[Franky's Blog] It's all about IT

開機後無畫面 (Explorer 啟動無回應)
有時後系統不明原因或是中毒後，重開機發現登入後，畫面會變成一片藍底，Explorer.exe就是無法正常啟動
這時候有幾種解決方式
1. 先按 Ctrl+Alt+Del 把 工作管理員叫出來, 在處理程序中找到 explorer.exe，並將其處理程序刪除，
最後 在"檔案" -> 新工作 (執行), 開啟 explorer.exe

2. 如果還是不行，那應該是系統中explorer.exe檔案有異常，這時可以從另一台好的Windows作業系統中 Copy良好的Explorer.exe檔案覆蓋掉異常的檔案。要覆蓋之前先利用法1的方式把explorer.exe從處理程序中刪除，刪除後 在工作管理員中"檔案"->新工作 (執行), 開啟 cmd
進入 C:\windows\ 下，把原系統中的explorer.exe 備份 (eg: copy explorer.exe explorer.exe.bak)

這時候要把另一台良好的explorer.exe檔案複製過來，複製的方式有好幾種，以下利用隨身碟的方式進行
先把好的檔案copy到隨身碟，再把隨身碟插入有問題的那台電腦，這時候在 cmd (命令提示字元) 下試各個 Driver代號，如 D: , E: , H:......等 按enter後打dir 看是否為隨身碟的資料，找到後直接把 explorer.exe複製到 c:\windows\ 下覆蓋原有的檔案，最後 工作管理員中"檔案"->新工作 (執行), 開啟 explorer.exe
這時候應該你就可以看到正常的桌面才對 :)

=============================================

基本上Explorer.exe發生異常，只是前端User Interface發生異常，OS其他元件應該都還是在正常運作
利用 "工作管理員" 仍可把一些常用的管理程式呼叫出來做一些 Trouble Shooting

指令如下: (如果沒有列出路徑，表示在系統己預先載入路徑，在工作管理員或是 CMD下直接打即可)

管理工具
MMC (基本上這個程式己經包含大部份的管理工具在內了，如 服務, 帳號管理, 等)
services.msc (服務)
inetcpl.cpl (網際網路 內容)
control.exe (控制台)
eventvwr.msc (事件檢示器)
compmgmt.msc (電腦管理)
c:\windows\system32\restore\rstrui.exe (系統還原)

c:\windows\pchealth\helpctr\binaries\msconfig.exe (系統設定公用程式)
這部分要特別說一下，這工具對於Troubleshooting滿好用的，如果你發生中毒或是不明程式在開機中就執行，不用進Regit(對某些人來說太複雜了)，只要用這個工具就可以任意選擇你要在開機中載入的 service(服務)及run (啟動)的程式

Mirror Port Monitor

0一般發生網路異常，最直接的方式就是分析異常流量的內容

簡單來說有下列步驟
1. 首先確認異常的流量地方
在好幾百個Port的地方要找出不尋常流量的Switch Port, 本身就是一個難題, 這是需要平常就花時間在紀錄每個Port的流量, 才能在緊急時比對每個port目前的流量和以前是否不一樣。一般免費的Solution是用MRTG來做流量的記錄.


2. 進行流量管理
在確認異常Port之後，可直接下指令將該異常 Switch Port 關閉停用，再觀察整個網路環境是否己改善. 如果想找出異常流量的內容，就必須用網路封包分析軟體(eg: sniffer, Ethereal 或是 Windows內建的網路分析軟體)，收集異常Port的流量內容再加以分析. 除非你能將網路封包分析軟體直接安裝到使用異常流量的主機內，直接抓取，不然你就一定要利用Mirror Port的方式來進行.

如何設定Mirror Port:
以Cisco 2950為例
#config t
先設定要監控的是那個port
#monitor session "number" "source" interface "mod_number/port_number" both　　
eg: # monitor session 1 source int f0/15

再設定要把上述Port的流量全部導入另一個port
#monitor session "number" "destination" interface "mod_mnumber/port_number"
eg: #monitor session 1 destination int f0/16

最後把安裝網路封包分析軟體的電腦，接上 swithc port f0/16，這樣就可以進行接收分析在port f0/15 中所有封包活動的內容了

============================
Cisco 3500系統 Mirror Port 設定範例
1. 進入主機裝有封包分析軟體的port
3500(config)# int f0/18
3500(config-if)#
2. 設定要偵測port，把流量導入
3500(config-if)#port monitor f0/21

完成
檢查是否設定完成 #sh port monitor

Monitor Port Port Being Monitored
--------------------- ---------------------
FastEthernet0/18 FastEthernet0/21

104 於 2007年針對會員所做的調查
國內擁有認證種類比例以 TQC 29%最多，再來是微軟的16%，Cisco 8.1%，Sun 7.2%，Linux (含RH) 4.5%
平均年薪 OCP 70萬, CCDP 70萬, SCSA 63萬, MCSE+I 62萬

國外Golobal Knowledge調查: 2007 IT Salary and Skills Report (針對會員2006年第4季)
擁有認證種類比例以 微軟 26%最高, 再來是 CompTIA 13.6%, Project Management 11.9%, Cisco 10.6%.
年薪以(ISC)2 SSCP® (Systems Security Certified Pracitioner)最高 11萬美元, CISSP 9.2萬, PMP 9萬, CCDP 8.3萬, CCNP 7.9 萬, ITIL(Foundations Certificate) 7.9萬


從以上數據看來，可以看出一些結論
1. 國內的IT人員薪資和國外相比顯得便宜許多
2. 擁用認證比例數最高的認證, 相對薪水不會多, 反到是持有認證種類在10%上下, 薪資行情會有一定的水準。

一般Cisco Router出廠預設 configuration register 是 0x2102.
(在正常開機下設定方式 (config)#config-register 0x2102)
0x2102 代表 1. 忽略Break 2. Boot到Rommon mode如果正常開機失敗 3. Console baud rate 預設成 9600速度。
其他代號設定可參考下列網站
http://www.cisco.com/en/US/products/hw/routers/ps133/products_tech_note09186a008022493f.shtml


如果你不幸Router Flash壞了或是系統異常，那你就會像我一樣boot到Rommon mode
如何恢復系統或跳出 Rommon 模式

1. 檢查 Config register設定是否為 0x2102 或是其他正常設定值
打入下列指令
rommon> confreg

Configuration Summary
enabled are: load rom after netboot fails
console baud: 9600
boot: the ROM Monitor

do you wish to change the configuration? y/n [n]:
如果你顯示出上面紅字的部份，則不管你重開幾次都還是會回到 Rommon mode下

這時系統會問你要不要修改Boot模式，按y
do you wish to change the configuration? y/n [n]: y
enable "diagnostic mode"? y/n [n]:
enable "use net in IP bcast address"? y/n [n]:
disable "load rom after netboot fails"? y/n [n]:
enable "use all zero broadcast"? y/n [n]:
enable "break/abort has effect"? y/n [n]:
enable "ignore system config info"? y/n [n]:
change console baud rate? y/n [n]:
change the boot characteristics? y/n [n]: y
接下來的問題直接按Enter(預設為 no), 直到上述問題時按 y 進入修改
enter to boot:
0 = ROM Monitor
1 = the boot helper image
2-15 = boot system [0]: 2
選 2, 從系統中boot

Configuration Summary
enabled are:load rom after netboot fails
console baud: 9600
boot: image specified by the boot system commands or default to: cisco2-C2600
這時你會看到Boot預設狀況改變了，會有類似上述紅字顯示的部份。

最後打上 reset 指令
rommon> reset
重新開機就會回恢正常



2. 如果你的開機Boot設定值為正常，通常就是Cisco Router在開機時找不到有效的Cisco IOS software image

2.1 檢查flash中的開機程式, 打入
rommon 1> dev flash:
File size Checksum File name
5358032 bytes (0x51c1d0) 0x7b16 c2600-i-mz.122-10b.bin
rommon 2 >
上述表示可找到 flash記憶體中存放的開機程式

可用下列方式啟動
rommon > boot flash:c2600-i-mz.122-10b.bin
會出現下列開機訊息，通常會比正常開機時間來的久一點
program load complete, entry point: 0x80008000, size: 0x51c0dcSelf decompressing the image : ###########################################################


2.2. 如果不幸檢查flash中的開機程式, 打入
rommon 1> dev flash:
出現 "bad device name" 訊息, 表示Flash中的程式找不到

這時可以利用TFTP把程式下載到Cisco Router上
首先要在 rommon 下設定TFTP及本機IP參數, 直接在 rommon > 下打入
例如
打入本機IP
rommon 16 > IP_ADDRESS=171.68.171.0
打入本機 subnet
rommon 17 > IP_SUBNET_MASK=255.255.254.0
打入Gateway
rommon 18 > DEFAULT_GATEWAY=171.68.170.3
打入 TFTP Server IP
rommon 19 > TFTP_SERVER=171.69.1.129
打入 IOS image 檔名及位置
rommon 20 > TFTP_FILE=c2600-is-mz.113-2.0.3.Q

輸入完後打入rommom> set確認設定值
如果沒有問題，下 tftpdnld 或是 dnld 指令
rommon > tftpdnld

IP_ADDRESS: 171.68.171.0
IP_SUBNET_MASK: 255.255.254.0
DEFAULT_GATEWAY: 171.68.170.3 T
FTP_SERVER: 171.69.1.129
TFTP_FILE: c2600-is-mz.113-2.0.3.Q
Invoke this command for disaster recovery only.
WARNING: all existing data in all partitions on flash will be lost!
Do you wish to continue? y/n: [n]: y
按示 y 後開始 upload 新 IOS 到Cisco Router
Receiving c2600-is-mz.113-2.0.3.Q from 171.69.1.129 !!!!!.!!!!!!!!!!!!!!!!!!!.!! File reception completed. Copying file c2600-is-mz.113-2.0.3.Q to flash. Erasing flash at 0x607c0000 program flash location 0x60440000
rommon 22 >
下載成功 :)



2.3 如果你在Rommon mode 曾出現下列訊息
"Device does not contain a valid magic number"
:( 你可能要重插你的Flash Card 或是 更換，因為應該是壞了

Norton防毒軟體發生嚴重Bug
http://www.symantec.com/zh/cn/enterprise/theme.jsp?themeid=important_information

5/18 凌晨1點起到下午2點30分共8個半小時的時間，只要在這段期間內更新病毒碼的主機都會發生藍底白字，從此系統就無法開機，必須使用原始光碟開機並進入系統恢復功能進行修復，天呀! 試想公司如果有100台電腦，每台電腦更新病毒碼後就發生藍底白字，光是要修復這些電腦就是一個大問題。

很難想像一個這麼出名的大公司會發生這麼嚴重的問題，怎會病毒碼在正式Release前做的測試都沒有發現? 這次還好只是發生在Simple Chinese Version，如果發生在全球後過果真的很難想像會多嚴重。

IT是有價的，我想也只有在這個時候企業或是使用者才會特別的感受到 :)