Tafinho:
Ponto 1, não é pela porta que determinado atacante ganha ou perde pontos, ou encontra + ou - vulnerabilidades em dada máquina, mas sim pelo serviço.
Portanto, correr um jogo na 666 ou na 30000 vai tudo dar ao mesmo. (podes ter razão no sentido da 30000 poder passar + despercebida).
Por acaso e um pequeno aparte, a porta 666 é uma porta privilegiada e é de um jogo, se correres um ftp server na 666 o nmap pensa que tás a correr um servidor do doom :-)
No que diz respeito ao nmap e ao scan que ele faz para detectar o sistema operativo, ele utiliza TCP fingerprinting: diversas técnicas de envio de pacotes TCP, e que pelas respostas ou ausência delas, determina o sistema operativo pois cada um tem a sua maneira de responder a dado pacote ou pedido de ligação (headers, replies, etc). Com base na forma como o sistema remoto reage aos pacotes enviados pelo nmap, ele tenta adivinhar com mais ou menos margem de erro, o sistema operativo da maquina remota.
Tal, e ao contrário do que indicaste acima, é identificável e pode ser loggado caso a máquina esteja a correr ferramentas para o efeito.
Anyway, já tou farto destas picardias.. tu ficas com a tua e eu com a minha e fica tudo feliz.