在该项中创建一个新的DWORD值，名称即是你想要隐藏的用户名，比如Administrator，而键值（十进制格式）设为0或者1，0即代表在欢迎屏幕上隐藏该用户，1当然就是显示了。
基本工作就算完成了，但一定注意千万不要搞错，否则你可能再也进不去系统了
另外一个重要的问题是你应该如何使用隐藏用户登录系统：

如果你使用Windows XP Professional，那么只需要按CTRL-ALT-DEL两次即可显示标准的登录界面（像Windows 2000那样），但请注意，如果此时系统中已经存在另外一个登录用户，那么该方法不会生效
如果你使用Windows XP home，则需要启动到安全模式才可以使用隐藏帐号

用文本方式表示的 IPv6 地址有三种规范的形式：
1 ）优先选用的形式是 X:X:X:X:X:X:X:X ，其中 X 是 8 个 16 位地址段的十六进制值。例如：
FEDC:BA98:7654:4210:FEDC:BA98:7654:3210
2001:0:0:0:0:8:800:201C:417A
每一组数值前面的 0 可以省略。如 0008 写成 8 。
2 ）在分配某种形式的 IPv6 地址时，会发生包含长串 0 位的地址。为了简化包含 0 位地址的书写，可以使用 “::” 符号简化多个 0 位的 16 位组。 “::” 符号在一个地址中只能出现一次。该符号也可以用来压缩地址中前部和尾部的 0 。举例如下：
FF01:0:0:0:0:0:0:101 多点传送地址
0:0:0:0:0:0:0:1 回送地址
0:0:0:0:0:0:0:0 未指定地址
可用下面的压缩形式表示：
1080::8:800:200C:417A 单点传送地址
FF01::101 多点传送地址
::1 回送地址
:: 未指定地址
3 ）在涉及 IPv4 和 IPv6 节点混合的这样一个节点环境的时候，有时需要采用另一种表达方式，即 X:X:X:X:X:X:D.D.D.D ，其中 X 是地址中 6 个高阶 16 位段的十六进制值， D 是地址中 4 个低阶 8 位字段的十进制值（按照 IPv4 标准表示）。例如：下面两种嵌入 IPv4 地址的 IPv6 地址（见本节后面）。
0:0:0:0:0:0:202.201.32.29 嵌入 IPv4 地址的 IPv6 地址 0:0:0:0:0:FFFF:202.201.32.30 嵌入 IPv4 地址的 IPv6 地址
写成压缩形式为：
::202.201.32.29
::FFFF.202.201.32.30
上面的表达形式，在实际中经常用到，尤其是压缩简化的形式。

二、地址空间

IPv4 与 IPv6 地址最大的差别在于长度： IPv4 地址长度是 32 位，而 IPv6 的地址长度是 128 位。这样 IPv6 就可以有 2128 个地址，大约的数目是 1018 个，准确的数字是 [i]340,282,366,920,938,463,374,607,431,768,211,456 。这样的地址长度，即使考虑到以后向其他星球移民也够用了。
一个典型的 IPv6 地址由地址中的起始的多位表明，由这些起始报头位组成的可变长度域被称为格式前缀（ Format Prefix ， FP ）。根据这些格式前缀所做的地址分配如图
一个典型的 IPv6 地址由地址中的起始的多位表明，由这些起始报头位组成的可变长度域被称为格式前缀（ Format Prefix ， FP ）。根据这些格式前缀所做的地址分配如图 分 配 前缀（二进制） 占地址空间的比例
保留 未分配 为 NSAP 分配保留 为 IPX 分配保留 未分配 未分配 未分配 可聚集全球单点传送（单播）地址 未分配 未分配 未分配 未分配 未分配 未分配 未分配 未分配 未分配 未分配 链路本地单点传送（单播）地址 站点本地单点传送（单播）地址 组播（多点传送）地址 0000 0000 0000 0001 0000 001 0000 010 0000 0011 0000 1 0001 001 010 011 100 101 110 1110 1111 0 1111 10 1111 110 1111 1110 0 1111 1110 10 1111 1110 11 1111 1111 1/256 1/256 1/128 1/128 1/128 1/32 1/16 1/8 1/8 1/8 1/8 1/8 1/8 1/16 1/32 1/64 1/128 1/512 1/1024 1/1024 1/256
我们可以看到， IPv6 最初只使用了大约 15 ％的地址空间，其余的地址空间留做将来使用。值得注意的是保留地址和未分配地址是不一样的，保留地址占地址空间的 1/256 （ FP ＝ 0000 0000 ），是用做非指定地址、回送地址、和嵌入 IPv4 地址的 IPv6 地址。这几种地址的详情见本节后面以及本文的实验数据部分。
其它的保留地址是 NSAP 地址（ FP ＝ 0000 001 ），可以从 ISO/OSI 网络服务访问点 [i] （ Network Service Access Point ， NSAP ）中获得。
同样， IPX 地址也保留下来（ FP ＝ 0000 010 ），这些地址可以从 Novell IPX [ii] （见参考文献 19 的 4.6.10 节）地址获得。
除了多点传送地址（ FP ＝ 1111 1111 ），格式前缀从 001 到 111 都需要 EUI64 [iii] 格式中具有 64 位的接口标识符。

三、地址类型

IPv6 中地址有三种类型：单点传送（ Unicast ）、多点传送（ Multicast ）、任意点传送（ Anycast ）。也有文献称之为单播、组播、泛播地址。 IPv6 中不再有象 IPv4 中那样的广播（ broadcast ）地址，它的功能由多点传送地址来实现。
l 单点传送地址：一个单接口标识符，送往单点传送地址的包将被传送到该地址所标识的接口上。
2 任意点传送地址：一组接口（一般不属于不同节点）的标识符。送往一个任意点传送地址的包将被传送到该地址所标识的接口之一（根据路由协议中的距离的计算方法而确定的 “ 最近 ” 的一个）。
3 多点传送地址：一组接口（一般不属于不同节点）的标识符。送往一个多点传送地址的包将被传送到该地址标识的所有接口上。

        数据包通过路由可以从一个网络到另一个网络，他是通过数据包的目的IP和源IP实现的，当一个数据包进入路由器是，路由器会根据她的目标ip和源ip在路由表中查找，并将数据包原封不动的传向路由器的某个端口。

        数据包通过nat，nat将会根据规则将数据包中的源ip和目标IP改变，并在NAT机器上做改变记录。

        简而言之，路由不改变数据包包头信息，NAT则改变；

    二、表面区别

        路由打通的两个网段地位是公平的，既都是公网或都是私网，理解起来比较简单，因为路由不改变包头信息，所以如果用路由连接公网和私网的话，目的地址为私网（192.168.1.2）的数据包在公网上找不到归宿。其实路由表里面也没有相关的路由信息。l

      NAT打通的可以是两个公平的网络，也可以是一个内网和一个外网。。

一般域内建立的用户默认都是Domain Users组里的。发现该组的用户居然可以有加入一台计算机到域内的权限？   那下面的情况如何解决： 一个用户用家里的笔记本接入单位网络，用别人的账户加入到域中，拷贝走域内的一些资料。  
有没有什么方法让所有用户账户不具备让计算机加入域的权限（前提是该账户登录后不影响其本身正常工作，必要的基本的权限还必须具有）。
总结一下：只希望我指定的某几个帐号有加入计算机的权限（比如管理员），其他全部拒绝。

在DC上面安装Support Tools工具，开始--运行，输入“adsiedit.msc”，在弹出窗口中展开“Domain [xxxxxx]”，定位到“DC= xxxxx”，右键选择“属性”，在弹出的属性窗口中找到“ms-DS-MachineAccountQuota”，双击编辑将默认值“10”更改为 “0”（默认情况所有用户都可以将10台计算机加入域），更改之后默认用户就没有权限进行将计算机加入域的操作，不影响域管理员将计算机加入域的操作。

Image File Execution Options，说熟悉又陌生，一年来大家谈起的映像劫持，都是它的Debugger键值的问题。实现IFEO劫持，只是在注册表写一个键而已，轻松到没 技术含量。然而，系统到底是怎么识别的呢，或者说，系统的这个功能，是怎么使它自己走入圈套的呢？

早前给电脑报写了一篇简单谈IFEO的文章，当时托大家找了些资料，TK翻到MSDN里的相关描述，明确指出“当父进程不是作用子进程的调试器 时，CreateProcess在其用户态部分检测Image File Execution Options项”。当时就想在文章最后说一下这点，以及为什么那些系统关键进程是不会被IFEO影响的。但是一来自己当时太菜，根本不懂得去看 CreateProcess的代码来调试，所以也自己确认不了。同时那篇文章也是给一般用户看的，无谓说些让他们坠入迷雾的东西，所以就作罢了。

而最近这两三天里，由于前一篇blog里提到的看shellcode的xor加密代码的激励，突然对汇编逆向调试感兴趣了，于是整天盯着OD看反汇 编代码。今天又遇到一个求助者，他不慎将D盘在资源管理器下隐藏了，于是教他从组策略里改回来。最后随口说了一句“系统应该是在 FindFirstFile和FindNextFile的用户态部分检查这个键值，以隐藏驱动器吧，不至于到调用NATIVE API甚至进ring0时才检测，就像CreateProcess在用户态检测IFEO一样”。

于是突然有想法，何不确认一下？

自己写个小程序，button的onclick里就简单地CreateProcess。
打开注册表编辑器，将SREngPS.exe给IFEO劫持到cmd.exe。

OD载入运行，忽略所有异常，开工。
先看了CreateProcessA、WinExec、ShellExecuteA这几个函数，果然全都是内部调用了 CreateProcessInternalA来完成，而后者又调用了其UNICODE版本，即CreateProcessInternalW，来完成实 际的工作。
在CreateProcessInternalW出口处下断，断到了，一路跟下去。这次的重点在于找出“系统判断父进程是否为子进程的调试器，是则检测IFEO项”的相应代码。
也就是说，要找到系统对dwCreationFlags进行检测并决定是否进入IFEO检测的代码。

父进程成为子进程的调试器的dwCreationFlags参数有两个：
DEBUG_PROCESS = 1;
DEBUG_ONLY_THIS_PROCESS = 2;

找了半天，这函数要做的步骤还真不是一般的多，调用NATIVE API创建进程对象的顺序就不仔细看了，留待以后吧，现在重点不是这些。最后终于柳暗花明：

用断点的红色标示的这两句，其中byte ptr [ebp+20]正是传入的dwCreationFlags，与3进行test，如dwCreationFlags中包含1或2，则结果非零（ZF=0），这时就跳走，绕过下面的检测。
这里我们用了0参数，所以当F8到jnz的时候，会发现提示窗口写着“跳转未实现”。
而下面这个检测，就是跳到ntdll.dll导出的LdrQueryImageFileExecutionOptions函数中了，看看它是怎么检测的：

进入那个call中，又是冗长的一大堆，看得头痛，拣其中一些：

IFEO项的地址，IFEO的路径所为字符串常量保存在ntdll.dll中。


进行完这两个mov，esi中是指向SREngPS.exe的全路径的地址，注意这时已经是UNC标准的UNICODE（前面有\??\）

循环，eax初始值指向全路径地址末尾，每次向前推进，直到找到"\"，再跳出循环到最后这一行。
跳出循环到最后这一行时，eax保存的便是指向相对路径（"SREngPS.exe“）开头的地址，而[ebp-2d4]里的则是前面的文件夹路径的长度。
。。。。

调用ZwOpenKey去访问键值了。
回到LdrQueryImageFileExecutionOptions中test得到的eax值（已传到esi），然后就
7C93D36D   /0F8D CD900100   jge     7C956440                   ; 存在则读其键值

看下这个7C956440：
7C956440    FF75 1C         push    dword ptr [ebp+1C]
7C956443    FF75 18         push    dword ptr [ebp+18]
7C956446    FF75 14         push    dword ptr [ebp+14]
7C956449    FF75 10         push    dword ptr [ebp+10]
7C95644C    FF75 0C         push    dword ptr [ebp+C]
7C95644F    FF75 08         push    dword ptr [ebp+8]
7C956452    E8 14000000     call    7C95646B
7C956457    FF75 08         push    dword ptr [ebp+8]
7C95645A    8BF0            mov     esi, eax
7C95645C    E8 2571FDFF     call    ZwClose
7C956461 ^ E9 0D6FFEFF     jmp     7C93D373

又push了一阵参数，call了7C95646B，之后就ZwClose关闭句柄，并跳回LdrQueryImageFileExecutionOptions中下一行代码了。
7C95646B，终于“偷梁换柱”：

call ZwQueryValueKey时的堆栈：

0012E5E4开始写入内容，0012E5F0开始保存UNICODE字符串C:\WINDOWS\system32\cmd.exe，此地址前面四字节则是字符串长度。
之后申请内存、memmove的就从略了，最后ZwClose后回到LdrQueryImageFileExecutionOptions，然后就回到kernel32.dll的领空了，又跟了一段之后：

“偷梁换柱”在这里初步完成。下面就是按新的路径完成剩下的工作了。

从以上内容的不厌其烦的分析中，我们可以找到一些“关键点”：

1. CreateProcessInternalW里的检测dwCreationFlags（看第一个图）：
7C8190C0    F645 20 03      test    byte ptr [ebp+20], 3          ; dwCreationFlags
7C8190C4    0F85 059A0200   jnz     7C842ACF
在第二行代码前下断，断下来后，在OD的寄存器窗口，将ZF寄存器的值置0，则此时的“跳转未实现”的箭头变红了，跳转可实现，F9，SREng的窗口出来了，IFEO检测没有进行。

2. LdrQueryImageFileExecutionOptions中call完了ZwOpenKey后回来的最后：
7C93D364    E8 25FEFFFF     call    7C93D18E                      ; 是否存在相应IFEO项的Debugger键
7C93D369    8BF0            mov     esi, eax
7C93D36B    85F6            test    esi, esi
7C93D36D    0F8D CD900100   jge     7C956440                      ; 存在则读其键值
7C93D373    8BC6            mov     eax, esi
7C93D375    5E              pop     esi
7C93D376    5D              pop     ebp
7C93D377    C2 1800         retn    18

这里
jge     7C956440
是一个跳去调用ZwQueryKey去查找键值的地方，如果我们让它不跳，则在此下断，jge满足的条件是(SF xor OF)==0，现在把寄存器窗口中的SF或OF改一下，跳转的箭头又变成了未实现的灰色。这时把这个断点先禁用，F9，呵呵，SREng的窗口又出来了。

结论：

1. MSDN并没有骗人，CreateProcess的确是在其用户态部分，准确地说是在CreateProcessInternalW中检测 dwCreationFlag，当dwCreationFlag中包括DEBUG_PROCESS 或DEBUG_ONLY_THIS_PROCESS时，系统将直接跳过对Image File Execution Options的检测。

2. CreateProcessInternalW调用了ntdll.dll导出的LdrQueryImageFileExecutionOptions函数 来检测Image File Execution Options项目，而LdrQueryImageFileExecutionOptions调用了ZwOpenKey和（如果ZwOpenKey证实项 目存在）ZwQueryKey去检测并获得（如果存在）Debugger键值，之后回到kernel32.dll，把Debugger键值和原程序路径 Append，并在堆栈中替换掉原程序路径的地址。

3. 以上过程是循环的，即如果此时Debugger键值中的程序又被IFEO了，将再来……直到不再有。但是如果造成了死循环，最后命令行长度越来越长，似乎要等于长度超过系统的限制，才跳出循环并提示“找不到文件”（当然这个提示是Windows在自欺欺人）。

4. 根据1及2，我们在程序中要创建进程，如果想不受IFEO的限制，除了干脆加上DEBUG_PROCESS 或DEBUG_ONLY_THIS_PROCESS参数，把自己作为新进程的调试器外，还可以弄些较“猥琐”的方法，比如从前面提到的几个关键跳转处作文 章，或者或干脆SSDT HOOK等方法搞掉自身进程空间中的或整个系统级上的ZwOpenKey等（HOOK这些的话，由于一般情况下应用程序CreateProcess都要 IFEO检测，HOOK了这个还可以反过来“虚拟”一个Debugger键出来，作为隐蔽的启动自身组件的方法）。

5. IFEO的Debugger键结果，并不只是启动另一个程序，而且还把原程序的地址当成参数传递了，这一点是我们这些菜鸟提到这一键的作用时经常忽略的。
所以，如果一个病毒利用IFEO劫持的目的，不包括把安全软件禁用掉，而只是为了在原程序被触发时，作为启动病毒自身的方式，那么，就很容易利用这一点， 只需要病毒程序自身启动后，GetCommandLine，得到原先要启动的程序地址，再利用上面说的方法，启动原先的正常程序即可。这样做可以让多个程 序的IFEO劫持Debugger键指向同一个病毒程序，而每次却都能够正常启动原程序。这样一般用户在触发这一项时，根本不会有感觉，毕竟如果不是用 Process Explorer等工具，而是光看任务管理器的话，用户将难以看出自己运行的正常程序，却是建立在一个可疑的有危险的病毒父进程之下的。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

后记：在调试完之后，写这篇文章的过程中，搜了网上关于Image File Execution Options的文章，发现一篇比较不错的“详解WINDOWS映像劫持技术”，显然作者也是“同道中人”，而且文笔不错。其中提到：

这个招数被广大使用“映像劫持”技术的恶意软件所青睐，随着OSO这款超级U盘病毒与AV终结者（随机数病毒、8位字母病毒）这两个灭杀了大部分流行安全工具和杀毒软件的恶意程序肆虐网络以后，一时之间全国上下人心惶惶……

呵呵，还有人记得OSO.exe啊，那的确是我印象中最早大规模使用IFEO劫持的U盘病毒，当时我抢先分析了一下，虽然分析得很菜，被MJ狂贬，但是却印象颇深。当时用OD，只会看字符串，跟现在这篇文章的调试比起来，真是差太远了。

对于IFEO的检测，该文提到：

一个程序启动时是否会调用到IFEO规则取决于它是否“从命令行调用”的……为了与用户操作区分开来，系统自身加载的程序、调试器里启动的程序，它们就不属于“从命令行调用”的范围，从而绕开了IFEO，避免了这个加载过程无休止的循环下去。
从编程角度来说明“命令行调用”，那就是取决于启动程序时CreateProcess是使用lpCommandLine（命令行）还是 lpApplicationName（程序文件名）来执行，默认情况下大部分程序员编写的调用习惯是lpCommandLine——命令行调用

经过这次调试，我个人觉得这种说法不是很妥当。调试器启动程序仍然是用lpCommandLine启动，区别只不过是 dwCreationFlags的值的设置。而就算用lpApplicationName，到了CreateProcessInternalW里面那个判 断，以及接下来的步骤，都是一样的，应该是在此之前就已经把整个命令行连起来处理了。所以结果是，仍然受到IFEO限制，没什么不同。上面这几句话，容易 让人以为调试器调试程序不是用用lpCommandLine启动的，或是用lpApplicationName就不受IFEO限制，这是误解。

被域策略拒绝本地登录时的解决办法

　　域策略的安全设置部分都保存在一个名为“GptTmpl.inf”的安全模板中，这是一个文本文件，存放在DC（域控制器）的SYSVOL（物 理目录指向DC的“c:\winnt\sysvol\sysvol”）共享中。要解除对所有用户本地登录限制，在不能本地登录的情况下，最快捷的办法可能 就是直接编辑这个文本文件。
　　具体操作如下：

　　1.. 在另一台计算机（Win9X/2000/XP均可）上，使用域管理员账号连接到DC的SYSVOL共享，在“\\\sysvol\\Policies \GUID>\MACHINE\Microsoft\Windows NT\SecEdit”下找到该文本文件“GptTmpl.inf”。(路径中的“DC name”是你放置该组策略的域控制器的名字，“Domain name”是你的域的名字，“Policy GUID”是你要编辑的组策略的GUID，类似于“{31B2F340-016D-11D2-945F-05C04FB98439}”)。
　　 2.. 使用记事本打开“GptTmpl.inf”文件，找到文件中“PrivilegeRights”小节下的 “SeDenyInteractiveLogonRight”关键字，它的值就是被拒绝本地登录的用户或组的SID，将这些SID删除，使 “SeDenyInteractiveLogonRight”关键字的值为空。修改完毕将文件保存回原位置。
　　3.. 使用记事本打开位于“\\\sysvol\name>\Policies\”下的“GPT.INI”文件，提高“General”小节下的 “Version”关键字的值，通常是加1000。这是我们修改的这个组策略的版本号，版本号提高后可以保证我们的更改被复制到其它DC上。修改完毕将文 件保存回原位置。
　　4.. 域策略刷新后，问题即告解决。
　　5.. 本地登录DC重新设置域策略中的相关项目 。

被本地安全策略拒绝本地登录时的解决办法

　　解决被本地安全策略拒绝本地登录的最正统的方法，应该是使用另一台Windows2000计算机，使用组策略MMC管理单元通过网络连接到故障 计算机的本地安全策略，然后进行修改。但我测试后发现，使用这种方法成功的机率非常小（具体的原因也不十分的明了），不是连接不上故障计算机，就是打不开 故障计算机上本地安全策略的安全设置。因此我们还需要一个更稳妥些的解决方法。
　　本地安全策略的安全设置通常存放在一个二进制的安全数据库secedit.sdb中，这个安全数据库的结构我们无从知道，因此象第一部分那样直接编辑secedit.sdb文件的办法是无能为力了，我们需要采用迂回进攻的策略，“曲线救国”。

　　具体操作如下：

　　1.. 假设故障计算机的IP地址是"192.168.0.111"。在另一台计算机(Windows9X/2000/XP均可)上，使用“Telnet 192.168.0.111”命令使用管理员账号连
接到故障计算机。（如果故障计算机的“telnet”服务没有启动，可以通过网络启动，具体方法不在详述）
　　2.. 通过telnet在故障计算机上执行“net share tmp$=d:\tmp”命令，将故障计算机上的“d:\tmp”隐藏共享为“tmp$”，共享权限缺省是everyone完全控制（此时要特别注意网络安全）。当然你也可以共享其它的目录。
　　3.. 通过telnet在故障计算机上执行“secedit /export /CFG
d:\tmp\sec.inf”命令，将故障计算机的本地安全策略配置导入“d:\tmp\sec.inf”安全模板文件中，这是一个文本文件。
　 　4.. 连接到故障计算机上的tmp$共享，用记事本打开共享文件夹中的“sec.inf”文件。找到文件中“Privilege Rights”小节下的“SeDenyInteractiveLogonRight”关键字，它的值就是被拒绝本地登录的用户或组的SID，将这些SID 删除，使“SeDenyInteractiveLogonRight”关键字的值为空或者是随便另设置一个无关的值。文件修改完毕保存回原位置。
　　5.. 通过telnet在故障计算机上执行“secedit /configure /db
c:\secedit.sdb /CFG d:\tmp\sec.inf”命令，使用新的安全模板和安全数据库重新配置故障计算机的本地安全策略。
　　6.. 通过telnet在故障计算机上执行“secedit /refreshpolicy
machine_policy /enforce”命令，强制在故障计算机上刷新策略设置，问题即告解决。
　　7. 本地登录故障计算机后，删除我们建立的Tmp$共享，重新设置本地安全策略中的相关项目。

　　secedit简介

　　Secedit.exe，Windows2000自带的自动化安全配置任务命令行工具，功能强大。我们可以用它来分析系统的安全性、配置系统安全性、刷新安全性设置、导出安全性设置和验证安全配置文件。它的具体用法请使用“secedit /?”查看其帮助文件。

　　补充说明

　　上面所说的两种方法，都是以有权限用户（如管理员）没有被禁止从网络登录为前提的，如果你的策略把从网络登录也禁止了，让故障计算机成了真正的 “孤家寡人”，那问题解决起来要麻烦的多，但同样不是一个解不开的“死结”。具体的解决办法，我会另具文说明，在此不再细说。

    想把两条线路合并到一起，并且可以实现访问电信网络通过电信 ADSL ，而访问网通网络则通过网通 ADSL 。这种需求和应用在实际使用中比较常见。

    如果简单的通过一些网卡合并软件将两块网卡绑定到一起是无法满足这种智能选择路由的目的。实际上这位读者需要解决的和我们之前曾经介绍过的利用策略路由让网络数据包智能传输有类似之处，但是由于该读者只有一台计算机，而且通过 ADSL 拨号上网，所有以前介绍过的通过策略路由选择不同线路的方法就不行了。

    在单机网络环境下是否也有诸如策略路由这样的解决技术和方案呢？答案是肯定的，我们可以通过计算机自身的路由表功能实现。对于每个连接到网络的计算机来说自身都有一个路由表，它类似于路由器的路由表，帮助计算机发送网络请求到指定的 IP 地址。可以通过“开始。运行”进人命令行窗口，然后执行 "route print" 来查看本机的路由表信息。

    计算机中的路由表和路由器上的一样，也可以由我们根据需要添加或删除。这样解决读者问题的关键就放到了如何更合理的规划路由信息，让电信网络访问走电信网卡，让网通网络访问走网通网卡。

    第一步：

    计算机中连接网通的网卡， IP 设置为 192:168.1.111 ，网关设置为 192.168.1 ． 1 ；连接电信的网卡， IP 设置为 192:168.0:111 ，网关设置为 192.168.0.1 。

    第二步：

    通过 "route print" 命令查询当前计算机的默认网关（显示在 Default Gateway 后面的就是默认网关地址）。如果显示为 192.168.1.1 则说明默认以网通线路为出口，如果是 192.168.0.1 则说明默认以电信线路为出口。

    第三步：

    这里假设默认网关是电信出口．网通 IP 段为 61.156.0.0 ，那么我们需要手工添加网通线路的地址段路由信息。进入到命令行模式输人 route add -p 61.156.0.0 mask255.255.0.0 192.168.1.1 ，这句指令将规定凡是传输到 61.156.0.0 这个地址段的数据都发送到 192.168.1.1 这个网通出口网卡。

   第四步：

    依次添加所有网通地址段到本机路由表，设置完毕后我们访问网通线路和电信线路的速度都将有所保障。

bbs.bitsCN.com国内最早的网管论坛

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　　朋友或许会问了，为什么要用双网卡呢？用双网卡有什么好处？所谓双网卡，就是通过软件将双网卡绑定为一个 IP地址 ，这个技术对于许多朋友来说并不陌生，许多高档服务器网卡（例如intel8255x系列、3COM服务器网卡等）都具有多网卡绑定功能，可以通过软硬件设置将两块或者多块网卡绑定在同一个IP地址上，使用起来就好象在使用一块网卡。

　　多网卡绑定的优点不少，首先，可以增大带宽，假如一个网卡的带宽是100M，理论上两块网卡就是200M，三块就是300M，当然实际上的效果是不会是这样简单的增加的，不过经实际测试使用多个网卡对于增加带宽，保持带宽的稳定性肯定是有裨益的，如果交换机等 相关条件不错的话，这个效果还是很能令人满意；其次，可以形成网卡冗余阵列、分担负载，双网卡被绑定成“一块网卡”之后，同步一起工作，对服务器的访问流 量被均衡分担到两块网卡上，这样每块网卡的负载压力就小多了，抗并发访问的能力提高，保证了服务器访问的稳定和畅快，当其中一块发生故障的时候，另一块立 刻接管全部负载，过程是无缝的，服务不会中断，直到维修人员到来。

　　OK，现在就手把手的教大家如何用50元来打造出双网卡的效果！

　　先下载软件 （点击这里下载） ， 这是最新版本4.0，只有2.15M，软件的兼容性已经做得很好，支持win98/Me/2000/XP/2003。基本上支持目前市场上常见的各种网 卡，百兆和千兆网卡都可以用来绑定，但是千万注意，最好用于绑定的网卡是完全相同的，至少也是基于同一芯片的，这样多块网卡才能合作得比较好。切记不要把 10M网卡和100M网卡绑定在一起，那样根本起不到提升作用。

　　下载完软件，先不忙安装，咱们还是先准备好硬件。

　　第一部分：硬件安装

　　虽然，理论上讲绑定越多网卡在一起，最终效果提升就越明显，但是考虑到复杂程度，这里就以绑定双网卡为例进行说明，如果读者觉得好玩，兴致很高的话，按照下面方法愿意绑定多少就绑定多少个网卡，其实一般同一台服务器，绑定2－3块网卡也就够了，太多了，据说因为链路聚合的先天缺点，会过多占用服务器资源，反过来会影响服务器速度（关于这个我没实验，不过我觉得凡事都离不开物极必反的道理，适度最好）。

　　我取出“珍藏”的一对市场上随处可见的8139D10M/100M自适应网卡，市场价格25元一个，北京某厂的产品，做工还算精细，总成本50元人民币。

　　然后，抱出笔者的一台私有服务器，呵呵，虽然破旧一点，不过可是立功不小啊，上面现在运行着FTP、MAIL等服务，几百个朋友的EMAIL都是通过它来传递的啊。配置情况为intel810主板（集成显卡）＋256MSD内存＋10GIDE硬盘（系统盘）＋120GIDE硬盘（存放互联网^^）。系统软件是windows2000高级服务器版。

　　废话少说，开干，打开服务器机箱，把两块网卡拧在主板PCI插槽上，拧好了，看看还不错。

　　再从后面看看效果。

　　拿出珍藏的10M－8口集线器， 哈哈，别笑话，我手头只有这个，能说清楚方法就可以了，如果是读者自己DIY，请务必选一台好的交换机，至少要10/100M自适应的，这是网络通畅的关 键，别象我把100M网卡连在10M集线器上，那速度怎么也好不了啊。做几条网线，把集线器、网卡连接起来，集线器连入上级交换机，因为是在家里实验，所 以，我就把集线器的Uplink口连入家用路由器的任意一个网口里，路由器则连入我家ADSL“大猫”。

　　至此，硬件部分安装完毕。就这么简单。

　　第二部分：设置调试

　　下面要进行设置及调试了，也就是要将这两块8139D廉价网卡，如同高档服务器网卡那样绑定在一起，使用同一个IP地址，同时同步工作。其过程并不复杂，估计20分钟足够了。

　　将刚刚下载的NIC Express软件的安装包NIC4.rar解压缩得到安装文件“NICExpressW2KEE.exe”，双击它启动安装程序，一路NEXT，软件提示输入unlock key（注册码），如果没有注册码，就只好点击Demo，选择试用，这样可以获得30天的免费试用期，在这30天里如果觉得不错，你可以想办法去弄一个注册码（怎么弄？找小编问，他可能有，哈哈）。

　　到下图所示界面，软件提示选择是否开启LOAD Balancing 功能？什么是LOAD Balancing 功能呢？LOAD Balancing的中文意思可以翻译为负载均衡，在这里就是网络负载均衡。也就是当多块网卡被绑定合一之后，当数据流量很大的时候，软件会自动调整，将 数据流量负载均衡地分配到各个网卡上，以减轻单块网卡的压力，达到畅快的访问效果。我们绑定双网卡，其中目的之一就是为了实现负载均衡，我们自然要开启这 个功能，所以，在这里一定要选择“Enabled”。当然，如果你在这里选择错了也没关系，今后也可以通过NIC Express软件管理界面开启。

　　继续一路NEXT，在Windows XP里安装时如果遇到提示“NIC Express Virtual Miniport”没有通过Windows测试，无法验证它同Windows XP的相容性，不要理会，选择“仍然继续”就行了。

　　到了下图所示界面，就到了真正绑定网卡的时候了：

　　大家看到这个界面一共分为上、中、下，三个窗口，上面的是空白，中间的写着8139-2，这个8139-2是我 自己起的绑定之后的网卡组的名称，原来这里默认写的是New array，也可以不修改，你也可以根据自己喜好，写成别的名字。在最下面的窗口里列出了目前服务器上安装的两块网卡的名字。我们下一步就是要用鼠标选中下面的两块网卡名字，然后点击界面中间的Add键，把两块网卡加入上面的窗口里，这样两块网卡就这样被加入了网卡组里，初步绑定成一块“网卡”了，今后可以使用同一个IP地址了。

　　点击OK继续，NIC Express出现一个配置界面，选项很多，但是不必太操心，因为这些配置都不必修改，使用默认值就可以了，直接点击OK、点击Finish完成安装进程。至此软件安装基本结束，剩下就需要对软件和网卡进行一些必要的设置工作。

　　点击桌面“开始”菜单，选择执行菜单里的“NIC Express Enterprise Edition”选项，这是NIC Express软件自带的一个监控程序，首先点击“setting”选项，在这里可以设置网卡流量计量单位，可以按照Packets/Sec、Mbits /Sec、Kbits/Sec三种单位来计算，一般都是使用默认的Mbits/Sec来计算，也就是兆/每秒，其实在这里只需要修改一下“Graph Detail（图形显示）”即可，将默认的“By Protocol”改成“By Incoming/Outgoing”，别的不需要改。

　　如果你想分别观察绑定组中每块网卡的流量或者整个组的流量，只需在“Select Device”选项中选择一下设备即可。最后点击“Advanced”选项，设定网卡绑定的工作模式，在这里也可以点击“Load Balancing Disable”来关闭网卡负载均衡功能。使用NIC Express绑定的双网卡组默认工作于“NIC Express ELB”模式下，这是NIC Express所特有的一种工作模式，实际效果很好。我们都知道利用昂贵的Intel PROSET绑定的Intel 8255x的组合是运行在“802.3ad”工作模式下的，这一模式在NIC Express中也可以选择，但是多数使用者在实际使用后都认为“NIC Express ELB”模式的效果优于“802.3ad”模式，大家今后可以自己实践测试比较一下。如果你也使用默认的“NIC Express ELB”模式，那么“Advanced”选项里也就不用改什么，一切默认即可。至此NIC Express的设置结束。

　　第三部分：“虚拟网卡”设定

　　最后还要看看网卡的设置，用鼠标在桌面“网上邻居” 上点击右键弹出“网络和拨号连接”窗口，可以看到原来的两个网卡连接图标已经变成了三个，多出来的一个图标就是“NIC Express Virtual Adapter”，这个就是绑定后的网卡组，这个网卡组的使用和使用单一网卡完全一样，相当于一个单一的“虚拟网卡”。

　　用鼠标在这个图标上点击右键选择属性，可以为这个“虚拟网卡”设定IP地址、子网掩码、网关等 等，其实在安装“NIC Express”过程中，如果服务器原来的单一网卡已经设置了这些，那么“虚拟网卡”就会自动设定和原来的网卡一样。在这里选择“NIC Express Transport for Ethernet”还可以自由对网卡绑定组进行调整，例如，减少或者加入一块网卡，这个较之Intel PROSET要方便许多，Intel PROSET在增加或者减少绑定组里的网卡之前必须删除原来的绑定组然后重新创建。

　　好了，好了，至此一切都已经做好，我们的服务器已经成为一台地地道道的“双网卡冗余服务器”了，我们来运行一下，看看表现。

　　第四部分：测试双网卡绑定后的效果

　　检查一下线路， 前面说过两块网卡已经用网线连入10M集线器（这就相当于机房机柜里的百兆交换机），集线器的Uplink口连入了家用路由器的任意一个网口，路由器通过 ADSL大猫接入互联网（北京512K包月ADSL），这样服务器就已经和互联网连通了，按下Power键启动服务器，由于服务器里面已经安装了动态域名软件，服务器启动之后，很快与国际域名www.usacase.com连接到一起（具体过程请看不久前发表在太平洋网站的《绝对疯狂!1G容量的邮件服务器自 己打造》），这时只要访问www.usacase.com域名，即可从世界各地访问到我的服务器了，我让上海的一个朋友用FTP软件登陆这台“双网卡冗余 服务器”，下载一个50M的压缩文件包。嚯，只见服务器上的两块8139D网卡的指示灯同时闪烁起来，闪烁的频率完全同步，煞是好看！

　　再看那台古董级10M集线器，两个接上网卡的接口指示灯也是飞快同步闪烁，说明两块网卡在同步工作，同时分担访问的流量。上海的朋友说感觉速度不错，毕竟只是512K的ADSL，也仅能看看网卡同步闪烁的美丽效果了。

　　然后，我又在局域网里 进行了传输实验，因为有那个10M集线器的瓶颈，所以效果不是很好，但是也能看出一些明显改善。从局域网另一台使用单个杂牌10M8029网卡的电脑上通 过网上邻居访问已经用NIC Express绑定了双8139D网卡的服务器，传输200M文件，通过“NIC Express Enterprise Edition”中的曲线监控图观察到，双网卡绑定组的传输速率从8M/s起步，最高达到8.2M/s，两机之间平均传输速率比较稳定，偶尔有大幅度的波 动，是软件正在调整两块网卡的负载均衡，只有零点几秒就恢复正常，基本稳定在7.5－8M/s左右，已经接近那个10M集线器的最大传输极限。之后，从服 务器上删除一块网卡，再进行两机传输实验，发现传输最高速率已经骤然减少到5M/s，而且传输过程中速率上下波动很大，平均传输速率也就3M/s左右，可 见前后差异还是很明显的。

　　现在这台绑定了双网卡的服务器正在白天黑夜不停机地运行着，大家可以通过 www.usacase.com 或者mail.usacase.com访问体验一下，上面运行的就是我在《绝对疯狂!1G容量的邮件服务器自己打造》一文中提到的邮局程序，任何朋友都可以上去申请免费的百兆邮箱，体验一下“唐华牌”双网卡冗余服务器的性能（嘿嘿，其实你也感觉不出什么）。

　　最后说几句，作为本文的总结和补充：

　　1、经过实际使用，我发现使用NIC Express绑定的双网卡组运行的稳定性很好，没有出现过什么软件的冲突，我的一个朋友已经把它应用到自己的电信托管服务器上，运行了半年多了，也很稳定；

　　2、理论上讲NIC Express绑定的网卡越多，效果提升应该越明显，如果可能大家可以自己动手绑定3块、4块网卡试试，不过切记使用的网卡最好是一个品牌一个型号；

　　3、NIC Express最初被老鸟们拿来玩的时候，并没有想到应用在服务器上做网卡冗余阵列，大家多是把局域网内的几台电脑同时都绑定双网卡，这样各个电脑之间的 传输速率和传输稳定性获得了明显的提升，后来大家发现只要其中一台电脑使用NIC Express绑定了双网卡组，其他使用单网卡的电脑访问这台有网卡绑定组的电脑，也能获得传输速率和稳定性的改善，于是我才想到将这个技术应用到服务器 上。

　　4、我个人认为使用NIC Express绑定多网卡，在当今这个数据时代具有一定的实际意义，无论是对于互联网服务器还是局域网服务器的用户都有启发，当我们为服务器绑定多网卡形 成阵列之后，不仅可以扩大服务器的网络带宽，而且可以有效均衡负载和提高容错能力，避免服务器出现传输瓶颈或者因某块网卡故障而停止服务。

　　5、也许你会说，在当今千兆网卡早已普及的时代，还费劲绑定几块百兆网卡做什么？其实绑定多网卡的目的并不是仅 仅为了提高带宽，这样做还有一个最大的优点就是多块网卡可以有效增强服务器的负载承受能力和冗余容错能力。也许你也经历过，当使用单块10M/100M网 卡在局域网里拷贝1G以上大文件的时候，经常会出现电脑停止响应，或者速度奇慢接近死机的情况，当多网卡绑定之后，这种情况会得到明显改善。

　　6、大家再想想，如果绑定的不是几块百兆网卡，而是几块千兆网卡，会是什么局面？想不想试试？让我们一起来DIY迎接万兆时代的到来吧

磁盘的GPT保护分区转换
GUID 分区表 (GPT)
一种由基于 Itanium 计算机中的可扩展固件接口 (EFI) 使用的磁盘分区架构。与主启动记录 (MBR) 分区方法相比，GPT 具有更多的优点，因为它允许每个磁盘有多达 128 个分区，支持高达 18 千兆兆字节的卷大小，允许将主磁盘分区表和备份磁盘分区表用于冗余，还支持唯一的磁盘和分区 ID (GUID)。  

与支持最大卷为 2 TB (terabytes) 并且每个磁盘最多有 4 个主分区（或 3 个主分区，1 个扩展分区和无限制的逻辑驱动器）的主启动记录 (MBR) 磁盘分区的样式相比，GUID 分区表 (GPT) 磁盘分区样式支持最大卷为 18 EB (exabytes) 并且每磁盘最多有 128 个分区。与 MBR 分区的磁盘不同，至关重要的平台操作数据位于分区，而不是位于非分区或隐藏扇区。另外，GPT 分区磁盘有多余的主要及备份分区表来提高分区数据结构的完整性。

不能将 GPT 移至运行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的基于 x86 的计算机上。不过，可以将 GPT 磁盘从运行带有 SP1 的 Windows Server 2003 的基于 x86 的计算机或基于 x64 的计算机移至运行 Windows Server 2003 或 Windows XP 的基于 Itanium 的计算机上，反之亦然。

现在使用 diskpart 命令解决它吧：

1. 打开命令提示符，输入 diskpart
2. 输入 list disk ，查看磁盘情况，这里有两个磁盘，一个主机箱内的硬盘，一个移动硬盘。
3. 输入 select disk n （其中的 n 指的是要接收焦点的磁盘的磁盘编号，也就是我们需要转换的磁盘的编号）
4. 输入 clean all ，将指定的磁盘上所有扇区都设置为零，这样就完全删除了磁盘上的所有数据。

下面的操作可选：
5. 可以使用 convert mbr ，将具有 GUID 分区表 (GPT) 分区形式的空白基本磁盘转换为具有主启动记录 (MBR) 分区形式的基本磁盘。
5. 重新进入“计算机管理”的“磁盘管理”，这时系统会发现一个新磁盘，要求初始化选择。哈哈！赶快选择 MBR 主分区 吧！（我用的是这一种）

6. 为心爱的移动硬盘分区，格式化，拷贝资料吧！希望对一些朋友有用！

回到顶端

修改 MTU 大小