清华同方的迷你i电脑,是一款外形极为小巧,类似家电概念的“盒子”状电脑,而读者对这个神奇的小盒子也产生了极大的兴趣,不少读者来电来信想了解这个“小盒子”的内部奥秘,为此,我们特对这个“盒子”进行了拆解,让大家一睹它的内部玄机。www.sq120.com推荐文章
一、光盘般大小的外观
这款imini电脑的个头非常小巧,比一张光盘大不了多少,不过,它可是五脏俱全,大家可以通过配置表来了解它的内部配置。
基本配置
型号 imini T20
CPU 赛扬M 370(1.5GHz)
主板 建基i915GMx-F(i915GM)
内存 单根Ramaxel 512MB DDR2 533
硬盘 三星SP M40 40GB(5400rpm)
显卡 集成Intel GMA900
声卡 集成
网卡 集成千兆
光驱 松下吸入式超薄COMBO
接口 复合S端子、DVI接口、IEEE1394接口、音频输出/输入接口、2×USB接口、RJ-45接口、电源接口
送罗技笔记本电脑鼠标和mini无线键盘
这个小家伙乍一看,竟然连螺丝钉都没有一颗。想拆解它,还真不知道该如何下手。不过,取下底部的胶垫后,我们可以看到它的底部有螺丝孔了。Www.iTcoMpUTER.cOM.cN取下螺丝,它可以分离为两个部分,一部分包含了硬盘和超薄光驱,另一部分则是主板部分,包含了CPU、内存等。取下连接线后,可将两部分分离。
二、精巧的散热装置
当主机越小的时候,机箱内的散热的问题就显得尤为突出。imini使用了底座散热和风槽散热两种方式来降低机箱内的温度。从内部看来,会发现有一块“硕大”的散热片覆盖着CPU,而散热风扇下则是北桥芯片,CPU和北桥发出的热量通过散热片散发出来,然后热量通过散热风孔被风扇吹到机箱外部。再加上使用笔记本的移动CPU,使得机箱内部的发热量进一步减小,机箱内虽然只有一个风扇,却已经能完全满足整个系统的正常运行。
三、紧凑的主板布局
我们先从主板部分下手,将主板部分从外壳中逐步分离出来,可以看到它是通过四周的弹片与另一部分卡来固定的。我们还可以进一步分拆,将主板部分完全拆出来,同时去掉CPU和北桥芯片的散热器(图3)。这样,一个“裸体”的mini型i915主板就完全暴露出来了。图3左侧的绿色大芯片是主板的北桥芯片,靠近下部的绿色芯片就是这个“小盒子”的核心——赛扬M 370处理器。图3的上部是Ramaxel的512MB DDR2 533笔记本电脑内存。从这个图中,大家还可以看到一根空闲的mini PCI插槽,我们可自行安插其他mini PCI设备,例如内置的无线网卡。
在图4中大家可以看到CPU和它的供电单元,另外,上部的BIOS芯片和右侧的RTL8110S-32千兆网卡控制芯片也一目了然。
让我们看看这块主板的背面,南桥芯片、agere的IEEE1394控制芯片、ALC850音频芯片和Winbond的I/O芯片都在背板上。
四、细致的外部设备
看完了主板部分,让我们接着看看另外一部分。将外壳分离出来后,硬盘和光驱就能够清楚地看到了。另外,机箱内装有扬声器单元,不过它能够发出的声响并不大,主要还是依靠外接音箱。我们可以通过螺丝刀将硬盘和光驱拆下来(图6)。大家请看图中黑圈部分,这是一块连接卡,它一头连接光驱和硬盘,而金手指部分则和主板上mini PCI槽后的一个插槽相接合,实现光驱、硬盘与主板的通讯。
最后,让我们将imini内部的主要配件来个全家福,给大家展示一下。
比比点评
imini其实是一款基于笔记本电脑架构的电脑主机,由于它的主板非常小,所以主要的芯片,例如北桥、南桥、网卡、声卡、IEEE1394等芯片是分别布置在主板正反两面的。而它内部的处理器、内存、硬盘等也都是用的笔记本电脑配件,就连电源,也使用了类似于笔记本的外接电源。值得一提的是,笔记本电脑用的内存和硬盘是可以很方便地在电脑卖场中买到的,如果大家在使用后期觉得速度或容量不够理想,可以自购更大容量的内存或硬盘。而mini PCI插槽处,我们可以安装无线网卡来实现它的全无线化(当然,显示器的信号线目前还是必须有的)。
如何狙击迷你木马下载者
以前黑客认为木马下载者程序只是起到一个过渡的作用,所以并没有对它进行很好的伪装,但是随着安全软件功能的不断提升,黑客也认识到下载者程序伪装的重要性。最近有一款名为Amalgam Lite下载者程序,不但程序体积非常“迷你”,而且其穿越防火墙的能力也十分了得。
IE进程常被调用
五一节后,是病毒大量繁衍的时期。今天在病毒诊所值班的徐阳医生一大早就接待了一位病人,这位病人称自己的电脑运行速度很慢,而且不时还弹出一个IE浏览器的进程要求访问网络。在升级了杀毒软件的病毒库,对系统进行了全方位的扫描检测后还是一无所获。
听了病人的叙述后,首先徐阳医生怀疑可能是流氓软件,但是他很快否定了自己的想法,因为很多流氓软件在调用IE浏览器无效后,会接着调用其他的系统进程。最后进行一系列的比对后,徐阳医生认为患者受到最近网络上大肆作案的木马下载者——Amalgam Lite攻击。
Amalgam Lite档案
Amalgam Lite下载者程序是一款体积只有2KB大小,同时拥有反向连接穿越防火墙等功能的远程控制程序。程序代码采用最精简化设置,使用CAsyncSelectEx框架,以及完全利用Windows32 SDK进行编写。程序还可以屏蔽用户的连接,定时检测被控端是否非正常断开连接。
IE进程没被插入
徐阳医生首先运行IceSword,点击工具栏中的“进程”按钮后,很快发现一个IE浏览器进程的进程(图1),徐阳医生明白这个IE进程一定是被该恶意程序利用了。
为了更好地分析是什么恶意程序利用了IE进程,他在这个IE进程上单击鼠标右键,再选择菜单中的“模块信息”命令。经过在弹出的“进程模块信息”窗口认真查找,徐阳医生并没有发现任何恶意程序模块信息。
看来这个恶意程序并不是利用流行的线程插入方法来进行伪装,而是利用IE进程来启动运行服务端程序本身,这种方法和灰鸽子木马的启动方法是一样的。
木马利用插件启动
虽然知道了恶意程序的利用进程,但是并没有查询到任何该恶意程序的相关信息,于是徐阳医生觉得还是应该通过启动项来进行检测。结果徐阳医生通过对注册表启动项,以及系统服务等常见的启动方式进行检测以后,均没有发现任何可疑的启动项目信息。
接着他又运行AutoRuns来查看系统启动项。点击程序操作界面中的“全部”标签,经过一系列认真检查,终于发现一个可疑的启动项。该启动项所指向的程序路径为Windows的系统目录,可是它所对应的应用程序winlogo.exe却没有任何“说明”和“发行商”信息(图2)。
这个应用程序的名称和系统进程Winlogon非常相似,通过这个黑客惯用的伎俩也可以断定这个程序就是恶意程序的主文件。
那么这个恶意程序到底是通过什么方式随机启动的呢?徐阳医生点击开始菜单中的“运行”命令,然后在弹出的窗口执行regedit命令打开注册表编辑器。点击“编辑”菜单中的“查找”命令,在弹出的窗口搜索“winlogo.exe”这个关键词,果然经过搜索找到一处(图3)。 从图中我们可以看到,其中的{4A202188-F04D-11cf-64CD-31FFAFEECF20}即为该恶意程序的启动键值,由此我们也知道了该恶意程序是利用ActiveX插件进行随机启动的,怪不得我们利用常见的方法检测不到它的启动项。
轻松清除木马下载者
运行安全工具IceSword,在“进程”列表中选择IE浏览器的进程,点击右键菜单中的“终止进程”命令。点击IceSword工具栏中的“文件”按钮,通过资源列表进入木马服务端程序安装的System32目录,找到winlogo.exe这个主程序,通过右键菜单中的“删除”命令将它删除(图4)。
接下来运行安全工具AutoRuns,在窗口中找到该木马的启动项,同样点击鼠标右键中的“删除”命令即可删除该启动项。重新启动系统后发现系统运行正常,由此可以证明木马程序已经被彻底清除干净。
From:http://www.itcomputer.com.cn/Article/Hardware/201309/2240.html