黑客1362（黑客131小组联系方式）

电脑蓝屏的原因

蓝屏"的硬件原因及解决

"蓝屏"现象多和内存大小、CPU频率、光驱、硬盘碎片等等关系密切......在计算机的使用过程中，经常会遇到蓝屏的情况。对于初学者来讲，好象就是一场电脑灾难一样，不知所措。其实只要了解了原因之后就不用怕了。造成计算机蓝屏的原因有很多种，硬件方面的原因总体可以概括为以下几种：

一、屏幕显示系统忙，请按任意键继续……

1、虚拟内存不足造成系统多任务运算错误

虚拟内存是WINDOWS系统所特有的一种解决系统资源不足的方法，其一般要求主引导区的硬盘剩余空间是其物理内存的2-3倍。而一些发烧友为了充分利用空间，将自己的硬盘塞到满满的，忙记了WINDOWS这个苛刻的要求。结果导致虚拟内存因硬盘空间不足而出现运算错误，所以就出现蓝屏。要解决这个问题好简单，尽量不要把硬盘塞得满满的，要经常删除一些系统产生的临时文件、交换文件，从而可以释放空间。或可以手动配置虚拟内存，选择高级，把虚拟内存的默认地址，转到其他的逻辑盘下。这样就可以避免了因虚拟内存不足而引起的蓝屏。

2、CPU超频导致运算错误

超频对于发烧友来说是常事，所以由超频所引起的各种故障也就在所难免了。超频，就本身而言就是在原有的基础上完成更高的性能，但由于进行了超载运算，造成其内部运算过多，使CPU过热，从而导致系统运算错误。有些CPU的超频性能比较好，如INTEL的赛扬处理器和AMD-K6-2处理器还算较好的，但有时也会出现一些莫名其妙的错误。（例如：我曾试过将INTEL赛扬300A，在超频到450时，软驱在没有接受命令时，进行读盘操作）。INTEL的低于200的CPU以及AMD-K5的超频能力就不是那么好。建议高档的CPU要超频时，那么散热工作一定要做好，最好装一个大的风扇，再加上一些硅胶之类的散热材料。至于一些低档的CPU我建议你就最好不要超频了，免得超频达不到预想的效果反而经常出现蓝屏影响计算机的正常速度。

二、内存条的互不兼容或损坏引起运算错误

这时个最直观的现象，因为这个现象往往在一开机的时候就可以见到，根本启动不了计算机，画面提示出内存有问题，问你是否要继续。造成这种错误是物理上的损坏内存或者内存与其它硬件不兼容所致。这时候只有换过另外的内存了。

三、光驱在读盘时被非正常打开所至

这个现象是在光驱正在读取数据时，由于被误操作打开而导致出现蓝屏。这个问题不影响系统正常动作，只要再弹入光盘或按ESC键就可以。

以上是我在维护计算机中碰到导致蓝屏的几种原因，或许还会有其他一些莫名其妙的问题导致计算机出现蓝屏。不管怎样，遇到这类问题后，应先仔细分析问题发生的原因，然后再着手解决。

四、硬件剩余空间太小或碎片太多

由于Win9X运行时需要用硬盘作虚拟内存，这就要求硬盘必须保留一定的自由空间以保证程序的正常运行。一般而言，最低应保证100MB以上的空间，否则出现“蓝屏”很可能与硬盘剩余空间太小有关。另外，硬盘的碎片太多，也容易导致“蓝屏”的出现。因此，每隔一段时间进行一次碎片整理是必要的。

五、系统硬件冲突

这种现象导致“蓝屏”也比较常见。实践中经常遇到的是声卡或显示卡的设置冲突。在“控制面板”→“系统”→“设备管理”中检查是否存在带有黄色问号或感叹号的设备，如存在可试着先将其删除，并重新启动电脑，由Win9X自动调整，一般可以解决问题。若还不行，可手工进行调整或升级相应的驱动程序。

"蓝屏"的软件原因及解决

与硬件密切联系的是软件，有时软件在"蓝屏"现象中也"功不可没"，加载了过多的程序、注册表有问题、软硬不兼容、驱动程序有问题，相对于硬件原因来说要不易察觉些，可要多加注意.........

一、启动时加载程序过多

不要在启动时加载过多的应用程序（尤其是你的内存小于64MB），以免使系统资源消耗殆尽。正常情况下，Win9X启动后系统资源应不低于90%。最好维持在90%以上，若启动后未运行任何程序就低于70%，就需要卸掉一部分应用程序，否则就可能出现“蓝屏”。

二、应用程序存在着BUG

有些应用程序设计上存在着缺陷或错误，运行时有可能与Win9X发生冲突或争夺资源，造成Win9X无法为其分配内存地址或遇到其保护性错误。这种BUG可能是无法预知的，免费软件最为常见。另外，由于一些用户还在使用盗版软件（包括盗版Win9X），这些盗版软件在解密过程中会破坏和丢失部分源代码，使软件十分不稳定，不可靠，也常常导致“蓝屏”。

三、遭到不明的程序或病毒攻击所至

这个现象只要是平时我们在上网的时候遇到的，当我们在冲浪的时候，特别是进到一些BBS站时，可能暴露了自己的IP，被"黑客"用一些软件攻击所至。对互这种情况最好就是在自己的计算机上安装一些防御软件。再有就是登录BBS要进行安全设置，隐藏自己IP。

四、版本冲突

有些应用程序需调用特定版本的动态链接库DLL，如果在安装软件时，旧版本的DLL覆盖了新版本的DLL，或者删除应用程序时，误删了有用的DLL文件，就可能使上述调用失败，从而出现“蓝屏”。不妨重新安装试一试。

五、注册表中存在错误或损坏

很多情况下这是出现“蓝屏”的主要原因。注册表保存着Win9X的硬件配置、应用程序设置和用户资料等重要数据，如果注册表出现错误或被损坏，就很可能出现“蓝屏”。如果你的电脑经常出现“蓝屏”，你首先就应考虑是注册表出现了问题，应及时对其检测、修复，避免更大的损失。

六、软硬件不兼容

新技术、新硬件的发展很快，如果安装了新的硬件常常出现“蓝屏”，那多半与主板的BIOS或驱动程序太旧有关，以致不能很好支持硬件。如果你的主板支持BIOS升级，应尽快升级到最新版本或安装最新的设备驱动程序。

Windows 2000"蓝屏"分析与解决篇

Win2000也许可以说得上是一个划时代的操作系统，但是它仍然不能够避免蓝屏死机（Blue Screen of Death）问题，Win2000的"蓝屏"(BSOD)和NT4以前的"蓝屏"消息是完全不同的。最大的不同就是NT中的BSOD只包含一个通用的停止消息类型(就是实际的出错代码), 但是Win2000的BSOD包含有两种消息类型：停止消息和硬件消息。停止消息是指，当win2000的内核发现一个它不能够恢复的软件错误时候产生的错误消息，它分为：常规停止消息、安装停止消息、可执行程序安装停止消息、软件陷阱停止消息四种类型......针对Windows2000的蓝屏，在上述概括的现象与对策基础上，我们分两方面来分析：

电脑的那些端口分别是什么？

计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。

按端口号可分为3大类：

（1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

（2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

（3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

一些端口常常会被黑客利用，还会被一些木马病毒利用，对计算机系统进行攻击，以下是计算机端口的介绍以及防止被黑客攻击的简要办法。

8080端口

端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号，比如。

端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。

操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。

端口：21

服务：FTP

说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22

服务：Ssh

说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23

服务：Telnet

说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25

服务：SMTP

说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：80

服务：HTTP

说明：用于网页浏览。木马Executor开放此端口。

端口：102

服务：Message transfer agent(MTA)-X.400 over TCP/IP

说明：消息传输代理。

端口：109

服务：Post Office Protocol -Version3

说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110

服务：SUN公司的RPC服务所有端口

说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：119

服务：Network News Transfer Protocol

说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135

服务：Location Service

说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139

服务：NETBIOS Name Service

说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：161

服务：SNMP

说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络

悬赏啊！网络端口一共有哪些啊？？

有过一些黑客攻击方面知识的读者都会知道，其实那些所谓的黑客并不是像人们想象那样从天而降，而是实实在在从您的计算机"大门"中自由出入。计算机的"大门"就是我们平常所说的"端口"，它包括计算机的物理端口，如计算机的串口、并口、输入/输出设备以及适配器接口等（这些端口都是可见的），但更多的是不可见的软件端口，在本文中所介绍的都是指"软件端口"，但为了说明方便，仍统称为"端口"。本文仅就端口的基础知识进行介绍，

一、端口简介

随着计算机网络技术的发展，原来物理上的接口（如键盘、鼠标、网卡、显示卡等输入/输出接口）已不能满足网络通信的要求，TCP/IP协议作为网络通信的标准协议就解决了这个通信难题。TCP/IP协议集成到操作系统的内核中，这就相当于在操作系统中引入了一种新的输入/输出接口技术，因为在TCP/IP协议中引入了一种称之为"Socket（套接字）"应用程序接口。有了这样一种接口技术，一台计算机就可以通过软件的方式与任何一台具有Socket接口的计算机进行通信。端口在计算机编程上也就是"Socket接口"。

有了这些端口后，这些端口又是如何工作呢？例如一台服务器为什么可以同时是Web服务器，也可以是FTP服务器，还可以是邮件服务器等等呢？其中一个很重要的原因是各种服务采用不同的端口分别提供不同的服务，比如：通常TCP/IP协议规定Web采用80号端口，FTP采用21号端口等，而邮件服务器是采用25号端口。这样，通过不同端口，计算机就可以与外界进行互不干扰的通信。

据专家们分析，服务器端口数最大可以有65535个，但是实际上常用的端口才几十个，由此可以看出未定义的端口相当多。这是那么多黑客程序都可以采用某种方法，定义出一个特殊的端口来达到入侵的目的的原因所在。为了定义出这个端口，就要依靠某种程序在计算机启动之前自动加载到内存，强行控制计算机打开那个特殊的端口。这个程序就是"后门"程序，这些后门程序就是常说的木马程序。简单的说，这些木马程序在入侵前是先通过某种手段在一台个人计算机中植入一个程序，打开某个（些）特定的端口，俗称"后门"（BackDoor），使这台计算机变成一台开放性极高（用户拥有极高权限）的FTP服务器，然后从后门就可以达到侵入的目的。

二、端口的分类

端口的分类根据其参考对象不同有不同划分方法，如果从端口的性质来分，通常可以分为以下三类：

（1）公认端口（Well Known Ports）：这类端口也常称之为"常用端口"。这类端口的端口号从0到1024，它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议，这种端口是不可再重新定义它的作用对象。例如：80端口实际上总是HTTP通信所使用的，而23号端口则是Telnet服务专用的。这些端口通常不会像木马这样的黑客程序利用。为了使大家对这些常用端口多一些认识，在本章后面将详细把这些端口所对面应的服务进行列表，供各位理解和参考。

（2） 注册端口（Registered Ports）：端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象，不同程序可根据实际需要自己定义，如后面要介绍的远程控制软件和木马程序中都会有这些端口的定义的。记住这些常见的程序端口在木马程序的防护和查杀上是非常有必要的。常见木马所使用的端口在后面将有详细的列表。

（3） 动态和/或私有端口（Dynamic and/or Private Ports）：端口号从49152到65535。理论上，不应把常用服务分配在这些端口上。实际上，有些较为特殊的程序，特别是一些木马程序就非常喜欢用这些端口，因为这些端口常常不被引起注意，容易隐蔽。

如果根据所提供的服务方式的不同，端口又可分为"TCP协议端口"和"UDP协议端口"两种。因为计算机之间相互通信一般采用这两种通信协议。前面所介绍的"连接方式"是一种直接与接收方进行的连接，发送信息以后，可以确认信息是否到达，这种方式大多采用TCP协议；另一种是不是直接与接收方进行连接，只管把信息放在网上发出去，而不管信息是否到达，也就是前面所介绍的"无连接方式"。这种方式大多采用UDP协议，IP协议也是一种无连接方式。对应使用以上这两种通信协议的服务所提供的端口，也就分为"TCP协议端口"和"UDP协议端口"。

使用TCP协议的常见端口主要有以下几种：

（1） FTP：定义了文件传输协议，使用21端口。常说某某计算机开了FTP服务便是启动了文件传输服务。下载文件，上传主页，都要用到FTP服务。

（2） Telnet：它是一种用于远程登陆的端口，用户可以以自己的身份远程连接到计算机上，通过这种端口可以提供一种基于DOS模式下的通信服务。如以前的BBS是纯字符界面的，支持BBS的服务器将23端口打开，对外提供服务。

（3） SMTP：定义了简单邮件传送协议，现在很多邮件服务器都用的是这个协议，用于发送邮件。如常见的免费邮件服务中用的就是这个邮件服务端口，所以在电子邮件设置中常看到有这么SMTP端口设置这个栏，服务器开放的是25号端口。

（4） POP3：它是和SMTP对应，POP3用于接收邮件。通常情况下，POP3协议所用的是110端口。也是说，只要你有相应的使用POP3协议的程序（例如Foxmail或Outlook），就可以不以Web方式登陆进邮箱界面，直接用邮件程序就可以收到邮件（如是163邮箱就没有必要先进入网易网站，再进入自己的邮箱来收信）。

使用UDP协议端口常见的有：

（1） HTTP：这是大家用得最多的协议，它就是常说的"超文本传输协议"。上网浏览网页时，就得在提供网页资源的计算机上打开80号端口以提供服务。常说"WWW服务"、"Web服务器"用的就是这个端口。

（2） DNS：用于域名解析服务，这种服务在Windows NT系统中用得最多的。因特网上的每一台计算机都有一个网络地址与之对应，这个地址是常说的IP地址，它以纯数字+"."的形式表示。然而这却不便记忆，于是出现了域名，访问计算机的时候只需要知道域名，域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53号端口。

（3） SNMP：简单网络管理协议，使用161号端口，是用来管理网络设备的。由于网络设备很多，无连接的服务就体现出其优势。

（4） OICQ：OICQ程序既接受服务，又提供服务，这样两个聊天的人才是平等的。OICQ用的是无连接的协议，也是说它用的是UDP协议。OICQ服务器是使用8000号端口，侦听是否有信息到来，客户端使用4000号端口，向外发送信息。如果上述两个端口正在使用（有很多人同时和几个好友聊天），就顺序往上加。

在计算机的6万多个端口，通常把端口号为1024以内的称之为常用端口，这些常用端口所对应的服务通常情况下是固定的。表1所列的都是服务器默认的端口，不允许改变，一般通信过程都主要用到这些端口。

表1

服务类型 默认端口 服务类型 默认端口

Echo 7 Daytime 13

FTP 21 Telnet 23

SMTP 25 Time 37

Whois 43 DNS 53

Gopher 70 Finger 79

WWW 80 POP3 110

NNTP 119 IRC 194

另外代理服务器常用以下端口：

（1）. HTTP协议代理服务器常用端口号：80/8080/3128/8081/9080

（2）. SOCKS代理协议服务器常用端口号：1080

（3）. FTP协议代理服务器常用端口号：21

（4）. Telnet协议代理服务器常用端口：23

三、端口在黑客中的应用

像木马之类的黑客程序，就是通过对端口的入侵来实现其目的的。在端口的利用上，黑客程序通常有两种方式，那就是"端口侦听"和"端口扫描"。

"端口侦听"与"端口扫描"是黑客攻击和防护中经常要用到的两种端口技术，在黑客攻击中利用它们可以准确地寻找攻击的目标，获取有用信息，在个人及网络防护方面通过这种端口技术的应用可以及时发现黑客的攻击及一些安全漏洞。下面首先简单介绍一下这两种端口技术的异同。

"端口侦听"是利用某种程序对目标计算机的端口进行监视，查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人有用的信息，这主要是用在黑客软件中，但对于个人来说也是非常有用的，可以用侦听程序来保护自己的计算机，在自己计算机的选定端口进行监视，这样可以发现并拦截一些黑客的攻击。也可以侦听别人计算机的指定端口，看是否空闲，以便入侵。

"端口扫描"（port scanning）是通过连接到目标系统的TCP协议或UDP协议端口，来确定什么服务正在运行，然后获取相应的用户信息。现在有许多人把"端口侦听"与"端口扫描"混为一谈，根本分不清什么样的情况下要用侦听技术，什么样的情况下要用扫描技术。不过，现在的这类软件也似乎对这两种技术有点模糊了，有的干脆把两个功能都集成在一块。

"端口侦听"与"端口扫描"有相似之处，也有区别的地方，相似的地方是都可以对目标计算机进行监视，区别的地方是"端口侦听"属于一种被动的过程，等待别人的连接的出现，通过对方的连接才能侦听到需要的信息。在个人应用中，如果在设置了当侦听到有异常连接立即向用户报告这个功能时，就可以有效地侦听黑客的连接企图，及时把驻留在本机上的木马程序清除掉。这个侦听程序一般是安装在目标计算机上。用在黑客中的"端口侦听"通常是黑客程序驻留在服务器端等待服务器端在进行正常活动时捕获黑客需要的信息，然后通过UDP协议无连接方式发出去。而"端口扫描"则是一种主动过程，它是主动对目标计算机的选定端口进行扫描，实时地发现所选定端口的所有活动（特别是对一些网上活动）。扫描程序一般是安装在客户端，但是它与服务器端的连接也主要是通过无连接方式的UDP协议连接进行。

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在侦听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。端口侦听在网络中的任何一个位置模式下都可实施进行，而黑客一般都是利用端口侦听来截取用户口令。

四、端口侦听原理

以太网（Ethernet）协议的工作方式是将要发送的数据包发往连接在一起的所有计算机。在包头中包括有应该接收数据包的计算机的正确地址，因为只有与数据包中目标地址一致的那台计算机才能接收到信息包。但是当计算机工作在侦听模式下，不管数据包中的目标物理地址是什么，计算机都将可以接收到。当同一网络中的两台计算机通信的时候，源计算机将写有目的计算机地址的数据包直接发向目的计算机，或者当网络中的一台计算机同外界的计算机通信时，源计算机将写有目的计算机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP协议层交给网络接口--数据链路层。网络接口不会识别IP地址的，在网络接口中，由IP协议层来的带有IP地址的数据包又增加了一部分以太网的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源计算机和目的计算机的物理地址，这是一个48位的地址，这个48位的地址是与IP地址相对应的。换句话说，一个IP地址也会对应一个物理地址。对于作为网关的计算机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的帧中继携带的是网关的物理地址。

以太网中填写了物理地址的帧从网络端口中（或者从网关端口中）发送出去，传送到物理的线路上。如果局域网是由一条粗同轴电缆或细同轴电缆连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台计算机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个计算机了。当数字信号到达一台计算机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP协议层软件。对于每个到达网络接口的数据帧都要进行这个过程的。但是当计算机工作在侦听模式下，所有的数据帧都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的计算机被逻辑地分为几个子网的时候，那么要是有一台计算机处于侦听模式，它可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的计算机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的计算机进入侦听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使计算机设置成侦听模式了。而在Windows 9x的系统中则不论用户是否有权限都将可以通过直接运行侦听工具就可以实现。

在端口处于侦听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在侦听的计算机对其他用户的请求响应变的很慢。同时侦听程序在运行的时候需要消耗大量的处理器时间，如果在这时就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以侦听程序很多时候就会将侦听得到的包存放在文件中等待以后分析。分析侦听到的数据包是很头疼的事情，因为网络中的数据包都非常之复杂。两台计算机之间连续发送和接收数据包，在侦听到的结果中必然会加一些别的计算机交互的数据包。侦听程序将同一TCP协议会话的包整理到一起就相当不容易，如果还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。

现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行端口侦听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的侦听到想要的信息的。

五、端口扫描原理

"端口扫描"通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。"端口扫描"行为的一个重要特征是：在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。

对于用端口扫描进行攻击的人来说，攻击者总是可以做到在获得扫描结果的同时，使自己很难被发现或者说很难被逆向跟踪。为了隐藏攻击，攻击者可以慢慢地进行扫描。除非目标系统通常闲着（这样对一个没有listen端口的数据包都会引起管理员的注意），有很大时间间隔的端口扫描是很难被识别的。隐藏源地址的方法是发送大量的欺骗性的端口扫描包（1000个），其中只有一个是从真正的源地址来的。这样，即使全部包（1000）都被察觉，被记录下来，也没有人知道哪个是真正的信源地址。能发现的仅仅是"曾经被扫描过"。也正因为这样那些黑客们才乐此不彼地继续大量使用这种端口扫描技术来达到他们获取目标计算机信息、并进行恶意攻击。

通常进行端口扫描的工具目前主要采用的是端口扫描软件，也通称之为"端口扫描器"，端口扫描可以为提供三个用途：

（1）识别目标系统上正在运行的TCP协议和UDP协议服务。

（2）识别目标系统的操作系统类型（Windows 9x, Windows NT，或UNIX，等）。

（3）识别某个应用程序或某个特定服务的版本号。

端口扫描器是一种自动检测远程或本地计算机安全性弱点的程序，通过使用扫描器你可不留痕迹的发现远程服务器的各种TCP协议端口的分配及提供的服务，还可以得知它们所使用的软件版本！这就能让间接的了解到远程计算机所存在的安全问题。

端口扫描器通过选用远程TCP/IP协议不同的端口的服务，记录目标计算机端口给予的回答的方法，可以搜集到很多关于目标计算机的各种有用信息（比如：是否有端口在侦听？是否允许匿名登陆？是否有可写的FTP目录，是否能用TELNET等。

端口扫描器并不是一个直接攻击网络漏洞的程序，它仅仅能帮助发现目标机的某些内在的弱点。一个好的扫描器还能对它得到的数据进行分析，帮助查找目标计算机的漏洞。但它不会提供一个系统的详细步骤。

端口扫描器在扫描过程中主要具有以下三个方面的能力：

（1） 发现一个计算机或网络的能力；

（2） 一旦发现一台计算机，就有发现目标计算机正在运行什么服务的能力；

（3） 通过测试目标计算机上的这些服务，发现存在的漏洞的能力。

编写扫描器程序必须要很多TCP/IP协议程序编写和C，Perl和或SHELL语言的知识。需要一些Socket编程的背景，一种在开发客户/服务应用程序的方法。

电脑突然蓝屏

蓝屏"的硬件原因及解决

"蓝屏"现象多和内存大小、CPU频率、光驱、硬盘碎片等等关系密切......在计算机的使用过程中，经常会遇到蓝屏的情况。对于初学者来讲，好象就是一场电脑灾难一样，不知所措。其实只要了解了原因之后就不用怕了。造成计算机蓝屏的原因有很多种，硬件方面的原因总体可以概括为以下几种：

一、屏幕显示系统忙，请按任意键继续……

1、虚拟内存不足造成系统多任务运算错误

虚拟内存是WINDOWS系统所特有的一种解决系统资源不足的方法，其一般要求主引导区的硬盘剩余空间是其物理内存的2-3倍。而一些发烧友为了充分利用空间，将自己的硬盘塞到满满的，忙记了WINDOWS这个苛刻的要求。结果导致虚拟内存因硬盘空间不足而出现运算错误，所以就出现蓝屏。要解决这个问题好简单，尽量不要把硬盘塞得满满的，要经常删除一些系统产生的临时文件、交换文件，从而可以释放空间。或可以手动配置虚拟内存，选择高级，把虚拟内存的默认地址，转到其他的逻辑盘下。这样就可以避免了因虚拟内存不足而引起的蓝屏。

2、CPU超频导致运算错误

超频对于发烧友来说是常事，所以由超频所引起的各种故障也就在所难免了。超频，就本身而言就是在原有的基础上完成更高的性能，但由于进行了超载运算，造成其内部运算过多，使CPU过热，从而导致系统运算错误。有些CPU的超频性能比较好，如INTEL的赛扬处理器和AMD-K6-2处理器还算较好的，但有时也会出现一些莫名其妙的错误。（例如：我曾试过将INTEL赛扬300A，在超频到450时，软驱在没有接受命令时，进行读盘操作）。INTEL的低于200的CPU以及AMD-K5的超频能力就不是那么好。建议高档的CPU要超频时，那么散热工作一定要做好，最好装一个大的风扇，再加上一些硅胶之类的散热材料。至于一些低档的CPU我建议你就最好不要超频了，免得超频达不到预想的效果反而经常出现蓝屏影响计算机的正常速度。

二、内存条的互不兼容或损坏引起运算错误

这时个最直观的现象，因为这个现象往往在一开机的时候就可以见到，根本启动不了计算机，画面提示出内存有问题，问你是否要继续。造成这种错误是物理上的损坏内存或者内存与其它硬件不兼容所致。这时候只有换过另外的内存了。

三、光驱在读盘时被非正常打开所至

这个现象是在光驱正在读取数据时，由于被误操作打开而导致出现蓝屏。这个问题不影响系统正常动作，只要再弹入光盘或按ESC键就可以。

以上是我在维护计算机中碰到导致蓝屏的几种原因，或许还会有其他一些莫名其妙的问题导致计算机出现蓝屏。不管怎样，遇到这类问题后，应先仔细分析问题发生的原因，然后再着手解决。

四、硬件剩余空间太小或碎片太多

由于Win9X运行时需要用硬盘作虚拟内存，这就要求硬盘必须保留一定的自由空间以保证程序的正常运行。一般而言，最低应保证100MB以上的空间，否则出现“蓝屏”很可能与硬盘剩余空间太小有关。另外，硬盘的碎片太多，也容易导致“蓝屏”的出现。因此，每隔一段时间进行一次碎片整理是必要的。

五、系统硬件冲突

这种现象导致“蓝屏”也比较常见。实践中经常遇到的是声卡或显示卡的设置冲突。在“控制面板”→“系统”→“设备管理”中检查是否存在带有黄色问号或感叹号的设备，如存在可试着先将其删除，并重新启动电脑，由Win9X自动调整，一般可以解决问题。若还不行，可手工进行调整或升级相应的驱动程序。

"蓝屏"的软件原因及解决

与硬件密切联系的是软件，有时软件在"蓝屏"现象中也"功不可没"，加载了过多的程序、注册表有问题、软硬不兼容、驱动程序有问题，相对于硬件原因来说要不易察觉些，可要多加注意.........

一、启动时加载程序过多

不要在启动时加载过多的应用程序（尤其是你的内存小于64MB），以免使系统资源消耗殆尽。正常情况下，Win9X启动后系统资源应不低于90%。最好维持在90%以上，若启动后未运行任何程序就低于70%，就需要卸掉一部分应用程序，否则就可能出现“蓝屏”。

二、应用程序存在着BUG

有些应用程序设计上存在着缺陷或错误，运行时有可能与Win9X发生冲突或争夺资源，造成Win9X无法为其分配内存地址或遇到其保护性错误。这种BUG可能是无法预知的，免费软件最为常见。另外，由于一些用户还在使用盗版软件（包括盗版Win9X），这些盗版软件在解密过程中会破坏和丢失部分源代码，使软件十分不稳定，不可靠，也常常导致“蓝屏”。

三、遭到不明的程序或病毒攻击所至

这个现象只要是平时我们在上网的时候遇到的，当我们在冲浪的时候，特别是进到一些BBS站时，可能暴露了自己的IP，被"黑客"用一些软件攻击所至。对互这种情况最好就是在自己的计算机上安装一些防御软件。再有就是登录BBS要进行安全设置，隐藏自己IP。

四、版本冲突

有些应用程序需调用特定版本的动态链接库DLL，如果在安装软件时，旧版本的DLL覆盖了新版本的DLL，或者删除应用程序时，误删了有用的DLL文件，就可能使上述调用失败，从而出现“蓝屏”。不妨重新安装试一试。

五、注册表中存在错误或损坏

很多情况下这是出现“蓝屏”的主要原因。注册表保存着Win9X的硬件配置、应用程序设置和用户资料等重要数据，如果注册表出现错误或被损坏，就很可能出现“蓝屏”。如果你的电脑经常出现“蓝屏”，你首先就应考虑是注册表出现了问题，应及时对其检测、修复，避免更大的损失。

六、软硬件不兼容

新技术、新硬件的发展很快，如果安装了新的硬件常常出现“蓝屏”，那多半与主板的BIOS或驱动程序太旧有关，以致不能很好支持硬件。如果你的主板支持BIOS升级，应尽快升级到最新版本或安装最新的设备驱动程序。

Windows 2000"蓝屏"分析与解决篇

Win2000也许可以说得上是一个划时代的操作系统，但是它仍然不能够避免蓝屏死机（Blue Screen of Death）问题，Win2000的"蓝屏"(BSOD)和NT4以前的"蓝屏"消息是完全不同的。最大的不同就是NT中的BSOD只包含一个通用的停止消息类型(就是实际的出错代码), 但是Win2000的BSOD包含有两种消息类型：停止消息和硬件消息。停止消息是指，当win2000的内核发现一个它不能够恢复的软件错误时候产生的错误消息，它分为：常规停止消息、安装停止消息、可执行程序安装停止消息、软件陷阱停止消息四种类型......针对Windows2000的蓝屏，在上述概括的现象与对策基础上，我们分两方面来分析：

Windows 2000中蓝屏死机之停止信息分析

简介：什么是蓝屏死机（BSOD）问题？

BSOD就是显示在蓝色屏幕背景下的出错信息。一般这种出错信息严重到你的整个操作系统当机，你只有重新冷启动的选择。

刨析BSOD

BSOD可以分成独立的几部分，每部分包含有有价值的错误处理信息。这几部分包括：

1、bug检查部分：这是BSOD中包含实际出错消息的位置。在这部分中，你应该注意的是出错代码（就是在单词“Stop”后面的十六进制数字）和错误符号（就是紧跟在出错代码后的单词）

2、推荐用户采取行动部分：这部分经常包含一些一般的指导你如何纠正错误的步骤的消息。

3、调试端口信息部分：这部分包含有你应该如何设置你的内核调试器的信息。内核调试器是让你可以通过手工连接到计算机并对进程进行调试的工具。

下面是一个具体的BSOD例子：

*** Stop: 0x0000001E (0xF24A447A, 0X00000001, 0X0000000)

KMODE_EXCEPTION_NOT_HANDLED

*** Address F24A447A base at f24A0000, DateStamp 35825ef8d - wdmaud.sys

If this is the first time you've seen this Stop error screen, restart your computer.

If this screen appears again, follow these steps:

Check to be sure you have adequate disk space. If a driver is identified in the

Stop message, disable the driver or check with the manufacturer for driver updates.

Try changing video adapters.

Check with your hardware vendor for any BIOS updates. Disable BIOS memory options

such as caching or shadowing. If you need to use Safe Mode to remove or disable

components, restart your computer, press F8 to select Advanced Startup Options,

and then select Safe Mode.

Refer to your Getting Started manual for more information on troubleshooting Stop errors.

Kernel Debugger Using: COM2 (Port 0x2f8, Baud Rate 19200)

Beginning dump of physical memory

Physical memory dump complete. Contact your system administrator or technical support group.

根据这个具体的例子，按照上面刨析的BSOD四个部分，下面一一介绍：

bug检查部分：

这是BSOD中包含实际出错消息的位置。它看上去就是下面的代码：

*** Stop: 0x0000001E (0xF24A447A, 0X00000001, 0X0000000)

KMODE_EXCEPTION_NOT_HANDLED *** Address F24A447A base at f24A0000, DateStamp 35825ef8d - wdmaud.sys

其中错误代码是一个紧跟在Stop后面的十六进制数，在这里面它由其它四个数字组成。

而错误符号是指紧随其后的KMODE_EXCEPTION_NOT_HANDLED.

在一些BSOD出错信息中，一个内存位置和文件名出现在错误符号的后面。这个信息告诉了当错误发生的时候在内存中的位置和哪个文件导致了错误的发生。当然你是否能够看到该信息是由哪种停止消息类型来决定的。在一些实际运用中，你只能够看到上面的第一行。而这里通常是表示由显示服务中导致的问题。 推荐用户采取行动部分：

在上面的例子中推荐用户采取行动部分如下：

If this is the first time you've seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to be sure you have adequate disk space. If a driver is identified in the Stop message, disable the driver or check with the manufacturer for driver updates. Try changing video adapters.

Check with your hardware vendor for any BIOS updates. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

Refer to your Getting Started manual for more information on troubleshooting Stop errors.

推荐用户采取行动部分通常是推荐用户在遇到了出错信息后应该采取的解决步骤。在消息中可以看到，解决一个BSOD也许只要重新启动或则整理出足够大的剩余空间就能够解决了。尽管这样的方法偶尔会起到作用，但是实际上要解决BSOD经常要远远复杂得多。

调试端口信息部分：

这部分包含有你应该如何设置你的内核调试器的信息。我会在以后的网站里面详细介绍什么是2000的内核调试器。在上面的例子中，这部分内容是：

Kernel Debugger Using: COM2 (Port 0x2f8, Baud Rate 19200)

Beginning dump of physical memory Physical memory dump complete. Contact your system administrator or technical support group.

停止信息的四种类型

当程序或则驱动程序发生了一个不能够控制的错误消息或则试图执行一个非法指令时，系统就会发生停止出错信息。而这种信息通常由四种类型组成。

1、常规停止消息：在正常的使用win2000时发生的停止消息

常规停止消息通常是最难解决的出错信息，因为有可能有无数的原因能够导致错误的发生。

2、安装停止消息：在安装win2000过程中的停止消息，通常由你的系统中存在和2000不兼容的硬件设备引起的。

解决办法是你查看系统中的硬件设备，找到没有列出在2000兼容列表中的设备。然后和你的硬件设备厂商联系看他们是否能够给你提供该设备的驱动程序。如果他们不能，那你只好从你的系统中删除该设备，并用其它的可以兼容的设备替换掉。

如果你的所有硬件都是兼容的，你也许是存在有两个互相冲突的硬件设备。要解决这个问题，先移走任何不是必要的硬件设备，然后重新装载2000，一旦2000装载成功后，把所有移走的设备全部重新加入到系统中。这样做，通常能够解决这个问题，至少能够告诉你哪些硬件是有冲突的。

3、可执行程序安装停止消息：表示发生在2000安装过程中第4个阶段（执行程序部分）的停止消息。

安装2000在可执行程序的安装过程中有两个阶段。第一个阶段是禁止硬件中断同时装载一些基本的组件，例如硬件提取层。第二个阶段是初始化你系统中所有的硬件。如果你在安装程序到了这个阶段的时候收到了停止消息错误。需要再次运行诊断程序，来判断你的硬件是否都工作正常。然后重新安装2000。如果你仍然遇到这个出错消息，那么就需要和微软技术支持部打交道了。

4、软件陷阱停止消息：由于软件中的错误陷阱并且当程序试图执行一个非法指令的时候发生的停止消息。

由于软件中的错误陷阱并且当程序试图执行一个非法指令的时候发生的停止消息。例如，程序试图向一个本来是保存数字的变量写字符串的时候，这个错误就有可能发生。如果你遇到了这种类型的错误，需要记下出错信息，是什么软件导致了错误，一般这些软件都有新的版本来纠正这些错误的。

当你遇到了停止消息时候可能需要的解决问题的步骤：

首先判断你最近是不是在系统中有任何的变动。如果你有，那么这些变动经常是问题产生的根源。试图删除或者移走新的硬件或软件，看是否能够解决问题。检查系统中的硬件，最好如果有硬件检测程序的话，可以运行该程序进行检测，同时重新插放你的内存卡和扩展卡。

如果你的停止信息是发生在启动中或刚启动的过程中，那么这有可能是你的某个服务或则设备驱动程序中的问题。可以尝试将机器启动到安全模式。如果你的2000系统能够启动成功安全模式，那么表示你的猜测是正确的。

同时要确保你的防病毒程序是设计成和win2000兼容的，并且随时保持更新。如果错误仍然发生，那么进入你的CMOS设置，禁止掉BIOS中的象缓存或则shadow之类的选项，然后重新启动。

Windows 2000蓝屏死机之STOP对"症"下药

从理论上讲，纯32位的Windows 2000是不会出现死机的，但是这仅仅是理论上。病毒或硬件和硬件驱动程序不匹配等原因将造成Windows2000的崩溃，当Windows 2000出现死机时，显示器屏幕将变为蓝色，然后出现STOP故障提示信息。下面我们分别介绍通用的STOP故障处理方法和特殊的STOP故障排除。

通用STOP故障处理

1.首先使用新版杀毒软件检查计算机上是否有病毒。

2.如果Windows 2000可以启动，请检查“事件查看器”中的信息，以确定导致故障的设备或驱动程序。启动“事件查看器”的方法是：“开始”\“设置”\“控制面板”\“管理工具”\“事件查看器”\“系统日志”。

3.如果不能启动计算机，试着用“安全模式”或“最后一次正确的配置”启动计算机，然后删除或禁用新安装的附加程序或驱动程序。如果用“安全模式”启动不了计算机，可使用修复控制台。修复控制台可以禁用一些服务、重新命名设备驱动程序、检修引导扇区或主引导记录。

4.拆下新安装的硬件设备（RAM、适配卡、硬盘、调制解调器等等）。

5.确保已经更新了硬件设备的驱动程序，以及系统有最新的BIOS。

6.运行由计算机制造商提供的系统诊断工具，尤其是内存检查。

7.检查Microsoft兼容硬件列表（HCL），确保所有的硬件和驱动程序都与Windows2000兼容。Hcl.txt在Windows 2000 CD-ROM的\Support文件夹中。

8.在BIOS中禁用内存缓存功能。

9.重新启动计算机，在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。(注:使用“最后一次正确的配置”的方式启动计算机，计算机的所有设置被重置为最后一次成功启动时的配置。)

10.如果能够访问Web，请进入，单击“Support”/“Search Knowledge Base”，在“Type your keywords here”处，输入“stop”和相应的号码（如出现STOP消息“stop:0x0000000A”，可在此输入“stop0x0000000A”），按Enter键，就可以找出所出现的STOP问题的解决方法。（E文）

部分STOP代码

STOP消息 0x0000000A故障(刚加入新设备时)

通常原因 驱动程序使用了不正常的内存地址。

1.在安装过程中，屏幕上提示“安装程序正在检查计算机硬件配置”时，按F5,根据提示选择合适的计算机类型。例如，如果计算机是单处理器，请选择“标准PC”。

2.在BIOS中禁用内存缓存功能。

3.拆下所有适配卡，并断开所有不是启动计算机所必需的硬件设备，再重新安装Windows2000。

4.如果系统配有SCSI适配卡，请向适配卡销售商索取最新的Windows2000驱动程序，禁用同步协商功能，检查终结头和设备的SCSI ID号。

5.如果系统配有IDE设备，设IDE端口为Primary。检查IDE设备的Master/Slave/Only设置。除了硬盘，拆下其它所有的IDE设备。

6.运行由计算机制造商提供的系统诊断工具，尤其是内存检查。

7.检查Microsoft兼容硬件列表（HCL），确保所有的硬件和驱动程序都与Windows2000兼容。

8.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

STOP消息 0x0000001E故障

1.检查是否有充分的磁盘空间，尤其是新安装。

2.禁用STOP消息中显示的驱动程序和所有新安装的驱动程序。

3.如果所使用的视频驱动程序不是Microsoft提供的，试着切换到标准VGA驱动程序或者由Win2000支持的合适的驱动程序。

4.确保系统有最新的BIOS。

5.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

STOP消息 0x00000023和0x00000024故障

通常原因 严重的驱动器碎片、超载的文件I/O、第三方的驱动器镜像软件或者一些防病毒软件出错。

1.禁用一些防病毒软件或者备份程序，禁用所有碎片整理应用程序。

2.运行CHKDSK /f 检修硬盘驱动器，然后重新启动计算机。

3.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

STOP消息 0x0000002E故障

通常原因 系统内存中的奇偶校验错误。

1.运行由计算机制造商提供的系统诊断工具，尤其是内存检查。

2.在BIOS中禁用内存缓存功能。

3.试着用“安全模式”启动。如果“安全模式”可启动计算机，试着更改为标准VGA驱动程序。如果这不能解决问题，可能须要用另外的视频适配卡。“兼容硬件列表”中列出了兼容的视频适配卡。

4.确保已经更新了硬件设备的驱动程序，以及系统有最新的BIOS。

5.拆下一些新安装的硬件（RAM、适配器、硬盘、调制解调器等等）。

6.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

STOP消息 0x0000003F故障

通常原因 驱动程序没有被完全清除。

删除一些新安装的软件，包括备份工具或磁盘工具，例如碎片整理和防病毒软件。

STOP消息 0x00000058故障

通常原因 在容错集的主驱动器中发生错误。

1.用Windows 2000引导软盘，从镜像（第二个）系统驱动器启动计算机。

2.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

STOP消息 0x0000007B故障

通常原因 在I/O系统的初始化过程中出现问题（通常是引导驱动器或文件系统）。

1.检查计算机上是否有病毒。这个STOP消息通常在引导扇区有病毒时出现。

2.使用“修复控制台”来修复驱动器。

3.拆下新安装的硬盘驱动器或控制卡。

4.如果系统配有SCSI适配卡，请向适配卡销售商索取最新的Windows2000驱动程序，禁用同步协商功能，检查终结头和设备的SCSI ID号。

5.如果系统配有IDE设备，设IDE端口为Primary。检查IDE设备的Master/Slave/Only设置。除了硬盘，拆下其它所有的IDE设备。

6.运行CHKDSK。如果Windows 2000不能启动CHKDSK，则必须把硬盘拆下并连接到另一个Windows2000系统上，然后用CHKDSK命令检查该硬盘。

7.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

STOP消息 0x0000007F故障

通常原因 硬件或软件问题;常见的原因是硬件失效。

1.运行由计算机制造商提供的系统诊断工具，尤其是内存检查。这个STOP消息经常出现在错误或误配内存的情况下。

2.在BIOS中禁用内存缓存功能。

3.试着拆下或替换硬件:RAM、控制器、适配器、调制解调器和其它外围设备。

4.检查Microsoft兼容硬件列表（HCL），确保所有的硬件和驱动程序都与Windows2000兼容。这个问题可能是由于不兼容的主板引起的。

5.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

解决蓝屏之工具篇:

"两手抓，两手都要硬"，针对 "蓝屏"现象除了在硬件方面改善你的系统硬件环境外，"软环境"的建设也不可忽视，就我们所知道的一些工具介绍给你，当然，可能还有更多的好工具，不妨平时多留意！

RAM Idle--让蓝屏消失

不管是曾经远去的DOS时代，还是如日中天的Windows时代，作为系统资源中最重要的一项——内存资源，一直都是电脑爱好者们最为头疼的事情。虽然现在主板上的内存插槽越来越多，内存的价钱也越来越低，但无论怎样，还是有很多朋友的内存资源时常不够用，以至于系统性能无法正常发挥。究其原因，主要是由于Windows操作系统不能有效地对内存资源进行管理，导致大量内存资源被白白占用，从而使系统性能大幅度降低，造成程序锁死、系统挂起等烦人的问题。因此，不少专门用来对内存资源进行管理的工具软件也就应运而生，而今天要介绍的RAM Idle则是这类软件中的佼佼者。

一、安装

首先用Winzip等软件将下载得到的压缩包解压，然后点击Setup.exe文件，在弹出的对话框中选择【是】即可开始安装RAM Idle（如图1）。和大多数Windows应用程序一样，RAM Idle的安装过程很简单，只需要一路点击【Next】即可完成。

二、 使用

RAM Idle的主要功能是在系统空闲的时候按照用户设置自动释放回收一定数量的内存，从而避免因Windows系统不足而造成的内存资源枯竭问题，并大幅提高系统性能与稳定性。

俗话说：工欲善其事，必先利其器，使用RAM Idle也是一样，只有设置合理，它才能更好的对内存资源进行管理。下面就请大家点击【开始】－【程序】－【RAM Idle】－【Configuration】打开RAM Idle设置界面（如图2）和我一起认识下RAM Idle的设置选项

1. 【Main】选项卡：为软件的主要设置部分，包括以下几个内容：

·Target Free RAM：设置到达最小剩余内存时，RAM Idle所要尝试恢复的内存数量。

·Minimum Free RAM：设置最小剩余内存数量，当达到这个数值的时候，RAM Idle将会自动恢复内存资源。

·Disable the CPU usage detection：选中此项后，RAM Idle恢复内存的时候将不再检测CPU占用率，不过只是在你的CPU占用率总是显示100％的时候才需要选中。一般情况下我们不用选中该项，【Recover RAM if only……】中可以设置恢复内存时的最高CPU占用率，也就是说只有CPU占用率低于设定数值时，RAM Idle才可以恢复内存，否则，不予恢复。

·Free up……if free RAM below 50%：设置剩余内存少于总内存50%的时候，每隔多少时间恢复多少数量的内存。

·Pop up menu free……：设置弹出菜单中手动恢复内存部分的三个恢复数值。

2. 【Options】选项卡：主要包括总在最前面、随Windows启动而启动、隐藏系统托盘图标等一些常规设置。

3. 【Gator】选项卡：一个填表软件的简要介绍和下载链接。

4. 【About】选项卡：显示当前系统的内存资源信息（如图3）

RAM Idle释放内存共有两种方法，一种是当剩余内存少于总内存50%的时候，按照设置每隔一段时间自动释放一定数量的内存（设置方法见上）；一种是在系统托盘的RAM Idle图标上点击鼠标右键，使用弹出菜单（如图4）中的三个选项快速手动释放一定数量的内存（设置方法见上）。

三、 小结

与同类软件相比，RAM Idle基本综合了该类软件的所有精华，具有无可比拟的强大内存管理能力。首先RAM Idle可以自动释放内存资源，并且优化时间快，效率高。其次RAM Idle设置方便，功能齐备，并且占用系统资源少，可在系统较为空闲的时候运行。另外，该软件还具有多种方便且实用的小功能，如重新启动，关机，挂起等。

虽然MemMAX、FREERAM、RAMFIX等软件也各有特色，但由于这样或者那样的缺点，比如不能自动优化、占用系统资源太高、优化效率低下、使用繁琐等，使得它们很难超越RAM Idle。

如果你正在为你的内存资源的管理而发愁的话，那么我建议你一定要试试RAM Idle，以它的实力相信一定不会让你失望！

打赢一场蓝屏歼灭战

蓝屏到底是怎么产生的呢？我们可以从软、硬两方面来解释蓝屏现象产生的原因。从硬件方面来说，超频过度是导致蓝屏的一个主

电脑蓝屏要怎么解决？错误代码0X000000A

原因有好多的，也许是你下载什么东西中病毒了．你的电脑是不是一上网页就会出现这种情况呢?

我们可以从软、硬两方面来解释蓝屏现象产生的原因。从硬件方面来说，超频过度是导致蓝屏的一个主要原因。过度超频，由于进行了超载运算，造成内部运算过多，使CPU过热，从而导致系统运算错误。如果既想超频，又不想出现蓝屏，只有做好散热措施了，换个强力风扇，再加上一些硅胶之类的散热材料会好许多。另外，适量超频或干脆不超频也是解决的办法之一。要稳定还是要更高的速度就看你自己的抉择了。

如果内存条发生物理损坏或者内存与其它硬件不兼容，也会产生蓝屏。此时的解决办法只有换内存这一个方法了。

如果你留意过，你会发现光驱在读盘时被非正常打开也会导致蓝屏。这个问题不影响系统正常动作，只要再弹入光盘或按ESC键就可以。

由于硬件产生蓝屏的另外一个常见原因是系统硬件冲突所致。实践中经常遇到的是声卡或显示卡的设置冲突。在“控制面板”→“系统”→“设备管理”中检查是否存在带有黄色问号或感叹号的设备，如存在可试着先将其删除，并重新启动电脑，由Windows自动调整，一般可以解决问题。若还不行，可手工进行调整或升级相应的驱动程序。

劣质零部件是电脑出现蓝屏现象的另外一个罪魁祸首。少数不法商人在给顾客组装兼容机时，使用质量低劣的主板、内存，有的甚至出售冒牌主板和旧的CPU、内存，这样就会使机器在运行时很不稳定，发生死机也就在所难免。因此，用户购机时应该有这方面的戒心，可请比较熟悉的朋友帮助挑选，并可以用一些较新的工具软件测试电脑，长时间连续考机(如72小时)，以及争取尽量长的保修时间等。

从软件方面看，遭到病毒或黑客攻击、注册表中存在错误或损坏、启动时加载程序过多、版本冲突、虚拟内存不足造成系统多任务运算错误、动态链接库文件丢失、过多的字体文件、加载的计划任务过多、系统资源产生冲突或资源耗尽都会产生蓝屏。另外，产生软硬件冲突也很容易出现蓝屏。明白了蓝屏出现的“软”原因，就可对症下药了。

一、先来看看消灭蓝屏的怪招。

Windows出错时会出现蓝屏，大家对此可能都已经习以为常了，但可不可以不是“蓝”屏，比方说换为“红”屏、“绿”屏可以不？当然可以！方法如下：

1.首先要出现蓝屏错误画面：你只要从A盘或光驱复制一个文件到你的硬盘上（注意这个文件不能太小），在复制过程中将软盘或光盘取出来，Windows马上就会变脸——蓝屏立即就会出现，这时按Esc回到Windows状态。

2.点击“开始”→“运行”，在弹出的对话框中输入msconfig.exe，回车，就会调出系统配置实用程序。现在，点击其中的“System.ini”标签。

3.找到[386Enh]项，点击“新建”，在其下新增一字串“MessageBackColor=”（注意输入时没有引号），等号后面是16进制数字0～F，可以随意填，它是用来表示错误画面的背景颜色。

4.同样的方法，在[386Enh]下再新增一字串“MessageTextColor=”（注意输入时没有引号），等号后面是16进制数字0～F，可以随意填，它是用来表示错误画面的文字颜色。

5.现在，重新启动电脑，来做个试验看成功没有：重复步骤1，看看是不是已经告别蓝屏了？大功告成！

说明：本方法并没有真正改变脆弱地Windows的稳定性，只是通过我们的劳动，改变了Windows出错时画面的背景颜色和文字颜色。从这个角度来说，这也算是一种DIY行为哦。

二、及时关闭暂时不用的程序

一些程序即使过后要用，也可先关闭以节省资源。如果您想知道某程序的资源占用情况，可利用Windows中的“资源状况” 进行查看。把在打开程序和关闭程序时的资源占用情况进行对比，就可了解该程序的资源占用状况。方法：打开“开始”菜单中的“程序→附件→系统工具→资源状况”，就会在系统托盘区出现资源状况图标。右键单击该图标，选择“详细资料”一栏，就能看到系统当前各项资源的占用情况。

三、设置在同一窗口浏览文件夹

在Win98中，系统默认设置已经是使用同一窗口进行文件夹浏览，一般不需再另行设置。而在Win95及Win97中，系统默认设置不是使用同一窗口进行文件夹浏览，需要用户自行设定。如需进行设置，打开“我的电脑”，选择“查看”菜单中的“选项”一栏鼠标左键单击，在出现的“选项”界面中选取“文件夹”标签页，选中“对每个文件夹使用同一窗口进行浏览”一项即可。

四、尽量减少系统启动时的自加载程序

自加载程序多了，既影响系统启动速度，又占用各项资源。要取消自加载程序，可采取以下方法：

1.查看启动硬盘根目录下的autoexec.bat文件，找到诸如“run=xxx程序”的语句，将它删除。

2.查看“开始”下“程序”中的“启动”项，在弹出的启动程序列表菜单中鼠标右键单击需删除的程序名，再在弹出的快捷菜单中点“删除”。

3.修改“注册表”。在“开始”菜单的“运行”栏中输入regedit，再按以下路径

HKEY＿LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServices，查找到需取消的加载程序，然后将其对应键值删除即可。

4.在“开始”菜单下的“运行”中输入msconfig，按“确定”按钮，再在出现的“系统配置实用程序”界面中按“启动”标签，对无需加载的程序将其前面的“√”取消，如QQ和病毒防火墙等完全可以在需要时再运行的程序，按“应用”或“确定”按钮，然后重新启动计算机即可。

五、去掉“墙纸”、“屏幕保护”等花哨的设置。

这些设置占用系统资源不说，还严重影响Windows的启动速度。去掉它们的方法是：在桌面空白处点击鼠标右键，在弹出的菜单中选择“属性”，在弹出的对话框中分别选择“背景”和“屏幕保护程序”标签，将“墙纸”和“屏幕保护程序”设置为“无”即可。

六、减少不必要的字体文件

字体文件占用系统资源多，引导时很慢，并且占用硬盘空间也不少。因此尽量减少不必要的字体文件。但如果删错了字体文件，搞不好会使Windows不正常。因此可以采用下面这个“偷梁换柱”的方法（可以实现字体文件的安装，而不占用大量的磁盘空间）：首先打开字库文件夹（如F:\zk），选中全部TrueType字体文件，用鼠标的右键将它们拖动到C:\Windows\Fonts文件夹中，在弹出的菜单中选择“在当前位置创建快捷方式”，这样就可以在系统的字体文件夹下建立字库文件的快捷方式了。当需要使用这些字库文件时，只要插入字库光盘，不用时取出就可以了。

七、删去多余的Dll文件

在Windows操作系统的System子目录里有许多的Dll文件，这些文件可能被许多文件共享，但有的却没有没有一个文件要使用它，也就是说这些文件没用了，为了不占用硬盘空间和提高启动运行速度，完全可以将其删除。但为防止误删除文件，特别是比较重要的核心链接文件，我们可用工具软件如“超级兔子”对无用的DLL文件进行删除，这样可防止误删除文件。

八、整理、优化注册表

Windows在开机启动后，系统要读取注册表里的相关资料并暂存于RAM（内存）中，Windows开机的大部分时间，都花费了在这上面。不仅如此，庞大的注册表还影响系统的稳定。因此，整理、优化注册表显得十分必要。有关注册表的优化，可以使用Windows优化大师等软件。以Windows优化大师，点击“注册信息清理”→“扫描”，软件就会自动替你清扫注册表中的垃圾，在扫描结束后，会弹出个菜单让你选择是否备份注册表，建议选择备份，备份后再点击“清除”即可。

九、经常维护系统

如果在系统中安装了太多的游戏、太多的应用软件、太多的旧资料，会让你的电脑运行速度越来越慢，系统资源会越来越少。因此，最好每隔一段时间，对电脑做一次全面的维护。点击“开始”→“程序”→“附件”→“系统工具”→“维护向导”，然后点击“确定”按钮即可对电脑进行一次全面的维护，这样会使你的电脑保持在最佳状态。对于硬盘最好能每隔2个星期就做一次“磁盘碎片整理”，那样会明显加快程序启动速度的，点击“系统工具”→“磁盘碎片整理程序”即可。注意在整理磁盘碎片时系统所在的盘一定要整理，这样才能真正加快Windows的启动顺序。

十、扩大虚拟内存容量

如果你的硬盘够大，那就请你打开”控制面板“中的“系统”，在“性能”选项中打开“虚拟内存”，选择“用户自己指定虚拟内存设置”，指向一个较少用的硬盘，并把最大值和最小值都设定为一个固定值，大小为物理内存的两倍左右。这样，虚拟存储器在使用硬盘时，就不用迁就其忽大忽小的差别，而将固定的空间作为虚拟内存，加快存取速度。虚拟内存的设置最好在“磁盘碎片整理”之后进行，这样虚拟内存就分不在一个连续的、无碎片文件的空间上，可以更好的发挥作用。

十一、减少桌面上快捷方式图标以及定期、不定期清理开始菜单

快捷方式图标和开始菜单中项目是消耗GDI资源以及USER资源的大户，尽量减少桌面快捷方式图标和保持一个整洁有序简明的开始菜单是节约资源的又一重要方法。要做到对不用的桌面快捷方式图标进行删除；桌面快捷方式图标与开始菜单下程序子菜单中重复的项目根据操作习惯选取一个即可，另一个可删除；把同类型程序组织到一个文件夹中，减小开始菜单体积。例如可将所有Office组件组织到一个文件夹Office中，将Internet Explorer、 Internet News、Outlook Express、Microsoft Netmeeting 等组织到Internet文件夹。

十二、去掉“计划任务”的运行。一般情况下我们不会用到它，而它所能执行的维护任务，大多都能用手动的方法进行运行。如果去掉“计划任务”的运行，至少能节约2%的系统资源。 方法是：在计划任务的图标上双击，在弹出的窗口中选“高级”菜单，从中找到 “终止执行计划任务”单击之。

十三、在Windows的图形环境下，没有必要加载声卡的MS-DOS驱动程序。

十四、注意运行的软件版本，在安装高版本软件前请将低版本软件卸载干净，然后再安装。另外，有些应用程序需调用特定版本的动态链接库DLL，如果在安装软件时，旧版本的DLL覆盖了新版本的DLL，或者删除应用程序时，误删了有用的DLL文件，就可能使调用失败，从而出现“蓝屏”。此时，不妨重新安装试一试。

十五、注意防范木马等黑客程序，上网时不要暴露自己的IP地址，不要得罪人，免得受到黑客的攻击；另外，及时升级自己的病毒库，定期检查系统中是否有病毒，对新下载的软件更是要全面检查，以防含有病毒或木马。

十六、如果用了各种优化方法，本机的系统资源都停留在85%以下，此时建议您重装系统，此乃一劳永逸大法也！

经过上面这番操作，我相信你的Windows出现蓝屏的概率会大大降低！还是快试试我的方法吧!

希望对你的电脑真的有效!

系统里的那些端口在哪里？

什么是端口号，一个端口就是一个潜在的通讯通道，也是一个入侵通道，开放一个端口就是一台计算机在网络上打开了一扇窗户，黑客入侵的方法就是用手工扫描或利用扫描软件找到服务器所开放的端口，去根据其相应的漏洞对服务器进行入侵或攻击，因此对端口的了解是非常重要的。

端口大概分为三类：

1：公认端口（well known ports）:从0-1023，他们是绑定于一些服务。通常这些端口的通信明确表明了某种服务的协议。比如，21端口是FTP服务所开放的。

2：注册端口（registrerd ports）:从1024-49151，他们松散的绑定于一些服务也就是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。比如，许多系统处理动态端口是从1024开始的。

3：动态或私有端口（dynamic and/or private ports）:从49512-65535，理论上不应该为服务分配这些端口。实际上，计算机通常从1024开始分配动态端口。当然也有例外的，SUN的RPC端口从32768开始。

下边附常用端口列表：

端口大全

不同的端口有不同的作用希望大家能有所收获。

0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。

7 Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDP echo：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat 这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似。再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11。

19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pron的节点。

22 ssh PcAnywhere 建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）。还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632（十六进制的0x1600）位交换后是0x0016（使进制的22）。

23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。

25 smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

53 DNS Hacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

6768 Bootp和DHCP UDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。

79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

80 HTTP服务器所用到的端口。

98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）

109 POP2 并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth 这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST，着将回停止这一缓慢的连接。

119 NNTP news 新闻组传输协议，承载USENET通讯。当你链接到诸如：news://news.hackervip.com/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运行Exchange Server吗？是什么版本？这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息。

139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasic Scripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

143 IMAP 和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台， 它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。

600 Pcserver backdoor 请查看1524端口。

一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口。

1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。

1025，1026 参见1024

1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

1243 Sub-7木马（TCP）

1433 MSSQL数据库服务端口

1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口（尤其是那些针对Sun系统中sendmail和RPC服务漏洞的脚本，如statd, ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS运行于这个端口，Hacker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：8000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。

3306 MYsql数据库服务端口

5632 pcAnywere 你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）

6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。

13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载：

机器会不断试图解析DNS名—ads.conducent.com，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）

27374 Sub-7木马(TCP)

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT, Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。