TCPView网络状态监视工具

TCPView是一款由微软Sysinternals开发的免费、实用的网络连接监控工具。它以直观清晰的界面，实时展示了系统中TCP和UDP连接的详细信息，可以有效的帮助我们深入了解计算机的网络活动。TCPView功能强大，操作简便，可查看端口和线程，并可帮助用户预防黑客的入侵（原理：只要有黑客进入你的电脑，就有新的线程，而恰好TCPView中文版即可监控此类端口和线程，用户完全可依靠它来防止或阻止黑客对本机的入侵。）。注：在安装包内双击“Tcpview_CHS.exe”即为中文版

TCPView中文版特点

1、绿色免安装，该软件是绿色软件不需要安装，下载完直接双击即可运行

2、无任何广告，用户可真正享受到绿色化的界面操作

3、功能强大，有了它用户即可了解自己的电脑是否被黑客入侵

4、查看到的端口和线程可以颜色来区别其行为，包括红色代表该进程被删除、绿色代表刚创建的新进程、黄色代表当进程从一种状态转变成另一种状态

TCPView优势

1.显示连接状态：包括已建立、监听、等待等多种状态。
2.查看本地和远程IP及端口：准确获取连接双方的网络地址和端口信息。
3.识别进程路径：了解发起连接的进程所在的具体路径。
4.监控新建和关闭的连接：及时察觉网络活动的变化。
5.刷新频率可调节：根据需求设置数据更新的速度。
6.导出连接数据：方便进行进一步的分析和记录。
7.支持多操作系统：适用于Windows多个版本。
8.占用系统资源少：在运行过程中对计算机性能影响极小。
9.简单易用的界面：无需复杂的操作即可获取关键信息。
10.提供进程树视图：直观展示进程之间的关系。

TCPView中文版使用教程

一、TCPView的使用非常简单，由于是绿色软件，所以不需要安装，下载完直接双击“Tcpview_CHS.exe”即可运行

二、主界面中显示了当前计算机打开的端口和线程，非常直观，一眼就能看出某个端口是什么程序打开的，并会时不时的会用红、黄、绿三种颜色标注某些进程:

★红色代表该进程被删除

★绿色代表刚创建的新进程

★黄色代表当进程从一种状态转变成另一种状态

三、对于那些系统本身打开的端口，由于一般用户并不太熟悉，可以通过检查线程的属性来判断,具体操作:

1.右键点击这些线程，在弹出的菜单中选择“process properties(进程属性)”

2.其中的“路径”项就是这个端口的所对应的程序在硬盘上的路径，通常系统文件都在C:\WINDOWS\system32目录下，如果出现和系统程序相似的名字，文件又不在系统目录，那么这些程序就有可能是假冒的系统程序，极有可能是木马

四、Windows下请运行Tcpview.exe，tcpvcon.exe为Tcpview.exe的命令行版本

【Tcpview.exe使用方法】

tcpvcon[-a][-c][-n][进程名称或PID] -a

显示所有端点（默认为显示已确定的TCP连接） -c

打印输出为CSV对照文本 -n

不解析地址

如何防止被黑客攻击？

一、服务器只安装TCP/IP协议完全足够

1.鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。

2.其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。

3.选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS.

二、禁止恶意代码运行

1.一般恶意网页是因为加入了用编写的恶意代码才有破坏力，这些恶意代码就相当于一些小程序，只要打开该网页就会被运行

2.运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击

三、关闭所有共享

1.取消文件夹隐藏共享

右键单击C盘或者其它盘选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢?

原来，在默认状态下，硬盘上的每个分区名后面都加了一个“$”。入侵者要键入“计算机名或者IPC$”，系统就会询问用户名和密码，可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患

怎么来消除默认共享呢？

方法很简单，打开注册表编辑器，进入HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Sevices\ Lanmanworkstation\ parameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。首先，把“文件和打印共享”关闭，然后打开注册表编辑器，选择“HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ NetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了

四、禁用Guest账号

1.有很多入侵都是通过这个账号进一步获得管理员密码或者权限的，如果不想把自己的计算机给别人当玩具，那还是禁止的好

2.打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全

五、关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序(比如Netwatch)，该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭

六、安装必要的安全软件

杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。一般最常见的杀毒软件有360、电脑管家、瑞星等

如何关闭不必要的端口？

1、关闭tcp/udp7、tcp/udp9、tcp/udp13、tcp/udp17、tcp/udp19端口

只需要打开“控制面板”->“管理工具”->“服务”，停止Simple TCP/IP Service(前提是您必须安装了此服务)。它们所支持的 TCP/IP 服务分别是：ECHO、 Discard、DAYTIME、Quote of the Day, 以及 Character

2、关闭TCP80口(HTTP服务)

只需在“控制面板”->“管理工具”->“服务” 停止WEB发布服务(“World Wide Web Publishing Service”)。或是通过 Internet 信息服务(IIS)的管理单元把’默认WEB站点’停止也可以关闭TCP80端口的服务

3、关掉TCP25端口(SMTP服务)

在“控制面板”->“管理工具”->“服务” 中停止”Simple Mail Transport Protocol (SMTP)”服务；或是在IIS中停止’默认SMTP虚拟服务器’也可以

4、关掉TCP21(FTP服务器)端口

在“控制面板”->“管理工具”->“服务” 中停止FTP Publishing Service;或在IIS中停止’默认FTP站点’

5、关掉TCP23(telnet server)端口

在“控制面板”->“管理工具”->“服务” 中停止’Telnet’服务。TCP139端口:NetBIOS Session端口，一个用作共享的端口。打开“网络和拨号连接”->“本地连接”右键属性-> “Internet协议(TCP/IP)”->“属性”->“高级…”->“WINS”->“禁用TCP/IP上的NETBIOS”，选择此项便能停止TCP139的监听。TCP445端口(Microsoft-DS)，除TCP139以外的另一个能用来作共享入侵的端口。关闭它的方法：

打开注册表[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NETBT\PARAMETERS]新建一DWORD键值，名为”SMBDeviceEnabled”，其值为0。

6、389端口的关闭

首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，建议关闭该服务。

★WindowsXP系统：在“我的电脑”上点右键，选“属性”–>“远程”，将里面的“远程协助”和“远程桌面”两个选项框里的勾去掉

★Windows2000 Server系统：点击“开始”–>“程序”–>“管理工具”–>“服务”里找到“Terminal Services”服务项，选中“属性”选项将启动类型改成“手动”，并停止该服务。（该方法在XP同样适用，XP用户可参照这个方法设置。）

★Windows2000 Pro

点击“开始菜单”–>“运行”，输入“regedit”，打开注册表，进入以下路径：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如6111。

再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp]，将PortNumber的值（默认是3389）修改成端口6111。如果[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations]分支里还其他类似的子键,一样的改它的值。

修改完毕，重新启动电脑，以后远程登录的时候使用端口6111就可以了

TCPView中文版功能

1、过程

运作程序的名字，在这样一个栏位下同一个程序并不能只有一个，例如用IE开启好几个网页页面，就会存在多个互联网连接，所以无需因为看到太好几个相同的程序执行就感觉有什么问题，这只意味着该程序有好几个连接过程。

2、PID

每一个程序执行，系统软件就会给它一个PID管理权限，与程序的权限有这方面。

3、协议

程序要与互联网联线，就必需应用通信协议，协议也是有分为TCP及UDP二种连接协议，如在网络防火墙后联网，就必须要知道由于该程序所运转的Protocol是啥，要不然即便是端口号恰当，都是无法对外开放开创建连线。此外TCP及UDP有65536个可以用连接端口号。

4、本地地址

该设备的IP地址，一般来说都是会显示的是该计算机的电脑名称或者IP地址。

5、当地端口号：该设备的联线端口号。

6、远程控制详细地址：远侧提供服务的连接部位，一般是显示该程序所连接的网站地址或者IP地