linux设备驱动程序过滤

Ⅰ 我想深入学习一下计算机及网络知识该怎么学起

第一部分：计算机结构及工作原理、各种零配件的性能参数及主流品牌、计算机硬件的组装，CMOS设置，硬盘的分区，格式化、Windows98/2000/XP的安装、硬件驱动程序和应用程序的安装、Windows注册表的结构，备份及应用Windows的内核：CPU、内存、硬盘等分配、软硬件系统的优化设置，整机性能评测、计算机病毒的原理及防治、常见软硬件故障的原因，现象及解决、正确分辨市场假货、水货，软硬件产品的销售技巧 。
第二部分：网络的基本构成，发展和拓扑设计，10BASE-T局域网的构建与实现，以及各种服务器的结构与特征，以太网对等网等各种方式。TCP/IP的四层模型与OSI七层模型的异同，TCP/IP协议剖析，如何设置IP地址，子网掩码，默认网关，区分子网和网段及集线器，交换机和路由器，RJ45网线制作和种网吧的组建及维护， NT、WIN2000server、Linux服务器的搭建，98对等网的组建与调试和代理服务器的设置

第三部分：Win2000配置,用户及权限、文件及文件夹的管理，新特性活动目录的管理，组策略。网络资源的监控、系统环境的设置、磁盘系统的管理。Web、Ftp、DNS、DHCP、WINS等服务器的安装配置及管理。利用Exchange邮件服务器软件实现企业内部个人邮件信箱服务器、公告栏服务器、网站收发电子邮件服务器、聊天服务器的建立和管理。SQL Server中数据库的创建、表的创建及发布、数据库的备份及恢复、表的导入及导出等一系列维护和管理方法。代理服务器基本原理。利用Microsoft Proxy为例实现代理服务器的设置及管理。

第四部分：代理服务器基本原理。利用Microsoft Proxy为例实现代理服务器的设置及管理。流行网管软件Cisco Work2000的配置、使用和管理技巧，在一台监控计算机上管理网络中所有的路由器和交换机，实时监控网络流量，及时发现网络问题。路由与交换技术：路由原理的讲解，并通过对路由器配置实例的学习掌握Cisco路由器的常用配置命令及配置。交换原理的讲解，通过对交换机配置实例的学习掌握交换机的常用配置命令及配置。

第五部分：系统进行手工定制、系统性能检测管理、内核设置与编译。ftp服务与Samba服务，其它服务，如，DHCP、NFS等。Web网络服务。包括：Apache服务的配置使用及安全设置。其它web服务软件的介绍。DNS技术及应用。一些简单的路由技术一些简单的负载均衡技术。Mail网络服务。包括：sendmail的配置与使用，Qmail的配置与使用。一些mail客户端程序的使用

第六部分：网络安全的基本概述，网络协议的介绍，常规加密的基本知识，公钥密钥加密的基本知识及数字签名，身份难验证，用PGP及数字证书进行邮件加密实验，全面讲述在环境下实施网络安全对策,Windows98下各种漏洞、攻击类型和防御方法及安全配置方案（系统安全、IE安全、Outlook的安全等）。结合黑客攻击过程全面讲述在
WindowsNT环境下实施网络安全对策。WindowsNT下各种漏洞、攻击类型和防御方法及安全配置方案，全面讲述在Windows2000环境下实施网络安全对策，Windows系统的日志安全、WEB安全，软件防火墙的实施。 windows2000下各种漏洞、攻击类型和防御方法及安全配置方案。

第七部分：Linux管理员部分
一、 基本应用
1、 GNU/linux介绍、Redhat Linux的安装。
2、 系统知识（shell、文件系统、管道与重定向、进程概念）、常用系统命令介绍（ls、cp、mkdir、rm 、vi、man、chmod等）
3、 基本系统管理（包括：系统启动过程介绍、磁盘管理、用户管理、日志查看、tar/gz包的使用、rpm软件包管理等。

二、 基本系统服务（包括：图形终端、基本网络服务）（9个课时）
1、 图形终端（即，x-window）的配置与使用。围绕KDE和（或）GNOME，展示UNIX系统的友好界面。
2、 简单的shell教本编写方法，环境变量
3、 Linux下IP网络的基本配置（IP地址、网关、名字）
4、 Linux下的网络服务的配置与使用（包括ftp、DNS、Apache、Sendmail、samba的基本配置）。基于RedHat的setup和linuxconf进行介绍。Webmin管理工具的介绍。

三、 Prerequisite(背景课程)
1、 前言
2、 高级系统管理。包括：系统进行手工定制（inetd，service，ntsysv）、系统性能检测管理（ps，top ，tail，dmesg，/proc）。
3、 内核设置与编译。

四、 高级网络应用
1、 ftp服务与Samba服务，其它服务，如，DHCP、NFS等。
2、 Web网络服务。包括：Apache服务的配置使用及安全设置。其它web服务软件的介绍。DNS技术及应用。
3、 一些简单的路由技术
4、 一些简单的负载均衡技术。
5、 Mail网络服务。包括：sendmail的配置与使用，Qmail的配置与使用。一些mail客户端程序的使用。

五、 系统网络安全
1、 包过滤防火墙的理论与应用（NAT技术、内核构架、Ipchains/Iptable的使用），其它非核心态防火墙的介绍。
2、 系统安全。SSH的配置与使用。入侵检测系统及Checkpoint技术与应用
3、 VPN（虚拟网关）的理论与应用。包括：Ipsec、PPTP、认证、密钥交换协议等技术。
六、 总结
混合构建一个安全的网络服务系统

Ⅱ 如何彻底卸载3721

其实不需要网络实名等东西
你完全可以把它卸载掉
常用的网址都加入收藏收藏夹
网络实名的作用不大
换个浏览器，比如傲游
在Documents and Settings\All Users\「开始」菜单\程序\网络实名\ 目录下添加
了解网络实名详细信息.url 86 字节
清理上网记录.url 100 字节
上网助手.url 99 字节
卸载网络实名.lnk 1,373 字节
修复浏览器.url 103 字节

在WINDOWS\Downloaded Program Files\ 下添加
assis.ico 5,734 字节
cns02.dat 1,652 字节
CnsHook.dll 56,320 字节
CnsMin.cab 116,520 字节
CnsMin.dll 179,712 字节
CnsMin.inf 378 字节
sms.ico" 6,526 字节
yahoomsg.ico 5,734 字节

在WINDOWS\System32\Drivers\ 目录下添加
CnsminKP.sys

添加注册表键值：

增加HKEY_LOCAL_MACHINE\SOFTWARE\3721 主键，下设多子键及属性值；
在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 主键下增加
{B83FC273-3522-4CC6-92EC-75CC86678DA4}
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
两个子键
3．在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\主键下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1
四个子键
4. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\主键下增加
{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}子键
5. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\主键下增加
{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}
{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\主键下增加
!CNS子键
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ 主键下增加
{00000000-0000-0001-0001-596BAEDD1289}
{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}
{5D73EE86-05F1-49ed-B850-E423120EC338}
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
{FD00D911-7529-4084-9946-A29F1BDF4FE5} 五个子键
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\主键下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四个子键
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\主键下增加
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下增加
CnsMin子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下增加
EK_Entry 子键 （提示，这个键将在下次启动机器的时候生效，产生最令人头疼的部分，后文会叙述）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\下增加
CnsMin 子键
HKEY_CURRENT_USER\Software\下增加
3721子键
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新启动计算机后，上面提到的RunOnce下的EK_Entry生效，在注册表中多处生成最为邪恶的CnsMinKP键值，同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件，噩梦由此开始。
由于win2k/xp在启动的时候（包括安全模式）默认会自动运行windows/system32/drivers下面的所有驱动程序，于是CnsMinKP.sys被加载，而这个驱动的作用之一，就是保证windows/ Downloaded Program Files目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除；Cnshook.dll的作用则是提供中文实名功能，CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高，用了一个定时器函数反复安装钩子，因此造成系统性能下降，在天缘测试的那台机器上，使得性能大概下降了20%左右。而且由于hook强行挂接的原因，当用户使用断点调试程序的时候将会导致频繁出错，这一点与早期版本的cih导致winzip操作和无法关机类似（关于详细的技术细节，可参看题目为《[转载]3721驻留机制简单研究》一文，地址为 http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=894 原作者Quaful@水木清华）
防删除特性：
该病毒虽然自带一个所谓的“卸载程序”，但事实上核心部分的程序/注册表键值依然没有删除。而且该病毒更是利用各种技术手段，具有极其强大的反删除特性。
windows系统启机（包括安全模式下）便会加载windows/system32/drivers下的CnsMinKP.sys，该驱动该驱动程序过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时，直接返回一个TRUE，使Windows认为删除已经成功，但文件和注册表实际上还是在那里。

技术亮点：
天缘不得不承认，3721这个病毒插件可称我作为网管以来面对的最难清除的病毒。近几年来病毒有几次质的突破：cih感染可升级的bios、红色代码打开windows的共享扩大战果、meliza让我们见识了什么是看得到源程序的病毒、mssqlserver蠕虫让我们留意到计算机病毒能攻击的不光是节点还有网络设备、冲击波病毒让我们认识到大量使用同一种操作系统时在出现安全漏洞时的可怕、美女图片病毒让我们知道了将欺骗艺术与软件漏洞结合的威力、而这次3721病毒首次展现了病毒强大的反删除特性，可说是在windows环境下无法杀除的病毒。虽然这是个良性病毒，对系统并没有破坏特性，但依据病毒的发展史，可以预见，这种几近完美的反删除技术将很快被其他病毒所利用，很快将被其他病毒所利用。届时结合网络传播，局网感染带强大反删除功能的病毒或许会让目前windows平台下的杀毒软件遭遇到最大的考验。而这次经历，也让我意识到微软的windows操作系统在人性化、美观化、傻瓜化的背后的危机。作为it同行，我个人对3721病毒作者所使用的种种技术表示钦佩，但新型病毒的潘多拉魔盒，已经被他们打开：

在目前已知的病毒历史上，之前只有几种病毒利用过windows nt下的system32/drivers 下的程序会被自动加载的特性来进行传播，但那些病毒本身编写地不够完善，会导致windows nt系统频繁蓝屏死机，象3721插件病毒这样完美地加载、驻留其他进程，只消耗主机资源，监测注册表及关键文件不导致系统出错的病毒，国内外尚属首次，在技术上比以前那些病毒更为成熟；

如同天缘和大家曾经探讨过的没打sp2以上patch的win2k如何上网下载sp4再安装补丁这样的连环套问题一样。由于drivers目录下的CnsMinKP.sys启机必定加载，而欲不加载它，只有在windows启动后，进注册表改写相应的CnsMinKP键值或者删除该文件，但由于CnsMinKP.sys过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时，直接返回一个TRUE，使Windows认为删除已经成功，但文件和注册表实际上还是在那里。使得注册表无法修改/文件无法被删除，让我们传统的杀除病毒和木马的对策无法进行。
驻留ie进程，并自动升级，保证了该病毒有极强大的生命力，想来新的杀除方法一出现，该病毒就会立即升级。Windows上虽然还有mozilla等其他浏览器，但由于微软的捆绑策略和兼容性上的考虑，绝大多数用户一般只安装有ie。上网查资料用ie，寻找杀除3721资料的时候也用ie，如此一来，3721抢在用户前面将自身升级到最新版本以防止被杀除的可能性大大增加，更加增添了杀除该病毒的难度。或许在本文发出后，病毒将会在最短时间内进行一次升级。
附带其他“实用”功能。天缘记得早年在dos下的时候曾遇到一些病毒，在发作的时候会自动运行一个可爱的屏幕保护，或者是自动替用户清理临时文件夹等有趣的功能；后来在windows平台上也曾见过在病毒发作时自动提醒“今天是xx节，xx年前的今天发生了xx历史典故”这样的带知识教育意义的病毒；而3721病毒则是提供了一个所谓的中文域名与英文域名的翻译功能。随着病毒的发展，这样带隐蔽性、趣味性和欺骗性的病毒将越来越多。例如最近的邮件病毒以微软的名义发信，或以re开始的回信格式发信，病毒编写的发展从原来的感染传播、漏洞传播、后门传播逐步向欺骗传播过渡，越来越多的病毒编写者意识到社会工程学的重要性。或许在不久的将来，就会出现以简单的网络游戏/p2p软件为掩饰的病毒/木马。
极具欺骗性：该插件在win98下也能使用，但使用其自带的卸载程序则可比较完美地卸载，而在win2k/xp平台下卸载程序则几乎没用。由此可以看出病毒编写者对社会工程学极其精通：当一个人有一只表时他知道时间；而当他有两只表时则无从判断时间。当在论坛/bbs上win2k/xp的用户提到此病毒无法删除的时候，其他win2k/xp用户会表示赞同，而win98用户则会表示其不存在任何问题属于正常程序的反对意见。两方意见的对立，影响了旁观者的判断。

商业行为的参与。据传该病毒是由某公司编写的，为的是进一步推销其产品，增加其访问量和申请用户。这点上与某些色情站点要求用户下载xx插件，之后不断利用该插件弹出窗口进行宣传的方式很象。天缘不由得想起一个典故。话说当年某公司公司工作人员（当然也有可能是不法者冒充该公司的工作人员）经常打电话恐吓大型的企业单位，无外乎说其中文域名已被xx公司抢注，如不交钱将会导致xx后果云云。兄弟学校中似乎也有受到此公司骚扰的经历：该公司员工打电话到某高校网络中心，起初是建议其申请中文域名，其主任很感兴趣但因价格原因未果。第二次打来的时候，就由劝说变成了恐吓，说该校中文名字已经被xx私人学校注册，如果该校不交钱申请就会有种种可怕后果云云。谁想该校网络中心主任吃软不吃硬，回话：“你既然打电话到此，想来你也知道在中国，xx大学就我们一所是国家承认的，而你们公司在没有任何官方证明的情况下就替申请我校中文域名的私人学校开通，就这点上就可见你们的不规范性，那么如果我私人交钱申请xxx国家领导的名字做个人站点是不是贵公司也受理？遇到类似冒用我校名义行骗及协助其行骗的公司，我们一贯的做法是寻找法律途径解决！”回答甚妙，当然此事后果是不了了之。从相关报道中不难看到，计算机犯罪逐步开始面向经济领域。侵犯私人隐私，破坏私人电脑的病毒与商业结合，是病毒编写由个人行为到商业行为的一次转变，病毒发展的历史由此翻开了新的一章。

病毒查杀方案：

由于网管专题的栏目作用主要是“授人与渔”，天缘把病毒查杀过程经历一并写下，大家共同探讨。

第一回合：
当初见此病毒的时候，感觉不过如此，普通木马而已。依照老规矩，先把注册表里相关键值删除，再把病毒文件一删，然后重新启动机器，等待万事ok。启机一看，注册表完全没改过来，该删除的文件也都在。
结局：病毒胜，天缘败

第二回合：
换了一台机器，下了个卸载帮助工具，以方便监视注册表/文件的改变。我下的是Ashampoo UnInstaller Suite这个软件，能监视注册表/文件/重要配置文件。Ok，再次安装3721插件，把对注册表的改变/文件的改变都记录下来。（值得注意，因为注册表run和runonce的键是下次启动的时候生效的，因此在重新启动后，还要对比一下文件/注册表的改变才能得到确切结果）。然后对比记录，把3721添加的键全部记下来，添加的文件也记录下来。之后我计划是用安全模式启动，删除文件和注册表，所以写了一个save.reg文件来删除注册表里的相关键值（写reg文件在网管笔记之小兵逞英雄那讲有介绍，等一下在文末我提供那个reg文件给大家参考），写了一个save.bat来删除相关文件，放到c盘根目录下。重新启动机器，进入安全模式下，我先用regEdit /s save.reg 导入注册表，然后用save.bat删除相关文件。重新启动机器，却发现文件依然存在，注册表也没有修改成功。通常对付木马/病毒的方式全然无效，令我产生如临大敌之感。
结局：病毒胜，天缘败

第三回合：
重新启动机器，这次我采用手工的方式删除文件。发现了问题——对system32/drivers目录下的CnsMinKP.sys，WINDOWS\Downloaded Program Files 目录下的Cnshook.dll和CnsMin.dll都“无法删除”。这样说可能有点不妥当，准确地说法是——删除之后没有任何错误报告，但文件依然存在。于是上网用google找找线索——在绿盟科技找到了一则文章（名字及url见前文），于是明白了这一切都是CnsMinKP.sys这东西搞得鬼。那么，只要能开机不加载它不就行了？？但试了一下2k和xp的安全方式下都是要加载system32/drivers下的驱动，而如果想要取消加载，则需要修改注册表，但由于在加载了CnsMinKP.sys后修改注册表相关值无效，导致无法遏制CnsMinKP.sys这个程序的加载。当然，有软驱的朋友可以利用软盘启动的方式来删除该文件，但如果跟天缘一样用的是软驱坏掉的机器怎么办呢？记得绿盟上的文章所说的是——“目前无法破解”。在这一步上，天缘也尝试了各种方法。
我尝试着改这几个文件的文件名，结果没成功；
我尝试着用重定向来取代该文件，如dir * > CnsMinKP.sys ，结果不成功；
我尝试着用 con <文件名> 的方式来覆盖这几个文件，结果发现三个文件中Cnshook.dll可以用这样的方法覆盖成功，但是在覆盖CnsMinKP.sys和CnsMin.dll的时候，居然提示“文件未找到”！？熟悉 con用法的朋友都该了解，无论是文件是否存在，都应该是可以创建/提示覆盖的，但居然出来这么一个提示，看来CnsMinKP.sys着实把系统都骗过了，强！！跟它拼到这里的时候，回想到了在dos下用debug直接写磁盘的时代了，或许用它才能搞定吧？
仔细一想，win2k/xp下似乎没有了debug程序了，而或许问题解决起来也不是那么复杂。再又尝试了几种方法后，终于得到了启示：既然文件不允许操作，那么我操作目录如何？
我先把windows\system32\drivers目录复制一份，取名为drivers1,并将其中的CnsMinKP.sys删除（注意，因为是drivers1中的，所以可以被成功地真正删除掉）；
重新启动机器，到安全模式下；
用drivers1目录替代原来的drviers目录
cd windows\system
ren drivers drivers2
ren drivers1 drivers
之后重新启动机器，然后进到windows后先把drivers2目录删除了，然后慢慢收拾残余文件和清理注册表吧。在这里天缘提供一个reg文件，方便各位删除注册表：
Windows Registry Editor Version 5.00（用98的把这行改成regeidt4）

[-HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}]

[-HKEY_CURRENT_USER\Software\3721]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OCustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OSearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\EK_Entry]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSAutoUpdate]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSEnable]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSHint]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSList]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSMenu]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSReset]
结局：病毒败，天缘胜
（虽然是成功地删除了它，但是感觉赢得好险，如果该病毒加一个禁止上级文件改名的功能那么就真的没折了，为了预防类似的情形，最后还是找到了彻底一点的办法，见下）

第四回合：
聪明的读者大概已经想到，既然没有办法在硬盘启动对于c盘是fat32格式的机器，想到这里已经找到了解决办法——用win98启机软盘启动机器，然后到c盘下删除相关文件，然后启动到安全模式下用save.reg把注册表搞定就行了。问题是——大多数win2k/xp都使用的是新的ntfs格式，win98启机软盘是不支持的！怎么办？有软驱的机器可以做支持NTFS分区操作的软盘，用ntfsdos这个软件就能做到（详情请见http://www.yesky.com/20020711/1620049.shtml一文）。而跟天缘一样没有软驱的朋友，别忘记了win2k/xp开始加入的boot，不光是能够选择操作系统而已，而是跟linux下的lilo和grub一样，是一个操作系统引导管理器——换句话说，如果我们能在硬盘上做一个能读写NTFS的操作系统，再用boot进行引导，那么不是就可以在无软驱的情形下实现操作c盘的目的了么？在网络上找到vFloppy.exe 这个软件，它自带一个支持读写ntfs的镜象文件，并且使用简单，非常傻瓜化（详情见http://www.yesky.com/SoftChannel/72350068425883648/20040226/1771849.shtml 一文，顺便一提新版本的yFloppy已经自带支持ntfs读写的img文件了）。然后删除3721的相关文件，重新启动后清理注册表和删除相关文件就行了。

到此，我们终于把3721这个阴魂不散地幽灵彻底赶出了我们的硬盘！！

Ⅲ 嵌入式Linux内核开发和驱动开发是不是都属于系统开发或者都属于底层开发谢谢了！

驱动属于内核的一部分，但和系统开发有存在较大的区别。系统开发里，重点是理解CPU指令内以及硬件架构，然后通过容软件程序设计出调配硬件资源的一套体系，而驱动程序通常扮演着系统与具体硬件通讯的桥梁，当然也有虚拟设备或过滤驱动这种例外的概念。从应用层来看，这种开发都属于底层开发。但从硬件层来看，这些就不算那么底层了。
目前的企业较多是在搞系统移植或定制硬件的驱动开发，但要做这样的工作不是很快上手的，而且学习也要花比较长的时间，真要等到技术水平从零到能适应工作需求，估计也要个3-5年时间，而且这还要看个人的机遇和心态决定。

Ⅳ 要成为一名好的网管要学习那些知识

这要看什么样的网管，大网站的网管，其实也并不是一个全面手，若很全面，可能人家反而不会要你。有的精通UNIX，有的则精通WinDows，有的熟悉ASP，有的则熟悉JSP或是PHP等等。

而对于网吧的网管，一般就得具有全面的知识和动手能力，这是基本的。
不过合格的网管学的东西还是很多的 看看吧: 网络管理员的知识结构
具体看看这里吧

http://16330.net/bbs/mainframe.php?tid=1163
- 当网管具备什么条件

Ⅳ linux前台进程独占shell是怎么实现的

Linux中的kill命令用来终止指定的进程（terminate a process）的运行，是Linux下进程管理的常用命令。通常，终止一个前台进程可以使用Ctrl+C键，但是，对于一个后台进程就须用kill命令来终止，我们就需要先使用ps/pidof/pstree/top等工具获取进程PID，然后使用kill命令来杀掉该进程。kill命令是通过向进程发送指定的信号来结束相应进程的。在默认情况下，采用编号为15的TERM信号。TERM信号将终止所有不能捕获该信号的进程。对于那些可以捕获该信号的进程就要用编号为9的kill信号，强行“杀掉”该进程。
1．命令格式：
kill[参数][进程号]
2．命令功能：
发送指定的信号到相应进程。不指定型号将发送SIGTERM（15）终止指定进程。如果任无法终止该程序可用“-KILL” 参数，其发送的信号为SIGKILL(9) ，将强制结束进程，使用ps命令或者jobs 命令可以查看进程号。root用户将影响用户的进程，非root用户只能影响自己的进程。
3．命令参数：
-l 信号，若果不加信号的编号参数，则使用“-l”参数会列出全部的信号名称
-a 当处理当前进程时，不限制命令名和进程号的对应关系
-p 指定kill 命令只打印相关进程的进程号，而不发送任何信号
-s 指定发送信号
-u 指定用户
注意：
1、kill命令可以带信号号码选项，也可以不带。如果没有信号号码，kill命令就会发出终止信号(15)，这个信号可以被进程捕获，使得进程在退出之前可以清理并释放资源。也可以用kill向进程发送特定的信号。例如：
kill -2 123
它的效果等同于在前台运行PID为123的进程时按下Ctrl+C键。但是，普通用户只能使用不带signal参数的kill命令或最多使用-9信号。
2、kill可以带有进程ID号作为参数。当用kill向这些进程发送信号时，必须是这些进程的主人。如果试图撤销一个没有权限撤销的进程或撤销一个不存在的进程，就会得到一个错误信息。
3、可以向多个进程发信号或终止它们。
4、当kill成功地发送了信号后，shell会在屏幕上显示出进程的终止信息。有时这个信息不会马上显示，只有当按下Enter键使shell的命令提示符再次出现时，才会显示出来。
5、应注意，信号使进程强行终止，这常会带来一些副作用，如数据丢失或者终端无法恢复到正常状态。发送信号时必须小心，只有在万不得已时，才用kill信号(9)，因为进程不能首先捕获它。要撤销所有的后台作业，可以输入kill 0。因为有些在后台运行的命令会启动多个进程，跟踪并找到所有要杀掉的进程的PID是件很麻烦的事。这时，使用kill 0来终止所有由当前shell启动的进程，是个有效的方法。
4．使用实例：
实例1：列出所有信号名称
命令：
kill -l
输出：
[root@localhost test6]# kill -l
1) SIGHUP 2) SIGINT 3) SIGQUIT 4) SIGILL
5) SIGTRAP 6) SIGABRT 7) SIGBUS 8) SIGFPE
9) SIGKILL 10) SIGUSR1 11) SIGSEGV 12) SIGUSR2
13) SIGPIPE 14) SIGALRM 15) SIGTERM 16) SIGSTKFLT
17) SIGCHLD 18) SIGCONT 19) SIGSTOP 20) SIGTSTP
21) SIGTTIN 22) SIGTTOU 23) SIGURG 24) SIGXCPU
25) SIGXFSZ 26) SIGVTALRM 27) SIGPROF 28) SIGWINCH
29) SIGIO 30) SIGPWR 31) SIGSYS 34) SIGRTMIN
35) SIGRTMIN+1 36) SIGRTMIN+2 37) SIGRTMIN+3 38) SIGRTMIN+4
39) SIGRTMIN+5 40) SIGRTMIN+6 41) SIGRTMIN+7 42) SIGRTMIN+8
43) SIGRTMIN+9 44) SIGRTMIN+10 45) SIGRTMIN+11 46) SIGRTMIN+12
47) SIGRTMIN+13 48) SIGRTMIN+14 49) SIGRTMIN+15 50) SIGRTMAX-14
51) SIGRTMAX-13 52) SIGRTMAX-12 53) SIGRTMAX-11 54) SIGRTMAX-10
55) SIGRTMAX-9 56) SIGRTMAX-8 57) SIGRTMAX-7 58) SIGRTMAX-6
59) SIGRTMAX-5 60) SIGRTMAX-4 61) SIGRTMAX-3 62) SIGRTMAX-2
63) SIGRTMAX-1 64) SIGRTMAX
说明：
只有第9种信号(SIGKILL)才可以无条件终止进程，其他信号进程都有权利忽略。 下面是常用的信号：
HUP 1 终端断线
INT 2 中断（同 Ctrl + C）
QUIT 3 退出（同 Ctrl + \）
TERM 15 终止
KILL 9 强制终止
CONT 18 继续（与STOP相反， fg/bg命令）
STOP 19 暂停（同 Ctrl + Z）
实例2：得到指定信号的数值
命令：
输出：
[root@localhost test6]# kill -l KILL
9[root@localhost test6]# kill -l SIGKILL
9[root@localhost test6]# kill -l TERM
15[root@localhost test6]# kill -l SIGTERM
15[root@localhost test6]#
说明：
实例3：先用ps查找进程，然后用kill杀掉
命令：
kill 3268
输出：
[root@localhost test6]# ps -ef|grep vim
root 3268 2884 0 16:21 pts/1 00:00:00 vim install.log
root 3370 2822 0 16:21 pts/0 00:00:00 grep vim
[root@localhost test6]# kill 3268
[root@localhost test6]# kill 3268
-bash: kill: (3268) - 没有那个进程
[root@localhost test6]#
说明：
实例4：彻底杀死进程
命令：
kill –9 3268
输出：
[root@localhost test6]# ps -ef|grep vim
root 3268 2884 0 16:21 pts/1 00:00:00 vim install.log
root 3370 2822 0 16:21 pts/0 00:00:00 grep vim
[root@localhost test6]# kill –9 3268
[root@localhost test6]# kill 3268
-bash: kill: (3268) - 没有那个进程
[root@localhost test6]#
说明：
实例5：杀死指定用户所有进程
命令：
kill -9 $(ps -ef | grep peidalinux)
kill -u peidalinux
输出：
[root@localhost ~]# kill -9 $(ps -ef | grep peidalinux)
[root@localhost ~]# kill -u peidalinux
说明：
方法一，过滤出hnlinux用户进程并杀死
实例6：init进程是不可杀的
命令：
kill -9 1
输出：
[root@localhost ~]# ps -ef|grep init
root 1 0 0 Nov02 ? 00:00:00 init [3]
root 17563 17534 0 17:37 pts/1 00:00:00 grep init
[root@localhost ~]# kill -9 1
[root@localhost ~]# kill -HUP 1
[root@localhost ~]# ps -ef|grep init
root 1 0 0 Nov02 ? 00:00:00 init [3]
root 17565 17534 0 17:38 pts/1 00:00:00 grep init
[root@localhost ~]# kill -KILL 1
[root@localhost ~]# ps -ef|grep init
root 1 0 0 Nov02 ? 00:00:00 init [3]
root 17567 17534 0 17:38 pts/1 00:00:00 grep init
[root@localhost ~]#
说明：
init是Linux系统操作中不可缺少的程序之一。所谓的init进程，它是一个由内核启动的用户级进程。内核自行启动（已经被载入内存，开始运行，并已初始化所有的设备驱动程序和数据结构等）之后，就通过启动一个用户级程序init的方式，完成引导进程。所以,init始终是第一个进程（其进程编号始终为1）。 其它所有进程都是init进程的子孙。init进程是不可杀的！
,

Ⅵ linux怎样加载文件过滤驱动

文件系统过滤驱动是一种可选的，为文件系统提供具有附加值功能的驱动程序。文件系统过滤驱动是一种核心模式组件，它作为Windows NT执行体的一部分运行。
文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作。按不同的种类划分，文件系统过滤驱动可以分成日志记录、系统监测、数据修改或事件预防几类。通常，以文件系统过滤驱动为核心的应用程序有防毒软件、加密程序、分级存储管理系统等。
二、文件系统过滤驱动并不是设备驱动
设备驱动是用来控制特定硬件I/O设备的软件组件。例如：DVD存储设备驱动是一个DVD驱动。
相反，文件系统过滤驱动与一个或多个文件系统协同工作来处理文件I/O操作。这些操作包括：创建、打开、关闭、枚举文件和目录；获取和设置文件、目录、卷的相关信息；向文件中读取或写入数据。另外，文件系统过滤驱动必须支持文件系统特定的功能，例如缓存、锁定、稀疏文件、磁盘配额、压缩、安全、可恢复性、还原点和卷装载等。
下面两部分详细的阐述了文件系统过滤驱动和设备驱动之间的相似点与不同点。

三、安装文件系统过滤驱动
对于Windows XP和后续操作系统来说，可以通过INI文件或安装应用程序来安装文件系统过滤驱动（对于Windows 2000和更早的操作系统，过滤驱动通常通过服务控制管理器Service Control Manager来进行安装）。
四、初始化文件系统过滤驱动
与设备驱动类似，文件系统过滤驱动也使用DriverEntry例程进行初始化工作。在驱动程序加载后，加载驱动相同的组件将通过调用驱动程序的 DriverEntry例程来对驱动程序进行初始化工作。对于文件系统过滤驱动来说，加载和初始化过滤驱动的系统组件为I/O管理器。
DriverEntry例程运行于系统线程上下文中，其IRQL = PASSIVE_LEVEL。本例程可分页，详细信息参见MmLockPagableCodeSection。
DriverEntry例程定义如下：
NTSTATUS
DriverEntry (
IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath
)
本例程有两个输入参数。第一个参数，DriverObject为系统在文件系统过滤驱动加载时所创建的驱动对象；第二个参数，RegistryPath为包含驱动程序注册键路径的Unicode字符串。
文件系统过滤驱动按如下顺序执行DriverEntry例程：

01、创建控制设备对象：

文件系统过滤驱动的DriverEntry例程通常以创建控制设备对象作为该例程的起始。创建控制设备对象的目的在于允许应用程序即使在过滤驱动加载到文件系统或卷设备对象之前也能够直接与过滤驱动进行通信。
注意：文件系统也会创建控制设备对象。当文件系统过滤驱动将其自身附加到文件系统之上时（而不是附加到某一特定文件系统卷），过滤驱动同样将其自身附加到文件系统的控制设备对象之上。

在FileSpy驱动范例中，控制设备对象按如下方式创建：

RtlInitUnicodeString(&nameString, FILESPY_FULLDEVICE_NAME);
status = IoCreateDevice(
DriverObject, //DriverObject
0, //DeviceExtensionSize
&nameString, //DeviceName
FILE_DEVICE_DISK_FILE_SYSTEM, //DeviceType
FILE_DEVICE_SECURE_OPEN, //DeviceCharacteristics
FALSE, //Exclusive
&gControlDeviceObject); //DeviceObject

RtlInitUnicodeString(&linkString, FILESPY_DOSDEVICE_NAME);
status = IoCreateSymbolicLink(&linkString, &nameString);

与文件系统不同，文件系统过滤驱动并不是一定要为其控制设备对象命名。如果传递给DeviceName参数一个非空（Non-NULL）值，该值将作为控制设备对象的名称。接下来，在前面的代码范例中DriverEntry可以调用IoCreateSymbolicLink例程来将该对象的核心模式名称与应用程序可见的用户模式名称关联到一起（同样可以通过调用IoRegisterDeviceInterface来使设备对象对应用程序可见）。
注意：由于控制设备对象是唯一不会附加到设备堆栈中的设备对象，因此控制设备对象是唯一的可安全命名的设备对象。由此，是否为文件系统过滤驱动的控制设备对象是否命名是可选的。
注意：文件系统的控制设备对象必须命名。过滤设备对象从不命名。

Ⅶ 有没有可能在linux内核和网卡驱动中做修改简单的实现网卡的混杂模式下抓包，并且把包给存入一个文件中

设置混杂模抄式什么的，这些我只晓得可以做sniffer。不过具体我没做过，所以过程我不太清楚，这个部分我没法说。
你说创建文件的话，直接从内核创建以及读写文件大概会比较麻烦吧。可以使用一个用户态程序，然后你的内核模块中可以注册一个可读写的char设备，用户程序读写这个内核模块的/dev/下面对应的char设备。可以读这个设备文件获得内核的数据，写这个文件进行一些设置，比如网卡模式，抓包过滤选项等等。
当然，你也可以去找找源码里面文件系统那部分，open、read、write调用等是如何根据用户的操作来创建并且实际读写文件的，你可以直接引用这些函数来搞定文件读写。这样的话，因为没有用户程序的参与，从抓数据到写文件都是内核搞定的化，不好跟你的内核模块交互，没法控制了...这样做的好处是可以直接修改哪些最终提交数据的函数，提交之前拷贝一份数据就OK了。

要是想找点靠谱的答案，还是尽量去些论坛问吧...

我也在看内核，ldd3还好多没看...

Ⅷ arm的trustzone是怎样保证硬件安全的

Trustzone可以追溯到十多年前，ARMv7公布的时候就有了，可惜一直没有什么实际应用。直到近几年开始，才真正的有厂商开始把这个方案大规模用于芯片里。目前看到的主要有四个应用领域：
第一是无人机芯片，大疆已经走在了最前面，第二名连影子都没看见。无人机上几大应用，图像传输，图像处理，识别，飞控，存储，每一块都有安全的诉求。利用Trustzone可以做到，在芯片里流动的数据，每一步都在安全系统的控制之下，哪怕飞机被人抢去，都需要极大的代价才能拿到闪存以及内存里面的数据。如果以后上安卓或者其他操作系统，哪怕软件系统被黑客攻破，数据和控制还是安全的。最后，如果国家或者行业出台政策，要求实施禁飞区，那么哪怕无人机的主人自己去修改闪存和软件，都可以被强制接管。这些功能必须在芯片设计阶段就考虑到，大疆在这方面的眼光确实比别人长远。
第二是DRM，数字版权管理，也就是内容保护。如果国内用户要在手机上看最新好莱坞大片，那么播放设备必须经过一个认证，这个认证可以用trustzone来实现。国内已经在积极的推动这个事情，估计再过一段时间就可以实现了。当然，这是一把双刃剑，肯定也有用户反而不愿买支持DRM的设备，而去看盗版。用了Trustzone本身并不限制盗版，只不过多了一个看好莱坞大片的渠道。
第三是支付。把Trustzone用于支付支付在技术上没有困难，对芯片性能要求也不高，难的是把各个利益方摆平。银行和运营商想把支付控制权握在自己手里，所以会去大力推广NFC，会去和苹果合作。而手机支付软件厂商，比如支付宝和微信，想通过和手机芯片和硬件厂商，把所有功能都自己的平台上实现。目前的支付大多数还是基于软件和远端密钥验证。如果有人把手机破解，那还是可以读取到支付图层的密码的。而trustzone做的，就是硬件上杜绝这类情况。
第四是物联网。物联网的安全有好几种做法，可以把安全检测放在服务器端或者末端芯片上。末端通常是一个MCU加上传感器和互联模块，面积较小。用硬件trustzone实现的话，加解密和密钥管理等功能会需要额外内模块，可能比MCU本身都大，成本太高。但如果是附加值高的芯片就没什么问题。
让我们从技术层面来定义Trustzone到底能做什么：
1、防止操作系统被攻破后关键数据泄密，关键数据存放在特定内存区域，而那块区域，只有安全操作系统才有可能读到。
2、防止通过JTAG等调试接口读到寄存器，缓存，内存或者闪存数据。
3、从芯片制造开始，最初的密钥可以用芯片熔丝实现，往后启动的每一步都需要最高特权级和密钥验证，建立信任链，杜绝软件被替换或者被恶意读取。
4、防止边带攻击，比如量取内存颗粒的信号猜测数据，制造故障让检验模块停止工作，替换外围器件，输入特定数据确定电磁信号特征，打开芯片直接量内部信号线等。

上一个典型的ARM SoC内部结构，在这个结构里，Trustzone做的事情是保护数据在芯片内部的安全，不允许非授权的访问，哪怕这个访问来自CPU。初看有些复杂，不过我们可以拆开慢慢分析。从硬件角度开始比软件更清楚些，说不定哪天过认证的时候需要答辩，从头到尾解释系统安全设计。
首先，按照Trustzone的划分，一个芯片内被划分为安全世界和非安全世界。上图中，中间黑色的部分是总线，总线上面是主设备，下面是从设备（主设备中的缓存是例外，这个以后说）。读写请求总是从主设备发往从设备的。
作为从设备，区分它是不是属于安全世界相对简单。如果一个从设备不存在成块的空间映射，比如I2C或者PWM，那么我只要在总线访问它的时候，额外的加入一个管脚(取名为PROT)，就可以告诉它本次访问是不是来自安全世界。如果从设备本身是完全属于被保护的安全世界，不接受非安全的访问，那么只要简单的拒绝，返回错误或者无意义数据即可。同样，如果从设备本身处于非安全世界，那么对于安全和非安全访问，都可以返回正确数据。还有，从设备所处于的世界，是可以动态配置的，且动态配置本身需要处在安全世界，这个以后讨论。
对于块设备，包括闪存，sram和内存等，它们的某些地址块需要处于安全世界，其他的处于非安全世界。为了实现这一点，就需要在它们前面插入一个检验模块（例如图中左方，DDR上面的TZC400），来判断某个地址是不是能被访问。当地址被送到这个检验模块，模块会结合PROT管脚去查表，看看本次访问是不是被允许，然后做相应措施。表本身和之前的动态配置一样，必须是在安全世界里面配置的。
至此，从设备就分析完了，是不是感觉特别简单？还有些细节，在把主设备也讲完后，我们会从系统角度来关注。
对于一般主设备，不考虑自带的缓存时，其实和从设备也差不多，也分为安全和非安全，可以在安全世界动态配置。配置完成后，这些主设备会按照自己所处的世界，驱动PROT管脚和地址来访问从设备，得到相应返回。不过这里的一般主设备不包括中断控制器，系统MMU，调试模块和处理器，接下来对这些例外模块进行具体分析。

首先是处理器。
在上图情况，接了CCI总线后，处理器接在缓存一致性端口ACE上（不明白的请参考以前的文章），它的缓存是可以被别人访问的，并且这个访问，是从主设备到主设备（当然，在处理器内部是从端口），不会经过总线送到内存，也不会经过检验模块TZC400。这时就有个漏洞，通过操纵一个非安全世界的模块，比如上图的橙色主设备，假装去读一个被安全世界保护的内存地址。这个地址本来存在于内存，被TZC400保护，可是由于总线的监听功能，读请求有可能被发往处理器缓存，从而绕过保护。
为了防止这种情况，处理器在所有的页表和缓存都做了特殊设计，加了一个标志位，标志本缓存行是否属于安全世界。如果别的非安全世界主设备来监听安全世界缓存行，由于安全位不同，处理器会认为这是两个不同地址，哪怕它们的地址一致，返回缓存未命中。这样，就不会把数据泄漏。
有人会问，这个标志位来源于页表，改了页表中的这一位不就可以访问了？其实不行。因为安全世界页表位于被保护的内存区域或者缓存，就算破解了操作系统也无法访问。
又有人会说，那改了非安全世界的页表中安全位，并伪造一个安全世界的地址，岂不是可以让CPU模拟出一个访问安全世界的传输，送到总线和TZC400？TZC400或者对端缓存一看地址和PROT管脚都是符合要求的，应该就会返回保密数据吧？想法是不错，可是当CPU位于非安全世界时，它会忽略页表中的安全位，所以不可能发出PROT为安全的传输。所以，我们可以对这点放心。
以上是别的主设备访问处理器，那如果处理器本身处于非安全世界，有没有可能访问其他主设备的安全缓存？当然有。所以不要把其他主设备接到ACE端口，以免被监听，一般主设备是不会做缓存上的安全与非安全区分的。接到ACE-Lite接口无所谓，反正设计上就无法被读取缓存数据。
除此之外，还存在一个例外，就是GPU。在最新的ARM G71图形处理器上，是支持双向硬件一致性的。也就是说，GPU也可以被监听缓存的。为了简化设计，图形处理器被设成永远处于非安全世界，CPU尽管读，不在乎，它使用另外一种机制来保护数据，以后介绍。
对处理器缓存熟悉的人可能会想到用跨缓存行的非安全变量来访问被保护的数据。没用的，处理器设计者早就想到这点，要不就是非对齐访问异常（包含exclusive access的时候），要不就不会给你数据，具体到每个处理器有所不同。
还有一个漏洞没堵上，那就是缓存维护，TLB和分支预测操作。ACE端口包含了DVM操作来维护它们，安全性如何保障？同样的，地址中也有安全和非安全位。不过话说回来，DVM操作无非就是无效化某些缓存，分支预测和TLB项，不存在安全数据被读取，TLB被篡改的情况。
到这里可能你会觉得有点晕，不少漏洞需要堵。我们可以回顾一下，需要记住的是各种缓存操作，通过安全标志位保护，避免漏洞。对比处理器设计者所要考虑的情况，这点漏洞不值一提。
杜绝了缓存漏洞后，还有别的隐患，比如仿真器。调试模块可以被用来访问各个从设备，也可以访问和影响处理器内部资源。从设备侧的防护很容易，把调试模块当成一般的主设备处理就行。处理器内部的寄存器，缓存等资源，需要处理器从设计开始，就要为所有资源定义安全级别。被保护的资源对于来自调试模块的未授权访问会被禁止。只有通过安全启动链，安全世界的软件才能打开寄存器SDER，从而允许外部仿真器影响被保护的安全世界资源和处理器运行状态，访问被保护的资源。
那处理器内部的资源是怎么划分的？以ARMv8举例，如下图：

这幅图相信很多人都看到过。ARMv8的处理器被分成四个特权等级，通常EL0跑用户态程序，EL1内核，EL2虚拟机。EL0-1分为安全与非安全，EL3只有安全世界，EL2不区分，两个世界的切换必须经过EL3。我们谈到的处理器内部资源，包括寄存器，缓存，异常，MMU，很多都会分组，组之间看不到或者低级不可访问高级，从而保证安全。没有分组的，比如通用寄存器，就需要软件来维护，防止非安全世界的看到安全世界的数据。
引起安全切换的会有几种可能：中断和SMC指令。中断分为如下几种情况：

非安全世界下，在EL1或者EL0，当一个非安全中断来临，那么系统没必要切换安全状态，作为一般中断处理，切到EL1即可。
非安全世界下，在EL1或者EL0，当一个安全中断来临，那么系统必须先切到EL3，不然就没法做安全世界切换。
安全世界下，在EL1或者EL0，当一个安全中断来临，没必要做安全世界切换，作为一般中断处理，切到EL1即可。
安全世界下，在EL1或者EL0，当一个非安全中断来临，那么系统必须先切到EL3，不然就没法做安全世界切换。
当跳到EL3的Secure Monitor程序处理上下文切换时，IRQ/FIQ中断屏蔽位不起作用，哪怕打开了也不会触发，直到Secure Monitor处理完，向下跳到相应的安全世界EL1时，才会让原来的中断屏蔽恢复，从而触发中断。此时处理中断的是安全世界的中断程序，处于被保护的内存区域，杜绝非安全世界的程序篡改。
那怎样触发安全与非安全中断呢？这在中断控制器里有定义，早年的定义中只有FIQ可以作为安全中断，后期的可配置，并且，相应的安全世界配置寄存器只有在处理器的安全世界中才可以访问。
SMC指令和中断触发类似，只不过软件就可以触发，切换到Secure Monitor。这里，非安全软件可以提出触发请求，在通用寄存器填入参数，却无法控制安全世界的处理程序做什么，也依然看不到被保护内存数据。所以防止数据泄密的任务就靠安全操作系统了。
至此，安全启动后的基本硬件防护已经完成，但如果你以为这就是Trustzone，那就错了，精彩的在后面。
我们可以把Trustzone放到实际应用里面看看是不是可行。以DRM举例，如下图：

在播放授权 视频的时候，视频流来自网络或者闪存，它们不需要在安全世界，因为数据本身就是加密过的。然后被解密并放到被保护内存，等待解码。上图中，密码保护和解密是通过安全硬件模块Crypto来完成的，这个我们以后再分析，先处理解密完成后的视频流。此时有两种方案：
第一中，非常自然的，可以把所有的过程在安全世界完成，那么图形处理器，视频处理器和显示模块必须都工作在安全世界，能访问安全世界的数据，才能完成工作。可这样就带来一个问题，那就是驱动。我们知道，图形处理器的驱动是非常复杂的，并且手机上只存在Linux和windows下的图形驱动，和OpenGL ES/DirectX配合。
而安全世界的操作系统（TEE，Trusted Execution Environment）是完全不兼容的安全系统，甚至有的都不支持SMP， 完全不存在可能性把图形驱动移植上去，也没有任何意义。这样的话，就只能把图形处理器从流程中挖掉，只留下相对简单也不需要生态的视频和显示模块的驱动，工作在安全世界，而GPU的输出送到显示模块，由显示模块进行混合。
这是一种可行的方案，也确实有公司这么做。但是从长远看，图形处理器总是会参与到这个过程的，别的不说，只说VR和AR流行以后，要是虚拟个显示屏出来，上面播放视频，然后放在一个虚拟出的房间，那他们之间肯定是要进行互动的，此时显示模块就需要把视频图层送回GPU进行运算。如果GPU不在安全世界，那就会造成泄密。
为了解决上述问题，有了第二种解决方案，称作TZMP1（Trustzone Media Protection 1），引入了保护世界的概念。
保护世界工作于非安全世界，这样才能兼容图形驱动。那安全怎么办？它需要添加四根管脚NSAID，类似于安全世界的PROT信号，只不过做了更细的划分，使得GPU/视频/显示模块要访问被保护内存时，预先定义好了权限。而这个权限的设置，也是通过前文的TZC400来实现的，在安全启动链中就完成。CPU的权限通常是0，也就是最低。而显示控制器权限是只读。
这样一来，我们之前的老问题，恶意缓存监听，又回来了。在新的A73和G71加CCI500/550总线系统里，可以支持双向硬件一致性。这意味着GPU也能被监听。这下大家都在非安全世界，缓存里的安全位不起作用，怎么解决？这需要总线的配合。
ARM的总线CCI500/550，有一个保护模式，打开后，不光支持上文的NSAID管脚，还可以在监听的时候，把监听传输替换成缓存行无效化命令，直接让目标把相应缓存行无效化。这样一来，数据还是需要从内存读取，保证安全。并且这个过程对软件透明，无需做任何改动。
可是此时，辛辛苦苦设计的硬件一致性就完全起不到加速作用了，性能受到影响。好在运行OpenGL ES的时候，GPU是不会发出共享传输的，CPU也不会没事去监听GPU的数据。而下一代的图形接口Vulkan，会开始使用GPU双向一致性，那时候会有影响。还有一点不利的是，如果同时运行OpenCL和DRM，OpenCL也用不上双向硬件一致性，必须重启系统切换到非保护模式才行。
还有，在实际使用中，现有的TZC400作为内存保护模块，有几个致命的缺陷。
第一，它的配置只能在启动时完成，无法动态改变，也就是说，一旦某块内存给了安全世界，就无法再被非安全世界的操作系统使用，哪怕它是空闲的。在4K视频播放时，需要分配几百兆内存，还不止一块。
如果一直被占着，这对于4GB内存手机来说是个沉重的负担。怎么解决？只能改成动态配置。此时，如果内存不够了，非安全操作系统提请求给安全系统，让它把暂时不用的物理内存设到非保护内存区，并定个时间收回。不过这样一来内存分配机制就复杂了，说不定还得改内核，很危险。
如果忽视这点，继续往下走，还会遇到第二个问题。TZC400和它的改进版最多只能支持最小颗粒度为2MB的内存块管理。为什么不弄细些呢？很简单，如果设成4KB，和系统页大小一致，那么4GB的物理内存就需要一百万条目来管理。如果做成片上内存，比二级缓存还大，不现实。
而做内存映射，就和MMU一样了，经过CPU的MMU后，数据访问还要再穿越一次MMU，延迟显然大。此外，这一层的MMU无法利用一二级缓存放页表，效率极低。如果继续保持2MB的颗粒，那么在分配内存的时候，很快就会因为块太大而用完。就算使用了上一节的方法，问题也没法很好解决。这就是TZMP2V1。
在这种情况下，第三种基于虚拟机的方案就出现了。不过这个方案基本上推翻了Trustzone最初的设计意图，我们来看下图：

在这里，作为内存保护的TZC400完全移除，而系统MMU加了进来。内存保护怎么做？靠物理地址重映射。先看处理器。在启动链中，从EL3向EL2跳的过程时，就定义好保护内存，并且EL2,也就是虚拟机的页表存放于保护内存，EL1的安全页也同样放在保护内存。
这样，当处理器进入到EL1，哪怕通过篡改EL1非安全页表的安全位，也最终会被映射到它所不能访问的安全内存，从而起到保护作用。同样的，给处于非安全世界的控制器也加上系统MMU，让设备虚拟化，同样可以控制安全。这就是TZMP2V2。有了系统MMU，页表可以做成4KB大小了，也不用担心CPU那里穿越两次MMU。这时候，也不用担心恶意监听缓存，因为所有穿过二级MMU的访问里，安全位都是经过检验的的。
但是，不看别的，光是为设备加入这些系统MMU，就会增加很多面积。还有，光加MMU不够，还要加入系统的三级甚至四级缓存，才能让MMU效率更高，不然延迟太大。当然，如果设备使用的页表并不很多，可以对MMU简化，比如增大最小颗粒度，减少映射范围，直接使用片内内存。这需要系统设计者来做均衡。对于GPU来说，要支持双向一致性，还得考虑让监听传输通过MMU，不然功能就出问题了。
如果使用了TZMP2V2，那么虚拟化就变成了一个切实需求。然后会发现，ARM的中断和设备的虚拟化还很不完善。接下来我从硬件角度解释下虚拟化。
说到虚拟化，先要解释系统MMU。

如上图所示，系统MMU其实很简单，就是个二层地址转换。第一层，虚地址到实地址，第二层，实地址到物理地址。请注意，没有第二层转换时，实地址等同于物理地址。这个模块既可以两层都打开，也可以只开一层，看情况而定。

上图比较清楚的显示了一层映射的过程。其中，设备发出的虚地址请求，会先经过TLB，它里面存了以前访问过的页表项，如果有，就直接返回，没有就往下走到第二步table walk。
第二步里，MMU会按照预设的多级基址寄存器，一级级访问到最终页表。如果MMU位于CPU内，那table walk过程中每次访问的基址和表项，都可以存放于缓存中，大大提高效率。如果在设备上，只有内建的TLB表项，后面没有缓存，那未命中TLB的都是访问DDR，效率自然下降。
所以CPU和GPU等经常访存的设备，都是自带第一层MMU和缓存。而对于没有内部MMU，切换页表又不是很频繁的设备，比如DMA控制器，可以在下面挂第一层MMU，此时驱动就简单了，直接把应用程序看到的虚地址给DMA的寄存器就行，MMU会自己按照基地址去查找相应页表并翻译，把实地址送到总线。不然，驱动还要自己查找实地址再写入寄存器。
我们前面说过，在TZMP1和TZMP2v1中，内存保护是靠TZC400来完成的。而到了TZMP2v2，取消了TZC400，这时靠虚拟化的二层地址映射。
二层映射的过程和一层映射基本一样，不再详述，但是性能问题会被放大。假设在一层中，经过四级基址查到最终页，而在二层中，这每一级的基址查找，又会引入新的四级基址访问。所以至少要经过4x4+4=20次访存，才能确定物理地址。如果没有缓存的帮助，效率会非常低。
其他可行的办法是减少基址级数，比如linux只用了三级页表，但即使如此，也需要3x3+3=12次查找。在包含缓存的ARM CPU上，虚拟机的效率可以做到80%以上。而二层MMU应用于设备实现设备虚拟化的时候，就需要小心设计了。
有了系统MMU，我们就有了全芯片虚拟化的基础。那在对系统性能和成本做完平衡，采取合适的系统MMU设计之后，是不是就可以实现虚拟化，并且靠虚拟化实现安全了？没那么容易，还有其它问题需要考虑。
虚拟化脱胎于仿真器，就是在一个平台上模拟出另一个平台。在指令集相同的时候，没有必要翻译每一条指令，可以让指令直接被硬件执行，这样指令的效率算是得到了解决。当然，对于某些特殊指令和寄存器访问，还是需要hypervisor处理的。接着第二个问题，访存。
我们前面解释过，对CPU来说，高效的虚拟化访存，就是让指令高效的经过两层翻译，而不是每次访存都需要触发虚拟机EL2的异常，切到Hypervisor，再得到最终物理地址。这一点在没有缺页异常的时候，ARM的虚拟化也已经做到了，而有缺页异常时还是需要Hypervisor处理。再接着是设备访存虚拟化，有了系统MMU，也可以高效做到。再就是处理器和设备中断虚拟化。
最后，设备的虚拟化需要管理，那设备本身需要支持虚拟设备号和虚拟中断号。更多内容请期待。

Ⅸ 高手进阶：Linux操作系统驱动编译与运行

一、手工加载测试
1、insmod
./key_test.ko
加载驱动模块到内核
2、cat
/proc/moles
|grep
key_test
查看key_test模块在内核中的地址，不加过滤器可以看到全部加载的模块。
3、lsmod
显示模块，这时可以看到所有的模块名字，后面跟的是主设备号和次设备号。
4、rmmod
key_test
把模块从内核里卸载。
二、动态加载
1、把key_test.c源代码放到内核源代码的/drives/char/下，因为这是属字符型驱动，放在这编译到zImage中。
2、这时我们make
menuconfig
编译内核是看不到key_test这个选项的。我们把这个选项写到菜单里面才行。在内核源代码的/drives/char/下有一个Kconfig文件，打开
(1)
vi
Kconfig
加几行到里面:
config
ConFig_key_test
bool
"key
test"
//前面那个bool换成tristate就是支持模块化编译
上面句是在make
menuconfig时会出现key
test这个选项在drive/char子菜单下,bool前面是TAB键
------help----------
这句是出现在菜单选项下面的
This
key
test
help.
这句是你的驱动的说明会出现在help里面
(2)在/drivers/char目录下的Makefile文件里加上一句：
obj-$(CONFIG_key_test)
+=
key_test.o
上面这句是让Make时把key_test编译到内核中.
(3)
make
menuconfig
把key_test选项选取上
(4)
make
zImage
生成zImage文件，重启动加载这个新编的内核。
3、lsmod就能看到key_test了，但是还不能用，没有接口，也就是/dev下面没有
4、mknod
/dev/key_test
c
121
0
这是创建设备到/dev下，使普通程序可以调用了，121是在源代码里定义的它的主设备号，0是次设备号。
5、cat
/dev/key_test
这是相当于open这个设备了,或者写一个程序直接调用open、write等函数。
fd=("/dev/key_test",ORW);

Ⅹ 如何开启浏览器的WebGL功能

开启浏览器的WebGL功能首先需要浏览器支持该功能，以chrome浏览器为例：

1、右击chrome浏览器的快捷方式，点击属性；

2、点击快捷方式选项卡，目标框原有内容后输入--enable-webgl --ignore-gpu-blacklist --allow-file-access-from-files，然后点击确定；

3、参数功能介绍：

--enable-webgl表示开启WebGL支持；
-gpu表示忽略GPU黑名单，也就是说有一些显卡GPU因为过于陈旧等原因，不建议运行WebGL，这个参数可以让浏览器忽略这个黑名单，强制运行WebGL；
--ignore-gpu-blacklist表示允许从本地载入资源，如果你不是WebGL的开发者，不需要开发调试WebGL；

只是想要看一下WebGL的Demo，那你可以不添加这个参数：
--allow-file-access-from-files。