CurrPorts是一款实用的网络连接检测工具,能够显示TCP和UDP连接、端口及进程信息。用户可以通过排序和双击查看详情,怀疑有木马时可关闭指定连接。ProcExp则用于深入分析进程,辅助判断可能的恶意程序,通过查看进程描述和公司信息。这两个工具在安全管理和故障排查中非常有用,可导出报告并配合其他工具如Autoruns进行更全面的系统检查。
介绍&使用
CurrPorts是一个检测连接工具,可以列出所有TCP和UDP的连接以及打开的端口、应用程序等。
CurrPorts运行后即可看到应用程序的进程名称、进程id、协议、本地端口、本地地址、远程端口、远程地址、进程路径等信息,如下图。
点击标题栏相应的项,可根据相应项进行排序,例如点击进程id后,id会从小到大进行排列,如下图。
选中某一个应用程序,双击可显示其详细信息,例如双击谷歌浏览器进程,显示信息如下图。
对于可疑的应用程序,怀疑为木马病毒时,可以点击右键选择close selected tcp connections,即关闭选定的tcp连接,进行关闭,然后观察该程序是否会打开新的端口,如果还会自动打开新端口,则可以定位到该程序的具体位置,根据程序的路径、名称等信息进行进一步的判断。
Currports也支持多个进程选中进行关闭操作,同时currports也可以将列表信息进行报告导出,为html格式,在view菜单栏下的html report即可导出,如下图。
Procexp使用
对于currports检测出的可以程序,我们可以使用procexp来进一步判断,判断依据可以根据之前介绍autoruns使用时的方法,看下描述以及公司信息等来确定,如下图。
再一个,可以多关注下进程的数量,如果一个进程有两个进程树,而本地又只登录了一个用户的情况下,则有可能是木马病毒插入了进程。例如常见的notpad等编辑器进程等。
另外,双击进程可弹出属性框,可查看安全、性能、线程等信息。如下图。
如果确定为恶意程序,则可以直接节数进程树以此来终止木马程序的所有相关进程,同时也可以结合autoruns对服务、自启动等项进行检查,删除其自动加载。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
