嘿嘿,剛才突然看到有這個M$自己出的Port的sniffer,巨汗。。下下來自己爽了一下
訊息果然一覽無餘,大小只有150K,支持2K/XP/2K3,勾小夠用。
MS的下載地址:
http://www.microsoft.com/downloads/d...DisplayLang=en
先簡單說明一下安裝步驟:
1。下載(廢話。。。。地址後面給出)
2。執行下載的檔案,然後會提示問你解壓到哪裡?隨便找個自己找得到的地方就OK了;或者用Winrar或者Winzip直接開啟它也可以
3。執行解開的檔案裡面的 Pr-setup.exe(如果用winrar開啟的話直接點這個執行就可以了)
這裡會提示安裝,y to end,就可以了。
4。安裝完了。
接下來簡單的使用
這個PortReporter是已service的形式執行的,並且預設值安裝是設置為手動執行的。我們要執行他就必須啟動這個服務(不要告訴我服務怎麼啟動。。巨汗。。)。
服務啟動之後沒有任何的提示。這個時候它已經在記錄了。。。。。
那麼記錄檔案在哪裡?
% Windows folder %\system32\Logfiles\PortReporter
我們進入這個目錄,我們可以看到三個檔案(我這裡只有一個網卡啟用,如果有多個估計有3*網卡個檔案了)
其中PR-INITIAL-*.log主要記錄了服務啟動初始化的時候整個系統裡面所有行程對網路的使用情況。具體每個人電腦不同,我這裡就不貼了,你們自己試了就可以看到。
PR-PIDS-*.log就是根據每個PID都做了記錄,不說了,這裡我覺得沒多少看頭。
PR-PORTS-*.log,嘿嘿,這就是本文的重要部分了,這個檔案記錄了當前所有偵聽連接阜,並且每個連接阜所對應的應用程序,全部都有哦!
PR-PORTS的格式是這樣的
date,time,protocol,local port,local IP address,remote port,remote IP address,PID,module,user context
04/3/17,16:48:7,TCP,4522,192.168.1.100,80,207.46.130.112,2412,MyIE.exe,<EVEREST\Everest Chen>
顯而易見啊,仔細看看這個檔案有沒有不認識的程序在偵聽連接阜啊?如果有那麼是木馬就八九不離十了,找到木馬,幹掉!That's easy!
PS:這個工具記錄的訊息是相當多的,用途也是多方面的,這裡說得查木馬也可能只是殺雞用牛刀了,呵呵,只是一時之好,發出來與大家共享,^^