教你如何检视自己开放的连接阜

最近被病毒搞的头昏脑涨的，不过也收获不小哟，知道了点小方法，与大家共勉。

当前最为一般的木马通常是关于TCP/UDP传输协定进行client端与server端之间的通讯的，既然利用到这两个传输协定，就不可避免要在server端（就是被种了木马的机器了）开启监听连接阜来等待连接。例如鼎鼎大名的冰河使用的监听连接阜是7626，Back Orifice 2000则是使用54320等等。



那么，我们可以利用检视本地机开放连接阜的方法来检查自己是否被种了木马或其它hacker程序。以下是详细方法介绍。

1． Windows本身原有的的netstat指令
关于netstat指令，我们先来看看windows求助文件中的介绍：

Netstat
显示传输协定统计和当前的 TCP/IP 网路连接。该指令只有在安装了 TCP/IP 传输协定后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

参数

-a

显示所有连接和侦听连接阜。伺服器连接通常不显示。

-e

显示乙太网统计。该参数可以与 -s 选项结合使用。

-n

以数位格式显示位址和连接阜号（而不是尝试搜寻名称）。

-s

显示每个传输协定的统计。预设情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定预设的子集。

-p protocol

显示由 protocol 指定的传输协定的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个传输协定的统计，protocol 可以是 tcp、udp、icmp 或 ip。

-r

显示路由表的内容。

interval

重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将列印一次当前的配置资讯。


好了，看完这些求助文件，我们应该明白netstat指令的使用方法了。现在就让我们现学现用，用这个指令看一下自己的机器开放的连接阜。进入到指令行下，使用netstat指令的a和n两个参数：

C:\>netstat -an

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0


解释一下，Active Connections是指当前本地机活动连接，Proto是指连接使用的传输协定名称，Local Address是本机电脑的 IP 位址和连接正在使用的连接阜号，Foreign Address是连接该连接阜的远端电脑的 IP 位址和连接阜号，State则是表明TCP 连接的状态，你可以看到后面三行的监听连接阜是UDP传输协定的，所以没有State表示的状态。


看！我的机器的7626连接阜已经开放，正在监听等待连接，像这样的情况极有可能是已经感染了冰河！急忙中断连线网路，用杀毒软体查杀病毒是正确的做法。

2．工作在windows2000下的指令行工具fport

使用windows2000的朋友要比使用windows9X的幸运一些，因为可以使用fport这个程序来显示本地机开放连接阜与行程的对应关系。

Fport是FoundStone出品的一个用来列出系统中所有开启的TCP/IP和UDP连接阜，以及它们对应应用程式的完整路径、PID标识、行程名称等资讯的软体。在指令行下使用，请看例子：
D:\>fport.exe

FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foun...e.com

Pid Process Port Proto Path

748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe

748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe

748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe

416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe


是不是一目了然了。这下，各个连接阜究竟是什么程序开启的就都在你眼皮底下了。

如果发现有某个可疑程序开启了某个可疑连接阜，可千万不要大意哦，也许那就是一只狡猾的木马！
Fport的最新版本是2.0。

在很多网站都提供下载，但是为了安全起见，当然最好还是到它的老家去下：

http://www.foundstone.com/k...s/fport.zip
3.与Fport功能类似的图形化界面工具Active Ports

Active Ports为SmartLine出品，你可以用来监视电脑所有开启的TCP/IP/UDP连接阜，不但可以将你所有的连接阜显示出来，还显示所有连接阜所对应的程序所在的路径，本机IP和远端IP(试突连接你的电脑IP)是否正在活动。


更棒的是，它还提供了一个关闭连接阜的功能，在你用它发现木马开放的连接阜时，可以立即将连接阜关闭。


这个软体工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。


其实使用windows xp的用户无须借助其它软体即可以得到连接阜与行程的对应关系，因为windows xp所带的netstat指令比以前的版本多了一个O参数，使用这个参数就可以得出连接阜与行程的对应来。

上面介绍了几种检视本地机开放连接阜，以及连接阜和行程对应关系的方法，通过这些方法可以轻松的发现关于TCP/UDP传输协定的木马，希望能给你的爱机带来说明 。


但是对木马重在防范，而且如果碰上反弹连接阜木马，利用驱动程式及动态连接库技术制作的新木马时，以上这些方法就很难查出木马的痕迹了。


所以我们一定要养成良好的上网习惯，不要随意执行邮件中的附件，安装一套杀毒软体，像国内的瑞星就是个查杀病毒和木马的好帮手。

从网上下载的软体先用杀毒软体检查一遍再使用，在上网时开启网路防火墙和病毒既时监控，保护自己的机器不被可恨的木马入侵。