前沿拓展：

ieframe.dll

解決方案：

1.中了木馬后，木馬文件將某些系統(tǒng)文件給修改、甚至替換、劫持了，而某些安全軟件在查殺的時候，不管三七二一直接將該文件給破壞了，并沒有修復(fù)。那以完整也會導(dǎo)致的。

3.系統(tǒng)文件損壞或丟失，盜版系統(tǒng)或Ghost版本系統(tǒng)，很容易出現(xiàn)該問題。

步驟

1.第一檢查是不是**木馬引起的，請使用3象李年非談地經(jīng)究抗任題60安全衛(wèi)士進(jìn)行木馬查殺。

（1）進(jìn)入主界面進(jìn)入【木馬查殺馬】

（2）第二點(diǎn)裝系統(tǒng)。

ethereal 可以用來從網(wǎng)絡(luò)上抓包，并能對包進(jìn)行分析。下面介紹windows 下面ethereal 的使用方法。

安裝：

1）安裝wi**ap

2）安裝ethereal

使用：

windows 程序，使用很簡單。

啟動ethereal 以后，選擇菜單Capature->Start ，就OK 了。當(dāng)你不想抓的時候，按一下stop， 抓的包就會顯示在面板中，并且已經(jīng)分析好了。

下面是一個截圖：

ethereal使用－capture選項

interface: 指定在哪個接口（網(wǎng)卡）上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以了Limit each packet: 限制每個包的大小，缺省情況不限制。

Capture packets in promiscuous mode: 是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只需要**本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個選項。Filter：過濾器。只抓取滿足過濾規(guī)則的包（可暫時略過） File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。use ring buffer： 是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫文件的時候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時回卷。其他的項選擇缺省的就可以了。

ethereal的抓包過濾器

抓包過濾器用來抓取感興趣的包，用在抓包過程中。 抓包過濾器使用的是libcap 過濾器語言，在tcpdump 的手冊中有詳細(xì)的解釋，基本結(jié)構(gòu)是： [not] primitive [and|or [not] primitive …]

如果你想抓取某些特定的數(shù)據(jù)包時，可以有以下兩種方法，你可以任選一種， 個人比較偏好第二種方式：

1、在抓包的時候，就先定義好抓包過濾器，這樣結(jié)果就是只抓到你設(shè)定好的那些類型的數(shù)據(jù)包；

2、先不管三七二十一，把本機(jī)收到或者發(fā)出的包一股腦的抓下來，第二使用下節(jié)介紹的顯示過濾器，只讓Ethereal 顯示那些你想要的那些類型的數(shù)據(jù)包；

etheral的顯示過濾器（重點(diǎn)內(nèi)容）

在抓包完成以后，顯示過濾器可以用來找到你感興趣的包，可以根據(jù)1)協(xié)議2)是否存在某個域3)域值4)域值之間的比較來查找你感興趣的包。

舉個例子，如果你只想查看使用tcp 協(xié)議的包，在ethereal 窗口的左下角的Filter 中輸入tcp， 第二回車，ethereal 就會只顯示tcp 協(xié)議的包。如下圖所示：

值比較表達(dá)式可以使用下面的**作符來構(gòu)造顯示過濾器自然語言類c 表示舉例eq == ip.addr==10.1.10.20 ne != ip.addr!=10.1.10.20 gt > frame.pkt_len>10 lt < frame.pkt_len<10 ge >= frame.pkt_len>=10 le <= frame.pkt_len<=10

表達(dá)式組合可以使用下面的邏輯**作符將表達(dá)式組合起來自然語言類c 表示舉例and && 邏輯與，比如ip.addr=10.1.10.20&&tcp.flag.fin or || 邏輯或，比如ip.addr=10.1.10.20||ip.addr=10.1.10.21 xor ^^ 異或，如tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not ! 邏輯非，如 !llc

例如：我想抓取IP 地址是192.168.2.10 的主機(jī)，它所接收或發(fā)送的所有的HTTP 報文，那么合適的顯示Filter （過濾器）就是：

在ethereal 使用協(xié)議插件

ethereal 能夠支持許多協(xié)議，但有些協(xié)議需要安裝插件以后才能解，比如H.323，以H.323 協(xié)議為例，第一下載ethereal 的H.323 插件，下載地址 下載完了以后將文件(h323.dll) 解壓到ethereal 安裝目錄的plugin