常見病毒端口

-.z.常見病毒端口*glangzi發(fā)表于:2007-03-0908:18來源:

*度:0

瀏覽:(1081)

評(píng)論:(0)收藏

|復(fù)制地址

|

[舉報(bào)此文章]

|

大中小

|

引用

刪除

修改以下各種木馬及未授權(quán)被安裝的遠(yuǎn)程控制軟件均由于您沒有正確的設(shè)置您的管理員密碼造成的。請先檢查系統(tǒng)中所有**的口令是否設(shè)置的足夠平安。

口令設(shè)置要求：1.口令應(yīng)該不少于8個(gè)字符；

2.不包含字典里的單詞、不包括姓氏的漢語拼音；

3.同時(shí)包含多種類型的字符，比方

o大寫字母(A,B,C,..Z)

o小寫字母(a,b,c..z)

o數(shù)字(0,1,2,…9)

o標(biāo)點(diǎn)符號(hào)(,#,!,$,%,&…)注意：下文中提到的相關(guān)路徑根據(jù)您的操作系統(tǒng)版本不同會(huì)有所不同，請根據(jù)自己的系統(tǒng)做相應(yīng)的調(diào)整Win98系統(tǒng)：c:\Windowsc:\Windows\system

Winnt和Win2000系統(tǒng)：c:\Winntc:\Winnt\system32

Win*p系統(tǒng)：c:\Windowsc:\Windows\system32根據(jù)系統(tǒng)安裝的路徑不同，目錄所在盤符也可能不同，如系統(tǒng)安裝在D盤，請將C:\Windows改為D:\Windows依此類推大局部的木馬程序都可以改變默認(rèn)的效勞端口，我們應(yīng)該根據(jù)具體的情況采取相應(yīng)的措施，一個(gè)完整的檢查和刪除過程如下例所示：例：113端口木馬的去除〔僅適用于Windows系統(tǒng)〕：這是一個(gè)基于irc聊天室控制的木馬程序。1.首先使用netstat-an命令確定自己的系統(tǒng)上是否開放了113端口

2.使用fport命令觀察出是哪個(gè)程序在監(jiān)聽113端口

例如我們用fport看到如下結(jié)果：

PidProcessPortProtoPath

392svchost->113TCPC:\WinNT\system32\vhos.e*e

我們就可以確定在監(jiān)聽在113端口的木馬程序是vhos.e*e而該程序所在的路徑為c:\Winnt\system32下。

3.確定了木馬程序名〔就是監(jiān)聽113端口的程序〕后，在任務(wù)管理器中查找到該進(jìn)程，并使用管理器完畢該進(jìn)程。

4.在開場-運(yùn)行中鍵入regedit運(yùn)行注冊表管理程序，在注冊表里查找剛剛找到那個(gè)程序，并將相關(guān)的鍵值全部刪掉。

5.到木馬程序所在的目錄下刪除該木馬程序?！餐ǔＤ抉R還會(huì)包括其他一些程序，如rscan.e*e、pse*ec.e*e、ipcpass.dic、ipcscan.t*t等，根據(jù)木馬程序不同，文件也有所不同，你可以通過觀察程序的生成和修改的時(shí)間來確定與監(jiān)聽113端口的木馬程序有關(guān)的其他程序〕

6.重新啟動(dòng)機(jī)器。以以下出的端口僅為相關(guān)木馬程序默認(rèn)情況下開放的端口，請根據(jù)具體情況采取相應(yīng)的操作：707端口的關(guān)閉：這個(gè)端口開放表示你可能感染了nachi蠕蟲病毒，該蠕蟲的去除方法如下：

1、停頓效勞名為WinSClient和NetworkConnectionsSharing的兩項(xiàng)效勞

2、刪除c:\Winnt\SYSTEM32\WinS\目錄下的DLLHOST.E*E和SVCHOST.E*E文件

3、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services項(xiàng)中名為RpcTftpd和RpcPatch的兩個(gè)鍵值

1999端口的關(guān)閉：這個(gè)端口是木馬程序BackDoor的默認(rèn)效勞端口，該木馬去除方法如下：

1、使用進(jìn)程管理工具將notpa.e*e進(jìn)程完畢

2、刪除c:\Windows\目錄下的notpa.e*e程序

3、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)中包含c:\Windows\notpa.e*e/o=yes的鍵值2001端口的關(guān)閉：這個(gè)端口是木馬程序黑洞2001的默認(rèn)效勞端口，該木馬去除方法如下：

1、首先使用進(jìn)程管理軟件將進(jìn)程Windows.e*e殺掉

2、刪除c:\Winnt\system32目錄下的Windows.e*e和S_Server.e*e文件

3、編輯注冊表，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\項(xiàng)中名為Windows的鍵值

4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES項(xiàng)中的Winv*d項(xiàng)刪除

5、修改HKEY_CLASSES_ROOT\t*tfile\shell\open\mand項(xiàng)中的c:\Winnt\system32\S_SERVER.E*E%1為C:\WinNT\NOTEPAD.E*E%1

6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\t*tfile\shell\open\mand項(xiàng)中的c:\Winnt\system32\S_SERVER.E*E%1鍵值改為C:\WinNT\NOTEPAD.E*E%12023端口的關(guān)閉：這個(gè)端口是木馬程序Ripper的默認(rèn)效勞端口，該木馬去除方法如下：

1、使用進(jìn)程管理工具完畢sysrunt.e*e進(jìn)程

2、刪除c:\Windows目錄下的sysrunt.e*e程序文件

3、編輯system.ini文件，將shell=e*plorer.e*esysrunt.e*e改為shell=e*plorer.e*e后保存

4、重新啟動(dòng)系統(tǒng)2583端口的關(guān)閉：這個(gè)端口是木馬程序Wincrashv2的默認(rèn)效勞端口，該木馬去除方法如下：

1、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項(xiàng)中的WinManager="c:\Windows\server.e*e"鍵值

2、編輯Win.ini文件，將run=c:\Windows\server.e*e改為run=后保存退出

3、重新啟動(dòng)系統(tǒng)后刪除C:\Windows\system\SERVER.E*E3389端口的關(guān)閉：首先說明3389端口是Windows的遠(yuǎn)程管理終端所開的端口，它并不是一個(gè)木馬程序，請先確定該效勞是否是你自己開放的。如果不是必須的，請關(guān)閉該效勞。Win2000關(guān)閉的方法：1、Win2000server開場-->程序-->管理工具-->效勞里找到TerminalServices效勞項(xiàng)，選中屬性選項(xiàng)將啟動(dòng)類型改成手動(dòng)，并停頓該效勞。

2、Win2000pro開場-->設(shè)置-->控制面板-->管理工具-->效勞里找到TerminalServices效勞項(xiàng)，選中屬性選項(xiàng)將啟動(dòng)類型改成手動(dòng)，并停頓該效勞。Win*p關(guān)閉的方法：在我的電腦上點(diǎn)右鍵選屬性-->遠(yuǎn)程，將里面的遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面兩個(gè)選項(xiàng)框里的勾去掉。4444端口的關(guān)閉：如果發(fā)現(xiàn)你的機(jī)器開放這個(gè)端口，可能表示你感染了msblast蠕蟲，去除該蠕蟲的方法如下：

1、使用進(jìn)程管理工具完畢msblast.e*e的進(jìn)程

2、編輯注冊表，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng)中的"Windowsautoupdate"="msblast.e*e"鍵值

3、刪除c:\Winnt\system32目錄下的msblast.e*e文件4899端口的關(guān)閉：首先說明4899端口是一個(gè)遠(yuǎn)程控制軟件〔remoteadministrator)效勞端監(jiān)聽的端口，他不能算是一個(gè)木馬程序，但是具有遠(yuǎn)程控制功能，通常殺毒軟件是無法查出它來的，請先確定該效勞是否是你自己開放并且是必需的。如果不是請關(guān)閉它。

關(guān)閉4899端口：1、請?jiān)陂_場-->運(yùn)行中輸入cmd(98以下為mand),然后cdC:\Winnt\system32(你的系統(tǒng)安裝目錄〕，輸入r_server.e*e/stop后按回車。

然后在輸入r_server/uninstall/silence

2、到C:\Winnt\system32(系統(tǒng)目錄〕下刪除r_server.e*eadmdll.dllraddrv.dll三個(gè)文件

5800，5900端口：首先說明5800，5900端口是遠(yuǎn)程控制軟件VNC的默認(rèn)效勞端口，但是VNC在修改正后會(huì)被用在*些蠕蟲中。

請先確認(rèn)VNC是否是你自己開放并且是必須的，如果不是請關(guān)閉關(guān)閉的方法：

1、首先使用fport命令確定出監(jiān)聽在5800和5900端口的程序所在位置〔通常會(huì)是c:\Winnt\fonts\e*plorer.e*e)

2、在任務(wù)管理器中殺掉相關(guān)的進(jìn)程〔注意有一個(gè)是系統(tǒng)本身正常的，請注意！如果錯(cuò)殺可以重新運(yùn)行c:\Winnt\e*plorer.e*e)

3、刪除C:\Winnt\fonts\中的e*plorer.e*e程序。

4、刪除注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng)中的E*plorer鍵值。

5、重新啟動(dòng)機(jī)器。

6129端口的關(guān)閉：首先說明6129端口是一個(gè)遠(yuǎn)程控制軟件〔damewarentutilities)效勞端監(jiān)聽得端口，他不是一個(gè)木馬程序，但是具有遠(yuǎn)程控制功能，通常的殺毒軟件是無法查出它來的。請先確定該效勞是否是你自己安裝并且是必需的，如果不是請關(guān)閉。

關(guān)閉6129端口：1、選擇開場-->設(shè)置-->控制面板-->管理工具-->效勞

找到DameWareMiniRemoteControl項(xiàng)點(diǎn)擊右鍵選擇屬性選項(xiàng)，將啟動(dòng)類型改成禁用后停頓該效勞。

2、到c:\Winnt\system32(系統(tǒng)目錄〕下將DWRCS.E*E程序刪除。

3、到注冊表內(nèi)將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\項(xiàng)中的DWRCS鍵值刪除6267端口的關(guān)閉：6267端口是木馬程序廣外女生的默認(rèn)效勞端口，該木馬刪除方法如下：

1、啟動(dòng)到平安模式下，刪除c:\Winnt\system32\下的DIAGFG.E*E文件

2、到c:\Winnt目錄下找到regedit.e*e文件，將該文件的后綴名改為.

3、選擇開場-->運(yùn)行輸入regedit.進(jìn)入注冊表編輯頁面

4、修改HKEY_CLASSES_ROOT\e*efile\shell\open\mand項(xiàng)的鍵值為"%1"%*

5、刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices項(xiàng)中名字為DiagnosticConfiguration的鍵值

6、將c:\Winnt下的regedit.改回到regedit.e*e6670、6771端口的關(guān)閉：這些端口是木馬程序DeepThroatv1.0-3.1默認(rèn)的效勞端口，去除該木馬的方法如下：

1、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run項(xiàng)中的‘System32‘=c:\Windows\system32.e*e鍵值〔版本1.0〕或‘SystemTray‘=‘Systray.e*e‘鍵值〔版本2.0-3.0)鍵值

3、重新啟動(dòng)機(jī)器后刪除c:\Windows\system32.e*e〔版本1.0〕或c:\Windows\system\systray.e*e〔版本2.0-3.0〕6939端口的關(guān)閉：這個(gè)端口是木馬程序Indoctrination默認(rèn)的效勞端口，去除該木馬的方法如下：

1、編輯注冊表，刪除

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\

四項(xiàng)中所有包含Msgsrv16="msgserv16.e*e"的鍵值

2、重新啟動(dòng)機(jī)器后刪除C:\Windows\system\目錄下的msgserv16.e*e文件6969端口的關(guān)閉：這個(gè)端口是木馬程序PRIORITY的默認(rèn)效勞端口，去除該木馬的方法如下：

1、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices項(xiàng)中的"PServer"=C:\Windows\System\PServer.e*e鍵值

2、重新啟動(dòng)系統(tǒng)后刪除C:\Windows\System\目錄下的PServer.e*e文件7306端口的關(guān)閉：這個(gè)端口是木馬程序網(wǎng)絡(luò)精靈的默認(rèn)效勞端口，該木馬刪除方法如下：

1、你可以使用fport觀察7306端口由哪個(gè)程序監(jiān)聽，記下程序名稱和所在的路徑

2、如果程序名為Netspy.e*e，你可以在命令行方式下到該程序所在目錄輸入命令Netspy.e*e/remove來刪除木馬

3、如果是其他名字的程序，請先在進(jìn)程中完畢該程序的進(jìn)程，然后到相應(yīng)目錄下刪除該程序

4、編輯注冊表，將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices項(xiàng)中與該程序有關(guān)的鍵值刪除7511端口的關(guān)閉：7511是木馬程序聰明基因的默認(rèn)連接端口，該木馬刪除方法如下：

1、首先使用進(jìn)程管理工具殺掉MBBManager.e*e這個(gè)進(jìn)程

2、刪除c:\Winnt〔系統(tǒng)安裝目錄〕中的MBBManager.e*e和E*plore32.e*e程序文件，刪除c:\Winnt\system32目錄下的editor.e*e文件

3、編輯注冊表，刪除注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)中內(nèi)容為C:\WinNT\MBBManager.e*e鍵名為MainBroadBackManager的項(xiàng)

4、修改注冊表HKEY_CLASSES_ROOT\t*tfile\shell\open\mand中的c:\Winnt\system32\editor.e*e%1改為c:\Winnt\NOTEPAD.E*E%1

5、修改注冊表HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\mand項(xiàng)中的C:\WinNT\e*plore32.e*e%1鍵值改為C:\WinNT\WinHLP32.E*E%17626端口的關(guān)閉：7626是木馬冰河的默認(rèn)開放端口〔這個(gè)端口可以改變〕，木馬刪除方法如下：

1、啟動(dòng)機(jī)器到平安模式下，編輯注冊表，刪除HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run項(xiàng)中內(nèi)容為c:\Winnt\system32\Kernel32.e*e的鍵值

2、刪除HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Runservices項(xiàng)中內(nèi)容為C:\Windows\system32\Kernel32.e*e的鍵值

3、修改HKEY_CLASSES_ROOT\t*tfile\shell\open\mand項(xiàng)下的C:\Winnt\system32\Syse*plr.e*e%1為C:\Winnt\notepad.e*e%1

4、到C:\Windows\system32\下刪除文件Kernel32.e*e和Syse*plr.e*e8011端口的關(guān)閉：8011端口是木馬程序WAY2.4的默認(rèn)效勞端口，該木馬刪除方法如下：

1、首先使用進(jìn)程管理工具殺掉msgsvc.e*e的進(jìn)程

2、到C:\Windows\system目錄下刪除msgsvc.e*e文件

3、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)中內(nèi)容為C:\WinDOWS\SYSTEM\msgsvc.e*e的鍵值9989端口的關(guān)閉：這個(gè)端口是木馬程序InIkiller的默認(rèn)效勞端口，該木馬刪除方法如下：

1、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項(xiàng)中的E*plore="C:\Windows\bad.e*e"鍵值

2、重新啟動(dòng)系統(tǒng)后刪除C:\Windows目錄下的bad.e*e程序文件19191端口的關(guān)閉：這個(gè)端口是木馬程序蘭色火焰默認(rèn)開放的telnet端口，該木馬關(guān)閉方法如下：

1、使用管理工具完畢進(jìn)程tasksvc.e*e

2、刪除c:\Windows\system目錄下的tasksvc.e*e、syse*pl.e*e、bfhook.dll三個(gè)文件

3、編輯注冊表，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng)中的NetworkServices=C:\WinDOWS\SYSTEM\tasksvc.e*e鍵值

4、將注冊表HKEY_CLASSES_ROOT\t*tfile\shell\open\mand項(xiàng)中的C:\WinDOWS\SYSTEM\syse*pl.e*e"%1"鍵值改為c:\Windows\notepad.e*e"%1"鍵值

5、將注冊表HKEY_LOCAL_MACHINE\Software\CLASSES\t*tfile\shell\open\mand項(xiàng)中的C:\WinDOWS\SYSTEM\syse*pl.e*e"%1鍵值"改為c:\Windows\notepad.e*e"%1"1029端口和20218端口：這兩個(gè)端口是lovgate蠕蟲所開放的后門端口。

蠕蟲相關(guān)信息請參見：Lovgate蠕蟲

你可以下載專殺工具：Fi*LGate.e*e

使用方法：下載后直接運(yùn)行，在該程序運(yùn)行完畢后重起機(jī)器后再運(yùn)行一遍該程序。

23444端口的關(guān)閉方法：這個(gè)端口是木馬程序網(wǎng)絡(luò)公牛的默認(rèn)效勞端口，關(guān)閉該木馬的方法如下：

1、進(jìn)入平安模式，刪除c:\Winnt\system32\下的CheckDll.e*e文件

2、將系統(tǒng)中的如下文件的大小與正常系統(tǒng)中的文件大小比擬，如果大小不一樣請刪除，然后將正常的文件拷貝回來，需要檢查的文件包括：

notepad.e*e；write.e*e，regedit.e*e，Winmine.e*e，Winhelp.e*e

3、替換回正常文件后進(jìn)入注冊表編輯狀態(tài)，刪除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng)中的"CheckDll.e*e"="C:\WinNT\SYSTEM32\CheckDll.e*e"鍵值

4、刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中的"CheckDll.e*e"="C:\WinNT\SYSTEM32\CheckDll.e*e"鍵值

5、刪除HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run中的"CheckDll.e*e"="C:\WinNT\SYSTEM32\CheckDll.e*e"鍵值請注意該病毒還可能會(huì)捆綁在其他應(yīng)用軟件上，請檢查你的軟件大小是否有異，如果有請卸載后重裝27374端口的關(guān)閉方法：這個(gè)端口是木馬程序SUB7的默認(rèn)效勞端口，關(guān)閉該木馬方法如下：

1、首先使用fport軟件確定出27374端口由哪個(gè)程序翻開，記下程序名稱和所在的路徑。

2、編輯注冊表，將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)中包含剛剛使用fport觀察出的文件名的鍵值刪除

3、將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServic項(xiàng)中包含剛剛使用fport觀察出的文件名的鍵值刪除

4、在進(jìn)程中將剛剛觀察的文件進(jìn)程殺掉，如果殺不掉請到效勞中將關(guān)聯(lián)該程序的效勞關(guān)掉〔效勞名應(yīng)該是剛剛在注冊表RunServic中看到的〕

5、編輯Win.ini文件，檢查"run=〞后有沒有剛剛的文件名，如有則刪除之

6、編輯system.ini文件，檢查"shell=e*plorer.e*e〞后有沒有剛剛那個(gè)文件，如有將它刪除

7、到相應(yīng)的目錄中將剛剛查到的文件刪除。30100端口的關(guān)閉：這個(gè)端口是木馬程序NetSphere默認(rèn)的效勞端口，去除該木馬方法如下：

1、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項(xiàng)中的NSS*="C:\WinDOWS\system\nss*.e*e"鍵值

2、刪除HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的NSS*="C:\WinDOWS\system\nss*.e*e"鍵值

3、刪除HKEY_USERS\****\Software\Microsoft\Windows\CurrentVersion\Run中的NSS*="C:\WinDOWS\system\nss*.e*e"鍵值

4、重新啟動(dòng)系統(tǒng)后刪除刪除C:\WinDOWS\system\目錄下的nss*.e*e文件31337端口的關(guān)閉：這個(gè)端口是木馬程序BO2000的默認(rèn)效勞端口，去除該木馬方法如下：

1、將機(jī)器啟動(dòng)到平安模式狀態(tài)

2、編輯注冊表，刪除\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicse項(xiàng)中包含Umgr32.e*e的鍵值

3、刪除\Windows\System目錄下的Umgr32.e*e程序

4、重新啟動(dòng)機(jī)器45576端口：這是一個(gè)代理軟件的控制端口，請先確定該代理軟件并非你自己安裝〔代理軟件會(huì)給你的機(jī)器帶來額外的流量〕

關(guān)閉代理軟件：

1.請先使用fport觀察出該代理軟件所在的位置

2.在效勞中關(guān)閉該效勞〔通常為SkSocks〕，將該效勞關(guān)掉。

3.到該程序所在目錄下將該程序刪除。50766端口的關(guān)閉：這個(gè)端口是木馬程序SchWindler的默認(rèn)效勞端口，去除該木馬的方法如下：

1、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項(xiàng)中的User.e*e="C:\WinDOWS\User.e*e"鍵值

2、重新啟動(dòng)機(jī)器后刪除c:\Windows\目錄下的user.e*e文件61466端口的關(guān)閉：這個(gè)端口是木馬程序Telemando的默認(rèn)效勞端口，關(guān)閉該木馬程序方法如下：

1、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\中的SystemApp＝"ODBC.E*E"鍵值

2、重新啟動(dòng)機(jī)器后刪除C:\Windows\system\目錄下的ODBC.E*E文件

網(wǎng)絡(luò)端口平安防護(hù)技巧

眾所周知，計(jì)算機(jī)之間通信是通過端口進(jìn)展的，例如你訪問一個(gè)時(shí)，Windows就會(huì)在本機(jī)開一個(gè)端口〔例如1025端口〕，然后去連接遠(yuǎn)方效勞器的一個(gè)端口，別人訪問你時(shí)也是如此。默認(rèn)狀態(tài)下，Windows會(huì)在你的電腦上翻開許多效勞端口，黑客常常利用這些端口來實(shí)施入侵，因此掌握端口方面的知識(shí)，是平安上網(wǎng)必備的技能。

一、常用端口及其分類

電腦在Internet上相互通信需要使用TCP/IP協(xié)議，根據(jù)TCP/IP協(xié)議規(guī)定，電腦有256×256〔65536〕個(gè)端口，這些端口可分為TCP端口和UDP端口兩種。如果按照端口號(hào)劃分，它們又可以分為以下兩大類：

1.系統(tǒng)保存端口〔從0到1023〕

這些端口不允許你使用，它們都有確切的定義，對(duì)應(yīng)著因特網(wǎng)上常見的一些效勞，每一個(gè)翻開的此類端口，都代表一個(gè)系統(tǒng)效勞，例如80端口就代表Web效勞。21對(duì)應(yīng)著FTP，25對(duì)應(yīng)著SMTP、110對(duì)應(yīng)著POP3等.2.動(dòng)態(tài)端口〔從1024到65535〕

當(dāng)你需要與別人通信時(shí)，Windows會(huì)從1024起，在本機(jī)上分配一個(gè)動(dòng)態(tài)端口，如果1024端口未關(guān)閉，再需要端口時(shí)就會(huì)分配1025端口供你使用，依此類推。

但是有個(gè)別的系統(tǒng)效勞會(huì)綁定在1024到49151的端口上，例如3389端口〔遠(yuǎn)程終端效勞〕。從49152到65535這一段端口，通常沒有捆綁系統(tǒng)效勞，允許Windows動(dòng)態(tài)分配給你使用。

二、如何查看本機(jī)開放了哪些端口

在默認(rèn)狀態(tài)下，Windows會(huì)翻開很多"效勞端口〞，如果你想查看本機(jī)翻開了哪些端口、有哪些電腦正在與本機(jī)連接，可以使用以下兩種方法。

1.利用netstat命令

Windows提供了netstat命令，能夠顯示當(dāng)前的TCP/IP網(wǎng)絡(luò)連接情況，注意：只有安裝了TCP/IP協(xié)議，才能使用netstat命令。

操作方法：單擊"開場→程序→附件→命令提示符〞，進(jìn)入DOS窗口，輸入命令netstat-na回車，于是就會(huì)顯示本機(jī)連接情況及翻開的端口.其中LocalAddress代表本機(jī)IP地址和翻開的端口號(hào)〔圖中本機(jī)翻開了135端口〕，F(xiàn)oreignAddress是遠(yuǎn)程計(jì)算機(jī)IP地址和端口號(hào)，State說明當(dāng)前TCP的連接狀態(tài)，LISTENING是監(jiān)聽狀態(tài)，說明本機(jī)正在翻開135端口監(jiān)聽，等待遠(yuǎn)程電腦的連接。

如果你在DOS窗口中輸入了netstat-nab命令，還將顯示每個(gè)連接都是由哪些程序創(chuàng)立的，上面提到的本機(jī)在135端口監(jiān)聽，就是由svchost.e*e程序創(chuàng)立的，該程序一共調(diào)用了5個(gè)組件〔WS2_32.dll、RPCRT4.dll、rpcss.dll、svchost.e*e、ADVAPI32.dll〕來完成創(chuàng)立工作。如果你發(fā)現(xiàn)本機(jī)翻開了可疑的端口，就可以用該命令觀察它調(diào)用了哪些組件，然后再檢查各組件的創(chuàng)立時(shí)間和修改時(shí)間，如果發(fā)現(xiàn)異常，就可能是中了木馬。

2.使用端口監(jiān)視類軟件

與netstat命令類似，端口監(jiān)視類軟件也能查看本機(jī)翻開了哪些端口，這類軟件非常多，著名的有Tcpview、PortReporter、綠鷹PC萬能精靈、網(wǎng)絡(luò)端口查看器等，推薦你上網(wǎng)時(shí)啟動(dòng)Tcpview，密切監(jiān)視