DNS（Domain Name System）是域名解析服务器的意思，它在互联网的作用是把域名转换成为网络可以识别的IP地址。目前国内电信运营商通过使用DNS劫持的方法，干扰用户正常上网，使得用户无法访问Google、Gmail、Google AdSense、Google Maps等常用服务，昨天我介绍了使用OpenDNS的方法解决这个问题，由于OpenDNS的服务器在美国，如果使用的人多了有可能会速度变慢，因此今天我介绍一些其他国外的DNS服务器地址，供大家选择。
　　通常来说，香港、韩国、日本等国的DNS服务器速度会比较快，大家可以多用几个试试，尽量选择一个自己访问最快的DNS服务器，中国的电信运营商都是流氓，DNS服务器，早换早轻松。
　　港澳台DNS服务器地址
　　香港：
　　205.252.144.228
　　208.151.69.65
　　202.181.202.140
　　202.181.224.2
　　澳门：
　　202.175.3.8
　　202.175.3.3
　　台湾：
　　168.95.192.1
　　168.95.1.1
　　国外DNS服务器地址
　　美国：
　　208.67.222.222
　　208.67.220.220
　　165.87.13.129
　　165.87.201.244
　　205.171.3.65
　　205.171.2.65
　　198.41.0.4
　　198.41.0.4
　　198.32.64.12
　　192.33.4.12
　　192.203.230.10
　　192.5.5.241
　　192.112.36.4
　　192.36.148.17
　　192.58.128.30
　　192.9.9.3
　　193.0.14.129
　　128.9.0.107
　　128.8.10.90
　　66.33.206.206.
　　208.96.10.221
　　66.33.216.216
　　205.171.3.65
　　205.171.2.65
　　165.87.13.129
　　165.87.201.244
　　加拿大：
　　209.166.160.36
　　209.166.160.132
　　英国：
　　193.0.14.129
　　日本
　　202.12.27.33
　　202.216.228.18
　　韩国：
　　164.124.101.31
　　203.248.240.31
　　168.126.63.60
　　168.126.63.61
　　新西兰：
　　202.27.184.3
　　泰国：
　　209.166.160.132
　　202.44.8.34
　　202.44.8.2
　　印度：
　　202.138.103.100
　　202.138.96.2
　　国内各省市DNS服务器地址
　　北京：
　　202.96.199.133
　　202.96.0.133
　　202.106.0.20
　　202.106.148.1
　　202.97.16.195
　　202.138.96.2
　　深圳：
　　202.96.134.133
　　202.96.154.15
　　广州：
　　61.144.56.100
　　61.144.56.101
　　广东：
　　202.96.128.86
　　202.96.128.143
　　上海：
　　202.96.199.132
　　202.96.199.133
　　202.96.209.5
　　202.96.209.133
　　天津：
　　202.99.96.68
　　202.99.104.68
　　广西：
　　202.96.128.68
　　202.103.224.68
　　202.103.225.68
　　河南：
　　202.102.227.68
　　202.102.245.12
　　202.102.224.68
　　河北：
　　202.99.160.68
　　福建：
　　202.101.98.54
　　202.101.98.55
　　厦门：
　　202.101.103.55
　　202.101.103.54
　　湖南：
　　202.103.0.68
　　202.103.96.68
　　202.103.96.112
　　湖北：
　　202.103.0.68
　　202.103.0.117
　　202.103.24.68
　　江苏：
　　202.102.15.162
　　202.102.29.3
　　202.102.13.141
　　202.102.24.35
　　浙江：
　　202.96.102.3
　　202.96.96.68
　　202.96.104.18
　　陕西：
　　202.100.13.11
　　202.100.4.16
　　202.100.4.15
　　202.100.0.68
　　山东：
　　202.102.154.3
　　202.102.152.3
　　202.102.128.68
　　202.102.134.68
　　山西：
　　202.99.192.68
　　202.99.198.6
　　四川：
　　202.98.96.68
　　61.139.2.69
　　重庆：
　　61.128.128.68
　　成都：
　　202.98.96.68
　　202.98.96.69
　　辽宁：
　　202.98.0.68
　　202.96.75.68
　　202.96.75.64
　　202.96.69.38
　　202.96.86.18
　　202.96.86.24
　　安徽：
　　202.102.192.68
　　202.102.199.68
　　10.89.64.5
　　吉林：
　　202.98.5.68
　　202.98.14.18
　　202.98.14.19
　　江西：
　　202.101.224.68
　　202.109.129.2
　　202.101.240.36
　　新疆：
　　61.128.97.74
　　61.128.97.73
　　贵州：
　　202.98.192.68
　　10.157.2.15
　　云南：
　　202.98.96.68
　　202.98.160.68
　　黑龙江：
　　202.97.229.133
　　202.97.224.68
　　219.150.32.132
　　海南：
　　202.100.192.68
　　202.100.199.8
　　宁夏：
　　202.100.0.68
　　202.100.96.68
　　甘肃：
　　202.100.72.13
　　内蒙古：
　　202.99.224.68
　　青海：
　　202.100.128.68
　　全球路由DNS服务器
　　全球只有13台路由DNS服务器（Route Server),在13台路由服务器中，名字分别为“A”至“M”，其中10台设置在美国，另外各有一台设置于英国、瑞典和日本。下表是这些机器的管理单位、设置地点及最新的IP地址。
　　名称　　管理单位及设置地点　　　　IP地址
　　A INTERNIC.NET（美国，弗吉尼亚州） 198.41.0.4
　　B 美国信息科学研究所（美国，加利弗尼亚州） 128.9.0.107
　　C PSINet公司（美国，弗吉尼亚州） 192.33.4.12
　　D 马里兰大学（美国马里兰州） 128.8.10.90
　　E 美国航空航天管理局[NASA]（美国加利弗尼亚州） 192.203.230.10
　　F 因特网软件联盟（美国加利弗尼亚州） 192.5.5.241
　　G 美国国防部网络信息中心（美国弗吉尼亚州） 192.112.36.4
　　H 美国陆军研究所（美国马里兰州） 128.63.2.53
　　I Autonomica公司（瑞典，斯德哥尔摩） 192.36.148.17
　　J VeriSign公司（美国，弗吉尼亚州） 192.58.128.30
　　K RIPE NCC（英国，伦敦） 193.0.14.129
　　L IANA （美国，弗吉尼亚州） 198.32.64.12
转贴自　williamlong (williamlong)

提交用户：LCM_Seer
工具分类：其它工具
运行平台：Windows
工具大小：266919 Bytes
文件MD5 ：c1f0fb5c5e886e85698979295a79bb67
工具来源：www.tty-1.net
SQL连接工具.
连接后可控制目标计算机.
[/url]>> 下载 <<

上网的时候，经常会发现自己的网络防火墙在不停的发出警报，专家告诉你这就有可能是遭遇了黑客的攻击。那有什么办法来摆脱这些不请自来的黑客么?
　　一、取消文件夹隐藏共享
　　如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢?
　　原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。
　　怎么来消除默认共享呢?方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetSevices\Lanman\workstation
\parameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。
　　二、拒绝恶意代码
　　恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。
　　一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。
　　运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。
　　三、封死黑客的“后门”
　　俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧!
　　1.删掉不必要的协议
　　对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS.
　　2.关闭“文件和打印共享”
　　文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。
　　虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。
　　3.把Guest账号禁用
　　有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。
　　4.禁止建立空连接
　　在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：
　　方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControl\SetControl\LSA”，将DWORD值“Restrict Anonymous”的键值改为“1”即可。
　　四、隐藏IP地址
　　黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。
　　与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务器的网站有很多，你也可以自己用代理猎手等工具来查找。
　　五、关闭不必要的端口
　　黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序(比如Netwatch)，该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。
　　六、更换管理员帐户
　　Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator账号。
　　首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。
　　七、杜绝Guest帐户的入侵
　　Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。
　　禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。
　　八、安装必要的安全软件
　　我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。
　　九、防范木马程序
　　木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：
　　● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。
　　● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。
　　● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。
　　十、不要回陌生人的邮件
　　有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的账号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。
　　十一、做好IE的安全设置
　　ActiveX控件和 Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与相关选项禁用。谨慎些总没有错!
　　另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和 Applets时有更多的选择，并对本地电脑安全产生更大的影响。
　　下面是具体的方法：打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展开到：HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全等级设定高些，这样的防范更严密。
　　最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的!

上网最恐怖的事莫过于新病毒出来的时候，尽管电脑上我们都装有各种强大的杀毒软件，也配置了定时自动更新病毒库，但病毒总是要先于病毒库的更新的， 所以中招的每次都不会是少数，这里列举一些通用的杀毒方法，自己亲自动手来用系统自带的工具绞杀病毒：
　　一、自己动手前，切记有备无患——用TaskList备份系统进程
　　新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候， 备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。
　　在命令提示符下输入：
　　TaskList /fo:csv>g:zc.csv
　　上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件.
　　二、自己动手时，必须火眼金睛——用FC比较进程列表文件
　　如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。
　　进入命令提示符下，输入下列命令：
　　TaskList /fo:csv>g:yc.csv
　　生成一个当前进程的yc.csv文件列表，然后输入：
　　FC g:\zccsv g:\yc.csy
　　回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。
　　三、进行判断时，切记证据确凿——用Netstat查看开放端口
　　对这样的可疑进程，如何判断它是否是病毒呢？ 根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。
　　在命令提示符下输入：
　　Netstat -a-n-o
　　参数含义如下：
　　a:显示所有与该主机建立连接的端口信息
　　n:显示打开端口进程PID代码
　　o：以数字格式显示地址和端口信息
　　回车后就可以看到所有开放端口和外部连接进程，这里一个PID为1756(以此为例)的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接!
　　连接参数含义如下：
　　LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。
　　ESTABLISHED的意思是建立连接。
　　表示两台机器正在通信。
　　TIME-WAIT意思是结束了这次连接。
　　说明端口曾经有过访问，但访问结束了，用于判断是否有外部电脑连接到本机。
　　四：下手杀毒时，一定要心狠手辣——用NTSD终止进程
　　虽然知道 “Winion0n.exe”是个非法进程，但是很多病毒的进程无法通过任务管理器终止，怎么办?
　　在命令提示符下输入下列命令：
　　ntsd –c q-p 1756
　　回车后可以顺利结束病毒进程。
　　提示：“1756”为进程PID值，如果不知道进程的ID，打开任务管理器，单击“查看→选择列→勾上PID(进程标识符)即可。
　　NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。
　　五、断定病毒后，定要斩草除根——搜出病毒原文件
　　对于已经判断是病毒文件的“Winion0n.exe” 文件，通过搜索本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”，找到该文件的藏身之所，将它删除。
　　不过这样删除的只是病毒主文件，通过查看它的属性，依据它的文件创建曰期、大小再次进行搜索，找出它的同伙并删除。
　　如果你不确定还有那些文件是它的亲戚，通过网络搜索查找病毒信息获得帮助。
　　六、清除病毒后一定要打扫战场
　　手动修复注册表虽然把病毒文件删除了，但病毒都会在注册表留下垃圾键值，还需要把这些垃圾清除干净。
　　1、用reg export备份自启动。
　　由于自启动键值很多，发现病毒时手动查找很不方便。
　　这里用reg export+批处理命令来备份。
　　启动记事本输入下列命令：
　　reg export HKLM\software\Microsoft\Windows\
　　CurrentVersion\Run fo:\hklmrun.reg
　　reg export HKCU\Software\Microsoft\Windows\
　　CurrentVersion\Policies\Explorer\Run f:\hklcu.reg
　　reg export HKLM\SOFTWARE\Microsoft\Windows\
　　CurrentVersion\Policies\Explorer\Run hklml.reg
　　注：这里只列举几个常见键值的备份，其它键值请参照上述方法制作。
　　然后将它保存为ziqidong.bat在命令提示符下运行它，即可将所有自启动键值备份到相应的reg文件中，接着再输入：
　　copy f:\*.reg ziqidong.txt
　　命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中，这样如果发现病毒新增自启动项，同上次导出自启动值，利用上面介绍的FC命令比较前后两个txt文件， 即可快速找出新增自启动项目。
　2、用reg delete删除新增自启动键值。
　　比如：通过上面的方法在[HKER_CURRENT_USER\SOFTWARE\Microsoft\
　　Windows\CurrentVersion\Run],找到一个“Logon”自启动项，启动程序为“c:\windows\winlogon.exe”,现在输入下列命令即可删除病毒自启动键值：
　　reg delete HKLM\software\Microssoft\Windows\
　　CurrentVersion\Run /f
　　3、用reg import恢复注册表。
　　Reg de-lete删除是的是整个RUN键值，现在用备份好的reg文件恢复即可，输入下列命令即可迅速还原注册表：reg import f:\hklmrun.reg
　　上面介绍手动杀毒的几个系统命令，其实只要用好这些命令，我们基本可以KILL掉大部分的病毒，当然平时就一定要做好备份工作。
　　提示：上述操作也可以在注册表编辑器里手动操作，但是REG命令有个好处，那就是即使注册表编辑器被病毒设置为禁用，也可以通过上述命令导出/删除/导入操作，而且速度更快!
　　七、捆绑木马克星——FIND
　　上面介绍利用系统命令查杀一般病毒，下面再介绍一个检测捆绑木马的“FIND”命令。
　　相信很很多网虫都遭遇过捆绑木刀，这些“批着羊皮的狼”常常躲在图片、FLASH、甚至音乐文件后面。
　　当我们打开这些文件的时候，虽然在当前窗口显示的确实是一幅图片(或是播放的FLASH)，但可恶的木马却已经在后台悄悄地运行了。
　　比如近曰我就收到一张好友从QQ传来的超女壁纸，但是当我打开图片时却发现：图片已经用“图片和传真查看器”打开了，硬盘的指示灯却一直在狂闪。
　　显然在我打开图片的同时，有不明的程序在后台运行。
　　现在用FIND命令检测图片是否捆绑木马，在命令提示符输入：
　　FIND /c /I〝This program〞g:\chaonv.jpe.exe其中:
　　g:\chaonv.jpe.exe表示需要检测的文件
　　FIND命令返回的提示是“___G:CHAONV.EXE: 2”,这表明“G：、CHAONV.EXE”确实捆绑了其它文件。
　　因为FIND命令的检测：如果是EXE文件，正常情况下返回值应该为“1”;如果是不可执行文件，正常情况下返回值应该为“0”，其它结果就要注意了。
　　提示：其实很多捆绑木马是利用Windows默认的“隐藏已知类型文件扩展名”来迷惑我们，比如本例的“chaonv.jpe.exe”，由于这个文件采用了JPG文件的图标，才导致上当。
　　打开“我的电脑”，单击“工具→文件夹选项”，“单击”“查看”，去除“隐藏已知类型文件扩展名”前的小勾，即可看清“狼”的真面目。
　　八、总结
　　最后我们再来总结一下手动毒的流程：
　　用TSKLIST备份好进程列表→通过FC比较文件找出病毒→用NETSTAT判断进程→用FIND终止进程→搜索找出病毒并删除→用REG命令修复注册表。
　　这样从发现病毒、删除病毒、修复注册表，这完成整个手动查毒、杀毒过程。

进程是什么
　　进程为应用程序的运行实例，是应用程序的一次动态执行。我们可以简单地理解为：它是操作系统当前运行的程序。
　　在系统当前运行的执行程序里包括：系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序，当然也包括用户不知道，而自动运行的非法程序(它们就有可能是病毒程序)。
　　危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示，如“宏病毒”)，那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。
　　什么是木马
　　木马病毒源自古希腊特洛伊战争中着名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。
　　传染方式:通过电子邮件附件发出，捆绑在其他的程序中。
　　病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
　　木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。
　　防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。
　　什么是计算机病毒
　　计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。
　　除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。
　　可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制, 具有传染性。
　　所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
　　蠕虫病毒
　　蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。
　　比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。
　　蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。
　　广告软件Adware
　　广告软件(Adware)是指 未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后，往往造成系统运行缓慢或系统异常。
　　防治广告软件，应注意以下方面 ：
　　第一，不要轻易安装共享软件或”免费软件”，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。
　　第二，有些广告软件通过恶意网站安装，所以，不要浏览不良网站。
　　第三，采用安全性比较好的网络浏览器，并注意弥补系统漏洞.
　　间谍软件Spyware
　　间谍软件(Spyware)是能够在使用者不知情的情况下，在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获， 甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。
　　防治间谍软件，应注意以下方面 ：
　　第一，不要轻易安装共享软件或“免费软件”，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。
　　第二，有些间谍软件通过恶意网站安装，所以，不要浏览不良网站。
　　第三，采用安全性比较好的网络浏览器，并注意弥补系统漏洞。
　　Dll文件
　　DLL是Dynamic Link Library的缩写，意为动态链接库。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可有多个DLL文件，一个DLL文件也可能被几个应用程序所共用，这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:WindowsSystem目录下。
　　1、如何了解某应用程序使用哪些DLL文件
　　右键单击该应用程序并选择快捷菜单中的“快速查看”命令，在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。
　　2、如何知道DLL文件被几个程序使用
　　运行Regedit，进入HKEY_LOCAL_MACHINE \Software \Microsrft \Windows \Currentversion \SharedDlls子键查看，其右边窗口中就显示了所有DLL文件及其相关数据，其中数据右边小括号内的数字就说明了被几个程序使用，(2)表示被两个程序使用，(0)则表示无程序使用，可以将其删除。
3、如何解决DLL文件丢失的情况
　　有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时，就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况，如果你能确定其名称，可以在Sysbckup(系统备份文件夹)中找到该DLL文件，将其复制到System文件夹中。如果这样不行，在电脑启动时又总是出现“***dll文件丢失……”的提示框，你可以在“开始/运行”中运行Msconfig，进入系统配置实用程序对话框以后，单击选择“System.ini”标签，找出提示丢失的DLL文件，使其不被选中，这样开机时就不会出现错误提示了。
　　rundll的功能是以命令列的方式呼叫Windows的动态链结库。
　　Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库，后者是用于16位的链结库。rundll32.exe是专门用来调用dll文件的程序。
　　如果用的是Win98，rundll32.exe一般存在于Windows目录下;
　　如果用的WinXP，rundll32.exe一般存在于WindowsSystem32目录下。
　　若是在其它目录，就可能是一个木马程序，它会伪装成rundll32.exe。
　　系统进程
　　进程是指在系统中正在运行的一个应用程序;线程是系统分配处理器时间资源的基本单元，或者说进程之内独立执行的一个单元。对于操 作系统而言，其调度单元是线程。一个进程至少包括一个线程，通常将该线程称为主线程。一个进程从主线程的执行开始进而创建一个或多个附加线程，就是所谓基于多线程的多任务。
　　
　　那进程与线程的区别到底是什么?进程是执行程序的实例。例如，当你运行记事本程序(Nodepad)时，你就创建了一个用来容纳组成Notepad.exe的代码及其所需调用动态链接库的进程。每个进程均运行在其专用且受保护的地址空间内。因此，如果你同时运行记事本的两个拷贝，该程序正在使用的数据在各自实例中是彼此独立的。在记事本的一个拷贝中将无法看到该程序的第二个实例打开的数据。
　　以沙箱为例进行阐述。一个进程就好比一个沙箱。线程就如同沙箱中的孩子们。孩子们在沙箱子中跑来跑去，并且可能将沙子攘到别的孩子眼中，他们会互相踢打或撕咬。但是，这些沙箱略有不同之处就在于每个沙箱完全由墙壁和顶棚封闭起来，无论箱中的孩子如何狠命地攘沙，他们也不会影响到其它沙箱中的其他孩子。因此，每个进程就象一个被保护起来的沙箱。未经许可，无人可以进出。
　　实际上线程运行而进程不运行。两个进程彼此获得专用数据或内存的唯一途径就是通过协议来共享内存块。这是一种协作策略。下面让我们分析一下任务管理器里的进程选项卡。
　　这里的进程是指一系列进程，这些进程是由它们所运行的可执行程序实例来识别的，这就是进程选项卡中的第一列给出了映射名称的原因。请注意，这里并没有进程名称列。进程并不拥有独立于其所归属实例的映射名称。换言之，如果你运行5个记事本拷贝，你将会看到5个称为Notepad.exe的进程。它们是如何彼此区别的呢?其中一种方式是通过它们的进程ID，因为每个进程都拥有其独一无二的编码。该进程ID由Windows NT或Windows 2000生成，并可以循环使用。因此，进程ID将不会越编越大，它们能够得到循环利用。
　　第三列是被进程中的线程所占用的CPU时间百分比。它不是CPU的编号，而是被进程占用的CPU时间百分比。此时我的系统基本上是空闲的。尽管系统看上去每一秒左右都只使用一小部分CPU时间，但该系统空闲进程仍旧耗用了大约99%的CPU时间。
　　第四列，CPU时间，是CPU被进程中的线程累计占用的小时、分钟及秒数。请注意，我对进程中的线程使用占用一词。这并不一定意味着那就是进程已耗用的CPU时间总和，因为，如我们一会儿将看到的，NT计时的方式是，当特定的时钟间隔激发时，无论谁恰巧处于当前的线程中，它都将计算到CPU周期之内。通常情况下，在大多数NT系统中，时钟以10毫秒的间隔运行。每10毫秒NT的心脏就跳动一下。有一些驱动程序代码片段运行并显示谁是当前的线程。让我们将CPU时间的最后10毫秒记在它的帐上。因此，如果一个线程开始运行，并在持续运行8毫秒后完成，接着，第二个线程开始运行并持续了2毫秒，这时，时钟激发，请猜一猜这整整10毫秒的时钟周期到底记在了哪个线程的帐上?答案是第二个线程。因此，NT中存在一些固有的不准确性，而NT恰是以这种方式进行计时，实际情况也如是，大多数32位操作系统中都存在一个基于间隔的计时机制。请记住这一点，因为，有时当你观察线程所耗用的CPU总和时，会出现尽管该线程或许看上去已运行过数十万次，但其CPU时间占用量却可能是零或非常短暂的现象，那么，上述解释便是原因所在。上述也就是我们在任务管理器的进程选项卡中所能看到的基本信息列。

P2P终结者是一个控制局域网P2P下载流量的网络管理软件，通过P2P终结者软件可以控制全网的网络资源使用，个人认为,p2p终结者是一把双刃剑,用得好了可以维护你正当的网络流量共享,以防他人独占带宽.但不可否认的是,也有很多人利用p2p终结者限制局域网其它用户流量以达到自己独占带宽的目的.当你碰到这会事的时候,该怎么办呢?
这儿有一款名为反p2p终结者的软件,他的作用就是强制退掉你同一个网络中他人(其实也包括自己)所使用的p2p终结者.如图:

使用方法：
下载完解压出来后会有两个应用程序WinPcap_3_0 和 ap2pover ;先执行WinPcap_3_0进行安装,然后在运行ap2pover,选择你所用的网卡类型,然后单击便可强制退掉p2p终结者,这样,你就可以告别了他人使用p2p终结者对你的流量的控制.

P2P终结者是由Net.Soft工作室开发的一套专门用来控制企业网络P2P下载流量的网络管理软件。软件针对目前P2P软件过多占用带宽的问题，提供了一个非常简单的解决方案。软件基于底层协议分析处理实现，具有很好的透明性。软件可以适应绝大多数网络环境，包括代理服务器、ADSL路由器共享上网，Lan专线等网络接入环境。
P2P终结者彻底解决了交换机连接网络环境问题，做到真正只需要在任意一台主机安装即可控制整个网络的P2P流量，对于网络中的主机来说具有很好的控制透明性，从而有效地解决了这一目前令许多网络管理员都极为头痛的问题，具有良好的应用价值。
P2P终结者目前可以控制绝大部分流行的P2P软件下载，而且P2P终结者开发人员将持续跟踪最新的P2P下载技术的发展，在发现会对网络正常应用造成较大影响的网络下载技术时，会及时进行软件升级更新。
P2P终结者具有以下功能：
1.支持目前主流P2P协议控制(Bittorrent,BaiduX,PP,Poco,Kamun,Thunder,Kugoo,eMule等)
　　2.支持P2P下载带宽限制自定义
　　3.支持指定主机全局带宽限制
　　4.主机网络带宽实时查看功能，可以使网络管理员对网络带宽使用情况做到一目了然
　　5.完全集成一些网络攻击工具的断开公网连接功能
　　6.IP-MAC绑定控制功能
　　7.网络主机通讯详细信息(IP报文内容分析)实时查看功能
　　8.HTTP下载自定义文件后缀控制功能
　　9.FTP下载限制功能
　　10.WWW站点自定义控制功能，支持黑名单、白名单方式
　11.QQ,MSN，PoPo,UC聊天工具控制功能
　　12.控制日志记录
　　13.局域网非法Sniffer主机检测功能
　　14.支持绝大多数网络环境，网络结构不需要做任何改动，完美支持ADSL路由器+交换机网络环境
而且，P2P终结者开发人员将不断跟踪最新P2P协议发展动态，以实现软件更完善的控制功能，同时也会吸取用户的反馈意见，以把P2P终结者软件做得更加完善

谈到个人上网时的安全，还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种：(1) 被他人盗取密码(2) 系统被木马攻击(3) 浏览网页时被恶意的java scrpit程序攻击(4) QQ被攻击或泄漏信息(5) 病毒感染(6) 系统存在漏洞使他人攻击自己。(7) 黑客的恶意攻击。
　　下面我们就来看看通过什么样的手段来更有效的防范攻击。首先是传统的一些设置，这里再次写出来：
　　1.察看本地共享资源
　　运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。
　　2.删除共享(每次输入一个)
　　net share admin$ /delete
　　net share c$ /delete
　　net share d$ /delete(如果有e，f，……可以继续删除)
　　3.删除ipc$空连接
　　在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINE SYSTEM CurrentControSet ControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
　　4.关闭自己的139端口，Ipc和RPC漏洞存在于此
　　关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口
　　5.防止Rpc漏洞
　　打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。
　　Windwos XP SP2和Windows2000 Pro Sp4，均不存在该漏洞。
　　6. 445端口的关闭
　　修改注册表，添加一个键值HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ NetBT\ Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
　　7. 3389的关闭
　　WindowsXP：我的电脑上点右键选属性–>远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。
　　Win2000server 开始–>程序–>管理工具–>服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。(该方法在XP同样适用)
　　使用Windows2000 Pro的朋友注意，网络上有很多文章说在Win2000pro 开始–>设置–>控制面板–>管理工具–>服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。
　　8. 4899的防范
　　网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。
　　4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。
　　所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。
　　9、禁用服务
　　打开控制面板，进入管理工具,服务,关闭以下服务：
　　1.Alerter通知选定的用户和计算机管理警报
　　2.ClipBook启用“剪贴簿查看器”储存信息并与远程计算机共享
　　3.Distributed File System将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享
　　4.Distributed Link Tracking Server适用局域网分布式链接
　　5.Human Interface Device Access启用对人体学接口设备(HID)的通用输入访问
　　6.IMAPI CD-Burning COM Service管理 CD 录制
　　7.Indexing Service提供本地或远程计算机上文件的索引内容和属性，泄露信息
　　8.Kerberos Key Distribution Center授权协议登录网络
　　9.License Logging监视IIS和SQL如果你没安装IIS和SQL的话就停止
　　10.Messenger警报
　　11.NetMeeting Remote Desktop Sharin(gnetmeeting公司留下的客户信息收集)
　　12.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交换
　　13.Network DDE DSDM管理动态数据交换 (DDE) 网络共享
　　14.Print Spooler打印机服务，没有打印机就禁止吧
　　15.Remote Desktop Help& nbsp;Session Manager管理并控制远程协助
　　16.Remote Registry使远程计算机用户修改本地注册表
　　17.Routing and Remote Access在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息
　　18.Server支持此计算机通过网络的文件、打印、和命名管道共享
　　19.Special Administration Console Helper允许管理员使用紧急管理服务远程访问命令行提示符
　　20.TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件 、打印和登录到网络
　　21.Telnet允许远程用户登录到此计算机并运行程序
　　22.Terminal Services允许用户以交互方式连接到远程计算机
　　23.Window s Image Acquisition (WIA)照相服务，应用与数码摄象机
　　如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。
10、账号密码的安全原则
　　首先禁用guest帐号，将系统内建的administrator帐号改名(改的越复杂越好，最好改成中文的)，而且要设置一个密码，最好是8位以上字母数字符号组合。
　　如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置。
　　打开管理工具—本地安全设置—密码策略：
　　1.密码必须符合复杂要求性.启用
　　2.密码最小值.我设置的是8
　　3.审核对象访问 失败
　　4.密码最短使用期限0天
　　5.强制密码历史 记住0个密码
　　6.用可还原的加密来存储密码 禁用
　　11、本地策略
　　这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。
　　(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)
　　打开管理工具，找到本地安全设置—本地策略—审核策略：
　　1.审核策略更改 成功失败
　　2.审核登陆事件 成功失败
　　3.审核对象访问 失败
　　4.审核跟踪过程 无审核
　　5.审核目录服务访问 失败
　　6.审核特权使用 失败
　　7.审核系统事件 成功失败
　　8.审核帐户登陆时间 成功失败
　　9.审核帐户管理 成功失败
　　然后再到管理工具找到事件查看器：
　　应用程序：右键>属性>设置日志大小上限，我设置了50mb，选择不覆盖事件。
　　安全性：右键>属性>设置日志大小上限，我也是设置了50mb，选择不覆盖事件。
　　系统：右键>属性>设置日志大小上限，我都是设置了50mb，选择不覆盖事件。
　　12、本地安全策略
　　另外，目前网络中有一种攻击让网络管理员最为头疼，那就是拒绝服务攻击，简称DOS和DDOS。它是一种滥用资源性的攻击，目的就是利用自身的资源通过一种放大或不对等的方式来达到消耗对方资源的目的。同一时刻很多不同的IP对服务器进行访问造成服务器的服务失效甚至死机。
　　今天就笔者公司管理服务器的经验为各位读者介绍几个简单有效的防范拒绝服务攻击的方法，虽然不能彻底防护，但在与DDOS的战斗中可以最大限度降低损失。
　　1、如何发现攻击
　　在服务器上可以通过CPU使用率和内存利用率简单有效的查看服务器当前负载情况，如果发现服务器突然超负载运作，性能突然降低，这就有可能是受攻击的征兆。不过也可能是正常访问网站人数增加的原因。如何区分这两种情况呢?按照下面两个原则即可确定受到了攻击。
　　(1)网站的数据流量突然超出平常的十几倍甚至上百倍，而且同时到达网站的数据包分别来自大量不同的IP。
　　(2)大量到达的数据包(包括TCP包和UDP包)并不是网站服务连接的一部分，往往指向你机器任意的端口。比如你的网站是Web服务器，而数据包却发向你的FTP端口或其它任意的端口。
　　2、BAN IP地址法
　　确定自己受到攻击后就可以使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效，因为DOS往往来自少量IP地址，而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦，需要我们对IP地址分析，将真正攻击的IP地址屏蔽。
　　不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙，然后根据防火墙的日志分析来访者的IP，发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了。
　　当然直接在服务器上过滤会耗费服务器的一定系统资源，所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段，然后将过滤条目添加到路由器上。例如我们发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0，而服务器的地址为61.153.5.1。那么可以登录公司核心路由器添加如下语句的访问控制列表进行过滤。
　　cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0，
　　这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。
　　小提示：在访问控制列表中表示子网掩码需要使用反向掩码，也就是说0.0.255.255表示子网掩码为255.255.0.0 。
　　3、增加SYN缓存法
　　上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能，自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。
　　修改SY缓存大小是通过注册表的相关键值完成的。我介绍一下WINDOWS2003和2000中的修改方法。
　　(1)WIN2003下拒绝访问攻击的防范：
　　第一步：“开始->运行->输入regedit”进入注册表编辑器。
　　第二步：找到HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\Services，在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。
　　小提示：该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。
　　第三步：将HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services下EnableDeadGWDetect键值，将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。
　　第四步：将HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services下EnablePMTUDiscovery键值，将其修改为0。这样可以限定攻击者的MTU大小，降低服务器总体负荷。

在病毒横行，马儿随意吃草的年代，网民们谈论最多的就要属系统破坏，病毒入侵了。说实话，自己每次出差之前，都要给家人的和邻居们的计算机做一下检查。你也许会说，这不是吃饱了撑的么！没错，我是吃饱了，但绝对不是撑的没事做，因为经常在外出差办事，接到家里打来的电话，通常都是三句：“中招了，电脑开不了了！”、“电脑现在好慢哦！怎么办啊？”第3句话基本上就是问我什么时候回来。能用电脑的人不一定会使用好，装了个杀毒软件就能防范所有病毒么？想抵御黑客攻击，靠防火墙软件就可以么？作为黑客，我不得不说，没那么简单，那么对于大多数人来说，应该做什么样的防范，才能把黑客、病毒、恶意软件统统关在门外呢？
　　一、删除垃圾文件，把木马和病毒消灭在温床里
　　一般大家在浏览网站信息的时候，都会在本地机器上残留一些文件，而病毒也经常潜伏在里面，尤其是一些广告代码，恶意脚本和以及木马程序。这些文件集中在c盘的Documents and Settings文件夹下的子文件夹（你经常用的登陆帐号，例如admin，就是你在装机器的时候，填写的那个登陆帐户的名字）下面的local setting里面的temp文件夹。我们只要ctrl + A 全选之后，删除就可以了。
　　注意：local setting文件夹默认是隐藏属性，所以，你必须要让系统显示所有隐藏文件，这点我就不说怎么做了，我想大家都应该会。
　　二、关闭自动播放，避免间接感染
　　DC、DV以及mp3，mp4等娱乐休闲设备大兴其道的同时，也给我们本已脆弱的系统增加了几分凶险。很多人都是习惯性的将这些移动存储设备连接电脑后，直接传输文件、图片和视频，其实这个习惯很容易让你中招。曾经有一次，邻居的电脑发现双击打不开硬盘驱动器，弹出一个“选择打开方式”的对话框，其实是中了autoruan病毒。这类病毒的传播媒介主要是移动存储设备，由于经常要在磁盘内交换数据，很有可能会感染病毒。很多人都知道硬盘有加密区，移动存储设备也一样有，用于存放设备及厂家标识信息的，而且都不大，几十K，最大也不超过几百K。有些病毒和恶意代码程序就是专门针对移动存储设备的加密区而写的，即使你把U盘格式化，他们也依然存在。这无论对于个人还是企业，都有一定的威胁。据我所知，有些大公司和企业为了不让自己的机密信息通过U盘传播出去，就制定了不允许在公司内部使用U盘拷贝文件的规定。个人用户为了读取数据文件的方便，还是要使用移动存储设备的，那么我们怎么做才能把安全风险降到最低呢？
　　关闭windows系统的自动播放服务，具体操作方法是：在运行里面，输入gpedit.msc，打开组策略，在用户配置下的管理模板中打开“系统”选项，在里面双击“关闭自动播放”，选择“已启用”，并选择“所有驱动器”，这样就可以关闭自动播放服务了。对于一些初级用户，如果想省事，使用大成的U盘免疫系统，也是不错的选择。
　　三、家用摄象头的安全隐患
　　个人隐私对于任何人来说，都是再重要不过的了，可是现在的黑客，为了money，可谓是无恶不作。如果你碰巧有个摄像头，又恰巧被人安装木马，键盘记录器等小工具，那么恭喜你，你的机器既成为了人家手中的肉鸡，又有可能通过你的摄像头掌握你一切的活动，甚至有些变态的在澡堂和换衣间安装针孔摄象头，来捕获一些信息出售了。
　　摄象头成本低廉，在电信、移动、网通这些“吸血鬼”狂喝我们纳税人血液的时候，voip的诞生，网络通讯软件的广泛应用给我们省了不少money。但是同时也造成了一些安全隐患，在你同别人视频的时候，如果对方在你机器中下了有针对性的木马，那么你所有的活动都将收入人家的眼底。前些时候网上抄的很凶的视频泄密，是真实存在的，只要在木马中加一小段代码，就可以实现远程遥控的你摄像头。使用工具的伪“黑客”们可以捕获你和对方的谈话信息，捕获你的屏幕 ，甚至利用你的摄象头来监视你，这是绝对可以实现的，而且你还不知道。那你也许会问，把摄像头关了，不就可以了么？答案是否定的，同样在木马或病毒中加上一小段脚本，就可以远程开关你的摄像头，你在房间的一举一动都能看的清清楚楚。
　　有句话说的好，不怕贼偷就怕贼惦记。对家用摄像头带来的安全隐患，没有特别好的处理方法，通常都是聊天完毕，立即拔掉摄象头即可避免这样的情况。但对于彻夜不关机的懒人来说，就需要在睡觉的时候给摄像头盖上一块布，或者对着一盆花。
四、如何防止个人信息泄露
　　通常个人电脑中发生的密码泄露，游戏帐号泄露等事件都是病毒、木马以及恶意程序造成的，这些程序在你的电脑中植入小小的键盘记录器，来记录你的个人信息。在子明的黑客故事系列的第三篇，黑客窃取银行中就有对键盘记录器的详细介绍。
　　对付键盘记录器的一些个人建议：在输入密码时，前面先多做几次出错。在选择输入框的同时利用鼠标不断变换位置，尽量不要先输入头一位。现在网络银行和QQ登陆帐户都启用了软键盘功能，以前的软键盘输入之后，光标位置不变，而现在的就不错，每次打开输入一次，键盘上的字母和数字就会重新变换一次位置，这就造成了hook（钩子）的失效，那是不是这些黑客就无法破解了呢？答案是一定否定的，但是对于个人用户，这些是足够的了。
　　总结：个人用户在更新系统补丁的同时，一定要及时升级杀毒软件，不要以为杀毒软件能自动完成查杀，它也只能查杀病毒特征库中已知的病毒，对于那些黑客自己编写，尚未流通的病毒是无效的。最好的预防办法就是少一些好奇，尽量不要浏览不明网站和下载不明程序，尤其那些地址看上去非常怪异的，实在想浏览可以利用搜索引擎中的快照功能。对于Emule ，vagaa等P2P软件，也要多加小心，因为这些软件也是更多病毒的温床。最重要的是多为自己增加几分网络安全意识，网络安全防范，防的不是别人，要防的其实是自己，少一些好奇，少一些无知，少一些贪欲，这才是你最好的防范。黑客想进门也不那么容易了。
　　备注：个人计算机的安全防护，有永远说不完的话题，不仅仅是子明介绍的这四个方面需要注意，其他地方也需要注意，比如，系统设置不当也会造成很严重后果。小编就有一次发现朋友的笔记本上所有系统帐户全开，而且共享文件夹多的吓人，这样怎么有安全可言？病毒和木马看了还不乐坏了。总之，个人计算机安全防范，最重要的还是子明那句话，增强个人安全意识，少一些好奇，多一些警觉。