远程过程调用失败黑客,电脑出现远程过程调用失败

导航：

• 1、黑客入侵、程序的混乱如何调整
• 2、触犯远程wmi调用什么意思
• 3、win7远程过程调用失败且未执行 好像中毒了 可是检不出来 重启就好了 但是再打开防火墙又这样
• 4、瑞星报警 Blaster Rpc Exploit？
• 5、求答案!!急急急!什么是黑客？黑客攻击一般采用的过程是什么？试论述如何预防和保护免受黑客的攻击与破坏
• 6、我的电脑里有《RPC 远程调用协议》是不是被黑客入侵了?

黑客入侵、程序的混乱如何调整

您检查了一下，发现服务器和网络真的都慢得出奇。您检查了防火墙的通信量情况，注意到有非常大的Internet通信量。您在服务器上运行Netstat命令，发现服务器上有几个未经授权的连接，并且这些连接看起来都来自Internet。您检查服务器的注册表，注意到有几个陌生的程序被设置为自动加载。那么，现在取消您的旅行计划吧，您这个周末会有一大堆工作要做。您被黑客攻击了。 根据攻击性质的不同，有时并不容易判断出是否已受到黑客攻击。了解该检查哪些方面以及检查什么内容，能帮助您发现黑客的攻击，并且在这些攻击造成进一步破坏之前采取恢复措施。我将会告诉您从哪里查找可能会严重破坏您系统的恶意程序，我还会帮助您作出一个攻击恢复计划。我将会用三个案例来告诉您我是如何使用这些策略来帮助这些机构检测网络攻击、从攻击中恢复，并避免将来再受到攻击。

要检查的内容

很显然，您只有发现了黑客的攻击，才能采取措施阻止攻击并使之恢复。那么该从哪里入手呢？每一次的攻击都是独一无二的，但有些地方总是需要您首先检查的。以下是您开始搜索的关键位置。 注册表子项。如果您怀疑某台机器被黑客攻击，请首先检查它的注册表的“Run”子项。查找在这些子项中是否加载了任何陌生的程序。攻击者可以利用 “Run”子项启动恶意程序，入侵者还有可能通过这些子项启动病毒。这些子项适用于以下操作系统：Windows Server 2003、Windows XP、Windows 2000、Windows NT、Windows Me和Windows 9x。这些需要检查的子项包括：

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\RunOnce

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\RunServices

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\RunServicesOnce

• HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Run

• HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\RunOnce

• HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\RunServices

• HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\RunServicesOnce 如果您运行的是Windows 2003、Windows XP、Windows 2000或Windows NT系统，您还需要检查“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run”子项。 任何您无法识别的程序都有可能是黑客程序。您可以用Google或者类似的搜索引擎在Internet上搜索程序名，以确定程序是否合法。您需要特别留意从“C:”、“C:\Windows”和“C:\Windows\System32”加载的程序。强烈建议您养成定期复查这些注册表项的习惯，这样您会熟悉自动加载到您计算机上的所有程序。 下面的一些子项较少被用来启动黑客程序，但您还是需要检查它们。这些子项适用于所有Windows操作系统。如果缺省的注册表项的值不是"%1" %*，那么这个程序很可能是个黑客程序。

• HKEY_CLASSES_ROOT\batfile\shell\open\command

• HKEY_CLASSES_ROOT\comfile\shell\open\command

• HKEY_CLASSES_ROOT\exefile\shell\open\command

• HKEY_CLASSES_ROOT\htafile\shell\open\command

• HKEY_CLASSES_ROOT\piffile\shell\open\command

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile

\shell\open\command

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile

\shell\open\command

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

\shell\open\command

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htafila

\shell\open\command

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile

\shell\open\command 服务。对于所有的Windows操作系统，检查它们的“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services”注册表子项。这个子项下的项目指定了计算机上所定义的服务。我建议您直接在注册表中查看服务而不是使用Windows的“服务”图形界面来查看，因为一些服务（例如类型为1的服务）并不显示在“服务”图形界面中。同样，还是要检查您无法识别的程序。如果可能的话，请与一台您已知并未受到黑客攻击的机器的Services子项对比它的各项以及对应的值，看是否有任何不同之处。 “启动”文件夹。检查“C:\Documents and Settings\All Users\Start Menu\Programs\Startup”和“C:\Documents and Settings\\Start Menu\Programs\Startup”文件夹看是否有陌生的程序和隐藏的文件。要显示当前文件夹及其子文件夹内的所有隐藏文件，在命令提示符处输入： dir /a h /s 任务计划。检查“C:\Windows\tasks”文件夹看是否有未授权的任务。研究您无法识别的任何任务计划。 Win.ini。恶意的用户能够通过“C:\Windows\Win.ini”自动加载黑客程序。请检查“Win.ini”文件中的这一小节： [Windows] Run= Load= 任何在“Run=”或“Load=”后面列出的程序都会在Windows启动时自动加载。 System.ini。入侵者可以在“C:\Windows\System.ini”中利用shell命令加载程序。请在“System.ini”中搜索： [boot] shell=explorer.exe 任何在“explorer.exe”后面列出的程序都会在Windows启动时自动加载 黑客可以在Windows启动时自动加载程序的其它位置。Sysinternals的免费软件Autoruns可以显示出哪些程序被配置为在 Windows NT（以及之后的系统）启动时加载的。您可以从 下载这个工具 .

开放的端口和未授权的用户

在您对关键位置是否有黑客攻击活动做了初步的检查以后，请查找意外或可疑的开放端口。 Root Kit。Root Kit是运行在操作系统级别上的秘密程序，它能够打开有危险的机器的端口，入侵者用它来进行远程访问。Root Kit在UNIX的世界比较常见，但是越来越多恶意的黑客编写它们并利用在Windows上。要判断一台基于Windows的计算机上的连接和正在监听的端口，请打开命令提示符并运行以下命令： Netstat -a 表1列出了在一台Windows XP计算机上通常打开的端口。如果您在某台工作站或服务器上看到有更多的开放端口，请不要惊慌。端口会根据服务的类型进行动态分配。例如，当您远程管理DHCP和WINS的时候，远程过程调用（RPC）会使用动态端口。要了解更多信息，请参考微软的文章“How To Configure RPC Dynamic Port Allocation to Work with Firewall”（ ）。当您运行Netstat时，查找以下项目：• 大量已建立的连接（10个或更多，这取决于您的环境），特别是连接到您公司外的IP地址的连接。 • 意外的开放端口，特别是序号较高的端口（例如大于1024的端口号）。黑客程序和Root Kit往往使用高序号的端口建立远程连接。 • 很多待处理的连接尝试。这有可能是SYN Flood Attack的讯号。

• 无法识别的批处理文件。一些Root Kit在下列文件夹中创建批处理文件：“C:\”、“C:\winnt\”、“C:\Windows\”、“C:\winnt\System32”和“C:\Windows\System32”。Root Kit或其它未授权的程序还可以在回收站下创建文件和文件夹，所以请查找回收站文件夹内的隐藏文件夹或未授权的文件夹。缺省情况下，回收站文件位于“C:\recycler”文件夹中。要小心在您清空回收站以后仍残留其中的文件和文件夹。 一些黑客工具能够阻止Netstat显示一台计算机上的开放端口。如果Netstat显示没有可疑的开放端口，但您仍怀疑有，可从另一台计算机运行端口扫描工具来查看目标计算机上有哪些端口是打开的。例如运行源代码开放的实用程序Network Mapper（nmap），您可以从 下载它。

AD中的恶意用户。当入侵者试图危及系统安全时，他或她有时会在Active Directory（AD）中创建一个或多个恶意用户。通常入侵者创建的这些用户账号的说明字段都是空的。为了对付这种情况，建议您按照一定的命名规则，为AD中的每个授权用户都添加一个说明。然后，您就可以按照说明对用户排序，这样所有没有说明的用户都会出现在列表的顶端。

特权组中的未授权用户。黑客攻击的一个主要目标是扩大权力。检查AD中的特权组（例如Administrators、Domain Admins、Enterprise Admins、Server Operators）看是否存在未授权的组成员。您需要确保限制这些组的成员，以便更容易发现未授权的用户。

为系统止血：恢复计划如果您发现有一个系统被黑客攻击了，请不要惊慌。您需要保持冷静，然后有逻辑地进行处理。以下的行动计划能帮助您减少损失。

1.隔离网络。关闭您网络的所有外部接口，包括Internet、WAN、VPN和拨号连接，断开路由器、无线接入点（AP）以及将您的网络与外界连接起来的任何其它设备的所有线路。这样做能立即停止当前正受到的攻击，并阻止入侵者危及其它系统的安全。

2.清理无线设备。使用无线嗅探器（如Airscanner Mobile Sniffer或NetStumbler.com的NetStumbler）在您的区域内查找任何恶意的AP。确保嗅探器安装在支持当前所有无线标准（也就是802.11a、802.11b和802.11g）的卡上。

3.查找其它被攻击了的机器。使用本文所述的技术来查找您是否有其它机器已遭受到黑客攻击。

4.复查防火墙配置。查找是否存在任何未授权的规则、未授权对外界打开的端口和未授权的网络地址转换（NAT）规则。检查防火墙日志中是否记录了可疑的活动。建议您始终将出站的通信限制在必要的出站端口，并确保只有经授权的计算机才能通过防火墙向外发送邮件。

5.检查AD。查找任何未授权的用户账号并禁用它们。

6.更改网络中所有账号的密码。对于有较高权限的账号，建议您设置至少15个字符的密码（或密码短语）。这样长度的密码很难破解，因为LAN管理器（LM）密码HASH不会在服务器上存储超过14个字符的密码。

7.更换被黑客攻击的计算机上的硬盘。更换硬盘可以隔离并保留黑客的攻击行为。您可以复查旧硬盘上的数据以获得有关攻击的有用信息。

8.找出被攻击的弱点。尽量找出黑客是如何访问网络的，但这通常是很难做到的（并且超出了本文的讨论范围）。如果您不能找到漏洞在哪里，请考虑雇用一位安全顾问来帮助您。

9.重装被攻击的机器。彻底清理一个被黑客攻击的计算机几乎是不可能的。如果机器上还残留着一种或多种黑客工具，入侵者将会重新获得访问该机器的能力。确保机器完全清理干净的唯一办法是格式化硬盘，并重装整个机器。这样确保不会保留了任何先前安装的黑客工具。您应该从CD-ROM重新安装所有程序，手工安装所有补丁，只恢复数据文件。绝对不要从磁带恢复注册表、操作系统或任何程序。

10.对所有机器进行全面的病毒扫描。要注意，防病毒程序有时会把黑客工具当作是合法程序。如果扫描结果显示机器是干净的，但您还是怀疑它已被攻击，建议您重装该机器。

11.重新连接WAN线路。重新连接WAN线路，并仔细监测，以确保您关闭了网络的所有漏洞。注意网络的带宽是否会被大量占用，密切监测防火墙日志，并在所有服务器上启用安全审核。

12.仔细调查被黑客攻击的硬盘。把被黑客攻击的机器的硬盘安装在一台独立的计算机上，检查它们以获得有关攻击的更多信息。虽然入侵者往往使用虚假的IP地址，IP地址仍然是追踪攻击来源的很好线索。您可以从Internet Assigned Numbers Authority（IANA)网站（ ）获得IP地址分配的列表。

13.通知有关当局。如果您在美国，可以向FBI属下的Internet Fraud Complaint Center （IFCC- ）报告可疑的Internet活动，并且大部分的 FBI各地区办事处都有Cyber Action Teams（CAT）。没有人愿意承认被黑客攻击，但是通知有关当局可以防止黑客进行更多的破坏。如果要联系您当地的FBI办事处，请访问 。

您可以使用上述步骤设计出一个定制的攻击恢复计划。请根据您机构的情况适当地修改这些步骤，并将它们整合到您公司的灾难恢复计划中。案例学习 在我的顾问实践中，曾经遇到过许多情形，都是一些机构的网络受到攻击。通过学习别人的经验可以帮助您发现您网络的弱点，并帮助您在受到类似攻击时进行恢复。那么，让我们看一下真实生活中的黑客攻击案例。

Exchange服务器的SMTP AUTH攻击

第三个客户的Internet连接由于Internet通信量很大所以运行得很慢。而当我让所有用户与Internet断开后，通信量仍然很大。我查看了Exchange 2000 server上的外出队列，发现有100个以上的队列，每个队列中都有非常大量的消息。我用ESM随机检查了几个队列，发现这些消息的发送人或接收人都不是来自本地域的，这意味着邮件服务器很可能被用作邮件中继了。在缺省情况下，如果消息发送人能够成功通过Exchange 2000（或之后的系统）的验证，那么该邮件服务器是允许进行中继的。

鉴别黑客攻击。黑客可以使用两种不同的方法来获得有效的用户名和密码。他们可以重复地猜测Guest账号或用户的密码，直到发现正确的密码；或者他们也可以发起黑客攻击，以获得有效的用户名和密码。垃圾邮件发送者只需要一个有效的用户名和密码就可以中继邮件，哪怕邮件服务器并没有开放中继。为了确定垃圾邮件发送者正在使用什么账号，我打开了ESM并单击“组织”*“管理组”*“组织单元”*“服务器”，然后用右键单击服务器名，选择“属性”。然后我选择“诊断日志”标签。在“服务”窗口中，单击MSExchangeTransport。然后在“类别”窗口中，我将以下类别的日志的级别增加到最大：路由引擎、分类器、连接管理器、队列引擎、Exchange存储驱动程序、SMTP协议和NTFS存储驱动程序。随后我检查了事件日志，查找来自外部邮件服务器或未知的邮件服务器的验证。失败的登录尝试将会显示在安全日志中，它的事件ID是680。我发现入侵者使用了非本地Exchange服务器账号的用户账号来对邮件服务器进行验证。

修复破坏。当我找出了验证账号之后，我采取了下列步骤来保护Exchange服务器。

1. 我更改了垃圾邮件发送者所使用的账号的密码。在类似的情况下，如果您认为垃圾邮件发送者可能有多个有效的用户ID和密码，那么更改您网络中所有用户的密码。我还禁用了Guest账号，并为启动服务器上的服务设置了专用的账号。不要使用管理员账号启动服务。如果一台机器被黑客攻击了，用来启动服务的账号可能也会不安全。

2. 我禁用了对外的Exchange服务器上的验证。为了禁用它，我打开ESM，选择“组织”*“管理组”*“组织单元”*“服务器”*“”*“协议”*“SMTP”，然后用右键单击缺省SMTP虚拟服务器。我选择了“属性”，单击“访问”标签，然后单击“验证”。我保留了匿名访问的启用，但是清除了“基本验证”和“集成Windows验证”校验框。清除这些校验框从根本上对SMTP服务器禁用了Auth命令。

3. 我在其它的内部Exchange服务器上启用了中继，以确保它们可以向对外的Exchange服务器发送邮件。我打开ESM，用右键单击虚拟SMTP服务器，然后选择“属性”。在“访问”标签中，单击“中继”，选择“只允许以下列表”，并填入允许向对外服务器中继邮件的内部邮件服务器。

4. 完成这些更改后，我彻底测试了一遍这些配置。我测试了发往Internet和从Internet发回邮件，以及发往机构内的所有邮件服务器和从这些服务器发出邮件。这些更改有可能会使服务器之间的邮件流通陷入混乱，因此您可能会希望等到周末才更改。另一个更好的办法是，在将这些更改应用到实际环境中之前，先在实验环境中进行测试。

5. 在这一事件中，我发现一台机器被严重地攻击了，因此我将它完全重装了一遍。在您可能遇到的情况中，您需要找出所有已被攻击的机器，然后将它们修复或者重装。 6. 我检查了ORDB以确定该客户的邮件服务器是否被列入了开放中继的黑名单。很幸运，我在客户的邮件服务器被列入黑名单之前就发现并修复了黑客的攻击。如果一台邮件服务器开放了中继，或者该邮件服务器被认为大量发送垃圾邮件，它可能会被列入黑名单。有许多开放中继的数据库，您可以从 查看到一系列这样的数据库。如果您的邮件服务器被列入黑名单，您可以发送请求来将服务器从黑名单删除，您也可以更改您邮件服务器的外部IP地址。如果您更改了邮件服务器的地址，您还必须更新邮件服务器的Mail Exchanger（MX）记录，否则发进来的邮件会被阻止。

经验教训。要修复对Exchange服务器的SMTP AUTH攻击，并预防未来的攻击，强烈建议您使用我所采取的步骤。如果入侵者获得了有效的用户ID和密码来进行邮件中继，您的邮件服务器将被纳入许多邮件黑名单中。预防这些攻击所要花费的时间，比起排除邮件传递的故障、将服务器从黑名单删除，以及修补漏洞所要花费的时间要少得多。

不要惊慌；随时做好准备 攻击恢复计划是任何合理的IT结构的一个组成部分。它能够帮助您有效地对网络攻击作出反应，而不是惊慌失措。请熟悉恶意入侵者所使用的工具和方法，并提前采取措施来防止他们对您的网络进行攻击。,

触犯远程wmi调用什么意思

这个说明远程过程调用失败黑客你被黑客攻击了远程过程调用失败黑客，或者是电脑中了病毒了。

在横向移动过程远程过程调用失败黑客，攻击者可能会利用WMI（Windows Management Instrumentation）提供远程过程调用失败黑客的功能，通过远程执行命令进行横向移动。在Windows平台，在客户端通常使用wmic执行命令，服务端会使用wmiprvse.exe来创建客户端请求的进程，wmic命令的基本格式如下远程过程调用失败黑客：

CMD：wmic /node:host process call create “evil.exe”。

Powershell：Invoke-WmiMethod –Computer host –Class Win32_Process –Name create -Argument “c:\temp\evil.exe” # 默认使用当前用户的凭证。

通过对源和目的主机的事件日志，注册表，文件系统进行分析，可以获得源主机运行程序wmic的时间，运行次数等信息，从目的主机可以获得客户端的源IP，可执行文件wmiprvse.exe及上传的恶意文件的执行时间等信息。

WMI简介：

WMI从根本上说应该为一种服务，并且对于本地不同的用户，WMI所有的权限也不一样。计算机超级用户可以为计算机中的每一个用户，设定不同的WMI权限。

在默认状态下，超级用户拥有WMI的一切权限。提供WMI服务是通过程序"WinMgmt.exe"来实现的。可以从"System32\Wbem"目录中找到这个文件。

win7远程过程调用失败且未执行 好像中毒了 可是检不出来 重启就好了 但是再打开防火墙又这样

很高兴为您解答：

这种是你的计算机感染病毒

打开腾讯电脑管家一杀毒一扫描查杀

建议使用腾讯电脑管家

1，使用电脑管家定期清理自己的垃圾，以保持自己的计算机常用常新；

2，使用电脑管家进行有效的拦截、清杀病毒。

3, 定期进行全盘扫描，让病毒无所遁形，如有难以清除的病毒请尝试在“安全模式”进行。

4，保持良好的上网习惯，不要随意点开陌生人或者来历不明的网址或者链接，对于陌生人发送的任何文件不要随意打开。

阿狸祝楼主祝您工作、生活愉快！！

瑞星报警 Blaster Rpc Exploit？

这个漏洞跟去年8月冲击波(MSBlaster) 和冲击波杀手(Nachi)所用的漏洞不同，补丁KB823980对该漏洞无效。远程过程调用(RPC)是Windows 操作系统使用的一个协议。RPC提供一种内部进程通讯机制，允许在一台电脑上运行的程序无缝的执行远程系统中的代码。协议本身源于开放软件基金会(OSF)RPC协议，但添加了一些微软特定的扩展。

用系统扫描工具检测发现Windows的RPCSS服务中用于处理分布式组件对象模型(DCOM)接口的组件中存在三个

漏洞，其中两个是缓冲溢出漏洞，一个是拒绝服务漏洞。它们分别是：

1、Windows RPC DCOM接口长文件名堆缓冲区溢出漏洞

Windows RPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。Windows

的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长（数百字节）的文件名参数

可以导致堆溢出，从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限

运行代码。成功利用此漏洞攻击者可以在系统中采取任何行为，包括安装程序， 窃取更改或

删除数据，或以完全权限创建新帐号。

2、Windows RPC DCOM接口报文长度域堆缓冲区溢出漏洞

Windows RPC DCOM接口对报文的长度域缺乏检查导致发生基于堆的溢出，远程攻击者可以

利用这些漏洞以本地系统权限在系统上执行任意指令。

漏洞实质上影响的是使用RPC的DCOM接口，此接口处理由客户端机器发送给服务器的DCOM对

象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利

用此漏洞可以以本地系统权限执行任意指令。成功利用此漏洞攻击者可以在系统上执行任意操

作 ，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

3、Windows RPC DCOM接口拒绝服务和权限提升漏洞

windows RPC DCOM服务存在拒绝服务缺陷，一个远程的攻击者通过发送特定的消息可以导

致RPC服务产生拒绝服务攻击，而本地的攻击者可发送畸形的消息到__RemoteGetClassObject

界面，可导致一个空的指令被传送到PerformScmStage函数，这会造成拒绝服务攻击，并且攻

击者可以劫持epmapper的管道来达到提升权限的目的。

影响系统:

Microsoft Windows NT Workstation 4.0

Microsoft Windows NT Server? 4.0

Microsoft Windows NT Server 4.0, Terminal Server Edition

Microsoft Windows 2000

Microsoft Windows XP

Microsoft Windows Server 2003

风险:高

解决方案:

临时解决办法：

使用防火墙阻断如下端口：

135/UDP

137/UDP

138/UDP

445/UDP

135/TCP

139/TCP

445/TCP

593/TCP

安装相应的补丁程序：

微软已经为此发布专门的安全公告（MS03-039）和相关的补丁程序。由于这个漏洞影响重大，建议下载补丁程序并安装

可以参考：

附：关闭系统不用的端口设置

默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口：

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”（如右图），于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮（如左图），这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作（右图）：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。

于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。

求答案!!急急急!什么是黑客？黑客攻击一般采用的过程是什么？试论述如何预防和保护免受黑客的攻击与破坏

黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。美国大片《黑(骇)客帝国》的热映，使得黑客文化得到了广泛的传播，也许很多人会觉得黑客一词是用来形容那些专门利用电脑搞破坏或恶作剧的家伙，而对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。不管是叫黑客还是骇客，他们根本的区别是:黑客们建设、维护，而骇客们入侵、破坏。

目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性，导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。

网络互连一般采用TCP/IP协议，它是一个工业标准的协议簇，但该协议簇在制订之初，对安全问题考虑不多，协议中有很多的安全漏洞。同样，数据库管理系统（DBMS）也存在数据的安全性、权限管理及远程访问等方面问题，在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。

由此可见，针对系统、网络协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠，则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备，从而确保网络运行的安全和可靠。

一、黑客攻击网络的一般过程

1、信息的收集

信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息：

（1）TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。

（2）SNMP协议 用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。

（3）DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

（4）Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

（5）Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。

2、系统安全弱点的探测

在收集到一些准备要攻击目标的信息后，黑客们会探测目标网络上的每台主机，来寻求系统内部的安全漏洞，主要探测的方式如下：

（1）自编程序 对某些系统，互联网上已发布了其安全漏洞所在，但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序，那么黒客就可以自己编写一段程序进入到该系统进行破坏。

（2）慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

（3）体系结构探测 黑客利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的，黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。

二、协议欺骗攻击及其防范措施

1、源IP地址欺骗攻击

许多应用程序认为若数据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的一个重要前提。

假设同一网段内有两台主机A和B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。

然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。

要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击：

（1）抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

（2）使用加密方法 在包发送到 网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性、真实性和保密性。

（3）进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。

2、源路由欺骗攻击

在通常情况下，信息包从起点到终点所走的路是由位于此两点间的路由器决定的，数据包本身只知道去往何处，而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里，使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式：

主机A享有主机B的某些特权，主机X想冒充主机A从主机B（假设IP为aaa.bbb.ccc.ddd）获得某些服务。首先，攻击者修改距离X最近的路由器，使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时，就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。

为了防范源路由欺骗攻击，一般采用下面两种措施：

· 对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。

· 在路由器上关闭源路由。用命令no ip source-route。

三、拒绝服务攻击及预防措施

在拒绝服务攻击中，攻击者加载过多的服务将对方资源全部使用，使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。

SYN Flood常常是源IP地址欺骗攻击的前奏，又称半开式连接攻击，每当我们进行一次标准的TCP连接就会有一个三次握手的过程，而SYN Flood在它的实现过程中只有三次握手的前两个步骤，当服务方收到请求方的SYN并回送SYN-ACK确认报文后，请求方由于采用源地址欺骗等手段，致使服务方得不到ACK回应，这样，服务方会在一定时间内处于等待接收请求方ACK报文的状态，一台服务器可用的TCP连接是有限的，如果恶意攻击方快速连续的发送此类连接请求，则服务器的系统可用资源、网络可用带宽急剧下降，将无法向其它用户提供正常的网络服务。

为了防止拒绝服务攻击，我们可以采取以下的预防措施：

（1） 建议在该网段的路由器上做些配置的调整，这些调整包括限制Syn半开数据包的流量和个数。

（2）要防止SYN数据段攻击，我们应对系统设定相应的内核参数，使得系统强制对超时的Syn请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。

（3）建议在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击。

（4）对于信息淹没攻击，我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包，或者在该网段路由器上对ICMP包进行带宽方面的限制，控制其在一定的范围内。

总之，要彻底杜绝拒绝服务攻击，最好的办法是惟有追根溯源去找到正在进行攻击的机器和攻击者。 要追踪攻击者可不是一件容易的事情，一旦其停止了攻击行为，很难将其发现。惟一可行的方法是在其进行攻击的时候，根据路由器的信息和攻击数据包的特征，采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合方可有效果。

四、其他网络攻击行为的防范措施

协议攻击和拒绝服务攻击是黑客惯于使用的攻击方法，但随着网络技术的飞速发展，攻击行为千变万化，新技术层出不穷。下面将阐述一下网络嗅探及缓冲区溢出的攻击原理及防范措施。

1、针对网络嗅探的防范措施

网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上，以太网就是这样一个共享信道的网络，其数据报头包含目的主机的硬件地址，只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和口令等信息都以明文的形式在以太网上传输，一旦被黑客在杂错节点上嗅探到，用户就可能会遭到损害。

对于网络嗅探攻击，我们可以采取以下措施进行防范：

（1）网络分段 一个网络段包括一组共享低层设备和线路的机器，如交换机，动态集线器和网桥等设备，可以对数据流进行限制，从而达到防止嗅探的目的。

（2）加密 一方面可以对数据流中的部分重要信息进行加密，另一方面也可只对应用层加密，然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级别及网络的安全程度。

（3）一次性口令技术 口令并不在网络上传输而是在两端进行字符串匹配，客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配，如果匹配，连接就允许建立，所有的Challenge和字符串都只使用一次。

（4）禁用杂错节点 安装不支持杂错的网卡，通常可以防止IBM兼容机进行嗅探。

2、缓冲区溢出攻击及其防范措施

缓冲区溢出攻击是属于系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。当然，随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其它命令。如果该程序具有root权限的话，攻击者就可以对系统进行任意操作了。

缓冲区溢出对网络系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点：

（1）程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。

（2）堆栈的保护 这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。但是，如果攻击者预见到这些附加字节的存在，并且能在溢出过程中同样地制造他们，那么他就能成功地跳过堆栈保护的检测。

（3）数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作，通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法：Compaq C编译器、Jones Kelly C数组边界检查、Purify存储器存取检查等。

未来的竞争是信息竞争，而网络信息是竞争的重要组成部分。其实质是人与人的对抗，它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力，必须充分理解系统内核及网络协议的实现，真正做到洞察对方网络系统的“细枝末节”，同时应该熟知针对各种攻击手段的预防措施，只有这样才能尽最大可能保证网络的安全。

（4）利用公开的工具软件 像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描，寻找安全方面的漏洞。

3、建立模拟环境，进行模拟攻击

根据前面两小点所得的信息，建立一个类似攻击对象的模拟环境，然后对此模拟目标进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻击的反应，可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态，以此来制定一个较为周密的攻击策略。

4、具体实施网络攻击

入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在进行模拟攻击的实践后，将等待时机，以备实施真正的网络攻击。

·关于黑客

黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个瞬鸥傻娜恕?/P

他们不象绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中，我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。

另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作（如用暴力法破解口令），他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。

一般认为，黑客起源于50年代麻省理工学院的实验室中，他们精力充沛，热衷于解决难题。60、70年代，“黑客”一词极富褒义，用于指代那些独立思考、奉公守法的计算机迷，他们智力超群，对电脑全身心投入，从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索，为电脑技术的发展做出了巨大贡献。正是这些黑客，倡导了一场个人计算机革命，倡导了现行的计算机开放式体系结构，打破了以往计算机技术只掌握在少数人手里的局面，开了个人计算机的先河，提出了“计算机为人民所用”的观点，他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧，例如破解口令（password cracking），开天窗（trapdoor），走后门（backdoor），安放特洛伊木马（Trojan horse）等，都是在这一时期发明的。从事黑客活动的经历，成为后来许多计算机业巨子简历上不可或缺的一部分。例如，苹果公司创始人之一乔布斯就是一个典型的例子。

在60年代，计算机的使用还远未普及，还没有多少存储重要信息的数据库，也谈不上黑客对数据的非法拷贝等问题。到了80、90年代，计算机越来越重要，大型数据库也越来越多，同时，信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为，信息应共享而不应被少数人所垄断，于是将注意力转移到涉及各种机密的信息数据库上。而这时，电脑化空间已私有化，成为个人拥有的财产，社会不能再对黑客行为放任不管，而必须采取行动，利用法律等手段来进行控制。黑客活动受到了空前的打击。

但是，政府和公司的管理者现在越来越多地要求黑客传授给他们有关电脑安全的知识。许多公司和政府机构已经邀请黑客为他们检验系统的安全性，甚至还请他们设计新的保安规程。在两名黑客连续发现网景公司设计的信用卡购物程序的缺陷并向商界发出公告之后，网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛，那些发现和找到该公司产品中安全漏洞的黑客可获1000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。

我的电脑里有《RPC 远程调用协议》是不是被黑客入侵了?

会话层--RPC(远程过程调用协议)

RPC：远程过程调用协议（RPC：Remote Procedure Call protocol）

远程过程调用（RPC）是一种从远程计算机程序上请求一个服务器，而不需要了解上层网络技术的协议。RPC 协议假定某些传输协议的存在，如 TCP 或 UDP，使得通信程序之间能传输信息数据。在 ISO 网络通信模式中 RPC 跨越了传输层和应用层。RPC 使得生成应用程序包括分布式复用程序更加容易。

RPC 使用的是客户机/服务器模式。请求程序就是一个客户机，而服务程序就是一个服务器。首先，调用过程发送一个调用信息到服务过程，然后等待应答信息。调用过程包括过程参数，应答信息包括过程结果。在服务器端，过程保持睡眠状态到调用信息的到达。当一个调用信息到达，服务器获得过程参数，计算结果，发送应答信息，然后等待下一个调用信息。最后，调用过程接收应答信息，获得过程结果，然后调用执行继续进行。

目前，有多种 RPC 模式和执行。最初由 Sun 微系统提出 RFC。IETF ONC 宪章重新修订了 Sun 版本，使得 ONC PRC 协议成为 IETF 标准协议。现在使用最普遍的模式和执行是开放式软件基础的分布式计算环境（DCE）。

我也不大明白 但确定的是 没被黑客入侵 它是电脑上应该有的

还有 若是你电脑被入侵的话，是不会看到此类东西的

或者说 你根本不知道自己有无被入侵