如何利用网站IIS日志分析追查网站攻击者-马海祥博客
新型SEO思维就是从一个全新的层次上提升seo优化的水平，达到网络信息最佳化的展示效果！
> 如何利用网站IIS日志分析追查网站攻击者
如何利用网站IIS日志分析追查网站攻击者
时间：&&&文章来源：马海祥博客&&&访问次数：
网站日志作为服务器重要的组成部分，详细的记录了服务器运行期间客户端对WEB应用的访问请求和服务器的运行状态，同样，攻击者对网站的入侵行为也会被记录到WEB日志中，因此，在网站日常运营和安全应急响应过程中，我们可以通过分析WEB日志并结合其他一些情况来跟踪攻击者，还原攻击过程。
本文主要讲述了网站日志安全分析时的思路和常用的一些技巧，并通过两个完整的实例讲述了在发生安全事件后，如何通过分析网站日志并结合其他一些线索来对攻击者进行追查。
一、WEB日志结构
在对WEB日志进行安全分析之前，我们需要先了解下WEB日志的结构，从目前主流WEB服务器支持的日志类型来看，常见的有两类：
1、Apache采用的NCSA日志格式。
2、IIS采用的W3C日志格式。
其中NCSA日志格式又分为NCSA普通日志格式（CLF）和NCSA扩展日志格式（ECLF）两类，具体使用那一种可以在WEB服务器配置文件中定义，Apache也支持自定义日志格式，用户可以在配置文件中自定义日志格式，如在Apache中可以通过修改httpd.conf配置文件来实现。
接着我们来看一条Apache的访问日志：
192.168.1.66 - - [06/Sep/:05 +0800] &GET /index.html HTTP/1.1& 404 287 &-& &Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/ Firefox/15.0&
下面是具体的解释：
192.168.1.66：表示客户端IP地址
[06/Sep/:05 +0800]：访问时间及服务器所在时区
GET：数据包提交方式为GET方式。常见的有GET和POST两种类型。
/index.html：客户端访问的URL
HTTP/1.1：协议版本信息
404：WEB服务器响应的状态码。404表示服务器上无此文件；200表示响应正常；500表示服务器错误。
287：此次访问传输的字节数
Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/ Firefox/15.0：客户端浏览器和系统环境等信息。
IIS访问日志格式及保存路径可以在IIS管理器中配置，如下图：
下面是IIS的W3C扩展日志格式：
值得注意的是IIS的W3C日志格式中的访问时间采用的是格林威治时间，和我们的北京时间差8个小时，而且没有办法修改（具体可查看马海祥博客《》的相关介绍）。
二、WEB日志安全分析原理
通过上面的知识，我们知道WEB日志会记录客户端对WEB应用的访问请求，这其中包括正常用户的访问请求和攻击者的恶意行为，那么我们如何区分正常用户和恶意攻击者呢？通过大量的分析，我们发现攻击者在对网站入侵时，向网站发起的请求中会带有特定的攻击特征，如利用WEB扫描器在对网站进行漏洞扫描时往往会产生大量的404错误日志。
当有人对网站进行SQL注入漏洞探测时，WEB访问日志中通常会出现如下日志：
因此，我们可以通过分析WEB日志中是否存在特定的攻击特征来区分攻击者和正常用户的访问行为。
但是，WEB访问日志并不是万能的，有些攻击行为并不会被记录到WEB访问日志中，比如POST型SQL注入就不会记录在WEB访问日志中，这时我们就需要通过其他手段来监测这种攻击行为（具体可查看马海祥博客《》的相关介绍）。
三、WEB日志安全分析思路
在对WEB日志进行安全分析时，可以按照下面两种思路展开，逐步深入，还原整个攻击过程。
1、首先确定受到攻击、入侵的时间范围，以此为线索，查找这个时间范围内可疑的日志，进一步排查，最终确定攻击者，还原攻击过程。
2、一般攻击者在入侵网站后，通常会上传一个后门文件，以方便自己以后访问，我们也可以以该文件为线索来展开分析。
四、WEB日志安全分析技巧
WEB日志文件通常比较大，包含的信息也比较丰富，当我们对WEB日志进行安全分析时，我们通常只关注包含攻击特征的日志，其他的日志对于我们来说是无用的，这时我们可以通过手工或借助工具来将我们关注的日志内容提取出来单独分析，以提高效率。
在日志分析中经常用到的几个命令有&find&，&findstr&，&grep&，&egrep&等，关于这几个命令的用法请自行查找相关资料。
1、将数据提交方式为&GET&的日志提取出来
上面这条命令的意思是从iis.log这个文件中查找存在GET字符的日志内容，并将结果保存到iis_get.log中。
2、查找WEB日志中是否存在利用IIS写权限漏洞的攻击行为。
五、实例分析：如何通过分析WEB日志追踪攻击者
上面我们讲了一些关于在WEB日志安全分析过程中经常用到的技巧，现在我们通过一个实例来完整的了解下如何通过分析WEB日志追踪攻击者，还原攻击过程。
1、背景介绍
某日，公司网站服务器WEB目录下突然多了一个名为shell.php.jpg的文件，经过查看文件内容，发现该文件是一个网站后门文件，也就是常说的WebShell，于是怀疑网站被黑客入侵。
接下来网站管理员通过分析WEB日志，并结合其他一些情况，成功追踪到了攻击者，还原了整个攻击过程，在这个过程中还发现了网站存在的安全漏洞，事后及时修复了漏洞，并对网站进行了全面的安全检测，提高了网站的安全性。
2、分析思路
根据目前得到的信息分析，得知WEB目录下存在一个可疑的文件，我们就以该文件为线索，先来查找都有哪些IP访问了该文件，然后并一步排查这些IP都做了哪些操作，最终确认攻击者以及他运用的攻击手段。
3、分析过程
（1）、首先找到存在的网站后门文件，也就是上面提到的WebShell文件，发现该文件是在日被创建的。
（2）、我们先来查找下都有哪些IP访问了这个文件，可通过如下命令将相关日志内容提取出来。
（3）、通过上图我们可以确定目前只有192.168.1.2访问了该文件，这个IP非常可疑，下面我们来查找下该IP都做了哪些操作。
（4）、从上面的日志中我们可以看到这是典型的SQL注入，经过进一步分析，发现攻击者利用SQL注入获取到了网站后台管理员帐号和密码。
192.168.1.2 - - [07/Mar/:21 +0800] &GET /leave_show.php?id=40%20and%201=2%20union%20select%20unhex(hex(concat(0x5e5e5e,group_concat(id,0x5e,user,0x5e,pwd,0x5e,userclass,0x5e,loginip,0x5e,logintimes,0x5e,logintime),0x5e5e5e))),0,0,0,0,0,0,0,0%20from%20(select%20*%20from%20(select%20*%20from%20admin%20where%201=1%20order%20by%201%20limit%201,100)%20t%20order%20by%201%20desc)t%20-- HTTP/1.1& 200 18859 &-& &Mozilla/4.0 ( MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; .NET CLR 1.1.4322)&
（5）、接着攻击者利用获取到的帐号成功进入了网站后台，详见下面的日志：
192.168.1.2 - - [07/Mar/:26 +0800] &GET /mywebmanage/web_manage.php HTTP/1.1& 200 5172 &http://192.168.1.107/mywebmanage/& &Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/ Firefox/19.0&
192.168.1.2 - - [07/Mar/:44 +0800] &POST /mywebmanage/check.php HTTP/1.1& 200 47 &http://192.168.1.107/mywebmanage/web_manage.php& &Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/ Firefox/19.0&
192.168.1.2 - - [07/Mar/:45 +0800] &GET /mywebmanage/default.php HTTP/1.1& 200 2228 &http://192.168.1.107/mywebmanage/check.php& &Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/ Firefox/19.0&
（6）、然后攻击者访问了add_link.php这个页面，该页面是一个添加的页面：
通过分析网站源码，发现该页面上传图片处存在一个文件上传漏洞，攻击者正是利用这个漏洞上传了一个名为shell.php.jpg的后门文件，并且利用Apache的解析漏洞成功获取到一个WebShell。
192.168.1.2 - - [07/Mar/:40 +0800] &GET /mywebmanage/link/add_link.php HTTP/1.1& 200 3023 &http://192.168.1.107/mywebmanage/LeftTree.php& &Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/ Firefox/19.0&
192.168.1.2 - - [07/Mar/:50 +0800] &POST /mywebmanage/link/add_link_ok.php HTTP/1.1& 200 77 &http://192.168.1.107/mywebmanage/link/add_link.php& &Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/ Firefox/19.0&
192.168.1.2 - - [07/Mar/:48 +0800] &GET /link/shell.php.jpg HTTP/1.1& 200 359 &-& &Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/ Firefox/19.0&
192.168.1.2 - - [07/Mar/:54 +0800] &POST /link/shell.php.jpg HTTP/1.1& 200 132 &http://192.168.1.107/link/shell.php.jpg& &Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/ Firefox/19.0&
（7）、到这里，我们已经可以了解到攻击者的攻击过程了，具体如下：
首先对网站进行漏洞检测，发现存在SQL注入漏洞---&利用SQL注入漏洞获取到网站后台管理员帐号、密码及其他信息---&以管理员身份登录网站后台---&利用某页面存在的文件上传漏洞，成功上传一个名为shell.php.jpg的后门文件，并结合Apache的解析漏洞，成功获取到一个WebShell。
六、实例分析：利用IIS日志追查BBS网站入侵者
如果你是网管你会如何去追查问题的来源呢？程序问题就去查看&事件查看器&，如果是IIS问题当然是查看IIS日志了！
系统文件夹的system32低下的logfile有所有的IIS日志，用来记录服务器所有访问记录，因为是虚拟主机的用户，所以每个用户都配置独立的IIS日志目录，从里面的日志文件就可以发现入侵者入侵BBS的资料了，所以下载了有关时间段的所有日志下来进行分析，发现了很多我自己都不知道资料（具体可查看马海祥博客《》的相关介绍），这下子就知道入侵者是怎么入侵我的BBS了。
1、IIS日志的分析
从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了，而且不止一个入侵者这么简单，还很多啊，头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。
看上面的日志可以发现，入侵者61.145.***.***利用程序不断的在扫描后台的页面，似乎想利用后台登陆漏洞从而进入BBS的后台管理版面，很可惜这位入侵者好像真的没有什么思路，麻木的利用程序作为帮助去寻找后台，没有什么作用的入侵手法。
查看了第二天的日志，开始的时候还是普通的用户访问日志没有什么特别，到了中段的时候问题就找到了，找到了一个利用程序查找指定文件的IIS动作记录。
从上面的资料发现入侵者61.141.***.***也是利用程序去扫描指定的上传页面，从而确定入侵目标是否存在这些页面，然后进行上传漏洞的入侵，还有就是扫描利用动网默认数据库，一些比较常用的木马名称，看来这个入侵者还以为我的BBS是马坊啊，扫描这么多的木马文件能找着就是奇迹啊。
继续往下走终于被我发现了，入侵者61.141.***.***在黑了我网站首页之前的动作记录了，首先在Forum的文件夹目录建立了一个Myth.txt文件，然后在Forum的文件夹目录下再生成了一只木马Akk.asp
日志的记录下，看到了入侵者利用akk.asp木马的所有操作记录。
详细入侵分析如下：
GET /forum/akk.asp & 200&&
利用旁注网站的webshell在Forum文件夹下生成akk.asp后门
GET /forum/akk.asp d=ls.asp 200&&
入侵者登陆后门
GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200
进入test文件夹
GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200
利用后门在test文件夹修改1.asp的文件
GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200
进入lan文件夹
GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200
利用编辑命令修改lan文件夹内的首页文件
GET /forum/akk.asp d=ls.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
进入BBS文件夹（这下子真的进入BBS目录了）
POST /forum/akk.asp d=up.asp 200
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/myth.txt & 200
在forum的文件夹内上传myth.txt的文件
GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200
GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200
POST /forum/akk.asp d=up.asp 200
GET /forum/myth.txt & 200
利用后门修改Forum文件夹目录下的myth.txt文件。
之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立，利用akk.asp的后门修改了首页，又把首页备份，晕死啊，不明白这位入侵者是怎么一回事，整天换webshell进行利用，还真的摸不透啊。
2、分析日志总结
入侵者是利用工具踩点，首先确定BBS可能存在的漏洞页面，经过测试发现不可以入侵，然后转向服务器的入侵，利用旁注专用的程序或者是特定的程序进行网站入侵，拿到首要的webshell，再进行文件夹的访问从而入侵了我的BBS系统修改了首页，因为是基于我空间的IIS日志进行分析，所以不清楚入侵者是利用哪个网站哪个页面进行入侵的！
不过都已经完成的资料收集了，确定了入侵BBS的入侵者IP地址以及使用的木马，还留下了大量入侵记录，整个日志追踪过程就完毕了。
马海祥博客点评：
通过上面对WEB日志进行的安全分析，我们不仅追踪到了攻击者，也查出了网站存在的漏洞，下面就应该将攻击者上传的后门文件删除掉，并修复存在的安全漏洞，然后对网站进行全面的安全检测，并对WEB服务器进行安全加固，防止此类安全事件再次发生。
本文为原创文章，如想转载，请注明原文网址摘自于/seoyjy/1379.html，注明出处；否则，禁止转载；谢谢配合！
您可能还会对以下这些文章感兴趣！
最近百度跟360的搜索引擎之争，也使得更多人开始关注搜索引擎了，回想搜索引擎的快速发展也就是近15年发生……
网络实名制是个长期以来争议不断的话题。一方面，当人们面对越来越多的网上低俗与不良信息、黑客与木马、网……
清明节又叫踏青节，在仲春与暮春之交，也就是冬至后的第108天。是中国传统节日，也是最重要的祭祀节日之一……
由于此次整理的SEO作弊方法大全的内容比较多，也比较全面，导致……
很多做SEO的朋友都会问，是不是网站收录越多网站关键字排名越好……
相信做个seo的，或者自己已经是站长的，都或多或少的对自己负责……
最近，我明显发现访问马海祥seo博客的博友越来越多了，随之而来……
最近一直听到圈里的朋友抱怨说，自己辛辛苦苦写的文章，发表的前……
作为一名专业的SEO人员，我们很多的时候都在研究站点中有多少页……
本月热点文章10-2110-2110-2110-2110-2110-2110-2110-2110-2110-21最新范文01-0101-0101-0101-0101-0101-0101-0101-0101-0101-0101-0101-0101-0101-0101-01如何打造一个安全的WEB服务器
我的图书馆
如何打造一个安全的WEB服务器
一、Windows Server2003的安装
　　1、安装系统最少两需要个分区，分区格式都采用NTFS格式
　　2、在断开网络的情况安装好2003系统
　　3、安装IIS，仅安装必要的 IIS 组件（禁用不需要的如FTP 和 SMTP 服务）。默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：
　　Internet 信息服务管理器；
　　公用文件；
　　后台智能传输服务 (BITS) 服务器扩展；
　　万维网服务。
　　如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions
　　4、安装MSSQL及其它所需要的软件然后进行Update。
　　5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分析计算机的安全配置，并标识缺少的修补程序和更新。下载地址：见页末的链接
　　二、设置和管理账户
　　1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。
　　2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码
　　3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。
　　4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。
　　5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
　　6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。
　　7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。
三、网络服务安全管理
　　1、禁止C$、D$、ADMIN$一类的缺省共享
　　打开注册表，HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0
　　2、 解除NetBios与TCP/IP协议的绑定
　　右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
　　3、关闭不需要的服务，以下为建议选项
　　Computer Browser:维护网络计算机更新，禁用
　　Distributed File System: 局域网管理共享文件，不需要禁用
　　Distributed linktracking client：用于局域网更新连接信息，不需要禁用
　　Error reporting service：禁止发送错误报告
　　Microsoft Serch：提供快速的单词搜索，不需要可禁用
　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用
　　PrintSpooler：如果没有打印机可禁用
　　Remote Registry：禁止远程修改注册表
　　Remote Desktop Help Session Manager：禁止远程协助
　　四、打开相应的审核策略
　　在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。
　　推荐的要审核的项目是：
　　登录事件&&& 成功 失败
　　账户登录事件 成功 失败
　　系统事件&&& 成功 失败
　　策略更改&&& 成功 失败
　　对象访问&&& 失败
　　目录服务访问 失败
　　特权使用&&& 失败
五、其它安全相关设置
　　1、隐藏重要文件/目录
　　可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0
　　2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。
　　3、防止SYN洪水攻击
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
　　新建DWORD值，名为SynAttackProtect，值为2
　　4. 禁止响应ICMP路由通告报文
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces
　　新建DWORD值，名为PerformRouterDiscovery 值为0
　　5. 防止ICMP重定向报文的攻击
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
　　将EnableICMPRedirects 值设为0
　　6. 不支持IGMP协议
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
　　新建DWORD值，名为IGMPLevel 值为0
　　7、禁用DCOM：
　　运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。
　　清除“在这台计算机上启用分布式 COM”复选框。
　　注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
　　六、配置 IIS 服务：
　　1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。
　　2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。
　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
　　4、删除不必要的IIS扩展名映射。
　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm
　　5、更改IIS日志的路径
　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。
　　7、使用UrlScan
　　UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接
　　如果没有特殊的要求采用UrlScan默认配置就可以了。
　　但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%/System32/Inetsrv/URLscan
　　文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加DEBUG谓词，注意此节是区分大小写的。
　　如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
　　如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1
　　在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset
　　如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。
　　8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
　　下载地址：VB.NET爱好者
七、配置Sql服务器
　　1、System Administrators 角色最好不要超过两个
　　2、如果是在本机最好将身份验证配置为Win登陆
　　3、不要使用Sa账户，为其配置一个超级复杂的密码
　　4、删除以下的扩展存储过程格式为：　　use master 　　sp_dropextendedproc '扩展存储过程名'
　　xp_cmdshell：是进入操作系统的最佳捷径，删除
　　访问注册表的存储过程，删除　　Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues&&& 　　Xp_regread　　　　　 Xp_regwrite　　　& Xp_regremovemultistring&&&&&&&
　　OLE自动存储过程，不需要删除　　Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop
　　5、隐藏 SQL Server、更改默认的1433端口
　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。
　　八、如果只做服务器，不进行其它操作，使用IPSec
　　1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击
　　添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。
　　2、再在管理IP筛选器表选项下点击
　　添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
　　3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口
　　4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
　　5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定
　　6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.
　　九、建议
　　如果你按本文去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。
　　十、运行服务器记录当前的程序和开放的端口
　　1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。
　　2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。
防范ASP木马
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.FileSystemObject组件---对文件进行常规操作.WScript.Shell组件---可以调用系统内核运行DOS基本命令.Shell.Application组件--可以调用系统内核运行DOS基本命令.
一.使用FileSystemObject组件
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/改名为其它的名字，如：改为FileSystemObject_good自己以后调用的时候使用这个就可以正常调用此组件了.
2.也要将clsid值也改一下HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/项目的值可以将其删除，来防止此类木马的危害.
3.注销此组件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll 如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
cacls C:/WINNT/system32/scrrun.dll /e /d guests
二.使用WScript.Shell组件
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下HKEY_CLASSES_ROOT/WScript.Shell/CLSID/项目的值HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/项目的值
也可以将其删除，来防止此类木马的危害。
三.使用Shell.Application组件
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
HKEY_CLASSES_ROOT/Shell.Application/及HKEY_CLASSES_ROOT/Shell.Application.1/改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值
也可以将其删除，来防止此类木马的危害。
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
cacls C:/WINNT/system32/shell32.dll /e /d guests
四.调用cmd.exe
禁用Guests组用户调用cmd.exe命令:
cacls C:/WINNT/system32/Cmd.exe /e /d guests
五.其它危险组件处理:
Adodb.stream (classid:{0-AA006D2EA4})
WScript.Network(classid:093FF999-1EA0-14C3504B74)
WScript.Network.1 (classid:093FF999-1EA0-14C3504B74)
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
快速删除方法:
开始-------&运行---------&Regedit，打开注册表编辑器，按Ctrl+F查找，依次输入以上Wscript.Shell等组件名称以及相应的ClassID，然后进行删除或者更改名称.
防范数据库下载
方法一:修改数据库文件名和路径.
注意:同时要修改conn.asp的相应路径.
缺点: 如果有列网站目录权限,还可以找到数据库路径,然后下载下来研究的.
方法二:数据库名后缀改为ASA、ASP等
注意:也要在conn.asp中修改相应的数据库名.
方法三:数据库名前加“#”
注意:需要把数据库文件前名加上#、然后修改数据库连接文件（如conn.asp）中的数据库地.
缺点:如果知道了数据库的绝对地址,可以把# 改成%23 还是可以下载下来研究的.当然以上三种方法综合起来安全性相对更高一些.
方法四:数据库放在WEB目录外
操作:假如你的web目录是D:/web ,可以把数据库放到D:/data这个文
件夹里,然后在D:/web 里的数据库连接页面中修改数据库连接地址为："../data/数据库名" 的形式.这样数据库可以正常调用,但数据库无法下载.因为它不在WEB目录里
缺点:适合有服务器控制权的用户,不适合购买虚拟空间的用户.
方法五:添加数据库名的如MDB的扩展映射防下载(推荐)
我们在IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL(或EXE等)也不是任意的，选择不当，MDB文件还是可以被下载的,注意不要选择asp.dll等。你可以自己多测试下,然后下载一下试试,一直不能下载mdb为止.
注:至于选择的解析文件大家可以自已测试，只要访问数据库时出现无法找到该页就可以了.
优点:只要修改一处,整个站点的数据库都可以防止被下载。不用修改代码就算暴露目标数据库地址也可以防止下载。
缺点:这个方法就是通过修改IIS设置来实现，所以要有IIS控制权的朋友才行，不适合购买虚拟主机用户.
服务器防黑安全设置
爱国者安全网专业的黑客安全技术培训基地多抽出一分钟时间学习.让你的生命更加精彩.动画教程只是起到技术交流作用.请大家不用利用此方法对国内的网络做破坏.国人应该团结起来一致对外才是我们的责任.由此动画造成的任何后果和本站无关.-------------------------------------------------------------------------
动画名称：服务器防黑安全设置
主题：服务器防黑安全设置
测试环境：Windows 2003 系统
为了给大家成功演示这个服务器防黑安全设置教程，是由顶邦互联公司提供的一台刚装好系统的新服务器；今天是日，在这里华夏黑客联盟提前祝愿大家2008年新年快乐！
前言：使用NTFS格式分区
把硬盘的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。C盘转换为NTFS格式@ ECHO OFF@ ECHO.@ ECHO.&&&&&&&&&&&&&&&&&&&&&&&&& 说& 明@ ECHO ---------------------------------------------------------------@ ECHO NTFS格式是WinXP推荐使用的格式。转换为NTFS格式能提高硬盘存储的@ ECHO 效率，并可设置访问权限以保护文件。但NTFS格式的分区在DOS/WIN9X@ ECHO 下均不能被识别，可能会给初级用户造成不便。如无必要请不要转换。@ ECHO ---------------------------------------------------------------@ ECHO.pauseconvert c:/fs:ntfs新建一个记事本然后复制上面的命令并粘贴到记事本里去
然后重命名为*.bat即可，运行批处理，重启电脑后生效，重启后电脑就会变成NTFS格式。通过以上的批处理，就可以把你的系统转换成NTFS格式。这里我就不多说了NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。
关于系统安全，我这里先给大家讲解计算机端口的安全
为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 、6129 端口），以及远程服务访问端口3389。
教程不做语音了，大家认真看我的操作吧
首先要看看你的电脑打开135，139，445的端口没有，运行--CMD--输入netstat -an就可以看到。
开始菜单，运行，输入cmd，然后再输入netstat -an这样可以查看本机所有开放的端口以后监听的Ip等信息。
1、netstat 的一些常用选项
??·netstat –s ??本选项能够按照各个协议分别显示其统计数据。如果我们的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么我们就可以用本选项来查看一下所显示的信息。我们需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。
??·netstat –e ??本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量）。
??·netstat –r ??本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外，还显示当前有效的连接。
??·netstat –a ??本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接。
??·netstat –n ??显示所有已建立的有效连接。
135端口的打开方法：启动“Distributed Transaction Coordinator”服务，运行dcomcnfg，展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，打勾“启用分布式COM”；然后切换到“默认协议”，添加“面向连接的TCP/IP”。
139端口的打开方法：网上邻居--属性--本地连接--属性--Internet协议（TCP/IP）--高级--WINS；如果你填写了本地连接的IP，你就启动TCP/IP上的NetBIOS。如果你没有填写本地连接的IP，在NETBIOS设置里面选默认。
445端口的打开方法：开始-运行输入regedit.确定后定位到 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters删除“SMBDeviceEnabled”的DWORD值。
下面说一下常见的漏洞的端口如何关闭：
1.关闭139端口:右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。
2.右击-网上邻居-属性/本地连接-属性，在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。
3.关闭445端口:打开注册表编辑器,在[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters]下增加一个dword键项,命名为"SmbDeviceEnabled"(不包含引号),将值设为0。 重启电脑之后，445就关闭了。
4。关闭3389端口:右击我的电脑，点属性--远程，把允许从这台计算机发送远程协助邀请前的勾去掉。
5。关闭135端口:如何关闭135端口Windows XP系统 运行dcomcnfg，展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”；然后切换到“默认协议”，删除“面向连接的TCP/IP”。
以上选项有对应的注册表键值，因此也可通过注册表来修改： HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole/EnableDCOM的值改为“N” HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Rpc/DCOM Protocols 中删除“ncacn_ip_tcp” 此外，还需要停用“Distributed Transaction Coordinator”服务。
重启之后， 135端口就没有了。
大多数的系统重装后，都会开放135、445、139等
第一：安装补丁服务器安装好操作系统之后，最好能在托管之前就完成补丁的安装，系统补丁打好，虽然不升级漏洞不一定会被别人利用，但升级一下总有好处。
第二：杀毒软件要装好不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。免杀的马当然可以过杀毒软件，所以说杀毒软件也不是万能的。
第三：注意你所使用的程序要注意升级
打上网上一些服务器安全补丁，关闭一些有害端口，修改一些有用端口，还要装上一些辅助防毒软件。这里我推荐使用几个工具：
　　1、关闭一些经常被黑客利用入侵的端口;
　　2、3389默认端口修改，把远程桌面改一个不常用的靠后的端口，别人就是扫描也要一段时间;
　　3、在局域网中隐藏计算机，还有一些东西你自己看着用;　　4、360安全卫士，保护全部打开，还要注意设好arp防火墙，要手动设置网关mac和ip,如果真的有不懂的人，cmd下arp -a，你就可以查到网关。这个东西对arp挂马有很好好的效果;
现在讲讲基于Windows的tcp/ip的过滤。
控制面板——网络和拨号连接——本地连接——INTERNET协议（tcp/ip)--属性－－高级－－－选项－tcp/ip筛选－－属性!!
然后添加需要的tcp 和UDP端口就可以了～如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。
只添加80，21，3389
修改之后，重启生效。＝＝服务器正在重启。。。虽然在命令下查看到有些端口仍然开放着，但是刚才的设置已经生效了，你不相信的话，可以用扫描工具扫描一下如果怀疑安全性，不防可以先手动关掉这些危险的端口，前面已经有文字说明了，大家可以按照前面说的做这里节约时间就不多说了
　权限设置
　　磁盘权限
　　系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘/Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘/Documents and Settings/All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限 接着刚才做，刚才我的网络有问题，不好意思。
　　系统盘/Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘/Windows/System32/cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
禁用不必要的服务
　　开始菜单—&管理工具—&服务
　　Print Spooler
　　Remote Registry
　　TCP/IP NetBIOS Helper
　　Server
　　以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。
　　改名或卸载不安全组件
卸载最不安全的组件 最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件regsvr32/u C:/WINDOWS/System32/wshom.ocx
　　del C:/WINDOWS/System32/wshom.ocx
　　regsvr32/u C:/WINDOWS/system32/shell32.dll
　　del C:/WINDOWS/system32/shell32.dll 然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。
防止列出用户组和系统进程
　在一些ASP大马中利用getobject("WINNT")获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是：
　　【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。
防止Serv-U权限提升
　　其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。
　　用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。
　　另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。
　服务器上不要装SERV-U之类的FTP软件，就是装了，你上传下载完马上停掉，我总觉得有的人的服务器被攻击与这个有关。我没用这个SERV-U，用的是在网上下的一个很小的软件FTP-SERVER，要用要开随便，很方便的。
还要养成一个好习惯，远程连接上服务器之后先要查看一下有哪些用户与你的服务器连接上了，计算机里是不是添加了一些黑客用户。
　最后讲备份，网站的数据库要经常备份，不能放在服务器上，放到另一个安全的地方。系统可以装一个一键备份的软件，你远程一样备份还原，备份还原之后服务器可以自动重启，不需要你人工干预。
注意：把用户组里面默认的管理员用户名修改名称，可以防止别人入侵提升管理员权限等
网站的备份也要有计划，但做好这个你要有条件。数据库出了问题，你马上转移一下，基本不会影响网站运行;网站出了问题也马上可以指到另一台服务器或空间，其实这个并花不了多少钱，现在空间便宜，效率是低一点，但不会影响搜索的收录。
利用ASP漏洞攻击的常见方法及防范
　　一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
　　如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。
　　作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西，做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。
最好讲一下如何通过禁用注册表和命令提示符来保护服务器安全关掉这些，即使别人拿到了你网站的webshell，也无法获得权限。如果你要用到的时候再打开也行，不需要用的时候最好关掉，或者把这些重要的东西重命名
其实关于系统安全方面的知识有很多，我会打包几个这方面的知识给大家做参考如果大家用我这里的文件设置服务器，这样您的服务器基本上是安全的了。
如何更改3389端口保护系统安全
众所周知，远程终端服务基于端口3389。入侵者一般先扫描主机开放端口，一旦发现其开放了3389端口，就会进行下一步的入侵，所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。
步骤：打开“开始→运行”，输入“regedit”，打开注册表，进入以下路径：[HKEY_LOCAL_MACHINE/SYSTEM/
CurrentControlSet/Control/Terminal Server/
Wds/rdpwd/Tds/tcp]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如6111。
再打开[HKEY_LOCAL_MACHINE/
SYSTEM/CurrentContro1Set/Control/Tenninal Server/WinStations/RDP/Tcp]，将PortNumber的值（默认是3389）修改成端口6111。
一次web挂马所作出服务器的对策
webshell 　　安全使用FSO主机：
　　一个简单的虚拟主机存在各种WEBSHELL的威胁的，假如你给朋友开了个虚拟主机空间，那么这个虚拟主机存在的最大安全隐患将会是FSO权限问题，其实FSO的安全隐患在Win2K系统里已经是令网管头疼的事了，但在Win2003中这个FSO的安全隐患却依然没有解决，在没有经过安全配置的虚拟主机下，只要黑客给虚拟主机空间上传一个木马，黑客就能利用FSO权限浏览服务器里的所有文件，并能复制、删除服务器里的所有文件，甚至能利用木马取得服务器的管理权，可见FSO安全配置的重要性。
　　如果黑客通过某些手段在你的虚拟主机空间上传了一个木马，那么就等于黑客已经拥有了一个WEBSHELL，黑客可以通过这个WEBSHELL控制整台服务器里的数据，
　　其实你如果要防范这种攻击，你只要把asp中的FSO（Scripting.FileSystemObject）功能删除就行了，删除FSO权限方法就是在CMD的命令提示符下输入以下命令：
　　Regsvr32 /u c:/windows/system32/scrrun.dll
　　注意：在实际操作的时候要更改成为你本地系统安装目录的实际路径，但是使用这种方法删除也太绝了一点，如果以后我们想使用FSO权限，那就用不了啦。所以建议不要使用这种方法删除FSO权限，
　　显而易见，如果这样做，那么包括站点系统管理员在内的任何人都将不可以使用FileSystemObject对象了，这其实并不是站点管理人员想要得到的结果，毕竟我们使用这个对象可以实现方便的在线站台管理，如果连系统管理员都没法使用了，那可就得不偿失了，但是不禁止这个危险的对象又会给自己的站点带来安全漏洞。那么有没有两全其美的方法呢？有！具体方法如下：
　　我们可以做到禁止其他人非法使用FileSystemObject对象,但是我们自己仍然可以使用这个对象。
　　方法如下：
　　查找注册表中
　　HKEY_CLASSES_ROOT/Scripting.FileSystemObject 键值
　　将其更改成为你想要的字符串(右键--&"重命名"),比如更改成为
　　HKEY_CLASSES_ROOT/Scripting.FileSystemObjectadmin123
　　如果你使用通常的方法来调用FileSystemObject对象就会无法使用了。
　　呵呵，只要你不告诉别人这个更改过的对象名称，其他人是无法使用FileSystemObject对象的。这样，作为站点管理者我们就杜绝了他人非法使用FileSystemObject对象，而我们自己仍然可以使用这个对象来方便的实现网站在线管理等等功能了！
　　不使用FSO对像就能使用的ASP木马防范方法：
　　对于这种免FSO对像就能使用的ASP木马，由于少了FSO对像的支持，功能上当然不会很强大的了，只有浏览服务器上的文件目录，复制、移动文件、执行指定路径的程序文件等功能。这个木马程的功能随然简单，但是用它来黑一个网站就是已经足够的了。
　　防范免FSO支持的ASP木马方法如下：
　　我们只要在注册表里查找键值shell.application和 wscript.shell 键值，然后把这些键值删除，就能防止这一类的ASP木马攻击了，删除这些键值对你的服务器及ASP支持等不会造成影响的，所以请放心删除
　　有一些WEBSHELL是调用系统下的CMD.EXE命令运行的。
　　对于这种webshell我们可以将system32下的cmd.exe进行改名，设个好一点的名字，这样只有你自己知道就ok呢。可是你在操作过程中会发现当你改了cmd.exe的名字以后在运行里打cmd还是能正常运行，再加在到文件平刷新一下发现又来了一个cmd.exe，郁闷了吧。告诉你这是windows系统文件保护的功能了，在系统里面有个系统文件的备份目录dllcache,看不见吧，因为这是受系统保护的。怎么看到他我想不用我说了，在这里我提下它的目录c:/windows/system32/dllcache.把里面的cmd.exe改下名字，再出来把 c:/windows/system32下cmd.exe改成同样的名字，看下是不是ok了。
TA的最新馆藏
喜欢该文的人也喜欢}