根據(jù)權威機構統(tǒng)計表明�,個人計算機和企業(yè)服務器最懼怕的事件前三名依次為斷電,斷網(wǎng)和中毒�。可見中毒是一件非??膳碌氖虑椋瑖乐赜绊懥藗€人用戶上網(wǎng)和企業(yè)服務器運轉����。當然中毒主要分兩類,一類是感染普通病毒,這時我們只需要用最新的殺毒軟件進行查殺即可��,他給我們帶來的無外乎是系統(tǒng)運行速度減慢等影響性能的危害���;而另一類則是感染木馬或被黑客入侵�,如果這時我們不具備一定的防范能力的話�,帶來的后果也是惡劣的,一方面?zhèn)€人隱私會被人竊取��,上網(wǎng)的一舉一動都在別人的監(jiān)視下進行��,另一方面企業(yè)服務器上保存的大量珍貴數(shù)據(jù)將會丟失或泄露���,同時提供的重要服務也將終止�����。
那么如何保證自己的計算機或服務器不被感染木馬或被黑客入侵呢��?實際上由于系統(tǒng)內部或多或少的存在著漏洞�����,而這些漏洞補丁的發(fā)布都屬于亡羊補牢型��,出現(xiàn)問題發(fā)現(xiàn)漏洞后軟件和系統(tǒng)公司才會研究補丁����。這種防范滯后于入侵的方式造成我們不可能百分之百的避免被黑����,那么如何在第一時間了解服務器及個人計算機運行情況,在第一時間發(fā)現(xiàn)被黑或感染木馬呢�����?今天就由筆者為大家介紹防范未知木馬及黑客工具的三個小技巧����。
一,原理篇:
木馬和黑客工具都屬于程序����,那么他們在網(wǎng)絡上傳輸數(shù)據(jù)時就一定會使用TCP/IP協(xié)議,當然目前還沒有發(fā)現(xiàn)使用UPD來傳輸數(shù)據(jù)的木馬和黑軟����,畢竟UPD的傳輸是沒有保證的,很容易造成數(shù)據(jù)的丟失�����。既然他們都使用了TCP/IP協(xié)議進行數(shù)據(jù)傳輸那么一定會在本地計算機和遠程計算機之間建立TCP/IP連接。而TCP/IP連接是基于端口的��,也就是說木馬或黑軟會在本地計算機上開啟某個端口和遠程計算機的相應端口進行連接���。不管是已經(jīng)知道的木馬還是未知木馬都脫離不了這個傳輸機理���。因此我們可以通過查詢本地計算機上是否開啟了可疑端口,然后進一步根據(jù)這個可疑端口查找調用他的程序來判斷是否感染了木馬或黑軟�����。
|
既然知道了上面介紹的檢測木馬�,黑軟程序的原理,那么下面就要動手來查詢到底本地計算機開啟了哪些端口����,如果發(fā)現(xiàn)有可疑或者不熟悉的端口被監(jiān)聽或打開甚至是正在連接的話,就一定要引起足夠的重視了����。
在windows 2000和windows XP系統(tǒng)中有一個小工具——netstat,他是系統(tǒng)自帶的管理和監(jiān)視網(wǎng)絡連接的小程序�����。默認情況下netstat.exe位于系統(tǒng)文件夾中,即c:\windows\system32���。(如圖1)我們可以通過任務欄的“開始->運行->輸入CMD回車”進入命令行模式來運行他。
 |
| 圖1 |
默認情況下如果不加任何參數(shù)使用netstat是沒有任何意義的����,他不能反饋給用戶任何網(wǎng)絡連接信息。(如圖2)
 |
| 圖2 |
要想查詢當前本地計算機都與網(wǎng)絡有哪些TCP甚至是UDP連接的話����,需要使用netstat -a命令。該命令將會顯示本地計算機哪個端口與網(wǎng)絡中某IP地址的相應端口連接狀態(tài)�����。(如圖3)其中proto列顯示的是使用的連接協(xié)議���,分為TCP和UDP兩種����,local address列基本上都是本地計算機的計算機名����,冒號:后是對應的端口����。foreign address顯示的是網(wǎng)絡中計算機名或他的IP地址��,同樣冒號:后是端口�����。最后的state列表示的為當前連接的狀態(tài)�����。
小提示:
系統(tǒng)中的端口號是從0到65535�����,我們在實際查詢過程中要特別注意1000到65535這些端口����,他們才是木馬和黑軟經(jīng)常使用的通訊端口。
netstat -a命令幫助我們查詢了本地端口的使用情況���,保證我們在第一時間發(fā)現(xiàn)可疑端口被占用���。
|
|
