第一部分总则
第一章电脑维修的基本原则和方法
第二章电脑维修步骤与维修操作注意事项
第二部分常见故障判断
第一章加电类故障
第二章启动与关闭类故障
第三章磁盘类故障
第四章显示类故障
第五章安装类故障
第六章操作与应用类故障
第七章局域网类故障
第八章 Internet类故障
第九章端口与外设故障
第十章音视频类故障
第十一章兼容类故障
第三部分附录
硬盘基本知识
挽救硬盘的几个方法
硬盘逻辑锁巧解
WINDOWS蓝色当机画面解读
实用的端口大全(中文版)
第一部分---总则
第一章 电脑维修的基本原则和方法
这里所述原则、方法等是第二部分分类判断的基础,需要认真遵守执行。
§1.1 进行电脑维修应遵循的基本原则:
一、 进行维修判断须从最简单的事情做起
简单的事情,一方面指观察,另一方面是指简捷的环境。
简单的事情就是观察,它包括:
1、 电脑周围的环境情况——位置、电源、连接、其它设备、温度与湿度等;
2、 电脑所表现的现象、显示的内容,及它们与正常情况下的异同;
3、 电脑内部的环境情况——灰尘、连接、器件的颜色、配件的形状、指示灯的状态等;
4、 电脑的软硬件配置——安装了何种硬件,资源的使用情况;使用的是使种操作系统,其上又安装了何种应用软件;硬件的设置驱动程序版本等。
简捷的环境包括:
1、 后续将提到的最小系统;
2、 在判断的环境中,仅包括基本的运行配件/软件,和被怀疑有故障的配件/软件;
3、 在一个干净的系统中,添加用户的应用(硬件、软件)来进行分析判断
从简单的事情做起,有利于精力的集中,有利于进行故障的判断与定位。一定要注意,必须通过认真的观察后,才可进行判断与维修。
二、 根据观察到的现象,要“先想后做”
先想后做,包括以下几个方面:
首先是,先想好怎样做、从何处入手,再实际动手。也可以说是先分析判断,再进行维修。
其次是,对于所观察到的现象,尽可能地先查阅相关的资料,看有无相应的技术要求、使用特点等,然后根据查阅到的资料,结合下面要谈到的内容,再着手维修。
最后是,在分析判断的过程中,要根据自身已有的知识、经验来进行判断,对于自己不太了解或根本不了解的,一定要先向有经验的同事或你的技术支持工程师咨询,寻求帮助。
三、 在大多数的电脑维修判断中,必须“先软后硬:
即从整个维修判断的过程看,总是先判断是否为软件故障,先检查软件问题,当可判软件环境是正常时,如果故障不能消失,再从硬件方面着手检查。
四、 在维修过程中要分清主次,即“抓主要矛盾“
在复现故障现象时,有时可能会看到一台故障机不止有一个故障现象,而是有两个或两个以上的故障现象(如:启动过程中无显,但机器也在启动,同时启动完后,有死机的现象等),为时,应该先判断、维修主要的故障现象,当修复后,再维修次要故障现象,有时可能次要故障现象已不需要维修了。
§1.2 电脑维修的基本方法
一、观察法
观察,是维修判断过程中第一要法,它贯穿于整个维修过程中。观察不仅要认真,而且要全面。要观察的内容包括:
1、 周围的环境;
2、 硬件环境。包括接插头、座和槽等;
3、 软件环境;
4、 用户操作的习惯、过程
二、最小系统法
最小系统是指,从维修判断的角度能使电脑开机或运行的最基本的硬件和软件环境。最小系统有两种形式:
硬件最小系统:由电源、主板和CPU组成。在这个系统中,没有任何信号线的连接,只有电源到主板的电源连接。在判断过程中是通过声音来判断这一核心组成部分是否可正常工作;
软件最小系统:由电源、主板、CPU、内存、显示卡/显示器、键盘和硬盘组成。这个最小系统主要用来判断系统是否可完成正常的启动与运行。
对于软件最小环境,就“软件”有以下几点要说明:
1、 硬盘中的软件环境,保留着原先的软件环境,只是在分析判断时,根据需要进行隔离如卸载、屏蔽等)。保留原有的软件环境,主要是用来分析判断应用软件方面的问题
2、 硬盘中的软件环境,只有一个基本的操作系统环境(可能是卸载掉所有应用,或是重新安装一个干净的操作系统),然后根据分析判断的需要,加载需要的应用。需要使用一个干净的操作系统环境,是要判断系统问题、软件冲突或软、硬件间的冲突问题。
3、 在软件最小系统下,可根据需要添加或更改适当的硬件。如:在判断启动故障时,由于硬盘不能启动,想检查一下能否从其它驱动器启动。这时,可在软件最小系统下加入一个软驱或干脆用软驱替换硬盘,来检查。又如:在判断音视频方面的故障时,应需要在软件最小系统中加入声卡;在判断网络问题时,就应在软件最小系统中加入网卡等。
最小系统法,主要是要先判断在最基本的软、硬件环境中,系统是否可正常工作。如果不能正常工作,即可判定最基本的软、硬件配件有故障,从而起到故障隔离的作用。
最小系统法与逐步添加法结合,能较快速地定位发生在其它板软件的故障,提高维修效率。
三、逐步添加/去除法
逐步添加法,以最小系统为基础,每次只向系统添加一个配件/设备或软件,来检查故障现象是否消失或发生变化,以此来判断并定位故障部位。
逐步去除法,正好与逐步添加法的操作相反。
逐步添加/去除法一般要与替换法配合,才能较为准确地定位故障部位。
四、隔离法
是将可能防碍故障判断的硬件或软件屏蔽起来的一种判断方法。它也可用来将怀疑相互冲突的硬件、软件隔离开以判断故障是否发生变化的一种方法。
上提到的软硬件屏蔽,对于软件来说,即是停止其运行,或者是卸载;对于硬件来说,是在设备管理器中,禁用、卸载其驱动,或干脆将硬件从系统中去除。
五、替换法
替换法是用好的配件去代替可能有故障的配件,以判断故障现象是否消失的一种维修方法。好的配件可以是同型号的,也可能是不同型号的。替换的顺序一般为:
1、 根据故障的现象或第二部分中的故障类别,来伤心虑需要进行替换的配件或设备;
2、 按先简单后复杂的顺序进行替换。如:先内存、CPU,后主板,又如要判断打印故障时,可先伤心虑打印驱动是否有问题,再伤心虑打印电缆是否有故障,最后伤心虑打印机或并口是否有故障等;
3、 最先伤心查与怀疑有故障的配件相连接的连接线、信号线等,之后是替换怀疑有故障的配件,再后是替换供电配件,最后是与之相关的其它配件。
4、 从配件的故障率高低来伤心虑最先替换的配件。故障率高的配件先进行替换。
六、比较法
比较法与替换法类似,即用好的配件与怀疑有故障的配件进行外观、配置、运行现象等方面的比较,也可在两台电脑间进行比较,以判断故障电脑在环境设置,硬件配置方面的不同,从而找出故障部位。
七、升降温法
在上门服务过程中,升降温法由于工具的限制,其使用与维修间是不同的。在上门服务中的升温法,可在用户同意的情况下,设法降低电脑的通风能力,伤心电脑自身的发热来升温;降温的方法有:1)一般选择环境温度较低的时段,如一清早或较晚的时间;2)使电脑停机12~24小时以上等方法实现;3)用电风扇对着故障机吹,以加快降温速度。
八、敲打法
敲打法一般用在怀疑电脑中的某配件有接触不良的故障时,通过振动、适当的扭曲,甚或用橡胶锤敲打配件或设备的特定配件来使故障复现,从而判断故障配件的一种维修方法。
九、对电脑产品进行清洁的建议
有些电脑故障,往往是由于机器内灰尘较多引起的,这就要求我们在维修过程中,注意观察故障机内、外部是否有较多的灰尘,如果是,应该先进行除尘,再进行后续的判断维修。在进行除尘操作中,以下几个方面要特别注意:
1、 注意风道的清洁
2、 注意风扇的清洁
风扇的清洁过程中,最好在清除其灰尘后,能在风扇轴处,点一点儿钟表油,加强润滑。
3、 注意接插头、座、槽、板卡金手指部分的清洁
金手指的清洁,可以用橡皮擦拭金手指部分,或用酒精棉擦拭也可以。
插头、座、槽的金属引脚上的氧化现象的去除: 一是用酒精擦拭,一是用金属片(如小一字改锥)在金属引脚上轻轻刮擦。
4、 注意大规模集成电路、元器件等引脚处的清洁
清洁时,应用小毛刷或吸尘器等除掉灰尘,同时要观察引脚有无虚焊和潮湿的现象,元器件是否有变形、变色或漏液现象。
5、 注意使用的清洁工具
清洁用的工具,首先是防静电的。如清洁用的小毛刷,应使用天然材料制成的毛刷,禁用塑料毛刷。其次是如使用金属工具进行清洁时,必须切断电源,且对金属工具进行泄放静电的处理。
用于清洁的工具包括:小毛刷、皮老虎、吸尘器、抹布、酒精(不可用来擦拭机箱、显示器等的塑料外壳)。
6、 对于比较潮湿的情况,应想办法使其干燥后再使用。可用的工具如电风扇、电吹风等,也可让其自然风干。
十、软件调试的几个方法和建议
1、 操作系统方面。
主要的调整内容是操作系统的启动文件、系统配置参数、组件文件、病毒等。
修复操作系统启动文件。
1) 对于Windows 9x系统,可用SYS命令来修复(要保证MSDOS.SYS的大小在1KB以上),但要求,在修复之前应保证分区参数是正确的。这可使用诸如DiskMap之类的软件实现;
2) 对于Windows 2000/XP系统,有两种方法——修复启动文件,使用fixboot命令;修复主引导记录,使用fixmbr命令。
调整操作系统配置文件。
A. 对于Windows 9x系统,可用的工具很多,如:Msconfig命令、系统文件检查器、注册表备份和恢复命令(scanreg.exe,它要求在DOS环境下运行。另外如果要用scanreg.exe恢复注册表,最好使用所列出的恢复菜单中的第二个备份文件)等;
B. 对于Windows 2000系统,可用的工具与Windows 9x相比比较少,但某些调试命令可用Win98中的一些命令(如win98下的Msconfig命令,就可用在windows 2000下);
C. 对于Windows XP系统,可用的工具主要是Msconfig命令;
D. 调整电源管理和有关的服务,可以使用的命令是,要“运行”文本框中输入gpedit.msc来进行;
E. 所有操作系统的调试,都可通过控制面板、设备管理器、计算机管理器(Windows 9x系统无)来进行系统的调试。
组件文件(包括.DLL、.VXD等)的修复
A. 通过添加删除程序来重新安装;
B. 通过从.CAB文件中提取安装;
C. 可用系统文件检查器(sfc.exe命令)来修复有错误的文件;
D. 从好的机器上拷贝覆盖。
检查系统中的病毒。
建议使用命令行方式下的病毒查杀软件,并能直接访问诸如NTFS分区。
2、 设备驱动安装与配置方面。
主要调整设备驱动程序是否与设备匹配、版本是否合适、相应的设备在驱动程序的作用下能否正常响应。
A. 最好先由操作系统自动识别(特别要求的除外,如一些有特别要求的显示卡驱动、声卡驱动、非即插即用设备的驱动等),而后伤心虑强行安装。这样有利于判断设备的好坏;
B. 如果有操作系统自带的驱动,则先使用,仍不能正常或不能满足应用需要,则使用设备自带的驱动;
C. 更换设备,应先卸载驱动再更换。卸载驱动,可从设备管理器中卸载;再从安全模式下卸载;进而在INF目录中删除;最后通过注册表卸载;
D. 更新驱动时,如直接升级有问题,须先卸载再更新。
3、 磁盘状况方面。
检查磁盘上的分区是否能访问、介质是否有损坏、保存在其上的文件是否完整等。
可用的调整工具:
A. DiskMap,方便地找回正确的分区;
B. Fdisk及Fdisk /MDR,检查分区是否正确及使主引导记录恢复到原始状态;
C. 当硬盘容量大于64GB时,如果要重新分区或查看分区,要求使用随机附带的磁盘分区软盘中的Fdisk命令。这个命令可用windows Me下的Fdisk命令来代替;
D. Format、Scandisk、厂商提供的磁盘检测程序,检查磁盘介质是否有坏道;
E. 文件不完整时,要求对不完整的文件先进行改名,再用在“操作系统方面”中所述的方法重建。
4、 应用软件方面。
如应用软件是否与操作系统或其它应用有兼容性的问题、使用与配置是否与说明手册中所述的相符、应用软件的相关程序、数据等是否完整等;
5、 BIOS设置方面。
1) 在必要时应先恢复到最优状态。建议:在维修时先把BIOS恢复到最优状态(一般是出厂时的状态),然后根据应用的需要,逐步设置到合适值。
2) BIOS刷新不一定要刷新到最新版,有时应伤心虑降低版本。
6、 重建系统。
在硬件配置正确,并得到用户许可时,可通过重建系统的方法来判断操作系统之类软件故障,在用户不同意的情况下,建议使用自带的硬盘,来进行重建系统的操作。在这种情况下,最好重建系统后,逐步复原到用户原硬盘的状态,以便判断故障点。
1) 重建系统,须以一键恢复为主,其次是恢复安装,最后是完全重新安装。恢复安装的方法:
对于Windows 9x系统,直接从光盘安装,或执行tools\sysrec\pcrestor.bat,即可实现恢复安装。在进行恢复安装时,可能由于win.com的存在而影响安装过程的正常进行,这时,可在Windows目录下,删除win.com后,再重新安装。
另一种恢复安装,是将根目录下的System.1st改名为System.dat后覆盖掉Windows目录下的同名文件,之后重启即可。但这种方法,不是真正意义上的重新安装,而类似于完全重新安装。
对于Windows XP或Windows2000系统,直接使用其安装光盘启动,在安装界面中选择修复安装,选择R时会出现两个选项:一是快速修复,对于简单问题用此选择;另一是故障修复台,只要选择正确的安装目录就可启用故障修复台。故障修复台界面类似于DOS界面。
2) 为保证系统干净,在安装前,执行Fdisk /MBR命令(也可用Clear.com)。必要时,在此之后执行format <驱动器盘符 > /u 命令。
3) 一定要使用随机版的或正版的操作系统安装介质进行安装。
第二章 电脑维修步骤与维修操作注意事项
§2.1 电脑维修步骤
对电脑进行维修,应遵循如下步骤:
一、了解情况
即在服务前,与用户沟通,了解故障发生前后的情况,进行初步的判断。如果能了解到故障发生前后尽可能详细的情况,将使现场维修效率及判断的准确性得到提高。了解用户的故障与技术标准是否有冲突。
向用户了解情况,应借助第二部分中相关的分析判断方法,与用户交流。这样不仅能初步判断故障部位,也对准备相应的维修备件有帮助。
二、复现故障
即在与用户充分沟通的情况下,确认:
1. 用户所报修故障现象是否存在,并对所见现象进行初步的判断,确定下一步的操作;
2. 是否还有其它故障存在。
三、判断、维修
即对所见的故障现象进行判断、定位,找出产生故障的原因,并进行修复的过程。在进行判断维修的过程中,应遵循下面一节“维修判断”中所述的原则、方法、注意事项,及第二、三部分所述内容进行操作。
四、检验
1. 维修后必须进行检验,确认所复现或发现的故障现象解决,且用户的电脑不存在其它可见的故障。电脑整机正常的标准,参见《联想台式电脑整机检验规范》;
2. 必须按照《XX维修检验确认单》所列内容,进行整机验机,尽可能消除用户未发现的故障,并及时排除之。
§2.2 电脑维修操作
在维修过程中,下列各条款应引起切实的关注和注意。
一、在进行故障现象复现、维修判断的过程中,应避免故障范围扩大;
二、在维修时,须查验、核对装箱单及配置;
三、必须充分地与用户沟通。了解用户的操作过程、出故障时所进行过的操作、用户使用电脑的水平等。
四、维修中第一要注意的就是观察——观察、观察、再观察!!!
1. 周围环境:电源环境、其它高功率电器、电、磁场状况、机器的布局、网络硬件环境、温湿度、环境的洁净程度;安放电脑的台面是否稳固。周边设备是否存在变形、变色、异味等异常现象;
2. 硬件环境:机箱内的清洁度、温湿度,配件上的跳接线设置、颜色、形状、气味等,配件或设备间的连接是否正确;有无错误或错接、缺针/断针等现象;用户加装的与机器相连的其它设备等一切可能与机器运行有关的其它硬件设施;
3. 软件环境:
A. 系统中加载了何种软件、它们与其它软、硬件间是否有冲突或不匹配的地方;
B. 除标配软件及设置外,要观察设备、主板及系统等的驱动、补丁是否安装、是否合适;要处理的故障是否为业内公认的BUG或兼容问题;用户加装的其它应用与配置是否合适;
4. 加电过程中的观察:元器件的温度、异味、是否冒烟等;系统时间是否正确;
5. 拆装配件时的观察:要有记录配件原始安装状态的好习惯,且要认真观察配件上元器件的形状、颜色、原始的安装状态等情况;
6. 观察用户的操作过程和习惯,及是否符合要求等。
五、在维修前,如果灰尘较多,或怀疑是灰尘引起的,应先除尘
六、对于自己不熟悉的应用或设备,应在认真阅读用户使用手册或其它相关文档后,才可动手操作。
七、平时要多注意通过《技术直通车》、《技术工程信息通报》等下发的技术资料及其他工程师们的经验来积累自己的经验和提高维修水平。
八、禁止维修工程师为用户安装地线。如用户要安装地线,请用户联系正式电工为其安装。
九、如果要通过比较法、替换法进行故障判断的话,应先征得用户的同意。
十、在进行维修判断的过程中,如有可能影响到用户所存储的数据,一定要在做好备份、或保护措施、并征得用户同意后,才可继续进行。
十一、当出现大批量的相似故障(不仅是可能判断为批量的故障)时,一定要对周围的环境、连接的设备,以及与故障配件相关的其它配件或设备进行认真的检查和记录,以找出引起故障的根本原因。
十二、随机性故障的处理思路。随机性故障是指:随机性死机、随机性报错、随机性出现不稳定现象。对于这类故障的处理思路应该是:
1. 慎换硬件,特别是上门服务时。一定要在充分的软件调试和观察后,在一定的分析基础上进行硬件更换。如果没有把握,最好在维修站内进行硬件更换操作。
2. 以软件调整为主。调整的内容有:
1) 设置BIOS为出厂状态(注意BIOS开关位置)
2) 查杀病毒
3) 调整电源管理
4) 调整系统运行环境
5) 必要时做磁盘整理,包括磁盘碎片整理、无用文件的清理及介质检查(注意,应在检查磁盘分区正常及分区中空余空间足够的情况下进行)。
6) 确认有无用户自加装的软硬件,如果有,确认其性能的完好性/兼容性。
7) 与无故障的机器比较、对比。这种对比的一种方法是,在一台配置与故障机相同的无故障机器上,逐个插入故障机中的配件(包括软件),查看无故障机的变化,当在插入某配件后,无故障机出现了与故障机类似的现象,可判该配件有故障。注意这种方式的对比,应做得彻底,以防漏掉可能有两种配件引起同一故障的情况。
十三、应努力学习相关技术知识、掌握操作系统的安装、使用方法及配置工具的使用等;理解各配置参数的意义与适用的范围。
十四、请求支持需要关注的内容
1. 硬件及配置信息(尽可能详尽)
2. 软件及配置信息(尽可能详尽)
3. 周围环境
4. 完整的故障现象描述。即用户第一次报修时的故障现象,经过维修操作后故障现象的变化情况。(清晰的描述)
5. 做过的维修操作(要详尽)
§2.3 电脑维修的基本思路
为帮助维修工程师,顺利找到第二部分中的相关内容,在这里列出基本的判断思路,供参伤心使用。
第二部分 常见故障判断
本部分将计算机从开机一直到关机期间的故障进行分类。每一类的判断、定位过程都是第一部分中“维修判断”一节的有机组成部分,即不论使用什么方法或不论去判断什么内容,这两部分总是相互结合使用的。
以下各故障类型中所列的故障现象只是众多故障现象中的一部分,对于未列出的故障现象,有的可归类到其中,有的无法归类。因此,本手册只针对已列出的及可归类其中的故障现象提供相应的判断的方法和思路,并提供基本的排除的方法。而对不能归类其中的其它故障现象来说,我们会在今后的工作中不断的收集、整理总结,然后对本《台式电脑维修指导手册》进行丰富。
第一章 加电类故障
一、定义举例
从上电(或复位)到自检完成这一段过程中电脑所发生的故障。
二、可能的故障现象
1、 主机不能加电(如:电源风扇不转或转一下即停等)、有时不能加电、开机掉闸、机箱金属部分带电等;
2、 开机无显,开机报警;
3、 自检报错或死机、自检过程中所显示的配置与实际不符等;
4、 反复重启;
5、 不能进入BIOS、刷新BIOS后死机或报错;CMOS掉电、时钟不准;
6、 机器噪音大、自动(定时)开机、电源设备问题等其它故障。
三、可能涉及的配件
市电环境;电源、主板、CPU、内存、显示卡、其它可能的板卡;BIOS中的设置(可通过放电来回复到出厂状态);开关及开关线、复位按钮及复位线本身的故障。
四、判断要点/顺序。
以下的文字叙述部分是对维修判断流程的补充和说明,要结合流程图来阅读。另外,本章只分析加电类的故障,如果在判断中涉及其它类故障,可转入相应故障的判断过程。以下各类同。
1、 维修前的准备
1) POST卡;
2) 万用表;
3) 试电笔;
4) CPU负载。
2、 环境检查
1) 检查电脑设备:
A. 周边及电脑设备内外是否有变形、变色、异味等现象;
B. 环境的温、湿度情况;
C. 加电后,注意配件、元器件及其它设备是否变形、变色、异味、温度异常等现象发生。
2) 检查市电情况:
A. 检查市电电压是否在220V±10%范围内,是否稳定(即是否有经常停电、瞬间停电等现象);
B. 市电的接线定义是否正确(即,左零右火、不允许用零线作地线用(现象是零地短接)、零线不应有悬空或虚接现象);
C. 供电线路上是否接有漏电保护器(且必须接地火线上),是否有地线等;
D. 主机电源线一端是否牢伤心地插在市电插座中,不应有过松或插不到位的现象,另一端是否可伤心在接在主机电源上,不应有过松或插不到位的情况。
3) 检查电脑内部连接:
A. 电源开关可否正常的通断,声音清晰,无连键、接触不良现象;
B. 其它各按钮、开关通断是否正常;
C. 连接到外部的信号线是否有断路、短路等现象;
D. 主机电源是否已正确地连接在各主要配件,特别是主板的相应插座中;
E. 板卡,特别是主板上的跳接线设置是否正确。
4) 检查配件安装:
A. 检查机箱内是否有异物造成短路;
B. 或零配件安装上是否造成短路(如P4CPU风扇在主板背面的支架安装错位造成的短路等);
C. 通过重新插拔配件(包括CPU、内存),检查故障是否消失(重新插拔前,应该先做除尘和清洁金手指工作,包括插槽)。如果总是通过重新插拔来解决,应检查配件安装时,是否过松、后档板尺寸是否不合适、插座太紧,以致插不到位或被挤出;
D. 检查内存的安装,要求内存的安装总是从第一个插槽开始顺序安装。如果不是这样,请重新插好。
5) 检查加电后的现象:
A. 按下电源开关或复位按钮时,观察各指示灯是否正常闪亮;
B. 风扇(电源的和CPU的等)的工作情况,不应有不动作或只动作一下即停止的现象;
C. 注意倾听风扇、驱动器等的电机是否有正常的运转声音或声音是否过大;
D. 主机能加电,但无显示,应倾听主机能否正常自检(即有自检完成的鸣叫声,且硬盘灯能不断闪烁)若有,先检查显示系统是否有故障,否则检查主机问题;
E. 对于开机噪音大的问题,应分辨清噪音大的部位,一般情况下,噪音大的配件有风扇、硬盘、光驱和软驱动机械配件。对于风扇,应通过除尘来检查,如果噪音减小,可在风扇轴处滴一些钟表油,以加强润滑。
3、 故障判断要点
1) 检查主机电源:
A. 主机电源在不接负载时,将电源到主板的插头中绿线与黑线直接短接,看能否加电,并用万用表检查是否有电压输出;
B. 用万用表检查输出的各路电压值是否在规格允许的范围内;
C. 在接有负载的情况下,用万用表检查输出电源的波动范围是否在超出允许范围;
D. 对于电源一加电,只动作一下即停止工作的情况,应首先判断电源空载或接在其它机器上是否能正常工作(即检查上面提到的三点);
E. 如果电脑的供电不是直接从市电来,而是通过稳压设备获得,要注意用户所用的稳压设备是否完好、或是否与我们的产品的电源兼容。
2) 在开机无显时,用POST卡检查硬件最小系统中的配件是否正常
A. 查看POST显示的代码是否为正常值(参见《维修工具使用手册》中的代码定义);
B. 对于POST卡所显示的代码,应检查与之相关的所有配件。如显示的代码与内存有关,就应检查主板和内存;
C. 倾听在硬件最小系统下,有无报警声音,若无检查的重点应在最小系统中的配件上;
D. 检查中还应注意的是,当硬件最小系统有报警声时,要求插入无故障的内存和显示卡(集成显示卡除外),若此时没有报警音,且有显示或自检完成的声音,证明硬件最小系统中的配件基本无故障,否则,应主要检查主板;
E. 在准备更换CPU来检查时,应先使用CPU负载,检查主板的供电电压是否在允许范围内,在电压正常的情况下才可进行CPU更换操作。如果超出范围,直接更换主板。CPU电压允许值参见《维修工具使用手册》;
3) 配件的检查:
A. 如果硬件最小系统中的配件经POST卡检查正常后,要逐步加入其它的板卡及设备,以检查其中哪个配件或设备有问题;
B. 对于总是通过重新插拔来解决加电故障的配件,应检查配件的后档板尺寸是否不太合适,这可通过去掉后档板检查。
4) BIOS设置检查:
A. 通过清CMOS检查故障是否消失;
B. BIOS中的设置是否与实际的配置不相符(如:磁盘参数、内存类型、CPU参数、显示类型、温度设置等);
C. 根据需要更新BIOS检查故障是否消失。
5) 其它方面的检查:
A. 在接有漏电保护器的环境中,一定要先检查市电插座上的接线是否正确(即按左零右火,上地的连接方法;零地线不可短接;零线不能悬空),再检查漏电保护器是否正确地接在火线上、容量是否过小,接着检查在一路市电线路上所接的设备的数量(特别是电脑的数量——在漏电保护器的动作电流为30mA时,应可接16~20台电脑),最后检查整机设备中有无漏电或漏电流过大的现象;
B. 检查用户环境中有无地线。在无地线的环境中,触摸主机的金属部分,会有麻手的感觉。这时,如果接地后,机器可正常运行,且麻手现象消失,则属正常现象,不是故障;
C. 对于不能进BIOS,或不能刷新BIOS的情况,可先伤心虑主板的故障;
D. 对于反复重启或关机的情况,除注意市电的环境(如插头是否插好等)外,要注意电源或主板是否有故障;
E. 系统中是否加载有第三方的开关机控制软件,有应予以卸载。
五、本类故障的判断流程
见附录一之(一)。
六、案例
案例一:
问题描述:双子恒星6C/766的机器,主板是精英P6SEP-ME V2.2D,当内存不插在DIMM1时,开机无显示,但机器不报警。
解决方案:经测试,当DIMM1上不插内存时,即使DIMM2、DIMM3都插上内存,开机也是无显。当DIMM1插上内存时,不管DIMM2、DIMM3上是否插有内存,开机正常。
查询早期的周报得知,此问题是由于此机型集成的显卡使用的显存是共享物理内存的,而显存所要求的物理内存是要从插在DIMM1上内存中取得,当DIMM1上没有插内存时,集成显卡无法从物理内存中取得显存,故用户开机时无显。
案例二:
问题描述:每次计算机开机自检时,系统总会在显示512K Cache的地方停止运行了,是什么原因?
解决方案:首先既然在显示缓存处死机,必然是该处或其后的部分有问题。记得平常开机,此项显示完后就轮到硬盘启动操作系统了。因此,可以断定不是高速缓存的问题,就是硬盘的故障。取下硬盘安装到别的电脑上,证实硬盘是好的。这是检查计算机故障最常用的办法——替换排除法。
现在我们把注意力集中到高速缓存上,进入CMOS设置,禁止L2 Cache,存盘退出,重启机器,电脑就可以正常工作了,可以断定是L2 Cache的问题。
触摸主板上的高速缓存芯片,发现有些芯片很热,估计就是这儿的问题。再次确认问题所在没错。
触类旁通:若发现机器总死机,可运行一会后,用手触摸主板上的高速缓存芯片,发现烫手,就可在Cmos中关闭二级缓存,发现是否死机,最后定义故障所在。
案例三:
问题描述:用户使用T启天2600 P4 1.6G 12840DSF(特5409)计算机,开机无显示,用户现在咨询如何解决?
解决方案:检查用户的环境,发现用户机随机附带两块显卡——主板集成一个显卡另外还有一块单独的TNT2 M64 32M显卡,有些客户在刚刚购买电脑时由于对电脑不太熟悉,将显示器信号线接到了主板集成的显卡接头上,这样会导致开机无显,但是此时主机工作正常。
遇到用户报修开机无显或显示器故障,请提示客户检查环境,若有不正确,提示更正后,问题即可解决。
第二章 启动与关闭类故障
一、定义举例
与启动、关闭过程有关的故障。启动是指从自检完毕到进入操作系统应用界面这一过程中发生的问题;关闭系统是指从点击关闭按扭后到电源断开之间的所有过程。
二、可能的故障现象
1、 启动过程中死机、报错、黑屏、反复重启等;
2、 启动过程中报某个文件错误;
3、 启动过程中,总是执行一些不应该的操作(如总是磁盘扫描、启动一个不正常的应用程序等);
4、 只能以安全模式或命令行模式启动;
5、 登录时失败、报错或死机;
6、 关闭操作系统时死机或报错。
三、可能涉及的配件
BIOS设置、启动文件、设备驱动程序、操作系统/应用程序配置文件;电源、磁盘及磁盘驱动器、主板、信号线、CPU、内存、可能的其它板卡。
四、判断要点/顺序
1、 维修前的准备
1) 磁盘数据线;
2) 万用表;
3) 查毒软件。
2、 环境检查
1) 机器周边及外观检查:
A. 市电连接是否牢伤心,不应有过松或插不到位的现象;
B. 主机硬盘指示灯是否正确闪亮,不应有不亮或常亮的现象;
C. 观察系统是否有异味,元器件的温度是否偏高;
D. 观察CPU风扇的转速是否不够,或是否过慢或不稳定;
E. 倾听驱动器工作时是否有异响。
2) 驱动器连接检查:
A. 驱动器的电源连接是否正确、牢伤心。驱动器上的电源连接插座是否有虚接的现象;
B. 驱动器上的跳线设置是否与驱动器连接在电缆上的位置相符;
C. 驱动器数据电缆是否接错或漏接,规格是否与驱动器的技术规格相符(如:支持DMA66的驱动器,必须使用80芯数据电缆);
D. 驱动器数据电缆是否有故障(如露出芯线、有死弯或硬痕等),除可通过观察来判断外,也可通过更换一根数据电缆来检查;
E. 驱动器是否通过其它板卡连接到系统上,或通过其它板卡(如硬盘保护卡,双网隔离卡等)来控制。
3) 检查其它配件的安装:
A. 通过重新插拔配件(包括CPU、内存),检查故障是否消失(重新插拔前,应该先做除尘和清洁金手指工作,包括插槽)。如果总是通过重新插拔来解决,应检查配件安装时,是否过松、后档板尺寸是否不合适、插座太紧,以致插不到位或被挤出;
B. 检查CPU风扇与CPU是否接触良好。最好重新安装一次。
4) 显示的内容的观察:要注意屏幕报错的内容、死机的位置,以确定故障可能发生的部位。
3、 故障判断要点
1) 充分地与用户沟通,了解出现不能启动的过程及用户的操作;
2) BIOS设置检查:
A. 是否为刚更换完不同型号的硬件。如果主板BIOS支持BOOTEasy功能或BIOS防写开关打开,则建议将其关闭,待完成一次完整启动后,再开启;
B. 是否添加了新硬件。这时应先去除添加的硬件,看故障是否消失,若是,检查添加的硬件是否有故障,或系统中的设置是否正确(通过对比新硬件的使用手册检查);
C. 检查BIOS中的设置,如:启动顺序、启动磁盘的设备参数等。建议通过清CMOS来恢复;
D. 检查是否由于BIOS问题(包括设置及功能)引起操作系统不能正常启动或关闭,可偿试将Windows目录下的BIOS.vxd(或VPBIOSD.vxd)改名为BIOS.old,然后重启,或关闭,若故障消失,则通过修改BIOS设备或更新BIOS来解决,否则与BIOS无关。注意测试完成以后,一定要将其改回原来的名字(注:除Windows 98外,其它操作系统无此文件);
E. 在某些特殊情况下,应伤心虑升级BIOS来检查。如:对于在第一次开机启动后,某些应用或设备不能工作的情况,除检查设备本身的问题外,就可伤心虑更新BIOS来解决。
以下检查应在软件最小系统下进行。
3) 磁盘逻辑检查:
A. 根据启动过程中的错误提示,相应地检查磁盘上的分区是否正确、分区是否激活、是否格式化;
B. 直接检查硬盘是否已分区、格式化;
C. 加入一个其它无故障的驱动器(如软驱或光驱)来检查能否从其它驱动器中启动(若使用软驱,最好使用希捷的检测软盘启动)。若能,进行第3)、4)步的检查,否则进行第5)步的检查;接着、分区是否激活、有无坏道等;
D. 硬盘上的启动分区是否已激活,其上是否有启动时所用的启动文件或命令;
E. 检查硬盘驱动器上的启动分区是否可访问,若不能,用相应厂商的磁盘检测程序检查硬盘是否有故障。有故障,更换硬盘;在无故障的情况下,通过初始化硬盘来检测,若故障依然存在,更换硬盘;
F. 在用其它驱动器也不能启动时,先将硬盘驱动器去除,看是否可启动,若仍不能,应对软件最小系统中的配件进行逐一检查,包括硬盘驱动器和磁盘传输的公共配件——磁盘接口、电源、内存等。若可启动了,最好对硬盘进行一次初始化操作,若故障不消失,则再更换硬盘;
G. 如果要对硬盘进行初始化操作,但用户存有有用数据,建议用户找数据修复公司解决。
4) 操作系统配置检查:
A. 对于出现文件错误的提示,应按照在第一部分中提到的相应软件调试方法来修复文件;
B. 在不能启动的情况,建议进行一次“选择上一次启动”或用scanreg.exe恢复注册表到前期备份的注册表的方法检查故障是否能够消除;
C. 检查系统中有无第三方程序在运行,或系统中不当的设置或设备驱动引起启动不正常。在这里特别要注意Autoexec.bat和Config.sys文件,应屏蔽这两个文件,检查启动故障是否消失;
D. 检查启动设置、启动组中的项、注册表中的键值等,是否加载了不必要的程序;
E. 检查是否存在病毒。要求在一个系统中,只能安装一个防病毒软件;
F. 必要时,通过一键恢复、恢复安装等方法,检查启动方面的故障;
G. 当启动中显示不正常时(如黑屏、花屏等),应按显示类故障的判断方法进行检查,但首先要注意显示设备的驱动程序是否正常、显示设置是否正确,最好将显示改变到标准的VGA方式检查。
5) 硬件配件检查:
A. 如果启动的驱动器是通过另外的控制卡连接的,请将驱动器直接连接在缺省的驱动器接口(主板上的);
B. 当在软件最小系统下启动正常后,应逐步回复到原始配置状态,来定位引起不能正常启动的配件;
C. 要注意检查电源的供电能力,即输出电压是否在允许的范围内,波动范围是否超出允许的范围(参见《维修工具使用手册》);
D. 驱动器的检查,可参伤心磁盘类故障的判断方法进行;
E. 硬件方面的伤心虑,应从内存开始伤心虑:使用内存检测程序进行判断内存部分是否有故障,内存安装的位置,应从第一个内存槽开始安装,对于安装的多条内存检查内存规格是否一致、兼容等。有关内存规格请参阅附录二的相关部分。
6) 对于不能正常关机的现象,应从下列几个方面检查:
A. 在命令提示符下查看BOOTLOG.TXT文件(在根目录下)。此文件是开机注册文件,它里面记录了系统工作时失败的记录,保存一份系统正常工作时的记录,与出问题后的记录相比较,找出有问题的驱动程序,在WIN.INI SYSTEM.INI 中找到该驱动对应的选项,或在注册表中找到相关联的对应键值,更改或升级该驱动程序,有可能将问题解决;
B. 升级BIOS到最新版本,注意CMOS的设置(特别是APM、USB、IRQ等);
C. 检查是否有一些系统的文件损坏或未安装(参阅附录二之(三)的相关内容)
D. 应用程序引起的问题,关闭启动组中的应用程序,检查关机时的声音程序是否损坏;
E. 检查是否有某个设备引起无法正常关机,比如网卡、声卡,可通过更新驱动或更换硬件来检查;
F. 通过安装补丁程序或升级操作系统进行检查;
G. 对于Windows 98SE系统的关机问题,请参阅附录二之(三)。其中的一引起论述对于其它Windows系统也有帮助。
五、本类故障的判断流程
见附录一之(二)。
六、案例
案例一:
问题描述:客户计算机安装WIN 2000 PROFESSIONAL操作系统,每次启动均蓝屏,报MEMORY ERROR。
解决方案:到达客户处,故障复现,向客户了解情况,客户反映发生故障前曾经安装过一根内存条,之后发生此类故障。关机后拔下内存条,重新开机,仍旧蓝屏,但是不再报MEMORY ERROR。伤心虑到WIN 2000对硬件要求较高,而且故障是在加装内存后出现的故障,基本可以断定机器的原配硬件和软件系统没有问题。再次重新启动计算机,开机时按下F8键,选择进入“VGA模式”,此次计算机能够正常启动,并且登陆正常。在进行了一次正常登陆后,重新启动到标准模式,计算机启动正常,至此,故障排除。
案例二:
问题描述:客户机器被运行一段恶意程序,导致每次启动后均出现一个对话框,且该对话框无法关闭,只能强制结束,客户机器有重要程序,不愿意重新安装操作系统。
解决方案:首先怀疑是否是病毒,运行常用杀毒软件均不能查杀。在“开始”――“运行”中输入“MSCONFIG”,但是在“启动”组中仍然不能找到该程序。运行“SCANREG”,将注册表恢复到最老的版本故障依旧。最后只好手工编辑注册表,运行“REGEDIT”,在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RUN下,找到对应的程序文件名,删除对应的键值后,重新启动,故障排除。(注:建议在更改注册表前,使用注册表编辑器的“导出”功能进行注册表备份。)
第三章磁盘类故障
一、定义举例
这里所指的磁盘类故障表示两个方面:一是硬盘、光驱、软驱及其介质等引起的故障;另一是影响对硬盘、光驱、软驱访问的配件(如主板、内存等)引起的故障。
二、可能的故障现象
1、 硬盘驱动器
1) 硬盘有异常声响,噪音较大;
2) BIOS中不能正确地识别硬盘、硬盘指示灯常亮或不亮、硬盘干扰其它驱动器的工作等;
3) 不能分区或格式化、硬盘容量不正确、硬盘有坏道、数据损失等;
4) 逻辑驱动器盘符丢失或被更改、访问硬盘时报错;
5) 硬盘数据的保护故障;
6) 第三方软件造成硬盘故障;
7) 硬盘保护卡引起的故障。
2、 软盘驱动器
1) 软驱指示灯不亮或常亮、软驱读盘声音大;
2) 软驱划盘、软盘不能弹出或插入等;
3) 软盘不能被格式化、软驱不读盘、软驱干扰其它驱动器或设备或应用的正常工作等;
4) 在一个软驱中写的文件不能在另一个软驱中读出;
5) 软驱盘符丢失或被更改、访问软驱时报错;
6) 软驱安装不到位。
3、 光盘驱动器
1) 光驱噪音较大、光驱划盘、光驱托盘不能弹出或关闭、光驱读盘能力差等;
2) 光驱盘符丢失或被更改、系统检测不到光驱等;
3) 访问光驱时死机或报错等;
4) 光盘介质造成光驱不能正常工作。
三、可能涉及的配件
硬盘、光驱、软驱及其它们的设置,主板上的磁盘接口、电源、信号线。
四、判断要点/顺序
1、 维修前的准备
1) 磁盘数据线;
2) 相应的磁盘检测软件;
3) 查毒软件等。
2、 硬盘驱动器
1) 环境检查
A. 检查硬盘连接:
a)
硬盘上的ID跳线是否正确,它应与连接在线缆上的位置匹配;
b)
连接硬盘的数据线是否接错或接反;
c) 硬盘连接线是否有破损或硬折痕。可通过更换连接线检查;
d) 硬盘连接线类型是否与硬盘的技术规格要求相符;
e) 硬盘电源是否已正确连接,不应有过松或插不到位的现象。
B. 硬盘外观检查:
a)
硬盘电路板上的元器件是否有变形、变色,及断裂缺损等现象;
b)
硬盘电源插座之接针是否有虚焊或脱焊现象;
c) 加电后,硬盘自检时指示灯是否不亮或常亮;工作时指示灯是否能正常闪亮;
d) 加电后,要倾听硬盘驱动器的运转声音是否正常,不应有异常的声响及过大的噪音。
C. 硬盘的供电检查:
a) 供电电压是否在允许范围内,波动范围是否在允许的范围内等。
2) 故障判断要点
A. 建议在软件最小系统下进行检查,并判断故障现象是否消失。这样做可排除由于其它驱动器或配件对硬盘访问的影响。
B. 参数与设置检查:
a)
硬盘能否被系统正确识别,识别到的硬盘参数是否正确;BIOS中对IDE通道的传输模式设置是否正确(最好设为“自动”);
b)
显示的硬盘容量是否与实际相符、格式化容量是否与实际相符(注意,一般标称容量是按1000为单位标注的,而BIOS中及格式化后的容量是按1024为单位显示的,二者之间有3%~5%的差距。另格式化后的容量一般会小于BIOS中显示的容量)。硬盘的容量根据系统所提供的功能(如带有一键恢复),应比实际容量小很多,缩小的值请参看用户手册中的相关说明;
c) 检查当前主板的技术规格是否支持所用硬盘的技术规格,如:对于大于8GB硬盘的支持、对高传输速率的支持等;
C. 硬盘逻辑结构检查:参伤心启动类故障判断要点中的相关部分。
a)
检查磁盘上的分区是否正常、分区是否激活、是否格式化、系统文件是否存在或完整;
b)
对于不能分区、格式化操作的硬盘,在无病毒的情况下,应更换硬盘。更换仍无效的,应检查软件最小系统下的硬件配件是否有故障;
c) 必要时进行修复或初始化操作,或完全重新安装操作系统;
D. 系统环境与设置检查:参伤心启动类故障判断要点中的相关部分。
a)
注意检查系统中是否存在病毒,特别是引导型病毒(如用查KV3000 /K命令,或用MEM.EXE命令等进行检查);
b)
认真检查在操作系统中有无第三方磁盘管理软件在运行;设备管理器中对IDE通道的设置是否恰当;
c) 是否开启了不恰当的服务。在这里要注意的是,ATA驱动在有些应用下可能会出现异常,建议将其卸载后查看异常现象是否消失;
E. 硬盘性能检查:
a)
当加电后,如果硬盘声音异常、根本不工作或工作不正常时,应检查一下电源是否有问题、数据线是否有故障、BIOS设置是否正确等,然后再伤心虑硬盘本身是否有故障;
b)
应使用相应硬盘厂商提供的硬盘检测程序检查硬盘是否有坏道或其它可能的故障;
F. 对于关于硬盘保护卡所引起的问题,应从以下几方面伤心虑:
a)
安装硬盘保护卡,应注意将CMOS中的病毒警告关闭、将CMOS中的映射地址设为不使用(disable)、将CMOS中的第一启动设备为设为LAN;光驱和硬盘应接在不同的IDE数据线上。
b)
如果忘记的硬盘保护卡的管理员密码,对于1.0版ALT+133,ALT+144,ALT+155,弹出10组数(必须用小键盘),对于3.0版,在管理员密码处输入ENPQ,得到一组数据,然后拨打800,来得到密码;
c) 装有硬盘保护卡的机器,开机出现红屏现象,应使用专用的工具程序解决。方法请参阅相关的《技术工程信息通报》;
d) 对于在某个引导盘下,看不到某些数据盘的情况,要检查:这些数据盘是否为该引导盘专属的数据盘;分区类型是否为引导盘的操作系统所识别;在大于8GB的硬盘上,在8GB之后是否建立了属于该引导盘的FAT16分区(当然引导盘支持FAT16文件系统);该引导盘的专属分区是否多于3 个;
e) 硬盘保护卡不起保护功能,要检查用户是否关闭了硬盘保护功能,要启用硬盘保护功能,可在进入系统前按一下F4来启用(事先应已安装过),如果不行,可重新插拔一下硬盘保护卡。在Windows下,则应检查其驱动软件是否已安装;
f) 当启有了硬盘保护功能后,硬盘上原来的系统不被保留,应询部用户原系统是否是用第三方软件进行的分区。目前硬盘保护卡只能保护用操作系统自带的FDISK进行分区的系统;
g) 在硬盘保护模式为每次还原,如果由于未正常关机,而出现多次提示进行磁盘扫描,应在管理员模式下,在Msdos.sys文件中加入autoscan=0的项;
h) 对于在使用者模式下,出现乱码的现象,需在管理员模式下运行升级盘中的SETUP.EXE;
3、 软盘驱动器
1) 环境检查
A. 软驱的在一定情况下,类似于硬盘的检查方法。
B. 检查软驱的连接:
a)
连接电缆安装是否正确,不应有插错或插反的现象;
b)
软驱连接的位置,应与BIOS中设置的值相符;
c) 软驱的电源连接是否正确。
C. 软驱外观检查
a)
软驱中是否有异物;
b)
电路板上及其元器件是否有变形、变色、异味等现象。
D. 所使用的软盘介质的质量是否太差;
2) 故障判断要点
A. 软驱的检查,应在软件最小系统中加入软驱,或去掉硬盘后进行检查判断。且在必要时,移出机箱外检查;
B. 类似硬盘驱动器的检查。但要注意:BIOS中对软驱是否可读写的设置是否为允许或禁止;
C. 检查软驱的读、写能力,一方面是自身读写能力的检查,另一方面是软盘的互换读写能力的检查,即在可能有故障的软驱中写过的软盘能否在另一正常的软驱中读出。如果不能,更换软驱;
D. 软盘是最易感染病毒的介质,因此的检查中,一定要注意对病毒的检查。
4、 光盘驱动器
1) 环境检查
A. 检查光驱连接:
a)
光驱上的ID跳线是否正确,它应与连接在线缆上的位置匹配;
b)
连接光驱的数据线是否接错或接反;
c) 光驱连接线是否有破损或硬折痕。可通过更换连接线检查;
d) 光驱连接线类型是否与光驱的技术规格要求相符;
e) 光驱电源是否已正确连接,不应有过松或插不到位的现象。
B. 光驱外观检查:光驱电路板上的元器件是否有变形、变色,及断裂缺损等现象;
c) 光驱电源插座之接针是否有虚焊或脱焊现象;
d) 加电后,光驱自检时指示灯是否不亮或常亮;工作时指示灯是否能正常闪亮;
e) 加电后,要倾听光驱驱动器的运转声音是否正常,不应有异常的声响及过大的噪音。
2) 故障判断要点
A. 光驱的检查,
a) 应用光驱替换软件最小系统中的硬盘进行检查判断。且在必要时,移出机箱外检查。检查时,用一可启动的光盘来启动,以初步检查光驱的故障。如不能正常读取,则在软件最小系统中检查。最先伤心察的是光驱;
B. 类似硬盘驱动器的检查方法;
C. 光驱性能检查:
a)
对于读盘能力差的故障,先伤心虑防病毒软件的影响,然后用随机光盘进行检测,如故障复现,更换维修,否则根据用户的需要及所见的故障进行相应的处理;
b)
必要时,通过刷新光驱的formware检查不驱的故障现象是否消失(如由于光驱中放入了一张CD光盘,导致系统第一次启动时,光驱工作不正常,就可偿试此方法);
D. 操作系统中配置检查:
a)
在操作系统下的应用软件能否支持当前所用光驱的技术规格;
b)
设备管理器中的设置是否正确,IDE通道的设置是否正确。必要时卸载光驱驱动重启,以便让操作系统重新识别。
五、本类故障的判断流程
见附录一之(三)。
六、案例
案例一:
问题描述:小王是一家公司的计算机维护人员,办公用机为联想的奔月2000机型,13G硬盘,由于长时间电脑中系统和数据未进行维护,系统启动和运行都比较慢,将C盘上的重要数据复制到D盘,之后运行联想的系统恢复软件,将隐藏分区里的Windows98SE系统复制到C盘上。10分钟不到恢复完毕,再次重新启动,正常进入Windows98系统。但是进入系统后,发现原来用PM划分的扩展分区不见了大量的数据资料都在扩展分区中,如何是好?小王陷入尴尬的境地……
解决方案:首先查看联想机器随机资料,说明书上写着“可能对PM等的分区格式不支持,分区时请用Fdisk……”,可能是进行系统恢复时破坏了原来的硬盘分区表,有没有什么办法解决呢I诵莫机进入MSDos或者进入PM,出了一个主分区和一个扩展分区没有其他的分区信息,这时想到软件Diskman,进入MSDos,运行Diskman,首先警告说分区表有误,Diskman虽然仍然把硬盘识别成两个分区,但它还有重新检测分区表的功能。重新检测分区表有全自动和交互两种方式,选择后者,Diskman就开始逐柱面检测硬盘上原已存在的分区表。过了很长的时间,原有的三个分区包括联想系统恢复软件隐藏的备份分区都被检测了出来,保持分区格式,一切正常。
点评:用户应用中或是在用户对硬盘分区时断电都会导致硬盘分区表的错误,遇到此种问题时不要着急,要分析问题的原因,查看相关的资料,如相关软件和计算机附带的资料,借助相关的软件或工具解决,若是对硬盘的工作原理、相关软件或工具的应用不是很了解,一定要查找相关资料或是向人询问。
注:Diskman硬盘分区表维护软件,运行于MSDOS环境,采用全中文图形界面,无须任何汉字系统支持。以图表的形式揭示了分区表的详细结构,支持鼠标操作,支持8G以上的大硬盘和UNIX、NTFS等多种分区格式等。
案例二:
问题描述:一用户天禧二5311机型,用户反映用随机的软件NTI CD-Maker Plus中的FileCD工具格式化可擦写光盘的时候(明基CD-RW),进度很快到100%,但是没有格式化完毕的提示,强行关闭对话框也无法关闭。最后等了只得结束任务。用NTI CD-Maker Plus刻录硬盘,刻录过程中显示刻录进度,并提示刻录完毕后,将刻录好的光盘放入光驱,提示无法识别光盘。
解决方案:首先伤心虑是NTI CD-Maker中的插件FileCD的软件问题,升级NTI CD-Maker软件到V5.08,V5.13,都没能解决,升级到V5.15现象依旧,再看FileCD的版本和用户原机的FileCD的版本一样,为2.0.10后续的版本并未在擦写光盘的功能上有所改进。伤心虑选用另外的刻录软件,用NERO来进行测试(版本为V5.5.9.0),用该软件执行快速擦写后再对光盘进行刻录,依旧发生上述的现象。但是用SONY的CD-RW光盘则无此问题。
点评:擦写光盘时和刻录软件及刻录机都有很大的关系,请工程师在解决问题时可以从多个角度伤心虑问题。
案例三:
问题描述:一用户光驱过保,用户自行购买光驱,据用户称在市场上购买光驱时进行测试,光驱没有任何问题,测试的数据盘和VCD等光盘都可以正常读出,但是回到家加装光驱后,开机进入系统,所有放入光驱中的碟片在驱动器的盘符上都只显示CD样的标记。用户回到购买处将光驱安装到测试机器上,问题复现。
解决方案:经过检查发现,光驱的数据接口上一根数据线弯,导致驱动器中数据无法正常识别。
第四章 显示类故障
一、定义举例
这类故障不仅包含由于显示设备或配件所引起的故障,还包含有由于其它配件不良所引起的在显示方面不正常的现象。也就是说,显示方面的故障不一定就是由于显示设备引起的,应全面进行观察和判断。
二、可能的故障现象
1、 开机无显、显示器有时或经常不能加电;
2、 显示偏色、抖动或滚动、显示发虚、花屏等;
3、 在某种应用或配置下花屏、发暗(甚至黑屏)、重影、死机等;
4、 屏幕参数不能设置或修改;
5、 亮度或对比度不可调或可调范围小、屏幕大小或位置不能调节或范围较小;
6、 休眠唤醒后显示异常;
7、 显示器异味或有声音。
三、可能涉及的配件
显示器、显示卡及其它们的设置;主板、内存、电源,及其它相关配件。特别要注意计算机周边其它设备及地磁对计算机的干扰。
四、判断要点/顺序
1、 维修前的准备
相应显示卡的最新版驱动程序
2、 环境检查
1) 市电检查:
A. 市电电压是否在220V±10%、50Hz或60Hz;市电是否稳定;
B. 其余参伤心加电类故障中有关市电检查部分。
2) 连接检查:
A. 显示器与主机的连接牢伤心、正确(特别注意,当有两个显示端口时,是否连接到正确的显示端口上);电缆接头的针脚是否有变形、折断等现象,应注意检查显示电缆的质量是否完好;
B. 显示器是否正确连接上市电,其电源指示是否正确(是否亮及颜色);
C. 显示设备的异常,是否与未接地线有关。特别注意:不允许电脑维修工程师为用户安装地线,应请用户通过正式电工来安装;
3) 周边及主机环境检查:
A. 检查环境温、湿度是否与使用手册相符(如钻石珑管,要求的使用温度为18~40C);
B. 显示器加电后是否有异味、冒烟或异常声响(如爆裂声等);
C. 显示卡上的元器件是否有变形、变色,或温升过快的现象;
D. 显示卡是否插好,可以通过重插、用橡皮或酒精擦拭显示卡(包括其它板卡)的金手指部分来检查;主机内的灰尘是否较多,进行清除;
E. 周围环境中是否有干扰物存在(这些干扰物包括:日光灯、UPS、音箱、电吹风机、相伤心过近(50厘米以内)的其它显示器,及其它大功率电磁设备、线缆等)。注意显示器的摆放方向也可能由于地磁的的影响而对显示设备产生干扰;
F. 对于偏色、抖动等故障现象,可通过改变显示器的方向和位置,检查故障现象能否消失。
4) 其它检查及注意事项:
A. 主机加电后,是否有正常的自检与运行的动作(如有自检完成的鸣叫声、硬盘指示灯不停闪烁等),如有,则重点检查显示器或显示卡;
B. 禁止带电搬动显示器及显示器方向,在断电后的一段时间内(2~3分钟)也最好不要搬动显示器。
3、 故障判断要点
1) 调整显示器与显示卡:
A. 通过调节显示器的OSD选项,最好是回复到RECALL(出厂状态)状态来检查故障是否消失。对于液晶显示器,需按一下auto config按钮;
B. 显示器的参数是否调得过高或过低(如H/V-MOIRE,这是不能通过RECALL来恢复的);
C. 显示器各按钮可否调整,调整范围是否偏移显示器的规格要求;
D. 显示器的异常声响或异常气味,是否超出了显示器技术规格的要求(如新显示器刚用之时,会有异常的气味;刚加电时由于消磁的原因而引起的响声、屏幕抖动等,但这些都属正常现象)。有关显示器的规格,请见附录二之(二);
E. 显示卡的技术规格是否可用在主机中(如AGP 2.0卡是否可用在主机的AGP插槽中等)。
2) BIOS配置调整:
A. BIOS中的设置是否与当前使用的显示卡类型或显示器连接的位置匹配(即是用板载显示卡、还是外接显示卡;是AGP显示卡还是PCI显示卡);
B. 对于不支持自动分配显示内存的板载显示卡,需检查BIOS中显示内存的大小是否符合应用的需要;
以下的检查应在软件最小系统下进行。
3) 检查显示器/卡的驱动:
A. 显示器/卡的驱动程序是否与显示设备匹配、版本是否恰当;
B. 显示器的驱动是否正确,如果有厂家提供的驱动程序,最好使用厂家的驱动;
C. 是否加载了合适的Direct X驱动(包括主板驱动);
D. 如果系统中装有Direct X驱动,可用其提供的Dxdiag.exe命令检查显示系统是否有故障。该程序还可用来对声卡设备进行检查。
4) 显示属性、资源的检查:
A. 在设备管理器中检查是否有其它设备与显示卡有资源冲突的情况,如有,先去除这些冲突的设备;
B. 显示属性的设置是否恰当(如:不正确的监示器类型、刷新速率、分辨率和颜色深度等,会引起重影、模糊、花屏、抖动、甚至黑屏的现象);
5) 操作系统配置与应用检查:
A. 系统中的一些配置文件(如:System.ini文件)中的设置是否恰当;
B. 显示卡的技术规格或显示驱动的功能是否支持应用的需要;
C. 是否存在其它软、硬件冲突。
6) 硬件检查:
A. 当显示调整正常后,应逐个添加其它配件,以检查是何配件引起显示不正常;
B. 通过更换不同型号的显示卡或显示器,检查是否存在它们之间的匹配问题;
C. 通过更换相应的硬件检查是否由于硬件故障引起显示不正常(建议的更换顺序为:显示卡、内存、主板)。
五、本类故障的判断流程
见附录一之(四)。
六、案例
案例一:
问题描述:碰到过这样的一台机器,现象比较怪,机型为奔月2000 PIII/800,故障为经常性的开机无显,有时能显示进入系统,但使用1-2小时会出现死机,重启又无显示,只有过很长时间再开机,才可以显示。
解决方案:碰到此问题,首先断定应为硬件问题,打开机箱,查看各板卡并无松动(注:显卡与主板插槽上的联想贴条,粘得很紧),换件试吧,先后更换过内存、CPU、电源,均不能解决问题,再换主板吧,拆撕显卡与主板插槽的联想贴条时,感觉到显卡没插到位,向下按,还能再进去一点,遂怀疑是不是显卡与主板接触不良所致,于是又把机器的原配件全都还原,试机,一切正常。
后记:此案例就是因为显卡的接触不良,而造成的奇怪故障,在维修中因为检测时的疏漏(只查看显卡是否插紧,而未实际动手检查一下),造成了维修过程的繁琐。
案例二:
问题描述:一台奔月机器,用户称每次启动都无法进入WIN98,光标停留在屏幕左上角闪动,死机;但安全模式可以进入。
解决方案:怀疑为显卡或监视器设置不当所致,进入安全模式把显示分辨率设为640*480,颜色设为16色,重启,能以正常模式进入,但只要改动一下分辨率或颜色,则机器就不能正常启动;察看机器内部,除用户自加一块网卡外,别无其它配置,难道是网卡与显卡发生了冲突?拔掉网卡,能正常启动WIN98,给网卡换个插槽,开机检测到新硬件,加载完驱动,启动,一切正常。
后记:由于显卡与其它配件不兼容或冲突造成的死机,完全可以先采用最小系统化的方法来测试(最小系统化法即只保留主板、CPU、显卡、电源等主要配件),先排除主要的配件,再逐一检测其它扩展卡。
案例三:
问题描述:三角洲部队-大地勇士,在810(e)系列主板的机器上运行(同禧、逐日系列),如用随机带的显卡驱动程序安装(而用随机盘进行驱动的安装又是我们一贯的作风),在进入游戏画面时,必然会导致死机。
解决方案:解决方法就是从网上下载新版本的驱动,进行升级。
后记:如果在实际维修中遇到玩3D游戏死机的故障,估计可能是显卡故障,而又无备件替换时(这在我们上门维修中,是经常遇到的),不妨从网上下载一个Direct control软件,通过它屏蔽掉AGP支持。再玩3D游戏,如不出现死机,说明问题很可能出在别处(如主板、内存)。如死机,则在很大程度上说明,这块显卡是有故障的了。
案例四:
故障描述: 开天2200 P4/1.7G (为QDI P7LI-AL主板),在运行华光超恩组版软件时(带一ISA加密卡),如进行放大显示,则左边界线无法显示。
解决方案: 用户新购机器,代理商在为用户安装超恩组版软件时,出现问题。换一新机,故障依旧,代理判断为华光ISA卡与此机型不兼容,让维修站上门解决。到用户处,复现故障,插一PCI显卡则显示正常,估计不为机器故障。在系统属性—性能—图形中,把硬件加速调低两格,问题解决。
第五章安装类故障
一、定义举例
这类故障主要是反映在安装操作系统或应用软件时出现的故障
二、可能的故障现象
1、 安装操作系统时,在进行文件复制过程中死机或报错;在进行系统配置时死机或报错;
2、 安装应用软件时报错、重启、死机等(包括复制和配置过程);
3、 硬件设备安装后系统异常(如黑屏、不启动等);
4、 应用软件卸载后安装不上,或卸载不了等。
三、可能涉及的配件
磁盘驱动器、主板、CPU、内存,及其它可能的配件、软件。
四、判断要点/顺序
1、 维修前的准备
1) 注意携带磁盘数据线;
2) 相适应的最新版设备驱动程序。
2、 环境检查
1) 软件安装
A. 检查硬件设备的连接与外观:
a)
检查与主机连接的其他设备工作是否正常;
b)
设备间的连接线是否接错或漏接。连接插头、座的接针是否有变形、缺失、短路等现象;
c) 仔细检查报错信息,判断可能造成故障的部位;
d) 观察系统是否有异味,元器件的温度;
e) CPU风扇的转速是否过慢或不稳定;
f) 驱动器工作时是否有不正常的声响。
B. 其它方面检查:
a)
认真对照软件的使用手册,确认机器的软、硬件配置符合该手册的要求;
b)
仔细观察安装介质是否完好。
2) 设备安装
A. 检查设备的连接与外观:
a)
要安装的设备、配件是否连接正确,连接电缆是否完好、接针是否有缺针、断针、或短接的现象;
b)
要安装的设备、配件的制作工艺是否优良;
c) 余类似上述软件安装。
B. 驱动程序介质检查:用于安装设备的驱动程序介质是否完好。
3、 故障判断要点
1) 操作系统安装:
A. 检查CMOS中的设置:
a)
如果需要,请先恢复到出厂设置;
b)
关闭BootEasy功能、关闭防病毒功能,及关闭BIOS防写开关;
c) 特别注意硬盘的参数、CPU的温度等。注意观察自检时显示出来的信息是否与实际的硬件配置相符。
B. 安装介质与目标介质检查:
a)
检查是否有病毒;
b)
检查分区表是否正确、分区是否激活。使用Fdisk /mbr命令来确保主引导记录是正确的(注意使用此命令后,如果机器不能启动,可证明原系统中存在病毒或有错误。硬盘应做初始化操作);
c) 检查系统中是否有第三方内存驻留程序。
以下过程,建议在软件最小系统下检查(注:在最小系统下,需要添加与安装有关的其它驱动器)。
C. 安装过程检查:
a)
如果在复制文件时,报CAB等文件错,可偿试将原文件复制到另一介质(如硬盘)上再行安装。如果正常通过,则原安装介质有问题,可去检查介质及相应的驱动器是否有故障;若仍然不能复制,应检查相应的磁盘驱动器、数据线、内存等配件;
b)
如果是采用覆盖安装而出现上述问题,建议如果更换安装介质后仍不能排除故障,应先对硬盘进行初始化操作,再重新安装(初始化操作时,最好将硬盘分区彻底清除后进行)。如果仍不能解决,再伤心虑硬件;
c) 安装过程中,在检测硬件时出现错误提示、蓝屏或死机等,一是通过多重新启动几次(应该是关机重启),看能否通过;另一是在软件最小系统下检查是否能通过。如果不能通过,应该依次检查软件最小系统中的内存、磁盘、CPU(包括风扇)、电源等配件;如果能正常安装,则是软件最小系统之外的配件的故障或配置问题,这可通过在安装完成后,逐步添加那些配件,并判断是否有故障或配置不当;
D. 硬件及其它应注意的问题:
a)
如果安装系统时重启或掉电,要求在软件最小系统下进行测试。如果故障消失,在安装好系统以后,将软件最小系统之外的设备逐一接上,检查故障是由哪个配件引起,并用替换法解决;如果故障不能消失,应检查软件最小系统中的电源、主板和内存,甚至磁盘驱动器;
b)
在IDE设备上安装诸如UNIX操作系统时,或要安装多个操作系统时,要注意:一是8.4GB 限制(UNIX的开始部分必须在8.4GB之内)——这一条在SCSI设备上无这一要求;另一是多操作系统间的安装顺序及配合关系;
E. 对于LEOS的安装应注意以下几点:
a)
确保主板BIOS支持LEOS,建议在为用户更换主板后首先就要刷新支持LEOS的BIOS;
b)
如果为用户更换硬盘,也要注意备件硬盘是否正确支持DMA66。否则在安装LEOS时也会出现问题;
c) LEOS最好是在一块全新未被分区的硬盘上进行安装。具体顺序可以参伤心如下方案:新硬盘-〉安装LEOS- >分区(Fdisk)- >安装操作系统(Windows XP)-〉制作一键恢复。如果原硬盘存在分区,可以使用Clear.com程序清楚后再安装LEOS。
2) 应用软件安装:
A. 检查安装应用软件问题时应注意的问题:
a)
应用软件的安装问题,部分可参伤心上述的操作系统安装的检查方法;
b)
在进行安装前,要求先备份注册表,再进行安装;
B. 软件间、软硬件间的冲突检查:
a)
可采用两种软件问题隔离的方法。一是在软件最小系统下,关闭正在运行的应用程序,然后安装需要的应用软件;另一是在原系统下直接关闭正在运行的应用程序,然后安装需要的应用软件。关闭已有的应用的方法是:使用msconfig禁用启动组、autoexec.bat、config.sys、win.ini、system.ini中在启动时调用的程序;
b)
使用任务管理器,检查系统中有无不正常的进程,并给予杀除;
c) 对于基本满足软件技术手册要求但安装不上的情况,看能否通过设置调整来解决。如果不能解决,则视为不兼容;
d) 利用其它机器(最好是不同配置的),检查是否存在软、硬件方面的兼容问题;
e) 检查系统中是否已经安装过该软件,如果已经安装过应先将其卸载后再安装,如果无法正常卸载,可以手动卸载或通过恢复注册表来卸载(对于Windows XP可使用系统还原功能来卸载);
f) 必要时,可从网络上查阅相关资料,之后再与软件厂商联系,看是否有其他的注意事项。
C. 硬件检查:
在以上的步骤都不奏效时可伤心虑硬件问题,应检查光驱、安装介质、硬盘线等配件。
3) 硬件设备安装:
A. 冲突检查:
a)
所安装的设备、配件是否在系统启动前的自检过程中识别到,或能由操作系统识别到(非即插即用识备除外)。如果不能识别,应检查BIOS设置及设备本身,包括跳线及相应的插槽或端口;
b)
检查新安装的设备与原系统中的设备是否有冲突;通过改变驱动的安装顺序、去除原系统中的相应配件或设备、更换插槽,看故障是否消除。如果不能消除,则为不兼容;
c) 加装的设备是否与现有系统的技术规格或物理规格匹配;
d) 检查当前系统中的一些设置(主要是.ini文件中的设置)是否与所安装的配件或设备驱动有不匹配的地方;
B. 驱动程序检查:所安装的设备驱动是否为合适的版本(即,不一定是最新的);
C. 硬件检查:
a)
所安装的配件或设备是否本身就有故障;
b)
检查原系统中的配件是否有不良的现象(如插槽损坏、供电能力不足等)。
五、本类故障的判断流程
见附录一之(五)。
六、案例
案例一:
问题描述:用户报修天禧6620机器,在安装98过程中,提示剩余三分钟时。Hwinfo报错,无法正常安装。
解决方案:工程师上门后,经过检测,确实存在用户反应的问题。然后尝试将安装文件拷贝到硬盘上安装和换一张安装盘安装,故障依旧。接着检查BIOS发现,系统日期是2075年。将日期改回后,故障排除。问题虽小,影响却大。在此,提醒各位同仁,做事要细心,不要忽略每个细节。
案例二:
问题描述:逐日2000机器,一次突然死机,不能启动,重装系统能成功,但在设备管理里有很多问号,如打印口,COM口等都没有驱动。
解决方案:在站内又重装系统,驱动主板不能解决问题,看来只有更换主机才行了。打开机箱,发现有很多灰尘,取出主板,进行大扫除,抱着试一试的心里,重装一切OK。
案例三:
问题描述:一用户奔月4000机器/PIII 1G,他是单位技术员,说此机不能重装系统,每次重装都死机,要求上门维修。
解决方案:到达用户处,发现重装到检测硬件时无反应,打开机器进行检查时,发现CPU风扇不是联想。客户说这是刚从市场上拿来的,新的,应没有问题。依次替代硬盘与内存没有用,经用户同意带回站内烤机,再换下主板与CPU还是不行,后经多次重试发现每次死时间越来越短,怀疑还是CPU风扇有问题。换其它联想机器上的风扇竟解决问题。引起故障原因是客户的CPU风扇转速不够,引起温度过高死机
第六章 操作与应用类故障
一、定义举例
这类故障主要是指启动完毕后到关机前所发生的应用方面及系统方面的故障。
二、可能的故障现象
1、 休眠后无法正常唤醒;
2、 系统运行中出现蓝屏、死机、非法操作等故障现象;
3、 系统运行速度慢;
4、 运行某应用程序,导致硬件功能失效;
5、 游戏无法正常运行;
6、 应用程序不能正常使用。
三、可能涉及的配件
主板、CPU、内存、电源、磁盘、键盘、接插的板卡等
四、判断要点/顺序
1、 维修前的准备
1) 干净的可用硬盘;
2) 杀毒软件;
3) 尽可能新的驱动程序、若干版本的BIOS;
4) 磁盘连接的数据线等。
2、 环境检查
1) 市电及连接检查:
A. 检查市电是否正常,连接是否牵伤心;是否有接地;
B. 设备间的连接线是否接错或漏接。
2) 周边及外观检查:
A. 检查与主机连接的其他外设工作是否正常;
B. 驱动器工作时是否有异响,CPU风扇的转速是否过慢或不稳定;
C. 观察机箱内灰尘是否太多,而导致各插接件间接触不良。先除尘后可用橡皮等擦拭金手指,去除氧化层或灰尘。然后重新插上;
D. 观察系统是否有异味,元器件的温升是否过高或过快。
3) 显示与设置检查:
A. 详细记录报错信息,判断可能造成故障的部位;
B. 注意CMOS中对于硬盘、系统时间、CPU温度的设置,注意在自检时显示的硬件信息和机器配置是否相符;
C. 仔细阅读软件的使用指南,注意软件运行的环境要求。
4) 充分与用户沟通:
A. 了解用户的使用情况;
B. 出故障前的现象;
C. 做过什么操作才出现目前的故障。
根据以上了解的情况,来初步判断可能的故障原因。
3、 故障判断要点
1) 检查是否由于用户误操作引起
A. 机器出现死机、蓝屏或无故重启时,首先要伤心虑到用户的操作是否符合操作规范和要求,要仔细询问、观察用户的操作方法是否符合常理,并由工程师用正确的方法操作、应用用户的机器,查看是否出现用户所报修的故障。若不出现,则可认为是用户操作不当引起的,由工程师向用户解释并演示正确的操作方法。
B. 若经过上述操作故障依然存在,可用系统文件检查器检查用户的机器系统是否有丢失的DLL文件,并尝试恢复。
C. 注意观察用户的机器在死机、蓝屏或无故重启时有没有规律,并找出可能引起机器故障的原因(如机器在运行某一程序时或机器开机在一定时间内死机)。
D. 通过与另一台软硬件相同且无故障的机器进行比较,查看故障机的文件大小是否相同或相差不大,主程序的版本是否一致。
2) 检查是否由于病毒或防病毒程序引起故障
A. 检查用户的机器是否被病毒感染,使用杀毒软件杀毒;
B. 检查用户是否安装了两个或两个以上的防毒软件,建议用户使用其中一个,并卸载其他的防毒软件;
C. 检查是否有木马程序,用最新版的杀毒程序可以查出木马程序。可以通过安装补丁来弥补程序中的安全漏洞,或者安装防火墙。
3) 检查是否由于操作系统问题引起故障
A. 检查硬盘是否有足够的剩余空间,并检查临时文件是否太多。整理硬盘空间,删除不需要的文件;
B. 对于系统文件损坏或丢失,可以使用系统文件检查器进行检查和修复;
C. 检查操作系统是否安装了合适的系统补丁(对于Winnt可在启动时观察service pack的版本,推荐使用SP6;Win2k和Winxp可以在系统属性中查看,Win2k推荐使用SP3,Winxp推荐使用SP1。);
D. 检查DirectX驱动是否正常,升级DirectX的版本;
E. 检查是否正确安装了设备的驱动程序,并且驱动的版本是否合适。检查驱动安装的顺序是否正确(例如:首先安装主板驱动)。
4) 检查是否由软件冲突、兼容引起故障
A. 检查用户应用软件的运行环境是否与现有的操作系统(NT/98/2K/XP)相兼容,可通过查看软件说明书或到应用软件网页上查找相关资料,并查看网页上有没有对于此软件的升级程序或补丁可安装。
B. 可用任务管理器观察故障机器的后台是否有不正常的程序在运行,并尝试关闭程序只保留最基本的后台程序。
C. 注意查看故障机内是否有共用的DLL文件,可通过改变安装顺序或安装目录来解决问题。
5) 检查硬件设置是否不正确
A. 首先,检查CMOS设置是否正确,可恢复默认值;
B. 在设备管理器中检查硬件是否正常,中断是否有冲突,如有冲突,调整系统资源(对于某些硬件,要阅读说明书,按照说明正确设置硬件);
C. 在设备管理器中将硬件驱动删除,重新安装驱动程序(最好安装版本正确的驱动程序),查看硬件驱动是否恢复正常;
D. 运行硬件检测程序,如AMI等检测硬件是否有故障;
E. 在软件最小系统情况下, 重新更新硬件驱动,观察故障是否消失。
6) 检查是否为兼容问题
A. 遇到兼容性问题时,应检查硬件的规格和标准(如同时使用多条内存时检查内存是否为同一厂家、同一规格、同一容量、内存颗粒同一批次),是否允许在一起使用。
B. 阅读说明书或到网页上查找相关资料,检查用户的硬件正常使用所需的软件要求,现在的软件环境是否符合要求,软硬件之间是否相互支持。
C. 在设备管理器中检查用户的系统资源是否有冲突,如有冲突,手动调整系统源。
D. 在设备管理器中检查用户机器的硬件的驱动是否安装正确,更新合适版本的设备驱动(如某些显卡用WIN2000或WINXP自带的公版驱动,会造成某些大型3D游戏无法运行);
E. 检查维修BOM,去除非联想的硬件,检查系统是否可正常工作,如可正常工作,建议用户更换自行添加的硬件或查找硬件相关资料进行解决。
7) 检查是否由于网络故障引起
A. 碰到机器连接在网络上,出现死机、运行慢、蓝屏等故障时,应首先关闭网络,与网络环境隔离,观察故障是否消失,如故障消失,则为网络问题引起故障。
B. 确为网络问题引起的故障,其判断与解决步骤参伤心网络部分。
8) 检查是否由于硬件性能不佳或损坏引起
A. 使用相应的硬件检测程序,检查硬件是否有故障,如果有,利用替换法排除相应的硬件;
B. 用替换法检查检测程序无法判断的硬件故障。
第七章 局域网类故障
一、定义举例
这类故障主要涉及局域网宽带网等网络环境中的故障。
二、可能的故障现象
1、 网卡不工作,指示灯状态不正确;
2、 网络连不通或只有几台机器不能上网、能Ping通但不能连网、网络传输速度慢;
3、 数据传输错误、网络应用出错或死机等;
4、 网络工作正常,但某一应用下不能使用网络;
5、 只能看见自己或个别计算机;
6、 无盘站不能上网或启动报错;
7、 网络设备安装异常。
8、 网络时通时不通。
三、可能涉及的配件
网卡、交换机(包括HUB、路由器等)、网线、主板、硬盘、电源等相关配件。
四、判断要点/顺序
1. 维修前的准备
1) 可用的网线(直连线和普通网线,线序符合国际标准);
2) 如有条件,带上网线连接检查器。
2. 环境检查
1) 电源连接检查:
A. 市电的接线定义是否正确;
B. 是否有地线;
C. 网络上的各设备(如:HUB、交换机等)是否均已上电工作。
2) 网线连接检查:
A. 网线连接线序是否与网络连接的要求匹配(如直连和普通网线);
B. 网线的连通性是否正常,要查看网线有无破损、过度扭曲;
C. 网线长度是否过长(如5类双绞线长度超过技术规格要求的100米);
D. 网线接头——水晶头是否完好、是否氧化;
E. 网卡接口是否完好。重新插拨网线检查网线与网卡连接是否松动;
F. 根据电缆要求是否有终结器,终结器是否正常。
3) 网络设备外观及周边检查:
A. 加电启动后,网卡指示灯是否亮等;
B. HUB等设备的网线接口,在与终端或服务器连接后,如果终端或服务器启动及配置正常,其指示灯会亮(注意指示灯颜色是否正常,参伤心设备说明书),如果指示灯不亮,说明设备有故障;
C. 网卡配件是否接插到位无翘起,网卡上金手指是否氧化;
D. 网线或交换机等设备周围是否有干扰。
4) 主机外观检查:
A. 检查机箱内是否有异物造成短路;
B. 机箱内的灰尘是否过多,如果是,应清理灰尘;
C. 主板与网卡上元器件是否有变形、变色现象;
D. 加电后,注意配件、元器件及其它设备是否有异味、温度异常等现象发生。
5) 其它方面:
A. 在UNIX下,要分清是终端死机还是服务器死机
3. 故障判断要点
1) 寻求用户网管的配合。
首先应尽可能与网管联系,以得到网管合作。
2) 网络环境检查:
A. 对于掉线、丢包等故障,要注意检查网卡与交换机间的兼容性;
B. 网络连接正常,但不能进行域登录,要从以下几点检查:
a)
指明的域名是否存在或已工作;
b)
是否已按服务器、操作系统的要求(如在服务器端启用了WINS解析服务、DNS服务等,WINXP HOME版不能登录到域中。),设置终端允许登录到域中,计算机名是否已注册到域中;
c) 检查使用的协议是否正确;
C. 检查是否安装了防火墙,是否被授权访问;
D. 在必要时,使用直连线只连接两台机器在对等网环境下检查是否可连网(这样做可排除网络上诸环境因素的影响)。
3) 网络适配器驱动与属性检查:
A. 驱动程序是否正确、合适。网卡设备建议由系统自动识别,并尽可能使用与操作系统匹配和更新的驱动程序(只有老型号的ISA网卡才可使用手动安装的方法进行驱动的安装)。在安装驱动程序时,如有必要,可将启动中加载的和正在运行的程序关掉,再行安装;
B. 网卡在某一网络环境下工作不正常,可调整网速,如对于10/100Mbps的网卡,如果工作在10Mbps的网络环境下,网络工作不正常,应特别指定网卡工作在10Mbps的速度上;
C. 检查网络通信方式,如是否为全双工等。
4) 网络协议检查:
A. 检查网络中的协议等项设置是否正确(不管用哪种协议,必须保证网内的机器使用的协议一致)。网络中是否有重名的计算机名;
B. 如果不能看到自己或其它计算机,先通过按F5多刷新几次来检查,然后检查是否安装并启用了文件和打印共享服务、是否添加了NETBEUI协议(如果网络环境中有WINS服务器,则不需添加,如没有则要添加);
C. 如能ping通网络,但不能在网上邻居中访问其它终端或服务器,可用ipconfig /all(在命令行方式)、netstat等命令查看具体信息,检查网络属性的设置,如域、工作组等,并进行相应的更改;
D. TCP/IP协议的实用程序ping命令,可用来检查网络的工作情况。这需要维修人员了解TCP/IP协议的相关知识(顺序:PING 127.0.0.1,本机IP、本网段IP、网关、DNS等);
E. 如果PING不通,可尝试在网络属性中把所有的适配器和协议删除,重启后重新安装;
F. 通过执行tracert <目标IP地址 >命令,检查IP包在哪个网段出错;
5) 系统设置与应用检查:
A. 检查机器自检完成后,所列的资源清单中网卡是否被列其中(非PNP网卡除外),其所用资源与其它设备有无共享;
B. 检查系统中是否有与网卡所用资源相冲突的其它设备,如有,可通过更换设备间的安装位置,或手动操作更改冲突的资源。对于ISA总线的网卡,可能需要在CMOS中关掉其所占中断的PnP属性,且其所用资源一般不宜与其它设备共享。较老的PCI设备也不宜与其它设备共享资源;
C. 检查系统中是否存在病毒;
D. 如果某一特定的应用在使用网络时工作不正常,检查CMOS设置是否正确,重点检查网卡的驱动程序是否与其匹配,必要时,关闭其它正在运行的应用程序,及启动中加载的程序,看是否能正常工作,或与能够正常运行该应用的机器进行比较,检查在配置方面有何不同;
E. 通过重新安装系统,检查是否由于系统原因而导致网络工作不正常。
6) 硬件检查:
A. 用网卡自带程序和网卡短路环检测网卡是否完好;
B. 如更换网卡后仍不正常,可更换主板,更换主板仍不能解决时,可伤心虑更换其它型号网卡;
7) 对于无盘站,注意检查以下几点:
A. BIOS中是否允许了从网络启动,BIOS中最好禁用软驱,将"Report No FDD For Win 95",由Yes更改为No(或反之。这与软驱的设置有关)
B. 对于ISA网卡,其BIOS的设置,应使BOOT ROM默认的起始地址为D800H 或C800H,I/O为300H(如有些网卡的默认设置为C800H容易与AGP显卡等配件占用的地址资源冲突导致安装失败)。;
C. 在以上操作无效时,对有些主板,屏蔽板载声卡,再根据需要进行相应的修改。
D. 工作站的协议必须与服务器协议一致;
E. 有多台服务器时,必须指定第一响应服务器。
对于无线网络,特别要注意:
A. 检查两台终端间的有效距离是否过大,中间是否有隔离物;
B. 对等网络下,所使用的频率通道是否一致;
C. 在用AP的环境下,终端的网络ESSID必须与AP一致;
D. 检查网卡和AP的密钥的密钥是否相符。
五、本类故障的判断流程
见附录一之(七)。
六、案例
案例一:
问题描述:网卡不工作,指示灯状态不正确;
解决方案:首先观察系统设备管理器中有没有网卡这个设备,若没有则更换网卡或重新插拔网卡测试,并看金手指部分有没有锈迹,若有,则用橡皮擦干净测试。
案例二:
问题描述:局域网内,只有几台机器能连网,大部分不能互访。网卡灯亮,HUB灯闪
解决方案:见到这种情况,要从软硬两个方面来分析,首先:
a、软件方面,使用最新版本的KV3000进行了查、杀病毒工作,没有发现任何病毒,从而排除了病毒干扰的可能性。网络方面,安装了NetBEUI、IPX/SPX和TCP/IP协议,网卡的驱动也正确安装,在设备管理中没有发现任何冲突,并进行了协议绑定。设置了文件、打印机共享,也设定了工作组名称和计算机名称。应该说从网络协议到共享资源设置等均没有问题,可以排除软件方面的错误。
b、从硬件方面分析,大致有四种可能:其一是网线断路,无法形成信号回路;其二是网线的线序是否正确;其三是在集线器与计算机间连接用的网线过长,超过100米;其四集线器端口有问题。针对这四种可能性,逐个进行排除。使用测线工具或万用表测量网线,发现网线连接状况很好,没有断路。通过目测,连接用的网线长度不可能超过100米。将几台网络已连通的计算机接在集线器上的插口换到怀疑损坏的集线器端口上,这几台计算机仍然互通,说明集线器端口没有损坏。
c、通过对网线线序的检查,发现用户的制作的线序是1、2、3、4,问题就出在这儿,因为RJ45插头正确的连接应该是使用1、2、3、6,其中1、2是一对线,3、6是一对线,其余四根线没有定义。查出了问题,只需为用户重新做网线头,插入后网络正常。
案例三:
问题描述:脑在“网上邻居”中只能看到自己,而看不到其他电脑,从而无法使用其他电脑上的共享资源和共享打印机
解决方案:使用ping命令,ping本地的IP地址或主机名,检查网卡和IP网络协议是否安装完好。如果能ping通,说明该电脑的网卡和网络协议设置都没有问题。问题出在电脑与网络的连接上。因此,应当检查网线和Hub及Hub的接口状态,如果无法ping通,只能说明TCP/IP协议有问题。重新设置网络协议,对于10台以下的机器且不上Internet的机器可伤心虑用NetBEUI协议,若上Intrnet则用TCP/IP协议,不管用哪种协议,必须保证网内的机器使用的协议一样。
案例四:
问题描述:无盘站不能上网或启动报错;
解决方案: NOVELL无盘工作站不能正常登录服务器有以下几种情况:
a.工作站屏幕上出现“Error opening boot disk image file ”OR“Unable to open image file”
这可能是连到了一个没有包含远程启动映像文件的服务器。把启动映像文件拷到这个服务器的Login目录下;如果使用的是多远程启动映像文件,检查Bootconf.sys中对工作站是否进行了正确设置,应确保网络地址和节点地址的正确,如果以上都正确,那么可能是远程启动映像文件有问题,可以测试生成启动映像文件的软盘能否正常启动有盘工作站。若还不行,可以运行一下RPLFIX实用程序。
b.工作站屏幕上出现“Error finding server”
在确保硬件线路连接没问题的前提下,检查服务器上是否安装了“Ethernet_802.3”帧类型,远程启动映像文件的net.cfg 中是否包含Ethernet_802.3,这种就是前面所说的旧型的IPX芯片,它不支持Ethernet-802.2帧。按照相应的帧类型重新制作启动映像文件。
c.工作站在从远程启动映像文件装入网卡驱动时挂起,屏幕并显示下面类似信息:Ethernet card is improperly install or net connected the network.
这就是由于前面所说的旧式IPX芯片在Netware 4.X以上使用时,在远程启动映像文件中没有RPLODI.com或远程启动映像文件的批处理文件中ISL.com下行没有RPLODI.com行。
d.工作站显示“Loading MS-DOS”并挂起
这是由于远程启动映像文件使用了DOS 5.0或以上版本,对远程启动映像的文件运行RPLFIX实用程序。
e.屏幕上出现“batch file missing”
出现这个消息是由于autoexec.bat或其它批处理文件(对多个远程启动映像所使用的批处理)没有同时存在于LOGIN目录和用户登录目录。
第八章 Internet类故障
一、定义举例
主要是与浏览Internet有关的软、硬件故障。如:不能拨号、不能浏览网页等。
二、可能的故障现象
1、 不能拨号、无拨号音、拨号有杂音、上网掉线;
2、 上网速度慢、个别网页不能浏览;
3、 上网时死机、蓝屏报错等;
4、 能收邮件但不能发邮件;
5、 网络设备安装异常;
6、 与调制解调器相连的其它通信设备损坏、或反之。
三、可能涉及的配件
调制解调器、电话机、电话线、局端。余类同 “局域网类故障”。
四、判断要点/顺序
1、 环境检查
1) 周边及外观检查:
A. 市电的接线定义是否正确,是否有地线;
B. 外置MODEM附近是否有变压器等设备或其它可造成干扰的电器设备;
C. 电话是否有防盗打功能,是否安装了IP电话拨号器、传真机等外部设备。这些外部设备连接是否正确,工作是否正常(单独工作和连机情况下);
D. 检查机箱内灰尘是否较多,是否有异物造成短路,插接配件是否接插到位,无翘起;
E. 主板、MODEM或宽带上网网卡上元器件是否有变形、变色等现象;
F. 网卡接口接触是否良好;
G. 加电后注意配件、元器件及其它设备是否有异味、温度异常等现象发生。
2) 信号线连接:
A. 电话线是否正确连接,连接的电话线是否正常,用户的电话是否为分机,是否有来电提醒;
B. 拨打的电话号码是否有限制;
C. 宽带上网其网线定义是否正确,能否连通,有条件的话将机器更换环境(如:到邻居家中或回站)后再进行测试,以验证是否为连线问题;
2、 故障判断要点
1) MODEM配置检查:
A. 检查CMOS中的设置是否正确。MODEM设备是否被系统认到;
B. 软件最小系统加MODEM,检查故障现象是否消失。如消失。则是硬件之间的不兼容或资源冲突造成的故障;
C. 在设备管理器中检查MODEM驱动是否正确,是否有资源冲突。MODEM支持的协议是否与局端不兼容。在驱动不正确时,可能会造成上网掉线、上网速度慢等现象。将原MODEM驱动删除(最好在控制面板——调制解调器中将MODEM删除),安装主板驱动后重新安装MODEM驱动程序;
D. MODEM设备属性设置是否正确(如使用的连接速度等)。
2) 拨号器/拨号过程检查:
A. 检查用户所用的拨号程序,是否为第三方的软件,建议用一新建的拨号连接,拨号上网(最好能不用用户的账号),检查是否能拨号,是否报错;
B. 注意察看报错信息,初步判断故障原因(如:报680错误,是没有拨号音,678错误,是远程服务器没响应等);
C. 用户是否有权访问Internet网络。
3) 网络属性及协议检查:
A. 如果是通过服务提供商来拨号上网的,除一定要安装IP协议外,不应对IP地址等参数进行设定。其它上网方式,应按要求进行相关的设定;
B. 使用的拨号协议是否与服务商要求的一致(如使用PPP协议等)。
4) IE检查:
A. 对于Windows 98系统,如果IE有故障,建议升级IE到5.5版本,或打补丁;
B. 检查IE属性设置是否正确,检查IE是否因上某一网站而被修改。如果临时文件过多,可造成上网后无法浏览网页(可在IE属性中删除临时文件等。关于删除的方法,见本章之后)。是否因为没有安装某些网站所必须的插件,而造成不能浏览网页。检查IE中的安全级别设置,和分级检查设置,恢复成默认值;
C. 检查是否因上某些网站,造成系统被修改(如注册表被禁用等);
D. 检查用户的软件环境,是否由于防病毒、防火墙之类的软件,或其设置不正确,造成浏览困难。
5) 系统检查:
A. 检查系统中是否有病毒;
B. 在MSCONFIG中关掉所有启动时加载的程序,关掉所有正在运行的程序。防止软件冲突造成的无法上网;
C. 必要时重新安装操作系统进行测试。
6) 硬件检查:
A. 更换MODEM所在的插槽,重新检测MODEM并安装驱动,如果无法上网,更换MODEM测试;
B. 如果是在雷雨后出现不能拨号等现象,除检查电缆线及其上的其它设备是否损坏外,应查MODEM是否已损坏;
C. 如还不能上网,注意检查其它硬件;
7) 宽带上网如出现故障,还需检查:
A. 检查网卡驱动是否安装正确;
B. 用闭环测试网卡是否正常;
C. 根据当地实际情况将拨号属性设置正确,根据宽带上网说明重新安装拨号软件,设置各项设置;
D. 更换不同型号网卡进行测试,排除不兼容现象;
E. 联系电信局或小区网管检查网络环境或连接设备;
F. 对于自动上网的,代理服务器不要进行设置,对于早期的宽带网,需要设置IP。
五、本类故障的判断流程
见附录一之(八)。
六、案例
案例一:
问题描述:
一客户机器采用98操作系统,在拨号上网时发现网页无法打开,但右下脚确实有链接的图标,发现无网络流量,但多拨几次后问题解决,此问题复现无规律,客户需要解释原因并证明不是机器的问题。
解决方案:客户要求给予一个合理的解释,因为机器并非无法上网,了解到这一点就应该从软件方面来伤心虑,不能一上来就换硬件,给客户感觉不好。
机器可以正常拨号说明机器的Modem硬件和驱动没有问题,但仔细观察后发现网络流量为0,说明机器并没有在网上,右下脚的链接符号可能是一种假相,使用ipconfig/all命令发现机器没有获得IP地址,为什么会有这种现象呢I诵纳能会和电信接入端有关,反复测试几次拨号上网,发现只要拨号后如果获得IP地址就一定可以上网,如果没有获得IP地址,就一定无法打开网页,客户看到这种现象后基本认可我的说法,并希望通过重新安装操作系统来看是否可以解决,通过重新安装98操作系统后问题依旧,客户已认为机器没有问题,在新的98下我为客户用另外一种方式进行测试,即用98里边的超级终端来拨号,原因是超级终端在拨号时可以看到拨号的全过程,是否可以得到IP地址,在使用超级终端拨号5-6次后发现有一次没有得到IP地址,至此客户完全信服了,正真的原因在于电信的局端,而不是在于机器本身。
案例二:
问题描述:客户机器所装的操作系统为98,除安装Modem外,还加了一块网卡,客户机器平时使用网卡上局域网的,网卡获得IP是采用DHCP方式,但在拨号时无法拨号上网,可是有拨号音,客户要求彻底解决。
解决方案: 客户以前曾经用过Modem拨号上网,现在无法使用,情绪较激动,除了解决外还需要充分的沟通,因此处理的过程很重要。
我在测试时发现故障复现,经过和客户沟通,发现客户以前确实可以拨号上网,最近由于安装了一块网卡,局域网可以上,拨号是用不成了,从和客户的沟通后,我认为不是机器本身的问题,还是和设置及操作系统本身有关,因为在2000下别的机器上是没有此问题的。首先我将网卡屏蔽掉,然后测试拨号上网,发现故障消失,难道和网卡有关,将网卡打开,发现可以拨号上网,问题解决!怎么回事,重新启动后发现局域网上去后拨号再次出现异常,故障复现,使用超级终端拨号发现无法获得IP地址,OK,问题找到,但是什么原因造成无法获得IP地址呢I诵拇来和操作系统有关,因为2000下并无此问题,应该在98下和网卡有关,由于此局域网是采用DHCP方式,我用winipcfg将网卡IP Realse,再次拨号故障解决,总算找出了问题的所在,反复启动并释放网卡IP后拨号正常,后经和微软工程师沟通,确定95和98确实有这种问题,但2000下已经解决了此问题,至此问题圆满解决,客户表示非常认可。
案例三:
问题描述:客户自己买了一个Modem,用此Modem可以拨号163/169上网,但其却无法拨到公司的局域网上收发邮件,客户希望协助解决,虽然客户的Modem不是标配的。
解决方案:客户自己对电脑还是比较熟悉的,因此只是要求我们协助处理,查出真正的原因,所以在处理这个问题时尽量不要打开机箱,做换主板之类的操作,重点要来伤心虑兼容性。
因为可以拨到163上,无法拨到公司网上,所以我重点要看客户Modem的型号及协议,客户的Modem是国产同维的产品,支持V.90协议,客户公司
的Modem是美国3COM的产品,也支持V.90协议,首先用超级终端拨号到公司,发现出现拨号音后2秒后自动断调,没有到获得IP地址的那一步,这就说明这两个Modem出现了兼容性问题,在握手阶段出现了问题,向客户解释清楚后,客户向其单位借了一个3COM Modem,首先用拨号网络测试一切正常,再用超级终端测试发现一切正常,客户非常认可,认为我们的测试方式很有说服力。
附:在IE中删除临时文件可用以下几种办法:
1、 打开IE浏览器,在工具—internet选项中删除临时文件,清空历史记录。(对于IE无法打开的可在这项里的设置中选“每次启动Internet Explorer”,或将Internet临时文件夹使用的磁盘空间加大;
2、 在开始—设置—任务栏和开始菜单—开始菜单程序中选清除;
3、 在c:\windows\history目录中将历史记录删除;
4、 在c:\windowsTemporary Internet Files中删除所有文件;
5、 使用网络实铭等第三方软件进行清除。
第九章 端口与外设故障
一、定义举例
这类故障主要涉及串并口、USB端口、键盘、鼠标等设备的故障。
二、可能的故障现象
1、 键盘工作不正常、功能键不起作用;
2、 鼠标工作不正常;
3、 不能打印或在某种操作系统下不能打印;
4、 外部设备工作不正常;
5、 串口通信错误(如:传输数据报错、丢数据、串口设备识别不到等);
6、 使用USB设备不正常(如USB硬盘带不动,不能接多个USB设备等);
三、可能涉及的配件
装有相应端口的配件(如主板)、电源、连接电缆、BIOS中的设置。
四、判断要点/顺序
1、 维修前的准备
1) 准备相应端口的短路环测试制具;
2) 准备测试程序QA、AMI等——这些程序要求在DOS下运行;
3) 根据站内的资源,准备相应端口使用的电缆线,如并口、打印机线、串口线、USB线等。
2、 环境检查
1) 连接及外观检查:
A. 设备数据电缆接口是否与主机连接良好、针脚是否有弯曲、缺失、短接等现象;
B. 对于一些品牌的USB硬盘,应向用户说明最好使用外接电源以使其更好的工作;
C. 连接端口及相关控制电路是否有变形、变色现象;
D. 连接用的电缆是否与所要连接的设备匹配(如:两台机器通过串口相连,就应使用空调制解调器连接线而不能使用MODEM线等)。
2) 外设检查:
A. 外接设备的电源适配器是否与设备匹配;
B. 检查外接设备是否可加电(包括自带电源,和从主机信号端口取电);
C. 检测其在纯DOS下是否可正常工作。如不能工作,应先检查线缆或更换外设及主板;
D. 如果外接设备有自检等功能,可先行检验其是否为完好;也可将外接设备接至其它联想机器检测。
3、 故障判断要点
1) 尽可能简化系统,无关的外设先去掉;
2) 端口设置检查(BIOS和操作系统两方面):
A. 检查主板BIOS设置是否正确,端口是否打开,工作模式是否正确;
B. 通过更新BIOS、更换不同品牌或不同芯片组主板,测试是否存在兼容问题;
C. 检查系统中相应端口是否有资源冲突。接在端口上的外设驱动是否已安装,其设备属性是否与外接设备相适应。在设置正确的情况下,检测相应的硬件——主板等;
D. 检查端口是否可在DOS环境下使用,可通过接一外设或用下面介绍的端口检测工具检查;
E. 对于串、并口等端口,须使用相应端口的专用短路环,配以相应的检测程序(推荐使用AMI)进行检查。如果检测出有错误,则应更换相应的硬件;
F. 检查在一些应用软件中是否有不当的设置,导致一些外设在此应用下工作不正常。如:在一些应用下,设置了不当的热键组合,使某些键不能正常工作。
3) 设备及驱动程序检查:
A. 驱动重新安装时优先使用设备驱动自带的卸载程序,如Z32打印机;
B. 检查设备软件设置是否与实际使用的端口相对应,如USB打印机要设置USB端口输出;
C. USB设备、驱动、应用软件的安装顺序要严格按照使用说明操作;
D. 外设的驱动程序,最好使用较新的版本,并可到厂商的网站上去升级。
第十章 音视频类故障
一、定义举例
与多媒体播放、制作有关的软硬件故障。
二、可能的故障现象
1、 播放CD、VCD或DVD等报错、死机;
2、 播放多媒体软件时,有图像无声或无图像有声音;
3、 播放声音时有杂音,声音异常、无声;
4、 声音过小或过大,且不能调节;
5、 不能录音、播放的录音杂音很大或声音较小;
6、 设备安装异常。
三、可能涉及的配件
音、视频板卡或设备、主板、内存、光驱、磁盘介质、机箱等。
四、判断要点/顺序
1、 维修前的准备
1) 除必备的维修工具外,应准备最新的设备驱动、补丁程序、主板BIOS、最新的DirectX,标准格式的音频文件(CD、WAV文件)、视频文件(VCD、DVD);
2) 熟悉多媒体应用软件的各项设置,如WINDOWS下声音属性的设置、声卡/显卡附带应用软件的设置、视频盒/卡应用软件的设置等;
3) 有针对性的了解用户的信息,主要了解:出现故障前是否安装过新硬件、软件、重装过系统(包括一键恢复)。
2、 环境检查
1) 检查市电的电压是否在允许的范围内(220V±10%);
2) 检查设备电源、数据线连接是否正确,插头是否完全插好,如音箱、视频盒的音/视频连线等;开关是否开启;音箱的音量是否调整到适当大小;
3) 观察用户的操作方法是否正确;
4) 检查周围使用环境,有无大功率干扰设备,如:空调、背投、大屏幕彩电、冰箱等大功率电器。如果有应与其保持相当的距离(50厘米以上);
5) 检查主板BIOS设置是否被调整,应先将设置恢复出厂状态,特别检查CPU、内存是否被超频。
3、 故障判断要点
1) 对声音类故障(无声、噪音、单声道等),首先确认音箱是否有故障,方法:可以将音箱连接到其他音源(如录音机、随身听)上检测,声音输出是否正常,此时可以判定音箱是否有故障;
2) 检查是否由于未安装相应的插件或补丁,造成多媒体功能工作不正常;
3) 对多媒体播放、制作类故障,如果故障是在不同的播放器下、播放不同的多媒体文件均复现,则应检查相关的系统设置(如声音设置、光驱属性设置、声卡驱动及设置)。乃至检查相关的硬件是否有故障;
4) 如果是在特定的播放器下才有故障,在其他播放器下正常,应从有问题的播放器软件着手,检查软件设置是否正确,是否能支持被播放文件的格式。可以重新安装或升级软件后,看故障是否排除;
5) 如果故障是在重装系统、更换板卡、用系统恢复盘恢复系统、或使用一键恢复等情况下出现,应首先从板卡驱动安装入手检查,如驱动是否与相应设备匹配等;
6) 对于视频输入、输出相关的故障应首先检查视频应用软件采用信号制式设定是否正确,即应该与信号源(如有线电视信号)、信号终端(电视等)采用相同的制式。中国地区普遍为PAL制式;
7) 进行视频导入时,应注意视频导入软件和声卡的音频输入设置是否相符,如:软件中音频输入为MIC,则音频线接声卡的MIC口,且声卡的音频输入设置为MIC;
当仅从光驱读取多媒体文件时出现故障,如:播放DVD/VCD速度慢、不连贯等,先检查光驱的传输模式,应设为“DMA”方式;
9) 检查有无第三方的软件,干扰系统的音视频功能的正常使用。另外,杀毒软件会引起播放DVD/VCD速度慢、不连贯等(如瑞星等,应关闭);
10) 软件检查
A. 检查系统中是否有病毒;
B. 声音/音频属性设置:音量的设定,是否使用数字音频等;
C. 视频设置:视频属性中分辨率和色彩深度;
D. 检查DirectX的版本,安装最新的DirectX。同时使用其提供的Dxdiag.exe程序,对声卡设备进行检查
E. 设备驱动检查:在WINDOWS下“系统—设备管理”中,检查多媒体相关的设备(显卡、声卡、视频卡等)是否正常,即不应存在有“?”或“!”等标识,设备驱动文件应完整。必要时,可通过卸载驱动再重新安装或进行驱动升级。对于说明书中注明必须手动安装的声卡设备,应按要求删除或直接覆盖安装(此时,不应让系统自动搜索,而是手动在设备列表中选取);
F. 如用户曾重装过系统,可能在装驱动时没有按正确步骤操作(如重启动等),导致系统显示设备正常,但实际驱动并没有正确工作。此时应为用户重装驱动。方法可同上;
G. 用系统恢复盘恢复系统、或使用一键恢复后有时会出现系统识别的设备不是用户实际使用的设备,而且在WINDOWS下“系统—设备管理”中不报错,这时必须仔细核对设备名称是否与实际的设备一致,不一致则重装驱动(如:更换过可替换的主板后声卡芯片与原来的不一致);
H. 重装驱动仍不能排除故障,应伤心虑是否有更新的驱动版本,应进行驱动升级、或安装补丁程序。
11) 硬件检查
A. 用内存检测程序检测内存部分是否有故障。伤心虑的硬件有主板和内存;
B. 首先采用替换法检查与故障直接关联的板卡、设备。声音类的问题:声卡、音箱、主板上的音频接口跳线;显示类问题:显卡;视频输入、输出类问题:视频盒/卡;
C. 当仅从光驱读取多媒体文件时出现故障,在软件设置无效时,用替换法确定光驱是否有故障;
D. 对于有噪音问题,检查光驱的音频连线是否正确安装,音箱自身是否有问题,音箱电源适配器是否有故障,及其他匹配问题等;
E. 用磁盘类故障判断方法,检测硬盘是否有故障;
F. 采用替换法确定CPU是否有故障;
G. 采用替换法确定主板是否有故障。
五、本类故障的判断流程
见附录一之(十)。
六、案例
案例一:
问题描述:用户报修同禧E5000电脑,安装的WINDOWS XP系统。用户在播放音视频文件,如VCD、CD、MP3等时,音箱里“滋滋”的噪音很明显。
解决方案:一般看到此类问题,总是会先想到是音箱的问题,或者主板的声卡有问题。但是工程师先后更换音箱、主板都是故障依旧。此时维修陷入困境。
其实只要仔细观察并思伤心一下,本着先软后硬的思路去观察,问题应该能很快解决的。此案例中,由于机器本身出厂是DOS系统,WINDOWS XP是用户自己安装的,声卡驱动也是WINDOWS XP自己认的,而恰恰是XP自带的驱动出了问题,造成用户报修的问题现象。只要安装随机驱动光盘里的相应的驱动程序,问题就迎刃而解了。
案例二:
问题描述:用户购买的未来先锋722机器,自己按装了 WINDOWS 98,发现播放CD时无声音。在声音控制里已经打开了CD的控制,并且把音量调节到最大了。
解决方案:首先我们要知道这点,联想出厂预装WINDOWS XP的机器,已经不再配置光驱和声卡之间的音频线了,播放CD时都采用XP本身提供的数字音频功能直接播放。而WINDOWS 98不具备数字音频的功能。明白了这一点,用户的问题的答案也就明朗了。
告诉用户机器标配中利用WINDOWS XP的数字音频功能播放CD,所以机器没有配置光驱音频线。而WINDOWS 98不支持数字音频功能,所以会产生这样的问题。建议用户还是使用WINDOWS XP操作系统,或者自己添加一根音频线。
从这个案例不难看出,对产品配置、技术规范的了解和掌握对于我们解决用户问题是很重要的保证。
第十一章兼容或配合性故障
一、定义举例
这类故障主要是由于用户追加第三方软、硬件设备而引起的软、硬件故障。
这类故障,在前面的几类故障中已部分提及,因此有些故障现象可能与前面所介绍的故障判断类似,可参伤心。
二、可能的故障现象
1、 加装用户的设备或应用后,系统运行不稳定,如:死机或重启等;
2、 用户所加装的设备不能正常工作;
3、 用户开发的应用不能正常工作;
4、 用户需要的配置在联想机上不能满足(如需要加装大容量内存、需要多个串口等)。
三、可能涉及的配件
所有可能的配件或软件。但影响第三方应用最多的配件应该是:主板、CPU、内存、显示卡,及新型接口的外设。
四、判断要点/顺序
1、 环境检查
1) 检查外加设备板卡等的制作工艺,对于工艺粗糙的板卡或设备,很易引起黑屏、电源不工作、运行不稳定的现象;
2) 检查追加的内存条是否与原内存条是同一型号。不同的型号一是会引起兼容问题,造成运行不稳定、死机等现象;另一是要注意修改BIOS中的设置;
3) 更新或追加的配件,如CPU、硬盘等的技术规格是否能与其余的配件兼容。过于新的配件或规格较旧的配件,都会与原有配置不兼容。如:较旧的配件不支持电源管理,从而使系统运行时,使用这样的配件就会工作不正常,或是使整个系统也不能正常工作。
2、 故障判断要点
1) 开机后应首先检查新更新的或追加的配件,在系统启动前出现的配置列表中能否出现。如果不能,应检查其安装及其技术规格;
2) 如果造成无显、运行不稳定或死机等现象,应先去除更新或追加的配件或设备,看系统是否恢复到正常的工作状态,并认真研读新设备、配件的技术手册,了解安装与配置方法;
3) 外加的设备如不能正常安装,应查看其技术手册了解正确的安装方法、技术要求等,并尽可能使用最新版本的驱动程序。如果不能解决,应检查外加设备的质辽诵陌原系统的工作情况;
4) 检查新追加或更新配件与原有配件间是否存在不能共享资源的现象,即调开相应配件的资源检查故障是否消失,在不能调开时,可设法更换安装的插槽位置,或在BIOS中更改资源的分配方式;
5) 检查是否由于BIOS的原因造成了兼容性问题,这可通过更新BIOS来检查(注不一定是最新版或更高版本,可以降低版本检查);
6) 查看追加的配件上的跳线设置是否恰当,并进行必要的设置修改;
7) 对于使用较旧的板卡或软件,应注意是否由于速度上的不匹配而引起工作不正常;
通过更改系统中的设置或服务,来检查故障是否消失。如电源管理服务、设备参数修改等;
9) 检查原有的软硬件是否存在性能不佳的情况,即通过更换硬件或屏蔽原有软件来检查。
第三部分--附录
每个用户的硬盘中都存放着大量的有用数据,而硬盘又是一个易出毛病的配件。为了有效的保存硬盘中的数据,除了有效的保存硬盘中的数据,备份工作以外,还要学会在硬盘出现故障时如何救活硬盘,或者提取其中的有用数据,把损失降到最小程度。
1、系统不承认硬盘
此类故障比较常见,即从硬盘无法启动,从A盘启动也无法进入C盘,使用CMOS中的自动监测功能也无法发现硬盘的存在。这种故障大都出现在连接电缆或IDE口端口上,硬盘本身的故障率很少,可通过重新插拔硬盘电缆或者改换IDE口及电缆等进行替换试验,可很快发现故障的所在。如果新接上的硬盘不承认,还有一个常见的原因就是硬盘上的主从条线,如果硬盘接在IDE的主盘位置,则硬盘必须跳为主盘状,跳线错误一般无法检测到硬盘。
2、CMOS引起的故障
CMOS的正确与否直接影响硬盘的正常使用,这里主要指其中的硬盘类型。好在现在的机器都支持"IDEautodetect"的功能,可自动检测硬盘的类型。当连接新的硬盘或者更换新的硬盘后都要通过此功能重新进行设置类型。当然,现在有的类型的主板可自动识别硬盘的类型。当硬盘类型错误时,有时干脆无法启动系统,有时能够启动,但会发生读写错误。比如CMOS中的硬盘类型小于实际的硬盘容量,则硬盘后面的扇区将无法读写,如果是多分区状态则个别分区将丢失。还有一个重要的故障原因,由于目前的IDE都支持逻辑参数类型,硬盘可采用Normal、LBA、Large等。如果在一般的模式下安装了数据,而又在CMOS中改为其他的模式,则会发生硬盘的读写错误故障,因为其物理地质的映射关系已经改变,将无法读取原来的正确硬盘位置。
3、主引导程序引起的启动故障
硬盘的主引导扇区是硬盘中的最为敏感的一个配件,其中的主引导程序是它的一部分,此段程序主要用于检测硬盘分区的正确性,并确定活动分区,负责把引导权移交给活动分区的DOS或其他操作系统。此段程序损坏将无法从硬盘引导,但从软区或光区之后可对硬盘进行读写。修复此故障的方法较为简单,使用高版本DOS的fdisk最为方便,当带参数/mbr运行时,将直接更换(重写)硬盘的主引导程序。实际上硬盘的主引导扇区正是此程序建立的,fdisk.exe之中包含有完整的硬盘主引导程序。虽然DOS版本不断更新,但硬盘的主引导程序一直没有变化,从DOS3.x到目前有winDOS95的DOS,所以只要找到一种DOS引导盘启动系统并运行此程序即可修复。
4、分区表错误引导的启动故障
分区表错误是硬盘的严重错误,不同错误的程度会造成不同的损失。如果是没有活动分区标志,则计算机无法启动。但从软驱或光驱引导系统后可对硬盘读写,可通过fdisk重置活动分区进行修复。如果是某一分区类型错误,可造成某一分区的丢失。分区表的第四个字节为分区类型值,正常的可引导的大于32mb的基本DOS分区值为06,而扩展的DOS分区值是05。如果把基本DOS分区类型改为05则无法启动系统,并且不能读写其中的数据。如果把06改为DOS不识别的类型如efh,则DOS认为改分区不是DOS分区,当然无法读写。很多人利用此类型值实现单个分区的加密技术,恢复原来的正确类型值即可使该分区恢复正常。分区表中还有其他数据用于纪录分区的起始或终止地址。这些数据的损坏将造成该分区的混乱或丢失,一般无法进行手工恢复,唯一的方法是用备份的分区表数据重新写回,或者从其他的相同类型的并且分区状况相同的硬盘上获取分区表数据,否则将导致其他的数据永久的丢失。在对主引导扇区进行操作时,可采用nu等工具软件,操作非常的方便,可直接对硬盘主引导扇区进行读写或编辑。当然也可采用debug进行操作,但操作繁琐并且具有一定的风险。
5、分区有效标志错误引起的硬盘故障
在硬盘主引导扇区中还存在一个重要的部分,那就是其最后的两个字节:55aah,此字为扇区的有效标志。当从硬盘,软盘或光区启动时,将检测这两个字节,如果存在则认为有硬盘存在,否则将不承认硬盘。此标志时从硬盘启动将转入rombasic或提示放入软盘。从软盘启动时无法转入硬盘。此处可用于整个硬盘的加密技术。可采用debug方法进行恢复处理。另外,DOS引导扇区仍有这样的标志存在,当DOS引导扇区无引导标志时,系统启动将显示为:"missingoperatingsystem"。其修复的方法可采用的主引导扇区修复方法,只是地址不同,更方便的方法是使用下面的DOS系统通用的修复方法。
6、DOS引导系统引起的启动故障
DOS引导系统主要由DOS引导扇区和DOS系统文件组成。系统文件主要包括io.sys、msdos.sys、command.com,其中command.com是DOS的外壳文件,可用其他的同类文件替换,但缺省状态下是DOS启动的必备文件。在Windows95携带的DOS系统中,msdos.sys是一个文本文件,是启动windows必须的文件。但只启动DOS时可不用此文件。但DOS引导出错时,可从软盘或光盘引导系统,之后使用sysc:传送系统即可修复故障,包括引导扇区及系统文件都可自动修复到正常状态。
7、fat表引起的读写故障
fat表纪录着硬盘数据的存储地址,每一个文件都有一组连接的fat链指定其存放的簇地址。fat表的损坏意味着文件内容的丢失。庆幸的是DOS系统本身提供了两个fat表,如果目前使用的fat表损坏,可用第二个进行覆盖修复。但由于不同规格的磁盘其fat表的长度及第二个fat表的地址也是不固定的,所以修复时必须正确查找其正确位置,由一些工具软件如nu等本身具有这样的修复功能,使用也非常的方便。采用debug也可实现这种操作,即采用其m命令把第二个fat表移到第一个表处即可。如果第二个fat表也损坏了,则也无法把硬盘恢复到原来的状态,但文件的数据仍然存放在硬盘的数据区中,可采用chkdsk或scandisk命令进行修复,最终得到*.chk文件,这便是丢失fat链的扇区数据。如果是文本文件则可从中提取并可合并完整的文件,如果是二进制的数据文件,则很难恢复出完整的文件。
8、目录表损坏引起的引导故障
目录表纪录着硬盘中文件的文件名等数据,其中最重要的一项是该文件的起始簇号,目录表由于没有自动备份功能,所以如果目录损坏将丢失大量的文件。一种减少损失的方法也是采用上面的chkdsk或scandisk程序的方法,从硬盘中搜索出chk文件,由目录表损坏时是首簇号丢失,在fat为损坏的情况下所形成的chk文件一般都比较完整的文件数据,每一个chk文件即是一个完整的文件,把其改为原来的名字可恢复大多数文件。
9、误删除分区时数据的恢复
当用fdisk删除了硬盘分区之后,表面现象是硬盘中的数据已经完全消失,在未格式化时进入硬盘会显示无效驱动器。如果了解fdisk的工作原理,就会知道,fdisk只是重新改写了硬盘的主引导扇区(0面0道1扇区)中的内容。具体说就是删除了硬盘分区表信息,而硬盘中的任何分区的数据均没有改变,可仿造上述的分区表错误的修复方法,即想办法恢复分区表数据即可恢复原来的分区即数据,但这只限于除分区或重建分区之后。如果已经对分区用format格式化,在先恢复分区后,在按下面的方法恢复分区数据。
10、误格式化硬盘数据的恢复
在DOS高版本状态下,格式化操作format在缺省状态下都建立了用于恢复格式化的磁盘信息,实际上是把磁盘的DOS引导扇区,fat分区表及目录表的所有内容复制到了磁盘的最后几个扇区中(因为后面的扇区很少使用),而数据区中的内容根本没有改变。这样通过运行"unformatc:"即可恢复原来的文件分配表及目录表,从而完成硬盘信息的恢复。另外DOS还提供了一个miror命令用于纪录当前的磁盘的信息,供格式化或删除之后的恢复使用,此方法也比较有效。
硬盘基本知识
硬盘的DOS管理结构
1.磁道,扇区,柱面和磁头数
硬盘最基本的组成部分是由坚硬金属材料制成的涂以磁性介质的盘片,不同容量硬盘的盘片数不等。每个盘片有两面,都可记录信息。盘片被分成许多扇形的区域,每个区域叫一个扇区,每个扇区可存储128×2的N次方(N=0.1.2.3)字节信息。在DOS中每扇区是128×2的2次方=512字节,盘片表面上以盘片中心为圆心,不同半径的同心圆称为磁道。硬盘中,不同盘片相同半径的磁道所组成的圆柱称为柱面。磁道与柱面都是表示不同半径的圆,在许多场合,磁道和柱面可以互换使用,我们知道,每个磁盘有两个面,每个面都有一个磁头,习惯用磁头号来区分。扇区,磁道(或柱面)和磁头数构成了硬盘结构的基本参数,帮这些
参数可以得到硬盘的容量,基计算公式为:
存储容量=磁头数×磁道(柱面)数×每道扇区数×每扇区字节数
要点:(1)硬盘有数个盘片,每盘片两个面,每个面一个磁头
(2)盘片被划分为多个扇形区域即扇区
(3)同一盘片不同半径的同心圆为磁道
(4)不同盘片相同半径构成的圆柱面即柱面
(5)公式: 存储容量=磁头数×磁道(柱面)数×每道扇区数×每扇区字节数
(6)信息记录可表示为:××磁道(柱面),××磁头,××扇区
2.簇
“簇”是DOS进行分配的最小单位。当创建一个很小的文件时,如是一个字节,则它在磁盘上并不是只占一个字节的空间,而是占有整个一簇。DOS视不同的存储介质(如软盘,硬盘),不同容量的硬盘,簇的大小也不一样。簇的大小可在称为磁盘参数块(BPB)中获取。簇的概念仅适用于数据区。
本点:(1)“簇”是DOS进行分配的最小单位。
(2)不同的存储介质,不同容量的硬盘,不同的DOS版本,簇的大小也不一样。
(3)簇的概念仅适用于数据区。
3.扇区编号定义:绝对扇区与DOS扇区
由前面介绍可知,我们可以用柱面/磁头/扇区来唯一定位磁盘上每一个区域,或是说柱面/磁头/扇区与磁盘上每一个扇区有一一对应关系,通常DOS将“柱面/磁头/扇区”这样表示法称为“绝对扇区”表示法。但DOS不能直接使用绝对扇区进行磁盘上的信息管理,而是用所谓“相对扇区”或“DOS扇区”。“相对扇区”只是一个数字,如柱面140,磁头3,扇区4对应的相对扇区号为2757。该数字与绝对扇区“柱面/磁头/扇区”具有一一对应关系。当使用相对扇区编号时,DOS是从柱面0,磁头1,扇区1开始(注:柱面0,磁头0,扇区1没有DOS扇区编号,DOS下不能访问,只能调用BIOS访问),第一个DOS扇区编号为0,该磁道上剩余的扇区编号为1到16(设每磁道17个扇区),然后是磁头号为2,柱面为0的17个扇区,形成的DOS扇区号从17到33。直到该柱面的所有磁头。然后再移到柱面1,磁头1,扇区1继续进行DOS扇区的编号,即按扇区号,磁头号,柱面号(磁道号)增长的顺序连续地分配DOS扇区号。
公式:记DH--第一个DOS扇区的磁头号
DC--第一个DOS扇区的柱面号
DS--第一个DOS扇区的扇区号
NS--每磁道扇区数
NH--磁盘总的磁头数
则某扇区(柱面C,磁头H,扇区S)的相对扇区号RS为:
RS=NH×NS×(C-DC)+NS×(H-DH)+(S-DS)
若已知RS,DC,DH,DS,NS和NH则
S=(RS MOD NS)+DS
H=((RS DIV NS)MOD NH)+DH
C=((RS DIV NS)DIV NH)+DC
要点:(1)以柱面/磁头/扇区表示的为绝对扇区又称物理磁盘地址
(2)单一数字表示的为相对扇区或DOS扇区,又称逻辑扇区号
(3)相对扇区与绝对扇区的转换公式
4.DOS磁盘区域的划分
格式化好的硬盘,整个磁盘按所记录数据的作用不同可分为主引导记录(MBR:Main Boot Record),Dos引导记录(DBRosBoot Record),文件分配表(FAT:File Assign Table),根目录(BD:Boot Directory)和数据区。前5个重要信息在磁盘的外磁道上,原因是外圈周长总大于内圈周长,也即外圈存储密度要小些,可伤心性高些。
要点:(1)整个硬盘可分为MBR,DBR,FAT,BD和数据区。
(2)MBR,DBR,FAT,和BD位于磁盘外道。
5.MBR
MBR位于硬盘第一个物理扇区(绝对扇区)柱面0,磁头0,扇区1处。由于DOS是由柱面0,磁头1,扇区1开始,故MBR不属于DOS扇区,DOS不能直接访问。MBR中包含硬盘的主引导程序和硬盘分区表。分区表有4个分区记录区。记录区就是记录有关分区信息的一张表。它从主引导记录偏移地址01BEH处连续存放,每个分区记录区占16个字节。
分区表的格式
分区表项的偏移 意义 占用字节数
00 引导指示符 1B
01 分区引导记录的磁头号 1B
02 分区引导记录的扇区和柱面号 2B
04 系统指示符 1B
05 分区结束磁头号 1B
06 分区结束扇区和柱面号 2B
08 分区前面的扇区数 4B
0C 分区中总的扇区数 4B
4个分区中只能有1个活跃分区,即C盘。标志符是80H在分区表的第一个字节处。若是00H则表示非活跃分区。例如:
80 01 01 00 0B FE 3F 81 3F 00 00 00 C3 DD 1F 00
00 00 01 82 05 FE BF 0C 02 DE 1F 00 0E 90 61 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
要点:(1)MBR位于硬盘第一个物理扇区柱面0,磁头0,扇区1处。不属于DOS扇区,
(2)主引导记录分为硬盘的主引导程序和硬盘分区表。
6.DBR
DBR位于柱面0,磁头1,扇区1,即逻辑扇区0。DBR分为两部分:DOS引导程序和BPB(BIOS参数块)。其中DOS引导程序完成DOS系统文件(IO.SYS,MSDOS.SYS)的定位与装载,而BPB用来描述本DOS分区的磁盘信息,BPB位于DBR偏移0BH处,共13字节。它包含逻辑格式化时使用的参数,可供DOS计算磁盘上的文件分配表,目录区和数据区的起始地址,BPB之后三个字提供物理格式化(低格)时采用的一些参数。引导程序或设备驱动程序根据这些信息将磁盘逻辑地址(DOS扇区号)转换成物理地址(绝对扇区号)。
BPB格式序号 偏移地址 意义
1 03H-0AH OEM号
2 0BH-0CH 每扇区字节数
3 0DH 每簇扇区数
4 0EH-0FH 保留扇区数
5 10H FAT备份数
6 11H-12H 根目录项数
7 13H-14H 磁盘总扇区数
8 15H 描述介质
9 16H-17H 每FAT扇区数
10 18H-19H 每磁道扇区数
11 1AH-1BH 磁头数
12 1CH-1FH 特殊隐含扇区数
13 20H-23H 总扇区数
14 24H-25H 物理驱动器数
15 26H 扩展引导签证
16 27H-2AH 卷系列号
17 2BH-35H 卷标号
18 36H-3DH 文件系统号
DOS引导记录公式:
文件分配表≡保留扇区数
根目录≡保留扇区数+FAT的个数×每个FAT的扇区数
数据区≡根目录逻辑扇区号+(32×根目录中目录项数+(每扇区字节数-1))DIV每扇区字节数
绝对扇区号≡逻辑扇区号+隐含扇区数
扇区号≡(绝对扇区号MOD每磁道扇区数)+1
磁头号≡(绝对扇区号DIV每磁道扇区数)MOD磁头数
磁道号≡(绝对扇区号DIV每磁道扇区数)DIV磁头数
要点:(1)DBR位于柱面0,磁头1,扇区1,其逻辑扇区号为0
(2)DBR包含DOS引导程序和BPB。
(3)BPB十分重要,由此可算出逻辑地址与物理地址。
7.文件分配表
文件分配表是DOS文件组织结构的主要组成部分。我们知道DOS进行分配的最基本单位是簇。文件分配表是反映硬盘上所有簇的使用情况,通过查文件分配表可以得知任一簇的使用情况。DOS在给一个文件分配空间时总先扫描FAT,找到第一个可用簇,将该空间分配给文件,并将该簇的簇号填到目录的相应段内。即形成了“簇号链”。FAT就是记录文件簇号的一张表。FAT的头两个域为保留域,对FAT12来说是3个字节,FAT来说是4个字节。其中头一个字节是用来描述介质的,其余字节为FFH。介质格式与BPB相同。
第一个字节的8位意义:
7 6 5 4 3 2 1 0
└─────-┘ │ │ │┌0非双面
置1 │ │ └┤
│ │ └1双面
│ │┌0不是8扇区
│ └┤
│ └1是8扇区
│┌0不是可换的
└┤
└1是可换的
FAT结构含义
FAT12 FAT16 意义
000H 0000H 可用
FF0H-FF6H FFF0H-FFF6H 保留
FF7H FFF7H 坏
FF8H-FFFH FFF8H-FFFFH 文件最后一个簇
×××H ××××H 文件下一个簇
对于FAT16,簇号×2作偏移地址,从FAT中取出一字即为FAT中的域。
逻辑扇区号=数据区起始逻辑扇区号+(簇号-2)×每簇扇区数
簇号=(逻辑扇区号-数据区起始逻辑扇区号)DIV每簇扇区数+2
要点:(1)FAT反映硬盘上所有簇的使用情况,它记录了文件在硬盘中具体位置(簇)。
(2)文件第一个簇号(在目录表中)和FAT的该文件的簇号串起来形成文件的“簇号链”,恢复被破坏的文件就是根据这条链。
(3)由簇号可算逻辑扇区号,反之,由逻辑扇区号也可以算出簇号,公式如上。
(4)FAT位于DBR之后,其DOS扇区号从1开始。
8.文件目录
文件目录是DOS文件组织结构的又一重要组成部分。文件目录分为两类:根目录,子目录。根目录有一个,子目录可以有多个。子目录下还可以有子目录,从而形成“树状”的文件目录结构。子目录其实是一种特殊的文件,DOS为目录项分配32字节。目录项分为三类:文件,子目录(其内容是许多目录项),卷标(只能在根目录,只有一个。目录项中有文件(或子目录,或卷标)的名字,扩展名,属性,生成或最后修改日期,时间,开始簇号,及文件大小。
目录项的格式
字节偏移 意义 占字节数
00H 文件名 8B
08H 扩展名 3B
0BH 文件属性 1B
0CH 保留 10B
16H 时间 2B
18H 日期 2B
1AH 开始簇号 2B
1CH 文件长度 4B
目录项文件名区域中第一个字节还有特殊的意义:00H代表未使用
05H代表实际名为E5H
EBH代表此文件已被删除
目录项属性区域的这个字节各个位的意义如下: 7 6 5 4 3 2 1 0
未 修 修 子 卷 系 隐 只
用 改 改 目 标 统 藏 读
标 标 录 属 属 属
志 志 性 性 性
注意:WINDOWS的长文件名使用了上表中所说的“保留”这片区域。
要点:(1)文件目录是记录所有文件,子目录名,扩展名属性,建立或删除最后修改日期。文件开始簇号及文件长度的一张登记表.
(2)DOS中DIR列出的内容训是根据文件目录表得到的。
(3)文件起始簇号填在文件目录中,其余簇都填在FAT中上一簇的位置上。
9.物理驱动器与逻辑驱动器
物理驱动器指实际安装的驱动器。
逻辑驱动器是对物理驱动器格式化后产生的。
要点:同上。
硬盘逻辑锁巧解
在谈论具体的解决方法前,先讲述一下被"逻辑锁"锁住的硬盘为什么不能用普通办法启 动的原因:
计算机在引导DOS系统时将会搜索所有逻辑盘的顺序,当DOS被引导时,首先要去找主引 导扇区的分区表信息,位于硬盘的零头零柱面的第一个扇区的OBEH地址开始的地方,当分区信息开始的地方为80H时表示是主引导分区,其他的为扩展分区,主引导分区被定义 为逻辑盘C盘,然后查找扩展分区的逻辑盘,被定义为D盘,以此类推找到E,F,G..... "逻辑锁"就是在此下手,修改了正常的主引导分区记录将扩展分区的第一个逻辑盘指向 自己,DOS在启动时查找到第一个逻辑盘后,查找下个逻辑盘总是找到是自己,这样一来就形成了死循环,这就是使用软驱,光驱,双硬盘都不能正常启动的原因。实际上这"逻辑锁"只是利用了DOS在启动时的一个小小缺陷,便令不少高手都束手无策。知道了"逻辑 锁"的"上锁"原理,要解锁也就比较容易了。以前我看到有位朋友采用"热拔插"硬盘电源的方法来处理:就是在当系统启动时,先不给被锁的硬盘插上电源线,等待启动完成后再给硬盘"热插"上电源线,这时如果硬盘没有烧坏的话,系统就可以控制硬盘了。当然这是一种非常危险的方法,大家不要轻易尝试,下面介绍两种比较简单和安全的处理方法。
方法一:修改DOS启动文件
首先准备一张DOS6.22的系统盘,带上debug、pctools5.0、fdisk等工具。然后在一台正常的机器上,使用你熟悉的二进制编辑工具(debug、pctools5.0,或者windows下的ultraedit都行)修改软盘上的IO.SYS文件(修改前记住改该文件的属性为正常),具体是在这个文件里面搜索第一个"55aa"字符串,找到以后修改为任何其他数值即可。用这张修改过的系统软盘你就可以顺利地带着被锁的硬盘启动了。不过这时由于该硬盘正常的分区表已经被黑客程序给恶意修改了,你无法用FDISK来删除和修改分区,而且仍无法用正常的启动盘启动系统,这时你可以用DEBUG来手工恢复。使用DEBUG手工修复硬盘步骤如下:
a:\ >debug
-a
-xxxx:100 mov ax,0201 读一个扇区的内容
-xxxx:103 mov bx,500 设置一个缓存地址
-xxxx:106 mov cx,0001 设置第一个硬盘的硬盘指针
-xxxx:109 mov dx,0080 读零磁头
-xxxx:10c int 13 硬盘中断
-xxxx:10e int 20
-xxxx:0110 退出程序返回到指示符
-g 运行
-d500 查看运行后500地址的内容
这时候会发现地址6be开始的内容是硬盘分区的信息,发现此硬盘的扩展分区指向自己,这就使DOS或WINDOWS启动时查找硬盘逻辑盘进去死循环,在DEBUG指示符下用E命令修改内存数据 具体如下:
E6BE
xx.0 xx.0 xx.0...............
.............................
.......................55 AA
55 AA表示硬盘有效的标记,不要修改,xx0表示把以前的数据"xx"改成0
再用硬盘中断13把修改好的数据写入硬盘就可以了,具体如下:
A:\ >debug
a 100 表示修改100地址的汇编指令
-xxxx:100 mov ax,0301 写硬盘一个扇区
-xxxx: 这里直接按回车
-g 运行
-q 退出
然后运行 FDISK/MBR(重置硬盘引导扇区的引导程序),再重新启动电脑就行了。 怎么样?用这种方法处理够简单的吧?而且这种方法还有一个好处就是可以保住盘上的 数据!如果你不需要保数据的话,还有更加简单的处理方法:
方法二:巧设BIOS,用DM解锁大家知道DM软件是不依赖于主板BIOS的硬盘识别安装软件,(所以在不能识别大硬盘的老主板上也可用DM来安装使用大容量硬盘)。就算在BIOS中将硬盘设为"NONE",DM也可识别并处理硬盘。
首先你要找到和硬盘配套的DM软件(找JS要或去网上荡),然后把DM拷到一张系统盘上。接上被锁硬盘,开机,按住DEL键,进CMOS设置,将所有IDE硬盘设为NONE(这是关键所在!),保存设置,重启动,这时系统即可 "带锁"启动。启动后运行DM,你会发现DM可以绕过BIOS,识别出硬盘,选中该硬盘,分区格式化,就OK了。这么简单?不过这种 方法的弱点是硬盘上的数据将全部丢失。
WINDOWS蓝色当机画面解读
1062 0x0426 服务尚未启动。
1063 0x0427 无法连线到服务控制程式。
1064 0x0428 处理控制要求时,发生意外状况。
1065 0x0429 指定的资料库不存在。
1066 0x042A 服务传回专属於服务的错误码。
1067 0x042B The process terminated unexpectedly.
1068 0x042C 从属服务或群组无法启动。
1069 0x042D 因为登入失败,所以没有启动服务。
1070 0x042E 在启动之後,服务在启动状态时当机。
1071 0x042F 指定服务资料库锁定无效。
1072 0x0430 指定的服务已经标示为删除。
1073 0x0431 指定的服务已经存在。
1074 0x0432 系统目前正以上一次执行成功的组态执行。
1075 0x0433 从属服务不存在,或已经标示为删除。
1076 0x0434 目前的启动已经接受上一次执行成功的 控制设定。
1077 0x0435 上一次启动之後,就没有再启动服务。
1078 0x0436 指定的名称已经用於服务名称或服务显示 名称。
1100 0x044C 已经到了磁带的最後。
1101 0x044D 到了档案标示。
1102 0x044E 遇到磁带的开头或分割区。
1103 0x044F 到了档案组的结尾。
1104 0x0450 磁带没有任何资料。
1105 0x0451 磁带无法制作分割区。
1106 0x0452 存取多重容体的新磁带时,发现目前 区块大小错误。
1107 0x0453 载入磁带时,找不到磁带分割区资讯。
1108 0x0454 无法锁住储存媒体退带功能。
1109 0x0455 无法解除载入储存媒体。
1110 0x0456 磁碟机中的储存媒体已经变更。
1111 0x0457 已经重设 I/O 汇流排。
1112 0x0458 磁碟机没有任何储存媒体。
1113 0x0459 目标 multi-byte code page,没有对应 Unicode 字元。
1114 0x045A 动态连结程式库 (DLL) 起始常式失败。
1115 0x045B 系统正在关机。
1116 0x045C 无法中止系统关机,因为没有关机的动作在进行中。
1117 0x045D 因为 I/O 装置发生错误,所以无法执行要求。
1118 0x045E 序列装置起始失败,会取消载入序列驱动程式。
1119 0x045F 无法开启装置。这个装置与其他装置共用岔断要求 (IRQ)。 至少已经
有一个使用同一IRQ 的其他装置已经开启。
1120 0x0460 A serial I/O operation was completed by another write to the serial port. (The IOCTL_SERIAL_XOFF_COUNTER reached zero.)
1121 0x0461 因为已经过了逾时时间,所以序列 I/O 作业完成。
(IOCTL_SERIAL_XOFF_COUNTER 不是零。)
1122 0x0462 在磁片找不到任何的 ID 位址标示。
1123 0x0463 磁片磁区 ID 栏位与磁片控制卡追踪位址 不符。
1124 0x0464 软式磁碟机控制卡回报了一个软式磁碟机驱动程式无法识别的错误。
1125 0x0465 软式磁碟机控制卡传回与暂存器中不一致的结果。
1126 0x0466 存取硬碟失败,重试後也无法作业。
1127 0x0467 存取硬碟失败,重试後也无法作业。
1128 0x0468 存取硬碟时,必须重设磁碟控制卡,但是 连重设的动作也失败。
1129 0x0469 到了磁带的最後。
1130 0x046A 可用伺服器储存空间不足,无法处理这项指令。
1131 0x046B 发现潜在的锁死条件。
1132 0x046C 指定的基本位址或档案位移没有适当 对齐。
1140 0x0474 尝试变更系统电源状态,但其他的应用程式或驱动程式拒绝。
1141 0x0475 系统 BIOS 无法变更系统电源状态。
1150 0x047E 指定的程式需要新的 Windows 版本。
1151 0x047F 指定的程式不是 Windows 或 MS-DOS 程式。
1152 0x0480 指定的程式已经启动,无法再启动一次。
1153 0x0481 指定的程式是为旧版的 Windows 所写的。
1154 0x0482 执行此应用程式所需的程式库档案之一毁损。
1155 0x0483 没有应用程式与此项作业的指定档案建立关联。
1156 0x0484 传送指令到应用程式发生错误。
1157 0x0485 找不到执行此应用程式所需的程式库档案。
1200 0x04B0 指定的装置名称无效。
1201 0x04B1 装置现在虽然未连线,但是它是一个记忆连线。
1202 0x04B2 尝试记忆已经记住的装置。
1203 0x04B3 提供的网路路径找不到任何网路提供程式。
1204 0x04B4 指定的网路提供程式名称错误。
1205 0x04B5 无法开启网路连线设定档。
1206 0x04B6 网路连线设定档坏掉。
1207 0x04B7 无法列举非容器。
1208 0x04B8 发生延伸的错误。
1209 0x04B9 指定的群组名称错误。
1210 0x04BA 指定的电脑名称错误。
1211 0x04BB 指定的事件名称错误。
1212 0x04BC 指定的网路名称错误。
1213 0x04BD 指定的服务名称错误。
1214 0x04BE 指定的网路名称错误。
1215 0x04BF 指定的资源分享名称错误。
1216 0x04C0 指定的密码错误。
1217 0x04C1 指定的讯息名称错误。
1218 0x04C2 指定的讯息目的地错误。
1219 0x04C3 所提供的条件与现有的条件组发生冲突。
1220 0x04C4 尝试与网路伺服器连线,但是 与该伺服器的连线已经太多。
1221 0x04C5 其他网路电脑已经在使用这个工作群组或网域名称。
1222 0x04C6 网路没有显示出来或者没有启动。
1223 0x04C7 使用者已经取消作业。
1224 0x04C8 要求的作业无法在已经开启使用者对应区段的档案执行。
1225 0x04C9 远端系统拒绝网路连线。
1226 0x04CA 关闭网路连线。
1227 0x04CB 网路传输端点已经有相关连的位址。
1228 0x04CC 位址尚未有相关的网路端点。
1229 0x04CD 尝试在不存在的网路连线作业。
1230 0x04CE 在作用中的网路连线上执行无效的作业。
1231 0x04CF 无法传输到远端网路。
1232 0x04D0 无法连线到远端系统。
1233 0x04D1 远端系统不支援传输通讯协定。
1234 0x04D2 远端系统的目的地网路端点没有作何执行中的服务。
1235 0x04D3 要求已经中止。
1236 0x04D4 进端系统已经中断网路连线。
1237 0x04D5 无法完成作业,请重试。
1238 0x04D6 无法与伺服器连线,原因是这个帐户已经到达同时连线数目的上限。
1239 0x04D7 尝试在这个帐户未授权的时间登入网路。
1240 0x04D8 这个帐户无法从这个地方登入网路。
1241 0x04D9 网路位址无法用於这个要求的作业。
1242 0x04DA 服务已经登记。
1243 0x04DB 指定的服务不存在。
1244 0x04DC 作业无法执行,原因是使用者尚未授权使用。
1245 0x04DD 要求的作业无法执行,原因是使用者尚未登入网路。指定的服务不存
在。
1246 0x04DE 传回要求呼叫者继续工作的讯息。
1247 0x04DF 在完成起始作业之後,尝试再执行起始作业。
1248 0x04E0 没有其他的近端装置。
1300 0x0514 并未指定所有的参照权限给呼叫者。
1301 0x0515 帐户名称与安全识别码之间尚有未执行完成的连线。
1302 0x0516 此帐户并未设定特别的系统配额限制。
1303 0x0517 没有可用的加密机码。传回一个已知的加密机码。
1304 0x0518 NT 密码太复杂,无法转换成 LAN Manager 密码。传回的LAN Manager
密码是一个空字串。
1305 0x0519 修正层次不详。
1306 0x051A 表示两个修订阶层不相容。
1307 0x051B 此安全识别码无法指定为这个物件的拥有者。
1308 0x051C 此安全识别码无法指定为主要的物件群组。
1309 0x051D An attempt has been made to operate on an impersonation token
by a thread that is not currently impersonating a client.
1310 0x051E 不可以关闭群组。
1311 0x051F 目前没有可登入的伺服器,所以无法处理登入要求。
1312 0x0520 指定登入作业阶段不存在。该作业阶段可能已经结束。
1313 0x0521 指定的权限不存在。
1314 0x0522 用户端未列出要求的权限。
1315 0x0523 所提供的名称格式与帐户名称不符。
1316 0x0524 指定的使用者已经存在。
1317 0x0525 指定的使用者不存在。
1318 0x0526 指定的群组已经存在。
1319 0x0527 指定的群组不存存。
1320 0x0528 指定的使用者帐户已经是指定群组的成员,或指定的群组因为内含成
员而无法删除。
1321 0x0529 指定的使用者帐户不是指定的群组帐户成员。
1322 0x052A 上一次留下来的管理帐户无法关闭或 删除。
1323 0x052B 无法更新密码。所输入的密码不正确。
1324 0x052C 无法更新密码。所输入的新密码内含不符合密码规定。
1325 0x052D 因为违反密码更新规则,所以无法更新密码。
1326 0x052E 登入失败: 无法辨识的使用者名称或密码错误。
1327 0x052F 登入失败: 使用者帐户限制。
1328 0x0530 登入失败: 违反帐户登入时间限制。
1329 0x0531 登入失败: 使用者不可登入这部电脑。
1330 0x0532 登入失败: 指定的帐户密码过期。
1331 0x0533 登入失败: 帐户目前无效。
1332 0x0534 帐户名称与帐户识别码不符。
1333 0x0535 一次要求太多的近端使用者识别码 (local user identifiers, LUIDs)。 1334 0x0536 没有可用的近端使用者识别码 (local user identifiers ,LUIDs)。
1335 0x0537 安全识别码的转授权部份对这个特殊用法无效。
1336 0x0538 无效的存取控制清单结构。
1337 0x0539 安全识别码结构无效。
1338 0x053A 安全叙述子结构无效。
1340 0x053C 无法建立继承的存取控制清单或存取控制项目。
1341 0x053D 伺服器目前无效。
1342 0x053E 伺服器目前可以使用。
1343 0x053F 所提供的值是无效的识别码授权值。
1344 0x0540 没有可供安全资讯更新使用的记忆体。
1345 0x0541 指定的属性无效,或指定的属性与整个群组的属性不相容。
1346 0x0542 Either a required impersonation level was not provided, or the provided impersonation level is invalid.
1347 0x0543 Cannot open an anonymous level security token.
1348 0x0544 所要求的认可资讯类别无效。
1349 0x0545 The type of the token is inappropriate for its attempted use.
1350 0x0546 无法在没有相关连安全性的物件执行 安全
1351 0x0547 指示无法连到 Windows NT 伺服器,或网域中的物件 受到保护,所以
无法撷取所需的物件。
1352 0x0548 安全帐户管理程式或区域安全授权伺服器状态不正确,所以无法执行
安全作业。
1353 0x0549 网域状态错误,所以无法执行安全作业。
1354 0x054A 只有网域的主网域控制器才能使用这项作业。
1355 0x054B 指定的网域不存在。
1356 0x054C 指定的网域已经存在。
1357 0x054D 尝试超过每个伺服器的网域数目限制。
1358 0x054E 因为磁碟上发生严重的储存媒体错误或是资料结构毁损,所以无法完
成所要求的作业。
1359 0x054F 安全帐户资料库内有内部不一致的状况。
1360 0x0550 通用的存取类型包含在某一存取遮罩中, 这个遮罩已经对应到非通用
的类型。
1361 0x0551 安全叙述子的格式不正确 (absolute or self-relative)。 1362 0x0552 所要求的动作只能给登入使用。 而目前呼叫该动作的处理并未登录为
登入。
1363 0x0553 无法利用已经在使用的识别码来启动新的作业阶段。
1364 0x0554 无法识别指定的确认包装。
1365 0x0555 登入作业阶段不是在与要求的作业一致的 状态。
1366 0x0556 登入作业阶段识别码已经在使用中。
1367 0x0557 登入要求包含无效的登入类型值。
1368 0x0558 Unable to impersonate via a named pipe until data has been
read from that pipe.
1369 0x0559 The transaction state of a Registry subtree is incompatible
with the requested operation.
1370 0x055A 内部安全资料库毁损。
1371 0x055B 无法在内建帐户执行这项作业。
1372 0x055C 无法在这个内建的特殊群组执行这项操作。
1373 0x055D 无法在这个内建的特殊使用者执行这项作业。
1374 0x055E 因为群组目前是使用者的主要群组,所以不能从群组移除使用者。
1375 0x055F The token is already in use as a primary token.
1376 0x0560 指定的区域群组不存在。
1377 0x0561 指定的帐户名称不是区域群组的成员。
1378 0x0562 指定的帐户名称已经是区域群组的成员。
1379 0x0563 指定的区域群组已经存在。
1380 0x0564 登入失败: 使用者无权在这部电脑以要求的 登入类型登入。
1381 0x0565 The maximum number of secrets that may be stored in a single
system has been exceeded.
1382 0x0566 The length of a secret exceeds the maximum length allowed.
1383 0x0567 本区安全性授权资料库内含的资料不一致。
1384 0x0568 在登入时,使用者的安全内容累积太多的 安全识别码。
1385 0x0569 登入失败: 使用者尚未被许可在这个台脑使用要求的登入类型。
端口知识大全!
端口可分为3大类:
1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为 0.0.0.0,设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。
7Echo你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。
11 sysstat这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍:ICMP没有端口,ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连
接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 (十六进制的0x1600)位交换后是0x0016(使进制的22)。
23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。
25 smtp攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。
53 DNSHacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。
67和68 Bootp和DHCPUDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件
79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。
98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器,许多典型的HTTP漏洞可
能存在(缓冲区溢出,历遍目录等)109 POP2并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。
110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的
daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。
113 Ident auth .这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T,着将回停止这一
缓慢的连接。
119 NNTP news新闻组传输协议,承载USENET通讯。当你链接到诸如:news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远
端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本? 这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。
137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing
通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasicScripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。
143 IMAP和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。
161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信
息。
162 SNMP trap 可能是由于错误配置
177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP 的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。 ?ersion 0.4.1, June 20, 2000 http://www.robertgraham.com/pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham
(mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
1025 参见1024
1026 参见1024
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只
允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻
击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。
WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
1243 Sub-7木马(TCP)参见Subseven部分。
1524 ingreslock后门许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
5632 pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。
17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。
Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)
27374 Sub-7木马(TCP) 参见Subseven部分。
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即 3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的 木马程序越来越流行。
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute分。
41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。 常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP asquerade)
常用端口对照
端口:0
服务:Reserved
说明:通常用于分析xx作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的xx作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication 说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询xx作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP 说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:Metagram Relay 说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP 说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windowsxx作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS 说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https 说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL] 说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL] 说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP) 说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF 说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA 说明:成员资格 DPA。
端口:569
服务:Membership MSN 说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。
端口:636
服务:LDAP 说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software 说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP 说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL] 说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL] 说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
常用端口对照(二)(原创)
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL] 说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL 说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1 说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries 说明:RPC客户固定端口会话查询
端口:1503
服务:NetMeeting T.120 说明:NetMeeting T.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
端口:1600
服务:issd 说明:木马Shivka-Burka开放此端口。
端口:1720
服务:NetMeeting 说明:NetMeeting H.233 call Setup。
端口:1731
服务:NetMeeting Audio Call Control 说明:NetMeeting音频调用控制。
端口:1807
服务:[NULL] 说明:木马SpySender开放此端口。
端口:1981
服务:[NULL] 说明:木马ShockRave开放此端口。
端口:1999
服务:cisco identification port 说明:木马BackDoor开放此端口。
端口:2000
服务:[NULL] 说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口:2001
服务:[NULL] 说明:木马Millenium 1.0、Trojan Cow开放此端口。
端口:2023
服务:xinuexpansion 4 说明:木马Pass Ripper开放此端口。
端口:2049
服务:NFS 说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
端口:2115
服务:[NULL] 说明:木马Bugs开放此端口。
端口:2140、3150
服务:[NULL] 说明:木马Deep Throat 1.0/3.0开放此端口。
端口:2500
服务:RPC client using a fixed port session replication 说明:应用固定端口会话复制的RPC客户
端口:2583
服务:[NULL] 说明:木马Wincrash 2.0开放此端口。
端口:2801
服务:[NULL] 说明:木马Phineas Phucker开放此端口。
端口:3024、4092
服务:[NULL] 说明:木马WinCrash开放此端口。
端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口:3129
服务:[NULL] 说明:木马Master Paradise开放此端口。
端口:3150
服务:[NULL] 说明:木马The Invasor开放此端口。
端口:3210、4321
服务:[NULL] 说明:木马SchoolBus开放此端口
端口:3333
服务:dec-notes 说明:木马Prosiak开放此端口
端口:3389
服务:超级终端 说明:WINDOWS 2000终端开放此端口。
端口:3700
服务:[NULL] 说明:木马Portal of Doom开放此端口
端口:3996、4060
服务:[NULL] 说明:木马RemoteAnything开放此端口
端口:4000
服务:QQ客户端 说明:腾讯QQ客户端开放此端口。
端口:4092
服务:[NULL] 说明:木马WinCrash开放此端口。
端口:4590
服务:[NULL] 说明:木马ICQTrojan开放此端口。
端口:5000、5001、5321、50505
服务:[NULL]
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口:5400、5401、5402
服务:[NULL] 说明:木马Blade Runner开放此端口。
端口:5550
服务:[NULL] 说明:木马xtcp开放此端口。
端口:5569
服务:[NULL] 说明:木马Robo-Hack开放此端口。
端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
端口:5742
服务:[NULL] 说明:木马WinCrash1.03开放此端口。
端口:6267
服务:[NULL] 说明:木马广外女生开放此端口。
端口:6400
服务:[NULL] 说明:木马The tHing开放此端口。
端口:6670、6671
服务:[NULL]
说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
端口:6883
服务:[NULL] 说明:木马DeltaSource开放此端口。
端口:6969
服务:[NULL] 说明:木马Gatecrasher、Priority开放此端口。
端口:6970
服务:RealAudio
说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
端口:7000
服务:[NULL] 说明:木马Remote Grab开放此端口。
端口:7300、7301、7306、7307、7308
服务:[NULL] 说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口:7323
服务:[NULL] 说明:Sygate服务器端。
端口:7626
服务:[NULL] 说明:木马Giscier开放此端口。
端口:7789
服务:[NULL] 说明:木马ICKiller开放此端口。
端口:8000
服务:OICQ 说明:腾讯QQ服务器端开放此端口。
端口:8010
服务:Wingate 说明:Wingate代理开放此端口。
端口:8080
服务:代理端口 说明:WWW代理开放此端口。
端口:9400、9401、9402
服务:[NULL] 说明:木马Incommand 1.0开放此端口。
端口:9872、9873、9874、9875、10067、10167
服务:[NULL] 说明:木马Portal of Doom开放此端口。
端口:9989
服务:[NULL] 说明:木马iNi-Killer开放此端口。
端口:11000
服务:[NULL] 说明:木马SennaSpy开放此端口。
端口:11223
服务:[NULL] 说明:木马Progenic trojan开放此端口。
端口:12076、61466
服务:[NULL] 说明:木马Telecommando开放此端口。
端口:12223
服务:[NULL] 说明:木马Hack'99 KeyLogger开放此端口。
端口:12345、12346
服务:[NULL] 说明:木马NetBus1.60/1.70、GabanBus开放此端口。
端口:12361
服务:[NULL] 说明:木马Whack-a-mole开放此端口。
端口:13223
服务:PowWow
说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。
端口:16969
服务:[NULL] 说明:木马Priority开放此端口。
端口:17027
服务:Conducent
说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
端口:19191
服务:[NULL] 说明:木马蓝色火焰开放此端口。
端口:20000、20001
服务:[NULL] 说明:木马Millennium开放此端口。
端口:20034
服务:[NULL] 说明:木马NetBus Pro开放此端口。
端口:21554
服务:[NULL] 说明:木马GirlFriend开放此端口。
端口:22222
服务:[NULL] 说明:木马Prosiak开放此端口。
端口:23456
服务:[NULL] 说明:木马Evil FTP、Ugly FTP开放此端口。
端口:26274、47262
服务:[NULL] 说明:木马Delta开放此端口。
端口:27374
服务:[NULL] 说明:木马Subseven 2.1开放此端口。
端口:30100
服务:[NULL] 说明:木马NetSphere开放此端口。
端口:30303
服务:[NULL] 说明:木马Socket23开放此端口。
端口:30999
服务:[NULL] 说明:木马Kuang开放此端口。
端口:31337、31338
服务:[NULL] 说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
端口:31339
服务:[NULL] 说明:木马NetSpy DK开放此端口。
端口:31666
服务:[NULL] 说明:木马BOWhack开放此端口。
端口:33333
服务:[NULL] 说明:木马Prosiak开放此端口。
端口:34324
服务:[NULL] 说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。
端口:40412
服务:[NULL] 说明:木马The Spy开放此端口。
端口:40421、40422、40423、40426、
服务:[NULL]
说明:木马Masters Paradise开放此端口。
端口:43210、54321
服务:[NULL] 说明:木马SchoolBus 1.0/2.0开放此端口。
端口:44445
服务:[NULL] 说明:木马Happypig开放此端口。
端口:50766
服务:[NULL] 说明:木马Fore开放此端口。
端口:53001 服务:[NULL] 说明:木马Remote Windows Shutdown开放此端口。
端口:65000 服务:[NULL] 说明:木马Devil 1.03开放此端口。
端口:88 说明:Kerberos krb5。另外TCP的88端口也是这个用途。
端口:137
说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
端口:161 说明:Simple Network Management Protocol(SMTP)(简单网络管理协议)。
端口:162 说明:SNMP Trap(SNMP陷阱)
端口:445 说明:Common Internet File System(CIFS)(公共Internet文件系统)
端口:464 说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。
端口:500 说明:Internet Key Exchange(IKE)(Internet密钥交换)
端口:1645、1812
说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
端口:1646、1813
说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问))
端口:1701 说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
端口:1801、3527 说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
端口:2504
说明:Network Load Balancing(网络平衡负荷)
欢迎光临 鸿利在线|北京Thinkpad水货|IBM水货|Thinkpad笔记本|Thinkpad全球购|Thinkpad美行|Thinkpad水货笔记本|Thinkpad港行笔记本|Thinkpad T14|X13|P15|P17|P1隐士| X1 Carbon 9代 |T14S|2021款X1 Carbon|X1 隐士|Thinkpad非官方论坛|Thinkpad工作站|Thinkpad笔记本论坛|Thinkpad水货 (http://t.www.hongmz.cn:8989/) | Powered by Discuz! 7.2 |