[psac]

如果發現一些從沒見過的連接阜號，你怎樣分辨出該連接阜是不是木馬開放的連接阜?或者在工作列表中發現陌生的工作時，是否想知道該工作在你的系統中開了什麼連接阜?
一般都是使用些相關軟體來方便使用,其中有Sysinternals 的 tcpview 使用上起來,...
activeport 或 fport也不錯..比較方便也很簡單,當然你要些系統概念,或說熟悉安裝os & 常用AP
應用軟體的執行的程序與程式名;fport、gport都是指令行的
fport沒有公開來源碼，所以高人 把它反編譯後看哪個api然後仿寫出gport，公開來源碼
上面說的使用是方便些,但有時軟體不在身邊或以不用安裝軟體了,也能答到效果.win.2k 中指令支持一般知確實差了一些, 現在好多還都是 2k＋xp 的網路 呵呵 伺服器這方面少，主要還是xp這方面操作多些。

就是下面要說明的...
不過以缺失...netstat -ano 只中的 o 參數在win2kpro/server下無法用 ,而且也沒有tasklist 這個指令;
好了!不再晬言...拉東說西...進入正題!


看官聽來.....

　　一、根據工作查連接阜號

　　首先在開始選單的「執行」框中輸入「cmd.exe」進入命令提示字元視窗，先按鍵輸入「tasklist」指令將列出系統正在執行的工作列表，把你要查的工作所對應的「PID」號記下或複製。
PID 就是你按ctrl +alt + del >檢視 >選責欄位..加入句取 PID項列表....


　　小資料：按下右鍵表單中的標記，然後將你要查的工作對應的「PID」號選，按一下「Enter鍵」鍵就可以了。需要注意的是，相同的工作褸牊釵W穡C次執行的「PID」號一般都不會相同，所以一旦該工作重啟後，該「PID」號就會改變，這就需要重新檢視。

　　把工作的PID號記下後，接下來就用這個PID號把該工作所開的連接阜顯示出來了。

　　在當前的指令符下繼續按鍵輸入「netstat -ano | findstr 1140」指令，其中「netstat -ano」參數表示以數位形式顯示所有活動的TCP連接以及電腦正在偵聽的TCP、UDP連接阜並且顯示對應的工作ID簌ID繡飽F「|findstr 1140」表示尋找工作PID為「1140」的TCP連接以及TCP、UDP連接阜的偵聽情況（在實際套用中，需要把你剛才記下或複製的PID號取代掉這裡的1140）。按「Enter鍵」鍵後，就會顯示出該工作所開的連接阜號。

　　從圖1中我們可以明顯地看出，PID為「1140」的工作所開啟的連接阜為「3001」，如果此時沒有任何提示訊息返回，則說明該工作沒有開啟任何連接阜。
二、根據連接阜號查工作

　　在命令提示字元視窗中輸入「netstat -ano」指令，列出系統當前的連接阜列表，該指令的作用已在上面提過了。-o參數的作用主要是顯示各連接阜對應的工作PID號，現在把你要查的連接阜對應的工作PID號記下或複製。然後在命令提示字元下繼續輸入「tasklist /fi 〞PID eq 788 〞」（在實際套用中，需要把你複製或記下的PID號取代掉這裡的788），這行語句「/fi」參數表示在「tasklist」中篩選，而「PID eq 788」則是指定篩選的條件，按「Enter鍵」鍵後，就會顯示出連接阜對應的工作。

　　從圖2中可以看出，PID號為「788」所對應的工作為「svchost.exe」，如果你查的連接阜沒有關聯任何工作的話，此時就會返回「沒有執行帶有指定標準的工作」的提示訊息。

　　三、查出工作對應的程序

　　知道了連接阜和工作的關聯後，如何再進去一步查出該工作是那個軟體或程序的工作呢?

　　下面的操作就需要用到Windows 2000（Server或Professional版都可以）安裝光碟中的一個工具。

　　首先在安裝光碟的「Support\Tools\」目錄下，用解壓軟體開啟「support.cab」壓縮包，找到「tlist.exe」文件，將此文件釋放到任一目錄，如「D：\Support」。然後在命令提示字元視窗中切換到此目錄，執行「tli st.exe」指令，把要查的工作對應的PID號記下或複製（第一列就是工作的PID號），然後繼續輸入「tlist.exe 2012」指令（你輸入的時候，需要將剛才記下的PID號取代掉這裡的2012），「CmdLine均v後面顯示的就是該工作對應的軟體所在的目錄。

　　除此之外，返回訊息中還列出了該工作所使用的文件，得到了這些訊息就可以很容易查出工作對應的程序了。

　　假如想關閉某個工作，可把該工作的PID號記下，在指令提符下輸入「taskkill /pid 2400」2400是PID號）就可以將PID號為2400的工作關閉，如果要強制關閉該工作，只須在這條指令的後面加個「/f」