三����,誰在占用本地端口:
上面介紹的netstat -a命令只能查詢出當前哪個端口被使用,無法找到究竟是什么程序在使用相應的端口����。這樣就為我們找出木馬帶來的麻煩,如果發(fā)現(xiàn)某個可疑端口被占用的話��,究竟是有用的程序在使用他還是感染的木馬或黑軟在占用呢�����?所以說找出某個端口是由哪個程序調(diào)用的才是防范未知木馬和黑軟的關鍵���。
方法很簡單我們使用netstat -a -o -b命令即可�����,同樣在命令行模式輸入前面的多參數(shù)命令����。系統(tǒng)會多顯示出一列���,該列名為PID��,也就是告訴我們是哪個PID在使用相應的端口��,當然對于那些多個程序注入到同一個進程PID的情況也可以通過此命令查詢出來����,在每個連接的最后會顯示出PID對應的文件名。(如圖4)
 |
| 圖4 |
從圖4我們可以看出�,第一行的連接是由PID 1276調(diào)用的,他實際上是由五個文件發(fā)起連接而成的�,主程序為svchost.exe,連接過程中調(diào)用了系統(tǒng)文件夾c:\windows\system32下的四個DLL動態(tài)鏈接庫文件���。通過這個命令我們就可以將那些使用DLL注入方式隱藏自己的木馬和黑軟揪出來了����。
在執(zhí)行netstat -a -o -b命令后���,系統(tǒng)會不停的監(jiān)視網(wǎng)絡連接情況�����,查詢出調(diào)用某連接某端口的程序,顯示出該程序調(diào)用的所有DLL文件���。如果在顯示過程中我們想終止的話����,這需要執(zhí)行ctrl+c即可。
netstat -a -o -b命令是上面介紹的netstat -a命令的擴展��,他不僅僅幫助我們清楚的了解當前系統(tǒng)端口被使用的情況���,還進一步找出了哪個程序在調(diào)用相應的端口�,為我們找出可疑端口����,判斷可疑進程,發(fā)現(xiàn)可疑程序提供了有力保障����。即使是使用DLL注入方式隱藏的木馬也可以通過此方法找出來。
四����,小工具在手木馬黑軟通通走:
也許有的讀者會感覺使用上面的netstat加參數(shù)的方法來查看本地計算機開啟了哪些端口以及哪個程序調(diào)用的相應端口比較麻煩,那么在本文的最后筆者為大家介紹一款小工具���,他是圖形化的界面����,我們可以輕輕松松的查看當前哪些程序開啟了哪些端口,從而判斷出電腦是否感染木馬或黑軟��。相比一條條命令的netstat來說���,他更適合普通用戶使用和操作�。該軟件的名字是currports�。
currports小檔案:
軟件大小:36KB
軟件語言:中文版
軟件類型:免費軟件
適用平臺:2000/xp/2003
第一步:下載該軟件并解壓縮到新文件夾中����。
第二步:運行文件夾中的“管理端口連接.exe”程序啟動currports。(如圖5)
 |
| 圖5 |
第三步:啟動currports后會自動掃描當前計算機打開的端口���,還會顯示出當前開啟的所有程序�����。程序及使用的端口清晰的呈現(xiàn)出來���,顯示信息包括進程名稱,PID����,類型,本機地址�����,本機端口類型��,本地地址���,遠程端口�����,遠程端口類型�����,遠程地址����,連接狀態(tài)�,進程路徑,文件描述��,使用用戶名稱等���。我們可以找到可疑的進程名稱然后分析其使用的端口來判斷是否為木馬或黑軟程序��,對于不熟悉的進程還可以根據(jù)后面的進程路徑和文件描述���,甚至是使用用戶名稱等信息來進一步分析���。(如圖6)
 |
| 圖6 |
第四步:找到任何一個進程后我們還可以通過雙擊名稱來打開詳細信息列表。(如圖7)
 |
| 圖7 |
小提示:
通過currports的“查看”和“選項”菜單我們可以自定義顯示列表的類別�,將不常用或對自己沒有幫助的信息過濾掉。
不過使用currports工具也存在著一個缺點��,那就是他不能象netstat -a -o -b命令那樣顯示出某個進程包含的所有DLL文件�����,這點就造成他在查詢DLL注入木馬方面先天不足�。所以說要想徹底查出木馬和黑軟程序還是需要兩種方法相互結合才行。
總結:
currports小軟件是圖形化的綠色工具����,通過他可以隨時查看本地端口開啟情況,對于普通用戶了解自己計算機染毒狀況以及網(wǎng)絡管理員檢查服務器運轉情況都是非常有幫助的����。我們可以通過“刷新”按鈕進行實時顯示���。當然對于有一定基礎或者手頭沒有此工具的讀者也可以使用netstat -a -o -b命令在命令行模式下查看同樣的信息�����?��?傊还芪覀兪褂媚膫€方法都能夠將非法黑軟和木馬程序在第一時間檢查出來��,甚至是殺毒軟件無法查出的未知木馬也可以通過本文介紹的方法自行檢查出來�����。
