3.2　搶救被賬號入侵的系統

當確定自己的計算機遭到入侵后，可以在不重裝系統的情況下采用如下方式“搶救”被入侵的系統。

3.2.1　揪出黑客創建的隱藏賬號

隱藏賬號的危害是不容忽視的，用戶可以通過設置組策略，使黑客無法使用隱藏賬號登錄。具體操作步驟如下。

Step 01　右擊“開始”按鈕，在彈出的快捷菜單中選擇“運行”選項，打開“運行”對話框，在“打開”文本框中輸入gpedit.msc。

Step 02　單擊“確定”按鈕，打開“本地組策略編輯器”窗口，依次展開“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“審核策略”選項。

Step 03　雙擊右側窗口中的“審核策略更改”選項，打開“審核策略更改屬性”對話框，勾選“成功”復選框，單擊“確定”按鈕保存設置。

Step 04　按照上述步驟，將“審核登錄事件”選項做同樣的設置。

Step 05　按照Step02和Step03，將“審核進程跟蹤”選項做同樣的設置。

Step 06　設置完成后，用戶就可以在“計算機管理”窗口中的“事件查看器”選項下，查看所有登錄過系統的賬號及登錄的時間，如果有可疑的賬號，在這里可一目了然，即便黑客刪除了登錄日志，系統也會自動記錄刪除日志的賬號。

3.2.2　批量關閉系統危險端口

眾所周知，網絡上木馬病毒無孔不入。在各種防護手段中，關閉系統中的危險端口是非常重要的，但是對于計算機新手來說，哪些端口是危險的，哪些端口是不危險的，并不清楚。下面就來介紹一些自動關閉危險端口的方法，幫助用戶掃描并關閉危險的端口。

對于初學者來說，一個一個地關閉危險端口太麻煩了，而且也不知道哪些端口應該關閉，哪些端口不應該關閉。不過用戶可以使用一個叫作“危險端口關閉小助手”的工具來自動關閉端口，具體的操作步驟如下。

Step 01　下載并解壓縮“危險端口關閉小助手”工具，在解壓的文件中雙擊“自動關閉危險端口.bat”批量處理文件，則可自動打開“命令”窗口，并在其中閃過關閉狀態信息。

Step 02　關閉結束后，系統中的危險端口就全部被關閉掉了。當程序停止后，不要關閉“命令”窗口，這時按下任意鍵，或繼續運行“Win服務器過濾策略”，然后再進行木馬服務端口的關閉，全部完成后，系統才做到真正的安全。

Step 03　使用“危險端口關閉小助手”工具還可以手工修改、自動關閉端口，利用該功能可以把最新的端口添加到關閉的列表中。用記事本打開“關閉危險端口.bat”文件，即可在其中看到關閉端口的重要語句rem ipconfig -w REG -p "HFUT_SECU" -r"Block UDP/138" -f *+0:138:UDP -n BLOCK -x >nul，其中UDP參數用于指定關閉端口使用的協議，138參數代表要關閉的端口。

Step 04　參照上述語句，可以手工添加語句，將一些新的木馬病毒使用的端口加入到關閉列表中，例如，要關閉新木馬使用的8080端口，則可以添加如下語句rem ipconfig -w REG -p "HFUT_SECU" -r "Block UDP/8080" -f *+0:8080:UDP -n BLOCK -x >nul，添加完成后的顯示效果如下圖所示。

Step 05　添加完畢后，將該文件保存為.bat文件，重新運行即可關閉新添加的端口。