DNA图谱 / 问答 / 问答详情

求教:黑客一般都是怎么攻击各种端口?

2023-07-07 16:50:14
共2条回复
北境漫步
黑客常用端口(实际上每个端口黑客都会想办法利用的)

端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。

端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX
111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point
mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point
mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange
Server吗?什么版本?还有些DOS攻击直接针对这个端口。

端口:137
说明:SQL Named Pipes encryption over other protocols name
lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name
lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins
Proxy都用这个端口。

端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS
Regisrtation也用它。

端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。

端口:161
服务:SNMP (Simple Network Management Protocol) (简单网络管理协议)
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口:162
说明:SNMP Trap(SNMP陷阱)

端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。

端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。

端口:445
说明:Common Internet File System(CIFS)(公共Internet文件系统)

端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。

端口:464
说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

端口:500
说明:Internet Key Exchange(IKE)(Internet密钥交换)

端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口:544
服务:[NULL]
说明:kerberos kshell

端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。

端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口:568
服务:Membership DPA
说明:成员资格 DPA。

端口:569
服务:Membership MSN
说明:成员资格 MSN。

端口:635
服务:mountd
说明:Linux的mountd
Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。

端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)

端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口

端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)

TCP 7=Echo
TCP 20=FTP Data
TCP 21=Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan,
Invisible FTP, Larva, WebEx, WinCrash
TCP 23=Telnet, Tiny Telnet Server (= TTS)
TCP 25=SMTP, Ajan, Antigen, Email Password Sender, Happy 99, Kuang2,
ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
TCP 31=Agent 31, Hackers Paradise, Masters Paradise
TCP 41=DeepThroat
TCP 43=WHOIS
TCP 53=DNS,Bonk (DOS Exploit)
TCP 59=DMSetup
TCP 70=Gopher
TCP 79=Firehotcker, Finger
TCP 80=Http服务器, Executor, RingZero
TCP 99=Hidden Port
TCP 110=Pop3服务器, ProMail
TCP 113=Kazimas, Auther Idnet
TCP 119=Nntp, Happy 99
TCP 121=JammerKiller, Bo jammerkillah
TCP 137=NetBios-NS
TCP 138=NetBios-DGN
TCP 139=NetBios-SSN
TCP 143=IMAP
TCP 161=Snmp
TCP 162=Snmp-Trap
TCP 194=Irc
TCP 421=TCP Wrappers
TCP 456=Hackers paradise
TCP 531=Rasmin
TCP 555=Ini-Killer, Phase Zero, Stealth Spy
TCP 666=Attack FTP, Satanz Backdoor
TCP 808=RemoteControl
TCP 911=Dark Shadow
TCP 999=DeepThroat
TCP 1001=Silencer, WebEx
TCP 1010=Doly
TCP 1011=Doly
TCP 1012=Doly
TCP 1015=Doly
TCP 1024=NetSpy.698(YAI)
TCP 1025=NetSpy.698
TCP 1033=Netspy
TCP 1042=Bla
TCP 1045=Rasmin
TCP 1047=GateCrasher
TCP 1080=Wingate
TCP 1090=Xtreme, VDOLive
TCP 1170=Psyber Stream Server, Streaming Audio trojan
TCP 1234=Ultors
TCP 1243=BackDoor-G, SubSeven, SubSeven Apocalypse
TCP 1245=VooDoo Doll
TCP 1269=Mavericks Matrix
TCP 1492=FTP99CMP(BackOriffice.FTP)
TCP 1509=Psyber Streaming Server
TCP 1600=Shivka-Burka
TCP 1807=SpySender
TCP 1981=Shockrave
TCP 1999=BackDoor, TransScout
TCP 2001=TrojanCow
TCP 2023=Ripper, Pass Ripper
TCP2115=Bugs
TCP 2140=Deep Throat, The Invasor
TCP 2155=Illusion Mailer
TCP 2283=HVL Rat5
TCP2565=Striker
TCP 2583=WinCrash
TCP 2600=Digital RootBeer
TCP2801=Phineas Phucker
TCP3024=WinCrash trojan
TCP 3128=RingZero
TCP 3129=Masters Paradise
TCP 3150=Deep Throat, The Invasor
TCP 3210=SchoolBus
TCP 3459=Eclipse 2000
TCP 3700=Portal of Doom
TCP 3791=Eclypse
TCP 4000=腾讯OICQ客户端
TCP 4092=WinCrash
TCP 4321=BoBo
TCP 4567=File Nail
TCP 4590=ICQTrojan
TCP 5000=Bubbel, Back Door Setup, Sockets de Troie
TCP 5001=Back Door Setup, Sockets de Troie
TCP 5011=One of the Last Trojans (OOTLT)
TCP 5031=Firehotcker
TCP 5190=ICQ Query
TCP 5321=Firehotcker
TCP 5400=Blade Runner, BackConstruction1.2
TCP 5401=Blade Runner
TCP 5402=Blade Runner
TCP 5550=Xtcp
TCP 5555=ServeMe
TCP 5556=BO Facil
TCP 5557=BO Facil
TCP 5569=Robo-Hack
TCP 5631=PCAnyWhere data
TCP 5714=Wincrash3
TCP 5742=WinCrash
TCP 6400=The Thing
TCP 6667=NT Remote Control
TCP 6669=Vampyre
TCP 6670=DeepThroat
TCP 6711=SubSeven
TCP 6771=DeepThroat
TCP 6776=BackDoor-G, SubSeven
TCP 6883=DeltaSource
TCP 6912=Shit Heep
TCP 6939=Indoctrination
TCP 6969=GateCrasher, Priority, IRC 3
TCP 6970=GateCrasher
TCP 7000=Remote Grab
TCP 7300=NetMonitor
TCP 7301=NetMonitor
TCP 7306=NetMonitor
TCP 7307=NetMonitor, ProcSpy
TCP 7308=NetMonitor, X Spy
TCP 7323=Sygate服务器端
TCP 7626=冰河
TCP 7789=Back Door Setup, ICKiller
TCP 8000=XDMA, 腾讯OICQ服务器端
TCP 8010=Logfile
TCP 8080=WWW 代理, Ring Zero
TCP 9400=InCommand
TCP 9401=InCommand
TCP 9402=InCommand
TCP 9872=Portal of Doom
TCP 9873=Portal of Doom
TCP 9874=Portal of Doom
TCP 9875=Portal of Doom
TCP 9876=Cyber Attacker
TCP 9878=TransScout
TCP 9989=Ini-Killer
TCP 10101=BrainSpy
TCP 10167=Portal Of Doom
TCP 10520=Acid Shivers
TCP 10607=Coma trojan
TCP 11000=Senna Spy
TCP 11223=Progenic
TCP 12076=Gjamer, MSH.104b
TCP 12223=Hack?9 KeyLogger
TCP 12345=GabanBus, NetBus, Pie Bill Gates, X-bill
TCP 12346=GabanBus, NetBus, X-bill
TCP 12361=Whack-a-mole
TCP 12362=Whack-a-mole
TCP 12631=WhackJob
TCP 13000=Senna Spy
TCP 16969=Priority
TCP 17300=Kuang2 The Virus
TCP 20000=Millennium II (GrilFriend)
TCP 20001=Millennium II (GrilFriend)
TCP 20034=NetBus 2 Pro
TCP 20203=Logged
TCP 20331=Bla
TCP 21544=Schwindler 1.82, GirlFriend
TCP 22222=Prosiak
TCP 23456=Evil FTP, Ugly FTP, WhackJob
TCP 23476=Donald Dick
TCP 23477=Donald Dick
TCP 27374=Sub Seven 2.0+
TCP 29891=The Unexplained
TCP 30029=AOL trojan
TCP 30100=NetSphere 1.27a, NetSphere 1.31
TCP 30101=NetSphere 1.31, NetSphere 1.27a
TCP 30102=NetSphere 1.27a, NetSphere 1.31
TCP 30103=NetSphere 1.31
TCP 30303=Sockets de Troie
TCP 30999=Kuang2
TCP 31336=Bo Whack
TCP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,
DeepBO
TCP 31339=NetSpy DK
TCP 31666=BOWhack
TCP 31785=Hack Attack
TCP 31787=Hack Attack
TCP 31789=Hack Attack
TCP 31791=Hack Attack
TCP 33333=Prosiak
TCP 33911=Spirit 2001a
TCP 34324=BigGluck, TN
TCP 40412=The Spy
TCP 40421=Agent 40421, Masters Paradise.96
TCP 40422=Masters Paradise
TCP 40423=Masters Paradise.97
TCP 40426=Masters Paradise
TCP 47878=BirdSpy2
TCP 50505=Sockets de Troie
TCP 50766=Fore, Schwindler
TCP 53001=Remote Windows Shutdown
TCP 54320=Back Orifice 2000
TCP 54321=School Bus .69-1.11
TCP 60000=Deep Throat
TCP 61466=Telecommando
TCP 65000=Devil
UDP 1349=BO dll
UDP 2989=RAT
UDP 3801=Eclypse
UDP 10067=Portal of Doom
UDP 10167=Portal of Doom
UDP 26274=Delta Source
UDP 29891=The Unexplained
UDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,
DeepBO
UDP 31338=Back Orifice, NetSpy DK, DeepBO
UDP 31789=Hack aTack
UDP 31791=Hack aTack
UDP 47262=Delta Source
UDP 54321=Back Orifice 2000

黑客常用软件以及方法
http://www.baidu.com/s?ie=gb2312&bs=%BA%DA%BF%CD%B3%A3%D3%C3%B6%CB%BF%DA&sr=&z=&cl=3&f=8&wd=%BA%DA%BF%CD%B3%A3%D3%C3%C8%ED%BC%FE&ct=0
北营

DOC攻击

相关推荐

黑客可以利用哪些开放的端口对个人电脑进行入侵

128 渗透 652 技术 68 员 68
2023-07-07 07:53:251

历史上最厉害的木马病毒有哪些

一、网络公牛。 网络公牛又名Netbull,是国产木马,默认连接端口23444,最新版本V1.1。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽,危害很大。同时,服务端运行后会自动捆绑以下文件: win9x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe。 winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe,regedit.exe,reged32.exe,drwtsn32.exe;winmine.exe。 服务端运行后还会捆绑开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)。在注册表中网络公牛也悄悄地扎下了根,如下: [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] "CheckDll.exe"="C:WINDOWSSYSTEMCheckDll.exe" [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] "CheckDll.exe"="C:WINDOWSSYSTEMCheckDll.exe" [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun] "CheckDll.exe"="C:WINDOWSSYSTEMCheckDll.exe" 在我看来,网络公牛是最讨厌的了。它没有采用文件关联功能,采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难!你可能要问:那么其它木马为什么不用这个功能?哈哈,其实采用捆绑方式的木马还有很多,并且这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。 清除方法: 1、删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。 2、把网络公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除)。 3、检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始->附件->系统工具->系统信息->工具->系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。 二、网络神偷(Nethief) 网络神偷又名Nethief,是第一个反弹端口型木马! 什么叫“反弹端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机连出的连接却疏于防范(当然也有的防火墙两方面都很严格)。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,我想大概没有哪个防火墙会不给用户向外连接80端口吧, 嘿嘿。最新线报:目前国内木马高手正在大规模试验(使用)该木马,网络神偷已经开始流行!中木马者也日益增多,大家要小心哦! 清除方法: 1、网络神偷会在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立键值“internet”,其值为"internet.exe /s",将键值删除。 2、删除其自启动程序C:WINDOWSSYSTEMINTERNET.EXE。 OK,神偷完蛋了! 三、WAY2.4(火凤凰、无赖小子) WAY2.4又称火凤凰、无赖小子,是国产木马程序,默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口,也正因为如此它对我们的威胁就更大了。从我的试验情况来看,WAY2.4的注册表操作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!这一点可比大家熟悉的冰河强多了,冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来,WAY2.4在注册表操控方面可以说是木马老大。 WAY2.4服务端被运行后在C:windowssystem下生成msgsvc.exe文件,图标是文本文件的图标,文件大小235,008字节,文件修改时间1998年5月30日,看来它想冒充系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立串值Msgtask,其键值为C:WINDOWSSYSTEMmsgsvc.exe。此时如果用进程管理工具查看,你会发现进程C:windowssystemmsgsvc.exe赫然在列! 清除方法: 要清除WAY,只要删除它在注册表中的键值,再删除C:windowssystem下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可以用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了! 注意:在删除前请做好备份。 四、冰河 冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就在C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载,sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 清除方法: 1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows CurrentVersionRun下扎根,键值为C:windowssystemKernel32.exe,删除它。 3、在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRunservices下还有键值为C:windowssystemKernel32.exe的,也要删除。 4、最后,改注册表HKEY_CLASSES_ROOT xtfileshellopencommand下的默认值,由中木马后的C:windowssystemSysexplr.exe %1改为正常情况下的C:windows otepad.exe %1,即可恢复TXT文件关联功能。 五、广外女生 广外女生是广东外语外贸大学“广外女生”网络小组的处女作,是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用! 该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EXE文件无法打开的问题。 清除方法: 1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它。 2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。 3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件)。 4、找到HKEY_CLASSES_ROOTexefileshellopencommand,将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices,删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。 7、完成。 六、聪明基因 聪明基因也是国产木马,默认连接端口7511。服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行之后生成GENUESERVER.htm文件,还是用来迷惑你的!怎么样,是不是无所不用其极? 哈哈,木马就是如此,骗你没商量!聪明基因是文件关联木马,服务端运行后会生成三个文件,分别是:C:WINDOWSMBBManager.exe和Explore32.exe以及C:WINDOWSsystemeditor.exe,这三个文件用的都是HTM文件图标,如果不注意,还真会以为它们是HTM文件呢! Explore32.exe用来和HLP文件关联,MBBManager.exe用来在启动时加载运行,editor.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它。一旦你打开HLP文件或文本文件,Explore32.exe和editor.exe就被激活!它再次生成守护进程MBBManager.exe!想清除我?没那么容易! 聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易! 清除方法: 1.删除文件。删除C:WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:WINDOWSsystem下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe,editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下,删除键值“MainBroad BackManager”,其值为C:WINDOWSMBBManager.exe,它每次在开机时就被加载运行,因此删之别手软! 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT xtfileshellopencommand下的默认键值由C:WINDOWSNOTEPAD.EXE %1改为C:WINDOWSsystemeditor.exe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand下,将此时的默认键值由C:WINDOWSsystemeditor.exe %1改为C:WINDOWSNOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOThlpfileshellopencommand下的默认键值改为C:WINDOWSexplore32.exe %1,因此要恢复成原值:C:WINDOWSWINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand下,将此时的默认键值由C:WINDOWSexplore32.exe %1改为C:WINDOWSWINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。 好了,可以和聪明基因说“再见”了! 七、黑洞2001 黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。 黑洞2001服务端被执行后,会在C:windowssystem下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件在机器开机时立刻运行,并打开默认端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入! 清除方法: 1)将HKEY_CLASSES_ROOT xtfileshellopencommand下的默认键值由S_SERVER.EXE %1改为C:WINDOWSNOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand下的默认键值由S_SERVER.EXE %1改为C:WINDOWSNOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES下的Winvxd主键删除。 5)到C:WINDOWSSYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe这个进程,然后再将它删除。 至此就安全的清除黑洞2001了。 八、Netspy(网络精灵) Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:Windowssystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下建立键值C:windowssystem etspy.exe,用于在系统启动时自动加载运行。 清除方法: 1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:windowssystem目录下输入以下命令:del netspy.exe 回车! 2、进入注册表HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentVersion Run,删除Netspy的键值即可安全清除Netspy。 九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。 清除方法: 1、打开注册表Regedit,点击至:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和RunService下,如果有加载文件,就删除右边的项目:加载器="C:windowssystem***"。注:加载器和文件名是随意改变的。 2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。 3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。 4、重新启动Windows,删除相对应的木马程序,一般在C:windowssystem下,在我在本机上做实验时发现该文件名为vqpbk.exe。
2023-07-07 07:53:414

请给出常用应用程序所用的端口

0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。 7 Echo 你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个机器的UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。 11 sysstat 这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似。再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11。 19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。 22 ssh PcAnywhere 建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)。还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632(十六进制的0x1600)位交换后是0x0016(使进制的22)。 23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。 25 smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。 53 DNS Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。 67&68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。 79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。 80 web站点默认80为服务端口,采用tcp或udp协议。 98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等) 109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。 110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。 111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。 113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接。 119 NNTP news 新闻组传输协议,承载USENET通讯。当你链接到诸如:news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。 135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。 137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息。 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。 143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。 161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。 162 SNMP trap 可能是由于错误配置 177 xdmcp 许多Hacker通过它访问X-Windows控制台, 它同时需要打开6000端口。 513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。 553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口。 一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal. 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。 1025,1026 参见1024 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。 1243 Sub-7木马(TCP) 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开portmapper直接测试这个端口。 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。) 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。 13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载: 机器会不断试图解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象) 27374 Sub-7木马(TCP) 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei"li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接) 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。 33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。
2023-07-07 07:53:531

我想请教一下,怎么样查看电脑的各个端口

端口:0 服务:Reserved 说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。 端口:1 服务:tcpmux 说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口:7 服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 端口:19 服务:Character Generator 说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 端口:21 服务:FTP 说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 端口:22 服务:Ssh 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 端口:23 服务:Telnet 说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 端口:25 服务:SMTP 说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 端口:31 服务:MSG Authentication 说明:木马Master Paradise、Hackers Paradise开放此端口。 端口:42 服务:WINS Replication 说明:WINS复制 端口:53 服务:Domain Name Server(DNS) 说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 端口:67 服务:Bootstrap Protocol Server 说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 端口:69 服务:Trival File Transfer 说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 端口:79 服务:Finger Server 说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。 端口:80 服务:HTTP 说明:用于网页浏览。木马Executor开放此端口。 端口:99 服务:Metagram Relay 说明:后门程序ncx99开放此端口。 端口:102 服务:Message transfer agent(MTA)-X.400 over TCP/IP 说明:消息传输代理。 端口:109 服务:Post Office Protocol -Version3 说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3 服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 端口:110 服务:SUN公司的RPC服务所有端口 说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 端口:113 服务:Authentication Service 说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 端口:119 服务:Network News Transfer Protocol 说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 端口:135 服务:Location Service 说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。 端口:137、138、139 服务:NETBIOS Name Service 说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 端口:143 服务:Interim Mail Access Protocol v2 说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。 端口:161 服务:SNMP 说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。 端口:177 服务:X Display Manager Control Protocol 说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 端口:389 服务:LDAP、ILS 说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 端口:443 服务:Https 说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 端口:456 服务:[NULL] 说明:木马HACKERS PARADISE开放此端口。 端口:513 服务:Login,remote login 说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。 端口:544 服务:[NULL] 说明:kerberos kshell 端口:548 服务:Macintosh,File Services(AFP/IP) 说明:Macintosh,文件服务。 端口:553 服务:CORBA IIOP (UDP) 说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。 端口:555 服务:DSF 说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 端口:568 服务:Membership DPA 说明:成员资格 DPA。 端口:569 服务:Membership MSN 说明:成员资格 MSN。 端口:635 服务:mountd 说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。 端口:636 服务:LDAP 说明:SSL(Secure Sockets layer) 端口:666 服务:Doom Id Software 说明:木马Attack FTP、Satanz Backdoor开放此端口 端口:993 服务:IMAP 说明:SSL(Secure Sockets layer) 端口:1001、1011 服务:[NULL] 说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 端口:1024 服务:Reserved 说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 端口:1025、1033 服务:1025:network blackjack 1033:[NULL] 说明:木马netspy开放这2个端口。 端口:1080 服务:SOCKS 说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。 端口:1170 服务:[NULL] 说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 端口:1234、1243、6711、6776 服务:[NULL] 说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 端口:1245 服务:[NULL] 说明:木马Vodoo开放此端口。 端口:1433 服务:SQL 说明:Microsoft的SQL服务开放的端口。 端口:1492 服务:stone-design-1 说明:木马FTP99CMP开放此端口。 端口:1500 服务:RPC client fixed port session queries 说明:RPC客户固定端口会话查询 端口:1503 服务:NetMeeting T.120 说明:NetMeeting T.120 端口:1524 服务:ingress 说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。 端口:1600 服务:issd 说明:木马Shivka-Burka开放此端口。 端口:1720 服务:NetMeeting 说明:NetMeeting H.233 call Setup。 端口:1731 服务:NetMeeting Audio Call Control 说明:NetMeeting音频调用控制。 端口:1807 服务:[NULL] 说明:木马SpySender开放此端口。 端口:1981 服务:[NULL] 说明:木马ShockRave开放此端口。 端口:1999 服务:cisco identification port 说明:木马BackDoor开放此端口。 端口:2000 服务:[NULL] 说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。 端口:2001 服务:[NULL] 说明:木马Millenium 1.0、Trojan Cow开放此端口。 端口:2023 服务:xinuexpansion 4 说明:木马Pass Ripper开放此端口。 端口:2049 服务:NFS 说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。 端口:2115 服务:[NULL] 说明:木马Bugs开放此端口。 端口:2140、3150 服务:[NULL] 说明:木马Deep Throat 1.0/3.0开放此端口。 端口:2500 服务:RPC client using a fixed port session replication 说明:应用固定端口会话复制的RPC客户 端口:2583 服务:[NULL] 说明:木马Wincrash 2.0开放此端口。 端口:2801 服务:[NULL] 说明:木马Phineas Phucker开放此端口。 端口:3024、4092 服务:[NULL] 说明:木马WinCrash开放此端口。 端口:3128 服务:squid 说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。 端口:3129 服务:[NULL] 说明:木马Master Paradise开放此端口。 端口:3150 服务:[NULL] 说明:木马The Invasor开放此端口。 端口:3210、4321 服务:[NULL] 说明:木马SchoolBus开放此端口 端口:3333 服务:dec-notes 说明:木马Prosiak开放此端口 端口:3389 服务:超级终端 说明:WINDOWS 2000终端开放此端口。 端口:3700 服务:[NULL] 说明:木马Portal of Doom开放此端口 端口:3996、4060 服务:[NULL] 说明:木马RemoteAnything开放此端口 端口:4000 服务:QQ客户端 说明:腾讯QQ客户端开放此端口。 端口:4092 服务:[NULL] 说明:木马WinCrash开放此端口。 端口:4590 服务:[NULL] 说明:木马ICQTrojan开放此端口。 端口:5000、5001、5321、50505 服务:[NULL] 说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。 端口:5400、5401、5402 服务:[NULL] 说明:木马Blade Runner开放此端口。 端口:5550 服务:[NULL] 说明:木马xtcp开放此端口。 端口:5569 服务:[NULL] 说明:木马Robo-Hack开放此端口。 端口:5632 服务:pcAnywere 说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。 端口:5742 服务:[NULL] 说明:木马WinCrash1.03开放此端口。 端口:6267 服务:[NULL] 说明:木马广外女生开放此端口。 端口:6400 服务:[NULL] 说明:木马The tHing开放此端口。 端口:6670、6671 服务:[NULL] 说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。 端口:6883 服务:[NULL] 说明:木马DeltaSource开放此端口。 端口:6969 服务:[NULL] 说明:木马Gatecrasher、Priority开放此端口。 端口:6970 服务:RealAudio 说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。 端口:7000 服务:[NULL] 说明:木马Remote Grab开放此端口。 端口:7300、7301、7306、7307、7308 服务:[NULL] 说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。 端口:7323 服务:[NULL] 说明:Sygate服务器端。 端口:7626 服务:[NULL] 说明:木马Giscier开放此端口。 端口:7789 服务:[NULL] 说明:木马ICKiller开放此端口。 端口:8000 服务:OICQ 说明:腾讯QQ服务器端开放此端口。 " 端口:8010 服务:Wingate 说明:Wingate代理开放此端口。 端口:8080 服务:代理端口 说明:WWW代理开放此端口。 端口:9400、9401、9402 服务:[NULL] 说明:木马Incommand 1.0开放此端口。 端口:9872、9873、9874、9875、10067、10167 服务:[NULL] 说明:木马Portal of Doom开放此端口 端口:9989 服务:[NULL] 说明:木马iNi-Killer开放此端口。 端口:11000 服务:[NULL] 说明:木马SennaSpy开放此端口。 端口:11223 服务:[NULL] 说明:木马Progenic trojan开放此端口。 端口:12076、61466 服务:[NULL] 说明:木马Telecommando开放此端口。 端口:12223 服务:[NULL] 说明:木马Hack"99 KeyLogger开放此端口。 端口:12345、12346 服务:[NULL] 说明:木马NetBus1.60/1.70、GabanBus开放此端口。 端口:12361 服务:[NULL] 说明:木马Whack-a-mole开放此端口。 端口:13223 服务:PowWow 说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。 端口:16969 服务:[NULL] 说明:木马Priority开放此端口。 端口:17027 服务:Conducent 说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。 端口:19191 服务:[NULL] 说明:木马蓝色火焰开放此端口。 端口:20000、20001 服务:[NULL] 说明:木马Millennium开放此端口。 端口:20034 服务:[NULL] 说明:木马NetBus Pro开放此端口。 端口:21554 服务:[NULL] 说明:木马GirlFriend开放此端口。 端口:22222 服务:[NULL] 说明:木马Prosiak开放此端口。 端口:23456 服务:[NULL] 说明:木马Evil FTP、Ugly FTP开放此端口。 端口:26274、47262 服务:[NULL] 说明:木马Delta开放此端口。 端口:27374 服务:[NULL] 说明:木马Subseven 2.1开放此端口。 端口:30100 服务:[NULL] 说明:木马NetSphere开放此端口。 端口:30303 服务:[NULL] 说明:木马Socket23开放此端口。 端口:30999 服务:[NULL] 说明:木马Kuang开放此端口。 端口:31337、31338 服务:[NULL] 说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。 端口:31339 服务:[NULL] 说明:木马NetSpy DK开放此端口。 端口:31666 服务:[NULL] 说明:木马BOWhack开放此端口。 端口:33333 服务:[NULL] 说明:木马Prosiak开放此端口。 端口:34324 服务:[NULL] 说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。 端口:40412 服务:[NULL] 说明:木马The Spy开放此端口。 端口:40421、40422、40423、40426、 服务:[NULL] 说明:木马Masters Paradise开放此端口。 端口:43210、54321 服务:[NULL] 说明:木马SchoolBus 1.0/2.0开放此端口。 端口:44445 服务:[NULL] 说明:木马Happypig开放此端口。 端口:50766 服务:[NULL] 说明:木马Fore开放此端口。 端口:53001 服务:[NULL] 说明:木马Remote Windows Shutdown开放此端口。 端口:65000 服务:[NULL] 说明:木马Devil 1.03开放此端口。 端口:88 说明:Kerberos krb5。另外TCP的88端口也是这个用途。 端口:137 说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。 端口:161 说明:Simple Network Management Protocol(SMTP)(简单网络管理协议) 端口:162 说明:SNMP Trap(SNMP陷阱) 端口:445 说明:Common Internet File System(CIFS)(公共Internet文件系统) 端口:464 说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。 端口:500 说明:Internet Key Exchange(IKE)(Internet密钥交换) 端口:1645、1812 说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务) 端口:1646、1813 说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问)) 端口:1701 说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议) 端口:1801、3527 说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。 端口:2504 说明:Network Load Balancing(网络平衡负荷) 0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口
2023-07-07 07:54:122

历史上最厉害的木马病毒有哪些

特洛伊木马无疑是最厉害的! 灭了一军队的说!!!
2023-07-07 07:54:483

什么叫木马?

所谓木马就是:特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。 鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。 原 理 篇 基础知识 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 (1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 (3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。 木马原理 用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。 一.配置木马 一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能: (1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。 (2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。 二.传播木马 (1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。 (2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。 (一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。 (二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 (三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系统。 (四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后,原木马文件将自动销毁,这 样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。 (六)木马更名 安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。 三.运行木马 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下图: (1)由触发条件激活木马 触发条件是指启动木马的条件,大致出现在下面八个地方: 1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。 2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。 4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。 5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。 6.注册表:打开HKEY_CLASSES_ROOT文件类型shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。 7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。 8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。 (2)木马运行过程 木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例: 其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。 在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口: (1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口 的。 (2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。 (3)4000端口:这是OICQ的通讯端口。 (4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。 四.信息泄露: 一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。 从这封邮件中我们可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。 五.建立连接: 这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。 如上图所示A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们 重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到 这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控 制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于 拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中 B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个IP地址段就可以找到B机了。 六.远程控制: 木马连接建立后,控制端端口和木马端口之间将会出现一条通道,见下图 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。 (1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。 (2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。 (3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。 (4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信 息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪
2023-07-07 07:54:579

有哪些个人电脑攻击手法与防护

攻击:1.发送木马 2.局域网嗅探 3.如果PC提供服务器服务可以DDOS 或者CC 4.扫描漏洞入侵 5.局域网ARP攻击防护:1.不要打开陌生的文件和邮件、网站 安装杀毒软件和防火墙2.关闭多余服务,安装防火墙,使用加密协议传输数据,或者对数据加密 3.只开必要的端口和服务,安装防火墙和杀毒软件 4.修复系统漏洞,安装杀毒软件和防火墙,把机器内的软件升级到最新稳定版本,关闭无用服务和驱动以及危险端口 5.绑定MAC地址,安装ARP防火墙,安装杀毒软件和防火墙。另外对系统的组策略、服务进行设置可以提高系统安全性
2023-07-07 07:55:241

QQ木马如何查

三、检测木马的存在   知道木马启动运行、工作的原理,我们就可以着手来看看自己的计算机有没有木马存在了。   首先,查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。 1、查看system.ini文件   选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe” ,如果不是这样,就可能中了木马了。下图所示为正常时的情况: 2、查看win.ini文件   选中win.ini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空 3、查看启动组   再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词, 极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都 屏蔽掉了 4、查看注册表   由“开始-运行”,输入regedit,确定就可以运行注册表编辑器。再展开至: “HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己 不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的 服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入 Explorer=“CWINDOW***piorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母 的差别! 通过类似的方法对下列各个主键下面的键值进行检查: HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce   如果操作系统是Windows NT,还得注意HKEY-LOCAL-MACHINESoftwareSAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。   当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER SoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS****Software MicrosoftWindowsCurrentVersionRun的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINESoftwareMicrosoftWindowsCurrentVersionRun或其它主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。   如果有留意,注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。   4、其它方法   上网过程中,在进行一些计算机正常使用操作时,发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。   如果怀疑你现在正在被木马控制,那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话,最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法:   由“开始->运行”,输入command,确定,开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示: 显示出来的结果表示为四列,其意思分别为Proto:协议,Local Address:本地地址,Foreign Address :远程地址,State:状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常(比如大于5000 ),而Foreign Address中的地址又不为正常网络浏览的地址,那么可以判断你的机器正被 Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非 法连接你计算机的木马客户端。   当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat命令将看不 到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口 。对于Windows98来说,正常情况下,会出现如下的一些处于监听状态的端口(安装有NETBEUI协议): 如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络服务操作,那么在监听该 端口的就是特洛伊木马了!如下图所示的23456和23457端口都处于监听状态,很明显是木马造成的。 注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)没有运行任何 网络冲浪软件,也没有进行过任何网络操作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。
2023-07-07 07:55:438

什么叫木马???

分类: 教育/科学 >> 科学技术 >> 工程技术科学 问题描述: 就是电脑的木马 解析: 木马,全称为:特洛伊木马(Trojan Horse)。 “特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前,在一次希腊战争中。麦尼劳斯(人名)派兵讨伐特洛伊(王国),但久攻不下。他们想出了一个主意:首先他们假装被打败,然后留下一个木马。而木马里面却藏着最强悍的勇士!最后等时间一到,木马里的勇士全部冲出来把敌人打败了! 这就是后来有名的“木马计”。—— 把预谋的功能隐藏在公开的功能里,掩饰真正的企图。至于黑客程序里的特洛伊木马和故事里的特洛伊木马差不多。 黑客程序里的特洛伊木马有以下的特点: (1)主程序有两个,一个是服务端,另一个是控制端。 (2)服务端需要在主机执行。 (3)一般特洛伊木马程序都是隐蔽的进程。 (4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。 (5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等) 在许多人眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病毒的性质。(包括:转播,感染文件等。) 特洛伊木马程序的发展历史: 第一代木马:控制端 —— 连接 —— 服务端 特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。 典型木马:冰河,NetSpy,back orifice(简称:BO)等。 第二代木马:服务端 —— 连接 —— 控制端 特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态连接库)隐藏进程的,甚至出现能传播的木马。 典型木马:网络神偷,广外女生等。(反弹端口型木马)
2023-07-07 07:56:401

关于端口

端口概念 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。 端口分类 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 1. 按端口号分布划分 (1)知名端口(Well-Known Ports) 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。 (2)动态端口(Dynamic Ports) 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。 2. 按协议类型划分 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口: (1)TCP端口 TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等。 (2)UDP端口 UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等。 查看端口 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令: 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。 小知识:Netstat命令用法 命令格式:Netstat -a -e -n -o -s -a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。 -e 表示显示以太网发送和接收的字节数、数据包数等。 -n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。 -o 表示显示活动的TCP连接并包括每个连接的进程ID(PID)。 -s 表示按协议显示各种连接的统计信息,包括端口号。 关闭/开启端口 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。 关闭端口 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关闭了对应的端口。 开启端口 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可。 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开启端口。 常见网络端口 端口:0 服务:Reserved 说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。 端口:1 服务:tcpmux 说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口:7 服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 端口:19 服务:Character Generator 说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 21端口 端口说明:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器,可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。目前,通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外,还有一个20端口是用于FTP数据传输的默认端口号。 在Windows中可以通过Internet信息服务(IIS)来提供FTP连接和管理,也可以单独安装FTP服务器软件来实现FTP功能,比如常见的FTP Serv-U。 操作建议:因为有的FTP服务器可以通过匿名登录,所以常常会被黑客利用。另外,21端口还会被一些木马利用,比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器,建议关闭21端口。 端口:22 服务:Ssh 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 23端口 端口说明:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端,开启Telnet服务的客户端就可以登录远程Telnet服务器,采用授权用户名和密码登录。登录之后,允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中,键入“Telnet”命令来使用Telnet远程登录。 操作建议:利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。Telnet服务的23端口也是TTS(Tiny Telnet Server)木马的缺省端口。所以,建议关闭23端口。 上面我们介绍了关闭/开启端口的方法,并介绍了21和23端口的内容,下面将介绍其他的常见端口说明,以及相应的操作建议。 25端口 端口说明:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候,在创建账户时会要求输入SMTP服务器地址,该服务器地址默认情况下使用的就是25端口。 端口漏洞: 1. 利用25端口,黑客可以寻找SMTP服务器,用来转发垃圾邮件。 2. 25端口被很多木马程序所开放,比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说,通过开放25端口,可以监视计算机正在运行的所有窗口和模块。 操作建议:如果不是要架设SMTP邮件服务器,可以将该端口关闭。 53端口 端口说明:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换,只要记住域名就可以快速访问网站。 端口漏洞:如果开放DNS服务,黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址,再利用53端口突破某些不稳定的防火墙,从而实施攻击。近日,美国一家公司也公布了10个最易遭黑客攻击的漏洞,其中第一位的就是DNS服务器的BIND漏洞。 操作建议:如果当前的计算机不是用于提供域名解析服务,建议关闭该端口。 67、68端口 端口说明:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议,我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址,而不需要每个用户去设置静态IP地址。 端口漏洞:如果开放Bootp服务,常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”(man-in-middle)方式进行攻击。 操作建议:建议关闭该端口。 上面我们介绍了用于SMTP服务的25端口、DNS服务器的53端口以及用于Bootp服务的67、68端口,下面将分别介绍用于TFTP的69端口、用于Finger服务的79端口和常见的用于HTTP服务的80端口。 69端口 端口说明:69端口是为TFTP(Trival File Tranfer Protocol,次要文件传输协议)服务开放的,TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。不过与FTP相比,TFTP不具有复杂的交互存取接口和认证控制,该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。 端口漏洞:很多服务器和Bootp服务一起提供TFTP服务,主要用于从系统下载启动代码。可是,因为TFTP服务可以在系统中写入文件,而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。 操作建议:建议关闭该端口。 79端口 端口说明:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机www.abc.com上的user01用户的信息,可以在命令行中键入“finger user01@www.abc.com”即可。 端口漏洞:一般黑客要攻击对方的计算机,都是通过相应的端口扫描工具来获得相关信息,比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本,获得用户信息,还能探测已知的缓冲区溢出错误。这样,就容易遭遇到黑客的攻击。而且,79端口还被Firehotcker木马作为默认的端口。 操作建议:建议关闭该端口。 80端口 端口说明:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。我们可以通过HTTP地址加“:80”(即常说的“网址”)来访问网站的,比如http://www.cce.com.cn:80,因为浏览网页服务默认的端口号是80,所以只要输入网址,不用输入“:80”。 端口漏洞:有些木马程序可以利用80端口来攻击计算机的,比如Executor、RingZero等。 操作建议:为了能正常上网冲浪,我们必须开启80端口。 通过上面的介绍,我们了解了用于TFTP服务的69端口、用于Finger服务的79端口以及上网冲浪用于WWW服务的80端口。下面将分别为大家介绍比较陌生的99端口、用于POP3服务的109、110端口和RPC服务的111端口。 99端口 端口说明:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。 端口漏洞:虽然“Metagram Relay”服务不常用,可是Hidden Port、NCx99等木马程序会利用该端口,比如在Windows 2000中,NCx99可以把cmd.exe程序绑定到99端口,这样用Telnet就可以连接到服务器,随意添加用户、更改权限。 操作建议:建议关闭该端口 109、110端口 端口说明:109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的,目前POP3使用的比较多,许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务,如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候,会要求输入POP3服务器地址,默认情况下使用的就是110端口(如图)。 端口漏洞:POP2、POP3在提供邮件接收服务的同时,也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个,比如WebEasyMail POP3 Server合法用户名信息泄露漏洞,通过该漏洞远程攻击者可以验证用户账户的存在。另外,110端口也被ProMail trojan等木马程序所利用,通过110端口可以窃取POP账号用户名和密码。 操作建议:如果是执行邮件服务器,可以打开该端口。 111端口 端口说明:111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等等。在Microsoft的Windows中,同样也有RPC服务。 端口漏洞:SUN RPC有一个比较大漏洞,就是在多个RPC服务时xdr_array函数存在远程缓冲溢出漏洞。 上面我们介绍了不知名但是容易受到木马攻击的99端口,常见的用于POP服务的109、110端口,以及用于Sun的RPC服务的111端口。下面将分别介绍与很多网络服务息息相关的113端口、用于NEWS新闻组传输的119端口以及遭遇“冲击波”攻击的135端口。 113端口 端口说明:113端口主要用于Windows的“Authentication Service”(验证服务),一般与网络连接的计算机都运行该服务,主要用于验证TCP连接的用户,通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中,还有专门的IAS组件,通过该组件可以方便远程访问中进行身份验证以及策略管理。 端口漏洞:113端口虽然可以方便身份验证,但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器,这样会被相应的木马程序所利用,比如基于IRC聊天室控制的木马。另外,113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。 操作建议:建议关闭该端口。 119端口 端口说明:119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的,主要用于新闻组的传输,当查找USENET服务器的时候会使用该端口。 端口漏洞:著名的Happy99蠕虫病毒默认开放的就是119端口,如果中了该病毒会不断发送电子邮件进行传播,并造成网络的堵塞。 操作建议:如果是经常使用USENET新闻组,就要注意不定期关闭该端口。 135端口 端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。 端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。 操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端口。 通过上面的介绍想必大家已经了解到用于验证服务的113端口、用于网络新闻组的119端口,以及被“冲击波”病毒所利用的135端口。下面笔者将介绍用于NetBIOS名称服务的137端口,用于Windows文件和打印机共享的139端口以及IMAP协议的143端口。 137端口 端口说明:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务),属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IIS是否正在运行等信息。 端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。 操作建议:建议关闭该端口。 139端口 端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。 端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。 操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。 上面我们介绍了可以获取远程计算机名称等信息的137端口,为Windows提供文件和打印机共享的139端口。下面将介绍用于电子邮件接收服务(IMAP)的143端口,用于SNMP服务的161端口,以及用于HTTPS服务的443端口。 143端口 端口说明:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP),和POP3一样,是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于POP3协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。 端口漏洞:同POP3协议的110端口一样,IMAP使用的143端口也存在缓冲区溢出漏洞,通过该漏洞可以获取用户名和密码。另外,还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。 操作建议:如果不是使用IMAP服务器操作,应该将该端口关闭。 161端口 端口说明:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP),该协议主要用于管理TCP/IP网络中的网络协议,在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对SNMP的支持。 在Windows 2000/XP中要安装SNMP服务,我们首先可以打开“Windows组件向导”,在“组件”中选择“管理和监视工具”,单击“详细信息”按钮就可以看到“简单网络管理协议(SNMP)”,选中该组件;然后,单击“下一步”就可以进行安装。 端口漏洞:因为通过SNMP可以获得网络中各种设备的状态信息,还能用于对网络设备的控制,所以黑客可以通过SNMP漏洞来完全控制网络。 操作建议:建议关闭该端口。 443端口 端口说明:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用HTTPS服务,这样在这些网站上的交换信息其他人都无法看到,保证了交易的安全性。网页的地址以https://开始,而不是常见的http://。 端口漏洞:HTTPS服务一般是通过SSL(安全套接字层)来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统,盗取信用卡账号等。 操作建议:建议开启该端口,用于安全性网页的访问。另外,为了防止黑客的攻击,应该及时安装微软针对SSL漏洞发布的最新安全补丁。 554端口 端口说明:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP),该协议是由RealNetworks和Netscape共同提出的,通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放,并能有效地、最大限度地利用
2023-07-07 07:56:473

端口的常用端口

端口的常用端口?计算机常用端口号大全方法/步骤1/121/tcp FTP 文件传输协议22/tcp SSH 安全登录、文件传送(SCP)和端口重定向23/tcp Telnet 不安全的文本传送25/tcp SMTP Simple Mail Transfer Protocol (E-mail)69/udp TFTP Trivial File Transfer Protocol79/tcp finger Finger80/tcp HTTP 超文本传送协议 (WWW)88/tcp Kerberos Authenticating agent110/tcp POP3 Post Office Protocol (E-mail)113/tcp ident old identification server system119/tcp NNTP used for usenet newsgroups220/tcp IMAP3443/tcp HTTPS used for securely transferring web pages端口:0服务:Reserved说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。端口:1服务:tcpmux说明:这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUESTUUCP、NUUCP、DEMOS、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。端口:7服务:Echo说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。端口:19服务:Character Generator说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样FraggleDoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。端口:21服务:FTP说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。端口:22服务:Ssh说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。端口:23服务:Telnet说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。端口:25服务:SMTP说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、EmailPassword Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。端口:31服务:MSG Authentication说明:木马Master Paradise、Hackers Paradise开放此端口。端口:42服务:WINS Replication说明:WINS复制端口:53服务:Domain Name Server(DNS)说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。端口:67服务:Bootstrap Protocol Server说明:通过DSL和Cablemodem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。端口:69服务:Trival File Transfer说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。端口:79服务:Finger Server说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。端口:80服务:HTTP说明:用于网页浏览。木马Executor开放此端口。端口:99服务:gram Relay说明:后门程序ncx99开放此端口。端口:102服务:Message transfer agent(MTA)-X.400 over TCP/IP说明:消息传输代理。端口:109服务:Post Office Protocol -Version3说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。端口:110服务:SUN公司的RPC服务所有端口说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等端口:113服务:Authentication Service说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。端口:119服务:Network News Transfer Protocol说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。端口:135服务:Location Service说明:Microsoft在这个端口运行DCERPC end-point mapper为它的DCOM服务。这与UNIX111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-pointmapper注册它们的位置。远端客户连接到计算机时,它们查找end-pointmapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行ExchangeServer吗?什么版本?还有些DOS攻击直接针对这个端口。端口:137、138、139服务:NETBIOS Name Service说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。端口:143服务:Interim Mail Access Protocol v2说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。端口:161服务:SNMP说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。端口:177服务:X Display Manager Control Protocol说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。端口:389服务:LDAP、ILS说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。端口:443服务:Https说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。端口:456服务:[NULL]说明:木马HACKERS PARADISE开放此端口。端口:513服务:Login,remote login说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。端口:544服务:[NULL]说明:kerberos kshell端口:548服务:Macintosh,File Services(AFP/IP)说明:Macintosh,文件服务。端口:553服务:CORBA IIOP (UDP)说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。端口:555服务:DSF说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。端口:568服务:Membership DPA说明:成员资格 DPA。端口:569服务:Membership MSN说明:成员资格 MSN。端口:635服务:mountd说明:Linux的mountdBug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。端口:636服务:LDAP说明:SSL(Secure Sockets layer)端口:666服务:Doom Id Software说明:木马Attack FTP、Satanz Backdoor开放此端口端口:993服务:IMAP说明:SSL(Secure Sockets layer)端口:1001、1011服务:[NULL]说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。端口:1024服务:Reserved说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat-a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。端口:1025、1033服务:1025:network blackjack 1033:[NULL]说明:木马netspy开放这2个端口。端口:1080服务:SOCKS说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。端口:1170服务:[NULL]说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。端口:1234、1243、6711、6776服务:[NULL]说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。端口:1245服务:[NULL]说明:木马Vodoo开放此端口。端口:1433服务:SQL说明:Microsoft的SQL服务开放的端口。端口:1492服务:stone-design-1说明:木马FTP99CMP开放此端口。端口:1500服务:RPC client fixed port session queries说明:RPC客户固定端口会话查询端口:1503服务:NetMeeting T.120说明:NetMeeting T.120端口:1524服务:ingress说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。端口:1600服务:issd说明:木马Shivka-Burka开放此端口。端口:1720服务:NetMeeting说明:NetMeeting H.233 call Setup。端口:1731服务:NetMeeting Audio Call Control说明:NetMeeting音频调用控制。端口:1807服务:[NULL]说明:木马SpySender开放此端口。端口:1981服务:[NULL]说明:木马ShockRave开放此端口。端口:1999服务:cisco identification port说明:木马BackDoor开放此端口。端口:2000服务:[NULL]说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。端口:2001服务:[NULL]说明:木马Millenium 1.0、Trojan Cow开放此端口。端口:2023服务:xinuexpansion 4说明:木马Pass Ripper开放此端口。端口:2049服务:NFS说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。端口:2115服务:[NULL]说明:木马Bugs开放此端口。端口:2140、3150服务:[NULL]说明:木马Deep Throat 1.0/3.0开放此端口。端口:2500服务:RPC client using a fixed port session replication说明:应用固定端口会话复制的RPC客户搜索更多相关主题的帖子: 高手 端口发起人zuomou-wang论坛详细资料助理工程师开始时间2010-7-1 23:18采纳率- / -结帖率23帖 / 100%帖子161精华0无忧币20在线时间90 小时注册时间2009-7-17最后登录2012-6-18返回列表主题回复holmes2005 2010-7-2 00:49 沙发引用这个很多地方都能找到的说....20和21 FTP(20是数据,21是控制),23 telnet,25 SMTP,53 DNS(TCP和UDP),80 HTTP,110 POP3,161 SNMP(UDP),443 HTTPS我能想起来的就这些,比较常用的也基本就这些了吧,有的端口不需要记,用到的时候现查。欢迎补充以上xingzhonghua 2010-7-2 08:10 板凳引用2楼讲的再网上随便都能搜的到,很多端口本来就用不到。自然也不会开的。常用的端口就那么几个:端口:21服务:FTP说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马DolyTrojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。端口:22服务:Ssh说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。端口:23服务:Telnet说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。端口:25服务:SMTP说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、EmailPassword Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。端口:53DNS服务DNS是指:域名服务器(DomainNameServer)。在Internet上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。端口:80服务:HTTP说明:用于网页浏览。木马Executor开放此端口。端口:102服务:Message transfer agent(MTA)-X.400 over TCP/IP说明:消息传输代理。端口:109服务:Post Office Protocol -Version3说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。端口:110服务:SUN公司的RPC服务所有端口 pop3所用端口说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等端口:119服务:Network News Transfer Protocol说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。端口:135服务:Location Service说明:Microsoft在这个端口运行DCERPC end-point mapper为它的DCOM服务。这与UNIX111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-pointmapper注册它们的位置。远端客户连接到计算机时,它们查找end-pointmapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行ExchangeServer吗?什么版本?还有些DOS攻击直接针对这个端口。端口:137、138、139服务:NETBIOS Name Service说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。端口:161服务:SNMP说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络端口:3389windows远程终端8080端口端口说明:8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理服务器的时候,会加上“:8080
2023-07-07 07:56:571

IP地址相关知识(高分悬赏)

1.IP地址基础知识。 在Internet上有千百万台主机,为了区分这些主机,人们给每台主机都分配了一个专门的地址,称为IP地址。通过IP地址就可以访问到每一台主机。IP地址由4部分数字组成,每部分数字对应于8位二进制数字,各部分之间用小数点分开。如某一台主机的IP地址为:211.152.65.112 ,Internet IP地址由NIC(Internet Network Information Center)统一负责全球地址的规划、管理;同时由Inter NIC、APNIC、RIPE三大网络信息中心具体负责美国及其它地区的IP地址分配。 固定IP:固定IP地址是长期固定分配给一台计算机使用的IP地址,一般是特殊的服务器才拥有固定IP地址。 动态IP:因为IP地址资源非常短缺,通过电话拨号上网或普通宽带上网用户一般不具备固定IP地址,而是由ISP动态分配暂时的一个IP地址。普通人一般不需要去了解动态IP地址,这些都是计算机系统自动完成的。 公有地址(Public address)由Inter NIC(Internet Network Information Center 因特网信息中心)负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。 私有地址(Private address)属于非注册地址,专门为组织机构内部使用。 以下列出留用的内部私有地址 A类 10.0.0.0--10.255.255.255 B类 172.16.0.0--172.31.255.255 C类 192.168.0.0--192.168.255.2552.IP地址是由什么机构分配的? 所有的IP地址都由国际组织NIC(Network Information Center)负责统一分配,目前全世界共有三个这样的网络信息中心。 InterNIC:负责美国及其他地区; ENIC:负责欧洲地区; APNIC:负责亚太地区。 我国申请IP地址要通过APNIC,APNIC的总部设在日本东京大学。申请时要考虑申请哪一类的IP地址,然后向国内的代理机构提出。3.什么是公有地址和私有地址? 公有地址(Public address)由Inter NIC(Internet Network Information Center 因特网信息中心)负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。 私有地址(Private address)属于非注册地址,专门为组织机构内部使用。 以下列出留用的内部私有地址 A类 10.0.0.0--10.255.255.255 B类 172.16.0.0--172.31.255.255 C类 192.168.0.0--192.168.255.255 4.为什么会受到网络攻击? 据中国公安部消息,公安部2004年全国信息网络安全状况暨计算机病毒疫情调查活动圆满结束,调查表明,中国计算机用户计算机病毒的感染率为87.9%,比去年增加了2%。 调查表明,中国计算机用户计算机病毒的感染率为87.9%,比去年增加了2%。但是,3次以上感染计算机病毒的用户数量有较大回落,占全部感染用户数量的57.1%,比去年减少了26%,表明受过病毒感染用户的防范能力有所提高。 2003年5月至2004年5月,中国感染率最高的计算机病毒是网络蠕虫病毒和针对浏览器的病毒或者恶意代码,如“震荡波”、“网络天空”、“尼姆达”、“SQL蠕虫”等。计算机病毒造成的破坏和损失情况比往年有所下降,但针对网络的破坏呈明显上升趋势,特别是一些盗取计算机用户帐号、密码等敏感信息的计算机病毒隐蔽性强、危害性大。 调查表明,被调查单位发生网络安全事件比例为58%。其中,发生1次的占总数的22%,2次的占13%,3次以上的占23%。发生网络安全事件中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等网络攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。54%的被调查单位网络安全事件造成的损失比较轻微,损失严重和非常严重的占发生安全事件单位总数的10%。 造成网络安全事件的主要原因是安全管理制度不落实和安全防范意识薄弱,其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时,调查表明信息网络使用单位对安全管理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强,但是用户安全观念薄弱、安全管理人员缺乏培训,以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出。 造成网络安全事件的主要原因是安全管理制度不落实和安全防范意识薄弱,其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时,调查表明信息网络使用单位对安全管理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强,但是用户安全观念薄弱、安全管理人员缺乏培训,以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出。 5.个人用户如何拦截网络攻击?·黑客攻击行为特征分析 反攻击技术综合性分析报告6.计算机常用端口一览表。 1 传输控制协议端口服务多路开关选择器 2 compressnet 管理实用程序 3 压缩进程 5 远程作业登录 7 回显(Echo) 9 丢弃 11 在线用户 13 时间 15 netstat 17 每日引用 18 消息发送协议 19 字符发生器 20 文件传输协议(默认数据口) 21 文件传输协议(控制) 22 SSH远程登录协议 23 telnet 终端仿真协议 24 预留给个人用邮件系统 25 smtp 简单邮件发送协议 27 NSW 用户系统现场工程师 29 MSG ICP 31 MSG验证 33 显示支持协议 35 预留给个人打印机服务 37 时间 38 路由访问协议 39 资源定位协议 41 图形 42 WINS 主机名服务 43 "绰号" who is服务 44 MPM(消息处理模块)标志协议 45 消息处理模块 46 消息处理模块(默认发送口) 47 NI FTP 48 数码音频后台服务 49 TACACS登录主机协议 50 远程邮件检查协议 51 IMP(接口信息处理机)逻辑地址维护 52 施乐网络服务系统时间协议 53 域名服务器 54 施乐网络服务系统票据交换 55 ISI图形语言 56 施乐网络服务系统验证 57 预留个人用终端访问 58 施乐网络服务系统邮件 59 预留个人文件服务 60 未定义 61 NI邮件? 62 异步通讯适配器服务 63 WHOIS+ 64 通讯接口 65 TACACS数据库服务 66 Oracle SQL*NET 67 引导程序协议服务端 68 引导程序协议客户端 69 小型文件传输协议 70 信息检索协议 71 远程作业服务 72 远程作业服务 73 远程作业服务 74 远程作业服务 75 预留给个人拨出服务 76 分布式外部对象存储 77 预留给个人远程作业输入服务 78 修正TCP 79 Finger(查询远程主机在线用户等信息) 80 全球信息网超文本传输协议(www) 81 HOST2名称服务 82 传输实用程序 83 模块化智能终端ML设备 84 公用追踪设备 85 模块化智能终端ML设备 86 Micro Focus Cobol编程语言 87 预留给个人终端连接 88 Kerberros安全认证系统 89 SU/MIT终端仿真网关 90 DNSIX 安全属性标记图 91 MIT Dover假脱机 92 网络打印协议 93 设备控制协议 94 Tivoli对象调度 95 SUPDUP 96 DIXIE协议规范 97 快速远程虚拟文件协议 98 TAC(东京大学自动计算机)新闻协议 101 usually from sri-nic 102 iso-tsap 103 ISO Mail 104 x400-snd 105 csnet-ns 109 Post Office 110 Pop3 服务器(邮箱发送服务器) 111 portmap 或 sunrpc 113 身份查询 115 sftp 117 path 或 uucp-path 119 新闻服务器 121 BO jammerkillah 123 network time protocol (exp) 135 DCE endpoint resolutionnetbios-ns 137 NetBios-NS 138 NetBios-DGN 139 win98 共享资源端口(NetBios-SSN) 143 IMAP电子邮件 144 NeWS - news 153 sgmp - sgmp 158 PCMAIL 161 snmp - snmp 162 snmp-trap -snmp 170 network PostScript 175 vmnet 194 Irc 315 load 400 vmnet0 443 安全服务 456 Hackers Paradise 500 sytek 512 exec 513 login 514 shell - cmd 515 printer - spooler 517 talk 518 ntalk 520 efs 526 tempo - newdate 530 courier - rpc 531 conference - chat 532 netnews - readnews 533 netwall 540 uucp - uucpd 543 klogin 544 kshell 550 new-rwho - new-who 555 Stealth Spy(Phase) 556 remotefs - rfs_server 600 garcon 666 Attack FTP 750 kerberos - kdc 751 kerberos_master 754 krb_prop 888 erlogin 1001 Silencer 或 WebEx 1010 Doly trojan v1.35 1011 Doly Trojan 1024 NetSpy.698 (YAI) 1025 NetSpy.698 1033 Netspy 1042 Bla1.1 1047 GateCrasher 1080 Wingate 1109 kpop 1243 SubSeven 1245 Vodoo 1269 Mavericks Matrix 1433 Microsoft SQL Server 数据库服务 1492 FTP99CMP (BackOriffice.FTP) 1509 Streaming Server 1524 ingreslock 1600 Shiv 1807 SpySender 1981 ShockRave 1999 Backdoor 2000 黑洞(木马) 默认端口 2001 黑洞(木马) 默认端口 2023 Pass Ripper 2053 knetd 2140 DeepThroat.10 或 Invasor 2283 Rat 2565 Striker 2583 Wincrash2 2801 Phineas 3129 MastersParadise.92 3150 Deep Throat 1.0 3210 SchoolBus 3389 Win2000 远程登陆端口 4000 OICQ Client 4567 FileNail 4950 IcqTrojan 5000 WindowsXP 默认启动的 UPNP 服务 5190 ICQ Query 5321 Firehotcker 5400 BackConstruction1.2 或 BladeRunner 5550 Xtcp 5555 rmt - rmtd 5556 mtb - mtbd 5569 RoboHack 5714 Wincrash3 5742 Wincrash 6400 The Thing 6669 Vampire 6670 Deep Throat 6711 SubSeven 6713 SubSeven 6767 NT Remote Control 6771 Deep Throat 3 6776 SubSeven 6883 DeltaSource 6939 Indoctrination 6969 Gatecrasher.a 7306 网络精灵(木马) 7307 ProcSpy 7308 X Spy 7626 冰河(木马) 默认端口 7789 ICQKiller 8000 OICQ Server 9400 InCommand 9401 InCommand 9402 InCommand 9535 man 9536 w 9537 mantst 9872 Portal of Doom 9875 Portal of Doom 9989 InIkiller 10000 bnews 10001 queue 10002 poker 10167 Portal Of Doom 10607 Coma 11000 Senna Spy Trojans 11223 ProgenicTrojan 12076 Gjamer 或 MSH.104b 12223 Hack?9 KeyLogger 12345 netbus木马 默认端口 12346 netbus木马 默认端口 12631 WhackJob.NB1.7 16969 Priotrity 17300 Kuang2 20000 Millenium II (GrilFriend) 20001 Millenium II (GrilFriend) 20034 NetBus Pro 20331 Bla 21554 GirlFriend 或 Schwindler 1.82 22222 Prosiak 23456 Evil FTP 或 UglyFtp 或 WhackJob 27374 SubSeven 29891 The Unexplained 30029 AOLTrojan 30100 NetSphere 30303 Socket23 30999 Kuang 31337 BackOriffice 31339 NetSpy 31666 BO Whackmole 31787 Hack a tack 33333 Prosiak 33911 Trojan Spirit 2001 a 34324 TN 或 Tiny Telnet Server 40412 TheSpy 40421 MastersParadise.96 40423 Master Paradise.97 47878 BirdSpy2 50766 Fore 或 Schwindler 53001 Remote Shutdown 54320 Back Orifice 2000 54321 SchoolBus 1.6 61466 Telecommando 65000 Devil
2023-07-07 07:57:252

注册表看不懂,不知道是什么意思?

作 用:清理软件删除后的遗留信息 路 径:heky_current_user\software 键值名称:查找相应软件信息 键 值:删除 作 用:快速打开文件编辑 路 径:hkey_classes_root\* 键值名称:新建"shell"子键,在其下新建"wordpad"子键 键 值:双击该键右面窗口的 "默认"处并在"键值"栏内输入"写字板",接着在"wordpad"子键下 建立下一级子键"command",在"默认"的 "键值"栏内输入"c:\program files\accessories\wordpad.exe %1" 作 用:为所有的文件增加quick view 选项 路 径:hkey_classes_root\* 键值名称:quickview 没有新建 键 值:default值改为*。 作 用:缩略图显示bmp文件 路 径:hkey_classes_root\.bmp 备 注:找到默认值(例如paint.picture);再找到hkey_classes_root\paint.picture,打开或 创建新键defaulticon,将其值改为%1。 作 用:删除快捷方式中的小箭头 路 径:hkey_classes_root\.lnk ( windows 程序的快捷方式)或者选择 hkey_classes_root\.pif ( dos程序的快捷方式) 键值名称:isshortcut 键 值:删除 作 用:关闭cd播放器自动播放功能 路 径:hkey_classes_root\audiocd\shell 键值名称:-(default) 键 值:的值改为play 表能够自动播放,改为没有内容则禁止。 作 用:双击bat文件时编辑而不是执行 路 径:hkey_classes_root\batfile\shell 键值名称:"默认" 键 值:值由"open"改为"edit" 作 用:删除查找结果中的文件列表 路 径:hkey_current_user\.default\software\microsoft\windows\currentversion\explorer \docfind specmru 键 值:在右窗格中除第一、二和最后一个不能删除外,将其它删除即可 作 用:禁止光标闪烁 路 径:hkey_current_user\control panel\desktop 键值名称:cursorblinkrate 数据类型:字符串 键 值:-1 作 用:更改关闭应用程序时出现"等待"对话框的时间 路 径:hkey_current_user\control panel\desktop 键值名称:新建"waittokillapptimeout" 数据类型:字符串值 键 值:"键值"框中输入10000(单位为ms,缺省值为20000ms,即20秒) 备 注: 为了缩短系统关闭应用的等待时间,您可以将此等待时间降低为20000ms以下, 如10000ms、15000ms等。 作 用:加快菜单显示速度 路 径:hkey_current_user\control panel\desktop 键值名称:menushowdelay 数据类型:字符串 键 值:单位:毫秒50值范围为0-999,0表示最快 作 用:禁止windows平滑卷动 路 径:hkey_current_user\control panel\desktop 键值名称:smoothscroll 键 值:设其值为"0",若允许则设值为"1"。 作 用:禁止屏幕保护功能 路 径:hkey_current_user\control panel\desktop 键值名称:screensaveactive指屏幕保护功能是否可用 键 值:值为0或1,0为不用屏幕保护功能,1为可用。 作 用:禁止屏幕保护使用密码 路 径:hkey_current_user\control panel\desktop 键值名称:screensaveusepassword指屏幕保护是否使用密码 键 值:值为0或1,0为不设密码,1则使用预设的密码。 作 用:控制屏幕保护的延时 路 径:hkey_current_user\control panel\desktop 键值名称:screensavetimeout指屏幕保护的延时 键 值:值为一数值,单位是秒,最小值是60秒。 作 用:控制选择"等待"的等待时间 路 径:hkey_current_user\control panel\desktop 键值名称:waittokillapptimeout指当用ctrl+alt+del来关闭一个应用程序时出现提示"等待" 时选择"等待"的等待时间 键 值:单位是毫秒,默认值是10000,可以减小以缩短等待时间。 作 用:删除屏幕保护密码设置 路 径:hkey_current_user\control panel\desktop 键值名称:screensaveusepassword和screensave_data 数据类型:二进制 键 值:screensaveusepassword为1表示设定密码保护,为0表示不设定密码保护,screensave_data 表示的是密码加密后的值,将screensaveusepassword的值修改为0或将screensave_data删除都可以 删除屏幕保护的密码。 作 用:设置墙纸的位置 路 径:hkey_current_user\control panel\desktop 键值名称:新建"wallpaperoriginx":表示墙纸左侧的水平坐标(单位:象素) "wallpaperoriginy": 表示墙纸顶边的垂直坐标(单位:象素) 数据类型:字符串值 键 值:如果将键值分别设为"400"、"50",重新启动电脑后,墙纸就到了屏幕的右上角。 作 用:取消动画效果开关窗口 路 径:hkey_current_user\control panel\desktop\windowmetrics 键值名称:minanimate 键 值:为"0"可取消动画效果 作 用:改变时间的显示格式 路 径:hkey_current_user\control panel\international 键值名称:新建"stimeformat" 键 值:"键值"修改为"hhmm" 作 用:更改鼠标的速度设置 路 径:hkey_current_user\control panel\mouse 键值名称:doubleclickspeed和mousespeed 键 值:修改值可以改变鼠标的双击速度和鼠标移动速度 备 注:双击速度最快为100毫秒,最慢为900毫秒,移动速度,最快为2,最慢为0。 作 用:鼠标激活移动到的窗口(x-mouse) 路 径:hkey_current_user\control panel\mouse 键值名称:activewindowtracking 数据类型:字符串 键 值:1 作 用:设置电源方案 路 径:hkey_current_user\control panel\powecfg 备 注:powerpolicies子键表示系统可以采用的所以电源方案,而hkey_current_user\control panel \powecfg主键下的字符串currentpowerpolicy表示当前正在使用的电源方案,其值与powerpolicies 子键的电源方案值相对应。 作 用:清除安装盘路径的历史记录 路 径:hkey_current_user\installlocationsmru 键值名称:除(默认) 外所有的项目 键 值:删除 作 用:重排输入法秩序 路 径:hkey_current_user\keyboard layout\preload 备 注:有1到5甚至更多,你所有的输入法顺序就是从1往下排的,它们的默认值是16进制的数字。 win98 自带的各个输入法的值:英语00000409 微软拼音e00e0804 全拼e0010804 郑码e0030804 智能abce0040804 改变顺序时,只要将它们的序号重新命名即可 作 用:退出windows 98时不保存环境设置 路 径:hkey_current_user\software\micoros-oft\windows\currentversion\policies\explorer 键值名称:新建"nosavesettings" 数据类型:dword。 键 值:"键值"框中输入1(不保存环境的设置)或者0(保存环境的设置)。 作 用:输入汉字时在汉字后面加空格 路 径:hkey_current_user\software\microsoft\windows\currentversion 键值名称:相应输入法"插空格" 键 值:键值改为1 作 用:取消资源管理器的文件菜单 路 径:hkey_current_user\software\microsoft\windows\currentversion\ 键值名称:nofilemenu 数据类型:dword 键 值:1 作 用:启动时显示windows95的欢迎窗口 路径:hkey_current_user\software\microsoft\windows\currentversion\explorer\tips 键值名称:show 键 值:第1个值改为01表示能够显示,00 则相反。 作 用:禁止修改"开始"菜单 路 径:hkey_current_user\software\microsoft\windows\currentversion\policies\explore 键值名称:新建 "nochangestartmenu" 数据类型:dword 键 值:设其值为"1"。 作 用:隐藏"我的电脑"中所有驱动器 路 径:hkey_current_user\software\microsoft\windows\currentversion\policies\explore 键值名称:新建"nodrivers" 数据类型:dword 键 值:"键值"框内输入1。 作 用:禁止“显示”属性对话框中的“web”页 路 径:hkey_current_user\software\microsoft\windows\currentversion\policies\explorer 键值名称:noactivedesktopchange 数据类型: 键 值:值设为0,可以关闭这些功能;设置为1,可以激活它。 作 用:隐藏任务栏上按右键时弹出的菜单 路 径:hkey_current_user\software\microsoft\windows\currentversion\policies\explorer 键值名称:新建notraycontextmenu 数据类型:dword 键 值:值设为"1"时为有效 作 用:只允许用户使用由您指定的程序 路 径:hkey_current_user\software\microsoft\windows\currentversion\policies\explorer 键值名称:新建"restrictrun" 数据类型:dword 键 值:并设其值为"1" 备 注:在restrictrun的主键下分别添加名为"1"、"2"、"3"等字符串值,然后将"1","2"、"3"等 字符串的值设置为允许使用的程序名。例如将"1"、"2"、"3"分别设置为mshearts.exe、 freecell.exe、sol.exe,则用户只能使用红心打战、空档接龙、纸牌程序。 作 用:禁用注册表编辑器regedit 路 径:hkey_current_user\software\microsoft\windows\currentversion\policies\system 键值名称:新建disableregistrytools 数据类型:dword 键 值:修改它的值为1 备 注:如果要恢复的话,请把下面的字打成一个reg.reg文件: regedit4 [hkey_current_user \software\microsoft\windows\currentversion\policies\system] "disableregistrytools"=dword:00000000 作 用:禁止使用dos程序 路 径:hkey_current_user\software\microsoft\windows\currentversion\policies\winoldapp] 键值名称:"disabled" 数据类型:dword 键 值:00000001 作 用:改变记事本的字体 路 径:hkey_local_machine\config\0001\display\settings 键值名称:fixedfon.fon 键 值:值为你想要的字体的文件名,默认的字体是vgafix.fon 备 注:虽然理论上可以使用ttf字体,但最好还是选择以fon为扩展名的字体。如果你不知道你的 电脑中有哪些字体,请在控制面板中双击"字体"图标,就能查看到。 作 用:解决删除虚拟光驱后原光驱无法使用的问题 路 径:hkey_local_machine\enum\scsi 键值名称:主键下的所有子键 键 值:删除, 备 注:删除了物理光驱和虚拟光驱的信息,重新启动,系统自动找到物理光驱,并且重新在上述 子键下加入了物理光驱信息,问题解决。 作 用:禁止"取消"键,不输入正确密码就不能进入windows 98 路 径:hkey_local_machine\network\logon 键值名称:mustbevalidated 数据类型:dword 键 值:1 作 用:只安装通过认证的驱动程序 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DriverSigning 键值名称:Policy 键 值:修改它的第一个值为01或02 备 注:01就代表1级,02代表2级,1级没有注册标志时提示你,但允许继续安装,2级则不允许安 装没有认证的驱动程序。为了Win98的系统稳定,你可以让它只安装通过认证的驱动程序。 作 用:删除或修改与注册表相关的目录和文件 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths 键值名称: 在删除某些文件目录或更改名字时Win98说,这个文件或路径与注册表相关,真的是 改变吗?只要启动注册表编辑器,到下查找,看看App Path下面有没有你的东西在内,将它删除 就不会再有这种事发生 作 用:禁用口令缓存 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network 键值名称:新建"DisablePwdCaching" 数据类型:DWORD 键 值:"键值"框内输入1 备 注:注意!请慎用此设置,此时控制面板中的"密码"属性中无法更改密码,登陆时该用户使 用任何一个密码或不用密码就可以登陆。 作 用:设置Windows口令的最小长度 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network 键值名称:新建"MinPwdLen" 数据类型:DWORD 键 值:"键值"框内输入n 备 注:n大于等于0小于等于8。 作 用:使Windows口令必须为数字和字母 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network 键值名称:新建"AlphanumPwds" 数据类型:DWORD 键 值:"键值"框内输入1。 作 用:使用星号(*)隐藏共享口令 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network 键值名称:新建"HideSharePwds" 数据类型:DWORD 键 值:"键值"框内输入1。 作 用:在共享设置中禁用文件共享 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network 键值名称:新建"NoFileSharing" 数据类型:DWORD 键 值:"键值"框内输入1。 作 用:查找BackDoor黑客程序 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值名称:查找"Notepad"键值 键 值:如果有则说明系统已经被安装上了BackDoor,将其删除。 作 用:查找NetSpy黑客程序 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值名称:查找"NetSpy"键值 键 值:如果有则说明系统已经被安装上了NetSpy,应将其删除。 作 用:程序自动加载 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键 值:在系统提示用户登录之后才执行 作 用:进入WINDOWS98时显示欢迎提示 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值名称:新建"Welcome" 数据类型:字符串 键 值:设值为"Welcome.exe /R" 作 用:禁止注册表检查器在启动时检查和备份注册表 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值名称:"ScanRegistry" 键 值:值是"C:\Windows\Scanregw.exe/autorun",把它删除 备 注:如果你只是不想备份,而又想它在启动时检查注册表,请用记事本打开Win98 目录下 的SCANREG.INI,找到Backup=1 这行,改为Backup=0 就行了。 作 用:让Windows 启动时自动执行某一程式 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值名称:新建主键(如记事本) 键 值:路径及程序名称和参数 备 注:在[开始/程序/启动]文件夹中放置程序的快捷方式,使用者仍然可以在开机时按住 Shift忽略[启动]文件夹中的程序。 作 用:删除自动执行的Windows 程序 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键 值:找到你的程序,选择"删除"。 作 用:解决黑客BO 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ 键值名称:默认 键 值:如果是".exe"删除 备 注:重新启动计算机删除windows\system下的"空格.exe"和windll.dll。 作 用:更改Windows安装时的源目录 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup 键值名称:SourcePath 表示Windows98安装盘所在的路径,MediaPath表示多媒体文件所在的目录 键 值:将"SourcePath"主键的值改为"相应路径" 作 用:删除多余的DLL 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs 键值名称:每个DLL后面的括号中都有一个数字,说明当前DLL被几个应用程序共享 作 用:清除"添加/ 删除程序"中的垃圾 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall 键值名称:查找要删除的软件 键 值:整个删掉 作 用:禁止接受FTP命令 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes 键值名称:删除字符串键ftp,当敲入命令"FTP ftp.regedit.com"将运行FTP 作 用:隐藏上机用户登录的名字(隐身上机) 路 径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon 键值名称:新建DontDisplayLastUserName 键 值:修改内容为1 备 注:下次上机时,用户名单中不会再有最后上机的人了。 作 用:快速关机 路 径:HKEY_LOCAL_MACHINE\System\CourrentControlSet\Control\Shutdown 键值名称:新建FastReboot 数据类型:字符串 键 值:输入键值为1 作 用:文件夹自动刷新 路 径:HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTRO LSET\CONTROL\UPDATE 键值名称:"UPDATEMODE" 键 值:"1"改为"0"。 作 用:禁止用"~"的尾巴来表示长文件名 路 径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\FileSystem 键值名称:新建NameNumericTail 数据类型:二进制 键 值:输入值为00时是禁止长文件名的尾巴,改成 01则相反。 作 用:增加硬盘缓存 路 径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem 键值名称:NameCache是文件名缓存 键 值:32MB系统建议为800000,64MB系统建议为0F00000 作 用:根据您的CDROM速度优化CDROM预读取性能. 路 径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\CDFS 键值名称:"Prefetch" 数据类型:DWORD 键 值:4倍速:000000e4(默认值) 8倍速:000001c0 16倍速:00000380 24倍速:00000540 32倍速:00000700 36倍速:00000750 40倍速:00000800 48倍速:00000800注意:-(如果修改以 上两个键值导致CDROM工作不正常,如:播放VCD时找不到VCD碟,请降低一个级别) 作 用:将光驱性能发挥到极限 路 径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\CDFS 键值名称:CacheSize 数据类型:DWORD 备 注: 缓存的大小,正常用途,就不必改;如果用于媒体就取值:d6,04,00,00;要最大 化CDROM速度就取值:ac,09,00,00 作 用:删除多余的键盘布局 路 径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\Keyboard Layouts 键值名称:大多数布局 键 值:删掉它们的键 作 用:禁止软盘驱动器的FIFO特性,从而优化软盘驱动器性能 路 径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\fdc\0000 键值名称:ForceFIFO 键 值:0 作 用:提高软盘驱动器的读写速度 路 径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\FDC\0000 键值名称:新建"ForeFifo" 数据类型:DWORD 键 值:值为"0"。 作 用:提高软驱读写缓冲性能 路 径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\fdc\0000 键值名称:新建ForceFIFO 数据类型:DWORD 键 值:设其值为1即可 作 用:使文件显示扩展名 路 径:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 键值名称:"HideFileExt" 数据类型:DWORD 键 值:值由1改为0后即可显示文件的扩展名
2023-07-07 07:57:532

如何得到别人的上网账号和密码

方案一:利用特洛伊木马得到账号。 必备工具:NTESPY、PWLVIEW。 优点:只要对方运行了程序就有80%的成功率,而且不需要任何网络入侵知识,只要能熟悉的操作上面两个软件即可。NETSPY是全中文软件,一看就会。而PWLVIEW又是弱智操作只要在DOS下输入PWLVIEW然后按回车即可。成功率高,操作简单而且用不了多长时间是它最大的优点。 提示:先问清你的目标和你是不是在一个城市。 忠告:你用他的帐号上网后第一件事就是先去查看他的上网时间。分析一下他一般几点上网以避免撞车。   方案二:利用ISP的疏忽做文章。 必备工具:EMAILCRK或网络刺客。 譬如,某个ISP给你开好了帐号,然后又画蛇添足地给你一个邮箱,地址是:你的帐号@xxx.net密码和你的上网密码一样。也就是说,只要你能敲开邮箱的密码就一切OK了。 运行EMAILCRK或网络刺客,套上字典后就等着。一般没有XX个小时搞不定,不成功的可能性很大,而且破解时还必须要上网。你的机子要是快可以开上三四个窗口,套上不同的字典一起破解。 方案三:侵入邮局主机然后把PASS档抓回来,然后用JOHN或JACK套上字典开始破解。 优点:一次可以破出好多帐号,而且如果运气好还能拿到ROOT,这个主机就归你控制了。而且破解时不用上网,可以好几台机子一起破。 缺点:对于初学者有一定困难,尤其是只想拿一个上网帐号这样做恐怕会得不偿失。而且被发现的可能性很大,情节严重且性质恶劣,一定要慎重对待。   我来说说最简单的入侵方法。其实入侵大体的原理相同,主要是利用系统的漏洞(BUG)来做文章。只不过有的网站漏洞难找有的好找而已。一个好的黑客,就是要能很快的发现漏洞并加以利用。下面我给大家举一个小例子: 有一天,我去XX热线申请主页,发现那里采用的是机器自动回信,信的大概格式如下:   ------------------------------   XXX,你好(XX是你在表格上填的名字)   你在XX热线的主页空间已开通   帐户名:XXX 密码:11   -----------XX热线   电话:XXXX-XXXXXXXX   ------------------------------ 由于是机器回信,所以那里所有人的初始密码都是11,而且该热线要更改密码要Telnet到邮局主机去改,有许多网友并没有接触过如何Telnet主机,所以他们使用的还是初始密码11。开始干活了,打开FTP软件,输入XX热线的IP,密码11,然后挨个输入帐户名。帐户名可去XX热线的主页空间列表里查看,先试试AAAA……没成功,再换一个,AABB……还是不行。这个用户名短,没准能行。输入AA进去了。剩下用户名然后继续试,ABC……又成功了,看来没改密码的人很多呀。试几个就行了,现在,你已经拥有这些帐户的控制权了。 上面的这个例子很简单,一般像这么大的漏洞很难找。要侵入一个稍微像话点的站点就要耗费你大量的时间和金钱,而且还未必能成功。
2023-07-07 07:58:131

谁知道主要木马占用的端口号?

445.135多为蠕虫病毒的攻击性端口端口:31 服务:MSG Authentication 说明:木马Master Paradise、Hackers Paradise开放此端口。端口:666 服务:Doom Id Software 说明:木马Attack FTP、Satanz Backdoor开放此端口端口:1001、1011 服务:[NULL] 说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。端口:1025、1033 服务:1025:network blackjack 1033:[NULL] 说明:木马netspy开放这2个端口。端口:1170 服务:[NULL] 说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。端口:1234、1243、6711、6776 服务:[NULL] 说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。端口:1245 服务:[NULL] 说明:木马Vodoo开放此端口。端口:1433 服务:SQL 说明:Microsoft的SQL服务开放的端口。端口:1492 服务:stone-design-1 说明:木马FTP99CMP开放此端口。端口:1524 服务:ingress 说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。端口:1600 服务:issd 说明:木马Shivka-Burka开放此端口。端口:1807 服务:[NULL] 说明:木马SpySender开放此端口。端口:1981 服务:[NULL] 说明:木马ShockRave开放此端口。端口:1999 服务:cisco identification port 说明:木马BackDoor开放此端口。端口:2000 服务:[NULL] 说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。端口:2001 服务:[NULL] 说明:木马Millenium 1.0、Trojan Cow开放此端口。端口:2023 服务:xinuexpansion 4 说明:木马Pass Ripper开放此端口。端口:2115 服务:[NULL] 说明:木马Bugs开放此端口。端口:2140、3150 服务:[NULL] 说明:木马Deep Throat 1.0/3.0开放此端口。
2023-07-07 07:58:235

大虾能否告诉我网络中有那些端口?他们表示什么意思?

常用端口对照端口:0服务:Reserved说明:通常用于分析xx作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。端口:1服务:tcpmux说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。端口:7服务:Echo说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。端口:19服务:Character Generator说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。端口:21服务:FTP说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。端口:22服务:Ssh说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。端口:23服务:Telnet说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的xx作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。端口:25服务:SMTP说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。端口:31服务:MSG Authentication说明:木马Master Paradise、Hackers Paradise开放此端口。端口:42服务:WINS Replication说明:WINS复制端口:53服务:Domain Name Server(DNS)说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。端口:67服务:Bootstrap Protocol Server说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。端口:69服务:Trival File Transfer说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。端口:79服务:Finger Server说明:入侵者用于获得用户信息,查询xx作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。端口:80服务:HTTP说明:用于网页浏览。木马Executor开放此端口。端口:99服务:Metagram Relay说明:后门程序ncx99开放此端口。100-------1000 端口:102服务:Message transfer agent(MTA)-X.400 over TCP/IP说明:消息传输代理。端口:109服务:Post Office Protocol -Version3说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。端口:110服务:SUN公司的RPC服务所有端口说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等端口:113服务:Authentication Service说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。端口:119服务:Network News Transfer Protocol说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。端口:135服务:Location Service说明:Microsoft在这个端口运行DCE RPC end-point ma你好er为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point ma你好er注册它们的位置。远端客户连接到计算机时,它们查找end-point ma你好er找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。端口:137、138、139服务:NETBIOS Name Service说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。端口:143服务:Interim Mail Access Protocol v2说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。端口:161服务:SNMP说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。端口:177服务:X Display Manager Control Protocol说明:许多入侵者通过它访问X-windowsxx作台,它同时需要打开6000端口。端口:389服务:LDAP、ILS说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。端口:443服务:Https说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。端口:456服务:[NULL]说明:木马HACKERS PARADISE开放此端口。端口:513服务:Login,remote login说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。端口:544服务:[NULL]说明:kerberos kshell端口:548服务:Macintosh,File Services(AFP/IP)说明:Macintosh,文件服务。端口:553服务:CORBA IIOP (UDP)说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。端口:555服务:DSF说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。端口:568服务:Membership DPA说明:成员资格 DPA。端口:569服务:Membership MSN说明:成员资格 MSN。端口:635服务:mountd说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。端口:636服务:LDAP说明:SSL(Secure Sockets layer)端口:666服务:Doom Id Software说明:木马Attack FTP、Satanz Backdoor开放此端口端口:993服务:IMAP说明:SSL(Secure Sockets layer)1000-------2000 端口:1001、1011服务:[NULL]说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。端口:1024服务:Reserved说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。端口:1025、1033服务:1025:network blackjack 1033:[NULL]说明:木马netspy开放这2个端口。端口:1080服务:SOCKS说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。常用端口对照(二)端口:1170服务:[NULL]说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。端口:1234、1243、6711、6776服务:[NULL]说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。端口:1245服务:[NULL]说明:木马Vodoo开放此端口。端口:1433服务:SQL说明:Microsoft的SQL服务开放的端口。端口:1492服务:stone-design-1说明:木马FTP99CMP开放此端口。端口:1500服务:RPC client fixed port session queries说明:RPC客户固定端口会话查询端口:1503服务:NetMeeting T.120说明:NetMeeting T.120端口:1524服务:ingress说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。端口:1600服务:issd说明:木马Shivka-Burka开放此端口。
2023-07-07 07:58:492

什么操作系统的端口??

计算机端口也就是常用的那些端口,下面有这些端口:0 服务:Reserved 说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。端口:1 服务:tcpmux 说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口:7 服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 端口:19 服务:Character Generator 说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 端口:21 服务:FTP 说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 端口:22 服务:Ssh 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 端口:23 服务:Telnet 说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 端口:25 服务:SMTP 说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 端口:31 服务:MSG Authentication 说明:木马Master Paradise、Hackers Paradise开放此端口。端口:42 服务:WINS Replication 说明:WINS复制 端口:53 服务:Domain Name Server(DNS) 说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 端口:67 服务:Bootstrap Protocol Server 说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 端口:69 服务:Trival File Transfer 说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 端口:79 服务:Finger Server 说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。 端口:80 服务:HTTP 说明:用于网页浏览。木马Executor开放此端口。 端口:99 服务:Metagram Relay 说明:后门程序ncx99开放此端口。 端口:102 服务:Message transfer agent(MTA)-X.400 over TCP/IP 说明:消息传输代理。 端口:109 服务:Post Office Protocol -Version3 说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 端口:110 服务:SUN公司的RPC服务所有端口 说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 端口:113 服务:Authentication Service 说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。端口:119 服务:Network News Transfer Protocol 说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。端口:135 服务:Location Service 说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。 端口:137、138、139 服务:NETBIOS Name Service 说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 端口:143 服务:Interim Mail Access Protocol v2 说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。端口:161 服务:SNMP 说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。端口:177 服务:X Display Manager Control Protocol 说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 端口:389 服务:LDAP、ILS 说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 端口:443 服务:Https 说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 端口:456 服务:[NULL] 说明:木马HACKERS PARADISE开放此端口。 端口:513 服务:Login,remote login 说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。 端口:544 服务:[NULL] 说明:kerberos kshell 端口:548 服务:Macintosh,File Services(AFP/IP) 说明:Macintosh,文件服务。 端口:553 服务:CORBA IIOP (UDP) 说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。 端口:555 服务:DSF 说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 端口:568 服务:Membership DPA 说明:成员资格 DPA。 端口:569 服务:Membership MSN 说明:成员资格 MSN。 端口:635 服务:mountd 说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。 端口:636 服务:LDAP 说明:SSL(Secure Sockets layer) 端口:666 服务:Doom Id Software 说明:木马Attack FTP、Satanz Backdoor开放此端口 端口:993 服务:IMAP 说明:SSL(Secure Sockets layer)端口:1001、1011 服务:[NULL] 说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。端口:1024 服务:Reserved 说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 端口:1025、1033 服务:1025:network blackjack 1033:[NULL] 说明:木马netspy开放这2个端口。 端口:1080 服务:SOCKS 说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。 端口:1170 服务:[NULL] 说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 端口:1234、1243、6711、6776 服务:[NULL] 说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 端口:1245 服务:[NULL] 说明:木马Vodoo开放此端口。 端口:1433 服务:SQL 说明:Microsoft的SQL服务开放的端口。 端口:1492 服务:stone-design-1 说明:木马FTP99CMP开放此端口。 端口:1500 服务:RPC client fixed port session queries 说明:RPC客户固定端口会话查询 端口:1503 服务:NetMeeting T.120 说明:NetMeeting T.120 端口:1524 服务:ingress 说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。 端口:1600 服务:issd 说明:木马Shivka-Burka开放此端口。 端口:1720 服务:NetMeeting 说明:NetMeeting H.233 call Setup。 端口:1731 服务:NetMeeting Audio Call Control 说明:NetMeeting音频调用控制。 端口:1807 服务:[NULL] 说明:木马SpySender开放此端口。 端口:1981 服务:[NULL] 说明:木马ShockRave开放此端口。 端口:1999 服务:cisco identification port 说明:木马BackDoor开放此端口。 端口:2000 服务:[NULL] 说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。 端口:2001 服务:[NULL] 说明:木马Millenium 1.0、Trojan Cow开放此端口。 端口:2023 服务:xinuexpansion 4 说明:木马Pass Ripper开放此端口。 端口:2049 服务:NFS 说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。 端口:2115 服务:[NULL] 说明:木马Bugs开放此端口。端口:2140、3150 服务:[NULL] 说明:木马Deep Throat 1.0/3.0开放此端口。 端口:2500 服务:RPC client using a fixed port session replication 说明:应用固定端口会话复制的RPC客户 端口:2583 服务:[NULL] 说明:木马Wincrash 2.0开放此端口。 端口:2801 服务:[NULL] 说明:木马Phineas Phucker开放此端口。 端口:3024、4092 服务:[NULL] 说明:木马WinCrash开放此端口。 端口:3128 服务:squid 说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。 端口:3129 服务:[NULL] 说明:木马Master Paradise开放此端口。 端口:3150 服务:[NULL] 说明:木马The Invasor开放此端口。 端口:3210、4321 服务:[NULL] 说明:木马SchoolBus开放此端口 端口:3333 服务:dec-notes 说明:木马Prosiak开放此端口 端口:3389 服务:超级终端 说明:WINDOWS 2000终端开放此端口。 端口:3700 服务:[NULL] 说明:木马Portal of Doom开放此端口 端口:3996、4060 服务:[NULL] 说明:木马RemoteAnything开放此端口 端口:4000 服务:QQ客户端 说明:腾讯QQ客户端开放此端口。 端口:4092 服务:[NULL] 说明:木马WinCrash开放此端口。 端口:4590 服务:[NULL] 说明:木马ICQTrojan开放此端口。 端口:5000、5001、5321、50505 服务:[NULL] 说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。 端口:5400、5401、5402 服务:[NULL] 说明:木马Blade Runner开放此端口。 端口:5550 服务:[NULL] 说明:木马xtcp开放此端口。 端口:5569 服务:[NULL] 说明:木马Robo-Hack开放此端口。 端口:5632 服务:pcAnywere 说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。 端口:5742 服务:[NULL] 说明:木马WinCrash1.03开放此端口。 端口:6267 服务:[NULL] 说明:木马广外女生开放此端口。 端口:6400 服务:[NULL] 说明:木马The tHing开放此端口。 端口:6670、6671 服务:[NULL] 说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。 端口:6883 服务:[NULL] 说明:木马DeltaSource开放此端口。 端口:6969 服务:[NULL] 说明:木马Gatecrasher、Priority开放此端口。 端口:6970 服务:RealAudio 说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。 端口:7000 服务:[NULL] 说明:木马Remote Grab开放此端口。 端口:7300、7301、7306、7307、7308 服务:[NULL] 说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。端口:7323 服务:[NULL] 说明:Sygate服务器端。 端口:7626 服务:[NULL] 说明:木马Giscier开放此端口。 端口:7789 服务:[NULL] 说明:木马ICKiller开放此端口。 端口:8000 服务:OICQ 说明:腾讯QQ服务器端开放此端口。 " 端口:8010 服务:Wingate 说明:Wingate代理开放此端口。 端口:8080 服务:代理端口 说明:WWW代理开放此端口。 端口:9400、9401、9402 服务:[NULL] 说明:木马Incommand 1.0开放此端口。 端口:9872、9873、9874、9875、10067、10167 服务:[NULL] 说明:木马Portal of Doom开放此端口 端口:9989 服务:[NULL] 说明:木马iNi-Killer开放此端口。 端口:11000 服务:[NULL] 说明:木马SennaSpy开放此端口。端口:11223 服务:[NULL] 说明:木马Progenic trojan开放此端口。 端口:12076、61466 服务:[NULL] 说明:木马Telecommando开放此端口。 端口:12223 服务:[NULL] 说明:木马Hack"99 KeyLogger开放此端口。 端口:12345、12346 服务:[NULL] 说明:木马NetBus1.60/1.70、GabanBus开放此端口。 端口:12361 服务:[NULL] 说明:木马Whack-a-mole开放此端口。 端口:13223 服务:PowWow 说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。 端口:16969 服务:[NULL] 说明:木马Priority开放此端口。 端口:17027 服务:Conducent 说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。 端口:19191 服务:[NULL] 说明:木马蓝色火焰开放此端口。 端口:20000、20001 服务:[NULL] 说明:木马Millennium开放此端口。 端口:20034 服务:[NULL] 说明:木马NetBus Pro开放此端口。 端口:21554 服务:[NULL] 说明:木马GirlFriend开放此端口。 端口:22222 服务:[NULL] 说明:木马Prosiak开放此端口。 端口:23456 服务:[NULL] 说明:木马Evil FTP、Ugly FTP开放此端口。 端口:26274、47262 服务:[NULL] 说明:木马Delta开放此端口。端口:27374 服务:[NULL] 说明:木马Subseven 2.1开放此端口。 端口:30100 服务:[NULL] 说明:木马NetSphere开放此端口。 端口:30303 服务:[NULL] 说明:木马Socket23开放此端口。 端口:30999 服务:[NULL] 说明:木马Kuang开放此端口。 端口:31337、31338 服务:[NULL] 说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。 端口:31339 服务:[NULL] 说明:木马NetSpy DK开放此端口。 端口:31666 服务:[NULL] 说明:木马BOWhack开放此端口。 端口:33333 服务:[NULL] 说明:木马Prosiak开放此端口。 端口:34324 服务:[NULL] 说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。 端口:40412 服务:[NULL] 说明:木马The Spy开放此端口。 端口:40421、40422、40423、40426、 服务:[NULL] 说明:木马Masters Paradise开放此端口。 端口:43210、54321 服务:[NULL] 说明:木马SchoolBus 1.0/2.0开放此端口。 端口:44445 服务:[NULL] 说明:木马Happypig开放此端口。 端口:50766 服务:[NULL] 说明:木马Fore开放此端口。端口:53001 服务:[NULL] 说明:木马Remote Windows Shutdown开放此端口。 端口:65000 服务:[NULL] 说明:木马Devil 1.03开放此端口。 端口:88 说明:Kerberos krb5。另外TCP的88端口也是这个用途。 端口:137 说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。 端口:161 说明:Simple Network Management Protocol(SMTP)(简单网络管理协议) 端口:162 说明:SNMP Trap(SNMP陷阱) 端口:445 说明:Common Internet File System(CIFS)(公共Internet文件系统) 端口:464 说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。端口:500 说明:Internet Key Exchange(IKE)(Internet密钥交换) 端口:1645、1812 说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务) 端口:1646、1813 说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问)) 端口:1701 说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议) 端口:1801、3527 说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。 端口:2504 说明:Network Load Balancing(网络平衡负荷) 0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口 连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播在去一些知名的网站上www.FOWFLY.COM/BBS http://www.cfan.com.cn/pages/20060302/3800.htm这些都是搜索到的,看对你有帮助吗?
2023-07-07 07:59:0814

个人电脑,哪些端口可以关闭!各端口又对应什么服务...

计算机常用端口一览表1 传输控制协议端口服务多路开关选择器 2 compressnet 管理实用程序 3 压缩进程 5 远程作业登录 7 回显(Echo) 9 丢弃 11 在线用户 13 时间 15 netstat 17 每日引用 18 消息发送协议 19 字符发生器 20 文件传输协议(默认数据口) 21 文件传输协议(控制) 22 SSH远程登录协议 23 telnet 终端仿真协议 24 预留给个人用邮件系统 25 smtp 简单邮件发送协议 27 NSW 用户系统现场工程师 29 MSG ICP 31 MSG验证 33 显示支持协议 35 预留给个人打印机服务 37 时间 38 路由访问协议 39 资源定位协议 41 图形 42 WINS 主机名服务 43 "绰号" who is服务 44 MPM(消息处理模块)标志协议 45 消息处理模块 46 消息处理模块(默认发送口) 47 NI FTP 48 数码音频后台服务 49 TACACS登录主机协议 50 远程邮件检查协议 51 IMP(接口信息处理机)逻辑地址维护 52 施乐网络服务系统时间协议 53 域名服务器 54 施乐网络服务系统票据交换 55 ISI图形语言 56 施乐网络服务系统验证 57 预留个人用终端访问 58 施乐网络服务系统邮件 59 预留个人文件服务 60 未定义 61 NI邮件? 62 异步通讯适配器服务 63 WHOIS+ 64 通讯接口 65 TACACS数据库服务 66 Oracle SQL*NET 67 引导程序协议服务端 68 引导程序协议客户端 69 小型文件传输协议 70 信息检索协议 71 远程作业服务 72 远程作业服务 73 远程作业服务 74 远程作业服务 75 预留给个人拨出服务 76 分布式外部对象存储 77 预留给个人远程作业输入服务 78 修正TCP 79 Finger(查询远程主机在线用户等信息) 80 全球信息网超文本传输协议(www) 81 HOST2名称服务 82 传输实用程序 83 模块化智能终端ML设备 84 公用追踪设备 85 模块化智能终端ML设备 86 Micro Focus Cobol编程语言 87 预留给个人终端连接 88 Kerberros安全认证系统 89 SU/MIT终端仿真网关 90 DNSIX 安全属性标记图 91 MIT Dover假脱机 92 网络打印协议 93 设备控制协议 94 Tivoli对象调度 95 SUPDUP 96 DIXIE协议规范 97 快速远程虚拟文件协议 98 TAC(东京大学自动计算机)新闻协议 101 usually from sri-nic 102 iso-tsap 103 ISO Mail 104 x400-snd 105 csnet-ns 109 Post Office 110 Pop3 服务器(邮箱发送服务器) 111 portmap 或 sunrpc 113 身份查询 115 sftp 117 path 或 uucp-path 119 新闻服务器 121 BO jammerkillah 123 network time protocol (exp) 135 DCE endpoint resolutionnetbios-ns 137 NetBios-NS 138 NetBios-DGN 139 win98 共享资源端口(NetBios-SSN) 143 IMAP电子邮件 144 NeWS - news 153 sgmp - sgmp 158 PCMAIL 161 snmp - snmp 162 snmp-trap -snmp 170 network PostScript 175 vmnet 194 Irc 315 load 400 vmnet0 443 安全服务 456 Hackers Paradise 500 sytek 512 exec 513 login 514 shell - cmd 515 printer - spooler 517 talk 518 ntalk 520 efs 526 tempo - newdate 530 courier - rpc 531 conference - chat 532 netnews - readnews 533 netwall 540 uucp - uucpd 543 klogin 544 kshell 550 new-rwho - new-who 555 Stealth Spy(Phase) 556 remotefs - rfs_server 600 garcon 666 Attack FTP 750 kerberos - kdc 751 kerberos_master 754 krb_prop 888 erlogin 1001 Silencer 或 WebEx 1010 Doly trojan v1.35 1011 Doly Trojan 1024 NetSpy.698 (YAI) 1025 NetSpy.698 1033 Netspy 1042 Bla1.1 1047 GateCrasher 1080 Wingate 1109 kpop 1243 SubSeven 1245 Vodoo 1269 Maverick s Matrix 1433 Microsoft SQL Server 数据库服务 1492 FTP99CMP (BackOriffice.FTP) 1509 Streaming Server 1524 ingreslock 1600 Shiv 1807 SpySender 1981 ShockRave 1999 Backdoor 2000 黑洞(木马) 默认端口 2001 黑洞(木马) 默认端口 2023 Pass Ripper 2053 knetd 2140 DeepThroat.10 或 Invasor 2283 Rat 2565 Striker 2583 Wincrash2 2801 Phineas 3129 MastersParadise.92 3150 Deep Throat 1.0 3210 SchoolBus 3389 Win2000 远程登陆端口 4000 OICQ Client 4567 FileNail 4950 IcqTrojan 5000 WindowsXP 默认启动的 UPNP 服务 5190 ICQ Query 5321 Firehotcker 5400 BackConstruction1.2 或 BladeRunner 5550 Xtcp 5555 rmt - rmtd 5556 mtb - mtbd 5569 RoboHack 5714 Wincrash3 5742 Wincrash 6400 The Thing 6669 Vampire 6670 Deep Throat 6711 SubSeven 6713 SubSeven 6767 NT Remote Control 6771 Deep Throat 3 6776 SubSeven 6883 DeltaSource 6939 Indoctrination 6969 Gatecrasher.a 7306 网络精灵(木马) 7307 ProcSpy 7308 X Spy 7626 冰河(木马) 默认端口 7789 ICQKiller 8000 OICQ Server 9400 InCommand 9401 InCommand 9402 InCommand 9535 man 9536 w 9537 mantst 9872 Portal of Doom 9875 Portal of Doom 9989 InIkiller 10000 bnews 10001 queue 10002 poker 10167 Portal Of Doom 10607 Coma 11000 Senna Spy Trojans 11223 ProgenicTrojan 12076 Gjamer 或 MSH.104b 12223 Hack?9 KeyLogger 12345 netbus木马 默认端口 12346 netbus木马 默认端口 12631 WhackJob.NB1.7 16969 Priotrity 17300 Kuang2 20000 Millenium II (GrilFriend) 20001 Millenium II (GrilFriend) 20034 NetBus Pro 20331 Bla 21554 GirlFriend 或 Schwindler 1.82 22222 Prosiak 23456 Evil FTP 或 UglyFtp 或 WhackJob 27374 SubSeven 29891 The Unexplained 30029 AOLTrojan 30100 NetSphere 30303 Socket23 30999 Kuang 31337 BackOriffice 31339 NetSpy 31666 BO Whackmole 31787 Hack a tack 33333 Prosiak 33911 Trojan Spirit 2001 a 34324 TN 或 Tiny Telnet Server 40412 TheSpy 40421 MastersParadise.96 40423 Master Paradise.97 47878 BirdSpy2 50766 Fore 或 Schwindler 53001 Remote Shutdown 54320 Back Orifice 2000 54321 SchoolBus 1.6 61466 Telecommando 65000 Devil文字黑客及木马攻击常见端口的关闭以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作: 707端口的关闭: 这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下: 1、停止服务名为WinS Client和Network Connections Sharing的两项服务 2、删除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件 3、编辑注册表,删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值 1999端口的关闭: 这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下: 1、使用进程管理工具将notpa.exe进程结束 2、删除c:Windows目录下的notpa.exe程序 3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run项中包含c:Windows otpa.exe /o=yes的键值 2001端口的关闭: 这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下: 1、首先使用进程管理软件将进程Windows.exe杀掉 2、删除c:Winntsystem32目录下的Windows.exe和S_Server.exe文件 3、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices项中名为Windows的键值 4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项删除 5、修改HKEY_CLASSES_ROOT xtfileshellopencommand项中的c:Winntsystem32S_SERVER.EXE %1为C:WinNTNOTEPAD.EXE %1 6、修改HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand 项中的c:Winntsystem32S_SERVER.EXE %1键值改为 C:WinNTNOTEPAD.EXE %1 2023端口的关闭: 这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下: 1、使用进程管理工具结束sysrunt.exe进程 2、删除c:Windows目录下的sysrunt.exe程序文件 3、编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存 4、重新启动系统 2583端口的关闭: 这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run项中的WinManager = "c:Windowsserver.exe"键值 2、编辑Win.ini文件,将run=c:Windowsserver.exe改为run=后保存退出 3、重新启动系统后删除C:Windowssystem SERVER.EXE 3389端口的关闭: 首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。 Win2000关闭的方法: 1、Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。 2、Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。 Winxp关闭的方法: 在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 4444端口的关闭: 如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下: 1、使用进程管理工具结束msblast.exe的进程 2、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 项中的"Windows auto update"="msblast.exe"键值 3、删除c:Winntsystem32目录下的msblast.exe文件 4899端口的关闭: 首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。 关闭4899端口: 1、请在开始-->运行中输入cmd(98以下为command),然后 cd C:Winntsystem32(你的系统安装目录),输入r_server.exe /stop后按回车。 然后在输入r_server /uninstall /silence 2、到C:Winntsystem32(系统目录)下删除r_server.exe admdll.dll raddrv.dll三个文件 5800,5900端口: 首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。 请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭 关闭的方法: 1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:Winntfontsexplorer.exe) 2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:Winntexplorer.exe) 3、删除C:Winntfonts中的explorer.exe程序。 4、删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun项中的Explorer键值。 5、重新启动机器。 6129端口的关闭: 首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭 关闭6129端口: 1、选择开始-->设置-->控制面板-->管理工具-->服务 找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。 2、到c:Winntsystem32(系统目录)下将DWRCS.EXE程序删除。 3、到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001Services项中的DWRCS键值删除 6267端口的关闭: 6267端口是木马程序广外女生的默认服务端口,该木马删除方法如下: 1、启动到安全模式下,删除c:Winntsystem32下的DIAGFG.EXE文件 2、到c:Winnt目录下找到regedit.exe文件,将该文件的后缀名改为.com 3、选择开始-->运行输入regedit.com进入注册表编辑页面 4、修改HKEY_CLASSES_ROOTexefileshellopencommand项的键值为 "%1" %* 5、删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中名字为Diagnostic Configuration的键值 6、将c:Winnt下的regedit.com改回到regedit.exe 6670、6771端口的关闭: 这些端口是木马程序DeepThroat v1.0 - 3.1默认的服务端口,清除该木马的方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion Run项中的‘System32‘=c:Windowssystem32.exe键值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 键值(版本2.0-3.0)键值 3、重新启动机器后删除c:Windowssystem32.exe(版本1.0)或c:Windowssystemsystray.exe(版本2.0-3.0) 6939 端口的关闭: 这个端口是木马程序Indoctrination默认的服务端口,清除该木马的方法如下: 1、编辑注册表,删除 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServicesOnce 四项中所有包含Msgsrv16 ="msgserv16.exe"的键值 2、重新启动机器后删除C:Windowssystem目录下的msgserv16.exe文件 6969端口的关闭: 这个端口是木马程序PRIORITY的默认服务端口,清除该木马的方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run Services项中的"PServer"= C:WindowsSystemPServer.exe键值 2、重新启动系统后删除C:WindowsSystem目录下的PServer.exe文件 7306端口的关闭: 这个端口是木马程序网络精灵的默认服务端口,该木马删除方法如下: 1、你可以使用fport察看7306端口由哪个程序监听,记下程序名称和所在的路径 2、如果程序名为Netspy.exe,你可以在命令行方式下到该程序所在目录输入命令Netspy.exe /remove来删除木马 3、如果是其他名字的程序,请先在进程中结束该程序的进程,然后到相应目录下删除该程序。 4、编辑注册表,将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中与该程序有关的键值删除 7511端口的关闭: 7511是木马程序聪明基因的默认连接端口,该木马删除方法如下: 1、首先使用进程管理工具杀掉MBBManager.exe这个进程 2、删除c:Winnt(系统安装目录)中的MBBManager.exe和Explore32.exe程序文件,删除c:Winntsystem32目录下的editor.exe文件 3、编辑注册表,删除注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run项中内容为C:WinNTMBBManager.exe键名为MainBroad BackManager的项。 4、修改注册表HKEY_CLASSES_ROOT xtfileshellopencommand中的c:Winntsystem32editor.exe %1改为c:WinntNOTEPAD.EXE %1 5、修改注册表HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand 项中的C:WinNTexplore32.exe %1键值改为C:WinNTWinHLP32.EXE %1 7626端口的关闭: 7626是木马冰河的默认开放端口(这个端口可以改变),木马删除方法如下: 1、启动机器到安全模式下,编辑注册表,删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRun 项中内容为c:Winntsystem32Kernel32.exe的键值 2、删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRunservices项中内容为C:Windowssystem32Kernel32.exe的键值 3、修改HKEY_CLASSES_ROOT xtfileshellopencommand项下的C:Winntsystem32Sysexplr.exe %1为C:Winnt otepad.exe %1 4、到C:Windowssystem32下删除文件Kernel32.exe和Sysexplr.exe 8011端口的关闭: 8011端口是木马程序WAY2.4的默认服务端口,该木马删除方法如下: 1、首先使用进程管理工具杀掉msgsvc.exe的进程 2、到C:Windowssystem目录下删除msgsvc.exe文件 3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run项中内容为C:WinDOWSSYSTEMmsgsvc.exe的键值
2023-07-07 07:59:374

windows server2008系统下的 C:Windowssystem32wininit.exe是木马么?是的话如何杀掉?

仅仅从文件名,使无法判断文件所是否包含病毒或者木马的。文件名本身,几乎不包含什么实际意义的内容。文件扩展名为exe,属于可执行文件类别,但是文件名和扩展名都是可以随意更改的,所以说明不了问题。如果你怀疑文件包含病毒,最可靠的方法还是使用杀毒软件对文件进行病毒扫描,甚至可以尝试在线杀毒扫描,可以确定是否包含最新的病毒。
2023-07-07 07:59:441

木马可能入侵的端口

端口:0 服务:Reserved 说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。 端口:1 服务:tcpmux 说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口:7 服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 端口:19 服务:Character Generator 说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 端口:21 服务:FTP 说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 端口:22 服务:Ssh 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 端口:23 服务:Telnet 说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 端口:25 服务:SMTP 说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 端口:31 服务:MSG Authentication 说明:木马Master Paradise、Hackers Paradise开放此端口。 端口:42 服务:WINS Replication 说明:WINS复制 端口:53 服务:Domain Name Server(DNS) 说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 端口:67 服务:Bootstrap Protocol Server 说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 67、68端口:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。 端口:69 服务:Trival File Transfer 说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 端口:79 服务:Finger Server 说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。 端口:80 服务:HTTP 说明:用于网页浏览。木马Executor开放此端口。 端口:99 服务:Metagram Relay 说明:后门程序ncx99开放此端口。 端口:102 服务:Message transfer agent(MTA)-X.400 over TCP/IP 说明:消息传输代理。 端口:109 服务:Post Office Protocol -Version3 说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 端口:110 服务:SUN公司的RPC服务所有端口 说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 111端口:111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。 端口:113 服务:Authentication Service 说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 端口:119 服务:Network News Transfer Protocol 说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 端口:135 服务:Location Service 说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。 端口:137、138、139 服务:NETBIOS Name Service 说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 端口:143 服务:Interim Mail Access Protocol v2 说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。 端口:161 服务:SNMP 说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。 端口:177 服务:X Display Manager Control Protocol 说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 端口:389 服务:LDAP、ILS 说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 端口:443 服务:Https 说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 端口:456 服务:[NULL] 说明:木马HACKERS PARADISE开放此端口。 端口:513 服务:Login,remote login 说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。 端口:544 服务:[NULL] 说明:kerberos kshell 端口:548 服务:Macintosh,File Services(AFP/IP) 说明:Macintosh,文件服务。 端口:553 服务:CORBA IIOP (UDP) 说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。 554端口:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP)。 端口:555 服务:DSF 说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 端口:568 服务:Membership DPA 说明:成员资格 DPA。 端口:569 服务:Membership MSN 说明:成员资格 MSN。 端口:635 服务:mountd 说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。 端口:636 服务:LDAP 说明:SSL(Secure Sockets layer) 端口:666 服务:Doom Id Software 说明:木马Attack FTP、Satanz Backdoor开放此端口 端口:993 服务:IMAP 说明:SSL(Secure Sockets layer) 端口:1001、1011 服务:[NULL] 说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 端口:1024 服务:Reserved 说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 端口:1025、1033 服务:1025:network blackjack 1033:[NULL] 说明:木马netspy开放这2个端口。 端口:1080 服务:SOCKS 说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。 端口:1170 服务:[NULL] 说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 端口:1234、1243、6711、6776 服务:[NULL] 说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 端口:1245 服务:[NULL] 说明:木马Vodoo开放此端口。 端口:1433 服务:SQL 说明:Microsoft的SQL服务开放的端口。 端口:1492 服务:stone-design-1 说明:木马FTP99CMP开放此端口。 端口:1500 服务:RPC client fixed port session queries 说明:RPC客户固定端口会话查询 端口:1503 服务:NetMeeting T.120 说明:NetMeeting T.120 端口:1524 服务:ingress 说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。1755端口:1755端口默认情况下用于“Microsoft Media Server”(微软媒体服务器,简称MMS)。 4000端口:4000端口是用于大家经常使用的QQ聊天工具的,再细说就是为QQ客户端开放的端口,QQ服务端使用的端口是8000。 5554端口:在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波(Worm.Sasser),该病毒可以利用TCP 5554端口开启一个FTP服务,主要被用于病毒的传播。 5632端口:5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口。 8080端口:8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览。21 ftp23 telnet25 smtp80 http135 、 139 、 445 听说是危险端口4000 QQ8080 、 3128 代理8000 灰鸽子8888 蜜蜂83389 远程协助1433 SQL Server端口:135 1900 1528 123 1583 1037 1584 进程:svchost.exe Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务。端口:8000 进程:H-Client.exe 灰鸽子的进程端口:1110 进程:PhCore.exe 花生壳的进程端口:1193 进程: TTraveler.exe TT进程自己收集的资料比较全...
2023-07-07 08:00:004

我的电脑攻击别人怎么解决

安装第三方防火墙和杀毒软件 黑客是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,就来说利用软件如何发现自己电脑中的木马.如何发现自己电脑中的木马再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏...查找木马.进一步查找木马让我们做一个试验:netspy.exe开放的是7306端口,用工具把它的端口修改了,经过修改的木马开放的是7777端口了,现在再用老办法是找不到netspy.exe木马了。我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。 前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。 扫描这么多端口是不是很累,需要半个多小时,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得在硬盘上删除木马.在硬盘上删除木马最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。 下面就netbus木马为例讲讲删除的经过。 简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。 Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表 中的位置不会改变,你可以到注册表的这个位置去找。 另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。 SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是无害的木马,其实这是最可恶、最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。 而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。我们再来作做这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。 有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中还是暴露了。 好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。 你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。?nbsp; 排除了木马以后,你就可以监视端口,---- 悄悄等待黑客的来临.
2023-07-07 08:00:191

win10系统的电脑被黑客攻击,开机电脑上显示LTWZ_ ,怎么办?

安装第三方防火墙和杀毒软件 黑客是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,就来说利用软件如何发现自己电脑中的木马. 如何发现自己电脑中的木马 再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏...查找木马. 进一步查找木马 让我们做一个试验:netspy.exe开放的是7306端口,用工具把它的端口修改了,经过修改的木马开放的是7777端口了,现在再用老办法是找不到netspy.exe木马了。我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。 前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。 扫描这么多端口是不是很累,需要半个多小时,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得在硬盘上删除木马. 在硬盘上删除木马 最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。 下面就netbus木马为例讲讲删除的经过。 简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。 Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表 中的位置不会改变,你可以到注册表的这个位置去找。 另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。 SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是无害的木马,其实这是最可恶、最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。 而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。我们再来作做这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。 有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中还是暴露了。 好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。 你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。nbsp; 排除了木马以后,你就可以监视端口,---- 悄悄等待黑客的来临.
2023-07-07 08:00:273

紧急求助!!!

下面是一篇选自《黑客技术大宝库》 文章,你可以参考一下。黑客木马入侵个人电脑的方法大家好,我是奇奇,现在攻击个人电脑的木马软件很多,功能比以前多了,使用也比以前方便多了,所以危害也比以前大了,奇奇发现很多人中了木马自己还不知道,我就写了一点心得,给大家作个参考。 要想使自己的电脑安全,就好扎好自己的篱笆,看好自己的门,电脑也有自己的门,我们叫它端口。你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。 当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑的。黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。 特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。 接下来,奇奇就让你利用软件如何发现自己电脑中的木马。奇奇再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,奇奇已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。 但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要进一步查找木马。奇奇曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。 前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,奇奇推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。 扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得在硬盘上删除木马最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。下面就netbus木马为例讲讲删除的经过。简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。 Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。 另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。 SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,奇奇倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。 而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。奇奇在自己的电脑中做了这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。 有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中还是暴露了。 好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。 你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。 排除了木马以后,你就可以监视端口,悄悄等待黑客的来临介绍两个软件, 首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。 第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
2023-07-07 08:00:342

请问各位什么是木马?有什么用?计算机用语

什么是木马?特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。从木马的发展来看,基本上可以分为两个阶段。最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。原 理 篇基础知识 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 (3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。 木马原理 用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。一.配置木马 一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能: (1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。 二.传播木马(1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。(2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。 (一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。 (二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 (三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系统。 (四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后,原木马文件将自动销毁,这 样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。 (六)木马更名 安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。 三.运行木马 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下图:(1)由触发条件激活木马 触发条件是指启动木马的条件,大致出现在下面八个地方: 1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。 2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。 4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。 5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。 6.注册表:打开HKEY_CLASSES_ROOT文件类型shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。 7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。 8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。 (2)木马运行过程 木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例:其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口: (1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口 的。 (2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。(3)4000端口:这是OICQ的通讯端口。 (4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。 四.信息泄露: 一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。 从这封邮件中我们可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。 五.建立连接: 这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。 如上图所示A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们 重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到 这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控 制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于 拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中 B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个IP地址段就可以找到B机了。六.远程控制: 木马连接建立后,控制端端口和木马端口之间将会出现一条通道,见下图 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。 (1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。 (2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。 (3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。 (4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信 息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪
2023-07-07 08:00:424

各个端口都代表什么意思?

网上有网络端口参数表,自已找来看看就知道了
2023-07-07 08:00:533

黑软是什么意思

黑软 黑软就是我们通常提到的黑客软件(Hacker)的简称。现在的黑客软件的使用者都对黑客软件以黑软的简称。 黑客,最初是指专注于计算机技术和计算机编程的人,或是乐于检查操作系统或其他程序代码、来了解其运行的人,现多指为达到非法目的而使用计算机技巧的人。黑客软件(Hacker),是指黑客专门用以通过网络对远程计算机设备进行入侵并控制对方系统,盗取、破坏信息的程序。 目前黑客软件大致可分为四种:网络间谍(NETSPY)、网络巴士(NETBUS)、网络后门(BACKDOOR)和网络漏洞(BACK ORIEICE)。其目的就是打开通道并在电脑中非法驻留,通过网络获取其他电脑中的资料。 常见的黑客软件有:密码破解软件、Windows NT及Windows 9x攻击软件、电子邮件炸弹等。为防患黑客软件的破坏,平时应注意以下几个方面:不使用盗版光盘;对于来历不明的电子邮件及附件不要轻易打开;选择和使用病毒防火墙和正版杀毒软件,以防万一。
2023-07-07 08:01:524

列举端口

前面的数字是端口号 0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。 7 Echo 你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个机器的UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。 11 sysstat 这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似。再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11。 19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pron的节点。 22 ssh PcAnywhere 建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)。还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632(十六进制的0x1600)位交换后是0x0016(使进制的22)。 23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。 25 smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。 53 DNS Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。 67&68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。 79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。 80 HTTP服务器所用到的端口。 98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等) 109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。 110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。 111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。 113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接。 119 NNTP news 新闻组传输协议,承载USENET通讯。当你链接到诸如:news://news.hackervip.com/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。 135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。 137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息。 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。 143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。 161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。 162 SNMP trap 可能是由于错误配置 177 xdmcp 许多Hacker通过它访问X-Windows控制台, 它同时需要打开6000端口。 513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。 553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口。 一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal. 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。 1025,1026 参见1024 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。 1243 Sub-7木马(TCP) 1433 MSSQL数据库服务端口 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。 161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。 162 SNMP trap 可能是由于错误配置 177 xdmcp 许多Hacker通过它访问X-Windows控制台, 它同时需要打开6000端口。 513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。 553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口。 一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal. 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。 1025,1026 参见1024 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。 1243 Sub-7木马(TCP) 1433 MSSQL数据库服务端口 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。
2023-07-07 08:02:013

黑客通常如何入侵?

我们自然先来看看“黑客”常用的攻击方法。“黑客”的攻击方法可以是你所接触到的任何东西:从键盘到硬盘,从诈骗到轰炸。下面我们就逐一列举这些问题。 1. 键盘 是不是感觉到很奇怪,为什么把键盘放在第一位呢?键盘也会遭到攻击吗?很简单,键盘是我们与外界进行沟通的重要桥梁,我们要通过它输入大量的信息,所以许多“黑客”软件都把这只“黑暗中的眼睛”放在了这里。通过记录键盘的活动,可以很容易地得到很多有价值的东西,例如密码、谈话内容。 解决办法:对付这些东西,最好的办法还是使用杀毒软件。如果杀毒软件带有病毒防火墙,需要注意下载最新的防火墙的版本。 2.浏览器 我们上网肯定离不开浏览器,这也是泄漏秘密的“好地方”。浏览器的漏洞主要是IE缓存的问题以及cookie的问题,尤其是cookie,有的cookie里面包含了你的登录网站名称、登录时间甚至登录密码。“踏雪无痕”这类软件就是专门查看cookie的“黑客”软件。 解决办法:点“internet选项”、“删除文件”把缓存彻底删除掉. 3. 腾讯OICQ. 现在哪家网吧会把腾讯OICQ拒之门外呢?正因为腾讯OICQ的广泛使用,腾讯OICQ每一个新版本的发布都受到众多的“黑客”的关注。从嗅探器、键盘记录器、轰炸器到偷看聊天记录等攻击方式,让人防不胜防。 解决办法:腾讯OICQ的更新速度非常快,所以要注意下载使用最新版本;在OICQ中点“系统参数”、“网络安全设置”、“拒绝陌生人信息”就可以对付OICQ的轰炸;还应该设置“使用本地信息加密”。 4. 网页浏览 浏览网页是我们获取网上信息的重要方法之一,对于网页浏览需要注意以下几点:登录免费信箱的时候尽量到指定的网站上去登录,不要在个人主页上登录,因为该网站很可能会记录下你的用户名和口令。对付无限制弹出窗口的网页(这是网页浏览时的恶作剧,可以让你的机器死机),可以先按住“Crtl+Alt+Del”键,把“EXPLORER”窗口关闭,然后再修改“Internet”选项,禁止执行Java。对于网页中插入的ActiveX,当提示下载安装的时候一定要看清除是否签名,如果没有签名就存在包含木马的可能性。尽量到知名的下载网站去下载软件,对下载的软件最好先杀毒。 5. 硬盘共享 网吧等于一个局域网,所以对于网络硬盘的共享一定要注意,尤其是硬盘的写权限千万开不得。最好把所有的硬盘全部设置为不共享。 6. 拷贝粘贴 我们有时候会大量地使用拷贝粘贴功能来复制文件和文字。当离开机器的时候最好把剪贴板清空,尤其要注意是否使用了某些剪贴板增强工具,这些工具通常会自动记录你所拷贝的文件数量和内容,即便是非正常关机都不会消失。 7.遗留文件 不要随便打开别人遗留下来的文件。好奇心并非总是好事。“黑客”为了使普通用户去掉戒备之心,总是利用大家最常见或者喜好的东西来骗人上当。一个图标是WINZIP的文件实际上却可能是一个木马;一款漂亮的FLASH动画背后可能隐藏了许多不为人所知的“勾当”。 8.异常变化 最后,注意计算机的异常变化。当你正在聊天的时候,突然鼠标不听你指挥了,或者计算机突然重新启动了,又或者突然出现一个新的窗口等,这些迹象表明你使用的计算机遭到了别人的控制。最好的防范办法,是下载天网个人防火墙,切断与网络的连接,天网同时也会自动记录下入侵者的IP。 9.端口 你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑. 黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,rylxk11就让你利用软件如何发现自己电脑中的木马 再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,rylxk11已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要进一步查找木马. rylxk11曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口. 前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首显灰个端口扫描器,rylxk11推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。 扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得----在硬盘上删除木马 最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。 下面就netbus木马为例讲讲删除的经过. 简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。 Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。 另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。 SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,rylxk11倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。 而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。rylxk11在自己的电脑中做了这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。 有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中还是暴露了。 好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中. 你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。?nbsp; 排除了木马以后,你就可以监视端口,悄悄等待黑客的来临 介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
2023-07-07 08:02:082

计算机通讯端口的作用是什么?举例说明计算机常见的接口及其各自的作用?

  计算机端口详细列表  我们常常会在各类的技术文章中见到诸如135、137、139、443之类的“端口”,可是这些端口究竟有什么用呢?它会不会给我们的计算机带来潜在的威胁呢?究竟有多少端口是有用的?想要了解的话,就跟我来吧:D  端口:0  服务:Reserved  说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。  端口:1  服务:tcpmux  说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。  端口:7  服务:Echo  说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。  端口:19  服务:Character Generator  说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。  端口:21  服务:FTP  说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。  端口:22  服务:Ssh  说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。  端口:23  服务:Telnet  说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。  端口:25  服务:SMTP  说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。  端口:31  服务:MSG Authentication  说明:木马Master Paradise、Hackers Paradise开放此端口。  端口:42  服务:WINS Replication  说明:WINS复制  端口:53  服务:Domain Name Server(DNS)  说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。  端口:67  服务:Bootstrap Protocol Server  说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。  端口:69  服务:Trival File Transfer  说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。  端口:79  服务:Finger Server  说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。  端口:80  服务:HTTP  说明:用于网页浏览。木马Executor开放此端口。  端口:99  服务:Metagram Relay  说明:后门程序ncx99开放此端口。  端口:102  服务:Message transfer agent(MTA)-X.400 over TCP/IP  说明:消息传输代理。  端口:109  服务:Post Office Protocol -Version3  说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。  端口:110  服务:SUN公司的RPC服务所有端口  说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等  端口:113  服务:Authentication Service  说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。  端口:119  服务:Network News Transfer Protocol  说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。  端口:135  服务:Location Service  说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。  端口:137、138、139  服务:NETBIOS Name Service  说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。  端口:143  服务:Interim Mail Access Protocol v2  说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。  端口:161  服务:SNMP  说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。  端口:177  服务:X Display Manager Control Protocol  说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。  端口:389  服务:LDAP、ILS  说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。  端口:443  服务:Https  说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。  端口:456  服务:[NULL]  说明:木马HACKERS PARADISE开放此端口。  端口:513  服务:Login,remote login  说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。  端口:544  服务:[NULL]  说明:kerberos kshell  端口:548  服务:Macintosh,File Services(AFP/IP)  说明:Macintosh,文件服务。  端口:553  服务:CORBA IIOP (UDP)  说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。  端口:555  服务:DSF  说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。  端口:568  服务:Membership DPA  说明:成员资格 DPA。  端口:569  服务:Membership MSN  说明:成员资格 MSN。  端口:635  服务:mountd  说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。  端口:636  服务:LDAP  说明:SSL(Secure Sockets layer)  端口:666  服务:Doom Id Software  说明:木马Attack FTP、Satanz Backdoor开放此端口  端口:993  服务:IMAP  说明:SSL(Secure Sockets layer)  端口:1001、1011  服务:[NULL]  说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。  端口:1024  服务:Reserved  说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。  端口:1025、1033  服务:1025:network blackjack 1033:[NULL]  说明:木马netspy开放这2个端口。  端口:1080  服务:SOCKS  说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。  端口:1170  服务:[NULL]  说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。  端口:1234、1243、6711、6776  服务:[NULL]  说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。  端口:1245  服务:[NULL]  说明:木马Vodoo开放此端口。  端口:1433  服务:SQL  说明:Microsoft的SQL服务开放的端口。  端口:1492  服务:stone-design-1  说明:木马FTP99CMP开放此端口。  端口:1500  服务:RPC client fixed port session queries  说明:RPC客户固定端口会话查询  端口:1503  服务:NetMeeting T.120  说明:NetMeeting T.120  端口:1524  服务:ingress  说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。  端口:1600  服务:issd  说明:木马Shivka-Burka开放此端口。  端口:1720  服务:NetMeeting  说明:NetMeeting H.233 call Setup。  端口:1731  服务:NetMeeting Audio Call Control  说明:NetMeeting音频调用控制。  端口:1807  服务:[NULL]  说明:木马SpySender开放此端口。  端口:1981  服务:[NULL]  说明:木马ShockRave开放此端口。  端口:1999  服务:cisco identification port  说明:木马BackDoor开放此端口。  端口:2000  服务:[NULL]  说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。  端口:2001  服务:[NULL]  说明:木马Millenium 1.0、Trojan Cow开放此端口。  端口:2023  服务:xinuexpansion 4  说明:木马Pass Ripper开放此端口。  端口:2049  服务:NFS  说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。  端口:2115  服务:[NULL]  说明:木马Bugs开放此端口。  端口:2140、3150  服务:[NULL]  说明:木马Deep Throat 1.0/3.0开放此端口。  端口:2500  服务:RPC client using a fixed port session replication  说明:应用固定端口会话复制的RPC客户  端口:2583  服务:[NULL]  说明:木马Wincrash 2.0开放此端口。  端口:2801  服务:[NULL]  说明:木马Phineas Phucker开放此端口。  端口:3024、4092  服务:[NULL]  说明:木马WinCrash开放此端口。  端口:3128  服务:squid  说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。  端口:3129  服务:[NULL]  说明:木马Master Paradise开放此端口。  端口:3150  服务:[NULL]  说明:木马The Invasor开放此端口。  端口:3210、4321  服务:[NULL]  说明:木马SchoolBus开放此端口  端口:3333  服务:dec-notes  说明:木马Prosiak开放此端口  端口:3389  服务:超级终端  说明:WINDOWS 2000终端开放此端口。  端口:3700  服务:[NULL]  说明:木马Portal of Doom开放此端口  端口:3996、4060  服务:[NULL]  说明:木马RemoteAnything开放此端口  端口:4000  服务:QQ客户端  说明:腾讯QQ客户端开放此端口。  端口:4092  服务:[NULL]  说明:木马WinCrash开放此端口。  端口:4590  服务:[NULL]  说明:木马ICQTrojan开放此端口。  端口:5000、5001、5321、50505 服务:[NULL]  说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。  端口:5400、5401、5402  服务:[NULL]  说明:木马Blade Runner开放此端口。  端口:5550  服务:[NULL]  说明:木马xtcp开放此端口。  端口:5569  服务:[NULL]  说明:木马Robo-Hack开放此端口。  端口:5632  服务:pcAnywere  说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。  端口:5742  服务:[NULL]  说明:木马WinCrash1.03开放此端口。  端口:6267  服务:[NULL]  说明:木马广外女生开放此端口。  端口:6400  服务:[NULL]  说明:木马The tHing开放此端口。  端口:6670、6671  服务:[NULL]  说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。  端口:6883  服务:[NULL]  说明:木马DeltaSource开放此端口。  端口:6969  服务:[NULL]  说明:木马Gatecrasher、Priority开放此端口。  端口:6970  服务:RealAudio  说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。  端口:7000  服务:[NULL]  说明:木马Remote Grab开放此端口。  端口:7300、7301、7306、7307、7308  服务:[NULL]  说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。  端口:7323  服务:[NULL]  说明:Sygate服务器端。  端口:7626  服务:[NULL]  说明:木马Giscier开放此端口。  端口:7789  服务:[NULL]  说明:木马ICKiller开放此端口。  端口:8000  服务:OICQ  说明:腾讯QQ服务器端开放此端口。 "  端口:8010  服务:Wingate  说明:Wingate代理开放此端口。  端口:8080  服务:代理端口  说明:WWW代理开放此端口。  端口:9400、9401、9402  服务:[NULL]  说明:木马Incommand 1.0开放此端口。  端口:9872、9873、9874、9875、10067、10167  服务:[NULL]  说明:木马Portal of Doom开放此端口  端口:9989  服务:[NULL]  说明:木马iNi-Killer开放此端口。  端口:11000  服务:[NULL]  说明:木马SennaSpy开放此端口。  端口:11223  服务:[NULL]  说明:木马Progenic trojan开放此端口。  端口:12076、61466  服务:[NULL]  说明:木马Telecommando开放此端口。  端口:12223  服务:[NULL]  说明:木马Hack"99 KeyLogger开放此端口。  端口:12345、12346  服务:[NULL]  说明:木马NetBus1.60/1.70、GabanBus开放此端口。  端口:12361  服务:[NULL]  说明:木马Whack-a-mole开放此端口。  端口:13223  服务:PowWow  说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。  端口:16969  服务:[NULL]  说明:木马Priority开放此端口。  端口:17027  服务:Conducent  说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。  端口:19191  服务:[NULL]  说明:木马蓝色火焰开放此端口。  端口:20000、20001  服务:[NULL]  说明:木马Millennium开放此端口。  端口:20034  服务:[NULL]  说明:木马NetBus Pro开放此端口。  端口:21554  服务:[NULL]  说明:木马GirlFriend开放此端口。  端口:22222  服务:[NULL]  说明:木马Prosiak开放此端口。  端口:23456  服务:[NULL]  说明:木马Evil FTP、Ugly FTP开放此端口。  端口:26274、47262  服务:[NULL]  说明:木马Delta开放此端口。  端口:27374  服务:[NULL]  说明:木马Subseven 2.1开放此端口。  端口:30100  服务:[NULL]  说明:木马NetSphere开放此端口。  端口:30303  服务:[NULL]  说明:木马Socket23开放此端口。  端口:30999  服务:[NULL]  说明:木马Kuang开放此端口。  端口:31337、31338  服务:[NULL]  说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。  端口:31339  服务:[NULL]  说明:木马NetSpy DK开放此端口。  端口:31666  服务:[NULL]  说明:木马BOWhack开放此端口。  端口:33333  服务:[NULL]  说明:木马Prosiak开放此端口。  端口:34324  服务:[NULL]  说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。  端口:40412  服务:[NULL]  说明:木马The Spy开放此端口。  端口:40421、40422、40423、40426、  服务:[NULL]  说明:木马Masters Paradise开放此端口。  端口:43210、54321  服务:[NULL]  说明:木马SchoolBus 1.0/2.0开放此端口。  端口:44445  服务:[NULL]  说明:木马Happypig开放此端口。  端口:50766  服务:[NULL]  说明:木马Fore开放此端口。  端口:53001  服务:[NULL]  说明:木马Remote Windows Shutdown开放此端口。  端口:65000  服务:[NULL]  说明:木马Devil 1.03开放此端口。  端口:88  说明:Kerberos krb5。另外TCP的88端口也是这个用途。  端口:137  说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。  端口:161  说明:Simple Network Management Protocol(SMTP)(简单网络管理协议)  端口:162  说明:SNMP Trap(SNMP陷阱)  端口:445  说明:Common Internet File System(CIFS)(公共Internet文件系统)  端口:464  说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。  端口:500  说明:Internet Key Exchange(IKE)(Internet密钥交换)  端口:1645、1812  说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)  端口:1646、1813  说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问))  端口:1701  说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)  端口:1801、3527  说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。  端口:2504  说明:Network Load Balancing(网络平衡负荷)  0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口  连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
2023-07-07 08:02:183

什么是木马病毒?

什么是木马- -木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。 传染方式:通过电子邮件附件发出,捆绑在其他的程序中。 病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。 木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等从对基本的地方了解木马端口 你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑。 黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,你可以利用软件--如何发现自己电脑中的木马 再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中了netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要--进一步查找木马 曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。 前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。 扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得--在硬盘上删除木马 最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。 下面就netbus木马为例讲讲删除的经过。 简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。 有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中还是暴露了。 好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。排除了木马以后,你就可以监视端口--悄悄等待黑客的来临 介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
2023-07-07 08:02:574

能帮忙解释一些最常用端口吗?

端口:0 服务:Reserved 说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。 端口:1 服务:tcpmux 说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口:7 服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 端口:19 服务:Character Generator 说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 端口:21 服务:FTP 说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 端口:22 服务:Ssh 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 端口:23 服务:Telnet 说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 端口:25 服务:SMTP 说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 端口:31 服务:MSG Authentication 说明:木马Master Paradise、Hackers Paradise开放此端口。 端口:42服务:WINS Replication 说明:WINS复制 端口:53 服务:Domain Name Server(DNS) 说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 端口:67 服务:Bootstrap Protocol Server 说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 端口:69 服务:Trival File Transfer 说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 端口:79 服务:Finger Server 说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。 端口:80 服务:HTTP说明:用于网页浏览。木马Executor开放此端口。 端口:99 服务:Metagram Relay 说明:后门程序ncx99开放此端口。 端口:102 服务:Message transfer agent(MTA)-X.400 over TCP/IP 说明:消息传输代理。 端口:109 服务:Post Office Protocol -Version3 说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 端口:110 服务:SUN公司的RPC服务所有端口 说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 端口:113 服务:Authentication Service 说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 端口:119 服务:Network News Transfer Protocol 说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 端口:135 服务:Location Service 说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。 端口:137、138、139 服务:NETBIOS Name Service 说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 端口:143 服务:Interim Mail Access Protocol v2 说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。 端口:161 服务:SNMP 说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。 端口:177 服务:X Display Manager Control Protocol 说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 端口:389 服务:LDAP、ILS 说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 端口:443 服务:Https 说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 端口:456 服务:[NULL] 说明:木马HACKERS PARADISE开放此端口。 端口:513 服务:Login,remote login 说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。 端口:544 服务:[NULL] 说明:kerberos kshell 端口:548 服务:Macintosh,File Services(AFP/IP) 说明:Macintosh,文件服务。 端口:553 服务:CORBA IIOP (UDP) 说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。 端口:555 服务:DSF 说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 端口:568 服务:Membership DPA 说明:成员资格 DPA。 端口:569 服务:Membership MSN 说明:成员资格 MSN。 端口:635 服务:mountd 说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。 端口:636 服务:LDAP 说明:SSL(Secure Sockets layer) 端口:666 服务:Doom Id Software 说明:木马Attack FTP、Satanz Backdoor开放此端口 端口:993 服务:IMAP 说明:SSL(Secure Sockets layer) 端口:1001、1011 服务:[NULL] 说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 端口:1024 服务:Reserved 说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 端口:1025、1033 服务:1025:network blackjack 1033:[NULL] 说明:木马netspy开放这2个端口。 端口:1080 服务:SOCKS 说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。端口:1170 服务:[NULL] 说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 端口:1234、1243、6711、6776 服务:[NULL] 说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 端口:1245 服务:[NULL] 说明:木马Vodoo开放此端口。 端口:1433 服务:SQL 说明:Microsoft的SQL服务开放的端口。 端口:1492 服务:stone-design-1 说明:木马FTP99CMP开放此端口。 端口:1500 服务:RPC client fixed port session queries 说明:RPC客户固定端口会话查询 端口:1503 服务:NetMeeting T.120 说明:NetMeeting T.120 端口:1524 服务:ingress 说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。 端口:1600 服务:issd 说明:木马Shivka-Burka开放此端口。 端口:1720 服务:NetMeeting 说明:NetMeeting H.233 call Setup。 端口:1731服务:NetMeeting Audio Call Control 说明:NetMeeting音频调用控制。 端口:1807 服务:[NULL] 说明:木马SpySender开放此端口。端口:1981 服务:[NULL] 说明:木马ShockRave开放此端口。 端口:1999 服务:cisco identification port 说明:木马BackDoor开放此端口。 端口:2000 服务:[NULL] 说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。 端口:2001 服务:[NULL] 说明:木马Millenium 1.0、Trojan Cow开放此端口。 端口:2023 服务:xinuexpansion 4 说明:木马Pass Ripper开放此端口。 端口:2049 服务:NFS 说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。 端口:2115 服务:[NULL] 说明:木马Bugs开放此端口。 端口:2140、3150 服务:[NULL] 说明:木马Deep Throat 1.0/3.0开放此端口。 端口:2500 服务:RPC client using a fixed port session replication 说明:应用固定端口会话复制的RPC客户 端口:2583 服务:[NULL] 说明:木马Wincrash 2.0开放此端口。 端口:2801 服务:[NULL] 说明:木马Phineas Phucker开放此端口。 端口:3024、4092 服务:[NULL] 说明:木马WinCrash开放此端口。 端口:3128 服务:squid 说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。 端口:3129 服务:[NULL] 说明:木马Master Paradise开放此端口。 端口:3150 服务:[NULL] 说明:木马The Invasor开放此端口。 端口:3210、4321 服务:[NULL] 说明:木马SchoolBus开放此端口 端口:3333 服务:dec-notes 说明:木马Prosiak开放此端口 端口:3389 服务:超级终端 说明:WINDOWS 2000终端开放此端口。 端口:3700 服务:[NULL] 说明:木马Portal of Doom开放此端口 端口:3996、4060 服务:[NULL] 说明:木马RemoteAnything开放此端口 端口:4000 服务:QQ客户端 说明:腾讯QQ客户端开放此端口。 端口:4092 服务:[NULL] 说明:木马WinCrash开放此端口。 端口:4590 服务:[NULL] 说明:木马ICQTrojan开放此端口。 端口:5000、5001、5321、50505服务:[NULL]说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。 端口:5400、5401、5402服务:[NULL]说明:木马Blade Runner开放此端口。 端口:5550服务:[NULL] 说明:木马xtcp开放此端口。 端口:5569服务:[NULL] 说明:木马Robo-Hack开放此端口。 端口:5632 服务:pcAnywere 说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。 端口:5742 服务:[NULL] 说明:木马WinCrash1.03开放此端口。 端口:6267服务:[NULL] 说明:木马广外女生开放此端口。 端口:6400 服务:[NULL] 说明:木马The tHing开放此端口。 端口:6670、6671 服务:[NULL] 说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。 端口:6883 服务:[NULL] 说明:木马DeltaSource开放此端口。 端口:6969 服务:[NULL] 说明:木马Gatecrasher、Priority开放此端口。 端口:6970服务:RealAudio 说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。 端口:7000 服务:[NULL] 说明:木马Remote Grab开放此端口。 端口:7300、7301、7306、7307、7308 服务:[NULL] 说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。 端口:7323 服务:[NULL] 说明:Sygate服务器端。 端口:7626 服务:[NULL] 说明:木马Giscier开放此端口。 端口:7789 服务:[NULL] 说明:木马ICKiller开放此端口。 端口:8000 服务:OICQ 说明:腾讯QQ服务器端开放此端口。 端口:8010 服务:Wingate 说明:Wingate代理开放此端口。 端口:8080 服务:代理端口 说明:WWW代理开放此端口。 端口:9400、9401、9402 服务:[NULL] 说明:木马Incommand 1.0开放此端口。 端口:9872、9873、9874、9875、10067、10167 服务:[NULL] 说明:木马Portal of Doom开放此端口。 端口:9989 服务:[NULL] 说明:木马iNi-Killer开放此端口。 端口:11000 服务:[NULL] 说明:木马SennaSpy开放此端口。 端口:11223 服务:[NULL] 说明:木马Progenic trojan开放此端口。 端口:12076、61466 服务:[NULL] 说明:木马Telecommando开放此端口。 端口:12223 服务:[NULL] 说明:木马Hack"99 KeyLogger开放此端口。 端口:12345、12346 服务:[NULL] 说明:木马NetBus1.60/1.70、GabanBus开放此端口。 端口:12361 服务:[NULL] 说明:木马Whack-a-mole开放此端口。 端口:13223 服务:PowWow 说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。 端口:16969 服务:[NULL] 说明:木马Priority开放此端口。 端口:17027 服务:Conducent 说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。 端口:19191 服务:[NULL] 说明:木马蓝色火焰开放此端口。 端口:20000、20001 服务:[NULL] 说明:木马Millennium开放此端口。 端口:20034 服务:[NULL] 说明:木马NetBus Pro开放此端口。 端口:21554 服务:[NULL] 说明:木马GirlFriend开放此端口。 端口:22222 服务:[NULL] 说明:木马Prosiak开放此端口。 端口:23456 服务:[NULL] 说明:木马Evil FTP、Ugly FTP开放此端口。 端口:26274、47262 服务:[NULL] 说明:木马Delta开放此端口。 端口:27374 服务:[NULL] 说明:木马Subseven 2.1开放此端口。 端口:30100 服务:[NULL] 说明:木马NetSphere开放此端口。 端口:30303 服务:[NULL] 说明:木马Socket23开放此端口。 端口:30999 服务:[NULL] 说明:木马Kuang开放此端口。 端口:31337、31338 服务:[NULL] 说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。 端口:31339 服务:[NULL] 说明:木马NetSpy DK开放此端口。 端口:31666 服务:[NULL] 说明:木马BOWhack开放此端口。 端口:33333 服务:[NULL] 说明:木马Prosiak开放此端口。 端口:34324 服务:[NULL] 说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。 端口:40412 服务:[NULL] 说明:木马The Spy开放此端口。 端口:40421、40422、40423、40426、 服务:[NULL] 说明:木马Masters Paradise开放此端口。 端口:43210、54321 服务:[NULL] 说明:木马SchoolBus 1.0/2.0开放此端口。 端口:44445 服务:[NULL] 说明:木马Happypig开放此端口。 端口:50766 服务:[NULL] 说明:木马Fore开放此端口。 端口:53001 服务:[NULL] 说明:木马Remote Windows Shutdown开放此端口。 端口:65000 服务:[NULL] 说明:木马Devil 1.03开放此端口。 端口:88 说明:Kerberos krb5。另外TCP的88端口也是这个用途。 端口:137 说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。 端口:161 说明:Simple Network Management Protocol(SMTP)(简单网络管理协议)。 端口:162 说明:SNMP Trap(SNMP陷阱) 端口:445 说明:Common Internet File System(CIFS)(公共Internet文件系统) 端口:464 说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。 端口:500 说明:Internet Key Exchange(IKE)(Internet密钥交换) 端口:1645、1812 说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务) 端口:1646、1813 说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问)) 端口:1701 说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议) 端口:1801、3527 说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。 端口:2504 说明:Network Load Balancing(网络平衡负荷)
2023-07-07 08:04:073

关于TROJAN

检测和删除系统中的木马教程 一、木马(Trojan Horse)介绍 木马全称为特洛伊木马(Trojan Horse,英文则简称为Trojan)。此词语来源于古希腊的神话故事,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。 在计算机安全学中,特洛伊木马是指一种计算机程序,表面上或实际上有某种有用的功能,而含有隐藏的可以控制用户计算机系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上,木马也可以称为是计算机病毒。 由于很多用户对计算机安全问题了解不多,所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒,但它们并不能防范新出现的木马病毒(哪怕宣传上称有查杀未知病毒的功能)。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后,系统不能正常工作,或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的著名木马程序,新的查杀毒软件是连检查都检测不到,更不用说要删除它了(哪怕是使用的是的病毒库)。因此最关键的还是要知道特洛伊木马的工作原理,由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马,再根据其藏匿的方式对其进行删除。 二、木马工作的原理 在Windows系统中,木马一般作为一个网络服务程序在种了木马的机器后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。当该木马相应的客户端程序在此端口上请求连接时,它会与客户程序建立一TCP连接,从而被客户端远程控制。 既然是木马,当然不会那么容易让你看出破绽,对于程序设计人员来说,要隐藏自己所设计的窗口程序,主要途径有:在任务栏中将窗口隐藏,这个只要把 Form的Visible属性调整为False,ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身,只要将程序调整为系统服务程序就可以了。 好了,现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行,那么它就要乘计算机刚开机的时候得到运行,进而常驻内存中。想一想,Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢?你可能会想到“开始->程序->启动”中的项目!没错,这是Windows启动时要运行的东西,但要是木马服务器程序明显地放在这就不叫木马了。 木马基本上采用了Windows系统启动时自动加载应用程序的方法,包括有win.ini、system.ini和注册表等。 在win.ini文件中,[WINDOWS]下面,“run=”和“load=”行是Windows启动时要自动加载运行的程序项目,木马可能会在这现出原形。必须要仔细观察它们,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目,那么你的计算机就可能中上木马了。当然你也得看清楚,因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan,它把自身伪装成command.exe文件,如果不注意可能不会发现它,而误认它为正常的系统启动文件项。 在system.ini文件中,[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是 explorer.exe,而是“shell=Explorer.exe 程序名”,那么后面跟着的那个程序就是木马程序,明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件,这样的话,这里看起来还是正常的,无法瞧出破绽。 隐蔽性强的木马都在注册表中作文章,因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。 HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT,那还得注意HKEY-LOCAL-MACHINESoftwareSAM下的东西,通过regedit等注册表编辑工具查看SAM主键,里面下应该是空的。 木马驻留计算机以后,还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接(一般为TCP连接),通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测,在第三部分有详细介绍。 三、检测木马的存在 知道木马启动运行、工作的原理,我们就可以着手来看看自己的计算机有没有木马存在了。 首先,查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。 1、查看system.ini文件 选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe” ,如果不是这样,就可能中了木马了。下图所示为正常时的情况: 2、查看win.ini文件 选中win.ini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空 3、查看启动组 再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词, 极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都 屏蔽掉了 4、查看注册表 由“开始-运行”,输入regedit,确定就可以运行注册表编辑器。再展开至: “HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己 不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的 服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入 Explorer=“CWINDOWSexpiorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母 的差别! 通过类似的方法对下列各个主键下面的键值进行检查: HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 如果操作系统是Windows NT,还得注意HKEY-LOCAL-MACHINESoftwareSAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。 当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER SoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS****Software MicrosoftWindowsCurrentVersionRun的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINESoftwareMicrosoftWindowsCurrentVersionRun或其它主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。 如果有留意,注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。 4、其它方法 上网过程中,在进行一些计算机正常使用操作时,发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。 如果怀疑你现在正在被木马控制,那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话,最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法: 由“开始->运行”,输入command,确定,开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示: 显示出来的结果表示为四列,其意思分别为Proto:协议,Local Address:本地地址,Foreign Address :远程地址,State:状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常(比如大于5000 ),而Foreign Address中的地址又不为正常网络浏览的地址,那么可以判断你的机器正被 Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非 法连接你计算机的木马客户端。 当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat命令将看不 到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口 。对于Windows98来说,正常情况下,会出现如下的一些处于监听状态的端口(安装有NETBEUI协议): 如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络服务操作,那么在监听该 端口的就是特洛伊木马了!如下图所示的23456和23457端口都处于监听状态,很明显是木马造成的。 注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)没有运行任何 网络冲浪软件,也没有进行过任何网络操作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。 四、删除木马 好了,用上面的一些方法发现自己的计算机中了木马,那怎么办?当然要将木马删除了,难道还要保留它!首先要将网络断开,以排除来自网络的影响,再选择相应的方法来删除它。 1、由木马的客户端程序 由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等,很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序,下载并运行该程序,在客户程序对应位置填入本地计算机地址: 127.0.0.1和端口号,就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a”命令查出来。 这是最容易,相对来说也比较彻底载除木马的方法。不过也存在一些弊端,如果木马文件名给另外改了名字,就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码,既使客户端程序可以连接的上,没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码,那就另当别论了。还有,要是该木马的客户端程序没有提供卸载木马的功能,那么该方法就没什么用了。当然,现在多数木马客户端程序都是有这个功能的。 2、手工 不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......,那我们就手工慢慢来删除这该死的木马吧。 用msconfig打开系统配置实用程序,对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中,将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”;编辑system.ini文件,将 [BOOT]下面的“shell=xxx”,更改为:“shell=Explorer.exe”。 转贴于 华夏黑客同盟 http://www.77169.org 用regedit打开注册表编辑器,对注册表进行编辑。先由上面的方法找到木马的程序名,再在整个注册表中搜索,并删除所有木马项目。由查找到的木马程序注册项,分析木马文件在硬盘中的位置(多在C:WINDOWS和C:WINDOWSCOMMAND目录下)。启动到纯MS-DOS状态(而不是在Windows环境中开个MS-DOS窗口),用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件,还得通过“attrib -s -h -r”将对应文件的属性改变,才可以删除。 为保险起见,重新启动以后再由上面各种检测木马的方法对系统进行检查,以确保木马的确被删除了。 目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定(也就是感染了系统文件)。比如常用到的Explorer.exe,只要 Explorer.exe一得到运行,木马也就启动了。这种木马可以感染可执行文件,那就更象病毒了。由手工删除文件的方法处理木马后,一运行 Explorer.exe,木马又得以复生!这时要删除木马就得连Explorer.exe文件也给删除掉,再从别人相同操作系统版本的计算机中将该文件 Copy过来就可以了。 五、结束语 Internet上每天都有新的木马冒出来,所采取的隐蔽措施也是五花八门。在信息社会里,计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展,本文所讲述的检测、删除木马方法也总有一天会失效,最主要还是要靠用户提高警惕,防范所有的不安全事件于未然。 典型案例一: 我的机器已中了木马病毒Trojan.TRC.mIRC.f 是在c:WINNTsystem32sy5tem文件中,我想要把文件删掉,可是提示为:源文件正在被使用,瑞星杀毒软件又不能杀掉,我的系统是win2oooprofessinal,并不能运行msconfig命令,请教:该怎么办? 回复: 从Windows XP中剥离的Msconfig程序完全可以在Windows 2000中使用。顺便提供 pchome下载点。 把它COPY 到Win2000的WinntSystem目录下,然后直接运行。 程序首先会弹出一个出错的消息框,提示找不到以下几个系统文件:Config.sys、Autoexec.bat、System.ini 及Win.ini,“忽略”它,点击“确定”之后就会看到 Msconfig 程序窗口。 参考文献:http://www.enet.com.cn/article
2023-07-07 08:04:241

端口号的类型有什么,好像有tcp,udp,请问有没有http的呢?

没有,
2023-07-07 08:04:401

能详细的说说入侵别人的电脑的步骤和原理

我们自然先来看看“黑客”常用的攻击方法。“黑客”的攻击方法可以是你所接触到的任何东西:从键盘到硬盘,从诈骗到轰炸。下面我们就逐一列举这些问题。 1. 键盘 是不是感觉到很奇怪,为什么把键盘放在第一位呢?键盘也会遭到攻击吗?很简单,键盘是我们与外界进行沟通的重要桥梁,我们要通过它输入大量的信息,所以许多“黑客”软件都把这只“黑暗中的眼睛”放在了这里。通过记录键盘的活动,可以很容易地得到很多有价值的东西,例如密码、谈话内容。 解决办法:对付这些东西,最好的办法还是使用杀毒软件。如果杀毒软件带有病毒防火墙,需要注意下载最新的防火墙的版本。 2.浏览器 我们上网肯定离不开浏览器,这也是泄漏秘密的“好地方”。浏览器的漏洞主要是IE缓存的问题以及cookie的问题,尤其是cookie,有的cookie里面包含了你的登录网站名称、登录时间甚至登录密码。“踏雪无痕”这类软件就是专门查看cookie的“黑客”软件。 解决办法:点“internet选项”、“删除文件”把缓存彻底删除掉. 3. 腾讯OICQ. 现在哪家网吧会把腾讯OICQ拒之门外呢?正因为腾讯OICQ的广泛使用,腾讯OICQ每一个新版本的发布都受到众多的“黑客”的关注。从嗅探器、键盘记录器、轰炸器到偷看聊天记录等攻击方式,让人防不胜防。 解决办法:腾讯OICQ的更新速度非常快,所以要注意下载使用最新版本;在OICQ中点“系统参数”、“网络安全设置”、“拒绝陌生人信息”就可以对付OICQ的轰炸;还应该设置“使用本地信息加密”。 4. 网页浏览 浏览网页是我们获取网上信息的重要方法之一,对于网页浏览需要注意以下几点:登录免费信箱的时候尽量到指定的网站上去登录,不要在个人主页上登录,因为该网站很可能会记录下你的用户名和口令。对付无限制弹出窗口的网页(这是网页浏览时的恶作剧,可以让你的机器死机),可以先按住“Crtl+Alt+Del”键,把“EXPLORER”窗口关闭,然后再修改“Internet”选项,禁止执行Java。对于网页中插入的ActiveX,当提示下载安装的时候一定要看清除是否签名,如果没有签名就存在包含木马的可能性。尽量到知名的下载网站去下载软件,对下载的软件最好先杀毒。 5. 硬盘共享 网吧等于一个局域网,所以对于网络硬盘的共享一定要注意,尤其是硬盘的写权限千万开不得。最好把所有的硬盘全部设置为不共享。 6. 拷贝粘贴 我们有时候会大量地使用拷贝粘贴功能来复制文件和文字。当离开机器的时候最好把剪贴板清空,尤其要注意是否使用了某些剪贴板增强工具,这些工具通常会自动记录你所拷贝的文件数量和内容,即便是非正常关机都不会消失。 7.遗留文件 不要随便打开别人遗留下来的文件。好奇心并非总是好事。“黑客”为了使普通用户去掉戒备之心,总是利用大家最常见或者喜好的东西来骗人上当。一个图标是WINZIP的文件实际上却可能是一个木马;一款漂亮的FLASH动画背后可能隐藏了许多不为人所知的“勾当”。 8.异常变化 最后,注意计算机的异常变化。当你正在聊天的时候,突然鼠标不听你指挥了,或者计算机突然重新启动了,又或者突然出现一个新的窗口等,这些迹象表明你使用的计算机遭到了别人的控制。最好的防范办法,是下载天网个人防火墙,切断与网络的连接,天网同时也会自动记录下入侵者的IP。 9.端口 你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑. 黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,rylxk11就让你利用软件如何发现自己电脑中的木马 再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,rylxk11已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要进一步查找木马. rylxk11曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口. 前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首显灰个端口扫描器,rylxk11推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。 扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得----在硬盘上删除木马 最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。 下面就netbus木马为例讲讲删除的经过. 简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。 Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。 另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。 SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,rylxk11倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。 而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。rylxk11在自己的电脑中做了这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。 有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中还是暴露了。 好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中. 你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。?nbsp; 排除了木马以后,你就可以监视端口,悄悄等待黑客的来临 介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
2023-07-07 08:04:562

黑客都从什么方面入侵电脑

我们自然先来看看“黑客”常用的攻击方法。“黑客”的攻击方法可以是你所接触到的任何东西:从键盘到硬盘,从诈骗到轰炸。下面我们就逐一列举这些问题。 1. 键盘 是不是感觉到很奇怪,为什么把键盘放在第一位呢?键盘也会遭到攻击吗?很简单,键盘是我们与外界进行沟通的重要桥梁,我们要通过它输入大量的信息,所以许多“黑客”软件都把这只“黑暗中的眼睛”放在了这里。通过记录键盘的活动,可以很容易地得到很多有价值的东西,例如密码、谈话内容。 解决办法:对付这些东西,最好的办法还是使用杀毒软件。如果杀毒软件带有病毒防火墙,需要注意下载最新的防火墙的版本。 2.浏览器 我们上网肯定离不开浏览器,这也是泄漏秘密的“好地方”。浏览器的漏洞主要是IE缓存的问题以及cookie的问题,尤其是cookie,有的cookie里面包含了你的登录网站名称、登录时间甚至登录密码。“踏雪无痕”这类软件就是专门查看cookie的“黑客”软件。 解决办法:点“internet选项”、“删除文件”把缓存彻底删除掉. 3. 腾讯OICQ. 现在哪家网吧会把腾讯OICQ拒之门外呢?正因为腾讯OICQ的广泛使用,腾讯OICQ每一个新版本的发布都受到众多的“黑客”的关注。从嗅探器、键盘记录器、轰炸器到偷看聊天记录等攻击方式,让人防不胜防。 解决办法:腾讯OICQ的更新速度非常快,所以要注意下载使用最新版本;在OICQ中点“系统参数”、“网络安全设置”、“拒绝陌生人信息”就可以对付OICQ的轰炸;还应该设置“使用本地信息加密”。 4. 网页浏览 浏览网页是我们获取网上信息的重要方法之一,对于网页浏览需要注意以下几点:登录免费信箱的时候尽量到指定的网站上去登录,不要在个人主页上登录,因为该网站很可能会记录下你的用户名和口令。对付无限制弹出窗口的网页(这是网页浏览时的恶作剧,可以让你的机器死机),可以先按住“Crtl+Alt+Del”键,把“EXPLORER”窗口关闭,然后再修改“Internet”选项,禁止执行Java。对于网页中插入的ActiveX,当提示下载安装的时候一定要看清除是否签名,如果没有签名就存在包含木马的可能性。尽量到知名的下载网站去下载软件,对下载的软件最好先杀毒。 5. 硬盘共享 网吧等于一个局域网,所以对于网络硬盘的共享一定要注意,尤其是硬盘的写权限千万开不得。最好把所有的硬盘全部设置为不共享。 6. 拷贝粘贴 我们有时候会大量地使用拷贝粘贴功能来复制文件和文字。当离开机器的时候最好把剪贴板清空,尤其要注意是否使用了某些剪贴板增强工具,这些工具通常会自动记录你所拷贝的文件数量和内容,即便是非正常关机都不会消失。 7.遗留文件 不要随便打开别人遗留下来的文件。好奇心并非总是好事。“黑客”为了使普通用户去掉戒备之心,总是利用大家最常见或者喜好的东西来骗人上当。一个图标是WINZIP的文件实际上却可能是一个木马;一款漂亮的FLASH动画背后可能隐藏了许多不为人所知的“勾当”。 8.异常变化 最后,注意计算机的异常变化。当你正在聊天的时候,突然鼠标不听你指挥了,或者计算机突然重新启动了,又或者突然出现一个新的窗口等,这些迹象表明你使用的计算机遭到了别人的控制。最好的防范办法,是下载天网个人防火墙,切断与网络的连接,天网同时也会自动记录下入侵者的IP。 9.端口 你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑. 黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,rylxk11就让你利用软件如何发现自己电脑中的木马 再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,rylxk11已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要进一步查找木马. rylxk11曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口. 前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首显灰个端口扫描器,rylxk11推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。 扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得----在硬盘上删除木马 最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。 下面就netbus木马为例讲讲删除的经过. 简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。 Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。 另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。 SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,rylxk11倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。 而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。rylxk11在自己的电脑中做了这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。 有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中还是暴露了。 好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中. 你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。?nbsp; 排除了木马以后,你就可以监视端口,悄悄等待黑客的来临 介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
2023-07-07 08:05:154

病毒的种类有多少?

从第一个病毒出世以来,究竟世界上有多少种病毒,说法不一。无论多少种,病毒的数量仍在不断增加。据国外统计,计算机病毒以10种/周的速度递增,另据我国公安部统计,国内以4种/月的速度递增。如此多的种类,做一下分类可更好地了解它们。 按传染方式分为:引导型病毒、文件型病毒和混合型病毒。文件型病毒一般只传染磁盘上的可执行文件(COM,EXE)。在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。这是较为常见的传染方式。 混合型病毒兼有以上两种病毒的特点,既染引导区又染文件,因此扩大了这种病毒的传染途径(如97年国内流行较广的"TPVO-3783(SPY)" )。 按连接方式分为:源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。 源码病毒较为少见,亦难以编写。因为它要攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。 入侵型病毒可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。 操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。 外壳病毒将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。 按破坏性可分为:良性病毒,恶性病毒。下面再做介绍。 新兴一族:宏病毒。宏病毒是近两年才出现的,如分类它可算做文件型。在下面会对其专门介绍。 别一分类法是按照基本类型划分,可归结为6种类型: 一、引导型病毒 引导型病毒主要是感染软盘、硬盘的引导扇区或主引导扇区。在用户对软盘、硬盘进行读写动作时进行感染活动。在我国流行的引导型病毒有Anti-CMOS、GENP/GENB、Stone、 6.4、Torch、Monkey等。 引导型病毒感染软盘时并不理会该软盘是否为可启动的系统盘,因此一般的数据盘也会被感染。在系统重新启动时首先尝试读A:盘,当染有引导区病毒的软盘插在A:驱动器中,只要软盘的引导扇区内容被读进PC机,即使启动不成功,病毒也已经驻留在内存中,可以继续去感染硬盘和其他未染病毒的软盘了。 二、可执行文件病毒 可执行文件病毒主要是感染可执行文件(对于DOS或Windows来说是感染COM和EXE等可执行文件)。被感染的可执行文件在执行的同时,病毒被加载并向其他正常的可执行文件传染。像在我国流行的Die_Hard、DIR Ⅱ和感染Windows 95/98操作系统的CIH、HPS、Murburg,以及感染NT操作系统的Infis、RE等病毒都属此列。 文件型病毒与引导型病毒工作的方式是完全不同的,在各种PC机病毒中,文件型病毒占的数目最大,传播最广,采用的技巧也多。而且,各种文件型病毒的破坏性也各不相同,如令中国用户大受损失的CIH病毒,是通过感染系统的可执行文件,同时利用Windows系统的VxD技术,破坏计算机BIOS,使计算机无法启动。 三、宏病毒 宏病毒是利用宏语言编制的病毒,与前两种病毒存在很大的区别。宏病毒充分利用宏命令的强大系统调用功能,实现某些涉及系统底层操作的破坏。宏病毒仅向Word、Excel和Access、PowerPoint、Project等办公自动化程序编制的文档进行传染,而不会传染给可执行文件。在我国流行的宏病毒有:TaiWan1、Concept、Simple2、ethan、“7月杀手”等,我们所说的蠕虫病毒也应纳入宏病毒范围。蠕虫病毒能通过网络邮件系统快速自动扩散传播,在短时间内造成大面积网络阻塞。今年的“美丽杀手”之类蠕虫病毒及其变种就曾造成轰动世界的互联网络瘫痪事件。 四、混合型病毒 混合型病毒是以上几种病毒的混合。混合型病毒的目的是为了综合利用以上3种病毒的传染渠道进行破坏。在我国流行的混合型病毒有One_half、Casper、Natas、Flip等。 混合型病毒不仅传染可执行文件而且还传染硬盘引导区,被这种病毒传染的系统用Format命令格式化硬盘都不能消除病毒。 五、特洛伊木马型病毒 特洛伊木马型病毒也叫“黑客程序”或后门病毒,应该属于文件型病毒的一种。但是由于我国公安部门已于1998年底向全国发出通告,提醒广大计算机用户注意防范此类特洛伊木马病毒,所以在此我们将其单独列为一种。一般此种病毒分成服务器端和客户端两部分,如计算机网络中服务器端被此程序感染,别人可通过网络任意控制此计算机,并获得重要文件。在我国流行的此类病毒有BO、Netspy等。 六、Internet语言病毒 随着Internet的发展,Java、VB和ActiveX的网页技术逐渐被广泛使用,某些不良用心的人便利用Java、VB和ActiveX的特性来撰写病毒。这些病毒虽然从现在的发展情况来看并不能破坏硬盘上的资料,但是如果用户使用浏览器来浏览含有这些病毒的网页,使用者就在神不知鬼不觉的状态下,让病毒进入机器进行复制,并通过网络窃取宝贵的个人秘密信息或使计算机系统资源利用率下降,造成死机等现象.
2023-07-07 08:06:028

电脑连上网络了不能上网 打开qq出现一个英文字母的小弹窗

我们自然先来看看“黑客”常用的攻击方法。“黑客”的攻击方法可以是你所接触到的任何东西:从键盘到硬盘,从诈骗到轰炸。下面我们就逐一列举这些问题。 1. 键盘 是不是感觉到很奇怪,为什么把键盘放在第一位呢?键盘也会遭到攻击吗?很简单,键盘是我们与外界进行沟通的重要桥梁,我们要通过它输入大量的信息,所以许多“黑客”软件都把这只“黑暗中的眼睛”放在了这里。通过记录键盘的活动,可以很容易地得到很多有价值的东西,例如密码、谈话内容。 解决办法:对付这些东西,最好的办法还是使用杀毒软件。如果杀毒软件带有病毒防火墙,需要注意下载最新的防火墙的版本。 2.浏览器 我们上网肯定离不开浏览器,这也是泄漏秘密的“好地方”。浏览器的漏洞主要是IE缓存的问题以及cookie的问题,尤其是cookie,有的cookie里面包含了你的登录网站名称、登录时间甚至登录密码。“踏雪无痕”这类软件就是专门查看cookie的“黑客”软件。 解决办法:点“internet选项”、“删除文件”把缓存彻底删除掉. 3. 腾讯OICQ. 现在哪家网吧会把腾讯OICQ拒之门外呢?正因为腾讯OICQ的广泛使用,腾讯OICQ每一个新版本的发布都受到众多的“黑客”的关注。从嗅探器、键盘记录器、轰炸器到偷看聊天记录等攻击方式,让人防不胜防。 解决办法:腾讯OICQ的更新速度非常快,所以要注意下载使用最新版本;在OICQ中点“系统参数”、“网络安全设置”、“拒绝陌生人信息”就可以对付OICQ的轰炸;还应该设置“使用本地信息加密”。 4. 网页浏览 浏览网页是我们获取网上信息的重要方法之一,对于网页浏览需要注意以下几点:登录免费信箱的时候尽量到指定的网站上去登录,不要在个人主页上登录,因为该网站很可能会记录下你的用户名和口令。对付无限制弹出窗口的网页(这是网页浏览时的恶作剧,可以让你的机器死机),可以先按住“Crtl+Alt+Del”键,把“EXPLORER”窗口关闭,然后再修改“Internet”选项,禁止执行Java。对于网页中插入的ActiveX,当提示下载安装的时候一定要看清除是否签名,如果没有签名就存在包含木马的可能性。尽量到知名的下载网站去下载软件,对下载的软件最好先杀毒。 5. 硬盘共享 网吧等于一个局域网,所以对于网络硬盘的共享一定要注意,尤其是硬盘的写权限千万开不得。最好把所有的硬盘全部设置为不共享。 6. 拷贝粘贴 我们有时候会大量地使用拷贝粘贴功能来复制文件和文字。当离开机器的时候最好把剪贴板清空,尤其要注意是否使用了某些剪贴板增强工具,这些工具通常会自动记录你所拷贝的文件数量和内容,即便是非正常关机都不会消失。 7.遗留文件 不要随便打开别人遗留下来的文件。好奇心并非总是好事。“黑客”为了使普通用户去掉戒备之心,总是利用大家最常见或者喜好的东西来骗人上当。一个图标是WINZIP的文件实际上却可能是一个木马;一款漂亮的FLASH动画背后可能隐藏了许多不为人所知的“勾当”。 8.异常变化 最后,注意计算机的异常变化。当你正在聊天的时候,突然鼠标不听你指挥了,或者计算机突然重新启动了,又或者突然出现一个新的窗口等,这些迹象表明你使用的计算机遭到了别人的控制。最好的防范办法,是下载天网个人防火墙,切断与网络的连接,天网同时也会自动记录下入侵者的IP。 9.端口 你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑. 黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,rylxk11就让你利用软件如何发现自己电脑中的木马 再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,rylxk11已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要进一步查找木马. rylxk11曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口. 前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首显灰个端口扫描器,rylxk11推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。 扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得----在硬盘上删除木马 最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。 下面就netbus木马为例讲讲删除的经过. 简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。 Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。 另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。 SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,rylxk11倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。 而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。rylxk11在自己的电脑中做了这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。 有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中还是暴露了。 好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中. 你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。?nbsp; 排除了木马以后,你就可以监视端口,悄悄等待黑客的来临 介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
2023-07-07 08:06:182

Windows端口的Windows端口大全

说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。端口:1服务:tcpmux说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。端口:7服务:Echo说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。端口:19服务:Character Generator说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。端口:20服务:FTP说明:20端口是用于FTP数据传输的默认端口号 。端口:21服务:FTP说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。端口:22服务:Ssh说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。端口:23服务:Telnet说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。端口:25服务:SMTP说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。端口:31服务:MSG Authentication说明:木马Master Paradise、Hackers Paradise开放此端口。端口:42服务:WINS Replication说明:WINS复制端口:53服务:Domain Name Server(DNS)说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此_blank>防火墙常常过滤或记录此端口。端口:67服务:Bootstrap Protocol Server说明:通过DSL和Cable modem的_blank>防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。 HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。端口:69服务:Trival File Transfer说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。端口:79服务:Finger Server说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。端口:80服务:HTTP说明:用于网页浏览。木马Executor开放此端口。端口:99服务:Metagram Relay说明:后门程序ncx99开放此端口。端口:102服务:Message transfer agent(MTA)-X.400 over TCP/IP说明:消息传输代理。端口:110服务:Post Office Protocol -Version3说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。端口:113服务:Authentication Service说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过_blank>防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在_blank>防火墙另一边与E-MAIL服务器的缓慢连接。许多_blank>防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。端口:119服务:Network News Transfer Protocol说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。端口:135服务:Location Service说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。端口:137、138、139服务:NETBIOS Name Service说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。端口:143服务:Interim Mail Access Protocol v2说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。端口:161服务:SNMP说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在 Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。端口:177服务:X Display Manager Control Protocol说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。端口:389服务:LDAP、ILS说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。端口:443服务:Https说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。端口:456服务:[NULL]说明:木马HACKERS PARADISE开放此端口。端口:513服务:Login,remote login说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。端口:544服务:[NULL]说明:kerberos kshell端口:548服务:Macintosh,File Services(AFP/IP)说明:Macintosh,文件服务。端口:553服务:CORBA IIOP (UDP)说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。端口:555服务:DSF说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。端口:568服务:Membership DPA说明:成员资格 DPA。端口:569服务:Membership MSN说明:成员资格 MSN。端口:635服务:mountd说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于 2049端口。端口:636服务:LDAP说明:SSL(Secure Sockets layer)端口:666服务:Doom Id Software说明:木马Attack FTP、Satanz Backdoor开放此端口端口:993服务:IMAP说明:SSL(Secure Sockets layer)端口:1001、1011服务:[NULL]说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。端口:1024服务:Reserved说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。端口:1025、1033服务:1025:network blackjack 1033:[NULL]说明:木马netspy开放这2个端口。端口:1080服务:SOCKS说明:这一协议以通道方式穿过_blank>防火墙,允许_blank>防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于_blank>防火墙外部的攻击穿过 _blank>防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。端口:1170服务:[NULL]说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。端口:1234、1243、6711、6776服务:[NULL]说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。端口:1245服务:[NULL]说明:木马Vodoo开放此端口。端口:1433服务:SQL说明:Microsoft的SQL服务开放的端口。端口:1492服务:stone-design-1说明:木马FTP99CMP开放此端口。端口:1500服务:RPC client fixed port session queries说明:RPC客户固定端口会话查询端口:1503服务:NetMeeting T.120说明:NetMeeting T.120端口:1524服务:ingress说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了 _blank>防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个 SHELL。连接到600/pcserver也存在这个问题。端口:1600服务:issd说明:木马Shivka-Burka开放此端口。端口:1720服务:NetMeeting说明:NetMeeting H.233 call Setup。端口:1731服务:NetMeeting Audio Call Control说明:NetMeeting音频调用控制。端口:1807服务:[NULL]说明:木马SpySender开放此端口。端口:1981服务:[NULL]说明:木马ShockRave开放此端口。端口:1999服务:cisco identification port说明:木马BackDoor开放此端口。端口:2000服务:[NULL]说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。端口:2001服务:[NULL]说明:木马Millenium 1.0、Trojan Cow开放此端口。端口:2023服务:xinuexpansion 4说明:木马Pass Ripper开放此端口。端口:2049服务:NFS说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。端口:2115服务:[NULL]说明:木马Bugs开放此端口。端口:2140、3150服务:[NULL]说明:木马Deep Throat 1.0/3.0开放此端口。端口:2500服务:RPC client using a fixed port session replication说明:应用固定端口会话复制的RPC客户端口:2583服务:[NULL]说明:木马Wincrash 2.0开放此端口。端口:2801服务:[NULL]说明:木马Phineas Phucker开放此端口。端口:3024、4092服务:[NULL]说明:木马WinCrash开放此端口。端口:3128服务:squid说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、 8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。端口:3129服务:[NULL]说明:木马Master Paradise开放此端口。端口:3150服务:[NULL]说明:木马The Invasor开放此端口。端口:3210、4321服务:[NULL]说明:木马SchoolBus开放此端口端口:3333服务:dec-notes说明:木马Prosiak开放此端口端口:3389服务:超级终端说明:WINDOWS 2000终端开放此端口。端口:3700服务:[NULL]说明:木马Portal of Doom开放此端口端口:3996、4060服务:[NULL]说明:木马RemoteAnything开放此端口端口:4000服务:QQ客户端说明:腾讯QQ客户端开放此端口。端口:4092服务:[NULL]说明:木马WinCrash开放此端口。端口:4590服务:[NULL]说明:木马ICQTrojan开放此端口。端口:4899服务:r_server说明:RAMIN开放此端口。端口:5000、5001、5321、50505服务:[NULL]说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。端口:5400、5401、5402服务:[NULL]说明:木马Blade Runner开放此端口。端口:5550服务:[NULL]说明:木马xtcp开放此端口。端口:5569服务:[NULL]说明:木马Robo-Hack开放此端口。端口:5632服务:pcAnywere说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。端口:5742服务:[NULL]说明:木马WinCrash1.03开放此端口。端口:6267服务:[NULL]说明:木马广外女生开放此端口。端口:6400服务:[NULL]说明:木马The tHing开放此端口。端口:6670、6671服务:[NULL]说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。端口:6883服务:[NULL]说明:木马DeltaSource开放此端口。端口:6969服务:[NULL]说明:木马Gatecrasher、Priority开放此端口。端口:6970服务:RealAudio说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。端口:7000服务:[NULL]说明:木马Remote Grab开放此端口。端口:7300、7301、7306、7307、7308服务:[NULL]说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。端口:7323服务:[NULL]说明:Sygate服务器端。端口:7626服务:[NULL]说明:木马Giscier开放此端口。冰河也开放此端口端口:7789服务:[NULL]说明:木马ICKiller开放此端口。端口:8000服务:OICQ说明:腾讯QQ服务器端开放此端口。灰鸽子木马也开放此端口端口:8010服务:Wingate说明:Wingate代理开放此端口。端口:8080服务:代理端口说明:WWW代理开放此端口。端口:9400、9401、9402服务:[NULL]说明:木马Incommand 1.0开放此端口。端口:9872、9873、9874、9875、10067、10167服务:[NULL]说明:木马Portal of Doom开放此端口。端口:9989服务:[NULL]说明:木马iNi-Killer开放此端口。端口:11000服务:[NULL]说明:木马SennaSpy开放此端口。端口:11223服务:[NULL]说明:木马Progenic trojan开放此端口。端口:12076、61466服务:[NULL]说明:木马Telecommando开放此端口。端口:12223服务:[NULL]说明:木马Hack"99 KeyLogger开放此端口。端口:12345、12346服务:[NULL]说明:木马NetBus1.60/1.70、GabanBus开放此端口。端口:12361服务:[NULL]说明:木马Whack-a-mole开放此端口。端口:13223服务:PowWow说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好像有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。端口:16969服务:[NULL]说明:木马Priority开放此端口。端口:17027服务:Conducent说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducentadbot的共享软件。Conducentadbot是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。端口:19191服务:[NULL]说明:木马蓝色火焰开放此端口。端口:20000、20001服务:[NULL]说明:木马Millennium开放此端口。端口:20034服务:[NULL]说明:木马NetBus Pro开放此端口。端口:21554服务:[NULL]说明:木马GirlFriend开放此端口。端口:22222服务:[NULL]说明:木马Prosiak开放此端口。端口:23456服务:[NULL]说明:木马Evil FTP、Ugly FTP开放此端口。端口:26274、47262服务:[NULL]说明:木马Delta开放此端口。端口:27374服务:[NULL]说明:木马Subseven 2.1开放此端口。端口:30100服务:[NULL]说明:木马NetSphere开放此端口。端口:30303服务:[NULL]说明:木马Socket23开放此端口。端口:30999服务:[NULL]说明:木马Kuang开放此端口。端口:31337、31338服务:[NULL]说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。端口:31339服务:[NULL]说明:木马NetSpy DK开放此端口。端口:31666服务:[NULL]说明:木马BOWhack开放此端口。端口:33333服务:[NULL]说明:木马Prosiak开放此端口。端口:34324服务:[NULL]说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。端口:40412服务:[NULL]说明:木马The Spy开放此端口。端口:40421、40422、40423、40426、服务:[NULL]说明:木马Masters Paradise开放此端口。端口:43210、54321服务:[NULL]说明:木马SchoolBus 1.0/2.0开放此端口。端口:44445服务:[NULL]说明:木马Happypig开放此端口。端口:50766服务:[NULL]说明:木马Fore开放此端口。端口:53001服务:[NULL]说明:木马Remote Windows Shutdown开放此端口。端口:65000服务:[NULL]说明:木马Devil 1.03开放此端口。
2023-07-07 08:06:271

我宁愿当傻瓜什么都不知道/。英文怎样讲呢? 知道的说下谢勒!

我们自然先来看看“黑客”常用的攻击方法。“黑客”的攻击方法可以是你所接触到的任何东西:从键盘到硬盘,从诈骗到轰炸。下面我们就逐一列举这些问题。 1. 键盘 是不是感觉到很奇怪,为什么把键盘放在第一位呢?键盘也会遭到攻击吗?很简单,键盘是我们与外界进行沟通的重要桥梁,我们要通过它输入大量的信息,所以许多“黑客”软件都把这只“黑暗中的眼睛”放在了这里。通过记录键盘的活动,可以很容易地得到很多有价值的东西,例如密码、谈话内容。 解决办法:对付这些东西,最好的办法还是使用杀毒软件。杀毒软件带有病毒防火墙,需要注意下载最新的防火墙的版本。 2.浏览器 我们上网肯定离不开浏览器,这也是泄漏秘密的“好地方”。浏览器的漏洞主要是IE缓存的问题以及cookie的问题,尤其是cookie,有的cookie里面包含了你的登录网站名称、登录时间甚至登录密码。“踏雪无痕”这类软件就是专门查看cookie的“黑客”软件。 解决办法:点“internet选项”、“删除文件”把缓存彻底删除掉. 3. 腾讯OICQ. 现在哪家网吧会把腾讯OICQ拒之门外呢?正因为腾讯OICQ的广泛使用,腾讯OICQ每一个新版本的发布都受到众多的“黑客”的关注。从嗅探器、键盘记录器、轰炸器到偷看聊天记录等攻击方式,让人防不胜防。 解决办法:腾讯OICQ的更新速度非常快,所以要注意下载使用最新版本;在OICQ中点“系统参数”、“网络安全设置”、“拒绝陌生人信息”就可以对付OICQ的轰炸;还应该设置“使用本地信息加密”。 4. 网页浏览 浏览网页是我们获取网上信息的重要方法之一,对于网页浏览需要注意以下几点:登录免费信箱的时候尽量到指定的网站上去登录,不要在个人主页上登录,因为该网站很可能会记录下你的用户名和口令。对付无限制弹出窗口的网页(这是网页浏览时的恶作剧,可以让你的机器死机),可以先按住“Crtl Alt Del”键,把“EXPLORER”窗口关闭,再修改“Internet”选项,禁止执行Java。对于网页中插入的ActiveX,当提示下载安装的时候一定要看清除是否签名,没有签名就存在包含木马的可能性。尽量到知名的下载网站去下载软件,对下载的软件最好先杀毒。 5. 硬盘共享 网吧等于一个局域网,所以对于网络硬盘的共享一定要注意,尤其是硬盘的写权限千万开不得。最好把所有的硬盘全部设置为不共享。 6. 拷贝粘贴 我们有时候会大量地使用拷贝粘贴功能来复制文件和文字。当离开机器的时候最好把剪贴板清空,尤其要注意是否使用了某些剪贴板增强工具,这些工具通常会自动记录你所拷贝的文件数量和内容,即便是非正常关机都不会消失。 7.遗留文件 不要随便打开别人遗留下来的文件。好奇心并非总是好事。“黑客”为了使普通用户去掉戒备之心,总是利用大家最常见或者喜好的东西来骗人上当。一个图标是WINZIP的文件实际上却可能是一个木马;一款漂亮的FLASH动画背后可能隐藏了许多不为人所知的“勾当”。 8.异常变化 最后,注意计算机的异常变化。当你正在聊天的时候,突然鼠标不听你指挥了,或者计算机突然重新启动了,又或者突然出现一个新的窗口等,这些迹象表明你使用的计算机遭到了别人的控制。最好的防范办法,是下载天网个人防火墙,切断与网络的连接,天网同时也会自动记录下入侵者的IP。 9.端口 你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑. 黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,rylxk11就让你利用软件如何发现自己电脑中的木马 再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),打开浏览器,在浏览器的地址栏中输入 ,浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,rylxk11已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要进一步查找木马. rylxk11曾经做了一个试验:我知道netspy.exe开放的是7306端口,我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口. 前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首显灰个端口扫描器,rylxk11推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,让代理猎手对0到65535端口扫描,除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。 扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,判定自己的电脑中了木马,那么,你就得----在硬盘上删除木马 最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。 下面就netbus木马为例讲讲删除的经过. 简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。 Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。 另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。 SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,有人认为这是傻瓜木马,rylxk11倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。 而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。rylxk11在自己的电脑中做了这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。 有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中还是暴露了。 好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中. 你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。?nbsp; 排除了木马以后,你就可以监视端口,悄悄等待黑客的来临 介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。当然,步痕旅游网想法:不要在黑夜里接触黑色人种http://udmoz.cn/search.aspx?key=%CE%D2%C4%FE%D4%B8%B5%B1%C9%B5%B9%CF%CA%B2%C3%B4%B6%BC%B2%BB
2023-07-07 08:06:418

如何查看端口+如何关闭开放端口

查看端口在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。小知识:Netstat命令用法命令格式:Netstat -a -e -n -o -s-an-a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。-e 表示显示以太网发送和接收的字节数、数据包数等。-n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。-o 表示显示活动的TCP连接并包括每个连接的进程ID(PID)。-s 表示按协议显示各种连接的统计信息,包括端口号。-an 查看所有开放的端口关闭/开启端口  在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。  关闭端口  比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关闭了对应的端口。  开启端口  如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可。  提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开启端口。  端口分类  逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:1. 按端口号分布划分  (1)知名端口(Well-Known Ports)  知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。  (2)动态端口(Dynamic Ports)  动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。  不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。2. 按协议类型划分  按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口:  (1)TCP端口  TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等。  (2)UDP端口  UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等。常见网络端口  网络基础知识!端口对照  端口:0  服务:Reserved  说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。  端口:1  服务:tcpmux  说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。端口:7  服务:Echo  说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。  端口:19  服务:Character Generator  说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。端口:21  服务:FTP  说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。  端口:22  服务:Ssh  说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。端口:23  服务:Telnet  说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。  端口:25  服务:SMTP  说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。端口:31  服务:MSG Authentication  说明:木马Master Paradise、Hackers Paradise开放此端口。  端口:42  服务:WINS Replication  说明:WINS复制端口:53  服务:Domain Name Server(DNS)  说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。  端口:67  服务:Bootstrap Protocol Server  说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。  端口:69  服务:Trival File Transfer  说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。端口:79  服务:Finger Server  说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。  端口:80  服务:HTTP  说明:用于网页浏览。木马Executor开放此端口。  端口:99  服务:Metagram Relay  说明:后门程序ncx99开放此端口。  端口:102  服务:Message transfer agent(MTA)-X.400 over TCP/IP  说明:消息传输代理。
2023-07-07 08:06:561

木马病毒的特征

木马的基本特征 木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序,它们都有以下基本特征: 1、隐蔽性是其首要的特征 如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点,举个例子来说吧,象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧,大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时,客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示,这些黑客们早就想到了方方面面可能发生的迹象,把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用绑定的程式时,木马也入侵了系统,甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定,在你看图片的时候,木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面: a、不产生图标 它虽然在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图标,这是容易理解的,不然的话,凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标,只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可; b、木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。 2、它具有自动运行性 它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。 3、木马程序具有欺骗性 木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dllwinsysexplorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。 4、具备自动恢复功能 现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。 5、能自动打开特别的端口 木马程序潜入人的电脑之中的目的不主要为了破坏你的系统,更是为了获取你的系统中有用的信息,这样就必需当你上网时能与远端客户进行通讯,这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”,不知道吧,告诉你别吓着,根据TCP/IP协议,每台电脑可以有256乘以256扇门,也即从0到65535号“门,但我们常用的只有少数几个,你想有这么门可以进,还能进不来?当然有门我们还是可以关上它们的,这我在预防木马的办法中将会讲到。 6、 功能的特殊性 通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。 7、黑客组织趋于公开化 以往还从未发现有什么公开化的病毒组织(也许是我孤陋寡闻),多数病毒是由个别人出于好奇(当然也有专门从事这一职业的),想试一下自己的病毒程序开发水平而做的,但他(她)绝对不敢公开,因为一旦发现是有可能被判坐牢或罚款的,这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织,但应绝对是属于“地下”的。现在倒好,什么专门开发木马程序的组织到处都是,不光存在,而且还公开在网上大肆招兵买马,似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷,黑的手段也越来越高明。我不知道为什么,但据讲其理由是“为了自卫、为了爱国” 。 木马入侵的常用手法及清除方法
2023-07-07 08:07:363

哪些端口可以封掉?

常用网络端口20 ftp-data 21 ftp 22 SSH,pcanywhere 23 telnet 25 smtp 47 VPN 53 DNS 67 BOOTPS 68 BOOTPD/DHCP 69 TFTP 80 WWW-HTTP 106 POPPASSD 109 POP2 110 POP3 137 NETBIOS-NS 138 NETBIOS-DGM(UDP) 139 NETBIOS 143 IMAP 144 NEWS 443 SSL 445 SMB 458 QUICK TIME TV 545 QUICKTIME 548 AFP 554 Real Time Streaming Protocol 1080 SOCKS 1227 DNS2GO 1433 Microsoft SQL Server 1434 Microsoft SQL Monitor 1494 Citrix ICA Protocol 1521 ORACLE SQL 1604 Citrix ICA, MS Terminal Server 1723 PPTP CONTROL PORT 1755 WINDOWS MEDIA .ASF 1758 TFTP MULTICAST 3306 MYSQL 3389 RDP Protocol (Terminal Server) 4000 ICQ 5010 Yahoo! Messenger 5190 AIM 5631 PCAnywhere data 5632 PCAnywhere 5800,5801,5900,5901 VNC 6000 X WINDOWS 6667 IRC 7007 MSBD, Windows Media encoder 7070 RealServer/QuickTime 8383 IMAIL 26000 Quake 27001 QuakeWorld 27010 Half-Life 27015 Half-Life 27960 QuakeIII
2023-07-07 08:08:202

我的电脑内存中了木马怎么办.

进入安全模式,在安全模式下进行病毒查杀,然后在安全模式下试用优化大师对你的IE缓存和流氓软件进行清理。如果在安全模式下还无法清除内存病毒的话只能从新做系统了。
2023-07-07 08:08:274

关于电脑的端口问题

电脑的端口是指连接外部设备的接口,常见的端口有以下几种: 1. USB端口:用于连接外部存储设备、打印机、摄像头等设备。2. HDMI端口:用于连接显示器、电视等显示设备。3. VGA端口:用于连接显示器、投影仪等显示设备。4. 音频端口:用于连接扬声器、麦克风等设备。5. 网络端口:用于连接到网络,可以通过有线或无线方式连接。6. 串口/并口:用于连接老式的打印机、集线器等设备,现在已经很少使用了。不同的电脑品牌和型号,其接口种类和数量也有所区别。用户在购买外部设备时需注意电脑端口的兼容性。
2023-07-07 08:08:561

DNF死灵觉醒技能详细解释下

死灵的主动觉醒-千魂祭,可以看成是元素的黑洞与狂战魔狱血刹的组合技。使用中,死灵将进入不可移动的霸体状态。然后大巴会移动的死灵术士面前。接着大巴变成一团黑烟,将周围都敌人都吸向中心,与元素黑洞的吸附效果一样,持续3秒。之后从地面出现亡灵军团,持续对范围内敌人进行攻击(实际范围比看到的要小~~杯具啊),与狂战魔狱血刹的冲击波攻击相同,持续4秒,同样最后会有大爆炸。死灵被动觉醒,大巴攻击时,会有几率降低对手物理与魔法防御。但最大的特色是,有几率令敌人进入忏悔状态,忏悔状态的敌人会攻击其他敌人,并且攻击到玩家时,伤害是1。
2023-07-07 07:59:592

衡量不稳定核素衰变能力的客观参数

衡量不稳定核素衰变能力的客观参数为衰变常数。一、衰变常数定义衰变常数(decay constant)表征放射性衰变统计规律的特征量之一,表示某种放射性核素的一个原子核在单位时间内发生衰变的几率。衰变常数是各种放射性核素的特征参数。与半衰期一样是表示放射性元素衰变速度的一项指标。二、衰变常数和半衰期的关系衰变常数(λ)与半衰期(T1/2)有下列关系:λ=0.693/T1/2;T1/2=0.693/λ。λ值愈大,放射性元素衰变愈快,半衰期愈短。对放射性核素的衰变现象进行观察统计,实验发现,用加压、加热、加电磁场、机械运动等物理或化学手段不能改变指数衰减规律,亦不能改变其衰变常数。这表明,放射性衰变是由原子核内部运动规律所决定的。三、物理意义它的物理意义就是在单位时间内每一个核的衰变几率。每一种放射性核素都有它特定的衰变常数,λ数值大的放射性核素衰变得快,小的则慢。衰变常数的单位是s-1,例如,Co的衰变常数为4.439×10 s-1,而Ag的衰变常数则为4.73×10 s-1。由此可知,衰变常数也是用来表示放射性核素的特征。
2023-07-07 08:00:021

DNF死灵有没有无敌的技能?

天诛是无敌啊,而且背后攻击可以增加攻击次数,无敌大约1.3秒,弧光闪也是无敌,无敌时间大约0.4秒,死灵被动觉醒是百万防御,变相无敌吧也算,满级几率还是很高的
2023-07-07 08:00:071

dnf死灵为什么只能走暗强

因为dnf死灵的所有技能都是暗属性,特别是开阵后所有攻击都是暗属性。所以死灵只有走暗属性才最给力。
2023-07-07 07:59:502

赵薇方辟谣离婚为什么会上热搜?大家如何评论的?

近日,一些赵薇离婚的消息在网上散布,这个消息也引起了大家的好奇心,最近,赵薇否定离婚的消息也成了热门话题,这里面发生了什么?一、赵薇删掉老公照片最近,有一些粉丝发觉赵薇把和丈夫有关的全部照片在社交平台上删掉,于是一些网友开始怀疑赵薇是不是离婚了,不过在7月4日,赵薇的工作室打破了这些谣言,并说道:捕风捉影累不累,吃瓜要谨慎,都去努力工作吧。如今,赵薇的社交平台上只有她自己的动态,而且很久没更新过关于她丈夫的照片,以前的全部都删掉了,其中就有老公和女儿一起散步的照片。连续上了两次热门,赵薇的婚姻问题引起无数人的好奇心,就在大家猜测这是不是真实的消息时,赵薇迅速站出来不承认离婚。假如婚姻没有出现问题,那赵薇为什么删掉所有关于老公黄有龙的照片呢?许多网友希望这是个假消息,尽管还是有部分网友认为黄有龙和赵薇根本不相配,但是赵薇却一直没有讨厌过黄有龙。然而,他们一家三口过得很幸福,那删掉所有照片是为了什么呢?二、网友的猜测有网友评论到,也许由于赵薇认为这些照片时间太长了,想要删掉重新发布新的。也许赵薇认为这些照片可能会把自己的隐私泄露了,由此就全部删掉了。还有些网友这样说,说赵薇没有名声了,想要借此炒作,为了让自己有存在感。不过在赵薇的回复中,只说了没有离婚,并没说出为什么要删掉所有的照片,只给网友们一句话就完了。也有人说,事出有因,他们的婚姻应该有问题,等待水落石出的那天。也是,因为她含糊的回答很难不引起怀疑。不过还是希望这个假消息,因为孩子还小,假如他们离婚了,对孩子的伤害最大。尽管赵薇和黄有龙的婚姻当初就有许多人不看好,但是这么多年来却一直很幸福。
2023-07-07 07:59:496

动画片排行榜前十名

动画片排行榜前十名是:《冰雪奇缘2》、《冰雪奇缘》、《超人总动员2》、《小黄人大眼萌》、《狮子王》、《玩具总动员4》、《海底总动员》、《机器人总动员》、《疯狂动物城》、《千与千寻》。1、《冰雪奇缘2》《冰雪奇缘2》是由克里斯·巴克、珍妮弗·李执导的3D动画电影,由克里斯汀·贝尔、伊迪娜·门泽尔等领衔配音,于2019年11月22日在北美和中国内地同步上映。该片是2013年上映的动画电影《冰雪奇缘》的续集,讲述了一出生就带着控制冰雪能力的艾莎为了探索她所具有的冰雪魔法的真相,和安娜一起前往魔法森林和暗海、踏上非凡之旅的故事。2、《冰雪奇缘》《冰雪奇缘》是2013年华特迪士尼公司出品的3D动画电影,由克里斯·巴克、珍妮弗·李执导,克里斯汀·贝尔、伊迪娜·门泽尔等参与主要配音。该片于2013年11月27日在美国上映。该片改编自汉斯·克里斯汀·安徒生童话《白雪皇后》,讲述小国阿伦黛尔因一个魔咒永远地被冰天雪地覆盖,为了寻回夏天,安娜公主和山民克里斯托夫以及他的驯鹿搭档组队出发,展开一段拯救王国的历险。3、《超人总动员2》《超人总动员2》是由美国皮克斯动画工作室制作的动画电影,由布拉德·伯德执导,该片于2018年6月15日在美国上映,2018年6月22日在中国内地上映。《超人总动员2》故事紧接着第一部,讲述了超能先生成为了专职奶爸,弹力女超人来拯救世界,一家人开始面对着生活重心的转变,这时一个新的反派出现,超人一家一边兼顾生活,一边联合酷冰侠阻止一个危险阴谋的故事。4、《小黄人大眼萌》《小黄人大眼萌》是一部2015年的美国喜剧动画电影,该影片由凯尔·巴尔达、皮艾尔·柯芬执导,桑德拉·布洛克、皮艾尔·柯芬、史蒂夫·卡瑞尔配音,由照明娱乐公司和环球影业联合出品。《小黄人》围绕小黄人们的“前格鲁时代”展开叙述,并特别追溯了小黄人的起源。小黄人总是忠诚地为主人提供各种服务,兢兢业业,毫无怨言,直到它们失手“害死”每一任主人。在痛苦地失去一个又一个主人后,被困在冰洞之内小黄人们愈发焦躁不安,他们决定挺身而出,去到花花世界,再次寻找可以效劳的主人。5、《狮子王》《狮子王》是由美国华特·迪士尼影片公司出品的动画电影,由罗杰·艾勒斯、罗伯·明可夫联合执导,马修·布罗德里克、詹姆斯·厄尔·琼斯、杰瑞米·艾恩斯、内森·连恩等联合主演配音。影片讲述了小狮子王辛巴在朋友的陪伴下,经历了生命中最光荣的时刻,也遭遇了最艰难的挑战,在复国救民的斗争中,辛巴真正长成一个坚强的男子汉,领会了责任的真谛,最后终于成为了森林之王的故事。6、《玩具总动员4》《玩具总动员4》是《玩具总动员》动画系列电影第四部,由乔什·库雷执导,汤姆·汉克斯、安妮·波茨、蒂姆·艾伦、托尼·海尔等配音。影片于2019年6月21日在北美地区、中国内地同步上映。该片中,胡迪为了让新来的玩具叉叉找到归属感,再度踏上冒险的旅程,在路上遇到了各种各样的难题和惊喜的故事。7、《海底总动员》《海底总动员》是一部由皮克斯动画工作室制作,并于2003年由华特迪士尼发行的美国电脑动画电影。故事主要叙述一只过度保护儿子的小丑鱼马林和它在路上碰到的蓝唐王鱼多莉两人一同在汪洋大海中寻找玛林失去的儿子尼莫的奇幻经历。在路途中,玛林渐渐了解到它必须要勇于冒险以及它的儿子已经有能力照顾自己了。8、《机器人总动员》《机器人总动员》是2008年一部由安德鲁·斯坦顿编导的科幻动画电影。由皮克斯动画工作室进行制作,华特·迪士尼电影工作室电影公司负责发行。安德鲁·斯坦顿执导,本·贝尔特、艾丽莎·奈特和杰夫·格尔林等联袂献声配音。故事讲述了地球上的清扫型机器人瓦力偶遇并爱上了机器人夏娃后,追随她进入太空历险的一系列故事。9、《疯狂动物城》《疯狂动物城》由迪士尼影业出品的3D动画片,由里奇·摩尔、拜恩·霍华德、杰拉德·布什联合执导,金妮弗·古德温、杰森·贝特曼、夏奇拉、艾伦·图代克、伊德瑞斯·艾尔巴、J·K·西蒙斯等加盟配音。该片讲述了在一个所有动物和平共处的动物城市,兔子朱迪通过自己努力奋斗完成自己儿时的梦想,成为动物警察的故事。10、《千与千寻》《千与千寻》是由吉卜力工作室制作的动画电影,由宫崎骏执导,柊瑠美、入野自由、中村彰男、夏木真理等人担任主要配音。该片主要讲述了千寻意外来到神灵世界后,为了救因惩罚而变成猪的家人,经历许多磨难的故事。该片于2001年7月20日在日本上映。2019年6月21日在中国大陆公映。2022年8月5日起在中国台湾地区重映数字修复版本。
2023-07-07 07:59:481