當
前最為一般的木馬通常是關於TCP/UDP傳輸協定進行client端與server端之間的通訊的,既然利用到這兩個傳輸協定,就不可避免要在
server端(就是被種了木馬的機器了)開啟監聽連接阜來等待連接。例如鼎鼎大名的冰河使用的監聽連接阜是7626,Back Orifice
2000則是使用54320等等。
那麼,我們可以利用檢視本地機開放連接阜的方法來檢查自己是否被種了木馬或其它hacker程序。以下是詳細方法介紹。
1. Windows本身原有的的netstat指令
關於netstat指令,我們先來看看windows求助文件中的介紹:
Netstat
顯示傳輸協定統計和當前的 TCP/IP 網路連接。該指令只有在安裝了 TCP/IP 傳輸協定後才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
參數
-a
顯示所有連接和偵聽連接阜。伺服器連接通常不顯示。
-e
顯示乙太網統計。該參數可以與 -s 選項結合使用。
-n
以數位格式顯示位址和連接阜號(而不是嘗試搜尋名稱)。
-s
顯示每個傳輸協定的統計。預設情況下,顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設的子集。
-p protocol
顯示由 protocol 指定的傳輸協定的連接;protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個傳輸協定的統計,protocol 可以是 tcp、udp、icmp 或 ip。
-r
顯示路由表的內容。
interval
重新顯示所選的統計,在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數,netstat 將列印一次當前的配置資訊。
好了,看完這些求助文件,我們應該明白netstat指令的使用方法了。現在就讓我們現學現用,用這個指令看一下自己的機器開放的連接阜。進入到指令行下,使用netstat指令的a和n兩個參數:
C:>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
解
釋一下,Active Connections是指當前本地機活動連接,Proto是指連接使用的傳輸協定名稱,Local
Address是本機電腦的 IP 位址和連接正在使用的連接阜號,Foreign Address是連接該連接阜的遠端電腦的 IP
位址和連接阜號,State則是表明TCP 連接的狀態,你可以看到後面三行的監聽連接阜是UDP傳輸協定的,所以沒有State表示的狀態。
看!我的機器的7626連接阜已經開放,正在監聽等待連接,像這樣的情況極有可能是已經感染了冰河!急忙中斷連線網路,用殺毒軟體查殺病毒是正確的做法。
2.工作在windows2000下的指令行工具fport
使用windows2000的朋友要比使用windows9X的幸運一些,因為可以使用fport這個程序來顯示本地機開放連接阜與行程的對應關係。
Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜,以及它們對應應用程式的完整路徑、PID標識、行程名稱等資訊的軟體。在指令行下使用,請看例子:
D:>fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
748 tcpsvcs -> 7 TCP C:WINNTSystem32 tcpsvcs.exe
748 tcpsvcs -> 9 TCP C:WINNTSystem32 cpsvcs.exe
748 tcpsvcs -> 19 TCP C:WINNTSystem32 cpsvcs.exe
416 svchost -> 135 TCP C:WINNTsystem32svchost.exe
是不是一目瞭然了。這下,各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。
如果發現有某個可疑程序開啟了某個可疑連接阜,可千萬不要大意哦,也許那就是一隻狡猾的木馬!
Fport的最新版本是2.0。
在很多網站都提供下載,但是為了安全起見,當然最好還是到它的老家去下:
http://www.foundstone.com/knowledge/zips/fport.zip
3.與Fport功能類似的圖形化界面工具Active Ports
Active Ports為SmartLine出品,你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜,不但可以將你所有的連接阜顯示出來,還顯示所有連接阜所對應的程序所在的路徑,本機IP和遠端IP(試突連接你的電腦IP)是否正在活動。
更棒的是,它還提供了一個關閉連接阜的功能,在你用它發現木馬開放的連接阜時,可以立即將連接阜關閉。
這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。
其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與行程的對應關係,因為windows xp所帶的netstat指令比以前的版本多了一個O參數,使用這個參數就可以得出連接阜與行程的對應來。
上面介紹了幾種檢視本地機開放連接阜,以及連接阜和行程對應關係的方法,通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬,希望能給你的愛機帶來說明 。
但是對木馬重在防範,而且如果碰上反彈連接阜木馬,利用驅動程式及動態連接庫技術製作的新木馬時,以上這些方法就很難查出木馬的痕跡了。
所以我們一定要養成良好的上網習慣,不要隨意執行郵件中的附件,安裝一套殺毒軟體,像國內的瑞星就是個查殺病毒和木馬的好幫手。
從網上下載的軟體先用殺毒軟體檢查一遍再使用,在上網時開啟網路防火牆和病毒既時監控,保護自己的機器不被可恨的木馬入侵。
教你怎樣怎樣關閉連接阜!
每一項服務都對應相應的連接阜,比如眾如周知的WWW服務的連接阜是80,smtp是25,ftp是21,win2000安裝中預設的都是這些服務開啟的。
對於個人用戶來說確實沒有必要,關掉連接阜也就是關閉無用的服務。 「控制台」的「系統系統管理工具」中的「服務」中來組態。
1、關閉7.9等等連接阜:關閉Simple TCP/IP Service,支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關閉80口:關掉WWW服務。在「服務」中顯示名稱為"World Wide Web Publishing Service",通過 Internet 資訊服務的管理單元提供 Web 連接和管理。
3、關掉25連接阜:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是跨網傳送電子郵件。
4、關掉21連接阜:關閉FTP Publishing Service,它提供的服務是通過 Internet 資訊服務的管理單元提供 FTP 連接和管理。
5、關掉23連接阜:關閉Telnet服務,它允許遠端用戶登入到系統並且使用指令行執行控制台程序。
6、還有一個很重要的就是關閉server服務,此服務提供 RPC 支持、文件、列印以及命名管道共享。關掉它就關掉了win2k的預設共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
7、還有一個就是139連接阜,139連接阜是NetBIOS Session連接阜,用來文件和列印共享,注意的是執行samba的unix機器也開放了139連接阜,功能一樣。
以前流光2000用來判斷對方主機檔案類型不太準確,估計就是139連接阜開放既認為是NT機,現在好了。
關
閉139口聽方法是在「網路和撥號連接」中「本地機連接」中選取「Internet傳輸協定(TCP/IP)」內容,進入「進階TCP/IP設定」
「WINS設定」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139連接阜。
對於個人用戶來說,可以在各項服務內容設定中設為「禁用」,以免下次重啟服務也重新啟動,連接阜也開放了
留言列表