檢查電腦是否被安裝木馬的命令實例圖解第1/2頁

2020-10-28 20:10:14

字體：大中小

供稿：網(wǎng)友

一、檢測網(wǎng)絡(luò)連接

如果你懷疑自己的計算機(jī)上被別人安裝了木馬，或者是中了病毒，但是手里沒有完善的工具來檢測是不是真有這樣的事情發(fā)生，那可以使用Windows自帶的網(wǎng)絡(luò)命令來看看誰在連接你的計算機(jī)。

具體的命令格式是：netstat -an -o命令能看到所有和本地計算機(jī)建立連接的IP，它包含四個部分――proto(連接方式)、local aDDRess(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過這個命令的詳細(xì)信息，我們就可以完全監(jiān)控計算機(jī)上的連接，從而達(dá)到控制計算機(jī)的目的。

在看下面的內(nèi)容之前，先看看：教你認(rèn)清網(wǎng)絡(luò)特殊用途IP地址
1.我們通過：開始?運(yùn)行?輸入cmd?輸入netstat -an -o（注意空格）可以看見如圖：

2.我給大家介紹關(guān)于它的具體意思：

例如：TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860

proto(連接方式)指：協(xié)議類型，主要含tcp，udp

local address(本地連接地址)：因為我的本地ip是192.168.0.56所以就是他了。2150是你電腦所開的端口。

foreign address(和本地建立連接的地址)指：入侵電腦的ip地址（當(dāng)你訪問一些網(wǎng)站，網(wǎng)站中的每個內(nèi)容比如圖片、flash等都要單獨(dú)建立一個連接，也會連接你的電腦。說入侵電腦不是很恰當(dāng)。例如：訪問百度：可能出現(xiàn)：TCP 192.168.0.56:1045 202.108.250.249:80 ESTABLISHED） 221.130.44.194它跟我連上的。8080：它是以8080端口給我發(fā)起的連接。

state(當(dāng)前端口狀態(tài))：如：

TIME_WAIT:的意思是結(jié)束了這次連接（例如：如果瀏覽網(wǎng)頁完畢，那就變?yōu)門IME_WAIT狀態(tài)）

LISTENING:正在監(jiān)聽只有tcp端口才可以這樣(如果是udp的話,那么肯定是木馬) 端口為開放。

ESTABLISHED:正在共享,表示兩者連接著

CLOSE_WAIT:連接并沒有正確關(guān)閉依然是處于等待應(yīng)用程序等待關(guān)閉(CLOSE_WAIT)的情況中如果一直都處于CLOSE_WAIT狀態(tài),有可能是應(yīng)用程序異常退出并且沒有恰當(dāng)?shù)靥幚磉@個異常

SYN_SENT：表示請求連接，當(dāng)你要訪問其它的計算機(jī)的服務(wù)時首先要發(fā)個同步信號給該端口，此時狀態(tài)為SYN_SENT，如果連接成功了就變?yōu)镋STABLISHED，此時SYN_SENT狀態(tài)非常短暫。但如果發(fā)現(xiàn)SYN_SENT非常多且在向不同的機(jī)器發(fā)出，那你的機(jī)器可能中了沖擊波或震蕩波之類的病毒了。這類病毒為了感染別的計算機(jī)，它就要掃描別的計算機(jī)，在掃描的過程中對每個要掃描的計算機(jī)都要發(fā)出了同步請求，這也是出現(xiàn)許多SYN_SENT的原因。

對于其他的狀態(tài)你可以在百度搜索一下就ok了。

pid（會話）接下來將講到。

12下一頁閱讀全文

上一篇：Windows系統(tǒng)下常遇木馬預(yù)防技巧

下一篇：檢查電腦是否被安裝木馬的三個小命令