ActiveX插件让用户可以在IE浏览器中播放Flash动画、在线观看视频、在线杀毒等。ActiveX播放技术将程序本身和IE浏览器融为一体，扩展了IE的功能。可是当ActiveX插件成为一种全新的木马传播方式以后，ActiveX插件就会变得越来越可怕，成为恐怖的万恶之源，成了名副其实的“双刃剑”。
　　一、ActiveX屠城
　　1、绝杀IE用户
　　人们常说的ActiveX控件，本职工作本来是为用户提供各种各样的样增值服务的，比如播放Flah动画、在线杀毒等等，ActiveX因为对上网功能的扩展得到了各位网友的肯定和赞扬。
　　可是就在一片叫好声中，ActiveX被黑客盯上了，他们让ActiveX开始为他们传播病毒、木马等恶意程序。并造成了严重的后果，只要用户使用默认设置的IE浏览器，并且浏览了使用ActiveX作为传播木马途径的网页后就会被黑客种植木马。
　　黑客为什么要使用ActiveX来传播木马?这是因为ActiveX直接将木马程序“变”为可以在网页中直接执行的文件，更重要的是这种方法对所有的Windows系统和IE浏览器版本均有效。而且只要用户的IE浏览器的安全级别不是“最高级别”，黑客就可以通过这种手段种植木马，通过ActiveX把非法程序植入系统是轻而易举的事情。(图1)
　　
　　图1
　　2、现身说法
　　说到利用网页插件来进行来意程序的传播，首先要提到一个由藏经阁开放的名为“Exe2Htm”的软件。作者原本开发工具的目的是为了使一些在网吧等不方便进行下载的用户下载文件时使用的，可是没想到被黑客利用。后来又相继出现很多其他的ActiveX插件木马生成器，动鲨木马生成器就是其中的一款。
　　运行动鲨网页木马生成器，在“请选择要运行的EXE文件”中填入一已配置好的木马服务端程序，再在“输入存放木马的WEB文件路径”中输入网页木马的网址路径，然后点击“生成木马”即可生成最新的网页。当用户登录这个含有ActiveX技术的挂马网页以后，就会被中马。(图2)
　　
　　图2
3、强行安装
　　有高手曾经说过：一个好的网页木马是三分漏洞、七分脚本，往往因为脚本的失误而导致木马的成功率降低。生成一个ActiveX插件木马是相当简单的，但是如何让它安装互系统中却是黑客研究的重点。
　　首先从网页上下载一个可以“强行”安装ActiveX木马的工具包(这个工具包中的工具可以将ActiveX木马强行安装到用户的系统中)，然后执行黑客的木马程序。接着将木马程序分别放到test文件夹下test1和test2两个子文件夹中。
　　最后将木马程序的名称改为默认的admin.exe。将修改好的脚本test文件夹下的各个文件一起上传到网页空间当用户浏览黑客设置的来意网页时，就会弹出安装网页插件的窗口。 我部署了一个web服务器，大家可以看到这个网页插件的提示窗口已经和正常的网页插件窗口别无二致，没有任何的漏洞，完全可以假乱真。(图3)
　　
　　图3
　　4、披上伪装
　　ActiveX插件木马的最大特点就是迷惑性极强，上面例子中我们把它假装成软件厂商Holistyc的ActiveX插件。其实很多黑客会对控件进行修改将它假造成为微软、Google、Macromedia等全球著名的软件厂商的插件,这样可以让用户真假难辨,提高中木马的几率。
　　确认网页控件的名字是preload，它存放在build文件夹下，CAB是一种标准的压缩格式，将它解压，解压后出现的preload.ocx才是真正的插件。
　　eXeScope是一款强大的程序资源编辑工具，可以直接查看，修改软件的资源，包括菜单、对话框字符串表等。载入插件prjXTab.ocx，点击资源书下“资源”菜单中的“版本”选项，在右侧的窗口中出现关于插件版本信息的内容。在“TYPELIB”选项上点击鼠标右键，选择其中的“编辑”命令在弹出的窗口中修改“TYPELIB”选项的内容，在“版本选项中可以修改其版本”比如：Microsoft、Google、Macromedia等等，修改完成后再压缩为prjXTab.cab后即可使用。再伪装后的ActiveX插件木马更加迷惑人。

首先介绍一下windows2003的版本
windows2003版本识别分类
1.Windows Server 2003, Standard Edition 标准版:
针对中小型企业的核心产品，他也是支持双路处理器，4GB的内存。它除了具备 Windows Server 2003 Web Edition 所有功能外，还支持像证书服务、UDDI服务、传真服务、IAS因特网验证服务、可移动存储、RIS、智能卡、终端服务、WMS和 Services for Macintosh。
支持文件和打印机共享。
提供安全的网络联接。
2.Windows Server 2003, Enterprise Edition 企业版
这个产品被定义为新一带高端产品，它最多能够支持8路处理器，32 GB内存，和28个节点的集群。它是 Windows Server 2003 Standard Edition 的扩展版本，增加了 Metadirectory Services Support、终端服务会话目录、集群、热添加（ Hot-Add）内存和 NUMA非统一内存访问存取技术。这个版本还另外增加了一个支持64位计算的版本。
全功能的操作系统支持多达8个处理器。
提供企业级的功能例如8节点的集群，支持32GB内存。
支持英特尔 安腾Itanium 处理器。
将推出支持64位计算机的版本，可以支持8个64位处理器以及64GB的内存。
3.Windows Server 2003, Datacenter Edition 数据中心
像以往一样，这是个一直代表微软产品最高性能的产品，他的市场对象一直定位在最高端应用上，有着极其可靠的稳定性和扩展性能。他支持高达8-32路处理器，64GB的内存、2-8节点的集群。与 Windows Server 2003 Enterprise Edition 相比， Windows Server 2003 Datacenter Edition 增加了一套 Windows Datacenter Program 程序包。这个产品同样也为另外一个64位版本做了支持。
微软迄今为止提供的最强大、功能最为强劲的服务器操作系统。
支持32路处理器和64GB内存。
同时提供8点集群和负载均衡。
将提供64位处理器平台，可支持惊人的64路处理器和512GB的内存。

4.Windows Server 2003, Web Edition Web版
这个版本是专门针对Web服务优化的，它支持双路处理器，2GB的内存。该产品同时支持ASP.NET、DFS分布式文件系统、EFS文件加密系统、IIS6.0、智能镜像、ICF因特网防火墙、IPv6、Mircrosoft.Net Framework、NLB网络负载均衡、PKI、Print Services for UNIX、RDP、远程OS安装（非RIS服务）、RSoP策略的结果集、影子拷贝恢复（Shadow Copy Restore)、VPN和WMI命令行模式等功能。Windows Server 2003 Web Edition 唯一和其他版本不同的是它仅能够在AD域中做成员服务器，而不能够做DC域控制器。
可以架构各种网页应用，XML页面服务。
IIS 6.0。
轻松迅速开发各种基于 XML以及 ASP.NET服务项目的平台。
5.Windows Server 2003,64-bit Edition 64位版本
专门针对64位处理器 安腾Itanium而开发的版本。
包括两个版本：
Windows Server 2003 Enterprise Server
64-bit Edition。
Windows Server 2003 Datacenter Server
64-bit Edition。
注：除web版外其余版本均支持域模式
域可以提供一种集中式管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控，我们用一台Windows Server 2003服务器进行示例：
首先，当然是在服务器上安装上Windows Server 2003，安装成功后进入系统，
第一件事是给这台成员服务器指定一个固定的IP，指定情况如下:
机器名:DemoServer
IP:192.168.5.1 （地址随便写）
子网掩码:255.255.255.0
DNS:127.0.0.1 (因为我要把这台机器配置成DNS服务器)
由于Windows S

名称 : ls
　　
　　使用权限 : 所有使用者
　　
　　使用方式 : ls [-alrtAFR] [name...]
　　
　　说明 : 显示指定工作目录下之内容（列出目前工作目录所含之档案及子目录)。
　　
　　参数 :
　　
　　-a 显示所有档案及目录 (ls内定将档案名或目录名称开头为"."的视为隐藏档，不会列出)
　　-l 除档案名称外，亦将档案型态、权限、拥有者、档案大小等资讯详细列出
　　-r 将档案以相反次序显示(原定依英文字母次序)
　　-t 将档案依建立时间之先后次序列出
　　-A 同 -a ，但不列出 "." (目前目录) 及 ".." (父目录)
　　-F 在列出的档案名称后加一符号；例如可执行档则加 "*", 目录则加 "/"
　　-R 若目录下有档案，则以下之档案亦皆依序列出
　　
　　范例：
　　列出目前工作目录下所有名称是 s 开头的档案，愈新的排愈后面 :
　　 ls -ltr s*
　　
　　将 /bin 目录以下所有目录及档案详细资料列出 :
　　 ls -lR /bin
　　
　　列出目前工作目录下所有档案及目录；目录于名称后加 "/", 可执行档于名称后加 "*" :
　　 ls -AF

名称：mv
　　
　　使用权限：所有使用者
　　
　　使用方式：
　　
　　mv [options] source dest
　　mv [options] source... directory
　　说明：将一个档案移至另一档案，或将数个档案移至另一目录。
　　参数：-i 若目的地已有同名档案，则先询问是否覆盖旧档。
　　
　　范例：
　　
　　将档案 aaa 更名为 bbb :
　　 mv aaa bbb
　　
　　将所有的C语言程序移至 Finished 子目录中 :
　　 mv -i *.c

功能说明：解压缩zip文件
语　　法：unzip [-cflptuvz][-agCjLMnoqsVX][-P <密码>][.zip文件][文件][-d <目录>][-x <文件>] 或 unzip [-Z]
补充说明：unzip为.zip压缩文件的解压缩程序。
参　　数：
-c 将解压缩的结果显示到屏幕上，并对字符做适当的转换。
-f 更新现有的文件。
-l 显示压缩文件内所包含的文件。
-p 与-c参数类似，会将解压缩的结果显示到屏幕上，但不会执行任何的转换。
-t 检查压缩文件是否正确。
-u 与-f参数类似，但是除了更新现有的文件外，也会将压缩文件中的其他文件解压缩到目录中。
-v 执行是时显示详细的信息。
-z 仅显示压缩文件的备注文字。
-a 对文本文件进行必要的字符转换。
-b 不要对文本文件进行字符转换。
-C 压缩文件中的文件名称区分大小写。
-j 不处理压缩文件中原有的目录路径。
-L 将压缩文件中的全部文件名改为小写。
-M 将输出结果送到more程序处理。
-n 解压缩时不要覆盖原有的文件。
-o 不必先询问用户，unzip执行后覆盖原有文件。
-P<密码> 使用zip的密码选项。
-q 执行时不显示任何信息。
-s 将文件名中的空白字符转换为底线字符。
-V 保留VMS的文件版本信息。
-X 解压缩时同时回存文件原来的UID/GID。
[.zip文件] 指定.zip压缩文件。
[文件] 指定要处理.zip压缩文件中的哪些文件。
-d<目录> 指定文件解压缩后所要存储的目录。
-x<文件> 指定不要处理.zip压缩文件中的哪些文件。
-Z unzip -Z等于执行zipinfo指令。

1. 先在服务里关闭iis admin service服务
2. 找到windows\system32\inetsrv\下的metabase.xml
3. 用记事本打开 C:\windows\sytem32\inetserv\metabase.xml
寻找字串 AspMaxRequestEntityAllowed 将 204800 (200KB) 改成你要的大小
这是针对上传的部分
如果你在下載的時候,大的文件也有问题的话,可以修改其中的 AspBufferingLimit ,预设的是 4MB
4. 重启iis admin service服务,不是重启电脑

网络安全是一个非常流行的话题，不论是这方面的专家还是一个普通人，都或多或少涉及其中。
在此环境下，入侵也变得前所未有的活跃。每个人都想成为这领域的高手。
入侵分几个方面，现在以SQL注入和溢出最为流行。我在此浅谈一下SQL注入的相关问题。
其实SQL注入和溢出有异曲同工之妙，都是利用不按正常思维来达到入侵的目的。简单的说就是程序作者想得没有入侵者想得全面，不乏有些作者水平很高，但想投机取巧。
SQL注入简单的理解就是构造特殊的SQL语句，让数据库执行，数据库可以是任何一种。现今注入漏洞层出不穷，似乎没有一个安全的WEB系统。不论国内和国外，隔三岔五报道类似文章。
小菜惊叹作者思路巧妙的同时，心中充满敬畏和感慨。要是我也能公布几个漏洞该多好！
本人就把自己的一些心得写出来分享一下，希望能促成大家快速由菜鸟变成苍鹰。

一 如何寻找漏洞
这个是大家最关心的。大家寻找漏洞只能寻找能读到源代码码的，没有源代码但有注入漏洞的系统只能猜，具有特殊性。网上很多主机用的是成品，它的系统源代码可以从网上下到。至于如何判断主机用的是哪个系统，就需要大家有一定的积累了。这也没法用语言描述，我举个简单的例子。
以动网6为例，看到某个论坛界面酷似动网，9成是动网论坛，再看看下面的版本就知道是动网6了。这个时候就可以去Chinaz下个动网6来读一下，不会ASP的就没办法了。当然漏洞早就公布，我只是告诉大家如何判断主机用哪个WEB系统。
漏洞是如何被发现的呢？其实也没什么诀窍，主要是扎实的基础知识，要是连HTTP协议不懂，不会抓包，也别找漏洞了，找到也不会用，这样最好先补基础知识。有了基础知识，剩下的就是毅力和耐心。论能力，现在好多系统漏洞，张三找的到，李四也找的到。
主要是看谁先找，谁下的工夫深。有的漏洞读一遍源码是找不到的。
找漏洞的过程也是熟悉这个WEB系统的过程，首先要了解它的数据库结构，这是最基本的。接下来就得一个文件一个文件的读。先读不需要权限的。
有的页面开头就来个SESSION判断，就算下面有漏洞都没用。
找漏洞的过程其实就是一个文件一个文件读的过程。下面以一个页面为例。
首先把握系统流程。所谓系统的流程就是系统到底如何执行。一般系统为 开头——中间——结尾 模式。开头一般是输出HTML中<HEAD></HEAD>之间内容，对我们找漏洞没有影响。
一般文件开头都会包含很多头文件，大家看了感到头晕，其实头文件都没什么用。主要是数据库连接文件，全局配置文件，和函数库。我们大可不理会这些东西，再找漏洞时用到了回头再看也不迟。
但是函数库里面关于输入串过滤的函数要重点看一下。
结尾是输出系统版权信息，有的用到SQL查询，不过这里用处也不大，我们可以很粗略的看一下。
中间部分是我们重点关注的地方。
其次重点关注输入变量。因为这些变量是我们控制的，没有外来输入变量也不用谈注入了。
大家要有这样一种概念，不管是GET，POST，还是COOKIE方法，只有是从用户提交的变量都可以由我们指定，我们想让它是多少就是多少。
至于系统取得变量后做了什么过滤是另外一回事。
在输入变量中要重点关注能参与SQL执行的变量，有的变量比如action或者page都是控制流程的，根本就没用，就算改了值也没什么意思。
再者就要深刻了解数据库了，没有对数据库全面的把握，很可能错失很多注入点，这也是高手和菜鸟最大的差别所在。
我们常见的数据库有Access、Mysql和SQLServer，至少要对他们有很深的了解才能找出漏洞。
二 分三个方面并举实例讲解注入点的寻找及利用
1 注入点很容易发现，利用也很简单
这种漏洞相信已经很少了，除非程序作者根本就不关心程序的安全才会有此漏洞。以前经典的 ' or '1=1就属于此类
典型的类似(模型，以下类同)
select * from tablename where user='request("user")',
select * from tablename where id=request("id")
有的程序对这些变量做了过滤，但不全，也可以归结为这一类。
相信这样的漏洞大家都能发现而且也很容易利用，更不用说防范了。这种漏洞容易找，也很少。我给大家截了几个有漏洞的图，是几个系统存在的类似漏洞。
图一
动网某插件更改密码注入漏洞
图二
某PHP插件ftpid 变量未过滤漏洞
2 注入点容易发现，但利用相对困难
这种漏洞是注入需要很高技巧的，作者也基本不可能避免。
典型的类似
select * from tablename where user='FilterFunc(request("user"))'
sele

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
　　病毒进程隐藏三法
　　当我们确认系统中存在病毒，但是通过“任务治理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：
　　1.以假乱真
　　系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么?这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就轻易搞混，再出现个iexplorer.exe就更加混乱了。假如用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。
　　2.偷梁换柱
　　假如用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。假如一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也，其实它只是利用了“任务治理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录)，假如病毒将自身复制到“C:\Windows\”中，并改名为svchost.exe，运行后，我们在“任务治理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
　　3.借尸还魂
　　除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，如卡卡助手中的功能，否则要想发现隐藏在其中的病毒是很困难的。
　　系统进程解惑
　　上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
　　svchost.exe
　　常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“治理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:\Windows\system32\svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。
　　在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。假如svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程治理工具，例如Windows优化大师的进程治理功能，查看svchost.exe的可执行文件路径，假如在“C:\Windows\system32”目录外，那么就可以判定是病毒了。
　　explorer.exe
　　常被病毒

一个简单的测试可能会告诉我们很多的东西。
　　女主持人气势咄咄的问一个男嘉宾，你为什么那么在乎钱，男嘉宾说：“钱能买到一切!”
　　现场的观众哗然了。
　　男嘉宾微笑的说：“我们做个测试吧。”
　　一个很简单的主题，你的一个仇人爱上了你的女友，现在想要你退出，你是一个正常的人，你爱自己的女友。那个男人愿意出一点钱来补偿你。
　　所有的观众都很不屑这种论调，男人缓缓的开出了第一个价格“五万 !”
　　现场的观众松了口气，论点很集中：“五万，简直是瞧不起人，为了五万放弃了爱情？更主要的是放弃了自己的人格”所有的人都不约而同的否定了。
　　男人接着开出了第二个价格“五十万!”
　　现场的声音小了很多，一部分的人开始自己的计算了，在过了好大的一会儿，绝大多数的男人依然选择了否定，他身边的女友感动的看着他。只有少数的人接受了这五十万，其中的一个人说：“自己没有钱，父母苦了一辈子了，临老了生病没钱医治，为了父母，放弃了爱情吧。”
　　男人接着开出了第三个价格“五百万!”
　　现场更静了，男人的第一个动作都是看身边的女人，也许是在权衡什么。一半的男人沉默了，另一半的男人怯生生的说:“我要爱情。”身边的女友也有点呆住了，一个女孩子站起来说：“如果一个男人肯出五百万，我想我没有理由拒绝他。”沉默的男人选择了金钱，五百万可以买一套房子，一部车子，全家过上好日子，甚至可以开始自己的事业。一个男人说：“他是我的仇人，我有了这个五百万，我可以含辛茹苦，我可以报仇，我可以计划我所有的未来，当个真正主宰自己的男人。”一些女人看着身边的男人，若有所思。
　　男人接着开出了第四个价格“五千万”
　　全场哗然了，对于大多数的人，一辈子也挣不了这许多。女人说:“有肯为我一掷五千万的男人，他一定是爱我的，这样有钱又专一的男人，为什么不选择呢。”一个男人举手:“他真的肯付五千万？”在得到肯定的回答后，男人说:“爱情是无价的，但是我没有这个能力去照顾爱人，别人有，我应该放弃，并且我有了这许多的钱，我可以做很多有意义的事情，我可以成就事业，我可以帮助别人，这样的人生才有意义。”所有的人都深以为然。
　　只有一个人依然选择了放弃，所有的人都用很奇怪的目光看他，他解释到：“我的爱情是无价的”，当问到他的女友是否感动的时候，女友说：“我虽然感动，但我更感动的是为了我付出自己五千万的人，而不是放弃别人 的五千万，他的观点很可敬，但不现实。”
　　嘉宾笑了笑，你们所有的人都选择了金钱。
　　那个人还是以前的那个人，他的为人和评价只是因为钱的变化而完全改变了；爱情是无价的，也只是面对钱多钱少的时候。
　　钱多就高尚了。所有无价的都是都是跟钱比较的，博物馆里的国宝，有钱了可以买，买不到了可以雇人偷和抢，再不行的话，可以发动战争，只要你有足够的钱。
　　美国打伊拉克需要的是什么，钱；使用的是什么，还是钱，不过是一个以钱换钱的游戏罢了。
　　所有的观众愕然了，想起自己的生活。
　　想跳槽的时候，借口都不是钱，但都有一个理由:“我不在乎钱，但是我在乎工资，这代表我是否受尊重和我的价值。”是啊，相同的工作，一千块就侮辱了你，一万块就是尊重你，十次的侮辱等于尊重？
　　嘉宾说，我不想解释为量变导致质变，爱情的质变不是钱多钱少的问题，而是，在你们之间叫的爱情如果通过交换就不叫了爱情。所以他拿钱换走的不是爱情，而是你的所有权，爱情已经走了，它依然无价！变质的爱情怎么还能叫爱情？
　　所有的人性都有价格，而又无价，当你用金钱换取的时候，人性已经丢掉了，你售卖的价格已经和你原有的人性无关。
　　嘉宾最后说了一句，我相信爱情，相信所有的人性，所以我努力的挣钱、爱钱。我只是不希望我的爱情和人性受到别人的金钱的考验罢了。
钱重要吗？？

一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。
　　使用方法:点击菜单开始->运行->打入CMD回车
　　检测网络连接
　　如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto（连接方式）、localaddress（本地连接地址）、foreignaddress（和本地建立连接的地址）、state（当前端口状态）。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。
　　禁用不明服务
　　很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。
　　轻松检查账户
　　很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况，可以用很简单的方法对账户进行检测。
　　首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user 用户名/del”来删掉这个用户吧！