TCP View官方中文版

TCPView中文版是Sysinternals公司(Winternals旗下的一家主力公司為系統(tǒng)復(fù)原與資料保護(hù)的公司)開發(fā)的一款網(wǎng)絡(luò)監(jiān)視工具，可查看端口和線程，并可幫助用戶預(yù)防黑客的入侵，在現(xiàn)實(shí)中只要木馬在內(nèi)存中運(yùn)行就一定會(huì)打開某個(gè)端口，同樣只要有黑客進(jìn)入你的電腦，就有新的線程，而恰好TCPView中文版即可監(jiān)控此類端口和線程，用戶完全可依靠它來防止或阻止黑客對(duì)本機(jī)的入侵。TCPView中文版的使用也十分簡(jiǎn)單，在程序的主界面中會(huì)顯示當(dāng)前計(jì)算機(jī)打開的端口和線程，非常的直觀，可以說用戶一眼即可查看某個(gè)端口是什么程序打開的，并且程序還會(huì)以顏色來區(qū)分，如紅色代表該進(jìn)程被刪除、綠色代表剛創(chuàng)建的新進(jìn)程等等。同時(shí)在這里用戶還可通過圖標(biāo)來分別哪些是正常的應(yīng)用程序打開的端口，當(dāng)然對(duì)于那些系統(tǒng)本身打開的端口，若用戶并不太熟悉，還可以通過檢查線程的屬性來判斷，具體的操作就是用右鍵點(diǎn)擊這些線程，在彈出的菜單中選擇“process properties(進(jìn)程屬性)”，其中的“路徑”項(xiàng)就是這個(gè)端口的所對(duì)應(yīng)的程序在硬盤上的路徑，通常系統(tǒng)文件都在C:\WINDOWS\system32目錄下，如果出現(xiàn)和系統(tǒng)程序相似的名字，文件又不在系統(tǒng)目錄，那么這些程序就有可能是假冒的系統(tǒng)程序，且大部分都可明確是木馬病毒。另外，在安裝包內(nèi)雙擊“Tcpview_CHS.exe”即為中文版

TCPView中文版功能

1、進(jìn)程

運(yùn)行程序的名稱，在這個(gè)欄位下同一個(gè)程序并不會(huì)只有一個(gè)，例如用IE打開多個(gè)網(wǎng)頁(yè)，就會(huì)存在多個(gè)網(wǎng)絡(luò)連接，所以無需因?yàn)榭吹教鄠€(gè)同樣的程序執(zhí)行就覺得有問題，那只代表該程序有多個(gè)連接進(jìn)程。

2、PID

每個(gè)程序執(zhí)行，系統(tǒng)就會(huì)給它一個(gè)PID權(quán)限，與程序的權(quán)限有相關(guān)。

3、協(xié)議

程序要與網(wǎng)絡(luò)連線，就必需使用通訊協(xié)議，協(xié)議也有分成TCP及UDP兩種聯(lián)接協(xié)議，若在防火牆后連網(wǎng)，就必須要知道目前該程序所運(yùn)作的Protocol是什么，不然就算是端口號(hào)正確，也是無法對(duì)外開建立聯(lián)線。另外TCP及UDP有65536個(gè)可用連接端口。

4、本地地址

本機(jī)的IP地址，一般來說都會(huì)顯示為該電腦的電腦名稱或是IP地址。

5、本地端口：本機(jī)的連線端口號(hào)。

6、遠(yuǎn)程地址：遠(yuǎn)端服務(wù)的連接位置，一般是顯示該程序所連接的網(wǎng)址或是IP地

TCPView中文版特點(diǎn)

1、綠色免安裝，該軟件是綠色軟件不需要安裝，下載完直接雙擊即可運(yùn)行

2、無任何廣告，用戶可真正享受到綠色化的界面操作

3、功能強(qiáng)大，有了它用戶即可了解自己的電腦是否被黑客入侵

4、查看到的端口和線程可以顏色來區(qū)別其行為，包括紅色代表該進(jìn)程被刪除、綠色代表剛創(chuàng)建的新進(jìn)程、黃色代表當(dāng)進(jìn)程從一種狀態(tài)轉(zhuǎn)變成另一種狀態(tài)

TCPView中文版使用教程

一、TCPView的使用非常簡(jiǎn)單，由于是綠色軟件，所以不需要安裝，下載完直接雙擊“Tcpview_CHS.exe”即可運(yùn)行

二、主界面中顯示了當(dāng)前計(jì)算機(jī)打開的端口和線程，非常直觀，一眼就能看出某個(gè)端口是什么程序打開的，并會(huì)時(shí)不時(shí)的會(huì)用紅、黃、綠三種顏色標(biāo)注某些進(jìn)程:

★紅色代表該進(jìn)程被刪除

★綠色代表剛創(chuàng)建的新進(jìn)程

★黃色代表當(dāng)進(jìn)程從一種狀態(tài)轉(zhuǎn)變成另一種狀態(tài)

三、對(duì)于那些系統(tǒng)本身打開的端口，由于一般用戶并不太熟悉，可以通過檢查線程的屬性來判斷,具體操作:

1.右鍵點(diǎn)擊這些線程，在彈出的菜單中選擇“process properties(進(jìn)程屬性)”

2.其中的“路徑”項(xiàng)就是這個(gè)端口的所對(duì)應(yīng)的程序在硬盤上的路徑，通常系統(tǒng)文件都在C:\WINDOWS\system32目錄下，如果出現(xiàn)和系統(tǒng)程序相似的名字，文件又不在系統(tǒng)目錄，那么這些程序就有可能是假冒的系統(tǒng)程序，極有可能是木馬

四、Windows下請(qǐng)運(yùn)行Tcpview.exe，tcpvcon.exe為Tcpview.exe的命令行版本

【Tcpview.exe使用方法】

tcpvcon[-a][-c][-n][進(jìn)程名稱或PID] -a

顯示所有端點(diǎn)（默認(rèn)為顯示已確定的TCP連接） -c

打印輸出為CSV對(duì)照文本 -n

不解析地址

如何關(guān)閉不必要的端口？

1、關(guān)閉tcp/udp7、tcp/udp9、tcp/udp13、tcp/udp17、tcp/udp19端口

只需要打開“控制面板”->“管理工具”->“服務(wù)”，停止Simple TCP/IP Service(前提是您必須安裝了此服務(wù))。它們所支持的 TCP/IP 服務(wù)分別是：ECHO、 Discard、DAYTIME、Quote of the Day, 以及 Character 

2、關(guān)閉TCP80口(HTTP服務(wù))

只需在“控制面板”->“管理工具”->“服務(wù)” 停止WEB發(fā)布服務(wù)(“World Wide Web Publishing Service”)。或是通過 Internet 信息服務(wù)(IIS)的管理單元把’默認(rèn)WEB站點(diǎn)’停止也可以關(guān)閉TCP80端口的服務(wù)

3、關(guān)掉TCP25端口(SMTP服務(wù))

在“控制面板”->“管理工具”->“服務(wù)” 中停止”Simple Mail Transport Protocol (SMTP)”服務(wù)；或是在IIS中停止’默認(rèn)SMTP虛擬服務(wù)器’也可以

4、關(guān)掉TCP21(FTP服務(wù)器)端口

在“控制面板”->“管理工具”->“服務(wù)” 中停止FTP Publishing Service;或在IIS中停止’默認(rèn)FTP站點(diǎn)’

5、關(guān)掉TCP23(telnet server)端口

在“控制面板”->“管理工具”->“服務(wù)” 中停止’Telnet’服務(wù)。TCP139端口:NetBIOS Session端口，一個(gè)用作共享的端口。打開“網(wǎng)絡(luò)和撥號(hào)連接”->“本地連接”右鍵屬性-> “Internet協(xié)議(TCP/IP)”->“屬性”->“高級(jí)…”->“WINS”->“禁用TCP/IP上的NETBIOS”，選擇此項(xiàng)便能停止TCP139的監(jiān)聽。TCP445端口(Microsoft-DS)，除TCP139以外的另一個(gè)能用來作共享入侵的端口。關(guān)閉它的方法：

打開注冊(cè)表[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NETBT\PARAMETERS]新建一DWORD鍵值，名為”SMBDeviceEnabled”，其值為0。

6、389端口的關(guān)閉

首先說明3389端口是Windows的遠(yuǎn)程管理終端所開的端口，它并不是一個(gè)木馬程序，請(qǐng)先確定該服務(wù)是否是你自己開放的。如果不是必須的，建議關(guān)閉該服務(wù)。

★WindowsXP系統(tǒng)：在“我的電腦”上點(diǎn)右鍵，選“屬性”–>“遠(yuǎn)程”，將里面的“遠(yuǎn)程協(xié)助”和“遠(yuǎn)程桌面”兩個(gè)選項(xiàng)框里的勾去掉

★Windows2000 Server系統(tǒng)：點(diǎn)擊“開始”–>“程序”–>“管理工具”–>“服務(wù)”里找到“Terminal Services”服務(wù)項(xiàng)，選中“屬性”選項(xiàng)將啟動(dòng)類型改成“手動(dòng)”，并停止該服務(wù)。（該方法在XP同樣適用，XP用戶可參照這個(gè)方法設(shè)置。）

★Windows2000 Pro

點(diǎn)擊“開始菜單”–>“運(yùn)行”，輸入“regedit”，打開注冊(cè)表，進(jìn)入以下路徑：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，看見PortNamber值了嗎？其默認(rèn)值是3389，修改成所希望的端口即可，例如6111。

再打開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp]，將PortNumber的值（默認(rèn)是3389）修改成端口6111。如果[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations]分支里還其他類似的子鍵,一樣的改它的值。

修改完畢，重新啟動(dòng)電腦，以后遠(yuǎn)程登錄的時(shí)候使用端口6111就可以了

如何防止被黑客攻擊？

一、服務(wù)器只安裝TCP/IP協(xié)議完全足夠

1.鼠標(biāo)右擊“本地連接”，選擇“屬性”，卸載不必要的協(xié)議。

2.其中NETBIOS是很多安全缺陷的根源，對(duì)于不需要提供文件和打印共享的主機(jī)，還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉，避免針對(duì)NETBIOS的攻擊。

3.選擇“TCP/IP協(xié)議/屬性/高級(jí)”，進(jìn)入“高級(jí)TCP/IP設(shè)置”對(duì)話框，選擇“WINS”標(biāo)簽，勾選“禁用TCP/IP上的NETBIOS”一項(xiàng)，關(guān)閉NETBIOS.

二、禁止惡意代碼運(yùn)行

1.一般惡意網(wǎng)頁(yè)是因?yàn)榧尤肓擞镁帉懙膼阂獯a才有破壞力，這些惡意代碼就相當(dāng)于一些小程序，只要打開該網(wǎng)頁(yè)就會(huì)被運(yùn)行

2.運(yùn)行IE瀏覽器，點(diǎn)擊“工具/Internet選項(xiàng)/安全/自定義級(jí)別”，將安全級(jí)別定義為“安全級(jí)-高”，對(duì)“ActiveX控件和插件”中第2、3項(xiàng)設(shè)置為“禁用”，其它項(xiàng)設(shè)置為“提示”，之后點(diǎn)擊“確定”。這樣設(shè)置后，當(dāng)你使用IE瀏覽網(wǎng)頁(yè)時(shí)，就能有效避免惡意網(wǎng)頁(yè)中惡意代碼的攻擊

三、關(guān)閉所有共享

1.取消文件夾隱藏共享

右鍵單擊C盤或者其它盤選擇共享，你會(huì)驚奇地發(fā)現(xiàn)它已經(jīng)被設(shè)置為“共享該文件夾”，而在“網(wǎng)上鄰居”中卻看不到這些內(nèi)容，這是怎么回事呢?

原來，在默認(rèn)狀態(tài)下，硬盤上的每個(gè)分區(qū)名后面都加了一個(gè)“$”。入侵者要鍵入“計(jì)算機(jī)名或者IPC$”，系統(tǒng)就會(huì)詢問用戶名和密碼，可以輕易看到C盤的內(nèi)容，這就給網(wǎng)絡(luò)安全帶來了極大的隱患

怎么來消除默認(rèn)共享呢？

方法很簡(jiǎn)單，打開注冊(cè)表編輯器，進(jìn)入HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Sevices\ Lanmanworkstation\ parameters”，新建一個(gè)名為“AutoShareWKs”的雙字節(jié)值，并將其值設(shè)為“0”，然后重新啟動(dòng)電腦，這樣共享就取消了

2.關(guān)閉“文件和打印共享”

文件和打印共享應(yīng)該是一個(gè)非常有用的功能，但在不需要它的時(shí)候，也是黑客入侵的很好的安全漏洞。首先，把“文件和打印共享”關(guān)閉，然后打開注冊(cè)表編輯器，選擇“HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ NetWork”主鍵，在該主鍵下新建DWORD類型的鍵值，鍵值名為“NoFileSharingControl”，鍵值設(shè)為“1”表示禁止這項(xiàng)功能，從而達(dá)到禁止更改“文件和打印共享”的目的;鍵值為“0”表示允許這項(xiàng)功能。這樣在“網(wǎng)絡(luò)鄰居”的“屬性”對(duì)話框中“文件和打印共享”就不復(fù)存在了

四、禁用Guest賬號(hào)

1.有很多入侵都是通過這個(gè)賬號(hào)進(jìn)一步獲得管理員密碼或者權(quán)限的，如果不想把自己的計(jì)算機(jī)給別人當(dāng)玩具，那還是禁止的好

2.打開控制面板，雙擊“用戶和密碼”，單擊“高級(jí)”選項(xiàng)卡，再單擊“高級(jí)”按鈕，彈出本地用戶和組窗口。在Guest賬號(hào)上面點(diǎn)擊右鍵，選擇屬性，在“常規(guī)”頁(yè)中選中“賬戶已停用”。另外，將Administrator賬號(hào)改名可以防止黑客知道自己的管理員賬號(hào)，這會(huì)在很大程度上保證計(jì)算機(jī)安全

五、關(guān)閉不必要的端口

黑客在入侵時(shí)常常會(huì)掃描你的計(jì)算機(jī)端口，如果安裝了端口監(jiān)視程序(比如Netwatch)，該監(jiān)視程序則會(huì)有警告提示。如果遇到這種入侵，可用工具軟件關(guān)閉用不到的端口，比如，用“Norton Internet Security”關(guān)閉用來提供網(wǎng)頁(yè)服務(wù)的80和443端口，其他一些不常用的端口也可關(guān)閉

六、安裝必要的安全軟件

殺毒軟件，也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計(jì)算機(jī)威脅的一類軟件。一般最常見的殺毒軟件有360、電腦管家、瑞星等