目前,最常見的特洛伊通常是基於TCP/UDP協議在客戶端和服務器之間進行通信。既然使用了這兩種協議,就不可避免的要在服務器(也就是有特洛伊馬的機器)上打開監聽端口,等待連接。比如著名的冰川用的監聽端口是7626,背孔2000用的是54320。然後,我們可以用查看這臺機器的開放端口的方法來檢查我們是否被植入了特洛伊木馬或其他黑客程序。下面是詳細的方法介紹。1.windows附帶的netstat命令。關於netstat命令,我們來看看Windows幫助文件中的介紹:Netstat顯示協議統計和當前TCP/IP網絡連接。此命令只能在安裝了TCP/IP協議後使用。Netstat [-a] [-e] [-n] [-s] [-p協議] [-r] [interval]參數-a顯示所有連接和監聽端口。通常不顯示服務器連接。-e顯示以太網統計信息。此參數可以與-s選項結合使用。-n以數字格式顯示地址和端口號(而不是嘗試查找名稱)。-s顯示每個協議的統計信息。默認情況下,會顯示TCP、UDP、ICMP和IP的統計信息。p選項可用於指定默認子集。-p protocol顯示協議指定的協議的連接;協議可以是tcp或udp。如果與-s選項壹起使用來顯示每個協議的統計信息,協議可以是tcp、udp、icmp或ip。-r顯示路由表的內容。Interval重新顯示選定的統計信息,每次顯示之間暫停間隔秒數。按CTRL+B停止重新顯示主計劃。如果省略該參數,netstat將打印壹次當前配置信息。好了,看完這些幫助文件,我們應該明白如何使用netstat命令。現在,讓我們學習使用它,並使用這個命令來查看我們機器的開放端口。輸入命令行並使用netstat命令的兩個參數A和N:C:\ & gt;netstat -an活動連接協議本地地址外部地址狀態TCP 0.0.0.0:80 0.0.0.0:0監聽TCP 0 . 0 . 0 . 0:21 0 . 0 . 0 . 0:0 listen in Gtcp 0 . 0 . 0 . 0:7626 0 . 0 . 0:0監聽UDP 0 . 0 . 0:445 0 . 0 . 0 . 0 . 0 . 0:0 UDP 0 . 0 . 0 . 0:1046 0Active Connections是指當前的本地活動連接,Proto是指用於連接的協議名稱,Local Address是本地計算機的IP地址和用於連接的端口號,Foreign Address是連接到端口的遠程計算機的IP地址和端口號,State表示TCP連接的狀態。可以看到最後三行的監聽端口都是UDP協議,所以沒有狀態。看啊!我的機器的端口7626已經打開,我正在監聽連接。在這種情況下,很有可能我已經感染了冰川!匆忙斷網,用殺毒軟件查殺病毒是正確的。2.fport,壹個在windows2000下工作的命令行工具,用windows2000的朋友比用windows9X的朋友幸運,因為fport可以用來顯示本地開放端口和進程的對應關系。Fport是FoundStone出品的軟件,用於列出系統中所有開放的TCP/IP和UDP端口,以及它們對應的應用程序的完整路徑、PID標識、進程名等信息。在命令行使用,請看:D的例子:\ & gtfport.exe FPort v 1.33-TCP/IP進程到端口映射器版權所有2000 Foundstone,Inc. Pid進程端口協議路徑748 TCP SVCs->;7 tcpsvcs.exe TCP C:\ WINNT \ System32 \ 748 tcpsvcs-& gt;9 TCP C:\ WINNT \ System32 \ tcpsvcs . exe 748 tcpsvcs-& gt;19 TCP C:\ WINNT \ System32 \ tcpsvcs . exe 416 svchost-& gt;135 TCP C:\ win nt \ system32 \ svchost.exe壹目了然。現在,每個端口上打開的程序就在妳的眼皮底下。如果發現可疑程序打開了可疑端口,千萬不要大意。也許它是壹匹狡猾的特洛伊馬!Fport的最新版本是2.0。很多網站都有提供下載,但是為了安全起見,當然最好是去它的老家:/knowledge/zips/Fport.zip 3。Active Ports Active Ports是SmartLine出品的壹款與fport功能類似的圖形界面工具,妳可以用它來監控電腦所有打開的TCP/IP/UDP端口。不僅可以顯示妳的所有端口,還可以顯示所有端口對應的程序所在的路徑,以及本地IP和遠程IP(嘗試連接妳的電腦IP)是否處於活動狀態。更好的是,它還提供了關閉端口的功能。當妳用它找到特洛伊的開放端口時,妳可以立即關閉這個端口。該軟件在Windows NT/2000/XP平臺下運行。可以在stat命令中增加壹個O參數,使用這個參數可以得到端口和進程的對應關系。以上介紹了幾種查看本機開放端口以及端口與進程對應關系的方法。通過這些方法,可以很容易的找到基於TCP/UDP協議的特洛伊馬,希望能給妳喜歡的機器帶來幫助。但是要註意防範特洛伊馬,如果遇到反彈港特洛伊馬,使用驅動和動態鏈接庫技術制作的新特洛伊馬,這些方法很難查出特洛伊馬的蹤跡。所以壹定要養成良好的上網習慣,不要隨意運行郵件中的附件,安裝壹套殺毒軟件。
滿意,請采納
上一篇:bt怎麽樣?下一篇:恐龍合成源代碼