如何才能知道自己的電腦是否被別人侵入過？ 
 作者:最佳答案　 來源:本站　　時間:2006-6-10    
 
  1.把不必要的服務全關了.如NetMeeting Remote Desktop Sharing，Remote Desktop Help Session Manager，Remote Registry，Routing and Remote Access，SSDP Discovery Service，telnet，Universal Plug and Play Device Host。打開“控制面板”→“管理工具”→“服務”，可以看到有關這些服務的說明和運行狀態。要關閉一個服務，只需右鍵點擊服務名稱并選擇“屬性”菜單，在“常規”選項卡中把“啟動類型”改成“手動”，再點擊“停止”按鈕。 
2.關閉不需要的端口.以135端口為例.如果我們手頭暫時沒有防火墻工具的話，那么可以利用Windows服務器自身的IP安全策略功能，來自定義一個攔截135端口的安全策略。下面就是具體的自定義步驟： 

首先打開本地安全設置窗口，用鼠標右鍵單擊“IP安全策略，在本地機器”選項，執行快捷菜單中的“管理IP篩選器表和篩選器操作”命令，在隨后的“管理IP篩選器表”標簽頁面中，單擊“添加”按鈕，然后將新建的IP篩選器名稱設置為“攔截135端口”，繼續單擊“添加”按鈕，根據屏幕提示單擊“下一步”按鈕； 

在接下來的“IP通信源”向導窗口中，將“源地址”設置為“任何IP地址”，再將“目標地址”選為“我的IP地址”，同時將IP協議類型設置為“TCP”；在隨后彈出的IP協議端口設置窗口中，選中“到此端口”選項，同時將“135”端口號正確輸入；最后單擊“完成”按鈕，這樣我們就能發現在IP篩選器列表中，包含有“攔截135端口”選項了。 

接著進入到“管理篩選器操作”標簽頁面，單擊“添加”按鈕，然后根據屏幕向導提示，輸入篩選器的具體操作名稱，例如這里的名稱可以設置為“拒絕135端口”，在隨后彈出的“篩選器操作常規選項”設置窗口中，選中“阻止”選項，再單擊“完成”按鈕； 

下面用鼠標右鍵單擊本地安全設置窗口中的“IP安全策略,在本地機器”選項，執行快捷菜單中的“創建IP安全策略”命令，并將IP安全策略的名稱設置為“禁用135端口”，在接著打開的“安全通信請求”向導窗口中，取消“激活默認響應規則”的選中狀態，再單擊“完成”按鈕； 

再將前面創建好的“禁用135端口”策略選中，然后單擊“添加”按鈕，在隨后出現的“隧道終結點”設置窗口中，選中“此規則不指定隧道”選項，在“網絡類型”設置窗口中，選中“所有網絡連接”，在“身份驗證方法”設置窗口中，選中“windows 2000默認值(Kerberos V5 協議)”選項，在“IP篩選器列表”設置窗口中，選中前面創建好的“攔截135端口”篩選器（如圖5所示），在“篩選器操作”設置窗口中，選中前面創建好的“拒絕135端口”選項，再單擊“完成”按鈕；到了這里“禁用135端口”的安全策略就自定義好了。 
3.防止別人用ips$和默認共享入侵.A、一種辦法是把ipc$和默認共享都刪除了。但重起后還會有。這就需要改注冊表。 
1，先把已有的刪除 
net share ipc$ /del 
net share admin$ /del 
net share c$ /del 
…………（有幾個刪幾個） 
2，禁止建立空連接 
首先運行regedit，找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous（DWORD）的鍵值改為：00000001。 
3，禁止自動打開默認共享 
對于server版，找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的鍵值改為:00000000。 
對于pro版，則是[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的鍵值改為:00000000。 
如果上面所說的主鍵不存在，就新建一個再改鍵值。 
B、另一種是關閉ipc$和默認共享依賴的服務（不推薦） 
net stop lanmanserver 
可能會有提示說，XXX服務也會關閉是否繼續。因為還有些次要的服務依賴于lanmanserver。一般情況按y繼續就可以了。 
C、最簡單的辦法是設置復雜密碼，防止通過ipc$窮舉密碼。但如果你有其他漏洞，ipc$將為進一步入侵提供方便。 
D、還有一個辦法就是裝防火墻，或者端口過濾。防火墻的方法就不說了，端口過濾看這里： 
過配置本地策略來禁止139/445端口的連接 
4.把xp的補丁全打. 
5.查賬戶.攻擊者非常喜歡使用克隆賬號的方法來控制你的計算機。他們采用的方法就是激活一個系統中的默認賬戶，但這個賬戶是不經常用的，然后使用工具把這個賬戶提升到管理員權限，從表面上看來這個賬戶還是和原來一樣，但是這個克隆的賬戶卻是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。為了避免這種情況，可以用很簡單的方法對賬戶進行檢測。 

首先在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用"net user+用戶名"查看這個用戶是屬于什么權限的，一般除了Administrator是administrators組的，其他都不是!如果你發現一個系統內置的用戶是屬于administrators組的，那幾乎肯定你被入侵了，而且別人在你的計算機上克隆了賬戶。快使用"net user用戶名/del"來刪掉這個用戶吧！ 
這是防御的方法．一般被入侵時你電腦運行會變慢，硬盤．單擊“開始→運行”命令，在彈出的系統運行框中，運行“cmd”命令；再在DOS命令行中輸入netstat -an查看你打開的端口，如果不是常見的很可能是木馬．一般有經驗的你的日志會修改的