我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
c:\winnt\system32下。
3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，
并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，
并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根据
木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与
监听113端口的木马程序有关的其他程序）
6.重新启动机器。

3389端口的关闭：
首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先
确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

win2000关闭的方法：
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，
选中属性选项将启动类型改成手动，并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services
服务项，选中属性选项将启动类型改成手动，并停止该服务。
winxp关闭的方法：
在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

4899端口的关闭：
首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能
算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服
务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭4899端口：
请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统
安装目录），输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence

到C:\winnt\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件


5800，5900端口：
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\winnt\fontsexplorer.exe)
2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新
运行c:\winnt\explorer.exe)
3.删除C:\winnt\fonts\中的explorer.exe程序。
4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer项。
5.重新启动机器。

6129端口的关闭：
首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是
一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务
是否是你自己安装并且是必需的，如果不是请关闭。

关闭6129端口：
选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后
停止该服务。
到c:\winnt\system32(系统目录）下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。

1029端口和20168端口：
这两个端口是lovgate蠕虫所开放的后门端口。
蠕虫相关信息请参见：Lovgate蠕虫
你可以下载专杀工具：FixLGate.exe
使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。


45576端口：
这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带
来额外的流量）
关闭代理软件：
1.请先使用fport察看出该代理软件所在的位置
2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。
3.到该程序所在目录下将该程序删除。
命令行方式修改远程任意端口
命令行方式下快速修改本地或远程端口（telnet termsrv w3svc smtp iis ftp ） </P><P>Reg add “\\ip\ HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v portnumber <BR>/t reg_dword /d 123 /f <BR>reg add "file://ip/ HKLM\SOFTWARE\Microsoft\TelnetServer\Defaults” /v telnetport /t reg_dword /d 123 </P><P>Reg add "file://ip/HKLM/SYSTEM/CurrentControlSet/Control/ServiceProvider/ServiceTypes/W3SVC” /v tcpport <BR>/t reg_dword /d 123 /f </P><P>Reg add "file://ip/HKLM/SYSTEM/CurrentControlSet/Control/ServiceProvider/ServiceTypes/SMTPSVc” /v tcpport <BR>/t reg_dword /d 123 /f </P><P>Reg add "file://ip/HKLM/SYSTEM/CurrentControlSet/Control/ServiceProvider/ServiceTypes/MSFTPSVC” /v tcpport <BR>/t reg_dword /d 123 /f </P><P>Reg add "file://ip/HKLM/SYSTEM/CurrentControlSet/Control/ServiceProvider/ServiceTypes/ Microsoft Internet Information Server” /v tcpport <BR>/t reg_dword /d 123 /f </P><P>若显示Error: The network path was not found. <BR>则说明对方没有开启Remote Registry Service服务 <BR>可用一下命令：net start remoteregistry
端口扫描
[背景知识]

（一）      什么是端口
     
    让我先从因特网提供的一些常见的服务说起。
　　
　　说到服务，我们首先要明白“连接”和“无连接”的概念。最简单的例子莫过于打电话和写信。两个人如果要通电话，得首先建立连接——即拨号，等待应答后才能相互传递信息，最后还要释放连接——即挂电话。写信就没有那么复杂了，地址姓名填好以后直接往邮筒一扔，收信人就能收到。
　　
　　因特网上最流行的协议是TCP/IP协议，需要说明的是，TCP/IP协议在网络层是无连接的（数据包只管往网上发，如何传输和到达以及是否到达由网络设备来管理）。而我们一旦谈“端口”，就已经到了传输层。协议里面低于1024的端口都有确切的定义，它们对应着因特网上常见的一些服务。这些常见的服务可以划分为使用TCP端口（面向连接如打电话）和使用UDP端口（无连接如写信）两种。
　　
　　使用TCP端口常见的有：

　　ftp：定义了文件传输协议,使用21端口。常说某某主机开了 ftp服务便是文件传输服务。下载文件，上传主页，都要用到ftp服务。

　　telnet：你上BBS吗？以前的BBS是纯字符界面的，支持BBS的服务器将23端口打开，对外提供服务。其实Telnet的真正意思是远程登陆：用户可以以自己的身份远程连接到主机上。

　　smtp：定义了简单邮件传送协议。现在很多邮件服务器都用的是这个协议，用于发送邮件。服务器开放的是25端口。

　　http：这可是大家用得最多的协议了——超文本传送协议。上网浏览网页就需要用到它，那么提供网页资源的主机就得打开其80端口以提供服务。我们常说“提供www服务”、“Web服务器”就是这个意思。

　　pop3：和smtp对应，pop3用于接收邮件。通常情况下，pop3协议所用的是110端口。在263等免费邮箱中，几乎都有pop3收信功能。也就是说，只要你有相应的使用pop3协议的程序（例如Foxmail或Outlook），不需要从Web方式登陆进邮箱界面，即可以收信。

　　使用UDP端口常见的有：

　　DNS：域名解析服务。因特网上的每一台计算机都有一个网络地址与之对应，这个地址就是我们常说的IP地址，它以纯数字的形式表示。然而这却不便记忆，于是出现了域名。访问主机的时候只需要知道域名，域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53端口。

　　snmp：简单网络管理协议，使用161端口，是用来管理网络设备的。由于网络设备很多，无连接的服务就体现出其优势。

　　聊天软件Oicq：Oicq的程序既接受服务，又提供服务，这样两个聊天的人才是平等的。oicq用的是无连接的协议，其服务器使用8000端口，侦听是否有信息到来;客户端使用4000端口，向外发送信息。如果上述两个端口正在使用（有很多人同时和几个好友聊天），就顺序往上加。
　　
　　所以可以这样说：端口便是计算机与外部通信的途径，没有它，计算机便又聋又哑。
一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。
　　在手工进行扫描时，需要熟悉各种命令。对命令执行后的输出进行分析。用扫描软件进行扫描时，许多扫描器软件都有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。
（二）对计算机常用的端口一览：

端口号      端口类型
1        TCP—MUX
2      COMPRESSNET
5      RJE
7      ECHO
9      DISCARD
11      SYSSTAT
13      DAYTIME
15      NETSTAT
17      QOTD
18      MSP
19      CHARGEN
20      FTP-DATA
21      FTP
23      TELNET
25      SMTP
79      FINGER
80      HTTP
110      POP3
115      SFTP
117      UUCP
139      NETBIOS-SSN
144      NEWS
以上是计算机常用的一些端口，此外还有很多端口，由于我们这次实验没用到，所以就不一一介绍了，有兴趣的同学可以自己查查资料。
　　
（三）下面介绍几个常用网络命令，对端口扫描原理进行介绍。
一． Ping 命令
Ping命令经常用来对TCP/IP网络进行诊断。通过目标计算机发送一个数据包，让它将这个数据包反送回来，如果返回的数据包和发送的数据包一致，那就是说你的PING命令成


功了。通过这样对返回的数据进行分析，就能判断计算机是否开着，或者这个数据包从发送到返回需要多少时间。
Ping命令的基本格式：
　　　　ping hostname
      其中hostname是目标计算机的地址。Ping还有许多高级使用，下面就是一个例子。
C:> ping -f hostname
　　这条命令给目标机器发送大量的数据，从而使目标计算机忙于回应。在Windows 95的计算机上，使用下面的方法：
c:\windows\ping -l 65500 saddam_hussein's.computer.mil
　　这样做了之后，目标计算机有可能会挂起来，或从新启动。由于 -l 65510 产生一个巨大的数据包。由于要求返回一个同样的数据包，会使目标计算机反应不过来。
二． Tracert 命令
Tracert命令用来跟踪一个消息从一台计算机到另一台计算机所走的路径，比方说从你的计算机走到浙江信息超市。在DOS窗口下，命令如下：
C:\WINDOWS>tracert 202.96.102.4

Tracing route to 202.96.102.4 over a maximum of 30 hops

　1　　84 ms　　82 ms　　95 ms　202.96.101.57
　2　 100 ms　 100 ms　　95 ms　0fa1.1-rtr1-a-hz1.zj.CN.NET [202.96.101.33]
　3　　95 ms　　90 ms　 100 ms　202.101.165.1
　4　　90 ms　　90 ms　　90 ms　202.107.197.98
　5　　95 ms　　90 ms　　99 ms　202.96.102.4
　6　　90 ms　　95 ms　 100 ms　202.96.102.4

Trace complete.
可见，任何人都能通过在命令行里键入一个命令，就能收集到一个域里的所有计算机的重要信息。
　　我们利用有用的网络命令，可以收集到许多有用的信息，比方一个域里的名字服务器的地址，一台计算机上的用户名，一台服务器上正在运行什么服务，这个服务是哪个软件提供的，计算机上运行的是什么操作系统。
　　如果你知道目标计算机上运行的操作系统和服务应用程序后，就能利用已经发现的他们的漏洞来进行攻击。如果目标计算机的网络管理员没有对这些漏洞及时修补的话，入侵者能轻而易举的闯入该系统，获得管理员权限，并留下后门。
　　如果入侵者得到目标计算机上的用户名后，能使用口令破解软件，多次试图登录目标计算机。经过尝试后，就有可能进入目标计算机。得到了用户名，就等于得到了一半的进入权限，剩下的只是使用软件进行攻击而已。

（四）下面对常用的端口扫描技术做一个介绍。

TCP connect() 扫描
　　这是最基本的TCP扫描。操作系统提供的connect()系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功。否则，这个端口是不能用的，即没有提供服务。这个技术的一个最大的优点是，你不需要任何权限。系


统中的任何用户都有权利使用这个调用。另一个好处就是速度。如果对每个目标端口以线性的方式，使用单独的connect()调用，那么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。使用非阻塞I/O允许你设置一个低的时间用尽周期，同时观察多个套接字。但这种方法的缺点是很容易被发觉，并且被过滤掉。目标计算机的logs文件会显示一连串的连接和连接是出错的服务消息，并且能很快的使它关闭。
TCP SYN扫描
　　这种技术通常认为是“半开放”扫描，这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考TCP的三次握手建立一个TCP连接的过程）。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序必须再发送一个RST信号，来关闭这个连接过程。这种扫描技术的优点在于一般不会在目标计算机上留下记录。但这种方法的一个缺点是，必须要有root权限才能建立自己的SYN数据包。
TCP FIN 扫描
　　有的时候有可能SYN扫描都不够秘密。一些防火墙和包过滤器会对一些指定的端口进行监视，有的程序能检测到这些扫描。相反，FIN数据包可能会没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面，打开的端口会忽略对FIN数据包的回复。这种方法和系统的实现有一定的关系。有的系统不管端口是否打开，都回复RST，这样，这种扫描方法就不适用了。并且这种方法在区分Unix和NT时，是十分有用的。
IP段扫描
　　这种不能算是新方法，只是其它技术的变化。它并不是直接发送TCP探测数据包，是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而过滤器就很难探测到。但必须小心。一些程序在处理这些小数据包时会有些麻烦。

[工具介绍]
1.portscan——是一个极其快速的端口扫描工具，只要知道别人的IP地址，就能查出他的计算机有那些端口开放。
2.Wingate scan——是一个专门扫描Wingate服务器的软件，可以用Wingate作跳板进行Telnet登录。
3.PingPlus——强大的Ping程序，能够快速扫描几个C类地址。
4.Super Scan——一个强大的TCP端口扫描器、Pinger、hostname、reslover，多线的扫描技术使得扫描速度更快，操作界面友好。
5.rscan——用于扫描一定范围的网段内存在特定CGI程序的主机。国产精品。
6.Shadow scan——功能十分强大的扫描软件。
7.追捕——可以很快得到对方计算机的一些常用信息。
端口扫描分析（二）端口扫描途径
二。　端口扫描途径
什么是扫描器
　　扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器你可一不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本！这就能让我们间接的或直观的了解到远程主机所存在的安全问题。

工作原理
　　扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息（比如：是否能用匿名登陆！是否有可写的FTP目录，是否能用TELNET，HTTPD是用ROOT还是nobady在跑！）

扫描器能干什么？
　　扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助我们发现目标机的某些内在的弱点。一个好的扫描器能对它得到的数据进行分析，帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。
　　扫描器应该有三项功能：发现一个主机或网络的能力；一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；通过测试这些服务，发现漏洞的能力。
　　编写扫描器程序必须要很多TCP/IP程序编写和C, Perl和或SHELL语言的知识。需要一些Socket编程的背景，一种在开发客户/服务应用程序的方法。开发一个扫描器是一个雄心勃勃的项目，通常能使程序员感到很满意。
　　下面对常用的端口扫描技术做一个介绍。
TCP connect() 扫描
　　这是最基本的TCP扫描。操作系统提供的connect()系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功。否则，这个端口是不能用的，即没有提供服务。这个技术的一个最大的优点是，你不需要任何权限。系统中的任何用户都有权利使用这个调用。另一个好处就是速度。如果对每个目标端口以线性的方式，使用单独的connect()调用，那么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。使用非阻塞I/O允许你设置一个低的时间用尽周期，同时观察多个套接字。但这种方法的缺点是很容易被发觉，并且被过滤掉。目标计算机的logs文件会显示一连串的连接和连接是出错的服务消息，并且能很快的使它关闭。

TCP SYN扫描
　　这种技术通常认为是“半开放”扫描，这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考TCP的三次握手建立一个TCP连接的过程）。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序必须再发送一个RST信号，来关闭这个连接过程。这种扫描技术的优点在于一般不会在目标计算机上留下记录。但这种方法的一个缺点是，必须要有root权限才能建立自己的SYN数据包。

TCP FIN 扫描
　　有的时候有可能SYN扫描都不够秘密。一些防火墙和包过滤器会对一些指定的端口进行监视，有的程序能检测到这些扫描。相反，FIN数据包可能会没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面，打开的端口会忽略对FIN数据包的回复。这种方法和系统的实现有一定的关系。有的系统不管端口是否打开，都回复RST，这样，这种扫描方法就不适用了。并且这种方法在区分Unix和NT时，是十分有用的。

IP段扫描
　　这种不能算是新方法，只是其它技术的变化。它并不是直接发送TCP探测数据包，是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而过滤器就很难探测到。但必须小心。一些程序在处理这些小数据包时会有些麻烦。

TCP 反向 ident扫描
　　ident 协议允许(rfc1413)看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的。因此你能，举个例子，连接到http端口，然后用identd来发现服务器是否正在以root权限运行。这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。

FTP 返回攻击
　　FTP协议的一个有趣的特点是它支持代理（proxy）FTP连接。即入侵者可以从自己的计算机a.com和目标主机target.com的FTP server-PI(协议解释器)连接，建立一个控制通信连接。然后，请求这个server-PI激活一个有效的server-DTP(数据传输进程)来给Internet上任何地方发送文件。对于一个User-DTP，这是个推测,尽管RFC明确地定义请求一个服务器发送文件到另一个服务器是可以的。但现在这个方法好象不行了。这个协议的缺点是“能用来发送不能跟踪的邮件和新闻，给许多服务器造成打击，用尽磁盘，企图越过防火墙”。
　　我们利用这个的目的是从一个代理的FTP服务器来扫描TCP端口。这样，你能在一个防火墙后面连接到一个FTP服务器，然后扫描端口（这些原来有可能被阻塞）。如果FTP服务器允许从一个目录读写数据，你就能发送任意的数据到发现的打开的端口。
　　对于端口扫描，这个技术是使用PORT命令来表示被动的User DTP正在目标计算机上的某个端口侦听。然后入侵者试图用LIST命令列出当前目录，结果通过Server-DTP发送出去。如果目标主机正在某个端口侦听，传输就会成功（产生一个150或226的回应）。否则，会出现"425 Can't build data connection: Connection refused."。然后，使用另一个PORT命令，尝试目标计算机上的下一个端口。这种方法的优点很明显，难以跟踪，能穿过防火墙。主要缺点是速度很慢，有的FTP服务器最终能得到一些线索，关闭代理功能。

这种方法能成功的情景：
220 xxxxxxx.com FTP server (Version wu-2.4(3) Wed Dec 14 ...) ready.
220 xxx.xxx.xxx.edu FTP server ready.
220 xx.Telcom.xxxx.EDU FTP server (Version wu-2.4(3) Tue Jun 11 ...) ready.
220 lem FTP server (SunOS 4.1) ready.
220 xxx.xxx.es FTP server (Version wu-2.4(11) Sat Apr 27 ...) ready.
220 elios FTP server (SunOS 4.1) ready

这种方法不能成功的情景：
220 wcarchive.cdrom.com FTP server (Version DG-2.0.39 Sun May 4 ...) ready.
220 xxx.xx.xxxxx.EDU Version wu-2.4.2-academ[BETA-12](1) Fri Feb 7
220 ftp Microsoft FTP Service (Version 3.0).
220 xxx FTP server (Version wu-2.4.2-academ[BETA-11](1) Tue Sep 3 ...) ready.
220 xxx.unc.edu FTP server (Version wu-2.4.2-academ[BETA-13](6) ...) ready.

UDP ICMP端口不能到达扫描
　　这种方法与上面几种方法的不同之处在于使用的是UDP协议。由于这个协议很简单，所以扫描变得相对比较困难。这是由于打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。幸运的是，许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH错误。这样你就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达，因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输。这种扫描方法是很慢的，因为RFC对ICMP错误消息的产生速率做了规定。同样，这种扫描方法需要具有root权限。
UDP recvfrom()和write() 扫描
　　当非root用户不能直接读到端口不能到达错误时，Linux能间接地在它们到达时通知用户。比如，对一个关闭的端口的第二个write()调用将失败。在非阻塞的UDP套接字上调用recvfrom()时，如果ICMP出错还没有到达时回返回EAGAIN-重试。如果ICMP到达时，返回ECONNREFUSED-连接被拒绝。这就是用来查看端口是否打开的技术。
ICMP echo扫描
　　这并不是真正意义上的扫描。但有时通过ping，在判断在一个网络上主机是否开机时非常有用。

手动关闭端口的方法

文章整理：Kinki's Blog

为防止漏洞攻击，把系统不用的端口都关闭掉，然后从新启动。
注：关闭的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，还有tcp.
具体操作如下:
默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口：
第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”（如右图），于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。
第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。
第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮（如左图），这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。
第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作（右图）：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。
第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。
于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。

帖子偶先收下，明天在看吧，今天看完估计要变成老花眼