Windows系統被安裝的遠程控制軟件或其它各種木馬通常是由於您沒有正確的設置您的管理員密碼造成的, 比如administrator的口令爲空。所以請先檢查系統中所有帳號的口令是否設置的足夠安全。
在開始->控制面板->用戶和密碼->選定一個用戶名->點擊設置密碼
2. 如何關閉Windows 2000下的445端口?
關閉445端口的方法有很多,通常用修改註冊表的方法:
1) 在命令行窗口運行修改註冊表命令RegEdit。
2) 在彈出的註冊表編輯窗口的左邊找到下面目錄
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/NetBT/Parameters
你可以一級一級目錄往下點擊,也可用“查找”命令找到NetBT項,然後點擊Parameters項。
3) 在編輯窗口的右邊空白處點擊鼠標右鍵,出現的“新建”菜單中選擇“DWORD值”,如下圖所示:
4) 將新建的DWORD參數命名爲“SMBDeviceEnabled”,數值爲缺省的“0”。
5) 修改完後退出RegEdit,重啓機器。
6) 運行“netstat –an”,你將會發現你的445端口已經不再Listening了。
7) 如何關閉Windows 2000下的5800,5900端口?
1) 首先使用fport命令確定出監聽在5800和5900端口的程序所在位置(通常會是c:/winnt/fonts/explorer.exe)
2) 在任務管理器中殺掉相關的進程(注意有一個是系統本身正常的,請注意!如果錯殺可以重新運行c:/winnt/explorer.exe)
3) 刪除C:/winnt/fonts/中的explorer.exe程序。
4) 刪除註冊表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run中的Explorer項。
5) 重新啓動機器。
4. 如何獲得fport工具?
Fport工具可以把本機開放的TCP/UDP端口同應用程序關聯起來,這和使用'netstat -an'命令產生的效果類似,但是該軟件還可以把端口和運行着的進程關聯起來,並可以顯示進程PID,名稱和路徑。該軟件可以用於將未知的端口同應用程序關聯起來。
在CERNET應急響應組的網站上可以獲得fport工具,下載路徑爲:
下載的文件爲fport.zip, 用winzip或winrar解開後存放到一個目錄下就可以。比如我們把fport放在D:/fport-2.0下。那麼,我們運行fport::
D:/fport-2.0> fport
輸出結果如下:
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
744 svchost -> 135 TCP C:/WINDOWS/system32/svchost.exe
4 System -> 139 TCP
4 System -> 445 TCP
792 svchost -> 1025 TCP C:/WINDOWS/System32/svchost.exe
1652 navapw32 -> 1027 TCP C:/PROGRA~1/NORTON~1/navapw32.exe
1860 inetinfo -> 1031 TCP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1880 msmsgs -> 1226 TCP C:/Program Files/Messenger/msmsgs.exe
2736 iexplore -> 2162 TCP C:/Program Files/Internet Explorer/iexplore.exe
956 -> 5000 TCP
1880 msmsgs -> 13863 TCP C:/Program Files/Messenger/msmsgs.exe
2736 iexplore -> 123 UDP C:/Program Files/Internet Explorer/iexplore.exe
744 svchost -> 135 UDP C:/WINDOWS/system32/svchost.exe
1332 SecureCRT -> 137 UDP C:/Program Files/SecureCRT/SecureCRT.exe
2664 SecureCRT -> 138 UDP C:/Program Files/SecureCRT/SecureCRT.exe
4 System -> 445 UDP
792 svchost -> 500 UDP C:/WINDOWS/System32/svchost.exe
2524 SecureCRT -> 1028 UDP C:/Program Files/SecureCRT/SecureCRT.EXE
1860 inetinfo -> 1032 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1880 msmsgs -> 1033 UDP C:/Program Files/Messenger/msmsgs.exe
2812 wsftppro -> 1035 UDP D:/tools/wsftppro.exe
956 -> 1543 UDP
1652 navapw32 -> 1561 UDP C:/PROGRA~1/NORTON~1/navapw32.exe
4 System -> 1610 UDP
1880 msmsgs -> 1900 UDP C:/Program Files/Messenger/msmsgs.exe
2736 iexplore -> 3336 UDP C:/Program Files/Internet Explorer/iexplore.exe
2812 wsftppro -> 3456 UDP D:/tools/wsftppro.exe
1880 msmsgs -> 9356 UDP C:/Program Files/Messenger/msmsgs.exe
從fport的輸出結果中我們可以發現有沒有不安全的tcp/udp端口開着,如果有就用前面介紹的方法把該端口關閉,或將相關程序刪除。