谈网络欺骗和网站注入攻击

钓鱼网站和垃圾邮件l 是怎么骗走你的密码的?
其实有很多方法来骗走您的密码典型的就是使用另类字符伪装字体。
下面有两组地址看起来都是一样的。
http://www.cibcredit.com/paly.html
http://www.cibcredit.com/pаly.html
其实并不是这样的，您试着分别吧这两组地址复制到IE 7的地址栏中看看（IE6可能无法显示出正确信息，所以新版本的软件还是有好处的。）
看出区别了么？字母a和а并不属于同一类字符，所以浏览器并不认为他们是相同的地址。而只凭眼见为实的我们通常很容易被欺骗。

另外用的最多的网站XSS攻击,总之做网管这几年，我认为最不安全的就是互联网络。网络诈骗离我们很近，而且越来越近。只有你了解的越多，那么受害的几率就越小。

下面文章出自“Xhinker” 博客，http://xhinker.blog.51cto.com/640011/128458
--------------------------------------------------------
本文通过一个例子，告诉你钓鱼网站和立即email 是如何骗走你密码的。
1.在浏览器中输入 [url]http://testasp.acunetix.com/Search.asp[/url]
2.在搜索栏中填写:""内的字符
"

Please login with the form below before proceeding:

Login:
Password:

"
然后点击search, 你会很奇怪的发现 搜索栏下面出现了一个用户登录界面，你再看看上面的代码action="destination.asp"
你如果真的输入了用户名和密码，点击提交，那么你的密码就主动送给别人了。
当然那些心怀恶意的人不可能这么做，这只是一个例子。他们会提供一个链接比如:

您中了10万元大奖

这个链接的指向的是:
[url]http://testasp.acunetix.com/Search.asp?tfSearch=%3Cbr%3E%3Cbr%3EPlease+login+with+the+form+below+before+proceeding%3A%3Cform+action%3D%22destination.asp%22%3E%3Ctable%3E%3Ctr%3E%3Ctd%3ELogin%3A%3C%2Ftd%3E%3Ctd%3E%3Cinput+type%3Dtext+length%3D20+name%3Dlogin%3E%3C%2Ftd%3E%3C%2Ftr%3E%3Ctr%3E%3Ctd%3EPassword%3A%3C%2Ftd%3E%3Ctd%3E%3Cinput+type%3Dtext+length%3D20+name%3Dpassword%3E%3C%2Ftd%3E%3C%2Ftr%3E%3C%2Ftable%3E%3Cinput+type%3Dsubmit+value%3DLOGIN%3E%3C%2Fform%3E[/url]

就是你起先看到的页面。 这时你看到域名不是由tencent 或者其他看起来很正规的网站的吗？ 于是你很确信的填写了用户名和密码。然后过几天你发现你的qq密码被人改了，邮箱登陆不上去了.etc...

另外一些不怀好意的人甚至不用你填写用户名，直接从你的IE cookie里窃取 你的用户信息。你都不知道发生了什么事情的时候，你的用户信息就被窃取了。

以上这种方法也叫XSS(Cross Sites Stripting) 攻击。

所以上网也要小心，邮箱，msn， qq 里的链接不要乱点。
----------------------------------------------------------------

Windows2008试用

上周安装了微软去年发布的WINDOWS 2008 Server 操作系统，其实早就想试用这个系统了，但苦于VISTA对系统硬件要求实在是太高，担心同一级别的2008 Server硬件要求也不会低到哪里。所以暂时没有试用。
其实从官方的公布数据来说，2008 Server最低的配置要求是1G以上芯片，512M内存。但经过实际使用，感觉这个系统比windows2003 Server还略为快一点。（我测试的配置是1G DDR2 赛扬4 2.66G）
另外在2008上对网络服务管理，MMC控制台增加了，租策略部分做了不少的改进。总体感觉良好，所以下一个就打算试试最新的I7配合2008域管理的效果。

计算机端口大全

计算机中的端口有多少？

前几天看了论坛上有人不知道计算机端口有多少，我只知道是65535个，但是还有许多常用的端口不是很清楚，去了狗哥查了一下，后来去摆渡上找了一些，供大家参考。。。。
65535个 但是一般使到的也就是十几个，下面是一些常用端口简介


1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始



用端口对照

端口：0

服务：Reserved

说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。


端口：1

服务：tcpmux

说明：这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。


端口：7

服务：Echo

说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。


端口：19

服务：Character Generator

说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样FraggleDoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。


端口：20、21

服务：FTP

说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。


端口：22

服务：Ssh

说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。


端口：23

服务：Telnet

说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。


端口：25

服务：SMTP

说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、HaebuCoceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：31

服务：MSG Authentication

说明：木马Master Paradise、Hackers Paradise开放此端口。


端口：42

服务：WINS Replication

说明：WINS复制


端口：53

服务：Domain Name Server（DNS）

说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。


端口：67

服务：Bootstrap Protocol Server

说明：通过DSL和Cablemodem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69

服务：Trival File Transfer

说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。


端口：79

服务：Finger Server

说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。


端口：80

服务：HTTP

说明：用于网页浏览。木马Executor开放此端口。

端口：88

说明：Kerberos krb5。另外TCP的88端口也是这个用途。


端口：99

服务：Metagram Relay

说明：后门程序ncx99开放此端口。


端口：102

服务：Message transfer agent(MTA)-X.400 over TCP/IP

说明：消息传输代理。


端口：109

服务：Post Office Protocol -Version3

说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110

服务：SUN公司的RPC服务所有端口

说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等


端口：113

服务：Authentication Service

说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119

服务：Network News Transfer Protocol

说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。


端口：135

服务：Location Service

说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-pointmapper注册它们的位置。远端客户连接到计算机时，它们查找end-pointmapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行ExchangeServer吗？什么版本？还有些DOS攻击直接针对这个端口。


端口：137、138、139

服务：NETBIOS Name Service

说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。


端口：143

服务：Interim Mail Access Protocol v2

说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。


端口：161

服务：SNMP

说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。


端口：162

说明：SNMP Trap（SNMP陷阱）


端口：177

服务：X Display Manager Control Protocol

说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。


端口：389

服务：LDAP、ILS

说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。


端口：443

服务：Https

说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

端口：445

说明：Common Internet File System(CIFS)（公共Internet文件系统）


端口：456

服务：[NULL]

说明：木马HACKERS PARADISE开放此端口。


端口：464

说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。




端口：500

说明：Internet Key Exchange(IKE)（Internet密钥交换）


端口：513

服务：Login,remote login

说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口：544

服务：[NULL]

说明：kerberos kshell


端口：548

服务：Macintosh,File Services(AFP/IP)

说明：Macintosh,文件服务。


端口：553

服务：CORBA IIOP （UDP）

说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。


端口：555

服务：DSF

说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。


端口：568

服务：Membership DPA

说明：成员资格 DPA。

端口：569

服务：Membership MSN

说明：成员资格 MSN。


端口：635

服务：mountd

说明：Linux的mountdBug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。


端口：636

服务：LDAP

说明：SSL（Secure Sockets layer）


端口：666

服务：Doom Id Software

说明：木马Attack FTP、Satanz Backdoor开放此端口


端口：993

服务：IMAP

说明：SSL（Secure Sockets layer）


端口：1001、1011

服务：[NULL]

说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。


端口：1024

服务：Reserved

说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。


端口：1025、1033

服务：1025：network blackjack 1033：[NULL]

说明：木马netspy开放这2个端口。


端口：1080

服务：SOCKS

说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。

端口：1170

服务：[NULL]

说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。


端口：1234、1243、6711、6776

服务：[NULL]

说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。


端口：1245

服务：[NULL]

说明：木马Vodoo开放此端口。


端口：1433

服务：SQL

说明：Microsoft的SQL服务开放的端口。

端口：1492

服务：stone-design-1

说明：木马FTP99CMP开放此端口。

端口：1500

服务：RPC client fixed port session queries

说明：RPC客户固定端口会话查询
端口：1503

服务：NetMeeting T.120

说明：NetMeeting T.120


端口：1524

服务：ingress

说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。


端口：1600

服务：issd

说明：木马Shivka-Burka开放此端口。


端口：1645、1812

说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)


端口：1646、1813

说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）)


端口：1701

说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)


端口：1720

服务：NetMeeting

说明：NetMeeting H.233 call Setup。


端口：1731

服务：NetMeeting Audio Call Control

说明：NetMeeting音频调用控制。


端口：1801、3527

说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。

端口：1807

服务：[NULL]

说明：木马SpySender开放此端口。


端口：1981

服务：[NULL]

说明：木马ShockRave开放此端口。


端口：1999

服务：cisco identification port

说明：木马BackDoor开放此端口。


端口：2000

服务：[NULL]

说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。


端口：2001

服务：[NULL]

说明：木马Millenium 1.0、Trojan Cow开放此端口。


端口：2023

服务：xinuexpansion 4

说明：木马Pass Ripper开放此端口。


端口：2049

服务：NFS

说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。

端口：2115

服务：[NULL]

说明：木马Bugs开放此端口。


端口：2140、3150

服务：[NULL]

说明：木马Deep Throat 1.0/3.0开放此端口。


端口：2500

服务：RPC client using a fixed port session replication

说明：应用固定端口会话复制的RPC客户


端口：2504

说明：Network Load Balancing(网络平衡负荷)



端口：2583

服务：[NULL]

说明：木马Wincrash 2.0开放此端口。


端口：2801

服务：[NULL]

说明：木马Phineas Phucker开放此端口。


端口：3024、4092

服务：[NULL]

说明：木马WinCrash开放此端口。


端口：3128

服务：squid

说明：这是squidHTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。


端口：3129

服务：[NULL]

说明：木马Master Paradise开放此端口。


端口：3150

服务：[NULL]

说明：木马The Invasor开放此端口。


端口：3210、4321

服务：[NULL]

说明：木马SchoolBus开放此端口


端口：3333

服务：dec-notes

说明：木马Prosiak开放此端口


端口：3389

服务：超级终端

说明：WINDOWS 2000终端开放此端口。


端口：3700

服务：[NULL]

说明：木马Portal of Doom开放此端口


端口：3996、4060

服务：[NULL]

说明：木马RemoteAnything开放此端口


端口：4000

服务：QQ客户端

说明：腾讯QQ客户端开放此端口。

端口：4092

服务：[NULL]

说明：木马WinCrash开放此端口。


端口：4590

服务：[NULL]

说明：木马ICQTrojan开放此端口。


端口：5000、5001、5321、50505

服务：[NULL]

说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。


端口：5400、5401、5402

服务：[NULL]

说明：木马Blade Runner开放此端口。


端口：5550

服务：[NULL]

说明：木马xtcp开放此端口。


端口：5569

服务：[NULL]

说明：木马Robo-Hack开放此端口。


端口：5632

服务：pcAnywere

说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。


端口：5742

服务：[NULL]

说明：木马WinCrash1.03开放此端口。


端口：6267

服务：[NULL]

说明：木马广外女生开放此端口。


端口：6400

服务：[NULL]

说明：木马The tHing开放此端口。


端口：6670、6671

服务：[NULL]

说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。


端口：6883

服务：[NULL]

说明：木马DeltaSource开放此端口。


端口：6969

服务：[NULL]

说明：木马Gatecrasher、Priority开放此端口。


端口：6970

服务：RealAudio

说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。


端口：7000

服务：[NULL]

说明：木马Remote Grab开放此端口。


端口：7300、7301、7306、7307、7308

服务：[NULL]

说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。


端口：7323

服务：[NULL]

说明：Sygate服务器端。


端口：7626

服务：[NULL]

说明：木马Giscier开放此端口。


端口：7789

服务：[NULL]

说明：木马ICKiller开放此端口。


端口：8000

服务：OICQ

说明：腾讯QQ服务器端开放此端口。


端口：8010

服务：Wingate

说明：Wingate代理开放此端口。


端口：8080

服务：代理端口

说明：WWW代理开放此端口。


端口：9400、9401、9402

服务：[NULL]

说明：木马Incommand 1.0开放此端口。

端口：9872、9873、9874、9875、10067、10167

服务：[NULL]

说明：木马Portal of Doom开放此端口。


端口：9989

服务：[NULL]

说明：木马iNi-Killer开放此端口。


端口：11000

服务：[NULL]

说明：木马SennaSpy开放此端口。


端口：11223

服务：[NULL]

说明：木马Progenic trojan开放此端口。


端口：12076、61466

服务：[NULL]

说明：木马Telecommando开放此端口。


端口：12223

服务：[NULL]

说明：木马Hack\\\’99 KeyLogger开放此端口。


端口：12345、12346

服务：[NULL]

说明：木马NetBus1.60/1.70、GabanBus开放此端口。


端口：12361

服务：[NULL]

说明：木马Whack-a-mole开放此端口。


端口：13223

服务：PowWow

说明：PowWow是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。



端口：16969

服务：[NULL]

说明：木马Priority开放此端口。


端口：17027

服务：Conducent

说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。


端口：19191

服务：[NULL]

说明：木马蓝色火焰开放此端口。


端口：20000、20001

服务：[NULL]

说明：木马Millennium开放此端口。


端口：20034

服务：[NULL]

说明：木马NetBus Pro开放此端口。


端口：21554

服务：[NULL]

说明：木马GirlFriend开放此端口。


端口：22222

服务：[NULL]

说明：木马Prosiak开放此端口。


端口：23456

服务：[NULL]

说明：木马Evil FTP、Ugly FTP开放此端口。


端口：26274、47262

服务：[NULL]

说明：木马Delta开放此端口。


端口：27374

服务：[NULL]

说明：木马Subseven 2.1开放此端口。


端口：30100

服务：[NULL]

说明：木马NetSphere开放此端口。


端口：30303

服务：[NULL]

说明：木马Socket23开放此端口。


端口：30999

服务：[NULL]

说明：木马Kuang开放此端口。


端口：31337、31338

服务：[NULL]

说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。

端口：31339

服务：[NULL]

说明：木马NetSpy DK开放此端口。


端口：31666

服务：[NULL]

说明：木马BOWhack开放此端口。


端口：33333

服务：[NULL]

说明：木马Prosiak开放此端口。


端口：34324

服务：[NULL]

说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。


端口：40412

服务：[NULL]

说明：木马The Spy开放此端口。


端口：40421、40422、40423、40426、

服务：[NULL]

说明：木马Masters Paradise开放此端口。


端口：43210、54321

服务：[NULL]

说明：木马SchoolBus 1.0/2.0开放此端口。


端口：44445

服务：[NULL]

说明：木马Happypig开放此端口。


端口：50766

服务：[NULL]

说明：木马Fore开放此端口。


端口：53001

服务：[NULL]

说明：木马Remote Windows Shutdown开放此端口。


端口：65000

服务：[NULL]

说明：木马Devil 1.03开放此端口。

使任何程序都可以成为服务运行

通过普通方法添加到启动菜单的程序,必须在启动时输入用户名密码进入操作系统后才能够被计算机正常加载.但某些时候我们希望计算机启动后在登陆前就自动运行某些程序,这时候就须要使这些程序成为服务才能够达成这样的目的.

接下来需要用到的是微软的两个小工具。instsrv.exe和srvany.exe
微软对instsrv.exe的官方说明如下：
Installs and uninstalls executable services and assigns names to them. 也就是个加载services的小东东。

其用法如下：instsrv （这里的srvany path也就是工具srvany.exe的路径了）
解释下，srvany.exe是微软出的用于将一个程序注册为一个服务的小程序。它可以实现讲任何程序设置成服务启动。

解释完毕，现在来实际的操作了吧:我在一台服务器上安装了VM虚拟机，由于这个虚拟机的系统主要用来作为公司打印服务器。我需要在没有登陆前就能够自动运行这个虚拟机，那么如果我不在公司由其他员工带为开机时就不需要开机进入系统后打开虚拟机也能够正常使用打印服务了。

1.讲所需要的工具instsrv.exe和srvany.exe放在一个文件夹内，在这我放在d:\tools中吧。

2.需要使VMWARE自动启动.先需要了解vmware.exe的安装路径，例：D:\VMware Workstation\vmware.exe
要启动的虚拟机配置文件路径，我的2003虚拟机的配置文件windows2003.vmx的路径是D:\vmare\windows2003\windows server 2003.vmx

3.新建服务

假设服务名为vm_autostart，所以我的命令行是：

instsrv VM_AutoStart D:\tools\srvany.exe

4.注册服务

在注册表中，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vm_autostart
新建项："Parameters"
在"Parameters"项里面，新建字符串"Application"，
字符串的值：
"D:\VMware Workstation\vmware.exe" -x "D:\vmare\windows2003\windows server 2003.vmx"

(如果你想要开机加载两个虚拟机系统，只需要在其后再添加一个虚拟机配置文件路径即可）

5.设置虚拟机启动状态

管理工具－服务，选择vm_autostart的属性－登录，选中“本地系统帐户”，并勾选“允许服务与桌面交互”。

6.重启一下计算机，测试成功。

如何查找垃圾邮件的真正发件人

垃圾邮件一般采用了群发软件发送，发信人的地址是可以任意伪造的，查看信头可以让您找到真正的发件人。查看信头的方法是：
　　1）如果您是在web页面上看邮件的话，直接打开邮件，点击信件显示页面上方菜单中的"原文"，就可以看到信头。
　　2）如果是用Outlook Express来收信的话，指向邮件，不要打开，点击鼠标右键，看信件的属性，再点击详细资料，就可以看到信头。如果有sender的话，sender后面就是真正的发件人；如果没有sender，最后一个received from就是发件人所用的SMTP服务器。
Receive语句的基本表达格式是：from Server A by Server B，Server A为发送服务器，Server B为接收服务器。例如：
ReturnPath: ＜ownerenewsdaily@***.com.cn＞
Received: from ns.enet.com.cn ([202.106.124.167])
by mail.777.net.cn (8.9.3/8.8.7)
with SMTP id TAA13043;
Thu, 28 Oct 1999 19:51:28 +0800
Received: (from list@localhost)
by ns.enet.com.cn (8.9.3/8.9.0) id RAA19714
for enewsdailylist; Thu, 28 Oct 1999 17:50:30 +0800
Received: from chinanetweek.com ([210.72.235.218])
by ns.enet.com.cn (8.9.3/8.9.0)
with ESMTP id RAA19690
for < enewsdaily@enet.com.cn >; Thu, 28 Oct 1999 17:50:28 +0800
Received: from chinanetweek.com ([10.1.2.105])
by chinanetweek.com (8.9.3/8.9.0)
with ESMTP id RAA05935
for ＜enewsdaily@***.com.cn ＞; Thu, 28 Oct 1999 17:49:26 +0800
　　(CST) 一般最后一句Receive中的Server A就是发信人的地址，Server B是他所用的发件服务器，是邮件的起点。而第一句Receive中的Server B就是你自己的邮件接收服务器。各种服务器在信头中所加的内容并不一样，有时你在一行Receive中找不到任何IP地址或域名，这种情况可以先不管它，继续往上找。
　　从上面的例子中不难看出，这封信是从10.1.2.105发出（动态地址），传递途径是：chinanetweek.com → ns.enet.com.cn → mail.777.net.cn

使特定员工无法通过U盘等移动设备拷贝企业内部资料的方法

以前曾经工作过的单位为了杜绝员工使用USB设备擅自复制公司资料，极端的采取了直接吧USB口用胶水封掉的方法，这个好像有点夸张。在企业应用中完全杜绝U盘的使用会造成一些不便。并且针对不同的员工这种应用是应该有所区分的。好在现在有了域，那么使用域的组策略设置加上一些简单的脚本就可以实现特定员工无法使用U盘或者只能读取U盘中数据。
首先制作一个简单的批处理，内容如下：
reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 00000001
把上面的文字复制到记事本，另存为read.bat即可。
这个批处理的目的主要是在注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\项目下创建名为StorageDevicePolicies的子项目，并且在该子项目下建立Writeprotect键 Dword值为00000001
做完上面的东西后如果直接在XP下运行该批处理文件后再插入U盘，U盘就已经是只读的无法写入数据了。
如果要恢复只需把最后的DWORD值改为00000000即可。
真的要一个一个拷贝到每个客户端去运行这个批处理也真的是蛮累人的，有了域环境大可不必这样做。虽然可以用很多方法来实现这个功能，我这介绍一下用登陆注销脚本来实现的方法。
您可以先行建立组织单元，把需要管制的用户全部归类进来。然后选择组策略设置-》用户设置-》脚本（登陆注销），双击登陆选择显示文件-》把刚才编辑好的read.bat复制进去选择并关闭该窗口-》选择添加-》浏览-》选择read.bat-》确定。（需要注意的是批处理文件的权限，放置目录的权限是否和需要管制的用户权限有冲突，如果需要管制的用户组织单元中的用户没有权限读取read.bat那么将导致策略失败）
至此您已经成功的设置了组策略，管制组的用户只要使用其账户登陆计算机后就会直接应用该批处理。
为了不让用户自己更改注册表键值，可以在策略中将注册表禁用。该用户注销后已经更改的注册表值是不会自动更改回来的。如果需要把它该回到原来的状态那么就需要添加注销脚本，怎么做？？？？这个不用再说了吧^_^。
至于USB设备的禁用。实际上原理都是更改注册表，差不多的啦^_^。唯一提醒一下大家的是这个方法对Windows 2003 不管用哦。

WINDOWS下最有用的常用快捷键

熟悉了这些快捷键，就像打字用五笔一样可以让您的工作效率事半功倍哦。尤其在没有办法鼠标或只能使用效率不高的笔记本触控鼠标的情况下，你会发现有了这些快捷键真的很方便。

F1 ---- 显示当前程序或者windows的帮助内容。如果你正在对某个程序进行操作，而想得到Windows帮助，则需要按下Win＋F1。按下Shift+F1，会出现"What's This?"的帮助信息。

F2 ---- 当你选中一个文件或者文件夹的话，按F2意味着“重命名”

F3 ---- 当你在桌面上的时候按F3是打开“查找：所有文件”对话框，打开资源管理后按F3可查找当前文件夹下的文件。

F4 ---- 这个键用来打开IE中的地址栏列表，要关闭IE窗口，可以用Alt＋F4组合键。

F5 ---- 用来刷新IE或资源管理器中当前所在窗口的内容。

F6 ---- 可以快速在资源管理器及IE中定位到地址栏，等同于ALT+D。

F7 ---- 在Windows中没有任何作用。不过在MS-DOS窗口中，它可以用来显示历史命令。

F8 ---- 在启动电脑时，可以用它来显示启动菜单。有些电脑还可以在电脑启动最初按下这个键来快速调出启动设置菜单，从中可以快速选择是软盘启动，还是光盘启动，或者直接用硬盘启动，不必费事进入BIOS进行启动顺序的修改。另外，还可以在安装Windows时接受微软的安装协议^_^。

F10 ---- 用来激活Windows或程序中的菜单，按下Shift＋F10会出现鼠标右键快捷菜单。

F11 ---- 可以使当前的资源管理器或IE变为全屏显示，再次按F11将恢复原有显示。

F12 ---- 在Windows中没有任何作用，但在Office中可以快速弹出另存为的对话框。

Ctrl+C\V\X\Z ---- 太常用了，所以不多说了。实在不懂的可以自己试试或者用GOOGLE搜一下。

Alt+D ---- 实际上刚才已经说过了，等同于F6。至于是否有其他区别到现在我还没发现。

Ctrl+Print ---- 将当前屏幕显示的内容复制到剪贴板中。--不明白？？你打开画图板或word之类的编辑软件后选择粘贴或者Ctrl+V就明白了。

Ctrl+ "+"或"-" ---- 其实这个以前是PHOTOSHOP里的快捷键，没想到IE7竟然也内置了这个功能。打开您的IE7试一下，某些时候还是很方便的哦。

Alt+TAB ---- 切换到您正在使用的其他程序，按住ALT后每按一次TAB就切换一次。

Ctrl+A ---- 全选，选择当前窗口的所有内容。配合Ctrl+C\X\V使用是非常有效快捷键功能。

Alt+F4 ---- 关闭当前使用窗口。

Win+F ---- 不同于按F3或Ctrl+F的效果，F3通常搜索当前窗口。而Win+F打开的是搜索所有文件窗口。

Win+D ---- 最小化或复原最小化的所有窗口。这个功能等同于任务栏的刷新桌面，通常在老板快到你的面前你来不及关闭所有窗口的时候，这个快捷键实在是太有用了。

Shift+Delete ---- 彻底删除文件，不进入回收站。（慎用！！）

Win+R ---- 打开运行对话框。