零楼:1.windows操作系统快捷键(网上摘录+自己修改,记不住就用鼠标吧)2.Windows 开始→运行→命令 集锦(这个大家要看看,处理问题时要常用的)3.拯救被侵略的C盘空间(斑竹推荐)4.全面优化启动速度5.想裸奔?Follow Me(终极设置)6.删恶意软件的另一种选择--用系统自带的7.看紧Windows端口8.开机总是要按下F1键才能继续的解决办法9.组策略(gpedit.msc)在home版xp中安装方法
一楼:1.svchost.exe进程之谜2.UNDLL32.EXE 进程之谜
二楼:1.探寻Windows死机的方方面面2.网络安全之TCP端口作用、漏洞及操作3.木马程序是如何实现隐藏的4.打造个人电脑安全终极防线(整理很全的)
三楼:1.清除流氓软件的第一利器(IceSword)介绍2.QQ能上,但是无法打开网页的解决方法.3.网络故障汇总4.IE问题解决方法汇总(错误报告篇)5.计算机常用端口一览6.计算机端口详细列表--防火墙设置必备的参考资料
四楼:1.[Windows任务管理器] 详解2.安全基础知识之进阶PING的高级用法
六楼:===================资料 +结束====================
[quote]日常计算机维修 ----------------十六楼
第二节 Windows 开始→运行→命令 集锦winver---------检查Windows版本wmimgmt.msc----打开windows管理体系结构(WMI)wupdmgr--------windows更新程序wscript--------windows脚本宿主设置write----------写字板winmsd---------系统信息wiaacmgr-------扫描仪和照相机向导winchat--------XP自带局域网聊天mem.exe--------显示内存使用情况Msconfig.exe---系统配置实用程序mplayer2-------简易widnows media playermspaint--------画图板mstsc----------远程桌面连接mplayer2-------媒体播放机magnify--------放大镜实用程序mmc------------打开控制台mobsync--------同步命令dxdiag---------检查DirectX信息drwtsn32------ 系统医生devmgmt.msc--- 设备管理器dfrg.msc-------磁盘碎片整理程序diskmgmt.msc---磁盘管理实用程序dcomcnfg-------打开系统组件服务ddeshare-------打开DDE共享设置dvdplay--------DVD播放器net stop messenger-----停止信使服务net start messenger----开始信使服务notepad--------打开记事本nslookup-------网络管理的工具向导ntbackup-------系统备份和还原narrator-------屏幕“讲述人”ntmsmgr.msc----移动存储管理器ntmsoprq.msc---移动存储管理员操作请求netstat -an----(TC)命令检查接口syncapp--------创建一个公文包sysedit--------系统配置编辑器sigverif-------文件签名验证程序sndrec32-------录音机shrpubw--------创建共享文件夹secpol.msc-----本地安全策略syskey---------系统加密,一旦加密就不能解开,保护windows xp系统的双重密码services.msc---本地服务设置Sndvol32-------音量控制程序sfc.exe--------系统文件检查器sfc /scannow---windows文件保护tsshutdn-------60秒倒计时关机命令tourstart------xp简介(安装完成后出现的漫游xp程序)taskmgr--------任务管理器eventvwr-------事件查看器eudcedit-------造字程序explorer-------打开资源管理器packager-------对象包装程序perfmon.msc----计算机性能监测程序progman--------程序管理器regedit.exe----注册表rsop.msc-------组策略结果集regedt32-------注册表编辑器rononce -p ----15秒关机regsvr32 /u *.dll----停止dll文件运行regsvr32 /u zipfldr.dll------取消ZIP支持cmd.exe--------CMD命令提示符chkdsk.exe-----Chkdsk磁盘检查certmgr.msc----证书管理实用程序calc-----------启动计算器charmap--------启动字符映射表cliconfg-------SQL SERVER 客户端网络实用程序Clipbrd--------剪贴板查看器conf-----------启动netmeetingcompmgmt.msc---计算机管理cleanmgr-------垃圾整理ciadv.msc------索引服务程序osk------------打开屏幕键盘odbcad32-------ODBC数据源管理器oobe/msoobe /a----检查XP是否激活lusrmgr.msc----本机用户和组logoff---------注销命令iexpress-------木马[屏蔽]工具,系统自带Nslookup-------IP地址侦测器fsmgmt.msc-----共享文件夹管理器utilman--------辅助工具管理器gpedit.msc-----组策略
第三节 拯救可怜的C盘空间一:把虚拟内存放到别处默认情况下WINDOWS将页面文件(硬盘中的虚拟内存文件)的大小设置为物理内存的1.5倍,位置放在系统分区的根目录下!如果物理内存越大,则页面文件也就越大!所以要把它移到其他盘,则C盘空间就能得到缓解。实施方法:右击“我的电脑”选择“属性”,在“高级”选项卡中点击“性能”栏中的“设置”按钮,在弹出窗口的“高级”选项卡中点击“更改”按钮,选择其他盘符后按C盘的设置进行更改,最后把C盘设为“无页面文件”并点击“确定”,重起就噢了。二:取消休眠功能WINDOWS默认会自动启动休眠,这项功能使用率低而且发生故障,关键是占用空间大,和物理内存等同大小,会在C盘产生一个hiberfil.sys文件。实施方法:在“控制面板”中打开“电源选项”窗口,切换到:休眠“选项卡,取消”启用休眠“的勾选,C盘目录下的hiberfil.sys也就没了。三.清理临时文件系统分区下的“Documents and Settings\用户名\Local Settings\Temp\”文件夹是用来存放系统运行和软件安装过程中产生的临时文件。正常情况下在系统重起时会自动删除。但万一在安装过程中终止等其他原因,还会有大量的文件,所以就要手动删除。实施方法:此文件夹为隐藏属性,在“文件夹选项中”勾选显示所有文件和文件夹才能看见。不过每次都要手动清理有些麻烦,你可以用优化大师或者兔子来自动清理,或者其他分区下建一个temp文件夹,然后打开“系统属性”窗口的“高级”选项卡,点击“编辑”就能对当前用户的TEMP,TMP变量进行更改了。四.迁移“我的文档”“我的文挡”存在于“C:\Documents and Settings\用户名\My Documents”,许多软件都会往里面放东西,时间长了自然就大了。实施方法:右击”我的文档”选择“属性”,在“目标文件夹”框中单击“移动”按钮,在弹出的对话框中指定迁移的位置就好了。五.注意软件日志很多软件都会在使用时产生垃圾日志文件,比如杀毒软件就是,每查杀一次就会有日志产生,所以要到软件的目录中手工删除这些日志文件。在杀毒工具中的设置中限制日志文件的大小也可以。六.日常习惯许多朋友在安装软件时都放在默认目录中,这样造成的结果就是C盘越来越小。我在这里建议大家把常用软件都放在D盘或者其他盘符。或者你可以修改注册表中[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]下的“ProgramFilesDir"键值可以定义默认的安装程序路径(这样做会造成系统更新和OutLook等应用程序的错误)。还有平常卸载软件完毕后最好再检查一下开始菜单和安装目录下是否还有残余,再把Documents and Settings\用户名\ApplicationDate\软件名(或公司)下是否有垃圾文件存在。七.说说网上有争议的说法系统还原是否该关?我个人认为系统还原会占用每个盘12%的空间,所以除了C盘之外其他盘都应该关闭。除非你C盘空间太小或者你已有GHOST备份。系统不用的组件用不用去?有人说在”添加删除程序中”的“添加删除Windows组件”中可以将不用的组件删掉。我认为这没有必要,系统自带的默认组件实在很少啊,根本不会占用多大空间,只是有些人心理上满足罢了。是否删除系统更新?系统每次连线后都会自动更新,系统会自动备份,我觉得留着好,万一以后还想装或者需要修复系统时还要用,所以建议不要删了。是否删除备份的驱动程序?系统本身自带的驱动程序,比如你接鼠标或者键盘,系统会自动安装,所以你一接就可以用。如果你确定近期不会添加硬件的话,就可以把“Windows\Drive Cache\i386”下的Drive.cab和sp2.cab文件删除即可。是否删除系统备份文件?在系统分区下的“Windows\system32\dllcache”文件下存放着系统自动备份的重要文件,当文件损坏时也会自动修复。所以我建议没事别动它。当然你如果空间小的连这都要删的话,就直接在命令提示符下打“sfe/purgecache”删除所有备份文件。接着再输入“sfc /cachesize=0”,以后也不会再自动备份了。
第四节 全面优化启动速度一.预读优化我先解释一下“预读文件”这个词,它是为程序建立一个需要载入的文件列表(包括DLL文件和其他文件)在程序发出载入指令前将这些文件装载到内存中,这样运行效率就会大大提高。那么预读优化就是对启动过程需要载入的文件进行预读优化,能对启动速度产生影响。1.首先来说Defrag.exe命令,它是磁盘碎片整理程序,当你的磁盘碎片文件过多时,才会对启动速度产生影响。一般大家都不会乱到这种地步,所以只要把Defrag.exe的隐藏参数“-b”打开即可加快启动速度,在命令提示中输入:defrag C:-b。2.然后看注册表。系统每次启动或空闲时都会进行预读优化,优化范围则有一些注册表中的相关分之决定。所以运行regedit打开“注册表编辑器”,定位于[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Mangement\PrefetchParameters].然后将右侧窗格中的“EnablePrefetcher”的键值设为“1”,默认为“3”。(“0”为取消预读取功能,“1”为只预读取应用程序,“2”为预读取Windows,“3”为预读取Windows系统文件和应用程序。3.预读文件保存在Windows\Prefetch目录中,以PF为扩展名。建议大家不要删除,因为系统会自动进行预读优化,要是没有了只能全部重新建立预读文件,反而会更加慢。二.启动项优化大家当中肯定还有在进入系统时QQ。MSN等一些软件就会自动运行(女生偏多)。所以赶快优化一下,运行再关多累啊。在开始菜单-运行-启动中都删掉,还有比如象MSN就要在软件的工具选项里把“登陆WINDOWS自动运行”的勾去掉即可。通过MSCONFIG来管理,打开后在“启动”选项卡中仔细查看,取消掉一些不名的软件名,不好确定可通过后面的路径来判断。往往病毒也会在里面,可以根据文件的名称,版本信息,大小,日期,图标等进行检查。三.网卡优化这个也是我遇到的问题,往往一连宽带系统启动就会慢,后来才发现这是网卡引起的。因为每台电脑启动后都会向DHCP服务器申请IP地址,而现在大家普遍采用的是PPOE拨号方式,只有输入账号和密码后才能连接并分配到IP和DNS,所以一开机的IP请求不会被理睬,直到超过时限后网卡才会获取IP超时(这就是原因所在),再由系统本身随意分配一个IP。解决很简单,点击“开始-设置-网络连接”或者直接右击网上邻居图标,打开窗口后右击“本地连接”选择“属性”,在“属性”窗口的“常规”选项卡中的双击列表项“Internet协议(TCP/IP)”,然后将默认的“自动获取IP地址”改为“使用下面的IP地址”,将IP改为内网IP,子网掩码默认,默认网关使用IP同段即可。比如:IP地址:192.168.0.2,子网掩码:255.255.255.0,默认网关:192.168.0.1。四.IDE设备优化系统启动会检测各种设备,其中最浪费时间的就是IDE设备,把没用的关掉。右击“我的电脑”选择“属性”,在“硬件”选项卡中点击“设备管理器”,在弹出的界面中双击打开“主要IDE通道”和“次要IDE通道”,在“高级设置”选项卡中找出“当前传送模式”为“不适用”的设备,将其“设备类型”设置为“无”。还有也可把“传送模式”设置为“DMA(若可用)”,以保证硬盘的传输速度。五.网络共享优化如果你的系统添加过网络映射盘,则在启动时会自动检查这些映射盘的状态,如果这些影射盘还不可用,那时间可就更长了。所以赶快关掉。运行CMD打开“命令行提示”,输入net use/del *,然后提示键入“Y”即可!六.其他因素把关机时不把光盘从光驱中拿走的习惯改掉,这样不但费光驱,而且影响开机速度。BIOS的设置优化按DEL键进入BIOS,把Quick POST(快速开机自检)设置为Enable,否则开机需要检测内存等硬盘情况。把BOot up floppy seek(启动时搜索软驱)设置为Enable。把First Boot Device(第一启动设备)设置为“C only”。把Pnp-os(即插即用操作系统)设置为Enable。七.骗人的说法有人说把BOOT.ini文件每个启动项后面的“fastdetect”修改为“nodetect”就能加快启动速度,可惜事实是没有这个参数。还有人说把BOOT.ini的启动项最后加上/noguiboot,可以加快,事实上只是把启动画面变成了黑屏而已。
第五节 想裸奔?Follow Me(终极设置)第一步:转换分区格式如果你的系统分区为FAT32请在命令提示符中输入“conver c:/fs:ntfs”;第二步:禁止上传后gate程序进入C:\windows\System32\Drivers\etc文件夹,用“记事本”打开services,将其中“tftp”行的“69/udp”改为“0/udp”;第三步:限制写入权限右击C:\Windows文件夹,选择“属性”,然后打开“安全”选项卡,然后删除Administrators及System用户组外的所有用户组,然后分别设置Administrators及System组,将权限列表中的“完全控制”,“修改”,“写入”去除勾选!用同样方法对C:\Windows\System32文件夹进行同样设置(如果电脑没有显示“安全”选项卡,可以在“工具-文件夹选项”菜单项,在“查看”选项卡下取消“使用简单文件夹共享”项后就OK了);第四步:禁止注册表启动项修改1.点击“开始-运行”,输入“regedit”,打开注册表;2.分别找出以下注册表位置,并右击选择“权限”,去除Administrators和System用户组用户的“完全控制”权限;[KHEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run][KHEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run][KHEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run][KHEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run][KHEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce][KHEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce][KHEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce][KHEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce][KHEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx][KHEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx][KHEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Load][KHEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon][KHEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon][KHEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell][KHEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad][KHEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts][KHEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]第五步:锁定自启动文件在资源管理器中进入C盘跟目录,分别右击Autoexec.bat,Config.sys,Win.ini这三个文件,选择“属性”,在“安全”选项卡中修改Administrator及System用户组及用户的权限,保留“读取”及“读取和运行”。第六步:防止病毒[屏蔽]程序在系统目录下把Explorer.exe和svchost.exe或QQ,MSN目录下的运行程序设为只读和运行,在安装系统补丁时最好将权限改回原状。第七步:保护IE不被胁持进入“注册表编辑器”,将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\internetExplorer]和[HKEY_CYRRENT_USER\SOFTWARE\Microsoft\internetExplorer]两分支的权限设置为“只读”,注意不要设置为“拒绝”,否则会引起软件或系统运行错误,同时还要注意不能将注册表中的所有项目设为只读,那样将会导致系统无法启动。
第六节 删恶意软件的另一种选择-用系统自带的一.启动工具点击“开始-运行”,在弹出的运行对话框中输入“MRT.EXE”,回车后即可启动微软流氓软件清除工具。点击“查看此工具可以检测和删除的恶意软件列表”链接可以查看该工具可以清除掉哪些流氓软件(我数了一下有75种),功能还可以吧,呵呵!如果你输入命令后提示无法找到该文件,则需要用“Windows Update”去网上更新一下即可。还可以到http://www.microsoft.com/security/malwareremove/default.mspx站点下载,在本机运行即可。二.选择扫描类型点击“下一步”,在接下的页面中要求我们选择扫描的类型,有“快速扫描”,“完全扫描和“自定义扫描”三种选择。推荐选完全扫描,然后点“下一步”即可。三.扫描结束此工具会自动删除流氓软件并给出详细的扫描结束,完全不需要用户自己动手。点击“查阅扫描的详细结果”即可查看详细信息。
第七节 看紧Windows端口一.端口定义端口是电脑向网络开放的信息出入gate户,根据端口和服务的绑定情况,可分为公认端口,注册端口和动态端口。公认端口:0-1023。这个范围内的端口系统一般保留给一些常用的系统服务,比如WEB服务使用80端口,FTP使用21端口。注册端口:1024-49151。这个范围内的端口比较松散地绑定一些服务。这些端口和服务之间没有形成一一对应关系,可用于许多其他目的。动态端口:49152-65535。这个范围内的端口一般不为服务所使用,它常常被动态分配给客户端。实际应用中,从1024就开始动态分配了。(大多数木马和病毒都采用1024以上端口,来躲避杀毒软件的扫描)二.监控工具这里给大家介绍一个工具:TCPView(下载地址:http://www.newhua.con/soft/3483.htm)查看端口及状态Windows自带的查看命令是“Netstat”,但是命令行模式,不易操作。TCPView则以图形界面的方式显示电脑中所有打开的端口及状态。查看进程和位置TCPView能够查看进程对应的程序在硬盘上的保存位置。双击一个进程,比如2104进程,为“Exp1orer.exe”,保存在Windows目录,一看就是资源管理器。关闭连接及进程用TCPView,还可以关闭木马和外部发生的连接,还可以强制结束木马的进程。比如2104进程打开的7626端口已和外部的主机连接上了,即端口的状态由原来的[屏蔽]状态变为了连接状态,可以肯定这应该是木马程序,在该进程上点击右键,选择关闭连接,然后在“任务管理器中找到2104进程对应的是“Exp1orer.exe”(木马用1代替了l),右键点击结束进程,然后根据路径找到该木马,删除即可。
第八节 开机总是要按下F1键才能继续的解决办法开机按F1键,这是因为你的BIOS设置不当但也能正常引导系统,属非致命性故障,按F1是在问你是否继续。 1.你没有安装软盘驱动器,但是在CMOS中设置了,开启软驱的选项. 方法是:开机按Del键,进入BIOS设置,选择第一个"基本设置",把floopy一项设置没"Disabel"无效就可以了. 2.刚开始开机时按DEL进入BIOS,按回车键进入第一项,看看里面的“Drive A”项是不是“None”,不是的话按“Pgup”或“PgDn”进行修改,修改后按“ESC”退出,选“Save & Exit Setup”项按回车退出BIOS,重启,再不行的话就换了电池再按上面的步骤重新设置既可。 3.开机需要按下F1键才能进入,主要是因为BIOS中设置与真实硬件数据不符引起的,可以分为以下几种情况: 1、实际上没有软驱或者软驱坏了,而BIOS里却设置有软驱,这样就导致了要按F1才能继续。 2、原来挂了两个硬盘,在BIOS中设置成了双硬盘,后来拿掉其中一个的时候却忘记将BIOS设置改回来,也会出现这个问题。 3、主板电池没有电了也会造成数据丢失从而出现这个故障。 4、重新启动系统,进入BIOS设置中,发现软驱设置为1.44M了,但实际上机箱内并无软驱,将此项设置为NONE后,故障排除。曾经有很多人问过这样的问题,下面将我遇过的此类问题做一下总结,希望对大家有所帮助。 1、Hareware Monitor found an error,enter POWER MANAGEMENT SETUP for details,Press F1 to continue,DEL to enter SETUP 中文:监视功能发现错误,进入POWER MANAGEMENT SETUP察看详细资料,按F1键继续开机程序,按DEL键进入COMS设置。 解释:有的主板具备硬件的监视功能,可以设定主板与CPU的温度监视、电压调整器的电压输出准位监视和对各个风扇转速的监视,当 上述监视功能在开机时发觉有异常情况,那么便会出现上述这段话,这时可以进入COMS设置选择POWER MANAGEMENT SETUP,在右面的**Fan Monitor**、**Thermal Monitor**和**Voltage Monitor**察看是哪部分发出了异常,然后再加以解决。 2、pri slave drive-ATAPI LNCOMPatible press F1 to Resume 可能是你的光驱没接好或有故障,最好在CMOS中将各IDE口设为自动。 3、Press F1 to continue,DEL to enter SETUP 开机后 按DEL 进入 BIOS ,在选择软驱中选择 NONE 后按F10保存就可以了 4、CMOS checksum error-Defaults loaded Press F1 to contnue?DEL to enter SETUP 08/09/2000-i810-ITE8712-6A69ME1CC-00 cmos电池没电。 5、Warning!CPU has been changed!Please Enter CPU speed CMOS setup and Remember to save Before Exit! 这说明BIOS设置被冲掉了,要重新设置BIOS(又叫做CMOS设置)。开机按住“Del”键进入设置,看你的主板说明书。你的CPU频率是多少?在BIOS中要选好外频,倍频反正是锁定的。外频总是66、100或133,要看CPU型号,从低往高设置。如果是AWARD的BIOS设置,在首页就选Frequency/Voltage Control (频率/电压的控制),使用此菜单可以对频率、电压进行特别的设定。其中“Clock By Slight Adjust(时钟频率微调)”允许你选择CPU时钟频率。各种主板的BIOS设置有差别,可以参考自己的主板说明书进行调整。 6、cpu has been changed please re-enter cpu settings in the cmos setup and remember to save before quit! 有些主板上有个外频跳线,默认为100MHZ,还有些主板不支持自动调频.你只要进BIOS里把外频设置成你的CPU标准外频就可以了,倍频方面一般是自动设置,最好不要超频。
第九节 组策略(gpedit.msc)在home版xp中安装方法组策略(gpedit.msc)在home版xp安个家的方法home版xp是没有组策略(gpedit.msc)的,所以需要用组策略的时候显得有些不方便。以下是给home版xp安装组策略(gpedit.msc)文件的方法(有关文件放在附件中): 1、将XP专业版的“C:\WINDOWS\system32”文件夹中的gpedit.msc、fde.dll、gpedit.dll、gptext.dll、wsecedit.dll文件复制到HOME版的“C:\WINDOWS\system32”文件夹中。 2、在“开始--运行”中依次运行以下命令:“regsvr32 fde.dll”、“regsvr32 gpedit.dll”、“regsvr32 gptext.dll”、“regsvr32 wsecedit.dll”分别注册这4个动态数据库。 3、将XP专业版的“C:\WINDOWS\INF”文件夹中的所有*.adm文件复制替换到HOME版的“C:\WINDOWS\INF”文件夹中。 4、最后单击“开始--运行”,输入“gpedit.msc”便可以启动组策略了。
svchost.exe进程之谜 svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。发现 在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。 如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。svchost中可以包含多个服务深入 windows系统进程分为[屏蔽]进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。实例 以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。 在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。解惑 因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。 假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。
RUNDLL32.EXE 进程之谜Rundll32.exe是什么?顾名思意,“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后gate的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件,他的意思是“执行16位的DLL文件”,这里要注意一下。在来看看Rundll32.exe使用的函数原型:Void CALLBACK FunctionName (HWND hwnd,HINSTANCE hinst,LPTSTR lpCmdLine,Int nCmdShow);其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。略谈Rundll32.exe的作用 常用Windows9x的朋友一定对Rundll32.exe和Rundll.exe这两个档案不会陌生吧,不过,由於这两个程式的功能原先只限於在微软内部使用,因而真正知道如何使用它们的朋友想必不多。那么好,如果你还不清楚的话,那么就让我来告诉你吧。 首先,请你做个小实验(请事先保存好你正在执行的程式的结果,否则...):点击“开始-程式-Ms-Dos方式”,进入Dos视窗,然後键入rundll32.exe user.exe,restartwindows,再按下回车键,这时你将看到,机器被重启了!怎么样,是不是很有趣? 当然,Rundll的功能绝不仅仅是重启你的机器。其实,Rundll者,顾名思义,执行Dll也,它的功能就是以命令列的方式呼叫Windows的动态链结库,Rundll32.exe与Rundll.exe的区别就在於前者是呼叫32位的链结库,而後者是运用於16位的链结库,它们的命令格式是: RUNDLL.EXE ,, 这里要注意三点:1.Dll档案名中不能含有空格,比如该档案位於c:\ProgramFiles\目录,你要把这个路径改成c:\Progra~1\;2.Dll档案名与Dll入口点间的逗号不能少,否则程式将出错并且不会给出任何资讯!3.这是最重要的一点:Rundll不能用来呼叫含返回值参数的Dll,例如Win32API中的GetUserName(),GetTextFace()等。在Visual Basic中,提供了一条执行外部程式的指令Shell,格式为: Shell “命令列” 如果能配合Rundll32.exe用好Shell指令,会使您的VB程式拥有用其他方法难以甚至无法实现的效果:仍以重启为例,传统的方法需要你在VB工程中先建立一个模组,然後写入WinAPI的声明,最後才能在程式中呼叫。而现在只需一句: Shell “rundll32.exe user.exe,restartwindows”就搞定了!是不是方便多了? 实际上,Rundll32.exe在呼叫各种Windows控制面板和系统选项方面有著独特的优势。下面,我就将本人在因特网上收集的有关Rundll的指令列举如下(很有用的,能省去你很多呼叫Windows API的时间!!),供大家在程式设计中引用: 命令列: rundll32.exe shell32.dll,Control_RunDLL 功能: 显示控制面板 命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1 功能: 显示“控制面板-辅助选项-键盘”选项视窗 命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,2 功能: 显示“控制面板-辅助选项-声音”选项视窗 命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,3 功能: 显示“控制面板-辅助选项-显示”选项视窗 命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,4 功能: 显示“控制面板-辅助选项-滑鼠”选项视窗 命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,5 功能: 显示“控制面板-辅助选项-传统”选项视窗 命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1 功能: 执行“控制面板-添加新硬体”向导。 命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter 功能: 执行“控制面板-添加新印表机”向导。命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,1 功能: 显示 “控制面板-添加/删除程式-安装/卸载” 面板。 命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,2 功能: 显示 “控制面板-添加/删除程式-安装Windows” 面板。 命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,3 功能: 显示 “控制面板-添加/删除程式-启动盘” 面板。 命令列: rundll32.exe syncui.dll,Briefcase_Create 功能: 在桌面上建立一个新的“我的公文包”。 命令列: rundll32.exe diskcopy.dll,DiskCopyRunDll 功能: 显示复制软碟视窗 命令列: rundll32.exe apwiz.cpl,NewLinkHere %1 功能: 显示“建立快捷方式”的对话框,所建立的快捷方式的位置由%1参数决定。 命令列: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,0 功能: 显示“日期与时间”选项视窗。 命令列: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,1 功能: 显示“时区”选项视窗。 命令列: rundll32.exe rnaui.dll,RnaDial [某个拨号连接的名称] 功能: 显示某个拨号连接的拨号视窗。如果已经拨号连接,则显示目前的连接状态的视窗。 命令列: rundll32.exe rnaui.dll,RnaWizard 功能: 显示“新建拨号连接”向导的视窗。 命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 功能: 显示“显示属性-背景”选项视窗。 命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,1 功能: 显示“显示属性-萤屏保护”选项视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,2 功能: 显示“显示属性-外观”选项视窗。 命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,3 功能: 显示显示“显示属性-属性”选项视窗。 命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL FontsFolder 功能: 显示Windows的“字体”档案夹。 命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @3 功能: 同样是显示Windows的“字体”档案夹。命令列: rundll32.exe shell32.dll,SHformatDrive 功能: 显示格式化软碟对话框。 命令列: rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,0 功能: 显示“控制面板-游戏控制器-一般”选项视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,1 功能: 显示“控制面板-游戏控制器-进阶”选项视窗。命令列: rundll32.exe mshtml.dll,PrintHTML (HTML文档) 功能: 列印HTML文档。 命令列: rundll32.exe shell32.dll,Control_RunDLL mlcfg32.cpl 功能: 显示Microsoft Exchange一般选项视窗。 命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @0 功能: 显示“控制面板-滑鼠” 选项 。 命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @1 功能: 显示 “控制面板-键盘属性-速度”选项视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @1,,1 功能: 显示 “控制面板-键盘属性-语言”选项视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @2 功能: 显示Windows“印表机”档案夹。命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @3 功能: 显示Windows“字体”档案夹。 命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @4 功能: 显示“控制面板-输入法属性-输入法”选项视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL modem.cpl,,add 功能: 执行“添加新调制解调器”向导。 命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,0 功能: 显示“控制面板-多媒体属性-音频”属性页。 命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,1 功能: 显示“控制面板-多媒体属性-视频”属性页。 命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,2 功能: 显示“控制面板-多媒体属性-MIDI”属性页。 命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,3 功能: 显示“控制面板-多媒体属性-CD音乐”属性页。命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,4 功能: 显示“控制面板-多媒体属性-设备”属性页。 命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl @1 功能: 显示“控制面板-声音”选项视窗。 命令列: rundll32.exe shell32.dll,Control_RunDLL netcpl.cpl 功能: 显示“控制面板-网路”选项视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL odbccp32.cpl 功能: 显示ODBC32资料管理选项视窗。 命令列: rundll32.exe shell32.dll,OpenAs_RunDLL {drive:\path\filename} 功能: 显示指定档案(drive:\path\filename)的“打开方式”对话框。 命令列: rundll32.exe shell32.dll,Control_RunDLL password.cpl 功能: 显示“控制面板-密码”选项视窗。 命令列: rundll32.exe shell32.dll,Control_RunDLL powercfg.cpl 功能: 显示“控制面板-电源管理属性”选项视窗。命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL PrintersFolder 功能: 显示Windows“印表机”档案夹。(同rundll32.exe shell32.dll,Control_RunDLL main.cpl @2) 命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,0 功能: 显示“控制面板-区域设置属性-区域设置”选项视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,1 功能: 显示“控制面板-区域设置属性-数字”选项视窗。 命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,2 功能: 显示“控制面板-区域设置属性-货币”选项视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,3 功能: 显示“控制面板-区域设置属性-时间”选项视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,4 功能: 显示“控制面板-区域设置属性-日期”选项视窗。 命令列: rundll32.exe desk.cpl,InstallScreenSaver [萤屏保护档案名] 功能: 将指定的萤屏保护档案设置为Windows的屏保,并显示萤屏保护属性视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,0 功能: 显示“控制面板-系统属性-传统”属性视窗。 命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,1 功能: 显示“控制面板-系统属性-设备管理器”属性视窗。 命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,2 功能: 显示“控制面板-系统属性-硬体配置档案”属性视窗。命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3 功能: 显示“控制面板-系统属性-性能”属性视窗。 命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机。命令列: rundll32.exe shell32.dll,Control_RunDLL telephon.cpl 功能: 显示“拨号属性”选项视窗 命令列: rundll32.exe shell32.dll,Control_RunDLL themes.cpl 功能: 显示“桌面主旨”选项面板 当然,不止是VisualBasic,象Delphi.VisualC++等其他程式设计语言也可以通过呼叫外部命令的方法来使用Rundll的这些功能,具体方法这里就不再详细叙述了。灵活的使用Rundll,一定会使你的程式设计轻轻松松,达到事半功倍的效果!
探寻Windows死机的方方面面在电脑故障现象中,死机是一种常见的故障,同时也是难于找到原因的故障之一。散热不良 显示器、电源和CPU在工作中发热量非常大,因此保持良好的通风状况非常重要,如果显示器过热将会导致色彩、图象失真甚至缩短显示器寿命。工作时间太长也会导致电源或显示器散热不畅而造成电脑死机。CPU的散热是关系到电脑运行的稳定性的重要问题,也是散热故障发生的“重灾区”。 移动不当 在电脑移动过程中受到很大振动常常会使机器内部器件松动,从而导致接触不良,引起电脑死机,所以移动电脑时应当避免剧烈振动。 灰尘[屏蔽] 机器内灰尘过多也会引起死机故障。如软驱磁头或光驱激光头沾染过多灰尘后,会导致读写错误,严重的会引起电脑死机。 设备不匹配 如主板主频和CPU主频不匹配,老主板超频时将外频定得太高,可能就不能保证运行的稳定性,因而导致频繁死机。 软硬件不兼容 三维软件和一些特殊软件,可能在有的微机上就不能正常启动甚至安装,其中可能就有软硬件兼容方面的问题。 内存条故障 主要是内存条松动、虚焊或内存芯片本身质量所致。应根据具体情况排除内存条接触故障,如果是内存条质量存在问题,则需更换内存才能解决问题。 硬盘故障 主要是硬盘老化或由于使用不当造成坏道、坏扇区。这样机器在运行时就很容易发生死机。可以用专用工具软件来进行排障处理,如损坏严重则只能更换硬盘了。另外对于在不支持UDMA 66/100的主板,应注意CMOS中硬盘运行方式的设定。 CPU超频 超频提高了CPU的工作频率,同时,也可能使其性能变得不稳定。究其原因,CPU在内存中存取数据的速度本来就快于内存与硬盘交换数据的速度,超频使这种矛盾更加突出,加剧了在内存或虚拟内存中找不到所需数据的情况,这样就会出现“异常错误”。解决办法当然也比较简单,就是让CPU回到正常的频率上。 硬件资源冲突 是由于声卡或显示卡的设置冲突,引起异常错误。此外,其它设备的中断、DMA或端口出现冲突的话,可能导致少数驱动程序产生异常,以致死机。解决的办法是以“安全模式”启动,在“控制面板”→“系统”→“设备管理”中进行适当调整。对于在驱动程序中产生异常错误的情况,可以修改注册表。选择“运行”,键入“REGEDIT”,进入注册表编辑器,通过选单下的“查找”功能,找到并删除与驱动程序前缀字符串相关的所有“主键”和“键值”,重新启动。 内存容量不够 内存容量越大越好,应不小于硬盘容量的0.5~1%,如出现这方面的问题,就应该换上容量尽可能大的内存条。 劣质零部件 少数不法商人在给顾客组装兼容机时,使用质量低劣的板卡、内存,有的甚至出售冒牌主板和Remark过的CPU、内存,这样的机器在运行时很不稳定,发生死机在所难免。因此,用户购机时应该警惕,并可以用一些较新的工具软件测试电脑,长时间连续考机(如72小时),以及争取尽量长的保修时间等。由软件原因引起的死机 病毒感染 病毒可以使计算机工作效率急剧下降,造成频繁死机。这时,我们需用杀毒软件如KV300、金山毒霸、瑞星等来进行全面查毒、杀毒,并做到定时升级杀毒软件。 CMOS设置不当 该故障现象很普遍,如硬盘参数设置、模式设置、内存参数设置不当从而导致计算机无法启动。如将无ECC功能的内存设置为具有ECC功能,这样就会因内存错误而造成死机。 系统文件的误删除 由于Windows 9x启动需要有Command.com、Io.sys、Msdos.sys等文件,如果这些文件遭破坏或被误删除,即使在CMOS中各种硬件设置正确无误也无济于事。解决方法:使用同版本操作系统的启动盘启动计算机,然后键入“SYS C:”,重新传送系统文件即可。 初始化文件遭破坏 由于Windows 9x启动需要读取System.ini、Win.ini和注册表文件,如果存在Config.sys、Autoexec.bat文件,这两个文件也会被读取。只要这些文件中存在错误信息都可能出现死机,特别是System.ini、Win.ini、User.dat、System.dat这四个文件尤为重要。 动态链接库文件(DLL)丢失 在Windows操作系统中还有一类文件也相当重要,这就是扩展名为DLL的动态链接库文件,这些文件从性质上来讲是属于共享类文件,也就是说,一个DLL文件可能会有多个软件在运行时需要调用它。如果我们在删除一个应用软件的时候,该软件的反安装程序会记录它曾经安装过的文件并准备将其逐一删去,这时候就容易出现被删掉的动态链接库文件同时还会被其它软件用到的情形,如果丢失的链接库文件是比较重要的核心链接文件的话,那么系统就会死机,甚至崩溃。我们可用工具软件如“超级兔仔”对无用的DLL文件进行删除,这样会避免误删除。 硬盘剩余空间太少或碎片太多 如果硬盘的剩余空间太少,由于一些应用程序运行需要大量的内存、这样就需要虚拟内存,而虚拟内存则是由硬盘提供的,因此硬盘要有足够的剩余空间以满足虚拟内存的需求。同时用户还要养成定期整理硬盘、清除硬盘中垃圾文件的良好习惯。 BIOS升级失败 应备份BIOS以防不测,但如果你的系统需要对BIOS进行升级的话,那么在升级之前最好确定你所使用BIOS版本是否与你的PC相符合。如果BIOS升级不正确或者在升级的过程中出现意外断电,那么你的系统可能无法启动。所以在升级BIOS前千万要搞清楚BIOS的型号。如果你所使用的BIOS升级工具可以对当前BIOS进行备份,那么请把以前的BIOS在磁盘中拷贝一份。同时看系统是否支持BIOS恢复并且还要懂得如何恢复。 软件升级不当 大多数人可能认为软件升级是不会有问题的,事实上,在升级过程中都会对其享的一些组件也进行升级,但是其它程序可能不支持升级后的组件从而导致各种问题。滥用测试版软件 最好少用软件的测试版,因为测试软件通常带有一些BUG或者在某方面不够稳定,使用后会出现数据丢失的程序错误、死机或者是系统无法启动。 非法卸载软件 不要把软件安装所在的目录直接删掉,如果直接删掉的话,注册表以及Windows目录中会有很多垃圾存在,久而久之,系统也会变不稳定而引起死机。 使用盗版软件 因为这些软件可能隐藏着病毒,一旦执行,会自动修改你的系统,使系统在运行中出现死机。 启动的程序太多 这使系统资源消耗殆尽,使个别程序需要的数据在内存或虚拟内存中找不到,也会出现异常错误。 非法操作 用非法格式或参数非法打开或释放有关程序,也会导致电脑死机。请注意要牢记正确格式和相关参数,不随意打开和释放不熟悉的程序。 非正常关闭计算机 不要直接使用机箱中的电源按钮,否则会造成系统文件损坏或丢失,引起自动启动或者运行中死机。严重的话,会引起系统崩溃。 内存中冲突 有时候运行各种软件都正常,但是却忽然间莫名其妙地死机,重新启动后运行这些应用程序又十分正常,这是一种假死机现象。出现的原因多是内存资源冲突。大家知道,应用软件是在内存中运行的,而关闭应用软件后即可释放内存空间。但是有些应用软件由于设计的原因,即使在关闭后也无法彻底释放内存的,当下一软件需要使用这一块内存地址时,就会出现冲突。
网络安全之TCP端口作用、漏洞及操作21端口:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。 端口说明:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器,可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。目前,通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外,还有一个20端口是用于FTP数据传输的默认端口号。 在Windows中可以通过Internet信息服务(IIS)来提供FTP连接和管理,也可以单独安装FTP服务器软件来实现FTP功能,比如常见的FTP Serv-U。 操作建议:因为有的FTP服务器可以通过匿名登录,所以常常会被黑客利用。另外,21端口还会被一些木马利用,比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器,建议关闭21端口。 23端口:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。 端口说明:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端,开启Telnet服务的客户端就可以登录远程Telnet服务器,采用授权用户名和密码登录。登录之后,允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中,键入“Telnet”命令来使用Telnet远程登录。 操作建议:利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。Telnet服务的23端口也是TTS(Tiny Telnet Server)木马的缺省端口。所以,建议关闭23端口。 25端口:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。 端口说明:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候,在创建账户时会要求输入SMTP服务器地址,该服务器地址默认情况下使用的就是25端口。 端口漏洞: 1. 利用25端口,黑客可以寻找SMTP服务器,用来转发垃圾邮件。 2. 25端口被很多木马程序所开放,比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说,通过开放25端口,可以监视计算机正在运行的所有窗口和模块。 操作建议:如果不是要架设SMTP邮件服务器,可以将该端口关闭。 53端口:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。 端口说明:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换,只要记住域名就可以快速访问网站。 端口漏洞:如果开放DNS服务,黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址,再利用53端口突破某些不稳定的防火墙,从而实施攻击。近日,美国一家公司也公布了10个最易遭黑客攻击的漏洞,其中第一位的就是DNS服务器的BIND漏洞。 操作建议:如果当前的计算机不是用于提供域名解析服务,建议关闭该端口 67、68端口:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。 端口说明:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议,我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址,而不需要每个用户去设置静态IP地址。 端口漏洞:如果开放Bootp服务,常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”(man-in-middle)方式进行攻击。 操作建议:建议关闭该端口。 69端口:TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。 端口说明:69端口是为TFTP(Trival File Tranfer Protocol,次要文件传输协议)服务开放的,TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。不过与FTP相比,TFTP不具有复杂的交互存取接口和认证控制,该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。 端口漏洞:很多服务器和Bootp服务一起提供TFTP服务,主要用于从系统下载启动代码。可是,因为TFTP服务可以在系统中写入文件,而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。 操作建议:建议关闭该端口。 79端口:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。 端口说明:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机www.abc.com上的user01用户的信息,可以在命令行中键入“finger user01@www.abc.com”即可。 端口漏洞:一般黑客要攻击对方的计算机,都是通过相应的端口扫描工具来获得相关信息,比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本,获得用户信息,还能探测已知的缓冲区溢出错误。这样,就容易遭遇到黑客的攻击。而且,79端口还被Firehotcker木马作为默认的端口。 操作建议:建议关闭该端口。 80端口:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。 端口说明:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。我们可以通过HTTP地址加“:80”(即常说的“网址”)来访问网站的,比如http://www.cce.com.cn:80,因为浏览网页服务默认的端口号是80,所以只要输入网址,不用输入“:80”。 端口漏洞:有些木马程序可以利用80端口来攻击计算机的,比如Executor、RingZero等。 操作建议:为了能正常上网冲浪,我们必须开启80端口。 99端口:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。 端口说明:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。 端口漏洞:虽然“Metagram Relay”服务不常用,可是Hidden Port、NCx99等木马程序会利用该端口,比如在Windows 2000中,NCx99可以把cmd.exe程序绑定到99端口,这样用Telnet就可以连接到服务器,随意添加用户、更改权限。 操作建议:建议关闭该端口。 109、110端口:109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的。端口说明:109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的,目前POP3使用的比较多,许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务,如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候,会要求输入POP3服务器地址,默认情况下使用的就是110端口。 端口漏洞:POP2、POP3在提供邮件接收服务的同时,也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个,比如WebEasyMail POP3 Server合法用户名信息泄露漏洞,通过该漏洞远程攻击者可以验证用户账户的存在。另外,110端口也被ProMail trojan等木马程序所利用,通过110端口可以窃取POP账号用户名和密码。 操作建议:如果是执行邮件服务器,可以打开该端口。 111端口:111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。 端口说明:111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等等。在Microsoft的Windows中,同样也有RPC服务。 端口漏洞:SUN RPC有一个比较大漏洞,就是在多个RPC服务时xdr_array函数存在远程缓冲溢出漏洞,通过该漏洞允许攻击者传递超 113端口:113端口主要用于Windows的“Authentication Service”(验证服务)。 端口说明:113端口主要用于Windows的“Authentication Service”(验证服务),一般与网络连接的计算机都运行该服务,主要用于验证TCP连接的用户,通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中,还有专gate的IAS组件,通过该组件可以方便远程访问中进行身份验证以及策略管理。 端口漏洞:113端口虽然可以方便身份验证,但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器,这样会被相应的木马程序所利用,比如基于IRC[屏蔽]控制的木马。另外,113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。 操作建议:建议关闭该端口。 119端口:119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的。 端口说明:119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的,主要用于新闻组的传输,当查找USENET服务器的时候会使用该端口。 端口漏洞:著名的Happy99蠕虫病毒默认开放的就是119端口,如果中了该病毒会不断发送电子邮件进行传播,并造成网络的堵塞。 操作建议:如果是经常使用USENET新闻组,就要注意不定期关闭该端口。 135端口:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。 端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。 端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。 操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端口。 137端口:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务)。 端口说明:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务),属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IIS是否正在运行等信息。 端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专gate的工具来攻击。 操作建议:建议关闭该端口。 139端口:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。 端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。 操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。 143端口:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP)。 端口说明:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP),和POP3一样,是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于POP3协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。 端口漏洞:同POP3协议的110端口一样,IMAP使用的143端口也存在缓冲区溢出漏洞,通过该漏洞可以获取用户名和密码。另外,还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。 操作建议:如果不是使用IMAP服务器操作,应该将该端口关闭。 161端口:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP)。 端口说明:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP),该协议主要用于管理TCP/IP网络中的网络协议,在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对SNMP的支持。
木马程序是如何实现隐藏的注册表?或者System.ini? 木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序[屏蔽]在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行[屏蔽]了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而[屏蔽]或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在 Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。 3、潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。 4、伪装在普通文件中 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为 *.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。 5、内置到注册表中 上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run” 开头的键值。 6、在System.ini中藏身 木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell= Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在 System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在 System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。 7、隐形于启动组中 有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\windows\ start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersionExplorer\ShellFolders Startup="C:\windows \start menu\programs\startup"。要注意经常检查启动组哦! 8、隐蔽在Winstart.bat中 按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在 Autoexec.bat中那样被加载运行,危险由此而来。 9、[屏蔽]在启动文件中 即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。 10、设置在超级连接中 木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开gate揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意等等。
打造个人电脑安全终极防线(整理很全的)【一、禁止默认共享 】 1.先察看本地共享资源 运行-cmd-输入net share 2.删除共享(每次输入一个) net share admin$ /delete net share c$ /delete net share d$ /delete(如果有e,f,……可以继续删除) 3.删除ipc$空连接 在运行内输入regedit 在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1. 4.关闭自己的139端口,ipc和RPC漏洞存在于此. 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)” 属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关 闭了139端口,禁止RPC漏洞. ---------------------------------------- 【二、设置服务项,做好内部防御】 ------------------- A计划.服务策略: 控制面板→管理工具→服务 关闭以下服务: 1.Alerter[通知选定的用户和计算机管理警报] 2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务] 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] 6.IMAPI CD-Burning COM Service[管理 CD 录制] 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] 8.Kerberos Key Distribution Center[授权协议登录网络] 9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] 10.Messenger[警报] 11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] 12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] 14.Print Spooler[打印机服务,没有打印机就禁止吧] 15.Remote Desktop Help Session Manager[管理并控制远程协助] 16.Remote Registry[使远程计算机用户修改本地注册表] 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] 20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持 而使用户能够共享文件、打印和登录到网络] 21.Telnet[允许远程用户登录到此计算机并运行程序] 22.Terminal Services[允许用户以交互方式连接到远程计算机] 23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机] ------------------- B计划.帐号策略: 一.打开管理工具.本地安全设置.密码策略 1.密码必须符合复杂要求性.启用 2.密码最小值.我设置的是10 3.密码最长使用期限.我是默认设置42天 4.密码最短使用期限0天 5.强制密码历史 记住0个密码 6.用可还原的加密来存储密码 禁用 ------------------- C计划.本地策略: 打开管理工具 找到本地安全设置.本地策略.审核策略 1.审核策略更改 成功失败 2.审核登陆事件 成功失败 3.审核对象访问 失败 4.审核跟踪过程 无审核 5.审核目录服务访问 失败 6.审核特权使用 失败 7.审核系统事件 成功失败 8.审核帐户登陆时间 成功失败 9.审核帐户管理 成功失败 然后再到管理工具找到 事件查看器 应用程序 右键 属性 设置日志大小上限 我设置了512000KB 选择不覆盖事件 安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不覆盖事件 系统 右键 属性 设置日志大小上限 我都是设置了512000KB 选择不覆盖事件 ------------------- D计划.安全策略: 打开管理工具 找到本地安全设置.本地策略.安全选项 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的] 2.网络访问.不允许SAM帐户的匿名枚举 启用 3.网络访问.可匿名的共享 将后面的值删除 4.网络访问.可匿名的命名管道 将后面的值删除 5.网络访问.可远程访问的注册表路径 将后面的值删除 6.网络访问.可远程访问的注册表的子路径 将后面的值删除 7.网络访问.限制匿名访问命名管道和共享 8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释] 9.帐户.重命名系统管理员帐户[建议取中文名] ------------------- E计划.用户权限分配策略: 打开管理工具 找到本地安全设置.本地策略.用户权限分配 1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID 2.从远程系统强制关机,Admin帐户也删除,一个都不留 3.拒绝从网络访问这台计算机 将ID删除 4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务 5.通过终端允许登陆 删除Remote Desktop Users --------------------- F计划.终端服务配置 打开管理工具 终端服务配置 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制 2.常规,加密级别,高,在使用标准windows验证上点√! 3.网卡,将最多连接数上设置为0 4.高级,将里面的权限也删除.[我没设置] 再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话 --------------------- G计划.用户和组策略 打开管理工具 计算机管理.本地用户和组.用户 删除Support_388945a0用户等等 只留下你更改好名字的adminisrator权限 计算机管理.本地用户和组.组 组.我们就不组了.分经验的(不管他.默认设置) --------------------- X计划.DIY策略[根据个人需要] 1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. 2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧. 3.对匿名连接的额外限制 4.禁止按 alt+crtl+del 5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动] 6.只有本地登陆用户才能访问cd-rom 7.只有本地登陆用户才能访问软驱 8.取消关机原因的提示 1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; 2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; 3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; 4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 9.禁止关机事件跟踪 开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分, 选择 ”计算机配置“(Computer Configuration )-> ”管理模板“ (Administrative Templates)-> ”系统“(System),在右边窗口双击 “Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled), 点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口 ---------------------------------------- 【三、修改权限防止病毒或木马等破坏系统】 winxp、windows2003以上版本适合本方法. 因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话 那么,它们就没有办法写在里面了.看命令 --------------------- A命令 cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录 cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录 呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全, 还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行 --------------------- B命令 cacls C: /G administrator:R 禁止修改、写入C盘 cacls C: /G administrator:F 恢复修改、写入C盘 这个方法防止病毒, 如果您觉得一些病毒防火墙消耗内存太大的话 此方法稍可解决一点希望大家喜欢这个方法^_^ --------------------- X命令 以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数] cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止网络用户、本地用户在命令行和gui下使用cmd cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用cmd cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp.exe cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp.exe cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp32.exe cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp32.exe ---------------------------------------- 【四、重要文件名加密[NTFS格式]】 此命令的用途可加密windows的密码档,QQ密码档等等^.^ 命令行方式 加密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名(或文件夹名)”。 解密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名(或文件夹名)”。 ---------------------------------------- 【五、修改注册表防御D.D.O.S】 在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 更多新的防御技巧请搜索其他信息, 由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ... ---------------------------------------- 【六、打造更安全的防火墙】 只开放必要的端口,关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放, 黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。
清除流氓软件的第一利器(IceSword)“工欲善其事,必先利其器”,今天先介绍清除流氓软件的工具第一利器IceSword。IceSword,也称为冰刀或者冰刃,有些地址简称IS,是USTC的PJF(http://www.blogcn.com/user17/pjf/index.html)出品的一款系统诊断、清除利器。下载地址:http://192.168.2.6/soft/showsoft.asp?SoftID=909 http://192.168.2.6/soft/Download.asp?ID=859清除流氓软件工具无数,为什么称之为第一利器呢,有如下的理由:1)你是不是经常有文件删不掉?如CNNIC或者3721的文件?2)是不是经常有注册表不让你修改?如CNNIC的注册表是它自动保护起来的3)是不是经常有进程杀不掉,提示“无法完成”?4)是不是浏览器有N多的插件?5)是不是有一些程序运行的时候隐藏了进程和端口?6) 是不是有一些流氓软件的文件在资源管理器下看都看不到?再看看作者给出的理由:(专业性强一点)1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)来编写,随便一个ApiHook就可轻轻松松干掉它们,更不用说一些内核级后gate了;极少数工具利用内核线程调度结构来查询进程,这种方案需要硬编码,不仅不同版本系统不同,打个补丁也可能需要升级程序,并且现在有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前独一无二的,并且充分考虑内核后gate可能的隐藏手段,目前可以查出所有隐藏进程。 2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi,前者会调用RtlDebug***函数向目标注入远线程,后者会用调试api读取目标进程内存,本质上都是对PEB的枚举,通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示,运行时剪切到其他路径也会随之显示。 3、进程dll模块与2的情况也是一样,利用PEB的其他工具会被轻易欺骗,而IceSword不会弄错(有极少数系统不支持,此时仍采用枚举PEB)。 4、IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然,说任意不确切,除去三个:idle进程、System进程、csrss进程,原因就不详述了。其余进程可轻易[屏蔽],当然有些进程(如winlogon)杀掉后系统就崩溃了。 5、对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找,不过不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口,第三方协议栈或IPv6栈不在此列。 目前一些流氓软件采取的手段无所不用其极:线程注入,进程隐藏,文件隐藏,驱动保护,普通用户想把文件给删了或者找出进程来,是非常困难的。有的是看到了,删不掉,杀不掉,干着急,实在不行,还需要从另外的作系统去删除文件。比如采取驱动保护的流氓软件如CNNIC,雅虎助手之类,.sys驱动加载的时候,它过滤了文件和注册表作,直接返回一个true,Windows提示文件删了,但一看,它还在那里。象一些文件删除工具如unclocker都无效。IceSword是目前所知唯一可以直接删除这类已经加载的驱动和采取注册表保护的工具。象清除CNNIC这类流氓软件,不需要重启也可以完成了。 IS采取了很多新颖的、内核级的方法和手段,关于它的技术细节不在本文讨论之列,下面主要从使用者角度讲一下它的主要功能: ■查看进程 包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息,结束线程等。 ■查看端口 类似于cport、ActivePort这类工具,显示当前本地打开的端品以及相应的应用程序地址、名字。包括使用了各种手段隐藏端口的工具,在它下面,都一览无余。 ■内核模块 加载到系统内和空间的PE模块,一般都是驱动程序*.sys,可以看到各种已经加载的驱动。包括一些隐藏的驱动文件,如IS自身的IsDrv118.sys,这个在资源管理器里是看不见的。 ■启动组 Windows启动组里面的相关方式,这个比较容易理解了。不过可惜的是没有提示删除功能,只能查看 ■服务 用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务以红色显示。提供对服务的作如启动,停止,禁用等。 ■SPI和BHO 这两个是目前流氓软件越来越看中的地方。SPI是服务提供接口,即所有Windows的网络作都是通过这个接口发出和接收数据包的。很多流氓软件把这个.dll替换掉,这样就可以监视所有用户访问网络的包,可以针对性投放一些广告。如果不清楚的情况下,把这个.dll删掉,会造成网络无法使用,上不了网。LSPFix等工具就是针对这个功能的。BHO就更不用说了,浏览器的辅助插件,用户启动浏览器的时候,它就可以自动启动,弹出广告窗口什么的。这两项仅提供查看的功能。 ■SSDT (System Service Descriptor Table) 系统服务描述表,内核级后gate有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的rootkit,像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示,当然有些安全程序也会修改,比如regmon。 ■消息钩子 若在dll中使用SetWindowsHookEx设置一全局钩子,系统会将其加载入使用user32的进程中,因而它也可被利用为无进程木马的进程注入手段。 ■线程创建和线程终止监视 “监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用:一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程,有则杀之,若IceSword正在运行,这个作就被记录下来,你可以查到是哪个进程做的事,因而可以发现木马或病毒进程并结束之。再如:一个木马或病毒采用多线程保护技术,你发现一个异常进程后结束了,一会儿它又起来了,你可用IceSword发现是什么线程又创建了这个进程,把它们一并杀除。中途可能会用到“设置”菜单项:在设置对话框中选中“禁止进线程创建”,此时系统不能创建进程或者线程,你安稳的杀除可疑进线程后,再取消禁止就可以了。 ■注册表作,Regedit有什么不足? 说起Regedit的不足就太多了,比如它的名称长度限制,建一个全路径名长大于255字节的子项看看(编程或用其他工具,比如regedt32),此项和位于它后面的子键在regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本打不开。 IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后gate隐藏的注册项而写的,它不受目前任何注册表隐藏手法的蒙蔽,真正可靠的让你看到注册表实际内容。 如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport这个键值,就是通过它来加载[屏蔽]port.sys这个驱动文件的。通过Regedit你删除会直接出错,根本无法删除。而用IS就可以轻易干掉。 ■文件作 IS的文件作有点类似于资源管理器,虽然作起来没有那么方便,但是它的独到功能在于具备反隐藏、反保护的功能。还有对安全的副作用是本来system32\config\SAM等文件是不能拷贝也不能打开的,但IceSword是可以直接拷贝的。类似于已经加载的驱动,如CNNIC的cdnport.sys这个文件,目前只有IS可以直接把它删除,其它无论什么方式,都无法破除驱动自身的保护。 即使对大多数有用的unlocker,CopyLock、KillBox都是无效的。利用Windows的系统还没有完全加载的删除机制,通过在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations,这个是所有删除顽固文件工具的最后一招,但它也被驱动保护变得无效了。以前的情况就是需要重启启动到另外一个作系统下删除。 ----那帮做流氓软件的可真是手段无所不用其及。 IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后gate功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后gate躲无所躲。转载请保留以下签名:=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=**=*┃ 网络安全日志(Network Security Logger) ┃┃ http://www.nslog.cn nslog@126.com ┃ =*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=**=*
QQ能上,但是无法打开网页的解决方法.如果是QQ能上,无法上网,请在软件界面按CTRL+S即可 一、网络设置的问题 这种原因比较多出现在需要手动指定IP、网关、DNS服务器联网方式下,及使用代理服务器上网的。仔细检查计算机的网络设置。 二、DNS服务器的问题 当IE无法浏览网页时,可先尝试用IP地址来访问,如果可以访问,那么应该是DNS的问题,造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题,这时你可以手动指定DNS服务(地址可以是你当地ISP提供的DNS服务器地址,也可以用其它地方可正常使用DNS服务器地址。)在网络的属性里进行,(控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址)。不同的ISP有不同的DNS地址。有时候则是路由器或网卡的问题,无法与ISP的DNS服务连接,这种情况的话,可把路由器关一会再开,或者重新设置路由器。 还有一种可能,是本地DNS缓存出现了问题。为了提高网站访问速度,系统会自动将已经访问过并获取IP地址的网站存入本地的DNS缓存里,一旦再对这个网站进行访问,则不再通过DNS服务器而直接从本地DNS缓存取出该网站的IP地址进行访问。所以,如果本地DNS缓存出现了问题,会导致网站无法访问。可以在“运行”中执行ipconfig /flushdns来重建本地DNS缓存。 三、IE浏览器本身的问题 当IE浏览器本身出现故障时,自然会影响到浏览了;或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“黄山IE修复专家”来修复(建议到安全模式下修复),或者重新IE(如重装IE遇到无法重新的问题,可参考:附一解决无法重装IE) 四、网络防火墙的问题 如果网络防火墙设置不当,如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等,可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。 五、网络协议和网卡驱动的问题 IE无法浏览,有可能是网络协议(特别是TCP/IP协议)或网卡驱动损坏导致,可尝试重新网卡驱动和网络协议。 六、HOSTS文件的问题 HOSTS文件被修改,也会导致浏览的不正常,解决方法当然是清空HOSTS文件里的内容。 七、系统文件的问题 当与IE有关的系统文件被更换或损坏时,会影响到IE正常的使用,这时可使用SFC命令修复一下,WIN98系统可在“运行”中执行SFC,然后执行扫描;WIN2000/XP/2003则在“运行”中执行sfc /scannow尝试修复。 其中当只有IE无法浏览网页,而QQ可以上时,则往往由于winsock.dll、wsock32.dll或wsock.vxd(VXD只在WIN9X系统下存在)等文件损坏或丢失造成,Winsock是构成TCP/IP协议的重要组成部分,一般要重装TCP/IP协议。但xp开始集成TCP/IP协议,所以不能像98那样简单卸载后重装,可以使用 netsh 命令重置 TCP/IP协议,使其恢复到初次安装操作系统时的状态。具体操作如下: 点击“开始 运行”,在运行对话框中输入“CMD”命令,弹出命令提示符窗口,接着输入“netsh int ip reset c:\resetlog.txt”命令后会回车即可,其中“resetlog.txt”文件是用来记录命令执行结果的日志文件,该参数选项必须指定,这里指定的日志文件的完整路径是“c:\resetlog.txt”。执行此命令后的结果与删除并重新安装 TCP/IP 协议的效果相同。 小提示:netsh命令是一个基于命令行的脚本编写工具,你可以使用此命令配置和监视Windows 系统,此外它还提供了交互式网络外壳程序接口,netsh命令的使用格式请参看帮助文件(在令提示符窗口中输入“netsh/?”即可)。 第二个解决方法是修复以上文件,WIN9X使用SFC重新提取以上文件,WIN2000/XP/2003使用sfc /scannow命令修复文件,当用sfc /scannow无法修复时,可试试网上发布的专gate针对这个问题的修复工具WinSockFix,可以在网上搜索下载。 八、杀毒软件的实时监控问题 这倒不是经常见,但有时的确跟实时监控有关,因为现在杀毒软件的实时监控都添加了对网页内容的监控。举一个实例:KV2005就会在个别的机子上会导致IE无法浏览网页(不少朋友遇到过),其具体表现是只要打开网页监控,一开机上网大约20来分钟后,IE就会无法浏览网页了,这时如果把KV2005的网页监控关掉,就一切恢复正常;经过彻底地重装KV2005也无法解决。虽然并不是安装KV2005的每台机子都会出现这种问题,毕竟每台机子的系统有差异,安装的程序也不一样。但如果出现IE无法浏览网页时,也要注意检查一下杀毒软件。 九、Application Management服务的问题 出现只能上QQ不能开网页的情况,重新启动后就好了。不过就算重新启动,开7到8个网页后又不能开网页了,只能上QQ。有时电信往往会让你禁用Application Management服务,就能解决了。具体原因不明。 十、感染了病毒所致 这种情况往往表现在打开IE时,在IE界面的左下框里提示:正在打开网页,但老半天没响应。在任务管理器里查看进程,(进入方法,把鼠标放在任务栏上,按右键—任务管理器—进程)看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,这时你想运行其他程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源.找到后,最好把名称记录下来,然后点击结束,如果不能结束,则要启动到安全模式下把该东东删除,还要进入注册表里,(方法:开始—运行,输入regedit)在注册表对话框里,点编辑—查找,输入那个程序名,找到后,点鼠标右键删除,然后再进行几次的搜索,往往能彻底删除干净。 十一、其他问题 关闭上网助手、关闭杀毒软件防火墙、调整IE安全级别为默认要是还不行,请重新创建一个用户帐号登录拨看看,如不行重新建立一个拨号连接看看。
网络故障汇总1故障现象:网络适配器(网卡)设置与计算机资源有冲突。分析、排除:通过调整网卡资源中的IRQ和I/O值来避开与计算机其它资源的冲突。有些情况还需要通过设置主板的跳线来调整与其它资源的冲突。2.故障现象:网吧局域网中其他客户机在“网上邻居”上都能互相看见,而只有某一台计算机谁也看不见它,它也看不见别的计算机。(前提:该网吧的局域网是通过HUB或交换机连接成星型网络结构) 分析、排除:检查这台计算机系统工作是否正常;检查这台计算机的网络配置;检查这台计算机的网卡是否正常工作;检查这台计算机上的网卡设置与其他资源是否有冲突;检查网线是否断开;检查网线接头接触是否正常。3.故障现象:网吧局域网中有两个网段,其中一个网网段的所有计算机都不能上因特网。(前提:该网吧的局域网通过两个HUB或交换机连接着两个的网段)分析、排除:两个网段的干线断了或干线两端的接头接处不良。检查服务器中对该网段的设置项。4.故障现象:网吧局域网中所有的计算机在“网上邻居”上都能互相看见。(前提:该网吧的局域网是通过HUB或交换机连接成星型网络结构)分析、排除:检查HUB或交换机工作是否正常。5.故障现象:网吧局域网中某台客户机在“网上邻居”上都能看到服务器,但就是不能上因特网。(前提:服务器指代理网吧局域网其他客机上因特网的那台计算机,以下同)分析、排除:检查这台客户机TCP/IP协议的设置,检查这台客户机中IE浏览器的设置,检查服务器中有关对这台客户机的设置项。6.故障现象:网吧整个局域网上的所有的计算机都不能上因特网。分析、排除:服务器系统工作是否正常;服务器是否掉线了;调制解调器工作是否正常;局端工作是否正常。7.故障现象:网吧局域网中除了服务器能上网其他客户机都不能上网。分析、排除:检查HUB或交换机工作是否正常;检查服务器与HUB或交换机连接的网络部分(含:网卡、网线、接头、网络配置)工作是否正常;检查服务器上代理上网的软件是否正常启动运行;设置是否正常。8.故障现象:进行拨号上网操作时,MODEN没有拨号声音,始终连接不上因特网,MODEN上指示灯也不闪。分析、排除:电话线路是否占线;接MODEN的服务器的连接(含:连线、接头)是否正常;电话线路是否正常,有无杂音干扰;拨号网络配置是否正确;MODEN的配置设置是否正确,检查拨号音的音频或脉冲方式是否正常。9.故障现象:系统检测不到MODEN(若MODEN是正常的)。分析、排除:重新安装一遍MODEN,注意通讯端口的正确位置。10.故障现象:连接因特网速度过慢。分析、排除:检查服务器系统设置在“拨号网络”中的端口连接速度是否是设置的最大值;线路是否正常;可通过优化MODEN的设置来提高连接的速度;通过修改注册表也可以提高上网速度;同时上网的客户机是否很多;若是很多,而使连接速度过慢是正常现象。11.故障现象:计算机屏幕上出现“错误678”或“错误650”的提示框。分析、排除:一般是你所拨叫的服务器线路较忙、占线,暂时无法接通,你可进一会后继续重拨。12.故障现象:计算机屏幕上出现“错误680:没有拨号音。请检测调制解调器是否正确连到电话线。”或者“There is no dialtone。 Make sure your Modem is connected to the phone line properly。”的提示框。分析、排除:检测调制解调器工作是否正常,是否开启;检查电话线路是否正常,是否正确接入调制解调器,接头有无松动。13.故障现象:计算机屏幕上出现“The Modem is being used by another Dial-up Networding connection or another program。Disconnect the other connection or close the program,and then try again” 的提示框。分析、排除:检查是否有另一个程序在使用调制解调器;检查调制解调器与端口是否有冲突。14.故障现象:计算机屏幕上出现“The computer you are dialing into is not answering。Try again later”的提示框。分析、排除:电话系统故障或线路忙,过一会儿再拨。15.故障现象:计算机屏幕上出现“Connection to xx.xx.xx. was terminated. Do you want to reconnect?” 的提示框。分析、排除:电话线路中断使拨号连接软件与ISP主机的连接被中断,过一会重试。16.故障现象:计算机屏幕上出现“The computer is not receiving a response from the Modem. Check that the Modem is plugged in,and if necessary,turn the Modem off ,and then turn it back on” 的提示框。分析、排除:检查调制解调器的电源是否打开;检查与调制解调器连接的线缆是否正确的连接。17.故障现象:计算机屏幕上出现“Modem is not responding” 的提示框。分析、排除:表示调制解调器没有应答;检查调制解调器的电源是否打开;检查与调制解调器连接的线缆是否正确连接;调制解调器是损坏。18.故障现象:计算机屏幕上出现“NO CARRIER” 的提示信息。分析、排除:表示无载波信号。这多为非正常关闭调制解调器应用程序或电话线路故障;检查与调制解调器连接的线缆是否正确的连接;检查调制解调器的电源是否打开。19.故障现象:计算机屏幕上出现“No dialtone” 的提示框。分析、排除:表示无拨号声音;检查电话线与调制解调器是否正确连接。20.故障现象:计算机屏幕上出现“Disconnected” 的提示时。分析、排除:表示终止连接;若该提示是在拨号时出现,检查调制解调器的电源是否打开;若该提示是使用过程中出现,检查电话是否在被人使用。21.故障现象:计算机屏幕上出现“ERROR” 的提示框。分析、排除:是出错信息;调制解调器工作是否正常,电源是否打开;正在执行的命令是否正确。22.故障现象:计算机屏幕上出现“A network error occurred unable to connect to server (TCP Error:No router to host)The server may be down or unreadchable。Try connectin gagain later” 的提示时。分析、排除故障:表示是网络错误,可能是TCP协议错误;没有路由到主机,或者是该服务器关机而导致不能连接,这时只有重试了。23.故障现象:计算机屏幕上出现“The line id busy, Try again later”或“BUSY” 的提示时。分析、排除:表示占线,这时只在重试了。24.故障现象:计算机屏幕上出现:“The option timed out”的提示时。分析、排除:表示连接超时,多为通讯网络故障,或被叫方忙,或输入网址错误。向局端查询通讯网络工作情况是否正常。检查输入网址是否正确。25.故障现象:计算机屏幕上出现“Another program is dialing the selected connection” 的提示时。分析、排除:表示有另一个应用程序已经在使用拨号网络连接了。只有停止该连接后才能继续我们的拨号连接。 26.故障现象: 在用IE浏览器浏览中文站点时出现乱码。分析、排除故障:IE浏览器中西文软件不兼容造成的汉字会显示为乱码,可试用NetScape的浏览器看看;我国使用的汉字内码是GB,而*使用的是BIG5,若是这个原因造成的汉字显示为乱码,可用RichWin 变换内码试试。27.故障现象: 浏览网页的速度较正常情况慢。分析、排除:主干线路较拥挤,造成网速较慢;(属正常情况)浏览某一网页的人较多,造成网速较慢;(属正常情况) 有关Modem的设置有问题;局端线路有问题。28.故障现象: 能正常上网,但总是时断时续的。分析、排除:电话线路问题,线路质量差;调制解调器的工作不正常,影响上网的稳定性。29.故障现象: 用拨号上网时,听不见拨号音,无法进行拨号。分析、排除:检查调制解调器工作是否正常,电源打开否,电缆线接好了没,电话线路是否正常。(大众网络报)30.故障现象: 在拨号上网的过程中,能听见拨号音,但没有拨号的动作,而计算机却提示“无拨号声音”。分析、排除:可通过修改配置,使拨号器不去检测拨号声音。可进入“我的连接”的属性窗口,单击“配置”标签,在“连接”一栏中去掉“拨号前等待拨号音”的复选框。31.故障现象: 在拨号上网的过程中,计算机屏幕上出现:“已经与您的计算机断开,双击‘连接’重试。”的提示时。分析、排除: 电话线路质量差,噪声大造成的,可拨打:112报修。也可能是病毒造成的,用杀毒软件杀一遍毒。32.故障现象: 若计算机屏幕上出现:“拨号网络无法处理在‘服务器类型’设置中指定的兼容网络协议”的提示时。分析、排除:检查网络设置是否正确;调制解调器是否正常;是否感染上了宏病毒,用最新的杀毒软件杀一遍毒。33.故障现象:Windows 98网上邻居中找不到域及服务器,但可找到其他的工作站。分析、排除:在“控制面板→网络→Microsoft网络客户”中,将登录时Windows 98与网络的连接由慢速改为快速连接。34.故障现象:在查看"网上邻居"时,会出现“无法浏览网络。网络不可访问。想得到更多信息,请查看‘帮助索引‘中的‘网络疑难解答’专题。”的错误提示。分析、排除:第一种情况是因为在Windows启动后,要求输入Microsoft网络用户登录口令时,点了"取消"按钮所造成的,如果是要登录NT服务器,必须以合法的用户登录,并且输入正确口令。第二种情况是与其它的硬件产生冲突。打开“控制面板→系统→设备管理”。查看硬件的前面是否有*的问号、感叹号或者红色的问号。如果有,必须手工更改这些设备的中断和I/O地址设置。35.故障现象:在“网上邻居”或“资源管理器”中只能找到本机的机器名。 分析、排除:网络通信错误,一般是网线断路或者与网卡的接确不良,还有可能是Hub有问题 36.故障现象:可以访问服务器,也可以访问Internet,但却无法访问其他工作站?分析、排除:如果使用了WINS解析,可能是WINS服务器地址设置不当;检查网关设置,若双方分属不同的子网而网关设置有误,则不能看到其他工作站;检查子网掩码设置37.故障现像:网卡在计算机系统无法安装。分析、排除:第一个可能是计算机上安装了过多其它类型的接口卡,造成中断和I/O地址冲突。可以先将其他不重要的卡拿下来,再安装网卡,最后再安装其他接口卡。第二个可能是计算机中有一些安装不正确的设备,或有"未知设备"一项,使系统不能检测网卡。这时应该删除"未知设备"中的所有项目,然后重新启动计算机。第三个可能是计算机不能识别这一种类型的网卡,一般只能更换网卡。38.故障现象:局域网上可以Ping通IP地址,但Ping不通域名?分析、排除:TCP/IP协议中的“DNS设置”不正确,请检查其中的配置。对于对等网,“主机”应该填自己机器本身的名字,“域”不需填写,DNS服务器应该填自己的IP。对于服务器/工作站网,“主机”应该填服务器的名字,“域”填局域网服务器设置的域,DNS服务器应该填服务器的IP。39.故障现象:网络上的其他计算机无法与某一台计算机连接。分析、排除:确认是否安装了该网络使用的网络协议?如果要登录NT域,还必须安装NetBEUI协议。确认是否安装并启用了文件和打印共享服务?如果是要登录NT服务器网络,在“网络”属性的“主网络登录”中,应该选择“Microsoft网络用户”。如果是要登录NT服务器网络,在“网络”属性框的“配置”选项卡中,双击列表中的“Microsoft网络用户”组件,检查是否已选中“登录到Windows域”复选框,以及“Windows域”下的域名是否正确。40.故障现象:安装网卡后,计算机启动的速度慢了很多。 分析、排除:可能在TCP/IP设置中设置了"自动获取IP地址",这样每次启动计算机时,计算机都会主动搜索当前网络中的DHCP服务器,所以计算机启动的速度会大大降低。解决的方法是指定静态的IP地址。(大众网络报)50.故障现象:网络安装后,在其中一台计算机上的“网络邻居”中看不到任何计算机?分析、排除:主要原因可能是网卡的驱动程序工作不正常。请检查网卡的驱动程序,必要时重新安装驱动程序。51.故障现象:从“网络邻居”中能够看到别人的机器,但不能读取别人电脑上的数据?分析、排除:(1)首先必须设置好资源共享。选择"网络→配置→文件及打印共享",将两个选项全部打勾并确定,安装成功后在"配置"中会出现"Microsoft 网络上的文件与打印机共享"选项。 (2)检查所安装的所有协议中,是否绑定了"Microsoft网络上的文件与打印机共享"。选择"配置"中的协议如"TCP/IP协议",点击"属性"按钮,确保绑定中"Microsoft网络上的文件与打印机共享"、"Microsoft网络用户"前已经打勾了。52.故障现象:在安装网卡后通过"控制面板→系统→设备管理器"查看时,报告"可能没有该设备,也可能此设备未正常运行,或是没有安装此设备的所有驱动程序"的错误信息。分析、排除:(1)没有安装正确的驱动程序,或者驱动程序版本不对。 (2)中断号与I/O地址没有设置好。有一些网卡通过跳线开关设置;另外一些是通过随卡带的软盘中的Setup程序进行设置。53.故障现象:已经安装了网卡和各种网络通讯协议,但网络属性中的选择框"文件及打印共享"为灰色,无法选择。分析、排除:原因是没有安装"Microsoft 网络上的文件与打印共享"组件。在"网络"属性窗口的"配置"标签里,单击"添加"按钮,在"请选择网络组件"窗口单击"服务",单击"添加"按钮,在"选择网络服务"的左边窗口选择"Microsoft",在右边窗口选择"Microsoft网络上的文件与打印机共享",单击"确定"按钮,系统可能会要求插入Windows安装光盘,重新启动系统即可。54.故障现象:无法在网络上共享文件和打印机。分析、排除:(1)确认是否安装了文件和打印机共享服务组件。要共享本机上的文件或打印机,必须安装"Microsoft网络上的文件与打印机共享"服务。 (2)确认是否已经启用了文件或打印机共享服务。在"网络"属性框中选择"配置"选项卡,单击"文件与打印机共享"按钮,然后选择"允许其他用户访问的我的文件"和"允许其他计算机使用我的打印机"选项。 (3)确认访问服务是共享级访问服务。在"网络"属性的"访问控制"里面应该选择"共享级访问"。55.故障现象:客户机无法登录到网络上。分析、排除: (1)检查计算机上是否安装了网络适配器,该网络适配器工作是否正常。 (2)确保网络通信正常,即网线等连接设备完好。 (3)确认网络适配器的中断和I/O地址没有与其他硬件冲突。 (4)网络设置可能有问题。56.故障现象:无法将台式电脑与笔记本电脑使用直接电缆连接。分析、排除:笔记本电脑自身可能带有PCMCIA网卡,在"我的电脑→控制面板→系统→设备管理器"中删除该"网络适配器"记录后,重新连接即可。57.故障现象:在网上邻居上可以看到其它机器,别人却看不到自己?分析、排除:经检查网络配置,发现是漏装"Microsoft 网络上的文件与打印机共享"所致。 解决办法:开始--设置--控制面板--网络,单击"添加",在网络组件中选择"服务",单击"添加"按钮,型号中选择"Microsoft 网络上的文件与打印机共享"即可。重新启动后问题解决。58.故障现象:在网上邻居上只能看到计算机名,却没有任何内容?分析、排除:出现这种问题时一般都以为是将文件夹没有共享所致。打开资源管理器,点取要共享的文件夹,却发现右键菜单中的"共享"项都消失了。解决办法是右击“网上邻居”图标,点取“文件及打印共享”,钩选“允许其它用户访问我的文件”,重启后,问题解决。 59.故障现象:在Windows 98的“网上邻居”中找不到域及服务器,但可找到其他的工作站?分析、排除:在“控制面板→网络→Microsoft网络客户”中,将登录时Windows 98与网络的连接由慢速改为快速连接。60.故障现象:在查看“网上邻居”时,会出现“无法浏览网络。网络不可访问。想得到更多信息,请查看'帮助索引'中的'网络疑难解答'专题。”的错误提示。分析、排除:(1)这是在Windows启动后,要求输入Microsoft网络用户登录口令时,点了“取消”按钮所造成的,如果是要登录Windows NT或者Windows 2000服务器,必须以合法的用户登录,并且输入正确口令。(2)与其它的硬件起冲突。打开“控制面板→系统→设备管理”。查看硬件的前面是否有*的问号、感叹号或者红色的问号。如果有,必须手工更改这些设备的中断和I/O地址设置。61.故障现象:用Windows 2000专业版做服务器,然后用Windows 98做客户机,网上邻居正常,Windows 98与Windows 98之间突然变得很慢,但从Windows 2000访问Windows 98却很快。 分析、排除:大家在通过网络系统浏览共享文件时,大概都会要等上30秒钟。这其实是因为Windows 2000有个BUG,一定要先在“计划任务”里搜索,再找出共享文件。而我们提到的这个方法就是专gate修补这个BUG的,如果做一些改动的话,Windows 2000的用户就会发现,无论是互联网还是视窗浏览的速度都有了很显著的提高:打开注册表HKEY_LOCAL_MACHINE/Software/Microsofthttp://windows.chinaitlab.com/Current Version/Explorer/RemoteComputer/NameSpace 在其分栏出选择键值: {D6277990-4C6A-11CF-8D87-00AA0060F5BF 然后删除。 因为就是这个健值引导Windows去搜索“计划任务”。不需要重新开机,几乎立刻就可以感受到你的浏览程序快了很多! 62.故障现象:已经按照要求安装、设置好Sygate,但服务器仍不能连接网络。分析、排除:使用Sygate中特有的Sygate Diagnostics(诊断)功能。可以通过以下两种方式来启动诊断医生,在 Sygate王界面的工具栏电权击 Diagnosticstool(诊断工具)图标,或者点去开始一程序一Sygate——Sygate Diagnostics。这时诊断工具会依次测试系统设置、网络适配器、拨号连接、TCP/IP协议与设置等。如果测试不能通过,系统会出现一个提示,描述问题及指点正确的方向。此时你可以根据提示作相应的更改。如果测试通过,诊断工具会显示已经测试通过的提示。63.故障现象:正确安装Sygate4后,网络中的某些客户机不能正常使用。分析、排除:一般情况,客户机不能正常使用多为TCP/IP的配置出现问题,当然也不排除操作系统和硬件(比如网卡已坏等)的问题,在这种情况下,你可以使用Sygate的Troubleshooting(发现并解决故障)功能,在出现的表单中详细列出使用Sygate后产生的信息资料,例如:sdsys.log、 Sygate.log、 sgconf.log、 sgsys.log等,在这些日志中包含了服务器、操作系统、拨号网络、网卡、浏览网址、应用程序等详细资料,你可以根据这些资料来判断故障,然后作出相应修改。64.故障现象:自从安装Sygate后,服务器经常会莫名其妙自动拨号上网。分析、排除:这是因为网络中的客户机启动了某些网络软件,例如浏览器、电子邮件软件等,而又在配置中勾进了Enable Dial-on-Demand For Cline(允许客户机拨号),这样当SyGate侦测到网络中有连接到Internet的请求,如此时系统尚未建立连接,便会自动拨号。只要去掉前面的小勾,即能解决这个问题。65. 故障现象:用分机电话线上网,Modem为实达网上之星,上网连接速度最快才48000bps。 还有,将Modem放在主机箱侧,开机后(未打开Modem电源),家里的电话就处于忙音状态。 分析、排除:第一个问题跟分机电话线或线接头质量有很大关系,另外,如果Modem的速度平常都能接近48000bps,也不要太在意,应该重点先看一下它的实际下载速度是否令你满意。第二个问题,肯定和主机电源的电磁辐射强和屏蔽效果差有关,最好用物体在主机和Modem之间进行屏蔽,或将Modem远离主机。66.故障现象:一台计算机通过局域网连接,一切正常。但是换了一个硬盘、重新安装Win98操作系统后,查看网上邻居时,只能看到自己的计算机和所属的工作组;而访问外部网却没有问题,收发邮件也没问题。 分析、排除:启动电脑后不要立即打开网上邻居,而是等一下再打开,并且按F5键刷新,一般可以看到新的工作组和用户。如果实在不行,就用查找计算机,找到其他组的计算机后作成快捷方式放在桌面上。67.故障现象:有时ADSL的访问速度较平时慢。 分析、排除:原因很多:可能是出口带宽及对方站点配置情况等原因的影响;可能是线路的质量情况的影响;可能是接入局端设备影响。68.故障现象: 在Windows NT4.0操作系统上已经安装了Modem、TCP/IP协议和RAS服务,但在拔号上网铁过程中,计算机屏幕上出:“734错误,对方服务器终止(口令和用户名均无误,在Windows下可以正常上网)”的提示框。分析、排除:在“设置”中不要输入域名试试看。69.故障现象:在Windows NT4.0操作系统上拨号上网的过程中,在检测用户名和密码时要断线。 分析、排除:可以将验证密码的选项改成明文验证方式试试看;可以把拨号网络属性中“拨号后出现终端窗口”复选框选中试试看。70.故障现象: 在Windows NT4.0操作系统上拨号上网的过程中,在检测用户名和密码后自动断开。分析、排除:可在“新的电话簿项”中,单击“安全”项,然后在“认证与加密规则”中选中“接受任何验证”。71.故障现象: 只要一启动IE浏览器,就会自动执行发送和接收邮件。分析、排除:可打开IE浏览器,在菜单栏中单击“工具(T)”项,在弹出的下拉式菜单中选中并单击“Internet选项(O)”项,在弹出的对话框中单击“常规”标签,去掉“启动时自动接收所有帐号怕邮件”项便可以了
IE问题解决方法汇总IE问题解决方法汇总(错误报告篇) 1.发送错误报告 故障现象:在使用IE浏览网页的过程中,出现“Microsoft Internet Explorer遇到问题需要关闭……”的信息提示。此时,如果单击“发送错误报告”按钮,则会创建错误报告,单击“关闭”按钮之后会引起当前IE窗口关闭;如果单击“不发送”按钮,则会关闭所有IE窗口。 故障点评:这是IE为了解用户在使用中的错误而设计的一个小程序,不过我可不想当微软的“免费测试员”,更何况每天它都会面对成千上万的报告,谁知道有没有在意我的报告问题呢?! 故障解决: 针对不同情况,可分别用以下方法关闭IE发送错误报告功能: ①对IE 5.x用户,执行“控制面板→添加或删除程序”,在列表中选择“Internet Explorer Error Reporting”选项,然后单击“更改/删除”按钮,将其从系统中删除。 ②对Windows 9x/Me/NT/2000下的IE 6.0用户,则可打开“注册表编辑器”,找到[HKEY_LOCAL_MACHINE\Software \Microsoft\Internet Explorer\Main],在右侧窗格创建名为IEWatsonEnabled的DWORD双字节值,并将其赋值为0。 ③对Windows XP的IE 6.0用户,执行“控制面板→系统”,切换到“高级”选项卡,单击“错误报告”按钮,选中“禁用错误报告”选项,并选中“但在发生严重错误时通知我”,最后单击“确定”按钮。 2.IE发生内部错误,窗口被关闭 故障现象:在使用IE浏览一些网页时,出现错误提示对话框:“该程序执行了非法操作,即将关闭……”,单击“确定”按钮后又弹出一个对话框,提示“发生内部错误……”。单击“确定”按钮后,所有打开的IE窗口都被关闭。 故障点评:该错误产生原因多种多样,内存资源占用过多、IE安全级别设置与浏览的网站不匹配、与其他软件发生冲突、浏览网站本身含有错误代码……这些情况都有可能,需要耐心加以解决。 故障解决: ①关闭过多的IE窗口。如果在运行需占大量内存的程序,建议IE窗口打开数不要超过5个。 ②降低IE安全级别。执行“工具→Internet选项”菜单,选择“安全”选项卡,单击“默认级别”按钮,拖动滑块降低默认的安全级别。 ③将IE升级到最新版本。IE 6.0 SP1下载地址:download.microsoft.com。 可使用以IE为核心的浏览器,如MyIE2。它占用系统资源相对要少,而且当浏览器发生故障关闭时,下次启动它,会有“是否打开上次发生错误时的页面”的提示,尽可能地帮你挽回损失。下载地址:新浪下载中心。 3.出现运行错误 故障现象:用IE浏览网页时弹出“出现运行错误,是否纠正错误”对话框,单击“否”按钮后,可以继续上网浏览。 故障点评:可能是所浏览网站本身的问题,也可能是由于IE对某些脚本不支持。 故障解决: ①启动IE,执行“工具→Internet选项”菜单,选择“高级”选项卡,选中“禁止脚本调试”复选框,最后单击“确定”按钮即可。 ②将IE浏览器升级到最新版本。 4.IE窗口始终最小化的问题 故障现象:每次打开的新窗口都是最小化窗口,即便单击“最大化”按钮后,下次启动IE后新窗口仍旧是最小化的。 故障点评:IE具有“自动记忆功能”,它能保存上一次关闭窗口后的状态参数,IE本身没有提供相关设置选项,不过可以借助修改注册表来实现。 故障解决: ①打开“注册表编辑器”,找到[HKEY_ CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Old WorkAreas],然后选中窗口右侧的“OldWorkAreaRects”,将其删除。 ②同样在“注册表编辑器”中找到[HKEY_CURRENT_USER\Software \Microsoft\Internet Explorer\Main],选择窗口右侧的“Window_Placement”,将其删除。 ③退出“注册表编辑器”,重启电脑,然后打开IE,将其窗口最大化,并单击“往下还原”按钮将窗口还原,接着再次单击“最大化”按钮,最后关闭IE窗口。以后重新打开IE时,窗口就正常了! 5.IE无法打开新窗口 故障现象:在浏览网页过程中,单击超级链接无任何反应。 故障点评:多半是因为IE新建窗口模块被破坏所致。 故障解决:单击“开始→运行”,依次运行“regsvr32 actxprxy.dll”和“regsvr32 shdocvw.dll”将这两个DLL文件注册,然后重启系统。如果还不行,则可以将mshtml.dll、urlmon.dll、msjava.dll、browseui.dll、oleaut32.dll、shell32.dll也注册一下。 6.脱机却无法浏览本机上的网页 故障现象:通过IE的“脱机浏览”功能,我们差不多能浏览所有已经下载到本地硬盘的网页内容,这对拨号上网的用户来说更是省钱的一[屏蔽]宝。但有时,目标网页虽然在硬盘上,但是却提示“无法浏览”。 故障点评:这多半是由于你修改了系统时间,引起了IE历史记录的错乱。 故障解决: ①可用直接在“临时文件夹”中搜索的方法来激活它。按下Win+F,在“包含文字”处输入部分记忆中的关键字,在“搜索”处按“浏览”按钮选择IE临时文件夹的地址,如“C:\WINDOWS\Temporary Internet Files”,单击“开始查找”,在结果列表里双击目标页打开。 ②可以尝试用腾讯的TE等浏览器来脱机浏览。 7.联网状态下,浏览器无法打开某些站点 故障现象:上网后,在浏览某些站点时遇到各种不同的连接错误。 故障点评:这种错误一般是由于网站发生故障或者你没有浏览权限所引起。 故障解决:针对不同的连接错误,IE会给出不同的错误信息提示,比较常见的有以下几个: ①提示信息:404 NOT FOUND这是最为常见的IE错误信息。主要是因为IE不能找到你所要求的网页文件,该文件可能根本不存在或者已经被转移到了其他地方。 ②提示信息:403 FORBIDDEN常见于需要注册的网站。一般情况下,可以通过在网上即时注册来解决该问题,但有一些完全 “封闭”的网站还是不能访问的。 ③提示信息:500 SERVER ERROR通常由于所访问的网页程序设计错误或者数据库错误而引起,你只有等待对方网页纠正错误后再浏览了。 8.IE无法重新安装 故障现象:IE不能正常使用,在重装时却提示“发现系统中有该版本的IE”而拒绝安装;“添加或删除程序”中又没有卸载选项。 故障点评:“重装”是解决IE故障的“终极[屏蔽]”,也是初级用户的法宝。 故障解决: ①对IE 5.0的重装可按以下步骤进行: 第一步:打开“注册表编辑器”,找到[HKEY_LOCAL_ MACHINE\Software\Microsoft\Internet Explorer],单击其下的Version Vector键。 第二步:在右侧窗格中双击IE子键,将原来的“5.0002”改为“4.0”,单击“确定”后退出“注册表编辑器”。 第三步:重启后,就可以重装IE 5.0了。 ②IE 6.0的重装有两种方法: 方法1:打开“注册表编辑器”,找到[HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}],将IsInstalled的DWORD值改为0就可以了。 方法2:放入Windows XP安装盘,在“开始→运行”窗口键入“rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\Inf\ie.inf”。
计算机常用端口一览1 传输控制协议端口服务多路开关选择器 2 compressnet 管理实用程序 3 压缩进程 5 远程作业登录 7 回显(Echo) 9 丢弃 11 在线用户 13 时间 15 netstat 17 每日引用 18 消息发送协议 19 字符发生器 20 文件传输协议(默认数据口) 21 文件传输协议(控制) 22 SSH远程登录协议 23 telnet 终端仿真协议 24 预留给个人用邮件系统 25 smtp 简单邮件发送协议 27 NSW 用户系统现场工程师 29 MSG ICP 31 MSG验证 33 显示支持协议 35 预留给个人打印机服务 37 时间 38 路由访问协议 39 资源定位协议 41 图形 42 WINS 主机名服务 43 "绰号" who is服务 44 MPM(消息处理模块)标志协议 45 消息处理模块 46 消息处理模块(默认发送口) 47 NI FTP 48 数码音频后台服务 49 TACACS登录主机协议 50 远程邮件检查协议 51 IMP(接口信息处理机)逻辑地址维护 52 施乐网络服务系统时间协议 53 域名服务器 54 施乐网络服务系统票据交换 55 ISI图形语言 56 施乐网络服务系统验证 57 预留个人用终端访问 58 施乐网络服务系统邮件 59 预留个人文件服务 60 未定义 61 NI邮件? 62 异步通讯适配器服务 63 WHOIS+ 64 通讯接口 65 TACACS数据库服务 66 Oracle SQL*NET 67 引导程序协议服务端 68 引导程序协议客户端 69 小型文件传输协议 70 信息检索协议 71 远程作业服务 72 远程作业服务 73 远程作业服务 74 远程作业服务 75 预留给个人拨出服务 76 分布式外部对象存储 77 预留给个人远程作业输入服务 78 修正TCP 79 Finger(查询远程主机在线用户等信息) 80 全球信息网超文本传输协议(www) 81 HOST2名称服务 82 传输实用程序 83 模块化智能终端ML设备 84 公用追踪设备 85 模块化智能终端ML设备 86 Micro Focus Cobol编程语言 87 预留给个人终端连接 88 Kerberros安全认证系统 89 SU/MIT终端仿真网关 90 DNSIX 安全属性标记图 91 MIT Dover假脱机 92 网络打印协议 93 设备控制协议 94 Tivoli对象调度 95 SUPDUP 96 DIXIE协议规范 97 快速远程虚拟文件协议 98 TAC(东京大学自动计算机)新闻协议 101 usually from sri-nic 102 iso-tsap 103 ISO Mail 104 x400-snd 105 csnet-ns 109 Post Office 110 Pop3 服务器(邮箱发送服务器) 111 portmap 或 sunrpc 113 身份查询 115 sftp 117 path 或 uucp-path 119 新闻服务器 121 BO jammerkillah 123 network time protocol (exp) 135 DCE endpoint resolutionnetbios-ns 137 NetBios-NS 138 NetBios-DGN 139 win98 共享资源端口(NetBios-SSN) 143 IMAP电子邮件 144 NeWS - news 153 sgmp - sgmp 158 PCMAIL 161 snmp - snmp 162 snmp-trap -snmp 170 network PostScript 175 vmnet 194 Irc 315 load 400 vmnet0 443 安全服务 456 Hackers Paradise 500 sytek 512 exec 513 login 514 shell - cmd 515 printer - spooler 517 talk 518 ntalk 520 efs 526 tempo - newdate 530 courier - rpc 531 conference - chat 532 netnews - readnews 533 netwall 540 uucp - uucpd 543 klogin 544 kshell 550 new-rwho - new-who 555 Stealth Spy(Phase) 556 remotefs - rfs_server 600 garcon 666 Attack FTP 750 kerberos - kdc 751 kerberos_master 754 krb_prop 888 erlogin 1001 Silencer 或 WebEx 1010 Doly trojan v1.35 1011 Doly Trojan 1024 NetSpy.698 (YAI) 1025 NetSpy.698 1033 Netspy 1042 Bla1.1 1047 GateCrasher 1080 Wingate 1109 kpop 1243 SubSeven 1245 Vodoo 1269 Mavericks Matrix 1433 Microsoft SQL Server 数据库服务 1492 FTP99CMP (BackOriffice.FTP) 1509 Streaming Server 1524 ingreslock 1600 Shiv 1807 SpySender 1981 ShockRave 1999 Backdoor 2000 黑洞(木马) 默认端口 2001 黑洞(木马) 默认端口 2023 Pass Ripper 2053 knetd 2140 DeepThroat.10 或 Invasor 2283 Rat 2565 Striker 2583 Wincrash2 2801 Phineas 3129 MastersParadise.92 3150 Deep Throat 1.0 3210 SchoolBus 3389 Win2000 远程登陆端口 4000 OICQ Client 4567 FileNail 4950 IcqTrojan 5000 WindowsXP 默认启动的 UPNP 服务 5190 ICQ Query 5321 Firehotcker 5400 BackConstruction1.2 或 BladeRunner 5550 Xtcp 5555 rmt - rmtd 5556 mtb - mtbd 5569 RoboHack 5714 Wincrash3 5742 Wincrash 6400 The Thing 6669 Vampire 6670 Deep Throat 6711 SubSeven 6713 SubSeven 6767 NT Remote Control 6771 Deep Throat 3 6776 SubSeven 6883 DeltaSource 6939 Indoctrination 6969 Gatecrasher.a 7306 网络精灵(木马) 7307 ProcSpy 7308 X Spy 7626 冰河(木马) 默认端口 7789 ICQKiller 8000 OICQ Server 9400 InCommand 9401 InCommand 9402 InCommand 9535 man 9536 w 9537 mantst 9872 Portal of Doom 9875 Portal of Doom 9989 InIkiller 10000 bnews 10001 queue 10002 poker 10167 Portal Of Doom 10607 Coma 11000 Senna Spy Trojans 11223 ProgenicTrojan 12076 Gjamer 或 MSH.104b 12223 Hack?9 KeyLogger 12345 netbus木马 默认端口 12346 netbus木马 默认端口 12631 WhackJob.NB1.7 16969 Priotrity 17300 Kuang2 20000 Millenium II (GrilFriend) 20001 Millenium II (GrilFriend) 20034 NetBus Pro 20331 Bla 21554 GirlFriend 或 Schwindler 1.82 22222 Prosiak 23456 Evil FTP 或 UglyFtp 或 WhackJob 27374 SubSeven 29891 The Unexplained 30029 AOLTrojan 30100 NetSphere 30303 Socket23 30999 Kuang 31337 BackOriffice 31339 NetSpy 31666 BO Whackmole 31787 Hack a tack 33333 Prosiak 33911 Trojan Spirit 2001 a 34324 TN 或 Tiny Telnet Server 40412 TheSpy 40421 MastersParadise.96 40423 Master Paradise.97 47878 BirdSpy2 50766 Fore 或 Schwindler 53001 Remote Shutdown 54320 Back Orifice 2000 54321 SchoolBus 1.6 61466 Telecommando 65000 Devil8000 灰鸽子木马默认端口5022 华夏同盟远程控制默认端口4899 远程登录端口
计算机端口详细列表--防火墙设置必备的参考资料我们常常会在各类的技术文章中见到诸如135、137、139、443之类的“端口”,可是这些端口究竟有什么用呢?它会不会给我们的计算机带来潜在的威胁呢?究竟有多少端口是有用的?想要了解的话,就跟我来吧端口:0 服务:Reserved 说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。端口:1 服务:tcpmux 说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口:7 服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 端口:19 服务:Character Generator 说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 端口:21 服务:FTP 说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 端口:22 服务:Ssh 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 端口:23 服务:Telnet 说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 端口:25 服务:SMTP 说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 端口:31 服务:MSG Authentication 说明:木马Master Paradise、Hackers Paradise开放此端口。端口:42 服务:WINS Replication 说明:WINS复制 端口:53 服务:域名 Name Server(域) 说明:域服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗域(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 端口:67 服务:Bootstrap Protocol Server 说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 端口:69 服务:Trival File Transfer 说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 端口:79 服务:Finger Server 说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。 端口:80 服务:HTTP 说明:用于网页浏览。木马Executor开放此端口。 端口:99 服务:Metagram Relay 说明:后gate程序ncx99开放此端口。 端口:102 服务:Message transfer agent(MTA)-X.400 over TCP/IP 说明:消息传输代理。 端口:109 服务:Post Office Protocol -Version3 说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 端口:110 服务:SUN公司的RPC服务所有端口 说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 端口:113 服务:Authentication Service 说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。端口:119 服务:Network News Transfer Protocol 说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。端口:135 服务:本地 Service 说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。 端口:137、138、139 服务:NETBIOS Name Service 说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 端口:143 服务:Interim Mail Access Protocol v2 说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。端口:161 服务:SNMP 说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。端口:177 服务:X Display Manager Control Protocol 说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 端口:389 服务:LDAP、ILS 说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 端口:443 服务:Https 说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 端口:456 服务:【NULL】 说明:木马HACKERS PARADISE开放此端口。 端口:513 服务:Login,remote login 说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。 端口:544 服务:【NULL】 说明:kerberos kshell 端口:548 服务:Macintosh,File Services(AFP/IP) 说明:Macintosh,文件服务。 端口:553 服务:CORBA IIOP (UDP) 说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。 端口:555 服务:DSF 说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 端口:568 服务:Membership DPA 说明:成员资格 DPA。 端口:569 服务:Membership MSN 说明:成员资格 MSN。 端口:635 服务:mountd 说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。 端口:636 服务:LDAP 说明:SSL(Secure Sockets layer) 端口:666 服务:Doom Id Software 说明:木马Attack FTP、Satanz Backdoor开放此端口端口:993 服务:IMAP 说明:SSL(Secure Sockets layer)端口:1001、1011 服务:【NULL】 说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。端口:1024 服务:Reserved 说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 端口:1025、1033 服务:1025:network blackjack 1033:【NULL】 说明:木马netspy开放这2个端口。 端口:1080 服务:SOCKS 说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC[屏蔽]时常会看到这种情况。 端口:1170 服务:【NULL】 说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 端口:1234、1243、6711、6776 服务:【NULL】 说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 端口:1245 服务:【NULL】 说明:木马Vodoo开放此端口。 端口:1433 服务:SQL 说明:Microsoft的SQL服务开放的端口。 端口:1492 服务:stone-design-1 说明:木马FTP99CMP开放此端口。 端口:1500 服务:RPC client fixed port session queries 说明:RPC客户固定端口会话查询 端口:1503 服务:NetMeeting T.120 说明:NetMeeting T.120 端口:1524 服务:ingress 说明:许多攻击脚本将安装一个后gateSHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。 端口:1600 服务:issd 说明:木马Shivka-Burka开放此端口。 端口:1720 服务:NetMeeting 说明:NetMeeting H.233 call Setup。 端口:1731 服务:NetMeeting Audio Call Control 说明:NetMeeting音频调用控制。 端口:1807 服务:【NULL】 说明:木马SpySender开放此端口。 端口:1981 服务:【NULL】 说明:木马ShockRave开放此端口。 端口:1999 服务:cisco identification port 说明:木马BackDoor开放此端口。 端口:2000 服务:【NULL】 说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。 端口:2001 服务:【NULL】 说明:木马Millenium 1.0、Trojan Cow开放此端口。 端口:2023 服务:xinuexpansion 4 说明:木马Pass Ripper开放此端口。 端口:2049 服务:NFS 说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。 端口:2115 服务:【NULL】 说明:木马Bugs开放此端口。端口:2140、3150 服务:【NULL】 说明:木马Deep Throat 1.0/3.0开放此端口。 端口:2500 服务:RPC client using a fixed port session replication 说明:应用固定端口会话复制的RPC客户 端口:2583 服务:【NULL】 说明:木马Wincrash 2.0开放此端口。 端口:2801 服务:【NULL】 说明:木马Phineas Phucker开放此端口。 端口:3024、4092 服务:【NULL】 说明:木马WinCrash开放此端口。 端口:3128 服务:squid 说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、发发发8。扫描这个端口的另一个原因是用户正在进入[屏蔽]。其他用户也会检验这个端口以确定用户的机器是否支持代理。 端口:3129 服务:【NULL】 说明:木马Master Paradise开放此端口。 端口:3150 服务:【NULL】 说明:木马The Invasor开放此端口。 端口:3210、4321 服务:【NULL】 说明:木马SchoolBus开放此端口 端口:3333 服务:dec-notes 说明:木马Prosiak开放此端口 端口:3389 服务:超级终端 说明:WINDOWS 2000终端开放此端口。 端口:3700 服务:【NULL】 说明:木马Portal of Doom开放此端口 端口:3996、4060 服务:【NULL】 说明:木马RemoteAnything开放此端口 端口:4000 服务:QQ客户端 说明:腾讯QQ客户端开放此端口。 端口:4092 服务:【NULL】 说明:木马WinCrash开放此端口。 端口:4590 服务:【NULL】 说明:木马ICQTrojan开放此端口。 端口:5000、5001、5321、50505 服务:【NULL】 说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。 端口:5400、5401、5402 服务:【NULL】 说明:木马Blade Runner开放此端口。 端口:5550 服务:【NULL】 说明:木马xtcp开放此端口。 端口:5569 服务:【NULL】 说明:木马Robo-Hack开放此端口。 端口:5632 服务:pcAnywere 说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。 端口:5742 服务:【NULL】 说明:木马WinCrash1.03开放此端口。 端口:6267 服务:【NULL】 说明:木马广外女生开放此端口。 端口:6400 服务:【NULL】 说明:木马The tHing开放此端口。 端口:6670、6671 服务:【NULL】 说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。 端口:6883 服务:【NULL】 说明:木马DeltaSource开放此端口。 端口:6969 服务:【NULL】 说明:木马Gatecrasher、Priority开放此端口。 端口:6970 服务:RealAudio 说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。 端口:7000 服务:【NULL】 说明:木马Remote Grab开放此端口。 端口:7300、7301、7306、7307、7308 服务:【NULL】 说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。端口:7323 服务:【NULL】 说明:Sygate服务器端。端口:7626 服务:【NULL】 说明:木马Giscier开放此端口。 端口:7789 服务:【NULL】 说明:木马ICKiller开放此端口。 端口:8000 服务:OICQ 说明:腾讯QQ服务器端开放此端口。 ' 端口:8010 服务:Wingate 说明:Wingate代理开放此端口。 端口:8080 服务:代理端口 说明:WWW代理开放此端口。 端口:9400、9401、9402 服务:【NULL】 说明:木马Incommand 1.0开放此端口。 端口:9872、9873、9874、9875、10067、10167 服务:【NULL】 说明:木马Portal of Doom开放此端口 端口:9989 服务:【NULL】 说明:木马iNi-Killer开放此端口。 端口:11000 服务:【NULL】 说明:木马SennaSpy开放此端口。端口:11223 服务:【NULL】 说明:木马Progenic trojan开放此端口。 端口:12076、61466 服务:【NULL】 说明:木马Telecommando开放此端口。 端口:12223 服务:【NULL】 说明:木马Hack'99 KeyLogger开放此端口。 端口:12345、12346 服务:【NULL】 说明:木马NetBus1.60/1.70、GabanBus开放此端口。 端口:12361 服务:【NULL】 说明:木马Whack-a-mole开放此端口。 端口:13223 服务:PowWow 说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。 端口:16969 服务:【NULL】 说明:木马Priority开放此端口。 端口:17027 服务:Conducent 说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。 端口:19191 服务:【NULL】 说明:木马蓝色火焰开放此端口。 端口:20000、20001 服务:【NULL】 说明:木马Millennium开放此端口。 端口:20034 服务:【NULL】 说明:木马NetBus Pro开放此端口。 端口:21554 服务:【NULL】 说明:木马GirlFriend开放此端口。 端口:22222 服务:【NULL】 说明:木马Prosiak开放此端口。 端口:23456 服务:【NULL】 说明:木马Evil FTP、Ugly FTP开放此端口。 端口:26274、47262 服务:【NULL】 说明:木马Delta开放此端口。端口:27374 服务:【NULL】 说明:木马Subseven 2.1开放此端口。 端口:30100 服务:【NULL】 说明:木马NetSphere开放此端口。 端口:30303 服务:【NULL】 说明:木马Socket23开放此端口。 端口:30999 服务:【NULL】 说明:木马Kuang开放此端口。 端口:31337、31338 服务:【NULL】 说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。 端口:31339 服务:【NULL】 说明:木马NetSpy DK开放此端口。 端口:31666 服务:【NULL】 说明:木马BOWhack开放此端口。 端口:33333 服务:【NULL】 说明:木马Prosiak开放此端口。 端口:34324 服务:【NULL】 说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。 端口:40412 服务:【NULL】 说明:木马The Spy开放此端口。 端口:40421、40422、40423、40426、 服务:【NULL】 说明:木马Masters Paradise开放此端口。 端口:43210、54321 服务:【NULL】 说明:木马SchoolBus 1.0/2.0开放此端口。 端口:44445 服务:【NULL】 说明:木马Happypig开放此端口。 端口:50766 服务:【NULL】 说明:木马Fore开放此端口。端口:53001 服务:【NULL】 说明:木马Remote Windows Shutdown开放此端口。 端口:65000 服务:【NULL】 说明:木马Devil 1.03开放此端口。 端口:88 说明:Kerberos krb5。另外TCP的88端口也是这个用途。 端口:137 说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。 端口:161 说明:Simple Network Management Protocol(SMTP)(简单网络管理协议) 端口:162 说明:SNMP Trap(SNMP陷阱) 端口:445 说明:Common Internet File System(CIFS)(公共Internet文件系统) 端口:464 说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。端口:500 说明:Internet Key Exchange(IKE)(Internet密钥交换) 端口:1645、1812 说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务) 端口:1646、1813 说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问)) 端口:1701 说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议) 端口:1801、3527 说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。 端口:2504 说明:Network Load Balancing(网络平衡负荷) 0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口 连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播
[Windows任务管理器] 详解在W2K/XP中,同时按下Ctrl+Alt+Del键,可以打开Windows任务管理器,单击“进程”,可以看到很多正在运行的EXE进程:【System Idle Process】:这是关键进程,只有16kB,循环统计CPU的空闲度,这个值越大越好。该进程不能被结束,该进程似乎没底于过25%,大多数情况下保持50%以上。【system】:system是windows页面内存管理进程,拥有0级优先。(当system后面出现.exe时是netcontroller木马病毒生成的文件,出现在c:\windows目录下,建议将其删除。)【explorer】:explorer.exe控制着标准的用户界面、进程、命令和桌面等。explorer.exe总是在后台运行,根据系统的字体、背景图片、活动桌面等情况的不同,通常会消耗5.8MB到36MB内存不等。(explorer.exe和Internet Explorer可不同)【IEXPLORE】:iexplore.exe是Microsoft对因特网的主要编程器.,这个微软视窗应用让你畅游网络有了地方。 iexplore.exe是非常必要的过程,不应终止,除非怀疑造成问题。它的作用是加快我们再一次打开IE的速度,当关闭所有IE窗口时,它将依然在后台运行。当我们用它上网冲浪时,占有7.3MB甚至更多的内存,内存随着打开浏览器窗口的增加也增多。【ctfmon】:这是安装了WinXP后,在桌面右下角显示的语言栏。如果不希望它出现,可通过下面的步骤取消:控制面板-区域和语言选项-语言-详细信息-文字服务和输入语言-(首选项)语言栏-语言栏设置-把在桌面上显示语言栏的勾取消。这样会为你节省4MB多的内存。【wowexec】:用于支持16位操作系统的关键进程,不能终止。【csrss】:这是Windows的核心部份之一,全称为Client Server Process。这个只有4K的进程经常消耗3MB到6MB左右的内存,不能终止,建议不要修改此进程。 【dovldr32】:为了节省内存,可以将禁止,它占用大约2.3MB到2.6MB的内存。【winlogon】:这个进程处理登录和注销任务,事实上,这个进程是必需的,它的大小和你登录的时间有关。【services】:services.exe是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,该进程系统禁止结束。【svchost】:Svchost.exe是属于微软windows操作系统的系统程序,用于执行dll文件。这个程序对你系统的正常运行是非常重要的。开机出现“Generic Host Process for Win32 Services遇到问题需要关闭”一般都是说的这个进程找不到dll文件所致。【msmsgs】:这是微软的Windows Messengr(即时通信软件)著名的MSN进程,在WinXP的家庭版和专业版里面绑定的,如果你还运行着Outlook和MSN Explorer等程序,该进程会在后台运行支持所有这些微软号称的很Cool的,NET功能等新技术。 【msn6】:这是微软在WinXP里面的MSN浏览器进程,当msmsgs.exe运行后才有这个进程。 【Point32】:这是安装了特殊的鼠标软件(Intellimouse等等)后启动的等程序,这不是系统必须的进程,通过用户许可协议安装。由于在WinXP里面内建了很多鼠标新功能,所以,就没有必要在系统后台运行,既浪费1.1MB到1.6MB的内存,还要在任务栏占个地方!【spoolsv】:用于将windows打印机任务发送给本地打印机,关闭以后一会又自己开开。【Promon】:这是Intel系列网卡配置和安装的程序,在任务栏显示图标控制程序,占据大约656KB到1.1MB的内存。 【smss】:只有45KB的大小却占据着300KB到2MB的内存空间,这是一个Windows的核心进程之一,是windowsNT内核的会话管理程序。 【taskmgr】:如果你看到了这个进程在运行,其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB的内存,当你优化系统时,不要忘了把它也算进去。 【Tastch】:在XP系统中安装了powerToys后会出现此进程,按Alt+Tab键显示切换图标,大约占用1.4MB到2MB的内存空间。【lsass】:本地安全权限服务。是微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略。【atievxx】:这是随ati显卡硬件产品驱动一起安装而来。它不是纯粹的系统程序,但如果终止它,可能会导致不可知的问题。【alg】:这是微软windows操作系统自带的程序。它用于处理微软windows网络连接共享和网络连接防火墙,这个程序对你系统的正常运行是非常重要的。
安全基础知识之进阶PING的高级用法对于Windows下ping命令相信大家已经再熟悉不过了,但是能把ping的功能发挥到最大的人却并不是很多,当然我也并不是说我可以让ping发挥最大的功能,我也只不过经常用ping这个工具,也总结了一些小经验,现在和大家分享一下。现在我就参照ping命令的帮助说明来给大家说说我使用ping时会用到的技巧,ping只有在安装了TCP/IP协议以后才可以使用:Copy codeping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j computer-list] │ [-k computer-list] [-w timeout] destination-list Options: -t Ping the specified host until stopped.To see statistics and continue - type Control-Break;To stop - type Control-C.不停的ping地方主机,直到你按下Control-C。此功能没有什幺特别的技巧,不过可以配合其它参数使用,将在下面提到。Copy code-a Resolve addresses to hostnames. 解析计算机NetBios名。示例:Copy codeC:\>ping -a 192.168.1.21 Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data: Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Ping statistics for 192.168.1.21: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms从上面就可以知道IP为192.168.1.21的计算机NetBios名为iceblood.yofor.com。Copy code-n count Number of echo requests to send.发送count指定的Echo数据包数。在默认情况下,一般都只发送四个数据包,通过这个命令可以自己定义发送的个数,对衡量网络速度很有帮助,比如我想测试发送50个数据包的返回的平均时间为多少,最快时间为多少,最慢时间为多少就可以通过以下获知:Copy codeC:\>ping -n 50 202.103.96.68 Pinging 202.103.96.68 with 32 bytes of data: Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Request timed out. ……………… Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Ping statistics for 202.103.96.68: Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds: Minimum = 40ms, Maximum = 51ms, Average = 46ms 从以上我就可以知道在给202.103.96.68发送50个数据包的过程当中,返回了48个,其中有两个由于未知原因丢失,这48个数据包当中返回速度最快为40ms,最慢为51ms,平均速度为46ms。Copy code-l size Send buffer size. 定义echo数据包大小。在默认的情况下windows的ping发送的数据包大小为32byt,我们也可以自己定义它的大小,但有一个大小的限制,就是最大只能发送65500byt,也许有人会问为什幺要限制到65500byt,因为Windows系列的系统都有一个安全漏洞(也许还包括其它系统)就是当向对方一次发送的数据包大于或等于65532时,对方就很有可能挡机,所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。虽然微软公司已经做了此限制,但这个参数配合其它参数以后危害依然非常强大,比如我们就可以通过配合-t参数来实现一个带有攻击性的命令:(以下介绍带有危险性,仅用于试验,请勿轻易施于别人机器上,否则后果自负)Copy codeC:\>ping -l 65500 -t 192.168.1.21 Pinging 192.168.1.21 with 65500 bytes of data: Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254 Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254 ………………这样它就会不停的向192.168.1.21计算机发送大小为65500byt的数据包,如果你只有一台计算机也许没有什幺效果,但如果有很多计算机那幺就可以使对方完全瘫痪,我曾经就做过这样的试验,当我同时使用10台以上计算机ping一台Win2000Pro系统的计算机时,不到5分钟对方的网络就已经完全瘫痪,网络严重堵塞,HTTP和FTP服务完全停止,由此可见威力非同小可。Copy code-f Set Don't Fragment flag in packet.在数据包中发送“不要分段”标志。在一般你所发送的数据包都会通过路由分段再发送给对方,加上此参数以后路由就不会再分段处理。Copy code-i TTL Time To Live. 指定TTL值在对方的系统里停留的时间。此参数同样是帮助你检查网络运转情况的。Copy code-v TOS Type Of Service. 将“服务类型”字段设置为 tos 指定的值。Copy code-r count Record route for count hops. 在“记录路由”字段中记录传出和返回数据包的路由。在一般情况下你发送的数据包是通过一个个路由才到达对方的,但到底是经过了哪些路由呢?通过此参数就可以设定你想探测经过的路由的个数,不过限制在了9个,也就是说你只能跟踪到9个路由,如果想探测更多,可以通过其它命令实现,我将在以后的文章中给大家讲解。以下为示例:Copy codeC:\>ping -n 1 -r 9 202.96.105.101 (发送一个数据包,最多记录9个路由) Pinging 202.96.105.101 with 32 bytes of data: Reply from 202.96.105.101: bytes=32 time=10ms TTL=249 Route: 202.107.20[屏蔽]7 -> 202.107.210.214 -> 61.153.112.70 -> 61.153.112.89 -> 202.96.105.149 -> 202.96.105.97 -> 202.96.105.101 -> 202.96.105.150 -> 61.153.112.90 Ping statistics for 202.96.105.101: Packets: Sent = 1, Received = 1, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 10ms, Maximum = 10ms, Average = 10ms从上面我就可以知道从我的计算机到202.96.105.101一共通过了202.107.20[屏蔽]7 ,202.107.210.214 , 61.153.112.70 , 61.153.112.89 , 202.96.105.149 , 202.96.105.97这几个路由。Copy code-s count Timestamp for count hops.指定 count 指定的跃点数的时间戳。此参数和-r差不多,只是这个参数不记录数据包返回所经过的路由,最多也只记录4个。Copy code-j host-list Loose source route along host-list.利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP 允许的最大数量为9。Copy code-k host-list Strict source route along host-list.利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP 允许的最大数量为9。Copy code-w timeout Timeout in milliseconds to wait for each reply.指定超时间隔,单位为毫秒。此参数没有什幺其它技巧。 ping命令的其它技巧:在一般情况下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情况下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,当然TTL的值在对方的主机里是可以修改的,Windows系列的系统可以通过修改注册表以下键值实现:Copy code[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "DefaultTTL"=dword:000000ff 255---FF 128---80 64----40 32----20
ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j computer-list] │ [-k computer-list] [-w timeout] destination-list Options: -t Ping the specified host until stopped.To see statistics and continue - type Control-Break;To stop - type Control-C.
-a Resolve addresses to hostnames.
C:\>ping -a 192.168.1.21 Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data: Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Ping statistics for 192.168.1.21: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms
-n count Number of echo requests to send.
C:\>ping -n 50 202.103.96.68 Pinging 202.103.96.68 with 32 bytes of data: Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Request timed out. ……………… Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Ping statistics for 202.103.96.68: Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds: Minimum = 40ms, Maximum = 51ms, Average = 46ms
-l size Send buffer size.
C:\>ping -l 65500 -t 192.168.1.21 Pinging 192.168.1.21 with 65500 bytes of data: Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254 Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254 ………………
-f Set Don't Fragment flag in packet.
-i TTL Time To Live.
-v TOS Type Of Service.
-r count Record route for count hops.
C:\>ping -n 1 -r 9 202.96.105.101 (发送一个数据包,最多记录9个路由) Pinging 202.96.105.101 with 32 bytes of data: Reply from 202.96.105.101: bytes=32 time=10ms TTL=249 Route: 202.107.20[屏蔽]7 -> 202.107.210.214 -> 61.153.112.70 -> 61.153.112.89 -> 202.96.105.149 -> 202.96.105.97 -> 202.96.105.101 -> 202.96.105.150 -> 61.153.112.90 Ping statistics for 202.96.105.101: Packets: Sent = 1, Received = 1, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 10ms, Maximum = 10ms, Average = 10ms
-s count Timestamp for count hops.
-j host-list Loose source route along host-list.
-k host-list Strict source route along host-list.
-w timeout Timeout in milliseconds to wait for each reply.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "DefaultTTL"=dword:000000ff 255---FF 128---80 64----40 32----20
引用第5楼9527!于2007-11-06 14:38发表的 :难得一见的好帖啊。。。。。
引用第6楼水哥于2007-11-06 14:44发表的 :不发了
引用第8楼9527!于2007-11-06 14:56发表的 :不会插队了吧。。。。。。。