计算机知识500个

阿夫

一、软件1．病毒破坏
自从有了计算机以后不久，计算机病毒也应运而生。当网络成为当今社会的信息大动脉后，病毒的传播更加方便，所以也时不时的干扰和破坏我们的正常工作。比较典型的就是前一段时间对全球计算机造成严重破坏的“冲击波”病毒，发作时还会提示系统将在60秒后自动启动。其实，早在DOS时代就有不少病毒能够自动重启你的计算机。
对于是否属于病毒破坏，我们可以使用最新版的杀毒软件进行杀毒，一般都会发现病毒存在。当然，还有一种可能是当你上网时被人恶意侵入了你的计算机，并放置了木马程序。这样对方能够从远程控制你计算机的一切活动，当然也包括让你的计算机重新启动。对于有些木马，不容易清除，最好重新安装操作系统。
# v$ T( Z0 [  F$ S+ p" B2．系统文件损坏
) A% z) ?. m  f2 O4 p当系统文件被破坏时，如Win2K下的KERNEL32.DLL，Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏，系统在启动时会因此无法完成初始化而强迫重新启动。你可以做个试验，把WIN98目录下的字库“FONTS”改名试一试。当你再次开机时，我们的计算机就会不断的重复启动。
1 L6 X( `# }( t; `对于这种故障，因为无法进入正常的桌面，只能覆盖安装或重新安装。
6 i. _" K9 i4 D+ O# ^' k* X3．定时软件或计划任务软件起作用
如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时，当定时时刻到来时，计算机也会再次启动。对于这种情况，我们可以打开“启动”项，检查里面有没有自己不熟悉的执行文件或其他定时工作程序，将其屏蔽后再开机检查。当然，我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。
二、硬件1．市电电压不稳
' {( y7 X; ^7 g* m  p一般家用计算机的开关电源工作电压范围为170V－240V，当市电电压低于170V时，计算机就会自动重启或关机。因为市电电压的波动我们有时感觉不到，所以就会误认为计算机莫名其妙的自动重启了。
; y& w+ A9 K3 I" P- A. y7 c, N解决方法：对于经常性供电不稳的地区，我们可以购置UPS电源或130－260V的宽幅开关电源来保证计算机稳定工作。
6 y$ |$ m3 X: S/ G# _! w2．插排或电源插座的质量差，接触不良
  M0 q; R5 I( M; K( s2 {. b市面上的电源插排多数质量不好，内部的接点都是采用手工焊接，并且常采用酸性助焊剂，这样容易导致在以后的使用中焊点氧化引起断路或者火线和零线之间漏电。因为手工焊接，同时因为采用的磷黄铜片弹性差，用不了多长时间就容易失去弹性，致使与主机或显示器的电源插头接触不良而产生较大的接触电阻，在长时间工作时就会大量发热而导致虚接，这时就会表现为主机重新启动或显示器黑屏闪烁。
: q, U, e% s1 t0 O还有一个可能是我们家里使用的墙壁插座，多数墙壁插座的安装都不是使用专业人员，所以插座内部的接线非常的不标准，特别这些插座如果我们经常使用大功率的电暖器时就很容易导致内部发热氧化虚接而形成间歇性的断电，引起计算机重启或显示器眨眼现象。
解决方法：
8 x2 f& _) F+ U) z① 不要图省钱而购买价廉不物美的Midea 电源排插，购买一些名牌的电源插排，因为其内部都是机器自动安装压接的，没有采用手工焊接。
② 对于是否属于墙壁插座内部虚接的问题，我们可以把主机换一个墙壁插座试一试，看是否存在同样的自动重启问题。
8 o* v# }! m& C" j% L- z* X3．计算机电源的功率不足或性能差
' K% S* k4 h" Q) k+ D* c这种情况也比较常见，特别是当我们为自己主机增添了新的设备后，如更换了高档的显卡，增加了刻录机，添加了硬盘后，就很容易出现。当主机全速工作，比如运行大型的3D游戏，进行高速刻录或准备读取光盘，刚刚启动时，双硬盘对拷数据，就可能会因为瞬时电源功率不足而引起电源保护而停止输出，但由于当电源停止输出后，负载减轻，这时电源再次启动。因为保护后的恢复时间很短，所以给我们的表现就是主机自动重启。
+ L- V# k3 x# A  S. j5 X还有一种情况，是主机开关电源性能差，虽然电压是稳定的也在正常允许范围之内，但因为其输出电源中谐波含量过大，也会导致主机经常性的死机或重启。对于这种情况我们使用万用表测试其电压时是正常的，最好更换一台优良的电源进行替换排除。
解决方法：现换高质量大功率计算机电源。
& c6 X/ R3 u: K4．主机开关电源的市电插头松动，接触不良，没有插紧
0 s' L1 g  ?4 A. z1 v7 j" p4 ^这种情况，多数都会出现在DIY机器上，主机电源所配的电源线没有经过3C认证，与电源插座不配套。当我们晃动桌子或触摸主机时就会出现主机自动重启，一般还会伴有轻微的电打火的“啪啪”声。
& o7 l5 t4 l- R/ j9 i& d7 y' M解决方法：更换优质的3C认证电源线。
) T' A! u% T+ y/ a! f, N5．主板的电源ATX20插座有虚焊，接触不良
- b9 z' r4 T" X6 ?6 Z" r这种故障不常见，但的确存在，主要是在主机正常工作时，左右移动ATX20针插头，看主机是否会自动重启。同时还要检查20针的电源插头内部的簧片是否有氧化现象，这也很容易导致接触电阻大，接触不良，引起主机死机或重启。有时还需要检查20针插头尾部的连接线，是否都牢K。
* ^; Z$ i& ^7 j解决方法：
① 如果是主板焊点虚焊，直接用电烙铁补焊就可以了。注意：在对主板、硬盘、显卡等计算机板卡焊接时，一定要将电烙铁良好接地，或者在焊接时拔下电源插头。
② 如果是电源的问题，最好是更换一台好的电源。
/ L' o/ Z) ]( o6．CPU问题
CPU内部部分功能电路损坏，二级缓存损坏时，计算机也能启动，甚至还会进入正常的桌面进行正常操作，但当进行某一特殊功能时就会重启或死机，如画表，播放VCD，玩游戏等。
解决办法：试着在CMOS中屏蔽二级缓存（L2）或一级缓存（L1），看主机是否能够正常运行；再不就是直接用好的CPU进行替换排除。如果屏蔽后能够正常运行，还是可以凑合着使用，虽然速度慢些，但必竟省钱了。
7．内存问题
0 A& T. T. f+ I4 E3 {内存条上如果某个芯片不完全损坏时，很有可能会通过自检（必竟多数都设置了POST），但是在运行时就会因为内存发热量大而导致功能失效而意外重启。多数时候内存损坏时开机会报警，但内存损坏后不报警，不加电的故障都还是有的。最好使用排除法，能够快速确定故障部位。
8．光驱问题
& [$ {2 S. G5 g; e2 T9 k2 f& K7 V! }如果光驱内部损坏时，也会导致主机启动缓慢或不能通过自检，也可能是在工作过程中突然重启。对于后一种情况如果是我们更换了光驱后出现的，很有可能是光驱的耗电量不同而引起的。大家需要了解的是，虽然光驱的ATPI接口相同，但不同生产厂家其引脚定义是不相同的，如果我们的硬盘线有问题时，就可能产生对某一牌子光驱使用没有问题，但对其他牌子光驱就无法工作的情况，这需要大家注意。
9．RESET键质量有问题

阿夫

如果RESET开关损坏，内部簧片始终处于短接的位置时，主机就无法加电自检。但是当RESET开关弹性减弱或机箱上的按钮按下去不易弹起时，就会出现在使用过程中，因为偶尔的触碰机箱或者在正常使用状态下而主机突然重启。所以，当RESET开关不能按动自如时，我们一定要仔细检查，最好更换新的RESET按钮开关或对机箱的外部按钮进行加油润滑处理。
1 n7 a8 e; D* b% b0 d还有一种情况，是因为机箱内的RESET开关引线在焊接时绝缘层剥离过多，再加上使用过程中多次拆箱就会造成RESET开关线距离过近而引起碰撞，导致主机自动重启。
10．接入网卡或并口、串口、USB接口接入外部设备时自动重启
1 n2 T3 K2 v# r* t( K$ h这种情况一般是因为外设有故障，比如打印机的并口损坏，某一脚对地短路，USB设备损坏对地短路，网卡做工不标准等，当我们使用这些设备时，就会因为突然的电源短路而引起计算机重启。
: M7 L1 Z" s; e5 m9 B三、其他原因1．散热不良或测温失灵
CPU散热不良，经常出现的问题就是CPU的散热器固定卡子脱落，CPU散热器与CPU接触之间有异物，CPU风扇长时间使用后散热器积尘太多，这些情况都会导致CPU散热不良，积聚温度过高而自动重启。
( k. Q( @5 C2 ]1 Z* V! a( y+ v还有就是CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏，主板上的BIOS有BUG在某一特殊条件下测温不准，这些都会引起主机在工作过程中自动保护性重启。
# u* c4 d7 \& K$ ~3 ~0 ^7 Z最后就是我们在CMOS中设置的CPU保护温度过低也会引起主机自动重启。
2．风扇测速失灵
9 r5 D6 L( f3 k5 U! f3 R: x当CPU风扇的测速电路损坏或测速线间歇性断路时，因为主板检测不到风扇的转速就会误以为风扇停转而自动关机或重启，但我们检查时可能看到CPU风扇转动正常，并且测速也正常。
1 Z; y% C& {9 d2 c- u+ Z8 m. c3．强磁干扰
7 j: ^( g1 k% {# b) L: F不要小看电磁干扰，许多时候我们的电脑死机和重启也是因为干扰造成的，这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰，也有来自外部的动力线，变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良，就会出现主机意外重启或频繁死机的现象

阿夫

让XP的键盘说话！一个罕见的功能！
& |* A. P6 e* E: ^, P. T长期面对无声的电脑，我们难免疲倦。如果正在输入的内容被系统一
字(字母)不差地念出来，你还能在无声的疲倦中输入错误的内容吗？本文以
5 K3 z4 F" ]+ }5 O" {4 P+ |Windows2000/XP中一个鲜为人知的“讲述人”为例教你DIY一个完全免费的语音
键盘。
在“运行”中输入“narrator”，点“确定”，首先弹出的是一条警告信息，不予睬，
点“确定”跳过后便请出本文的主角──“讲述人”。如果你的音箱已经打开，听到
了什么？不想听的话就按一下Ctrl键。再按任意键试试，你输入的字母键被系统
用标准的美国英语读了出来，这时一个完全免费的语音键盘就诞生在你的手中
7 p9 U. u; ?; I; J9 F- R( J% L% R了，有兴趣的朋友不妨试试。
WindowsXP启动过程概述
: H5 ]* C% n1 j) }在按下计算机电源使计算机启动，并且在WindowsXP专业版操作系统启动之前这段时间，我们称之为预引导（Pre-Boot）阶段，在这个阶段里，计算机首先运行PowerOnSelfTest（POST），POST检测系统的总内存以及其他硬件设备的现状。
从按下计算机开关启动计算机，到登入到桌面完成启动，一共经过了以下几个阶段：
1.预引导(Pre-Boot)阶段；
2.引导阶段；
3.加载内核阶段；
4.初始化内核阶段；
5.登陆。
# H( r' v7 \* o8 T/ |- U每个启动阶段的详细介绍
a)预引导阶段
9 y# l5 e, K( e在按下计算机电源使计算机启动，并且在WindowsXP专业版操作系统启动之前这段时间，我们称之为预引导（Pre-Boot）阶段，在这个阶段里，计算机首先运行PowerOnSelfTest（POST），POST检测系统的总内存以及其他硬件设备的现状。如果计算机系统的BIOS(基础输入/输出系统)是即插即用的，那么计算机硬件设备将经过检验以及完成配置。计算机的基础输入/输出系统（BIOS）定位计算机的引导设备，然后MBR(MasterBootRecord)被加载并运行。在预引导阶段，计算机要加载WindowsXP的NTLDR文件。
7 Z+ y: z' t+ y" |. [( Wb)引导阶段
WindowsXPProfessional引导阶段包含4个小的阶段。
  ^& V* O1 c% |  n- S0 C首先，计算机要经过初始引导加载器阶段（InitialBootLoader），在这个阶段里，NTLDR将计算机微处理器从实模式转换为32位平面内存模式。在实模式中，系统为MS-DOS保留640kb内存，其余内存视为扩展内存，而在32位平面内存模式中，系统（WindowsXPProfessional）视所有内存为可用内存。接着，NTLDR启动内建的mini-filesystemdrivers，通过这个步骤，使NTLDR可以识别每一个用NTFS或者FAT文件系统格式化的分区，以便发现以及加载WindowsXPProfessional，到这里，初始引导加载器阶段就结束了。
接着系统来到了操作系统选择阶段，如果计算机安装了不止一个操作系统（也就是多系统），而且正确设置了boot.ini使系统提供操作系统选择的条件下，计算机显示器会显示一个操作系统选单，这是NTLDR读取boot.ini的结果。（至于操作系统选单，由于暂时条件不够，没办法截图，但是笔者模拟了一个，见图一。）
5 \/ m2 k6 b$ P, n( }3 H5 o在boot.ini中，主要包含以下内容：
- {. ~3 B- ~1 I$ E( G6 |  r4 Q0 [" j[bootloader]
timeout=30
# x# o+ O9 Q$ S% pdefault=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
, L& e/ j* {* F; h* P[operatingsystems]
1 |# m7 H* \/ Cmulti(0)disk(0)rdisk(0)partition(1)\WINDOWS="MicrosoftWindowsXPProfessional"/fastdetect
2 {# N4 D0 h$ v' Fmulti(0)disk(0)rdisk(0)partition(2)\WINNT="WindowsWindows2000Professional"
; x/ C6 y  d3 R! Z.
其中，multi(0)表示磁盘控制器，disk(0)rdisk(0)表示磁盘，partition(x)表示分区。NTLDR就是从这里查找WindowsXPProfessional的系统文件的位置的。（*本文不会更详细地讲解boot.ini的组成结构，因为其与本主题关系不大，如果想了解，可以到一些专门的网站处查询相关信息。）如果在boot.ini中只有一个操作系统选项，或者把timeout值设为0，则系统不出现操作系统选择菜单，直接引导到那个唯一的系统或者默认的系统。在选择启动WindowsXPProfessional后，操作系统选择阶段结束，硬件检测阶段开始。
2 K  O, r/ b( V在硬件检测阶段中，ntdetect.com将收集计算机硬件信息列表并将列表返回到NTLDR，这样做的目的是便于以后将这些硬件信息加入到注册表HKEY_LOCAL_MACHINE下的hardware中。
硬件检测完成后，进入配置选择阶段。如果计算机含有多个硬件配置文件列表，可以通过按上下按钮来选择。如果只有一个硬件配置文件，计算机不显示此屏幕而直接使用默认的配置文件加载WindowsXP专业版。
& |- o  {4 p% Z8 E, r+ i' J! y引导阶段结束。在引导阶段，系统要用到的文件一共有：NTLDR，Boot.ini，ntdetect.com，ntokrnl.exe，Ntbootdd.sys，bootsect.dos（可选的）。
. J" V9 U' s7 ~+ ?" Gc)加载内核阶段
在加载内核阶段，ntldr加载称为WindowsXP内核的ntokrnl.exe。系统加载了WindowsXP内核但是没有将它初始化。接着ntldr加载硬件抽象层（HAL，hal.dll），然后，系统继续加载HKEY_LOCAL_MACHINE\system键，NTLDR读取select键来决定哪一个ControlSet将被加载。控制集中包含设备的驱动程序以及需要加载的服务。NTLDR加载HKEY_LOCAL_MACHINE\system\service\...下start键值为0的最底层设备驱动。当作为ControlSet的镜像的CurrentControlSet被加载时，ntldr传递控制给内核，初始化内核阶段就开始了。
4 t& t* z) f, [7 ^d)初始化内核阶段
/ d" s$ k0 h- ]' w" }在初始化内核阶段开始的时候，彩色的WindowsXP的logo以及进度条显示在屏幕中央，在这个阶段，系统完成了启动的4项任务：
?内核使用在硬件检测时收集到的数据来创建了HKEY_LOCAL_MACHINE\HARDWARE键。
7 k$ Z2 C, z2 z9 a( i$ @?内核通过引用HKEY_LOCAL_MACHINE\system\Current的默认值复制ControlSet来创建了CloneControlSet。CloneControlSet配置是计算机数据的备份，不包括启动中的改变，也不会被修改。
?系统完成初始化以及加载设备驱动程序，内核初始化那些在加载内核阶段被加载的底层驱动程序，然后内核扫描HKEY_LOCAL_MACHINE\system\CurrentControlSet\service\...下start键值为1的设备驱动程序。这些设备驱动程序在加载的时候便完成初始化，如果有错误发生，内核使用ErrorControl键值来决定如何处理，值为3时，错误标志为危机/关键，系统初次遇到错误会以LastKnownGoodControlSet重新启动，如果使用LastKnownGoodControlSet启动仍然产生错误，系统报告启动失败，错误信息将被显示，系统停止启动；值为2时错误情况为严重，系统启动失败并且以LastKnownGoodControlSet重新启动，如果系统启动已经在使用LastKnownGood值，它会忽略错误并且继续启动；当值是1的时候错误为普通，系统会产生一个错误信息，但是仍然会忽略这个错误并且继续启动；当值是0的时候忽略，系统不会显示任何错误信息而继续运行
0 ^6 Z  Z. i* }; k/ u  J5 h

阿夫

二、nbtstat
该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接，使用这个命令你可以得到远程主机的NETBIOS信息，比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。
5 x9 x( C3 @2 X+ @' I-a使用这个参数，只要你知道了远程主机的机器名称，就可以得到它的NETBIOS信息（下同）。
% J. k8 }! o) O) V+ R-A这个参数也可以得到远程主机的NETBIOS信息，但需要你知道它的IP。
-n列出本地机器的NETBIOS信息。
2 m9 S, z: M: n- c/ J三、netstat
- p  l2 n; n$ `* m7 M5 u这是一个用来查看网络状态的命令，操作简便功能强大。
# t4 v0 O! q9 m$ Y& u1 c4 V, ?-a查看本地机器的所有开放端口，可以有效发现和预防木马，可以知道机器所开的服务等信息。这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法：netstat-aIP。
9 h( D3 Q5 H) L$ y& G1 w- I( H-r列出当前的路由信息，告诉我们本地机器的网关、子网掩码等信息。用法：netstat-rIP。
! @  @/ w, ^5 u- O四、tracert
跟踪路由信息，使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径，这对我们了解网络布局和结构很有帮助。用法：tracertIP。
五、net
; j  u) G3 l" i( H. V3 v% P/ K" m: \这个命令是网络命令中最重要的一个，必须透彻掌握它的每一个子命令的用法，因为它的功能实在是太强大了，这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令，键入net/?回车。在这里，我们重点掌握几个入侵常用的子命令：
! U6 s3 t; F0 F9 c: Y' B; _, bnetview
/ @; d3 x2 G3 _使用此命令查看远程主机的所以共享资源。命令格式为netview\IP。
1 h  C2 j: k0 z. b( _$ L( ynetuse
; d6 A- d1 W0 T. v1 @把远程主机的某个共享资源映射为本地盘符，图形界面方便使用，呵呵。命令格式为netu***:\IPsharename。
netstart
9 U2 e- `/ h5 L/ D使用它来启动远程主机上的服务。当你和远程主机建立连接后，如果发现它的什么服务没有启动，而你又想利用此服务怎么办？就使用这个命令来启动吧。用法：netstartservername。
netstop
3 X+ m, Z. i. v入侵后发现远程主机的某个服务碍手碍脚，怎么办？利用这个命令停掉就ok了，用法和netstart同。
( X3 A+ z. L! q8 a% u# B5 Rnetuser
0 B  K) X/ E7 p6 y" g9 ~# c查看和帐户有关的情况，包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。
1、netuserabcd1234/add，新建一个用户名为abcd，密码为1234的帐户，默认为user组成员。
$ _% z8 M  B* ?2、netuserabcd/del，将用户名为abcd的用户删除。
) M2 y0 ?3 I  Z; m4 w$ D6 I$ D5 G* w3、netuserabcd/active:no，将用户名为abcd的用户禁用。
4、netuserabcd/active:yes，激活用户名为abcd的用户。
5、netuserabcd，查看用户名为abcd的用户的情况
* y& B8 Q4 Z6 M' ^2 p9 u* Pnetlocalgroup
查看所有和用户组有关的信息和进行相关操作。键入不带参数的netlocalgroup即列出当前所有的用户组。
/ r; g+ Q+ J4 |0 Y  B, X
% s4 V1 p! L9 }# nnettime
这个命令可以查看远程主机当前的时间。
六、at
这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序（知道nettime的重要了吧？）。当我们知道了远程主机的当前时间，就可以利用此命令让其在以后的某个时间（比如2分钟后）执行某个程序和命令。用法：attimecommand\computer。
9 {, ]( S* [/ a% D
$ @0 l$ C' q8 J; c" d# b七、ftp
! H) G& @; x5 ~  c6 Y) k首先在命令行键入ftp回车，出现ftp的提示符，这时候可以键入“help”来查看帮助（任何DOS命令都可以使用此方法查看其帮助)。
- z( y7 Q  I# q8 o2 a+ W大家可能看到了，这么多命令该怎么用？其实也用不到那么多，掌握几个基本的就够了。
: z1 M5 W0 l" A9 O$ M首先是登陆过程，这就要用到open了，直接在ftp的提示符下输入“open主机IPftp端口”回车即可，一般端口默认都是21，可以不写。接着就是输入合法的用户名和密码进行登陆了。
. a8 v' |2 e4 d4 ~; D用户名和密码都是ftp，密码是不显示的。当提示****loggedin时，就说明登陆成功。
. A. k8 K8 }# x6 _( z0 s' |接下来就要介绍具体命令的使用方法了。
1 F- t/ Q  }0 l( V$ Y! ^2 Y7 Ydir跟DOS命令一样，用于查看服务器的文件，直接敲上dir回车，就可以看到此ftp服务器上的文件。
cd进入某个文件夹。
get下载文件到本地机器。
put上传文件到远程服务器。
delete删除远程ftp服务器上的文件。
: L! v( `" l+ E0 ?2 L# f: Fbye退出当前连接。
" B, d0 ?. t8 O: _; o5 {quit同上。

八、telnet
1 y9 x: G9 _4 X# |7 x2 `2 c5 a' n; H功能强大的远程登陆命令，几乎所有的入侵者都喜欢用它，屡试不爽。为什么？它操作简单，如同使用自己的机器一样，只要你熟悉DOS命令，在成功以Administrator身份连接了远程机器后，就可以用它来干你想干的一切了。下面介绍一下使用方法，首先键入telnet回车，再键入help查看其帮助信息。
然后在提示符下键入openIP回车，这时就出现了登陆窗口，让你输入合法的用户名和密码，这里输入任何密码都是不显示的。
详细端口分配列表
本人经过参考了部分书籍和网上的文章，然后总结了一下详细端口分配列表。
端口：0
服务：Reserved
; B/ w. q, k) ]2 @8 k# Z说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无
. G: k( [& M/ ?8 T' j6 c效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的
/ J1 Y; ?  g2 x, N# T6 _扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。
端口：1
: i  M! a5 ~7 u$ f3 N) {服务：tcpmux
说明：这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，默认
& w8 `6 @. T: W$ Z6 [( z  p8 P情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的
帐户，如：IP、GUESTUUCP、NUUCP、DEMOS、TUTOR、DIAG、OUTOFBOX等。许多
# f& @3 s- q( B, o$ ]# C2 @" l+ q* [管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用
这些帐户。
端口：7
服务：Echo
5 _% {) C- k1 j说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。
4 |: |! L) K+ ^7 G端口：19
! e. J( G( k5 q( _% c" |服务：CharacterGenerator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾
字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用
IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle
DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了
回应这些数据而过载。
端口：21
0 ~2 z6 P* Q- @9 W服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开
: W& K1 o) N. A  n& eanonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马DolyTrojan
9 I% n) f1 y/ {2 T、Fore、InvisibleFTP、WebEx、WinCrash和BladeRunner所开放的端口。
端口：22
  y! M1 }8 n# _* a, J4 p服务：Ssh
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有
许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞
存在。
端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端
口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。
木马TinyTelnetServer就开放这个端口。
端口：25
服务：SMTP

阿夫

说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了
传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器
上，将简单的信息传递到不同的地址。木马Antigen、EmailPasswordSender、
1 u1 l0 Z& X" Q& |. R1 wHaebuCoceda、ShtrilitzStealth、WinPC、WinSpy都开放这个端口。
5 ?1 y9 ^1 X: D6 Q5 o- Y端口：31
服务：MSGAuthentication
9 w+ b, _9 P# C+ \  m* T) M) J说明：木马MasterParadise、HackersParadise开放此端口。
3 J, v. P& {. A% G: K端口：42
服务：WINSReplication
说明：WINS复制
端口：53
服务：DomainNameServer（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗
DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口：67
0 m7 ~8 a6 S( J9 ~" a9 D$ s服务：BootstrapProtocolServer
说明：通过DSL和Cablemodem的防火墙常会看见大量发送到广播地址
255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入
它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）
攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应
使用广播是因为客户端还不知道可以发送的IP地址。
端口：69
4 s6 r; u* S" B服务：TrivalFileTransfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它
. ~+ R% [+ g+ c' y% x3 l, A, K' j们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写
! D$ W3 ~* w0 L; F# o入文件。
" P# {7 Z5 i; y4 C) L" L8 R端口：79
  ^4 Z. O/ ]* Y9 l6 D$ \2 p. [# _服务：FingerServer
说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，
& a5 R0 v; o1 a3 N3 k2 r回应从自己机器到其他机器Finger扫描。
! J4 w3 w- r/ O4 W* k4 X$ T1 ~端口：80
& x2 C2 I1 `: W! {$ v' A3 j服务：HTTP
& F  v* `' R( R5 n7 X! ?4 r说明：用于网页浏览。木马Executor开放此端口。
端口：99
8 \; K3 Y9 G8 S& A+ l. Q$ j+ a服务：MetagramRelay
$ b) w& [& `1 Y; r+ d9 d说明：后门程序ncx99开放此端口。
( V# J1 R0 E- g1 T端口：102
+ b$ z: N4 x; L" e. s4 L服务：Messagetransferagent(MTA)-X.400overTCP/IP
2 Z& J2 h/ {; q4 [! r说明：消息传输代理。
端口：109
% {1 B1 ]0 u; f- N$ \1 y服务：PostOfficeProtocol-Version3
7 o$ o5 o; `7 b$ k: p说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务
。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有
20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区
2 t  {1 ~- V5 E. R7 V8 J/ i溢出错误。
6 W$ s8 c3 D) B) C, k端口：110
服务：SUN公司的RPC服务所有端口
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd
4 _% l" ?$ N% ^3 @- E9 J3 A等
端口：113
服务：AuthenticationService
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的
这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是
$ M6 g; P$ c: T5 k, g' H7 K4 HFTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服
务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉
- O0 \! t& _1 d" T5 q3 g3 B# ^到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过
" }+ i2 M+ b% |  \4 y+ X* d  ^程中发回RST。这将会停止缓慢的连接。
  e7 v  o4 }4 y  d端口：119
8 r  p# v* O9 N3 p服务：NetworkNewsTransferProtocol
0 f. ~: N" J" Y0 d8 x% ?0 b8 A; q说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻
找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。
打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名
发帖或发送SPAM。
2 G$ B* v8 H; n9 ?, k$ F# g1 I端口：135
服务：LocationService
5 G2 j! `" O- [3 @9 i' x说明：Microsoft在这个端口运行DCERPCend-pointmapper为它的DCOM服务。这
! v* |- e" ^: [0 Z与UNIX111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point
mapper注册它们的位置。远端客户连接到计算机时，它们查找end-pointmapper
% p  ^7 h$ b% u: M; {7 n' A( }找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行
ExchangeServer吗？什么版本？还有些DOS攻击直接针对这个端口。
. S$ ]3 |8 x( w9 Y6 j( L4 Z3 ~2 [端口：137、138、139
服务：NETBIOSNameService
5 l) s) w* ^( n" |, H) O说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139
端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于
windows文件和打印机共享和SAMBA。还有WINSRegisrtation也用它。
端口：143
服务：InterimMailAccessProtocolv2
. }) K. e% `- p, i, a: c0 w说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：
+ j" |9 a' g' j$ V7 {3 V% y- D, D一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自
不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后
9 n) Y9 |: B5 p- l% N，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。
端口：161
4 R1 @; Z1 D' q服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过
7 O4 M4 P4 J8 L3 F9 aSNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将
试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合
2 c, K. K; z' {。SNMP包可能会被错误的指向用户的网络。
端口：177
服务：XDisplayManagerControlProtocol
说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。
3 s9 \/ m' B# h* \; c端口：389
服务：LDAP、ILS
# M) y/ u8 h  A; E& p+ P说明：轻型目录访问协议和NetMeetingInternetLocatorServer共用这一端口
。
端口：443
服务：Https
说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。
: w6 U9 ]: a7 V端口：456
服务：[NULL]
. |0 D$ m% R: K  q( K9 A说明：木马HACKERSPARADISE开放此端口。
6 }* E8 O3 h% n2 R端口：513
' c- y6 {0 Z/ ~' }! H- ]服务：Login,remotelogin
4 I, X6 M5 j6 r5 t" g说明：是从使用cablemodem或DSL登陆到子网中的UNIX计算机发出的广播。

阿夫

这些人为入侵者进入他们的系统提供了信息。
  L0 v& u9 P8 C8 o' M* p  a7 c端口：544
# m" c* B- ?( l( N服务：[NULL]
说明：kerberos kshell
" \% Y# M/ p0 F  ~& O+ e4 Q& a端口：548
9 q7 w. p9 S2 l* U1 E服务：Macintosh,File Services(AFP/IP)
. U. S7 O0 t9 b4 S* S说明：Macintosh,文件服务。
6 d* {$ K' B8 z( q端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向
对象的RPC系统。入侵者可以利用这些信息进入系统。
端口：555
服务：DSF
, \0 F* p6 X& ~+ ?说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口：568
服务：Membership DPA
/ T  R7 r6 b" H4 l# a) m8 Z. ?说明：成员资格 DPA。
端口：569
服务：Membership MSN
说明：成员资格 MSN。
端口：635
服务：mountd
4 F( l' p" r# A4 v8 k说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描
: n& ^; d2 y! {4 j9 u是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。
6 y2 S0 p  Y7 X2 M& d记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询
+ e5 v0 c) `$ B! r  g2 N* X），只是Linux默认端口是635，就像NFS通常运行于 2049端口。
% R, j1 O$ n3 X8 Y端口：636
服务：LDAP
1 S0 P$ Y) {5 j1 [/ D" J+ ]说明：SSL（Secure Sockets layer）
$ e& b3 R( r8 B" R# U2 I端口：666
' w! f. _7 x) B- G7 @服务：Doom Id Software
! P: G; F: H) [. _+ _) X1 ?3 o6 n" Q4 a/ ?说明：木马Attack FTP、Satanz Backdoor开放此端口
端口：993
服务：IMAP
* _% z/ b8 ^6 @/ `说明：SSL（Secure Sockets layer）
端口：1001、1011
1 @* ^: j. k" L1 G7 b. z服务：[NULL]
说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口：1024
服务：Reserved
* m& S* I1 y8 i# c' S$ q说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求
5 ?6 L5 V+ f) P6 @! |3 t系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第
6 ~; ^: m9 L0 {# }& M- f+ P一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打
: x/ w8 a7 O; B开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session
! {8 Y! @% K) o也用此端口和5000端口。
. S/ l. B9 j8 x+ V) h+ G" N2 Q& {端口：1025、1033
4 O7 b9 P* @# ^服务：1025：network blackjack 1033：[NULL]
' k# J% a# D6 _) E3 M; G说明：木马netspy开放这2个端口。
# O/ C+ D0 \+ V- A3 `端口：1080
服务：SOCKS
+ z/ E' e8 z4 j; j& o6 O) J% _3 ?说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访
问INTERNET。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误
的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误
/ F) J. ?: X# z3 K$ R，在加入IRC聊天室时常会看到这种情况。
端口：1170
; }2 Z& ?9 _2 }; b. z服务：[NULL]
说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口
。
! w9 v! Q: K% N8 I端口：1234、1243、6711、6776
服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马
SubSeven1.0/1.9开放1243、6711、6776端口。
端口：1245
服务：[NULL]
说明：木马Vodoo开放此端口。
# q- |' i5 E) m7 _9 Z  X, R端口：1433
服务：SQL
说明：Microsoft的SQL服务开放的端口。
端口：1492
服务：stone-design-1
说明：木马FTP99CMP开放此端口。
, z3 Y! A7 ^$ y端口：1500
服务：RPC client fixed port session queries
3 j6 i/ g8 R2 m$ i9 |说明：RPC客户固定端口会话查询
% b9 i$ W6 L. m9 _2 X8 V% M% w9 d, G端口：1503
服务：NetMeeting T.120
- |. F. f9 K! g2 R说明：NetMeeting T.120
端口：1524
) {2 s( t! k+ g6 I( I服务：ingress
说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中
Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接
企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看
它是否会给你一个SHELL。连接到 600/pcserver也存在这个问题。
* {6 {# M( n7 m! d. H端口：1600
7 Z* V- F! q: D) K服务：issd
说明：木马Shivka-Burka开放此端口。
, A, A5 h: o# A$ I端口：1720
2 S. ~  F# J5 Q  f7 i- d0 x, |* X% V服务：NetMeeting
说明：NetMeeting H.233 call Setup。
9 D. `) l% O2 s' {端口：1731
( O9 M3 _1 L) X9 h' `( v6 n6 C服务：NetMeeting Audio Call Control
& n) E- k, c7 ]$ A# r( s, v说明：NetMeeting音频调用控制。
端口：1807
服务：[NULL]
4 U2 ]7 o7 i4 r5 l0 Y$ p4 I说明：木马SpySender开放此端口。
4 Q5 L2 o8 s. G& i/ @+ {0 r端口：1981
- n# [/ e* T& M. A) y" C  U4 p服务：[NULL]
说明：木马ShockRave开放此端口。
端口：1999
. X8 n/ U, C! @6 v服务：cisco identification port
5 V% e9 n  l9 ]. O) c+ }7 r9 q' D说明：木马BackDoor开放此端口。
端口：2000
# ]5 N4 w2 R( S, n服务：[NULL]
7 }% b4 C- w' s$ |说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。
4 E+ k9 [: {, g端口：2001
3 b2 L9 _* v) X6 Y9 }- t5 U服务：[NULL]
说明：木马Millenium 1.0、Trojan Cow开放此端口。
端口：2023
服务：xinuexpansion 4
( J! a; l$ I: b6 Q2 ?说明：木马Pass Ripper开放此端口。
" Q1 P$ H' Z; s! j: _9 C端口：2049
服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于
哪个端口。
$ U/ Q- V9 i/ m7 o( e端口：2115
+ f4 k7 O' T9 Z5 H) n服务：[NULL]
/ x% m) A* g/ @说明：木马Bugs开放此端口。
端口：2140、3150
: _# N+ _/ t* L# n9 ]$ @" h服务：[NULL]
说明：木马Deep Throat 1.0/3.0开放此端口。
' ~$ j6 G, P3 o) E# o/ `* f端口：2500
服务：RPC client using a fixed port session replication
; L' S* I( o8 n* U0 K7 Y, G" E- G说明：应用固定端口会话复制的RPC客户
端口：2583
服务：[NULL]
. w& J! f8 M9 T2 N! e: P9 R  }说明：木马Wincrash 2.0开放此端口。
* q; q6 L- Q/ T+ E3 X( x端口：2801
# [# S2 L# |/ \( z服务：[NULL]
, I1 I  k/ d8 ]3 X& m6 q; ~说明：木马Phineas Phucker开放此端口。
端口：3024、4092
% ~# p' m% y5 X/ ]服务：[NULL]
说明：木马WinCrash开放此端口。
端口：3128
服务：squid
8 u& r5 b: e: S说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000
、 8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他
用户也会检验这个端口以确定用户的机器是否支持代理。
端口：3129
* ~5 J0 u1 _/ J( H$ m服务：[NULL]
说明：木马Master Paradise开放此端口。
端口：3150
服务：[NULL]
5 N+ ?- U- Q( X说明：木马The Invasor开放此端口。
端口：3210、4321
服务：[NULL]
3 u) t$ T0 N% w/ ~9 L) h- x说明：木马SchoolBus开放此端口
3 E+ h6 i  c% o7 a% C  N$ {端口：3333
% }# C1 n7 k3 U% K& R0 u, y服务：dec-notes
6 J- O' g6 ^4 Z" T3 k" D" z/ \! A说明：木马Prosiak开放此端口
端口：3389
服务：超级终端
1 \1 w7 x! [- V! L说明：WINDOWS 2000终端开放此端口。
端口：3700
服务：[NULL]
- j8 x7 i/ X9 H% D+ z说明：木马Portal of Doom开放此端口
端口：3996、4060
服务：[NULL]
! n" V8 j; i5 |$ A5 I2 q: m+ `说明：木马RemoteAnything开放此端口
1 x+ a' N+ R- V5 P( Z6 R- g端口：4000
' J# g5 w3 o) o: ?. l/ X8 I服务：QQ客户端
1 J1 J' T8 w9 D2 c& B. Y6 \% i1 v4 y说明：腾讯QQ客户端开放此端口。
+ Y4 |9 S) T$ H7 x+ t) `' s- A3 Q端口：4092
' A5 h: P7 P1 `$ U! a服务：[NULL]
说明：木马WinCrash开放此端口。
端口：4590
2 s( W8 f. J, I1 I服务：[NULL]
说明：木马ICQTrojan开放此端口。
端口：5000、5001、5321、50505 服务：[NULL]
9 T0 n2 j) c% K# F% g% w6 D说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321
、50505端口。
" C$ m& J7 Y) T# A: E- y9 ?端口：5400、5401、5402
服务：[NULL]
5 a! @, E( g- f' L1 y+ r说明：木马Blade Runner开放此端口。
端口：5550
服务：[NULL]
9 e+ J' Y/ g# i* U9 e说明：木马xtcp开放此端口。
2 C9 c0 K; ~0 a' y. ^7 t: R5 d7 Y端口：5569
服务：[NULL]
说明：木马Robo-Hack开放此端口。
8 [) P. Y" ]2 L( {/ k端口：5632

阿夫

服务：pcAnywere
说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开
pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指
agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看

阿夫

所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口 22的UDP数据包。
端口：5742
服务：[NULL]
) c! Z6 D' R& Y! I: ^; n6 H, y说明：木马WinCrash1.03开放此端口。
1 L, v8 P" V7 t; i端口：6267
- k. f: w3 B9 e" a- w; [服务：[NULL]
说明：木马广外女生开放此端口。
端口：6400
, h- F! I; r0 ^  O服务：[NULL]
说明：木马The tHing开放此端口。
端口：6670、6671
* [0 @  S# V/ r- _! ~! D& X服务：[NULL]
) ~) _* B' q+ k# P/ {说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
: c/ J( j9 c1 J! q+ V* |  w0 `' A  B端口：6883
服务：[NULL]
说明：木马DeltaSource开放此端口。
端口：6969
服务：[NULL]
说明：木马Gatecrasher、Priority开放此端口。
0 P( h. g% p  l6 c3 v端口：6970
服务：RealAudio
6 ^& q6 I& h5 Q5 A: o说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由
TCP-7070端口外向控制连接设置的。
端口：7000
服务：[NULL]
# _% M; U6 \0 S" V/ w说明：木马Remote Grab开放此端口。
: G7 \" ?. P2 _& j( n端口：7300、7301、7306、7307、7308
; ]8 q$ y* \2 \" T( f服务：[NULL]
2 j2 o3 \5 `' r0 k" ]! Z) t说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口：7323
4 S. B" \5 G1 y/ {' T. z+ ~服务：[NULL]
& I7 R- s. r' p; n% m说明：Sygate服务器端。
0 K( A# K/ |* k: t端口：7626
; q9 }% r7 Q' o( W, z服务：[NULL]
说明：木马Giscier开放此端口。
端口：7789
服务：[NULL]
说明：木马ICKiller开放此端口。
* t9 u3 ~6 v1 M( J端口：8000
$ ]1 f" j1 z- z9 }$ F0 _服务：OICQ
说明：腾讯QQ服务器端开放此端口。 '
- [# X2 w. O" M0 u5 u: Q9 \端口：8010
服务：Wingate
1 ~; `0 j! v4 d说明：Wingate代理开放此端口。
: j7 B7 z8 v/ b, ~% ~% ~端口：8080
6 {; r2 d8 ?" q2 ~+ h0 l. l' c服务：代理端口
说明：WWW代理开放此端口。
端口：9400、9401、9402
服务：[NULL]
说明：木马Incommand 1.0开放此端口。
4 N9 v2 x* t! H! U端口：9872、9873、9874、9875、10067、10167
/ E: K9 S% L, h. z7 `8 q' H服务：[NULL]
% b7 G) J) Q7 {$ f5 U( x- M# I说明：木马Portal of Doom开放此端口
# l) A2 D: U" b端口：9989
' m" i( F- `! w服务：[NULL]
% q) w( c% Q* }7 X+ R9 ^说明：木马iNi-Killer开放此端口。
* R5 z, K" T! S' s  w  w端口：11000
服务：[NULL]
) j8 T  O& J% {1 T说明：木马SennaSpy开放此端口。
端口：11223
服务：[NULL]
3 _% X- M# t% F$ _# y1 ?说明：木马Progenic trojan开放此端口。
. v) Y$ \4 y; L. `. L1 j端口：12076、61466
服务：[NULL]
" t$ ?1 H: D9 L* n( S- M1 x  L% `! K说明：木马Telecommando开放此端口。
端口：12223
# Q' [! r$ k6 [) q" i& j服务：[NULL]
! R. S, C7 I' A: o说明：木马Hack'99 KeyLogger开放此端口。
端口：12345、12346
服务：[NULL]
. C/ L0 |4 q& S! X; ~1 a! _说明：木马NetBus1.60/1.70、GabanBus开放此端口。
端口：12361
3 Y" _: f) \, Y  s- O! {+ x服务：[NULL]
  h  f# r& i' [/ E说明：木马Whack-a-mole开放此端口。
2 `: L0 A9 ^) c" G6 h5 B. b端口：13223
服务：PowWow
/ m+ k4 h! \. f; f7 t说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的
连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。
造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP
地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作
7 g& E5 Q# w7 Q! i8 z为其连接请求的前4个字节。
端口：16969
服务：[NULL]
5 r( G% L0 l8 k! L! ]说明：木马Priority开放此端口。
端口：17027
服务：Conducent
. A8 i& Y. `! }1 e# l. m. s$ x说明：这是一个外向连接。这是由于公司内部有人安装了带有
* [5 Z. }# {* p. H5 v& r; XConducent"adbot"的共享软件。 Conducent"adbot"是为共
享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
5 d) ]0 p- P0 _端口：19191
服务：[NULL]
1 B1 ^$ K2 n3 p3 H2 s. ^说明：木马蓝色火焰开放此端口。
' L2 Y4 A+ Y! `- v3 a6 B) c1 h8 n$ S端口：20000、20001
: a& L' N( M2 B" w8 Y2 z服务：[NULL]
说明：木马Millennium开放此端口。
$ z# \  W+ W7 m4 [5 L端口：20034
服务：[NULL]
+ B. R% f  ~; g" W% ]" Y说明：木马NetBus Pro开放此端口。
: `0 r3 A* Z% V" o5 w2 x9 O& n端口：21554
8 G3 a1 y$ t/ D9 y服务：[NULL]
说明：木马GirlFriend开放此端口。
/ o. C: |$ u$ E端口：22222
服务：[NULL]
5 {# g3 k8 v; P说明：木马Prosiak开放此端口。
端口：23456
服务：[NULL]
* ?# M$ Y& o% l说明：木马Evil FTP、Ugly FTP开放此端口。
端口：26274、47262
" u* v- D0 s2 u" L服务：[NULL]
说明：木马Delta开放此端口。
! ^" X% h* I5 c: N端口：27374
服务：[NULL]
说明：木马Subseven 2.1开放此端口。
端口：30100
: Y" e# W1 z  j+ e+ Z服务：[NULL]
3 j: e: W) w7 X. g9 Y- q* {说明：木马NetSphere开放此端口。
端口：30303
服务：[NULL]
/ o% H& e0 ]/ ^+ _: M) B说明：木马Socket23开放此端口。
7 P1 _+ F: Q5 O7 k- F/ H6 S9 i端口：30999
' N, k2 b3 y# Q1 P服务：[NULL]
说明：木马Kuang开放此端口。
: L8 U9 H) u$ C  J9 L$ I8 L端口：31337、31338
; o+ W2 e8 ]: N6 N0 l+ {服务：[NULL]
. P$ k. q; d* [4 }/ g说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
端口：31339
1 K0 D8 h! \4 E9 R5 \+ P3 k9 r$ B服务：[NULL]
说明：木马NetSpy DK开放此端口。
1 X0 Y6 R; H3 e+ Y" p( D5 ^4 d6 B端口：31666
5 r4 C3 Z: D3 h7 W服务：[NULL]
4 V3 u2 f2 w% v9 M  ?2 ]说明：木马BOWhack开放此端口。
端口：33333
3 z+ ]9 k) a6 T) r2 h% j5 }服务：[NULL]
说明：木马Prosiak开放此端口。
端口：34324
) M/ H; ^# i& P# h6 n服务：[NULL]
8 L8 ~* \- N+ n% s说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。
# ~- U# O( `+ @4 F1 {, G端口：40412
% I9 T$ K* S2 ]' z0 s* u" p服务：[NULL]
9 F9 w* B# x9 A) s说明：木马The Spy开放此端口。
) A- G; b9 [7 W  m5 r( j端口：40421、40422、40423、40426、
* x$ N/ `* j4 F* l2 s服务：[NULL]
说明：木马Masters Paradise开放此端口。
端口：43210、54321
* D" L/ g- N1 g$ g0 ?5 J2 w服务：[NULL]
, Z; [- ?; V: D说明：木马SchoolBus 1.0/2.0开放此端口。
端口：44445
服务：[NULL]
说明：木马Happypig开放此端口。
2 t8 S! J. y8 h2 _) h* H: b端口：50766
3 X2 C1 X' k- J5 h6 F% H服务：[NULL]
说明：木马Fore开放此端口。
端口：53001
. x5 n) \7 z3 T! H服务：[NULL]
9 _6 {( ?: d( W* D+ T说明：木马Remote Windows Shutdown开放此端口。
0 ]7 `% z3 @* \) N9 H9 R2 ?. X端口：65000
$ O* k7 Q: O7 q0 h3 Z$ D. G服务：[NULL]
5 T- j  E2 g; A) X说明：木马Devil 1.03开放此端口。
) ]5 [- }* j  F$ m, x0 f端口：88
+ g$ S8 a9 q/ A$ x* D说明：Kerberos krb5。另外TCP的88端口也是这个用途。
端口：137
说明：SQL Named Pipes encryption over other protocols name lookup(其他
协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other
protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT
7 ~% @5 z' F/ }/ ]: o# e5 Mname service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
端口：161
3 r( u% L6 j4 D说明：Simple Network Management Protocol(SMTP)（简单网络管理协议）
端口：162
! g" q) |+ @1 C& r说明：SNMP Trap（SNMP陷阱）
( ~& `1 h+ R! |8 I9 Y( k: |& D' g# [端口：445
说明：Common Internet File System(CIFS)（公共Internet文件系统）
3 R; H2 N2 G$ `& _端口：464
& {( @& e! u/ g, p说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。
1 e7 @' x8 c1 h/ _8 J* d( E7 s3 f0 v端口：500
说明：Internet Key Exchange(IKE)（Internet密钥交换）
' L# t9 G% _/ L- j: J端口：1645、1812
. G6 G- `% n5 v/ c4 q说明：Remot Authentication Dial-In User Service(RADIUS)authentication
(Routing and Remote Access)(远程认证拨号用户服务)
端口：1646、1813
! t" R5 R+ v8 c* z6 T* q7 {( b说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远
程访问）)
端口：1701
& s& i: N, p1 k) F" u: S8 u说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
- G) o* n: T4 S9 [# {  B" C, ^1 r端口：1801、3527
说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP
的135、1801、2101、2103、2105也是同样的用途。
. S. {! D! I0 X' _端口：2504
. l: G" S# n+ S9 u5 f, |) }5 s说明：Network Load Balancing(网络平衡负荷)

的符合法规

在此谢谢。。。。。。