修改Windows SMB相关服务的默认端口 -电脑资料

Windows NT系列的NetBT（NetBios Over Tcpip）服务，是用来处理SMB（Server Message Block）相关的服务/客户操作的，

修改Windows SMB相关服务的默认端口

。


NetBT服务对应的驱动程序文件是netbt.sys，对应的注册表项是：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT。
微软的KB 120642和KB 314053分别描述了Windows NT、Windows 2000、Windows XP上该键值的部分可选参数。


NetBT服务对应的在Windows NT 4.0上对应的端口是：


NameservicePort 137/UDP

DatagramPort 138/UDP

SessionPort 139/TCP



从Windows 2000开始，微软引入了SMB Direct Over TCP的445端口。上述的137、138、139 端口虽然被保留，并可正常工作，但是默认情况下，系统总是会使用445端口进行SMB会话，仅在445端口工作失败的情形下，才会使用139端口作为SessionPort。

445端口默认情况下是始终开放的。如果要关闭该端口，可以参考微软KB 301673中的方法，HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters中增加一个值：


Value Name: SmbDeviceEnabled

Type: REG_DWORD


Value Data: 0


然后重新启动系统。


顺便提一下，如果要关闭139端口，可以参考微软的KB 299977：


1、 单击开始，指向设置，然后单击网络和拨号连接。

2、 单击您希望静态配置的本地连接，单击文件菜单中的属性。

3、 单击 Internet 协议 (TCP/IP)，单击属性，单击高级，然后单击 WINS 选项卡。

4、 单击禁用 TCP/IP 上的 NetBIOS。

5、 单击确定，单击确定，再次单击确定。


修改会立即生效，不必重新启动系统。


这个445 端口可不可以改成别的值呢？分析netbt.sys可知，服务初始化的时候，函数NbtReadRegistry分别调用ReadParameters和ReadSmbDeviceInfo从注册表中获取

NetBT服务的配置信息：



; ------------------------------------------------------------------------

push [ebp+Handle]

push offset _NbtConfig

call _ReadParameters@8 ; ReadParameters(x,x)

push [ebp+KeyHandle]

call _ReadSmbDeviceInfo@4 ; ReadSmbDeviceInfo(x)

; ------------------------------------------------------------------------


ReadPar

ameters读取的注册表值就在上面提到的三篇KB中基本都有相关说明，但是ReadSmbDeviceInfo 所获取的信息，似乎还没有现成的文档描述，

电脑资料

《修改Windows SMB相关服务的默认端口》()。下面是逆向工程出来的5.0.2195.6783版本netbt.sys的ReadSmbDeviceInfo函数：


; ------------------------------------------------------------------------

; __stdcall ReadSmbDeviceInfo(KeyHandle)


KeyHandle = dword ptr 8


push ebp

mov ebp, esp

lea eax, [ebp+KeyHandle]

push esi

push eax ; KeyHandle

push offset aParametersSmb ; "Parameters\Smb"

push [ebp+KeyHandle] ; int

call _NbtOpenRegistry@12 ; NbtOpenRegistry(x,x,x)

mov esi, eax

test esi, esi

jl short SetDefaultPort ;如果键不存在则转向去设置默认值

push 1

push 1BDh ; 默认值445

push offset aSessionport ; "SessionPort"

push [ebp+KeyHandle]

call _NbtReadSingleParameter@16 ; NbtReadSingleParameter(x,x,x,x)

push 1

push 1BDh ; 默认值445

push offset aDatagramport ; "DatagramPort"

mov word_2BA88, ax