本文目录一览:
- 1、黑客帝国一共有几部?分别叫什么名字
- 2、黑客工具--流光?
- 3、如何入侵别人的电脑?
- 4、为何我的电脑CPU占用率是100%?
- 5、什么是黑客程序?
- 6、黑客常用端口
黑客帝国一共有几部?分别叫什么名字
3部
之一部 黑客帝国 The Matrix
主 演:基努·里维斯(Keanu Reeves) 劳伦斯·菲什伯恩(Laurence Fishburne) 凯莉·安·摩丝(Carrie-Anne Moss)
第二部 黑客帝国2:重装上阵 The Matrix Reloaded
主 演:基努·里夫斯(Keanu Reeves) 劳伦斯·菲什伯恩(Laurence Fishburne) 凯莉·安·摩丝(Carrie-Anne Moss) 莫妮卡·贝鲁奇(Monica Bellucci) 兰伯特·威尔森(Lambert Wilson) 雨果·维文(Hugo Weaving) 贾达·萍克特·史密斯(Jada Pinkett Smith)
第三部 黑客帝国3:革命 The Matrix Revolutions
主 演:基努·里夫斯(Keanu Reeves) 凯莉·安·摩丝(Carrie-Anne Moss) 劳伦斯·菲什伯恩(Laurence Fishburne) 雨果·维文(Hugo Weaving) 莫妮卡·贝鲁奇(Monica Bellucci) 贾达·萍克特·史密斯(Jada Pinkett Smith)
黑客工具--流光?
【流光 2001 For NT/2000】
SQL Server扫描:速度是Sqldict的7倍。
测试一:255台主机的网段,SQL 40台,5分钟内成功得到18个SA。
测试二:255台主机的网段,SQL 38台,5分钟内成功得到12个SA。
【流影 Http Edition Beta 2】情况
流影Http Edtion Beta2的改进:
1、提高了探测速度,在我养的鸡上面,每分钟可以扫描2500次,也就是说一天可以扫描3,600,000次,大约是前版速度的5倍。
2、可以作为NT的一个Service登陆。就是可以直接用netsvc启动。
3、控制的方便性。进行修改、删除当前命令行,并且可以重复输入上一次的命令。此外登陆时密码也不再是明文显示了。
目前还需要在NT4中做一些测试,不久即可提供下载。
【流光2000 Preview 3 For NT/2000】升级
流光2000 Preview 3发布,需要先下载Preview 2 For NT/2000。修正BUG:
1、在Import时选择取消时出错的问题。
2、修正HTTP/Proxy时误报的问题。目前有一部分网站在多次探测失败时会禁止当前IP的登陆,对于目前这个问题没有太好的解决 *** ,唯一可以解决 *** 是采用一个Proxy列表自动切换。目前我没有太多的Proxy,如果您有请发给给我一份,以便我能调试。
其他:
今天突然想看看国内用户一般采用的密码是什么,于是随便挑了一个网站,经过一系列步骤登陆进去,将其用户注册数据库下载了。大约有87M(晕倒,还好是DDN上网用了大约10分钟就下载完了),有将近30000个用户和密码。于是做了一个简单的统计,使用密码最多的是0000、00000、000000、0000000、00000000、aaaa、1111.......等,其余密码85%都使用数字。我将密码整理了一遍,又需要的可以下载。
【光和影子】-流光/流影实例说明
光和影子
【流影 POP3 Edtion】发布
【流影 HTTP Edtion】发布
【流影 POP3 Edtion】使用说明
使用说明
【流影 POP3 Edtion】开发顺利
目前开发顺利,不久即可提供下载。
【流光2000】 Preview 2 (中/英文版) For Windows 98 发布
由于很多用户没有安装NT/2000,所以特别定制了一个能在98下面运行的版本,但是此版本没有IPC(Inter Process Communication)功能。
【流光2000】Preview 2 (中/英文版)For Windows NT/2000 发布
包括几个工具(在Tools目录中)以及一个关于利用2000作为跳板的说明。
【溯雪Beta7】For Windows 98/NT/2000发布
支持任意大字典,支持需要身份认证的Proxy,不再会出现假死机。
【论坛更换】
由于最近总有人在我的论坛上面捣乱,所以决定更换论坛。
【流光2000】Preview 2 中英文版将同时发布
【RunAsEx】For Windows NT 3.51/4.0/2000
用途:在Windows NT中以指定用户身份创建进程。
当我们用Srv.exe(NetCat)登录之后,发现有很多程序无法运行,例如:pwdump,尽管这个时候已经具有了Administrator的密码。
用AT命令创建的进程,Windows NT是以系统帐号的身份运行的,而不是创建者的帐号。系统帐号的权限是有限的,例如不能启动和 *** 相关的程序。
Windows 2000中提供了一个RunAs程序就是实现这个功能的,但是如果用Srv.exe登陆,由于无法更改回显模式而无法使用。除非使用Telnet登陆。NT4.0没有Telnet服务,所以即使将RunAs复制到NT4.0中,也会因为前面说的原因无法使用。所以特地写了一个小工具RunAsEx。
RunAsEx可以适用于NT4.0/2000,可以在Srv.exe登陆的连接中使用。
RunAsEx UserName Password Execute File ["Execute Option"]
UserName 运行创建程序的用户名称
Password 创建程序的用户密码,如果密码为空,以*号代替。
Execute File 可执行文件名,必须为全路径,带后缀。
["Execute Option"] 可执行文件的命令行选项,如果无需选项,此项可以不填。选项必须以"开始和结束。
例如:
RunAsEx Administrator password \winnt\pwdump.exe "pwd.txt"
RunAsEx Administrator password \winnt\system32\net.exe "user Hakcer /add"
注意:此工具不能在本地运行
可在【小榕作品】中下载。
【流光 2000】For Windows 2000/NT Preview 2 Update
修正Socket超时及线程同步问题,线程可以更加稳定运行。
【流光 2000】For Windows 2000/NT 4.0 Preview 1 Announced
可以在Windows 2000及Windows NT 4.0中运行,但是没有在NT4.0中做过测试。
不能运行于Windows 9.x。
可以运行于局域网,但是IPC$探测功能对国内IP保留。
建议不要强制退出,否则会导致内存泄漏(Memory Leak)。
【流光 2000】将会发布一个英文版。
【溯雪】Beta 7稍后发布。
一年前的今天,【流光1.0】问世,在随后一年的时间里又经历了1.1、1.12、1.13、1.25、1.27、2.0、2.5、2.5SE、3.0等版本,代码由7,000行发展到76,000行,目前用户数将近400,000。开发正因为有了这么多朋友的支持,我才得以坚持做下去。在此,小榕深表感谢!
请到【小榕作品】下载。
------------------
用许多的时间去后悔,不如再开始新的努力!
我是一只大大大鸵鸟,想要飞也飞也飞不高!
如何入侵别人的电脑?
工具:灰鸽子
步骤详细看下面:
灰鸽子.由葛军制造于2003年..它的主要功能就是远程的控制.远程注册表远程桌面远程CMD 他是利用IE的漏洞上线的. 你可以去申请个FTP空间.来配置. 一般鸽子不免杀的话什么杀毒都查得到的..
有什么问题就说吧,.!
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳, *** ,图标等等。
服务端对客户端连接方式有多种,使得处于各种 *** 环境的用户都可能中毒,包括局域网用户(通过 *** 上网)、公网用户和ADSL拨号用户等。
下面介绍服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
二、灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。
三、灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:
1、清除灰鸽子的服务;
2、删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
(一)、清除灰鸽子的服务
注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙操作,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
(二)、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。
以上介绍的 *** 适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种 *** 无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏 *** 、防删除手段,手工检测和清除它的难度也会越来越大。
四、防止中灰鸽子病毒需要注意的事项
1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序
2. 给系统管理员帐户设置足够复杂足够强壮的密码,更好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用 *** 防火墙软件, *** 防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来 *** 的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用 *** 防火墙来进行一定防护
4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
. 下载HijackThis扫描系统
四、灰鸽子的下载地址
zww3008汉化版
英文版
2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"
3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox
“灰鸽子”杀伤力是“熊猫烧香”10倍
与“熊猫烧香”病毒的“张扬”不同,“灰鸽子”更像一个隐形的贼,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、 *** 好友聊天的每一句话都难逃“鸽”眼。专家称,“熊猫烧香”还停留在对电脑自身的破坏,而“灰鸽子”已经发展到对“人”的控制,而被控者却毫不知情。从某种意义上讲,“灰鸽子”的危害超出“熊猫烧香”10倍。
“灰鸽子”如何控制电脑牟利
“黑客培训班”教网民通过“灰鸽子”控制别人电脑,“学费”更高200元,更低需要50元,学时一周到一个月不等。
黑客通过程序控制他人电脑后,将“肉鸡”倒卖给广告商,“肉鸡”的价格在1角到1元不等。资深贩子一个月内可以贩卖10万个“肉鸡”。
被控制电脑被随意投放广告,或者干脆控制电脑点击某网站广告,一举一动都能被监视。
直接把文件的路径复制到 Killbox里删除
通常都是下面这样的文件 "服务名"具体通过HijackThis判断
C:\windows\服务名.dll
C:\windows\服务名.exe
C:\windows\服务名.bat
C:\windows\服务名key.dll
C:\windows\服务名_hook.dll
C:\windows\服务名_hook2.dll
举例说明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了
以上他们做了命名规则解释 去下载一个木马杀客灰鸽子专杀 下载地址 瑞星版本的专杀 下载地址 清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件 参见 上面回答者
软件名称: 灰鸽子(Huigezi、Gpigeon)专用检测清除工具
界面语言: 简体中文
软件类型: 国产软件
运行环境: /Win9X/Me/WinNT/2000/XP/2003
授权方式: 免费软件
软件大小: 414KB
软件简介: 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序,运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务
五、灰鸽子的公告声明
灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发,主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品,均为商业化的远程控制软件,主要提供给网吧、企业及个人用户进行电脑软件管理使用;灰鸽子软件已获得国家颁布的计算机软件著作权登记证书,受著作权法保护。
然而,我们痛心的看到,目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为,这些行为严重影响了灰鸽子远程管理软件的声誉,同时也扰乱了 *** 秩序。这完全违背了灰鸽子工作室的宗旨和开发灰鸽子远程管理软件的初衷。在此我们呼吁、劝告那些利用远程控制技术进行非法行为的不法分子应立即停止此类非法活动。
应该表明的是,灰鸽子工作室自成立以来恪守国家法律和有关 *** 管理的规定,具有高度的社会责任感。为有效制止不法分子非法利用灰鸽子远程管理软件从事危害社会的非法活动,在此,我们郑重声明,自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册,以实际行动和坚定的态度来 *** 这种非法利用灰鸽子远程管理软件的不法行为,并诚恳接受广大网民的监督。
灰鸽子工作室谴责那些非法利用远程控制技术实现非法目的的行为,对于此类行为,灰鸽子工作室发布了灰鸽子服务端卸载程序,以便于广大网民方便卸载那些被非法安装于自己计算机的灰鸽子服务端。卸载程序下载页面。
六、灰鸽子工作室
灰鸽子工作室于2003年 初成立,定位于远程控制,远程管理,远程监控软件开发,主要产品为灰鸽子远程控制系列,2005年6月,正式推出使用驱动技术捕获屏幕的远程控制软件,捕获屏幕速度开始超越国外远程控制软件,灰鸽子开始被喻为远程控制的代名词。我们希望,用我们的技术和经验,打造出更好的远程控制软件,推动远程控制技术的发展!
2007年3月21日
卸载页面
七、灰鸽子官方网站
http;//
八、 灰鸽子工作室成员介绍
葛军:2003年初,与好友黄土平创建了灰鸽子工作室。2001年挺进版率先在远程控制软件上开发和使用了反弹连接技术。
黄土平:2003年初,与好友葛军创建了灰鸽子工作室。
灰鸽子是同类软件的祖先
参考资料:`
为何我的电脑CPU占用率是100%?
相信你的一定遇到过电脑动弹不得的时候,或许是只能眼看鼠标滑动而不能进行任何操作的时候,很多人都会经常遇到这样的问题:CPU占用率100%改如何解决,本文将从多个角度给你全方面的解析,希望阅读完本文希望在今后你遇到问题的时候能够带给你一些帮助。CPU经常性占用率100%1、驱动没有经过认证,造成CPU资源占用100%。大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。2、杀毒软件CPU使用率占用100%现在的杀毒软件一般都加入了,对网页、邮件、个人隐私的即时监空功能,这样无疑会加大系统的负担。比如:在玩游戏的时候,会非常缓慢。关闭该杀毒软件是解决得最直接办法。3、病毒、木马造成。出现CPU占用率100% 的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行全机扫描。接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的表现。间谍广告杀手Ad-awaresvchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。大量的蠕虫病毒在系统内部迅速复制,造成CPU占用资源率据高不下。解决办法:使用最新的杀毒软件在DOS模式下进行杀毒。经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。 4、开始->运行->msconfig->启动,关闭不必要的启动项,重启。 5、 *** 连接导致CPU使用率占用100%查看 *** 连接。主要是网卡。当你的Windows2000/xp作为服务器时,收到来自端口445上的连接请求后,系统将分配内存和少量CPU资源来为这些连接提供服务,当负荷过重,就会出现上述情况。要解决这个问题可以通过修改注册表来解决,打开注册表,找到HKEY—LOCAL—MACHNESYSTEMCurrentControlSetServiceslanmanserver,在右面新建一个名为";maxworkitems";的DWORD值.然后双击该值,如果你的电脑有512以上内存,就设置为";1024";,如果小于512,就设置为256.6、查看“svchost”进程。 Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。 Svchost.exe的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost”,每个键值表示一个独立的Svchost.exe组。 微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的 *** 。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。 如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。 还有一种确认Svchost.exe是否中毒的 *** 是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。 上面简单的介绍了Svchost.exe进程的相关情况。总而言之,Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。 7、把网卡、显卡、声卡卸载,然后重新安装一下驱动。 8、重装系统、常用软件、当然也要装驱动。用几天看一下,若不会出现这种问题,再装上其他软件,但是更好是一个软件装完,先用几天。现会出现问题再接着装!特征:服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,出现这种问题的服务器,CPU会突然一直处100%的水平,而且不会下降。查看任务管理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,dllhost进程管理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。直接原因:有一个或多个ACCESS数据库在多次读写过程中损坏,微软的MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其它线程只能等待,IIS被死锁了,全部的CPU时间都消耗在DLLHOST中。解决办法:安装“一流信息监控拦截系统”,使用其中的“首席文件检查官IIS健康检查官”软件,启用”查找死锁模块”,设置:--wblock=yes监控的目录,请指定您的主机的文件所在目录:--wblockdir=d: est监控生成的曰志的文件保存位置在安装目录的log目录中,文件名为:logblock.htm停止IIS,再启动“首席文件检查官IIS健康检查官”,再启动IIS,“首席文件检查官IIS健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的。过了一段时间后,当问题出来时,例如CPU会再次一直处100%的水平,可以停止IIS,检查logblock.htm所记录的最后的十个文件,注意,最有问题的往往是计数器类的ACCESS文件,例如:”**COUNT.MDB”,”**COUNT.ASP”,可以先把最后十个文件或有所怀疑的文件删除到回收站中,再启动IIS,看看问题是否再次出现。我们相信,经过仔细的查找后,您肯定可以找到这个让您操心了一段时间的文件的。找到这个文件后,可以删除它,或下载下来,用ACCESS2000修复它,问题就解决了。要通过进程列表查看系统是否染毒,必须打开当前的执行程序进程列表,Microsoft的每种系统都有相应的打开 *** ,但能够显示的能力却因(系统)不同,有所差异:Windows任务管理器下的进程列表1.Windows 98 /Me系统打开系统进程的方式很简单,快捷键“Ctrl+Alt+Delete”,这个窗口大家应该比较熟悉,使用Windows系统的用户都知道用这个 *** 来关闭程序,不过它同样用于显示系统进程,只是Windows98系统较初级,对进程的显示局限于名称,且里面所显示的还有打开的文件及目录名,查看时易混淆。WindowsMe的进程打开方式和Windows 98相同。Windows 9X系统打开的进程列表混乱且不完全,显然不便于查看系统的具体进程状况,所以建议使用一些工具程序来为Windows 9x系统显示进程,如“Windows优化大师”,在“优化大师”的“系统安全优化”项内打开“进程管理”,在图2所示的“Windows 进程管理”窗口内,可以详细查看当前计算机所运行的所有进程,及具体程序所在的位置,这样更方便完成后面要介绍的如何利用进程进行查毒、杀毒。2.Windows 2000/ XP/2003系统Windows 2000、Windows XP、Windows 2003打开进程窗口的方式与Windows 9x系统相同,只是三键后打开的是“Windows 任务管理器”窗口,需要选择里面的“进程”项。Windows 2000系统只显示具体进程的全名,占用的内存量;Windows XP、Windows 2003系统相比Windows 2000会显示该进程归属于那个用户下,如操作系统所必须的基础程序,会在后面的“用户名”内显示为“SYSTEM”,由用户另外开启的程序则用户名为当前的系统登录用户名。进程发现病毒在介绍具体的查毒和杀毒前,笔者先回答开篇提出的两个问题。为什幺杀毒软件并不能全面的查找和杀掉病毒?首先,病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。 电脑蠕虫病毒袭击多台电脑。其次,杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的这些进程,被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该程序正在被使用不能删除的原因)。所以在使用杀毒软件杀毒时,才会有杀毒完成后,又出现病毒提示的原因。 由前面的知识介绍可知,Windows 9X和Windows2000系统只能显示进程的名称,这对判断该进程是否是病毒还不够,如果要准确的断定病毒,更好使用前面介绍的“Windows优化大师”来查看进程程序的源路径。如果是“C:Windowssystem”下的一些未知的“EXE”那便极有病毒的可能性了。Windows XP和Windows 2003系统,进程后会有“用户名”的显示,病毒是不可能获得“SYSTEM”权限的,所以应注意“用户名”是当前登录用户的进程,一旦发现是病毒,可以立即“杀掉”。这里介绍两个技巧:1.发现可疑进程后,利用Windows的查找功能,查找该进程所在的具体路径,通过路径可以知道该进程是否合法,譬如由路径“C:Program Files3721assistse.exe”知道该程序是3721的进程,是合法的。2.在对进程是否病毒拿不定主意时,可以复制该进程的全名,如:“xxx.exe”到googl.com或baidu.com这样的全球搜查引擎上进行搜查,如果是病毒会有相关的介绍网页。确定了该进程是病毒,首先应该杀掉该进程,对于Windows 9x系统,选中该进程后,点击下面的“结束任务”按钮,Windows2000、Windows XP、Windows 2003系统则在进程上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可,完成后更好在进行一次杀毒,这样就万无一失了。在win.ini文件中,在[Windows]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什幺都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE。这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Batteryv1.0木马”,它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:Windowsexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒,与早先在西方英文系统下流行“红色代码”病毒有点相反,在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞,通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠2天,别的机器休眠1天。当休眠的时间到了以后,该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年,如果是,受感染的服务器也会重新启动。当Windows NT系统启动时,NT系统会自动搜索C盘根目录下的文件explorer.exe,受该 *** 蠕虫程序感染的服务器上的文件explorer.exe也就是该 *** 蠕虫程序本身。该文件的大小是8192字节,VirtualRoot *** 蠕虫程序就是通过该程序来执行的。同时,VirtualRoot *** 蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修改系统的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录C或者D,病毒名由此而来。值得一提的是,该 *** 蠕虫程序除了文件explorer.exe外,其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的,这就给捕捉带来了较大难度。程序的文件名,再在整个注册表中搜索即可。我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。其实svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。svchost.exe到底是做什么用的呢?首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢?svchost.exe的工作就是作为这些服务的宿主,即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。svchost.exe是病毒这种说法是如何产生的呢?因为svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。如何才能辨别哪些是正常的svchost.exe进程,而哪些是病毒进程呢?svchost.exe的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost”,每个键值表示一个独立的svchost.exe组。微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的 *** 。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist/svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。还有一种确认svchost.exe是否中毒的 *** 是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。上面简单的介绍了svchost.exe进程的相关情况。总而言之,svchost.exe是一个系统的核心进程,并不是病毒进程。但由于svchost.exe进程的特殊性,所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒。Services.exe造成CPU使用率占用100%症状在基于 Windows 2000 的计算机上,Services.exe中的 CPU 使用率可能间歇性地达到100 %,并且计算机可能停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式,则会出现此症状。解决方案Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因此,如果这个问题没有对您造成严重的影响,Microsoft 建议您等待包含此修补程序的下一个 Windows 2000Service Pack。要立即解决此问题,请与“Microsoft 产品支持服务”联系,以获取此修补程序。有关“Microsoft 产品支持服务” *** 号码和支持费用信息的完整列表,请访问 Microsoft Web 站点:注意 :特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的 *** 支持服务费用。对于特定更新程序无法解决的其它支持问题和事项,将正常收取支持费用。下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的曰期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“曰期和时间”工具中的时区 选项卡。状态Microsoft 已经确认这是在本文开头列出的Microsoft 产品中存在的问题。此问题最初是在 Microsoft Windows 2000Service Pack 4 中更正的。explorer.exe进程造成CPU使用率占用100%在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Batteryv1.0木马”,它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:Windowsexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索即可。超线程导致CPU使用率占用100% 这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。我查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决,也可以通过在BIOS中关闭超线程功能解决。AVI视频文件造成CPU使用率占用100%在Windows XP中,单击一个较大的AVI视频文件后,可能会出现系统假死现象,并且造成exploere.exe进程的使用率100%,这是因为系统要先扫描该文件,并检查文件所有部分,建立索引。如果文件较大就会需要较长时间并造成CPU占用率100%。解决 *** :右键单击保存视频文件的文件夹,选择”属性—常规—高级“,去掉”为了快速搜索,允许索引服务编制该文件夹的索引“前面复选框的对钩即可。处理较大的Word文件时CPU使用率过高上述问题一般还会造成电脑假死,这些都是因为WORD的拼写和语法检查造成的,只要打开WORD的“工具—选项”,进入“拼写和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。正常软件造成CPU使用率占用100%首先,如果是从开机后就发生上述情况直到关机。那幺就有可能是由某个随系统同时登陆的软件造成的。可以通过运行输入“msconfig”打开“系统实用配置工具”,进入“启动”选项卡。接着,依次取消可疑选项前面的对钩,然后重新启动电脑。反复测试直到找到造成故障的软件。或者可以通过一些优化软件如“优化大师”达到上述目的。另:如果键盘内按键卡住也可能造成开机就出现上述问题。
更多最新硬件资讯请访问:中关村在线-首页
更多的最新CPU产品信息请访问:中关村在线-CPU专区
更多硬件技术支持请访问:中关村在线-硬件论坛希望以上信息对你的问题有所帮助。
什么是黑客程序?
所谓黑客程序,是指一种无传染性的系统安全屏蔽程序。它被植入计算机系统,一旦黑客程序感染了计算机,便与黑客里应外合,使黑客攻击变得十分容易。
现在的黑客程序很可怕,就好像在你的计算机上隐藏了一套摄录装置。它可能窃取你的存折和信用卡的账号密码,偷看你的日记、情书,有时候,它甚至能够在你的计算机上留下暗门,随后供黑客出入,把你的计算机完全地控制起来。
设想一下,如果黑客通过一台计算机和一条 *** 线进入国家重要的政治、经济、军事、金融、保险 *** 系统,并进行控制或破坏,社会会怎么样?
黑客软件就是这样的一种工具,它可以使得那些略懂一些软件的人成为黑客,因为,一切都是现成的了,只需要学一学怎么用就可以了。借助黑客软件,十几岁的孩子都能成为黑客,就像操作自己的计算机一样轻而易举,通过互联网进入并远程控制被黑客程序“感染”过的计算机,这实在是一件很可怕的事情。
因此,专家认为,黑客软件不是病毒,但危害性要比病毒严重得多。
有一个黑客群体发布了一个人侵Windows机器的程序“后门”。它可以让用户经由因特网进入并控制远程Windows计算机。实际上,现在 *** 上到处都有这样的自由软件下载,这简直和到处都是枪支店一样危险。
所有运行在Windows95/98操作平台之上、使用支持TCP/IP通讯协议进行联网的计算机系统,都有可能遭受黑客程序“后门”的攻击。实际上这几乎包括了几乎所有的 *** 用户,可以把通过 *** 线拨号上网钓用户一网打尽。
专家告诉我们,目前已发现黑客程序的种类很多。黑客程序只要进行一次欺骗性的运行就可以完成自动安装,而且永远起作用,其破坏无规律可循,无法预见。
黑客程序的传播途径也五花八门,例如电子邮件的附件、共享软件程序、聊天软件、盗版光盘上不明用途的软件、电子贺卡寄送的可执行的“礼物”程序。这就告诉我们,随便安装程序是一件很危险的事情,尤其是重要部门的计算机系统。
黑客常用端口
最直接的办法,把系统不用的端口都关闭掉,然后从新启动,如:关闭的端口有,135,137,138,139,445,1025,2475,3127,6129,3389,593,还有tcp.