查看端口状态时以太网口和串口的区别
第一种情况 端口被手动shutdown 这个显示为端口administratively down 当然协议就down的;第二种情况 端口和协议都是up 链路是通的 这种情况也容易理解;第三种情况 端口down 但非administratively down 这种情况是端口曾经被激活过 但由于对方down掉或链路不通引起. 通常我们查看端口的up/down状态时有如下几种情况
第一种情况 端口被手动shutdown 这个显示为端口administratively down 当然协议就down的
Serial0 is administratively down, line protocol is down
Ethernet0 is administratively down, line protocol is down
第二种情况 端口和协议都是up 链路是通的 这种情况也容易理解
Serial0 is up, line protocol is up
Ethernet0 is up, line protocol is up
第三种情况 端口down 但非administratively down 这种情况是端口曾经被激活过 但由于对方down掉或链路不通引起
Serial0 is down, line protocol is down
Ethernet0 is down, line protocol is down
第N种情况 在端口状态为up/up的时候 端口的另外一端被手动shutdown后 以太网端口和串口端口的状态就不一样了
Serial0 is down, line protocol is down
Ethernet0 is up, line protocol is up
这里我们看到同样是对方的端口手动down掉 S0口马上也down掉了 而E0口却依然是up/up状态
后来我用clear counters ethernet 0 命令后再次查看 E0口状态依然是up/up
后求证后得出答案:
以太口只要物理上已经连接 有电平信号 端口就会up 这是由于通信信令机制决定的
当然不是说本来以太口端口是down的 你拿根网线插上它就会up
正解=当以太口端口在up/up状态的时候 如果对方down掉 本以太口端口仍然会在up/up状态 而不会在up/down 更不会down/down
而对于串口遇上以上的情况 端口会变成down/down状态
第N+1种情况 端口的状态为up/down 此种情况一般发生在router的wan口上 且大多为协议方面的原因 具体情况太多 比较协议多嘛
第二篇:dos命令查看端口状态
1.Windows本身自带的netstat命令
Netstat
显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
参数
-a -显示所有连接和侦听端口。服务器连接通常不显示。
-e -显示以太网统计。该参数可以与 -s 选项结合使用。
-n -以数字格式显示地址和端口号(而不是尝试查找名称)。
-s -显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。
-p protocol -显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。
-r -显示路由表的内容。
interval
重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。
好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这 样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。
2.工作在windows2000下的命令行工具fport
使用windows2000的朋友要比使用windows9X的幸运一些,因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。
Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用,请看例子:
D:\>fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
Pid Process Port Proto Path
748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
是不是一目了然了。这下,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的木马!
?
? BYLD幸福
? 赞 1 ? 2010-7-4 00:11 ? 2楼(1)查看共享资源的方
法
使
用命
令查
看:在
命令
行方
式下,
执行
netsh
are命
令,可
查看
到当
前计算机所共享的资源。
如果对“命令提示符”的界面不习惯,可以依次打开“控制面板→管理工具→计算机管理→共享文件夹”,查看电脑中所有的共享资源。
(2)删除共
享资源
通过修改注册表来实现,在开始菜单的运行对话框中,输入regedit,启动注册表编辑器,然后依次展开以下各键: HEKY_LOCAL_MACHINE-->System-->CurrentControl
Set-->Services-->LanmanServer-->Paramaters
然后在Paramaters子键上,用鼠标右键单击,在弹出的菜单中选择新建双字节键,然后将键名改为“AutoShareWks”,然后同用样的方法
再创建一个名为“AutoShareServer”的双字节键,其值设置为默认的0值。
感染病毒后,计算机运行速度和上网速度将大大变慢,甚至无法上网或上网时断时续,同时对整个网络也
?
? BYLD幸福
? 会加重负荷,对整个运行速度造成影响。 ? 2010-7-4 00:24 ? 回复 3楼 关闭本机不用的端口,这是防范木马的第一道防线。默认情况下Windows有很多端口是开放的,在你上网的时候,木马、病毒和黑客就可以通过这些端口连上你的电脑,为了保护你的系统,应该封闭这些端口,主要有:TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900
端口,一些流行木马病毒的后门端口(如 TCP 2513、2745、3127、6129 端口),以及远程服务访问端口3389。
其中137、138、139、445端口都是为共享而开的,是NetBios协议的应用,你应该禁止别人共享你的机器,所以要把这些端口全部关闭,方法是:单击“开始”/控制面板/系统/硬件/设备管理器,单击“查看”菜单下的“显示隐藏的设备”,单击“非即插即用驱动程序”,找到Netbios over Tcpip禁用该设备,重新启动后即可。
关闭UDP123端口:单击“开始”/设置/控制面板,双击“管理工具”/服务,停止windows time服务即可,关闭UDP 123端口,可以防范某些蠕虫病毒。
关闭UDP1900端口:在控制面板中双击“管理工具”/服务,停止SSDP Discovery Service 服务即可。关闭这个端口,可以防范DDoS攻击。
?
? BYLD幸福
? 其他端口你可以用网络防火墙关闭之,或者在控制面板中,双击“管理工具”/本地安全策略,选中“IP 安全策略,在本地计算机”,创建 IP 安全策略来关闭这些端口。 ? 2010-7-4 00:34 ? 4楼 二、删除系统中无用的帐号 进入MS-DOS模式,输入命令net user回车,显示本地计算机上有哪些用户账户;如果有无用的帐号(例如lacl),就删除该帐号,输入命令net user lacl /delete回车
即可(注意参数“/”的左边,至少要保留一个空格)
其中Guest和Administrator这两个帐号,是不允许删除的,但你应该修改它们的密码,为它们设置新的密码,例如键入命令net user Guest abc123回车,把Guest的密码改为abc123。
三、勤升级杀毒软件,启用隐私保护
在网吧等公共场所上网时,你一定要选择有杀毒软件保护的正规网吧,以免自己的游戏帐号被盗,要知道“网吧传奇杀手”在任一台机器上运行,即可窃取网吧内全体玩家的传奇帐号密码!注意查看网吧安装的杀毒软件,瑞星杀毒软件16.35.20以上版可以彻底查杀“网吧传奇杀手”病毒。另外,游戏前一要查杀自己的电脑,下网前一定要更换自己的密码,下次游戏时使用新密码。
如果你在家上网,应该安装带有隐私信息保护的杀毒软件(例如KV2004、诺顿安全特警等),注意及时升级到最新病毒库,打开病毒实时监控,因为有些比较厉害的木马,如果杀毒软件未升级到最新版是查不出来的。
?
? BYLD幸福
? 此外,你还要启动杀毒软件的隐私信息保护监视功能,将网游账号及密码设为隐私保护状态,这样即使你不小心中了木马,也不用担心帐号、密码被木马窃取。例如在KV2004中设置方法是: 点击“工具”/选项菜单,点击“实时监控”,钩选“隐私保护”;单击“隐私保护设置”按钮,随后弹出一个窗口,在“检测到私密信息后处理方式”一栏选择“禁止发送私密信息”,然后单击“增加”按钮(如下图1),添加要保护的帐号和密码。添加时,在“私密信息类型”中选择“用户定义”,在“私密信息内容”中输入帐号(或密码)的前几位或中间几位,最后任意输入用户等信息,按“确定”完成。www.j ? 2010-7-4 00:35 ? 回复 5楼 完成以上“隐私保护”监视功能的设置以后,如果你的电脑中帐号、密码被不明程序向外传输,这时候KV2004的“隐私保护”监控就会发出警报,这样即可有效阻止木马、黑客程序盗取用户密码等机密文件。
四、使用第三方防火墙,锁住你的密码
安装使用防火墙,是防范木马的很好方法。由于WinXP自带的放火墙和ADSL猫的NAT方式,不能阻挡从内到外的连接,因此建议使用第三方防火墙,只要你发现可疑程序向外连接,就可以在防火墙中,把它设置成不允许访问网络,阻挡木马从内到外的连接。
建议你安装使用ZoneAlarm Pro、诺顿安全特警、天网防火墙、金山网镖6等第三方防火墙,这类防火墙各大网站都有下载。其中金山网镖6有一个独特功能,就是可以检查你的系统是否有漏洞,如果查出漏洞,它还会让你下载安装补丁、堵住漏洞。建议你上网前用它检查一下,
然后再启动第三方防火墙上网。下面我们介绍ZoneAlarm Pro使用方法,其他防火墙限于篇幅,我们就不展开介绍了。
软件小资料
最新版本:ZoneAlarm Pro 6.1.737.000
软件大小:10,290 KB
运行平台:WinXP/2000/NT/Me/9X
下载地址:[点击下载]
ZoneAlarm是目前最优秀的个人综合防火墙,与其他个人防火墙软件相比,ZoneAlarm占用资源少,能保护个人隐私安全,防范木马把你的游戏帐号、密码向外发送。此外,它对应用程序的控制也更安全,即使策略允许通过,它也要检查应用程序访问设置;其专家级的规则制定功能也更加强大,可以控制到MAC级别,能够定义组、时间控制和控制到数据链路层,在目前所有的个人防火墙中,只有ZoneAlarm能够控制到数据链路层。
(1)用ZoneAlarm防范木马方法
ZoneAlarm防火墙具有三个安全级别(高、中和低),分成信任、封锁和 Internet三个区域。单击“防火墙”/常规,把“Internet安全防护”调到“高”(如下图2),这样你的电脑在网络上就隐藏起来了,而且别人还不能使用你的共享资源。
? 2010-7-4 00:36
?
?
? BYLD幸福
?
?
? BYLD幸福
?
?
? BYLD幸福
? 6楼 单击“警报/日志”查看本机以前曾受到哪些攻击(如下图3),例如图中互联网上213.7.104.171的电脑试图连接本机的139端口,被防火墙拦截,我们应该永远禁止它连接,把它添加到封锁区域,点击等级为“高”记录,右击鼠标选择菜单“添加区域”/封锁,把对方的IP添加到封锁区域。对付恶意网站,你可以把它添加到封锁区域,禁止它以后攻击你的电脑。 ? 2010-7-4 00:36 ? 7楼 小提示:如果发现可疑的IP要求连接你的电脑,你应该把该IP添加到封锁区域、禁止它连接,对于同一个局域网中的电脑,应该把它加到信任区域,以便别人能共享你电脑中的资源。 ? 2010-7-4 00:36 ? 8楼 在“程序控制”中,你可以设置4个安全级别来管理应用程序和组件。如果设置为“低”级别,程序和组件都可以直接访问网络;“中”级别时,程序需要确认才能访问网络,组件可直接访问网络;设置为“高”级别,程序和组件都需要确认才可访问网络。
单击“程序控制”/常规,把“应用程序控制”调为“高(”如下图4),“警报建议”调为“自动”,开启“自动封锁”,以便你在指定时间或屏幕保护时,能自动锁定网络
?
? BYLD幸福
?
?
? BYLD幸福
? ? 2010-7-4 00:37 ? 回复 9楼 单击“程序控制”/程序,为每一个应用程序设置权限。应用程序的权限包括访问权限、服务权限和发送邮件权限(如下图5),访问权限表示能否主动访问外部对象,服务权限表示是否允许开启服务端口,提供给外人连接。图中绿色的“√”表示允许连接;红色的“×”为禁止连接;“?”表示每次出现连接企图时,都会先提出询问。你应该按右下方的“添加”按钮,把常用的软件(例如IE、Word、outlook等)都添加进来,然后单击小图标,为每个权限设置“允许”、“封锁”或“询问”,例如把Foxmail设置为允许发送邮件和向外访问,但禁止服务权限,把怀疑为木马的程序,都设置成不允许访问网络,这样就能阻挡木马从内到外的连接。 ? 2010-7-4 00:37 ? 回复 10楼 最后单击导航条中的“病毒监控”,开启病毒监控,单击“邮件防护”,启用附件保护和寄出电子邮件保护。 (2)防范恶意网页
为了阻止下载恶意网页和电子邮件,保护机器的安全,你可以在“隐私保护”中,把“活动码控制”设为“开启”,然后点击右边的“自定义”(如下图6),设置封锁MIME对象、嵌入对象(Java和ActiveX)。
? 2010-7-4 00:37
? 回复
?
? BYLD幸福
?
?
? BYLD幸福
? 11楼 单击“程序控制”/程序,为每一个应用程序设置权限。应用程序的权限包括访问权限、服务权限和发送邮件权限(如下图5),访问权限表示能否主动访问外部对象,服务权限表示是否允许开启服务端口,提供给外人连接。图中绿色的“√”表示允许连接;红色的“×”为禁止连接;“?”表示每次出现连接企图时,都会先提出询问。你应该按右下方的“添加”按钮,把常用的软件(例如IE、Word、outlook等)都添加进来,然后单击小图标,为每个权限设置“允许”、“封锁”或“询问”,例如把Foxmail设置为允许发送邮件和向外访问,但禁止服务权限,把怀疑为木马的程序,都设置成不允许访问网络,这样就能阻挡木马从内到外的连接。 ? 2010-7-4 00:38 ? 回复 12楼 最后单击导航条中的“病毒监控”,开启病毒监控,单击“邮件防护”,启用附件保护和寄出电子邮件保护。 (2)防范恶意网页
为了阻止下载恶意网页和电子邮件,保护机器的安全,你可以在“隐私保护”中,把“活动码控制”设为“开启”,然后点击右边的“自定义”(如下图6),设置封锁MIME对象、嵌入对象(Java和ActiveX)。
? 2010-7-4 00:38
? 回复
13楼
(3)保护你的密码
?
? BYLD幸福
?
?
? BYLD幸福
?
? 有些木马会偷偷记录你键盘输入的各种密码,然后发送给它的主人,只要你在ZoneAlarm中如下设置,即可阻止木马发送你的密码。 设置方法:单击“ID锁”,在“常规”选项卡中,把“ID封锁”调为“高”;然后打开“个人隐私”选项卡(如下图7),点击“添加”按钮,输入要保护的帐号、密码,把你的密码全部添加进去。这样以后一旦你的密码向外发送,ZoneAlarm就会报警,即使对方收到密码,也全部都是“*”而无法阅读。 ? 2010-7-4 00:38 ? 回复 15楼 二、使用进程查看工具 有些木马运行后,你在任务管理器中看不到它的进程,这时候你可以使用专门的进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,例如常见的木马进程如下: ? 2010-7-4 00:39 ? 回复 16楼 进程查看工具下载地址: WinProcV1.32
? BYLD幸福
? ?
? BYLD幸福
? 系统查看大师V1.0 柳叶擦眼V4.0 IceSwordV1.04 进程杀手V2.5 三、用Tcpview观察连接情况 使用Tcpview (下载地址)、Active Ports等软件,观察计算机的进程和端口。一旦发现可疑的进程,有可疑的端口打开了,就要立即关闭它。建议你经常用Tcpview检查连接情况(如下图9),这样就能随时发现哪个连接有可能是非法连接。 ? 2010-7-4 00:39 ? 17楼 用Tcpview观察连接情况 例如图9中本机打开了TCP 135和2513两个端口,这两个端口正在监听、等待外界的连接。其中TCP 135端口是RPC服务打开的端口,一般不要通过停止RPC服
务来关闭,因为如果你把RPC服务停掉,虽然可以关闭135端口,但是计算机也关机了。冲击波病毒利用的就是135端口,为了防范黑客利用该端口攻击,建议你使用第三方防火墙,设置外界不能连接本机的135端口,这样来堵住135端口。
另外,图9中TCP 2513端口是灰鸽子(GrayPigeon.exe)打开的,这里有个常识请你记住,如果你发现TCP协议的linsten在1025端口以上,则可能是木马,你就要警惕了。图中GrayPigeon.exe打开了本机的TCP 2513端口监听,采用主动连接方式(非反弹连接),等待远方电脑的连接,可以断定这是非法连接。
此时你应该右击该连接,选择连接属性,记录下执行文件GrayPigeon.exe的名称和位置,然后选择“End Process”结束连接,最后再删除对应的执行文件。
四、检查与启动相关的文件
(1)检查启动组
启动组是木马藏身的好地方,WinXP启动组对应的文件夹为:C:\Documents and Settings\帐户\「开始」菜单\程序\启动,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动",你应该检查这些地方。
(2)检查Autoexec.bat、Config.sys和Winstart.bat
Autoexec.bat和Config.sys都位于C盘根目录下 ,在它们中也可以加载木马程序,但这并不多见,你不能掉以轻心,最好检查一下。
Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件,在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马,因此你要打开它检查。
(3)检查Win.ini和System.ini
Win.ini位于Windows的安装目录下,其[windows]字段中有启动命令“load=”和“run=”,通常“=”后面是空白的,
如果后面跟着程序,比如:run=c:\windows\spy.exe load=c:\windows\spy.exe ,这个spy.exe很可能就是木马程序!
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处,木马通常会将该句变为这样:shell=Explorer.exe spy.exe,注意这里的spy.exe就是木马服务端程序! 检查System.ini中的[386Enh]字段,此段内的“driver=路径\程序名”,也是木马经常隐藏的地方;检查System.ini中的[mic]、[drivers]、[drivers32]三个字段,它们也是添加木马的好场所。
五、检查系统目录中文件
木马也可能藏在系统目录中。启动资源管理器,点击“工具”/文件夹选项/查看,设置显示全部文件(包括受保护文件),不要隐藏已知文件的扩展名,然后打开Windows\ 及 Windows\system32目录中的文件,按建立时间排序,找出建立时间或修改时间异常的程序,记录下来。
六、在注册表中检查
单击“开始”/运行,键入Regedit打开注册表,检查其中是否有木马,记录下来,暂时不要更改。
(1)检查自启动项
查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值,检查其中是否有程序,木马喜欢藏在这些位置。
此外,使用组策略也能让木马在系统登录时自动启动(方法如下),该方法添加的自启动程序也被记录在注册表中,但是非以上介绍的那些注册表位置。如果你怀疑自己中了木马,在上面的注册表项中又找不到它,建议你检查注册表的HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer\Run项,或是进入“组策略”的“在用户登录时运行这些程序”,看看其中有无启动的程序。
组策略添加自启动木马程序的方法:在“开始→运行”中执行“Gpedit.msc”打开“组策略”,展开“本地计算机策略→用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项,选定“设置”项中的“已启用”项,单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中,输入要自启动的木马程序路径即可。
(2)检查文件关联是否被修改
国产木马还喜欢修改文件关联,例如TXT文件通常是由记事本(Notepad.exe)来打开的,如果你中了国产木马冰河之后,则会被修改为用木马程序打开,因此只要你一打开文本文件,就会自动启动木马。
木马修改文件关联的方法是:修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。
注意:木马不仅仅只会修改TXT文件的关联,有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马,你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。
? 2010-7-4 00:40
? 回复
18楼
木马清除技巧篇
?
? BYLD幸福 一、使用反木马软件清除木马
使用专门的反木马软件,及时升级软件和病毒库,这是查杀木马最简单的方法。目前反木马软件数量众多,著名的有金山毒霸木马专杀、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。
(1)金山毒霸木马专杀
软件版本:2004.9.27.2
软件大小:9.06 MB
下载地址:[点击下载]
金山木马专杀是一个木马专杀工具(能查杀2万多种木马),可以有效地保护你的QQ号码、网游以及网络支付安全,
快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。如果你要查杀激活状态的木马,可以单击“快速扫描”按钮(如下图10),即顺序扫描内存、注册表、系统所在目录下的系统文件夹、程序文件和个人保存信息使用的临时文件夹,查杀激活状态的木马。完全扫描对机器所有位置都进行扫描,包括内存、注册表、与之相连的软盘、光盘、闪盘以及所有硬盘,因此也是最安全的扫描,可以清除系统中所有的木马。
? 2010-7-4 00:40 ?
? 回复
19楼
金山毒霸木马专杀
(2)木马克星(Iparmor)
?
软件版本:5.46 ? BYLD幸福
?
?
? BYLD幸福
? 软件大小:3709KB 下载地址:[点击下载] 木马克星(如下图11)是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大(安装文件只有3.7MB),可以用闪存随身携带,方便你在网吧电脑中安装使用。另外,木马克星还可以让你轻松地监视系统中当前运行的各个进程、网络状态、系统共享情况等,防止木马的入侵。 ? 2010-7-4 00:41 ? 20楼 木马克星 单击“系统进程”,你可以查看系统中有哪些进程在运行,用鼠标左键点取后,再用键盘上的“Delete”键即可删除进程;而“网络状态”里,则可以看到目前的网络情况,如果tcp协议的linsten在1025端口以上,则可能是木马,
大家就要警惕了。
(3)The Cleaner Professional
软件版本:4.1
软件大小:4519KB
下载地址:[点击下载]
?
? BYLD幸福
? The Cleaner Professional 是MooSoft公司开发的查杀木马软件,可以查杀各种木马、蠕虫、键盘记录机、间谍程序等。软件包括Cleaner、TCActive、TCMonitor等组件,其中Cleaner专门查杀木马等病毒,TCActive用来显示当前正在运行的所有进程,TCMonitor负责后台监视系统文件和注册表是否被修改,如果发现被修改即报警。 (4)TrojanHunter 软件版本:3.9 软件大小:6942KB 下载地址:[点击下载] TrojanHunter(如下图12)是一款非常不错的防木马软件,可以在Win9X/NT/2000/XP系统中运行,能够发现流行的木马。 ? 2010-7-4 00:41 ? 21楼 (5)Anti-Trojan Shield 软件版本:1.4.15 软件大小:4451KB
下载地址:[点击下载]
Anti-Trojan Shield(如下图13)是一款享誉欧洲的专业木马侦测、拦截及清除软件,目前可以查杀9468种木马和病毒,其特点是界面简捷,虽是英文但只要你会用杀
毒软件,就能很容易操作该软件。
?
? BYLD幸福
? ? 2010-7-4 00:41 ? 回复 22楼 (6)木马清除大师正式版 软件版本:2.15 软件大小:4634KB
下载地址:[点击下载]
木马清除大师(BeatTrojan)能查杀5800余种国际国内流行木马、网络游戏盗号工具、QQ盗密码工具、幽灵后门,查杀率在95%以上,正式版还加强了对第五代木马的查杀,更加人性化的进程管理设计,能完美的查杀各种无进程木马。
二、手工清除木马
手工清除木马应按照以下的顺序进行:用TcpView先查看进程,把可疑进程文件名和所在位置记录下来,然后停止可疑进程;在注册表里查找可疑进程文件,并将相关的键值全部删掉;到可疑进程文件所在位置删除之按照上面“手工查找木马技巧”介绍的方法清理注册表相关表项,检查与启动相关的文件、系统目录中文件,删除所有可疑文件。
有些木马,因为使用了线程注入或三线程保护方式,需要使用相关工具进行清除。对于exe文件关联类木马,清除之后可能会出现exe文件无法打开的现象,假如系统中没有相关进程监视这个表项,你可以这样处理:将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可
?
? BYLD幸福
? ? 2010-7-4 00:42 ? 回复 23楼 关闭病毒入侵和传播通常使用的137、138、139和445端口。关闭这些端口后,将无法再使用网上邻居和文件共享功能。因此,强烈建议用户关闭这些端口,要传递文件可以使用QQ或发邮件方式。
关闭137、138和139端口的方法:
在桌面的“网上邻居”上用鼠标右键单击,在弹出的菜单中选择“属性”,打开“网络和拨号连接”,然后在“本地连接”上用鼠标右键单击,然后在弹出的对话框中选择“属性”,以打开“本地连接属性”对话框,接着进行以下2步操作:
(1)在列表框中选择“Microsoft网络的文件和打印机共享”,然后单击“卸载”按钮,将文件和打印机共享删除。
(2)在列表框中选择“Internet协议(TCP/IP)”,接着单击“属性”按钮,在弹出的对话框中继续单击“高级”按钮,单击选中 “WINS”选项卡,在该设置界面,单击选中“禁用TCP/IP协议上的NetBIOS”,然后一路单击“确定”按钮结束配置修改操作。
关闭445端口的方法:
在“开始”菜单中选择“运行”,在弹出的对话框中输入“regedit”命令,然后单击确定按钮,启动注册表编辑器。依次展开以下注册表项,
HKEY_LOCAL_MACHINE-->SYSTEM-->CurrentControlSet-->Services-->NetBT-->Parameters
?
? 红袖舔厢
?
?
? 红袖舔厢
? 在Parameters注册表项上单击鼠标右键,在弹出的菜单中,选择新建-->双字节值,然后将新建的这个注册表项更名为SMBDeviceEnabled,最后关闭退出注册表。 进行以上操作后,重新启动操作系统,以后这4个端口就不会再开放了。 5.访问网页时,若网页弹出提示框,要求安装什么插件时,一定要看清楚是安装什么东西,不要不加思索地同意安装,这类安装最具危险性。 ? 2010-7-4 00:51 ? 回复 24楼 Netstat是DOS命令,是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息.Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。 ? 2010-7-5 21:22 ? 回复 25楼 一般用netstat -na 来显示所有连接的端口并用数字表示. netstat命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在运作。 命令格式
该命令(linux下)的一般格式为 : netstat [选项] 选项的含义
命令中各选项的含义如下: -a 显示所有socket,包括正在监听的。 -c 每隔1秒就重新显示一遍,直到
?
? 红袖舔厢
?
?
? 红袖舔厢
? 用户中断它。 -i 显示所有网络接口的信息,格式同“ipconfig -e”。 -n 以网络IP地址代替名称,显示出网络连接情形。 -r 显示核心路由表,格式同“route -e”。 ? 2010-7-5 21:22 ? 回复 26楼 t 显示TCP协议的连接情况 -u 显示UDP协议的连接情况。 -v 显示正在进行的工作。 -A 显示任何关联的协议控制块的地址。主要用于调试 -a 显示所有套接字的状态。在一般情况下不显示与服务器进程相关联的套接字 -i 显示自动配置接口的状态。那些在系统初始引导后配置的接口状态不在输出之列 ? 2010-7-5 21:23 ? 回复 27楼 m 打印网络存储器的使用情况 -n 打印实际地址,而不是对地址的解释或者显示主机,网络名之类的符号 -r 打印路由选择表 -f address -family对于给出名字的地址簇打印统计数字和控制块信息。到目前为止,唯一支持的地址簇是inet -I int
erface 只打印给出名字的接口状态 -p protocol-name 只打印给出名字的协议的统计数字和协议控制块信息 -s 打印每个协议的统计数字 -t 在输出显示中用时间信息代替队列长度信息。 netstat命令的列标题
? 2010-7-5 21:24
? 回复
28楼
Name 接口的名字
Mtu 接口的最大传输单位 Net/Dest 接口所在的网
?
? 红袖舔厢 络 Address 接口的IP地址 Ipkts 接收到的数据包数目 Ierrs 接收到时已损坏的数据包数目 Opkts 发
送的数据包数目 Oeers 发送时已损坏的数据包数目 Collisions 由这个接口所记录的网络冲突数目
? 2010-7-5 21:25 ?
? 回复
29楼
常用选项
netstat -s--本选项能够按照各个协议分别显示其统计
?
? 红袖舔厢 数据。如果你的应用程序(如Web浏览器)运行速度比较慢,或者不能显示Web页之类的数据,那么你就可以
用本选项来查看一下所显示的信息。你需要仔细查看统计数据的各行,找到出错的关键字,进而确定问题所在。 netstat -e--本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量,也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量)。
? 2010-7-5 21:25 ?
? 回复
30楼
其他
netstat -r--本选项可以显示关于路
?
? 红袖舔厢 由表的信息,类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外,还显示当前有效的连
? 接。 netstat -a--本选项显示一个所
有的有效连接信息列表,包括已建立的
连接(ESTABLISHED),也包括监听
连接请求(LISTENING)的那些连
接。 netstat -n--显示所有已建立的
有效连接。
? 2010-7-5 21:26
?
31楼
netstat -an中state含义
LISTEN:侦听来自远方的TCP端
?
? 红袖舔厢 口的连接请求 SYN-SENT:再发送连接请求后等待匹配的连接请求 S
YN-RECEIVED:再收到和发送一个连
接请求后等待对方对连接请求的确认
32楼 ?
ESTABLISHED:代表一个打开的连接
FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认 FIN-WAIT-2:从远程TCP等待连接中断请求 CLOSE-WAIT:等待从本地用户发来的连接中断请求 CLOSING:等待远程TCP对连接中断的确认 LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认 TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认 CLOSED:没有任何连接状态 其实可以man netstat , 看其中的stat部分解释
? 2010-7-5 21:28
?
33楼
netstat -abnov ,显示的该进程发起的程序进程或者文件列表。此命令常用来
?
?
红袖舔厢
判断是否有可疑进程,之后进行相关操作 ?
?
?
红袖舔厢
?
?
?
BYLD幸福
?
?
2010-7-5 21:38
? 回复
34楼
在运行里输入regedit
然后找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account
可以看到有多个用户
注意..当到了SAM的时候..要给administrator读取和写入权!!!再按F5..
?
2010-7-5 22:30
? 35楼
下面说一下常见的漏洞的端口如何关闭:
1.关闭139端口:右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。
2.右击-网上邻居-属性/本地连接-属性,在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。
3.关闭445端口:打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]下增加一个dword键项,命名为"SmbDeviceEnabled"(不包含引号),将值设为0。
4。关闭3389端口:右击我的电脑,点属性--远程,把允许从这台计算机发送远程协助邀请前的勾去掉。
5。关闭135端口:
如何关闭135端口
Windows XP系统
运行dcomcnfg,展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“启用分布式COM”;然后切换到“默认协议”,删除“面向连接的TCP/IP”。
以上选项有对应的注册表键值,因此也可通过注册表来修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM的值改为“N”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中删除“ncacn_ip_tcp”
此外,还需要停用“Distributed Transaction Coordinator”服务。
重启之后, 135端口就没有了。
关闭不必须用的服务:
在控制面板中,找到管理工具,在其下面打开服务。将下列的项目开闭:
Server(先禁用,然后再停止掉。)
Telnet(先禁用,然后再停止掉。)
为了您的系统安全,最好将以上两个危险服务给关闭掉
? 2010-7-17 23:15
? 回复
36楼
在组策略下做下面的设定:
?
? BYLD幸福
?
?
? BYLD幸福 开始--运行,输入gpedit.msc回车。 1.计算机配置--安全设置--安全选项 启用: 交互式登录:不显示上次的用户名 网络访问:不允许SAM账户的匿名枚举 网络访问:不允许SAM账户和共享的匿名枚举 网络访问:可远程访问的注册表路径下,将所有选中,点右键删除,应用--确定 2.计算机配置--安全设置--用户权利指派 从网络访问此计算机,里边的所有用户全部删除 从远端强制关机,删除全部用户 彻底关闭系统还原 ? 2010-7-17 23:25 ? 回复 37楼 右击我的电脑,点属性--系统还原--去掉在所有驱动器上关闭系统还原前的勾 组策略里,计算机配置--管理模板--windows组件--wind
? ?
? BYLD幸福
? ?
? BYLD幸福 owsInstaller--启用关闭创建系统还原检查点 计算机配置--管理模板--系统--系统还原--启用关闭系统还原 把以上都设置好了,大家再来检测一下自己机器有没有危险吧。。。 1.察看本地共享资源 运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 ? 2010-7-17 23:26 ? 回复 38楼 2.删除共享(每次输入一个) net share admin$ /delete net share c$ /delete net share d$ /delete(如果有e,f,……可以继续删除) ? 2010-7-17 23:27 ? 回复 39楼 3.删除ipc$空连接 在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数
值名称RestrictAnonymous的数值数据由0改为1。
?
做了以上的设置,总是要比没有防护好得多。。。
这样就会增加系统安全。。。从而保护您的系统不受别人入侵