| 技术论坛 |
|
|
| ≡技术区≡ ① |
| DELPHI技术 |
| lazarus/fpc/Free Pascal |
| 移动应用开发 |
| Web应用开发 |
| 数据库专区 |
| 报表专区 |
| 网络通讯 |
| 开源项目 |
| 论坛精华贴 |
| ≡发布区≡ ② |
| 发布代码 |
| 发布控件 |
| 文档资料 |
| 经典工具 |
| ≡事务区≡ ③ |
| 网站意见 |
| 盒子之家 |
| 招聘应聘 |
| 信息交换 |
| 论坛信息 |
|||
|
| 导航: | 论坛 -> 网络通讯 斑竹:liumazi,sephil | |||||
| 作者: |
|
2004/1/23 13:32:22 | ||||
| 标题: |
|
加入我的收藏 | ||||
| 楼主: | 请问如何检查出自己的机中了木马哦? ---------------------------------------------- - |
|||||
| 作者: |
|
2004/1/23 15:25:52 | ||||
| 1楼: | http://www.cnlvker.com/ ---------------------------------------------- - |
|||||
| 作者: |
|
2004/1/25 23:06:16 | ||||
| 2楼: | 装一个防火墙如天网把级别设成高级,运行时看看有没有软件试图与外面网络端口连接 ---------------------------------------------- 淘宝API 金蝶BOS二次开发 |
|||||
| 作者: |
|
2004/2/10 8:47:48 | ||||
| 3楼: | 这是我在别处偶见的文章,希望对你有所帮助! ------------------------------------------------------------------------- 查看开放端口:让木马现形 ------------------------------------------------------------------------- 当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍。 1. Windows本身自带的netstat命令 关于netstat命令,我们先来看看windows帮助文件中的介绍: Netstat 显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 参数 -a 显示所有连接和侦听端口。服务器连接通常不显示。 -e 显示以太网统计。该参数可以与 -s 选项结合使用。 -n 以数字格式显示地址和端口号(而不是尝试查找名称)。 -s 显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。 -p protocol 显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。 -r 显示路由表的内容。 interval 重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。 好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数: C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0:0 解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。 ---------------------------------------------- - |
|||||
| 作者: |
|
2004/2/10 9:59:05 | ||||
| 4楼: | 同意       ( )  方法,随便找个防 墙,检测一    程序与外界联 ,判断一    ----------------------------------------------  =^@^= |
|||||
| 作者: |
|
2004/2/12 18:38:00 | ||||
| 5楼: | 是不是觉得太麻烦啊 下载木马客星 查查看撒,最简单不过,如果有,点IE属性删除所有脱机内容,<<<<<<<<<<<<<注意有的木马伪装成应用程序,不删掉脱机内容,有的木马清除不了>>>>>>>>>>>然后把可疑程序删掉就OK了啊 如果没查到,就更不用担心了啊 提示一下,现在有的提供的木马客星有的也捆绑了木马,建议下载2个不同版本的客星互相查一下。 最后记得清空回收站啊。 ---------------------------------------------- - |
|||||
| 信息 |
| 登陆以后才能回复 |
