电脑高手进来帮下忙

电脑高手、老手进来帮下忙~

由于现在家用电脑所使用的操作系统多数为WinXP 和Win2000 pro（建议还在使用98的朋友换换系统，连_blank/>微软都放弃了的系统你还用它干嘛？）所以后面我将主要讲一下基于这两个操作系统的安全防范。


个人电脑常见的被入侵方式


谈到个人上网时的安全，还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种：


(1) 被他人盗取密码；


(2) 系统被木马攻击；


(3) 浏览网页时被恶意的java scrpit程序攻击；


(4) QQ被攻击或泄漏信息；


(5) 病毒感染；


(6) 系统存在漏洞使他人攻击自己。


(7) _blank/>黑客的恶意攻击。


下面我们就来看看通过什么样的手段来更有效的防范攻击。


查本地共享资源

删除共享

删除ipc$空连接

账号密码的安全原则

关闭自己的139端口

445端口的关闭

3389的关闭

4899的防范

常见端口的介绍

如何查看本机打开的端口和过滤

禁用服务

本地策略

本地安全策略

用户权限分配策略

终端服务配置

用户和组策略

防止rpc漏洞

自己动手DIY在本地策略的安全选项

工具介绍

避免被恶意代码 木马等病毒攻击


1.查看本地共享资源


运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。


2.删除共享(每次输入一个）


net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e，f，……可以继续删除）


3.删除ipc$空连接


在运行内输入regedit，在_blank/>注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。


4.关闭自己的139端口，ipc和RPC漏洞存在于此。


关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。


5．防止rpc漏洞


打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。


XP SP2和2000 pro sp4，均不存在该漏洞。


6．445端口的关闭


修改注册表，添加一个键值

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0这样就ok了。


7．3389的关闭


XP：我的电脑上点右键选属性--/>远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。


Win2000server 开始--/>程序--/>管理工具--/>服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）


使用2000 pro的朋友注意，网络上有很多文章说在Win2000pro 开始--/>设置--/>控制面板--/>管理工具--/>服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。


8．4899的防范


网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。


4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。


所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9、禁用服务


若PC没有特殊用途，基于安全考虑，打开控制面板，进入管理工具——服务，关闭以下服务：


1.Alerter[通知选定的用户和计算机管理警报]

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享

4.Distributed Link Tracking Server[适用局域网分布式链接]

5.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]

6.Messenger[警报]

7.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

8.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

9.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]

10.Remote Desktop Help Session Manager[管理并控制远程协助]

11.Remote Registry[使远程计算机用户修改本地注册表]

12.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

13.Server[支持此计算机通过网络的文件、打印、和命名管道共享]

14.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]

15.Telnet[允许远程用户登录到此计算机并运行程序]

16.Terminal Services[允许用户以交互方式连接到远程计算机]

17.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]


如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。


10、账号密码的安全原则


首先禁用guest帐号，将系统内建的administrator帐号改名～～（改的越复杂越好，最好改成中文的），然后设置一个密码，最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧～）


如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置（关于密码安全设置，我上面已经讲了，这里不再罗嗦了。



打开管理工具.本地安全设置.密码策略


1.密码必须符合复杂要求性.启用

2.密码最小值.我设置的是8

3.密码最长使用期限.我是默认设置42天

4.密码最短使用期限0天

5.强制密码历史 记住0个密码

6.用可还原的_blank/>加密来存储密码 禁用



11、本地策略:


这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。


(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)


打开管理工具



找到本地安全设置.本地策略.审核策略


1.审核策略更改 成功失败

2.审核登陆事件 成功失败

3.审核对象访问 失败

4.审核跟踪过程 无审核

5.审核目录服务访问 失败

6.审核特权使用 失败

7.审核系统事件 成功失败

8.审核帐户登陆时间 成功失败

9.审核帐户管理 成功失败

&nb sp;然后再到管理工具找到

事件查看器

应用程序：右键/>属性/>设置日志大小上限，我设置了50mb，选择不覆盖事件

安全性：右键/>属性/>设置日志大小上限，我也是设置了50mb，选择不覆盖事件

系统：右键/>属性/>设置日志大小上限，我都是设置了50mb，选择不覆盖事件

12、本地安全策略:


打开管理工具



找到本地安全设置.本地策略.安全选项



1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登陆的]

2.网络访问.不允许SAM帐户的匿名枚举 启用

3.网络访问.可匿名的共享 将后面的值删除

4.网络访问.可匿名的命名管道 将后面的值删除

5.网络访问.可远程访问的注册表路径 将后面的值删除

6.网络访问.可远程访问的注册表的子路径 将后面的值删除

7.网络访问.限制匿名访问命名管道和共享

8.帐户.（前面已经详细讲过拉 ）


13、用户权限分配策略:


打开管理工具



找到本地安全设置.本地策略.用户权限分配



1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属于自己的ID

2.从远程系统强制关机，Admin帐户也删除，一个都不留

3.拒绝从网络访问这台计算机 将ID删除

4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务

5.通过远端强制关机。删掉


14、终端服务配置


打开管理工具



终端服务配置


1.打开后，点连接，右键，属性，远程控制，点不允许远程控制

2.常规，加密级别，高，在使用标准Windows验证上点√!

3.网卡，将最多连接数上设置为0

4.高级，将里面的权限也删除.[我没设置]

再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话


15、用户和组策略


打开管理工具


计算机管理.本地用户和组.用户;


删除Support_388945a0用户等等


只留下你更改好名字的adminisrator权限


计算机管理.本地用户和组.组



组.我们就不分组了，每必要把


16、自己动手DIY在本地策略的安全选项



1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.

2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户名.让他去猜你的用户名去吧.

3）对匿名连接的额外限制

4）禁止按 alt+crtl +del(没必要）

5）允许在未登陆前关机[防止远程关机/启动、强制关机/启动]

6）只有本地登陆用户才能访问cd-rom

7）只有本地登陆用户才能访问软驱

8）取消关机原因的提示


A、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面；

B、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框；

C、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机；

D、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。


9）禁止关机事件跟踪

开始“Start -/>”运行“ Run -/>输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-/> ”管理模板“（Administrative Templates）-/> ”系统“（System），在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于Windows 2000的关机窗口


17、常见端口的介绍



TCP

21 FTP

22 SSH

23 TELNET

25 TCP SMTP

53 TCP DNS

80 HTTP

135 epmap

138 [冲击波]

139 smb

445

1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b

1026 DCE/12345778-1234-abcd-ef00-0123456789ac

1433 TCP SQL SERVER

5631 TCP PCANYWHERE

5632 UDP PCANYWHERE

3389 Terminal Services

4444[冲击波]



UDP

67[冲击波]

137 netbios-ns

161 An SNMP Agent is running/ Default community names of the SNMP Agent


关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080，那么，我们只运 行本机使用4000这几个端口就行了

18、另外介绍一下如何查看本机打开的端口和tcp\ip端口的过滤


开始－－运行－－cmd


输入命令netstat -a


会看到例如（这是我的机器开放的端口）


Proto Local Address Foreign Address State

TCP yf001:epmap yf001:0 LISTE

TCP yf001:1025 yf001:0 LISTE

TCP (用户名）:1035 yf001:0 LISTE

TCP yf001:netbios-ssn yf001:0 LISTE

UDP yf001:1129 *:*

UDP yf001:1183 *:*

UDP yf001:1396 *:*

UDP yf001:1464 *:*

UDP yf001:1466 *:*

UDP yf001:4000 *:*

UDP yf001:4002 *:*

UDP yf001:6000 *:*

UDP yf001:6001 *:*

UDP yf001:6002 *:*

UDP yf001:6003 *:*

UDP yf001:6004 *:*

UDP yf001:6005 *:*

UDP yf001:6006 *:*

UDP yf001:6007 *:*

UDP yf001:1030 *:*

UDP yf001:1048 *:*

UDP yf001:1144 *:*

UDP yf001:1226 *:*

UDP yf001:1390 *:*

UDP yf001:netbios-ns *:*

UDP yf001:netbios-dgm *:*

UDP yf001:isakmp *:*


现在讲讲基于Windows的tcp/ip的过滤


控制面板——网络和拨号连接——本地连接——INTERNET协议（tcp/ip)--属性－－高级－－－选项－tcp/ip筛选－－属性!!


然后添加需要的tcp 和UDP端口就可以了～如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。


19、关于浏览器


IE浏览器（或基于IE内核的浏览器）存在隐私问题，index.dat文件里记录着你上网的信息。所以我推荐大家换一款其他内核浏览器。

现在炒的很热的FireFox，就很不错，如果你想打造一款属于自己的个性化浏览器，那FireFox是首选。它有强大的扩展定制功能！

还有传说中那款最快的浏览器 Opera ，速度惊人，界面华丽，笔者正在使用。（就在3个小时前，OPERA公司10年庆祝送正式注册码，笔者申请了两个，^_^）


当然，由于国内一些网页并不是用WC3组织认证的标准HTML语言编写，所以IE还是不能丢，留作备用。


处理IE隐私可以用：Webroot WindowWasher -- www.hanzify.org 上有正式版+汉化补丁

Ccleaner -- GOOGLE一下，官方占上有，多国语言的。

RAMDISK 用内存虚拟出一块硬盘，将缓存文件写进去，不仅解决了隐私问题，理论上还能提高网速。（建议内存/>=512M者使用）


20、最后一招，也是最关键的一招：安装杀软与防火墙



杀毒软件要看实力，绝对不能看广告。笔者在霏凡的病毒区混了半年，把杀软几乎也装了个遍，以下是个人心得：


1：国产杀软：江民一出，谁与争峰？KV的败笔就是当年那个硬盘炸弹吧，呵呵。其实论实力，江民在国内绝对是一支独秀。先进的杀毒引擎，较完整的病毒库，

清除活体病毒能力强，杀壳能力强，可杀连环DLL，监控灵敏，占系统内存小。－－声明：我不是KV的枪手，因为国内的杀软公司普遍只会打广告，应该BS一下。

DB2005都到了2005了才杀两个壳？Rising的误报天下第一，可是随便下个毒包基本上没有它报的（不信的去霏凡病毒区试试：bbs.crsky.com）；费尔还不错，

可是与KV比还有差距；光华虽然是主动升级，但毒库也不是很全。


2：国外杀软：百家争鸣！

Kapersky：这款俄国的杀软在国内极度火热，其拥有世界第一的毒库，毒库3小时一升级，对系统提供最完善的保护。

McAfee：美国杀软，柔和而强劲的保护，适合有点资历的用户。规则指定得当，百毒不侵。

Norton: 唉！老了老了，对国内木马简直是白痴。本不想说它，可是又是国际三大杀软之一，唉！

NOD32：占资源超小，杀毒超快，监控灵敏，只是毒库似乎有些不全。

BitDefender：罗马尼亚不错的杀软，能力平衡。

GData AntiVirusKit：真正的强悍！它用Kapersky+BitDefender的双引擎，而且经优化处理，系统不会很卡。

F-Scure：竟然夸张到4引擎！不过除了Kapersky4.0的引擎，其他的很一般。虽然保护是很周到，但用它笔者觉得不如AVK（上一个）。


笔者建议：一般配置 KV2005 OR McAfee OR Kapersky OR GData AntiVirusKit；－配置稍好的可以用以上任一款（除KV2005）+ KV2004

老爷机配置 KV2004 OR NOD32

较好的机器 GData AntiVirusKit+KV2005 OR Kapersky+KV2005 OR McAfee+KV2005


防火墙，系统的最后一道防线。即使杀软再强大，一些最新变种的木马仍能见缝插针。没有防火墙，你的机器很可能成为Haker的代理服务器，呵呵。还有，如果你的

系统有漏洞，Haker也会轻而易举的Contral Your PC.

强大的防火墙推荐：Look 'n' Stop ：世界测评第一。占内存超小。启动超迅速。

ZoneAlarm ：性力强大，功能很多，全面且稳定。

Tiny ：这是一款专业到恐怖的防火墙，能力绝对强悍！适合较专业者使用。

天网：国内最强的了，只是和国外的比......


说一句，木马专杀的东西几乎没用，因为那些根本没有什么先进的引擎。如果一定要，就用ewido吧，这个还可以。

你的这些基本没有问题，进程也不多，不管也OK。

最多把QQ的那个TXPlatform.exe，输入法的那个conime.exe关掉就可以了.rundll32.exe也可以拿掉.

下面详细解答下关于这一类问题的原因,偶尔出现无所谓
我所熟悉的0X000000该内存不能为read或者written的解决方法

硬件：

电脑硬件是很不容易坏的。内存出现问题的可能性并不大（除非你的内存真的是杂牌的一塌徒地），主要方面是：1。内存条坏了（二手内存情况居多）、2。使用了有质量问题的内存，3。内存插在主板上的金手指部分灰尘太多。4。使用不同品牌不同容量的内存，从而出现不兼容的情况。5。超频带来的散热问题。你可以使用MemTest 这个软件来检测一下内存，它可以彻底的检测出内存的稳定度。

二、如果都没有，那就从软件方面排除故障了。

原理：内存有个存放数据的地方叫缓冲区，当程序把数据放在缓冲区，需要操作系统提供的“功能函数”来申请，如果内存分配成功，函数就会将所新开辟的内存区地址返回给应用程序，应用程序就可以通过这个地址使用这块内存。这就是“动态内存分配”，内存地址也就是编程中的“光标”。内存不是永远都招之即来、用之不尽的，有时候内存分配也会失败。当分配失败时系统函数会返回一个0值，这时返回值“0”已不表示新启用的光标，而是系统向应用程序发出的一个通知，告知出现了错误。作为应用程序，在每一次申请内存后都应该检查返回值是否为0，如果是，则意味着出现了故障，应该采取一些措施挽救，这就增强了程序的“健壮性”。若应用程序没有检查这个错误，它就会按照“思维惯性”认为这个值是给它分配的可用光标，继续在之后的执行中使用这块内存。真正的0地址内存区储存的是计算机系统中最重要的“中断描述符表”，绝对不允许应用程序使用。在没有保护机制的操作系统下(如DOS)，写数据到这个地址会导致立即当机，而在健壮的操作系统中，如Windows等，这个操作会马上被系统的保护机制捕获，其结果就是由操作系统强行关闭出错的应用程序，以防止其错误扩大。这时候，就会出现上述的内存不能为“read”错误，并指出被引用的内存地址为“0x00000000“。内存分配失败故障的原因很多，内存不够、系统函数的版本不匹配等都可能有影响。因此，这种分配失败多见于操作系统使用很长时间后，安装了多种应用程序(包括无意中“安装”的病毒程序)，更改了大量的系统参数和系统档案之后。

在使用动态分配的应用程序中，有时会有这样的情况出现：程序试图读写一块“应该可用”的内存，但不知为什么，这个预料中可用的光标已经失效了。有可能是“忘记了”向操作系统要求分配，也可能是程序自己在某个时候已经注销了这块内存而“没有留意”等等。注销了的内存被系统回收，其访问权已经不属于该应用程序，因此读写操作也同样会触发系统的保护机制，企图“违法”的程序唯一的下场就是被操作终止执行，回收全部资源。计算机世界的法律还是要比人类有效和严厉得多啊！像这样的情况都属于程序自身的BUG，你往往可在特定的操作顺序下重现错误。无效光标不一定总是0，因此错误提示中的内存地址也不一定为“0x00000000”，而是其它随机数字。

首先建议：

1、 检查系统中是否有木马或病毒。这类程序为了控制系统往往不负责任地修改系统，从而导致操作系统异常。平常应加强信息安全意识，对来源不明的可执行程序绝不好奇。

2、 更新操作系统，让操作系统的安装程序重新拷贝正确版本的系统档案、修正系统参数。有时候操作系统本身也会有BUG，要注意安装官方发行的升级程序。

3、 尽量使用最新正式版本的应用程序、Beta版、试用版都会有BUG。

4、 删除然后重新创建 Winnt\System32\Wbem\Repository 文件夹中的文件：在桌面上右击我的电脑，然后单击管理。 在"服务和应用程序"下，单击服务，然后关闭并停止 Windows Management Instrumentation 服务。 删除 Winnt\System32\Wbem\Repository 文件夹中的所有文件。（在删除前请创建这些文件的备份副本。） 打开"服务和应用程序"，单击服务，然后打开并启动 Windows Management Instrumentation 服务。当服务重新启动时，将基于以下注册表项中所提供的信息重新创建这些文件： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\Autorecover MOFs

下面搜集几个例子给大家分析：

例一：IE浏览器出现“0x0a8ba9ef”指令引用的“0x03713644” 内存，或者“0x70dcf39f”指令引用的“0x00000000”内存。该内存不能为“read”。要终止程序，请单击“确定”的信息框，单击“确定”后，又出现“发生内部错误，您正在使用的其中一个窗口即将关闭”的信息框，关闭该提示信息后，IE浏览器也被关闭。解决方法：

1、 开始-运行窗口，输入“regsvr32 actxprxy.dll”回车，接着会出现一个信息对话 框“DllRegisterServer in actxprxy.dll succeeded”，确定。再依次运行以下命令。（这个方法有人说没必要，但重新注册一下那些.dll对系统也没有坏处，反正多方下手，能解决问题就行。）

regsvr32 shdocvw.dll

regsvr32 oleaut32.dll

regsvr32 actxprxy.dll

regsvr32 mshtml.dll

regsvr32 msjava.dll

regsvr32 browseui.dll

regsvr32 urlmon.dll

2、 修复或升级IE浏览器，同时打上系统补丁。看过其中一个修复方法是，把系统还原到系统初始的状态下。建议将IE升级到了6.0。

例二：有些应用程序错误: “0x7cd64998” 指令参考的 “0x14c96730” 内存。该内存不能为 “read”。解决方法：Win XP的“预读取”技术这种最佳化技术也被用到了应用程序上，系统对每一个应用程序的前几次启动情况进行分析，然后新增一个描述套用需求的虚拟“内存映像”，并把这些信息储存到Windows\Prefetch文件夹。一旦建立了映像，应用软件的装入速度大大提高。XP的预读取数据储存了最近8次系统启动或应用软件启动的信息。建议将虚拟内存撤换，删除Windows\Prefetch目录下所有*.PF文件，让windows重新收集程序的物理地址。

例三：在XP下双击光盘里面的“AutoRun.exe”文件，显示“0x77f745cc”指令引用的“0x00000078”内存。该内存不能为“written”，要终止程序，请单击“确定”，而在Windows 98里运行却正常。 解决方法：这可能是系统的兼容性问题，winXP的系统，右键“AutoRun.exe”文件，属性，兼容性，把“用兼容模式运行这个程序”项选择上，并选择“Windows 98/Me”。win2000如果打了SP的补丁后，只要开始，运行，输入：regsvr32 c:\winnt\apppatch\slayerui.dll。右键，属性，也会出现兼容性的选项。

例四：RealOne Gold关闭时出现错误，以前一直使用正常，最近却在每次关闭时出现“0xffffffff”指令引用的“0xffffffff”内存。该内存不能为“read” 的提示。 解决方法：当使用的输入法为微软拼音输入法2003，并且隐藏语言栏时（不隐藏时没问题）关闭RealOne就会出现这个问题，因此在关闭RealOne之前可以显示语言栏或者将任意其他输入法作为当前输入法来解决这个问题。

例五：我的豪杰超级解霸自从上网后就不能播放了，每次都提示“0x060692f6”（每次变化）指令引用的“0xff000011”内存不能为“read”，终止程序请按确定。 解决方法：试试重装豪杰超级解霸,如果重装后还会，到官方网站下载相应版本的补丁试试。还不行，只好换就用别的播放器试试了。

例六：双击一个游戏的快捷方式，“0x77f5cd0”指令引用“0xffffffff”内 存，该内存不能为“read” ，并且提示Client.dat程序错误。解决方法：重装显卡的最新驱动程序，然后下载并且安装DirectX9.0。

例七：一个朋友发信息过来，我的电脑便出现了错误信息:“0x772b548f”指令引用的“0x00303033”内存，该内存不能为“written”,然后QQ自动下线，而再打开QQ，发现了他发过来的十几条的信息。 解决方法：这是对方利用QQ的BUG，发送特殊的代码，做QQ出错，只要打上补丁或升级到最新版本，就没事了。

该内存不能为read或written的解决方案关键词： 该内存不能为"read" 该内存不能为"written"

从网上搜索来的几篇相关文章.

【文章一】

使用Windows操作系统的人有时会遇到这样的错误信息：
「“0X????????”指令引用的“0x00000000”内存，该内存不能为“read”或“written”」，然后应用程序被关闭。

如果去请教一些「高手」，得到的回答往往是「Windows就是这样不稳定」之类的义愤和不屑。其实，这个错误并不一定是Windows不稳定造成的。本文就来简单分析这种错误的一般原因。
一、应用程序没有检查内存分配失败
程序需要一块内存用以储存数据时，就需要使用操作系统提供的「功能函数」来申请，如果内存分配成功，函数就会将所新开辟的内存区地址返回给应用程序，应用程序就可以通过这个地址使用这块内存。这就是「动态内存分配」，内存地址也就是编程中的「光标」。内存不是永远都招之即来、用之不尽的，有时候内存分配也会失败。当分配失败时系统函数会返回一个0值，这时返回值「0」已不表示新启用的游标，而是系统向应用程序发出的一个通知，告知出现了错误。作为应用程序，在每一次申请内存后都应该检查返回值是否为0，如果是，则意味着出现了故障，应该采取一些措施挽救，这就增强了程序的「健壮性」。若应用程序没有检查这个错误，它就会按照「思维惯性」认为这个值是给它分配的可用游标，继续在之后的执行中使用这块内存。真正的0地址内存区储存的是计算机系统中最重要的「中断描述符表」，绝对不允许应用程序使用。在没有保护机制的操作系统下(如DOS)，写数据到这个地址会导致立即当机，而在健壮的操作系统中，如Windows等，这个操作会马上被系统的保护机制捕获，其结果就是由操作系统强行关闭出错的应用程序，以防止其错误扩大。这时候，就会出现上述的「写内存」错误，并指出被引用的内存地址为「0x00000000」。内存分配失败故障的原因很多，内存不够、系统函数的版本不匹配等都可能有影响。因此，这种分配失败多见于操作系统使用很长时间后，安装了多种应用程序(包括无意中「安装」的病毒程序)，更改了大量的系统参数和系统档案之后。
二、应用程序由于自身BUG引用了不正常的内存光标
在使用动态分配的应用程序中，有时会有这样的情况出现：程序试突读写一块「应该可用」的内存，但不知为什么，这个预料中可用的光标已经失效了。有可能是「忘记了」向操作系统要求分配，也可能是程序自己在某个时候已经注销了这块内存而「没有留意」等等。注销了的内存被系统回收，其访问权已经不属于该应用程序，因此读写操作也同样会触发系统的保护机制，企图「违法」的程序唯一的下场就是被操作终止执行，回收全部资源。计算机世界的法律还是要比人类有效和严厉得多啊！像这样的情况都属于程序自身的BUG，你往往可在特定的操作顺序下重现错误。无效光标不一定总是0，因此错误提示中的内存地址也不一定为「0x00000000」，而是其它随机数字。如果系统经常有所提到的错误提示，下面的建议可能会有说明 ：

1.检视系统中是否有木马或病毒。这类程序为了控制系统往往不负责任地修改系统，
从而导致操作系统异常。平常应加强信息安全意识，对来源不明的可执行程序绝不好奇。
2.更新操作系统，让操作系统的安装程序重新拷贝正确版本的系统档案、修正系统参数。
有时候操作系统本身也会有BUG，要注意安装官方发行的升级程序。
3.试用新版本的应用程序。

Mode:
将虚拟内存撤换
答案:
目前为止是肯定的，也就是如在下次冷天到来时亦没再发生，就代表这是主因
追加:
如果你用 Ghost 恢复 OS 后建议 删除WINDOWS＼PREFETCH目录下所有*.PF文件因为需让windows重新收集程序的物理地址
有些应用程序错误 "0x7cd64998" 指令参考的 "0x14c96730" 内存。该内存不能为 "read"推论是此原因
源由:
Win XP的「预读取」技术
这种最佳化技术也被用到了应用软件上，系统对每一个应用软件的前几次启动情况进行分析，然后新增一个描述套用需求的虚拟「内存映像」，并把这些信息储存到WINDOWSPREFETCH数据夹。一旦建立了映像，应用软件的装入速度大大提高。XP的预读取数据储存了最近8次系统启动或应用软件启动的信息。
后叙:
目前此方法亦是独步网络的(其码自己针对此问题查了许久)，也是常见问题，原本几乎每天睡前关闭软件时一些程序都会发生...read...
现在就没发生了。

【文章二】

运行某些程序的时候，有时会出现内存错误的提示（0x后面内容有可能不一样），然后该程序就关闭。
“0x????????”指令引用的“0x????????”内存。该内存不能为“read”。
“0x????????”指令引用的“0x????????”内存，该内存不能为“written”。
不知你出现过类似这样的故障吗？
一般出现这个现象有方面的，一是硬件，即内存方面有问题，二是软件，这就有多方面的问题了。
下面先说说硬件：
一般来说，内存出现问题的可能性并不大，主要方面是：内存条坏了、内存质量有问题，还有就是2个不同牌子不同容量的内存混插，也比较容易出现不兼容的情况，同时还要注意散热问题，特别是超频后。你可以使用MemTest 这个软件来检测一下内存，它可以彻底的检测出内存的稳定度。
假如你是双内存，而且是不同品牌的内存条混插或者买了二手内存时，出现这个问题，这时，你就要检查是不是内存出问题了或者和其它硬件不兼容。
如果都没有，那就从软件方面排除故障了。
先简单说说原理：内存有个存放数据的地方叫缓冲区，当程序把数据放在其一位置时，因为没有足够空间，就会发生溢出现象。举个例子：一个桶子只能将一斤的水，当你放入两斤的水进入时，就会溢出来。而系统则是在屏幕上表现出来。这个问题，经常出现在windows2000和XP系统上，Windows 2000/XP对硬件的要求是很苛刻的,一旦遇到资源死锁、溢出或者类似Windows 98里的非法操作，系统为保持稳定，就会出现上述情况。另外也可能是硬件设备之间的兼容性不好造成的。
下面我从几个例子给大家分析：
例一：打开IE浏览器或者没过几分钟就会出现"0x70dcf39f"指令引用的"0x00000000"内存。该内存不能为“read”。要终止程序，请单击“确定”的信息框，单击“确定”后，又出现“发生内部错误，您正在使用的其中一个窗口即将关闭”的信息框，关闭该提示信息后，IE浏览器也被关闭。 解决方法：修复或升级IE浏览器，同时打上补丁。看过其中一个修复方法是，Win2000自升级，也就是Win2000升级到Win2000，其实这种方法也就是把系统还原到系统初始的状态下。比如你的IE升级到了6.0，自升级后，会被IE5.0代替。
例二：在windows xp下双击光盘里面的“AutoRun.exe”文件，显示“0x77f745cc”指令引用的“0x00000078”内存。该内存不能为“written”，要终止程序，请单击“确定”，而在Windows 98里运行却正常。 解决方法：这可能是系统的兼容性问题，winXP的系统，右键“AutoRun.exe”文件，属性，兼容性，把“用兼容模式运行这个程序”项选择上，并选择“Windows 98/Me”。win2000如果打了SP的补丁后，只要开始，运行，输入：regsvr32 c:\winnt\apppatch\slayerui.dll。右键，属性，也会出现兼容性的选项。
例三：RealOne Gold关闭时出现错误，以前一直使用正常，最近却在每次关闭时出现“0xffffffff”指令引用的“0xffffffff”内存。该内存不能为“read” 的提示。 解决方法：当使用的输入法为微软拼音输入法2003，并且隐藏语言栏时（不隐藏时没问题）关闭RealOne就会出现这个问题，因此在关闭RealOne之前可以显示语言栏或者将任意其他输入法作为当前输入法来解决这个问题。
例四：我的豪杰超级解霸自从上网后就不能播放了，每次都提示“0x060692f6”（每次变化）指令引用的“0xff000011”内存不能为“read”，终止程序请按确定。 解决方法：试试重装豪杰超级解霸,如果重装后还会，到官方网站下载相应版本的补丁试试。还不行，只好换就用别的播放器试试了。
例五：双击一个游戏的快捷方式，“0x77f5cd0”指令引用“0xffffffff”内 存，该内存不能为“read” ，并且提示Client.dat程序错误。 解决方法：重装显卡的最新驱动程序，然后下载并且安装DirectX9.0。
例六：一个朋友发信息过来，我的电脑便出现了错误信息:“0x772b548f”指令引用的“0x00303033”内存，该内存不能为“written”,然后QQ自动下线，而再打开QQ，发现了他发过来的十几条的信息。 解决方法：这是对方利用QQ的BUG，发送特殊的代码，做QQ出错，只要打上补丁或升级到最新版本，就没事了。

【原因 解决方法】

1 内存条坏了 更换内存条
2 双内存不兼容 使用同品牌的内存或只要一条内存
3 内存质量问题 更换内存条
4 散热问题 加强机箱内部的散热
5 内存和主板没插好或其他硬件不兼容 重插内存或换个插槽
6 硬件有问题 更换硬盘
7 驱动问题 重装驱动,如果是新系统,应先安装主板驱动
8 软件损坏 重装软件
9 软件有BUG 打补丁或更新到最新版本
10 软件和系统不兼容 给软件打上补丁或是试试系统的兼容模式
11 软件和软件之间有冲突 如果最近安装了什么新软件,卸载了试试
12 软件要使用其他相关的软件有问题 重装相关软件,比如播放某一格式的文件时出错,可能是这个文件的解码器有问题
13 病毒问题 杀毒
14 杀毒软件与系统或软件相冲突 由于杀毒软件是进入底层监控系统的,可能与一些软件相冲突,卸载试试
15 系统本身有问题 有时候操作系统本身也会有BUG,要注意安装官方发行的更新程序,象SP的补丁,最好打上.如果还不行,重装系统,或更换其他版本的系统。

〔又一说〕

在控制面板的添加/删除程序中看看你是否安装了微软NET.Framework，如果已经安装了，可以考虑卸载它，当然如果你以后在其它程序需要NET.Framework时候，可以再重新安装。
另外，如果你用的是ATI显卡并且你用的是SP2的补丁（一些ATI的显卡驱动需要在NET.Framework正常工作的环境下）。这种情况你可以找一款不需要NET.Framework支持的ATI显卡驱动。
如果以上两种方法并不能完全解决问题，你试着用一下“IE修复”软件，并可以查查是否有病毒之类的。
〔微软NET.Framework升级到1.1版应该没问题了〕

〔还有一说〕

方法一：

微软新闻组的朋友指点:开始--运行：regsvr32 jscript.dll
开始--运行：regsvr32 vbscript.dll

不过没解决---但提供了路子-----一次运行注册所有dll
搜索查找到方法如下:

运行 输入cmd 回车在命令提示符下输入
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
这个命令老兄你慢慢输 输入正确的话会看到飞快地滚屏 否则……否则失败就是没这效果。回车后慢慢等（需要点时间1-2分钟） 都运行完再打开看

方法二：
这是个典型问题~~~~~引起这个问题的原因很多。一般来讲就是给系统打上补丁和更换内存、给内存换个插槽这3种方法来解决。[系统补丁只要到Microsoft Update网站在线更新就可以了]
造成这种问题的原因很多，不能单纯的下结论，尽量做到以下几点可能对你有帮助：
1。确保使用的是未修改过的软件（非汉化、破解版）
2。使用改软件时尽量不要运行其他软件。（这是个临时文件，可能某些软件也在使用临时文件夹，所以产生干扰）
3。把那些什么桌面工具，内存整理工具通通关掉（你至少有2个类似的工具在运行）”

处理方法：
运行regedit进入注册表, 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下，应该只有一个正常的键值"{AEB6717E-7E19-11d0-97EE-00C04FD91972}, 将其他的删除。

〔我个人的最后解决和看法〕

我今天尝试了多种办法，最后我发现问题出在微软的NET.Framework上面。我升级了这个软件，并打齐了补丁，短暂平安后，有出现“内存不能为read”的情况。后来我受上面文章的启发，卸载了微软的NET.Framework1.0和1.1,世界太平了。

另外：如果是打开“我的电脑”、“我的文档”等的时候出现上述情况，还有一种可能，就是你的右键菜单太臃肿了，此时只要清理右键菜单问题就解决了。
下面的方法，最管用、最彻底的方法是这个：
运行 输入cmd 回车在命令提示符下输入
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1

【技巧】如果怕输入错误的话，可以复制这条指令，然后在命令提示框点击左上角的c：\，使用下面的“编辑－粘贴”功能就不容易输错了。在飞速滚屏完全静止之后，别着急启动其他程序，先耐心等一会儿，因为此时dll们还在找位置。直到你的指示灯不闪了再做别的
回答者：zqf25 - 经理 四级 11-14 20:38

在运行里输入msconfig 把没用的关了 就行了
回答者：☆嗜血♂天使￡ - 见习魔法师 二级 11-14 20:39

使用Windows操作系统的人有时会遇到这样的错误信息：

““0X????????”指令引用的“0x00000000”内存，该内存不能为“read”或“written””，然后应用程序被关闭。

如果去请教一些“高手”，得到的回答往往是“Windows就是这样不稳定”之类的义愤和不屑。其实，这个错误并不一定是Windows不稳定造成的。本文就来简单分析这种错误的一般原因。

一、应用程序没有检查内存分配失败

程序需要一块内存用以储存数据时，就需要使用操作系统提供的“功能函数”来申请，如果内存分配成功，函数就会将所新开辟的内存区地址返回给应用程序，应用程序就可以通过这个地址使用这块内存。这就是“动态内存分配”，内存地址也就是编程中的“光标”。内存不是永远都招之即来、用之不尽的，有时候内存分配也会失败。当分配失败时系统函数会返回一个0值，这时返回值“0”已不表示新启用的游标，而是系统向应用程序发出的一个通知，告知出现了错误。作为应用程序，在每一次申请内存后都应该检查返回值是否为0，如果是，则意味着出现了故障，应该采取一些措施挽救，这就增强了程序的“健壮性”。若应用程序没有检查这个错误，它就会按照“思维惯性”认为这个值是给它分配的可用游标，继续在之后的执行中使用这块内存。真正的0地址内存区储存的是计算机系统中最重要的“中断描述符表”，绝对不允许应用程序使用。在没有保护机制的操作系统下(如DOS)，写数据到这个地址会导致立即当机，而在健壮的操作系统中，如Windows等，这个操作会马上被系统的保护机制捕获，其结果就是由操作系统强行关闭出错的应用程序，以防止其错误扩大。这时候，就会出现上述的“写内存”错误，并指出被引用的内存地址为“0x00000000”。内存分配失败故障的原因很多，内存不够、系统函数的版本不匹配等都可能有影响。因此，这种分配失败多见于操作系统使用很长时间后，安装了多种应用程序(包括无意中“安装”的病毒程序)，更改了大量的系统参数和系统档案之后。

二、应用程序由于自身BUG引用了不正常的内存光标

在使用动态分配的应用程序中，有时会有这样的情况出现：程序试突读写一块“应该可用”的内存，但不知为什么，这个预料中可用的光标已经失效了。有可能是“忘记了”向操作系统要求分配，也可能是程序自己在某个时候已经注销了这块内存而“没有留意”等等。注销了的内存被系统回收，其访问权已经不属于该应用程序，因此读写操作也同样会触发系统的保护机制，企图“违法”的程序唯一的下场就是被操作终止执行，回收全部资源。计算机世界的法律还是要比人类有效和严厉得多啊！像这样的情况都属于程序自身的BUG，你往往可在特定的操作顺序下重现错误。无效光标不一定总是0，因此错误提示中的内存地址也不一定为“0x00000000”，而是其它随机数字。

如果系统经常有所提到的错误提示，下面的建议可能会有说明 ：

1.检视系统中是否有木马或病毒。这类程序为了控制系统往往不负责任地修改系统，从而导致操作系统异常。平常应加强信息安全意识，对来源不明的可执行程序绝不好奇。
2.更新操作系统，让操作系统的安装程序重新拷贝正确版本的系统档案、修正系统参数。
有时候操作系统本身也会有BUG，要注意安装官方发行的升级程序。
3.试用新版本的应用程序。

方法: 将虚拟内存撤换

追加: 如果你用 Ghost 恢复 OS 后建议 删除WINDOWS＼PREFETCH目录下所有*.PF文件因为需让windows重新收集程序的物理地址,有些应用程序错误 "0x7cd64998" 指令参考的 "0x14c96730" 内存。该内存不能为 "read"推论是此原因

源由: Win XP的“预读取”技术
这种最佳化技术也被用到了应用软件上，系统对每一个应用软件的前几次启动情况进行分析，然后新增一个描述套用需求的虚拟“内存映像”，并把这些信息储存到WINDOWSPREFETCH数据夹。一旦建立了映像，应用软件的装入速度大大提高。XP的预读取数据储存了最近8次系统启动或应用软件启动的信息。

这种问题我见多了，没一个好了的。最后都是重装系统。

别听大家告诉你那么多原因和方法，我遇到那么多次，搜了那么多方法，搞了一个月也没能弄好。最后一生气重装系统了，一个小时什么都好了。

简单点,下载360度,搞完用360度把启动项精简一下

---

淄川区15993082873： 电脑高手进来帮下忙啊？
岳怕迪克： 可能是你的用户配置文件损坏,桌面上的东西到C:\Documents and Settings\找找用户名下面有没有东西.

淄川区15993082873： 电脑高手请帮一下忙 - ？
岳怕迪克： 我们先解决F1的问题:你首先要进入主板BLOS设置,开机按DELETE,进入BIOS,第一项,把3.5英寸软盘那项设置成NONE---F10------Y-------回车,就可以将F1这个问题解决了.这个一键还原 是因为你动了...

淄川区15993082873： 电脑高手来帮下忙哈？
岳怕迪克： 简单一些的话,就去买个最新的GHOST或和身边的朋友借一张GHOST系统光盘(克隆版)重装一下就OK了,要不然就是知道各个硬件的型号,去能上网的电脑上下载驱动,在用U盘拷到现在 的电脑上驱动吧

淄川区15993082873： 电脑高手进来帮个忙？
岳怕迪克： 窗口 最上栏 工具=文件夹选项-查看-往下拖-不显示隐藏文件夹. 就可以了、

淄川区15993082873： 电脑高手进来一下,帮帮我 - ？
岳怕迪克： 应该是你的屏幕刷新率过高导致的.这跟显示器的大小没任何关系~重启动电脑,按F8进入系统启动菜单.选择'启用VGA模式'按回车..进系统以后可以看到是在这个模式下.640*480@60Hz 16bit调到正常的设置.如1024*768@85Hz 32bit(一般的17显示器都支持这个设置)重新启动,OK~

淄川区15993082873： 电脑高手进来看下,帮个忙,谢谢. - ？
岳怕迪克： 依你上面的配制玩CF之类的游戏肯定没有问题的,你换一个显卡驱动试试,把显卡驱动更新到最新,然后再开始——》运行:dxdiag测试一下!如果换驱动不行的话,最简单的办法是换系统!

淄川区15993082873： 电脑高手进!!帮个忙 - ？
岳怕迪克： 配置绝对没问题,你看看你的硬盘是不是没有开DMA,显示的是pio就代表你的硬盘没有开启DMA模式.我的电脑(鼠标右键点击)->管理->设备管理器->IDE ATA/ATAPI->主要IDE通道->高级设置然后看看是不是设置正确.要不正确就看http://hi.baidu.com/fitsun/blog/item/0e6ff6c3e32f1d53b319a81b.html有具体的方法~或者就是你的系统有问题,重装系统~

淄川区15993082873： 电脑高手进来 帮个忙？
岳怕迪克： 完全可以,你不知道你懂不懂操作了,我可以提供个思路给你,可以不用光驱也不用U盘 USBoot(U盘启动盘制作工具) 1.70 简体中文版 http://www.onlinedown.net/soft/34696.htm把U盘做成可启动U盘,进BIOS 首先我们应明白电脑的usb的几种启...

淄川区15993082873： 电脑高手进来帮下忙!谢谢!？
岳怕迪克： 楼主你好1、Internet 选项→连接 , 在连接里有个 拨号和虚拟专用网络设置,点击“设置”去掉“自动配置”前面的“√” 2、勾选＂从不进行拨号连接”. 3、网上邻居--本地连接--右键“属性”--常规--此链接使用下列项目,勾选“Internet协议”和“数据包计划程序”,其他选项去掉勾选. 宽带连接--右键属性--网络--选择与本地连接同样的设置. 重启IE 谢谢

淄川区15993082873： 跪求电脑高手进来帮下忙?？
岳怕迪克： 调出任务管理,文件,新建任务,输入:explorer回车. 如果不行的话,开始键+R 调出开始运行输入杀毒软件网站:www.360.cn 下载电脑急救箱,和360安全卫士,杀杀木马或病毒.