神马文学网运行命令netstat检测电脑是否中木马
来源:百度文库 编辑:神马文学网 时间:2024/04/27 18:37:00
今天我在网上又学到了一项知识,就是运用微软自带的dos命令netstat检测电脑的网络连接状态,来判断是否中了木马病毒。
netstat命令的主要用途是检测本地系统开放的端口,这样做可以了解自己的系统开放了什么服务、还可以初步推断系统是否存在木马,因为常见的网络服务开放的默认端口轻易不会被木马占用,例如:用于FTP(文件传输协议)的端口是21;用于TELNET(远程登录协议)的端口是23;用于SMTP(邮件传输协议)的端口是25;用于DNS(域名服务,即域名与IP之间的转换)的端口是53;用于HTTP(超文本传输协议)的端口是80;用于POP3(电子邮件的一种接收协议)的端口是110;WINDOWS中开放的端口是139,除此以外,如果系统中还有其他陌生的端口,就可能是木马程序使用的了。通过netstat或者netstat -a可以观察开放的端口,如果发现下面的端口,就说明已经有木马程序在系统中存在:
31337号端口是BackOffice木马的默认端口;1999是Yai木马程序;2140或者3150都是DEEP THROAT木马使用的端口;还有NETBUS、冰河或者SUB7等木马程序都可以自定义端口,因此发现了陌生端口一定要提高警惕,使用防火墙或者查病毒软件进行检测。
该命令的一般格式为:
netstat [选项]
命令中各选项的含义如下:
-a 显示所有socket,包括正在监听的。
-c 每隔1秒就重新显示一遍,直到用户中断它。
-i 显示所有网络接口的信息,格式同“ifconfig -e”。
-n 以网络IP地址代替名称,显示出网络连接情形。
-r 显示核心路由表,格式同“route -e”。
-t 显示TCP协议的连接情况。
-u 显示UDP协议的连接情况。
-v 显示正在进行的工作。
运行方法:运行——cmd——回车,进入命令行模式。弹出命令对话框(下面请看图)
这是网上资料的显示图片
服务端口的状态变化:
1.LISTENING状态:
State显示是LISTENING时表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。
2.ESTABLISHED状态:
ESTABLISHED的意思是建立连接,表示两台机器正在通信。
3.TIME_WAIT状态:
TIME_WAIT的意思是结束了这次连接
客户端口的状态变化:
1.SYN_SENT状态:
SYN_SENT状态表示请求连接,当你要访问其它的计算机的服务时首先要发个同步信号给该端口,此时状态为SYN_SENT.
2.ESTABLISHED状态:
正在连接通信中.
3.TIME_WAIT状态:
以下是我自己的电脑检测状况:
1。
http://pimg.qihoo.com/qhimg/jingyan/600_424/15/01/44/1501447q11885f.7309d0.jpg[/img]
二、检查账户
一般的入侵者为了提高自己在你电脑的权限,会建立更高的用户权限,来达到自己入侵的目的,那么怎么检测自己电脑的用户权限呢?
运行方法:运行——cmd——弹出命令对话框(下面请看图)
net user 用户名查看这个用戶是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用戶是屬于administrators组的,那几乎肯定你被入侵了。记住看用户隶属小组
',1)">
上面这个检测是我刚才扫描得到的结果,查询IP地址情况:
61.164.62.111 杭州电信
219.238.235.105 北京电信通
60.191.80.37 杭州电信
有很多方面我还不是很了解,今天我才学到一点皮毛。我只有通过更多的努力学习才能知道,怎么通过netstat命令分析是否有人入侵我的电脑。
netstat命令的主要用途是检测本地系统开放的端口,这样做可以了解自己的系统开放了什么服务、还可以初步推断系统是否存在木马,因为常见的网络服务开放的默认端口轻易不会被木马占用,例如:用于FTP(文件传输协议)的端口是21;用于TELNET(远程登录协议)的端口是23;用于SMTP(邮件传输协议)的端口是25;用于DNS(域名服务,即域名与IP之间的转换)的端口是53;用于HTTP(超文本传输协议)的端口是80;用于POP3(电子邮件的一种接收协议)的端口是110;WINDOWS中开放的端口是139,除此以外,如果系统中还有其他陌生的端口,就可能是木马程序使用的了。通过netstat或者netstat -a可以观察开放的端口,如果发现下面的端口,就说明已经有木马程序在系统中存在:
31337号端口是BackOffice木马的默认端口;1999是Yai木马程序;2140或者3150都是DEEP THROAT木马使用的端口;还有NETBUS、冰河或者SUB7等木马程序都可以自定义端口,因此发现了陌生端口一定要提高警惕,使用防火墙或者查病毒软件进行检测。
该命令的一般格式为:
netstat [选项]
命令中各选项的含义如下:
-a 显示所有socket,包括正在监听的。
-c 每隔1秒就重新显示一遍,直到用户中断它。
-i 显示所有网络接口的信息,格式同“ifconfig -e”。
-n 以网络IP地址代替名称,显示出网络连接情形。
-r 显示核心路由表,格式同“route -e”。
-t 显示TCP协议的连接情况。
-u 显示UDP协议的连接情况。
-v 显示正在进行的工作。
运行方法:运行——cmd——回车,进入命令行模式。弹出命令对话框(下面请看图)
这是网上资料的显示图片
服务端口的状态变化:
1.LISTENING状态:
State显示是LISTENING时表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。
2.ESTABLISHED状态:
ESTABLISHED的意思是建立连接,表示两台机器正在通信。
3.TIME_WAIT状态:
TIME_WAIT的意思是结束了这次连接
客户端口的状态变化:
1.SYN_SENT状态:
SYN_SENT状态表示请求连接,当你要访问其它的计算机的服务时首先要发个同步信号给该端口,此时状态为SYN_SENT.
2.ESTABLISHED状态:
正在连接通信中.
3.TIME_WAIT状态:
以下是我自己的电脑检测状况:
1。
http://pimg.qihoo.com/qhimg/jingyan/600_424/15/01/44/1501447q11885f.7309d0.jpg[/img]
二、检查账户
一般的入侵者为了提高自己在你电脑的权限,会建立更高的用户权限,来达到自己入侵的目的,那么怎么检测自己电脑的用户权限呢?
运行方法:运行——cmd——弹出命令对话框(下面请看图)
net user 用户名查看这个用戶是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用戶是屬于administrators组的,那几乎肯定你被入侵了。记住看用户隶属小组
',1)">
上面这个检测是我刚才扫描得到的结果,查询IP地址情况:
61.164.62.111 杭州电信
219.238.235.105 北京电信通
60.191.80.37 杭州电信
有很多方面我还不是很了解,今天我才学到一点皮毛。我只有通过更多的努力学习才能知道,怎么通过netstat命令分析是否有人入侵我的电脑。
运行命令netstat检测电脑是否中木马
三个命令检查出电脑是否中了木马
最简单方法检测电脑是否被安装木马
用简单命令检查电脑是否被安装木马
用简单命令检查电脑是否被安装木马
Netstat命令中state的意义
电脑运行命令
电脑运行命令
电脑运行命令全集
电脑运行命令总结
电脑运行命令集锦
电脑运行命令
电脑运行命令 全集
安全攻略: 用简单的命令检查电脑是否被安装木马
netstat命令的详解.
netstat -an命令
Netstat命令详解
Netstat命令详解2 -
netstat命令详解
Netstat命令详解
【新消息】 - 三个小命令 检查电脑是否被安装木马 一、检测网络连接-wangwz的个性化...
电脑-开始-运行-命令大全
电脑-开始-运行-命令大全
电脑运行命令全集 (A)