查看电脑有无遭黑客攻击
黑客, 电脑, 攻击
-
现在有很多朋友被各种黑客软件困扰着,有的朋友中了木马成了肉鸡都不知道,这实在是一件很让人郁闷的事,以下是我自己总结的中木马的原因还有防木马的心得,希望对朋友们有帮助。
★中木马的原因?
1.乱上网站。某些初级黑客,在网上挂网马,有的朋友喜欢用百度搜索下自己喜欢的东西,这样做的话会很危险,一些站上的网马加了壳,你的杀软是发现不了的,这样的话,你只要点开那个站,就中了。
2.接收陌生人发来的东西。这个我想就没必要多说了,这是很古老的放木马的办法了,一般一点儿电脑也不懂的人才会中这样的招。不过我在这里还是说一下,他们使用的方法是:把一个后缀为.exe的可执行文件(也就是木马程序)的图标改成其他的图标(如照片,照片本来的后缀应该是.jpg or .gif),不懂电脑的人就以为是他的照片,就会上去点,这个时候,等于是你自己运行了木马。防这手其实也没多难,只要你可以看到他发来的东西的扩展名是什么(到显示隐藏文件和文件夹下方的隐藏已知文件类型的扩展名,把它的勾去了,就可以看到他发过来的东西是什么扩展名了)
等别人给你发来东西,你看到后缀名是.exe的就要小心了。
3.系统补丁打不全。管理员密码不设置或设置的太简单,都会给黑客留下可乘之机。对于这些问题的防范,我会在后面写到。
★中了木马有什么样的表现?
1,你中了马被人远程控制,在进程里可能会出现一些你没见过的进程,如1.exe,不过病毒也会有这样的表现。
2,有时候机子会很卡,这有可能是别人正远程连接你的机子,下你机子上的电影或者是图片什么的,说白了,这就是明抢。
3,最主要的一个表现是,你会发现,你的机子上会出现一个你没见过的新帐户,并且它拥有管理员权限,你在右下角的“运行”里打“CMD”,进去打“net user”就可以看到你的帐户有没有多出来,如果有的话,快注销一下,把它删了吧。但是还有一个地方大家一定要注意,如果一个人进入到你的机子,且有管理员权限,是可以建立隐藏帐户的,比如有人是以超级用户administrator登录到你的机器上的,首先在命令行下或帐户管理器中建立一个帐户:XXX$,这里他可以在命令行下建立这个帐户
net user XXX$ 1234 /add
这样的话,你在net user里是看不到他新建的帐户的,这就要求我们手动去C:\Documents and Settings下看看,是不是多了可疑的帐户?如果有的话,可要加倍小心了。
4,在命令提示符里netstat -a你可以看到多了几条你不熟悉的链接,这些链接可能就是木马进程建立的远程
链接,如果你发现了除你自己使用软件的链接外的其他,就要小心了,很可能是你感染了木马程序的结果,这也是木马和病毒最大的不同之处。当然,如果你觉得这样做麻烦,也可以用工具来查看一下,如冰刃, 打开冰刃点端口,你可以看到很多TCP和UDP链接,如果有可疑的,快断网杀毒吧!
★我们要做些什么?
首先,要养成好的上网习惯,不要乱上网站,还有别人给发的东西收到了要看好了再打开;其次,要打全系统补丁,别以为这是个小事,如果系统补丁打不全,是很容易被黑的,我们用的大部分都是盗版的操作系统,所以,最好别用WINDOWS自带的自动更新,很有可能更新出来问题,以下我给大家推荐一款软件,可以打补丁,杀流氓软件,个人认为很不错:
360安全卫士
最后,奉劝各位没装杀软裸奔的“能人”们,除非你真的认为自己是高手,不然还是装上款杀软比较好。
查看电脑是否被别人控制。
暑假了,冒险的人也多了起来了。同时盗号的也越来越猖狂了。教大家一个方法,右键我的电脑选管理-----共享文件夹-----绘话。 如果有人控制你电脑的话这里应该会显示他的IP  如果你是XP 你还可以与他对话。 你也可以马上结束他,也就是断绝被控制了。。。 然后查杀电脑。。* I+ o, m2 G1 O6 O
9 Y. |; d. `! p6 t: T
还有 因为QQ有文件传输功能,所以现在也有很多盗号木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起,然后骗你说是一个好玩的东东,你接受后运行的话, 那就恭喜你。。。 很多人会说给你外挂之类(要多BT有多BT)的 反正就是很吸引 千方百计让你接受,然后运行。。。很恐怖的,洗号的滋味你想尝试你就运行吧。
# I1 _; H  t% U6 z: T8 v+ [2 y5 x0 `3 m) e. w2 i! `
还有类似.exe的程序在点之前一定要确保10000000%的安全。 不然你走着瞧。
你还为端口被人控制而恐惧吗?(端口概述+端口查看/封杀工具)做到心中有数
端口, 心中有数, 工具, 概述
一 什么是端口  , x+ T% T; H7 Y9 P7 \
* O4 D  l6 N6 X! I& O; n1 t
: c! b( r! a5 c- I: S
在Internet上,各主机间通过TCP/TP协议发送和接收数据报,各个数据报根据其目的主机的ip地址来进行互联网络中的路由选择。可见,把数据报顺利的传送到目的主机是没有问题的。问题出在哪里呢?我们知道大多数操作系统都支持多程序(进程)同时运行,那么目的主机应该把接收到的数据报传送给众多同时运行的进程中的哪一个呢?显然这个问题有待解决,端口机制便由此被引入进来。  % v3 e! k2 y) D1 @: O" d8 s
电脑IP地址在哪里看
3 l; p+ V/
~, e" W0 F; N" }
本地操作系统会给那些有需求的进程分配协议端口(protocal port,即我们常说的端口),每个协议端口由一个正整数标识,如:80,139,445,等等。当目的主机接收到数据报后,将根据报文首部的目的端口号,把数据发送到相应端口,而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。说到这里,端口的概念似乎仍然抽象,那么继续跟我来,别走开。  4 x' Q4 v; E; J; S% M( P7 q
3 h& C
) Z; `& F  h. [9 C) ]& O6 [端口其实就是队,操作系统为各个进程分配了不同的队,数据报按照目的端口被推入相应的队中,等待被进程取用,在极特殊的情况下,这个队也是有可能溢出的,不过操作系统允许各进程指定和调整自己的队的大小。
8 B! m4 ^* [( h# f/ B& H2 c不光接受数据报的进程需要开启它自己的端口,发送数据报的进程也需要开启端口,这样,数据报中将会标识有源端口,以便接受方能顺利的回传数据报到这个端口。 
" c$ _, s9 f  J2 F/ U; f, I) D, v+ y1 A! V+ X) t2 q
8 _9 q0 S9 i/ ]% J6 [' l8 y$ \0 P/ E
二  端口的分类 
' I, ?( X9 Q+ F' w6 I; u! L. G; \. ?
$ j1 L' P4 Y, y( y. c+ L
在Internet上,按照协议类型分类,端口被分为TCP端口和UDP端口两类,虽然他们都用正整数标识,
但这并不会引起歧义,比如TCP的80端口和UDP的80端口,因为数据报在标明端口的同时,还将标明端口的类型。 
/ U8 ~3 @" g, n. r  |  o6 c9 Y5 ~( U" [9 D  n# s7 Z
从端口的分配来看,端口被分为固定端口和动态端口两大类(一些教程还将极少被用到的高端口划分为第三类:私有端口):
( X! J$ y2 h$ V0 k5 }7 v1 b/ n固定端口(0-1023): * p) D5 ^( q+ _: o& G0 L- A
使用集中式管理机制,即服从一个管理机构对端口的指派,这个机构负责发布这些指派。由于这些端口紧绑于一些服务,所以我们会经常扫描这些端口来判断对方是否开启了这些服务,如TCP的21(ftp),80(http),139(netbios),UDP的7(echo),69(tftp)等等一些大家熟知的端口;
: R! N$ A$ H, _动态端口(1024-49151): / z7 F- [0 {/ Z3 o
这些端口并不被固定的捆绑于某一服务,操作系统将这些端口动态的分配给各个进程,同一进程两次分配有可能分配到不同的端口。不过一些应用程序并不愿意使用操作系统分配的动态端口,他们有其自己的‘商标性’端口,如oicq客户端的4000端口,木马冰河的7626端口等都是固定而出名的。 
/ F9 P3 H+ t4 e4 N! j* y7 m! c, U1 o$ t6 j' k6 ]2 M' |
' @% d# y. g7 c3 n' z0 E4 G
三  端口在入侵中的作用  ' R2 w# D. z+ _' g7 H/ h4 n& w
' k0 ~2 C- d$ W& ~  b7 n; e$ Y" X/ e9 l" Q! T" H8 `1 v
有人曾经把服务器比作房子,而把端口比作通向不同房间(服务)的
门,如果不考虑细节的话,这是一个不错的比喻。入侵者要占领这间房子,势必要破门而入(物理入侵另说),那么对于入侵者来说,了解房子开了几扇门,都是什么样的门,门后面有什么东西就显得至关重要。  ) |; s, c; i( Q* N8 m3 z( t
% c* L) T  X4 x  J0 d入侵者通常会用扫描器对目标主机的端口进行扫描,以确定哪些端口是开放的,从开放的端口,入侵者可以知道目标主机大致提供了哪些服务,进而猜测可能存在的漏洞,因此对端口的扫描可以帮助我们更好的了解目标主机,而对于管理员,扫描本机的开放端口也是做好安全防范的第一步。  ) q% P: r: e* |/ P
0 D% X  |. m8 Q4 O0 H
四 端口的相关工具    T7 P2 W3 R1 V8 e/ T7 ?/ o' w; s
- G$ y3 }; g6 Q% _1 _+ V6 _
" ~) s$ ^  _$ U3 T  g
1 netstat -an    c$ n; F- @# U! y: d
的确,这并不是一个工具,但他是查看自己所开放端口的最方便方法,在cmd中输入这个命令就可以了。如下输入:
- H( s# @' G( }, L2 b8 ~netstat -an 就可以拉; r3 c# l6 B- g  y
下面这是我没上网的时候机器所开的端口,两个135和445是固定端口,其余几个都是动态端口。$ O8 `* r$ @4 F  u% t& A" ~& V
+ D+ s" V8 D8 S% B4 r4 r! V: k1 Y
Active Connections  , r+ l* @0 ]! a$ D* @+ X" N% ]
# K2 ~9 }3 l- D! S5 NProto Local Address Foreign Address State 8 n5 l( q4 Y) _1 q. c# ]* f
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
" L5 k( _9 |8 G# [% g7 WTCP 0.0.0.0:445 0.0.0.0:0 LISTENING
" ?0 g- P  c; e6 k; PTCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 4 l/ L" J- C* [
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING 8 H5 F2 n: x& \) y
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING 6 y5 n* d! l" P1 J/ M+ k# O: w
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
$ H# B6 q* J3 x- t' v( bUDP 0.0.0.0:135 *:* . U! q8 k9 o: C  ?  m' i$ R
UDP 0.0.0.0:445 *:*
& [0 c( |2 y1 S3 h6 O& W$ F2 lUDP 0.0.0.0:1027 *:* % J' o" E$ w0 r! I; ~0 v
UDP 127.0.0.1:1029 *:* 5 b  R3 q; a' }6 z: v; J: a
UDP 127.0.0.1:1030 *:*  & R" P, r6 ^5 W6 L4 F! }* ?0 W& I( M
2 E: T$ q# |& b# j" l. u5 j
2 IceSword,里面提供详细端口扫描,值得选用
1 U3 g6 E* A6 b- U4 g; ~& t3 x( r" O# |4 b
下载地址:3 _  O! T! S, H8 M- D
21.duote/icesword_en.zip+ c  \/ P. W- W9 J4 x- N, Q
; e' b' W2 M3 k* H3 activeport(也称aports) $ l8 D. k5 k( T
还是用来查看本地机器开放端口的东东,除了具有上面两个程序的全部功能外,他还有两个更吸引人之处:图形界面以及可以关闭端口。这对菜鸟来说是个绝对好用的东西,推荐使用喔。
" |, x% ?5 ]2 Z; D + u; x6 Y  T. J9 y# }
下载地址:v/file/store/CN_Aports.rar
( X9 U! a5 E" _6 B' d4 i! m8 r2 x$ _  J; |# @% Q! G
$ ^9 m) q+ v; g+ S
4 superscan V4.0版 ( w  Q' }5 Z* h
它的大名你不会没听说过吧,纯端口扫描类软件中的NO.1,速度快而且可以指定扫描的端口,不多说了
,绝对必备工具。  ) t) W( m8 l5 c1 c' }, u
下载地址:8 u# m% z$ L; s6 e  h
http1xhacker/XGAuth/%BA%DA%BF%CD%B9%A4%BE%DF/%C9%A8%C3%E8%B9%A4%BE%DF/SuperScan%20V4.0%20%BA%BA%BB%AF%B0%E6.rar/ |! {0 _2 H* o2 q# d
4 I" D% O6 I2 u( ?( d" [! ]6 L- z  s9 i! g
五 保护好自己的端口 9 \5 m) E7 c, W' }. n. y0 P- d$ @
  : V# V5 N7 K1 ~# s; I9 Z) J7 p: n9 Q; N
) N8 A4 H/ ], {; N2 I: x1 r
刚接触网络的朋友一般都对自己的端口很敏感,总怕自己的电脑开放了过多端口,更怕其中就有后门程序的端口,但由于对端口不是很熟悉,所以也没有解决办法,上起网来提心吊胆。其实保护自己的端口并不是那么难,只要做好下面几点就行了:  3 z  c! `4 J( e
) @6 F6 s& K! W8 q/ _  D4 v  d7 S1 查看:经常用命令或软件查看本地所开放的端口,看是否有可疑端口; 
) @& X# k; C& s7 ?6 g$ j6 G6 z' y% e) g. W; I! c* a( k5 a, u
2 判断:如果开放端口中有你不熟悉的,应该马上查端口大全或木马常见端口等资料(网上多的很),看看里面对你那个可疑端口的作用描述,或者通过软件查看开启此端口的进程来进行判断; 
7 Y1 ]; q8 G: a+ P; I5 e' T
6 {+ |5 Q5 b' g2 f3 关闭:如果真是木马端口或者资料中没有这个端口的描述,那么应该关闭此端口,你可以用防火墙来屏蔽此端口,也可以用本地连接-TCP/IP-高级-选项-TCP/IP筛选,启用筛选机制来筛选端口;  + b4 S' R! u- t2 |
! [1 C0 p& R7 k& p. a4 O' S. f注意:判断时候要慎重,因为一些动态分配的端口也容易引起你多余的怀疑,这类端口一般比较低,且连续。还有,一些狡猾的后门软件,他们会借用80等一些常见端口来进行通信(穿透了防火墙),令人防不胜防,因此不轻易运行陌生程序才是关键。
查看自己是否被黑客入侵与远程控制
第1-2篇回帖, 共2篇 上一页  下一页
303228632 在2009年9月11日 12:20说 , 具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、localaddress(本地连接地址)、foreignaddress(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。 禁用不明服务 很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“netstart”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个
服务了。方法就是直接输入“netstat”来查看服务,再用“net stop server”来禁止服务。 轻松检查账户 很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。 首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“netuser+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆
了账户。快使用“netuser用户名/del”来删掉这个用户吧! 主问题 :如何查看自己是否被黑客入侵与远程控制? 这个问题其实很简单,你可以通过查看系统日志,查看进程表有无可疑进程和DOS下查看系统用户来分析。DOS查看用户你要进行以下操作:运行--CMD--输入net user(查看有哪些用户)--net start(查看开启了哪些服务)--net user 要删掉的用户名 /delete--再输入一次netuser查看用户名是否还在。如果不行的话选择安全模式下执行上面的操作。如果是发现可以进程,你需要下载一个间谍专家分析那个EXE程序调用哪些DLL,在注册表下删除RUN里的开机运行,再用类似360安全卫士或者超级兔子KILL掉可疑程序的DLL调用文件,并关闭该程序开启的后台端口即可。 副问题2:黑客常用什么方式、工具与命令入侵? 这个问题实在难答,要看你机器用的什么系统,有什么漏洞才能制定入侵方案,不过一般的黑客是不会拿个人电脑开刀的,入侵个人电脑的一般都是属于白痴菜鸟级的工具型伪黑客,是被人BS的一。 木马的原理是什么? 木马”全称是“特洛伊木马(TrojanHorse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。如果要解释每种木马的工作原理估计这里会限制的回答字数10000是不够的。 如已成为黑客的肉鸡,怎以解脱?  查杀木马,关闭端口,打好补丁。具体要怎么做就需要知道你中的是什么木马,才有解决方法。如果你确实是被人抓到变成了肉机又没办法解决的话你就加QQ109489193