的网路端点。

1229 0x04CD 尝试在不存在的网路连线作业。

1230 0x04CE 在作用中的网路连线上执行无效的作业。

1231 0x04CF 无法传输到远端网路。

1232 0x04D0 无法连线到远端系统。

1233 0x04D1 远端系统不支援传输通讯协定。

1234 0x04D2 远端系统的目的地网路端点没有作何执行中的服务。

1235 0x04D3 要求已经中止。

1236 0x04D4 进端系统已经中断网路连线。

1237 0x04D5 无法完成作业,请重试。

1238 0x04D6 无法与伺服器连线,原因是这个帐户已经到达同时连线数目的上限。

1239 0x04D7 尝试在这个帐户未授权的时间登入网路。

1240 0x04D8 这个帐户无法从这个地方登入网路。

1241 0x04D9 网路位址无法用於这个要求的作业。

1242 0x04DA 服务已经登记。

1243 0x04DB 指定的服务不存在。

1244 0x04DC 作业无法执行,原因是使用者尚未授权使用。

1245 0x04DD 要求的作业无法执行,原因是使用者尚未登入网路。指定的服务不存

在。

1246 0x04DE 传回要求呼叫者继续工作的讯息。

1247 0x04DF 在完成起始作业之後,尝试再执行起始作业。

1248 0x04E0 没有其他的近端装置。

1300 0x0514 并未指定所有的参照权限给呼叫者。

1301 0x0515 帐户名称与安全识别码之间尚有未执行完成的连线。

1302 0x0516 此帐户并未设定特别的系统配额限制。

1303 0x0517 没有可用的加密机码。传回一个已知的加密机码。

1304 0x0518 NT 密码太复杂,无法转换成 LAN Manager 密码。传回的LAN Manager

密码是一个空字串。

1305 0x0519 修正层次不详。

1306 0x051A 表示两个修订阶层不相容。

1307 0x051B 此安全识别码无法指定为这个物件的拥有者。

1308 0x051C 此安全识别码无法指定为主要的物件群组。

1309 0x051D An attempt has been made to operate on an impersonation token

by a thread that is not currently impersonating a client.

1310 0x051E 不可以关闭群组。

1311 0x051F 目前没有可登入的伺服器,所以无法处理登入要求。

1312 0x0520 指定登入作业阶段不存在。该作业阶段可能已经结束。

1313 0x0521 指定的权限不存在。

1314 0x0522 用户端未列出要求的权限。

1315 0x0523 所提供的名称格式与帐户名称不符。

1316 0x0524 指定的使用者已经存在。

1317 0x0525 指定的使用者不存在。

1318 0x0526 指定的群组已经存在。

1319 0x0527 指定的群组不存存。

1320 0x0528 指定的使用者帐户已经是指定群组的成员,或指定的群组因为内含成

员而无法删除。

1321 0x0529 指定的使用者帐户不是指定的群组帐户成员。

1322 0x052A 上一次留下来的管理帐户无法关闭或 删除。

1323 0x052B 无法更新密码。所输入的密码不正确。

1324 0x052C 无法更新密码。所输入的新密码内含不符合密码规定。

1325 0x052D 因为违反密码更新规则,所以无法更新密码。

1326 0x052E 登入失败: 无法辨识的使用者名称或密码错误。

1327 0x052F 登入失败: 使用者帐户限制。

1328 0x0530 登入失败: 违反帐户登入时间限制。

1329 0x0531 登入失败: 使用者不可登入这部电脑。

1330 0x0532 登入失败: 指定的帐户密码过期。

1331 0x0533 登入失败: 帐户目前无效。

1332 0x0534 帐户名称与帐户识别码不符。

1333 0x0535 一次要求太多的近端使用者识别码 (local user identifiers, LUIDs)。 1334 0x0536 没有可用的近端使用者识别码 (local user identifiers ,LUIDs)。

1335 0x0537 安全识别码的转授权部份对这个特殊用法无效。

1336 0x0538 无效的存取控制清单结构。

1337 0x0539 安全识别码结构无效。

1338 0x053A 安全叙述子结构无效。

1340 0x053C 无法建立继承的存取控制清单或存取控制项目。

1341 0x053D 伺服器目前无效。

1342 0x053E 伺服器目前可以使用。

1343 0x053F 所提供的值是无效的识别码授权值。

1344 0x0540 没有可供安全资讯更新使用的记忆体。

1345 0x0541 指定的属性无效,或指定的属性与整个群组的属性不相容。

1346 0x0542 Either a required impersonation level was not provided, or the provided impersonation level is invalid.

1347 0x0543 Cannot open an anonymous level security token.

1348 0x0544 所要求的认可资讯类别无效。

1349 0x0545 The type of the token is inappropriate for its attempted use.

1350 0x0546 无法在没有相关连安全性的物件执行 安全

1351 0x0547 指示无法连到 Windows NT 伺服器,或网域中的物件 受到保护,所以

无法撷取所需的物件。

1352 0x0548 安全帐户管理程式或区域安全授权伺服器状态不正确,所以无法执行

安全作业。

1353 0x0549 网域状态错误,所以无法执行安全作业。

1354 0x054A 只有网域的主网域控制器才能使用这项作业。

1355 0x054B 指定的网域不存在。

1356 0x054C 指定的网域已经存在。

1357 0x054D 尝试超过每个伺服器的网域数目限制。

1358 0x054E 因为磁碟上发生严重的储存媒体错误或是资料结构毁损,所以无法完

成所要求的作业。

1359 0x054F 安全帐户资料库内有内部不一致的状况。

1360 0x0550 通用的存取类型包含在某一存取遮罩中, 这个遮罩已经对应到非通用

的类型。

1361 0x0551 安全叙述子的格式不正确 (absolute or self-relative)。 1362 0x0552 所要求的动作只能给登入使用。 而目前呼叫该动作的处理并未登录为

登入。

1363 0x0553 无法利用已经在使用的识别码来启动新的作业阶段。

1364 0x0554 无法识别指定的确认包装。

1365 0x0555 登入作业阶段不是在与要求的作业一致的 状态。

1366 0x0556 登入作业阶段识别码已经在使用中。

1367 0x0557 登入要求包含无效的登入类型值。

1368 0x0558 Unable to impersonate via a named pipe until data has been

read from that pipe.

1369 0x0559 The transaction state of a Registry subtree is incompatible

with the requested operation.

1370 0x055A 内部安全资料库毁损。

1371 0x055B 无法在内建帐户执行这项作业。

1372 0x055C 无法在这个内建的特殊群组执行这项操作。

1373 0x055D 无法在这个内建的特殊使用者执行这项作业。

1374 0x055E 因为群组目前是使用者的主要群组,所以不能从群组移除使用者。

1375 0x055F The token is already in use as a primary token.

1376 0x0560 指定的区域群组不存在。

1377 0x0561 指定的帐户名称不是区域群组的成员。

1378 0x0562 指定的帐户名称已经是区域群组的成员。

1379 0x0563 指定的区域群组已经存在。

1380 0x0564 登入失败: 使用者无权在这部电脑以要求的 登入类型登入。

1381 0x0565 The maximum number of secrets that may be stored in a single

system has been exceeded.

1382 0x0566 The length of a secret exceeds the maximum length allowed.

1383 0x0567 本区安全性授权资料库内含的资料不一致。

1384 0x0568 在登入时,使用者的安全内容累积太多的 安全识别码。

1385 0x0569 登入失败: 使用者尚未被许可在这个台脑使用要求的登入类型。

端口知识大全!

端口可分为3大类:

1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。

2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

  本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为 0.0.0.0,设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,

和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。

7Echo你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍:ICMP没有端口,ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连

接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。

21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 (十六进制的0x1600)位交换后是0x0016(使进制的22)。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。

25 smtp攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。

53 DNSHacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件

79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器,许多典型的HTTP漏洞可

能存在(缓冲区溢出,历遍目录等)109 POP2并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的

daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth .这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T,着将回停止这一

缓慢的连接。

119 NNTP news新闻组传输协议,承载USENET通讯。当你链接到诸如:news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远

端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本? 这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing

通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasicScripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信

息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP 的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。 ?ersion 0.4.1, June 20, 2000   http://www.robertgraham.com/pubs/firewall-seen.html   Copyright 1998-2000 by Robert Graham

(mailto:firewall-seen1@robertgraham.com.

  All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must

contain this copyright notice and must not be altered, except by

permission of the author.

  1025 参见1024

  1026 参见1024

1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只

允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻

击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。

WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

1243 Sub-7木马(TCP)参见Subseven部分。

1524 ingreslock后门许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:

000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

5632 pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)6970 RealAudio

RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。

Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:

机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ;

216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即 3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute分。

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见

http://www.circlemud.org/~jelson/software/udpsend.html

http://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。 常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述

  1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

  20/tcp 动态 FTP FTP服务器传送文件的端口

  53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

  123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。

  27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP asquerade)

常用端口对照

端口:0

服务:Reserved

说明:通常用于分析xx作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。

端口:1

服务:tcpmux

说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口:7

服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。

端口:19

服务:Character Generator

说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。

端口:21

服务:FTP

说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口:22

服务:Ssh

说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。

端口:23

服务:Telnet

说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的xx作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口:25

服务:SMTP

说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口:31

服务:MSG Authentication 说明:木马Master Paradise、Hackers Paradise开放此端口。

端口:42

服务:WINS Replication

说明:WINS复制

端口:53

服务:Domain Name Server(DNS)

说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口:67

服务:Bootstrap Protocol Server

说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口:69

服务:Trival File Transfer

说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。

端口:79

服务:Finger Server

说明:入侵者用于获得用户信息,查询xx作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。

端口:80

服务:HTTP 说明:用于网页浏览。木马Executor开放此端口。

端口:99

服务:Metagram Relay 说明:后门程序ncx99开放此端口。

端口:102

服务:Message transfer agent(MTA)-X.400 over TCP/IP 说明:消息传输代理。

端口:109

服务:Post Office Protocol -Version3

说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口:110

服务:SUN公司的RPC服务所有端口

说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口:113

服务:Authentication Service

说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口:119

服务:Network News Transfer Protocol

说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。

端口:135

服务:Location Service

说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。

端口:137、138、139

服务:NETBIOS Name Service

说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口:143

服务:Interim Mail Access Protocol v2

说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。

端口:161

服务:SNMP

说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口:177

服务:X Display Manager Control Protocol

说明:许多入侵者通过它访问X-windowsxx作台,它同时需要打开6000端口。

端口:389

服务:LDAP、ILS 说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口:443

服务:Https 说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。

端口:456

服务:[NULL] 说明:木马HACKERS PARADISE开放此端口。

端口:513

服务:Login,remote login

说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口:544

服务:[NULL] 说明:kerberos kshell

端口:548

服务:Macintosh,File Services(AFP/IP) 说明:Macintosh,文件服务。

端口:553

服务:CORBA IIOP (UDP)

说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口:555

服务:DSF 说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口:568

服务:Membership DPA 说明:成员资格 DPA。

端口:569

服务:Membership MSN 说明:成员资格 MSN。

端口:635

服务:mountd

说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。

端口:636

服务:LDAP 说明:SSL(Secure Sockets layer)

端口:666

服务:Doom Id Software 说明:木马Attack FTP、Satanz Backdoor开放此端口

端口:993

服务:IMAP 说明:SSL(Secure Sockets layer)

端口:1001、1011

服务:[NULL] 说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口:1024

服务:Reserved

说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。

端口:1025、1033

服务:1025:network blackjack 1033:[NULL] 说明:木马netspy开放这2个端口。

端口:1080

服务:SOCKS

说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。

常用端口对照(二)(原创)

端口:1170

服务:[NULL]

说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

端口:1234、1243、6711、6776

服务:[NULL] 说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口:1245

服务:[NULL]

说明:木马Vodoo开放此端口。

端口:1433

服务:SQL 说明:Microsoft的SQL服务开放的端口。

端口:1492

服务:stone-design-1 说明:木马FTP99CMP开放此端口。

端口:1500

服务:RPC client fixed port session queries 说明:RPC客户固定端口会话查询

端口:1503

服务:NetMeeting T.120 说明:NetMeeting T.120

端口:1524

服务:ingress

说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

端口:1600

服务:issd 说明:木马Shivka-Burka开放此端口。

端口:1720

服务:NetMeeting 说明:NetMeeting H.233 call Setup。

端口:1731

服务:NetMeeting Audio Call Control 说明:NetMeeting音频调用控制。

端口:1807

服务:[NULL] 说明:木马SpySender开放此端口。

端口:1981

服务:[NULL] 说明:木马ShockRave开放此端口。

端口:1999

服务:cisco identification port 说明:木马BackDoor开放此端口。

端口:2000

服务:[NULL] 说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。

端口:2001

服务:[NULL] 说明:木马Millenium 1.0、Trojan Cow开放此端口。

端口:2023

服务:xinuexpansion 4 说明:木马Pass Ripper开放此端口。

端口:2049

服务:NFS 说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。

端口:2115

服务:[NULL] 说明:木马Bugs开放此端口。

端口:2140、3150

服务:[NULL] 说明:木马Deep Throat 1.0/3.0开放此端口。

端口:2500

服务:RPC client using a fixed port session replication 说明:应用固定端口会话复制的RPC客户

端口:2583

服务:[NULL] 说明:木马Wincrash 2.0开放此端口。

端口:2801

服务:[NULL] 说明:木马Phineas Phucker开放此端口。

端口:3024、4092

服务:[NULL] 说明:木马WinCrash开放此端口。

端口:3128

服务:squid

说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。

端口:3129

服务:[NULL] 说明:木马Master Paradise开放此端口。

端口:3150

服务:[NULL] 说明:木马The Invasor开放此端口。

端口:3210、4321

服务:[NULL] 说明:木马SchoolBus开放此端口

端口:3333

服务:dec-notes 说明:木马Prosiak开放此端口

端口:3389

服务:超级终端 说明:WINDOWS 2000终端开放此端口。

端口:3700

服务:[NULL] 说明:木马Portal of Doom开放此端口

端口:3996、4060

服务:[NULL] 说明:木马RemoteAnything开放此端口

端口:4000

服务:QQ客户端 说明:腾讯QQ客户端开放此端口。

端口:4092

服务:[NULL] 说明:木马WinCrash开放此端口。

端口:4590

服务:[NULL] 说明:木马ICQTrojan开放此端口。

端口:5000、5001、5321、50505

服务:[NULL]

说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。

端口:5400、5401、5402

服务:[NULL] 说明:木马Blade Runner开放此端口。

端口:5550

服务:[NULL] 说明:木马xtcp开放此端口。

端口:5569

服务:[NULL] 说明:木马Robo-Hack开放此端口。

端口:5632

服务:pcAnywere

说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。

端口:5742

服务:[NULL] 说明:木马WinCrash1.03开放此端口。

端口:6267

服务:[NULL] 说明:木马广外女生开放此端口。

端口:6400

服务:[NULL] 说明:木马The tHing开放此端口。

端口:6670、6671

服务:[NULL]

说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。

端口:6883

服务:[NULL] 说明:木马DeltaSource开放此端口。

端口:6969

服务:[NULL] 说明:木马Gatecrasher、Priority开放此端口。

端口:6970

服务:RealAudio

说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。

端口:7000

服务:[NULL] 说明:木马Remote Grab开放此端口。

端口:7300、7301、7306、7307、7308

服务:[NULL] 说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。

端口:7323

服务:[NULL] 说明:Sygate服务器端。

端口:7626

服务:[NULL] 说明:木马Giscier开放此端口。

端口:7789

服务:[NULL] 说明:木马ICKiller开放此端口。

端口:8000

服务:OICQ 说明:腾讯QQ服务器端开放此端口。

端口:8010

服务:Wingate 说明:Wingate代理开放此端口。

端口:8080

服务:代理端口 说明:WWW代理开放此端口。

端口:9400、9401、9402

服务:[NULL] 说明:木马Incommand 1.0开放此端口。

端口:9872、9873、9874、9875、10067、10167

服务:[NULL] 说明:木马Portal of Doom开放此端口。

端口:9989

服务:[NULL] 说明:木马iNi-Killer开放此端口。

端口:11000

服务:[NULL] 说明:木马SennaSpy开放此端口。

端口:11223

服务:[NULL] 说明:木马Progenic trojan开放此端口。

端口:12076、61466

服务:[NULL] 说明:木马Telecommando开放此端口。

端口:12223

服务:[NULL] 说明:木马Hack'99 KeyLogger开放此端口。

端口:12345、12346

服务:[NULL] 说明:木马NetBus1.60/1.70、GabanBus开放此端口。

端口:12361

服务:[NULL] 说明:木马Whack-a-mole开放此端口。

端口:13223

服务:PowWow

说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

端口:16969

服务:[NULL] 说明:木马Priority开放此端口。

端口:17027

服务:Conducent

说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。

端口:19191

服务:[NULL] 说明:木马蓝色火焰开放此端口。

端口:20000、20001

服务:[NULL] 说明:木马Millennium开放此端口。

端口:20034

服务:[NULL] 说明:木马NetBus Pro开放此端口。

端口:21554

服务:[NULL] 说明:木马GirlFriend开放此端口。

端口:22222

服务:[NULL] 说明:木马Prosiak开放此端口。

端口:23456

服务:[NULL] 说明:木马Evil FTP、Ugly FTP开放此端口。

端口:26274、47262

服务:[NULL] 说明:木马Delta开放此端口。

端口:27374

服务:[NULL] 说明:木马Subseven 2.1开放此端口。

端口:30100

服务:[NULL] 说明:木马NetSphere开放此端口。

端口:30303

服务:[NULL] 说明:木马Socket23开放此端口。

端口:30999

服务:[NULL] 说明:木马Kuang开放此端口。

端口:31337、31338

服务:[NULL] 说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。

端口:31339

服务:[NULL] 说明:木马NetSpy DK开放此端口。

端口:31666

服务:[NULL] 说明:木马BOWhack开放此端口。

端口:33333

服务:[NULL] 说明:木马Prosiak开放此端口。

端口:34324

服务:[NULL] 说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。

端口:40412

服务:[NULL] 说明:木马The Spy开放此端口。

端口:40421、40422、40423、40426、

服务:[NULL]

说明:木马Masters Paradise开放此端口。

端口:43210、54321

服务:[NULL] 说明:木马SchoolBus 1.0/2.0开放此端口。

端口:44445

服务:[NULL] 说明:木马Happypig开放此端口。

端口:50766

服务:[NULL] 说明:木马Fore开放此端口。

端口:53001 服务:[NULL] 说明:木马Remote Windows Shutdown开放此端口。

端口:65000 服务:[NULL] 说明:木马Devil 1.03开放此端口。

端口:88 说明:Kerberos krb5。另外TCP的88端口也是这个用途。

端口:137

说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。

端口:161 说明:Simple Network Management Protocol(SMTP)(简单网络管理协议)。

端口:162 说明:SNMP Trap(SNMP陷阱)

端口:445 说明:Common Internet File System(CIFS)(公共Internet文件系统)

端口:464 说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

端口:500 说明:Internet Key Exchange(IKE)(Internet密钥交换)

端口:1645、1812

说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)

端口:1646、1813

说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问))

端口:1701 说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)

端口:1801、3527 说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。

端口:2504

说明:Network Load Balancing(网络平衡负荷)

TOP

第十一章兼容或配合性故障

一、定义举例

这类故障主要是由于用户追加第三方软、硬件设备而引起的软、硬件故障。

这类故障,在前面的几类故障中已部分提及,因此有些故障现象可能与前面所介绍的故障判断类似,可参伤心。

二、可能的故障现象

1、 加装用户的设备或应用后,系统运行不稳定,如:死机或重启等;

2、 用户所加装的设备不能正常工作;

3、 用户开发的应用不能正常工作;

4、 用户需要的配置在联想机上不能满足(如需要加装大容量内存、需要多个串口等)。

三、可能涉及的配件

所有可能的配件或软件。但影响第三方应用最多的配件应该是:主板、CPU、内存、显示卡,及新型接口的外设。

四、判断要点/顺序

1、 环境检查

1) 检查外加设备板卡等的制作工艺,对于工艺粗糙的板卡或设备,很易引起黑屏、电源不工作、运行不稳定的现象;

2) 检查追加的内存条是否与原内存条是同一型号。不同的型号一是会引起兼容问题,造成运行不稳定、死机等现象;另一是要注意修改BIOS中的设置;

3) 更新或追加的配件,如CPU、硬盘等的技术规格是否能与其余的配件兼容。过于新的配件或规格较旧的配件,都会与原有配置不兼容。如:较旧的配件不支持电源管理,从而使系统运行时,使用这样的配件就会工作不正常,或是使整个系统也不能正常工作。

2、 故障判断要点

1) 开机后应首先检查新更新的或追加的配件,在系统启动前出现的配置列表中能否出现。如果不能,应检查其安装及其技术规格;

2) 如果造成无显、运行不稳定或死机等现象,应先去除更新或追加的配件或设备,看系统是否恢复到正常的工作状态,并认真研读新设备、配件的技术手册,了解安装与配置方法;

3) 外加的设备如不能正常安装,应查看其技术手册了解正确的安装方法、技术要求等,并尽可能使用最新版本的驱动程序。如果不能解决,应检查外加设备的质辽诵陌原系统的工作情况;

4) 检查新追加或更新配件与原有配件间是否存在不能共享资源的现象,即调开相应配件的资源检查故障是否消失,在不能调开时,可设法更换安装的插槽位置,或在BIOS中更改资源的分配方式;

5) 检查是否由于BIOS的原因造成了兼容性问题,这可通过更新BIOS来检查(注不一定是最新版或更高版本,可以降低版本检查);

6) 查看追加的配件上的跳线设置是否恰当,并进行必要的设置修改;

7) 对于使用较旧的板卡或软件,应注意是否由于速度上的不匹配而引起工作不正常;

通过更改系统中的设置或服务,来检查故障是否消失。如电源管理服务、设备参数修改等;

9) 检查原有的软硬件是否存在性能不佳的情况,即通过更换硬件或屏蔽原有软件来检查。

TOP

第十章 音视频类故障

一、定义举例

与多媒体播放、制作有关的软硬件故障。

二、可能的故障现象

1、 播放CD、VCD或DVD等报错、死机;

2、 播放多媒体软件时,有图像无声或无图像有声音;

3、 播放声音时有杂音,声音异常、无声;

4、 声音过小或过大,且不能调节;

5、 不能录音、播放的录音杂音很大或声音较小;

6、 设备安装异常。

三、可能涉及的配件

音、视频板卡或设备、主板、内存、光驱、磁盘介质、机箱等。

四、判断要点/顺序

1、 维修前的准备

1) 除必备的维修工具外,应准备最新的设备驱动、补丁程序、主板BIOS、最新的DirectX,标准格式的音频文件(CD、WAV文件)、视频文件(VCD、DVD);

2) 熟悉多媒体应用软件的各项设置,如WINDOWS下声音属性的设置、声卡/显卡附带应用软件的设置、视频盒/卡应用软件的设置等;

3) 有针对性的了解用户的信息,主要了解:出现故障前是否安装过新硬件、软件、重装过系统(包括一键恢复)。

2、 环境检查

1) 检查市电的电压是否在允许的范围内(220V±10%);

2) 检查设备电源、数据线连接是否正确,插头是否完全插好,如音箱、视频盒的音/视频连线等;开关是否开启;音箱的音量是否调整到适当大小;

3) 观察用户的操作方法是否正确;

4) 检查周围使用环境,有无大功率干扰设备,如:空调、背投、大屏幕彩电、冰箱等大功率电器。如果有应与其保持相当的距离(50厘米以上);

5) 检查主板BIOS设置是否被调整,应先将设置恢复出厂状态,特别检查CPU、内存是否被超频。

3、 故障判断要点

1) 对声音类故障(无声、噪音、单声道等),首先确认音箱是否有故障,方法:可以将音箱连接到其他音源(如录音机、随身听)上检测,声音输出是否正常,此时可以判定音箱是否有故障;

2) 检查是否由于未安装相应的插件或补丁,造成多媒体功能工作不正常;

3) 对多媒体播放、制作类故障,如果故障是在不同的播放器下、播放不同的多媒体文件均复现,则应检查相关的系统设置(如声音设置、光驱属性设置、声卡驱动及设置)。乃至检查相关的硬件是否有故障;

4) 如果是在特定的播放器下才有故障,在其他播放器下正常,应从有问题的播放器软件着手,检查软件设置是否正确,是否能支持被播放文件的格式。可以重新安装或升级软件后,看故障是否排除;

5) 如果故障是在重装系统、更换板卡、用系统恢复盘恢复系统、或使用一键恢复等情况下出现,应首先从板卡驱动安装入手检查,如驱动是否与相应设备匹配等;

6) 对于视频输入、输出相关的故障应首先检查视频应用软件采用信号制式设定是否正确,即应该与信号源(如有线电视信号)、信号终端(电视等)采用相同的制式。中国地区普遍为PAL制式;

7) 进行视频导入时,应注意视频导入软件和声卡的音频输入设置是否相符,如:软件中音频输入为MIC,则音频线接声卡的MIC口,且声卡的音频输入设置为MIC;

当仅从光驱读取多媒体文件时出现故障,如:播放DVD/VCD速度慢、不连贯等,先检查光驱的传输模式,应设为“DMA”方式;

9) 检查有无第三方的软件,干扰系统的音视频功能的正常使用。另外,杀毒软件会引起播放DVD/VCD速度慢、不连贯等(如瑞星等,应关闭);

10) 软件检查

A. 检查系统中是否有病毒;

B. 声音/音频属性设置:音量的设定,是否使用数字音频等;

C. 视频设置:视频属性中分辨率和色彩深度;

D. 检查DirectX的版本,安装最新的DirectX。同时使用其提供的Dxdiag.exe程序,对声卡设备进行检查

E. 设备驱动检查:在WINDOWS下“系统—设备管理”中,检查多媒体相关的设备(显卡、声卡、视频卡等)是否正常,即不应存在有“?”或“!”等标识,设备驱动文件应完整。必要时,可通过卸载驱动再重新安装或进行驱动升级。对于说明书中注明必须手动安装的声卡设备,应按要求删除或直接覆盖安装(此时,不应让系统自动搜索,而是手动在设备列表中选取);

F. 如用户曾重装过系统,可能在装驱动时没有按正确步骤操作(如重启动等),导致系统显示设备正常,但实际驱动并没有正确工作。此时应为用户重装驱动。方法可同上;

G. 用系统恢复盘恢复系统、或使用一键恢复后有时会出现系统识别的设备不是用户实际使用的设备,而且在WINDOWS下“系统—设备管理”中不报错,这时必须仔细核对设备名称是否与实际的设备一致,不一致则重装驱动(如:更换过可替换的主板后声卡芯片与原来的不一致);

H. 重装驱动仍不能排除故障,应伤心虑是否有更新的驱动版本,应进行驱动升级、或安装补丁程序。

11) 硬件检查

A. 用内存检测程序检测内存部分是否有故障。伤心虑的硬件有主板和内存;

B. 首先采用替换法检查与故障直接关联的板卡、设备。声音类的问题:声卡、音箱、主板上的音频接口跳线;显示类问题:显卡;视频输入、输出类问题:视频盒/卡;

C. 当仅从光驱读取多媒体文件时出现故障,在软件设置无效时,用替换法确定光驱是否有故障;

D. 对于有噪音问题,检查光驱的音频连线是否正确安装,音箱自身是否有问题,音箱电源适配器是否有故障,及其他匹配问题等;

E. 用磁盘类故障判断方法,检测硬盘是否有故障;

F. 采用替换法确定CPU是否有故障;

G. 采用替换法确定主板是否有故障。

五、本类故障的判断流程

见附录一之(十)。

六、案例

案例一:

问题描述:用户报修同禧E5000电脑,安装的WINDOWS XP系统。用户在播放音视频文件,如VCD、CD、MP3等时,音箱里“滋滋”的噪音很明显。

解决方案:一般看到此类问题,总是会先想到是音箱的问题,或者主板的声卡有问题。但是工程师先后更换音箱、主板都是故障依旧。此时维修陷入困境。

其实只要仔细观察并思伤心一下,本着先软后硬的思路去观察,问题应该能很快解决的。此案例中,由于机器本身出厂是DOS系统,WINDOWS XP是用户自己安装的,声卡驱动也是WINDOWS XP自己认的,而恰恰是XP自带的驱动出了问题,造成用户报修的问题现象。只要安装随机驱动光盘里的相应的驱动程序,问题就迎刃而解了。

案例二:

问题描述:用户购买的未来先锋722机器,自己按装了 WINDOWS 98,发现播放CD时无声音。在声音控制里已经打开了CD的控制,并且把音量调节到最大了。

解决方案:首先我们要知道这点,联想出厂预装WINDOWS XP的机器,已经不再配置光驱和声卡之间的音频线了,播放CD时都采用XP本身提供的数字音频功能直接播放。而WINDOWS 98不具备数字音频的功能。明白了这一点,用户的问题的答案也就明朗了。

告诉用户机器标配中利用WINDOWS XP的数字音频功能播放CD,所以机器没有配置光驱音频线。而WINDOWS 98不支持数字音频功能,所以会产生这样的问题。建议用户还是使用WINDOWS XP操作系统,或者自己添加一根音频线。

从这个案例不难看出,对产品配置、技术规范的了解和掌握对于我们解决用户问题是很重要的保证。

TOP

第九章 端口与外设故障

一、定义举例

这类故障主要涉及串并口、USB端口、键盘、鼠标等设备的故障。

二、可能的故障现象

1、 键盘工作不正常、功能键不起作用;

2、 鼠标工作不正常;

3、 不能打印或在某种操作系统下不能打印;

4、 外部设备工作不正常;

5、 串口通信错误(如:传输数据报错、丢数据、串口设备识别不到等);

6、 使用USB设备不正常(如USB硬盘带不动,不能接多个USB设备等);

三、可能涉及的配件

装有相应端口的配件(如主板)、电源、连接电缆、BIOS中的设置。

四、判断要点/顺序

1、 维修前的准备

1) 准备相应端口的短路环测试制具;

2) 准备测试程序QA、AMI等——这些程序要求在DOS下运行;

3) 根据站内的资源,准备相应端口使用的电缆线,如并口、打印机线、串口线、USB线等。

2、 环境检查

1) 连接及外观检查:

A. 设备数据电缆接口是否与主机连接良好、针脚是否有弯曲、缺失、短接等现象;

B. 对于一些品牌的USB硬盘,应向用户说明最好使用外接电源以使其更好的工作;

C. 连接端口及相关控制电路是否有变形、变色现象;

D. 连接用的电缆是否与所要连接的设备匹配(如:两台机器通过串口相连,就应使用空调制解调器连接线而不能使用MODEM线等)。

2) 外设检查:

A. 外接设备的电源适配器是否与设备匹配;

B. 检查外接设备是否可加电(包括自带电源,和从主机信号端口取电);

C. 检测其在纯DOS下是否可正常工作。如不能工作,应先检查线缆或更换外设及主板;

D. 如果外接设备有自检等功能,可先行检验其是否为完好;也可将外接设备接至其它联想机器检测。

3、 故障判断要点

1) 尽可能简化系统,无关的外设先去掉;

2) 端口设置检查(BIOS和操作系统两方面):

A. 检查主板BIOS设置是否正确,端口是否打开,工作模式是否正确;

B. 通过更新BIOS、更换不同品牌或不同芯片组主板,测试是否存在兼容问题;

C. 检查系统中相应端口是否有资源冲突。接在端口上的外设驱动是否已安装,其设备属性是否与外接设备相适应。在设置正确的情况下,检测相应的硬件——主板等;

D. 检查端口是否可在DOS环境下使用,可通过接一外设或用下面介绍的端口检测工具检查;

E. 对于串、并口等端口,须使用相应端口的专用短路环,配以相应的检测程序(推荐使用AMI)进行检查。如果检测出有错误,则应更换相应的硬件;

F. 检查在一些应用软件中是否有不当的设置,导致一些外设在此应用下工作不正常。如:在一些应用下,设置了不当的热键组合,使某些键不能正常工作。

3) 设备及驱动程序检查:

A. 驱动重新安装时优先使用设备驱动自带的卸载程序,如Z32打印机;

B. 检查设备软件设置是否与实际使用的端口相对应,如USB打印机要设置USB端口输出;

C. USB设备、驱动、应用软件的安装顺序要严格按照使用说明操作;

D. 外设的驱动程序,最好使用较新的版本,并可到厂商的网站上去升级。

TOP

第八章 Internet类故障

一、定义举例

主要是与浏览Internet有关的软、硬件故障。如:不能拨号、不能浏览网页等。

二、可能的故障现象

1、 不能拨号、无拨号音、拨号有杂音、上网掉线;

2、 上网速度慢、个别网页不能浏览;

3、 上网时死机、蓝屏报错等;

4、 能收邮件但不能发邮件;

5、 网络设备安装异常;

6、 与调制解调器相连的其它通信设备损坏、或反之。

三、可能涉及的配件

调制解调器、电话机、电话线、局端。余类同 “局域网类故障”。

四、判断要点/顺序

1、 环境检查

1) 周边及外观检查:

A. 市电的接线定义是否正确,是否有地线;

B. 外置MODEM附近是否有变压器等设备或其它可造成干扰的电器设备;

C. 电话是否有防盗打功能,是否安装了IP电话拨号器、传真机等外部设备。这些外部设备连接是否正确,工作是否正常(单独工作和连机情况下);

D. 检查机箱内灰尘是否较多,是否有异物造成短路,插接配件是否接插到位,无翘起;

E. 主板、MODEM或宽带上网网卡上元器件是否有变形、变色等现象;

F. 网卡接口接触是否良好;

G. 加电后注意配件、元器件及其它设备是否有异味、温度异常等现象发生。

2) 信号线连接:

A. 电话线是否正确连接,连接的电话线是否正常,用户的电话是否为分机,是否有来电提醒;

B. 拨打的电话号码是否有限制;

C. 宽带上网其网线定义是否正确,能否连通,有条件的话将机器更换环境(如:到邻居家中或回站)后再进行测试,以验证是否为连线问题;

2、 故障判断要点

1) MODEM配置检查:

A. 检查CMOS中的设置是否正确。MODEM设备是否被系统认到;

B. 软件最小系统加MODEM,检查故障现象是否消失。如消失。则是硬件之间的不兼容或资源冲突造成的故障;

C. 在设备管理器中检查MODEM驱动是否正确,是否有资源冲突。MODEM支持的协议是否与局端不兼容。在驱动不正确时,可能会造成上网掉线、上网速度慢等现象。将原MODEM驱动删除(最好在控制面板——调制解调器中将MODEM删除),安装主板驱动后重新安装MODEM驱动程序;

D. MODEM设备属性设置是否正确(如使用的连接速度等)。

2) 拨号器/拨号过程检查:

A. 检查用户所用的拨号程序,是否为第三方的软件,建议用一新建的拨号连接,拨号上网(最好能不用用户的账号),检查是否能拨号,是否报错;

B. 注意察看报错信息,初步判断故障原因(如:报680错误,是没有拨号音,678错误,是远程服务器没响应等);

C. 用户是否有权访问Internet网络。

3) 网络属性及协议检查:

A. 如果是通过服务提供商来拨号上网的,除一定要安装IP协议外,不应对IP地址等参数进行设定。其它上网方式,应按要求进行相关的设定;

B. 使用的拨号协议是否与服务商要求的一致(如使用PPP协议等)。

4) IE检查:

A. 对于Windows 98系统,如果IE有故障,建议升级IE到5.5版本,或打补丁;

B. 检查IE属性设置是否正确,检查IE是否因上某一网站而被修改。如果临时文件过多,可造成上网后无法浏览网页(可在IE属性中删除临时文件等。关于删除的方法,见本章之后)。是否因为没有安装某些网站所必须的插件,而造成不能浏览网页。检查IE中的安全级别设置,和分级检查设置,恢复成默认值;

C. 检查是否因上某些网站,造成系统被修改(如注册表被禁用等);

D. 检查用户的软件环境,是否由于防病毒、防火墙之类的软件,或其设置不正确,造成浏览困难。

5) 系统检查:

A. 检查系统中是否有病毒;

B. 在MSCONFIG中关掉所有启动时加载的程序,关掉所有正在运行的程序。防止软件冲突造成的无法上网;

C. 必要时重新安装操作系统进行测试。

6) 硬件检查:

A. 更换MODEM所在的插槽,重新检测MODEM并安装驱动,如果无法上网,更换MODEM测试;

B. 如果是在雷雨后出现不能拨号等现象,除检查电缆线及其上的其它设备是否损坏外,应查MODEM是否已损坏;

C. 如还不能上网,注意检查其它硬件;

7) 宽带上网如出现故障,还需检查:

A. 检查网卡驱动是否安装正确;

B. 用闭环测试网卡是否正常;

C. 根据当地实际情况将拨号属性设置正确,根据宽带上网说明重新安装拨号软件,设置各项设置;

D. 更换不同型号网卡进行测试,排除不兼容现象;

E. 联系电信局或小区网管检查网络环境或连接设备;

F. 对于自动上网的,代理服务器不要进行设置,对于早期的宽带网,需要设置IP。

五、本类故障的判断流程

见附录一之(八)。

六、案例

案例一:

问题描述:

一客户机器采用98操作系统,在拨号上网时发现网页无法打开,但右下脚确实有链接的图标,发现无网络流量,但多拨几次后问题解决,此问题复现无规律,客户需要解释原因并证明不是机器的问题。

解决方案:客户要求给予一个合理的解释,因为机器并非无法上网,了解到这一点就应该从软件方面来伤心虑,不能一上来就换硬件,给客户感觉不好。

机器可以正常拨号说明机器的Modem硬件和驱动没有问题,但仔细观察后发现网络流量为0,说明机器并没有在网上,右下脚的链接符号可能是一种假相,使用ipconfig/all命令发现机器没有获得IP地址,为什么会有这种现象呢I诵纳能会和电信接入端有关,反复测试几次拨号上网,发现只要拨号后如果获得IP地址就一定可以上网,如果没有获得IP地址,就一定无法打开网页,客户看到这种现象后基本认可我的说法,并希望通过重新安装操作系统来看是否可以解决,通过重新安装98操作系统后问题依旧,客户已认为机器没有问题,在新的98下我为客户用另外一种方式进行测试,即用98里边的超级终端来拨号,原因是超级终端在拨号时可以看到拨号的全过程,是否可以得到IP地址,在使用超级终端拨号5-6次后发现有一次没有得到IP地址,至此客户完全信服了,正真的原因在于电信的局端,而不是在于机器本身。

案例二:

问题描述:客户机器所装的操作系统为98,除安装Modem外,还加了一块网卡,客户机器平时使用网卡上局域网的,网卡获得IP是采用DHCP方式,但在拨号时无法拨号上网,可是有拨号音,客户要求彻底解决。

解决方案: 客户以前曾经用过Modem拨号上网,现在无法使用,情绪较激动,除了解决外还需要充分的沟通,因此处理的过程很重要。

我在测试时发现故障复现,经过和客户沟通,发现客户以前确实可以拨号上网,最近由于安装了一块网卡,局域网可以上,拨号是用不成了,从和客户的沟通后,我认为不是机器本身的问题,还是和设置及操作系统本身有关,因为在2000下别的机器上是没有此问题的。首先我将网卡屏蔽掉,然后测试拨号上网,发现故障消失,难道和网卡有关,将网卡打开,发现可以拨号上网,问题解决!怎么回事,重新启动后发现局域网上去后拨号再次出现异常,故障复现,使用超级终端拨号发现无法获得IP地址,OK,问题找到,但是什么原因造成无法获得IP地址呢I诵拇来和操作系统有关,因为2000下并无此问题,应该在98下和网卡有关,由于此局域网是采用DHCP方式,我用winipcfg将网卡IP Realse,再次拨号故障解决,总算找出了问题的所在,反复启动并释放网卡IP后拨号正常,后经和微软工程师沟通,确定95和98确实有这种问题,但2000下已经解决了此问题,至此问题圆满解决,客户表示非常认可。

案例三:

问题描述:客户自己买了一个Modem,用此Modem可以拨号163/169上网,但其却无法拨到公司的局域网上收发邮件,客户希望协助解决,虽然客户的Modem不是标配的。

解决方案:客户自己对电脑还是比较熟悉的,因此只是要求我们协助处理,查出真正的原因,所以在处理这个问题时尽量不要打开机箱,做换主板之类的操作,重点要来伤心虑兼容性。

因为可以拨到163上,无法拨到公司网上,所以我重点要看客户Modem的型号及协议,客户的Modem是国产同维的产品,支持V.90协议,客户公司

的Modem是美国3COM的产品,也支持V.90协议,首先用超级终端拨号到公司,发现出现拨号音后2秒后自动断调,没有到获得IP地址的那一步,这就说明这两个Modem出现了兼容性问题,在握手阶段出现了问题,向客户解释清楚后,客户向其单位借了一个3COM Modem,首先用拨号网络测试一切正常,再用超级终端测试发现一切正常,客户非常认可,认为我们的测试方式很有说服力。

附:在IE中删除临时文件可用以下几种办法:

1、 打开IE浏览器,在工具—internet选项中删除临时文件,清空历史记录。(对于IE无法打开的可在这项里的设置中选“每次启动Internet Explorer”,或将Internet临时文件夹使用的磁盘空间加大;

2、 在开始—设置—任务栏和开始菜单—开始菜单程序中选清除;

3、 在c:\windows\history目录中将历史记录删除;

4、 在c:\windowsTemporary Internet Files中删除所有文件;

5、 使用网络实铭等第三方软件进行清除。

TOP

第七章 局域网类故障

一、定义举例

这类故障主要涉及局域网宽带网等网络环境中的故障。

二、可能的故障现象

1、 网卡不工作,指示灯状态不正确;

2、 网络连不通或只有几台机器不能上网、能Ping通但不能连网、网络传输速度慢;

3、 数据传输错误、网络应用出错或死机等;

4、 网络工作正常,但某一应用下不能使用网络;

5、 只能看见自己或个别计算机;

6、 无盘站不能上网或启动报错;

7、 网络设备安装异常。

8、 网络时通时不通。

三、可能涉及的配件

网卡、交换机(包括HUB、路由器等)、网线、主板、硬盘、电源等相关配件。

四、判断要点/顺序

1. 维修前的准备

1) 可用的网线(直连线和普通网线,线序符合国际标准);

2) 如有条件,带上网线连接检查器。

2. 环境检查

1) 电源连接检查:

A. 市电的接线定义是否正确;

B. 是否有地线;

C. 网络上的各设备(如:HUB、交换机等)是否均已上电工作。

2) 网线连接检查:

A. 网线连接线序是否与网络连接的要求匹配(如直连和普通网线);

B. 网线的连通性是否正常,要查看网线有无破损、过度扭曲;

C. 网线长度是否过长(如5类双绞线长度超过技术规格要求的100米);

D. 网线接头——水晶头是否完好、是否氧化;

E. 网卡接口是否完好。重新插拨网线检查网线与网卡连接是否松动;

F. 根据电缆要求是否有终结器,终结器是否正常。

3) 网络设备外观及周边检查:

A. 加电启动后,网卡指示灯是否亮等;

B. HUB等设备的网线接口,在与终端或服务器连接后,如果终端或服务器启动及配置正常,其指示灯会亮(注意指示灯颜色是否正常,参伤心设备说明书),如果指示灯不亮,说明设备有故障;

C. 网卡配件是否接插到位无翘起,网卡上金手指是否氧化;

D. 网线或交换机等设备周围是否有干扰。

4) 主机外观检查:

A. 检查机箱内是否有异物造成短路;

B. 机箱内的灰尘是否过多,如果是,应清理灰尘;

C. 主板与网卡上元器件是否有变形、变色现象;

D. 加电后,注意配件、元器件及其它设备是否有异味、温度异常等现象发生。

5) 其它方面:

A. 在UNIX下,要分清是终端死机还是服务器死机

3. 故障判断要点

1) 寻求用户网管的配合。

首先应尽可能与网管联系,以得到网管合作。

2) 网络环境检查:

A. 对于掉线、丢包等故障,要注意检查网卡与交换机间的兼容性;

B. 网络连接正常,但不能进行域登录,要从以下几点检查:

a)
指明的域名是否存在或已工作;

b)
是否已按服务器、操作系统的要求(如在服务器端启用了WINS解析服务、DNS服务等,WINXP HOME版不能登录到域中。),设置终端允许登录到域中,计算机名是否已注册到域中;

c) 检查使用的协议是否正确;

C. 检查是否安装了防火墙,是否被授权访问;

D. 在必要时,使用直连线只连接两台机器在对等网环境下检查是否可连网(这样做可排除网络上诸环境因素的影响)。

3) 网络适配器驱动与属性检查:

A. 驱动程序是否正确、合适。网卡设备建议由系统自动识别,并尽可能使用与操作系统匹配和更新的驱动程序(只有老型号的ISA网卡才可使用手动安装的方法进行驱动的安装)。在安装驱动程序时,如有必要,可将启动中加载的和正在运行的程序关掉,再行安装;

B. 网卡在某一网络环境下工作不正常,可调整网速,如对于10/100Mbps的网卡,如果工作在10Mbps的网络环境下,网络工作不正常,应特别指定网卡工作在10Mbps的速度上;

C. 检查网络通信方式,如是否为全双工等。

4) 网络协议检查:

A. 检查网络中的协议等项设置是否正确(不管用哪种协议,必须保证网内的机器使用的协议一致)。网络中是否有重名的计算机名;

B. 如果不能看到自己或其它计算机,先通过按F5多刷新几次来检查,然后检查是否安装并启用了文件和打印共享服务、是否添加了NETBEUI协议(如果网络环境中有WINS服务器,则不需添加,如没有则要添加);

C. 如能ping通网络,但不能在网上邻居中访问其它终端或服务器,可用ipconfig /all(在命令行方式)、netstat等命令查看具体信息,检查网络属性的设置,如域、工作组等,并进行相应的更改;

D. TCP/IP协议的实用程序ping命令,可用来检查网络的工作情况。这需要维修人员了解TCP/IP协议的相关知识(顺序:PING 127.0.0.1,本机IP、本网段IP、网关、DNS等);

E. 如果PING不通,可尝试在网络属性中把所有的适配器和协议删除,重启后重新安装;

F. 通过执行tracert <目标IP地址 >命令,检查IP包在哪个网段出错;

5) 系统设置与应用检查:

A. 检查机器自检完成后,所列的资源清单中网卡是否被列其中(非PNP网卡除外),其所用资源与其它设备有无共享;

B. 检查系统中是否有与网卡所用资源相冲突的其它设备,如有,可通过更换设备间的安装位置,或手动操作更改冲突的资源。对于ISA总线的网卡,可能需要在CMOS中关掉其所占中断的PnP属性,且其所用资源一般不宜与其它设备共享。较老的PCI设备也不宜与其它设备共享资源;

C. 检查系统中是否存在病毒;

D. 如果某一特定的应用在使用网络时工作不正常,检查CMOS设置是否正确,重点检查网卡的驱动程序是否与其匹配,必要时,关闭其它正在运行的应用程序,及启动中加载的程序,看是否能正常工作,或与能够正常运行该应用的机器进行比较,检查在配置方面有何不同;

E. 通过重新安装系统,检查是否由于系统原因而导致网络工作不正常。

6) 硬件检查:

A. 用网卡自带程序和网卡短路环检测网卡是否完好;

B. 如更换网卡后仍不正常,可更换主板,更换主板仍不能解决时,可伤心虑更换其它型号网卡;

7) 对于无盘站,注意检查以下几点:

A. BIOS中是否允许了从网络启动,BIOS中最好禁用软驱,将"Report No FDD For Win 95",由Yes更改为No(或反之。这与软驱的设置有关)

B. 对于ISA网卡,其BIOS的设置,应使BOOT ROM默认的起始地址为D800H 或C800H,I/O为300H(如有些网卡的默认设置为C800H容易与AGP显卡等配件占用的地址资源冲突导致安装失败)。;

C. 在以上操作无效时,对有些主板,屏蔽板载声卡,再根据需要进行相应的修改。

D. 工作站的协议必须与服务器协议一致;

E. 有多台服务器时,必须指定第一响应服务器。

对于无线网络,特别要注意:

A. 检查两台终端间的有效距离是否过大,中间是否有隔离物;

B. 对等网络下,所使用的频率通道是否一致;

C. 在用AP的环境下,终端的网络ESSID必须与AP一致;

D. 检查网卡和AP的密钥的密钥是否相符。

五、本类故障的判断流程

见附录一之(七)。

六、案例

案例一:

问题描述:网卡不工作,指示灯状态不正确;

解决方案:首先观察系统设备管理器中有没有网卡这个设备,若没有则更换网卡或重新插拔网卡测试,并看金手指部分有没有锈迹,若有,则用橡皮擦干净测试。

案例二:

问题描述:局域网内,只有几台机器能连网,大部分不能互访。网卡灯亮,HUB灯闪

解决方案:见到这种情况,要从软硬两个方面来分析,首先:

a、软件方面,使用最新版本的KV3000进行了查、杀病毒工作,没有发现任何病毒,从而排除了病毒干扰的可能性。网络方面,安装了NetBEUI、IPX/SPX和TCP/IP协议,网卡的驱动也正确安装,在设备管理中没有发现任何冲突,并进行了协议绑定。设置了文件、打印机共享,也设定了工作组名称和计算机名称。应该说从网络协议到共享资源设置等均没有问题,可以排除软件方面的错误。

b、从硬件方面分析,大致有四种可能:其一是网线断路,无法形成信号回路;其二是网线的线序是否正确;其三是在集线器与计算机间连接用的网线过长,超过100米;其四集线器端口有问题。针对这四种可能性,逐个进行排除。使用测线工具或万用表测量网线,发现网线连接状况很好,没有断路。通过目测,连接用的网线长度不可能超过100米。将几台网络已连通的计算机接在集线器上的插口换到怀疑损坏的集线器端口上,这几台计算机仍然互通,说明集线器端口没有损坏。

c、通过对网线线序的检查,发现用户的制作的线序是1、2、3、4,问题就出在这儿,因为RJ45插头正确的连接应该是使用1、2、3、6,其中1、2是一对线,3、6是一对线,其余四根线没有定义。查出了问题,只需为用户重新做网线头,插入后网络正常。

案例三:

问题描述:脑在“网上邻居”中只能看到自己,而看不到其他电脑,从而无法使用其他电脑上的共享资源和共享打印机

解决方案:使用ping命令,ping本地的IP地址或主机名,检查网卡和IP网络协议是否安装完好。如果能ping通,说明该电脑的网卡和网络协议设置都没有问题。问题出在电脑与网络的连接上。因此,应当检查网线和Hub及Hub的接口状态,如果无法ping通,只能说明TCP/IP协议有问题。重新设置网络协议,对于10台以下的机器且不上Internet的机器可伤心虑用NetBEUI协议,若上Intrnet则用TCP/IP协议,不管用哪种协议,必须保证网内的机器使用的协议一样。

案例四:

问题描述:无盘站不能上网或启动报错;

解决方案: NOVELL无盘工作站不能正常登录服务器有以下几种情况:

a.工作站屏幕上出现“Error opening boot disk image file ”OR“Unable to open image file”

  这可能是连到了一个没有包含远程启动映像文件的服务器。把启动映像文件拷到这个服务器的Login目录下;如果使用的是多远程启动映像文件,检查Bootconf.sys中对工作站是否进行了正确设置,应确保网络地址和节点地址的正确,如果以上都正确,那么可能是远程启动映像文件有问题,可以测试生成启动映像文件的软盘能否正常启动有盘工作站。若还不行,可以运行一下RPLFIX实用程序。

b.工作站屏幕上出现“Error finding server”

  在确保硬件线路连接没问题的前提下,检查服务器上是否安装了“Ethernet_802.3”帧类型,远程启动映像文件的net.cfg 中是否包含Ethernet_802.3,这种就是前面所说的旧型的IPX芯片,它不支持Ethernet-802.2帧。按照相应的帧类型重新制作启动映像文件。

c.工作站在从远程启动映像文件装入网卡驱动时挂起,屏幕并显示下面类似信息:Ethernet card is improperly install or net connected the network.

  这就是由于前面所说的旧式IPX芯片在Netware 4.X以上使用时,在远程启动映像文件中没有RPLODI.com或远程启动映像文件的批处理文件中ISL.com下行没有RPLODI.com行。

d.工作站显示“Loading MS-DOS”并挂起

  这是由于远程启动映像文件使用了DOS 5.0或以上版本,对远程启动映像的文件运行RPLFIX实用程序。

e.屏幕上出现“batch file missing”

出现这个消息是由于autoexec.bat或其它批处理文件(对多个远程启动映像所使用的批处理)没有同时存在于LOGIN目录和用户登录目录。

TOP

第六章 操作与应用类故障

一、定义举例

这类故障主要是指启动完毕后到关机前所发生的应用方面及系统方面的故障。

二、可能的故障现象

1、 休眠后无法正常唤醒;

2、 系统运行中出现蓝屏、死机、非法操作等故障现象;

3、 系统运行速度慢;

4、 运行某应用程序,导致硬件功能失效;

5、 游戏无法正常运行;

6、 应用程序不能正常使用。

三、可能涉及的配件

主板、CPU、内存、电源、磁盘、键盘、接插的板卡等

四、判断要点/顺序

1、 维修前的准备

1) 干净的可用硬盘;

2) 杀毒软件;

3) 尽可能新的驱动程序、若干版本的BIOS;

4) 磁盘连接的数据线等。

2、 环境检查

1) 市电及连接检查:

A. 检查市电是否正常,连接是否牵伤心;是否有接地;

B. 设备间的连接线是否接错或漏接。

2) 周边及外观检查:

A. 检查与主机连接的其他外设工作是否正常;

B. 驱动器工作时是否有异响,CPU风扇的转速是否过慢或不稳定;

C. 观察机箱内灰尘是否太多,而导致各插接件间接触不良。先除尘后可用橡皮等擦拭金手指,去除氧化层或灰尘。然后重新插上;

D. 观察系统是否有异味,元器件的温升是否过高或过快。

3) 显示与设置检查:

A. 详细记录报错信息,判断可能造成故障的部位;

B. 注意CMOS中对于硬盘、系统时间、CPU温度的设置,注意在自检时显示的硬件信息和机器配置是否相符;

C. 仔细阅读软件的使用指南,注意软件运行的环境要求。

4) 充分与用户沟通:

A. 了解用户的使用情况;

B. 出故障前的现象;

C. 做过什么操作才出现目前的故障。

根据以上了解的情况,来初步判断可能的故障原因。

3、 故障判断要点

1) 检查是否由于用户误操作引起

A. 机器出现死机、蓝屏或无故重启时,首先要伤心虑到用户的操作是否符合操作规范和要求,要仔细询问、观察用户的操作方法是否符合常理,并由工程师用正确的方法操作、应用用户的机器,查看是否出现用户所报修的故障。若不出现,则可认为是用户操作不当引起的,由工程师向用户解释并演示正确的操作方法。

B. 若经过上述操作故障依然存在,可用系统文件检查器检查用户的机器系统是否有丢失的DLL文件,并尝试恢复。

C. 注意观察用户的机器在死机、蓝屏或无故重启时有没有规律,并找出可能引起机器故障的原因(如机器在运行某一程序时或机器开机在一定时间内死机)。

D. 通过与另一台软硬件相同且无故障的机器进行比较,查看故障机的文件大小是否相同或相差不大,主程序的版本是否一致。

2) 检查是否由于病毒或防病毒程序引起故障

A. 检查用户的机器是否被病毒感染,使用杀毒软件杀毒;

B. 检查用户是否安装了两个或两个以上的防毒软件,建议用户使用其中一个,并卸载其他的防毒软件;

C. 检查是否有木马程序,用最新版的杀毒程序可以查出木马程序。可以通过安装补丁来弥补程序中的安全漏洞,或者安装防火墙。

3) 检查是否由于操作系统问题引起故障

A. 检查硬盘是否有足够的剩余空间,并检查临时文件是否太多。整理硬盘空间,删除不需要的文件;

B. 对于系统文件损坏或丢失,可以使用系统文件检查器进行检查和修复;

C. 检查操作系统是否安装了合适的系统补丁(对于Winnt可在启动时观察service pack的版本,推荐使用SP6;Win2k和Winxp可以在系统属性中查看,Win2k推荐使用SP3,Winxp推荐使用SP1。);

D. 检查DirectX驱动是否正常,升级DirectX的版本;

E. 检查是否正确安装了设备的驱动程序,并且驱动的版本是否合适。检查驱动安装的顺序是否正确(例如:首先安装主板驱动)。

4) 检查是否由软件冲突、兼容引起故障

A. 检查用户应用软件的运行环境是否与现有的操作系统(NT/98/2K/XP)相兼容,可通过查看软件说明书或到应用软件网页上查找相关资料,并查看网页上有没有对于此软件的升级程序或补丁可安装。

B. 可用任务管理器观察故障机器的后台是否有不正常的程序在运行,并尝试关闭程序只保留最基本的后台程序。

C. 注意查看故障机内是否有共用的DLL文件,可通过改变安装顺序或安装目录来解决问题。

5) 检查硬件设置是否不正确

A. 首先,检查CMOS设置是否正确,可恢复默认值;

B. 在设备管理器中检查硬件是否正常,中断是否有冲突,如有冲突,调整系统资源(对于某些硬件,要阅读说明书,按照说明正确设置硬件);

C. 在设备管理器中将硬件驱动删除,重新安装驱动程序(最好安装版本正确的驱动程序),查看硬件驱动是否恢复正常;

D. 运行硬件检测程序,如AMI等检测硬件是否有故障;

E. 在软件最小系统情况下, 重新更新硬件驱动,观察故障是否消失。

6) 检查是否为兼容问题

A. 遇到兼容性问题时,应检查硬件的规格和标准(如同时使用多条内存时检查内存是否为同一厂家、同一规格、同一容量、内存颗粒同一批次),是否允许在一起使用。

B. 阅读说明书或到网页上查找相关资料,检查用户的硬件正常使用所需的软件要求,现在的软件环境是否符合要求,软硬件之间是否相互支持。

C. 在设备管理器中检查用户的系统资源是否有冲突,如有冲突,手动调整系统源。

D. 在设备管理器中检查用户机器的硬件的驱动是否安装正确,更新合适版本的设备驱动(如某些显卡用WIN2000或WINXP自带的公版驱动,会造成某些大型3D游戏无法运行);

E. 检查维修BOM,去除非联想的硬件,检查系统是否可正常工作,如可正常工作,建议用户更换自行添加的硬件或查找硬件相关资料进行解决。

7) 检查是否由于网络故障引起

A. 碰到机器连接在网络上,出现死机、运行慢、蓝屏等故障时,应首先关闭网络,与网络环境隔离,观察故障是否消失,如故障消失,则为网络问题引起故障。

B. 确为网络问题引起的故障,其判断与解决步骤参伤心网络部分。

8) 检查是否由于硬件性能不佳或损坏引起

A. 使用相应的硬件检测程序,检查硬件是否有故障,如果有,利用替换法排除相应的硬件;

B. 用替换法检查检测程序无法判断的硬件故障。

TOP

第五章安装类故障

一、定义举例

这类故障主要是反映在安装操作系统或应用软件时出现的故障

二、可能的故障现象

1、 安装操作系统时,在进行文件复制过程中死机或报错;在进行系统配置时死机或报错;

2、 安装应用软件时报错、重启、死机等(包括复制和配置过程);

3、 硬件设备安装后系统异常(如黑屏、不启动等);

4、 应用软件卸载后安装不上,或卸载不了等。

三、可能涉及的配件

磁盘驱动器、主板、CPU、内存,及其它可能的配件、软件。

四、判断要点/顺序

1、 维修前的准备

1) 注意携带磁盘数据线;

2) 相适应的最新版设备驱动程序。

2、 环境检查

1) 软件安装

A. 检查硬件设备的连接与外观:

a)
检查与主机连接的其他设备工作是否正常;

b)
设备间的连接线是否接错或漏接。连接插头、座的接针是否有变形、缺失、短路等现象;

c) 仔细检查报错信息,判断可能造成故障的部位;

d) 观察系统是否有异味,元器件的温度;

e) CPU风扇的转速是否过慢或不稳定;

f) 驱动器工作时是否有不正常的声响。

B. 其它方面检查:

a)
认真对照软件的使用手册,确认机器的软、硬件配置符合该手册的要求;

b)
仔细观察安装介质是否完好。

2) 设备安装

A. 检查设备的连接与外观:

a)
要安装的设备、配件是否连接正确,连接电缆是否完好、接针是否有缺针、断针、或短接的现象;

b)
要安装的设备、配件的制作工艺是否优良;

c) 余类似上述软件安装。

B. 驱动程序介质检查:用于安装设备的驱动程序介质是否完好。

3、 故障判断要点

1) 操作系统安装:

A. 检查CMOS中的设置:

a)
如果需要,请先恢复到出厂设置;

b)
关闭BootEasy功能、关闭防病毒功能,及关闭BIOS防写开关;

c) 特别注意硬盘的参数、CPU的温度等。注意观察自检时显示出来的信息是否与实际的硬件配置相符。

B. 安装介质与目标介质检查:

a)
检查是否有病毒;

b)
检查分区表是否正确、分区是否激活。使用Fdisk /mbr命令来确保主引导记录是正确的(注意使用此命令后,如果机器不能启动,可证明原系统中存在病毒或有错误。硬盘应做初始化操作);

c) 检查系统中是否有第三方内存驻留程序。

以下过程,建议在软件最小系统下检查(注:在最小系统下,需要添加与安装有关的其它驱动器)。

C. 安装过程检查:

a)
如果在复制文件时,报CAB等文件错,可偿试将原文件复制到另一介质(如硬盘)上再行安装。如果正常通过,则原安装介质有问题,可去检查介质及相应的驱动器是否有故障;若仍然不能复制,应检查相应的磁盘驱动器、数据线、内存等配件;

b)
如果是采用覆盖安装而出现上述问题,建议如果更换安装介质后仍不能排除故障,应先对硬盘进行初始化操作,再重新安装(初始化操作时,最好将硬盘分区彻底清除后进行)。如果仍不能解决,再伤心虑硬件;

c) 安装过程中,在检测硬件时出现错误提示、蓝屏或死机等,一是通过多重新启动几次(应该是关机重启),看能否通过;另一是在软件最小系统下检查是否能通过。如果不能通过,应该依次检查软件最小系统中的内存、磁盘、CPU(包括风扇)、电源等配件;如果能正常安装,则是软件最小系统之外的配件的故障或配置问题,这可通过在安装完成后,逐步添加那些配件,并判断是否有故障或配置不当;

D. 硬件及其它应注意的问题:

a)
如果安装系统时重启或掉电,要求在软件最小系统下进行测试。如果故障消失,在安装好系统以后,将软件最小系统之外的设备逐一接上,检查故障是由哪个配件引起,并用替换法解决;如果故障不能消失,应检查软件最小系统中的电源、主板和内存,甚至磁盘驱动器;

b)
在IDE设备上安装诸如UNIX操作系统时,或要安装多个操作系统时,要注意:一是8.4GB 限制(UNIX的开始部分必须在8.4GB之内)——这一条在SCSI设备上无这一要求;另一是多操作系统间的安装顺序及配合关系;

E. 对于LEOS的安装应注意以下几点:

a)
确保主板BIOS支持LEOS,建议在为用户更换主板后首先就要刷新支持LEOS的BIOS;

b)
如果为用户更换硬盘,也要注意备件硬盘是否正确支持DMA66。否则在安装LEOS时也会出现问题;

c) LEOS最好是在一块全新未被分区的硬盘上进行安装。具体顺序可以参伤心如下方案:新硬盘-〉安装LEOS- >分区(Fdisk)- >安装操作系统(Windows XP)-〉制作一键恢复。如果原硬盘存在分区,可以使用Clear.com程序清楚后再安装LEOS。

2) 应用软件安装:

A. 检查安装应用软件问题时应注意的问题:

a)
应用软件的安装问题,部分可参伤心上述的操作系统安装的检查方法;

b)
在进行安装前,要求先备份注册表,再进行安装;

B. 软件间、软硬件间的冲突检查:

a)
可采用两种软件问题隔离的方法。一是在软件最小系统下,关闭正在运行的应用程序,然后安装需要的应用软件;另一是在原系统下直接关闭正在运行的应用程序,然后安装需要的应用软件。关闭已有的应用的方法是:使用msconfig禁用启动组、autoexec.bat、config.sys、win.ini、system.ini中在启动时调用的程序;

b)
使用任务管理器,检查系统中有无不正常的进程,并给予杀除;

c) 对于基本满足软件技术手册要求但安装不上的情况,看能否通过设置调整来解决。如果不能解决,则视为不兼容;

d) 利用其它机器(最好是不同配置的),检查是否存在软、硬件方面的兼容问题;

e) 检查系统中是否已经安装过该软件,如果已经安装过应先将其卸载后再安装,如果无法正常卸载,可以手动卸载或通过恢复注册表来卸载(对于Windows XP可使用系统还原功能来卸载);

f) 必要时,可从网络上查阅相关资料,之后再与软件厂商联系,看是否有其他的注意事项。

C. 硬件检查:

在以上的步骤都不奏效时可伤心虑硬件问题,应检查光驱、安装介质、硬盘线等配件。

3) 硬件设备安装:

A. 冲突检查:

a)
所安装的设备、配件是否在系统启动前的自检过程中识别到,或能由操作系统识别到(非即插即用识备除外)。如果不能识别,应检查BIOS设置及设备本身,包括跳线及相应的插槽或端口;

b)
检查新安装的设备与原系统中的设备是否有冲突;通过改变驱动的安装顺序、去除原系统中的相应配件或设备、更换插槽,看故障是否消除。如果不能消除,则为不兼容;

c) 加装的设备是否与现有系统的技术规格或物理规格匹配;

d) 检查当前系统中的一些设置(主要是.ini文件中的设置)是否与所安装的配件或设备驱动有不匹配的地方;

B. 驱动程序检查:所安装的设备驱动是否为合适的版本(即,不一定是最新的);

C. 硬件检查:

a)
所安装的配件或设备是否本身就有故障;

b)
检查原系统中的配件是否有不良的现象(如插槽损坏、供电能力不足等)。

五、本类故障的判断流程

见附录一之(五)。

六、案例

案例一:

问题描述:用户报修天禧6620机器,在安装98过程中,提示剩余三分钟时。Hwinfo报错,无法正常安装。

解决方案:工程师上门后,经过检测,确实存在用户反应的问题。然后尝试将安装文件拷贝到硬盘上安装和换一张安装盘安装,故障依旧。接着检查BIOS发现,系统日期是2075年。将日期改回后,故障排除。问题虽小,影响却大。在此,提醒各位同仁,做事要细心,不要忽略每个细节。

案例二:

问题描述:逐日2000机器,一次突然死机,不能启动,重装系统能成功,但在设备管理里有很多问号,如打印口,COM口等都没有驱动。

解决方案:在站内又重装系统,驱动主板不能解决问题,看来只有更换主机才行了。打开机箱,发现有很多灰尘,取出主板,进行大扫除,抱着试一试的心里,重装一切OK。

案例三:

问题描述:一用户奔月4000机器/PIII 1G,他是单位技术员,说此机不能重装系统,每次重装都死机,要求上门维修。

解决方案:到达用户处,发现重装到检测硬件时无反应,打开机器进行检查时,发现CPU风扇不是联想。客户说这是刚从市场上拿来的,新的,应没有问题。依次替代硬盘与内存没有用,经用户同意带回站内烤机,再换下主板与CPU还是不行,后经多次重试发现每次死时间越来越短,怀疑还是CPU风扇有问题。换其它联想机器上的风扇竟解决问题。引起故障原因是客户的CPU风扇转速不够,引起温度过高死机

TOP

第四章 显示类故障

一、定义举例

这类故障不仅包含由于显示设备或配件所引起的故障,还包含有由于其它配件不良所引起的在显示方面不正常的现象。也就是说,显示方面的故障不一定就是由于显示设备引起的,应全面进行观察和判断。

二、可能的故障现象

1、 开机无显、显示器有时或经常不能加电;

2、 显示偏色、抖动或滚动、显示发虚、花屏等;

3、 在某种应用或配置下花屏、发暗(甚至黑屏)、重影、死机等;

4、 屏幕参数不能设置或修改;

5、 亮度或对比度不可调或可调范围小、屏幕大小或位置不能调节或范围较小;

6、 休眠唤醒后显示异常;

7、 显示器异味或有声音。

三、可能涉及的配件

显示器、显示卡及其它们的设置;主板、内存、电源,及其它相关配件。特别要注意计算机周边其它设备及地磁对计算机的干扰。

四、判断要点/顺序

1、 维修前的准备

相应显示卡的最新版驱动程序

2、 环境检查

1) 市电检查:

A. 市电电压是否在220V±10%、50Hz或60Hz;市电是否稳定;

B. 其余参伤心加电类故障中有关市电检查部分。

2) 连接检查:

A. 显示器与主机的连接牢伤心、正确(特别注意,当有两个显示端口时,是否连接到正确的显示端口上);电缆接头的针脚是否有变形、折断等现象,应注意检查显示电缆的质量是否完好;

B. 显示器是否正确连接上市电,其电源指示是否正确(是否亮及颜色);

C. 显示设备的异常,是否与未接地线有关。特别注意:不允许电脑维修工程师为用户安装地线,应请用户通过正式电工来安装;

3) 周边及主机环境检查:

A. 检查环境温、湿度是否与使用手册相符(如钻石珑管,要求的使用温度为18~40C);

B. 显示器加电后是否有异味、冒烟或异常声响(如爆裂声等);

C. 显示卡上的元器件是否有变形、变色,或温升过快的现象;

D. 显示卡是否插好,可以通过重插、用橡皮或酒精擦拭显示卡(包括其它板卡)的金手指部分来检查;主机内的灰尘是否较多,进行清除;

E. 周围环境中是否有干扰物存在(这些干扰物包括:日光灯、UPS、音箱、电吹风机、相伤心过近(50厘米以内)的其它显示器,及其它大功率电磁设备、线缆等)。注意显示器的摆放方向也可能由于地磁的的影响而对显示设备产生干扰;

F. 对于偏色、抖动等故障现象,可通过改变显示器的方向和位置,检查故障现象能否消失。

4) 其它检查及注意事项:

A. 主机加电后,是否有正常的自检与运行的动作(如有自检完成的鸣叫声、硬盘指示灯不停闪烁等),如有,则重点检查显示器或显示卡;

B. 禁止带电搬动显示器及显示器方向,在断电后的一段时间内(2~3分钟)也最好不要搬动显示器。

3、 故障判断要点

1) 调整显示器与显示卡:

A. 通过调节显示器的OSD选项,最好是回复到RECALL(出厂状态)状态来检查故障是否消失。对于液晶显示器,需按一下auto config按钮;

B. 显示器的参数是否调得过高或过低(如H/V-MOIRE,这是不能通过RECALL来恢复的);

C. 显示器各按钮可否调整,调整范围是否偏移显示器的规格要求;

D. 显示器的异常声响或异常气味,是否超出了显示器技术规格的要求(如新显示器刚用之时,会有异常的气味;刚加电时由于消磁的原因而引起的响声、屏幕抖动等,但这些都属正常现象)。有关显示器的规格,请见附录二之(二);

E. 显示卡的技术规格是否可用在主机中(如AGP 2.0卡是否可用在主机的AGP插槽中等)。

2) BIOS配置调整:

A. BIOS中的设置是否与当前使用的显示卡类型或显示器连接的位置匹配(即是用板载显示卡、还是外接显示卡;是AGP显示卡还是PCI显示卡);

B. 对于不支持自动分配显示内存的板载显示卡,需检查BIOS中显示内存的大小是否符合应用的需要;

以下的检查应在软件最小系统下进行。

3) 检查显示器/卡的驱动:

A. 显示器/卡的驱动程序是否与显示设备匹配、版本是否恰当;

B. 显示器的驱动是否正确,如果有厂家提供的驱动程序,最好使用厂家的驱动;

C. 是否加载了合适的Direct X驱动(包括主板驱动);

D. 如果系统中装有Direct X驱动,可用其提供的Dxdiag.exe命令检查显示系统是否有故障。该程序还可用来对声卡设备进行检查。

4) 显示属性、资源的检查:

A. 在设备管理器中检查是否有其它设备与显示卡有资源冲突的情况,如有,先去除这些冲突的设备;

B. 显示属性的设置是否恰当(如:不正确的监示器类型、刷新速率、分辨率和颜色深度等,会引起重影、模糊、花屏、抖动、甚至黑屏的现象);

5) 操作系统配置与应用检查:

A. 系统中的一些配置文件(如:System.ini文件)中的设置是否恰当;

B. 显示卡的技术规格或显示驱动的功能是否支持应用的需要;

C. 是否存在其它软、硬件冲突。

6) 硬件检查:

A. 当显示调整正常后,应逐个添加其它配件,以检查是何配件引起显示不正常;

B. 通过更换不同型号的显示卡或显示器,检查是否存在它们之间的匹配问题;

C. 通过更换相应的硬件检查是否由于硬件故障引起显示不正常(建议的更换顺序为:显示卡、内存、主板)。

五、本类故障的判断流程

见附录一之(四)。

六、案例

案例一:

问题描述:碰到过这样的一台机器,现象比较怪,机型为奔月2000 PIII/800,故障为经常性的开机无显,有时能显示进入系统,但使用1-2小时会出现死机,重启又无显示,只有过很长时间再开机,才可以显示。

解决方案:碰到此问题,首先断定应为硬件问题,打开机箱,查看各板卡并无松动(注:显卡与主板插槽上的联想贴条,粘得很紧),换件试吧,先后更换过内存、CPU、电源,均不能解决问题,再换主板吧,拆撕显卡与主板插槽的联想贴条时,感觉到显卡没插到位,向下按,还能再进去一点,遂怀疑是不是显卡与主板接触不良所致,于是又把机器的原配件全都还原,试机,一切正常。

后记:此案例就是因为显卡的接触不良,而造成的奇怪故障,在维修中因为检测时的疏漏(只查看显卡是否插紧,而未实际动手检查一下),造成了维修过程的繁琐。

案例二:

问题描述:一台奔月机器,用户称每次启动都无法进入WIN98,光标停留在屏幕左上角闪动,死机;但安全模式可以进入。

解决方案:怀疑为显卡或监视器设置不当所致,进入安全模式把显示分辨率设为640*480,颜色设为16色,重启,能以正常模式进入,但只要改动一下分辨率或颜色,则机器就不能正常启动;察看机器内部,除用户自加一块网卡外,别无其它配置,难道是网卡与显卡发生了冲突?拔掉网卡,能正常启动WIN98,给网卡换个插槽,开机检测到新硬件,加载完驱动,启动,一切正常。

后记:由于显卡与其它配件不兼容或冲突造成的死机,完全可以先采用最小系统化的方法来测试(最小系统化法即只保留主板、CPU、显卡、电源等主要配件),先排除主要的配件,再逐一检测其它扩展卡。

案例三:

问题描述:三角洲部队-大地勇士,在810(e)系列主板的机器上运行(同禧、逐日系列),如用随机带的显卡驱动程序安装(而用随机盘进行驱动的安装又是我们一贯的作风),在进入游戏画面时,必然会导致死机。

解决方案:解决方法就是从网上下载新版本的驱动,进行升级。

后记:如果在实际维修中遇到玩3D游戏死机的故障,估计可能是显卡故障,而又无备件替换时(这在我们上门维修中,是经常遇到的),不妨从网上下载一个Direct control软件,通过它屏蔽掉AGP支持。再玩3D游戏,如不出现死机,说明问题很可能出在别处(如主板、内存)。如死机,则在很大程度上说明,这块显卡是有故障的了。

案例四:

故障描述: 开天2200 P4/1.7G (为QDI P7LI-AL主板),在运行华光超恩组版软件时(带一ISA加密卡),如进行放大显示,则左边界线无法显示。

解决方案: 用户新购机器,代理商在为用户安装超恩组版软件时,出现问题。换一新机,故障依旧,代理判断为华光ISA卡与此机型不兼容,让维修站上门解决。到用户处,复现故障,插一PCI显卡则显示正常,估计不为机器故障。在系统属性—性能—图形中,把硬件加速调低两格,问题解决。

TOP

返回列表