搶救被賬號入侵的系統(tǒng)
當(dāng)確定自己的計算機(jī)遭到入侵后,可以在不重裝系統(tǒng)的情況下采用如下方式“搶救”被入侵的系統(tǒng)�����。
揪出黑客創(chuàng)建的隱藏賬號
隱藏賬號的危害是不容忽視的��,用戶可以通過設(shè)置組策略�����,使黑客無法使用隱藏賬號登錄�。具體操作步驟如下。
右擊“開始”按鈕��,在彈出的快捷菜單中選擇“運行”選項��,打開“運行”對話框�����,在“打開”文本框中輸入gpedit.msc��。
單擊“確定”按鈕���,打開“本地組策略編輯器”窗口�,依次展開“計算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”選項。
雙擊右側(cè)窗口中的“審核策略更改”選項�����,打開“審核策略更改屬性”對話框��,勾選“成功”復(fù)選框����,單擊“確定”按鈕保存設(shè)置。
按照上述步驟�,將“審核登錄事件”選項做同樣的設(shè)置。
按照Step02和Step03�,將“審核進(jìn)程跟蹤”選項做同樣的設(shè)置。
設(shè)置完成后�,用戶就可以在“計算機(jī)管理”窗口中的“事件查看器”選項下,查看所有登錄過系統(tǒng)的賬號及登錄的時間���,如果有可疑的賬號�,在這里可一目了然�����,即便黑客刪除了登錄日志�����,系統(tǒng)也會自動記錄刪除日志的賬號�����。
若在確定黑客的隱藏賬號后����,卻無法刪除,這時����,可以通過“命令提示符”窗口,運行net user“隱藏賬號”“新密碼”命令來更改隱藏賬號的登錄密碼��,使黑客無法登錄該賬號��。
批量關(guān)閉系統(tǒng)危險端口
眾所周知���,網(wǎng)絡(luò)上木馬病毒無孔不入���。在各種防護(hù)手段中�,關(guān)閉系統(tǒng)中的危險端口是非常重要的����,但是對于計算機(jī)新手來說,哪些端口是危險的�����,哪些端口是不危險的�,并不清楚。下面就來介紹一些自動關(guān)閉危險端口的方法����,幫助用戶掃描并關(guān)閉危險的端口。對于初學(xué)者來說���,一個一個地關(guān)閉危險端口太麻煩了�����,而且也不知道哪些端口應(yīng)該關(guān)閉���,哪些端口不應(yīng)該關(guān)閉。不過用戶可以使用一個叫作“危險端口關(guān)閉小助手”的工具來自動關(guān)閉端口,具體的操作步驟如下��。
下載并解壓縮“危險端口關(guān)閉小助手”工具�,在解壓的文件中雙擊“自動關(guān)閉危險端口.bat”批量處理文件�����,則可自動打開“命令”窗口�,并在其中閃過關(guān)閉狀態(tài)信息。
關(guān)閉結(jié)束后���,系統(tǒng)中的危險端口就全部被關(guān)閉掉了����。當(dāng)程序停止后����,不要關(guān)閉“命令”窗口,這時按下任意鍵����,或繼續(xù)運行“Win服務(wù)器過濾策略”,然后再進(jìn)行木馬服務(wù)端口的關(guān)閉��,全部完成后,系統(tǒng)才做到真正的安全�。
使用“危險端口關(guān)閉小助手”工具還可以手工修改、自動關(guān)閉端口���,利用該功能可以把最新的端口添加到關(guān)閉的列表中��。用記事本打開“關(guān)閉危險端口.bat”文件�,即可在其中看到關(guān)閉端口的重要語句rem ipconfig -w REG -p"HFUT_SECU" -r"Block
UDP/138" -f *+0:138:UDP -n BLOCK -x >nul����,其中UDP參數(shù)用于指定關(guān)閉端口使用的協(xié)議,138參數(shù)代表要關(guān)閉的端口�����。
參照上述語句�����,可以手工添加語句�,將一些新的木馬病毒使用的端口加入到關(guān)閉列表中,例如���,要關(guān)閉新木馬使用的8080端口����,則可以添加如下語句rem ipconfig -w REG -p"HFUT_SECU" -r "Block
UDP/8080" -f *+0:8080:UDP -nBLOCK -x >nul,添加完成后的顯示效果如下圖所示�����。
添加完畢后����,將該文件保存為.bat文件����,重新運行即可關(guān)閉新添加的端口。
