默認狀態下,Windows XP系統會打開很多“服務端口”,同時在你上網的時候也會打開一些動態窗口。想要查看本地電腦打開了哪些端口、有哪些電腦正在與本地電腦交換數據,蓋茨大叔已經在windows 系統內預置了查詢手段,當然了,也有一些專門的程序可以查看。
首先讓我們來看看,windows xp自帶的查詢手段吧,我們將用到的工具是windows xp內置的MSdo工具。
運行方法:直接用快捷鍵WIN+R調出運行程序欄,然後輸入cmd,回車就可以進入到MSdos工具了。
我們需要使用到的命令爲netstat(網絡狀況)。進入MSdos窗口,輸入netstat,然後回車就可以看到目前本地連接的所有情況以及打開的窗口。
Proto表示連接使用的網絡協議,Local Address代表本地電腦名稱和打開的端口號(圖中本機1024之前的端口已經全部被關閉了),Foreign Address是遠程計算機的IP地址和端口號,State表明當前TCP的連接狀態,圖中established表示的是保持中的連接。此時我使用了2個即時通訊軟件都在線,表示本地正在與遠程電腦保持連接。
如果你在DOS窗口中輸入了netstat -nab命令,還將顯示每個連接都是由哪些程序創建的。
上圖中本地電腦的135端口,就是由svchost.exe程序創建的,該程序一共調用了5個組件(WS2_32.dll、RPCRT4.dll、rpcss.dll、svchost.exe、ADVAPI32.dll)來完成創建工作。而下方打紅框的則是上面那個保持連接的即時通訊軟件,使用了本地電腦的1041端口,與遠程的192.168.1.1相連接。
假如你發現本地電腦上出現了可疑的進程,就可以用該命令察看它調用的相關Dll文件,由此來確定是否爲木馬之類的黑客軟件。
2.使用端口查看類軟件
能實現netstat命令的端口監視類軟件能查看本地計算機打開的端口,而且外觀看起來更漂亮。這類軟件非常多,著名的有Tcpview、Port Reporter、網絡端口查看器等。小編比較推薦的是Tcpview,可以非常直觀的讓你監視本機的網絡連接情況。
下面就請出“TCPView”,它一款靜態顯示當前PC的端口與線程的工具,佔用資源少,在NT內核的系統如win2000、xp、2003等操作系統中使用可以顯示端口所對應的程序圖標,讓你一眼就能看出某個端口是什麼程序所打開的。
有些運行的程序名稱可能會與系統內的程序名稱一樣或者類似,但實際上卻是黑客軟件。其實,我們可以從硬盤的路徑判斷出來,在某個程序上點右鍵,在彈出的菜單中選擇 “進程屬性”。
只要看看程序路徑就知道是否爲正常程序了,非常好用吧!
轉載處:http://blog.csdn.net/adam8/article/details/1360632