TCP View官方中文版

TCPView中文版是Sysinternals公司(Winternals旗下的一家主力公司為系統(tǒng)復(fù)原與資料保護的公司)開發(fā)的一款網(wǎng)絡(luò)監(jiān)視工具，可查看端口和線程，并可幫助用戶預(yù)防黑客的入侵，在現(xiàn)實中只要木馬在內(nèi)存中運行就一定會打開某個端口，同樣只要有黑客進入你的電腦，就有新的線程，而恰好TCPView中文版即可監(jiān)控此類端口和線程，用戶完全可依靠它來防止或阻止黑客對本機的入侵。TCPView中文版的使用也十分簡單，在程序的主界面中會顯示當(dāng)前計算機打開的端口和線程，非常的直觀，可以說用戶一眼即可查看某個端口是什么程序打開的，并且程序還會以顏色來區(qū)分，如紅色代表該進程被刪除、綠色代表剛創(chuàng)建的新進程等等。同時在這里用戶還可通過圖標來分別哪些是正常的應(yīng)用程序打開的端口，當(dāng)然對于那些系統(tǒng)本身打開的端口，若用戶并不太熟悉，還可以通過檢查線程的屬性來判斷，具體的操作就是用右鍵點擊這些線程，在彈出的菜單中選擇“process properties(進程屬性)”，其中的“路徑”項就是這個端口的所對應(yīng)的程序在硬盤上的路徑，通常系統(tǒng)文件都在C:\WINDOWS\system32目錄下，如果出現(xiàn)和系統(tǒng)程序相似的名字，文件又不在系統(tǒng)目錄，那么這些程序就有可能是假冒的系統(tǒng)程序，且大部分都可明確是木馬病毒。另外，在安裝包內(nèi)雙擊“Tcpview_CHS.exe”即為中文版

TCPView中文版功能

1、進程

運行程序的名稱，在這個欄位下同一個程序并不會只有一個，例如用IE打開多個網(wǎng)頁，就會存在多個網(wǎng)絡(luò)連接，所以無需因為看到太多個同樣的程序執(zhí)行就覺得有問題，那只代表該程序有多個連接進程。

2、PID

每個程序執(zhí)行，系統(tǒng)就會給它一個PID權(quán)限，與程序的權(quán)限有相關(guān)。

3、協(xié)議

程序要與網(wǎng)絡(luò)連線，就必需使用通訊協(xié)議，協(xié)議也有分成TCP及UDP兩種聯(lián)接協(xié)議，若在防火牆后連網(wǎng)，就必須要知道目前該程序所運作的Protocol是什么，不然就算是端口號正確，也是無法對外開建立聯(lián)線。另外TCP及UDP有65536個可用連接端口。

4、本地地址

本機的IP地址，一般來說都會顯示為該電腦的電腦名稱或是IP地址。

5、本地端口：本機的連線端口號。

6、遠程地址：遠端服務(wù)的連接位置，一般是顯示該程序所連接的網(wǎng)址或是IP地

TCPView中文版特點

1、綠色免安裝，該軟件是綠色軟件不需要安裝，下載完直接雙擊即可運行

2、無任何廣告，用戶可真正享受到綠色化的界面操作

3、功能強大，有了它用戶即可了解自己的電腦是否被黑客入侵

4、查看到的端口和線程可以顏色來區(qū)別其行為，包括紅色代表該進程被刪除、綠色代表剛創(chuàng)建的新進程、黃色代表當(dāng)進程從一種狀態(tài)轉(zhuǎn)變成另一種狀態(tài)

TCPView中文版使用教程

一、TCPView的使用非常簡單，由于是綠色軟件，所以不需要安裝，下載完直接雙擊“Tcpview_CHS.exe”即可運行

二、主界面中顯示了當(dāng)前計算機打開的端口和線程，非常直觀，一眼就能看出某個端口是什么程序打開的，并會時不時的會用紅、黃、綠三種顏色標注某些進程:

★紅色代表該進程被刪除

★綠色代表剛創(chuàng)建的新進程

★黃色代表當(dāng)進程從一種狀態(tài)轉(zhuǎn)變成另一種狀態(tài)

三、對于那些系統(tǒng)本身打開的端口，由于一般用戶并不太熟悉，可以通過檢查線程的屬性來判斷,具體操作:

1.右鍵點擊這些線程，在彈出的菜單中選擇“process properties(進程屬性)”

2.其中的“路徑”項就是這個端口的所對應(yīng)的程序在硬盤上的路徑，通常系統(tǒng)文件都在C:\WINDOWS\system32目錄下，如果出現(xiàn)和系統(tǒng)程序相似的名字，文件又不在系統(tǒng)目錄，那么這些程序就有可能是假冒的系統(tǒng)程序，極有可能是木馬

四、Windows下請運行Tcpview.exe，tcpvcon.exe為Tcpview.exe的命令行版本

【Tcpview.exe使用方法】

tcpvcon[-a][-c][-n][進程名稱或PID] -a

顯示所有端點（默認為顯示已確定的TCP連接） -c

打印輸出為CSV對照文本 -n

不解析地址

如何關(guān)閉不必要的端口？

1、關(guān)閉tcp/udp7、tcp/udp9、tcp/udp13、tcp/udp17、tcp/udp19端口

只需要打開“控制面板”->“管理工具”->“服務(wù)”，停止Simple TCP/IP Service(前提是您必須安裝了此服務(wù))。它們所支持的 TCP/IP 服務(wù)分別是：ECHO、 Discard、DAYTIME、Quote of the Day, 以及 Character 

2、關(guān)閉TCP80口(HTTP服務(wù))

只需在“控制面板”->“管理工具”->“服務(wù)” 停止WEB發(fā)布服務(wù)(“World Wide Web Publishing Service”)?；蚴峭ㄟ^ Internet 信息服務(wù)(IIS)的管理單元把’默認WEB站點’停止也可以關(guān)閉TCP80端口的服務(wù)

3、關(guān)掉TCP25端口(SMTP服務(wù))

在“控制面板”->“管理工具”->“服務(wù)” 中停止”Simple Mail Transport Protocol (SMTP)”服務(wù)；或是在IIS中停止’默認SMTP虛擬服務(wù)器’也可以

4、關(guān)掉TCP21(FTP服務(wù)器)端口

在“控制面板”->“管理工具”->“服務(wù)” 中停止FTP Publishing Service;或在IIS中停止’默認FTP站點’

5、關(guān)掉TCP23(telnet server)端口

在“控制面板”->“管理工具”->“服務(wù)” 中停止’Telnet’服務(wù)。TCP139端口:NetBIOS Session端口，一個用作共享的端口。打開“網(wǎng)絡(luò)和撥號連接”->“本地連接”右鍵屬性-> “Internet協(xié)議(TCP/IP)”->“屬性”->“高級…”->“WINS”->“禁用TCP/IP上的NETBIOS”，選擇此項便能停止TCP139的監(jiān)聽。TCP445端口(Microsoft-DS)，除TCP139以外的另一個能用來作共享入侵的端口。關(guān)閉它的方法：

打開注冊表[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NETBT\PARAMETERS]新建一DWORD鍵值，名為”SMBDeviceEnabled”，其值為0。

6、389端口的關(guān)閉

首先說明3389端口是Windows的遠程管理終端所開的端口，它并不是一個木馬程序，請先確定該服務(wù)是否是你自己開放的。如果不是必須的，建議關(guān)閉該服務(wù)。

★WindowsXP系統(tǒng)：在“我的電腦”上點右鍵，選“屬性”–>“遠程”，將里面的“遠程協(xié)助”和“遠程桌面”兩個選項框里的勾去掉

★Windows2000 Server系統(tǒng)：點擊“開始”–>“程序”–>“管理工具”–>“服務(wù)”里找到“Terminal Services”服務(wù)項，選中“屬性”選項將啟動類型改成“手動”，并停止該服務(wù)。（該方法在XP同樣適用，XP用戶可參照這個方法設(shè)置。）

★Windows2000 Pro

點擊“開始菜單”–>“運行”，輸入“regedit”，打開注冊表，進入以下路徑：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，看見PortNamber值了嗎？其默認值是3389，修改成所希望的端口即可，例如6111。

再打開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp]，將PortNumber的值（默認是3389）修改成端口6111。如果[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations]分支里還其他類似的子鍵,一樣的改它的值。

修改完畢，重新啟動電腦，以后遠程登錄的時候使用端口6111就可以了

如何防止被黑客攻擊？

一、服務(wù)器只安裝TCP/IP協(xié)議完全足夠

1.鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協(xié)議。

2.其中NETBIOS是很多安全缺陷的根源，對于不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉，避免針對NETBIOS的攻擊。

3.選擇“TCP/IP協(xié)議/屬性/高級”，進入“高級TCP/IP設(shè)置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關(guān)閉NETBIOS.

二、禁止惡意代碼運行

1.一般惡意網(wǎng)頁是因為加入了用編寫的惡意代碼才有破壞力，這些惡意代碼就相當(dāng)于一些小程序，只要打開該網(wǎng)頁就會被運行

2.運行IE瀏覽器，點擊“工具/Internet選項/安全/自定義級別”，將安全級別定義為“安全級-高”，對“ActiveX控件和插件”中第2、3項設(shè)置為“禁用”，其它項設(shè)置為“提示”，之后點擊“確定”。這樣設(shè)置后，當(dāng)你使用IE瀏覽網(wǎng)頁時，就能有效避免惡意網(wǎng)頁中惡意代碼的攻擊

三、關(guān)閉所有共享

1.取消文件夾隱藏共享

右鍵單擊C盤或者其它盤選擇共享，你會驚奇地發(fā)現(xiàn)它已經(jīng)被設(shè)置為“共享該文件夾”，而在“網(wǎng)上鄰居”中卻看不到這些內(nèi)容，這是怎么回事呢?

原來，在默認狀態(tài)下，硬盤上的每個分區(qū)名后面都加了一個“$”。入侵者要鍵入“計算機名或者IPC$”，系統(tǒng)就會詢問用戶名和密碼，可以輕易看到C盤的內(nèi)容，這就給網(wǎng)絡(luò)安全帶來了極大的隱患

怎么來消除默認共享呢？

方法很簡單，打開注冊表編輯器，進入HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Sevices\ Lanmanworkstation\ parameters”，新建一個名為“AutoShareWKs”的雙字節(jié)值，并將其值設(shè)為“0”，然后重新啟動電腦，這樣共享就取消了

2.關(guān)閉“文件和打印共享”

文件和打印共享應(yīng)該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。首先，把“文件和打印共享”關(guān)閉，然后打開注冊表編輯器，選擇“HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ NetWork”主鍵，在該主鍵下新建DWORD類型的鍵值，鍵值名為“NoFileSharingControl”，鍵值設(shè)為“1”表示禁止這項功能，從而達到禁止更改“文件和打印共享”的目的;鍵值為“0”表示允許這項功能。這樣在“網(wǎng)絡(luò)鄰居”的“屬性”對話框中“文件和打印共享”就不復(fù)存在了

四、禁用Guest賬號

1.有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權(quán)限的，如果不想把自己的計算機給別人當(dāng)玩具，那還是禁止的好

2.打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在“常規(guī)”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全

五、關(guān)閉不必要的端口

黑客在入侵時常常會掃描你的計算機端口，如果安裝了端口監(jiān)視程序(比如Netwatch)，該監(jiān)視程序則會有警告提示。如果遇到這種入侵，可用工具軟件關(guān)閉用不到的端口，比如，用“Norton Internet Security”關(guān)閉用來提供網(wǎng)頁服務(wù)的80和443端口，其他一些不常用的端口也可關(guān)閉

六、安裝必要的安全軟件

殺毒軟件，也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機威脅的一類軟件。一般最常見的殺毒軟件有360、電腦管家、瑞星等