TWed2k - 心得教學區 - [轉貼]教你如何檢視自己開放的連接阜

yjmg
銅驢友〔初級〕

．積分： 124
．精華： 1
．文章： 116
．收花： 934 支
．送花： 2 支
．比例： 0
．在線： 2092 小時
．瀏覽： 5650 頁
．註冊： 7445 天
．失蹤： 247 天

#1 : 2007-5-10 11:02 PM 只看本作者	送花 (16) 送出中...

教你如何檢視自己開放的連接阜

最近被病毒搞的頭昏腦漲的，不過也收穫不小喲，知道了點小方法，與大家共勉。

當前最為一般的木馬通常是關於TCP/UDP傳輸協定進行client端與server端之間的通訊的，既然利用到這兩個傳輸協定，就不可避免要在server端（就是被種了木馬的機器了）開啟監聽連接阜來等待連接。例如鼎鼎大名的冰河使用的監聽連接阜是7626，Back Orifice 2000則是使用54320等等。

那麼，我們可以利用檢視本地機開放連接阜的方法來檢查自己是否被種了木馬或其它hacker程序。以下是詳細方法介紹。

1． Windows本身原有的的netstat指令
關於netstat指令，我們先來看看windows求助文件中的介紹：

Netstat
顯示傳輸協定統計和當前的 TCP/IP 網路連接。該指令只有在安裝了 TCP/IP 傳輸協定後才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

參數

-a

顯示所有連接和偵聽連接阜。伺服器連接通常不顯示。

-e

顯示乙太網統計。該參數可以與 -s 選項結合使用。

-n

以數位格式顯示位址和連接阜號（而不是嘗試搜尋名稱）。

-s

顯示每個傳輸協定的統計。預設情況下，顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設的子集。

-p protocol

顯示由 protocol 指定的傳輸協定的連接；protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個傳輸協定的統計，protocol 可以是 tcp、udp、icmp 或 ip。

-r

顯示路由表的內容。

interval

重新顯示所選的統計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數，netstat 將列印一次當前的配置資訊。

好了，看完這些求助文件，我們應該明白netstat指令的使用方法了。現在就讓我們現學現用，用這個指令看一下自己的機器開放的連接阜。進入到指令行下，使用netstat指令的a和n兩個參數：

C:\>netstat -an

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0

解釋一下，Active Connections是指當前本地機活動連接，Proto是指連接使用的傳輸協定名稱，Local Address是本機電腦的 IP 位址和連接正在使用的連接阜號，Foreign Address是連接該連接阜的遠端電腦的 IP 位址和連接阜號，State則是表明TCP 連接的狀態，你可以看到後面三行的監聽連接阜是UDP傳輸協定的，所以沒有State表示的狀態。

看！我的機器的7626連接阜已經開放，正在監聽等待連接，像這樣的情況極有可能是已經感染了冰河！急忙中斷連線網路，用殺毒軟體查殺病毒是正確的做法。

2．工作在windows2000下的指令行工具fport

使用windows2000的朋友要比使用windows9X的幸運一些，因為可以使用fport這個程序來顯示本地機開放連接阜與行程的對應關係。

Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜，以及它們對應應用程式的完整路徑、PID標識、行程名稱等資訊的軟體。在指令行下使用，請看例子：
D:\>fport.exe

FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path

748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe

748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe

748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe

416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

是不是一目瞭然了。這下，各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。

如果發現有某個可疑程序開啟了某個可疑連接阜，可千萬不要大意哦，也許那就是一隻狡猾的木馬！
Fport的最新版本是2.0。

在很多網站都提供下載，但是為了安全起見，當然最好還是到它的老家去下：

http://www.foundstone.com/knowledge/zips/fport.zip
3.與Fport功能類似的圖形化界面工具Active Ports

Active Ports為SmartLine出品，你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜，不但可以將你所有的連接阜顯示出來，還顯示所有連接阜所對應的程序所在的路徑，本機IP和遠端IP(試突連接你的電腦IP)是否正在活動。

更棒的是，它還提供了一個關閉連接阜的功能，在你用它發現木馬開放的連接阜時，可以立即將連接阜關閉。

這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。

其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與行程的對應關係，因為windows xp所帶的netstat指令比以前的版本多了一個O參數，使用這個參數就可以得出連接阜與行程的對應來。

上面介紹了幾種檢視本地機開放連接阜，以及連接阜和行程對應關係的方法，通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬，希望能給你的愛機帶來說明。

但是對木馬重在防範，而且如果碰上反彈連接阜木馬，利用驅動程式及動態連接庫技術製作的新木馬時，以上這些方法就很難查出木馬的痕跡了。

所以我們一定要養成良好的上網習慣，不要隨意執行郵件中的附件，安裝一套殺毒軟體，像國內的瑞星就是個查殺病毒和木馬的好幫手。

從網上下載的軟體先用殺毒軟體檢查一遍再使用，在上網時開啟網路防火牆和病毒既時監控，保護自己的機器不被可恨的木馬入侵

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

innova
銀驢友〔高級〕

今日心情

．積分： 916
．文章： 2714
．收花： 7188 支
．送花： 1461 支
．比例： 0.2
．在線： 2182 小時
．瀏覽： 15202 頁
．註冊： 7177 天
．失蹤： 29 天
．火星

#2 : 2007-7-30 02:58 PM 只看本作者	送花 (6) 送出中...

另外推一個小弟常用的：
網址： http://www.nirsoft.net/utils/cports.html

目前版本下載： http://www.nirsoft.net/utils/cports.zip
目前 x64版本下載： http://www.nirsoft.net/utils/cports-x64.zip

操作畫面：

按下 Refresh[F5] 它會把 "新的連線" 用不同的顏色表示出來
這樣要找出我的電腦裡有什麼程式
或是外面有什麼人正在試著連線
就很容易找出來

同樣的在有問題的連線上按下滑鼠右鍵
也可以:
終止該連線
終止該(連線的)程式執行!
還會幫你找出該程式在你硬碟中的路徑位置
還有該程式的資訊(看到不是 MS出品的 svchost.exe .... 趕緊Kill掉就對了)

可以設定自動更新 (2/4/6/8/10秒/無)
也可以自動幫你查出連線遠方的 Domain Name!
欄位順序可以自己調整/關閉/自訂排序

啥？什麼？ ...看不懂英格裡洗？？
你不知道它也有提供中文語言包嗎？
煩体中文http://www.nirsoft.net/utils/trans/cports_tchinese.zip
剪體中文http://www.nirsoft.net/utils/trans/cports_schinese.zip

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆