<P><FONT color=#f73809>共享文件夹是黑客利用的一个漏洞,个人电脑基本无用。而<FONT color=#000000>2000以上的系统都默认共享,停止共享后再重启还会出现,只有修改注册表才能彻底去掉。</FONT></FONT></P>
<P><FONT color=#f73809><FONT color=#000000>删除默认共享可以做一个批处理,用记事本写入:(针对 c d e f 这四个盘举例,有其它盘也可以加上)</FONT></FONT></P>
<P><FONT color=#f73809><FONT color=#000000>net share admin$ /del <br>net share ipc$ /del <br>net share c$ /del <br>net share d$ /del <br></FONT></FONT><FONT color=#f73809><FONT color=#000000>net share e$ /del </FONT></FONT></P>
<P><FONT color=#f73809><FONT color=#000000>net share f$ /del </FONT></FONT></P>
<P><FONT color=#f73809><FONT color=#000000>然后另存为 <FONT color=#f73809> </FONT><FONT size=5><FONT color=#f73809><FONT size=4>GONG</FONT>.bat</FONT> </FONT><FONT size=4>这个</FONT>批处理文件,做一个快捷方式放到系统启动项里就OK啦!(启动项在电脑右下角——开始——程序——启动——右键打开把这个文件从暂时存放的地方,<FONT color=#f73809>剪切再粘贴</FONT>进去就行了)</FONT><br><br></P></FONT>
<P><FONT color=#f73809>如何关闭 136、137、138、445 端口</FONT> <br>136、137、138、445 端口经常为黑客攻击提供便利,通过下面的方法可以关闭这些端口达到防范目的。打开设备管理器,在【查看】菜单里选中“显示隐藏的设备”,找到“非即插即用驱动程序”树展开,在里面找到“NetBios over Tcpip”,禁用此项目并重新启动系统即可。 <br>打印机和文件共享可以用445端口实现,137-139端口关闭后网上邻居里浏览功能会失效,只能直接用IP或计算机名访问了 </P>
<P><FONT color=#ee3d11>注意了:在进行这个端口操作之前最后复制下这个方法暂时保存在记事本或Word文档里,一旦重启不能连网了,</FONT><FONT color=#000000>再根据这个方法恢复原项目为自动。然后在指派新IP安全规则里逐个端口关闭:</FONT></P>
<P><FONT color=#008000>第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。<br>第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。<br>第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。<br>第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。<br>第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。</FONT><br></P>
<P><FONT color=#4d4db3>如果是<FONT color=#000000 size=6>win2000系统</FONT>中毒后重装系统了,在没有<FONT size=5>正版杀毒软件</FONT>的情况下,就应该关掉下面的端口了:</FONT></P>
<P><FONT color=#4d4db3>新发现的辅助查杀小软件</FONT></P>
<P><FONT color=#4d4db3>DeleteDR.exe 删除顽固文件的免安装软件</FONT></P>
<P>upiea.exe 插件查杀免安装软件</P>
<P>IceSword.exe 冰刃进程检查免安装软件</P>
<P>spybotsd13.exe 清除间谍软体的软件(需要安装)</P>
<P>adrm.exe 去除电影文件播放过程弹出窗口的免安装软件</P>
<P>magicset73.exe 超级兔子v7.3系统清理优化的免注册软件(需要安装)</P>
<P><STRONG>以上软件可以到该网络硬盘下载:<a href="http://www.cmput.com/myspace.aspx?username=dahai2" target="_blank" >http://www.cmput.com/myspace.aspx?username=dahai2</A></STRONG></P>
<P><STRONG>和:<a href="http://www.cmput.com/myspace.aspx?username=dahai3" target="_blank" >http://www.cmput.com/myspace.aspx?username=dahai3</A></STRONG></P>
<P><STRONG>另外用于汉化软件的金山快译2006版的翻译软件——先下载金山快译2006海峰绿色免激活压缩包,再下载金山快译2006海峰绿色免激活破解补丁压缩包,解压覆盖到第一个压缩包目录中就可以直接使用了。(需要安装)</STRONG></P>
<P><FONT size=6>找不全的话,就下载这个直接安装破解的jsky2006bd.rar</FONT></P>
<P><FONT size=6>地址是:</FONT><a href="http://soft.zddd.com/soft/2025.htm" target="_blank" ><FONT size=6>http://soft.zddd.com/soft/2025.htm</FONT></A></P>
<P><FONT size=6>网上很多金山快译都是假的,这个经过本人测试,属于最实用的一个。</FONT></P>
<P>======================================================</P>
<P><FONT color=#000000>每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,<FONT size=6>win2000系统</FONT>安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。<br><br> “控制面板”的“管理工具”中的“服务”中来配置。 <br><br> 1、关闭<FONT color=#ee3d11>7.9</FONT>等等端口:关闭Simple TCP/IP Service,支持以下TCP/IP服务:Character Generator,Daytime, Discard, Echo, 以及 Quote of the Day。 <br><br> 2、关闭<FONT color=#ee3d11>80</FONT>口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过 Internet 信息服务的管理单元提供 Web 连接和管理。 <br><br> 3、关掉<FONT color=#ee3d11>25</FONT>端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。 <br><br> 4、关掉<FONT color=#ee3d11>21</FONT>端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。 <br><br> 5、关掉<FONT color=#ee3d11>23</FONT>端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。 <br><br> 6、还有一个很重要的就是关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的其他操作。(<FONT color=#ee1111>这个共享的事上面说了,就不用重新设置了吧</FONT><FONT color=#ee3d11>?</FONT>) <br><br> 7、还有一个就是<FONT color=#ee1111>139</FONT>端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。 <br><br> <FONT color=#f73809>关闭139端口</FONT>的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。<br><br> 对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了<br><FONT color=#f73809>3389端口的关闭:</FONT> <br><br> 首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,建议关闭该服务。 <br><br> win2000 server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。 <br><br> win2000 pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。 <br><br> windows xp关闭的方法:在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。</FONT></P>
<P><FONT color=#ee3d11>113端口木马</FONT>的清除(仅适用于windows系统):<br>这是一个基于irc<FONT color=#f70909>聊天室控制的木马</FONT>程序。<br>1.首先使用netstat -an命令确定自己的系统上是否开放了113端口<br>2.使用fport命令察看出是哪个程序在监听113端口<br><FONT color=#f73809>fport工具</FONT>下载<br>例如我们用fport看到如下结果:<br>Pid Process Port Proto Path<br>392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe<br><br>我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为<br>c:\winnt\system32下。<br>3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,<br>并使用管理器结束该进程。<br>4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,<br>并将相关的键值全部删掉。<br>5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如<br>rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据<br>木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与<br>监听113端口的木马程序有关的其他程序)<br>6.重新启动机器。<br><br><FONT color=#f73809>3389</FONT>端口的关闭:<br>首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先<br>确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。<br><br>win2000关闭的方法:<br>win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,<br>选中属性选项将启动类型改成手动,并停止该服务。<br>win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services<br>服务项,选中属性选项将启动类型改成手动,并停止该服务。<br><U>winxp关闭的方法</U>:<br>在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。<br><br><FONT color=#f73809>4899</FONT>端口的关闭:<br>首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能<br>算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服<br>务是否是你自己开放并且是必需的。如果不是请关闭它。<br><br>关闭4899端口:<br>请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统<br>安装目录),输入r_server.exe /stop后按回车。<br>然后在输入r_server /uninstall /silence<br><br>到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件<br><br><br><FONT color=#ee3d11>5800,5900</FONT>端口:<br><br>1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\<br>explorer.exe)<br>2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新<br>运行c:\winnt\explorer.exe)<br>3.删除C:\winnt\fonts\中的explorer.exe程序。<br>4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的<br>Explorer项。<br>5.重新启动机器。<br><br><FONT color=#f73809>6129</FONT>端口的关闭:<br><br>首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是<br>一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务<br>是否是你自己安装并且是必需的,如果不是请关闭。<br><br>关闭6129端口:<br>选择开始-->设置-->控制面板-->管理工具-->服务<br>找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后<br>停止该服务。<br>到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。<br>到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。<br><br><FONT color=#ee3d11>1029</FONT>端口和<FONT color=#ee1111>20168</FONT>端口:<br><br>这两个端口是lovgate<FONT color=#ee3d11>蠕虫所开放的后门端口</FONT>。<br>蠕虫相关信息请参见:Lovgate蠕虫:<a href="http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Base/" target="_blank" ><a href="http://it.rising.com.cn/newSite/" target="_blank" ><FONT color=#000000>http://it.rising.com.cn/newSite/</FONT></A> ... rus/Antivirus_Base/</A><br>TopicExplorerPagePackage/lovgate.htm<br>你可以下载专杀工具:<a href="http://it.rising.com.cn/service/technology/RS_LovGate_download.htm" target="_blank" ><a href="http://it.rising.com.cn/service/" target="_blank" ><FONT color=#000000>http://it.rising.com.cn/service/</FONT></A> ... ovGate_download.htm</A><br>使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程序。<br><br><FONT color=#ee1111>45576</FONT>端口:<br><br>这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带<br>来额外的流量)<br><br>关闭代理软件:<br>1.请先使用fport察看出该代理软件所在的位置<br>2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。<br>3.到该程序所在目录下将该程序删除。</P>
<P><FONT color=#ee3d11>707</FONT>端口的关闭:<br> 这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:<br> 停止服务名为WINS Client和Network Connections Sharing的两项服务<br> 删除c:\winnt\SYSTEM32\WINS\目录下的DLLHOST.EXE和SVCHOST.EXE文件<br> 编辑注册表,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值<br><br> </P>
[此贴子已经被作者于2006-2-20 3:45:54编辑过] | 
狗仔卡
发表于 2006-1-6 02:44:00
提升卡
变色卡
抢沙发
显身卡
楼主
发表于 2006-1-6 13:14:00
</FONT></P>
</FONT></P>
<BR>到这步,灰鸽子的文件已经拷入系统。此时,如果你按F2键或点击“总是阻止该操作”,还为时不算太晚。 灰鸽子尚未注册为系统服务。</FONT></P>
</FONT></P>
</FONT></P>
</FONT></P>
</FONT></P>
</P>
</P>
</P>
</P>
</P>