洞洞！ | 原喵空间

正文

作者:系统

{"name":"安全宝典","sizeType":1,"icon":"","order":9999}

作者:beta

[i=s] 本帖最后由 beta 于 2010-2-15 13:31 编辑安全软件推荐： 360全套软件墨者安全专家超级巡警 COMODO Internet security Returnil virtual System 2010 Home Free 金山毒霸 pc tools Firewall Plus防火墙6.0 ————————————————————————————————————————————————— 360全套软件，以免费为本，推出了完全免费的360杀毒，以诚信为荣，倾听网友的意见，成了系统的首选安全软件。墨者安全专家，倾向隔离技术，属于安全辅助软件，让木马以低权限运行，达到无法破化系统的目的，但是用户要正常使用程序，必须右键，管理员身份运行，较麻烦，但也很安全。超级巡警，安全辅助工具，主要功能有系统关键位置保护，程序、网络行为监控；系统补丁检查及自动修复；检查启动项、进程、服务、端口等，并有未知项目高亮显示，禁止陌生进程创建等功能。他也可以查杀木马和病毒，但效果如何就请网友评论啦！ COMODO Internet security，COMODO推出的互联网安全套装。提供了针对网络和个人用户的高级别的保护，从而阻挡黑客的进入和个人资料的泄露。能够提供程序访问网络权限的底层最全面的控制能力，提供网络窃取的最终抵制，实时流量监视器可以在发生网络窃取和洪水攻击时迅速作出反应，通过简单的界面安装后，Comodo个人防火墙使您安全的连接到互联网。针对网络攻击的安全策略，能抵御黑客和网络欺诈。这套软件功能强大，防但是刚开始用要让他学习，每个程序的每一个动作他都会提示，虽然很麻烦，但是只要设置好了（运行一段时间）以后就方便多了。——推荐有耐心的人使用 Returnil virtual System 2010 Home Free，一款基于虚拟机原理的防毒防木马软件。可以瞬间把您的计算机用隔离罩保护起来，同时用一个内存中的虚假替身“影子”系统来接管真实的操作系统，任何病毒和木马都被限制在虚拟系统中使用，无法感染你真实的操作系统。重启后，所有危险即刻消失的无影无踪。该软件可通过360软件管家的软件卸载功能进行卸载。推荐一般很少存储资料，进行正常工作的人使用。金山毒霸，超大病毒库+智能主动防御+互联网可信认证病毒库病毒样本数量增加5倍；7×24小时全天候主动实时升级日最大病毒处理能力提高100倍；文件实时防毒紧急病毒响应时间缩短到1小时以内；智能主动漏洞修复采用快速漏洞补丁下载技术和漏洞数据自动收集技术；MSN 聊天加密功能网页防挂马，嵌入式防毒，隐私保护；木马/黑客防火墙邮件实时监控，垃圾邮件快捷过滤；智能主动漏洞修复采用快速漏洞补丁下载技术和漏洞数据自动收集技术；彻底查杀木马/病毒抢杀技术，首创流行病毒免疫器，定时杀毒恶意行为主动拦截金山网镖自动识别联网程序的安全性自保护能力提升新的病毒收集客户端模块集成金山清理专家在线系统诊断，集合系统修复工具系统安全增强计划在线客服，虚拟上门服务，一对一安全诊断 pc tools Firewall Plus防火墙6.0，款个人防火墙软件。用于防止未经授权的用户从互联网或网络进行入侵，保护您的电脑。Firewall Plus监控连接到网络的应用程序，能防止木马、后门、键盘监控和其他恶意程序破坏电脑、窃取私人信息。您可按默认设置启动应对攻击和已知漏洞的强有力防护措施，有经验的用户也可自行创建高级过滤规则—包括IPv6支持—来定制网络保护措施。软件下载地址： 360软件管家http://www.360.cn/ 金山毒霸点此进入官方下载

查看回复

个人系统安全保护入门

作者:beta

只要我们上网，病毒，木马似乎就是个永恒的话题．我在这里把自己在处理一些简易木马或者是非法的启动项的手工清除方法，高手当然都懂，我只是看到论坛里经常有人遇到这种问题，在这里也只是交流我的经验，不足之处也请指教：）网上的相关好教程也很多。 1.对待一般的非法随系统启动的程序（如弹出网页，打个某些程序，还有在后台执行的木马等）可以随机启动的地方很多，在这里我只介绍常被利用的地方，有的不常见。如果是win98,winme,winxp系统，直接在[开始]菜单的[运行]中输入msconfig -6,进入后，如下图所示：

在启动项里，根据“命令”栏，可以看到启动进程的路径及命令参数等，找到可疑的，将对勾去掉，一般的如果只有启动项目，后面的命令栏什么也没有，通常为非法的。如上图，可只留下杀毒的(kav)，防火墙(pfw)，ctfmon三个，其它的如MSMSGS是MSN的启动进程，另外两个更是不知道，去掉选择。如果确定某个进程是可疑的，记下路径，重启后删除之。如果是2000系统，因为没有msconfig，可以从98或是XP系统中系统中copy一份，也照样可以用，只是会弹出找不到＊＊的提示，确定后就能用，最方便的是用第三方的，毒霸很早出的一个注册表清理工具，比较方便，可以从这里下载： http://db.kingsoft.com/download/3/8.shtml 我比较喜欢直接对注册表修改，因为这样虽然麻烦，但是也是最直接的：）运行 regedit,进入注册表编辑器，启动项在注册表中主要有两个大位置，分别是第二项和第三项，HKEY_CURRENT_USER和HKEY_CURRENT_MACHINE 先依次展开： +HKEY_CURRENT_USER + Software +Microsoft 　　　+Windows 　　　　+CurrentVersion Run 　　　　　RunOnce　将这两个项的右侧的无用启动项，直接删除。再依次展开： +HKEY_CURRENT_MACHINE + SOFTWARE +Microsoft 　　　+Windows 　　　　+CurrentVersion 　Run RunOnce RunOnceEx 将以Run开头的这几个项，都打开看看，有很多木马之类的不是在run中，而是在runonceex等中,随机启动的通常都在这两个地方藏的：）有时候会有这样的情况，有些删除不了，或者有的一删除，刷新又出来了，这说明是有进程在监测注册表，这样的话，就需要先结束掉非法的进程，结束的方法在下面提到。并且现在的木马都有三进程的，所以非常的难缠。重启，再打开启动项时，如果启动组中原来删除的又来了，那么这个就需要用下面的方法来对付。 2.对付卷土重来的进程记下他的准备路径，将他的启动选项去掉，这里可以借用一个工具，进程查看工具，这个工具大家可以从海娃的网站上下载。并且站上的资源很丰富，可以学很多：） http://www.51windows.net/share/soft/prcview.zip

这个软件使用非常简单，执行后，所有的进程都会显示出来，找到启动项中类似的进程名，记下他的具体位置，结束掉进程后，找到位置删除掉，如果怕误删，可以直接给程序改扩展名也行。这个软件非常的实用，我一般都放Ｕ盘中，用这个软件所杀的进程，通常是杀毒软件查不出来是病毒的，其实也就是说，如果进程带病毒性质的，最好配合杀毒软件。另外就是对付木马的过程中，最好断开网络。由于水平有限，只希望这些会对您有些许启示。。。

查看回复

【转载】如何查杀电脑病毒

作者:beta

无论病毒怎样的狡猾，隐藏窍门有多么高超级，万变不离其踪，它在运行时总要用到进程。我们都可以从进程里查到它的蛛丝马迹，将它擒拿归案，就地正法病毒进程隐藏三法 1.偷梁换柱假如用户比较心细，那么上面这招就没用了，会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。假如一个进程的名字为svchost.EⅩE，和正常的进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”没法查看进程对应可执行文件这一缺陷。我们知道svchost.EⅩE进程对应的可执行文件位于“C:\WINDOWSystem32”目录下（Windows2000则是C:\WINNTystem32目录），假如病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.EⅩE，运行后，我们在“任务管理器”中看到的也是svchost.EⅩE，和正常的进程无异。你能分辩出其中哪一个是病毒的进程吗？ 2.以假乱真中的正常进程有：svchost.EⅩE、explorer.EⅩE、iexplore.EⅩE\、logon.EⅩE等，也许你发现过系统中存在这样的进程：svch0st.EⅩE、explore.EⅩE、iexplorer.EⅩE、winlogin.EⅩE。对照一下，发现差别了么？这是病毒常常使用的伎俩，目的便是疑惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却彻底不同。又或者多一个字母或少一个字母，例如explorer.EⅩE和iexplore.EⅩE原来就轻易搞混，再显现个iexplorer.EⅩE就更加混乱了。如果用户不认真，基本就忽略了，病毒的进程就逃过了一劫。 3.借尸还魂除了上文中的两种办法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂便是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，本质上系统进程已经被病毒控制了，除非我们借助专业的进程检测，否则要想发现隐藏在其中的病毒是很困难的。 4、系统进程解惑上文中提到了许多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功。 svchost.EⅩE 常被病毒冒充的进程名有：svch0st.EⅩE、schvost.EⅩE、scvhost.EⅩE。随着Windows系统服务不断增多，为了节省系统资源，微软把许多服务做成共享方式，交由svchost.EⅩE进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWSystem32\clipsrv.EⅩE”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWSystem32vchost.EⅩE -k LocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWSystem32vchost.EⅩE -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中显现多个svchost.EⅩE，其实只是系统的服务而已。在Windows2000系统中正常存在svchost.EⅩE进程，一个是RPCSS(RemoteProcedureCall)服务进程，别的一个则是由许多服务共享的一个svchost.EⅩE；而在WindowsXP中，则基本有4个以上的svchost.EⅩE服务进程。如果在xp和之前的系统中svchost.EⅩE进程的数量多于5个，就要小心了，很也许是病毒假冒的。但是到了Vista和Windows7时代，8-12个svchost进程都是正常的！是否为系统正常进程的检测办法也很简单，使用一些进程管理工具，例如Vista整合网站等大师的进程管理功能，查看svchost.EⅩE的可执行文件路径，如果在“C:\WINDOWSystem32”目录外，那么就可以判定是病毒了。最后这里奉劝各位上网下载上传下载使用要上正规的大网站，别上一些小网站，以免中毒，惹火上身，杀毒软件绝对要装好，搞裸奔，虽然很酷，但是后果也是很严重的。

查看回复

【转载】十二招让系统更安全！！！

作者:beta

1、保护密码即便是您对自己的记忆里充满信心，最好也保存一张含有密码的启动磁盘，这样万一您忘记了密码，还能够有方便的解决办法。具体操作步骤是，第一，找一张已格式化好的空白软盘，然后在任意的资源管理器窗口或IE 窗口的地址栏上键入“控制面板/ 用户账户”并回车，在“用户账户”窗口中选择您的账户，在相关的任务列表中，点击“阻止一个已忘记的密码”，然后根据后面的“忘记密码向导”的提示完成操作。 2、绕过忘记的密码假如您没有准备带有密码的引导盘，然后用其他的管理原级别的账户登录，按照第16条中的方法打开“用户账户”配置界面，选择忘记了密码的那个账户，点击“更改密码”，然后按照提示重新配置新的密码。小虫网络技术假如您无法使用另外一个管理员级别的用户名进行登录，请您重新启动电脑，然后在 Windows 启动标志出现时按“F8”键，进入Windows 的启动选项界面。使用上下键移动到“安全模式”然后按回车键。当您看到欢迎界面时，选择Administrator(这是个隐藏的账户，而且默认无需任何密码)，接下来的操作和第17条所描述的相同，重新配置账户密码，最后重新启动电脑。 3、成为一个Power User 在Windows 2000 中文版中称其为权限高的用户。当您以管理员用户登录系统的时候，您的系统容易受到特洛伊木马等恶意程式的攻击。当您以一个“Power User”登录系统时，就能够避免很多危险，而且您通常需要使用的功能基本上和管理原级别的用户相同，当然，假如有必要的话，转换回管理员级别的用户也比较方便。配置Power User的操作步骤如下：选择“开始”/“运行”，键入“lusrmgr.msc”命令行后回车，进入“本地用户和组”窗口，在左边点击“组”，然后双击右侧的“Administrators”。在这里您需要确认一下“成员”列表里有另外一个账户，即当您需要完全的管理原级别的权限时还能够用这个账户登录系统。选择您想降级的账户，点击“删除”*“确认”。接下来在左侧点击“Power Users”*“添加”，键入您指定的账户名称，最后点击“确认”2 次。 4、当一次临时管理员 Power user 能够运行管理员级别的程式，例如前面第3 条中提到的Lusrmgr.msc 程式，而无须注销再以管理员级别的账户重新登录。具体的操作是，在资源管理器中，按住键盘上的“Shift”键，然后用鼠标右键点击您想运行的程式或快捷方式，从弹出菜单中选择“运行方式”，然后选择“以下面的用户身份运行程式”(在Windows 2000 下)或“下列用户”(在Windows XP下)，然后键入您希望使用的管理员级别的用户身份名称和密码(假如有必要的话还需要键入域名)，最后点击“确认”即可。 5、使用Windows 的网络安装向导假如您是第一次连接电脑网络，Windows XP 的“网络安装向导”是个不错的选择，他能够一步一步地帮助您配置好各种细节。假如您想手动运行该向导，能够选择“开始”*“运行”，然后在命令行的位置键入“netsetup”，回车即可。 6 、安装无线网络当您在电脑中插入一块无线网络适配器时，XP会自动弹出一个“连接到无线网络”的对话框。用鼠标右键点击系统栏中的无线网络图标，然后在弹出菜单中选择“查看能够使用的无线网络”，并从中选择您指定的无线连接，最后点击“连接”按钮。假如您没有看到这个图标，请在“资源管理器”或文档夹窗口的地址栏键入“控制面板/网络连接”，然后用鼠标右键点击无线网络连接的图标。 7、连接到一个非安全的无线网络假如第6条技巧中提到的“连接到无线网络”对话框中的“连接”按钮无法使用(是灰色的)，该网络可能是缺少“和有线连接相对等的隐私保护”或更新版本的“Wi-Fi 保护安全连接”。假如您想解决这个问题，能够开启“允许我连接到选择的无线网络，即便是非安全的”项目。但是需要注意的是，这个时候您的隐私保护又可能出现问题。 8、自己动手完成无线网络连接在默认情况下，Windows XP会自动配置您的无线网络连接参数，也就是XP 所谓的“无线网络零配置功能”。但是假如您的无线设备随机附有自己的驱动程式，您最好还是把Windows的这项功能关掉。具体操作是，双击“网络连接” 窗口中的“无线网络连接”图标(如第6 条技巧所示)，或点击系统栏里该图标的缩小版。选择“属性”，然后在“无线网络连接属性”对话框中，点击“无线网络”，关闭“使用Windows来配置我的无线网络”，最后点击“确定”。 9、快速转换账户假如您的电脑内存足够大，您能够从一个账户很快地转换到另一个账户，而无需先注销第一个账户。具体操作步骤如下，点击“开始”*“注销”* “转换用户”。这项功能在您需要马上使用另一个账户的时候很有用，能够节省时间。但是那您能够并不喜欢这项功能，因为使用该功能可能带来系统运行的滞后，尤其是当您在运行游戏、系统工具或其他需要消耗大量系统资源的程式时，影响更加明显。 10、关闭快速用户转换功能前面提到的“快速用户转换”功能更有另外一个缺点，当您使用该功能时，您就无法使用 Windows 的“离线文档(Offline Files)”功能，该功能能够自动下载网页供您离线浏览。假如您想关闭“快速用户转换”功能，能够在任意一个“资源管理器”或IE浏览器的地址栏键入 “控制面板/用户账户”然后回车，然后在“用户账户”窗口中点击“更改用户登录或注销的方式”，关闭“使用快速用户转换”项目，最后点击“应用选项”即可。 11、关闭账户而不是删除账户假如某位员工要出一趟远门，长期离开公司，出于安全预防的考虑，您需要更改账户配置，但是您最好是不要直接删除该账户。这是因为以后重新建立该账户时，该员工的账户的权限就都不是以前的配置了，而且该员工也无法使用新账户来访问他自己的加密文档。假如您认为某个账户将来更有可能开启，您最好是关闭该账户而不是整个删除该账户，具体操作如下(在Windows XP的H o m e 版中该功能无法使用)：按Windows-R 组合键，键入“lusrmgr.msc”，然后按回车。点击“用户”文档夹，然后双击您要关闭的账户，打开“关闭该账户”项目，最后点击“确定”。假如您之后要重新开启该账户，只要在这里再次关闭该项目即可。 12、为已删除账户保留文档假如您很确定某员工的账户不会再使用了，您能够完全删除该账户并保存他的用户文档。具体操作步骤是：以一个管理员级别的账户身份登录系统，在 “资源管理器”或IE浏览器的地址栏里键入“控制面板/ 用户账户”，然后回车。下一步，选中您想删除的账户名，点击“删除账户”，然后点击“保留文档”按钮，最后点击“删除账户”按钮即可。经过这些操作，尽管该员工的账户已被完全删除，但是他的桌面配置连同“我的文档”中的任何文档还会被放到一个管理员账户桌面上的新建文档夹中进行保存。需要注意的是，该员工的电子邮件和其他配置在账户删除之后就完全地永远消失了。

查看回复

windows 2003安全设置大全-系统权限与安全配置_window 共有 0 条回复件

作者:beta

系统设置网上有一句话是“最小的权限+最少的服务=最大的安全”。此句基本上是个人都看过，但我好像没有看到过一篇讲的比较详细稍具全面的文章，下面就以我个人经验作一次教学尝试！最小的权限如何实现？ NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户，进入系统盘:权限如下 C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限 C:\WINDOWS 目录下面的权限也得注意如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限. 删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录删除C:\WINDOWSystem32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。打开C:\Windows 搜索 net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com; regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe 修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限关闭445端口 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters 新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0” 禁止建立空连接 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1] 禁止系统自动启动服务器共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0” 禁止系统自动启动管理共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0” 通过修改注册表防止小规模DDOS攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1” 禁止dump file的产生 dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。关闭华医生Dr.Watson 在开始-运行中输入“drwtsn32”，或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson，调出系统里的华医生Dr.Watson ，只保留“转储全部线程上下文”选项，否则一旦程序出错，硬盘会读很久，并占用大量空间。如果以前有此情况，请查找user.dmp文件，删除后可节省几十MB空间。本地安全策略配置开始 >程序 >管理工具 >本地安全策略 MSSQLServerADHelper Net Logon NetMeeting Remote Desktop Sharing Network Connections Network DDE Network DDE DSDM Network Location Awareness (NLA) Network Provisioning Service NT LM Security Support Provider Performance Logs and Alerts Plug and Play Portable Media Serial Number Service [微软反盗版工具，目前只针对多媒体类] Print Spooler Protected Storage Remote Access Auto Connection Manager Remote Access Connection Manager Remote Desktop Help Session Manager Remote Procedure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Removable Storage Resultant Set of Policy Provider Routing and Remote Access Secondary Logon Security Accounts Manager Server Shell Hardware Detection Smart Card Special Administration Console Helper SQLSERVERAGENT System Event Notification Task Scheduler TCP/IP NetBIOS Helper Telephony Telnet Terminal Services Terminal Services Session Directory Themes Uninterruptible Power Supply Upload Manager Virtual Disk Service Volume Shadow Copy WebClient Windows Audio [服务器没必要使用声音] Windows Firewall/Internet Connection Sharing (ICS) Windows Image Acquisition (WIA) Windows Installer Windows Management Instrumentation Windows Management Instrumentation Driver Extensions Windows Time Windows User Mode Driver framework WinHTTP Web Proxy Auto-Discovery Service Wireless Configuration WMI Performance Adapter Workstation World Wide Web Publishing Service 以上操作完成以后是否就“最小的权限+最少的服务=最大的安全”呢？其实不然，任何事物都是相对的依我个人而见，以上设置也只是最基本的一些东西而已，如有遗漏，稍后补上！

查看回复

xp如何加强系统安全？

作者:beta

winXP系统应该及时更新微软发布的漏洞，及时的把漏洞补丁打上。这样就不会让别人轻易利用漏洞来入侵你电脑了！开始菜单，运行，输入cmd，然后再输入netstat -an 这样可以查看本机所有开放的端口以后监听的Ip等信息。 Quote: 1、netstat 的一些常用选项 ·netstat –s 本选项能够按照各个协议分别显示其统计数据。如果我们的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么我们就可以用本选项来查看一下所显示的信息。我们需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。 ·netstat –e 本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量）。 ·netstat –r 本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的信息。除了显示有效路由外，还显示当前有效的连接。 ·netstat –a 本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接。 ·netstat –n 显示所有已建立的有效连接。下面说一下常见的漏洞的端口如何关闭： 1.关闭139端口:右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。 2.右击-网上邻居-属性/本地连接-属性，在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。 3.关闭445端口:打开注册表编辑器在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]下增加一个dword键项命名为"SmbDeviceEnabled"(不包含引号)将值设为0。 4。关闭3389端口:右击我的电脑，点属性--远程，把允许从这台计算机发送远程协助邀请前的勾去掉。 5。关闭135端口: 如何关闭135端口 Windows XP系统运行dcomcnfg，展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”；然后切换到“默认协议”，删除“面向连接的TCP/IP”。以上选项有对应的注册表键值，因此也可通过注册表来修改： HKEY_LOCAL_MACHINESOFTWAREMicrosoftOleEnableDCOM的值改为“N” HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpcDCOM Protocols 中删除“ncacn_ip_tcp” 此外，还需要停用“Distributed Transaction Coordinator”服务。重启之后， 135端口就没有了。关闭不必须用的服务: 在控制面板中找到管理工具在其下面打开服务。将下列的项目开闭： Server（先禁用，然后再停止掉。） Telnet（先禁用，然后再停止掉。）为了您的系统安全，最好将以上两个危险服务给关闭掉。还有下面的服务供自己选择来关闭。。。 Alerter ApplicationLayerGatewayService AutomaticUpdates ClipBook ComputerBrowse CryptographicServices DNSClient ErrorReportingService EventLog FastUserSwitchingCompatibility HelpandSupport HTTPSSL HumanInterfaceDeviceAccess IndexingService IMAPICD-BurningCOMService IPSECServices Messenger NetLogon NetMeetingRemoteDesktopSharing NetworkDDE NetworkDDEDSDM NetworkLocationAwareness NetworkProvisioningService NTLMSecuritySupportProvider PerformanceLogsandAlerts PortableMediaSerialNumberService RemoteAccessAutoConnectionManager RemoteDesktopHelpSessionManager RemoteProcedureCall(RPC)Locator RemoteRegistry RoutingandRemoteAccess SecondaryLogon SecurityCenter Server SmartCard SmartCardHelper SSDPDiscoveryService SystemRestoreService TaskScheduler TCP/IPNetBIOSHelper Telnet UninterruptiblePowerSupply UniversalPlugandPlayDeviceHost VolumeShadowCopy WebClient WirelessZeroConfiguration WMIPerformanceAdapter 在组策略下做下面的设定：开始--运行，输入gpedit.msc回车。 1.计算机配置--安全设置--安全选项启用: 交互式登录:不显示上次的用户名网络访问:不允许SAM账户的匿名枚举网络访问:不允许SAM账户和共享的匿名枚举网络访问:可远程访问的注册表路径下将所有选中点右键删除应用--确定 2.计算机配置--安全设置--用户权利指派从网络访问此计算机里边的所有用户全部删除从远端强制关机删除全部用户彻底关闭系统还原右击我的电脑点属性--系统还原--去掉在所有驱动器上关闭系统还原前的勾组策略里计算机配置--管理模板--windows组件--windowsInstaller--启用关闭创建系统还原检查点计算机配置--管理模板--系统--系统还原--启用关闭系统还原把以上都设置好了，大家再来检测一下自己机器有没有危险吧。。。 1.察看本地共享资源运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。 2.删除共享(每次输入一个） net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e，f，……可以继续删除） 3.删除ipc$空连接在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。做了以上的设置总是要比没有防护好得多。这样就会增加系统安全。从而保护您的系统不受别人入侵。

查看回复

关于瑞星恶意诽谤360后门的投票活动！！！

作者:beta

[i=s] 本帖最后由 beta 于 2010-2-10 12:08 编辑因为最近瑞星说奇虎360有后门，使的网友们忧心忡忡，到底该相信哪方呢？为了确实这一点，我举行了一次投票，让网友们评论一下！参考资料：http://www.360.cn/360chengqing.html

查看回复

如何让系统安全？

作者:beta

[i=s] 本帖最后由 beta 于 2010-2-9 11:22 编辑朋友们，这个话题是不是很无聊？不，其实对于那些电脑配置不好的朋友，就犯难了。现在的杀毒软件都要收费，而且会使系统很慢，就算买了软件，电脑也忘不了，成了垃圾了。怎么办？建议大家安装360安全卫士，因为是免费的，可以解决一部分金钱问题，最重要的是不占用系统资源，我想论坛一玩部分网友都有安装吧！接着当然是安装360杀毒了，快速轻巧，十分方便，还有免打扰模式，十分适合玩游戏的朋友。对了，你们别以为我为360做广告了，是这软件真的很好哦！以后有其他软件我还会推荐的！谢谢！:)

查看回复