您当前的位置:
莫让病毒从口入
作者:本站 来源:本站整理 发布时间:2008-4-24 6:45:22
减小字体
增大字体常言道:病从口入,那些细小的看不见的病毒通过我们的饮食在不知不觉间会进入体内,从而侵害我们健康的机体。计算机中的病毒同样会从“口”入,这个“口”就是“端口”。
通过端口黑客、黑软、木马就能远程控制我们的电脑,从而窃取电脑中的宝贵数据。不过,“端口”看不见摸不着,不但普通用户对通过端口通讯的木马类病毒头痛,即便是一些电脑高手也往往柬手无策。那么,电脑都开放了哪些端口,哪些是有用的正常的系统端口。哪些又是无用的被木马利用了的端口呢?又该如何关闭这些端口,不给木马以可乘之机呢?病毒如何从“口”入?
木马类病毒也是程序,通常木马在网络上传输窃取到手的数据时要使用TCP/IP协议,因此,一定会在本地计算机和远程计算机之间建立TCP/IP连接。而TCP/IP连接是基于端口的,也就是说木马会在本地计算机上开启某个端口和远程计算机的相应端口进行连接。不管是已经知道的木马还是未知木马都离不开这个传输机理。因此可以查询本地计算机上是否开启了可疑端口,然后进一步根据这个可疑端口查找调用它的程序,以判断是否感染了木马。
用netstat命令查看端口
要查看本机开放的端口是否在与远程计算机进行连接,最为简单的方法莫过于使用netstat命令了。选择“开始/运行”,在运行对话框中输入“cmd”命令,回车后打开命令提示符窗口。输入“netstat-an”命令,按下回车键后即可查看系统中开放了哪些端口。
Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的IP地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的IP和端口号,State则是表明TCP连接的状态。通常情况下,正常网络连接所需要开放的端口有21(FTP.文件传输协议)、23(Telnet,远程登录协议),25(SMTP,邮件传输协议)、80(HTTP服务也就是Web服务),110(POP3收信服务端口)等,除此之外的一些端口。特别是数值比较大的非常见端口则可能被木马所使用,例如著名的冰河所使用的就是7626端口。用CurrPorts查看端口
尽管命令行工具netstat可以查看端口从而发现木马的途径,但是却无法判断到底是哪个程序开启了哪个端口,从而无从直观地判断木马病毒的进程和文件所在。CurrPorts这款小工具弥补了这方面的不足,它以图形化的界面,告诉我们哪个端口是哪个程序开放的,处于什么样的状态,从而可以轻松判断出电脑是否感染木马或黑软。
将CurrPorts解压到任意目录,接下来打开汉化补丁压缩包,将其中的“cports_lng.ini”释放到CurrPorts目录中,现在执行CurrPorts即可将其界面汉化为中文。CurrPorts启动后会自动扫描当前计算机打开的端口,所有TCP/IP和UDP连接以及打开端口的应用程序所使用的端口就清晰地呈现出来。
在这里可以找到可疑的进程名称,然后分析其使用的端口来判断是否为木马或黑软程序,对于不熟悉的进程还可以根据后面的进程路径和文件描述,甚至是使用用户名称等信息来进一步分析。找到任何一个进程后还可以通过双击名称来打开详细信息列表。
提示:我们还可以将netstat命令和CurrPorts程序组合使用,这样就能够将黑软和木马程序在第一时问检查出来,即使是杀毒软件无法查出的未知木马也可以通过本文介绍的方法自行检查出来。
文章评论 (评论内容只代表网友观点,与本站立场无关!)