size=3][color=#ff0000]在執行裡-cmd-netstat -an就會顯示出你開的埠了!![/color][/size]
最近被病毒搞的頭昏腦漲的,不過也收穫不小喲,知道了點小方法,與大家共勉。
當前最為常見的木馬通常是基於tcp/udp協議進行client端與server端之間的通訊的,既然利用到這兩個協議,就不可避免要在server端(就是被種了木馬的機器了)開啟監聽埠來等待連線。例如鼎鼎大名的冰河使用的監聽埠是7626,back orifice2000則是使用54320等等。那麼,我們可以利用檢視本機開放埠的方法來檢查自己是否被種了木馬或其它hacker程式。以下是詳細方法介紹。
1. windows本身自帶的netstat命令
關於netstat命令,我們先來看看windows幫助檔案中的介紹:
netstat
顯示協議統計和當前的 tcp/ip 網路連線。該命令只有在安裝了 tcp/ip 協議後才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
引數-a
顯示所有連線和偵聽埠。伺服器連線通常不顯示。
-e顯示乙太網統計。該引數可以與 -s 選項結合使用。
-n以數字格式顯示位址和埠號(而不是嘗試查詢名稱)。
-s顯示每個協議的統計。預設情況下,顯示 tcp、udp、icmp 和 ip 的統計。-p 選項可以用來指定預設的子集。
-p protocol
顯示由 protocol 指定的協議的連線;protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個協議的統計,protocol 可以是 tcp、udp、icmp 或 ip。
-r顯示路由表的內容。
interval
重新顯示所選的統計,在每次顯示之間暫停 interval 秒。按 ctrl+b 停止重新顯示統計。如果省略該引數,netstat 將列印一次當前的配置資訊。
好了,看完這些幫助檔案,我們應該明白netstat命令的使用方法了。現在就讓我們現學現用,用這個命令看一下自己的機器開放的埠。進入到命令列下,使用netstat命令的a和n兩個引數:
c:\>netstat -an
active connections
proto local address foreign address state
tcp 0.0.0.0:80 0.0.0.0:0 listening
tcp 0.0.0.0:21 0.0.0.0:0 listening
tcp 0.0.0.0:7626 0.0.0.0:0 listening
udp 0.0.0.0:445 0.0.0.0:0
udp 0.0.0.0:1046 0.0.0.0:0
udp 0.0.0.0:1047 0.0.0.0:0
解釋一下,active connections是指當前本機活動連線,proto是指連線使用的協議名稱,localaddress是本地計算機的 ip 位址和連線正在使用的埠號,foreign address是連線該埠的遠端計算機的 ip位址和埠號,state則是表明tcp連線的狀態,你可以看到後面三行的監聽埠是udp協議的,所以沒有state表示的狀態。看!我的機器的 7626埠已經開放,正在監聽等待連線,像這樣的情況極有可能是已經感染了冰河!急忙斷開網路,用防毒軟體查殺病毒是正確的做法。 [img=1,1] 2.工作在windows2000下的命令列工具fport
使用windows2000的朋友要比使用windows9x的幸運一些,因為可以使用fport這個程式來顯示本機開放埠與程序的對應關係。
fport是foundstone出品的乙個用來列出系統中所有開啟的tcp/ip和udp埠,以及它們對應應用程式的完整路徑、pid標識、程序名稱等資訊的軟體。在命令列下使用,請看例子:
d:\>fport.exe
[url=
pid process port proto path
748 tcpsvcs -> 7 tcp c:\winnt\system32\ tcpsvcs.exe
748 tcpsvcs -> 9 tcp c:\winnt\system32\tcpsvcs.exe
748 tcpsvcs -> 19 tcp c:\winnt\system32\tcpsvcs.exe
416 svchost -> 135 tcp c:\winnt\system32\svchost.exe
是不是一目了然了。這下,各個埠究竟是什麼程式開啟的就都在你眼皮底下了。如果發現有某個可疑程式開啟了某個可疑埠,可千萬不要大意哦,也許那就是乙隻狡猾的木馬!
3.與fport功能類似的圖形化介面工具active ports
active ports為smartline出品,你可以用來監視電腦所有開啟的tcp/ip/udp埠,不但可以將你所有的埠顯示出來,還顯示所有埠所對應的程式所在的路徑,本地ip和遠端ip(試圖連線你的電腦ip)是否正在活動。
更棒的是,它還提供了乙個關閉埠的功能,在你用它發現木馬開放的埠時,可以立即將埠關閉。這個軟體工作在windows nt/2000/xp平台下。你可以在[url= 得到它。
其實使用windows xp的使用者無須借助其它軟體即可以得到埠與程序的對應關係,因為windows xp所帶的netstat命令比以前的版本多了乙個o引數,使用這個引數就可以得出埠與程序的對應來。
Windows 檢視埠的cmd命令
1.netstat ano 檢視所有的埠占用情況 如下 協議 本地位址 外部位址 狀態 pid tcp 192.168.0.135 55138 172.217.160.78 443 syn sent 5652 tcp 192.168.0.135 55207 172.217.160.78 443 sy...
cmd命令檢視埠和程序資訊
看與伺服器連線的埠 netstat nao findstr 埠 程序 看下面的圖,監聽668埠,此時並沒有客戶端連線到它,所以還處在監聽狀態,可以在任務管理器中找到,或者使用tasklist findstr 5936 找到對應的程序 下面這個圖中說明,有乙個客戶端與它進行了連線,客戶端的遠端埠是30...
Ubuntu埠命令 檢視埠占用及關閉
ubuntu檢視埠使用情況,使用netstat命令 檢視已經連線的服務埠 established netstat a 檢視所有的服務埠 listen,established netstat ap 檢視指定埠,可以結合grep命令 netstat ap grep 8080 也可以使用lsof命令 ls...