在Win7系統(tǒng)中�,如何才能快速的找到潛伏在系統(tǒng)中的木馬呢?用殺毒軟件��,木馬防火墻�,還是安全衛(wèi)士?其實(shí)不用這么麻煩����,我們只需用到Win7系統(tǒng)中的一個命令netstat(該命令在WinXP和Vista中同樣可以使用),就可以通過檢測網(wǎng)絡(luò)連接來判定系統(tǒng)是否有木馬�����。這個netstat命令真的有如此之大的威力�����?讓我們來看看吧�����。
netstat是一個DOS命令,是一個監(jiān)控TCP/IP網(wǎng)絡(luò)的非常有用的工具�,它可以顯示路由表、實(shí)際的網(wǎng)絡(luò)連接以及每一個網(wǎng)絡(luò)接口設(shè)備的狀態(tài)信息����。netstat用于顯示與IP、TCP���、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計數(shù)據(jù)���,一般用于檢驗(yàn)本機(jī)各端口的網(wǎng)絡(luò)連接情況。簡單的說��,netstat命令可以檢查當(dāng)前電腦與網(wǎng)絡(luò)的連接���。那么這和檢測木馬有什么關(guān)系呢����?因?yàn)槟抉R與外界進(jìn)行通信����,需要打開一個端口,而這個端口就可以被netstat命令所檢測到���。另外�,netstat命令配合不同的參數(shù)�����,可以達(dá)到更好的檢測效果�,甚至可以還配合其他的命令干掉木馬的進(jìn)程,讓木馬報廢�����。
netstat命令的使用
點(diǎn)擊"開始"菜單→"運(yùn)行"����,輸入"cmd"運(yùn)行"命令提示符",輸入:"netstat -an"命令并回車�, 這個命令能看到所有和本地計算機(jī)建立連接的IP,它包含四個部分——proto(連接方式)����、local address(本地連接地址)、foreign address(和本地建立連接的地址)�、state(當(dāng)前端口狀態(tài))���。通過這個命令的詳細(xì)信息,我們就可以完全監(jiān)控計算機(jī)上的連接�����,從而達(dá)到控制計算機(jī)的目的����。通常我們使用這個命令就足夠了,另外我們還可以通過附帶一些參數(shù)來實(shí)現(xiàn)更多的檢測�����。
netstat命令結(jié)束木馬進(jìn)程
下面我們嘗試用netstat命令配合其他的命令來結(jié)束木馬進(jìn)程�����。輸入如下命令:netstat -an -o并回車�,-o參數(shù)的作用是顯示擁有的與每個連接關(guān)聯(lián)的進(jìn)程ID,也就是進(jìn)程的PID值�,每個顯示的網(wǎng)絡(luò)連接后面都會顯示其PID值。如果你發(fā)現(xiàn)了其中有可疑的網(wǎng)絡(luò)連接��,那么把其PID值記錄下來��。
按下"Ctrl"+"Shift"+"Esc"鍵運(yùn)行"任務(wù)管理器"�,點(diǎn)擊"查看"菜單→"選擇列",勾選其中的"PID(進(jìn)程標(biāo)識符)選項(xiàng)���,點(diǎn)擊確定�����。然后切換到"進(jìn)程"標(biāo)簽�,通過剛才記下的PID值在"任務(wù)管理器"中找到相應(yīng)的進(jìn)程����。如果你對該進(jìn)程不熟悉,在Win7的任務(wù)管理器中����,有對進(jìn)程的描述,通過描述我們就可以了解該進(jìn)程是否安全了����。
如果確信該進(jìn)程有問題,那么我們就可以使用"Tasklist"命令來結(jié)束該進(jìn)程��?���;氐?命令提示符"中���,輸入命令"Taskkill /pid 1234"結(jié)束進(jìn)程,1234即危險進(jìn)程的PID值��。這樣木馬的進(jìn)程就結(jié)束了����,這時我們就可以通過殺毒軟件對木馬進(jìn)行查殺,將木馬清除干凈�����。
關(guān)鍵詞標(biāo)簽:Windwos 7,netstat
