黑客远程启动电脑系统还原-黑客远程控制的基本原理

2024-11-14 09:44:58

1.电脑被远程控制了应该怎么办？具体的

2.电脑被远程控制怎么办

3.木马病毒对电脑的危害是什么？

4.我电脑好像被一个黑客给监控了，重装系统没用，哪位兄台能彻底帮帮我。感激不尽

5.电脑被远程连接的时候为什么会自动重启？谢谢！

电脑被远程控制了应该怎么办？具体的

黑客远程启动电脑系统还原-黑客远程控制的基本原理

第一步断开网络第二步首先最先要做的就是关闭电脑里的远程控制,这个很简单哦

“开始”——“控制面板”——“系统” 双击系统，选择“远程”选项卡。不要勾选远程桌面和协助。也可以直接在“我的电脑”上点右键，选择“属性”直接打开系统界面，选择“远程”选项卡。

默认情况下windows有很多端口是开放的。在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑，所以应该关闭。主要有tcp 135，139，445，593，1025端口和udp135，137，138，445 端口，一些流行病毒的后门端口，如tcp 2745，3127，6129端口，以及远程服务访问端口3389。下面介绍如何在xp/2k/2003下手动关闭这些网络端口。

1、点击 '开始菜单/设置/控制面板/管理工具'，双击打开'本地策略'，选中'ip安全策略，在本地计算机“右边的空白位置右击鼠标，弹出快捷菜单，选择'创建ip安全策略”，弹出向导。在向导中点击下一步，下一步，当显示“安全通信请求”画面时，把“激活默认相应规则”左边的钩去掉，点“完成”就创建了一个新的ip安全策略.

2、右击该ip安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按纽添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按纽，弹出ip筛选器列表窗口。在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的'添加'按纽添加新的筛选器。

　3、进入“筛选器属性”对话框，首先看到的是寻地址，源地址选“任何ip地址”，目标地址选“我的ip地址”，点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“tcp”，然后在“到此端口”的下的文本框中输入“135”，点击确定。这样就添加了一个屏蔽tcp135 端口的筛选器，可以防止外界通过135端口连上你的电脑。

点击确定后回到筛选器列表的对话框，可以看到已经添加了一条策略。重复以上步骤继续添加tcp 137 139 445 593 端口和udp 135 139 445 端口，为它们建立相应的筛选器。　重复以上步骤添加tcp 125 2745 3127 6129 3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击确定按纽。

　4、在“新规则属性”对话框中，选择“新ip筛选器列表”然后点击其左边的复选框，表示已经激活。最后点击“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，进行“阻止”操作，在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”。

5、进入“新规则属性”对话框，点击“新筛选器操作”，选取左边的复选框，表示已经激活，点击“关闭”按钮，关闭对话框。最后“新ip安全策略属性”对话框，在“新的ip筛选器列表”左边打钩，按确定关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的ip安全策略，然后选择“指派”。重新启动后，上述端口就可以关闭了!电脑就安全多了!!!

电脑被远程控制怎么办

问题一：电脑被别人远程控制了，怎么办？这不是木马当然杀不掉，也根本不用什么重装，有三种方法解决：

1.你的电脑被远程控制了，你要先切断电源，再重新以安全模式（启动同时按F8键）启动，进行重新设置，就可以解除远程控制

2.关闭“远程桌面”功能，这个功能就是让你可以让别人在另一台机器 *** 问你的桌面。在家里，通常只有一台计算机，这个功能就显得多余了，这个功能有一定的不安全因素在里面，并且，计算机也不是时时都在出问题，所以建议关掉它，

点击“开始”→“运行”，输入命令“services.msc”，打开“服务”对话框，(注意：必须以管理员或 Administrators 组成员身份登录才能完成该过程。如果计算机与网络连接，则网络策略设置也可以阻止您完成此步骤。)

“Clipbook Server”(文件夹服务器)：这个服务允许你们网络上的其他用户看到你的文件夹。建议改为手动启动，然后再使用其他程序在你的网络上发布信息。

“Net Logon”（网络注册）：处理象注册信息那样的网络安全功能。改为手动启动。

“Network DDE和Network DDE DSDM”(动态数据交换)：除非你准备在网上共享你的Office，否则把它改为手动启动。注：这和在通常的商务设定中使用Office不同(如果你需要DDE，你就会知道)。

“Remote Desktop Help Session Manager”(远程桌面帮助会话管理器)：建议改为手动启动。

“Remote Registry”(远程注册表)：使远程用户能修改此计算机上的注册表设置。建议改为手动启动。也可以关闭

3.我的电脑----属性-----远程------去掉远程桌面控制就可以。

先试试第三种吧

问题二：怎样才能知道自己的电脑被远程控制了？你好！很高兴为你解答问题。

被远程控制了很大情况会出现系统莫名其妙出现异常操作，更有甚者甚至连打开桌面都是各种恶意软件，这种情况下千万不要进行网银等重要工作。

为确保安全，请立即使用腾讯电脑管家8.5，全景防御系统可以实时保护你的系统安全。定期扫描电脑，就足矣保护电脑上网安全。

如果我的回答对你的问题有帮助，请采纳，谢谢！

问题三：电脑经常被远程操控怎么办首先，您右击“计算机”（如果是XP系统即我的电脑）---属性，找到“远程”选项卡，如下图。

这里，我已win7为例，进入远程选项卡后，取消勾选远程协助选项，并子啊远程桌面中勾选“不允许连接到这台计算机”，在确定保存以后就可以了。

这样您的电脑被远程控制的几率就会大大降低。

但这还不够，您还要注意定期更换系统登录密码，密码结构最好以数字+符号+大小写字母，这样被破解的几率也会降低。

其实，平时我们所使用的电脑都会有种叫做IPC$空链接，某些人会利用这种漏洞成功将系统后门留在被入侵的计算机中。

虽然手动关闭的操作很繁琐，但如果您不懂，可以去找软媒大师软件，安装后软件会自动提示修复IPC$，您只需要轻轻一点即可。

在平时使用电脑方面，最好注意一下不要去小网站去下载未知的软件，这样的软件很可能会包含木马，对于一些捆绑安装垃圾的软件，也需要仔细去查看软件安装界面中的各种选项，这样可以大大的避免您中招的几率。

如果您还是不放心，在您没有操作电脑的时候，请及时关闭电脑电源。

PS：最好在安装完新系统后，花点时间做个GHOST备份包出来，这样及时电脑出问题，也很快能用备份来快速还原系统。

希望我的答案能帮到您！~

问题四：电脑可能被别人远程控制了怎么办？选择我的电脑,选择属性--远程--高级--选择禁止这台电脑被远程监控就可以了

或者1.右键我的电脑-左键属性-左键远程,去掉里面所有项目的对钩.

2.安装防火墙.效果最好的是ZoneAlarm Pro .其实其他的防火墙也可以的.注意;一定要装防火墙.

3.不要使用共享.

或者切断电源进入DOS重新安装

问题五：电脑被远程控制了怎么终止？楼主你好，可以安装使用腾讯电脑管家文件窗口拷贝功能，直接拖动文件完成拷贝；崩溃修复功能；新增个性化换肤功能；引入双下载引擎，极速下载体验；更为严格的病毒拦截策略；全面优化，提高开机上网速度；全新QQ异常提醒设计

问题六：电脑怎样解除远程控制？ .你的电脑被远程控制了，你要先切断电源，再重新以安全模式（启动同时按F8键）启动，进行重新设置，就可以解除远程控制2.关闭“远程桌面”功能，这个功能就是让你可以让别人在另一台机器 *** 问你的桌面。在家里，通常只有一台计算机，这个功能就显得多余了，这个功能有一定的不安全因素在里面，并且，计算机也不是时时都在出问题，所以建议关掉它，点击“开始”→“运行”，输入命令“services.msc”，打开“服务”对话框，(注意：必须以管理员或 Administrators 组成员身份登录才能完成该过程。如果计算机与网络连接，则网络策略设置也可以阻止您完成此步骤。)“Clipbook Server”(文件夹服务器)：这个服务允许你们网络上的其他用户看到你的文件夹。建议改为手动启动，然后再使用其他程序在你的网络上发布信息。“Net Logon”（网络注册）：处理象注册信息那样的网络安全功能。改为手动启动。“Network DDE和Network DDE DSDM”(动态数据交换)：除非你准备在网上共享你的Office，否则把它改为手动启动。注：这和在通常的商务设定中使用Office不同(如果你需要DDE，你就会知道)。“Remote Desktop Help Session Manager”(远程桌面帮助会话管理器)：建议改为手动启动。“Remote Registry”(远程注册表)：使远程用户能修改此计算机上的注册表设置。建议改为手动启动。也可以关闭3.我的电脑----属性-----远程------去掉远程桌面控制就可以。先试试第三种吧

问题七：电脑可能被远程控制怎么办删除掉电脑来宾账户-更改ADMIN密码-把防火墙开启最大-打开系统进程，看有无可以进程和用户。

问题八：怎样查看电脑是否被远程控制了? 电脑被远程控制，最直观的表现就是电脑不受自己控制，鼠标自己会动、文件夹会被打开等等，稳妥的方法是分析系统日志，大致方法是：进入控制面板----管理工具----事件查看器-----安全性----工具栏目中的查看-----筛选----事件的ID填528进行查看，如果曾被远程控制，会有登录电脑的时间、用户名等信息

问题九：电脑被别人远程控制了怎么办？怎么把这个程序找到并删除？你的机器可能被人种了木马，查杀一下。把网线拔掉进行查杀，如果是远程控制软件的话，一般在程序安装与卸载里面就能找到那个陌生的软件，你卸载了就可以了。如果你找不到，而且查杀木马也找不到的话，那你就重新做下系统吧，做系统之前，一定要做好备份哦，把网线拔掉，做系统，就一切OK了。。。

以上回答你满意么？

问题十：电脑被远程控制了应该怎么办？具体的第一步断开网络第二步首先最先要做的就是关闭电脑里的远程控制,这个很简单哦

“开始”――“控制面板”――“系统” 双击系统，选择“远程”选项卡。不要勾选远程桌面和协助。也可以直接在“我的电脑”上点右键，选择“属性”直接打开系统界面，选择“远程”选项卡。

木马病毒对电脑的危害是什么？

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。

病毒 (n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏、或网页中，包含了可以控制用户的计算机系统或通过邮件**用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统资源站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿)

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，还有Autoexec.bat

B、注册表(注册表就是注册表，懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始->程序->启动”处，在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记)

C、端口(端口，其实就是网络数据通过操作系统进入计算机的入口)

1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那么如何查看本机开放哪些端口呢？

在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般网络常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555)

2、由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

3、系统进程：

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种方法被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件，

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。

3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克乾坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。

有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他病毒很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，总的说来，杀病毒软件作为防止木马的入侵来说更有效。

五、木马的防御

随着网络的普及和网络游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的方法。(大家的意见，我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和后再使用。

2、不要随意打开邮件的附件，也不要点击邮件中的可疑。(后边另外介绍一个关于邮件的例子，大家注意收看。)

3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自网络的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、**用户数据资料等目的。

目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言)：还好目前**千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了，大家看仔细了！

假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？

欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见，不付法律责任)

防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！

但是对网吧上网的来说，再好的防御也是白撤。

据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制方法输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过网络发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦)

总之，家庭上网用户记得随时更新自己的病毒库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！

网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程方法是很有必要的。

勾子的类型

按使用范围分类，主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的事件消息。

(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。

下面给大家说一下我机器的防护装备：(一共就5样)

XFILTER个人防火墙：这个防火墙没什么防病毒的功能，它只监视所有未经过我个人许可的程序连接网络。任何程序连接网络它都会通告并询问。比如安装完该软件“第一次”运行千年，它会提示你C:\ProgramFiles\1000y\Client.exe要连接网络，是否放行。它就是这样来防范的。

瑞星杀毒软件：以杀各种恶意病毒和木马为主，2004版专门提供游戏保护。

还原精灵：记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存，2003年12月1日由于感染木马，对系统进行还原，还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作，都会变回备份时的样子。这个软件就有一个缺点，会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。

木马克星：这个我就不多说了，网络游戏玩家必备的东东。

十六进制编译器：具体名字我就不说了，有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。

以上各个软件在各大门户网站和各大下载专业网站都可以找到，在这里小女子就不提供网址了，避免不必要的麻烦。

我电脑好像被一个黑客给监控了，重装系统没用，哪位兄台能彻底帮帮我。感激不尽

下面我们就来看看通过什么样的手段来更有效的防范攻击。

1.察看本地共享资源

运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

2.删除共享(每次输入一个）

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e，f，……可以继续删除）

3.删除ipc$空连接

在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。

4.关闭自己的139端口，ipc和RPC漏洞存在于此。

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

5．防止rpc漏洞

打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。

XP SP2和2000 pro sp4，均不存在该漏洞。

6．445端口的关闭

修改注册表，添加一个键值

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了

7．3389的关闭

XP：我的电脑上点右键选属性--> 远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

Win2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）

使用2000 pro的朋友注意，网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。

8．4899的防范

网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。

4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9、禁用服务

打开控制面板，进入管理工具——服务，关闭以下服务

1.Alerter[通知选定的用户和计算机管理警报]

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享

4.Distributed Link Tracking Server[适用局域网分布式链接踪客户端服务]

5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]

6.IMAPI CD-Burning COM Service[管理 CD 录制]

7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]

8.Kerberos Key Distribution Center[授权协议登录网络]

9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]

10.Messenger[警报]

11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]

14.Print Spooler[打印机服务，没有打印机就禁止吧]

15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]

16.Remote Registry[使远程计算机用户修改本地注册表]

17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]

19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]

20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]

21.Telnet[允许远程用户登录到此计算机并运行程序]

22.Terminal Services[允许用户以交互方式连接到远程计算机]

23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。

10、账号密码的安全原则

首先禁用guest帐号，将系统内建的administrator帐号改名～～（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。 (让那些该的黑客慢慢猜去吧～）

如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置（关于密码安全设置，我上面已经讲了，这里不再罗嗦了。

打开管理工具.本地安全设置.密码策略

1.密码必须符合复杂要求性.启用

2.密码最小值.我设置的是8

3.密码最长使用期限.我是默认设置42天

4.密码最短使用期限0天

5.强制密码历史记住0个密码

6.用可还原的加密来存储密码禁用

11、本地策略:

这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。

(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)

打开管理工具

找到本地安全设置.本地策略.审核策略

1.审核策略更改成功失败

2.审核登陆事件成功失败

3.审核对象访问失败

4.审核跟踪过程无审核

5.审核目录服务访问失败

6.审核特权使用失败

7.审核系统事件成功失败

8.审核帐户登陆时间成功失败

9.审核帐户管理成功失败

然后再到管理工具找到

事件查看器

应用程序：右键> 属性> 设置日志大小上限，我设置了50mb，选择不覆盖事件

安全性：右键> 属性> 设置日志大小上限，我也是设置了50mb，选择不覆盖事件

系统：右键> 属性> 设置日志大小上限，我都是设置了50mb，选择不覆盖事件

12、本地安全策略:

打开管理工具

找到本地安全设置.本地策略.安全选项

1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登陆的]

2.网络访问.不允许SAM帐户的匿名枚举启用

3.网络访问.可匿名的共享将后面的值删除

4.网络访问.可匿名的命名管道将后面的值删除

5.网络访问.可远程访问的注册表路径将后面的值删除

6.网络访问.可远程访问的注册表的子路径将后面的值删除

7.网络访问.限制匿名访问命名管道和共享

8.帐户.（前面已经详细讲过）

13、用户权限分配策略:

打开管理工具

找到本地安全设置.本地策略.用户权限分配

1.从网络访问计算机里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属于自己的ID

2.从远程系统强制关机，Admin帐户也删除，一个都不留

3.拒绝从网络访问这台计算机将ID删除

4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务

5.通过远端强制关机。删掉

14、终端服务配置

打开管理工具

终端服务配置

1.打开后，点连接，右键，属性，远程控制，点不允许远程控制

2.常规，加密级别，高，在使用标准Windows验证上点√!

3.网卡，将最多连接数上设置为0

4.高级，将里面的权限也删除.[我没设置]

再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话

15、用户和组策略

打开管理工具

计算机管理.本地用户和组.用户;

删除Support_388945a0用户等等

只留下你更改好名字的adminisrator权限

计算机管理.本地用户和组.组

组.我们就不分组了，每必要把

16、自己动手DIY在本地策略的安全选项

1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.

2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户名.让他去猜你的用户名去吧.

3）对匿名连接的额外限制

4）禁止按 alt+crtl +del(没必要）

5）允许在未登陆前关机[防止远程关机/启动、强制关机/启动]

6）只有本地登陆用户才能访问cd-rom

7）只有本地登陆用户才能访问软驱

8）取消关机原因的提示

A、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面；

B、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框；

C、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机；

D4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。

9）禁止关机事件跟踪

开始“Start -> ”运行“ Run -> 输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates）-> ”系统“（System），在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于Windows 2000的关机窗口

17、常见端口的介绍

TCP

21 FTP

22 SSH

23 TELNET

25 TCP SMTP

53 TCP DNS

80 HTTP

135epmap

138[冲击波]

139smb

445

1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b

1026 DCE/12345778-1234-abcd-ef00-0123456789ac

1433 TCP SQL SERVER

5631 TCP PCANYWHERE

5632 UDP PCANYWHERE

3389 Terminal Services

4444[冲击波]

UDP

67[冲击波]

137 netbios-ns

161 An SNMP Agent is running/ Default community names of the SNMP Agent

关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080，那么，我们只运行本机使用4000这几个端口就行了

18、另外介绍一下如何查看本机打开的端口和tcp\ip端口的过滤

开始－－运行－－cmd

输入命令netstat -a

会看到例如（这是我的机器开放的端口）

Proto Local AddressForeign AddressState

TCPyf001:epmap yf001:0 LISTE

TCPyf001:1025（端口号）yf001:0 LISTE

TCP(用户名）yf001:1035yf001:0 LISTE

TCPyf001:netbios-ssn yf001:0 LISTE

UDPyf001:1129*:*

UDPyf001:1183*:*

UDPyf001:1396*:*

UDPyf001:1464*:*

UDPyf001:1466*:*

UDPyf001:4000*:*

UDPyf001:4002*:*

UDPyf001:6000*:*

UDPyf001:6001*:*

UDPyf001:6002*:*

UDPyf001:6003*:*

UDPyf001:6004*:*

UDPyf001:6005*:*

UDPyf001:6006*:*

UDPyf001:6007*:*

UDPyf001:1030*:*

UDPyf001:1048*:*

UDPyf001:1144*:*

UDPyf001:1226*:*

UDPyf001:1390*:*

UDPyf001:netbios-ns *:*

UDPyf001:netbios-dgm *:*

UDPyf001:isakmp *:*

现在讲讲基于Windows的tcp/ip的过滤

控制面板——网络和拨号连接——本地连接——INTERNET协议（tcp/ip)--属性－－高级－－－选项－tcp/ip筛选－－属性!!

然后添加需要的tcp 和UDP端口就可以了～如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。

19、胡言乱语

(1)、TT浏览器

选择用另外一款浏览器浏览网站.我推荐用TT，使用TT是有道理的。

TT可以识别网页中的脚本，JAVA程序，可以很好的抵御一些恶意的脚本等等，而且TT即使被感染，你删除掉又重新安装一个就是。

MYIE浏览器

是一款非常出色的浏览器，篇幅有险，不做具体介绍了。（建议使用）

(2)、移动“我的文档”

进入资源管理器，右击“我的文档”，选择“属性”，在“目标文件夹”选项卡中点“移动”按钮，选择目标盘后按“确定”即可。在Windows 2003 中“我的文档”已难觅芳踪，桌面、开始等处都看不到了，建议经常使用的朋友做个快捷方式放到桌面上。

(3)、移动IE临时文件

进入“开始→控制面板→Internet 选项”，在“常规”选项“Internet 文件”栏中点“设置”按钮，在弹出窗体中点“移动文件夹”按钮，选择目标文件夹后，点“确定”，在弹出对话框中选择“是”，系统会自动重新登录。点本地连接> 高级> 安全日志，把日志的目录更改专门分配日志的目录，不建议是C:再重新分配日志存储值的大小，我是设置了10000KB。

20、避免被恶意代码木马等病毒攻击

以上主要讲怎样防止黑客的恶意攻击，下面讲避免机器被恶意代码，木马之类的病毒攻击。

其实方法很简单，所以放在最后讲。

我们只需要在系统中安装杀毒软件

如卡巴基斯，瑞星，金山独霸等

还有防止木马的木马克星和金山的反木马软件（可选）

并且能够及时更新你的病毒定义库，定期给你的系统进行全面杀毒。杀毒务必在安全模式下进行，这样才能有效清除电脑内的病毒以及驻留在系统的非法文件。

还有就是一定要给自己的系统及时的打上补丁，安装最新的升级包。微软的补丁一般会在漏洞发现半个月后发布，而且如果你使用的是中文版的操作系统，那么至少要等一个月的时间才能下到补丁，也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。

本人强烈建议个人用户安装使用防火墙（目前最有效的方式）

例如：天网个人防火墙、诺顿防火墙、瑞星防火墙等等。

因为防火墙具有数据过滤功能，可以有效的过滤掉恶意代码，和阻止DDOS攻击等等。总之如今的防火墙功能强大，连漏洞扫描都有，所以你只要安装防火墙就可以杜绝大多数网络攻击，但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的，如果哪个邪派高手看上你的机器，防火墙也无济于事。我们只能尽量提高我们的安全系数，尽量把损失减少到最小。

安全意识也很重要，我们平时上网的时候都应该有一个好的安全意识。加上我们的不懈努力，相信我们的网络生活会更美好。

这个是各大黑客网站都推崇的防护措施，你重装后一条条照做，会使机子的状况好很多，我也是这么照着做的，从此金山网镖没有再报过有恶意攻击。

电脑被远程连接的时候为什么会自动重启？谢谢！

自动重启是什么原因和对应的解决办法

1. 用户在不知情的情况下运行了黑客设计好的木马陷阱，一旦进入网民将会成为黑客的傀儡，任意操被作。

2. 系统程序遭到破坏，由于没有完美修复也成为电脑自动重启的原因。

( 这两种情况建议使用金山毒霸的全盘查杀功能,给电脑清理病毒,然后使用金山毒霸的系统修复功能,修复电脑系统异常,保证电脑正常使

用.)

3. 不兼容问题，由于程序存在不兼容情况也会出现电脑自动重启情况。 (卸载可疑程序)

4. 硬件问题，内存、电源、硬盘等硬件出现问题都会出现电脑自动重启问题。(只有更换硬件)

如果还不能解决你的问题,建议去"天下围攻病毒木马"的公益活动网站(百度一下),那里有专家在线为你解决电脑领域相关问题。