木马程序编程_木马程序分组

卡巴斯基已检测到木马病毒不能删除，说稍后处理

已检测的威胁标签

已检测的威胁标签显示了被检测到的危险对象及应用程序对其执行的操作的列表。按照计算安全威胁分类把这些对象进行分组。

表明每一个对象的全名，以及程序在扫描或处理它时为其分配的状态。

使用该标签您可以使用下列分组属性来查看对象：

活动的威胁：应用程序检测到的但并未对其采取任何操作的危险对象。该类对象会对您的计算机安全造成威胁。我们建议您采取操作来消除相应的威胁。 处理. 尝试清除一个危险对象。如果该对象未被成功清除，您可以把它保留在列表中，以后用升级后的应用程序数据库来对它进行扫描，或者将它删除。

添加到排除. 把对象添加到排除。将弹出一个窗口，其中有针对该对象的排除规则。

转换为文件.打开Microsoft Windows Explorer中放对象的文件夹。

从列表中删除. 从列表中删除关于对象检测的记录。

恢复. 恢复对象。

发送. 为了分析对象，将其发送到卡巴斯基实验室。

全部清除.清除列表中所有对象。应用程序将试图利用数据库处理对象。

清除列表. 清除被检测到的对象的列表。当您使用该功能，所以被检测到的危险对象仍然在您电脑中。

查看viruslist.com.转去查看卡巴斯基实验室网站上的病毒百科对该对象的一个描述。

已隔离的对象：被用户为以后的处理先隔离起来的对象。若要隔离一个对象，请使用隔离链接。

已清理的文件：已经成功被程序清除的对象。

如要查看所有的对象，请选择所有检测到的恶意程序。

对检测到的对象采取操作的 *** 如下：

打开应用主程序窗口。

点击已检测的威胁按钮。

在弹出的窗口的对象列表中，选择需要处理的对象，并单击鼠标右键。

在弹出的快捷菜单中选择所需操作。

什么是计算机病毒，木马.如何防范

计算机病毒是借用生物病毒的概念。生物病毒可传播、传染，使生物受到严重的损害，甚至导致生物死亡。计算机病毒也如此地危害着计算机系统。目前，计算机病毒已成为社会的新“公害”。计算机病毒的出现及迅速蔓延，给计算机世界带来了极大的危害，严重地干扰了科技、金融、商业、军事等各部门的信息安全。

计算机病毒是指可以制造故障的一段计算机程序或一组计算机指令，它被计算机软件制造者有意无意地放进一个标准化的计算机程序或计算机操作系统中。尔后，该病毒会依照指令不断地进行自我复制，也就是进行繁殖和扩散传播。有些病毒能控制计算机的磁盘系统，再去感染其它系统或程序，并通过磁盘交换使用或计算机联网通信传染给其它系统或程序。病毒依照其程序指令，可以干扰计算机的正常工作，甚至毁坏数据，使磁盘、磁盘文件不能使用或者产生一些其它形式的严重错误。

我国计算机病毒的来源主要有两个：一个是来自国外的一些应用软件或游戏盘等，如小球病毒、“DIR-2”病毒等，国外早有报道。另一个来源是国内，某些人改写国外的计算机病毒或自己制造病毒。如“广州一号”病毒为修改国外“ *** 病毒”形成的变种，Bloody病毒则为国产病毒。病毒的蔓延很快，天天在产生。一台电脑如果染上了病毒，可能会造成不可估量的破坏性后果，有可能使多年的心血毁于一旦，或者使至关重要的数据无法修复。

一般说来，电脑有病毒时，常常造成一些异常现象，例如，数据无故丢失；内存量异常减小；速度变慢；引导不正常；文件长度增加或显示一些杂乱无章的内容等。有经验的用户可以利用技术分析法，来判定计算机病毒的发生。

目前，对付计算机病毒的主要 *** 有两种：一种是利用工具软件消毒；另一种是利用微机防病毒卡防毒。如国外的CPAV软件、SCAV系列软件，以及我国公安部不断推出的Kill软件等，一些软硬件结合的防病毒产品，都给计算机用户提供很大的帮助。可以相信，随着时间的推移，计算机反病毒技术必将不断地发展、不断地完善。

==================================================

计算机病毒

computer virus

一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序。它通过软盘、终端或其他方式进入计算机系统或计算机 *** ，引起整个系统或 *** 紊乱，甚至造成瘫痪。

1983 年 11月，在一次国际计算机安全学术会议上，美国学者F.科恩之一次明确提出计算机病毒的概念，并进行了演示。1984年他又发表了有关计算机病毒理论和实践的文章，但当时并未引起学术界的重视。1987年发生了几次计算机病毒事件，特别是1988年11月美国国防部的军用计算机 *** 遭受莫里斯病毒袭击，病毒扩散速度之快、范围之广、损失之大，震惊了信息科学界人士，引起人们的广泛注意。1989年初，中国首次发现计算机病毒。由于多方面原因，病毒在中国的蔓延也比较广泛。从全世界情况来看，1988 、1989 年是计算机病毒大量产生和繁殖的时期。从那时以后，新计算机病毒出现的数目大大下降，但计算机病毒仍不时肆虐于世界各地。编制病毒的技术在不断提高，1992年出现了所谓的秘密型病毒和多型病毒，病毒检测程序都无法发现它们。特别是多型病毒不断变换特征，可能会成为今后的严重问题。

世界上大约有1350种IBM 个人计算机病毒 ，200 多种Amiga病毒，35种Macintosh病毒，此外还有一些 Unix和大型主机病毒。德国的一位专家估计，大约有300 个基本病毒系列。

分类 计算机病毒的分类 *** 很多，按其攻击方式可以分为：①操作系统病毒。运行时用病毒自己的逻辑模块取代部分操作系统的合法程序模块，它有很强的破坏力，甚至导致整个系统瘫痪。出现这种类型的计算机病毒主要是针对操作系统自举区引导程序的，如 *** 病毒、小球病毒和巴基斯坦病毒等。②应用程序型病毒。其中又分源码型和目标码型。源码病毒在高级语言编写的程序被编译之前插入到源程序之中，随后与合法程序一起被编译，这种病毒很容易传染。目标码病毒对已经可执行的目标程序进行攻击，一般也同时侵袭操作系统。③外壳型病毒。不改变所依附的程序，只是在原程序开始和结束的地方加上病毒程序。这类病毒易于编写，也较为常见，以色列病毒（也称之为黑色星期五病毒）即属于此类病毒。④入侵型病毒。在所依附的程序中插入病毒程序，可为局部代替，也可用一条指令转到病毒程序，在病毒程序结束后再转入所依附的程序。此类病毒难编写，删除也比较困难。

在文献上所见到的蠕虫程序、特洛伊木马、细菌、病毒等，也统称之为计算机病毒。

组成 计算机病毒一般由3个基本部分组成：主控程序，负责病毒的组装和初始化工作；传染程序，将该病毒程序传染到别的可执行程序上去；破坏程序，实现病毒程序编制者的破坏意图。当计算机执行病毒所依附的程序时，病毒程序就获取了对计算机的控制权，开始执行主控程序，然后根据条件是否满足调用传染程序和破坏程序。一般说来，传染条件容易满足，因此病毒的传染比破坏来得容易。病毒破坏条件未被满足时，病毒处于潜伏状态。

特点 ①程序量小。计算机病毒的程序代码量通常是很小的，便于隐蔽在可执行程序和数据文件中，从而袭击其他合法程序。②依附性。病毒在计算机里，只有依附在某一种具有用户使用功能的可执行程序上，才有可能被计算机执行。当计算机中的程序依附上病毒程序时，就说这个程序被感染了。③传染性。一旦一个程序染上了计算机病毒，当此程序运行时，该病毒就能够传染给访问计算机系统的其他程序和文件。于是病毒很快就传染给整个计算机系统，还可通过 *** 传染给其他计算机系统，其传播速度异常惊人。传染性是计算机病毒的最主要特点。④破坏性。轻者影响系统的工作效率，占用存储空间、中央处理器运行时间等系统资源；重者可能毁掉系统的部分数据，也可能破坏全部数据并使其无法恢复，还可能对系统级数据进行篡改，使系统的输出结果面目全非，甚至导致系统瘫痪。⑤潜伏性。由于病毒程序往往是先潜伏下来，等到特定的条件或时间才触发，使得病毒程序的破坏力大为增强。在受害用户意识到病毒的存在之前，病毒程序有充分的时间进行传播。计算机病毒的潜伏性与传染性相辅相成，潜伏性越好，病毒传染范围越大。⑥持久性。即使在病毒程序被发现以后，数据和程序以至操作系统的恢复都是非常困难的。在许多情况下，特别是在 *** 操作情况下，因病毒程序由一个受感染的拷贝通过 *** 系统反复地传播，所以病毒程序的清除非常复杂。

防治 计算机病毒的防治必须采取综合措施。①加强管理。实行严格的计算机管理制度，对有关人员，特别是系统管理人员进行职责教育，订出有效的应用和操作规范；对外来软件和磁介质（如软盘片、磁带等）进行防病毒检查，严禁使用来历不明的软件；严禁在部门计算机上玩计算机游戏，因为很多游戏盘带有病毒；购买软硬件产品时，务必考虑安全因素，考查厂商的安全背景；保护好随机的原始资料和软件版本，建立安全的备份制度和介质分组管理制度；主管部门应对所属单位的计算机进行定期、经常性的病毒迹象侦察；发现病毒疫情，做好症状记录并立即报告主管部门。②从技术上防治。计算机系统配备病毒检测程序，及时发现病毒 ；严格保护好硬盘，对重要的程序和数据文件，设置禁写保护，用保护装置防止非法装载硬盘；采取加密手段防止病毒入侵；研制计算机病毒疫苗，增强计算机系统自身对病毒的抵抗力；采取病毒入侵应急措施，减少病毒造成的损失；研制安全的操作系统是防治计算机病毒的根本性办法。③法律约束。应尽快制定处罚计算机病毒犯罪的法规，对制造、施放和出售病毒软件者依法进行惩处。

计算机病毒对抗 计算机病毒在军事上的应用成为一种新型的电子战。它与传统的电子对抗的主要差别在于：电子对抗的目标是敌方电子系统的接收设备，而计算机病毒对抗的目标是敌方电子系统的计算机处理设备。其作战步骤是 ：通过无线电发射，把计算机病毒射入敌方电子系统的最薄弱环节（无保护的链路）之中；计算机病毒通过感染传播到下一个节点（有保护的链路）之中；计算机病毒最终到达预定目标——敌方指挥中心的计算机，由特定的事件和时间激发，对敌方电子系统造成灾难性的破坏。1991年海湾战争后，美国国防部大量收集计算机病毒，网罗计算机病毒研究人材 ，并拨专款研究对抗计算机病毒。许多专家认为，实现计算机病毒对抗的可能性非常大。

木马通过什么途径盗走密码

1.防木马盗号。现在市面上有名的木马啊拉 *** 大盗等等。都是记录型木马。就是说木马程序通过种种途径种到你所使用的机器上。这里可能是你在网吧上网，网吧机器被朋友种马。或者浏览了带有恶意代码的网站使自己中着。或者是其他病毒传播导致的。一旦中了这种记录型木马，一般有个特征就是 *** 无故自动关闭。这时候当你再次登陆 *** 时。。木马程序将记录你的键盘，获取你的号码和密码并发往盗号着设定的信箱或网址。所以一般来讲如果说 *** 无故自动关闭，最后再登陆后立刻更改密码。这样盗号者获得的只是你以前使用的密码并不是你更改过的密码。也就是说再他更改你密码之前把密码改掉。当然有时候我们机器上的 *** 程序出错也会关闭 *** ，但这个 关闭一般都有 *** 出错的关闭提示。这和木马关闭你 *** 有明显的区别。就是在程序错误提示那。。可能我这样说很多朋友已经知道我说的那个程序出错的提示。2． 弱密码扫号（暴力破解）。之所以叫扫号。是因为这种盗号 *** 有着较高的技术含量。一般的朋友不容易做到。需要配合一定的扫号程序。腾讯公司对扫号的防范也比较好的。。扫号需要用 *** 技术通过大量 *** IP去尝试弱密码。相对木马盗号复杂很多。其中的弱密码就是之简单的密码，例如：123465，654321等等。由此我们要做的就是不可以把密码设置的过于简单。。一般来将用生日做密码是不行的。因为这个可能被你身边的朋友所利用。尤其是美女们更要注意这一点。尽量设置的复杂些。后面我会给大家一些密码设置的建议其实弱密码也很容易造到暴力破解的威胁。就和扫号原理是一样的。只要破解者在扫号的时候把所有扫的号都设定成你的号码。密码则作为变量。一次次的提交到服务器去尝试。那么你如果是弱密码例如：5201314之类那么估计你危险了。3． 雷同密码盗号。现在N多个朋友网站，也有多老的程序。数据库都不加密的。我就曾经多次通过简单途径入侵一些垃圾网站。拿到他会员数据后。提取联系资料里user表里的Qqnumber和pssword两个字段。再用批量登陆 *** 的工具软件登陆一变。这样就可以把 *** 号码和网站密码相同的号码盗走。所以说。在不同的网站注册会员时要用不同的密码。建议更好有1及密码和2及密码 ，2及密码即不长用的密码，简单点也无所谓，比如一些不重要的网站等所用的。就可以用一个2及密码。重要的 *** ，支付宝了，网银密码更好是各不相同。按照重要性，依次设置不同密码。 。这样有些朋友可能会说那样自己就记不住密码了。其实完全可以采用这样一种 *** ：比如去 *** 俱乐部 注册个会员 密码就用qqjlb.com+你的密码（可以是生日或其他）。或者比如你自己常用密码是 那么你可以在其他重要地方的密码设置为 后面再加上100200（天灵灵地灵灵）。可以加多次。。这样就不会忘记自己的密码了。即使忘记就用常用密码+后缀去尝试。后缀当然可以加N次。只要不超过密码16位（ *** 是这样的）的长度限制。3。暴力破解。顾名思义，强行破解某个指定的 *** 号码。相对与上面的扫号来说这种 *** 有着更大的难度。这里基本可以分为2中，一是本地暴力破解。二是在线暴力破解。先拿本地暴力破解，就是指你在某太机器上登陆过 *** 以后。这太机器上就留有了你的号码信息，当然也包括密码信息。在去年的几月份来着，网上有N朋友公布了 *** 的加密算法。是通过N次的MD5加密。MD5不可逆的神话是山东大学什么王小云教授给打破的吧。。记 不清楚了。不管是什么原理吧总之你在本地的登陆信息可能被朋友利用的。针对本地破解的软件也是层出不穷。但同样也是很繁重的工作，不象用纪录形木马那么简单。防范的 *** 呢，还是归结到密码强度的问题上。别设置过于简单的密码。另外要注意在公共场所上网要有上机前，下机后重起机器的好习惯。一般来讲网吧都会还原的。至于说有朋友破解还原卡，还原精灵那是另一马事。再来说说在线爆破。这个在上面讲扫号的时候已经说过了，用各种晒号程序。所有号码都用一个指定的号码，密码做为变量，挂字典爆破。归结一起防止暴力破解就是要把密码强度设的高一点。象：E#%%*5￥*—%*这样的密码，即使某朋友24小时挂800台肉鸡跑你的密码，你也可以安枕无忧。4． 欺骗盗号。。千万别相信你中什么大奖了。前段时间 *** 幻想这个游戏很火。我就曾经多次收到游戏里名字叫做“NPC”，“哇哈哈礼品大使”是类的朋友发的消息。内容无非就是说：“恭喜您，尊敬的用户您在XXX公司举办的XXX活动中获得大奖，请到 填写您的个朋友信息。我们将邮寄奖品到您家中。等你高高兴兴的去他的网址时，你会发现他的网页做的跟腾讯公司十分相似。这样很容易欺骗那些初级网民。甚至有些朋友就用qq.xxx.com的2及玉米就成功欺骗了大部分朋友。还有就是在中奖信息的提示中发个你个验证码。在你登陆他的网页前会弹出个脚本提示框。让你输入验证码。其实你随便输入什么都可以进去的。这样做只是曾加欺骗性而已。当你填写资料的时候你的 *** 密码就这样被骗子弄走了。我忠告朋友们千万别相信天上掉馅饼的好事会落到你头上。随时注意保护自己的利益。不仅仅是 *** 。其他类似的骗局也TMD的N多。这里我就不举例说明了。说到这里真想骂两句：最B4骗子了。没JB一点技术含量。日[Pge]5． 其他方面。局域网安全问题。很多网吧用的2K系统 。2K本身有IPC共享。这个共享一般网吧在做系统的时候不会删除的。很容易被利用。稍微懂点hcker的朋友就可以完全通过IPC控制你机器。如果有视频，都可以监控你的视频。偷窥你的隐私。所以说想要盗你号那也是翻云覆雨（不对。。。应该是易如反掌）。6． 号码被盗后怎么办？有的时候我们不小心号码被盗了。怎么处理呢？当然首先是如果你已经申请过 *** 密码保护，那么就去 按照流程取回自己的密码。这里要给还没有设置密码保护的朋友一点建议，申请保护的时候一定记清楚自己的密码保护资料。免得造成取回密码时不成功。一旦忘记密码保护，还可以通过 腾讯公司的号码申诉页面进行取回。这里要注意的是 腾讯进行认证的时候主要通过2方面。一是申请这个号码时的“原始密码“，就是申请时所用的密码。就是号码所设置的之一个密码。二：如果号码已经申请过保护的。那么需要把原始的密码保护资料的“证件号码“。第二个方面当然是只适用与已经申请过保护，但忘记密码保护资料的情况。一般来说这2个有一个是正确的就可以取回号码。7． 恢复丢失号码里好友的 *** ：简单说就是同过复制 *** 文件夹下的user.db这个文件到你新的号码里。当然这个前提是你曾经在家里或公司地方上网。也就是说能到你曾经上过 *** 的电脑拿到你号码文件夹下的user.db这个文件。详细请参看这两篇文章：克隆好有分组 /Html/jiqio/162700509.html *** 普通会员免费克隆好友列表 /Html/jiqio/193433374.html 找会好友的 *** 与之很类似。只是要把丢是号码所在文件夹的user.db复制到新号上的文件夹下。登陆后就可以看到丢失的号码上面的好友列表，但这时候的好友信息都是本地的。并没保存在服务器上。还需要你手动的一个一个填加上去。

我的电脑里面老是出现NTDLL这个东西

灰鸽子变种病毒档案

灰鸽子变种(Backdoor.Huigezi.bm)病毒档案

病毒分类 WINDOWS下的PE病毒

病毒名称 Backdoor.Huigezi.bm

别 名

病毒长度

依赖系统

传播途径

行为类型 WINDOWS下的木马程序

感 染

病毒发作

后门病毒“灰鸽子”，Delphi编写，被压缩。

主要特点：

1。可以穿越防火墙远程控制用户机器。

2。使用madCodeHook开发包接管若干API,隐藏病毒文件，给用户杀毒造成障碍。

病毒的破坏行为如下：

一、病毒主程序运行后，把自己复制到系统目录，命名为“G_server.exe”。

Win9x和WinMe下，病毒添加自启动项 SoftWare\Microsoft\Windows\CurrentVersion\Run

NT平台下，创建服务“GrayPigeonServer”，以服务的方式启动病毒。

二、“G_server.exe”运行后，释放“G_server.dll”，然后把该dll注入到“Explorer.exe”

病毒使用madCodeHook开发包的madRemote模块注模块。

以隐藏方式启动浏览器“IEXPLORE.EXE”。以远程线程的方式把“G_server.dll”注入到

IEXPLORE.EXE”中。这样，在防火墙看来，病毒的 *** 访问都是“IEXPLORE.EXE”，而且是80端口，都会认为是正常访问。

从进程管理器中，用户自然看不到可疑进程。

三、“G_server.dll”是病毒后门功能模块，每隔30秒钟，向指定网址提交本地信息：

系统芯片:

物理内存:

Windows版本:

Windows目录:

注册公司:

注册用户:

当前用户:

当前日期:

开机时间:

计算机名称:

窗口分辨率:

服务端版本:

剪切板内容：

本地ip地址.

安装名称:

VIP用户名:

备用上线地址:

上线分组:

上线备注:

连接密码:

服务名称:

服务显示名称:

服务描述信息:

病毒提供下列远程控制功能：

安装文件

启动键盘记录

停止键盘记录

结束指定的进程

从新启动计算机

启动CMD程序

执行系统命令

获取系统信息

共享文件夹

从指定的地址中下载文件。

四、病毒把“G_Server_Hook.dll”使用madCodeHook开发包接管下列API。

kernel32.dll 的 FindNextFileA、FindNextFileW

ADVAPI32.DLL 的 EnumServicesStatusA、EnumServicesStatusW

ntdll.dll 的 NtQuerySystemInformation、NtTerminateProcess

病毒有个共享数据区：“GPigeon5_Shared_HIDE”，里面可以包含四个文件，病毒这些文件

病防止终止相应进程。所以，一旦感染病毒，用户看不到病毒文件。

灰鸽子变种(Trojan.Huigezi.z)病毒档案

病毒分类 WINDOWS下的PE病毒

病毒名称 Trojan.Huigezi.z

别 名

病毒长度

依赖系统

传播途径

行为类型 WINDOWS下的木马程序

感 染

病毒发作

灰鸽子服务端。将自己注册为服务，每次开机都自动运行。在后台运行IE，并将同目录下的病毒文件G_Server.dll（病毒名为Trojan.Huigezi.ae）注入到IE中。

如何防范木马

1.察看本地共享资源

运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

2.删除共享(每次输入一个）

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e，f，……可以继续删除）

3.删除ipc$空连接

在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。

4.关闭自己的139端口，Ipc和RPC漏洞存在于此

关闭139端口的 *** 是在“ *** 和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

5．防止Rpc漏洞

打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的之一次失败，第二次失败，后续失败，都设置为不操作。

Windwos XP SP2和Windows2000 Pro Sp4，均不存在该漏洞。

6．445端口的关闭

修改注册表，添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Net *** \Parameters在右面的窗口建立一个 *** BDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。

7．3389的关闭

WindowsXP：我的电脑上点右键选属性--远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

Win2000server 开始--程序--管理工具--服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该 *** 在XP同样适用）

使用Windows2000 Pro的朋友注意， *** 上有很多文章说在Win2000pro 开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。

8．4899的防范

*** 上有许多关于3389和4899的入侵 *** 。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。

4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9、禁用服务

打开控制面板，进入管理工具——服务，关闭以下服务：

1.Alerter[通知选定的用户和计算机管理警报]

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无

法访问共享

4.Distributed Link Tracking Server[适用局域网分布式链接]

5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]

6.IMAPI CD-Burning COM Service[管理 CD 录制]

7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]

8.Kerberos Key Distribution Center[授权协议登录 *** ]

9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]

10.Messenger[警报]

11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

13.Network DDE DSDM[管理动态数据交换 (DDE) *** 共享]

14.Print Spooler[打印机服务，没有打印机就禁止吧]

15.Remote Desktop Help nbsp;Session Manager[管理并控制远程协助]

16.Remote Registry[使远程计算机用户修改本地注册表]

17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

18.Server[支持此计算机通过 *** 的文件、打印、和命名管道共享]

19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]

20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和 *** 上客户端的 NetBIOS 名称解析的支

持而使用户能够共享文件 、打印和登录到 *** ]

21.Telnet[允许远程用户登录到此计算机并运行程序]

22.Terminal Services[允许用户以交互方式连接到远程计算机]

23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。

10、账号密码的安全原则

首先禁用guest帐号，将系统内建的administrator帐号改名（改的越复杂越好，更好改成中文的），而且要设置一个密码，更好是8位以上字母数字符号组合。

如果你使用的是其他帐号，更好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，更好在安全模式下设置，因为经我研究发现，在系统中拥有更高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到更大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置。

打开管理工具—本地安全设置—密码策略：

1.密码必须符合复杂要求性.启用

2.密码最小值.我设置的是8

3.密码最长使用期限.我是默认设置42天

4.密码最短使用期限0天

5.强制密码历史 记住0个密码

6.用可还原的加密来存储密码 禁用

11、本地策略

这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。

(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)

打开管理工具，找到本地安全设置—本地策略—审核策略：

1.审核策略更改 成功失败

2.审核登陆事件 成功失败

3.审核对象访问 失败

4.审核跟踪过程 无审核

5.审核目录服务访问 失败

6.审核特权使用 失败

7.审核系统事件 成功失败

8.审核帐户登陆时间 成功失败

9.审核帐户管理 成功失败

nb sp;然后再到管理工具找到事件查看器：

应用程序：右键属性设置日志大小上限，我设置了50mb，选择不覆盖事件。

安全性：右键属性设置日志大小上限，我也是设置了50mb，选择不覆盖事件。

系统：右键属性设置日志大小上限，我都是设置了50mb，选择不覆盖事件。

12、本地安全策略

打开管理工具，找到本地安全设置—本地策略—安全选项：

1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登

陆的]。

2. *** 访问.不允许SAM帐户的匿名枚举 启用。

3. *** 访问.可匿名的共享 将后面的值删除。

4. *** 访问.可匿名的命名管道 将后面的值删除。

5. *** 访问.可远程访问的注册表路径 将后面的值删除。

6. *** 访问.可远程访问的注册表的子路径 将后面的值删除。

7. *** 访问.限制匿名访问命名管道和共享。

8.帐户.（前面已经详细讲过拉 ）。

13、用户权限分配策略

打开管理工具，找到本地安全设置—本地策略—用户权限分配：

1.从 *** 访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属

于自己的ID。

2.从远程系统强制关机，Admin帐户也删除，一个都不留 。

3.拒绝从 *** 访问这台计算机 将ID删除。

4.从 *** 访问此计算机，Admin也可删除，如果你不使用类似3389服务。

5.通过远端强制关机。删掉。

14、终端服务配置

打开管理工具，终端服务配置：

1.打开后，点连接，右键，属性，远程控制，点不允许远程控制。

2.常规，加密级别，高，在使用标准Windows验证上点√!

3.网卡，将最多连接数上设置为0。

4.高级，将里面的权限也删除。

再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话。

15、用户和组策略

打开管理工具，计算机管理—本地用户和组—用户：

删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。

计算机管理—本地用户和组—组，组.我们就不分组了。

16、自己动手DIY在本地策略的安全选项

1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透。

2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户

名.让他去猜你的用户名去吧。

3）对匿名连接的额外限制。

4）禁止按 alt+crtl +del(没必要）。

5）允许在未登陆前关机[防止远程关机/启动、强制关机/启动]。

6）只有本地登陆用户才能访问cd-rom。

7）只有本地登陆用户才能访问软驱。

8）取消关机原因的提示。

A、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签

页面；

B、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确

定”按钮，来退出设置框；

C、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能

键，来实现快速关机和开机；

D、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页

面，并在其中将“启用休眠”选项选中就可以了。

9）禁止关机事件跟踪

开始“Start -”运行“ Run -输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）- ”管理模板“（Administrative Templates）- ”系统“（System），在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于Windows 2000的关机窗口。

17、常见端口的介绍

TCP

21 FTP

22 SSH

23 TELNET

25 TCP *** TP

53 TCP DNS

80 HTTP

135 epmap

138 [冲击波]

139 *** b

445

1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b

1026 DCE/12345778-1234-abcd-ef00-0123456789ac

1433 TCP SQL SERVER

5631 TCP PCANYWHERE

5632 UDP PCANYWHERE

3389 Terminal Services

4444[冲击波]

�

UDP

67[冲击波]

137 netbios-ns

161 An SNMP Agent is running/ Default community names of the SNMP Agent

关于UDP一般只有腾讯 *** 会打开4000或者是8000端口或者8080，那么，我们只运 行本机使用4000这几个端口就行了。

18、另外介绍一下如何查看本机打开的端口和tcp\ip端口的过滤

开始－－运行－－cmd，输入命令netstat -a ，会看到例如（这是我的机器开放的端口）：

Proto Local Address Foreign Address State

TCP yf001:epmap yf001:0 LISTE

TCP yf001:1025（端口号） yf001:0

LISTE

TCP (用户名）yf001:1035 yf001:0

LISTE

TCP yf001:netbios-ssn yf001:0 LISTE

UDP yf001:1129 *:*

UDP yf001:1183 *:*

UDP yf001:1396 *:*

UDP yf001:1464 *:*

UDP yf001:1466 *:*

UDP yf001:4000 *:*

UDP yf001:4002 *:*

UDP yf001:6000 *:*

UDP yf001:6001 *:*

UDP yf001:6002 *:*

UDP yf001:6003 *:*

UDP yf001:6004 *:*

UDP yf001:6005 *:*

UDP yf001:6006 *:*

UDP yf001:6007 *:*

UDP yf001:1030 *:*

UDP yf001:1048 *:*

UDP yf001:1144 *:*

UDP yf001:1226 *:*

UDP yf001:1390 *:*

UDP yf001:netbios-ns *:*

UDP yf001:netbios-dgm *:*

UDP yf001:isakmp *:*

现在讲讲基于Windows的tcp/ip的过滤。

控制面板—— *** 和拨号连接——本地连接——INTERNET协议（tcp/ip)--属性－－高级－－－选项－tcp/ip筛选－－属性!!

然后添加需要的tcp 和UDP端口就可以了～如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。

19、胡言乱语

(1)、TT浏览器

选择用另外一款浏览器浏览网站.我推荐用TT，使用TT是有道理的。

TT可以识别网页中的脚本，JAVA程序，可以很好的抵御一些恶意的脚本等等，而且TT即使被感染，你删除掉又重新安装一个就是。

MYIE浏览器

是一款非常出色的浏览器，篇幅有险，不做具体介绍了。（建议使用）

(2)、移动“我的文档”

进入资源管理器，右击“我的文档”，选择“属性”，在“目标文件夹”选项卡中点“移动”按钮，选择目标盘后按“确定”即可。在Windows 2003 中“我的文档”已难觅芳踪，桌面、开始等处都看不到了，建议经常使用的朋友做个快捷方式放到桌面上。

(3)、移动IE临时文件

进入“开始→控制面板→Internet 选项”，在“常规”选项“Internet 文件”栏中点“设置”按钮，在弹出窗体中点“移动文件夹”按钮，选择目标文件夹后，点“确定”，在弹出对话框中选择“是”，系统会自动重新登录。点本地连接高级安全日志，把日志的目录更改专门分配日志的目录，不建议是C:再重新分配日志存储值的大小，我是设置了10000KB。

20、避免被恶意代码 木马等病毒攻击

以上主要讲怎样防止黑客的恶意攻击，下面讲避免机器被恶意代码，木马之类的病毒攻击。

其实 *** 很简单，所以放在最后讲。

我们只需要在系统中安装杀毒软件 如 卡巴基斯，瑞星，金山独霸等。

还有防止木马的木马克星和金山的反木马软件（可选）。

并且能够及时更新你的病毒定义库，定期给你的系统进行全面杀毒。杀毒务必在安全模式下进行，这样才能有效清除电脑内的病毒以及驻留在系统的非法文件。

还有就是一定要给自己的系统及时的打上补丁，安装最新的升级包。微软的补丁一般会在漏洞发现半个月后发布，而且如果你使用的是中文版的操作系统，那么至少要等一个月的时间才能下到补丁，也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。

本人强烈建议个人用户安装使用防火墙（目前最有效的方式）。

例如：天网个人防火墙、诺顿防火墙、瑞星防火墙等等。

因为防火墙具有数据过滤功能，可以有效的过滤掉恶意代码，和阻止DDOS攻击等等。总之如今的防火墙功能强大，连漏洞扫描都有，所以你只要安装防火墙就可以杜绝大多数 *** 攻击，但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的，如果哪个邪派高手看上你的机器，防火墙也无济于事。我们只能尽量提高我们的安全系数，尽量把损失减少到最小。

Q似乎中过木马,之后分组全没了,怎么回事啊?

好像不是木马的问题，（- -#但也存在木马的原因）

我往往遇见的 *** 分组无意中没了，

应该是腾讯服务器上的问题，

你再另一个地方登陆就行了，

要不就在 *** 上 删除自己原来的 *** ，

重新进入一下。