史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   Hacker/Cracker 及加解密技術文件 (http://forum.slime.com.tw/f132.html)
-   -   檢視開放連接阜判斷木馬或其他黑客程序的方法 (http://forum.slime.com.tw/thread99878.html)

psac 2004-03-13 05:24 AM

檢視開放連接阜判斷木馬或其他黑客程序的方法
 
當前最為常見的木馬通常是基於TCP/UDP協議進行client端與server端之間的通訊的,既然利用到這兩個協議,就不可避免要在server端(就是被種了木馬的機器了)開啟監聽連接阜來等待連接。例如鼎鼎大名的冰河使用的監聽連接阜是7626,Back Orifice 2000則是使用54320等等。那麼,我們可以利用檢視本機開放連接阜的方法來檢查自己是否被種了木馬或其它黑客程序。以下是詳細方法介紹。

  
  1. Windows本身自帶的netstat命令

  
  關於netstat命令,我們先來看看windows幫助檔案中的介紹:

  
  Netstat

  
  顯示協議統計和當前的 TCP/IP 網路連接。該命令只有在安裝了 TCP/IP 協議後才可以使用。

  
  netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

  
  參數

  
  -a

  
  顯示所有連接和偵聽連接阜。服務器連接通常不顯示。

  
  -e

  
  顯示以太網統計。該參數可以與 -s 選項結合使用。

  
  -n

  
  以數位格式顯示地址和連接阜號(而不是嘗試搜尋名稱)。

  
  -s

  
  顯示每個協議的統計。預設值情況下,顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設值的子集。


  -p protocol

  
  顯示由 protocol 指定的協議的連接;protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個協議的統計,protocol 可以是 tcp、udp、icmp 或 ip。

  
  -r

  
  顯示路由表的內容。

  
  interval

  
  重新顯示所選的統計,在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數,netstat 將列印一次當前的配置訊息。

  
  好了,看完這些幫助檔案,我們應該明白netstat命令的使用方法了。現在就讓我們現學現用,用這個命令看一下自己的機器開放的連接阜。進入到命令行下,使用netstat命令的a和n兩個參數:

  
  C:\>netstat -an

  
  Active Connections

  
  Proto Local Address Foreign Address State

  TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

  TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

  TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING

  UDP 0.0.0.0:445 0.0.0.0:0

  UDP 0.0.0.0:1046 0.0.0.0:0

  UDP 0.0.0.0:1047 0.0.0.0:0


  解釋一下,Active Connections是指當前本機活動連接,Proto是指連接使用的協議名稱,Local Address是本地電腦的 IP 地址和連接正在使用的連接阜號,Foreign Address是連接該連接阜的遠端電腦的 IP 地址和連接阜號,State則是表明TCP 連接的狀態,你可以看到後面三行的監聽連接阜是UDP協議的,所以沒有State表示的狀態。看!我的機器的7626連接阜已經開放,正在監聽等待連接,像這樣的情況極有可能是已經感染了冰河!急忙離線網路,用殺毒軟體查殺病毒是正確的做法。
 2.工作在windows2000下的命令行工具fport

  
  使用windows2000的朋友要比使用windows9X的幸運一些,因為可以使用fport這個程序來顯示本機開放連接阜與行程的對應關係。

  
  Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜,以及它們對應應用程序的完整路徑、PID標誌、行程名稱等訊息的軟體。在命令行下使用,請看例子:

  
  D:\>fport.exe

  FPort v1.33 - TCP/IP Process to Port Mapper

  Copyright 2000 by Foundstone, Inc.

  http://www.foundstone.com

  
  Pid Process Port Proto Path

  748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe

  748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe

  748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe

  416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

  
  是不是一目瞭然了。這下,各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。如果發現有某個可疑程序開啟了某個可疑連接阜,可千萬不要大意哦,也許那就是一隻狡猾的木馬!

  
  Fport的最新版本是2.0。在很多網站都提供下載,但是為了安全起見,當然最好還是到它的老家去下: http://www.foundstone.com/knowledge/zips/fport.zip

  
  3.與Fport功能類似的圖形化界面工具Active Ports

  
  Active Ports為SmartLine出品,你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜,不但可以將你所有的連接阜顯示出來,還顯示所有連接阜所對應的程序所在的路徑,本地IP和遠端IP(試圖連接你的電腦IP)是否正在活動。

  
  是不是很直觀?更棒的是,它還提供了一個關閉連接阜的功能,在你用它發現木馬開放的連接阜時,可以立即將連接阜關閉。這個軟體工作在Windows NT/2000/XP平台下。你可以在 http://www.smartline.ru/software/aports.zip得到它。

  
  其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與行程的對應關係,因為windows xp所帶的netstat命令比以前的版本多了一個O參數,使用這個參數就可以得出連接阜與行程的對應來。

  
  上面介紹了幾種檢視本機開放連接阜,以及連接阜和行程對應關係的方法,通過這些方法可以輕鬆的發現基於TCP/UDP協議的木馬,希望能給你的愛機帶來幫助。但是對木馬重在防範,而且如果碰上反彈連接阜木馬,利用驅動程式及動態鏈接庫技術製作的新木馬時,以上這些方法就很難查出木馬的痕跡了。所以我們一定要養成良好的上網習慣,不要隨意執行郵件中的附件,安裝一套殺毒軟體,像國內的瑞星就是個查殺病毒和木馬的好幫手。從網上下載的軟體先用殺毒軟體檢查一遍再使用,在上網時開啟網路防火牆和病毒既時監控,保護自己的機器不被可恨的木馬入侵。


所有時間均為台北時間。現在的時間是 08:50 AM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1