查看端口,让木马无处隐身
木马查杀7种方法
网络时代安全问题相当重要,木马却威胁我们的计算机。
不要以为我们安装了反病毒软件后就可以高枕无忧了。
网上仍有很多木马程序,它们仍会危及我们的系统安全。
今天给大家介绍其款优秀的反木马软件,帮你远离木马的袭击。
小知识:什么是木马程序?与病毒和恶意代码不同的是,木马程序(Trojan horses)隐蔽性很强,你根本不知道它们在运行。
但是它们产生的危害并不亚于病毒。
一旦你的机器中了木马,则网上有人可以通过它来获取你的密码和一些资料。
甚至一些高级的黑客可以远程控制你的电脑。
一般的木马检测和清除程序可以很容易地检测出你机器里的木马,而且由于木马程序每天都会出现新的种类,所以一般的木马程序都会提供即时在线更新服务,以便让它能够即时检测出系统中的木马。
一般的木马保存在注册表中或者会开放我们机器上的一些端口,木马查杀软件会自动清除检测并查杀。
1.Trojan DefenseAnti-Trojan 5.5是一款扫描我们TCP/IP端口,文件和注册表的木马查杀工具。
端口检测功能会检查出我们机器上的可疑开放端口,以防止被黑客攻击。
进程查看工具则可以列出Windows中当前所有的进程,从中可以断定哪一个是可疑的木马。
而注册表检查功能使用起来速度非常快,从中可以检测出哪些自启动的程序。
Anti-Trojan可以免费上网升级,而且有10种语言版本。
2.Antiy Ghostbusters Pro 5.05Antiy Ghostbusters Pro 5.05 有一个朴素但却非常有个性的界面。
它会列出我们机器里所有运行的程序和进程,我们甚至可以通过它来管理我们的自启动程序、进程甚至是某些服务。
Ghostbusters会有一个窗口,显示远程连接端口情况和IP地址,当然,Ghostbusters也可以扫描和清除系统中的木马程序。
3.Digital Patrol 5.00.31Digital Patrol是一款非常成熟的木马查杀程序,它能够扫描内存、硬盘、文件夹和文件(包括包含在ZIP压缩包中的文件),并能够清除其中的木马程序。
查木马的简单方法
查木马的简单方法当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。
例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。
那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
以下是详细方法介绍。
1.Windows本身自带的netstat命令关于netstat命令,我们先来看看windows帮助文件中的介绍:Netstat显示协议统计和当前的TCP/IP 网络连接。
该命令只有在安装了TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]参数-a显示所有连接和侦听端口。
服务器连接通常不显示。
-e显示以太网统计。
该参数可以与-s 选项结合使用。
-n以数字格式显示地址和端口号(而不是尝试查找名称)。
-s显示每个协议的统计。
默认情况下,显示TCP、UDP、ICMP 和IP 的统计。
-p 选项可以用来指定默认的子集。
-p protocol显示由protocol 指定的协议的连接;protocol 可以是tcp 或udp。
如果与-s 选项一同使用显示每个协议的统计,protocol 可以是tcp、udp、icmp 或ip。
-r显示路由表的内容。
interval重新显示所选的统计,在每次显示之间暂停interval 秒。
按CTRL+B 停止重新显示统计。
如果省略该参数,netstat 将打印一次当前的配置信息。
好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。
现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。
进入到命令行下,使用netstat命令的a和n两个参数:C:\>netstat -anActive ConnectionsProto Local Address Foreign Address StateTCP 0.0.0.0:80 0.0.0.0:0 LISTENINGTCP 0.0.0.0:21 0.0.0.0:0 LISTENINGTCP 0.0.0.0:7626 0.0.0.0:0 LISTENINGUDP 0.0.0.0:445 0.0.0.0:0UDP 0.0.0.0:1046 0.0.0.0:0UDP 0.0.0.0:1047 0.0.0.0:0解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address 是本地计算机的IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。
木马程序是如何实现隐藏的
木马程序是如何实现隐藏的木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。
有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。
下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟!1、集成到程序中其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。
而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。
不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。
当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe这时你就要小心了,这个file.exe很可能是木马哦。
如何查看端口、限制端口及端口的功能
如何查看端口、限制端口及端口的功能一. 端口查看1.使用netstat -a命令2.使用端口查看工具,如Tcpview二.限制端口对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
这里,对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。
具体设置如下:1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择“我的连接”图标),弹出“本地连接状态”对话框。
2、点击[属性]按钮,弹出“本地连接属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。
3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。
在弹出的“高级TCP/IP 设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。
4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上。
这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。
三.常用端口列表端口:0服务:Reserved说明:通常用于分析操作系统。
这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。
一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1服务:tcpmux说明:这显示有人在寻找SGI Irix机器。
Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。
Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX 等。
查询端口被占用情况
查询端口被占用情况查询端口被占用情况是一项非常重要的任务,特别是在构建和维护网络系统时。
了解哪些端口被占用可以帮助我们查找和解决可能的网络问题,以确保网络安全稳定运行。
在本文中,我将详细介绍如何查询端口被占用情况,并提供一些常用工具和技巧。
首先,我们可以使用不同的方法来查询端口被占用情况。
以下是一些常见的方法:1.使用命令行工具:在Windows系统中,我们可以使用命令行工具`netstat`来查询端口被占用情况。
打开命令提示符窗口,输入以下命令:```netstat -ano , findstr :端口号```"端口号"应该替换为你要查询的具体端口号。
这将列出正在使用指定端口的进程的PID(进程ID)。
在Linux和Mac系统中,我们可以使用类似的`netstat`命令:```netstat -tuln , grep 端口号```同样,替换"端口号"为你要查询的具体端口号。
这将列出使用指定端口的进程和它们的PID。
2.使用图形界面工具:对于那些不熟悉命令行的用户,可以使用一些图形界面的工具来查询端口被占用情况。
其中一些常见的工具包括:- TCPView(Windows):它是Sysinternals Suite的一部分,提供了一个直观的图形界面,可以实时显示系统上的TCP和UDP连接,以及占用的端口和进程信息。
- lsof(Linux和Mac):lsof是一个功能强大的命令行工具,可用于查询系统上打开的文件和进程。
它也可以用于查询端口被占用情况。
无论使用哪种方法,查询端口被占用情况的结果都会告诉我们正在使用指定端口的进程的PID。
从PID开始,我们可以进一步查找与之相关的进程信息和应用程序。
要查找与PID相关的进程信息,我们可以使用以下命令:在Windows系统中,使用Task Manager(任务管理器):```tasklist , findstr PID```在Linux和Mac系统中,使用ps命令:```ps -ef , grep PID```替换上述命令中的"PID"为我们要查询的具体进程ID。
木马的常用伪装手段
木马的常用伪装手段在网络安全领域,木马是一种恶意软件,可以在不被用户察觉的情况下悄悄地进入计算机系统,实现盗取用户信息、破坏系统的行为。
因此,木马程序的伪装手段非常重要,可以使其更容易地潜入计算机系统。
以下是一些常用的木马伪装手段:1. 伪装成正常程序许多木马程序被设计成伪装成常见的软件或系统组件,例如浏览器插件、媒体播放器、下载器等,以此混淆用户的视觉,避免受到用户的怀疑,从而更容易渗透进入用户的系统。
2. 终端木马伪装终端木马常被伪装成程序源码、编译工具或其它网络安全工具来骗取用户信任,而终端木马常常伴随着对受害者机器的远程控制,拥有非常广泛的攻击能力。
3. 使用非常规的文件扩展名很多木马程序使用并不常见的文件扩展名,比如".txt"、".jpg"、".pdf"等,以绕过一些计算机安全防护软件的检测。
在实际应用过程中,我们应该避免打开不熟悉的文件。
4. 嵌入宏或脚本很多木马程序将自己嵌入到宏或脚本中,然后利用漏洞自动执行,从而绕过了常规的安全检测。
例如,利用办公软件(Word、Excel等)中的宏病毒的攻击方式。
5. 嵌入加密模块有些木马程序会嵌入加密模块,使得其内容在传输过程中无法被轻易识别和拦截,从而达到对计算机系统的“偷窃”。
综上所述,木马程序有很多伪装手段,其中有些是非常难以被发现的。
因此,我们需要时刻保持警惕,使用网络安全软件来防范这些木马程序的攻击,同时也需要提高自己的网络安全意识,确保个人计算机和重要信息的安全。
除了上述常用的木马伪装手段,还有一些更高级的木马伪装手段。
这些高级伪装手段越来越普遍,它们可以更好地欺骗人们的眼睛和虚拟机器的安全防御。
以下是一些高级木马伪装技术:1. 避免反病毒软件现在的反病毒软件具有越来越高的检测能力,它们能够及时发现木马程序并抵御攻击。
因此,一些高级的木马程序会通过加密自己来避免反病毒软件的检测与抵抗。
查询端口被占用情况
查询端口被占用情况查询端口被占用情况是指在计算机网络中,检查一些特定端口是否被操作系统或应用程序占用的过程。
了解端口占用情况对于系统管理员和网络工程师来说非常重要,因为它可以帮助他们识别并解决网络连接和通信问题。
在本文中,将详细介绍如何查询端口被占用的方法、工具和常见问题解决方案。
在计算机网络中,端口是用于识别特定应用程序或服务的地址范围。
每个端口都有其特定的使用方式,比如HTTP通常使用80端口,HTTPS使用443端口等。
当计算机上的应用程序或服务开始监听特定端口时,该端口就被视为已被占用。
这意味着其他应用程序或服务无法使用该端口,以防止端口冲突和数据混乱。
1. 使用命令行工具:在Windows操作系统中,可以使用命令行工具如netstat、tasklist和taskkill来查询端口被占用情况。
打开命令提示符窗口,输入以下命令:```netstat -ano , findstr port_number```将“port_number”替换为要查询的端口号,该命令将显示正在使用该端口的程序的进程ID(PID)。
然后,可以使用tasklist命令查找进程ID对应的应用程序或服务的名称。
2. 使用网络监控工具:网络监控工具可以帮助实时监控和管理计算机网络,包括查询端口被占用情况。
常见的网络监控工具包括Wireshark、TCPView和Process Explorer等。
这些工具可以提供更详细的信息,包括正在使用端口的应用程序或服务的名称以及相关的网络连接信息。
3. 使用操作系统自带的管理工具:一些操作系统(如Windows和Linux)提供了一些自带的管理工具,可以查询端口被占用的情况。
例如,在Windows操作系统中,可以使用“资源监视器”来查看当前活动的网络连接和使用的端口。
除了查询端口被占用的方法,还有一些常见的问题解决方案:1.端口冲突:当两个或多个应用程序或服务尝试监听相同的端口时,会发生端口冲突。
如何检测自己的电脑是否已被远程控制或者被监视
如何检测自己的电脑是否已被远程控制或者被监视2009-07-31 07:12看电脑端口哪些开了,在连接的说到端口,这确实是个老话题,但一切都是从它开始的,不得不说。
何谓端口,打个比方,你住在一座房子里,想让别人来拜访你,得在房子上开个大门,你养了个可爱的小猫,为了它的进出,专门给它修了个小门,为了到后花园,又开了个后门……所有这些为了进到这所房子里而开的门叫端口,这些为了别人进来而开的端口称它为“服务端口”。
你要拜访一个叫张三的人,张三家应该开了个允许你来的门--服务端口,否则将被拒之门外。
去时,首先你在家开个“门”,然后通过这个“门”径直走进张三家的大门。
为了访问别人而在自己的房子开的“门”,称为“客户端口”。
它是随机开的而且是主动打开的,访问完就自行关闭了。
它和服务端口性质是不一样的,服务端口是开了个门等着别人来访问,而客户端口是主动打开一个门去打开别人的门,这点一定要清楚。
下面从专业的角度再简单解释一下端口的概念。
联网的计算机要能相互通信必须用同一种协议,协议就是计算机通信的语言,计算机之间必须说一种语言才能彼此通信,internet的通用语言是tcp/tp,它是一组协议,它规定在网络的第四层运输层有两种协议tcp、udp。
端口就是这两个协议打开的,端口分为源端口和目的端口,源端口是本机打开的,目的端口是正在和本机通信的另一台计算机的端口,源端口分主动打开的客户端口和被动连接的服务端口两种。
在internet中,你访问一个网站时就是在本机开个端口去连网站服务器的一个端口,别人访问你时也是如此。
也就是说计算机的通讯就像互相串门一样,从这个门走进哪个门。
当装好系统后默认就开了很多“服务端口”。
如何知道自己的计算机系统开了那些端口呢?这就是下面要说的。
二)、查看端口的方法1、命令方式下面以windows xp为例看看新安装的系统都开了那些端口,也就是说都预留了那些门,不借助任何工具来查看端口的命令是netstat,方法如下:a、在“开始”的“运行”处键入cmd,回车b、在dos命令界面,键入netstat -na,图2显示的就是打开的服务端口,其中proto代表协议,该图中可以看出有tcp和udp两种协议。
如何查看端口、限制端口及端口的功能
如何查看端口、限制端口及端口的功能一. 端口查看1.使用netst at -a命令2.使用端口查看工具,如Tcpview二.限制端口对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
这里,对于采用Win dows 2000或者W indows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。
具体设置如下:1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择“我的连接”图标),弹出“本地连接状态”对话框。
2、点击[属性]按钮,弹出“本地连接属性”,选择“此连接使用下列项目”中的“Interne t协议(TCP/IP)”,然后点击[属性]按钮。
3、在弹出的“Interne t协议(TCP/IP)”对话框中点击[高级]按钮。
在弹出的“高级TCP/IP 设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。
4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上。
这样,您就可以来自己添加或删除您的TCP或U DP或IP的各种端口了。
三.常用端口列表端口:0服务:Reserve d说明:通常用于分析操作系统。
这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。
一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1服务:tcpmux说明:这显示有人在寻找SGI Irix机器。
Irix是实现tcpmux的主要提供者,默认情况下tc pmux在这种系统中被打开。
如何使用Windows cmd命令进行端口扫描
如何使用Windows cmd命令进行端口扫描在网络安全领域中,端口扫描是一项重要的技术,用于发现目标主机上开放的网络端口。
通过端口扫描,安全专业人员可以评估系统的漏洞和弱点,以便及时采取措施加强网络安全。
本文将介绍如何使用Windows cmd命令进行端口扫描。
一、什么是端口扫描端口扫描是指通过发送网络数据包到目标主机的各个端口,并根据主机的响应情况来判断该端口是否开放。
在计算机网络中,端口是用于不同应用程序进行通信的逻辑门户,每个端口都对应着不同的服务。
开放的端口意味着该主机上运行着相应的服务,而关闭的端口则表示该服务未开启或被防火墙拦截。
二、使用Windows cmd命令进行端口扫描的步骤1. 打开命令提示符在Windows操作系统中,可以通过按下Win+R组合键,然后输入"cmd"并按下回车键来打开命令提示符窗口。
2. 使用ping命令确认目标主机是否在线在进行端口扫描之前,首先需要确认目标主机是否在线。
可以使用ping命令发送一个网络数据包到目标主机,如果能够收到回应,则表示目标主机在线。
例如,输入"ping 192.168.0.1"命令来检测与目标主机的连通性。
3. 使用telnet命令进行端口扫描telnet命令是一种常用的端口扫描工具,可以通过发送特定的数据包来测试目标主机上的端口是否开放。
例如,输入"telnet 192.168.0.1 80"命令来测试目标主机上的80端口是否开放。
4. 使用nmap命令进行端口扫描nmap是一款功能强大的网络扫描工具,可以用于探测目标主机上的开放端口。
首先,需要下载并安装nmap软件。
然后,在命令提示符窗口中输入"nmap -p 1-1000 192.168.0.1"命令来扫描目标主机上1至1000范围内的端口。
5. 分析扫描结果完成端口扫描后,可以根据扫描结果来评估目标主机的安全性。
木马病毒查找清除方法【完整版】
木马病毒查找清除方法【完整版】(文档可以直接使用,也可根据实际需要修订后使用,可编辑放心下载)木马病毒查找去除方法|浏览:0|更新:2021-04-23 15:27一、学伯乐认马识马木马这东西从本质上说,就是一种远程控制软件。
不过远程控制软件也分正规部队和山间土匪。
正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如Windows XP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确的告诉用户当前系统处于被控制状态;而木马那么属于山间土匪,他们会偷偷潜入你的电脑进行破坏,并通过修改注册表、捆绑在正常程序上的方式运行,使你难觅其踪迹。
木马与普通远程控制软件另外一个不同点在于,木马实现的远程控制功能更为丰富,其不仅能够实现一般远程控制软件的功能,还可以破坏系统文件、记录键盘动作、盗取密码、修改注册表和限制系统功能等。
而且你还可能成为养马者的帮凶,养马者还可能会使用你的机器去攻击别人,让你来背黑锅。
二、寻根溯源找到引马入门的罪魁祸首作为一个不受欢送的土匪,木马是如何钻进你系统的呢?一般有以下几种主要的传播方式:最常见的就是利用聊天软件杀熟,例如你的QQ好友中了某种木马,这个木马很有可能在好友的机器上运行QQ,并发一条消息给你,诱使你翻开某个链接或运行某个程序,如果你不慎点击或运行,马儿就会偷偷跑进来;另外一种流行的方法是买一送一,木马会与一些正常的文件捆绑,如与图片文件捆绑,当你浏览图片的时候,木马也会偷偷溜达进来;网页里养马也是一种常见的方法,黑客把做好的木马放到网页上,并诱使你翻开,你只要浏览这个页面就可能中招;最后一种常用方法是网吧种植,网吧的机器平安性差,黑客还可以直接在机器上做手脚,所以网吧中带马的机器很多。
在网吧上网时受到木马攻击的几率也很大。
而且上边这些方法可能还会联合行动,组合在一起对你进行攻击。
三、亡羊补牢如何查杀木马我们如何判断机器里是否有木马呢?下面有一些简单的方法可以尝试。
教你查看计算机端口以及关闭端口
教你查看计算机端口以及关闭端口2009-12-16 17:56如何查看计算机端口:在运行里-cmd-netstat -an就会显示出你开的端口了!!当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server 端(就是被种了木马的机器了)打开监听端口来等待连接。
例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。
那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它hacker程序。
以下是详细方法介绍。
1. Windows本身自带的netstat命令关于netstat命令,我们先来看看windows帮助文件中的介绍:Netstat显示协议统计和当前的 TCP/IP 网络连接。
该命令只有在安装了 TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]参数-a显示所有连接和侦听端口。
服务器连接通常不显示。
-e显示以太网统计。
该参数可以与 -s 选项结合使用。
-n以数字格式显示地址和端口号(而不是尝试查找名称)。
-s显示每个协议的统计。
默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。
-p 选项可以用来指定默认的子集。
-p protocol显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。
如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。
-r显示路由表的内容。
interval重新显示所选的统计,在每次显示之间暂停 interval 秒。
按 CTRL+B 停止重新显示统计。
如果省略该参数,netstat 将打印一次当前的配置信息。
好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。
Window通过cmd查看端口占用、相应进程、杀死进程等的命令
Window通过cmd查看端⼝占⽤、相应进程、杀死进程等的命令
⼀、查看所有进程占⽤的端⼝
在开始-运⾏-cmd,输⼊:netstat –ano可以查看所有进程
⼆、查看占⽤指定端⼝的程序
当你在⽤tomcat发布程序时,经常会遇到端⼝被占⽤的情况,我们想知道是哪个程序或进程占⽤了端⼝,可以⽤该命令 netstat –ano|findstr “指定端⼝号” ⼆、查看占⽤指定端⼝的程序当你在⽤tomcat发布程序时,经常会遇到端⼝被占⽤的情况,我们想知道是哪个程序或进程占⽤了端⼝,可以⽤该命令 netstat –ano|findstr “指定端⼝号” ⼆、查看占⽤指定端⼝的程序
当你在⽤tomcat发布程序时,经常会遇到端⼝被占⽤的情况,我们想知道是哪个程序或进程占⽤了端⼝,可以⽤该命令 netstat –ano|findstr “指定端⼝号”
如:查询占⽤了8080端⼝的进程:netstat -ano|findstr "8080"
三、通过任务管理器杀死相关的进程
⽅法⼀:使⽤任务管理器杀死进程打开任务管理器->查看->选择列->然后勾选PID选项,回到任务管理器上可以查看到对应的pid,然后结束进程
当然上⾯的⽅法有时候不好⽤,就是任务管理器中的进程⽐较多的时候,然后去找到对应的进程是很⿇烦的,所以还有⼀种⽅法可以杀死进程的
⽅法⼆:使⽤命令杀死进程
1>⾸先找到进程号对应的进程名称
tasklist|findstr 进程号
如:tasklist|findstr 3112
2>然后根据进程名称杀死进程
taskkill /f /t /im 进程名称
如:taskkill /f /t /im /javaw.exe。
如何查看自己的网络是否被监控?(18个回答)
如何查看自己的网络是否被监控?(18个回答)谢邀。
我经常在上班时间做一些与工作无关的事情,比如现在。
所以,我也很想知道自己的网络是否被公司监控。
在信息技术高速发展的21世纪,网络安全也越来越被人们重视,尤其是做为白领办公一族更应该重视个人隐私是否泄漏。
那怎么看自己的电脑有没有被公司监控呢?1、查看端口,特别是从其他主机上扫描本机所有开放端口(以防本机上被隐藏的端口)2、查看进程,特别是用带有路径和启动参数的进程查看软件检查3、检查所有启动项(包括服务等很多启动位置)4、查看可引起程序调用的关联项、插件项高级防范(防止内核级隐藏端口、进程、注册表等)1、用其他可读取本系统文件的os启动,检查本机文件、注册表2、用网络总流量对比各套接字流量和、查看路由器网络通讯记录等方法分析异常网路通讯手工方法1、检查网络连接情况由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。
具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat-an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreignaddress(和本地建立连接的地址)、state(当前端口状态)。
通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。
我们可以通过点击“开始”->“运行”->“cmd”,然后输入“netstart”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。
查看开放端口判断木马的方法
查看开放端口判断木马的方法当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。
例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。
那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
以下是详细方法介绍。
1.Windows本身自带的netstat命令关于netstat命令,我们先来看看windows帮助文件中的介绍:Netstat显示协议统计和当前的TCP/IP 网络连接。
该命令只有在安装了TCP/IP协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]参数-a显示所有连接和侦听端口。
服务器连接通常不显示。
-e显示以太网统计。
该参数可以与-s 选项结合使用。
-n以数字格式显示地址和端口号(而不是尝试查找名称)。
-s显示每个协议的统计。
默认情况下,显示TCP、UDP、ICMP 和IP 的统计。
-p 选项可以用来指定默认的子集。
-p protocol显示由protocol 指定的协议的连接;protocol 可以是tcp 或udp。
如果与-s 选项一同使用显示每个协议的统计,protocol 可以是tcp、udp、icmp或ip。
-r显示路由表的内容。
interval重新显示所选的统计,在每次显示之间暂停interval 秒。
按CTRL+B 停止重新显示统计。
如果省略该参数,netstat 将打印一次当前的配置信息。
好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。
现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。
进入到命令行下,使用netstat命令的a和n两个参数:C:\>netstat -anActive ConnectionsProto Local Address Foreign Address StateTCP 0.0.0.0:80 0.0.0.0:0 LISTENINGTCP 0.0.0.0:21 0.0.0.0:0 LISTENINGTCP 0.0.0.0:7626 0.0.0.0:0 LISTENINGUDP 0.0.0.0:445 0.0.0.0:0UDP 0.0.0.0:1046 0.0.0.0:0UDP 0.0.0.0:1047 0.0.0.0:0解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。
木马的检测-清除与防范
木马的检测、清除与防范木马程序不同于病毒程序,通常并不象病毒程序那样感染文件。
木马一般是以寻找后门、窃取密码和重要文件为主,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性。
由于木马具有很强的隐蔽性,用户往往是在自己的密码被盗、机密文件丢失的情况下才知道自己中了木马。
在这里将介绍如何检测自己的机子是否中了木马,如何对木马进行清除和防范。
木马检测1、查看开放端口当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的,这样我们就可以通过查看在本机上开放的端口,看是否有可疑的程序打开了某个可疑的端口。
例如冰河使用的监听端口是7626,Back Orifice 2000使用的监听端口是54320等。
假如查看到有可疑的程序在利用可疑端口进行连接,则很有可能就是中了木马。
查看端口的方法有几种:(1) 使用Windows本身自带的netstat命令C:\>netstat -anActive ConnectionsProto LocalAddress ForeignAddress StateTCP 0.0.0.0:113 0.0.0.0:0 LISTENINGTCP 0.0.0.0:135 0.0.0.0:0 LISTENINGTCP 0.0.0.0:445 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1025 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1026 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1033 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1230 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1232 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1239 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1740 0.0.0.0:0 LISTENINGTCP 127.0.0.1:5092 0.0.0.0:0 LISTENINGTCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAITCP 127.0.0.1:6092 0.0.0.0:0 LISTENINGUDP 0.0.0.0:69 *:*UDP 0.0.0.0:445 *:*UDP 0.0.0.0:1703 *:*UDP 0.0.0.0:1704 *:*UDP 0.0.0.0:4000 *:*UDP 0.0.0.0:6000 *:*UDP 0.0.0.0:6001 *:*UDP 127.0.0.1:1034 *:*UDP 127.0.0.1:1321 *:*UDP 127.0.0.1:1551 *:*(2) 使用windows2000下的命令行工具fportE:\software>Fport.exeFPort v2.0 - TCP/IP Process to Port MapperCopyright 2000 by Foundstone, Inc.Pid Process Port Proto Path420 svchost -> 135 TCP E:\WINNT\system32\svchost.exe8 System -> 139 TCP8 System -> 445 TCP768 MSTask -> 1025 TCP E:\WINNT\system32\MSTask.exe8 System -> 1027 TCP8 System -> 137 UDP8 System -> 138 UDP8 System -> 445 UDP256 lsass -> 500 UDP E:\WINNT\system32\lsass.exe(3) 使用图形化界面工具Active Ports这个工具可以监视到电脑所有打开的TCP/IP/UDP端口,还可以显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。
查看端口,让木马无处隐身
听 状 态 的 端 口 已 和 其 它 主 机 建 立 了 连 接 。 么 端 口 的 “ IT NI 那 L S E NG” 态 状 就 会 变 为 “ s A Ls E 状 态 : E T B IH D” s N_ E Y s NT— — 大 多 数 情 况 下 , 我 们 的 电 脑 会 主 动 打 开 一 个 端 口 去 连 接 其 它 机 器 。 时 端 口 的 状 态 就 表 这
个 要 素 。Nes t ut是 W id ws自 带 的 网 no
果 你 的 电脑 安 装并 启 用 了这 些服 务 ,
那 么 在 你 的 电 脑 上 这 些 端 口 应 该 是 开 放 的 。 下 面 是 常 见 的 一 些 公 认 端
口 。
指 它 默 认 的 监 听 端 口 ) 听 网 络 。 下 监
面 列 出 一 些 常 用 程 序 和 已知 木 马 默
乎 所 有 的 W id ws系 统 中 都 要 开 放 no 1 5、 3 1 8 和 1 9端 口 , 另 外 , 3 1 7、 3 3 在 W id ws 0 0 及 以 上 的 系 统 中 4 5 n o 2 0 4
由 客 户 端 程 序 打 开 。 以 这 种 端 口 也 所 叫 做 客 户 端 口 。 户 端 口 如 果 和 服 务 客 端 口建 立 了 连 接 , 么 端 口 的 状 态 就 那
默 认 的 监听端 口 ;
某 个 服 务 程 序 打 开 , 待 其 它 主 机 来 等 连 接 , 因 而 这 种 端 口 又 叫 做 服 务 端
口 ;
2 3端 口 : 程 登 录 协 议 中 定 义 的 远 端 口 , 来提 供 远 程维 护 服 务 ; 用
ES L S D — — 如 果 处 于 监 n IHE
网络常见木马的手工清除方法
网络常见木马的手工清除方法木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。
1. 网络公牛(Netbull)网络公牛是国产木马,默认连接端口23444。
服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。
同时,服务端运行后会自动捆绑以下文件:win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。
如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
2. Netspy(网络精灵)Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。
如何查看端口号被哪个程序占用了
如何查看端口号被哪个程序占用了在操作系统中,要查看端口号被哪个程序占用了,可以使用以下几种方法:方法一:使用命令行工具查看端口号占用情况1. 打开命令行终端,可以使用命令提示符(Windows)或终端(Linux/macOS)进入命令行界面。
2.输入以下命令并执行:- 在 Windows 上使用 `netstat -ano` 命令;- 在 Linux/macOS 上使用 `netstat -tuln` 命令。
这些命令将显示当前的活动连接和监听端口,包括协议类型、本地地址、远程地址、状态和进程ID等信息。
3.在输出结果中,查找你要查看的端口号对应的行,找到对应的进程ID(PID)。
4. 在 Windows 上,输入 `tasklist , findstr PID`,其中 PID 是上一步骤中查找到的进程 ID。
在 Linux/macOS 上,输入 `ps -ef ,grep PID`来获取该进程的详细信息。
这样就可以得知占用该端口号的程序名称。
方法二:使用专用的端口查看工具1. 在 Windows 上,可以使用 TCPView 或 CurrPorts等工具来查看端口号占用情况。
- TCPView:是微软提供的免费工具,可显示当前的 TCP 和 UDP 连接情况,以及监听的端口号和 PID。
- CurrPorts:是 NirSoft 公司提供的免费工具,类似于 TCPView,提供了更多的功能和详细的信息。
2. 在 Linux/macOS 上,可以使用 lsof 命令来查看端口号占用情况。
输入 `sudo lsof -i :端口号`(如:`sudo lsof -i :8080`)来获取占用该端口号的程序信息。
方法三:使用系统监控工具1. 在 Windows 上,可以使用 Task Manager(任务管理器)来查看占用端口号的程序。
- 使用 `Ctrl + Shift + Esc` 快捷键打开 Task Manager。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
查看端口,让木马无处隐身.txt“我羡慕内些老人羡慕他们手牵手一直走到最后。
━交话费的时候,才发现自己的话那么值钱。
查看端口,让木马无处隐身
基本上所有的木马都是基于TCP/IP通讯的客户端/服务端结构的系统,服务端被安装后,会在被监控端打开一个监听端口等待客户端来连接,一般情况下,不同的木马,默认打开的监听端口不同,所以,查看你电脑上打开的监听端口,可以判断你的电脑是否中了木马以及中了何种木马。
辨认系统的默认端口
电脑上1024以下的端口一般被固定分配给一些服务,这些端口以及和它对应和服务已经“家喻户晓,妇孺皆知”,所以这些端口有叫公认端口,例如80端口被固定给Web服务,21端口被固定给FTP服务等,如果你的电脑安装并启用了这些服务,那么在你的电脑上这些端口应该是开放的。
下面是常见的一些公认端口。
80端口:超文本传输协议中定义的端口,用来提供网页(WEB)服务;
21端口:文件传输协议中定义的端口,用来提供文件的上传与下载服务;
23端口:远程登录协议中定义的端口,用来提供远程维护服务;
25端口:简单邮件传输协议中定义的端口,用来提供邮件的发送服务;
110端口:邮件接受协议中定义的端口,用来提供邮件的接收服务。
提示:还有一些端口在Windows安装好后就会自动打开,笔者对这些端口做了一次调查,调查中发现,几乎所有的Windows系统中都要开放135、137、138和139端口,另外,在Windows 2000及以上的系统中445端口也是开放的。
1024以上的端口系统一般不固定给某个服务,它是动态分配的,因而这类端口又叫做动态端口(有些文章认为从1024到49151的端口比较固定地分配给一些服务,因而它们把这些端口细分为“注册端口”,实际上,系统通常从1024起就开始动态分配端口了)。
动态端口任何网络程序都可以使用,只要程序向系统提出访问网络的申请,那么系统就可以从这些端口中分配一个供该程序使用,访问结束后,所占用的端口也会被释放,当有其它程序访问网络时,这些端口有可能会被再次使用。
需要指出的是,从理论上讲,动态端口不应用作服务端口,但是,还是有一部分正常程序和大多数木马程序的服务端固定使用了一个或几个这一范围内的端口(大多数木马所使用的监听端口都可以自定义,这里所说的端口是指它默认的监听端口)监听网络。
下面列出一些常用程序和已知木马默认的监听端口。
3389端口:Windows的终端服务或远程桌面默认的监听端口;
7626端口:木马冰河服务端默认的监听端口;
7306端口:木马网络精灵(NetSpy)服务端默认的监听端口;
6267端口:木马广外女生服务端默认的监听端口;
19191端口:木马蓝色火焰服务端默认的监听端口。
由于已知的木马实在太多,所以我们在这里不能一一列出,你可以根据下面介绍的方法查出处于监听状态的端口,然后在网上搜索该端口号,查询它是否是木马造成的。
利用Netstat命令查看端口
一台机器要和另一台机器通讯,首先要明确四个要素,即本机的IP地址,远程主机的IP地址,本机使用的通讯端口,远程主机使用的通讯端口。
使用Netstat命令就能够查清这四个要素。
Netstat是Windows自带的网络检测工具,只要安装了TCP/IP协议,我们就可以使用该命令。
Netstat命令格式和主要参数
Netstat [-a] [-e] [-n] [-o] [-s][-p proto][-r] [interval]
-a 该参数用来显示计算机包括LISTENIN状态的所有端口和全部连接;
-n 以数字格式的形式显示计算机除LISTENING状态的端口和网络地址;
-o 显示计算机除LISTENING状态的端口和网络地址,同时显示开启该端口进程的PID;
-e 列出端口上的数据流量(一般与参数s共同使用),包括发送和接收的数据报的总字节数、错误数、删除数等;
-s 按照各个协议分别显示其统计数据。
端口的常见状态
LISTENING——这就是我们常说的监听端口,这种状态的端口一般由某个服务程序打开,等待其它主机来连接,因而这种端口又叫做服务端口;
ESTABLISHED——如果处于监听状态的端口已和其它主机建立了连接,那么端口的“LISTENING”状态就会变为“ESTABLISHED”状态;
SYN_SENT——大多数情况下,我们的电脑会主动打开一个端口去连接其它机器,这时端口的状态就表现为“SYN_SENT”,这种端口一般是由客户端程序打开,所以这种端口也叫做客户端口。
客户端口如果和服务端口建立了连接,那么端口的状态就会由“SYN_SENT”状态变为“ESTABLISHED”状态;
TIME_WAIT——处于ESTABLISHED状态的端口,如果连接被结束,那么端口的状态就会变
为TIME_WAIT状态。
在上术参数中,我们经常使用的有三个:“Netstat -a”、“Netstat n”和“Netstat -o”
⒈“Netstat -a”主要用来查看本地计算机都开放了哪些监听端口,如图1所示,被监听的端口中出现了7626端口,那么我们初步可以断定,这台计算机可能被植入了冰河木马。
⒉“Netstat n”和“Netstat -o”(和Netstat –n命令相比,该命令虽然不解析地址,但可以查看发起连接进程的PID,知道了发起该连接进程的PID,借助其它一些软件,我们就可以知道该PID对应的应用程序)主要用来查看本机与外部的网络连接。
和传统的木马相比,现在还有一种木马使用反弹端口,也就是说这种木马的服务端并不是开一个监听端口等待客户端来连接,而是服务端主动去连接客户端监听的端口,对付这种木马,我们就要使用“Netstat n”或“Netstat -o”查看本机与外部的网络连接状况。
如图2所示,我没有使用IE等任何软件与外部发生连接,可电脑却长时间地与“211.99.188.167”主机的8000端口连接着,通过对PID的查询,发现这一连接竟然是IE浏览器发起的,通过其它一些手段,初步断定,我的电脑可能被植入了反弹端口的木马——灰鸽子。
在常规的检查中,我们一般把参数“-a”和“-n”、“-o”联合起来使用。
在命令提示符窗口中输入“Netstat –an”或“Netstat –ao”,这样,我们不仅能查看本机开放了哪些监听端口,还能以IP地址形式查看本机的网络程序都连接到哪些网络主机。
使用软件扫描端口
扫描端口的软件比较多,这里建议大家使用SuperScan,它是国外着名安全团体GoundStone推出的一款端口扫描工具,它不仅能够扫描端口,而且还内置了一个特洛伊木马的端口列表文件,利用该列表文件,我们就可以直接扫描自己的电脑是否中了木马。
⒈端口扫描:启动SuperScan单击“本机”或“网络”按钮,你的局域网IP或公网IP 就填写到“起始IP”和“终止IP”文本框中了,接下来,选择“所有端口”单选框并在文本框中键入1到65535的所有端口,最后单击“开始”进行扫描。
扫描结束后,下面的窗口中会列出你的系统中开放的全部监听端口,如果端口是木马开放的,它还能根据特洛伊木马的端口列表文件给出该木马的名称或描述(如图3)。
⒉扫描木马:上面介绍的方法我们由于要对全部端口进行扫描,所花费的时间比较长,如果你只扫描木马,可以使用特洛伊木马的端口列表文件。
第一步:在SuperScan的界面上单击“端口设置”打开“编辑端口列表”对话框,在“端口列表清单”中选择“trojans.lst”文件(图4),在下面的窗口中列出了木马使用的端口号和木马的描述,你可以选择一部分端口进行扫描,也可心单击“全部选择”选择列表中的所有端口进行扫描。
第二步:在SuperScan的界面上,点击“列表中的每个端口”扫描“trojans.lst”文件中列出的全部端口,“所有列表中选择的端口”只扫描在“trojans.lst”文件中选择的端口,你也可以键入一个起始端口号和结束端口号,然后选择“列表中的端口”扫描“trojans.lst”
文件中这一范围内的端口
第三步:选择好扫描的端口后,然后在“起始IP”和“终止IP”中输入自己的公网IP 地址,单击“开始”就可以扫描木马了。
小提示:在Internet上,新的木马层出不穷,为了能让SuperScan识别出这些木马,我们可以把新出现的木马加入到“trojans.lst”文件中。
在“编辑端口列表”对话框上选择“trojans.lst”文件,在左侧“端口”的文本框中输入木马使用的默认端口号,在“形容”文本框中输入该木马的名称或说明,最后单击“添加”,新的木马就添加到右侧的端口列表中了,单击“保存”,我们可以把该列表另存为其它文件,但然也可以继续保存在“trojans.lst”文件中。