原标题：系统入侵与远程控制

随着计算机的发展以及其功能的强大，计算机系统的漏洞也相应地多起来，同时，越来越新的操作系统为满足用户的需求，在其中加入了远程控制功能，这一功能本来是方便用户使用的，但也为黑客们所利用。本文介绍系统入侵与远程控制的防护策略。

一、通过账号入侵系统的常用手段

入侵计算机系统是黑客的首要任务，无论采用什么手段，只要入侵到目标主机的系统当中，这一台计算机就相当于是黑客的了。下面介绍几种常见的入侵计算机系统的方式。

（一）使用DOS命令创建隐藏账号入侵系统

黑客在成功入侵一台主机后，会在该主机上建立隐藏账号，以便长期控制该主机，下面介绍使用命令创建隐藏账号的操作步骤。

步骤1右击【开始】按钮，在弹出的快捷菜单中选择【命令提示符（管理员）】选项。

步骤2打开【命令提示符】窗口，在其中输入net user wyy$ 123455 /add命令，按Enter键，即可成功创建一个用户名为“wyy$”，密码为“123455”的隐藏账号。

步骤4再次输入net user命令，按Enter键后，即可显示当前系统中所有已存在的账号信息，但是却发现刚刚创建的wyy$并没有显示。

由此可见，隐藏账号可以不被命令查看到，不过，这种方法创建的隐藏账号并不能完美被隐藏。查看隐藏账号的具体操作步骤如下。

步骤1在桌面上右击【此电脑】图标，在弹出的快捷菜单中选择【管理】选项，打开【计算机管理】窗口。

步骤2依次展开【系统工具】→【本地用户和组】→【用户】选项，这时在右侧的窗格中可以发现创建的wyy$隐藏账号依然会被显示。

这种隐藏账号的方法并不实用，只能做到在【命令提示符】窗口中隐藏，属于入门级的系统账户隐藏技术。

（二）在注册表中创建隐藏账号入侵系统

注册表是Windows系统的数据库，包含系统中非常多的重要信息，也是黑客最多关注的地方。下面就来看看黑客是如何使用注册表来更好地隐藏。

步骤1选择【开始】→【运行】选项，打开【运行】对话框，在【打开】文本框中输入regedit。

步骤2单击【确定】按钮，打开【注册表编辑器】窗口，在左侧窗口中，依次选择HKEY_LOCAL_MACHINESAMSAM注册表项，右击SAM，在弹出的快捷菜单中选择【权限】选项。

步骤3打开【SAM的权限】对话框，在【组或用户名称】栏中选择【Administrators】，然后在【Administrators的权限】栏中勾选【完全控制】和【读取】复选框，单击【确定】按钮保存设置。

步骤5右键单击【wyy$】项，在弹出的快捷菜单中选择【导出】选项。

步骤6打开【导出注册表文件】对话框，将该项命名为wyy.reg，然后单击【保存】按钮，即可导出wyy.reg。

步骤8用记事本打开administrator.reg，选中"F"=后面的内容并复制下来，然后打开user.reg，将"F"=后面的内容替换掉。完成后，将user.reg进行保存。

步骤9打开【命令提示符】窗口，输入netuser wyy$ /del命令，按Enter键后，即可将建立的隐藏账号“wyy$”删除。

步骤10分别将wyy.reg和user.reg导入到注册表中，即可完成注册表隐藏账号的创建，在【本地用户和组】窗口中，也查看不到隐藏账号。

利用此种方法创建的隐藏账号在注册表中还是可以查看到的。为了保证建立的隐藏账号不被管理员删除，还需要对HKEY_LOCAL_MACHINESAMSAM注册表项的权限取消。这样，即便是真正的管理员发现了并要删除隐藏账号，系统就会报错，并且无法再次赋予权限。经验不足的管理员就只能束手无策了。

（三）使用MT工具创建复制账号入侵系统

建立隐藏账号是入侵计算机系统后的重要工作，要建立隐藏的用户账号，最好的办法就是复制管理员账号，利用MT工具就可以很轻松地创建复制账号，具体的操作步骤如下。

步骤1在进行账号复制之前，查看远程主机上的管理员用户名信息。在远程主机的溢出窗口中输入net localgroup administrators命令，然后按下Enter键执行该命令，即可看到所有管理员的用户名。

步骤2查看远程主机上的Guest用户名信息。在远程主机的溢出窗口中输入net user Guest命令，然后按下Enter键执行该命令，从执行结果中可以看出Guest用户的账号没有启动，且密码为空。

步骤3下面就可以利用MT工具把Guest账号复制为具有与前面管理员账号相同的权限。在复制账号之前，需要获取系统的最高权限，在溢出窗口中输入mt -su命令。

步骤4按下Enter键执行该命令，打开新的【命令提示符】窗口，就可以获取系统的最高级别的System权限。

步骤5在打开的新的【命令提示符】窗口中就可以进行账号复制操作了。复制账号的参数为-clone，命令格式为mt -clone <SourUser>

分析上述显示的信息，则说明操作成功，此时已经将Guest账号复制成了管理员组的账号。

步骤6在新打开的【命令提示符】窗口中输入mt -chkuser命令，按下Enter键执行该命令，可以显示所有账号的SID值，从中可以看出Guest账号的CheckedSID值与Administrator账号的值是相同的，说明两个账号具有相同的权限，这样就在目标主机中建立了一个隐藏账号。

当Guest账号被添加到管理员用户组之中，就具有了与Administrator相同的管理员权限，但是在查看Guest账号信息时，显示的该账号依然是Guest组中，而且是未启用的状态。事实上，该账号已经被暗中激活启用，并且当Guest账号被管理员禁用时，攻击者依然可以用Guest账号进行登录，执行管理员权限的操作。

二、抢救被账号入侵的系统

当确定了自己的计算机遭到了入侵，可以在不重装系统的情况下采用如下方式“抢救”被入侵的系统。

（一）揪出黑客创建的隐藏账号

隐藏账号的危害是不容忽视的，用户可以通过设置组策略，使黑客无法使用隐藏账号登录。具体操作步骤如下。

步骤1打开【本地组策略编辑器】窗口，依次展开【计算机配置】→【Windows设置】→【安全设置】→【本地策略】→【审核策略】选项。

步骤2双击右侧窗口中的【审核策略更改】选项，打开【审核策略更改属性】对话框，勾选【成功】复选框，单击【确定】按钮保存设置。

步骤3按照上述步骤，将【审核登录事件】选项做同样的设置。

步骤4按照步骤2的步骤，在【审核进程跟踪】选项中做同样的设置。

步骤5设置完成后，用户就可以通过【计算机管理】窗口中的【事件查看器】选项，查看所有登录过系统的账号及登录的时间，对于有可疑的账号在这里一目了然，即便黑客删除了登录日志，系统也会自动记录删除了日志的账号。

在确定了黑客的隐藏账号之后，却无法删除。这时，可以通过【命令提示符】窗口，运行net user【隐藏账号】【新密码】命令来更改隐藏账号的登录密码，使黑客无法登录该账号。

（二）批量关闭危险端口

众所周知，网络上木马病毒无孔不入，在各种防护手段中，关闭系统中的危险端口是非常重要的，但是对于计算机新手来说，哪些端口是危险的，哪些端口是不危险的，并不清楚。下面介绍一些自动关闭危险端口的方法，来帮助用户扫描并关闭危险的端口。

对于初学者来说，一个一个地关闭危险端口太麻烦了，而且也不知道哪些端口应该关闭，哪些端口不应该关闭。不过用户可以使用一个叫作【危险端口关闭小助手】的工具来自动关闭端口，具体的操作步骤如下。

步骤1下载并解压缩【危险端口关闭小助手】工具，在解压的文件中双击【自动关闭危险端口.bat】批量处理文件，则可自动打开【命令】窗口，并在其中闪过关闭状态信息。

步骤2关闭结束后，系统中的危险端口就全部被关闭掉了，当程序停止后，不要关闭【命令】窗口，这时按下任意键，或继续运行【Win服务器过滤策略】，然后再进行木马服务端口的关闭，全部完成后，系统才做到真正的安全。

步骤3使用【危险端口关闭小助手】工具还可以手工修改、自动关闭端口，利用该功能可以把最新的端口添加到关闭的列表中。用记事本打开【关闭危险端口.bat】文件，即可在其中看到关闭端口的重要语句rem ipconfig -w REG -p "HFUT_SECU" -r "Block UDP/138" -f *+0:138:UDP -n BLOCK -x >nul，其中UDP参数用于指定关闭端口使用的协议，138参数是要关闭的端口。

步骤5添加完毕后，将该文件保存为.bat文件，重新运行即可关闭新添加的端口。

三、通过远程控制工具入侵系统

通过远程控制工具入侵目标主机系统的方法有多种，最常见的有telnet、ssh、vnc、远程桌面等技术，除此之外还有一些专门的远程控制工具，如RemotelyAnywhere、PcAnywhere等。

远程控制是在网络上由一台电脑（主控端／客户端）远距离去控制另一台电脑（被控端／服务器端）的技术，而远程一般是指通过网络控制远端电脑，和操作自己的电脑一样。

远程控制一般支持LAN、WAN、拨号方式、互联网方式等网络方式。此外，有的远程控制软件还支持通过串口、并口等方式来对远程主机进行控制。随着网络技术的发展，目前很多远程控制软件提供通过Web页面以Java技术来控制远程电脑，这样可以实现不同操作系统下的远程控制。

远程控制的应用体现在如下几个方面。

（1）远程办公。这种远程的办公方式不仅大大缓解了城市交通状况，还免去了人们上下班路上奔波的辛劳，更可以提高企业员工的工作效率和工作兴趣。

（2）远程技术支持。一般情况下，远距离的技术支持必须依赖技术人员和用户之间的电话交流来进行，这种交流既耗时又容易出错。有了远程控制技术，技术人员就可以远程控制用户的电脑，就像直接操作本地电脑一样，只需要用户的简单帮助就可以看到该机器存在问题的第一手材料，很快找到问题的所在并加以解决。

（3）远程交流。商业公司可以依靠远程技术与客户进行远程交流。采用交互式的教学模式，通过实际操作来培训用户，从专业人员那里学习知识就变得十分容易。而教师和学生之间也可以利用这种远程控制技术实现教学问题的交流，学生可以直接在电脑中进行习题的演算和求解，在此过程中，教师能够轻松看到学生的解题思路和步骤，并加以实时的指导。

（4）远程维护和管理。网络管理员或者普通用户可以通过远程控制技术对远端计算机进行安装和配置软件、下载并安装软件修补程序、配置应用程序和进行系统软件设置等操作。

（二）通过Windows远程桌面实现远程控制

远程桌面功能是Windows系统自带的一种远程管理工具。它具有操作方便、直观等特征。如果目标主机开启了远程桌面连接功能，就可以在网络中的其他主机上连接控制这台目标主机了。

在Windows 10系统中开启远程桌面的具体操作步骤如下。

步骤1右击【此电脑】图标，在弹出的快捷菜单中选择【属性】，打开【系统属性】对话框。

步骤2单击【运程设置】，打开【系统属性】对话框，在其中勾选【允许远程协助连接这台计算机】复选框，设置完毕后，单击【确定】按钮，即可完成设置。

步骤3选择【开始】→【Windows附件】→【远程桌面连接】选项，打开【远程桌面连接】窗口。

步骤4单击【显示选项】按钮，展开即可看到选项的具体内容。在【常规】选项卡中的【计算机】下拉文本框中选择需要远程连接的计算机名称或IP地址；在【用户名】文本框中输入相应的用户名。

步骤5选择【显示】选项卡，在其中可以设置远程桌面的大小、颜色等属性。

步骤6如果需要远程桌面与本地计算机文件进行传输，则需在【本地资源】选项卡下设置相应的属性。

步骤7单击【详细信息】按钮，在【本地设备和资源】中选择需要的驱动器后，单击【确定】按钮，返回到【远程桌面连接】设置的窗口中。

步骤8单击【连接】按钮，进行远程桌面连接。

步骤9单击【连接】按钮，弹出【远程桌面连接】对话框，显示正在启动远程连接。

步骤10启动远程连接完成后，将弹出【Windows安全性】对话框。在【用户名】文本框中输入登录用户的名称；在【密码】文本框中输入登录密码。

步骤11单击【确定】按钮，会弹出一个信息提示框，提示用户是否继续连接。

步骤12单击【是】按钮，即可登录到远程计算机桌面，此时可以在该远程桌面上进行任何操作。

另外，在需要断开远程桌面连接时，只需在本地计算机中单击远程桌面连接窗口上的【关闭】按钮，弹出【断开与远程桌面服务会话的连接】提示框。单击【确定】按钮，即可断开远程桌面连接。

在进行远程桌面连接之前，需要双方都勾选【允许远程用户连接到此计算机】复选框，否则将无法成功创建连接。

RemotelyAnywhere工具是利用浏览器进行远程连接入侵控制的小程序，使用时需要实现在目标主机上安装该软件，并知道该主机的连接地址以及端口，这样其他任何主机都可以通过浏览器来访问目标主机了。

下面来学习如何安装RemotelyAnywherel软件，具体操作步骤如下。

步骤1运行RemotelyAnywhere安装程序，在弹出的对话框中单击【Next】按钮。

步骤3弹出【Software options】对话框。选择【Custom】单选按钮，可以手工指定软件安装配置项，本实例选择【Typical】单选按钮，使用默认配置，单击【Next】按钮。

步骤4弹出【Choose Destination Location】对话框，单击【Browse】按钮，可以改变安装目录，本实例采用默认配置，单击【Next】按钮。

步骤5弹出【Start copying files】对话框，显示已配置信息，信息中说明连接服务器的端口为2000，单击【Next】按钮。

步骤8弹出Windows验证界面，在其中需要输入此计算机的用户名和密码。

步骤9单击【登录】按钮，弹出RemotelyAnywhere激活方式选择界面，可以选择【我已是RemotelyAnywhere用户或已具有RemotelyAnywhere许可证】单选按钮进行激活，也可以选择【我希望现在购买RemotelyAnywhere】在线激活，本实例选择【我想免费试用】试用，单击【下一步】按钮。

步骤10在弹出的界面的【电子邮件地址】文本框中输入激活使用的邮箱地址，并在【产品类型】列表选项中选择试用产品类型，本实例采用【服务器版】，单击【下一步】按钮。

步骤11在弹出的界面中依次输入指定内容，单击【下一步】按钮。

（二）连接入侵远程主机

安装RemotelyAnywhere软件并成功激活后，下面就可以通过浏览器连接入侵目标主机了，具体的操作步骤如下。

步骤1打开浏览器，本例使用的是360安全浏览器、在地址栏中输入Remotely Anywhere安装过程中提示的地址，通用格式为“http://{目标服务器IP|主机名|域名}:2000”，本实例使用https://desktopjmqaao8:2000/main.html进行讲解，在【用户名】和【密码】文本框中输入有效的远程管理账户的信息，默认使用Administrator账号登录。

步骤2单击【登录】按钮，进入Remotely Anywhere远程管理界面，左侧显示管理功能列表，用户可以使用不同的管理功能对远程主机进行多功能全方位的管理操作。

步骤3单击【继续】按钮进行远程主机信息查看与管理，默认显示【控制面板】管理功能界面。

通过该页面可以快速了解远程服务器的多种状态、信息，具体内容如下。

（1）系统信息：显示系统版本、CPU型号、物理内存使用情况、总内存（包括虚拟内存）使用情况、系统已启动时间、登录系统账户。

（2）事件：显示最近发生的系统事件，默认显示5个事件。

（3）进程：显示进程的系统资源占用情况，默认以CPU占用比例为序，显示CPU占用率最高的5个进程。

（4）已安装的修补程序：最近安装的系统补丁，默认显示5个补丁信息。

（5）网络流量：动态显示网络流量信息。

（6）磁盘驱动器：所有分区的空间使用情况。

（7）计划的任务：显示最后执行的任务计划，默认为5个。

（8）最近的访问：系统最近访问记录。

（9）日记：管理员可在此区域编辑管理日记。

（三）远程操控目标主机

当成功入侵目标主机后，就可以通过浏览器远程操作目标主机了，具体的操作步骤如下。

步骤1选择左侧列表中的【远程控制】选项，在右侧窗格中显示了远程主机的界面，通过该窗格可以利用本地的鼠标、键盘、显示器直接控制远程主机。在窗格上侧有部分工具可以使用，包括颜色调整、远程桌面大小调整等。

步骤2选择左侧列表中的【文件管理器】选项，在右侧窗格中显示了本地和远程主机的资源管理器，在两个资源管理器中可以随意地拖曳文件，以实现资料互传。

步骤3选择左侧列表中的【桌面共享】选项，在右侧窗格中显示了实现桌面共享的操作方法。按照提示方法右击桌面状态栏的程序图标，在弹出的快捷菜单中选择【Share my Desktop…】选项。

步骤4弹出【桌面共享】对话框，选择【邀请来宾与您一起工作】单选按钮，单击【下一步】按钮。

步骤5弹出【邀请详情】对话框，可以在本对话框中配置邀请名，默认按时间显示，方便以后查看，还可以设置本次邀请的有效访问时限，在最后一个文本框中输入被邀请人连接目标主机使用的地址，全部选择默认配置，单击【下一步】按钮。

步骤6弹出【已创建邀请】对话框，在文本框中显示了被邀请人获得的地址，可以通过单击【复制】和【电子邮件】两个按钮，让被邀请人获得邀请地址，单击【完成】按钮，完成本次邀请。

步骤7单击左侧列表中【聊天】选项，通过右侧窗格可以与被管设备聊天，一般被管设备很少有人在，所以该功能用得比较少。

步骤8选择左侧列表中的【计算机管理】→【用户管理器】选项，在右侧【用户管理器】窗格中显示了远程主机的用户和组信息，单击【添加用户】按钮可以为远程主机增加用户，同时可以单击用户名对其进行编辑。

步骤9选择左侧列表中的【计算机管理】→【事件查看器】选项，在右侧窗格中显示了【事件查看器】窗格，通过该窗格可以查看远程主机的事件信息。

步骤10选择左侧列表中的【计算机管理】→【服务】选项，在右侧窗格中显示了【服务】窗格，通过该窗格可以查看远程主机所有的服务项，也可以单击这些服务项进行启动、禁用和删除操作。

步骤11选择左侧列表中的【计算机管理】→【进程】选项，在右侧窗格中显示了【进程】窗格，通过该窗格可以查看远程主机所有的进程，单击PID号为1752的进程。

步骤12弹出新页面，显示出进程1752的进程名为Runtime Broker.exe，同时还显示了该进程的其他信息，通过修改【优先级类】下拉菜单选项可以调整该进程的优先级别，可以为需要优先执行的进程做调整。

步骤13选择左侧列表中的【计算机管理】→【注册表编辑器】选项，在右侧窗格中显示了【注册表编辑器】窗格，通过该窗格可以查看远程主机的注册表信息，但是默认被隐藏的注册表信息无法看到，如【HKEY_LOCAL_MACHINE】→【SAM】→【SAM】下的系统账户注册表信息。

步骤14选择左侧列表中的【计算机管理】→【重新引导选项】，在右侧窗格中显示了【重新引导选项】窗格，通过该窗格可以根据需求对远程主机做各种引导操作，只需要单击指定的图标按钮就可以。

步骤15选择左侧列表中的【计算机设置】→【环境变量】选项，在右侧窗格中显示了【环境变量】窗格，通过该窗格可以修改远程主机的环境变量信息，通过单击指定环境变量选项进行调整。

步骤16选择左侧列表中的【计算机设置】→【虚拟内存】选项，在右侧窗格中显示了【虚拟内存】窗格，通过该窗格可以修改远程主机的不同磁盘驱动器提供虚拟内存的数量，建议不要选择C盘，总量设置为物理内存的1.5倍，单击【应用】按钮使配置生效。

步骤17通过RemotelyAnywhere还可以配置个别主机的配置，比如：FTP、活动目录。不过一般不建议使用该功能。

步骤18在左侧选项列表中选择【计划与警报】选项，该选项下有两个子选项，分别是【电子邮件警报】【任务计划程序】。通过【电子邮件警报】选项可以监视系统接收的电子邮件信息，对垃圾邮件等有安全威胁的信息提供警报提示；通过【任务计划程序】选项可以为系统配置任务计划。

步骤19在左侧选项列表中选择【性能信息】→【CPU负载】选项，在右侧显示【CPU负载】窗格，该窗格显示了CPU的使用图表，从图表中可以看到各个进程的CPU使用情况。

步骤20在左侧选项列表中选择【性能信息】→【驱动器与分区信息】选项，在右侧显示【驱动器与分区信息】窗格，该窗格显示了远程主机磁盘分区情况，及各个分区的状态信息，可以单击指定分区进行分区调整。

步骤21在左侧选项列表中选择【安全】→【访问控制】选项，在右侧显示【访问控制】窗格，通过该窗格可以设置部分访问控制内容，例如为特定用户指定访问权限，配置完成后单击【应用】按钮生效。

步骤22在左侧选项列表中选择【安全】→【IP地址锁定】选项，在右侧显示【IP地址锁定】窗格，通过该窗格可以对非法访问远程主机的地址进行锁定操作，通过【拒绝服务过滤器】和【验证攻击过滤器】两项来完成配置。【拒绝服务过滤器】根据对服务器HTTP无效请求数进行IP地址锁定，【验证攻击过滤器】根据对服务器无效验证数进行IP地址锁定，超出阀值的按照规定时间锁定地址。

步骤23在左侧选项列表中选择【安全】→【IP过滤】选项，在右侧显示【IP过滤】窗格，通过单击右侧窗格的【添加】按钮，可以为远程服务器添加IP过滤策略，选择配置好的配置文件，单击【使用配置文件】按钮，可以使该项IP过滤策略生效。

五、远程控制的防护策略

要想使自己的计算机不受远程控制入侵的困扰，就需要用户对自己的计算机进行相应的保护操作，如关闭自己计算机的远程控制功能，安装相应的防火墙等。

（一）关闭Window远程桌面功能

关闭Window远程桌面功能是防止黑客远程入侵系统的首要工作，具体的操作步骤如下。

步骤1右键单击桌面上的【计算机】图标，在弹出的快捷菜单中选择【属性】选项，打开【系统属性】对话框。

步骤2取消勾选【允许远程协助连接这台计算机】复选框，选择【不允许远程连接到此计算机】单选按钮，然后单击【确定】按钮，即可关闭Window系统的远程桌面功能。

（二）开启系统的防火墙

为了更好地进行网络安全管理，Windows系统特意为用户提供了防火墙功能。如果能够巧妙地使用该功能，就可以根据实际需要允许或拒绝网络信息通过，从而达到防范攻击、保护系统安全的目的。

使用Windows自带防火墙的具体操作步骤如下。

步骤1在【控制面板】窗口中双击【Windows防火墙】图标项，打开【Windows防火墙】对话框，在对话框中显示此时Windows防火墙已经被开启。

步骤2单击左侧列表中的【允许应用或功能通过Windows防火墙】链接，在打开的窗口中可以设置哪些程序或功能允许通过Windows防火墙访问外网。

步骤3单击【更改通知设置】或【启用或关闭Windows防火墙】链接，在打开的窗口中可以开启或关闭防火墙。

步骤4单击【高级设置】链接，进入【高级设置】窗口，在其中可以对入站、出站、连接安全等规则进行设定。

（三）使用天网防火墙防护系统

天网防火墙是由天网安全实验室研发制作，供个人计算机使用的网络安全防火墙，根据系统管理者设定的安全规则把守网络，并提供强大的访问控制、应用选通、信息过滤等功能，可以抵挡网络入侵和攻击，防止信息泄露，从而保障用户机器的系统安全。

使用天网防火墙防御入侵的具体操作步骤如下。

步骤1双击任务栏处出现的图标，打开【天网防火墙个人版】主界面。

步骤2单击【天网防火墙个人版】主界面上方的（应用程序规则）按钮，打开【应用程序规则】对话框。各应用程序项中的“√”表示该程序可以使用网络资源；“？”表示当该程序使用网络资源时将弹出信息提示对话框；“×”表示该程序不能使用网络资源。

步骤3选择其中的一个应用程序（如“迅雷”）之后，单击【删除】按钮，即可打开【天网防火墙提示信息】对话框。

步骤4单击【确定】按钮，将禁止迅雷使用网络资源，如果此时再运行迅雷，即可弹出【天网防火墙警告信息】对话框。只有取消勾选【该程序以后都按照这次的操作运行】复选框并单击【允许】按钮，该程序才可使用网络资源。

步骤5在应用程序列表中单击【迅雷】选项中的【选项】按钮，打开【应用程序规则高级设置】对话框。

步骤6如果选择【端口范围】单选按钮，则会打开【应用程序规则高级设置】对话框，在其中设置该程序访问网络的端口范围（在这里只能使用0～1024的端口）。

步骤7选择【端口列表】单选按钮，即可在其中输入该程序具体使用了哪些端口。

步骤8在天网防火墙主窗口中单击[图片]（IP规则管理）按钮，打开【自定义IP规则】对话框。勾选【禁止所有人链接UDP端口】复选框，即可看到该规则的描述信息。

步骤9在天网防火墙主窗口中单击（系统设置）按钮，打开【系统设置】对话框。在其中勾选【开机后自动启动防火墙】复选框，以后每次开机后就会自动运行天网防火墙。

步骤10如果要想删除修改过的规则，则单击【重置】按钮，弹出重置确认对话框。单击【确定】按钮，所有被修改过的规则就都将变成默认设置。

当在“天网防火墙”运行情况下，远程入侵程序要打开网络端口，则可弹出【天网防火墙警告信息】对话框，管理员就可以很容易地检测到自己运行的程序是否被绑定了远程入侵。此时单击其中的【禁止】按钮，即可防止某程序使用网络资源。这样，黑客就无法通过远程入侵程序来对该机器进行远程控制。

如果用户的计算机被黑客植入了远程入侵程序，则可采用如下方法进行处理。

步骤1在【自定义IP规则】对话框中，单击（添加规则）按钮，打开【增加IP规则】对话框。在【名称】文本框和【说明】文本框中分别输入【阻止冰河木马入侵】【当其他计算机想通过冰河客户端程序控制本地计算机，本地计算机的天网防火墙图标上就会出现不断闪烁】；在【数据包方向】下拉列表中选择【接收】选项；在【对方IP地址】下拉列表中选择【任何地址】选项；在【当满足上面条件时】下拉列表框中选择【拦截】选项；在【同时还】栏目中勾选【发声】复选框。

步骤2单击【确定】按钮，返回到【IP规则】列表框中，在其中可以看到【阻止冰河木马入侵】选项。

这样，当其他计算机想通过冰河客户端程序控制本地计算机，本地计算机的天网防火墙图标上就会出现不断闪烁的“！”标识并发出警报声音。此时只需单击按钮，天网防火墙就可以显示是哪些IP通过木马在访问本地计算机。

（四）关闭远程注册表管理服务

远程控制注册表主要是为了方便网络管理员对网络中的计算机进行管理，但这样却给黑客入侵提供了方便。因此，必须关闭远程注册表管理服务，具体的操作步骤如下。

步骤1在【控制面板】窗口中双击【管理工具】选项，进入【管理工具】窗口。

步骤2双击【服务】选项，打开【服务】窗口，在其中可看到本地计算机中的所有服务。

步骤3在【服务】列表中选中【Remote Registry】选项并右击，在弹出的快捷菜单中选择【属性】选项，打开【Remote Registry的属性】对话框。

步骤4单击【停止】按钮，即可打开【服务控制】提示框，提示Windows正在尝试停止本地计算上的一些服务。

步骤5在服务停止完毕之后，即可返回到【Remote Registry的属性】对话框中，此时即可看到【服务状态】已变为【已停止】，单击【确定】按钮，即可完成【允许远程注册表操作】服务的关闭操作。