360推出安全卫士后，大伙清理插件、优化系统，确实方便了许多，之后推出软件管家，更是成了大多数安装系统者必备先装的软件，这也使很多的初级电脑使用者，可以轻松整理系统。现在360推出了永久免费的杀毒软件，高调推出之后，业务一片哗然，质疑声明显居多。

微软的免费杀毒软件，其实调也挺高，但就是那个正式版验证让大量的“免费windows版本用户”，有太多的犹豫，因此，相比360的永久免费，微软的免费杀毒战略，调调儿有点低了些。

Linker对于360的免费杀毒推出，持马上使用的态度，立马下载安装，发现在安装过程中，360免费杀毒安装程序有“排他性”，检测出其他杀毒软件后，建议删除，这个建议正当而又有隐含的竞争意义，在开启“监控服务”后，也在提示“卸载”现正安装的杀毒软件，虽然杀毒软件并没有启动。和大多数杀毒软件一样，360免费杀毒软件，依然要求重启。但在使用过程中，Linker发现了一个问题，现在都10月21日了，在升级360安全卫士病毒库后，最新病毒库日期依然是10月9日，难道有未知病毒的主动检测特性？比微点推出的理念还牛？

回到开篇的质疑，有的网友怀疑360免费的盈利来源，有的网友怀疑内含的不正当行为，有的网友还在提以前老周的3721不要脸行为，之类的等等，其实Linker也有这些疑问，其实有这些疑问很正常，为什么3721当年造成了那么大的破坏力，不是因为人们没有注意到，而是懂电脑的注意到了，但普通电脑使用者没有注意到，可普通电脑使用者对于当年“流氓软件”的处理反应能力是很慢的，比如一个熟悉的电脑使用者从网上、从自己的电脑使用过程中，通过自己的网络见闻和技术，知道了3721的流氓，但普通电脑使用者，对于这样的行为不知不觉，只是觉得电脑速度慢了，或者网页打不开了，他要明白这是3721搞的鬼，恨不得过半年一年才明白，哦，原来是这个免费的，以前曾经很有用的下面软件使的坏。基于这样的大量的电脑普通使用者，这样的数量基数，所以即使走这样的下贱路，3721还是积累了大量的资金，牛人现在搞投资，当“天使”，有几人还追问你当年的资金是怎么样积累来的？网民数量基数大，反应慢，这就为大量的先知先觉者，自以为聪明的投机者，提供了发财的机会。暴风影音的例子，不鲜明吗？

这不多说了。这个只是说明，所有的免费，都有被人利用的隐患，现在社会，“天上掉的馅饼”，你都得质疑，为什么会掉在我的头上？现在路上，如果你遇到一个黑包里面有几万块钱，你敢坦然捡了就走吗？抛开道德的谴责和交给警察的想法，你难道不会在想，这会不会是别人下的“套”？因此，网友对360的永久免费行为，质疑很正常。虽然说是，占领了用户的桌面，就有金钱，但向桌面上放什么东西，到时候已经不一定是用户能够决定得了的了，现在腾讯的“迷你首页”，迅雷的新闻资讯，阿里巴巴的弹出资讯等等，这都是免费软件的附加行为，360的免费，Linker不敢肯定一定会有什么“暗”的行为，但敢肯定的是，绝对有附加的行为。

不去想那么多了，往往刚推出的品牌货是比较好的，几年以后，品牌质量变坏、造假者跟风，这都是以后的事了，起码现在，用它还是比较妥当的，“杀鸡”也得要等“鸡”长大吧？

冰刃，似乎就是为了对付驱动级木马的先期准备武器；现在的木马以及所谓的流氓软件，已经不那么客气了，而是很无赖的怎么黏糊怎么来，怎么藏得深怎么来，以前查杀木马病毒从目录、文件等方面都还可以看出，现在的驱动级木马也已经是屡见不鲜了，当然，对于普通电脑使用者来说，发现这些驱动级的木马更是难度极大，几乎无从查起，那么利用冰刃icesword来查找，就容易多了，举例说明用冰刃icesword来查找比较流行的pcshare远程控制类的木马。

驱动级隐藏木马结合了最新的Rootkit技术，用一般的系统扫描软件如Hijackthis等无法检测到其木马服务信息，现在在互联网上居于主流，那些小儿科的自动启动类、混淆系统文件用户名类的，已经比较容易判断了；

IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者这么多年的使用中，IceSword表现很令笔者满意，绝对是一把强悍的瑞士军刀——小巧、强大。

pcshare：一款计算机远程控制软件,采用HTTP反向通信,屏幕数据线传输,驱动隐藏端口通信过程等技术，达到系统级别的隐藏。类似灰鸽子。

PcShare样本(arcldrer.exe)运行后释放文件有：
%System32%\Ybfbqufe.d1l
%System32%\Ybfbqufe.dll
%System32%\drivers\Ybfbqufe.sys

插入并启动IE隐藏进程：
在注册表中添加了隐藏的驱动服务：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfbqufe]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ybfbqufe]

指向%SystemRoot%\System32\drivers\Ybfbqufe.sys
如果是XP系统：
修改dmserver服务(监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置)：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dmserver\Parameters]

指向病毒文件：
"ServiceDll"="%System32%\Ybfbqufe.d1l"

如果此服务被终止，动态磁盘状态和配置信息会过时。如果此服务被禁用，任何依赖它的服务将无法启动。
如果是2000系统：修改RpcSs服务(Remote Procedure Call Services)：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcSs\Parameters]

指向病毒文件：
"ServiceDll"="%System32%\Ybfbqufe.d1l"
rpcss.exe是微软Windows操作系统的一部分。它用于本地计算机的远程程序调用
服务。它是本地网络的公用服务。这个程序对系统的正常运行是非常重要的。

1.IceSword的“防”：冰刃，显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而并是通常所见的软件程序名。这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外，你可以试着将软件的文件名改一下，比如改为miaosha.exe，那么显示出来的进程名就变为了miaosha.exe。现在你再试着关闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。

2.IceSword的“攻”：IceSword的作者在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。举例来说明IceSword几招必杀技。

朋友的个人服务器(Windows 2003)，出现异常，网络流量超高，朋友使用常规方法只可以清除简单的木马，并没有解决问题，怀疑是中了更强的木马，，直接登录到系统安全模式检查，谁知也没有什么特别发现。于是尝试拿出IceSword这把“瑞士军刀”

第一步:打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚，但使用系统自带的“任务管理器”是看不到些进程的。注意，IceSword默认是使用红色显示系统内隐藏程序，但IceSword若在内核模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分析及处理。别以为只是系统自带的任务管理器功能弱，未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比，同样也没办法发现“幕后黑手”的踪影。

第二步:点击窗口左侧的“服务”按钮，来查看系统服务，这个木马的服务也是隐藏的，怪不得未能发现行踪。

第三步:既然看了服务，也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情况。反正IceSword也提供查看/编辑注册表功能，正好和系统的“注册表编辑器”也来个对比，点击窗口左侧的“注册表”标签，然后打开依次展开[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]项。真是不比不知道，一比吓一跳。看来，系统内置工具还是选择“沉默”，还记得《如何查杀隐形木马》一文吧，虽说鸽子在正常模式下，它的主服务也能隐藏，但它在系统的“注册表编辑器”内完全是显示的，更不要说目前是安全模式。仔细看看，既然已经从IceSword得到可靠情报，得知“幕后黑手”位于系统目录E:\Windows\system32\wins下。

第四步:我们还是用系统的“资源管理器”和IceSword对比一下，点击窗口左侧的“文件”标签，“资源管理器”选择了“交白卷”。在IceSword的文件浏览器与系统的“资源管理器”明显对比下，IceSword已经发现三只“黑手”，正是因为有这只隐藏的幕后黑手，难怪朋友搞了几次，换了不同的防病毒软件还是没清干净。

第五步:剩下的事容易多了，在IceSword中点击“查看”标签下的“进程”按钮，右击刚刚发现的隐藏进程，选择“结束进程”。然后用IceSword删除那三个木马文件，最后，还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后，再使用杀毒软件重新杀一遍系统，确认没有其他的木马。

上面的例子充分体现了IceSword的魅力所在。正如作者所言，IceSword大量采用新颖技术，有别于其他普通进程工具，比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程，就这一点，其他同类软件就是做不到的。当然有些进程也不是随便可以结束的，如系统的winlogon.exe进程，一旦杀掉后系统就崩溃了，这些也需要注意。

道高一尺、魔高一丈，魔道之争，永远没有停止，病毒与安全的工具之争，也是没有尽头；今天发现那个搞“网络吸血鬼”的病毒软件作者已经被拘了，本来要详细剖析一下这个病毒软件的，素材已经收集得差不多了。这个作者也确实对这方面有过比较深的研究和收集，包括最新的flash漏洞都被他利用到了他的主页，如果杀毒软件不尽责，就危险了；另外，既然flash显示在他的百度空间主页，并且反编译swf文件也比较容易，如果有人要再利用这个swf文件而下载执行其他非法文件的话，也是很危险。还有，“网络吸血鬼”这个软件所包括的功能，非常

 今天在网上逛了有二个多小时了，一时之间没有什么可感触的，网站服务器由于线路问题，晚上显得特别让人“累”，真是感叹，现在真的没有什么好的idc了！无聊之余，今天就说一下有关网络连接的软件吧。

公司的服务器是光纤线路，速度无异是相当快的，我在公司的空暇时间，利用这便利条件下了不少电影和大型的学习视频，但这软件不在服务器上存储，只是存储在个人电脑上，四百多G呢，但回到家，家里的电脑配置、线路和存储容量都不是单位所能比拟的，因此，怎么在需要的时候，操作办公室的电脑、下载办公室电脑上面的资料，是一个问题。远程连接，虽然稳定加上ssl连接也安全，但如果需要中转，就不够方便了。有没有一种可以安全的穿越内网的远程连接软件呢？当然有。

使用Windows远程桌面连接。一般情况下，它无疑是最好的方案了，但如果你要连接的电脑位于内网，即路由器（Router）或防火墙后方(电脑是虚拟IP)，那样就必须在路由器上做一些设定端口映射之类的设置才有办法连上，在测试ccproxy的端口映射时，总是不成功，提示协议问题0×1104，这个得稍后再议了（有心得的朋友，共享一下）。这就用到了这款功能更强更好用的能穿越内网进行远程控制的软件——TeamViewer。它是一个在任何防火墙和NAT代理的后台用于远程控制，桌面共享和文件传输的简单且快速的解决方案。为了连接到另一台计算机，只需要在两台计算机上同时运行 TeamViewer即可而不需要复杂的设置。该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的ID到TeamViewer，然后就会立即建立起连接。

控制和被控两边的电脑是透过一个中间服务器来取得一个ID的 (替代电脑的IP)，您完全不需要知道被控端的IP就能跟对方连线(即使对方位于内网)，重点是速度也很快。异次元世界介绍过CrossLoop，它的概念和teamviewer大概是一样的，由异次元世界测试中得知，teamviewer速度比CrossLoop快一点，可能中转服务器离中国近点。

 TeamViewer除了可以实现穿透内网进行远程控制外，还有一些比较有特色的地方，如可随时切换变成对方控制您电脑、将控制者的桌面展示给被控者看、聊天功能等等。。。

要进行远程控制，首先两方电脑都必须执行TeamViewer。 运行TeamViewer 后，TeamViewer的服务器会自动分配一个ID和密码给你，ID是固定的，但密码是随机的，每次执行都会不同。左边是您的ID和密码(若是对方要主动连你，要将此告诉对方)，在右边输入对方的ID (连续输入不用空格)就可以连到对方了。

选择“远程支持”（Remote support）连线方式可以在您的电脑上显示对方的桌面，您可以控制对方的电脑就像自己在该电脑前一样。 (对方桌面右下角也会有个小小的控制视窗，可以让对方知道连线进来的人是谁，和控制「结束连线」与「聊天对谈」) ，此外，它还可以方便地传输文件的。可能是中转的问题，带宽实在有限，传输速度最多时有十几K，这样对于我这样的需求来说，还是达不到要求的。但是，在远程桌面操作时，效果是相当的好。

工具栏图标的作用。

TeamViewer是一款免费软件（也有付费增值服务的）官方除了提供安装版外，同时也提供了U盘绿色版，大家可以按照自己的喜好选择。不过他们都是英文版的。如果你觉得E文看不懂的话，也可下载网友的汉化版，不过版本就是旧一点的。当前是Beta v3.5.3878 (English)的beta版本。http://www.teamviewer.com/index.aspx，注册很简单，在连接完毕之后，会弹出一个窗口，左下角会提示免费注册，输入一个邮箱地址，即可注册。

上述部分内容参考了异次元世界http://www.x-force.cn/article.asp?id=361

以前记得有个TeamViewer1.5汉化版，里面集成了DynGate（实现内网互控必需的软件）汉化版，另外一个teamViewer+DynGateV2.43,现在看来这个版本已经更加便捷了。安装时发现，还有vpn的功能，这样，安全方面就有了进一步的保障。其实，这和我早些年用到的虚拟通道服务相似，当时用的是铁通的线路，但内网有网页要对外发布，因此，就用了一个类似的加密通道服务，也是租用的第三方通道，只是这里所说的第三方通道，似乎很仗义，是免费的。老外的很多软件都小巧精悍，安全方面做得也很到位，虽然和qq的远程桌面协助相比，稍复杂了些，但稍微花点时间测试测试，总有你需要时想起它的好处来。

无论是使用手工试探还是使用安全测试工具，恶意攻击者总是使用各种诡计从你的防火墙内部和外部攻破你的SQL服务器系统。既然黑客在做这样的事情。你也需要实施同样的攻击来检验你的系统的安全实力。这是理所当然的。下面是黑客访问和攻破运行SQL服务器的系统的十种诡计。
　　1.通过互联网直接连接
　　这些连接可以用来攻击没有防火墙保护、全世界都可以看到和访问的SQL服务器。DShield公司的端口报告显示了有多少系统在那里等待遭受攻击。我不理解允许从互联网直接访问这种重要的服务器的理由是什么。但是，我在我的评估中仍发现了这种安全漏洞。我们都记得SQL Slammer蠕虫对那样多的有漏洞的SQL服务器系统造成的影响。而且，这些直接的攻击能够导致拒绝服务攻击、缓存溢出和其它攻击。
　　2.安全漏洞扫描
　　安全漏洞扫描通常可以基本的操作系统、网络应用程序或者数据库系统本身的弱点。从没有使用SQL安全补丁、互联网信息服务(IIS)设置弱点到SNMP(简单网络管理协议)漏洞等任何事情都能够被攻击者发现，并且导致数据库被攻破。这些坏蛋也需使用开源软件、自己制作的工具软件或者商业性工具软件。有些技术高手甚至能够在命令提示符下实施手工黑客攻击。为了节省时间，我建议使用商业性的安全漏洞评估工具，如Qualys公司的QualysGuard(用于普通扫描)、SPI Dynamics公司的WebInspect(用于网络应用程序扫描)和下一代安全软件公司的“NGSSquirrel for SQL Server”(用于数据库扫描)。这些工具软件很容易使用，提供了最广泛的评估，并且可以提供最佳的结果。图1显示了你可能发现的一些SQL注入安全漏洞。

图1:使用WebInspect发现的普通SQL注入安全漏洞。
　　3.列举SQL服务器解析服务
　　在UDP端口1434上运行，这能让你发现隐蔽的数据库实例和更深入地探查这个系统。Chip Andrews的“SQLPing v 2.5”是一个极好的工具，可用来查看SQL服务器系统并且确定版本编号。你的数据库实例即使不监听这个默认的端口，这个工具软件也能发挥作用。此外，当过分长的SQL服务器请求发送到UDP端口1434的广播地址的时候，会出现缓存溢出问题。
　　4.破解SA口令
　　攻击者还可以通过破解SA口令的方法进入SQL服务器数据库。遗憾的是，在许多情况下不需要破解口令，因为没有分配口令。因此，可以使用上面提到的一种小工具SQLPing。Application安全公司的AppDetective和NGS软件公司的NGSSQLCrack等商业性工具软件也有这种功能。
　　5.直接利用安全漏洞攻击
　　使用图1显示的Metasploit等工具软件可以直接实施攻击。这种软件的商业性软件“CANVAS”和“CORE IMPACT”等能够利用在正常的安全漏洞扫描过程中发现的安全漏洞实施攻击。这是非常有效的攻击手段，攻击者可利用这种手段突破系统、从事代码注入或者取得非经授权的命令行访问权限。

　　6.SQL注入
　　SQL注入攻击可以通过没有正确验证用户输入的前端网络应用程序实施。包括SQL指令在内的异常的SQL查询可以直接注入到网络URL(统一资源定位符)中，并且返回一些错误通知，执行一些指令等等。如果你有时间的话，这些攻击可以手工实施。我一旦发现一个服务器有一个潜在的SQL注入安全漏洞，我喜欢使用一种自动的工具深入研究这个漏洞。这些工具包括图3显示的SPI Dynamics公司的SQL注入器等。

图3:SPI Dynamics公司的SQL注入器自动实施SQL注入过程。
　　7.SQL盲注攻击
　　这些攻击以标准的SQL注入攻击相同的基本方式利用网络应用程序和后端SQL服务器的安全漏洞。最大的区别是攻击者收不到以错误通知形式从网络服务器发回的信息。这种攻击由于涉及到猜口令，速度要比标准的SQL注入攻击慢一些。在这种情况下，你需要一种比较好的工具。那就是图4显示的Absinthe工具。

图4:Absinthe工具在实施SQL盲注攻击测试。
　　8.对系统实施逆向工程
　　逆向工程的方法可以查找软件的安全漏洞和内存损坏弱点等漏洞。在利用软件安全漏洞方面，可以参考Greg Hoglund和Gary McGraw合著的“如何破解代码”一书，你可以发现有关逆向工程方法的一些讨论。
　　9.Google hacks
　　Google hacks利用Google搜索引擎不同寻常的力量搜出可公开访问的系统泄漏出来的SQL服务器的错误，如“Incorrect syntax near”(附近语法错误)。Johnny Long编写的“Google Hacking Database”数据库中一些Google的查询项目。(查看错误信息和包含口令的文件部分)。黑客能够使用Google找到口令、网络服务器中的安全漏洞、基本的操作系统、公开提供的程序以及其它能够用来攻破SQL服务器系统的东西。通过Google网站的“site:”操作符把这些查询结合在一起同场可以发现你想不到能够找到的东西。
　　10.熟读网站源代码
　　源代码还能够暴露可能导致SQL服务器被攻破的信息。特别是开发人员为了简化身份识别过程把SQL服务器身份识别信息存储在ASP脚本中的情况下更是如此。手工评估或者Google能够在一瞬间就发现这个信息。

ps：我在服务器上也发现了这个，晕，恼死了！！

我可以确定，有人在ui区放出了ROOTKIT木马
我使用正版的卡巴斯基家庭版，以及ewido均无反应
发了文件样本给瑞星
结果为病毒，且现在版本的瑞星，卡巴斯基，EWIDO nod32均无法查杀
在主流杀毒软件中未发现能查到此木马的

此木马会生成一个winlogon进程，注意：无扩展名，有扩展名的是正常系统进程
还有一个iexplore.exe，为隐藏进程，【【【WIN XP进程管理器，XX优化大师,XX兔子均无法看到】】】
—————————————————-
手动杀法
下载一个icesword，请去作者的blog下载，其余地方可能有木马
选进程项，若无红色进程，恭喜，您没有中毒
为了更严格的测试，查看消息钩子
【【【【注意】】】
任何类型属于WH_MOUSE，wh_keyboard，【均有木马可能】
进入服务项，如有任何红色字体显示的服务，100％木马，不是木马我吃了显示器，任何一个正当的服务都不会用隐藏方式
————————-
在icesword下，同时终结winlogon和iexplore进程
进入C:\Program Files\internet explorer\iexplore.exe，杀掉，然后winxp修复上一个好的Ie
进入c:\windows\system\winlogon，杀掉【注意：先杀这个，否则上一个会再起来】
重启，如果is检测无红字进程，无WH_MOUSE，wh_keyboard型钩子（项目前有标），无红色服务，即清理干净
———————————————–
私以为，最近去duowan的人又会有一大批被盗
那帖，跟帖未发现病毒的就有50-60人
duowan地方实在危险，那帖是血精灵的模型包
一个文件压缩了3次，第一层是正常的包
第二层是一个exe自解压文件，使用了自运行函数，你只要点了exe就会中病毒，第三层是病毒文件和血精灵模型包
——————————————-
注：骗过1.2版 icesword的技术已经实现，我不保证此技术不泄漏，但is检测钩子还是很一流，任何木马都要挂钩子。
ssm可以查看到此软件运行记录 

源：http://post.baidu.com/f?kz=133201120

     看到这个题目你也许有些奇怪，怎么把这几个词放在了一起，其实谈起端口和木马都是老生常谈了，但即使是常谈还有很多人的计算机被“冲击波”冲过之后又被“震荡波”狠狠地震了一下，看来很有必要再谈谈老话题，免得再被什么波温柔地扫过。其实说这些最终的目的就是为了保证计算机的上网安全。

一、 端口
 
一)、端口的一般含义

说到端口，这确实是个老话题，但一切都是从它开始的，不得不说。何谓端口，打个比方，你住在一座房子里，想让别人来拜访你，得在房子上开个大门，你养了个可爱的小猫，为了它的进出，专门给它修了个小门，为了到后花园，又开了个后门……所有这些为了进到这所房子里而开的门我们叫它端口，这些为了别人进来而开的端口称它为’服务端口’。

你要拜访一个叫张三的人，张三家应该开了个允许你来的门____服务端口，否则将被拒之门外。去时，首先你在家开个’门’，然后通过这个’门’ 径直走进张三家的大门。为了访问别人而在自己的房子开的’门’，我们称它为’客户端口’。它是随机开的而且是主动打开的，访问完就自行关闭了。它和服务端口性质是不一样的，服务端口是开了个门等着别人来访问，而客户端口是主动打开一个门去打开别人的门，这点一定要清楚。

下面我们从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用同一种协议，协议就是计算机通信的语言，计算机之间必须说一种语言才能彼此通信，Internet的通用语言是TCP/TP，它是一组协议，它规定在网络的第四层运输层有两种协议TCP、UDP。端口就是这两个协议打开的，端口分为源端口和目的端口，源端口是本机打开的，目的端口是正在和本机通信的另一台计算机的端口，源端口分主动打开的客户端口和被动连接的服务端口两种。在Internet中，你访问一个网站时就是在本机开个端口去连网站服务器的一个端口，别人访问你时也是如此。也就是说计算机的通讯就像我们互相串门一样，从这个门走进哪个门。

当你装好系统后默认就开了很多’服务端口’。如何知道自己的计算机系统开了那些端口呢?这就是下面要说的:

二)、查看端口的方法

1、命令方式

下面以Windows XP为例看看新安装的系统都开了那些端口，也就是说都预留了那些门，不借助任何工具来查看端口的命令是netstat，方法如下:

a、在’开始’的’运行’处键入cmd，回车

b、在dos命令界面，键入netstat -na，Proto代表协议，有TCP和UDP两种协议。Local Address代表本机地址，该地址冒号后的数字就是开放的端口号。Foreign ress代表远程地址，如果和其它机器正在通信，显示的就是对方的地址，State代表状态，显示的

LISTENING表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开了，但此时还没有人进来。以第一行为例看看它的意思。

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

这一行的意思是本机的135端口正在等待连接。注意:只有TCP协议的服务端口才能处于LISTENING状态。

2、用TCPView工具

为了更好的分析端口，最好用TCPView这个软件，该软件很小只有93KB，而且是个绿色软件，不用安装。

第一次显示时字体有些小，在’Options’->’Font’中将字号调大即可。TCPView显示的数据是动态的。 Local Address显示的就是本机开放的哪个端口(:号后面的数字)，TCPView可以看出哪个端口是由哪个程序发起的。445、139、 1025、 135、5000等端口是开放的，445、139等端口都是system发起的，135等都是SVCHOST发起的。

三)、研究端口的目的:

1、知道本机开了那些端口，也就是可以进入到本机的’门’有几个，都是谁开的?

2、目前本机的端口处于什么状态，是等待连接还是已经连接，如果是已经连接那就要特别注意看连接是个正常连接还是非正常连接(木马等)?

3、目前本机是不是正在和其它计算机交换数据，是正常的程序防问到一个正常网站还是访问到一个陷阱?

当你上网时就是本机和其它机器传递数据的过程，要传递数据必须要用到端口，即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的，数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态，要想搞明白上述3个问题，就必须清楚端口的状态变化。下面结合实例先分析服务端口的状态变化。只有 TCP协议才有状态，UDP协议是不可@@传输，是没有状态的。

四)、服务端口的状态变化

先在本机(IP地址为:192.168.1.10)配置FTP服务，然后在其它计算机(IP地址为:192.168.1.1)访问FTP服务，从TCPView看看端口的状态变化。

下面是从TCPView中截取的部分。

1、LISTENING状态

FTP服务启动后首先处于侦听(LISTENING)状态。

State显示是LISTENING时表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开的，但还没有人进来。

从TCPView可以看出本机开放FTP的情况。它的意思是:程序inetinfo.exe开放了21端口，FTP默认的端口为21，可见在本机开放了FTP服务。目前正处于侦听状态。

inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

2、ESTABLISHED状态

现在从192.168.1.1这台计算机访问一下192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为ESTABLISHED。

ESTABLISHED的意思是建立连接。表示两台机器正在通信。

下面显示的是本机的FTP服务正在被192.168.1.1这台计算机访问。

inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED

注意:处于ESTABLISHED状态的连接一定要格外注意，因为它也许不是个正常连接。后面我们要讲到这个问题。

3、 TIME_WAIT状态

现在从192.168.1.1这台计算机结束访问192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为TIME_WAIT。

TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问，但访问结束了。

[System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT

4、小技巧

a、可以telnet一个开放的端口，来观察该端口的变化。比如看1025端口是开放的，在命令状态运行:

telnet 192.168.1.10 1025

b、从本机也可以测试，只不过显示的是本机连本机

c、在Tcpview中双击连接可看出程序的位置，右键点击该连接，选择End Process即可结束该连接

     五)、客户端口的状态变化

客户端口实际上就是从本机访问其它计算机服务时打开的源端口，最多的应用是上网，下面就以访问baidu.com为例来看看端口开放以及状态的变化情况。

1、SYN_SENT状态

SYN_SENT状态表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为SYN_SENT，如果连接成功了就变为 ESTABLISHED，此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出，那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机，它就要扫描别的计算
机，在扫描的过程中对每个要扫描的计算机都要发出了同步请求，这也是出现许多  SYN_SENT的原因。

下面显示的是本机连接baidu.com网站时的开始状态，如果你的网络正常的，那很快就变为ESTABLISHED的连接状态。

IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_SENT

2、ESTABLISHED状态

下面显示的是本机正在访问baidu.com网站。如果你访问的网站有许多内容比如访问www.linwan.com，那会发现一个地址有许多ESTABLISHED，这是正常的，网站中的每个内容比如图片、flash等都要单独建立一个连接。看ESTABLISHED状态时一定要注意是不是IEXPLORE.EXE程序(IE)发起的连接，如果是EXPLORE.EXE之类的程序发起的连接，那也许是你的计算机中了木马了。

IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED

3、TIME_WAIT状态

如果浏览网页完毕，那就变为TIME_WAIT状态。

[System Process]:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT

七)、要点

一般用户一定要熟悉(再啰嗦几句):

1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态，LISTENING是本机开了哪些端口，ESTABLISHED是谁在访问你的机器，从哪个地址访问的。

2、客户端口的SYN_SENT状态和ESTABLISHED状态，SYN_SENT是本机向其它计算机发出的连接请求，一般这个状态存在的时间很短，但如果本机发出了很多SYN_SENT，那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据，主要看是不是一个正常程序发起的。

二、木马

什么是木马，简单的说就是在未经你许可偷偷在你的计算机中开个后门，木马开后门主要有两种方式。

1、有服务端口的木马，这类木马都要开个服务端口的后门，成功后该后门处于LISTENING状态，它的端口号可能固定一个数，也可能变化，还有的木马可以与正常的端口合用，例如你开着正常的80端口(WEB服务)，木马也用80端口。这种木马最大的特点就是有端口处于LISTENING状态，需要远程计算机连接它。这种木马对一般用户比较好防范，将防火墙设为拒绝从外到内的连接即可。比较难防范的是反弹型木马。

2、反弹型木马，反弹型木马是从内向外的连接，它可以有效的穿透防火墙，而且即使你使用的是内网IP，他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户端(黑客)地址。木马的服务端软件就像你的Internet Explorer一样，使用动态分配端口去连接客户端的某一端口，通常是常用端口，像端口80。而且会使用隐避性较强的文件名，像 iexpiore.exe、explorer(IE的程序是IEXPLORE.EXE)。如果你不仔细看，你可能会以为是你的Internet Explorer。这样你的防火墙也会被骗过。如果你在TcpView中看到下面这样的连接一定要注意，很有可能是种木马了。  iexpiore.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)

或 Rundll32.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)

或 explorer.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)

三、安全

我们分析端口的目的就是要保证上网安全，根据以上的思路可以从以下几个方面来防范。

一)、关闭不需要的端口

对一般上网用户来说只要能访问Internet就行了，并不需要别人来访问你，也就是说没有必要开放服务端口，在WIN 98可以做到不开放任何服务端口上网，但在Win XP、Win 2000、Win 2003下不行，但可以关闭不必要的端口。

1、关闭137、138、139、445端口

这几个端口都是为共享而开的，是NetBios协议的应用，一般上网用户是不需要别人来共享你的内容的，而且也是漏洞最多的端口。关闭的方法很多，最近从网上学了一招非常好用，一次全部关闭上述端口。

开始-> 控制面板-> 系统-> 硬件-> 设备管理器-> 查看-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。

禁用该设备重新启动后即可。

2、关闭123端口

有些蠕虫病毒可利用UDP 123端口，关闭的方法:停止windows time服务。

3、关闭1900端口

攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包，令’Location’域的地址指向另一系统的 chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源(需要安装硬件时需手动开启)。

关闭1900端口的方法:停止SSDP Discovery Service 服务

通过上面的办法关闭了一些有漏洞的或不用的端口后是不是就没问题了呢?不是。因为有些端口是不能关掉的。像135端口，它是RPC服务打开的端口如果把这个服务停掉，那计算机就关机了，同样像Lsass打开的端口500和4500也不能关闭。冲击波病毒利用的就是135端口，对于不能关闭的端口最好的办法一是常打补丁，端口都是相应的服务打开的，但是对于一般用户很难判断这些服务到底有什么用途，也很难找到停止哪些服务就能关闭相应的端口。最好的办法就是下面我们要讲的安装防火墙。安装防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里，只要你在房子的四周建了一堵密不透风的墙，那对于墙里的房子就是安全的。

     二)、安装防火墙

对于一般用户来讲有下面三类防火墙

1、 自带的防火墙

关于Win XP 与Win 2003自带防火墙的设置请参阅天极网中拙作，不再赘述。

2、ADSL猫防火墙

通过ADSL上网的，如果有条件最好将ADSL猫设置为地址转换方式(NAT)，也就是大家常说的路由模式，其实路由与NAT是不一样的，权且这么叫吧。用NAT方式最大的好处是设置完毕后，ADSL猫就是一个放火墙，它一般只开放80、21、161等为了对ADSL猫进行设置开放的端口。如果不做端口映射的话，一般从远程是攻击不到ADSL猫后面的计算机的。ADSL猫最大的安全隐患就是很多用户都不改变默认密码。这样黑客如果进到你的猫做个端口映射就有可能进入到你的计算机，一定把默认密码改掉。

用自带的放火墙和ADSL猫的NAT方式基本可以抵御从外到内的攻击，也就是说即使服务端口开放(包括系统开放的端口和中了开个服务端口的木马)，黑客和类似震荡波一类的病毒也奈何不了你的计算机。上述防火墙只能防止从外到内的连接，不能防止从内到外的连接，当你打开网页和用QQ聊天时就是从内到外的连接，反弹型木马就是利用放火墙的这一特性来盗取你机器的数据的。反弹型木马虽然十分隐蔽，但也不是没有马脚，防范这类木马最好的办法就是用第三方防火墙。

3、第三方防火墙

前面说过，反弹型木马而且会使用隐避性较强的文件名，像iexpiore.exe、explorer等与IE的程序IEXPLORE.EXE很想的名字或用一些rundll32 之类的好像是系统文件的名字，但木马的本质就是要与远程的计算机通讯，只要通讯就会有连接。如下所示:正常连接是 IEXPLORE.EXE发起的，而非正常连接是木马程序explorer发起的。

一般的防火墙都有应用程序访问网络的权限设置，在防

 流氓软件的技术五花八门，任何一项功能都有可能成为流氓技术，就象武器，用好了可以伸张正义，用歪了却成为罪恶的帮凶。
首先从win32下的一些流氓着数分析开始：

1。我想做为一个流氓软件，首先要做到的是实时运行，譬如在注册表的run下，在boot下增加它的启动。这应该是比较老的方法，以前 3721好象就是在run下，但是现在一般的人都知道了。

2。作为流氓软件，已经改变了以前一些木马的特性了，他没必要使自己一定要实时启动了，而是需要自己的时候再启动，譬如说打开一个浏览器窗口，这是一般流氓软件的方法，因为他需要连上网才能有利益可图，所以浏览器肯定是流氓软件必定监控的进程。

3。使用BHO插件,这种技术早先特别流行，这是微软提供的接口，本意是让IE浏览器可以扩充功能。每当一个ie浏览器启动的时候，都会调用BHO下必要的插件，流氓软件就是利用这一点。监控了浏览器所有事件与信息。

4。还有最笨的办法就是利用进程快照监控进程，判断有它自己所监控的进程启动，就使用atl得到浏览器指针，从而监控浏览器所有事件与信息。

5，还有一种方法就是使用spi，这是我在网上看到的。spi是分层协议，当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。从而监控用户信息，而且能实时启动。

6。hook方法，hook技术可以所应用太广泛了，特别是监控方面。所以流氓软件也不会错过。首先应用的是api函数hook，譬如windows核心编程里的apihook类，或者微软的detous都可以完成，两者方法其实相同就是修改IDT函数入口地址。api hook钩住createprocess 就可以监控进程，比进程快照性能更强，可以钩住spi下的函数可以完成spi下的所有功能。还有消息hook，鼠标消息，键盘消息，日子消息等等钩子，方法实在太多，都可以利用。

上面列举了一些流氓软件的使用方法，但是流氓软件的一个特性是他无法卸载。所以它又要使用下面的方法了
因为上面的很多方法都可以删除注册表卸载他们，那怎么办呢，那就会时时监控，它会在它的进程，或者线程里监控注册表项，设置一个循环监控，发现没了就继续安装，增加。我想这应该是很多流氓软件的技术。

那现在又出现了一个新问题，那就是流氓软件的进程线程要是结束掉怎么办呢？？看后面

7。一种方法就是上面的api hook技术，钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确，使用这种方法，用户或者一般的软件就无法结束它的进程了。

8。还有一种是上面象bho,spi根本没有进程。一般的用户也无法删除他

9。还有一种方法是远程线程，这个技术用的也很普遍，首先是象api hook一样向目标进程里申请一段内存空间，然后使用自己映射过去，然后使用CreateRemoteThread创建远程线程。一般很多流氓软件或者以前的一些木马程序，都是把线程注入到系统进程譬如explorer,service等等，使用用户或者一般的杀毒软件很难处理或者结束。。

10。注册成服务后，也可以简单的隐藏进程。还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

从我上面列举的方法已经差不多可以形成好几款流氓软件了。但是你别高兴太早，因为这些技术只是应用层的，现在出现了一堆驱动层的反流氓软件工具，譬如超级兔子，完美卸载，木马克星，雅虎助手，还有现在火热的360安全卫士。

这些反流氓软件的方法删除以上流氓软件软件就比较简单。优先于流氓软件启动，截获所有访问流氓软件文件的irp，然后删除注册表项，删除文件。轻松的完成了反流氓任务。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
为了针对这些反流氓软件，流氓软件出现了内核层的了。

1。首先是使用文件过滤驱动，保护自己的文件，流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp，从而有效的保护了自己的文件。

2。内核级hook技术，可hook住所有公开的或者未公开的内核函数，譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。

3。驱动层下的流氓软件还使用内核级hook技术，替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表

4。利用内核级hook技术还有隐藏进程，或者监控进程，重起进程。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。因为同是驱动程序相互拦截irp等于大家都无法操作，反流氓软件工具的删除irp会被拦截，或者删除函数会被替换。删除注册表函数会被替换。虽然驱动的加载有先后，但是无法保证能完全的删除流氓软件，从而出现了一些更顶级的反流氓软件，他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。这类流氓软件又能有效的完成了反流氓任务，但是根据我了解，这样的软件不多。现在火热的360安全卫士都还只是使用了笨办法，优先于驱动流氓软件启动，创建一个驱动流氓软件同设备名的设备，，使流氓驱动创建不成功。具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面，就是简单的ndis就能优先于360启动。如果前面的组，那360就束手无策了。所以对付这类流氓驱动只能用直接发irp到文件系统。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

流氓软件又怎么来防止直接发irp到文件系统的反流氓软件呢？rootkit,我看很多对于rootkit有误解，很多都认为hook也是rootkit.呵呵，rootkit说白了就是嵌入操作系统文件。你不是发irp到文件系统吗？，可是我把文件系统给改了，不过rootkit根据我的观察unix或者linex下比较多，在windows下还是比较少的，因为需要使用汇编了，哎太晚了，不写了，我想如果流氓软件做到这个技术程度，它也没必要做流氓了，直接做操作系统得了。

来源:www.hackbase.com

　　现在网络上不安全，对Windows下的伪装服务可以导致系统似乎崩溃，新手可能不能解决，其实方法很简单。最近，笔者就碰到此服务，故障显示电脑开机后只显示一张壁纸，其他一无所有。下面介绍一下我的解决方法:

　　1、“Ctrl+Alt+Del”键，系统弹出“WINDOWS任务管理器”。我选择“文件”菜单下的新建任务(运行)，在创建新任务对话框中录入“explorer”点击确定，过了几秒中硬盘灯也不停的闪烁，大约过了半分钟，桌面的图标开始出现了，系统似乎复活了。

图一

　　2、执行 “运行”命令，在运行对话框中录入“msconfig”并确定。

图二

　　3、系统弹出“系统配置实用程序”对话框，选择“服务”选项卡，并勾选下方“隐藏所有Microsoft服务”，出现如下筛选出的服务项。从列表中可以看到，这其中有四个是瑞星杀毒软件的服务，另外两个未知，将其服务前的勾选去除。

图三

　　4、选择“启动”选项卡，查看相应启动项，除了输入法和瑞星等几个常见的启动项，并无异样。

图四

　　5、打开“控制面板→管理工具→服务”，仔细搜寻那两个可疑服务，果然，首先找到了“iexpliore”，其描述为“Windows启动重要服务”。

图五

　　右键快捷菜单中选择“属性”，可执行的路径:C:\WINDOWS\ hfwin.exe，启动类型为“自动”，查看其依存关系并无相关依存。

图六

　　将启动类型改为“已禁用”，并确定。

图七

　　同样，找到另一个可疑服务“StartWy”，该服务可执行的路径:C:\WINDOWS\ wang6.exe，启动类型为“自动”，其描述为“Windows启动重要服务，如果关闭将无法启动系统”，查看其依存关系并无相关依存，就将其启动类型设为“已禁用”。

图八

　　6、先注消一下系统，目的是为了可疑服务尽可能停止。系统重置后，打开可疑文件所在的目录，C:\WINDOWS，找到文件hfwin.exe，其创建日期是2006年9月1日9:23，大小为324KB。

图九

　　选中该文件，按“Shift+Delete”将其彻底删除，系统提示“删除文件或文件夹时出错”。

图十

　　只好暂时将其放弃删除，找到另一文件Wang6.exe，其创建日期同样是2006年9月1日9:23，大小为283KB。

图十一

　　将其选定并删除，系统显示删除成功。

图十二

　　7、重新启动计算机，在“安全模式下”将hfwin进行删除。

图十三

图十四

　　至此，两个Windows下的伪装服务清理干净。

 

这是摘自it专家网的一篇文章，很有可能图片会失效，不过，发现失效时，麻烦大伙回个信息。