Q:有些軟體明明已經移除,但是控制台中「新增移除程式」的清單上卻還有,我再次按下移除,跳出視窗告訴我此程式似乎已經移除,要從清單移除嗎?我選「是」,但是問題來了:卻跳出視窗告訴我沒有足夠的權限從清單移除,請洽系統管理員。請問,有辦法解決嗎?
A:如果移除軟體之後該程式還是會留下來(請確定真的已經移除)並且無法移除的話,請開啟登錄編輯器中直接進入 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,裡面每一個項目幾乎都是「新增/移除」中顯示的軟體清單,您可以找一下該無法移除的軟體,整項將之刪除,再開啟「新增/移除程式」,就會發現到該項已經刪除了。
本篇摘錄自 PCHome Dr.J Q&A 電子報
如何檢視自己開放的Port!
最近被病毒搞的頭昏腦漲的,不過也收穫不小喲,知道了點小方法,與大家共勉。
當前最為一般的木馬通常是關於TCP/UDP傳輸協定進行client端與server端之間的通訊的,既然利用到這兩個傳輸協定,就不可避免要在 server端(就是被種了木馬的機器了)開啟監聽Port來等待連接。例如鼎鼎大名的冰河使用的監聽Port是7626,Back Orifice 2000則是使用54320等等。
那麼,我們可以利用檢視本地機開放Port的方法來檢查自己是否被種了木馬或其它hacker程序。以下是詳細方法介紹。
1. Windows本身原有的的netstat指令\r
關於netstat指令,我們先來看看windows求助文件中的介紹:
Netstat
顯示傳輸協定統計和當前的 TCP/IP 網路連接。該指令只有在安裝了 TCP/IP 傳輸協定後才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
參數\r
-a
顯示所有連接和偵聽Port。伺服器連接通常不顯示。
-e
顯示乙太網統計。該參數可以與 -s 選項結合使用。
-n
以數位格式顯示位址和Port號(而不是嘗試搜尋名稱)。
-s
顯示每個傳輸協定的統計。預設情況下,顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設的子集。
-p protocol
顯示由 protocol 指定的傳輸協定的連接;protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個傳輸協定的統計,protocol 可以是 tcp、udp、icmp 或 ip。
-r
顯示路由表的內容。
interval
重新顯示所選的統計,在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數,netstat 將列印一次當前的配置資訊。
好了,看完這些求助文件,我們應該明白netstat指令的使用方法了。現在就讓我們現學現用,用這個指令看一下自己的機器開放的Port。進入到指令行下,使用netstat指令的a和n兩個參數:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
解釋一下,Active Connections是指當前本地機活動連接,Proto是指連接使用的傳輸協定名稱,Local Address是本機電腦的 IP 位址和連接正在使用的Port號,Foreign Address是連接該Port的遠端電腦的 IP 位址和Port號,State則是表明TCP 連接的狀態,你可以看到後面三行的監聽Port是UDP傳輸協定的,所以沒有State表示的狀態。
看!我的機器的7626Port已經開放,正在監聽等待連接,像這樣的情況極有可能是已經感染了冰河!急忙中斷連線網路,用殺毒軟體查殺病毒是正確的做法。
2.工作在windows2000下的指令行工具fport
使用windows2000的朋友要比使用windows9X的幸運一些,因為可以使用fport這個程序來顯示本地機開放Port與行程的對應關係。
Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDPPort,以及它們對應應用程式的完整路徑、PID標識、行程名稱等資訊的軟體。在指令行下使用,請看例子:
D:\>fport.exe
FPort v1.33 – TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
是不是一目瞭然了。這下,各個Port究竟是什麼程序開啟的就都在你眼皮底下了。
如果發現有某個可疑程序開啟了某個可疑Port,可千萬不要大意哦,也許\那就是一隻狡猾的木馬!
Fport的最新版本是2.0。
在很多網站都提供下載,但是為了安全起見,當然最好還是到它的老家去下:
http://www.foundstone.com/knowledge/zips/fport.zip
3.與Fport(工力)能類似的圖形化界面工具Active Ports
Active Ports為SmartLine出品,你可以用來監視電腦所有開啟的TCP/IP/UDPPort,不但可以將你所有的Port顯示出來,還顯示所有Port所對應的程序所在的路徑,本機IP和遠端IP(試突連接你的電腦IP)是否正在活動。
更棒的是,它還提供了一個關閉Port的(工力)能,在你用它發現木馬開放的Port時,可以立即將Port關閉。
這個軟體工作在Windows NT/2000/XP平台下。你可以?a href=”bhttp://www.smartline.ru/software/aports.zip得到它。” target=”_blank”>bhttp://www.smartline.ru/software/aports.zip得到它。
其實使用windows xp的用戶無須借助其它軟體即可以得到Port與行程的對應關係,因為windows xp所帶的netstat指令比以前的版本多了一個O參數,使用這個參數就可以得出Port與行程的對應來。
上面介紹了幾種檢視本地機開放Port,以及Port和行程對應關係的方法,通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬,希望能給你的愛機帶來說明 。
但是對木馬重在防範,而且如果碰上反彈Port木馬,利用驅動程式及動態連接庫技術製作的新木馬時,以上這些方法就很難查出木馬的痕跡了。
所以我們一定要養成良好的上網習慣,不要隨意執行郵件中的附件,安裝一套殺毒軟體,像國內的瑞星就是個查殺病毒和木馬的好幫手。
從網上下載的軟體先用殺毒軟體檢查一遍再使用,在上網時開啟網路防火牆和病毒既時監控,保護自己的機器不被可恨的木馬入侵。
文章出處:南榮同學情
每一項服務都對應相應的Port,比如眾如周知的WWW服務的Port是80,smtp是25,ftp是21,win2000安裝中預設的都是這些服務開啟的。
對於個人用戶來說確實沒有必要,關掉Port也就是關閉無用的服務。 「控制台」的「系統管理工具」中的「服務」中來配置。
1、關閉7.9等等Port:關閉Simple TCP/IP Service,支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關閉80口:關掉WWW服務。在「服務」中顯示名稱為”World Wide Web Publishing Service”,通過 Internet 資訊服務的管理單元提供 Web 連接和管理。
3、關掉25Port:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的(工力)能是跨網傳送電子郵件。
4、關掉21Port:關閉FTP Publishing Service,它提供的服務是通過 Internet 資訊服務的管理單元提供 FTP 連接和管理。
5、關掉23Port:關閉Telnet服務,它允許遠端用戶登入到系統並且使用指令行執行控制台程序。
6、還有一個很重要的就是關閉server服務,此服務提供 RPC 支持、文件、列印以及命名管道共享。關掉它就關掉了win2k的預設共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
7、還有一個就是139Port,139Port是NetBIOS SessionPort,用來文件和列印共享,注意的是執行samba的unix機器也開放了139Port,(工力)能一樣。
以前流光2000用來判斷對方主機類型不太準確,估計就是139Port開放既認為是NT機,現在好了。
關閉139口聽方法是在「網路和撥號連接」中「本機連接」中選取「Internet傳輸協定(TCP/IP)」內容,進入「進階TCP/IP設定」「WINS設定」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139Port。對於個人用戶來說,可以在各項服務內容設定中設為「禁用」,以免下次重啟服務也重新啟動,Port也開放了。
文章出處:南榮同學情
適用範圍:
Outlook Express 4、5、6
備份郵件規則
如果要備份郵件規則的話,就要用到登錄編輯器(Regedit.exe),匯出相關的登錄值。
到「開始」>>「執行」,輸入:regedit 然後按確定。
OE4 或是 OE4.01,則請到以下位置:
HKEY_CURRENT_USER\Software\Microsoft\Outlook Express\Mail\Inbox Rules
然後選(工力)能表上的「登錄」>>「匯出登錄檔」,然後存檔,這個 reg 檔案就是你備份的郵件規則。
OE5 或 Outlook Express 6,則請到以下位置(參考下圖):
HKEY_CURRENT_USER\Identities\{Identity Number}\Software\Microsoft\Outlook Express\5.0\Rules\Mail
方法如同 OE4,選(工力)能表上的「登錄」>>「匯出登錄檔」,把這個登錄檔存放在安全的地方,以後
要匯入的時候,只要在這個 .reg 的檔案上 click兩下,reg 檔案中的資料就會自動匯入。
註一:
Identity Number 就是在 Identities 下的一個一串很長數值的資料夾 (由大括弧{}符號包圍起來)
,每台電腦的數值都不一樣,所以這裡沒法明確指出這數字。
因為有 Identity Number 的關係,所以你不能把電腦 A 的郵件規則直接複製到電腦 B 上面去,因為\r
兩台電腦的 Identity Number 根本不一樣,你匯過去也沒有用,你只能回存到你原先匯出的那台電腦上。
如果你要把郵件規則匯到另一部電腦上,請參考底下的還原郵件規則
——————————————————————————–
郵件規則的還原
前一節介紹了如何備份郵件規則,不過,光是備份沒什麼用,要能還原回去才行。
但是,不知道你有沒有注意到,在前一節我有提到,這個匯出來的 .reg 檔案,只能用在匯出規則的那一
台電腦上,如果我要把這個規則匯入到其他電腦,或是,我電腦重新 format、重新安裝了作業系統,那\r
我要把以前備份出來的這個郵件規則匯入該怎麼辦?
這裡就是要告訴你如何把已經匯出的郵件規則,再匯入到新電腦的 Outlook Express 中,本節是以
Outlook Express 5 為範例。(Outlook Express 6 亦相同)
不過,要把備份出來的郵件規則還原到新的環境去,整個過程並不像備份那樣的「簡單」(註一),你必
須有這樣的心理準備。
我們需要使用登錄編輯器(Regedit),並且,會需要修改 .reg 檔案,如果你是生手,不建議你自己動
手做,找一個有經驗的朋友來協助你,修改登錄檔時若改錯,都可能會造成作業系統不正常,所以修改時
,務必請小心。
以下是本例還原步驟的假設環境狀況:
我已經把舊電腦裡的 Outlook Express 5(或 6)郵件規則備份出來了。
現在要把這個匯出的 .reg 檔,再還原到剛裝好的作業系統中的 Outlook Express 5(或 6)。
另外提醒你,在還原過程中,請不要開啟 Outlook Express。
開始還原:
在目的電腦上,執行 regdeit,到:
HKEY_CURRENT_USER\Identities\{GUID}
{GUID} 只是一個代名詞,你不要去找 GUID 這四個英文字母,這樣是找不到的。
它就是看起來很長一串的那個數字,每部PC上的 {GUID} 數值都不同,另外,也有可能同一台PC 上有好\r
幾個 {GUID},所以在這個步驟,是要找出你自己的 {GUID} 碼。
(如果在 Identities 下有好幾個 {GUID} 的話)
點選這些 {GUID} ,注意右側窗格的 Username 欄,如果你的 Outlook Express 並沒有設定身份,那麼
Username 顯示為「主 ID」的那個 {GUID} 就是你的 {GUID}。
如果你的 Outlook Express 5 有設定不同身份,Username 就選擇你的 Username 出現的那個 {GUID} 碼。
把這個 {GUID} 碼記下來(或 Copy 到 記事本),好比你的 {GUID} 是:{A3175AF6-6658-432A-95A3-
959F4343E2B2},就 copy A3175AF6-6658-432A-95A3-959F4343E2B2 到記事本上(用筆抄下來也可以)。
用「WordPad」打開你備份出來的郵件規則登錄檔 xxx.reg 檔案,別忘了開起檔案的時候,檔案類型要選\r
擇「全部文件」,你才能看到 reg 檔。(你要用 UltraEDit 打開也無所謂)
打開之後,可以看到在 Identities 之後所跟著的是你舊的 {GUID} 碼(都是來自舊電腦上的,或是重新\r
安裝作業系統前的機碼),這些舊的 {GUID} 碼對我們都沒有用,我們要把全部的舊的 {GUID} 碼換成新\r
的才行,抄下你的舊機碼。
到WordPad 的「編輯」>>「取代」。
尋找目標:輸入你的舊 GUID 碼。
取代為:輸入你的新 GUID 碼,最前面我不是叫你 copy 到記事本上嗎?或是抄下來嗎?
把之前找出的新機碼放在「取代為」這一欄。
按全部取代。
存檔。
在你這個 reg 檔案上 click 兩下,reg 檔案內容就會匯入到 registry 裡。
你原機器上的郵件規則已經完全匯入到新的機器上了。
補充:
當你匯入之後,你到「工具」>>「郵件規則」>>「郵件」,你可能會發現有許\多的郵件規則前都會出現 X
符號,這是因為在你新的環境中,並沒有這個規則所要用的某個項目,你只要補建所缺少的項目即可。
例如,假設你的規則是:原本 Tony 寄來的信件都是放到 Tony 這個郵件匣,但是因為你新電腦上還沒有
建立 Tony 這個郵件匣,所以在這個郵件規則前面就會出現一個大大的紅色「X」符號,你只要按下紅色的
文字,去補建 Tony 這個郵件夾即可,依此類推。
相關文章:備份郵件規則
註一:
我這邊所指的還原狀況是:我重新安裝作業系統、或是我已經買了新電腦了,我要把我原本舊的、備份出\r
來郵件規則放到新的作業系統、新的電腦上。
當然,如果你並沒有重新安裝作業系統(也沒有重新安裝 Outlook Express),只是單純的想把之前備份\r
出來的郵件規則匯入回去,只要在當初匯出的那個 reg 檔案上 double click,就會自動匯入。
本文轉載自斌斌小站 http://www.binbin.net/
【大紀元3月26日訊】網上銀行、網上合同、電子簽名等電子商務的安全隱患一直是人們關心的重點。一直在國際上廣泛應用的兩大密碼算法MD5、SHA-1,近期被一名中國女密碼專家破解。這一消息在國際密碼學領域引起極大反響,同時也再次敲響了電子商務安全的警鐘。
據〈文匯報〉報道,從密碼分析上找出這兩大國際通用密碼漏洞的是一位土生土長的中國專家——山東大學信息安全所所長王小雲。
兩座密碼大厦受創
2004 年8月,在美國加州聖芭芭拉召開的國際密碼大會上,王小雲教授拿著自己的研究成果找到會議主席,要求進行大會發言,幷首次宣布了她及她的研究小組近年來的研究成果——對MD5、HAVAL-128、MD4和RIPEMD等四個著名密碼算法的破譯結果。王小雲的研究成果作爲密碼學領域的重大發現宣告了固若金湯的世界通行密碼標準MD5大厦轟然倒塌,引發了密碼學界的軒然大波。
2005年2月7日,美國國家標準技術研究院發表申明, SHA-1沒有被攻破,幷且有足够的理由相信它不會很快被攻破,而僅僅一周之後,王小雲就宣布了破譯SHA-1的消息。
由于SHA-1在美國等國家有更加廣泛的應用,密碼被破的消息一出,在國際社會的反響可謂石破天驚。換句話說,王小雲的研究成果表明了從理論上講電子簽名可以僞造,必須及時添加限制條件,或者重新選用更爲安全的密碼標準,以保證電子商務的安全。
幕後不可思議的女子解碼團隊
讓世界震驚的是,絕大多數密碼專家認爲固若金湯的兩大密碼算法,最終被一位中國女子帶領的女子團隊無情地擊倒,而且這個過程看起來似乎幷不是太難,SHA-1的破解只用了兩個多月的時間,很多密碼學界的專家認爲“這聽起來簡直有些不可思議”。
王小雲1990年在山東大學師從著名數學家潘承洞教授攻讀數論與密碼學專業博士,在潘承洞、于秀源、展濤等多位名師的指導下,她成功將數論知識應用到密碼學中,幷從上世紀90年代末開始進行Hash函數的研究。
王小雲在成功之前一直默默無聞,同行評價她,從不急功近利,沒有新思想新進展的論文她是絕對不主張發表的,平時對一些耽誤研究工作時間的榮譽或應酬也沒有熱情。她不贊同大批量的閱\讀文獻,主張抓住幾篇經典的論文仔細研究,吃透論文思想,然後自己獨立思考,尋找突破性的方法,迅速將自己的方法進行實驗。 她就是這樣周而復始地在數字王國裏進行著鑽研。
參與破譯密碼SHA-1的研究小組是以王小雲爲首的一支3人女子團隊,其中包括王小雲的一名博士生于紅波,另一位合作者是來自清華大學的一位女研究人員。“王小雲說:“我的8名博士生裏面有6個是女性,她們在密碼學領域表現出不凡的才能。很多人覺得密碼學是很玄妙的學問,而我們覺得它非常有趣。因爲我們習慣于用數學方式思維,而一旦養成了這種思維方式,數字在我們眼中就變成了美妙的音符,我們的研究就象音樂創作一樣有趣。”
近期留言