3.2　抢救被账号入侵的系统

当确定自己的计算机遭到入侵后，可以在不重装系统的情况下采用如下方式“抢救”被入侵的系统。

3.2.1　揪出黑客创建的隐藏账号

隐藏账号的危害是不容忽视的，用户可以通过设置组策略，使黑客无法使用隐藏账号登录。具体操作步骤如下。

Step 01　右击“开始”按钮，在弹出的快捷菜单中选择“运行”选项，打开“运行”对话框，在“打开”文本框中输入gpedit.msc。

Step 02　单击“确定”按钮，打开“本地组策略编辑器”窗口，依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”选项。

Step 03　双击右侧窗口中的“审核策略更改”选项，打开“审核策略更改属性”对话框，勾选“成功”复选框，单击“确定”按钮保存设置。

Step 04　按照上述步骤，将“审核登录事件”选项做同样的设置。

Step 05　按照Step02和Step03，将“审核进程跟踪”选项做同样的设置。

Step 06　设置完成后，用户就可以在“计算机管理”窗口中的“事件查看器”选项下，查看所有登录过系统的账号及登录的时间，如果有可疑的账号，在这里可一目了然，即便黑客删除了登录日志，系统也会自动记录删除日志的账号。

3.2.2　批量关闭系统危险端口

众所周知，网络上木马病毒无孔不入。在各种防护手段中，关闭系统中的危险端口是非常重要的，但是对于计算机新手来说，哪些端口是危险的，哪些端口是不危险的，并不清楚。下面就来介绍一些自动关闭危险端口的方法，帮助用户扫描并关闭危险的端口。

对于初学者来说，一个一个地关闭危险端口太麻烦了，而且也不知道哪些端口应该关闭，哪些端口不应该关闭。不过用户可以使用一个叫作“危险端口关闭小助手”的工具来自动关闭端口，具体的操作步骤如下。

Step 01　下载并解压缩“危险端口关闭小助手”工具，在解压的文件中双击“自动关闭危险端口.bat”批量处理文件，则可自动打开“命令”窗口，并在其中闪过关闭状态信息。

Step 02　关闭结束后，系统中的危险端口就全部被关闭掉了。当程序停止后，不要关闭“命令”窗口，这时按下任意键，或继续运行“Win服务器过滤策略”，然后再进行木马服务端口的关闭，全部完成后，系统才做到真正的安全。

Step 03　使用“危险端口关闭小助手”工具还可以手工修改、自动关闭端口，利用该功能可以把最新的端口添加到关闭的列表中。用记事本打开“关闭危险端口.bat”文件，即可在其中看到关闭端口的重要语句rem ipconfig -w REG -p "HFUT_SECU" -r"Block UDP/138" -f *+0:138:UDP -n BLOCK -x >nul，其中UDP参数用于指定关闭端口使用的协议，138参数代表要关闭的端口。

Step 04　参照上述语句，可以手工添加语句，将一些新的木马病毒使用的端口加入到关闭列表中，例如，要关闭新木马使用的8080端口，则可以添加如下语句rem ipconfig -w REG -p "HFUT_SECU" -r "Block UDP/8080" -f *+0:8080:UDP -n BLOCK -x >nul，添加完成后的显示效果如下图所示。

Step 05　添加完毕后，将该文件保存为.bat文件，重新运行即可关闭新添加的端口。