Windows系统被安装的远程控制软件或其它各种木马通常是由于您没有正确的设置您的管理员密码造成的, 比如administrator的口令为空。所以请先检查系统中所有帐号的口令是否设置的足够安全。
1. Windows2000口令设置方法:
在开始->控制面板->用户和密码->选定一个用户名->点击设置密码
2. 如何关闭Windows 2000下的445端口?
关闭445端口的方法有很多,通常用修改注册表的方法:
1) 在命令行窗口运行修改注册表命令RegEdit。
2) 在弹出的注册表编辑窗口的左边找到下面目录
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters
你可以一级一级目录往下点击,也可用“查找”命令找到NetBT项,然后点击Parameters项。
3) 在编辑窗口的右边空白处点击鼠标右键,出现的“新建”菜单中选择“DWORD值”,如下图所示:
4) 将新建的DWORD参数命名为“SMBDeviceEnabled”,数值为缺省的“0”。
5) 修改完后退出RegEdit,重启机器。
6) 运行“netstat –an”,你将会发现你的445端口已经不再Listening了。
7) 如何关闭Windows 2000下的5800,5900端口?
1) 首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\explorer.exe)
2) 在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\winnt\explorer.exe)
3) 删除C:\winnt\fonts\中的explorer.exe程序。
4) 删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的Explorer项。
5) 重新启动机器。
4. 如何获得fport工具?
Fport工具可以把本机开放的TCP/UDP端口同应用程序关联起来,这和使用'netstat -an'命令产生的效果类似,但是该软件还可以把端口和运行着的进程关联起来,并可以显示进程PID,名称和路径。该软件可以用于将未知的端口同应用程序关联起来。
在CERNET应急响应组的网站上可以获得fport工具,下载路径为:
http://www.ccert.edu.cn/tools/index.php。
下载的文件为fport.zip,用winzip或winrar解开后存放到一个目录下就可以。比如我们把fport放在D:\fport-2.0下。那么,我们运行fport::
D:\fport-2.0> fport
输出结果如下:
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
744 svchost -> 135 TCP C:\WINDOWS\system32\svchost.exe
4 System -> 139 TCP
4 System -> 445 TCP
792 svchost -> 1025 TCP C:\WINDOWS\System32\svchost.exe
1652 navapw32 -> 1027 TCP C:\PROGRA~1\NORTON~1\navapw32.exe
1860 inetinfo -> 1031 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1880 msmsgs -> 1226 TCP C:\Program Files\Messenger\msmsgs.exe
2736 iexplore -> 2162 TCP C:\Program Files\Internet Explorer\iexplore.exe
956 -> 5000 TCP
1880 msmsgs -> 13863 TCP C:\Program Files\Messenger\msmsgs.exe
2736 iexplore -> 123 UDP C:\Program Files\Internet Explorer\iexplore.exe
744 svchost -> 135 UDP C:\WINDOWS\system32\svchost.exe
1332 SecureCRT -> 137 UDP C:\Program Files\SecureCRT\SecureCRT.exe
2664 SecureCRT -> 138 UDP C:\Program Files\SecureCRT\SecureCRT.exe
4 System -> 445 UDP
792 svchost -> 500 UDP C:\WINDOWS\System32\svchost.exe
2524 SecureCRT -> 1028 UDP C:\Program Files\SecureCRT\SecureCRT.EXE
1860 inetinfo -> 1032 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1880 msmsgs -> 1033 UDP C:\Program Files\Messenger\msmsgs.exe
2812 wsftppro -> 1035 UDP D:\tools\wsftppro.exe
956 -> 1543 UDP
1652 navapw32 -> 1561 UDP C:\PROGRA~1\NORTON~1\navapw32.exe
4 System -> 1610 UDP
1880 msmsgs -> 1900 UDP C:\Program Files\Messenger\msmsgs.exe
2736 iexplore -> 3336 UDP C:\Program Files\Internet Explorer\iexplore.exe
2812 wsftppro -> 3456 UDP D:\tools\wsftppro.exe
1880 msmsgs -> 9356 UDP C:\Program Files\Messenger\msmsgs.exe
从fport的输出结果中我们可以发现有没有不安全的tcp/udp端口开着,如果有就用前面介绍的方法把该端口关闭,或将相关程序删除。