文章內(nèi)容

查看開放端口判斷木馬

發(fā)布時(shí)間: 2012/6/23 18:12:55

當(dāng)前最為常見的木馬通常是基于TCP/UDP協(xié)議進(jìn)行client端與server端之間的通訊的，既然利用到這兩個(gè)協(xié)議，就不可避免要在server端（就是被種了木馬的機(jī)器了）打開監(jiān)聽端口來等待連接。例如鼎鼎大名的冰河使用的監(jiān)聽端口是7626，Back Orifice 2000則是使用54320等等。那么，我們可以利用查看本機(jī)開放端口的方法來檢查自己是否被種了木馬或其它黑客程序。以下是詳細(xì)方法介紹。
　　1． Windows本身自帶的netstat命令
　　關(guān)于netstat命令，我們先來看看windows幫助文件中的介紹：
　　Netstat
　　顯示協(xié)議統(tǒng)計(jì)和當(dāng)前的 TCP/IP 網(wǎng)絡(luò)連接。該命令只有在安裝了 TCP/IP 協(xié)議后才可以使用。
　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
　　參數(shù)
　　-a
　　顯示所有連接和偵聽端口。服務(wù)器連接通常不顯示。
　　-e
　　顯示以太網(wǎng)統(tǒng)計(jì)。該參數(shù)可以與 -s 選項(xiàng)結(jié)合使用。
　　-n
　　以數(shù)字格式顯示地址和端口號(hào)（而不是嘗試查找名稱）。
　　-s
　　顯示每個(gè)協(xié)議的統(tǒng)計(jì)。默認(rèn)情況下，顯示 TCP、UDP、ICMP 和 IP 的統(tǒng)計(jì)。-p 選項(xiàng)可以用來指定默認(rèn)的子集。
　　-p protocol
　　顯示由 protocol 指定的協(xié)議的連接；protocol 可以是 tcp 或 udp。如果與 -s 選項(xiàng)一同使用顯示每個(gè)協(xié)議的統(tǒng)計(jì)，protocol 可以是 tcp、udp、icmp 或 ip。
　　-r
　　顯示路由表的內(nèi)容。
　　interval
　　重新顯示所選的統(tǒng)計(jì)，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統(tǒng)計(jì)。如果省略該參數(shù)，netstat 將打印一次當(dāng)前的配置信息。
　　好了，看完這些幫助文件，我們應(yīng)該明白netstat命令的使用方法了�，F(xiàn)在就讓我們現(xiàn)學(xué)現(xiàn)用，用這個(gè)命令看一下自己的機(jī)器開放的端口。進(jìn)入到命令行下，使用netstat命令的a和n兩個(gè)參數(shù)：
　　C:\>netstat -an
　　Active Connections
　　Proto Local Address Foreign Address State
　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
　　UDP 0.0.0.0:445 0.0.0.0:0
　　UDP 0.0.0.0:1046 0.0.0.0:0
　　UDP 0.0.0.0:1047 0.0.0.0:0
　　解釋一下，Active Connections是指當(dāng)前本機(jī)活動(dòng)連接，Proto是指連接使用的協(xié)議名稱，Local Address是本地計(jì)算機(jī)的 IP 地址和連接正在使用的端口號(hào)，F(xiàn)oreign Address是連接該端口的遠(yuǎn)程計(jì)算機(jī)的 IP 地址和端口號(hào)，State則是表明TCP 連接的狀態(tài)，你可以看到后面三行的監(jiān)聽端口是UDP協(xié)議的，所以沒有State表示的狀態(tài)�？�！我的機(jī)器的7626端口已經(jīng)開放，正在監(jiān)聽等待連接，像這樣的情況極有可能是已經(jīng)感染了冰河！急忙斷開網(wǎng)絡(luò)，用殺毒軟件查殺病毒是正確的做法。
　　2．工作在windows2000下的命令行工具fport
　　使用windows2000的朋友要比使用windows9X的幸運(yùn)一些，因?yàn)榭梢允褂胒port這個(gè)程序來顯示本機(jī)開放端口與進(jìn)程的對(duì)應(yīng)關(guān)系。
　　Fport是FoundStone出品的一個(gè)用來列出系統(tǒng)中所有打開的TCP/IP和UDP端口，以及它們對(duì)應(yīng)應(yīng)用程序的完整路徑、PID標(biāo)識(shí)、進(jìn)程名稱等信息的軟件。在命令行下使用，請(qǐng)看例子：
　　D:\>fport.exe
　　FPort v1.33 - TCP/IP Process to Port Mapper
　　Copyright 2000 by Foundstone, Inc.
　　http://www.foundstone.com
　　Pid Process Port Proto Path
　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
　　是不是一目了然了。這下，各個(gè)端口究竟是什么程序打開的就都在你眼皮底下了。如果發(fā)現(xiàn)有某個(gè)可疑程序打開了某個(gè)可疑端口，可千萬不要大意哦，也許那就是一只狡猾的木馬！
　　Fport的最新版本是2.0。在很多網(wǎng)站都提供下載，但是為了安全起見，當(dāng)然最好還是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip
　　3.與Fport功能類似的圖形化界面工具Active Ports
　　Active Ports為SmartLine出品，你可以用來監(jiān)視電腦所有打開的TCP/IP/UDP端口，不但可以將你所有的端口顯示出來，還顯示所有端口所對(duì)應(yīng)的程序所在的路徑，本地IP和遠(yuǎn)端IP(試圖連接你的電腦IP)是否正在活動(dòng)。下面是軟件截圖：
　　是不是很直觀？更棒的是，它還提供了一個(gè)關(guān)閉端口的功能，在你用它發(fā)現(xiàn)木馬開放的端口時(shí)，可以立即將端口關(guān)閉。這個(gè)軟件工作在Windows NT/2000/XP平臺(tái)下。你可以在http://www.smartline.ru/software/aports.zip得到它。
　　其實(shí)使用windows xp的用戶無須借助其它軟件即可以得到端口與進(jìn)程的對(duì)應(yīng)關(guān)系，因?yàn)閣indows xp所帶的netstat命令比以前的版本多了一個(gè)O參數(shù)，使用這個(gè)參數(shù)就可以得出端口與進(jìn)程的對(duì)應(yīng)來。
　　上面介紹了幾種查看本機(jī)開放端口，以及端口和進(jìn)程對(duì)應(yīng)關(guān)系的方法，通過這些方法可以輕松的發(fā)現(xiàn)基于TCP/UDP協(xié)議的木馬，希望能給你的愛機(jī)帶來幫助。但是對(duì)木馬重在防范，而且如果碰上反彈端口木馬，利用驅(qū)動(dòng)程序及動(dòng)態(tài)鏈接庫技術(shù)制作的新木馬時(shí)，以上這些方法就很難查出木馬的痕跡了。所以我們一定要養(yǎng)成良好的上網(wǎng)習(xí)慣，不要隨意運(yùn)行郵件中的附件，安裝一套殺毒軟件，像國內(nèi)的瑞星就是個(gè)查殺病毒和木馬的好幫手。從網(wǎng)上下載的軟件先用殺毒軟件檢查一遍再使用，在上網(wǎng)時(shí)打開網(wǎng)絡(luò)防火墻和病毒實(shí)時(shí)監(jiān)控，保護(hù)自己的機(jī)器不被可恨的木馬入侵。