单位做了杀毒和漏扫服务器,想如果想远程一台机器(以下称为C),那么C开的远程端口如果不是默认端口,用漏扫能扫出C的所有开放端口吗?于是新建一个任务,指定只扫C机的IP,哦豁,竟然有个特洛伊木马,说开在6000端口,有个未知的服务。
在哪里呢?打开服务(services.msc),上下看了看,没找着!于是禁用了防火墙所有的入站、出站的Accept规则,先慢慢找吧。
接着,打开cmd窗口,输入"netstat -ano",果然发现了一个本地的源端口6000,已经与本地的一个高位端口建立联接,它的进程号是9152,于是找这个进程的文件:
tasklist | findstr "9152",找到了文件,原来是一款汉化版的远程工具,删掉它就OK了。当然,这个过滤命令也可直接用在netstat 后边,netstat -ano |findstr 'xxxx'也会显示进程ID。
-------------------------------------
netstat 用法:
-a 显示所有连接和侦听端口
-b 可显示关联的程序名,需要powshell管理员模式
-e 显示简单网络统计信息
-f 显示fqdn完全域名
-n 数字形式显示地址和端口号
-o 显示相关联的进程ID
-p 限定协议号,如tcp\udp\tcpv6\udpv6\icmp...
-s 每个协议的统计信息,可与e联用
-r 显示路由表,相当于route print
-x network direct的连接、侦听、共享终结点
interval 配合统计,间隔N秒显示一次