史萊姆論壇 - 查看單個文章

psac · 2005-12-17, 08:58 PM

　　interval

　　重新顯示所選的統計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數，netstat 將列印一次現用的配置資訊。

　　好了，看完這些求助文件，我們應該明白netstat指令的使用方法了。現在就讓我們現學現用，用這個指令看一下自己的機器開放的連接阜。進入到指令行下，使用netstat指令的a和n兩個參數：

　　C:\>netstat -an

　　Active Connections

　　Proto Local Address Foreign Address State
　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
　　UDP 0.0.0.0:445 0.0.0.0:0
　　UDP 0.0.0.0:1046 0.0.0.0:0
　　UDP 0.0.0.0:1047 0.0.0.0:0

　　解釋一下，Active Connections是指當前本地機活動連接，Proto是指連接使用的傳輸協定名稱，Local Address是本機電腦的 IP 位址和連接正在使用的連接阜號，Foreign Address是連接該連接阜的遠端電腦的 IP 位址和連接阜號，State則是表明TCP 連接的狀態，你可以看到後面三行的監聽連接阜是UDP傳輸協定的，所以沒有State表示的狀態。看！我的機器的7626連接阜已經開放，正在監聽等待連接，像這樣的情況極有可能是已經感染了冰河！急忙中斷連線網路，用殺毒軟體查殺病毒是正確的做法。

　　2．工作在windows2000下的指令行工具fport

　　使用windows2000的朋友要比使用windows9X的幸運一些，因為可以使用fport這個程序來顯示本地機開放連接阜與工作的對應關係。

　　Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜，以及它們對應應用程式的完整路徑、PID標幟、工作名稱等訊息的軟體。在指令行下使用，請看例子：

　　D:\>fport.exe
　　FPort v1.33 - TCP/IP Process to Port Mapper
　　Copyright 2000 by Foundstone, Inc.
　　http://www.foundstone.com

　　Pid Process Port Proto Path
　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

　　是不是一目瞭然了。這下，各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。如果發現有某個可疑程序開啟了某個可疑連接阜，可千萬不要大意哦，也許那就是一隻狡猾的木馬！

　　Fport的最新版本是2.0。在很多網站都提供下載，但是為了安全起見，當然最好還是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip

　　3.與Fport功能類似的圖形化界面工具Active Ports

　　Active Ports為SmartLine出品，你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜，不但可以將你所有的連接阜顯示出來，還顯示所有連接阜所對應的程序所在的路徑，本機IP和遠端IP(試圖連接你的電腦IP)是否正在活動。下面是軟體截圖：

　　是不是很直觀？更棒的是，它還提供了一個關閉連接阜的功能，在你用它發現木馬開放的連接阜時，可以立即將連接阜關閉。這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。

　　其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與工作的對應關係，因為windows xp所帶的netstat指令比以前的版本多了一個O參數，使用這個參數就可以得出連接阜與工作的對應來。

　　上面介紹了幾種檢視本地機開放連接阜，以及連接阜和工作對應關係的方法，通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬，希望能給你的愛機帶來說明。但是對木馬重在防範，而且如果碰上反彈連接阜木馬，利用驅動程式及動態連接庫技術製作的新木馬時，以上這些方法就很難查出木馬的痕跡了。所以我們一定要養成良好的上網習慣，不要隨意執行郵件中的附件，安裝一套殺毒軟體，像國內的瑞星就是個查殺病毒和木馬的好幫手。從網上下載的軟體先用殺毒軟體檢查一遍再使用，在上網時開啟網路防火牆和病毒既時監控，保護自己的機器不被可恨的木馬入侵。

2005-12-17, 08:58 PM	#11 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	interval 　　重新顯示所選的統計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數，netstat 將列印一次現用的配置資訊。　　好了，看完這些求助文件，我們應該明白netstat指令的使用方法了。現在就讓我們現學現用，用這個指令看一下自己的機器開放的連接阜。進入到指令行下，使用netstat指令的a和n兩個參數：　　C:\>netstat -an 　　Active Connections 　　Proto Local Address Foreign Address State 　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING 　　UDP 0.0.0.0:445 0.0.0.0:0 　　UDP 0.0.0.0:1046 0.0.0.0:0 　　UDP 0.0.0.0:1047 0.0.0.0:0 　　解釋一下，Active Connections是指當前本地機活動連接，Proto是指連接使用的傳輸協定名稱，Local Address是本機電腦的 IP 位址和連接正在使用的連接阜號，Foreign Address是連接該連接阜的遠端電腦的 IP 位址和連接阜號，State則是表明TCP 連接的狀態，你可以看到後面三行的監聽連接阜是UDP傳輸協定的，所以沒有State表示的狀態。看！我的機器的7626連接阜已經開放，正在監聽等待連接，像這樣的情況極有可能是已經感染了冰河！急忙中斷連線網路，用殺毒軟體查殺病毒是正確的做法。　　2．工作在windows2000下的指令行工具fport 　　使用windows2000的朋友要比使用windows9X的幸運一些，因為可以使用fport這個程序來顯示本地機開放連接阜與工作的對應關係。　　Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜，以及它們對應應用程式的完整路徑、PID標幟、工作名稱等訊息的軟體。在指令行下使用，請看例子：　　D:\>fport.exe 　　FPort v1.33 - TCP/IP Process to Port Mapper 　　Copyright 2000 by Foundstone, Inc. 　　http://www.foundstone.com 　　Pid Process Port Proto Path 　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe 　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe 　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe 　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 　　是不是一目瞭然了。這下，各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。如果發現有某個可疑程序開啟了某個可疑連接阜，可千萬不要大意哦，也許那就是一隻狡猾的木馬！　　Fport的最新版本是2.0。在很多網站都提供下載，但是為了安全起見，當然最好還是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip 　　3.與Fport功能類似的圖形化界面工具Active Ports 　　Active Ports為SmartLine出品，你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜，不但可以將你所有的連接阜顯示出來，還顯示所有連接阜所對應的程序所在的路徑，本機IP和遠端IP(試圖連接你的電腦IP)是否正在活動。下面是軟體截圖：　　是不是很直觀？更棒的是，它還提供了一個關閉連接阜的功能，在你用它發現木馬開放的連接阜時，可以立即將連接阜關閉。這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。　　其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與工作的對應關係，因為windows xp所帶的netstat指令比以前的版本多了一個O參數，使用這個參數就可以得出連接阜與工作的對應來。　　上面介紹了幾種檢視本地機開放連接阜，以及連接阜和工作對應關係的方法，通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬，希望能給你的愛機帶來說明。但是對木馬重在防範，而且如果碰上反彈連接阜木馬，利用驅動程式及動態連接庫技術製作的新木馬時，以上這些方法就很難查出木馬的痕跡了。所以我們一定要養成良好的上網習慣，不要隨意執行郵件中的附件，安裝一套殺毒軟體，像國內的瑞星就是個查殺病毒和木馬的好幫手。從網上下載的軟體先用殺毒軟體檢查一遍再使用，在上網時開啟網路防火牆和病毒既時監控，保護自己的機器不被可恨的木馬入侵。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次