修改服务器端口.doc

修改服务器端口.doc 屏蔽端口防止帐号被盗 大家知道，如果服务器的超级管理员帐号或者特权用户的帐号被盗用的话，那么服务器的所有隐私信息都可能会被“任人宰割”;很显然，阻止管理员帐号或特权用户帐号被非法盗用，是保护服务器信息安全的一种途径之一。要想保护好各种帐号信息，除了管理人员自己要小心、细致外，还要想办法“切断”非法用户获取帐号的“通道”;一般来说，黑客或者非法攻击者窃取服务器管理员帐号时，往往都会通过服务器的3389端口来进行的，要是我们能想办法将通往该端口的信息屏蔽掉的话，就能阻止非法攻击者来轻易窃取服务器的各种帐号信息了，这样的话服务器安全就能得到一定程度的保证。要想将3389端口暂时屏蔽掉的话，你可以按照下面的方法来进行: 在屏蔽Windows XP服务器系统中的3389端口时，你可以右击系统桌面中的“我的电脑”，然后执行右键菜单中的“属性”命令，在弹出的属性设置对话框中，选中“远程”选项卡，接着在对应的选项设置页面中，将“允许用户远程连接到这台计算机”的选中状态以及“允许从这台计算机发送远程协助邀请”的选中状态都取消掉(如图1所示)，再单击设置窗口中的“确定”按钮，就可以实现间接屏蔽Windows XP服务器系统3389端口的目的了。 图1 要想暂时屏蔽Windows 2000或Windows 2003服务器中的3389端口时，只要将服务器的系统服务“Terminal Services”停用掉就可以了。在停用“Terminal Services”系统服务时，可以依次单击“开始”/“运行”命令，在随后打开的系统运行框中，执行服务策略编辑命令“services.msc”，接着服务器系统将自动打开一个服务列表窗口;双击该窗口中的“Terminal Services”选项名称，打开如图2所示的服务属性设置窗口，检查该窗口中的服务启动状态是否为“已禁用”，要是不是的话，那你必须先单击该窗口中的“停止”按钮，再从启动类型下拉列表中选中“已禁用”选项，之后单击一下“确定”按钮就OK了。 更改端口防止非法连接 尽管通过屏蔽3389端口的方法，可以有效地保证服务器的安全，可这么一来就会影响到网络管理人员对服务器的远程连接和远程管理了;那么有没有办法既能保证服务器的帐号不被轻易窃取，又能保证网络管理人员可以正常对服务器进行远程管理和远程维护呢,答案是肯定的，只要你想办法将终端服务器缺省的3389端口号码，修改成其他非法用户不知道的端口号码，就能防止普通用户随意与服务器建立非法连接了。 在修改缺省的3389端口号码时，你可以依次单击“开始”/“运行”命令，在打开的系统运行对话框中，执行注册表编辑命令“Regedit”，在随后出现的注册表编辑界面中，用鼠标逐一展开注册表分支 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，如图3所示; 图3 在对应“tcp”分支的右边子窗口中，选中“PortNumber”双字节值，并用鼠标双击之，在随后打开的数值设置窗口中，选中“十进制”选项，这样你将看到缺省的终端服务端口号码为“3389”，此时你可以在“数值数据”文本框中输入其他的端口号码，不过该号码千万不能与系统中已经存在的号码相同，否则的话就容易造成端口号码发生冲突现象，从而影响服务器系统的正常运行。比方说，你要将服务器的终端服务端口号码修改为“98765”，那么只要先选中“十进制”选项，再在“数值数据”文本框中输入数字“98765”，如图4所示;接着将鼠标再定位于注册表分支 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp上，再在对应“RDP-Tcp”分支的右边子窗口中，双击“PortNumber”双字节值，然后在对应的数值设置窗口中，输入新的数字“98765”，再单击“确定”按钮，最后把服务器系统重新启动一下，这样服务器的终端服务端口号码就成了“98765”了。 图4 当然，一旦服务器中的默认终端服务端口号码被修改掉后，其他用户就无法正常连接到终端服务器中了。要想重新与服务器保持连接，就要求用户在客户端也要修改一下终端服务端口号。在修改客户端的终端服务端口号时，可以先打开系统的运行对话框，然后在其中执行远程桌面连接命令“mstsc.exe”，在随后出现的设置对话框中，单击“选项”按钮，打开如图5所示的设置界面。 图5 单击该设置界面中的“本地资源”标签，然后在对应的标签页面中设置好相关的参数后(也可以使用默认参数)，单击“常规”标签，并在该标签页面中单击“另存为”按钮，这样就能将刚才的远程桌面连接设置参数保存成一个扩展名为rdp的配置文件; 保存操作完毕后，打开系统资源管理器窗口，找到刚才保存的配置文件，并用写字板之类的文本编辑工具将其打开，随后你就能看到具体的参数配置代码;此时你可以在编辑区域中自行插入一行，并且输入代码“ server port:i:98765”，然后执行“文件”/“另存为”命令，将该配置文件换名存储。之后，再返回到图5界面中的“常规”标签页面中，单击“打开”按钮，在随后出现的文件选择对话框中，将新生成的rdp配置文件导入进来，最后单击“连接”按钮，就能确保客户端自动与新的终端服务端口号“98765”建立连接了。而对于那些不知道新终端服务端口号码的用户来说，他们就无法与终端服务器建立连接，这样他们就不会威胁到服务器的安全了。 全程跟踪端口活动状态 任何黑客在攻击服务器系统时，都会在系统端口处留下访问痕迹，因此及时对服务器端口的运行状态进行跟踪记录，就能了解到服务器的安全状态。一旦发现有陌生端口被打开，或者某个端口运行了陌生的应用程序时，网络管理人员就必须立即切断网络连接，然后采取相应的应对措施，来保证服务器拒绝受到外来攻击。要想全程跟踪服务器的端口活动状态，单纯依靠人工行为肯定是不行的;为此，网络管理人员还必须借助专业的端口信息查 看工具的帮忙，本文下面就以Port Reporter工具为例，来向各位详细介绍一下如何对服务器的端口工作状态进行监视和查看: 首先到网上将Port Reporter工具下载下来，并用专业的解压工具将其释放到临时目录;接着双击临时目录中的“pr-setup.exe”文件，就能将该程序安装到服务器系统中。当然，该程序在安装结束后，不会象其他Windows应用程序那样在系统桌面上或者开始菜单中，留下Port Reporter的快捷图标，这样一来网络管理人员就不能按常规方法来启动该程序了; 要想顺利启动好Port Reporter程序，必须依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入服务策略编辑命令“Services.msc”，在打开的系统服务列表界面中，你会发现多了一项“Port Reporter”选项;用鼠标双击该选项，打开如图6所示的服务属性设置窗口，从该窗口中你不难发现，在默认状态下，“Port Reporter”服务是停止的，要想启用该服务，只要单击该窗口的“启动”按钮就可以了;一旦启用了该服务，那么服务器的所有开放端口的运行状态，都会受到Port Reporter工具自动跟踪和记忆，并且将跟踪和记忆的结果保存在“%systemroot%\System32\LogFiles\PortReporter”目录中;当然，要是每次都象上面的操作来启动Port Reporter工具的话，显然是很麻烦的;为此你可以在图6所示的服务属性设置窗口中，单击“启动类型”处的下拉按钮，并从下拉列表中选中“自动”选项，最后单击“确定”按钮，这样的话Port Reporter工具日后就可以随Windows操作系统的启动而一起启动了; 图6 从“Port Reporter”工具启动成功的那一刻，它就开始进入“角色”，自动跟踪记忆本地服务器中所有开放的TCP端口、UDP端口运行状态了;要想查看每个端口的具体运行状态时，只要进入到系统资源管理器窗口，打开系统安装目录下的 “System32\LogFiles\PortReporter”文件夹，然后从“pr-initial”类型的日志文件中，就能知道每个系统进程调用了什么类型的网络信息，从“pr-ports”类型的日志文件中，就能知道每个端口调用了哪些具体的应用程序，从“pr-pids”类型的日志文件中，就能了解到任意一个开放端口所使用的系统进程具体工作状态了。 “揪出”恶意程序调用端口 不少恶意程序在攻击服务器时，都会在系统的进程列表中留下“影子”，通过这个“影子”，网络管理人员多半能够知道当前是什么恶意程序在攻击服务器系统。为了阻止恶意程序继续攻击服务器，不少网络管理人员都希望能查询得到该恶意程序调用的系统端口，以便通过防火墙来封锁该端口的通信。那么如何才能方便地知道某个应用程序，调用了什么端口呢,其实很简单，你可以通过下面的方法来实现: 首先确保目标应用程序正在运行之中，同时确保该应用程序已经发出了网络连接请求(只要执行了相应的网络操作就能向服务器系统发出网络连接请求); 接着依次单击“开始”/“运行”命令，在随后出现的系统运行对话框中，输入“cmd”字符串命令，单击“确定”按钮后，将系统状态切换到MS-DOS工作模式，然后在DOS命令行中执行“netstat -ano >aaa.txt”命令，这样netstat命令就能把当前服务器正在侦听的所有端口列表输出到“aaa.txt”文本文件中了; 下面再在DOS命令行中输入字符串命令“tasklist >bbb.txt”，单击回车键后，tasklist程序会自动把当前服务器中正在运行的应用程序及其对应的进程标识表输出到“bbb.txt”文本文件中了; 然后打开系统的资源管理器窗口，找到刚才的输出文本文件“aaa.txt”、“bbb.txt”，并分别打开这些文本文件;仔细分析这些文件，你会发现只要先从“bbb.txt”文件中，找出目标应用程序所对应的进程标识号，然后在“aaa.txt”文件中，根据应用程序的标识号，就能知道对应应用程序所使用的具体端口号码了。 按照上面的方法，相信你很快就能把恶意应用程序所使用的端口号码“揪”出来了;以后，把恶意程序使用的端口号码添加到防火墙中，以实现对该恶意端口的信息“封锁”，从而确保服务器的安全。 映射端口保护内网安全 大家知道，要是把单位内部的局域网直接与Internet连接的话，那么内网的安全性将会受到空前的威胁，毕竟内网中的任意一台工作站IP地址都会直接“暴露”在Internet中， 那么Internet中的各种病毒或黑客都能直接“闯入”到内部局域网中。为了避免Internet主机直接“接触”内网主机，不少网络管理人员都采用了端口映射的方法，把指定端口中的信息访问请求“转移”到内网特定计算机中的某一端口上，从而实现间接访问内网的目的，这样就能避免内网主机会受到病毒或黑客的攻击。 要想对指定端口上的通信进行端口映射，必须借助专业端口映射工具的帮忙才能实现;目前，类似这样的端口工具有许多，本文以经常使用的PortMap工具为例，来向各位具体介绍一下如何实现端口的一对一映射功能: 首先到网上下载获得PortMap工具，并对它进行默认方式的安装，当然一定要将它安装到内网的某台工作站中哟～安装完毕后，直接运行该程序，然后在弹出的主程序界面中单击“添加”按钮，打开如图7所示的端口映射设置窗口; 图7 在该窗口的“名称”文本框中，输入需要进行映射的目标计算机名称，然后单击“输入IP”处的下拉按钮，从弹出的下拉列表中选中“Any IP”选项，这种设置表明端口映射适合任何方式上网的Internet主机，例如哪怕是使用电话拨号方式上网的动态主机，也能使用端口映射功能访问到内网计算机; 接着在“输入端口”文本框中输入合适的端口号码，该端口其实就是外部用户能直接访问的主机端口号码，该号码可以任意输入，不过不能与指定主机已经使用的端口号码相冲突，否则的话外网用户就无法使用该端口进行端口映射了; 再在“输出IP”文本框中，输入需要访问的内网工作站的IP地址，例如“10.192.168.1”，同时在“输出端口”文本框中填上合适的内网主机端口号，该号码的填写应以外部用户的访问目的为标准，例如外部用户要访问内网指定主机的Web资源时，那么你就必须在“输出端口”文本框中填上“80”号码，要是外部用户要访问内网指定主机的ftp资源时，那么你就必须在“输出端口”文本框中填上“21”号码等;此外，你还需要将该设置界面中的“程序运行时自动启动”选项选中，然后单击一下“确定”按钮，结束端口映射设置操作。 到了这里，前面设置好的端口映射项目并没有立即生效，你还需要返回到PortMap工具的主程序界面，选中前面生成的端口映射名称，再单击一下主界面工具栏中的“启动”按钮，这样端口映射功能才可以真正生效。 我是桃花源中人 发表于 2006-04-19 14:56:02 | 用户信息| 日记评论 别为隐私担心:电脑使用记录清除技巧大放送 2006年4月19日 星期二 我们知道，Win 9X/2000/XP中的一切操作，自进入Windows系统后，都将被记录并保存在硬盘中。此项功能原本是系统者为方便用户设置的，但没想到会成为泄露电脑信息的漏洞。窥探者在用户刚用过的计算机中查找一阵后，就会发现大量信息:刚使用的文档、QQ号码、访问过的Internet网站等等，这些“记录”可能会把用户“隐私”泄露，使有户的信息安全受到威胁。如果你不想你的信息被泄露，请看本文为你介绍的如何防堵这些“漏洞”的方法。 1、“我最近的文档”选单 “开始”的“我最近的文档”选单中，以快捷方式的形式保存着用户最近使用过的15个文件(包括网上下载的并已经打开过的文件)(见图1)。通过它，我们可以迅速打开最近一段时间内编辑的文件。对于使用计算机编辑个人文档的朋友来说，无疑会向他人泄露自己的秘密。 图 1 清除方法: 1)右键单击“开始”按钮，然后单“属性”。 2)在“开始”菜单选项卡上，单击“开始”菜单，然后单击“自定义”。 3)在“高级”选项卡上，单击“清除列表”。或干脆将此功能关闭，即取选中的“列出我最近打开的文档”选单。(如图2) 图 2 2、“运行”记录 使用Windows系统中“开始”选单中的“运行”选单项运行程序或打开文件，退出后，“运行”中运行过的程序及所打开过文件的路径和名称会被记录下来，并在下次进入“运行”项时，在下拉列表框中显示出现供选用(如图3)。这些记录也会向他人泄露，需要清除。 图 3 通过修改注册表项可以达到清除这些“记录”的目的。首先通过Regedit进行注册表编辑器，找到 HKEY_CURRENT_USER_Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU，这时在右边窗口将显示出“运行”下拉列表显示的文件名，如果用户不想让别人知道某些记录的程序名，将它们删除就可以了(如图4)。具体方法是:用鼠标选中要删除的程序名，再选注册表编辑口中的“编辑”选单中的“删除”项，“确认”即可。关闭注册表，然后重新启动计算机后，刚才删除的项就不会再显示了。 4 图 3、清除“开始/查找”中的历史列表 你会问这也算历史记录吗,当然算。在“开始/查找”下拉菜单中，有你所查找的所有文件列表，清除方法如下:运行注册表编辑器Regedit程序，依次选 HKEY_USERS\.Default\SoftWare\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU，右面窗口中出现的即是“开始/查找”对话框中输入的文件，在此可选择性地将不需要的历史记录删除。其实在这里还有另外一个作用，如果你是单机用户，也可以仿照列表为自己创建查找文件了。 4、“历史”记录 用IE浏览器浏览文件后，在Windows\History文件夹中将“自动”记录最近数天(最近可记录99天)的一切操作过程，包括去过什么网站、看过什么图片、打开过什么文件等信息。这个文件夹相当独特，不能进行备份，但会暴露用户在网上及计算机上的“行踪”。(如图5)不想让他人知道用户的“行踪”的话，要坚决、彻底清除它。清除它的办法有两种。 图 5 (1)从资源管理器中找到Windows目录下的History文件夹，将其中的所有文件全部删除。 (2)在“控制面板”中找到并找开“Internet选项”，在“常规”标签中，单击“清除历史记录”按钮，然后单击“确定”。或将“网页保存在历史记录中的天数”设置为“0”天，然后单击“确定”(如图6)。 图 6 5、Office的“文件”选单 大家都知道，使用Microsoft Office家族的Word、Excel等软件进行工作后，会在“文件”菜单中留下“记录”，由于“工具”菜单中“选项”项中所设置“列出最近所用的文件数”不同(如图7)，“文件”菜单中所“记录”的文件个数也不相同，但都会记录用户最近操作过的文档。如果不想让他人知道这些，就删除它吧。可以按“Ctrl+Alt+-(减号)”键，光标会变成一个粗“减号”，打开“文件”菜单后，用粗“减号”单击需要删除的文档即可。或者将“列出最近所用的文件数”设置为“0”个。方法是:单击“工具”菜单，选择“选项”命令，打开“常规”标签，选择“列出最近所有文件”选项，在其后的输入框中将文件个数设置为“0”，最后单击“确定”按钮(如图8)。 图 7 图 8 Wrod2000等Office2000系列软件中的“打开”对话框新增了一个“历史”按钮，它保存了最近使用过的数十个文件的快捷方式，利用它可以快速打开最近使用过的文档。所以，用户一定要及时删除其里面的内容。(如图9) 图 9 6、非法操作时所产生的“被挽救的文档” 我们在使用Word 97/2000/xp等office软件的过程中，有时会遇到“非法操作”提示，或是操作中机器突然断电等一些意外的情况，这样，在硬盘中我的文档、桌面或安装office软件 的分区的根目录中会冒出一些“被挽救的文档”，这点在Windows 9X/me中体现的很明显，这些“被挽救的文档”，可能就是用户刚刚编辑的文稿的全部或部分内容。所以，要提防“秘密”在此泄露，不用客气，删除它。 7、Temp中的“东东”。 我们常用的办公软件和其他应用程序通常会临时保存用户的工作结果，以防止意外情况造成损失。即使用户自己没有保存正在处理的文件，许多程序也会保存已被用户删除、移 动和复制的文本。这些“内容”被存放在\Windows\Temp目录下(如图10)。应定期删除各种应用程序在\Windows\Temp文件夹中存储的临时文件，以清除上述这些零散的文本。还应删除其子目录中相应的所有文件。虽然很多文件的扩展名为.tmp，但它们其实是完整的DOC文件、HTML文件、甚至是图像文件。 图10 还有，在网上下载的部分内容，在Foxmail中打开邮件的“附件”，也会在\Windows\Temp文件夹中留下备份。所以，对于\Windows\Temp文件夹中的内容，最好一个不留全部清除。 8、Windows的“日志”文件 存放在Windows目录下的SchedLgU.txt是“任务”的“日志”，它忠实的记录了以往计划任务的执行情况，以及用户每次开机启动Windows系统的信息。(如图11)，可以用任何字处理软件打开它。所以，用户的“开机”及一些“任务(程序)”的执行信息，都会由此“暴露”。 图 11 要想修改SchedLgU.txt文件，需要一些周折，因为，用Windows系统下的任何编辑软件都只能打开它但不能做修改保存。如:我们有和“记事本”打开了SchedLgU.txt文件后，可以在屏幕上进行添加、删除等编辑操作，但你试图将编辑后的SchedLgU.txt文件存盘时，系统提示“无法创建C:\windows\SchedLgU.txt，请确定路径及文件名是否正确。”按“确定”按钮后，退出“SchedLgU.txt”文件。即使进行Windows系统中的“MS-DOS”方式，用Edit编辑也不行。要想对SchedLgU.txt文件进行修改，只能以纯DOS方式启动计算机，然后再用“Edit”命令编辑。 9、文档的“属性”信息 对于存储在公用电脑上的Word文档，许多用户采取设定“找开权限密码”以防止未经授权用户打开的办法，来防止泄露有关该文档的信息 。但是，该文档的“属性”却会泄露你的信息。 Word中的“属性”对话框包括“常规”、“自定义”、“摘要”三张选项卡。第一次保存文档时，计算机会将文档中第一行的内容存放到“摘要”选项卡中的“标题”框中(通常是用户写作的“题目”)。(如图12)查看文档的属性，虽然依据文件名无法判断出文档的内容，但“摘要”选项卡“标题”框中(该文档的第一行内容)的内容，却会泄露文档的秘密。由于“打开权限密码”只限制打开文档，并不限制打开“属性”对话框，所以，“标题框”是一个易被忽视的泄密漏洞。 图 12 堵住这个泄密漏洞的方法是:用户在第一次保存文档后，打开“属性”对话框，将“摘要”选项卡中的“标题”框中的内容删除即可。 10、“写字板”中的记录 同Word、Excel等办公软件一样，写字板也会保存，打开的最新的文件名称，并将这些名称保存在它的“文件”菜单中，这一方便用户的设置无疑又对文档的保密性，遭成威胁。(如图13)。 图 13 对于Word等办公软件中的记录很容易清除，这里要想清除“写字板”中的记录，就要费一番周折了:先用Regedit打开注册表，展开 “HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Applets\Wordpad\Rec ent Filelist”分支，将其对应的主键值全部删除(如图14)，再重新启动计算机，即可清除写字板的“文件”菜单中的历史记录。 图 14 11、“回收站”也会泄密 “回收站”是已删除文件的暂时存放处。用户在删除文件时，并不是将要删除的文件直接从计算机中完全删除，这些文件会被暂时的存放在回收站中，在“清空回收站”之前，存放在那里的文件并没有直正从硬盘上删除。如果你删除的文件，没有在回收站中被清空，那么窥探者 可以从“回收站”中恢复(还原)被删除的文件，发现用户的工作内容。所以，每次结束操作，离开计算机前，别忘了清空你的回收站。或者是，在删除文件，选按住键盘上的“Shift”键，然后要选择“删除”命令，这时计算机会提示“确实要删除某某某文件”，选择“是”则文件被直接删除，并不进入到“回收站”中。 12、“剪贴板”中的信息。 剪贴板是Windows平台上程序之间静态交换“信息”的地方，它是由Windows在内存中开辟的临时存储空间。不管什么时候剪切、复制和粘贴信息，在新的信息存入之前或是退出Windows之前，都一直保存着已有的内容信息。而且，像Word等Office家族的办公软件可以存储12个“剪贴”信息，打开一文字编辑软件，选择一下“粘贴”命令，则刚才你换的信息，会原原本本的展现出来，所以，需要保密的话，它也是一个不可忽视的地方。当用户使用完计算机后，可以关闭或重新启动一下，这时保存在“剪贴板”中的信息会自动清除。 13、Office“回收站”你清空了吗, 没错，Office也有“回收站”，Office的“回收站”并不是我们电脑桌面上的那个回收站，它是一个建立在Office安装目录中的临时保存用户曾以打开过的所有Office文档(包括Word、Excel、PowerPoint等)的目录。它可以说是Office内部的一个小天地。如果其它非法用户查看到这个被人们遗忘的角落，机密就有可能泄露。其实只要找到这个临时文件夹，我们就可以像删除其它临时文件一样来彻底清除我们使用Office时所留下的痕迹。需要注意的是不同的操作系统该临时文件夹的位置也不相同: Windows98/me: C:\windows\Application Data\Microsoft\Office\Recent Windows2000/xp: C:\Documents and Settings\Username\Application Data\Microsoft\Office\Recent 还要说明的是，在Windows2000/xp系统中Username表示的是你的计算机名称，如:你的计算机名称叫“computer”那么这时Username文件夹就是Computer。(如图15) 图 15 你所处理过的所有的Office文档的快捷方式就全在里面了，Office的“回收站”你清空了吗, 14、清除Windows Media Player的历史记录 Windows Media Player中的“文件”菜单也会保存最近所使用过的文件名，一句话，删除它(如图16)。要删除播放列表项目，请按照下列步骤操作: 图 16 (1). 启动注册表编辑器 (Regedt.exe)。 (2). 找到并单击下面的注册表项: HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\RecentFileList 选中要你要删除的历史记录列表就可以了。 (3). 如果你使用的是 Windows Media Player 6.4，请单击“RecentURLList”，然后单击“编辑”菜单上的“删除”。 如果你使用的是 Windows Media Player 7、7.1 或 Windows Media Player for Windows XP，请单击“RecentFileList”，然后单击“编辑”菜单上的“删除”。 (4). 最后退出注册表编辑器。 15、清除RealOne Player历史记录 RealOne具有和Windows Media Player一样的“记忆”功能，要想删除这些“记忆”。首先启动RealOne Player，在菜单栏上单击“工具”菜单，在弹出的菜单项上选择“参数设置”，然后在弹出的对话框“类别”列表中选择“普通”项，在右边的对话框中单击“清除历史记录”，这样就将文件菜单和位置栏中的历史记录清除掉了。(如图17) 图 17 16、曾访问的网页 为了加快浏览速度，IE会自动把用户浏览过的网页做为“临时文件”，保存在\Windows\Temporary Internet Files文件夹中(如图18)，这些“记录”文件会被MS IE Cache Explorer一类的程序一览无遗。 图 18 解决方法: 从资源管理器进入该文件严中，全选所有网页，删除即可。或者打开IE浏览器属性，在“常规”栏目下单击“Internet临时文件”项目的“删除文件”按钮(这种方法不太彻底，会留少许Cookies在目录内)。如果浏览过的网页较少且希望保留部分网页时，在上述目录中查找并删除不想要的网页即可。 17、Cookies文件夹 Cookies翻译为中文就是“小甜饼”。找开\Windows\Cookies，该目录下有很多文件，这些都是一些网站“白送”的，当用户访问这些网站时，它们便会自动记录用户所访问的内容，浏览的网页，并“储存”在Cookies文件夹中，以便下次达到快速链接，加快浏览速度。 \Windows\Cookies文件夹中的数据，类型如abc@202.102.221.56[1]，大都是:windows用户名+@+域名或IP地址，并以文本形式保存(如图19)。这类文件多不仅会占用大量的硬盘空间，而且会暴露用户的行踪。 图 19 解决方法: 将\Windows\Cookies文件夹中的文件删除(除系统自身形成的“Index.dat”外)。 18、浏览过的地址(URL) 经常上网的人都知道，浏览器会为你保留你的曾经打开过的URL并为其建立一个历史文件夹，所以你可以在任何时候打开浏览器中的URL历史记录，来打开曾经打开过的 网址。(如图20)但这也给我们这些需要为历史保密的操作者造成了困难。清除URL历史记录方法如下:打开浏览器(这里以IE为例)，执行“工具/Internet选项…”，在打开窗口的“常规”页面中，在“Internet临时文件”中点击“删除文件”按钮将临时文件夹删除，在“历史记录”中点击“清除历史记录”按钮将历史记录删除，这样你就不用担心自己曾打开的网址被别人知道了。 图 20 注意，在windows98/2000/XP中，还有一处“隐藏”的“地址”栏，它同样也会记录用户曾经去过的网址。该“地址”栏在“任务栏”上(在“任务栏”的空白处单击鼠标右键――“工具栏”――选择“地址”)，在这个“地址”栏中输入网址便能激活IE浏览器上网，输入的网址就被记录下来(如图21)。还好，此处的“记录”被放在\Windows\Hisory文件夹中，非常容易清除。在此说明的是，不要因为IE浏览器的“地址”栏和资源管理器的“地址”栏中没“记录”，就觉得万事大吉了。 图 21 19、“收藏夹”中的记录 大多数朋友上网时，常把喜爱的网址添加到“收藏夹”中，甚至设置为“允许脱机使用”，其优点当然是便于下次快速地进行浏览(如图22)。但用户的兴趣和爱好就必然会暴露无遗了。\Windows\Favorites文件夹，就是“收藏夹”的位置，要想清除“收藏夹”的历史记录，只要进入它，选中目标文件，执行删除操作即可。 图 22 20、使用QQ后 若按默认目录安装QQ，那么在QQ的安装目录下就可以看以许多的帐号，细心的你就会发现那不就是你的你的QQ号吗,对就就是你的QQ号，打开文件夹后，就会发现里面有许多文件，那就是你聊天的记录，如果遇到电脑高手的话，那么你的信息就危险，想保 护你信息的唯一方法就是删除它。有两种方法:一是，直接在QQ的安装目录下找到你的帐号文件夹，将其完全删除;二是在QQ上登录你的账号，然后选择“清除记录”，在输入你的QQ密码后，你的账号及对应的记录文件(聊天信息)就会被删除掉(如图23)。 图 23 如果你是在网吧上QQ聊天，笔者强烈建议你使用“网吧模式”登录(只限于QQ2004版)(如图24)。因为选用此模式后，当你退出QQ时计算机后提示你是否删除你的聊天记录。(如图25)。 24 图 图 25 21、其它 Windows下的一些应用程序中，其“文件”菜单都蕴藏着丰富的历史记录，不可小视，均需要处理。除使用上述的方法手动清除历史记录外，我们还可以借用一些外部软件来清除计算机中的历史记录，这里笔者向大家推荐一款功能强大的历史记录清除工具――HistoryKill 2003，安装完成后的HistoryKill会伴随Windows一同启动，并驻留在系统托盘区中，但并不会占用过多的系统资源(如图26)。该软件即可以清除上网浏览的历史记录，也可以快速清除Windows系统历史记录，且使用方法简单，使用公用计算机的朋友们，不防试一下。 图 26 清除计算机的使用记录是一个很古老的话题了，在这里总结出来写给大家，希望对使用公用计算机的朋友们能有所帮助。 我是桃花源中人 发表于 2006-04-19 14:50:16 | 用户信息| 日记评论 菜鸟黑客入门--攻击及防范别人技巧 2006年4月8日 星期五 在正式进行各种“黑客行为”之前，黑客会采取各种手段，探测(也可以说“侦察”)对方的主机信息，以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基本的网络信息――对方的IP地址;以及用户如何防范自己的IP泄漏。 ? 获取IP “IP”作为Net用户的重要标示，是黑客首先需要了解的。获取的方法较多，黑客也会因不同的网络情况采取不同的方法，如:在局域网内使用Ping指令，Ping对方在网络中的名称而获得IP;在Internet上使用IP版的QQ直接显示。而最“牛”，也是最有效的办法是截获并分析对方的网络数据包。如图1所示，这是用Windows 2003的网络监视器捕获的网络数据包，可能一般的用户比较难看懂这些16进制的代码，而对于了解网络知识的黑客，他们可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP。 ? 隐藏IP 虽然侦察IP的方法多样，但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言，就可以安装能够自动去掉发送数据包包头IP信息的“Norton Internet Security 2003”。不过使用“Norton Internet Security”有些缺点，譬如:它耗费资源严重，降低计算机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理，由于使用代理服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet，特别是QQ使用“ezProxy”等代理软件连接后，IP版的QQ都无法显示该IP地址。这里笔者介绍一款比较适合个人用户的简易代理软件――网络新手IP隐藏器(如图2)，只要在“代理服务器”和“代理服务器端”填入正确的代理服务器地址和端口，即可对http使用代理，比较适合由于IE和QQ泄漏IP的情况。 不过使用代理服务器，同样有一些缺点，如:会影响网络通讯的速度;需要网络上的一台能够提供代理能力的计算机，如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时，可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。 虽然代理可以有效地隐藏用户IP，但高深的黑客亦可以绕过代理，查找到对方的真实IP地址，用户在何种情况下使用何种方法隐藏IP，也要因情况而论。 黑客的探测方式里除了侦察IP，还有一项――端口扫描。通过“端口扫描”可以知道被扫描的计算机哪些服务、端口是打开而没有被使用的(可以理解为寻找通往计算机的通道)。 一、端口扫描 网上很容易找到远程端口扫描的工具，如Superscan、IP Scanner、Fluxay(流光)等(如图1)，这就是用“流光”对试验主机192.168.1.8进行端口扫描后的结果。从中我们可以清楚地了解，该主机的哪些非常用端口是打开的;是否支持FTP、Web服务;且FTP服务是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞也显示出来。 二、阻止端口扫描 防范端口扫描的方法有两个: 1( 关闭闲置和有潜在危险的端口 这个方法有些“死板”，它的本质是――将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。换句话说“计算机的所有对外通讯的端口都存在潜在的危险”，而一些系统必要的通讯端口，如访问网页需要的HTTP(80端口);QQ(4000端口)等不能被关闭。 在Windows NT核心系统(Windows 2000/XP/ 2003)中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了(如图2)。进入“控制面板”、“管理工具”、“服务”项内，关闭掉计算机的一些没有使用的服 务(如FTP服务、DNS服务、IIS Admin服务等等)，它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本网络通讯需要的端口即可(关于“TCP/IP的筛选”，请参看本期应用专题)。 2( 检查各端口，有端口扫描的症状时，立即屏蔽该端口 这种预防端口扫描的方式显然用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。 防火墙的工作原理是:首先检查每个到达你的电脑的数据包，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后，一个“TCP/IP端口”被打开;端口扫描时，对方计算机不断和本地计算机建立连接，并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口，防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包。 现在市面上几乎所有网络防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已。 黑客在进行攻击前的准备工作，就此介绍完毕。在以后的内容中，将转入正式的入侵、窃取和攻击等具体的介绍。 上网了吧，用Q了吧，被盗了吧，正常。想上网吧，想用Q吧，不想被盗Q吧，正常。那就来了解一些盗QQ方面的知识吧～ 一、名词解释 1.字典 所谓字典，其实就是一个包含有许多密码的文本文件。字典的生成有两种方式:用字典软件生成和手动添加。一般字典软件能生成包含生日、电话号码、常用英文名等密码 的字典，不过由于这样生成的字典体积大，而且不灵活，所以黑客往往会手动添加一些密码到字典里去，形成一个“智能化”的密码文件。 2.暴力破解 所谓暴力破解，其实就是用无数的密码来与登录QQ的密码进行核对，直到相同为止。暴力破解这种方法不仅可以运用在盗QQ上，在破解其它密码时也常用这种方法，如:破解系统管理员密码等。这是最常用的一种破解方式。 二、原理分析 现在盗QQ的软件有两种，本地破解和远程破解。看起来好像挺神秘的，其实说穿了就那么回事。下面咱们先来看看本地破解。 1.本地破解 本地破解其实就是用软件选择一个在本地登录过的QQ号码，然后挂上字典进行密码核对。本地破解也可分为两种:暴力破解和本地记录。而暴力破解又分为两种:按顺序增加和通过字典对比。比如现在我要破解QQ号为123456的密码，我可以用1作为密码进行核对，如果正确就可以盗走该号了，如果不正确，则用2来核对，还不正确，则用3，以此顺序增加，直到和密码相同为止。不过这样的破解效率是很低的，因为许多人的密码并不只是数字，所以这种方法并不常见。 平时常用的是通过对比字典中密码的方法，如果正确就盗走QQ。因为字典可以做得很“智能化”，所以这种破解效率相对较高，特别是当你的密码是简单的数字，或是数字加一些英文名时特别明显。举个例子，比如我在网吧看到一MM的英文名为alice，密码位数为8位(我怎么知道的,晕～偷看到的嘛～)。从常理来讲，一般她的密码就是alice加上一些数字。于是我可以用易优超级字典生成器制作这样一个字典:把alice做为特殊字符排在密码的第1-5位(如图1)，然后把基本字符里的数字全部选上，再将密码位数设为8，然后选好保存位置点“生成字典”。 打开生成的字典，你就可以看到alice000、alice001等密码了(如图2)。然后就是把alice放在第2-6位，第3-7位，第4-8位，其它位置同样用数字填满。接下来我只要用软件把这些字典挂上进行破解，很快就可以得到QQ密码了。 我是桃花源中人 发表于 2006-04-08 01:22:40 | 用户信息| 日记评论 数据恢复点点通 教你掌握一定数据恢复知识 2006年3月29日 星期二 电脑办公存在的最大风险莫过于数据丢失，辛勤劳作的结果往往只因为一个小小的失误而付诸东流;因此，掌握一定的数据恢复知识是每一个电脑办公人员都需具备的技术素质。然而，什么是数据恢复、数据丢失之后怎样才能恢复,面对种种疑问下的数据恢复工作，你知道怎么应对吗, 问:上次我在整理系统时，误将一个系统文件删除了，导致计算机运行不正常，请问有没有办法恢复, 答:如果文件被删到回收站，可以通过回收站的还原功能来恢复:打开“回收站”，并选中被删的文件;然后单击“回收站任务”栏中的“还原此项目”即可。如果回收站中找不到被删的文件，也可以通过“系统还原”来恢复，操作如下:鼠标依次单击“开始?程序?附件?系统工具?系统还原”，打开“系统还原”向导;在向导界面中选择“恢复我的计算机到一个较早的时间”复选框，单击“下一步”继续;在“日历”中选择系统还原点，此还原点应该选择文件删除之前的日期，单击“下一步”继续;确认还原点，单击“下一步”，系统重启后即可。 问:由于突然断电，我编辑的Word文档没有及时保存，请问如何找回没有保存的Word数据, 答:在使用Word 2002 或是Word 2003这两个版本中，当你遭遇突然断电后，再次启动系统并打开Word后，系统会自动弹出一个列表，从中找到那个没有保存的文件并打开， 再将其重新保存即可。以后，在编辑重要的Word文档时，请设置自动保存功能，让系统每隔多少时间保存一次，这样风险会变小很多。 问:你好～我的一份Word文档，在执行“打开”操作时弹出文件损坏的提示，也查看不到任何内容，请问该如何恢复, 答:如果Word文档受损，可以通过Word文件转换器从任意文件中恢复文档，操作如下:打开或新建一个Word文档;单击“工具”菜单中的“选项”命令，在弹出的“选项”对话框中选择“常规”选项卡，并选中“打开时确认转换”复选框，单击确定按钮;单击“文件”菜单中的“打开”命令，在“文件类型”中选择“从任意文件中恢复文本”;将“查找范围”定位到受损的Word文档，并单击“打开”按钮即可。 问:我在使用优盘时，由于没有采用正确的插拔操作，导致优盘上一些重要文件的丢失，请问还能补救吗, 答:优盘上的数据丢失可以尝试用“FinalData”这个软件，它是一款可以按扇区读取并进行数据恢复的软件，下载地址:。软件运行后，单击“文件”菜单中的“打开”命令;在“选择驱动器”对话框中选择优盘盘符后单击“确定”按钮开始扫描;待扫描结束后，在“丢失的目录”或“丢失的文件”内选中所有需要恢复的文件;单击“文件”菜单下的“恢复”命令，弹出“选择目录保存”对话框，确定保存路径后单击“保存”按钮就可以了。 问:为了确保数据的安全性，我将一些重要的文件都刻录到光盘中。但不知道是否光盘受到磨损还是刻录质量的原因，最近就有一张光盘遇到了数据不能读取的现象，请问有什么办法可以恢复这些不能读取的文件呢, 答:遇到这种情况确实很无奈，不过你可以试着用BadCopy来修复，它不仅可以恢复损坏的文件，还可以恢复丢失的文件，下载地址:。软件运行后，在“恢复来源”中选择“CD-ROM”，进入恢复向导;在向导第一步对话框中单击“恢复模式”下拉框，针对您的现象可以选择“挽救已损坏文件”项，单击“下一步”继续;进入待 修复文件的文件夹，选中需要修复的文件，单击“下一步”开始修复;文件修复后，单击“浏览”按钮，选择修复后文件的保存路径;最后单击“下一步”即可。 问:由于朋友的误操作，将我的整个E盘进行了格式化，请问我存储在E盘的文件还能恢复吗, 答:格式化后的分区也可以通过软件来实现数据恢复，您不妨试试Recover My Files，下载地址:。软件运行后，单击快捷工具栏中的“打开磁盘驱动器”按钮，选择需要恢复的磁盘分区，扫描结束后，选择需要恢复的文件，单击快捷工具栏中的“保存”按钮，选择保存文件的驱动器。 问:不小心打开了一个带有“求职信”病毒的邮件，导致系统中部分文件的损坏，请问怎样恢复这些损坏的数据, 答:登录，下载“求职信文件恢复工具”。运行该工具，单击“浏览”按钮选择需要恢复的文件;单击“修复”按钮，弹出“另存为”对话框，选择文件修复后的保存路径;最后单击“保存”即可。 我是桃花源中人 发表于 2006-03-29 11:45:37 | 用户信息| 日记评论 我的密码你别看 两种清除电脑中痕迹的方法 2006年3月29日 星期二 我们知道，使用Windows操作系统在你打开文件、输入各种密码或用QQ与朋友聊天，都可能引发个人机密泄漏，都会在机器上留下踪迹。为安全起见，如果是在公用电脑上，你应该在离开时抹去这些操作后留下的痕迹，下面是可能的泄密点及解决办法。 一、可能的泄密点及其存在的位置 Windows中可能泄漏我们的秘密的地方有两处:一是存在于文件夹中，一是存在于注册表里。 1.文件夹中:在“开始”菜单中的“文档”中会显示我们浏览过的文件，如果它们暴露其中，将使我们的秘密不保，应将其删除。“文档”中的内容安放在C:\Windows\Recent文件夹中;安装程序、编辑文件时产生的临时文件安放在c:\windows\temp文件夹中;删除文件时文件并没有被真正删除，保存在回收站中，回收站里的东西在C:\RECYCLED文件夹(隐含的)存放着; 当你上网浏览网站时，Windows会在C:\WINDOWS\History和C:\Windows\Temporary Internet Files文件夹中保留下你曾看过的网页;不经意的，微软还会从网上取些小甜饼给你，甜饼放在C:\WINDOWS\Cookies中。 2.注册表中:IE浏览器地址栏里留下的曾进去过的网站地址及后来诞生的“网络实名”。 其实，Windows的注册表本身就是个大大的垃圾仓库，里头放着的垃圾，你自己有空时去找吧。本文在这里仅指出一、二处而矣，旨在引导你触类旁通，知道怎样去清除注册表里可能令我们泄密的地方。 二、具体示例 实现本功能使用了两个文件，VBS脚本文件reg.vbs(可以自己定义文件名);批处理文件reg.bat(可以自己定义文件名)。 1.VBS脚本文件如下: Dim WSHShell Set WSHShell=WScript.CreateObject("WScript.Shell") WSHShell.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\reg","reg.vbs" WSHShell.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\deldel","reg.bat" WSHShell.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "about :blank" WSHShell.RegWrite "HKCU\Software\Microsoft\Internet Explorer\TypedURLs","" WSHShell.RegDelete "HKCU\Software\Microsoft\Internet Explorer\TypedURLs" WSHShell.RegWrite "HKCU\Software\Microsoft\Internet Explorer\TypedURLs","" WSHShell.RegWrite "HKCU\Software21\InputCns","" WSHShell.RegDelete "HKCU\Software21\InputCns" WSHShell.RegWrite "HKCU\Software21\InputCns","" 本脚本前二行为定义变量，请大家照着写。从第三行开始，是对注册表的处理。 第三行、第四行为在注册表中添加计算机启动时自动运行的过程文件，一个是该脚本自身为 reg.vbs，另一个是reg.bat批处理文件。第五行为还原IE开始页为“about :blank”;第六、 七、八行为清除IE浏览器地址栏留下的曾经浏览过的网页地址名;第九、十、十一行为清 除IE地址栏里的网络实名。 这里，读者需掌握以下几点: 1)在这里我们利用了VBS脚本语言，VBScript代码在本地是通过Windows Script Host解释执行的。VBS的执行离不开Windows script host(WSH)，WSH是微软提供的一种 基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows 桌面或命令提示符下运行。利用WSH，用户能够操纵WSH对象、ActiveX对象、注册表和 文件系统。在Windows2000下，还可用WSH来访问Windows NT活动目录服务。WSH依 赖于IE3.0及其以上版本提供的Visual Basic Script和Jscript脚本引擎，因此只有在安装IE3.0 及其以上版本之后，才能安装WSH。 WSH所对应的程序“WScript.exe”是一个脚本语言解释器，正是它使得脚本可以被执行，就象执行批处理一样。在WSH脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。本文正是这样一个具体的应用实例。 2)命令“WSHShell.RegWrite”表示在注册表中生成主键或生成键值; 3)命令“WSHShell.RegDelete”是删除主键或键值; 4)主键与键值的区别在于主键名后有“\”，键值没有“\”; 5)“HKLM”代表HKEY_LOCAL_MACHINE主键;“HKCU”代表 HKEY_CURRENT_USER主键。 知道VBS修改注册表的格式后，注册表任你删改了，当然，你做这些操作之前，最好先备份注册表。 2.批处理文件如下: @deltree -y c:\windows\temp\*.* @deltree -y c:\windows"Temporary Internet Files"\*.* @deltree -y c:\windows\History\*.* @deltree -y C:\Windows\Recent\*.* @deltree -y C:\RECYCLED\*.* @deltree -y C:\WINDOWS\Cookies\*.* 此批处理第一行为，删除临时文件夹的内容;第二、三行，删除IE浏览器打开网 页后遗留下的内容;每四行为，删除“开始”菜单“文档”中的内容;第五行，删除垃圾桶里的 内容;第六行，删除小甜饼。 将脚本语言文件和批处理文件复制到C:\windows文件夹中，双击reg.vbs文件运行 它，以后每次启动电脑时，都会自动完成对注册表和垃圾文件夹的清理。 三、其他 其实直接用脚本语言也能实现上述批处理的功能，只是脚本文件在运行过程中， 容易遇到这样的提示信息:Windows Scripting Host脚本执行错误，或者是:“种类:Microsoft VBScipt运行错误，说明:没有权限。“这样的错误，从而中止执行脚本程序。产生这些问 题的原因是，安装有与脚本处理有关的软件，如安装了Office2000的脚本语言编辑程序， 以及非正常关机等。 具体做法如下: Dim fso Set fso = CreateObject("Scripting.FileSystemObject") fso.DeleteFolder("C:\WINDOWS\Cookies\*.*"),True fso.DeleteFile("C:\WINDOWS\Cookies\*.*"),True fso.DeleteFolder("C:\WINDOWS\History\*.*"),True fso.DeleteFile("C:\WINDOWS\History\*.*"),True fso.DeleteFolder("C:\WINDOWS\Temp\*.*"),True fso.DeleteFile("C:\WINDOWS\Temp\*.*"),True fso.DeleteFolder("C:\RECYCLED\*.*"),True fso.DeleteFile("C:\RECYCLED\*.*"),True fso.DeleteFolder("C:\WINDOWS\Temporary Internet Files\*.*"),True fso.DeleteFile("C:\WINDOWS\Temporary Internet Files\*.*"),True 你只需将以上内容附在前文reg.vbs文件之后即可，有兴趣的读者可以试试。以后在公用电脑上操作完毕就再也不怕泄漏秘密了～ 我是桃花源中人 发表于 2006-03-29 11:24:50 | 用户信息| 日记评论 木马经典十大藏身地点大搜查 2006年3月29日 星期二 木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。有人说，既然木马这么厉害，那我离它远一点不就可以了～ 然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的～哎呀，那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢～那我怎么知道木马在哪里呢，相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟～ 1、集成到程序中 其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。 3、潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“,”后面是空白的，如果有后跟程序，比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了，这个file.exe很可能是木马哦。 4、伪装在普通文件中 这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。 5、内置到注册表中 上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉～然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚～但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表～ 的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦:Win.ini下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。 6、在System.ini中藏身 木马真是无处不在呀～什么地方有空子，它就往哪里钻～这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序～另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径,程序名”，这里也有可能被木马所利用。 再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。 、隐形于启动组中 有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑(哎，这木马脸皮也真是太厚)，因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。 动组对应的文件夹为:C:\windows\start menu\programs\startup，在注册表中的位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦～ 8、隐蔽在Winstart.bat中 按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。 9、捆绑在启动文件中 即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 10、设置在超级连接中 木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻:开门揖盗～奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。 我是桃花源中人 发表于 2006-03-29 10:29:09 | 用户信息| 日记评论 端口大全以及常用端口简要说明 2004年9月4日 星期六 -------------------------------------------------------------------------------- 引用: 1 tcpmux TCP Port Service Multiplexer 传输控制协议端口服务多路开关选择器 2 compressnet Management Utility compressnet 管理实用程序 3 compressnet Compression Process 压缩进程 5 rje Remote Job Entry 远程作业登录 7 echo Echo 回显 9 discard Discard 丢弃 11 systat Active Users 在线用户 13 daytime Daytime 时间 17 qotd Quote of the Day 每日引用 18 msp Message Send Protocol 消息发送协议 19 chargen Character Generator 字符发生器 20 ftp-data File Transfer [Default Data] 文件传输协议(默认数据口) 21 ftp File Transfer [Control] 文件传输协议(控制) 22 ssh SSH Remote Login Protocol SSH远程登录协议 23 telnet Telnet 终端仿真协议 24 ? any private mail system 预留给个人用邮件系统 25 smtp Simple Mail Transfer 简单邮件发送协议 27 nsw-fe NSW User System FE NSW 用户系统现场师 29 msg-icp MSG ICP MSG ICP 31 msg-auth MSG Authentication MSG验证 33 dsp Display Support Protocol 显示支持协议 35 ? any private printer server 预留给个人打印机服务 37 time Time 时间 38 rap Route Access Protocol 路由访问协议 39 rlp Resource Location Protocol 资源定位协议 41 graphics Graphics 图形 42 nameserver WINS Host Name Server WINS 主机名服务 43 nicname Who Is "绰号" who is服务 44 mpm-flags MPM FLAGS Protocol MPM(消息处理模块)标志协议 45 mpm Message Processing Module [recv] 消息处理模块 46 mpm-snd MPM [default send] 消息处理模块(默认发送口) 47 ni-ftp NI FTP NI FTP 48 auditd Digital Audit Daemon 数码音频后台服务 49 tacacs Login Host Protocol (TACACS) TACACS登录主机协议 50 re-mail-ck Remote Mail Checking Protocol 远程邮件检查协议 51 la-maint IMP Logical Address Maintenance IMP(接口信息处理机)逻辑地址维护 52 xns-time XNS Time Protocol 施乐网络服务系统时间协议 53 domain Domain Name Server 域名服务器 54 xns-ch XNS Clearinghouse 施乐网络服务系统票据交换 55 isi-gl ISI Graphics Language ISI图形语言 56 xns-auth XNS Authentication 施乐网络服务系统验证 57 ? any private terminal access 预留个人用终端访问 58 xns-mail XNS Mail 施乐网络服务系统邮件 59 ? any private file service 预留个人文件服务 60 ? Unassigned 未定义 61 ni-mail NI MAIL NI邮件? 62 acas ACA Services 异步通讯适配器服务 63 whois+ whois+ WHOIS+ 64 covia Communications Integrator (CI) 通讯接口 65 tacacs-ds TACACS-Database Service TACACS数据库服务 66 sql*net Oracle SQL*NET Oracle SQL*NET 67 bootps Bootstrap Protocol Server 引导程序协议服务端 68 bootpc Bootstrap Protocol Client 引导程序协议客户端 69 tftp Trivial File Transfer 小型文件传输协议 70 gopher Gopher 信息检索协议 71 netrjs-1 Remote Job Service 远程作业服务 72 netrjs-2 Remote Job Service 远程作业服务 73 netrjs-3 Remote Job Service 远程作业服务 74 netrjs-4 Remote Job Service 远程作业服务 75 ? any private dial out service 预留给个人拨出服务 76 deos Distributed External Object Store 分布式外部对象存储 77 ? any private RJE service 预留给个人远程作业输入服务 78 vettcp vettcp 修正TCP? 79 finger Finger FINGER(查询远程主机在线用户等信 息) 80 http World Wide Web HTTP 全球信息网超文本传输协议 81 hosts2-ns HOSTS2 Name Server HOST2名称服务 82 xfer XFER Utility 传输实用程序 83 mit-ml-dev MIT ML Device 模块化智能终端ML设备 84 ctf Common Trace Facility 公用追踪设备 85 mit-ml-dev MIT ML Device 模块化智能终端ML设备 86 mfcobol Micro Focus Cobol Micro Focus Cobol编程语言 87 ? any private terminal link 预留给个人终端连接 88 kerberos Kerberos Kerberros安全认证系统 89 su-mit-tg SU/MIT Telnet Gateway SU/MIT终端仿真网关 90 dnsix DNSIX Securit Attribute Token Map DNSIX 安全属性标记图 91 mit-dov MIT Dover Spooler MIT Dover假脱机 92 npp Network Printing Protocol 网络打印协议 93 dcp Device Control Protocol 设备控制协议 94 objcall Tivoli Object Dispatcher Tivoli对象调度 95 supdup SUPDUP 96 dixie DIXIE Protocol Specification DIXIE协议 97 swift-rvf Swift Remote Virtural File Protocol 快速远程虚拟文件协议 98 tacnews TAC News TAC(东京大学自动计算机?)新闻协 议 99 metagram Metagram Relay 100 newacct [unauthorized use] - 作者: 西华 2006年07月15日, 星期五 11:55 回复(1) | 引用(0) 加入 博采 破解网站的秘密 破解不让使用鼠标右键的网站(收益多多) 如何破解不让使用鼠标右键的网站 现在有好多网站不能使用鼠标右键，当你点击右键时就弹出一个窗口说些莫名其妙的话。当你看到网页上有精美图片或者精彩文字想保存时，一按鼠标右键就弹出那个窗口，很是讨厌。 (一:)其实这只是利用J ava语言实现的一个很简单的锁住鼠标右键的功能，同样也很简单就能使它失效，具体做法如下: 1:在页面目标上按下鼠标右键，弹出窗口，这是不要松开右键。 2: 将鼠标移到窗口的确定按钮上，同时按下左键。 3:现松开鼠标左键，这时窗口消失。 4:再将鼠标移到目标上松开鼠标右键，OK，你想要得功能全出来了。 (二:)近来又发现一种锁住鼠标右键的网站。在这种网站你一点鼠标右键就出现添加到收藏夹的窗口，用以上的方法不能破解，因为你用鼠标左键点取消的同时旧失去了右键的目标的焦点，不过要破也不难，如下方法: 1:在目标上电鼠标右键 ，出现添加到收藏夹的窗口，这时不要松开右键，也不要移动鼠标。 2:使用键盘的TAB键，移动焦点到取消按扭上。按下空格键，窗口消失。 3:松开右键，OK,你要得功能全出来了。 (三:)不过，最近在某个人网页中又遇到一种新的屏蔽方法，使用上面这些破解方法无 效。它用J avascript限制我们使用鼠标右键:“document.oncontextmenu=stop”，我们就 应该能用J avascript来破解它～ 在浏览器地址栏中键入“J avascript:alert(document.oncontextmenu='') 输入时不要输入双引号)，此时会弹出个对话框，点击“确定”按钮，然后再对着你 的目标(图片或文字)点击鼠标右键就可以看到弹出菜单了～