[轉帖分享] http://www.sch.gov.tw/childrens_mane/file_mane/fileData/%7BDB2CCBDE-A6B2-48F6-94CD-1D20A4978A29%7D_%E5%B0%8F%E5%85%92%E5%91%BC%E5%90%B8%E9%81%93%E6%84%9F%E6%9F%93.htm
長庚兒童醫院兒童感染科 黃玉成
長庚兒童醫院兒童感染科 黃玉成
- 5月 29 週三 201309:49
[轉帖分享]小兒呼吸道感染
- 5月 29 週三 201309:44
[轉帖分享] 小兒常見上呼吸道疾病
轉帖來源:http://hospital.kingnet.com.tw/essay/essay.html?category=%B6%FD%B6%FD%B1%D0%AB%C7&pid=33897
小兒常見上呼吸道疾病
1.普通感冒:
是小朋友最常罹患的疾病。主要症狀為咳嗽,流鼻水,輕微頭痛及發燒,病程約一星期。
常見原因為病毒感染,像鼻病毒,呼吸道融合病毒....等。主要治療方式為症狀治療。
給予充分的休息,攝取足夠的營養及水分。不過要注意是否引起次發性的細菌感染,
若出現較濃稠黃綠的痰或鼻涕時,就要考慮進一步抗生素的治療。
小兒常見上呼吸道疾病
1.普通感冒:
是小朋友最常罹患的疾病。主要症狀為咳嗽,流鼻水,輕微頭痛及發燒,病程約一星期。
常見原因為病毒感染,像鼻病毒,呼吸道融合病毒....等。主要治療方式為症狀治療。
給予充分的休息,攝取足夠的營養及水分。不過要注意是否引起次發性的細菌感染,
若出現較濃稠黃綠的痰或鼻涕時,就要考慮進一步抗生素的治療。
- 3月 29 週五 201316:32
弟弟滿周歲了--YA
2013-3-29 弟弟又流鼻涕了,所以吃了十個月的藥,最長不吃藥中間間斷不超過二個星期,真的不知道要怪何人。
2013-3-28 弟弟買周歲囉,托嬰中心有辦抓周哦,那一天我在家也拍了很多照片,有空我在上傳吧。
2013-3-28 弟弟買周歲囉,托嬰中心有辦抓周哦,那一天我在家也拍了很多照片,有空我在上傳吧。
- 6月 27 週三 201206:59
IPSec簡介
IPSec簡介(上):
作者: 賴榮樞
http://www.goodman-lai.idv.tw
近年來,資訊發展的當紅炸子雞當然是非網路莫屬。隨著網際網路與企業網路的主流化,網路安全性的課題也益形重要,相關的解決方案也成為熱門話題,例如,PGP、Kerberos與SSL等等。不過,這些解決方案主要都是在應用層或傳輸層中加入安全機制,至於網路層的安全性則付之闕如。而IP Security(簡稱 IPSec)便是針對位於網路層的Internet Protocol所提出的安全性協定。
IP中加入安全性協定的最大好處在於確保所有網路通訊的安全。也就是說,即使位於IP層上層的應用程式或傳輸層沒有提供任何安全性的機制,由於IP層加入了安全機制,因此可保護整個網路通訊的內容。
IPSec主要可提供兩種功能:認證功能(Authentication)與保密功能(Confidentiality)。所謂認證,是指確認通訊雙方的身份,以及確保雙方之間傳輸的資料未受他人破壞或竄改。保密則是將通訊內容予以加密,防止網路上的第三者讀取通訊內容。認證與保密的核心都是加密法(或是雜湊函數),提到加密法當然就會牽涉到金鑰管理(Key Management)。因此,IPSec也規定了如何交換金鑰,以便建立與管理加密時所需的各類金鑰。
根據1997年CERT(一個專門研究網路安全的機構)的報告指出,最常見的網路攻擊主要有兩種類型:
修改IP封包,以假造的IP位址來扮演其他使用者。
從網路上竊取IP封包,讀取通訊內容。
有鑑於此,IAB(Internet Architecture Board)決定在下一代的IP協定中(也就是IPv6),加入認證與保密的功能,這些相關功能即統稱為IPSec。IPSec在設計時即考慮到必須與現有IPv4相容。因此相關的開發廠商也可將IPSec移植到現有的IPv4,例如Windows 2000、Windows XP、Windows Server 2003等作業系統便都支援IPSec。
本頁內容
IPSec的應用
IPSec的優點
IPSec的架構
金鑰交換協定
IPSec的應用
IPSec的主要用途即是建立安全的通訊管道。IPSec的應用可分為兩類:
建立區域網路內部的安全通訊:在這種模式下,雙方的個人電腦都必須具備IPSec的能力。這類應用主要是為了防範區域網路內的駭客。例如,將總經理與財務經理之間的全部傳輸內容予以加密,避免員工看到機密的財務資訊。
圖1:在區域網路內使用IPSec區域網路之間透過網際網路安全地傳輸資料:在這種模式下,區域網路對外的路由器或防火牆必須要具備IPSec的能力,至於區域網路內的個人電腦使用一般的IP即可。此種模式可建立虛擬私人網路(Virutal Private Network),讓區域網路不必再架設昂貴的專線,而是透過網際網路來建立虛擬專線,以便在區域網路之間安全地傳輸資訊。例如,位於外地的分公司,可透過網際網路與總公司建立安全的通訊管道。
圖2:利用IPSec,經由網際網路建立區域網路之間的安全通道
IPSec的優點
與目前TCP層或應用層的安全性解決方案相比,IPSec大致有以下的優勢:
由於IPSec位於較低的網路層,所以不會牽動上層的TCP層或應用層。因此,不僅使用者完全不受影響,甚至連程式設計師或開發廠商,都不用針對IPSec作任何特殊的變更。
當IPSec應用在路由器或防火牆時,可確保所有的區域網路對外的通訊安全,但區域網路內仍可使用傳輸效率較佳的IP協定。
IPSec可套用在個別的使用者或電腦上,提供較大的管理彈性。
目前網際網路的路由協定,主要是藉由路由器之間彼此交換路由資訊而建立整個路由架構。因此之故,網路駭客可藉由不實的路由資訊來破壞路由的路徑,將他人的機密資訊導入所要的位置。由於IPSec可確保路由器之間的通訊安全,也因此可加強路由架構的安全性。
IPSec的架構
我們可以從運作方式、封包結構、使用模式以及使用的協定這四方面來了解IPSec的架構。
IPSec的運作方式
IPSec的運作需先經過以下的1、2步驟:
在初始化時,雙方必須建立安全聯結(Security Associations)。這個步驟的主要目的是讓雙方對於如何使用IPSec的方式達成共識,例如,選擇何種安全功能;決定加密的演算法;使用金鑰的原則等等。
金鑰交換。這個步驟主要是利用非對稱加密法,讓雙方各自擁有相同的秘鑰(Secret Key,專指對稱式加密法所用的金鑰)。
開始以安全的管道來傳輸資訊。
IPSec的封包結構
IPSec到底是以何種方法來提供上述的安全功能呢?除了對封包執行加密或認證演算外,IPSec還會在傳統的IP封包中加入額外的IPSec表頭,用來記錄加密或認證的相關資訊。下圖的封包欄位配置會因使用的模式而有所不同,稍後我會再詳細說明這些欄位。
圖3:IPSec表頭的位置
IPSec的使用模式
IPSec提供了兩種使用模式:
傳輸模式(Transport mode):僅加密或認證上層協定的資料。例如,在區域網路中有兩台電腦A與B,A與B可直接建立連線(不必經由路由器或防火牆),且A與B具有處理IPSec封包的能力時,則可使用IPSec的傳輸模式。
通道模式(Tunnel mode):IPSec會加密或認證整個封包,然後在最外面再加上一個新的IP表頭。當IPSec連線兩端的電腦有一端或兩端不具處理IPSec封包能力,而必須透過具有IPSec能力的路由器或防火牆來代為處理IPSec封包時,即必須使用通道模式。
稍後我會再進一步說明傳輸模式與通道模式。
IPSec的協定
若從功能面來看,IPSec包含了三種協定,分別提供不同的功能。
金鑰交換協定:負責建立安全聯結與交換金鑰。
認證表頭 (Authentication Header,AH):主要提供認證的功能。
資料封裝加密 (Encapsulating Security Payload,ESP):主要提供加密的功能,也可選擇性地再加上認證的功能。
建立IPSec連線使一定會使用金鑰交換協定。至於AH與ESP則是二選一,或是兩者合併使用。
金鑰交換協定
金鑰交換協定主要負責這兩項工作:
建立安全聯結。
建立共同的秘鑰。
IPSec目前預設的金鑰交換協定為ISAKMP(Internet Security Association and Key Management Protocol)與Oakley。Oakley僅規定金鑰交換的方法,至於各種訊息詳細的格式則是由ISAKMP所定義。ISAKMP同時也規定了安全聯結的建立步驟。ISAKMP/Oakley協定相當複雜,因此本文僅大略介紹其原理與功能。讀者若有興趣研究詳細的規格,可自行參考RFC文件。
安全聯結
IPSec在制訂時,即考慮到相容性與彈性的問題。例如,IPSec必須能跨越各種平台;IPSec必須能在Ipv4或Ipv6上使用;開發廠商能夠按照需求來移植各種等級的加密演算法。也就是說,IPSec的協定只提供一個基本的架構,在這個架構之下,各軟硬體廠商再加入適合的演算法或標準等等。
因此之故,IPSec協定中包含了許多參數。當網路上兩個主體(電腦或是路由器)要使用IPSec來傳輸資料時,雙方勢必要先相互溝通,對相關參數達成一致的共識,之後才能建立安全的傳輸管道。所謂安全聯結,就是這樣的一組參數。換言之,安全聯結是由許多參數所組成。在此請讀者注意,安全聯結只是一個抽象性的觀念,組成安全聯結的參數並非全部都是封包中實際的的欄位。
安全聯結具有單向的特質,也就是說當A傳送資料給B時需要定義一項安全聯結,而B傳送資料給A時需要另外一組安全聯結。
安全聯結中有三個最重要的參數,三者合起來可共同定義(或識別)安全聯結:
Security Parameters Index(SPI,安全係數索引):SPI是由IPSec接收端在自行定義的數值,長度為32位元,會記載於每個IPSec封包中。例如,A、B、C同時要以IPSec傳送資料給X,則X會定義三個SPI值,之後便可利用IPSec封包中的SPI欄位,辨識該封包隸屬哪個安全聯結。
Security Protocol ID(安全協定ID):指定要使用AH或是ESP表頭。每項安全聯結僅能在AH或ESP中擇其一,不能同時指定這兩者。因此,若要同時使用AH與ESP來傳輸資料時,則必須用到兩項安全聯結;若要同時使用AH與ESP建立雙向傳輸關係,則需要四項安全聯結。
IP destination address(IP目的位址):安全聯結的單方關係是以接收端的IP位址來定義
如何建立安全聯結
ISAKMP詳細定義了如何建立、協調、修改,以及刪除安全聯結。具有IPSec能力的系統,通常會保有一份安全性清單,詳列系統所支援的安全聯結(例如,支援何種演算法等等),以及使用的優先順序。IPSec連線的兩端在建立安全聯結時,會依據ISAKMP的格式,從各自最高優先順序的安全聯結開始協調,直到建立雙方皆支援的安全聯結。
如前文所述,利用IPSec來互傳資料時,通常需要建立多項安全聯結。此外,安全聯結建好後,也不是就此一路到底使用同樣的安全聯結。由於金鑰安全的機制(後文會說明),每隔一段時間即必須重新建立安全聯結。所有這些工作都由ISAKMP所定義。
金鑰交換的原理
金鑰交換協定向來是加密法中最複雜的部份。IPSec金鑰交換協定首先利用非對稱式加密法來建立安全連線,然後再利用對稱式加密法來加密(或認證)傳輸的資料(有關對稱式加密法的介紹,可參考Kerberos 101一文)。以下簡單地說明非對稱式加密法的架構。
假設使用者A希望利用非對稱式加密法,讓別人能夠以安全的方式傳送資料給他。使用者A首先必須建立一對金鑰,也就是一把公鑰(Publick Key)與一把私鑰(Private Key)。公鑰只能拿來作加密的用途,因此可隨意散發,不會有安全的顧慮。私鑰可拿來解密,因此由使用者A自行保留,不可給其他人。其他人若要以安全的方式傳送資料給使用者A,只要取得使用者A的公鑰,將資料加密後再送回給使用者A。由於只有使用者A擁有私鑰,因此只有使用者A才能解密。請讀者注意,上述的關係基本上是單方的性質,因此若雙方要互傳資料,雙方必須各自擁有對的公鑰。
圖4:非對稱式加密法的架構 
圖5:非對稱式加密法的另一種架構
在實作上,有些非對稱式加密法也具有下列功能:
順帶一提,上述方式其實就是數位簽名的原理。不過在IPSec中,不會用到這樣子的架構。
與對稱式加密法相比,非對稱式加密法最大的優點在於雙方毋須先共享金鑰即可建立安全連線,因此非常適合應用在網際網路。不過,非對稱式加密法有一個最大的缺點,就是其演算法極為繁複,因此會耗費大量的電腦資源。為了解決這個問題,非對稱式加密法通常會結合對稱式加密法(運算較快、較不耗費資源)一起使用。在實作上,目前有許多種模式,以下說明IPSec所使用的Diffie-Hellman金鑰交換法(Diffie與Hellman這兩位也是最早提出非對稱式加密法的前輩):
雙方先以非對稱式加密法來交換彼此的公鑰(Ka-pub與Kb-pub)。
再以對方的公鑰與自己的私鑰,運算求得一把共同的秘鑰(Ka-b)。很多讀者可能會對這個步驟半信半疑。不用懷疑,就是有些聰明人會想出這種絕招。
利用秘鑰以對稱式加密法,來進行加密或認證的動作。
圖6:Diffie-Hellman金鑰交換法
在後續的加密過程中,若反覆使用同一把秘鑰,比較容易被人破解。為了提高加密安全性,秘鑰每隔一段時間便會重新建立,這種秘鑰就稱為階段金鑰或工作金鑰(Session Key)。這也是為什麼安全聯結必須定期重新協調的主要原因。
IPSec預設使用的金鑰交換協定為Oakley。Oakley可視為是Diffie-Hellman金鑰交換法的加強版,原理相同但提供較高的安全性。
- 10月 11 週二 201111:39
2011-10-8 是男生唷
2012-11-26 自從上學後,弟弟就一直生病吃到上星期才好, 目前是鼻子有點流鼻水。
2012-8-29 今天星期三,藥又快吃完了,症狀有解除一下,但是到早上又開始鼻塞,打噴涕,沒辦法呼吸,看了真難過。體重大約是 8.7 公斤,真是超重的。
2012-8-26 星期日帶去清水顏小兒科看,抽鼻涕,還很多。
2012-8-20 星期一請半天帶他去看簡小兒科,吃了三天,過了一星期沒效。
2012-8-29 今天星期三,藥又快吃完了,症狀有解除一下,但是到早上又開始鼻塞,打噴涕,沒辦法呼吸,看了真難過。體重大約是 8.7 公斤,真是超重的。
2012-8-26 星期日帶去清水顏小兒科看,抽鼻涕,還很多。
2012-8-20 星期一請半天帶他去看簡小兒科,吃了三天,過了一星期沒效。
- 9月 30 週五 201117:05
802.1x MD5 Windows IAS Problem
When MD5 challenge.
Reason-Code=19
Reason=The user could not be authenticated using Challenge Handshake Authentication Protocol(CHAP). Areversibly encrypted password does not exist for this user account. To ensure that reversibly encrypted passwords are enabled, check either the domain password policy or the password settings on the user account.
=====================================================================
Issue:
How to configure Windows IAS (Internet Authentication Service) with the Perle 833 products using the RADIUS security method.
Solution:
Windows 2000/2003 Server uses the new Active Directory security database. This is very different to the Windows NT Domain security structure. If the Perle is configured to use "NT Domain" Security with Windows 2000 servers or Windows Server 2003 servers then it will fail to authenticate.
The solution is to use a security application, such as RADIUS/IAS that can interact with the Active Directory as the Perle 833's does support RADIUS authentication. IAS is also used by Windows Routing and Remote Access Service for authentication.
Administrators to the Perle 833AS or 833IS products (connections via the Perle Management software or CLI) will be looked up on the RADIUS host and not with the local database unless the RADIUS server is offline then the Perle Manager will retry the authentication and then timeout after 5 minutes, then perform a local database lookup).
Configure the Perle to use RADIUS security.
Configure a Primary Authentication Server (and optional backup) and Primary Accounting Server.
Configure a shared secret that will be matched in the IAS client configuration within IAS.
Disable CHAP, select only PAP authentication initially as the Windows User database does not store passwords in reversible encryption by default. See note at bottom for details on CHAP support.
The example is a simple setup based on a new installation of IAS. Note that if an there is an existing IAS setup then these instructions may not apply exactly as shown.
Using Internet Authentication Service / RADIUS for security:
Add Remove Programs
Add/Remove Windows Components
Networking Services
Internet Authentication Service
Set IAS to access the Active Directory (if using a Domain Controller)
Right click on Internet Authentication Service
Register Service in Active Directory
Add the Perle to the client list:
Right click on Clients
Add New Client
Give a friendly name
Protocol = RADIUS
Client address = Enter the IP address of the Perle
Client-Vendor = RADIUS Standard
Enter the Shared Secret that matches the Perle's configuration
Create a policy to allow Domain Admin users to administer the Perle 833AS/IS ... NOTE: Admin user is not needed in RADIUS for the 833RAS unit:
Right click on Remote Access Policies
Add New Policy
[Windows 2003 select "Setup a Custom Policy"]
Give a friendly name
Add a new condition
Note on conditions: each policy has conditions that have to be met. If the conditions are not met then IAS will go to the next policy and examine the conditions.
The following example adds two conditions ... the client source IP address is the Perle and the UserID is a member of the Windows "Administrators" group.
IP-Client-Address = Enter the IP address of the Perle
Windows-Group = Administrators
Enable Grant remote access permission
Edit Profile
Select the Authentication (tab)
Enable PAP or CHAP (see below for CHAP details)
Select the Advanced (tab)
Remove Framed-Protocol
Edit Service-Type to value of Administrative
Move this policy so that it appears as the first (top) policy in the Policy List.
Create a policy to allow dialup access to all users that are members of a group (note that Windows may have a default Policy already that will permit any user with Dial In enabled, so this new policy would be optional. If you wish to use a new Policy then ensure that it appears above the default policy):
The below example uses access based on a Group. Only those user's that are members of the Group are allowed access:
Right click on Remote Access Policies
Add New Policy
[Windows 2003 select "Setup a Custom Policy"]
Give a friendly name
Add a new condition
IP-Client-Address = Enter the IP address of the Perle
Windows Group = Add the applicable Group value
Grant remote access permission
Edit Profile
Authentication (tab)
Enable PAP or CHAP (see below for CHAP details)
Ensure that the service is started.
Ensure that the Active Directory / Local account for the user has Dial In access enabled in their user profile. If your Windows 2000 Domain server is in Native Mode and IAS is registered with the Active Directory then you can set the User Profile -> Dial In setting to use Remote Access Policies.
Additional NOTES:
Reversibly Encrypted Passwords (CHAP) ...
The current user passwords are not stored in a reversibly encrypted form by default and are not automatically changed. You must either manually reset the user password or set the user passwords to be changed the next time the user logs on to the LAN. This must be done for each user who will be authenticating via IAS.
Once the password is changed, it is stored in a reversibly encrypted form. If you set user passwords to be changed the next time a user logs on, the user must log on by using a LAN connection and change the password before they attempt to log on with a remote access connection using CHAP. Users cannot change passwords during the authentication process when using CHAP. The logon attempt will fail.
If the RADIUS configuration in the Perle has CHAP enabled then it will be the preferred method.
NOTE: the Perle will always encrypt the packets that are sent to the RADIUS server even if PAP is being used on the passwords.
To enable reversibly encrypted passwords for a specific user you can modify their User Properties -> Account options -> enable Store Password using Reversible Encryption. You must then reset their password.
To enable reversibly encrypted passwords (CHAP) in a domain (Active Directory server) Group Policy:
Open Active Directory Users and Computers
In the console tree, double-click Active Directory Users and Computers, right-click the domain name, and then click Properties.
On the Group Policy tab, click Default Domain Policy, and then click Edit.
In the console tree, click on Windows Settings
click on Security Settings
click on Accounting Policies
click Password Policy.
In the details pane, double-click "Store password using reversible encryption for all users in the domain"
Click Enabled, and then click OK.
Reset the user passwords as indicated above.
To enable reversibly encrypted passwords (CHAP) in a domain (stand-alone server) Local Security Policy
Start -> Run -> gpedit.msc
In the console tree, select Computer Configuration -> Windows Settings -> Security Settings -> Account Policy-> Password Policy
Enable "Store password using reversible encryption"
Reversibly Encrypted Passwords can also be enabled on a Per-User basis by enabling it in the User Account profile also.
Check with the Windows Event Viewer -> System Log for troubleshooting.
example message:
Event Type: Warning
Event Source: IAS
Event Category: None
Event ID: 2
Date: 8/23/2001
Time: 11:30:39 AM
User: N/A
Computer: PERLE-NLHM5IKIP
Description:
User cyung was denied access.
Fully-Qualified-User-Name = W2K\cyung
NAS-IP-Address =
NAS-Identifier = PTAC 833AS
Called-Station-Identifier =
Calling-Station-Identifier =
Client-Friendly-Name = 833AS
Client-IP-Address = 165.154.128.188
NAS-Port-Type = Async
NAS-Port = 23
Policy-Name =
Authentication-Type =
EAP-Type =
Reason-Code = 19
Reason = The user could not be authenticated using Challenge Handshake Authentication Protocol (CHAP). A reversibly encrypted password does not exist for this user account.
In this example one of two problems is detected.
Reversibly encrypted passwords are not enabled in the group policy or the user password has not been reset after the enabling reversibly encrypted passwords policy
Note: if the shared secret is mismatched then IAS may record a "User Is Granted Access" event or deny access with an "Unknown user or bad password" message. The Manager/Dial in Client will fail to connect; with reason of an unknown user or a bad password.
If the Active Directory user account does not have Dial In enabled then IAS will deny access and record a message stating "Unknown user or bad password"
If something goes wrong and you cannot access the 833IS or 833AS unit via Manager then you disable the IAS service and the Perle will timeout after 5 minutes and then perform a local user list lookup (this access is only available from LAN management and does not apply to dial in connnections). On the 833IS you can also telnet to the unit:
Type 'enable'
Type 'config'
Type 'aaa authentication ppp default local'
** In the most extreme case some Perle customers have reported that the IAS service had to be reinstalled due to a system problem where IAS was not returning the correct information to the Perle **
Related Articles:
1.) Trouble shooting utility for RADIUS
| Related Links: | |
| 1.) | Microsoft IAS |
| For more information concerning Microsoft Internet Authentication Service. | |
| 2.) | Microsoft Knowledgebase - Reversibly Encrypted Passwords |
| | |
- 7月 08 週五 201110:50
DCView 多重曝光-PS 教學
連結內湖與松山之間的彩虹橋,是北市近二年來,新興的觀光休閒景點,
宛如彩虹般的曲線造型,吸引了無數攝影人前來取景,
每當華燈初上之際,天空呈現藍調,與大紅的梁懸橋體搭配,顯得格外優美.
有經驗的攝友拍城市夜景,懂得利用黃昏後的天空與地面反差最小的時段曝光
(夏日約在19:00前後),此時不需高明的黑卡技巧,也能拍出賞心悅目的佳作.
但是,以彩虹橋而言,橋身側面設有強力照明燈,約於18:30開啟,
這時無論怎麼拍,都無法避免強光過曝的水泥橋身,對影像視覺產生負面影響,
針對此問題,只有運用影像處理來做後期補救措施了.
許多數位攝影師會將問題交給HDR處理,但個人覺得交給這類軟體運算,
最終成品總是不自然,很難自動處理到完美,仍要依靠再手動修飾.
另外,就算您拍RAW檔,也最多救回兩個EV值,對某些反差極為強烈的場景,
仍是力有未逮,因此建議現場包圍曝光配合後製為佳.
【高光場合的現場拍攝】
首先,您必須使用腳架與快門線拍攝,構圖與對焦完成後不再移動,
若以平均測光方式而言,從增加一至二個EV值曝光,到標準曝光,
再減約一至二個EV值向下曝光包圍,直到畫面中的最亮部過曝消失為止.
【Photoshop高光後製處理Step by Step】
一、選擇整體曝光最適切的照片做修圖基礎影像(不考慮局部過曝的問題).
在Photoshop內開啟此圖,並同時開啟另一張小二個EV值的圖檔,
使用左邊工具列上方的移動工具,將基礎影像拉到小二個EV值的圖檔之上,
並使之標齊對正,形成兩個圖層(如附圖一).
二、按右側浮動視窗圖層最下方中間按鈕,出現選單後,按下[臨界值]
(不同版本可能位置稍有不同),此時影像呈現黑白,並彈跳出臨界值對話框,
將下方小正三角形拉桿向右,拉至臨界值層級為245(或直接輸入),按[確定](如附圖二).
三、Photoshop上方功能列按[選取]→[顏色範圍]→[樣本顏色]下拉選單中選擇[亮部]
→按[確定].此時可見影像中白色部分已被選取.
接著,再於上方功能列按[選取]→[修改]→[羽化]→輸入強度50像素→按[確定].
四、接著將臨界值的圖層刪除.做法是將滑鼠指標指向臨界值的[圖層縮圖],
壓住滑鼠左鍵拉至右下方的資源回收筒即可.
此時恢復兩個圖層,但原先所選取的區域標線仍在,直接按鍵盤上的[Delete].
這時您會發現原先高光過曝範圍,已經很自然的縮小一些了.
到功能列按[選取]→[取消選取],再於功能列的[圖層]→[影像平面化]完成第一階段.
五、保留第一階段基礎影像,繼續開啟另一張更少於約兩個EV值的圖檔,
回到前面第一個步驟做起,但請注意之後的步驟稍有不同,
就是臨界值層級數值245要逐步向右(例如改為250),使白色選取區域漸次縮小,
羽化50也要逐步縮小(例如改為30).換句話說,就是使作用的範圍漸次縮小.
以上程序反覆做至過曝區域消除為止.最後您會發現原先基礎影像上,
局部高光的部分,很自然的都回復細節,達成亮部不過曝,暗部有細節的完美要求.
至於其他諸如調整曲線,暗部,飽和,對比,銳利等基本修圖步驟,仍是不可或缺的.
附圖一
附圖二
附註一:羽化是影像處理中很重要的環節,可使選取邊緣產生漸層,讓影像平順自然.
本例中建議羽化50及臨界值層級245,並不表示是最佳值,其他相機或場景數值並不同.
攝友們在後製時需要去嘗試適用值,以盡量做到銜接邊緣呈現自然為原則.
附註二:本篇後製方法所述包圍曝光方法(包圍一或二個EV值)適用於彩虹橋面西場景,
並不表示在其他場景也同樣適用,當然其原理仍是大同小異的.
附註三:本後製範例適用於畫面中出現不規則的一個或多個區域反差過大時.
使用Photoshop完成同一個目的之方法很多,此範例只是控制反差的例子之一.
每位老師或書籍的教學各異,攝友們唯有勤於練習,不斷嘗試與摸索,
甚至要舉一反三,才能累積寶貴經驗,開創出屬於自己的一套修圖模式.
附註四:對本範例有興趣實作的攝友,提供部分原始檔下載練習,但圖檔請勿挪作他用,謝謝!
http://kimochao.com/photo_1/DSC_4945.JPG
http://kimochao.com/photo_1/DSC_4946.JPG
http://kimochao.com/photo_1/DSC_4948.JPG
最後,希望這篇數位後製教學,對大家有幫助,
本篇請勿轉貼(可以網址連結),感謝您的點閱.
- 7月 08 週五 201110:50
DCView 多重曝光-PS 教學
連結內湖與松山之間的彩虹橋,是北市近二年來,新興的觀光休閒景點,
宛如彩虹般的曲線造型,吸引了無數攝影人前來取景,
每當華燈初上之際,天空呈現藍調,與大紅的梁懸橋體搭配,顯得格外優美.
有經驗的攝友拍城市夜景,懂得利用黃昏後的天空與地面反差最小的時段曝光
(夏日約在19:00前後),此時不需高明的黑卡技巧,也能拍出賞心悅目的佳作.
但是,以彩虹橋而言,橋身側面設有強力照明燈,約於18:30開啟,
這時無論怎麼拍,都無法避免強光過曝的水泥橋身,對影像視覺產生負面影響,
針對此問題,只有運用影像處理來做後期補救措施了.
許多數位攝影師會將問題交給HDR處理,但個人覺得交給這類軟體運算,
最終成品總是不自然,很難自動處理到完美,仍要依靠再手動修飾.
另外,就算您拍RAW檔,也最多救回兩個EV值,對某些反差極為強烈的場景,
仍是力有未逮,因此建議現場包圍曝光配合後製為佳.
【高光場合的現場拍攝】
首先,您必須使用腳架與快門線拍攝,構圖與對焦完成後不再移動,
若以平均測光方式而言,從增加一至二個EV值曝光,到標準曝光,
再減約一至二個EV值向下曝光包圍,直到畫面中的最亮部過曝消失為止.
【Photoshop高光後製處理Step by Step】
一、選擇整體曝光最適切的照片做修圖基礎影像(不考慮局部過曝的問題).
在Photoshop內開啟此圖,並同時開啟另一張小二個EV值的圖檔,
使用左邊工具列上方的移動工具,將基礎影像拉到小二個EV值的圖檔之上,
並使之標齊對正,形成兩個圖層(如附圖一).
二、按右側浮動視窗圖層最下方中間按鈕,出現選單後,按下[臨界值]
(不同版本可能位置稍有不同),此時影像呈現黑白,並彈跳出臨界值對話框,
將下方小正三角形拉桿向右,拉至臨界值層級為245(或直接輸入),按[確定](如附圖二).
三、Photoshop上方功能列按[選取]→[顏色範圍]→[樣本顏色]下拉選單中選擇[亮部]
→按[確定].此時可見影像中白色部分已被選取.
接著,再於上方功能列按[選取]→[修改]→[羽化]→輸入強度50像素→按[確定].
四、接著將臨界值的圖層刪除.做法是將滑鼠指標指向臨界值的[圖層縮圖],
壓住滑鼠左鍵拉至右下方的資源回收筒即可.
此時恢復兩個圖層,但原先所選取的區域標線仍在,直接按鍵盤上的[Delete].
這時您會發現原先高光過曝範圍,已經很自然的縮小一些了.
到功能列按[選取]→[取消選取],再於功能列的[圖層]→[影像平面化]完成第一階段.
五、保留第一階段基礎影像,繼續開啟另一張更少於約兩個EV值的圖檔,
回到前面第一個步驟做起,但請注意之後的步驟稍有不同,
就是臨界值層級數值245要逐步向右(例如改為250),使白色選取區域漸次縮小,
羽化50也要逐步縮小(例如改為30).換句話說,就是使作用的範圍漸次縮小.
以上程序反覆做至過曝區域消除為止.最後您會發現原先基礎影像上,
局部高光的部分,很自然的都回復細節,達成亮部不過曝,暗部有細節的完美要求.
至於其他諸如調整曲線,暗部,飽和,對比,銳利等基本修圖步驟,仍是不可或缺的.
附圖一
附圖二
附註一:羽化是影像處理中很重要的環節,可使選取邊緣產生漸層,讓影像平順自然.
本例中建議羽化50及臨界值層級245,並不表示是最佳值,其他相機或場景數值並不同.
攝友們在後製時需要去嘗試適用值,以盡量做到銜接邊緣呈現自然為原則.
附註二:本篇後製方法所述包圍曝光方法(包圍一或二個EV值)適用於彩虹橋面西場景,
並不表示在其他場景也同樣適用,當然其原理仍是大同小異的.
附註三:本後製範例適用於畫面中出現不規則的一個或多個區域反差過大時.
使用Photoshop完成同一個目的之方法很多,此範例只是控制反差的例子之一.
每位老師或書籍的教學各異,攝友們唯有勤於練習,不斷嘗試與摸索,
甚至要舉一反三,才能累積寶貴經驗,開創出屬於自己的一套修圖模式.
附註四:對本範例有興趣實作的攝友,提供部分原始檔下載練習,但圖檔請勿挪作他用,謝謝!
http://kimochao.com/photo_1/DSC_4945.JPG
http://kimochao.com/photo_1/DSC_4946.JPG
http://kimochao.com/photo_1/DSC_4948.JPG
最後,希望這篇數位後製教學,對大家有幫助,
本篇請勿轉貼(可以網址連結),感謝您的點閱.
