反黑高手LockDown 2000实战指南

QQ.

　　【反黑高手LockDown 2000实战指南】 “林子大了什么鸟儿都有”，这话一点没错。随着互联网的迅速发展，上网人数急剧增加，黑客入侵的事件也越来越多了。据Worldtalk公司的最新调查表明，现在，每1000封电子邮件中，就有一封携带病毒，其中就包括黑客施放的特洛伊木马程序。遗憾的是，大部分普通网民，并不具备专业反黑技术，犹如赤条条游行于茫茫网海中，自然而然成为黑客的“
造访”对象，甚至有的人长期处于黑客监视之下自己却全然不知。鉴于此，笔者给大家介绍一个威力十足的反黑工具—— LockDown 2000，它不但可以有效阻止黑客入侵，还能帮你追查到黑客的来历。　

　　新推出的LockDown 2000，堵住了Windows 95/98/NT中新发现的安全漏洞，能防止网络炸弹的攻击，能清除目前所有的特洛伊木马，能自动启动、自动监测、自动阻止黑客进入、自动追踪黑客IP地址和ISP域名，并提供了根据该域名，查找其ISP联络信息的工具，这样，被攻击者就知道到哪里投诉，甚至起诉入侵者，使黑客受到应有惩罚。即使你允许某些人进入你的电脑，与你共享文件，LockDown 2000也会全程记录他们的活动，如，某人是什么时候来的、他的IP地址是什么、他在你的电脑里面做了些什么等等，如果来者欲行不轨，在其尚未得手之前，LockDown 2000会抢先断开他的连接，并立即对其进行自动追踪。因此，安装了LockDown 2000，就相当于雇了一名反黑高手，有时可能你自己还没反应过来，它就已经替你避免了一场灾难。

　　下面介绍LockDown 2000的使用方法，首先，我们来看看它的界面和设置。

●LockDown 2000的界面

　　LockDown 2000启动后，会有一个黄色图标出现在系统任务条，同时，出现一个有菜单栏、工具栏、状态栏和工作区等的主窗口（如图1）。状态栏主要显示当前的断开模式、共享连接数，至于菜单栏和工具栏，后面用到时说明，这里主要介绍工作区的五个标签窗口。 　　

Main（主信息窗）：主要显示LockDown 2000的运行记录（如图2）。如，刚启动时，它会显示哪些模块被激活，哪些模块被禁用，之后，会显示什么时候扫描过木马等。窗口下面还有三个Options（选项）按钮，从上到下，分别用于设置特洛伊木马扫描器、ICQ炸弹/炸弹/特洛伊监测模块、黑客路径自动追踪。此外，右边还有两个按钮，从上到下，分别用于保存和清除窗口信息。 　　

Net Utilities（网络工具窗）：主要包括TraceRoute和Whois两个网络检测工具（如图3）。前者用于手动追踪入侵者的路径，而后者则依据前者查到的信息，查出其ISP的联络信息。 　　Shares（共享窗口）：显示共享文件夹和共享者信息（如图4）。 　　

Current Share Connections（当前共享连接窗）：显示当前所有访问你计算机、与你共享文件的连接及来访者的登录信息。在此，你可以选择断开、添加或连接指定用户（如图5）。　

Former Share Connections（以前共享连接窗）：显示曾经访问过你的计算机的连接及来访者的登录信息（如图6）。

●LockDown 2000的设置
　　虽然，对于初级用户而言，即使不作任何配置，LockDown 2000仍能正常工作，但是，要让它更好地为你把好家门，你必须了解这部分内容。
　　要进入LockDown 2000的设置区域，有多种方法，最简单的是，直接按下工具栏上的Options（选项）按钮，进入Options对话框（如图7），通过在五个标签之间切换，就可以修改LockDown 2000的主要设置。 　　

General（通用）标签（如图8）： 　　

Network Info Refresh Rate：网络信息刷新率。刷新及断开的时间间隔。默认是1000毫秒，为安全起见，可以使用更低的刷新率，如500毫秒。 　　

Number of connections oo remember：存储连接数。表示最多允许保存以前的多少连接。默认为100个。 　　

Launch LockDown2000 on startup：自动打开LockDown 2000。即在系统启动时，LockDown 2000自动打开。默认设置为“允许”。 　　

Popup window on new connection：如有新连接弹出窗口。选中后，当有人试图连接到你的计算机时，LockDown 2000将弹出警示窗口。默认“允许”。 　　

Log IPC$：IPC是Inter Process Communication的缩写，意为“进程间通信”，用于在两个过程之间交换特定信息。默认设置为“禁止”。 　　

Warn When Exiting LockDown2000：退出前警告。选中此项后，离开LockDown 2000时，会提示你。默认“禁止“。 　　

Sound when new connection:如有新连接发出警报。默认设置为发出Standard sound(siren)（标准警报声），你也可以点选Custom sound（定制声音），另外指定一种声音（wav）。 　　

Default Whois Server：默认Whois服务器。指定默认情况下使用的Whois服务器。如查国内的ISP，可从下拉列表中选择whois.cnnic.net.cn（中国互联网络信息中心）。 　　

TraceRoute new nonnection：追踪新连接的路径。选中该选项后，LockDown 2000将对任何试图访问你计算机的连接进行追踪。默认“允许”。 　　

Disconnect（断开）标签（如图9）： 　　

Add program（添加程序）按钮：将那些不允许他人执行的程序添加到表中。通常，这是一些可能对你的系统或文件造成破坏的程序，如Format.com、Debug.exe等等。当有人不怀好意执行表中程序时，他与你计算机的连接会被立即强制断开，从而避免灾难发生。 　　

Disconnect all when executing programs listed above：当有人执行断开列表中的程序时，LockDown 2000将立即断开当前所有与你的连接用户。这样不分青红皂白，显然有点“防卫过当”，所以，默认设置为“禁止”。　

Disconnect users after idle time：空闲多久将被断开。这个设置用于断开那些连接到你的计算机后长时间没有操作的用户。默认设置为10分钟，要想人更多朋友访问你的计算机，可以缩短该设置。　

Maxmium number of connections：最大连接数。即允许同时连接到你的计算机的用户用户数。默认设置为10，最小设置为1。 　　

IP Filter（IP过滤器）标签（如图10）： 　　A

dd IP Filter（添加IP过滤器）按钮：“IP过滤器”是LockDown 2000内部一件更加灵活的反黑武器。它允许用户事先指定一个IP地址（通常只是前三段），然后，将来访者的IP地址与之对照，吻合的放行，不吻合的则被挡住。例如，207.7.12，就可算一个IP过滤器，将它添加到表中后，如果一个来访者的IP地址是207.7.13.*，那么，他会被视为非法入侵者，而被拒之“机”外；但假如来访者的IP地址是207.7.125.*，那么他会被视为合法用户，而允许进入。注意，IP过滤器的作用优先于后面要介绍到的Disconnect Mode（断开模式）的设定。 　　

Filter IP Addresses（过滤IP地址）：选中此项后，上面添加的IP过滤器才能生效。由于默认情况下，无可用IP过滤器，因此该选项被“禁止”。 　　

Detection（侦测）标签（如图11）： 　　

Detect Trojan Connection Attempts：侦测试图通过特洛伊木马进行的连接。选中该项后，如果有人企图通过特洛伊木马连接到你的计算机，那么，LockDown 2000会发出声音警报，并对其进行监测和追踪。这是LockDown 2000最重要的选项，当然要激活。所以，默认设置为“允许”。 　　

ICQ Nuke Protection：ICQ炸弹防护。选中该选项后，可以防止他人用ICQ炸弹攻击你。为避免冲突，启用该功能后，建议你不要再启动其它同类保护软件，如ICQ Protect、WFIPS2等。此外，该选项有可能会引起“内存不足错误”，因此，如果你不使用ICQ，就不要选它。默认“禁止”。 　　

Nuke Protection：炸弹防护。选中后，LockDown 2000将监测通常情况下容易受到黑客攻击的端口，一旦这些端口中的某个被访问，LockDown 2000将立即断开其连接，并追踪来访者信息。同样，建议你不要与同类保护程序一起使用，否则，也可能出现内存不足错误。默认“禁止”。 　　

Trojans（特洛伊）标签（如图12）：设定扫描特洛伊木马的方式、对象、附加路径等。 　　

Automatic Trojan Scanner（木马自动扫描器）：包括四个选项，其中Scan for unknown trojans，用于设定是否扫描未知特洛伊木马，选中后，将对Windows的系统文件WIN.INI、AUTOEXEC.BAT、SYSTEM.INI、CONFIG.SYS等进行扫描（默认“允许”），你也可以在它的左边File Change Monitor（文件改变监视）区域，选择不检查上述某些文件；Background scan for trojans，用于设定是否在后台扫描特洛伊木马，选中后，在扫描木马的同时，你可以做其它事情，扫描对象为系统及用户指定目录，如Windows、Windows\System、Windows\Temp、Startup等，默认“允许”；Background scan at start，用于设定是否在系统或LockDown 2000启动时进行后台扫描，选中后，未经你同意，任何特洛伊或其它程序不能运行，默认“禁止”；至于Scan interval，用于设定后台扫描的时间间隔，默认设置为20秒，为安全起见，可以缩短为10秒或更短时间，但注意，无论这里的时间间隔设置为多长，一旦系统文件或目录发生变化，LockDown 2000都会立即重新扫描。 　　

Manual Trojan Scan：手动扫描特洛伊木马。从下拉列表中选择要扫描的驱动器，按下Scan Srive for Trojans按钮，LockDown 2000将以低优先级扫描驱动器上的文件，这种方式的好处是，可以优先保证其它应用程序的运行。 　　

Additional Scan Path：附加扫描路径。你可以另外指定一个目录（如存放下载文件的），让木马扫描器每次激活后一并对其扫描。 　　

Ignore List：忽略列表。如果因为某些原因将一个文件添加到忽略列表中，你可以按Remove按钮删除它。 　　上面介绍了在Options对话框中五个标签下，修改LockDown 2000的主要设置，此外，你还可以单击主窗口中的菜单View（查看）/Disconnect（断开），在Disconnection Mode（断开模式）对话框中，选择适当的断开模式（如图13）： 　　

Disconnect all：全部断开。该模式断开所有来访者的连接。 　　

Disconnection list：断开列表。该模式只断开表中指定用户的连接，将那些不受欢迎的人加进去吧。要查看表中现有哪些用户或者要增删用户，可以点击View List（查看列表）按钮。 　　

Disconnection Off：断开关闭。该模式将不断开任何连接，即允许任何人与你的计算机连接并共享文件。 　　另外，也可以鼠标右击系统任务条中的黄色小锁图标，选择断开模式。　

●LockDown 2000实战指南
　　了解LockDown 2000的界面和设置后，现在来看看如何用它捕获黑客。正如前面介绍的，LockDown 2000的启动、监控、追踪，都是自动进行的，要查出黑客，用户的主要任务是，解读追踪信息，并查找ISP联络信息。
　　通常，LockDown 2000会自动将追踪信息存为一个按日期命名的log文件，如当天是1999年5月12日，文件名就为05121999.log，它位于LockDown 2000目录内，点击工具栏上的Logs按钮，可以看到所有log文件的列表，而选中一个log文件，可以看到文件的详细内容（如图14）。这里假设打开一个log文件，让我们来看看如何用它抓住黑客。这个log文件起始部分内容如下（纯属虚构，请不要对号入座）：　
<1:46:29 PM> Trojan network connectivity check enabled.　
<1:46:29 PM> Auto Trojan scan is activated.　
<1:46:29 PM> Nuke protection disabled.　
<1:46:29 PM> ICQ Nuke protection disabled.　
<3:14:24 PM> Incoming hack attempt from IP Address: 207.136.9.251
　　注意第五行，可以看到，一个IP地址为207.136.9.251的黑客，曾在下午3:14:24试图入侵本机。但从接下来的两行，可以看出，他没有得逞。因为在同一时刻，LockDown 2000终止了他的连接，并开始追踪其路径： <3:14:24 PM> Terminated connection attempt...　
<3:14:24 PM> Attempting trace route...Please stand by... 　　
过了26秒钟，追踪结果出来了。注意最后几行，可以找到这个黑客的ISP和他ISP的上游提供商：　
<3:14:50 PM> => 194.ATM8-0-0.GW1.DFW1.ALTER.NET
<3:14:50 PM> => iadfw3-gw.customer.ALTER.NET　
<3:14:50 PM> => big-bro-f5-0.iadfw.net　
<3:14:50 PM> => ghtia-ds3-1.net.iadfw.net　
<3:14:50 PM> => atnt03.ght.iadfw.net
<3:14:50 PM> => pppt03-251.ght.iadfw.net
　　上面最后一行就是黑客的拨号地，即这个黑客是在pppt03-251.ght.iadfw.net拨号上网的，它的ISP就是末尾的iadfw.net，而这个ISP的上游提供商，就是前面几行末尾的ALTER.NET。
　　接下来，根据查到的ISP及其上游提供商域名，手动查找它们的联络信息。为此，点击LockDown 2000主窗口中的“Net Utilities”标签，在右边的Whois区域，输入ISP的地址iadfw.net（注意先联网），然后点击Execute（执行）按钮，出现如下查询结果：　
==[Looking up IADFW.NET on whois.internic.net]==　
-　
- Registrant:
- Internet America (IADFW-DOM)
- 350 N. St. Paul, Suite #3000　
- Dallas, TX 75201　
- US　
-　
- Domain Name: IADFW.NET
-
- Administrative Contact:
- Davis, Doug (DD344) cto@AIRMAIL.NET　
- 214.979.9009　
- Technical Contact, Zone Contact:
- NOC, IA (IN167) noc@AIRMAIL.NET
- 214.861.2577　
- Billing Contact:
- Chaney, Jim (JC12164) cfo@AIRMAIL.NET　
- 214.861.2553 (FAX) 214.861.2663
-
- Record last updated on 30-Nov-98.
- Record created on 09-Jan-95.
- Database last updated on 27-May-99 13:27:39 EDT.
-　
- Domain servers in listed order:　
-
- NS1-ETHER.IADFW.NET 204.178.72.1
- NS2.IADFW.NET 204.178.72.30　
-　
　　显然，这是一家美国的ISP，它的管理机构及有关人员的地址、电话、传真和Email等信息，都详细列出来了，复制下来存为文件。然后，再用同样方法，查出上游提供商的联络信息。至此，这个黑客即被成功捕获。
　　但要让其受到应有惩罚，你还应该立即向他的ISP及其它相关机构发送投诉信，记住附上追踪信息（log文件），以便有关机构进一步查实。通常，国外较大型的ISP每24小时删除一次记录文件，所以再次提醒你，投诉必须尽快。 怎么样？抓黑客也并不难吧。不过，有人在查找ISP的联络信息时，却颇费周折，问题在哪？Whois服务器选择错误！目前网上有Whois服务器200余个，它们主要按洲属和国别划分，所查域名应与Whois服务器对应，如查国内的，可选用whois.cnnic.net.cn，查日本的，可选用whois.nic.ad.jp，查亚太地区的，可选用whois.apnic.net，查欧洲的，可选用whois.ripe.net等。
　　当然，作为网络安全工具，首先自身得安全，要不，岂成了“泥菩萨过河”？LockDown 2000具有口令保护功能，只要点击菜单View/Password（口令），就可以设置打开LockDown 2000窗口的密码。
　　此外，LockDown 2000也适用于局域网的安全保护，可以在现有防火墙的基础上，再加上一道“防火墙”。你看，有反黑高手LockDown 2000帮忙，你可以放心了吧，什么木马呀、铁马呀，通通ByeBye！（^_^） 　　

ydxcici

终于看完了 学习一下

起点

呵呵,防黑用的

蓝色冰点

这个软件可真够老的，我99年时就用过这个软件了，到现在好像还是2000版，一直也没升级吗，还是这个软件现在官方已经不继续开发了

pmj_sh

原帖由 蓝色冰点 于 2006-10-14 15:38 发表
这个软件可真够老的，我99年时就用过这个软件了，到现在好像还是2000版，一直也没升级吗，还是这个软件现在官方已经不继续开发了

我也是99年就接触了
金黄LOGO的锁是标记
新版本加入了HIPS
不过软件名还叫2000。。。

楚歌

很详细,学习了,谢谢

QQ.

现在改名了 黑客终结者（Hacker Eliminator ），有很多的改进

cant

这个软件以前很牛的啊

cant

QQlz看了你好几个帖子了，你怎么自己都不用的啊。。写哪怕几句自己的使用情况也好啊。。

darkradx

以前用Atguard,Lockdown,Blackice
现在atguard成NIS的引擎, lockdown几乎听不到消息, blackice评测结果之不佳, 哎...

当时天网叫嚣得好厉害, 一试用立即卸了, 太难用了, 什么规则定义哦, 居然是规则预分组, 而不是链式结构, 永远是IP->IGMP->ICMP->TCP->UDP的检查顺序, 想把TCP提到ICMP前面? 没门! 就是这样预分组处理来提高包处理能力?
n年没用天网, 不知现况了(就试过2.03beta, 2.42beta)