亮的MARK库

http://218.246.69.8/flash/pacman.swf

这是ARP病毒的迹象。

ARP病毒病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。

一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp –a命令查看： C:WINNTsystem32>arp -a Interface: 192.168.0.193 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-50-da-8a-62-2c dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.0.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.0.24实际上为有病毒的机器，它伪造了192.168.0.1的MAC地址。

二、在192.168.0.24上进入命令提示符(或MS-DOS方式)，用arp –a命令查看： C:WINNTsystem32>arp -a Interface: 192.168.0.24 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-02-ba-0b-04-32 dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。

三、如果主机可以进入dos窗口，用arp –a命令可以看到类似下面的现象： C:WINNTsystem32>arp -a Interface: 192.168.0.1 on Interface 0x1000004 Internet Address Physical Address Type 192.168.0.23 00-50-da-8a-62-2c dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-50-da-8a-62-2c dynamic 192.168.0.193 00-50-da-8a-62-2c dynamic 192.168.0.200 00-50-da-8a-62-2c dynamic 该病毒不发作的时候，在代理服务器上看到的地址情况如下： C:WINNTsystem32>arp -a Interface: 192.168.0.1 on Interface 0x1000004 Internet Address Physical Address Type 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic

病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。

Huawei Quidway S3000 试验笔记 1、telnet or hypertrm

********************************************************* * All rights reserved (1997-2004) * * Without the owner’s prior written consent, * *no decompiling or reverse-engineering shall be allowed.* *********************************************************

User interface Aux0/0 is available.

Please press ENTER.

Login authentication

Password:

========================================================================

2、input password

********************************************************* * All rights reserved (1997-2004) * * Without the owner’s prior written consent, * *no decompiling or reverse-engineering shall be allowed.* *********************************************************

User interface Aux0/0 is available.

Please press ENTER.

Login authentication

Password:

%Dec 17 20:15:58 2004 Quidway SHELL/5/LOGIN: Console login from Aux0/0

display current-configuration

察看当前配置。（看到simple设置后的密码了。）

看来这个命令是很有用处的一个命令。显示了端口状态和系统信息。

display save-configuration

显示了目前更改的配置，这个应该是系统的flashram信息。在设置完成后需要使用save进行保存。将flashram写入配置文件中。

restet save-configuration 删除flash中的配置信息。猜想这个是清除flash中未保存的配置信息（不保存退出不就行了？为什么还要这个命令呢？）。一会做个实验看看。

display version

faint，这个命令就没什么好说得了。不过还是将结果列出来，一定有帮助。

[Quidway-Vlan-interface1]display vers Huawei Versatile Routing Platform Software VRP (R) Software, Version 3.10, RELEASE 0024 Copyright (c) 2000-2004 HUAWEI TECH CO., LTD. Quidway S3026G uptime is 0 week,0 day,10 hours,18 minutes

Quidway S3026G with 1 MIPS Processor 64M bytes SDRAM 8192K bytes Flash Memory Config Register points to FLASH

Hardware Version is VER.B CPLD Version is 003 Bootrom Version is 150 [Subslot 0] 24 FE Hardware Version is VER.B [Subslot 1] 1 GE Hardware Version is VER.B [Subslot 2] 1 GE Hardware Version is VER.B

尝试一下绑定mac地址。

[Quidway-Vlan-interface1]display mac-address MAC地址未找到! [Quidway-Vlan-interface1]

faint…24口的交换机没有连接设备。自然没有mac了。呵呵，去找几个本和终端来凑热闹。

顺便说明一下 display mac-address 也不知道怎么说，就算是现实目前连入设备的mac地址吧，(原理读取arp或者发送广播请求syn重新握手)

懒得折腾了，就拿了个本。

dis mac- MAC ADDR VLAN ID STATE PORT INDEX AGING TIME xxxx-cxx5-b8a4 1 Learned Ethernet0/24 AGING

-– 1 mac address(es) found —

xxx部分被我屏蔽了。呵呵，安全第一啊。 顺便说一句，刚才去拿本子，结果交换机console被退出了（可能是因为时间超时。但是感觉不是这个原因。Huawei Quidway S3000现在摸起来有些热了，温度至少有40度，室内由于开了空调，但是这样的问题还是大了一些，而且散热设备没有明显的发挥作用。一会准备用display看看风扇的转速^fan^）

display fan Fan 1 State: Normal Fan 2 State: Normal

faint..这….这能说明什么呢？

顺便看了一下电源 dis power 电源 1 状态: 主用正常 电源 2 状态: 不在位

呵呵，还好今天中午被我插了一个1G的光模块，一会也要看看（提醒自己不要忘记补充长波模块的信息）

对了补充一下，由于重新登陆console(aux)，但是由于我们设置的等级为0，看看上面的笔记，（一会在这里补充）。 需要使用super命令来切换权限

super Now user privilege is 3 level, and just commands which level is equal to or less than this level can be used. Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE super ? INTEGER<0-3> Priority level

EX: super 3

准备回到中文状态，英文肯起来还是比较吃力的。 用了这个命令。language-mode chinese language-mode chinese Change language mode, confirm? [Y/N]y % 改变到中文模式。

language-mode chinese

回到mac的绑定来

dis mac MAC地址 VLAN ID 状态 端口索引 老化时间 0080-c7a5-b8a4 1 Learned Ethernet0/24 AGING

-– 1 mac address(es) found —

其中存在老化时间，这个是arp机制学习到的mac地址。

使用debugging arp packet可以观察arp的学习过程。 尝试一下。

debugging arp packet terminal logging

terminal logging % 当前终端允许日志类信息输出

terminal logging %2004/12/17 22:40:03 Quidway L2INF/5/PORT LINK STATUS CHANGE: Ethernet0/24: link状态变为DOWN

%2004/12/17 22:40:03 Quidway L2INF/5/VLANIF LINK STATUS CHANGE: Vlan-interface1: link状态变为DOWN

% 当前终端允许日志类信息输出

terminal logging %2004/12/17 22:40:17 Quidway L2INF/5/PORT LINK STATUS CHANGE: Ethernet0/16: link状态变为UP

%2004/12/17 22:40:18 Quidway L2INF/5/VLANIF LINK STATUS CHANGE: Vlan-interface1: link状态变为UP

% 当前终端允许日志类信息输出

这个过程中，我将网线拔掉，换到了另外一个端口上，这个端口是Ethernet0/16。

使用display arp察看arp学习列表，发现没有任何一个mac。等广播发完了就有了，耐心点。 system-view->vlan 1->interface vlan-interface 1->ip address x.x.x.x x.x.x.x进行ip设置后，save。在client端使用ping x.x.x.x -t后，输入：dis arp得到结果。dis arp =display arp

[Quidway-Vlan-interface1]dis arp IP Address MAC Address VLAN ID Port Name Aging Type 192.168.0.177 xxxx-x7x5-b8a4 1 Ethernet0/22 15 Dynamic

使用display mac-address aging-time可以查看系统设置的arp老化时间。

[Quidway-Vlan-interface1]dis mac-address aging-time Mac address aging time: 300s [Quidway-Vlan-interface1]

系统默认为300s，可以通过mac-address timer aging命令修改系统的老化时间。这里需要说明的是，无论老化时间设置为多少，只要设备与交换机断开，动态表格就会被马上删除，不管老化时间的设置。 尝试：mac-address timer aging

[Quidway-Vlan-interface1]mac-address timer aging 400 [Quidway]mac-address timer aging 400 [Quidway]dis mac aging-time Mac address aging time: 400s [Quidway]

手动添加静态mac地址：

尝试一下手动添加mac到arp，使得这个mac成为静态地址，但是，当这个设备断开连接后arp也会被删除的。 命令为：mac-address static xxxx-xxxx-xxxx interace ethernet0/x

faint…我没有尝试成功，原因一会再找。 faint….

手动添加动态mac地址：

mac-address dynamic H-H-H-H interface ethernet0/22 display mac-address

这个感觉没有十分的必要。毕竟arp会自动学习的。

mac-adreess max-mac-count 600 这个是指定交换机最多学习到600个mac地址，最大为4096。好像有十个没有什么意思的设置。

mac与端口的绑定

经过热身，重点终于来了。绑定mac地址有什么好处呢？呵呵，好处有很多，对于isp ftvnet上面的应用应该很明显了，不仅仅有效的防止ip冲突（admin好像没有对个人用户使用），更可以在一定情况下防止一个端口连接其他交换设备后多人上网的情况。还可以防止一定程度的arp诈骗等攻击。 （arp诈骗好用啊，搜集密码一堆一堆的。哈哈哈哈。我可实现声明，我没有做过哦）

方法1：

art在这里埋怨一句，说这是个累死人的办法，实现的原理是利用arp中只能存在一个mac地址与端口对应，当出现同一个mac和多端口对应时，后一个被排除，因为规则冲突。而且静态配置的mac地址表优于动态学习的mac地址表，所以我们可以利用静态表格来实现绑定。（行了，有300个mac就能累死你）。

命令如下：

mac-address static H-H-H-H interface ethernet0/22

[Quidway]mac-address static H-H-H-H interface ethernet0/22 vlan 1 用这个实现了上面说所得失败操作，为什么失败呢？原来是vlan 1的缘故。呵呵。

[Quidway]mac-address static H-H-H-H interface ethernet0/22 vlan 1 [Quidway]dis mac MAC ADDR VLAN ID STATE PORT INDEX AGING TIME H-H-H-H 1 Config static Ethernet0/22 NOAGED

-– 1 mac address(es) found — [Quidway]

这样Ethernet0/22就被mac绑定了，但是反过来想，Ethernet0/22却没有绑定mac。呵呵，这个道理只要动动脑筋又有了，我被你爱上了，并不等于我爱你。我们还需要Ethernet0/22爱上这个16进制得mac。 mac-address mac-learnning disable

使用这个命令就禁止了mac地址的学习。

faint…我怎么还是能ping得到pc呢？faint..again… 这是一个疑问。

第二种方法：

简单有效的方法来了。

就是当交换机学习到全部mac后，禁用mac学习功能。呵呵，这个一下全搞定。不过缺点是一定要学习到，为了确保已经学习到mac地址，请用display mac-address来查看一次。

禁用mac学习的命令为： mac-adress mac-learning disable

今天就到这里吧。困了，改天找个万兆的来玩玩。

对了不好意思，没有找到mac-learning命令。太晚了改天继续。希望大家能够把错误的地方支出来给与帮助，我们一同进步。

谢谢。

                                      上帝会掷骰子吗－量子力学史话

     引者说明：“科学版”隆重推出ooooooops的科普大作《物理学简史》，写得极棒，只要你平心静气的看起来，你一定会饶有兴趣的看下去，虽然很多内容并不理解，但是作者自诩为“八卦”的写作风格的确自成一派，这是我见过的最好的科普文章。　

　　　在生活这场伟大的戏剧中，我们既是演员，又是观众，这是一个古老的真理。 —-N。玻尔

                                       http://218.246.69.8/book/QuantamMech.pdf

如何自制玻璃水

洗涤灵（就是洗碗的那种）与自来水按照1：20的比例调匀， 灌一个大可乐瓶那么多就成了， 洗涤灵多点少点影响不大。我一直如此使用， 挺好。

#/bin/bash #RedHat Fedora Core 5自动配置脚本，添加多媒体格式的支持，优化字体，自动安装显卡驱动,安装常用软件。 #创建日期：2006.8.2 #创建人：hillwood #版本：1.0.2 #2006.7.22第一次发布，8月1日1.0.1版修正bug，8月2日1.0.2版修正bug echo “开始导入yum仓库” cd /etc/yum.repos.d wget http://linux-vbird.3322.org/FC5/atrpms.repo wget http://linux-vbird.3322.org/FC5/dries.repo wget http://linux-vbird.3322.org/FC5/jpackage.repo wget http://linux-vbird.3322.org/FC5/kde-redhat.repo wget http://linux-vbird.3322.org/FC5/newrpms.repo wget http://linux-vbird.3322.org/FC5/flash.repo wget http://gstreamer.freedesktop.org/download/gstreamer-0.10-deps.repo wget http://gstreamer.freedesktop.org/download/gstreamer-0.10-gst.repo wget http://gstreamer.freedesktop.org/download/gstreamer-0.10-apps.repo wget http://thomas.apestaart.org/pkg/thomas.pubkey wget http://thomas.apestaart.org/pkg/thomas.fingerprint rpm –import http://freshrpms.net/packages/RPM-GPG-KEY.txt rpm –import http://dries.ulyssis.org/rpm/RPM-GPG-KEY.dries.txt rpm –import http://newrpms.sunsite.dk/gpg-pubkey-newrpms.txt rpm –import /usr/share/doc/fedora-release-*/*GPG-KEY* gpg –with-fingerprint thomas.pubkey head -n 3 diff - thomas.fingerprint gpg –keyserver pgp.mit.edu –recv-keys 55f3aa6f gpg –list-keys grep Stichele gpg –fingerprint 55f3aa6f head -n 3 > thomas.fingerprint.tmp diff thomas.fingerprint.tmp thomas.fingerprint rpm –import thomas.pubkey echo “开始安装gstreamer解码器，完成后你可以使用RhythmBox播放mp3、wma和aac等格式的音乐了” yum install gstreamer-universe yum -y install ffmpeg yum -y install mjpegtools echo “gstreamer解码器安装完成，开始安装mplayer” yum -y install mplayer-gui yum -y install mplayerplug-in wget http://packman.iu-bremen.de/suse/10.1/i586/w32codec-all-20060611-0.pm.0.i586.rpm rpm -ivh w32codec-all-20060611-0.pm.0.i586.rpm rm -rf w32codec-all-20060611-0.pm.0.i586.rpm echo “mplayer安装完成，开始安装方正宋体” cd /usr/share/fonts/chinese/TrueType wget http://linux-vbird.3322.org/FC5/FZSongTi.ttf echo “方正宋体安装完成，开始安装可选软件” echo “你要安装nvidia显卡驱动吗？是请输入y，否请输入n” read yn if [ “$yn” = “y” ] [ “$yn” = “Y” ]; then echo “开始安装nvidia显卡驱动” yum install xorg-x11-drv-nvidia kmod-nvidia echo “安装结束，请修改/etc/X11/xorg.conf文件并重启电脑应用之” else echo “安装被取消” fi echo “你要安装ATI显卡驱动吗？是请输入y，否请输入n” read yn if [ “$yn” = “y” ] [ “$yn” = “Y” ]; then echo “开始安装ATI显卡驱动” yum -y install xorg-x11-drv-fglrx kmod-fglrx echo “安装结束，请修改/etc/X11/xorg.conf文件并重启电脑应用之” else echo “安装被取消” fi echo “你要安装Audacious音乐播放器吗？是请输入y，否请输入n” read yn if [ “$yn” = “y” ] [ “$yn” = “Y” ]; then echo “开始安装Audacious” yum -y install audacious echo “安装完成” else echo “安装被取消” fi echo “你要安装amaroK音乐播放器吗？是请输入y，否请输入n” read yn if [ “$yn” = “y” ] [ “$yn” = “Y” ]; then echo “开始安装amaroK” yum -y install amarok echo “安装完成” else echo “安装被取消” fi echo “你要安装Realplayer 10吗？是请输入y，否请输入n” read yn if [ “$yn” = “y” ] [ “$yn” = “Y” ]; then echo “开始安装Realplayer 10” cd /root wget http://software-dl.real.com/22c6cf0036c94c520d05/unix/RealPlayer10GOLD.rpm yum -y install compat-libstdc++-33 rpm -ivh RealPlayer10GOLD.rpm rm -rf RealPlayer10GOLD.rpm echo “安装完成” else echo “安装被取消” fi echo “你要安装Totem-xine吗？Totem-xine可以支持更多的格式，是请输入y，否请输入n” read yn if [ “$yn” = “y” ] [ “$yn” = “Y” ]; then echo “开始安装totem-xine” yum -y install totem-xine echo “安装完成” else echo “安装被取消” fi echo “安装全部完成”

2005年天津大学

2004年苏杭五省游

发现mysql在获得php请求后进行了DNS查询。但找不到域名。所以使得客户端响应等待。 具体为什么mysql查询dns，这还是个疑问。编辑/etc/sysconfig/network/下的DNS配置。除去DNS。mysql速度明显增快。

服务器维护经验谈:默认共享的开与关 众所周知windows系统从2000开始就引入了一个称为默认共享的概念，当我们安装完操作系统后就会默认开启一些共享，启动包括c$,d$,e$,ipc$,print$,fax$,admin$等等。这些共享是系统自动开启的。即使我们在登录系统后对其使用net share /delete命令进行删除，重新启动计算机后这些默认共享又会出现。

一、默认共享带来的危害：

大家一定都知道共享带来的危害，开启了共享后就很有可能被病毒或非法用户访问，从而进一步扩大权限或者删除文件资源。因此一般情况下我们都要尽量的少开启共享，然而默认共享是自动开启的，知道了计算机的管理员帐户和密码的话就可以轻而易举的进入这个默认共享，相应的C盘等磁盘的资料与数据将没有保证。所以说默认共享所带来的安全隐患是非常大的。

二、删除默认共享：

我们可以采用多种方式删除这些默认共享，例如net share /delete，使用net share c$ /delete将把c$这个默认共享关闭。这样我们就可以把多条net share /delete命令放到同一个批处理文件中，再把此文件放到系统启动项，让其随系统启动而运行，从而删除所有默认共享。另外我们还可以通过注册表来禁止默认共享，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters，查看在LanmanServer\Parameters子项中的 AutoShareServer和AutoShareWks的DWORD值所配置的数值数据是否为1，如果该值为0或者根本就不存在这些键值的话我们手工创建一个即可。这样系统启动后就会不开启这些默认共享了。

三、删除默认共享的危害：

看到这个子标题可能有一定水平的网络管理员都会吃惊，难道删除默认共享也会带来危害？是的，危害还不小呢！在最新的微软技术支持文档中特别对“管理共享丢失所带来的危害”进行了介绍，本篇文章也将对其带来的危害进行详细的描述，因此“删除默认共享的危害”是本文主要讨论的内容。

危害描述：如果在自己的计算机上删除或者丢失了管理共享，通常会出现各种问题。例如你可能使用net share命令查看共享信息，输出可能显示当前计算机丢失了IPC$、ADMIN$或C$共享。如果你手工的创建了一个丢失的共享，在下次启动或登录后该共享可能再次丢失。即使将注册表中相关键值的AutoShareServer和AutoShareWks的注册表 DWORD值设置为1，上述症状仍可能发生。 出现上述问题会带来怎样的危害和故障呢？

危害1：如果受影响的计算机是域控制器，则客户端计算机在网络登录过程中或试图加入域时，可能收到错误信息。特别是对于Windows 98 或Microsoft Windows Millennium Edition的客户端计算机登录到域时会出现“域登录密码不正确”，“没有权限登录域”的提示。对于一些Windows 2000 或 Windows XP 的计算机上登录到网络时也可能遇到“域服务器不可用”等故障信息。如果我们手工将计算机加入域时会出现“域控制器名称没找到”的提示。

危害2：如果在网络中其他计算机上使用UNC 路径、映射的驱动器、net use 命令、net view 命令或者通过在“网上邻居”中浏览网络以远程方式访问或查看受影响的计算机，可能会收到“远程服务器不容许访问”，“系统53错误，网络路径不可达”等故障信息。

危害3：在有问题的域控制器上执行管理任务时，可能会出现错误。例如，MMC管理单元（如“Active Directory 用户和计算机”或“Active Directory 站点和服务”）可能不能启动，与此同时收到“名称信息不能定位，登录失败”的提示信息。

危害4：在默认共享消失的计算机上将用户添加到安全组时，可能会收到“因为没有找到相关组件，所以组件提取失败”的错误提示。另外从 Windows 2000支持工具运行Netdom.exe以查找FSMO角色时出现“不能更新密码，当前提供的密码不正确”的警告信息。

危害5： 从 Windows 2000 支持工具运行 Dcdiag.exe 时收到“67错误，网络名不可达”的错误信息，运行 Netdiag.exe 时出现“DC显示列表失败”的提示。

危害6：在出问题的计算机上WINS服务可能无法启动或者WINS控制台显示红色的“X”，更有甚者两个故障同时存在。

危害7：在默认共享消失的计算机上可能记录着NetBT 4311事件错误的相关信息。我们可以到事件查看器中看到这些错误。例如“来自NETBT的由于无法创建驱动程序设备，初始化失败”的记录。

危害8：出问题的计算机上的“终端服务授权”控制台可能无法启动，提示“网络地址非法”或者“在当前的域控制器中终端服务授权非法”。

四、如何解决危害：

造成上述危害的原因就是关闭了默认共享，一方面是由于人为的关闭了共享，另一方面还可能是病毒或者恶意程序非法关闭了这些共享。所以对于默认共享建议各位IT168的读者还是不要随意关闭为好。恢复的方法很简单。

第一步：检查AutoShareServer 和 AutoShareWks 注册表值，以确保未将它们设置为0，单击“开始”，单击“运行”，键入 regedit，然后按 Enter 键进入注册表编辑器。

第二步：找到并单击以下注册表子项：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

第三步：如果 LanmanServer\Parameters 子项中的 AutoShareServer 和 AutoShareWks DWORD 值配置的数值数据为 0，则将该值更改为 1。

小提示：如果这些值不存在，则不必创建它们，因为默认行为是自动创建管理共享。

第四步：重新启动计算机。通常运行Windows Server 2003、Windows XP、Windows 2000 或 Windows NT 4.0 的计算机会在启动过程中自动创建管理共享。

第五步：启动计算机后我们通过运行CMD进入命令行模式，然后执行net share，共享列表中查找是否存在 Admin$、C$ 和 IPC$ 管理共享。

小提示：如果发现按照上面操作默认共享还没有出现的话，那么很有可能是因为病毒或非法程序破坏了系统，我们需要用更新了最新病毒库的杀毒软件在安全模式下扫描整个系统。

总结：如何关闭默认共享是以前网络管理员经常探讨的问题，不过既然现在我们知道了关闭默认共享也会带来一定的危害的话，是否关闭就要重新考虑了。我们可以根据实际工作情况自行取舍。一般来讲在域的情况下或者网络中安装了网络版杀毒软件或网络版应用程序的话，建议还是将这些默认共享保留，毕竟很多软件在开发时候针对网络权限的访问与使用都是建立在默认共享上的，如果一味的关闭默认共享将使这些程序及软件无法正常运行。

四、如何解决危害：

造成上述危害的原因就是关闭了默认共享，一方面是由于人为的关闭了共享，另一方面还可能是病毒或者恶意程序非法关闭了这些共享。所以对于默认共享建议各位IT168的读者还是不要随意关闭为好。恢复的方法很简单。

第一步：检查AutoShareServer 和 AutoShareWks 注册表值，以确保未将它们设置为0，单击“开始”，单击“运行”，键入 regedit，然后按 Enter 键进入注册表编辑器。

第二步：找到并单击以下注册表子项：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

第三步：如果 LanmanServer\Parameters 子项中的 AutoShareServer 和 AutoShareWks DWORD 值配置的数值数据为 0，则将该值更改为 1。

小提示：如果这些值不存在，则不必创建它们，因为默认行为是自动创建管理共享。

第四步：重新启动计算机。通常运行Windows Server 2003、Windows XP、Windows 2000 或 Windows NT 4.0 的计算机会在启动过程中自动创建管理共享。

第五步：启动计算机后我们通过运行CMD进入命令行模式，然后执行net share，共享列表中查找是否存在 Admin$、C$ 和 IPC$ 管理共享。

小提示：如果发现按照上面操作默认共享还没有出现的话，那么很有可能是因为病毒或非法程序破坏了系统，我们需要用更新了最新病毒库的杀毒软件在安全模式下扫描整个系统。

总结：如何关闭默认共享是以前网络管理员经常探讨的问题，不过既然现在我们知道了关闭默认共享也会带来一定的危害的话，是否关闭就要重新考虑了。我们可以根据实际工作情况自行取舍。一般来讲在域的情况下或者网络中安装了网络版杀毒软件或网络版应用程序的话，建议还是将这些默认共享保留，毕竟很多软件在开发时候针对网络权限的访问与使用都是建立在默认共享上的，如果一味的关闭默认共享将使这些程序及软件无法正常运行。