| 作者:佚名 文章来源:it168 点击数: <script language="javascript" src="/wx/GetHits.asp?ArticleID=1071" type="text/javascript"></script> 128 更新时间:2006-2-23 | |||||||||||||
| 根据权威机构统计表明,个人计算机和企业服务器最惧怕的事件前三名依次为断电,断网和中毒。可见中毒是一件非常可怕的事情,严重影响了个人用户上网和企业服务器运转。当然中毒主要分两类,一类是感染普通病毒,这时我们只需要用最新的杀毒软件进行查杀即可,他给我们带来的无外乎是系统运行速度减慢等影响性能的危害;而另一类则是感染木马或被黑客入侵,如果这时我们不具备一定的防范能力的话,带来的后果也是恶劣的,一方面个人隐私会被人窃取,上网的一举一动都在别人的监视下进行,另一方面企业服务器上保存的大量珍贵数据将会丢失或泄露,同时提供的重要服务也将终止。 那么如何保证自己的计算机或服务器不被感染木马或被黑客入侵呢?实际上由于系统内部或多或少的存在着漏洞,而这些漏洞补丁的发布都属于亡羊补牢型,出现问题发现漏洞后软件和系统公司才会研究补丁。这种防范滞后于入侵的方式造成我们不可能百分之百的避免被黑,那么如何在第一时间了解服务器及个人计算机运行情况,在第一时间发现被黑或感染木马呢?今天就由笔者为大家介绍防范未知木马及黑客工具的三个小技巧。 一,原理篇: 木马和黑客工具都属于程序,那么他们在网络上传输数据时就一定会使用TCP/IP协议,当然目前还没有发现使用UPD来传输数据的木马和黑软,毕竟UPD的传输是没有保证的,很容易造成数据的丢失。既然他们都使用了TCP/IP协议进行数据传输那么一定会在本地计算机和远程计算机之间建立TCP/IP连接。而TCP/IP连接是基于端口的,也就是说木马或黑软会在本地计算机上开启某个端口和远程计算机的相应端口进行连接。不管是已经知道的木马还是未知木马都脱离不了这个传输机理。因此我们可以通过查询本地计算机上是否开启了可疑端口,然后进一步根据这个可疑端口查找调用他的程序来判断是否感染了木马或黑软。 二,哪个端口被占用: 既然知道了上面介绍的检测木马,黑软程序的原理,那么下面就要动手来查询到底本地计算机开启了哪些端口,如果发现有可疑或者不熟悉的端口被监听或打开甚至是正在连接的话,就一定要引起足够的重视了。 在windows 2000和windows XP系统中有一个小工具——netstat,他是系统自带的管理和监视网络连接的小程序。默认情况下netstat.exe位于系统文件夹中,即c:/windows/system32。(如图1)我们可以通过任务栏的“开始->运行->输入CMD回车”进入命令行模式来运行他
默认情况下如果不加任何参数使用netstat是没有任何意义的,他不能反馈给用户任何网络连接信息。(如图2)
要想查询当前本地计算机都与网络有哪些TCP甚至是UDP连接的话,需要使用netstat -a命令。该命令将会显示本地计算机哪个端口与网络中某IP地址的相应端口连接状态。(如图3)其中proto列显示的是使用的连接协议,分为TCP和UDP两种,local address列基本上都是本地计算机的计算机名,冒号:后是对应的端口。foreign address显示的是网络中计算机名或他的IP地址,同样冒号:后是端口。最后的state列表示的为当前连接的状态。 小提示: 系统中的端口号是从0到65535,我们在实际查询过程中要特别注意1000到65535这些端口,他们才是木马和黑软经常使用的通讯端口。 netstat -a命令帮助我们查询了本地端口的使用情况,保证我们在第一时间发现可疑端口被占用。 三,谁在占用本地端口: 上面介绍的netstat -a命令只能查询出当前哪个端口被使用,无法找到究竟是什么程序在使用相应的端口。这样就为我们找出木马带来的麻烦,如果发现某个可疑端口被占用的话,究竟是有用的程序在使用他还是感染的木马或黑软在占用呢?所以说找出某个端口是由哪个程序调用的才是防范未知木马和黑软的关键。 方法很简单我们使用netstat -a -o -b命令即可,同样在命令行模式输入前面的多参数命令。系统会多显示出一列,该列名为PID,也就是告诉我们是哪个PID在使用相应的端口,当然对于那些多个程序注入到同一个进程PID的情况也可以通过此命令查询出来,在每个连接的最后会显示出PID对应的文件名。(如图4)
从图4我们可以看出,第一行的连接是由PID 1276调用的,他实际上是由五个文件发起连接而成的,主程序为svchost.exe,连接过程中调用了系统文件夹c:/windows/system32下的四个DLL动态链接库文件。通过这个命令我们就可以将那些使用DLL注入方式隐藏自己的木马和黑软揪出来了。 在执行netstat -a -o -b命令后,系统会不停的监视网络连接情况,查询出调用某连接某端口的程序,显示出该程序调用的所有DLL文件。如果在显示过程中我们想终止的话,这需要执行ctrl+c即可。 netstat -a -o -b命令是上面介绍的netstat -a命令的扩展,他不仅仅帮助我们清楚的了解当前系统端口被使用的情况,还进一步找出了哪个程序在调用相应的端口,为我们找出可疑端口,判断可疑进程,发现可疑程序提供了有力保障。即使是使用DLL注入方式隐藏的木马也可以通过此方法找出来。 四,小工具在手木马黑软通通走: 也许有的读者会感觉使用上面的netstat加参数的方法来查看本地计算机开启了哪些端口以及哪个程序调用的相应端口比较麻烦,那么在本文的最后笔者为大家介绍一款小工具,他是图形化的界面,我们可以轻轻松松的查看当前哪些程序开启了哪些端口,从而判断出电脑是否感染木马或黑软。相比一条条命令的netstat来说,他更适合普通用户使用和操作。该软件的名字是currports。 currports小档案: 第一步:下载该软件并解压缩到新文件夹中。 第二步:运行文件夹中的“管理端口连接.exe”程序启动currports。(如图5)
第三步:启动currports后会自动扫描当前计算机打开的端口,还会显示出当前开启的所有程序。程序及使用的端口清晰的呈现出来,显示信息包括进程名称,PID,类型,本机地址,本机端口类型,本地地址,远程端口,远程端口类型,远程地址,连接状态,进程路径,文件描述,使用用户名称等。我们可以找到可疑的进程名称然后分析其使用的端口来判断是否为木马或黑软程序,对于不熟悉的进程还可以根据后面的进程路径和文件描述,甚至是使用用户名称等信息来进一步分析。(如图6)
第四步:找到任何一个进程后我们还可以通过双击名称来打开详细信息列表。(如图7)
小提示: 过本文介绍的方法自行检查出来。 通过currports的“查看”和“选项”菜单我们可以自定义显示列表的类别,将不常用或对自己没有帮助的信息过滤掉。 不过使用currports工具也存在着一个缺点,那就是他不能象netstat -a -o -b命令那样显示出某个进程包含的所有DLL文件,这点就造成他在查询DLL注入木马方面先天不足。所以说要想彻底查出木马和黑软程序还是需要两种方法相互结合才行。 总结: currports小软件是图形化的绿色工具,通过他可以随时查看本地端口开启情况,对于普通用户了解自己计算机染毒状况以及网络管理员检查服务器运转情况都是非常有帮助的。我们可以通过“刷新”按钮进行实时显示。当然对于有一定基础或者手头没有此工具的读者也可以使用netstat -a -o -b命令在命令行模式下查看同样的信息。总之不管我们使用哪个方法都能够将非法黑软和木马程序在第一时间检查出来,甚至是杀毒软件无法查出的未知木马也可以通 | |||||||||||||
扫一扫
09-07
1072
1072
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
