柴门的家's Blog - Windows Live

　　假如我是个撰稿人，而且混得还不错，每两个字一块钱，我也不抽烟，不喝酒，不吃饭，也不泡文学女青年，要想买那样的房子（同样，房价不上涨），我得连续写2000000字，而且还得保证字字有人要。假如连构思、带写、带修改，每小时可以顺利完成2000字，那么，就得连续写1000个小时，在WORD文档上连续写2000页。我明白了，为什么写字的人容易夭折？憋的。

　　假如我是妓女，姿色一般，平均每次收获200块，我也不抽烟，不喝酒，不吃饭，不得性病，不养小白脸，要想买那样的房子（同样，房价不上涨），我得连续接5000次客人。假如每天接客两人（含法定节假日），那得连续奋战2500天，费时7年左右。

　　假如我是抢劫犯，手段一般，眼神一般，每次出手抢得1000元，我也不抽烟，不喝酒，不吃饭，不找女人，不被抓住，要想买那样的房子（同样，房价不上涨），得连续作案1000次，假如每星期作案一次，那得连续作案18年。

　　假如我是商人，我连吃带喝，也抽烟，也喝酒，也吃饭，也得性病，夜养小蜜，只要我有本事贷到款，在房子刚出来的时候，噼里啪啦的付上头款，和同伙一起哄抬，不出两年，几套房子就都到手了。

　　我说这些，并不想发牢骚。我只想说，土地这东西，都属于国家资源，首要的功用，是为这个国家的老百姓提供服务。在合法的政策下，再加上自己的手段，利用国家资源为自己挣钱，这并没有太大的罪过。只是，凡是必须有个度。任何一个国家，两极分化得厉害，都不是个太好的兆头。当一个城市里的大多数人被挤到城市的边缘时，这便是罪过的一种，和英国的圈地运动并不两样。

　　我们再想一想，两极分化是怎么形成的？看看以上购房的时限，答案就呼之欲出了。一个普通的公民，他辛辛苦苦地工作一辈子，赚得那点可怜的钱，被祖国拿去一部分，被房地产商拿去一部分，最后再被炒房者拿去一部分，这两极要想不分化，也很困难。想想那些在城市里奋斗多年的普通人，几乎大部分人都背上沉重的房贷包袱。这就是大多数人的命运。

　　我并不是非议国家不可以从土地中获取利益。只是，大众之财，取之于民，用之于民。假如你获取了这些收入，却无法保障大多数人住上满意的房子，那么这"取"，也取得不理直气壮。或许，我这点想法有点愤青，只是，前两天看新闻，都说宪法有进步了，要保护公民的私有财产了。我想，这还是有个因果关系——前提是，你首先得保障大多数百姓拥有一定数量的财产。假如大伙为了一套破房子都累得死去活来，你还有什么好保护的？世界上，没有绝对公正的法律，物质控制能力决定了其走向，我不能说普通百姓就不收益了，然而，在这个法令下受益最大的，是大多数还是少数人？

　　耕者有其田，居者有其所，这历来都是百姓对于一个国家最起码的要求。不知为何，我突然想起一个例子，记得很不清晰了——似乎是在老俄罗斯，一个穷人没饭吃，偷了一块面包。在当时，这可是大罪。其结局是，他并没有被定罪，原因是，当一个国家无法为其人民提供生存条件，为了生存，他偷窃了，真正有罪的不是他，而是这个国家。

1/11/2006

博得之门资源库

引言：现在邮箱这么大，不好好利用一下实在是太浪费了，但是如果仅仅是传统邮箱的使用的话只能是自己使用，难以共享其中的资源，经过寻找，找到了这么一个东西：UU盘，这是一个免费软件，主要功能是能够管理多个邮箱，使得邮箱空间变为网络硬盘来使用（当然与真正的网络硬盘还是稍有区别：比真正的网络硬盘要稍麻烦，但胜在可以有足够大的空间让你使用——只要你申请足够多的免费邮箱即可）。

如果你要用uu盘管理自己的邮箱，那么你需要到其网站上申请一个ID，若你仅仅是使用uu盘进行下载别人的东西，那么你只要下载uu盘并安装，然后运行FlashUU并输入从别处获得的“拷串”即可进行下载。

在找到这么一个好东西之后，我立刻新申请了几个G级邮箱，把自己收藏的一些博得之门的资料进行上传，以下是其中的资源，有需要的同志即可自行下载：

博得之门：

功略、战术：

（上传中）

mod：

（上传中）

BGT-Weidu（博得之门三部曲Weidu版本）：

BGT-WeiDU 0.99 （拷串太长了，等迟点有空才能弄好这些了，现在暂停）

1:26:37 PM | Add a comment | Permalink | Blog it | 游戏

12/24/2005

圣诞节的一些感想

又到圣诞节了，很多人早已准备好丰富的节目了，但是我总是想不明白，我们不是基督徒的中国人为什么要过什么鬼圣诞节？？很不明白，为什么中国那么多很好的本土节日不过，非要拿人家的节日来过还过得不亦乐乎？？？

窃以为，国人这么乐衷于国外节日最大的原因在于崇洋媚外的心理在作怪，外国的什么都是好的，外国的什么都要拿来学习、拿来使用的。然后再加上媒体、商家（窃以为这些人或许是他们本身就有崇洋的心理，或许仅仅是借用国人普遍的崇洋心理乘机发个小财）的大力推动，渐渐地外国节日在中国本土有愈演愈烈的趋势，而中国本土的很多节日也就在这种环境下慢慢的被人冷落甚至遗忘。在跟某人聊起为什么中国人这么热衷于外国节日时，此人居然说：“中国的节日太少”，此种言语正好符合以上所述之结果。

歌德的〈最后一课〉中说让一个文明消失的最好办法就是不让他们说母语。同理，一个民族的传统节日的消失也正代表了一个民族逐渐走向消亡。高中的政治告诉我们，我们要警惕外国的和平演变，窃以为，文化的侵略，逐步的侵蚀本土文化，正是最好的办法。

台湾忠信高级工商学校校长高震东在国内高校的讲演《天下兴亡，我的责任》中说到：“再一个，我们要进行吃中国饭、说中国话、过中国节和穿中国服装的振兴民族文化的道德教育。一个中国人连中国饭都不吃了，能叫中国人吗？” “我们学校的英文教学是全台湾最好的。我从美国请来两名老师，专门教我的学生学说外语。我有一个留美班，他们一定是要留美的。但是他们所学的教材第一页上都印着我的话：“中国人学英文是我们的国耻行为，学英文是中国最可悲的行为，但我们不能不学，因为别人超过了我们，敌人的枪炮、科学压过了我们。今天我们必须学习他们的科学，然后才能打倒他们！超过他们！我们要以夷制夷！非把英文学好不可，所以要咬牙切齿学英文！（掌声）我们学英文的目的并不是为了去美国洗盘子刷马桶，去伺侯外国人，去做丢尽祖宗八辈人的事！”

天下兴亡,我的责任

在台湾有这么一所学校，学生年龄在15－18之间，每年三千多学生中，因违反校规校纪被校方开除的二、三百人。学校没有工人，没有保卫，没有大师傅，一切的必要工种都由学生自己去做。学校实行学长制，三年级学生带一年级学生。全校集合只需3分钟。学生见到老师七米外要敬礼。学生没有寒署假作业，没有一个考不上大学的。这就是台湾享誉30年的以道德教育为本忠信高级工商学校。在台湾的各大报纸招聘广告上，经常出现“只招忠信毕业生”的字样。

以下就是校长高震东在国内高校的讲演：

天下兴亡　　我的责任

同学们，你们说“天下兴亡”的下一句是什么？（台下的声音：“匹夫有责”）—— 不，是“我的责任”。如果今年高考每个人都额外加10分，那不等于没加吗？ “天下兴亡，匹夫有责”等于大家无责。“匹夫有责”要改成“我的责任”，我是这样教我的学生的。所以说，现在我们大陆教育办得不好，是我高震东的责任，只因为这样，我才回祖国专门举办道德方面的演讲。（掌声）“以天下兴亡为已任”是孟子的思想。禹是人，舜是人，我也是人呀！他们能做到的，我为什么不能呢？ “天下兴亡，我的责任”，唯有这个思想，我们的国家才有希望。我们每个学生如果人人都说：学校秩序不好，是我的责任；国家教育办不好，是我的责任；国家不强盛，我的责任……人人都能主动负责，天下哪有不兴盛的国家？哪有不团结的团体？所以说，每个学生都应该把责任拉到自己身上来，而不是推出去。我在台湾办学校就是这样，如果教室很脏，我问“怎么回事？”假如有个学生站起来说： “报告老师，今天是32号同学值日，他没有打扫卫生”。那样，这个学生是要挨揍的。在我的学校，学生会这样说：“老师，对不起，这是我的责任”，然后马上去打扫。灯泡坏了，哪个学生看见了，自己就会掏钱去买一个安上，窗户玻璃坏了，学生自己马上买一块换上它——这才是教育，不把责任推出去，而是揽过来。也许有些人说这是吃亏，我告诉你，吃亏就是占便宜，这种教育要牢牢记在心里，我们每个中国人都要记住！

学校更应该训练学生这种“天下兴亡，我的责任”的思想。校园不干净，就应该是大家的责任。你想，这么大的一个校园，你不破坏，我不破坏，它会脏吗？脏了之后，人人都去弄干净，它会脏吗？你只指望几个工人做这个工作，说：“这是他们的事。我是来读书的，不是扫地的。”——这是什么观念？你读书干什么？读书不是为国家服务吗？眼前的务你都不服，你还能为未来服务？当前的责任你都不负，未来的责任你能负吗？水龙头漏水，你不能堵住吗？有人会说：“那不是我的事，那是总务处的事。”这是错误的。一般人最坏的毛病是这样：打开水龙头后，发现没水，又去开第二个，第二个也没有，又去开第三个——这样的学生，在我学校是要被开除的！连举一反三都不懂，第一个没水，第二个会有吗？你就没想到水会来吗？人无远虑怎么能行？作为一个干部，作为一个人，都要想到后果，后果看得越远的人，越是一个成功的人。一个只管眼前，不顾将来的人，不是一个好干部，不是一个有用的人。水管不关，来了水后让它哗哗哗满池子去流，仍不去关注：“反正是国家的水，不是我的自己的！”——浪费国家的，就是汉奸！你为什么浪费国家的水？你为什么浪费国家的资源？我每天洗脸都为国家省一盆水，一年省多少水，你算算，你们学校六千多学生，每个每天节省一盆水，一年省多少水？省水就是省电，就是节省国家资源。爱有两种，一种是积极爱国，一种是消极爱国。积极爱国是为国家创造财富，消极爱国是为国家节省财富。国家用那么多百姓的民脂民膏来供你读书，你还浪费国家的财富，你良心何在？你上大学都如此，怎么能期望于中学生、小学生呢？怎么能期望于一般老百姓呢？你高级知识分子都不爱国，怎么能让老百姓去爱国呢？从自己身边做起，我们国家才有希望——这就是“天下兴亡，我的责任”的积极负责的道德观念，这就　是道德教育。

另一点，我们要有“勿以善小而不为，勿以恶小而为之”的敬业观念。天下有大事　吗？没有。但任何小事都是大事。集小恶则成大恶，集小善则为大善。培养良好的道德，是从尊敬老师开始的，是从那很小很小的事开始的。这种道德是慢慢建立起来的，而不专门找到大事才干。今天上午下课的时候，我和师大校长一块出来，礼堂里有很多废纸。我说不要捡，要等下午学生自己捡——同学们，谁丢下这些纸屑就是不爱国。天下无大事，请先把自己脚下的纸屑捡起来——这就是我的 “教材”。好的，同学们捡起自己脚下的废纸，这就爱国的开始。我给大家讲两个　关于渍纸的故事。

第一个，美国有个“福特公司”，福特是一个人，他大学毕业后，去一家汽车公司应聘。和他同应聘的三四个人都比他学历高，当前面几个个面试之后，他觉得自己没有什么希望了。但既来之，则安之。他敲门走进了董事长的办公室，一进办公室，他发现门口地上有一张纸，他弯腰捡了起来，发现是一张渍纸，便顺手把它扔进了废纸篓里。然后才直到董事长的办公桌前，说：“我是来应聘的福特。” 董事长说：“很好，很好！福特先生，你已被我们录用了。”福特惊讶地说： “董事长，我觉得前几位都比我好，你怎么把我录用了呢？”董事长说：“福特先生，　前面三位的确学历比你高，而且仪表堂堂，但是他们的眼睛只能看见大事，而看不见小事。你的眼睛能看见小事，我认为能看见小事的人，将来自然看到大事，一个只能看见大事的人，他会忽略很多小事。他是不会成功的。所以，我才录用了你。”福特就这样进了这个公司，这个公司不久就扬名天下，福特把这个公司改为“福特公司”，也改变了整个美国的国民经济状况，使美国的汽车产业在世界占居鳌头，这就是今天“美国福特公司”的创造人福特。大家说，这张废纸重要不重要？看见小事的人能看见大事，但只能看见大事的人，不一定能看见小事，这是很重要的教训。

第二个渍纸的故事，当本届亚运会在日本广岛结束的时候，六万人的会场上竟没有一张废纸。全世界的报纸都登文惊叹：“可敬，可怕的日本民族！”就是因为没　有一张废纸，就使全世界为之惊讶。再看看我们十月一日在天安门广场升国旗的镜头，当人们散去后，满地的废纸，到处乱刮！外国人一看当然会这样认为：你们中国要同日本比，还差得远呢！大家不要总是说：我们国家地大物博，有137 枚金牌——这都没用，咱们的道德水准还没上来，还差得远！大家说这些废纸重要不重要？所以说，我让大家捡起一张废纸，这就是爱国的开始。万事从小事做起。美国太空3号快到月球了，它却不能登上去而无奈地返了回来，为什么？只是因为一节30块钱的小电池坏了，他们这个酝酿很久的航天计划被破坏了，几亿元报废了！天下有大事吗？大家看哪次飞机失事是翅膀和头一齐掉下来的？都是一节油管不通，一个轮胎放不下来才失事的。一个人的死，哪个是全身溃烂死掉的？都是肝坏了，心脏有毛病，一个小器官不正常而死掉的！——同学们，从现在开始，你们要有敬业的观念。我们中国实行九年制教育的目的就是这样，就是要看你怎样同老师相处，怎样与朋友相处，这就是教育的目的。从古至今，中国的教育才是最伟大的教育，你把西方的教育看作是最先进的教育，那就大错特错了。美国的教育部长三个月前发表讲话说：“我们国家的教育是彻底失败的，我们把人教成了肉机器，我们要向东方学习人文教育！”所以说，我们祖国的教育是世界上最伟大的教育！（掌声）孔子告诉我们：学而不思则罔，思而不则殆。一个学生要不断地学，不断地想，不断地做，这就是真正的教育，这就是中国教育的精髓所在。

再一个，我们要进行吃中国饭、说中国话、过中国节和穿中国服装的振兴民族文化的道德教育。一个中国人连中国饭都不吃了，能叫中国人吗？吃中国饭的第一代表是使用筷子。筷子原是中国的文化，是文明的行为。我去美国，偶尔吃他们的西餐，他们一上西餐我就说：“请给我拿筷子来。”他们问我：“吃西餐都用刀叉，你为什么用筷子？”我说筷子是文明的象征，而你们的刀叉是野蛮的标志，所以我不用。筷子可切、可叉、可削、可夹、可戳，无所不能，而你们的刀叉笨重至极，象杀人的武器。（掌声）学生要吃烧鸡，我说可以，如果他说要吃“肯炸鸡”，我要揍他，他说吃面包夹豆腐乳，可以，他说吃“汉堡”却不可以。你可以吃碉堡，但不能吃“汉堡”。这就是中国的民族精神教育！外国只是机器、枪炮比我们强，吃的能与中国比吗？吃外国人的东西只是种怪心态，可卑啊！

我们学校的英文教学是全台湾最好的。我从美国请来两名老师，专门教我的学生学说外语。我有一个留美班，他们一定是要留美的。但是他们所学的教材第一页上都印着我的话：“中国人学英文是我们的国耻行为，学英文是中国最可悲的行为，但我们不能不学，因为别人超过了我们，敌人的枪炮、科学压过了我们。今天我们必须学习他们的科学，然后才能打倒他们！超过他们！我们要以夷制夷！非把英文学好不可，所以要咬牙切齿学英文！（掌声）我们学英文的目的并不是为了去美国洗盘子刷马桶，去伺侯外国人，去做丢尽祖宗八辈人的事！”（掌声）所以，我的学生英文学得都非常好。如果一个英文老师一上课就说：“同学们，今天我们要学英文了。英文是世界语言，是世界上最美的语言！一个不会英文的民族是一个低等的民族，英文太美了！太棒了！”你说这个老师要不要打屁股？所以我总是告诉这些老师：要好好教我的学生，你不要替外国人宣传，变成汉奸！要告诉学生雪耻图强，打败列强，这是中国人的希望（掌声）！你们这里不也有英文老师吗？外语系的学生以后不也去教英文吗？上课以前你们要对学生进行爱国学英文的教育，不要上来就替外国吹一场，你们不要认为：传道者只是传英文之道、授英文之业，而要传爱国之道，授英文之业。

好，同学们懂得了这些道理，下一步我们就要知道，我们今天的教育是很失败的。因为，我们从小就被教错了。所以，我们要进行为国家而求学问，为社会分工而学技能的利他、利群的道德教育。大家先要想想为什么读书，为谁读书？你们要反思一下。有些人也许会说，为自己找个饭碗而读书！这是多么卑鄙和渺小，多么无聊和可怜啊！你绝对不应该单是为找个饭碗而活着！找个饭碗吃饭太简单了！拿个刀子，找个人随便捅一下，绝对一辈子有了饭吃，而且还有人伺侯，还有人为你做饭，睡觉时还有人为你站岗，你的东西一样少不了！那不就解决吃饭了吗？你为什么不干呢？因为我告诉了你，要学好生存的技能，要懂得生命的意义和价值，那里不是创造人类价值的地方！所以，我们要知道读书绝对不是为了自己，读书是为了国家而求学问，所以，我们要告诉孩子们读书、做事要确定一个方向：先做自己应该做的事，再做自己喜欢做的事。很多人为兴趣而读书，岂有此理！读书有什么兴趣？真正的目标不应是兴趣，而是责任，在责任当中找到兴趣，但不能用兴趣代替责任。越在黑暗中越做光明的事，这就是道德教育。我们读书是为了国家。同学们，你们想想你们从小受到是什么教育？尤其是农村子弟，你爹妈是怎么教你的？他们这样告诉你：你要好好念书！你不好好念书，将来就不能出人头地，你必须努力奋斗好好读书，你才有前途，读书是为了你的幸福，读书是为了你的前途！读书一切是为了你！你就是在这种教育下长大的，这就是最错误的教育，这就是最糟糕的教育！所以小孩子长大以后就知道，啊哈，读书就是为了我呀，与任何不相干，为了我的前途，为了我的未来，为了我的希望，你看这个国家还有希望吗？它与国家毫不相干！

他喝着国家的奶水，用着国家纳税人的钱，拿民脂民膏培养出的却是一个自私自利的小孩，培养出一批自私自利的老师，你想：这国家会有前途吗？你读书的方向都错了，读书不是为了自己，读书是为了我们的国家，国家需要人才，国家需要干部，国家需要建国的栋梁。国家为什么培养你？国家是欠你的吗？你能白白吃国家的饭吗？白白享受这里的宿舍和餐厅、白白地享受老师对你知识的传授吗？你凭什么？你对国家有什么贡献？你对社会有什么贡献？有什么牺牲？你一切都没有，你只是个造粪的机器而已。你每天吃饭了，无所事事，你对国家有什么贡献？国家在期盼着你的贡献，期盼着你的未来，因为有一天你会长大，有一天你会学成，你要为国家做事，所以国家才在你身上投资，让你为国效命。因为道德教育必须以国家教育为前提，所以今天我们要爱我们的国家。正好你们是读师大的，你们在三、四年之后要培养跨世纪的接班人，你的责任比谁都大。如果你都没有国家观念，你都不爱国，你怎么要求你的学生爱国呢？所以说今天的老师是最重要的。这就是我跑来跑去，为师范生灌输爱国思想的原因所在！你们爱国，学生自然爱国！如果不爱国，天天发牢骚，天天想转行，天天想下海，那下一代还有什么希望？尤其是学英文的，总想好好学，将来以后到哪个公司为哪个老板、哪个董事长当翻译官，多丢脸！多没人格，多没气度！（掌声）我这里特别强调的是国家观念。我常常给我的学生讲一个故事：我们有一天出去旅行，忽然间暴风雨来了。我们没地方避风躲雨，孩子们向前跑，一看前面有个草棚，大家“哗”地冲了进去，一冲进去大雨就来了。大家好高兴，“哇，今天运气不错哟，刚刚找了房子大雨就来了。太快乐了！”大家也不顾虑房子干不干净，有没有人住过，只要有避雨的地方就很满足了。但这个房子在风雨中突然间要倒塌，同学们想尽办法“扶住它，不能让房子倒塌”。在这种状况下，我很有感慨，同学　们，你们说是我们需要房子呢，还是房子需要我们呢？（掌声）我看是我们需要这座房子。

这座房子就是我们的国家，再破再烂是我们的家，再穷再破，是我们的家，我们要爱她！（掌声）你怎么可以羡慕外国人呢？“唉呀，你看外国人多好！我不当中国人，我想当外国人！”那是不对的。我们国家不如别人，我们承认，但是我们有决心，我们会慢慢把它搞好，但我们一定要牺牲自己，有热爱国家的观念。人人在砍国家、吃国家、拿国家，这个国家怎么会好呢？人人都贪污、腐败，这国家会好吗？外国有个加拿大！中国有个“大家拿”，再大的国家也会被你拿穷了。（掌声）我走到哪里，绝对拒绝招待。我走到哪里吃自己，用自己，坐你的汽车给车钱，住你的旅馆给你旅馆钱，吃你的饭给饭钱，绝对不沾国家一毛钱。我就是要做个示范给你看！（掌声）什么叫爱国，是我们把东西把钱把命给国家，这叫爱国，你总是把国家的东西往家拿，这叫什么爱国？有些人偷国家、拿国家，还拿得津津有味，拿得大言不惭，拿得毫不要脸，这怎么得了？（掌声）

有人说：老师，你让我爱国，我可以爱国，不过，国家在哪里？　我找不着！ “不识庐山真面目，只缘身在此山中。”你在国家里头，不知国家在哪。当老师的，国家就是你面前的学生。你往讲台上一站，下边的学生就是你的国家，找国家太容易了。今天我往这儿一站，下面1500人就是我的国家，我必须对你们尽心尽责，就要产生教化作用，影响作用，你就是我的国家，我爱你，就是我爱国，把我的思想传播给你，就是爱国！（掌声）那你以后往你的学生面前一站，那就是你的国家。你不能浪费他的时间，他的生命，你要好好为国家培养下一代，你给他这种爱国思想，你就是一个爱国者，不给他，你就是不爱国，你就是叛国者！（掌声）同学们，将来你也有留学的机会，你要注意到，不要让自己丢了中国人的脸。你别去了不回来，这丢中国人的脸呢！外国人是不会看得起你的。他们会说：你看，这些留学生一点国家观念都没有，这些小亡国奴！人家怎么会看得起你呢？这很丢脸，是很难为情的一件事。国家对我们来说非常重要，你不到国外不知道“祖国”的重要。一个没有国家的，一个国势很弱的人，实在是太可怜了！太可悲了！所以，我们今天的中国人要自强、自爱，我们要知道爱我们的国家。国家不壮大，你个人再有钱有什么用？再有地位有什么用？你永远不受人尊敬啊！

我今天讲了什么是爱国主义，哪里是爱国主义，处处都是爱国主义！任何一个行为都可以爱国。大家都知道以色列与阿拉伯的战争。阿拉伯和以色列打仗打得正热闹的时候，世界正举行选美比赛，那年以色列小组正好当选“世界小组”。许多电影界的人士都围着她：“小姐签约吧，将来你可以发大财了”，“签约后你名利双收，你何必回国呢，你的国家正在打仗，那么一个小国，随时会被吃掉的！” “你回去多可怕！你现在又有钱，又有名，留在美国吧！”这姑娘却在电视上发表谈话：世界小姐不是我个人想选，我只是让你们知道，以色列是一个优秀的民族，所以我出来竞选。我想让人们知道：地球上有以色列这个国家，所以我要出来竞选。我今天被选上了，就完成我的任务，我也告诉世界：以色列是个优秀的民族，因为我是世界上最漂亮的女人，同时还告诉世界：以色列这个国家正艰苦奋战，希望全世界的人民同情我们，支持我们！支持我们国家的独立！现在我的国家正在打仗，要钱何用？我们以色列亡国两千年，因为我们文化不亡，所以我们还能建国。今天我要回去，为祖国而战，要钱何用？——她发表完这番谈话，第二天就坐飞机回国了。（掌声）这个消息发表后，全世界的人对以色列刮目相看！哇，以色列人真了不起啊！于是，以色列的军队，军心大振，他们象疯了一样，把阿拉伯的军队打得干干净净！这就是历史上最伟大的七日战争！七天打完！这就是因为一个女孩子的一句话！所以，同学们，爱国常常在一个微小的地方。

“一言以丧邦，一言以兴邦”。我们是受过高等教育的，我们肩负着国家的荣辱啊，人家看到我们就看到国家的希望。同学们，国家的前途是向后看的，个人的前途是往前看的。老师这样一回顾，就知道二十年以后的中国是什么样子，看看小学生就知道三十年后的中国是什么现象。如果他品德良好，道德高尚，爱国，二十年后国家就有希望。如果看见这个小朋友很爱国，很有礼貌，很有道德，那么三十年后的中国人是了不起的中国人。否则看着他怠惰、自私、傲慢、无礼、没有水准，就知道三十年后的中国就是那个样子。我们今天要雪耻图强，力争做得更好。不要丢了祖宗的脸，不要丢了我们汉唐先烈的脸。爱国是很具体的。我的学校门口有个标语：离开校门一步，肩负忠信荣辱。推而大之，离开国门一步，肩负全国荣辱。一口痰吐在中国是小事，一口痰吐在外国，你就丢了中国十二亿同胞的脸，因为你代表十二亿中国人，而不是你个人，你千万不要以为， “好汉做事好汉当”，你错了；你做不到；你不够资格当！所以每个同学的一言一　举都要注意。高老师回到国内，看到不顺眼的要讲要骂，要批评要建议，但是我离开了大陆回到台湾，不会讲大陆一句坏话。他们问：大陆好吗？我说好得不得了！太大了，太棒了。到了美国就说中国人伟大得不得了，绝对不会丢中国人的脸，一句对中国的批评也没有。但是，回来一定要实实在在地讲话，诚诚恳恳建议。有的人刚好相反，在国内他屁都不敢放一个，装得那么温顺，那么可爱，一离开中国就大放獗词，把中国骂得一文不值，这就是标准的汉奸忘八蛋也！（掌声）

读书哪是为了自己呢？是为了社会的分工。你学修皮鞋，我学开汽车，学任何本领都不是为了自己。各位同学想想看，一个外科大夫是学拿手术刀的，他会这样说吗？我要好好学，我将来为自己开刀很方便，千万不要割错了。是这样吗？各位同学，你想想看，哪件事是为了自己？我好好读师范，将来自己教育自己，你不是为了教孩子吗？你读什么书都是为了孩子，为了中学生，为了小学生。一个别字连篇、毫无知识的老师不知要毁掉多少小孩！所以说，读书不是为了自己，是为了未来好多好多的小生命。你在为他们努力啊！你不是为自己考个第一名，而是为你的学生准备功课啊，这是你现在读书的目标！医学院的学生，你在课堂上打瞌睡，不好好读书，连输卵管、输尿管都分不清，你凭什么医科大学毕业呀。你这种人害人不害人？读书是为自己吗？读书是为别人的安全。医道越高，病人越安全，他的生命越有保障啊！

好，同学们，我告诉我们，道德教育的六大纲目：第一，忠贞爱国，信守不渝的忠贞教育；第二，孝敬父母，尊敬长上的伦理教育；第三，“天下兴亡，我的责任”的积极负责的教育；第四，“勿以善小而不为，勿以恶小而为之”的敬业观念；第五，吃中国饭，说中国话，过中国年节的振兴中华文化的观念。第六，为国家而求学问，为社会分工而学技能的利他、利群观念。这是道德教育的六大纲目。记住了吗？

1:23:26 PM | Add a comment | Permalink | Blog it | 未归类

12/4/2005

登山归来——累！！

白水寨，位于广东省增城市派潭镇，此处有一瀑布总落差为三百多米，为全国第一（第二？忘了^_^），水量充足时远远望去只见一条白带飘动，此山共修建9999级梯，今次由于学校组织全体教工登山，限于时间仅能登至4000多级的水库处，据了解再往上尚有2个水库，风景都相当不错。

图片请看照片。

11/3/2005

MSN Space进阶技巧---第七讲文字光影效果及滚动文本框（外加文字竖排版）

摘自：http://spaces.msn.com/members/loadmemoryspace2/Blog/cns!1pNGwuEoDR8k7BinyMNMYd3A!129.entry

MSN Space进阶技巧---第七讲文字光影效果及滚动文本框（外加文字竖排版）

原创：Loadmemory

有关文字方面的处理，MSN Space提供了最基本的几个格式化命令，再加上我们的扩展编辑工具，在应付一般的文字编排上应该是绰绰有余了。如果还想获得更多的效果，尤其是在文字排版方面，大家可以参考相应的HTML及CSS中有关文字处理的介绍，在这里就不做讲解了，毕竟我的教程只是给大家提供一些简单实用的小技巧，而并非网页制作方面的专业讲座。不过对于一些比较特殊的文字效果或编排方式，我还是会及时将有关语法和代码提供给大家。

（注：下述语法的使用，仍然是通过HTML语言编辑模式来实现，有关如何获取HTML扩展功能，请参见本教程第一章）

下面就给大家介绍我在日志中展示过的三种彩色文字效果的相关语法：

阴影：<FONT style="COLOR: #xxxxxx; FILTER: shadow(color=black); FONT-FAMILY: 华文彩云; FONT-SIZE: 20pt; WIDTH: 100%"><B>日志文字</B></FONT>

发光：<FONT style="COLOR: #xxxxxx; FILTER: glow(color=black); FONT-FAMILY: 华文彩云; FONT-SIZE: 20pt; WIDTH: 100%"><B>日志文字</B></FONT>

模糊：<FONT color=#xxxxxx style="FILTER: blur(add=1, direction=40,strength=10); FONT-SIZE: 30px; FONT-WEIGHT: bolder; WIDTH: 200px">日志文字</FONT>

三种效果的语法格式基本相同，只不过使用了不同的滤镜属性。Color控制文字的颜色；Filter控制不同的滤镜效果，其内部的具体参数，诸如阴影及发光的色彩、模糊的方向及强度都可以按照需要自由调整；注意各效果语法中Width这个参数，当你的字号大小有所变化的时候，你也需要相应调整此项值，否则会造成文字无法正常排列的结果。另外，模糊效果中的Add 意为是否保留原效果，取值为0 or 1，一般设为1即可。其他方面的参数没有太多需要强调的，这里之所以采用华文彩云字体同时加粗，是为了达到更好的效果，你完全可以按照自己的喜好加以调整。需要说明的是，这几种效果只适用于标题或少量文字上，否则后造成阅读上的困难。

大篇幅的日志会占据页面的大部分空间，从而影响整体的美观性，而通过为其添加一个带有滚动条的文本框，则能够很好地解决上述问题。下面就是相关语法：

上述语法生成一个带有黑色背景及灰蓝色边框的文本滚动框。语法里的参数相当简单，主要是控制不同部分的色彩，你可以做相应变化并在预览中观看实际效果。至于调整文本框的大小，你可以在插入此语法后退出HTML编辑模式，然后在日志编辑页面使用鼠标直接进行调整。

接下来说说文字竖排是如何实现的。除了制造特殊效果，我在Space空间展示的文字竖排没有什么真正的实用性，只会给阅读者造成麻烦，不过本着尽可能挖掘Space潜力的原则，我还是尝试了如下的语法：

这个语法中唯一的亮点就是Writing-Mode这个参数，其后的tb代表文字排列从上到下，rl代表从右到左。

走四方

走四方路迢迢水长长
迷迷茫茫一村又庄
看斜阳落下去又回来
地不老天不荒岁月长又长
走四方路迢迢水长长
迷迷茫茫一村又庄
看斜阳落下去又回来
地不老天不荒岁月长又长
一路走一路望一路黄昏依然
一个人走在荒野上
默默地向远方
不知道走到哪里
有我的梦想
一路摇一路唱一路茫茫山岗
许多人走过这地方
止不住回头望
梦想刻在远方
一路走一路望故乡

走四方路迢迢水长长
迷迷茫茫一村又庄
看斜阳落下去又回来
地不老天不荒岁月长又长
走四方路迢迢水长长
迷迷茫茫一村又庄
看斜阳落下去又回来
地不老天不荒岁月长又长

9:49:29 PM | Add a comment | Permalink | Blog it | 未归类

10/20/2005

躲避DirectDraw，轻松抓取视频图、投影视频、透明播放窗口

☞ 经常做会议支持使用投影机也总结了一些经验，比如对于用投影机投视频常发生黑屏的现象，一直使用关闭DirectDraw的方法来解决。

“运行”中键入 dxdiag 调出DirectX诊断工具，在“显示”选项卡中把“DirectDraw加速”禁用。

关闭DirecrDraw后，不但可以正常投影视频，而且直接按Printscreen就可以抓取视频的截图（要抓图视频窗口的截图，按ALT+Printscreen）

其实视频窗口截图有很多方法，使用HyperSnap、SnagIt等专用抓图软件，但需要抓屏时又没上述软件，那这个简单的方法就能用上了。

☞ 除了关闭DirectDraw加速外，还有另一个更简单的方法！

DirectDraw有个特性，只能被一个程序使用。利用这个特点，要抓取视频A图，就先开一个播放器播放A或者别的视频都可以，目的是把DirectDraw占用掉。再用B播放器播放A，这时也能够直接抓取视频图。

同理，先播放一个视频占用DirectDraw，同时再播放视频，也可以正常投影。

DirectDraw是DirectX中最最基础的部分，使用DirectDraw可以方便地编制出高效的视频处理程序。DirectDraw使用页面切换的方法实现动画，它不仅可以访问系统内存，还可以访问显示内存。平时熟悉的一些媒体播放器无不使用到directDraw。

备注：在禁用了DirectDraw后，再使用“柴门牌窗体属性修改器”（http://wooddoor.ys168.com），就可以让播放器在半透明状态下播放而不会出现闪屏的问题了，然后再让播放器置顶、鼠标穿透，就可以在看电影的同时做其它事情而不会有太大的影响了

10:26:46 PM | Add a comment | Permalink | Blog it | 计算机与 Internet

10/15/2005

做了个小工具出来

今天努力了一天，到处找代码，拼凑了一个小小的工具软件，用于修改其它软件的窗口属性，产生透明、置顶、鼠标穿透这三个功能。在我的网络硬盘：http://free.ys168.com/?wooddoor中的系统文件夹中可以下载到这个软件。

6:35:44 PM | Add a comment | Permalink | Blog it

9/10/2005

局域网常见网络故障及排除策略

来源：ChinaITLab 收集整理

　　当我们组建好了一个小型局域网后，为了使网络运转正常，网络维护就显得很重要了。由于网络协议和网络设备的复杂性，许多故障解决起来绝非像解决单机故障那么简单。网络故障的定位和排除，既需要长期的知识和经验积累，也需要一系列的软件和硬件工具，更需要你的智慧。因此，多学习各种最新的知识，是每个网络管理员都应该做到的。
　　
　　故障排除过程
　　
　　在开始动手排除故障之前，最好先准备一支笔和一个记事本，然后，将故障现象认真仔细记录下来。在观察和记录时一定注意细节，排除大型网络故障如此，一般十几台电脑的小型网络故障也如此，因为有时正是一些最小的细节使整个问题变得明朗化。
　　
　　1、识别故障现象
　　
　　作为管理员，在你排故障之前，也必须确切地知道网络上到底出了什么毛病，是不能共享资源，还是找不到另一台电脑，如此等等。知道出了什么问题并能够及时识别，是成功排除故障最重要的步骤。为了与故障现象进行对比，作为管理员你必须知道系统在正常情况下是怎样工作的，反之，你是不好对问题和故障进行定位的。
　　
　　识别故障现象时，应该向操作者询问以下几个问题：
　　(1)当被记录的故障现象发生时，正在运行什么进程(即操作者正在对电脑进行什么操作)。
　　(2)这个进程以前运行过吗？
　　(3)以前这个进程的运行是否成功？
　　(4)这个进程最后一次成功运行是什么时候？
　　(5)从那时起，哪些发生了改变？
　　
　　带着这些疑问来了解问题，才能对症下药排除故障。
　　
　　2、对故障现象进行详细描述
　　
　　当处理由操作员报告的问题时，对故障现象的详细描述显得尤为重要。如果仅凭他们的一面之词，有时还很难下结论，这时就需要管理员亲自操作一下刚才出错的程序，并注意出错信息。例如，在使用Web浏览器进行浏览时，无论键入哪个网站都返回"该页无法显示"之类的信息。使用ping命令时，无论ping哪个IP地址都显示超时连接信息等。诸如此类的出错消息会为缩小问题范围提供许多有价值的信息。对此在排除故障前，可以按以下步骤执行：
　　(1)收集有关故障现象的信息；
　　(2)对问题和故障现象进行详细描述；
　　(3)注意细节；
　　(4)把所有的问题都记下来；
　　(5)不要匆忙下结论。
　　
　　3、列举可能导致错误的原因
　　
　　作为网络管理员，则应当考虑，导致无法查看信息的原因可能有哪些，如网卡硬件故障、网络连接故障、网络设备(如集线器、交换机)故障、TCP/IP协议设置不当等等。
　　
　　注意：不要着急下结论，可以根据出错的可能性把这些原因按优先级别进行排序，一个个先后排除。
　　
　　4、缩小搜索范围
　　
　　对所有列出的可能导致错误的原因逐一进行测试，而且不要根据一次测试，就断定某一区域的网络是运行正常或是不正常。另外，也不要在自己认为已经确定了的第一个错误上停下来，应直到测试完为止。
　　
　　除了测试之外，网络管理员还要注意：千万不要忘记去看一看网卡、Hub、Modem、路由器面板上的LED指示灯。通常情况下，绿灯表示连接正常(Modem需要几个绿灯和红灯都要亮)，红灯表示连接故障，不亮表示无连接或线路不通。根据数据流量的大小，指示灯会时快时慢的闪烁。同时，不要忘记记录所有观察及测试的手段和结果。
　　
　　5、隔离错误
　　
　　经过你的一番折腾后，这时你基本上知道了故障的部位，对于电脑的错误，你可以开始检查该电脑网卡是否安装好、TCP/IP协议是否安装并设置正确、Web浏览器的连接设置是否得当等一切与已知故障现象有关的内容。然后剩下的事情就是排除故障了。
　　
　　注意：在开机箱时，不要忘记静电对电脑的危害，要正确拆卸电脑部件。
　　
　　6、故障分析
　　
　　处理完问题后，作为网络管理员，还必须搞清楚故障是如何发生的，是什么原因导致了故障的发生，以后如何避免类似故障的发生，拟定相应的对策，采取必要的措施，制定严格的规章制度。
　　
　　故障原因
　　
　　虽然故障原因多种多样，但总的来讲不外乎就是硬件问题和软件问题，说得再确切一些，这些问题就是网络连接性问题、配置文件选项问题及网络协议问题。
　　
　　1、网络连接性
　　网络连接性是故障发生后首先应当考虑的原因。连通性的问题通常涉及到网卡、跳线、信息插座、网线、Hub、Modem等设备和通信介质。其中，任何一个设备的损坏，都会导致网络连接的中断。连通性通常可采用软件和硬件工具进行测试验证。例如，当某一台电脑不能浏览Web时，在网络管理员的脑子里产生的第一个想法就是网络连通性的问题。到底是不是呢？可以通过测试进行验证。看得到网上邻居吗？可以收发电子邮件吗？ping得到网络内的其他电脑吗？只要其中一项回答为"yes"，那就可以断定本机到Hub的连通性没有问题。当然，即使都回答"No"，也不就表明连通性肯定有问题，而是可能会有问题，因为如果电脑的网络协议的配置出现了问题也会导致上述现象的发生。另外，看一看网卡和Hub接口上的指示灯是否闪烁及闪烁是否正常也是个不坏的主意。
　　排除了由于电脑网络协议配置不当而导致故障的可能后，就应该查看网卡和Hub的指示灯是否正常，测量网线是否畅通。
　　
　　2、配置文件和选项
　　服务器、电脑都有配置选项，配置文件和配置选项设置不当，同样会导致网络故障。如服务器权限的设置不当，会导致资源无法共享的故障。电脑网卡配置不当，会导致无法连接的故障。当网络内所有的服务都无法实现时，应当检查Hub。
　　
　　3、网络协议
　　没有网络协议，网络设备和电脑之间就无法通信，是不能实现资源共享Modem上网的。
　　
　　连通性故障
　　
　　1、故障表现
　　连通性故障通常表现为以下几种情况：
　　①电脑无法登录到服务器；
　　②电脑无法通过局域网接入Internet；
　　③电脑在"网上邻居"中只能看到自己，而看不到其他电脑，从而无法使用其他电脑上的共享资源和共享打印机
　　④电脑无法在网络内实现访问其他电脑上的资源；
　　⑤网络中的部分电脑运行速度异常的缓慢。
　　
　　2、故障原因
　　以下原因可能导致连通性故障：
　　①网卡未安装，或未安装正确，或与其他设备有冲突；
　　②网卡硬件故障；
　　③网络协议未安装，或设置不正确；
　　④网线、跳线或信息插座故障；
　　⑤Hub电源未打开，Hub硬件故障，或Hub端口硬件故障;
　　⑥UPS电源故障。
　　
　　3、排除方法
　　①确认连通性故障
　　当出现一种网络应用故障时，如无法接入Internet，首先尝试使用其他网络应用，如查找网络中的其他电脑，或使用局域网中的Web浏览等。如果其他网络应用可正常使用，如虽然无法接入Internet，却能够在"网上邻居"中找到其他电脑，或可ping到其他电脑，即可排除连通性故障原因。如果其他网络应用均无法实现，继续下面操作。
　　②看LED灯判断网卡的故障
　　首先查看网卡的指示灯是否正常。正常情况下，在不传送数据时，网卡的指示灯闪烁较慢，传送数据时，闪烁较快。无论是不亮，还是长亮不灭，都表明有故障存在。如果网卡的指示灯不正常，需关掉电脑更换网卡。对于Hub的指示灯，凡是插有网线的端口，指示灯都亮。由于是Hub，所以，指示灯的作用只能指示该端口是否连接有终端设备，不能显示通信状态。
　　③用ping命令排除网卡故障
　　使用ping命令，ping本地的IP地址或电脑名(如ybgzpt)，检查网卡和IP网络协议是否安装完好。如果能ping通，说明该电脑的网卡和网络协议设置都没有问题。问题出在电脑与网络的连接上。因此，应当检查网线和Hub及Hub的接口状态，如果无法ping通，只能说明TCP/IP协议有问题。这时可以在电脑的"控制面板"的"系统"中，查看网卡是否已经安装或是否出错。如果在系统中的硬件列表中没有发现网络适配器，或网络适配器前方有一个黄色的"！"，说明网卡未安装正确。需将未知设备或带有黄色的"！"网络适配器删除，刷新后，重新安装网卡。并为该网卡正确安装和配置网络协议，然后进行应用测试。如果网卡无法正确安装，说明网卡可能损坏，必须换一块网卡重试。如果网卡安装正确则原因是协议未安装。
　　④如果确定网卡和协议都正确的情况下，还是网络不通，可初步断定是Hub和双绞线的问题。为了进一步进行确认，可再换一台电脑用同样的方法进行判断。如果其他电脑与本机连接正常，则故障一定是先前的那台电脑和Hub的接口上。
　　⑤如果确定Hub有故障，应首先检查Hub的指示灯是否正常，如果先前那台电脑与Hub连接的接口灯不亮说明该Hub的接口有故障(Hub的指示灯表明插有网线的端口，指示灯亮，指示灯不能显示通信状态)。
　　⑥如果Hub没有问题，则检查电脑到Hub的那一段双绞线和所安装的网卡是否有故障。判断双绞线是否有问题可以通过"双绞线测试仪"或用两块三用表分别有两个人在双绞线的两端测试。主要测试双绞线的1、2和3、6四条线(其中1、2线用于发送，3、6线用于接收)。如果发现有一根不通就要重新制作。
　　通过上面的故障压缩，我们就可以判断故障出在网卡、双绞线或Hub上。
　　
　　协议故障
　　1、协议故障的表现
　　协议故障通常表现为以下几种情况：
　　①电脑无法登录到服务器。
　　②电脑在"网上邻居"中既看不到自己，也无法在网络中访问其他电脑。
　　③电脑在"网上邻居"中能看到自己和其他成员，但无法访问其他电脑。
　　④电脑无法通过局域网接入Internet。
　　
　　2、故障原因分析
　　①协议未安装：实现局域网通信，需安装NetBEUI协议。
　　②协议配置不正确：TCP/IP协议涉及到的基本参数有四个，包括IP地址、子网掩码、DNS、网关，任何一个设置错误，都会导致故障发生。
　　
　　3、排除步骤
　　当电脑出现以上协议故障现象时，应当按照以下步骤进行故障的定位：
　　①检查电脑是否安装TCP/IP和NetBEUI协议，如果没有，建议安装这两个协议，并把TCP/IP参数配置好，然后重新启动电脑。
　　②使用ping命令，测试与其他电脑的连接情况；
　　③在"控制面板"的"网络"属性中，单击"文件及打印共享"按钮，在弹出的"文件及打印共享"对话框中检查一下，看看是否选中了"允许其他用户访问我的文件"和"允许其他电脑使用我的打印机"复选框，或者其中的一个。如果没有，全部选中或选中一个。否则将无法使用共享文件夹；
　　④系统重新启动后，双击"网上邻居"，将显示网络中的其他电脑和共享资源。如果仍看不到其他电脑，可以使用"查找"命令，能找到其他电脑，就一切OK了；
　　⑤在"网络"属性的"标识"中重新为该电脑命名，使其在网络中具有惟一性。
　　
　　配置故障
　　配置错误也是导致故障发生的重要原因之一。网络管理员对服务器、路由器等的不当设置自然会导致网络故障，电脑的使用者(特别是那些似懂非懂的初学者)对电脑设置的修改，也往往会产生一些令人意想不到的访问错误。
　　
　　1、故障表现及分析
　　配置故障更多的时候是表现在不能实现网络所提供的各种服务上，如不能访问某一台电脑等。因此，在修改配置前，必须做好原有配置的记录，并最好进行备份。
　　
　　配置故障通常表现为以下几种：
　　①电脑只能与某些电脑而不是全部电脑进行通信；
　　②电脑无法访问任何其他设备。
　　
　　2、配置故障排错步骤：
　　首先检查发生故障电脑的相关配置。如果发现错误，修改后，再测试相应的网络服务能否实现。如果没有发现错误，或相应的网络服务不能实现，执行下述步骤。
　　测试系统内的其他电脑是否有类似的故障，如果有同样的故障，说明问题出在网络设备上，如Hub。反之，检查被访问电脑对该访问电脑所提供的服务作认真的检查。
　　电脑的故障虽然多种多样，但并非无规律可循。随着理论知识和经验技术的积累，故障排除将变得越来越快、越来越简单。严格的网络管理，是减少网络故障的重要手段；完善的技术档案，是排除故障的重要参考；有效的测试和监视工具则是预防、排除故障的有力助手。

8:05:17 PM | Add a comment | Permalink | Blog it | 计算机与 Internet

子网掩码和IP地址的关系

   　子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。
    　最为简单的理解就是两台计算机各自的IP地址与子网掩码进行AND运算后，如果得出的结果是相同的，则说明这两台计算机是处于同一个子网络上的，可以进行直接的通讯。就这么简单。

    运算演示之一：

         IP 地址　 192.168.0.1

　  子网掩码　255.255.255.0

    转化为二进制进行运算：
　　
        IP 地址　 11000000.10101000.00000000.00000001

　  子网掩码 11111111.11111111.11111111.00000000
　　
　　AND运算

                         11000000.10101000.00000000.00000000
　　转化为十进制后为：
　　
　　　　　　192.168.0.0

　　运算演示之二：
　　
　　IP 地址　 192.168.0.254
　　
　　子网掩码　255.255.255.0
　　
　　　
　　
　　转化为二进制进行运算：
　　
　　IP 地址　11000000.10101000.00000000.11111110
　　
　　子网掩码 11111111.11111111.11111111.00000000
　　
　　AND运算
　　
　　　　　　11000000.10101000.00000000.00000000
　　转化为十进制后为：
　　
　　　　　　192.168.0.0
　　
　　运算演示之三：
　　
　　IP 地址　 192.168.0.4
　　
　　子网掩码　255.255.255.0
　　　
　　转化为二进制进行运算：
　　
　　IP 地址　11000000.10101000.00000000.00000100
　　
　　子网掩码 11111111.11111111.11111111.00000000
　　
　　AND运算
　　
　　　　　　11000000.10101000.00000000.00000000
　　转化为十进制后为：
　　
　　　　　　192.168.0.0
　　
　　
　　通过以上对三组计算机IP地址与子网掩码的AND运算后，我们可以看到它运算结果是一样的。均为192.168.0.0，所以计算机就会把这三台计算机视为是同一子网络，然后进行通讯的。

二、这样的子网掩码究竟有多少了IP地址可以用呢？

    根据第一个问题我们可以看出，局域网内部的IP地址是我们自己规定的（当然和其他的IP地址是一样的），这个是由子网掩码决定的通过对255.255.255.0的分析。可得出：
　　前三位IP码由分配下来的数字就只能固定为192.168.0，所以就只剩下了最后的一位了，那么显而易见了，IP地址只能有（2的8次方-1），即256-1=255一般末位为0或者是255的都有其特殊的作用。
　　
　　那么你可能要问了:如果我的子网掩码不是255.255.255.0呢？你也可以这样做啊假设你的子网掩码是255.255.128.0
　　
　　那么你的局域网内的IP地址的前两位（假如16.73）肯定是固定的了，这样，你就可以按照下边的计算来看看同一个子网内到底能有多少台机器
　　
　　1、十进制128 = 二进制1000 0000
　　
　　2、IP码要和子网掩码进行AND运算
　　
　　3、IP 地址　00010000.01001001.1*******.********

      子网掩码 11111111.11111111.10000000.00000000
　　
　　   AND运算
　　
　　　　　　00010000.01001001.10000000.00000000
　　转化为十进制后为：
　　
　　　　　　　　16.73.128.0
　　
　　4、可知我们内部网可用的IP地址为：
　　
　　00010000.01001001.10000000.00000000
　　到
　　
　　00010000.01001001.11111111.11111111
　　
　　5、转化为十进制：
　　
　　16.73.128.0 到 16.73.255.255
　　
　　6、0和255通常作为网络的内部特殊用途。通常不使用。
　　
　　7、于是最后的结果如下：我们单位所有可用的IP地址为：
　　
　　192.168.128.1-192.168.128.254
　　
　　192.168.129.1-192.168.129.254
　　
　　192.168.130.1-192.168.130.254
　　
　　192.168.131.1-192.168.131.254
　　
　　. . . . . . . . . . . . .
　　
　　192.168.139.1-192.168.139.254
　　
　　192.168.140.1-192.168.140.254
　　
　　192.168.141.1-192.168.141.254
　　
　　192.168.142.1-192.168.142.254
　　
　　192.168.143.1-192.168.143.254
　　
　　. . . . . . . . . . . . .
　　
　　192.168.254.1-192.168.254.254
　　
　　192.168.255.1-192.168.255.254
　　
　　8、总数为(255-128+1)*(254-1+1) =128 * 254 = 32512
　

三、小窍门

         在不少网络考试中，我们在进行IP地址规划时总是很头疼子网和掩码的计算。现在给大家一个小窍门，可以顺利的解决这个问题。


    如：一个主机的IP地址是202.112.14.137，掩码是255.255.255.224，要求计算这个主机所在网络的网络地址和广播地址。

　　常规办法是把这个主机地址和子网掩码都换算成二进制数，两者进行逻辑与运算后即可得到网络地址。其实大家只要仔细想想，可以得到另一个方法：255.255.255.224的掩码所容纳的IP地址有256－224＝32个（包括网络地址和广播地址），那么具有这种掩码的网络地址一定是32的倍数。而网络地址是子网IP地址的开始，广播地址是结束，可使用的主机地址在这个范围内，因此略小于137而又是32的倍数的只有128，所以得出网络地址是202.112.14.128。而广播地址就是下一个网络的网络地址减1。而下一个32的倍数是160，因此可以得到广播地址为202.112.14.159。

　　另外还有一种题型，要你根据每个网络的主机数量进行子网地址的规划和计算子网掩码。这也可按上述原则进行计算。比如一个子网有10台主机，那么对于这个子网就需要10＋1＋1＋1＝13个IP地址。（注意加的第一个1是指这个网络连接时所需的网关地址，接着的两个1分别是指网络地址和广播地址。）13小于16（16等于2的4次方）。而256－16＝240，所以该子网掩码为255.255.255.240。

　　如果一个子网有14台主机，不少人常犯的错误是：依然分配具有16个地址空间的子网，而忘记了给网关分配地址。这样就错误了，因为14＋1＋1＋1＝17 ，大于16，所以我们只能分配具有32个地址（32等于2的5次方）空间的子网。这时子网掩码为：255.255.255.224。

8:03:57 PM | Add a comment | Permalink | Blog it | 计算机与 Internet

Windows系统文件名称及其中文详解

　　A　↑
　　ACCESS.CHM - Windows帮助文件
　　ACCSTAT.EXE - 辅助状态指示器
　　ADVAPI32.DLL - 高级Win32应用程序接口
　　AHA154X.MPD - SCSI驱动程序
　　AM1500T.VXT - 网卡驱动程序
　　AM2100.DOS - 网卡驱动程序
　　APPSTART.ANI - 动画光标
　　APPS.HLP - Windows帮助文件
　　AUDIOCDC.HLP - "易码编码解码器"帮助文件
　　AWARDPR32.EXE - 增加打印机工具

　　B　↑
　　BIGMEM.DRV - BIGMEM虚拟设备
　　BILLADD.DLL - 动态链接库(支持MSW)
　　BIOS.VXD - 即插即用BIOS接口
　　BUSLOGIC.MPD - SCSI驱动程序

　　C　↑
　　CALC.EXE - 计算器应用程序
　　CANNON800.DRV - 佳能打印机驱动程序
　　CHOICE.COM - MSDOS命令
　　CHS16.FON - 字体文件(16点阵文)
　　CANYON.MID - MIDI文件例子
　　CARDDRV.EXE - PCMCIA支持程序
　　CDFS.VXD - CDROM文件系统
　　CDPLAYER.EXE - CD播放器应用程序
　　CDPLAYER.HLP - CD播放器帮助文件
　　CHIPS.DRV - 芯片技术显示驱动程序
　　CHKDSK.EXE - DOS磁盘检查工具
　　CHOOSUSR.DLL - 网络客户
　　CHOKD.WAV - 声音文件例子
　　CIS.SCP - 脚本文件(演示如何建立与CompuservePPP连接)
　　CLAIRE~1.RMI - MINI序列
　　CLIP.INF - 安装信息文件(剪粘板查看器)
　　CLOSEWIN.AVI - 影片剪辑(AVI)(如何关闭窗口)
　　CMC.DLLail - API1.0公共信息调用
　　COMBUFF.VXD - COM端虚拟设备
　　COMCTL32.DLL - 32位Shell组件
　　COMDLG32.DLL - 32位公共对话库
　　COMIC.TIF - TrueType字体文件(Comic Sans Ms)
　　COMMAND.COM - 公共对话库
　　COMMDLG.DLL - 16位公共对话库
　　COMMON.HLP - OLE帮助文件
　　COMPOBJ.DLL - OLE16/32互*作库
　　CONAGEN.EXE - 32位控制支持
　　CONFAPI.DLL - Microsoft网络组件
　　CONFIG.SYS - 配置文件
　　CONFIG.TXT - 自述文件(配置文件如何使用命令)
　　CONTROL.EXE - "控制面板"应用程序
　　COOL.DLL - 统一资源定位文件
　　COPY.INF - 安装信息文件
　　CP-1250.NLS - 自然语言支持文件
　　CPQNDIS.DOS - 网卡驱动程序
　　CPQNDIS3.VXD - Compaq以太控制器NDIS驱动程序
　　CR3240.EXE - DOS6.22文版CR3240打印机驱动程序
　　CRTDLL.DLL - Microsoft C运行时间库
　　CSETUP.EXE - MSDOS6.22文设置程序
　　CSETUP.WIN - CSetup.exe支持文件
　　CSMAPPER.SYS - 系统文件(支持PCMCIA)
　　CSPMAN.DLL - 动态链接库(SoundBlaster 16 Driver)
　　CTRLPAN.EXE - MSDOS命令(系统控制台程序)
　　CTRLPAN.EXE - MSDOS6.22文版控制程序

　　D　↑
　　DBLBVFF.SYS - 双缓冲驱动程序
　　DC21X4.SYS - NDIS3驱动程序
　　DCIMAN.DLL - 显示控制接口
　　DCIMAN32.DLL - 显示控制接口
　　DDEML.DLL - DDE信息库
　　DEBMP.DLL - 光栅显示设备
　　DEBUG.EXE - Debug调试工具
　　DECPSMW4.INF - 安装信息文件(DEC打印机安装)
　　DECLAN.VXD - DECLAN网卡驱动程序
　　DEFRAG - 打开"选定驱动器"窗口
　　DEL.INF - 安装信息文件
　　DELTEMP.COM - 初始化帮助工具
　　DELTREE.EXE - 删除目录工具
　　DEMET.DLL - 向量显示工程
　　DESKCP16.DLL - 16位桌面控制面板
　　DESKTOP.MSN - Microsoft网络组件
　　DESS.DLL - 表格显示工程
　　DEWP.DLL - 字处理显示工程
　　DIALER.CNT - 对话帮助
　　DIALER.EXE - 电话拨号程序
　　DIALER.HLP - 电话拨号帮助文件
　　DIALMON.EXE - 拨号监视程序(IE2.0)
　　DIBENG.DLL - 独立设备位同工程
　　DICONIX.DRX - 打印机驱动
　　非常棒^__^.WAN - 声音文件例子
　　DIRECTCC.EXE - 直接线缆连接应用程序
　　DISKCOMP - 磁盘比较工具
　　DISKCOPY.COM - 磁盘拷贝工具
　　DISKDRV.INF - 安装信息
　　DISPLAY.TXT - 显示卡README文件
　　DMCOLOR.DLL - 通用打印驱动程序彩打支持库
　　DOSKEY.COM - DOS命令
　　DOSX.EXE - MSDOS配置程序
　　DRAGDROP.AVI - 影片剪辑(AVI)(如何使用拖拽)
　　DRIVER.SYS - DOS驱动程序
　　DRVSPACE.EXE - 磁盘压缩工具
　　DRVSPACE.HLP - 磁盘空间管理帮助文件

　　E　↑
　　EDIT.COM - DOS文字编辑程序
　　EDLIN.EXE - DOS行编辑器
　　EE16.VXD - 虚拟设备驱动程序
　　EISA.VXD - 即插即用EISA总线计数器
　　EK550C.ICM - 打印机简介
　　EMM386.EXE - 扩展内存管理程序
　　ENABLE.INF - 初始化信息
　　ENGCT.EXE - MSN支持文件
　　ESCP24SC.DRV - 设备驱动程序
　　EUDCEDIT.CNF - 帮助索引文件(造字程序)
　　EUDCEDIT.EXE - 造字程序
　　EUDCEDIT.HLP - 帮助文件(造字程序)
　　EUDCEDIT.INF - 安装信息文件(造字程序)
　　EVX16.DOS - 网卡驱动程序
　　EWRK3.DOS - 网卡驱动程序
　　EWRK3.SY* - 网卡驱动程序
　　**CEL.XL* - **cel5.0文件模板
　　EXCEL4.XL* - **cel4.0文件模板
　　EXCHANGE.TXT - Inbox和Exchange自述文件
　　EXCHNG.CNT - Mail/Exchange帮助文件内容
　　EXCHNG.HLP - Mail/Exchange组件
　　EXCHNG32.EXE - 对用户交换机作初始设置
　　EXPLORER.AVI - 影片剪辑(AVI)(如何使用资源管理器)
　　EXPLORER.EXE - "资源管理器"应用程序
　　EXPO.HLP - 帮助文件(产品信息)
　　EXPOSTRT.EXE - 产品信息应用程序
　　EXTRACT.EXE - 解压缩工具
　　EXTRA.TXT - 自述文件(联机访问附加文件)

　　F　↑
　　FAQ.TXT - 疑难解答自述文件
　　FAXCODEC.DLL - 传真编码/译码器
　　FAXCOVER.EXE - 封面编辑器
　　FC.EXE - DOS命令,比较两个文件
　　FD16-700.MPD - SCSI驱动程序
　　FD8XX.MPD - SCSI驱动程序
　　FDISK.EXE - DOS命令,硬盘建立、删除及显示当前分区
　　FILESEC.VXD - 文件存取控制管理器
　　FILEXFER.CNT - 文件传输帮助文件内容
　　FILEXFER.EXE - Microsoft文件传输
　　FIND.AVI - 影片剪辑(如何使用查找)
　　FIND.EXE - 寻找指定字符串命令
　　FINDMVI.DLL - 媒体视觉支持
　　FINSTALL.DLL - 字库安装程序
　　FINSTALL.HLP - 字库安装帮助文件
　　FLSIMTD.VXD - PCMCIA支持
　　FLSIMTD.VXD - PCMCIA支持
　　FONT16.EXE - DOS6.22文版16点阵字体驱动程序
　　FONTS.INF - 字体选择初始化信息
　　FONTVIEW.EXE - 字体浏览程序
　　formAT.COM - DOS磁盘格式化工具
　　FOUTLINE.EXE - 轮廓字体驱动程序
　　FRAMEBUF.DRV - SVGA显示器驱动程序
　　FTE.DLL - 声音浏览文件传输工程文件
　　FTP.EXE - 文件传输协议TCP工具
　　FURELI~1.RMI - MINI序列
　　G　↑
　　GBK.TXT - 文Windows95GBK代码集字符定义表
　　GDI.EXE - 简版WIN3.1图形界面
　　GDI32.DLL - 32位GDI图形界面
　　GENERAL.IDF - 一般MIDI指示器
　　GRPCONV.EXE - Windows程序组转换器
　　GUIDE.EXE - 应用程序(MSN)

　　H　↑
　　HARDWARE.TXT - 硬件自述文件
　　HOSTS.SAM - TCP配置
　　HPCLRLSK.ICM - 打印简介
　　HPDESK.ICM - 打印机简介表
　　HPDSKJET.DRV - 打印机驱动程序
　　HPEISA.VXD - 网络适配器驱动程序
　　HPJAHLP.CNT - JetAdmin程序帮助文件
　　HPJD.DLL - HPJetAdmin支持程序
　　HPLAN.DOS - 网络适配器驱动程序
　　HPLJ300.DRV - HPLJ300DPI打印机驱动程序
　　HPLJ300.EXE - MSDOS命令(HP打印机驱动)
　　HPLJ-31.SPD - 打印机驱动程序
　　HPLJ600.DRV - HPLJ600DPI打印机驱动程序
　　HPLJP-V4.INF - 打印机安装信息
　　HPNETPRN.INF - HPJetAdmin支持程序
　　HPPJXL31.SPD - 打印机驱动程序
　　HPPLOT.DRV - 打印机驱动程序
　　HPPLOT.HLP - 打印机驱动程序帮助文件
　　HPPRARBK.DLL - HPJetAdmin支持程序
　　HPPRARRK.HLP - HPJetAdmin支持程序帮助文件
　　HPVCM.HPM - 打印机驱动程序
　　HSFLOP.PDR - HSFLOP虚拟设备
　　HTICONS.DLL - 终端设备动态链接库
　　HYPERTRM.CNT - 终端设备帮助文件
　　HYPERTRM.EXE - 终端设备应用程序
　　HYPERTRM.HLP - "超级终端"帮助
　　HZKBD.EXE - 常用输入方法程序
　　HZVIO95.EXE - 显示驱动程序

　　I　↑
　　I82593.DOS - 网络适配器驱动程序
　　IB401917.SPD - 打印机驱动程序
　　IBM20470.SPD - 打印机驱动程序
　　IBM20K.DOS - 网络适配器驱动程序
　　ICM32.DLL - 图象颜色匹配程序
　　ICMOI.DLL - 用户界面颜色匹配程序
　　ICONLIB.DLL - 图符库
　　IEXPLORE.CNT - 帮助索引文件(IE)
　　IEXPLORE.EXE - InternetExplore
　　IEXPLORE.HLP - 帮助文件(IE)
　　IFSHLP.SYS - 文件系统安装帮助文件
　　IFSMGR.VXD - 文件系统安装管理程序
　　IMAGEOIT.EXE - 图象编辑器光标程序
　　IMCLIENT.DLL - Microsoft网络组件
　　IME.CNT - 帮助索引文件(文输入法)
　　IME.HLP - Windows帮助文件
　　IME.INF - 安装信息文件(文输入法)
　　IMEGEN.CNF - 帮助索引文件(输入法生成器)
　　IMEGEN.EXE - 输入法生成器
　　IMEGEN.HLP - 帮助文件(输入法生成器)
　　IMEINFO.INI - 输入法初始化文件
　　IMM32.DLL - WIN32IMM应用程序界面
　　INBOX.EXC - 邮件组件
　　INDICDLL.DLL - 语言组件
　　INET.TXT - IE自述文件
　　INET16.DLL - 动态链接库(支持IE2.0)
　　INETAB32.DLL - 动态链接库(支持Internet mail)
　　INETCFG.DLL - 动态链接库(支持IE2.0)
　　INETCPL.CPL - 控制面板文件(配置IE2.0)
　　INETMAIL.INF - 安装信息文件(Internet mail)
　　INETWIZ.EXE - Internet安装向导
　　INformS.WPF - 样板文件
　　INSTBE.BAT - Microsoft网络组件
　　INSTDICT.EXE - MSDOS命令(输入法安装程序)
　　INTB.VXD - 13号断虚拟设备
　　INTL.CPL - 控制面板
　　INT-MAIL.CNT - 帮助索引文件(Internet mail)
　　IOS.INI - 设置需要安全保护程序
　　IOSCLASS.DLL - CDROM安装程序
　　IRMATR.DOS - 网络适配器驱动程序
　　ISAPNP.VXD - ISA总线即插即用程序
　　↑
　　JOY.CPL - 游戏杆控制面板
　　JOYSTICK.INF - 媒体安装信息
　　JP350.DRV - 打印机驱动程序
　　JUNGLE~1.WAV - 声音文件

　　K　↑
　　KBDBE.KBD - 比利时键盘格式
　　KBDBR.KBD - 巴键盘格式
　　KBDCA.KBD - 法国、加拿大键盘格式
　　KBDOS.KBD - 美国键盘格式
　　KDCOLOR1.SPD - 打印机驱动程序
　　KERNEL32.DLL - 32位内核
　　KEYB.COM - 将控制键盘程序装入内存
　　KODAKCE.ICM - 柯达ICC配置文件
　　KRNL386.EXE - Core应用程序

　　L　↑
　　LABEL.EXE - DOS命令,设置磁盘名称
　　LFNBK.EXE - 长文件名备份文件
　　LFNBK.TXT - LFNBK自述文件
　　LICENSE.HLP - Windows帮助文件
　　LMSCRIPT.EXE - LAN管理器文稿处理程序
　　LOGIN.EXE - Win95登录NetWare文件
　　LQ1600K.EXE - LQ1600K打印驱动程序

　　M　↑
　　MAILMSG.DLL - 微软网络组件
　　MAILOPT.INF - MAIL/MAPI设置文件
　　MAPI.DLL - Mail/Exchange组件
　　MCIAVI.DRV - 媒体驱动程序
　　MCICDA.DRV - MCICD声音驱动程序
　　MCIOLE.DLL - MCIOLE句柄
　　MCIPIONR.DRV - MCI光盘驱动程序
　　MCISEQ.DRV - MCI定序器驱动程序
　　MCIVISCA.DRV - MCIVCR驱动程序
　　MCIWAVE.DRV - MCI Ware驱动程序
　　MDMNOKIA.INF - 安装信息文件(modem)
　　MDMNOVA.INF - 安装信息文件(modem)
　　MDMVV.INF - 安装信息文件(modem)
　　MEMMAKER.EXE - 内存管理程序
　　MEMMAKER.INF - 内存管理程序设置信息
　　MFCUIA32.DLL - OLEI公共对话动态链接库
　　MIDI.INF - 即插即用MIDI设备信息
　　MINET32.DLL - 支持Internet Mail动态链接库
　　MKECR5XX.MPD - SCSI驱动程序
　　ML3XEC16.EXE - 应用程序(MAPI)
　　MLSHEXT.DLL - 微软核扩展库
　　MMCI.DLL - 媒体类安装程序
　　MMDEVLDR.VXD - 即插即用设备装载程序
　　MMDRV.HLP - 媒体帮助文件
　　MMSOUND.DRV - 媒体驱动程序
　　MMSYSTEM.DLL - 媒体系统内核
　　MMTASK.TSK - 媒体背景任务交换器
　　MODE.COM - DOS命令
　　MODERN.FON - 字体文件(modem)
　　MORE.COM - DOS命令
　　MOUSE.DRV - 鼠标驱动程序
　　MOVEWIN.AVI - 影片剪辑(如何移动窗口)
　　MPLAYER.EXE - 媒体播放程序
　　MPR.DLL - WIN32网络接口动态链接库
　　MSAB32.DLL - 微软网络地址簿
　　MSBASE.INF - 设置信息
　　MSCDEX.EXE - DOS MSCDEX CDROM扩展工具
　　MSCDROM.INF - 类安装设置信息
　　MSD.EXE - 微软诊断工具
　　MSD.INI - 微软诊断初始化
　　MSDET.INF - 系统检测设置信息
　　MSDISP.INF - 显示设置信息
　　MSDLG.EXE - 数据链接控制协议
　　MSDOS.INF - 设置信息
　　MSDOSDRV.TXT - 设备驱动程序自述文件
　　MSFT.VRL - 统一资源定位文件
　　MSGSRV32.EXE - Windows32位虚拟设备信息系统
　　MSHDC.INF - 硬盘控制设置信息
　　MSJSTICK.DRV - 即插即用游戏杆驱动程序
　　MSMAIL.INF - Mail/MAPI初始化
　　MSMOUSE.INF - 鼠标设置信息
　　MSN.TXT - 微软网络自述文件
　　MSNET32.DLL - 微软32位网络API库
　　MSNEXCH.EXE - 微软网络设置程序
　　MSNPSS.HLP - 微软网络帮助文件
　　MSNVER.TXT - 微软网络帮助信息
　　MSPAINT.EXE - 画图工具
　　MSPCIC.DLL - PCMCIA类安装与控制工具
　　MSPORTS.INF - 公共设置信息
　　MSPP32.DLL - 微软网络打印支持程序
　　MSPWL32.DLL - 口令清单管理库
　　MSSBLST.DRV - 声霸卡驱动程序
　　MSSBLSI.VXD - 声霸卡驱动程序
　　MSSHRVI.DLL - 共享内核扩展程序
　　MSSNDSYS.DRV - Windows声音系统驱动程序
　　MSSP.VXP - Windows NT安全支持
　　MSTCP.DLL - TCP用户界面
　　MSVIEWUT.DLL - 显示设备服务数据链接库
　　MTMMINIP.MPD - SCSI驱动程序
　　MULLANG.INF - 种语言字体支持设置信息
　　MVIWAVE.DRV - 声音驱动程序

　　N　↑
　　NBTSTAT.EXE - TCP工具
　　NDDEAPI.DLL - Workgroups DDE共享接口
　　NDDENB.DLL - 微软网络DDE NetBIOS接口
　　NDISHLP.SYS - 实模式NDIS支持驱动程序
　　NET.EXE - 实模式网络客户软件
　　NET.INF - 网络检测信息
　　NET.MSG - 网络客户信息
　　NET3COM.INF - 网络设置信息
　　NETAMD.INF - 网络设置信息
　　NETAPI.DLL - 网络应用程序接口动态链接库
　　NETAPI32.DLL - 32位网络API动态链接库
　　NETAVXT.INF - MS内部传输文件
　　NETBEUI.VXD - 32位NetBEUI协议
　　NETBIOS.DLL - NetBIOSAPI库
　　NETDCA.INF - 安装信息文件
　　NETDDE.EXE - Windows网络动态数据交换
　　NETDET.INI - NetWare检测文件
　　NETDI.DLL - 网络设备安装
　　NETH.MSG - 网络客户帮助信息
　　NETOS.DLL - NOS检测DLL
　　NETWATCH.EXE - 网络观测程序
　　NETWORK.TXT - 网络信息自述文件
　　NOTEPAD.EXE - 记事本应用程序
　　NODRIVER.INF - 即插即用设备信息
　　NOTEPAD.EXE - NOTEPAD文件
　　NSCL.VXD - NSCL虚拟设备
　　NW16.DLL - NetWare客户
　　NWAB32.DLL - 地址簿支持动态链接库
　　NWLSCON.EXE - 登录文稿控制台程序
　　NWLSPROC.EXE - NetWare登录处理器
　　NWNET32.DLL - NetWare客户
　　NWNP32.DLL - NetWare组件
　　NWREDIR.VXD - NetWare重定向
　　NWSERVER.VXD - NCP服务
　　NWSP.VXD - NCP服务安全提供

　　O　↑
　　OEMREVA.INF - 安装信息文件
　　OLE2.DLL - OLE2.0动态链接库
　　OLE2.INF - OLE设置信息
　　OLE32.DLL - 32位OLE2.0组件
　　OLEAUT32.DLL - OLE2-32自动化
　　OLECL1.DLL - 对象链接与嵌入客户库
　　OLEDLG.DLL - Windows OLE2.0用户接口支持
　　OLESVR.DLL - 对象链接与嵌入服务端库
　　OLETHK32.DLL - OLE形实替换程序库

　　P　↑
　　PACKAGER.EXE - 对象包装程序
　　PARALINK.VXD - 远程网络存取并行口驱动程序
　　PBRVSH.EXE - "画图"应用程序
　　PDOS95.BAT - 进入文DOS状态
　　PERF.VXD - 系统性能监视器
　　PIFMGR.DLL - 程序信息文件管理服务程序
　　PING.EXE - TCPPing工具
　　PMSPL.DLL - LAN管理应用程序接口
　　POWER.DRV - 高级电源管理驱动程序
　　PPPMAC.VXD - Windows虚拟PPP驱动程序
　　PRINT.EXE - DOS打印文件
　　PRINTERS.TXT - 打印信息自述文件
　　PROGMAN.EXE - 程序管理器
　　PRTVPD.INF - 打印机升级设置信息

　　Q　↑
　　QUIKVIEW.EXE - 快速查看
　　QUIT.EXE - 退出文DOS状态

　　R　↑
　　README.TXT - Windows95自述文件
　　REGEDIT.EXE - 注册编辑器
　　REGSERV.EXE - 远程注册
　　REGWIE.EXE - 注册工具
　　REGSERV.INF - 远程注册
　　RESTORE.EXE - DOS命令
　　RNAAPP.EXE - 拨号网络应用程序
　　RNASERV.DLL - 远程网络存取服务
　　RNASETUP.DLL - 远程网络存取设置动态链接库
　　RNATHUNK.DLL - 远程网络存取转换支持动态链接库
　　RNAUI.DLL - 远程网络存取用户接口DLLRNDSRV32.DLL复制服务程序
　　ROBOTZCL.WAV - 声音文件
　　ROBOTZWI.WAV - 声音文件
　　ROMAN.FON - 字型文件
　　ROUTE.EXE - TCP/IP ROUTE命令
　　RPCLTC1.DLL - 远程调用库
　　RPCNS4.DLL - 远程调用库
　　RPCPP.DLL - 远程调用打印驱动
　　RPCRT4.DLL - 远程调用库
　　RPCS*.**E - 远程调用结点映象
　　RPLBOOT.SYS - 远程程序装入
　　RPLIMAGE.DLL - 远程程序装入磁盘映象器
　　RSRC16.DLL - 资源计量器
　　RSRCMTR.EXE - 资源计量器
　　RSRCMTR.INF - 资源计量器
　　RUMOR.EXE - DDE测试/游戏
　　RUNDLL.EXE - 把DLL作为应用程序运行
　　RUNDLL32.EXE - 32位壳组件

　　S　↑
　　S3.DRV - S3显示驱动
　　S3.VXD - S3虚拟设备
　　SACLIEN.DLL - Microsoft网络组件
　　SAMPLEVIDEOS - 图象文件
　　SAPNSP.DLL - Winsock数据连接库
　　SAVE32.COM - 安装时所需TSR文件
　　SB16.VXD - 16位声卡虚拟设备
　　SB16SND.DRV - 16位声卡驱动
　　SBAWE.VXD - AWE声卡虚拟设备
　　SBAWE32.DRV - AWE声卡驱动
　　SBFM.DRV - 16位声卡驱动
　　SCANDISK.BAT - MSDOS6.x Scandisk替代存根模块SCANDISK.BAT磁盘诊断工具
　　SCANDISK.INI - 磁盘诊断工具
　　SCANDISK.PIF - 安装磁盘诊断工具时PIF文件
　　SCANDSKW.EXE - 磁盘扫描工具
　　SCANPROG.EXE - 磁盘扫描工具
　　SCRNSAVE.SCR - 屏幕保护
　　SCSI.INF - SCSI安装文件文件名描述
　　SCSIIHLP.VXD - SCSI支持文件
　　SCSIPORT.PDR - SCSI虚拟设备口
　　SECUR32.DLL - Microsoft Win32安全服务
　　SECURCL.DLL - Microsoft网络组件
　　SEIKO24E.DRV - 打印机驱动
　　SEIKOSH9.DRV - 打印机驱动
　　SERIAL.VXD - 串口VCOMM驱动器
　　SERIFE.FON - 字型文件
　　SERVER.HLP - 服务器帮助文件
　　SETMDIR.EXE - SBS文件
　　SETUP.BIN - 安装支持文件
　　SETUP.BMP - 安装Wash位图文件
　　SETUP.EXE - Windows95安装程序
　　SETUP.INF - 安装信息文件
　　SETUP.TXT - 安装时README文件
　　SETUP4.DLL - 安装支持文件
　　SETUPPP.INF - 安装信息
　　SETUPX.DLL - 安装支持
　　SETVER.EXE - MSDOS版本显示,该程序可网络执行
　　SF4029.EXE - 打印机驱动
　　SHARE.EXE - MSDOS共享实用程序
　　SHELL.INF - 安装壳信息
　　SHELL.VXD - 虚拟壳设备
　　SHELL2.INF - 颜色组合
　　SHELL3.INF - 颜色组合
　　SIZE1-1.CUR - 光标
　　SIZE1-M.CUR - 光标
　　SIZE4-M.CUR - 光标
　　SIZENESW.ANI - 活动光标
　　SIZEWE.ANI- 活动光标
　　SKPSFA-1.SPD - 打印机驱动
　　SLAN.DOS - 网络适配器驱动
　　SLCD32.MPD - SCSI驱动器
　　SLENH.DLL - 高级节能选项
　　SMALLE.FON - 字型文件
　　SMALLF.FON - 字型文件
　　SMARTDRV.EXE - 超高速缓存程序
　　SMARTND.DOS - 网络适配器驱动器
　　SMC3000.DOS - 网络适配器驱动器
　　SMC9000.VXD - 网络适配器驱动器
　　SNAPSHOT.EXE - 抽点
　　SNAPSHOT.VXD - 抽点虚拟设备
　　SNDREC32.EXE - 录音机
　　SNIP.VXD - 网络适配驱动器
　　SOCKET.VXD - Windows虚拟Socket网卡驱动器SOCKET.VXD PCMCIA支持
　　SOL.CNT - 纸牌游戏
　　SOL.HLP - 纸牌游戏帮助文件
　　SORT.EXE - MSDOS分类实用程序
　　SOUNDREC.CNT - 录音机帮助文件内容
　　SOUNDREC.HLP - 录音机帮助文件
　　SPARROW.WPD - SCSI驱动器
　　SPARROWX.MPD - SCSI驱动器
　　SPOOL32.EXE - 打印机支持
　　SPOOLER.VXD - 打印机共享虚拟设备
　　SRAMMTD.VXD - PCMCIA支持
　　SSERIFE.FON - 字型文件
　　SSERIFF.FON - 字型文件
　　SSFLYWIN.SCR - 屏幕保护
　　SSSTARS.SCR - 屏幕保护
　　STAR24E.DRV - 打印机驱动
　　STAR9E.DRV - 打印机驱动
　　START.EXE - 启动程序
　　STATE.PBK - Microsoft网络组件
　　STDOLE.TLB - OLE2.0文件
　　STDOLE32.TLB - OLE2-32文件
　　STEMO409.DLL - Windows95帮助文件DLL
　　STLSO4SS.SPD - 打印机驱动程序
　　STLS577U.SPD - 打印机驱动程序
　　STORAGE.DLL - OLE存储器管理库
　　STRN.DOS - 网络适配器驱动
　　SUBST.EXE - MSDOS Subst实用程序
　　SUEXPAND.DLL - LZ DLL安装
　　SUHELPER.BIN - 安装支持
　　SUPERVGA.DRV - 高级VGA显示驱动
　　SURPORT.TXT - PSS支持信息
　　SVCPROP.DLL - Microsoft网络组件
　　SVRAPI.DLL - 32位公用服务器API实用程序
　　SXCIEXT.DLL - Matrox显示驱动支持文件
　　SYMBOLE.FON - 字型文件
　　SYS.COM - MSDOS系统实用程序
　　SYSCLASS.DLL - 系统类库安装
　　SYSDETMG.DLL - 系统检测库
　　SYSEDIT.EXE - 系统编辑器
　　SYSLOGO.RLE - 系统标识
　　SYSMON.EXE - 系统监控程序
　　SYSMON.HLP - 系统监控帮助
　　SYSTEM.DRV - 最Win3.1标准模式
　　SYSTHUNK.DLL - Windows系统形实替换程序库
　　SYSTRAY.EXE - 高级节能管理

　　T　↑
　　T128.MPD - SCSI驱动器
　　T160.MPD - SCSI驱动器
　　T20N3.VXD - 网络适配驱动器
　　T30ND.DOS - 网络适配驱动器
　　T338.MPD - SCSI驱动器
　　TADA.WAV - 声音文件
　　TAPI.DLL - API通话程序
　　TAPI.INF - API通话安装信息文件
　　TAPI32.DLL - 32位形实替换
　　TAPIADDR.DLL - API通话程序
　　TAPIEXE.EXE - API通话组件
　　TAPIINI.EXE - API通话组件
　　TASKMAM.EXE - 任务管理器
　　TCCARC.DOS - 网络适配驱动器
　　TCTOKCH.VXD - 网络适配驱动器
　　TELEPHON.CPL - 通话帮助
　　TESTPS.TXT - PostScript测试
　　TEXTCHAT.EXE - Microsoft网络组件
　　THEMIC-1.WAV - 声音文件
　　THINKJET.DRV - 打印机驱动
　　THREED.VBX - Windows95浏览
　　T1850.DRV - 打印机驱动
　　TIMEDATE.CPL - 时间/日期控制面板
　　TIMES.TTF - 时间字型
　　TIMESBD.TTF - 时间粗体字型
　　TIMESBI.TTF - 时间粗斜体字型
　　TIMESI.TTF - 时间斜体字型
　　TIMEZONE.INF - 安装信息
　　TIMLP232.SPD - 打印机驱动
　　TIPS.txt - 提示和技巧自述文件
　　TKPHZR32.SPD - 打印机驱动
　　TLNK.DOS - 网络适配驱动器
　　TLNK3.VXD - 网络适配驱动器
　　TMV1.MPD - SCSI驱动器
　　TOOLHELP.DLL - 16位开工具帮助器
　　TOSHIBA.DRV - 打印机驱动
　　TOUR.EXE - 浏览文件
　　TPHAIII.ICM - 打印机简介
　　TRACERT.EXE - TCP/IP IRACEROUTE命令
　　TREE.COM - MS DOS树实用程序
　　TREEEDCL.DLL - Microsoft网络组件
　　TREENVCL.DLL - Microsoft网络组件
　　TRIUMPHI.SPD - 打印机驱动
　　TSD32.DLL - 声音压缩管理器
　　TSENG.DRV - ET4000W32显示驱动
　　TTY.DRV - 打印机驱动
　　TTY.HLP - TTY打印机驱动帮助
　　TYPELIB.DLL - OLE2.0

　　U　↑
　　U9415470.SPD - 打印机驱动
　　UBNEI.DOS - 网络适配器驱动
　　ULTRA124.MPD - SCSI驱动器
　　ULTRA24F.MPD - SCSI驱动器
　　UMDM16.DLL - 通用调制解调器驱动组件
　　UMDM32.DLL - 通用调制解调器驱动组件
　　UNIDRV.DLL - Microsoft通用打印机驱动库
　　UNIDRV.HLP - 通用打印机驱动帮助
　　UNIMODEM.VXD - 通用调制解调器驱动
　　USER32.DLL - 32位用户

　　V　↑
　　V86MMGR.VXD - V86MMGR虚拟设备
　　VCACHE.VXD - VCache虚拟设备
　　VCD.VXD - 虚拟COM驱动程序
　　VCOMM.VXD - VCOMM驱动程序
　　VCOND.VXD - Win32控制台
　　VDMAD.VXD - VDMAD虚拟设备
　　VER.DLL - 型Win3.1安装程序16位版动态链接库
　　VER.NEW - 版本检测与文件安装库
　　VERSION.DLL - 32位版本动态链接库
　　VERX.DLL - 安装程序使用版本动态库
　　VFAT.VXD - VFAT文件系统
　　VFD.VXD - 软盘虚拟设备
　　VFLATD.VXD - 虚拟平板帧缓存虚拟设备
　　VGA.DRV - VGA显示驱动程序
　　VIDCAP.INF - 即插即用VCD信息
　　VIDEOT.VXD - 视频虚拟设备
　　VIP.386 - TCP/IP虚拟IP设备
　　VJOYD.VXD - 游戏棒虚拟设备
　　VKD.VXD - 虚拟键盘设备
　　VLB32.DLL - Mail/Exchange组件
　　VMD.VXD - Win3.1虚拟鼠标驱动程序
　　VMM.VXD - 虚拟存储管理设备
　　VMM32.VXD - 虚拟存储管理设备
　　VMOUSE.VXD - 虚拟鼠标驱动程序
　　VNBT.386 - NetBIOS传输驱动程序
　　VNETBIOS.VXD - VNETBIOS虚拟设备
　　VNETSUP.VXD - 网络支持虚拟设备
　　VPD.VXD - 虚拟LPT驱动程序
　　VPICD.VXD - 虚拟可编程干扰控制器设备
　　VPOWERD.VXD - 高级电源管理虚拟设备
　　VREDIR.VXD - Microsoft网络32位客户端程序
　　VSAMI.DLL - AMI文件语法分析程序
　　VSASC8.DLL - ASCII文件语法分析程序
　　VSBMP.DLL - BMP文件语法分析程序
　　VSERVER.VXD - Microsoft网络32位服务器端程序
　　VSGIF.DLL - GIF文件语法分析程序
　　VSHARE.VXD - 32位共享虚拟设备驱动程序
　　VSMSW.DLL - Win写文件语法分析
　　VSPP.DLL - PowerPoint语法分析程序
　　VSRTF.DLL - RTF文件语法分析程序
　　VSTIFF.DLL - TIFF文件语法分析程序
　　VSW6.DLL - Word6文件语法分析程序
　　VSWORD.DLL - Word文件语法分析程序
　　VSWP5.DLL - WordPerfect5文件语法分析程序
　　VSXL5.DLL - Excel文件/图表语法分析程序
　　VTCP.386 - TCP/IP虚拟TCP驱动程序
　　VTDAPI.VXD - VTDAPI虚拟设备
　　VTDI.386 - 传输驱动接口支持程序
　　VXDLDR.VXD - 虚拟设备驱动程序装载器

　　W　↑
　　WAVE.INF - 即插即用音波设备信息
　　WDTOOOEX.MPD - SCSI驱动
　　WGPOADMN.DLL - Mail/Exchange组件
　　WHLP16T.DLL - 帮助动态链接库
　　WIN87EM.DLL - 80387数学仿真库
　　WINABC.HLP - 智能ABC帮助文件
　　WINBX.HLP - 表形码输入法帮助文件
　　WINCHA.HLP - 繁体仓颉输入法帮助文件
　　WINDOWS.CNT - Windows95帮助文件内容
　　WINDOWS.HLP - Windows95帮助文件
　　WINFILE.CNT - 文件管理器帮助文件内容
　　WINFILE.EXE - Windows工作组文件管理器
　　WINFILE.HLP - 文件管理器帮助文件
　　WINGB.HLP - 区位码输入法帮助文件
　　WINHLP23.HLP - Windows帮助文件
　　WINIME.HLP - *作指帮助文件
　　WINNM.HLP - GBK内码输入法帮助文件
　　WININIT.EXE - Windows初始化文件
　　WINIPCFG.EXE - TCP/IP配置工具
　　WINNEWS.TXT - Winnews信息
　　WINPHO.HLP - 繁体注音输入法帮助文件
　　WINPOPUP.EXE - POPUP工具
　　WINREG.DLL - 远程注册支持
　　WINPY.HLP - 全拼输入法帮助文件
　　WINSOCK.DLL - Windows套接API
　　WINSY.HLP - 双拼输入法帮助文件
　　WINXSP.HLP - GBK双拼输入法帮助文件
　　WINXZM.HLP - GBK郑码输入法帮助
　　WINZM.HLP - 郑码输入法帮助文件
　　WNASPI32.DLL - Windows DLL32位ASPI
　　WPSUNI.DRV - 传真驱动程序
　　WPSUNIRE.DLL - WPS主机资源执行程序

　　X　↑
　　XCOPY.EXE - DOS XCOPY工具
　　XCOPY32.EXE - 文件拷贝程序
　　XGA.DRV - XGA显示驱动程序

7:36:33 PM | Add a comment | Permalink | Blog it | 计算机与 Internet

动态嵌入式DLL木马发现与清除

引用

动态嵌入式DLL木马发现与清除
随着MS的操作系统从Win98过渡到Winnt系统（包括2k/xp/2003），MS的任务管理器也一下子脱胎换骨，变得火眼金睛起来（在WINNT下传统木马再也无法隐藏自己的进程），这使得以前在win98下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，所以才会有今天这篇讨论如何清除动态嵌入式DLL木马的文章。

　　首先，我们来了解一下什么是动态嵌入式木马，为了在NT系统下能够继续隐藏进程，木马的开发者们开始利用DLL（Dynamic Link Library 动态链接库）文件，起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1.x的函数调用wsock32.dll(Win Socket2中则由WS2_32.DLL负责)，这样通过对约定函数的操作和对未知函数的转发（DLL木马替换wsock32.dll时会将之更名，以便实现日后的函数转发）来实现远程控制的功能。但是随着MS数字签名技术和文件恢复功能的出台，这种DLL马的生命力也日渐衰弱了，于是在开发者的努力下出现了时下的主流木马－－动态嵌入式DLL木马,将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe等无法结束的系统关键进程是DLL马的最爱，这样这样在任务管理器里就不会出现我们的DLL文件，而是我们DLL的载体EXE文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用(也就是所谓的无端口)、注册为系统服务、开多线程保护、等功能。简而言之，就是DLL木马达到了前所未有的隐蔽程度。

　　那么我们如何来发现并清除DLL木马呢？

　　一、从DLL木马的DLL文件入手，我们知道system32是个捉迷藏的好地方，许多木马都削尖了脑袋往那里钻，DLL马也不例外，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一个记录：运行CMD--转换目录到system32--dir *.exe>exeback.txt & dir *.dll>dllback.txt,这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和dllback1.txt中,然后运行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好，如果有的话也不要直接DLL掉，我们可以先把它移到回收站里，若系统没有异常反应再将之彻底删除或者提交给杀毒软件公司。

　　二、上文也曾提到一些系统关键进程是这类木马的最爱，所以一旦我们怀疑系统已经进驻了DLL木马，我们当然要对这些关键进程重点照顾了，怎么照顾？这里推荐一个强大的脱壳工具工具Procedump.exe他可以帮您看出进程到底调用了那些DLL文件，但是由于有的进程调用的DLL文件非常多，使得靠我们自己去一个核对变的不太现实，所以我们会用到一个shotgun写的NT进程/内存模块查看器ps.exe，用命令ps.exe /a /m >nowdlls.txt将系统目前调用地所有DLL文件地名称保存到nowdlls.txt，然后我们再用fc将之于事先备份dllback.txt比较一下，这样也能够缩小排查范围。

　　三、还记得木马的特征之一端口么？所有的木马只要进行连接，只要它接受/发送数据则必然会打开端口，DLL木马也不例外，这也为我们发现他们提供了一条线索，我们可以使用foundstone的进程端口查看工具Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL木马就比较容易了.当然有如上文提到的有些木马会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端口则是木马的最爱。因为即使即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP:1026　ControllerIP:80 ESTABLISHED 的情况，稍微疏忽一点，您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端口还不够，我们要对端口通信进行监控，这就是第四点要说的。

　　四、我们可以利用嗅探器来了解打开的端口到底在传输些什么数据。通过将网卡设为混杂模式就可以接受所有的IP报文，嗅探程序可以从中选择值得关注的部分进行分析，剩下的无非是按照RFC文档对协议进行解码。这样就可以确定木马使用的端口，结合Fport和Procedump我们就能够查找到该DLL木马了。至于嗅探器个人推荐使用IRIS，图形界面比较容易上手。

　　五、通常说道查杀木马我们会习惯性地到注册表碰碰运气。以前可能还蛮有效的，但如果碰到注册为系统服务的木马（原理：在NT/2K/XP这些系统中，系统启动时会加载指定的服务程序），这时候检查：启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件就发现不了丝毫的异样，这时候我们就应该查看一下系统服务了：右击我的电脑－－管理－－服务和应用程序－－服务，这时您会看到100多个服务，（MS也真是的，其中75％对个人用户无用，可以禁止）。慢慢找吧，看谁不顺眼就把它拎出来：），当然如果您以前曾经用导出列表功能对服务备份过，则用文件比较的方法会很容易发现哪些是外来客，这时您可以记录下服务加载的是那个文件，然后用Resource Kits里提供的srvinstw.exe来移除该服务并清除被加载的文件。

　　通过以上五步，基本能发现并清除狡猾的动态嵌入式DLL木马了，也许您也发现如果适当地做一些备份，会对我们的查找木马的过程有很大的帮助，当然也会减轻不少工作的压力哦。

7:30:59 PM | Add a comment | Permalink | Blog it | 计算机与 Internet

DLL后门清除攻略

后门！相信这个词语对您来说一定不会陌生，它的危害不言而喻，但随着人们的安全意识逐步增强，又加上杀毒软件的“大力支持”，使传统的后门无法再隐藏自己，任何稍微有点计算机知识的人，都知道“查端口”“看进程”，以便发现一些“蛛丝马迹”。所以，后门的编写者及时调整了思路，把目光放到了动态链接程序库上，也就是说，把后门做成DLL文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就实现了进程、端口的隐藏。本文以“DLL的原理”“DLL的清除”“DLL的防范”为主题，并展开论述，旨在能让大家对DLL后门“快速上手”，不再恐惧DLL后门。好了，进入我们的主题。

一，DLL的原理
1，动态链接程序库
动态链接程序库，全称：Dynamic Link Library，简称：DLL，作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件，需要跟其进行“动态链接”；从编程的角度，应用程序需要知道DLL文件导出的API函数方可调用。由此可见，DLL文件本身并不可以运行，需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中，这就说明了：DLL文件无法删除。这是由于Windows内部机制造成的：正在运行的程序不能关闭。所以，DLL后门由此而生！

2，DLL后门原理及特点
把一个实现了后门功能的代码写成一个DLL文件，然后插入到一个EXE文件当中，使其可以执行，这样就不需要占用进程，也就没有相对应的PID号，也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大，但必须使用程序（EXE）调用才能执行DLL文件。DLL文件的执行，需要EXE文件加载，但EXE想要加载DLL文件，需要知道一个DLL文件的入口函数（既DLL文件的导出函数），所以，根据DLL文件的编写标准：EXE必须执行DLL文件中的DLLMain（）作为加载的条件（如同EXE的mian（））。做DLL后门基本分为两种：1）把所有功能都在DLL文件中实现；2）把DLL做成一个启动文件，在需要的时候启动一个普通的EXE后门。

常见的编写方法：
(1)，只有一个DLL文件

这类后门很简单，只把自己做成一个DLL文件，在注册表Run键值或其他可以被系统自动加载的地方，使用Rundll32.exe来自动启动。Rundll32.exe是什么？顾名思意，“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件。当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。

现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意一下。在来看看 Rundll32.exe使用的函数原型：
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);

其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments]
DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。

(2)，替换系统中的DLL文件
这类后门就比上边的先进了一些，它把实现了后门功能的代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时， DLL后门就启一个转发的作用，把“参数”传递给原来的DLL文件；如果遇到特殊的请求时（比如客户端），DLL后门就开始，启动并运行了。对于这类后门，把所有操作都在DLL文件中实现最为安全，但需要的编程知识也非常多，也非常不容易编写。所以，这类后门一般都是把DLL文件做成一个“启动”文件，在遇到特殊的情况下（比如客户端的请求），就启动一个普通的EXE后门；在客户端结束连接之后，把EXE后门停止，然后DLL文件进入“休息”状态，在下次客户端连接之前，都不会启动。但随着微软的“数字签名”和“文件恢复”的功能出台，这种后门已经逐步衰落。

提示：
在WINNTsystem32目录下，有一个dllcache文件夹，里边存放着众多DLL文件（也包括一些重要的EXE文件），在DLL文件被非法修改之后，系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件，首先应该把dllcache目录下的同名DLL文件删除或更名，否则系统会自动恢复。

(3)，动态嵌入式
这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中，每个进程都有自己的私有内存空间，但还是有种种方法来进入其进程的私有内存空间，来实现动态嵌入式。由于系统的关键进程是不能终止的，所以这类后门非常隐蔽，查杀也非常困难。常见的动态嵌入式有：“挂接API”“全局钩子（HOOK）”“远程线程”等。

远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体（或Rundll32.exe）在那个被插入的进程里创建了远程线程，并命令它执行某个DLL文件时，我们的DLL后门就挂上去执行了，这里不会产生新的进程，要想让DLL后门停止，只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接，那就不能终止了，如果你终止了系统进程，那Windows也随即被终止！！！

3，DLL后门的启动特性

启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那我们的DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe，即使停止了Rundll32.exe，DLL后门的主体还是存在的。3721网络实名就是一个例子，虽然它并不是“真正”的后门。

二，DLL的清除
本节以三款比较有名的DLL后门例，分别为“SvchostDLL.dll”“BITS.dll”“QoServer.dll”。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。具体怎么做，请看下文。

1，PortLess BackDoor
这是一款功能非常强大的DLL后门程序，除了可以获得Local System权限的Shell之外，还支持如“检测克隆帐户”“安装终端服务”等一系列功能（具体可以参见程序帮助），适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接（最大的特点哦），对于有防火墙的主机来说，这个功能在好不过了。

在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务：
Svchost只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain()函数，为处理服务任务提供支持。

呵呵！看了上边的理论，是不是有点蒙（我都快睡着了），别着急，我们来看看具体的内容（如图1）。从图1中，我们可以看到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs下的Parameters子键，其键值为%SystemRoot%system32rpcss.dll。这就说明：启动RpcSs服务时。Svchost调用WINNTsystem32目录下的rpcss.dll。

图1

图2

在来看看图2，这是注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下。这里有四种方法来实现：
1，添加一个新的组，在组里添加服务名
2，在现有组里添加服务名
3，直接使用现有组里的一个服务名，但是本机没有安装的服务
4，修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门

我测试的PortLess BackDoor使用的第三种方法。
好了，我想大家看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。

注：由于本文只是介绍清除方法，使用方法在此略过。

后门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先打开Windows优化大师中的Windows进程管理2.5，查看Svchost进程中的模块信息（如图3），从图3中我们可以看到，SvchostDLL.dll已经插入到Svchost进程中了，在根据“直接使用现有组里的一个服务名，但是本机没有安装的服务”的提示，我们可以断定，在“管理工具”—“服务”中会有一项新的服务。图4证明了我的说法，此服务名称为：IPRIP，由Svchost启动，-k netsvcs表示此服务包含在netsvcs服务组中。

我们把该服务停掉，然后打开注册表编辑器（开始—运行--regedit），来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPRIP下，查看其Parameters子键（如图5）。Program键的键值SvcHostDLL.exe为后门的Loader；ServiceDll的键值C:WINNTsystem32svchostdll.dll为调用的DLL文件，这正是后门的DLL文件。现在我们删除IPRIP子键（或者用SC来删除），然后在来到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下，编辑netsvcs服务组，把49 00 70 00 72 00 69 00 70 00 00 00删除，这里对应的就是IPRIP的服务名，具体如图6所示。然后退出，重启。重启之后删除WINNTsystem32目录下的后门文件即可。

2，BITS.dll
这是榕哥的作品，也是DLL后门，和SvchostDLL.dll原理基本一样，不过这里使用的是上边介绍的第四种方法，即“修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门”。换句话说，该后门修改现有的某一个服务，把其原有服务的DLL指向自己（也就是BITS.dll），这样就达到了自动加载的目的；其次，该后门没有自己的Loader，而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看，从图7中，我们可以看到bits.dll已经插入到Svchost进程当中。

好，现在我们来看看具体的清除方法，由于该后门是修改现有服务，而我们并不知道具体是修改了哪个服务，所以，在注册表中搜索bits.dll，最后在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAuto下搜索到了bits.dll，查看Parameters子键下的ServiceDll，其键值为C:WINNTsystem32bits.dll（如图8）。原来，该后门把RasAuto服务原来的DLL文件替换为bits.dll了，这样来实现自动加载。知道了原因就好办了，现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件，即%SystemRoot%System32rasauto.dll，退出，重启。之后删除WINNTsystem32目录下的bits.dll即可。

3，NOIR--QUEEN
NOIR--QUEEN(守护者)是一个DLL后门&木马程序，服务端以DLL文件的形式插入到系统的Lsass.exe进程里，由于Lsass.exe是系统的关键进程，所以不能终止。在来介绍清除方法之前，我先介绍一下Lsass.exe进程：
这是一个本地的安全授权服务，并且它会为使用Winlogon服务的授权用户生成一个进程，如果授权是成功的，Lsass就会产生用户的进入令牌，令牌使用启动初始的Shell。其他的由用户初始化的进程会继承这个令牌。
从上边的介绍我们就可以看出Lsass对系统的重要性，那具体怎么清除呢？请看下文。

后门在安装成功后，会在服务中添加一个名为QoSserver的服务，并把QoSserver.dll后门文件插入到Lsass进程当中，使其可以隐藏进程并自动启动（如图9）。现在我们打开注册表，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesQoSserver，直接删除QoSserver键，然后重启。重启之后，我们在来到服务列表中，会看到QoSserver服务还在，但没有启动，类别是自动，我们把他修改为“已禁用”；然后往上看，会发现一个服务名为AppCPI的服务，其可执行程序指向QoSserver.exe（原因后边我会说到），具体如图11所示。我们再次打开注册表，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAppCPI，删除AppCPI键，重启，再删除QoSserver，最后删除WINNTsystem32目录下的后门文件。

本人和这个后门“搏斗”了3个多小时，重启N次。原因在于即使删除了QoSserver服务，后门还是在运行，而且服务列表中的QoSserver服务又“死灰复燃”。后来才知道原因：在我删除了QoSserver服务并重启之后，插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务，并且生成了另外一个服务，即AppCPI，所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出，现在的后门的保护措施，真是一环扣环。

注意：在删除QoSserver服务并重启之后，恢复的QoSserver的启动类别要修改为“已禁用”，否则即便删除了AppCPI服务，QoSserver服务又运行了。

三，DLL的防范
看了上边的例子，我想大家对清除DLL后门的方法有了一定的了解，但在现实中，DLL后门并不会使用默认的文件名，所以你也就不能肯定是否中了DLL后门。对于DLL后门，system32目录下是个好地方，大多数后门也是如此，所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门，希望对大家有所帮助。

1，安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开CMD，来到WINNTsystem32目录下，执行：dir *.exe>exe.txt & dir *.dll>dll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。

2，使用内存/模块工具来查看进程调用的DLL文件，比如Windows优化大师中的Windows 进程管理 2.5。这样，可以发现进程到底调用了什么DLL文件，在结合上边用FC命令比较出来的结果，又能进一步来确定是否中了DLL后门。如果没有优化大师，可以使用TaskList，这个小工具也可以显示进程调用的DLL文件，而且还有源代码，方便修改。

3，普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat –an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。

4，定期检查系统自动加载的地方，比如：注册表，Winstart.bat，Autoexec.bat，win.ini，system.ini，wininit.ini，Autorun.inf，Config.sys等。其次是对服务进行管理，对系统默认的服务要有所了解，在发现有问题的服务时，可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader，如果我们把DLL后门Loader删除了，试问？DLL后门还怎么运行？！

通过使用上边的方法，我想大多数DLL后门都可以“现形”，如果我们平时多做一些备份，那对查找DLL后门会启到事半功倍的效果。

后记
　本文详细的介绍了DLL后门的一些知识。其实，从上文中不难看出，DLL后门并没有想象的这么可怕，清除起来也比较简单。在文章中的开头我以说到：旨在能让大家对DLL后门“快速上手”，所以，希望这篇拙文能对大家有所帮助，文中如有错误，还请大家多多包涵，谢谢！

注：原稿名＆握着你的手清除DLL后门

7:23:54 PM | Add a comment | Permalink | Blog it | 计算机与 Internet

9/3/2005

世界十大不可思议的地方

1、南美火地岛：躺着骷髅头

2、斯堪的纳维亚半岛的峡湾风光：有个狮身人面象

3、南斯拉夫境内：熟睡的老猫

4、加拿大与美国阿拉斯加交接处

5、极光：长出一张贞子的脸

6、南美秘鲁：富兰克林的头像

7、下凡到人間的星星和月亮

8、北欧附近：死亡的武士

9、冰岛附近：天蝎座

10、新西兰南岛：不可思议的太极

(以上图片真伪有待考证)

1:29:01 PM | Add a comment | Permalink | Blog it | 未归类

开学了，开始忙碌了

12:12:21 AM | Add a comment | Permalink | Blog it

8/21/2005

常见流氓软件完全卸载方案

1.3721的卸载

　　首先，用3721自带的卸载功能卸载3721，但是这个3721网络实名插件是使用Rundll32.exe调用连接库的，系统无法终止Rundll32.exe进程，所以我们必须重新启动计算机，按 F8 进入安全模式（F8 只能按一次，千万不要多按！）之后，单击开始 → 运行 regedit.exe 打开注册表，进入：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
　　删除键：CnsMin，其键值为：Rundll32.exe C:WINNTDOWNLO~1CnsMin.dll,Rundll32
　　（如果是win98，这里的 C:WINNTDOWNLO~1 为 C:WINDOWSDOWNLO~1）
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions
　　删除整个目录：!CNS
　　这个目录在 Internet 选项 -> 高级中加入了3721网络实名的选项。
　　HKEY_LOCAL_MACHINESOFTWARE3721 以及 HKEY_CURRENT_USERSoftware3721
　　删除整个目录：3721

注：如果您安装了3721的其它软件，如“极品飞猫”等，则应删除整个目录：
　　HKEY_LOCAL_MACHINESOFTWARE3721CnsMin 以及　
　　HKEY_CURRENT_USERSoftware3721CnsMin
　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
　　删除键：CNSEnable 其键值为：a2c39d5f
　　删除键：CNSHint 其键值为：a2c39d5f
　　删除键：CNSList 其键值为：a2c39d5f

　　在删除完注册表中的项之后，还需要删除存储在硬盘中的3721网络实名文件。
　　删除如下文件：
　　C:WINNTDOWNLO~1 目录下
　　（如果是win98，这里的 C:WINNTDOWNLO~1 为 C:WINDOWSDOWNLO~1 下同）
2001-08-09 15:34
3721
2001-08-02 17:03 40,960 cnsio.dll
2001-08-08 14:14 102,400 CnsMin.dll
2001-08-24 23:14 42 CnsMin.ini
2001-08-09 10:18 13,848 CnsMinEx.cab
2001-07-06 17:57 32,768 CnsMinEx.dll
2001-08-25 02:52 115 CnsMinEx.ini
2001-08-25 02:51 17,945 CnsMinIO.cab
2001-08-02 17:02 32,768 CnsMinIO.dll
2001-08-24 23:15 40,793 CnsMinUp.cab
C:WINNTDOWNLO~13721 目录下
2001-08-02 17:03 40,960 cnsio.dll
2001-08-24 15:53 102,400 CnsMin.dll
2001-07-06 17:59 213 CnsMin.inf
2001-08-24 15:48 28,672 CnsMinIO.dll
　　以上文件全部删除，这样3721网络实名“病毒”就从您的计算机中全部清除了。
　　最后，重新启动计算机，进入正常模式。现在已经完全没有3721网络实名的困扰了！

2.阻止“淘宝”网弹出窗口的办法

　　IE用户的免疫方法

　　如果系统是win 2000/XP/2003，请在“开始”→“运行”中输入：
　　notepad.exe %windir%\system32\drivers\etc\hosts

　　如果系统是win 98/me，请在“开始”→“运行”中输入：
　　notepad.exe %windir%\hosts

　　如果系统提示：
　　找不到文件hosts.txt是不是创建新的文件？请选择否

　　在最后添加如下内容：

　　#kill taobao
　　0.0.0.0 www.taobao.com
　　0.0.0.0 page.taobao.com
　　0.0.0.0 search.taobao.com
　　0.0.0.0 taobao.com
　　0.0.0.0 www.unionsky.cn #掏宝网广告代理
　　0.0.0.0 www.allyes.com #掏宝网广告代理

　　保存后，重启计算机即可。(XP/2003系统不需重启)

　　如果在前面操作遇到提示找不到文件hosts.txt，请按照以下步骤保存：
　　用菜单：文件-->另存为
　　在“文件另存为”对话框中，把文件类型改为“所有文件(*.*)”
　　再输入文件名:

　　如果系统是win 2000/XP/2003，请输入（建议复制粘贴）：
　　 %windir%\system32\drivers\etc\hosts

　　如果系统是win 98/me，请输入（建议复制粘贴）：
　　%windir%\hosts

　　点[确定]按钮。

　　用My IE2、GreenBrowser、Maxthon屏蔽办法：

　　启动窗口过滤、网页内容过滤
　　把下列网页加入弹出窗口过滤、网页内容过滤列表：
　　http://*.unionsky.cn/*
　　http://*.unionsky.*/*.*
　　http://www.unionsky.cn/script/*
　　http://www.unionsky.cn/script/*.*
　　http://adtaobao.allyes.com/*

3.如何删除dudu加速器

　　第一次安装dudu后，在C:\Program Files下生成HDP文件夹；在进程里表现出来的是MSHTA.exe和henbang.exe，分别对应的运行窗口和驻留在任务栏上的 henbang，启动项里会添加“很棒小秘书”（手动安装时会提示）。卸载它，先在“添加/删除程序”里，发现有 HAP 和很棒小秘书，直接执行卸载。
注意的是，先执行卸载“HAP”，然后再执行卸载“很棒小秘书”。否则，C:\Program Files\HDP依然存在，且程序完整，执行的删除没有完成。最后检查，往system32里写入的三个文件（二个ini文件，一个hbhap.dll 文件），也成功删除。
　　所以，如果大家电脑里有这个软件且一时无法卸载的或提示pupw.sys错误的，可主动安装一次，然后按上面方法执行卸载。
　　另检查一下是否有C:\Program Files\HBClient，如果有，说明系统里还装有装上很棒通行证，可在添加删除里执行卸载 Henbang Passport 。

4.中文通用网址的卸载

　　首先进入安全模式。把C:\Program Files目录下的CNNIC目录给删除，然后打开注册表编辑器。在运行-〉regedit，在安全模式下就可以删除这两个键值了。
　　在安全模式下把Run目录下的CdnCtr和ExFilter这两个键值删除。然后对注册表进行查找。查找一切和CNNIC、cdnup.exe字符有关的键值和目录。统统删除。OK。现在再重新启动机器。烦人的CNNIC终于离我而去了。不过CNNIC这样被删除之后。好像会导致不能在IE窗口中输入中文。不知道有没有其它人碰到这种情况。还有一个方法可以避免下次再次运行这个烦人的插件。新建一个文本文件，内容如下：
REGEDIT4
#9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9A578C98-3C2F-4630-890B-FC04196EF420}]
"Compatibility Flags"=dword:00000400
保存为.reg的文件，然后双击执行此文件即可。

5.“很棒小秘书”卸载方法

　　双击"c:\windows\system32"下的uninstall.exe 或者henbangkiller.exe 即可，
然后删除这两个文件和C:\Program Files\henbang文件夹。

　　如果你是xp sp2版，可以按照以下方法关闭它：
　　1：首先打开ie，然后选择“internet选项”
　　2：选择“程序”页，点击“管理加载项”
　　3：选中“UrlMonitor Class”，选择禁用此项
　　4：OK了

　　最好运行msconfig将winup.exe的加载项去掉

　　木马 winup.exe 彻底删除方法

　　木马 winup.exe经常和“很棒小秘书”一同出现，所以也要一起清除。

　　1、在IE的工具里点"管理加载项",禁用Downloadvalue Class , EyeOnIe Class ,
URLMonitor Class
　　 2、在system32中运行一下henbangkiller.exe 再删除 winhtp.dll hap.dll
xpieknl.dll winup.exe
　　 3、在注册表中删除
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 键
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata键

　　在msconfig里面还有一个可疑的东西：msstart.exe 在任务管理器里干掉msstart的进程, 然后再到system32目录下delete掉msstart.exe这个文件。

6.“网络猪”与“划词搜索”的卸载

　　网络猪与划词搜索虽然可以通过添加\删除软件进行卸载，但是总卸载不干净，必须要手动删除安装目录。为此你首先需要卸载掉网络猪与划词搜索；然后单击“开始”－“运行”，输入“msconfig”，回车后在弹出的窗口中选择“启动”标签，在启动中找到“SEARCH.EXE”，去除前边的勾选；按“Ctrl+Shift+ESC”打开“任务管理器”，在进程中结束“SEARCH.EXE”；单击“开始”－“运行”，输入“regedit”，打开注册表，搜索“SEARCH.EXE”的项值，删除相关的项。最后删除整个安装目录。