TCP View官方中文版

TCPView中文版是Sysinternals公司(Winternals旗下的一家主力公司為系統(tǒng)復原與資料保護的公司)開發(fā)的一款網絡監(jiān)視工具，可查看端口和線程，并可幫助用戶預防黑客的入侵，在現實中只要木馬在內存中運行就一定會打開某個端口，同樣只要有黑客進入你的電腦，就有新的線程，而恰好TCPView中文版即可監(jiān)控此類端口和線程，用戶完全可依靠它來防止或阻止黑客對本機的入侵。TCPView中文版的使用也十分簡單，在程序的主界面中會顯示當前計算機打開的端口和線程，非常的直觀，可以說用戶一眼即可查看某個端口是什么程序打開的，并且程序還會以顏色來區(qū)分，如紅色代表該進程被刪除、綠色代表剛創(chuàng)建的新進程等等。同時在這里用戶還可通過圖標來分別哪些是正常的應用程序打開的端口，當然對于那些系統(tǒng)本身打開的端口，若用戶并不太熟悉，還可以通過檢查線程的屬性來判斷，具體的操作就是用右鍵點擊這些線程，在彈出的菜單中選擇“process properties(進程屬性)”，其中的“路徑”項就是這個端口的所對應的程序在硬盤上的路徑，通常系統(tǒng)文件都在C:\WINDOWS\system32目錄下，如果出現和系統(tǒng)程序相似的名字，文件又不在系統(tǒng)目錄，那么這些程序就有可能是假冒的系統(tǒng)程序，且大部分都可明確是木馬病毒。另外，在安裝包內雙擊“Tcpview_CHS.exe”即為中文版

TCPView中文版功能

1、進程

運行程序的名稱，在這個欄位下同一個程序并不會只有一個，例如用IE打開多個網頁，就會存在多個網絡連接，所以無需因為看到太多個同樣的程序執(zhí)行就覺得有問題，那只代表該程序有多個連接進程。

2、PID

每個程序執(zhí)行，系統(tǒng)就會給它一個PID權限，與程序的權限有相關。

3、協議

程序要與網絡連線，就必需使用通訊協議，協議也有分成TCP及UDP兩種聯接協議，若在防火牆后連網，就必須要知道目前該程序所運作的Protocol是什么，不然就算是端口號正確，也是無法對外開建立聯線。另外TCP及UDP有65536個可用連接端口。

4、本地地址

本機的IP地址，一般來說都會顯示為該電腦的電腦名稱或是IP地址。

5、本地端口：本機的連線端口號。

6、遠程地址：遠端服務的連接位置，一般是顯示該程序所連接的網址或是IP地

TCPView中文版特點

1、綠色免安裝，該軟件是綠色軟件不需要安裝，下載完直接雙擊即可運行

2、無任何廣告，用戶可真正享受到綠色化的界面操作

3、功能強大，有了它用戶即可了解自己的電腦是否被黑客入侵

4、查看到的端口和線程可以顏色來區(qū)別其行為，包括紅色代表該進程被刪除、綠色代表剛創(chuàng)建的新進程、黃色代表當進程從一種狀態(tài)轉變成另一種狀態(tài)

TCPView中文版使用教程

一、TCPView的使用非常簡單，由于是綠色軟件，所以不需要安裝，下載完直接雙擊“Tcpview_CHS.exe”即可運行

二、主界面中顯示了當前計算機打開的端口和線程，非常直觀，一眼就能看出某個端口是什么程序打開的，并會時不時的會用紅、黃、綠三種顏色標注某些進程:

★紅色代表該進程被刪除

★綠色代表剛創(chuàng)建的新進程

★黃色代表當進程從一種狀態(tài)轉變成另一種狀態(tài)

三、對于那些系統(tǒng)本身打開的端口，由于一般用戶并不太熟悉，可以通過檢查線程的屬性來判斷,具體操作:

1.右鍵點擊這些線程，在彈出的菜單中選擇“process properties(進程屬性)”

2.其中的“路徑”項就是這個端口的所對應的程序在硬盤上的路徑，通常系統(tǒng)文件都在C:\WINDOWS\system32目錄下，如果出現和系統(tǒng)程序相似的名字，文件又不在系統(tǒng)目錄，那么這些程序就有可能是假冒的系統(tǒng)程序，極有可能是木馬

四、Windows下請運行Tcpview.exe，tcpvcon.exe為Tcpview.exe的命令行版本

【Tcpview.exe使用方法】

tcpvcon[-a][-c][-n][進程名稱或PID] -a

顯示所有端點（默認為顯示已確定的TCP連接） -c

打印輸出為CSV對照文本 -n

不解析地址

如何關閉不必要的端口？

1、關閉tcp/udp7、tcp/udp9、tcp/udp13、tcp/udp17、tcp/udp19端口

只需要打開“控制面板”->“管理工具”->“服務”，停止Simple TCP/IP Service(前提是您必須安裝了此服務)。它們所支持的 TCP/IP 服務分別是：ECHO、 Discard、DAYTIME、Quote of the Day, 以及 Character 

2、關閉TCP80口(HTTP服務)

只需在“控制面板”->“管理工具”->“服務” 停止WEB發(fā)布服務(“World Wide Web Publishing Service”)?；蚴峭ㄟ^ Internet 信息服務(IIS)的管理單元把’默認WEB站點’停止也可以關閉TCP80端口的服務

3、關掉TCP25端口(SMTP服務)

在“控制面板”->“管理工具”->“服務” 中停止”Simple Mail Transport Protocol (SMTP)”服務；或是在IIS中停止’默認SMTP虛擬服務器’也可以

4、關掉TCP21(FTP服務器)端口

在“控制面板”->“管理工具”->“服務” 中停止FTP Publishing Service;或在IIS中停止’默認FTP站點’

5、關掉TCP23(telnet server)端口

在“控制面板”->“管理工具”->“服務” 中停止’Telnet’服務。TCP139端口:NetBIOS Session端口，一個用作共享的端口。打開“網絡和撥號連接”->“本地連接”右鍵屬性-> “Internet協議(TCP/IP)”->“屬性”->“高級…”->“WINS”->“禁用TCP/IP上的NETBIOS”，選擇此項便能停止TCP139的監(jiān)聽。TCP445端口(Microsoft-DS)，除TCP139以外的另一個能用來作共享入侵的端口。關閉它的方法：

打開注冊表[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NETBT\PARAMETERS]新建一DWORD鍵值，名為”SMBDeviceEnabled”，其值為0。

6、389端口的關閉

首先說明3389端口是Windows的遠程管理終端所開的端口，它并不是一個木馬程序，請先確定該服務是否是你自己開放的。如果不是必須的，建議關閉該服務。

★WindowsXP系統(tǒng)：在“我的電腦”上點右鍵，選“屬性”–>“遠程”，將里面的“遠程協助”和“遠程桌面”兩個選項框里的勾去掉

★Windows2000 Server系統(tǒng)：點擊“開始”–>“程序”–>“管理工具”–>“服務”里找到“Terminal Services”服務項，選中“屬性”選項將啟動類型改成“手動”，并停止該服務。（該方法在XP同樣適用，XP用戶可參照這個方法設置。）

★Windows2000 Pro

點擊“開始菜單”–>“運行”，輸入“regedit”，打開注冊表，進入以下路徑：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，看見PortNamber值了嗎？其默認值是3389，修改成所希望的端口即可，例如6111。

再打開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp]，將PortNumber的值（默認是3389）修改成端口6111。如果[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations]分支里還其他類似的子鍵,一樣的改它的值。

修改完畢，重新啟動電腦，以后遠程登錄的時候使用端口6111就可以了

如何防止被黑客攻擊？

一、服務器只安裝TCP/IP協議完全足夠

1.鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協議。

2.其中NETBIOS是很多安全缺陷的根源，對于不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS關閉，避免針對NETBIOS的攻擊。

3.選擇“TCP/IP協議/屬性/高級”，進入“高級TCP/IP設置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關閉NETBIOS.

二、禁止惡意代碼運行

1.一般惡意網頁是因為加入了用編寫的惡意代碼才有破壞力，這些惡意代碼就相當于一些小程序，只要打開該網頁就會被運行

2.運行IE瀏覽器，點擊“工具/Internet選項/安全/自定義級別”，將安全級別定義為“安全級-高”，對“ActiveX控件和插件”中第2、3項設置為“禁用”，其它項設置為“提示”，之后點擊“確定”。這樣設置后，當你使用IE瀏覽網頁時，就能有效避免惡意網頁中惡意代碼的攻擊

三、關閉所有共享

1.取消文件夾隱藏共享

右鍵單擊C盤或者其它盤選擇共享，你會驚奇地發(fā)現它已經被設置為“共享該文件夾”，而在“網上鄰居”中卻看不到這些內容，這是怎么回事呢?

原來，在默認狀態(tài)下，硬盤上的每個分區(qū)名后面都加了一個“$”。入侵者要鍵入“計算機名或者IPC$”，系統(tǒng)就會詢問用戶名和密碼，可以輕易看到C盤的內容，這就給網絡安全帶來了極大的隱患

怎么來消除默認共享呢？

方法很簡單，打開注冊表編輯器，進入HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Sevices\ Lanmanworkstation\ parameters”，新建一個名為“AutoShareWKs”的雙字節(jié)值，并將其值設為“0”，然后重新啟動電腦，這樣共享就取消了

2.關閉“文件和打印共享”

文件和打印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。首先，把“文件和打印共享”關閉，然后打開注冊表編輯器，選擇“HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ NetWork”主鍵，在該主鍵下新建DWORD類型的鍵值，鍵值名為“NoFileSharingControl”，鍵值設為“1”表示禁止這項功能，從而達到禁止更改“文件和打印共享”的目的;鍵值為“0”表示允許這項功能。這樣在“網絡鄰居”的“屬性”對話框中“文件和打印共享”就不復存在了

四、禁用Guest賬號

1.有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權限的，如果不想把自己的計算機給別人當玩具，那還是禁止的好

2.打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在“常規(guī)”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全

五、關閉不必要的端口

黑客在入侵時常常會掃描你的計算機端口，如果安裝了端口監(jiān)視程序(比如Netwatch)，該監(jiān)視程序則會有警告提示。如果遇到這種入侵，可用工具軟件關閉用不到的端口，比如，用“Norton Internet Security”關閉用來提供網頁服務的80和443端口，其他一些不常用的端口也可關閉

六、安裝必要的安全軟件

殺毒軟件，也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機威脅的一類軟件。一般最常見的殺毒軟件有360、電腦管家、瑞星等