TCP View官方中文版

TCPView中文版是Sysinternals公司(Winternals旗下的一家主力公司为系统复原与资料保护的公司)开发的一款网络监视工具，可查看端口和线程，并可帮助用户预防黑客的入侵，在现实中只要木马在内存中运行就一定会打开某个端口，同样只要有黑客进入你的电脑，就有新的线程，而恰好TCPView中文版即可监控此类端口和线程，用户完全可依靠它来防止或阻止黑客对本机的入侵。TCPView中文版的使用也十分简单，在程序的主界面中会显示当前计算机打开的端口和线程，非常的直观，可以说用户一眼即可查看某个端口是什么程序打开的，并且程序还会以颜色来区分，如红色代表该进程被删除、绿色代表刚创建的新进程等等。同时在这里用户还可通过图标来分别哪些是正常的应用程序打开的端口，当然对于那些系统本身打开的端口，若用户并不太熟悉，还可以通过检查线程的属性来判断，具体的操作就是用右键点击这些线程，在弹出的菜单中选择“process properties(进程属性)”，其中的“路径”项就是这个端口的所对应的程序在硬盘上的路径，通常系统文件都在C:\WINDOWS\system32目录下，如果出现和系统程序相似的名字，文件又不在系统目录，那么这些程序就有可能是假冒的系统程序，且大部分都可明确是木马病毒。另外，在安装包内双击“Tcpview_CHS.exe”即为中文版

TCPView中文版功能

1、进程

运行程序的名称，在这个栏位下同一个程序并不会只有一个，例如用IE打开多个网页，就会存在多个网络连接，所以无需因为看到太多个同样的程序执行就觉得有问题，那只代表该程序有多个连接进程。

2、PID

每个程序执行，系统就会给它一个PID权限，与程序的权限有相关。

3、协议

程序要与网络连线，就必需使用通讯协议，协议也有分成TCP及UDP两种联接协议，若在防火牆后连网，就必须要知道目前该程序所运作的Protocol是什么，不然就算是端口号正确，也是无法对外开建立联线。另外TCP及UDP有65536个可用连接端口。

4、本地地址

本机的IP地址，一般来说都会显示为该电脑的电脑名称或是IP地址。

5、本地端口：本机的连线端口号。

6、远程地址：远端服务的连接位置，一般是显示该程序所连接的网址或是IP地

TCPView中文版特点

1、绿色免安装，该软件是绿色软件不需要安装，下载完直接双击即可运行

2、无任何广告，用户可真正享受到绿色化的界面操作

3、功能强大，有了它用户即可了解自己的电脑是否被黑客入侵

4、查看到的端口和线程可以颜色来区别其行为，包括红色代表该进程被删除、绿色代表刚创建的新进程、黄色代表当进程从一种状态转变成另一种状态

TCPView中文版使用教程

一、TCPView的使用非常简单，由于是绿色软件，所以不需要安装，下载完直接双击“Tcpview_CHS.exe”即可运行

二、主界面中显示了当前计算机打开的端口和线程，非常直观，一眼就能看出某个端口是什么程序打开的，并会时不时的会用红、黄、绿三种颜色标注某些进程:

★红色代表该进程被删除

★绿色代表刚创建的新进程

★黄色代表当进程从一种状态转变成另一种状态

三、对于那些系统本身打开的端口，由于一般用户并不太熟悉，可以通过检查线程的属性来判断,具体操作:

1.右键点击这些线程，在弹出的菜单中选择“process properties(进程属性)”

2.其中的“路径”项就是这个端口的所对应的程序在硬盘上的路径，通常系统文件都在C:\WINDOWS\system32目录下，如果出现和系统程序相似的名字，文件又不在系统目录，那么这些程序就有可能是假冒的系统程序，极有可能是木马

四、Windows下请运行Tcpview.exe，tcpvcon.exe为Tcpview.exe的命令行版本

【Tcpview.exe使用方法】

tcpvcon[-a][-c][-n][进程名称或PID] -a

显示所有端点（默认为显示已确定的TCP连接） -c

打印输出为CSV对照文本 -n

不解析地址

如何关闭不必要的端口？

1、关闭tcp/udp7、tcp/udp9、tcp/udp13、tcp/udp17、tcp/udp19端口

只需要打开“控制面板”->“管理工具”->“服务”，停止Simple TCP/IP Service(前提是您必须安装了此服务)。它们所支持的 TCP/IP 服务分别是：ECHO、 Discard、DAYTIME、Quote of the Day, 以及 Character

2、关闭TCP80口(HTTP服务)

只需在“控制面板”->“管理工具”->“服务” 停止WEB发布服务(“World Wide Web Publishing Service”)。或是通过 Internet 信息服务(IIS)的管理单元把’默认WEB站点’停止也可以关闭TCP80端口的服务

3、关掉TCP25端口(SMTP服务)

在“控制面板”->“管理工具”->“服务” 中停止”Simple Mail Transport Protocol (SMTP)”服务；或是在IIS中停止’默认SMTP虚拟服务器’也可以

4、关掉TCP21(FTP服务器)端口

在“控制面板”->“管理工具”->“服务” 中停止FTP Publishing Service;或在IIS中停止’默认FTP站点’

5、关掉TCP23(telnet server)端口

在“控制面板”->“管理工具”->“服务” 中停止’Telnet’服务。TCP139端口:NetBIOS Session端口，一个用作共享的端口。打开“网络和拨号连接”->“本地连接”右键属性-> “Internet协议(TCP/IP)”->“属性”->“高级…”->“WINS”->“禁用TCP/IP上的NETBIOS”，选择此项便能停止TCP139的监听。TCP445端口(Microsoft-DS)，除TCP139以外的另一个能用来作共享入侵的端口。关闭它的方法：

打开注册表[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NETBT\PARAMETERS]新建一DWORD键值，名为”SMBDeviceEnabled”，其值为0。

6、389端口的关闭

首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，建议关闭该服务。

★WindowsXP系统：在“我的电脑”上点右键，选“属性”–>“远程”，将里面的“远程协助”和“远程桌面”两个选项框里的勾去掉

★Windows2000 Server系统：点击“开始”–>“程序”–>“管理工具”–>“服务”里找到“Terminal Services”服务项，选中“属性”选项将启动类型改成“手动”，并停止该服务。（该方法在XP同样适用，XP用户可参照这个方法设置。）

★Windows2000 Pro

点击“开始菜单”–>“运行”，输入“regedit”，打开注册表，进入以下路径：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如6111。

再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp]，将PortNumber的值（默认是3389）修改成端口6111。如果[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations]分支里还其他类似的子键,一样的改它的值。

修改完毕，重新启动电脑，以后远程登录的时候使用端口6111就可以了

如何防止被黑客攻击？

一、服务器只安装TCP/IP协议完全足够

1.鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。

2.其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。

3.选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS.

二、禁止恶意代码运行

1.一般恶意网页是因为加入了用编写的恶意代码才有破坏力，这些恶意代码就相当于一些小程序，只要打开该网页就会被运行

2.运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击

三、关闭所有共享

1.取消文件夹隐藏共享

右键单击C盘或者其它盘选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢?

原来，在默认状态下，硬盘上的每个分区名后面都加了一个“$”。入侵者要键入“计算机名或者IPC$”，系统就会询问用户名和密码，可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患

怎么来消除默认共享呢？

方法很简单，打开注册表编辑器，进入HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Sevices\ Lanmanworkstation\ parameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。首先，把“文件和打印共享”关闭，然后打开注册表编辑器，选择“HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ NetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了

四、禁用Guest账号

1.有很多入侵都是通过这个账号进一步获得管理员密码或者权限的，如果不想把自己的计算机给别人当玩具，那还是禁止的好

2.打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全

五、关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序(比如Netwatch)，该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭

六、安装必要的安全软件

杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。一般最常见的杀毒软件有360、电脑管家、瑞星等