网络黑客攻击,一般会在你的电脑里后台运行一些程序。这些程序往往进行了伪装。或者跟随系统程序运行。
首先,你要明白,你的正常运行的程序有哪些。 方法:
进入系统的安全模式。再进入任务管理器。看你有哪些程序运行。这些程序用截屏方法存取下来。
其次,进入正常启动。之后对比你在安全模式下运行的程序。看看多了哪些程序。这些程序中,就可能是黑客运行的程序。
这是,我电脑中安全模式下运行的程序。
这是安全模式下,用tasklist /svc命令调用出来的系统线程资料。
通过这些资料,对比你正常模式下运行的线程资料和进程资料,看看,多出来哪些线程和进程。就可以大致的锁定木马可能存在的范围。方便你查找木马。
其次,黑客攻击,一般来说,都是通过TCP联机攻击控制对方电脑的。不管用的手段和软件如何。他都需要一个端口,进入你的电脑。
正常模式下,不要重启电脑后。不要上网开启网页。运行:CMD 进入DOS系统。之后,输入:netstat –ano 这时,你可以看到一排信息:
有TCP链接端口。也有UDP链接端口。
其中LOCAL Address 是你自己的地址,后面的冒号跟的就是TCP链接你电脑的端口号。 比如111.111.111.111:135
表明你的IP地址是111.111.111.111,这个TCP链接的端口号是135
Foreign Address 是对方的IP地址后面是他的链接端口号。一般是80端口。
State 是链接状态,ESTABLISHED表明已经链接。如果黑客链接。这是最危险的。
LISTENING。表明正在等待对方链接。说明你的电脑开出了一个端口,正在等待外部链接。 如果你电脑中有木马。木马会在启动时自动开启一个端口。黑客就可以通过这个端口,随时链接你的电脑。
TIME_WAIT是超时,不用理睬。 最危险的就是前面两种。
PID是相关链接对应的应用程序PID进程值。
如果你输入netstat –ano之后。发现有3~4个TCP一般是正常的。一般来说,如果你没有上网。一般是LISTENING状态。端口是135,139,445,1025等等。
这些一般来说,是系统自动开的后门。系统自身会开一些后门。
这些后门,对于普通用户来说,一般没什么用。不过对于一些具有数据库服务的机器来说,是不可少的。
但是黑客,就可以利用这些后门,进行入侵。因此,最好是将这些后门关掉。
一般来说,可以用系统自带的管理工具—本地安全策略去关闭一些端口(具体方法,大家可以网上查)。但是实际上对于135,139,445,1025端口来说,有时候,即使设置了,还是关不掉。
这里讲一下,这些端口的关闭方法: 135端口:
一、 单击―开始‖——―运行‖,输入―dcomcnfg‖,单击―确定‖,打开组件服务 二、 在弹出的―组件服务‖对话框中,选择―计算机‖选项
三、 在―计算机‖选项右边,右键单击―我的电脑‖,选择―属性‖。 四、 在出现的―我的电脑属性‖对话框―默认属性‖选项卡中,去掉―在此计算机上启用分布式
COM‖前的勾。
五、 选择―默认协议‖选项卡,选中―面向连接的TCP/IP‖,单击―删除‖按钮 六.单击―确定‖按钮,设置完成,重新启动后即可关闭135端口。
139端口:
关闭139端口的方法是在―网络和拨号连接‖中―本地连接‖中选取―Internet协议(TCP/IP)‖属性,进入―高级TCP/IP设置‖―WinS设置‖里面有一项―禁用TCP/IP的NETBIOS‖,打勾就关闭了139端口。
445端口:
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\NetBT\\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
1025端口:
关掉alg.exe的系统服务。才可以关掉。
我的电脑--右键管理---服务和应用程序--服务--找到Application Layer Gateway Service将这个服务禁用就可以关闭它所开的端口了
这个时候,你再输入netstat –ano在开机启动时,一般除了UDP端口,就没有TCP端口开启了。
不过有时候,还是会看到一些端口开启。这个时候,你看PID值。
在看任务管理器中进程的PID值。如果没有PID显示,可以菜单栏“查看”—“选择列”—将PID值复选框打勾就可以显示。
如果相关的进程是360之类的,一般可以信任。这些网络安全软件,可能在定期下载资料。如果是其他的就要小心了。
还有一个方法,对于网路安全也是可以的。就是TCP/IP筛选。具体操作方法。大家可以上网查。
对于一般用户来说,可以禁止所有TCP端口。也就是只允许。但是不添加任何端口。 但是UPD和其他就不要禁止了。有可能导致上网异常。
菜鸟是如何气死黑客的。
说真的,对于反黑客,我也是粗通一二,但是我学的那些知识,估计也足够对付黑客了。 弄得好,绝对能巴他们气死。
我对待我电脑的木马,其实是很宽大的。也算是好心有好报,由于我不太懂这些东西。
即使我找到了木马,我也不敢乱删。因为某些木马是修改,替换的系统文件的dll文件。
我知道,要恢复,需要重新替换回来。
但是最后,我懒得这么去做了。首先,木马隐藏的很隐蔽,要找出来很费精力。其次,即使找出来了,随便乱删文件,万一删错了。怕系统出问题。最后,网络下载的文件,我也不太放心。搞不好是用一个木马替换另一个木马而已。
其次,黑客进入电脑,最终不过是为了窃取文件。
因此,我对黑客怎么进入我的电脑,安装了多少木马,一概不管,也没那么多精力去管。
我只要管好最终的关口就好了。让黑客的木马,信息发不出去。这样的话,即使他安装再多的木马,也是没用的。
不管任何木马,最终都是要开通端口通信的。要么是TCP端口,要么是UDP端口。
因此,我们应该对平时电脑开了哪些端口有所熟悉。
在运行中输入CMD,进入DOS系统,之后输入:netstat –ano
这样,你就可以看到你的电脑开了多少端口了。像我们这些平常上网,看看网页,视频,用个大智慧炒炒股之类的小网民。一般开的端口不多。像我,我的TCP端口全关。 UDP端口只有4个,实质上,不过是两个程序开的。一个是360开了两个。 一个是系统进程svchost.exe开出的两个端口。
例如图中红色部分所圈的,就是我用netstat –ano所调出的资料。我的电脑只有UDP端口开启。并且只有4个。
对于我们这些普通网民来说,如果你们的电脑启动之后,端口开了10个以上。不用说了,肯定中马了。
同时,红色圈中看到的UDP端口,分别是由两个进程开启的。对照下面蓝色部分的资料。 分别是PID:2016和1128两个进程。对应的进程分别是:360的服务。以及系统服务进程SVChost.exe.
忘记说了,蓝色圈中的资料,是我输入命令:tasklist /svc调用出来的。
大家可以看到,这个命令不光把系统正在运行的进程显示出来了,特别是对应的服务。Svchost.exe的系统进程中,所运行的线程也显示出来了。
系统启动后的端口资料,以及系统服务调用的线程资料很重要,大家记得截屏保存备份喔~!
特别是黄色框中的那一系列的线程,可能隐藏了木马,对比安全模式下调用的线程,用排除法,可以缩小范围,最后查到木马。
好了,基础知识告诉大家了。现在让大家看看,我是怎么气死黑客的。
我用个实战例证告诉大家吧。
记得有一次我刚启动机器。于是在运行里输入CMD,之后输入netstat –ano
我意外的发现,我居然有5个UDP端口开启。平时只有4个呀。一查之下发现。居然多开出的端口,调用的进程是系统服务SVCHOST,具体的服务我对了PID,是Dnscache.
要知道,平时这个服务是不开端口的呀,现在怎么开了?于是,我认为,可能是有黑客把我的系统文件修改替换了。哎,估计那个老兄花了不少力气呀。真是辛苦他了。
我本来想重新下载一个替换原来的文件。但是怕出问题。于是,我干脆找到这个服务。 是DNS Client这个服务调用的。于是,我干脆把这个服务禁用了。之后重启电脑。
再检查的时候,发现UDP端口数目恢复正常了。但是外网总有一个地址在请求TCP连接我的电脑。不过他是白费力气,总是连接超时,就让他慢慢请求好了。反正我是不会答应的。
现在电脑内嵌式的木马大多藏在某些服务里,例如PID1128的系统服务。调用的线程有很多。
事实上,系统服务SVCHOST这个程序,调用的线程总共有上百个。这其中,就可能隐藏了黑客的木马。
我不可能一个个去对,一来没精力,二来没那个水平,怕搞出事。 、
我就查看,开了UDP端口的PID1128的系统服务,调用的线程。将其中不必要的线程服务统统关闭。
这一招,大家一定要学会哦。
查看自己的开了端口的系统服务,都有哪些,能够禁用的尽量禁用。搞不好,这其中就有木马开的端口。
类似我以前,开通的UDP端口不止4个,有6个。还有个端口是个服务叫什么SSDPSRV的系统服务开出的。我查了,这个服务,没什么大用,于是把这个服务禁用了。
禁用之后,也出现了一大堆TCP请求超时。看来让我歪打正着,关掉了木马的通信端口。
至于之后的Dnscache木马端口,也正是我关掉这个服务后,那个笨蛋黑客不死心,又偷梁换柱给搞了一个。
不过还让我的慧眼给发现了。
可以说,这些黑客要开出个通信端口不容易。但是我对付他们很简单,直接关掉相关端口和服务就好了。省时省力。
怎么样,简单实用吧~!足够你未来气气一两个黑客玩一玩了。
最后,如果你整理好了系统,最好用GHOST进行系统拷贝。必要时可以进行系统覆盖。
因篇幅问题不能全部显示,请点此查看更多更全内容