查看端口,让木马无处隐身.docVIP

查看端口,让木马无处隐身 查看端口,让木马无处隐身.txt“我羡慕内些老人 羡慕他们手牵手一直走到最后。━交话费的时候，才发现自己的话那么值钱。　　查看端口，让木马无处隐身 　　基本上所有的木马都是基于TCP/IP通讯的客户端/服务端结构的系统，服务端被安装后，会在被监控端打开一个监听端口等待客户端来连接，一般情况下，不同的木马，默认打开的监听端口不同，所以，查看你电脑上打开的监听端口，可以判断你的电脑是否中了木马以及中了何种木马。 　　辨认系统的默认端口 　　电脑上1024以下的端口一般被固定分配给一些服务，这些端口以及和它对应和服务已经“家喻户晓，妇孺皆知”，所以这些端口有叫公认端口，例如80端口被固定给Web服务，21端口被固定给FTP服务等，如果你的电脑安装并启用了这些服务，那么在你的电脑上这些端口应该是开放的。下面是常见的一些公认端口。 　　80端口：超文本传输协议中定义的端口，用来提供网页(WEB)服务; 　　21端口：文件传输协议中定义的端口，用来提供文件的上传与下载服务; 　　23端口：远程登录协议中定义的端口，用来提供远程维护服务; 　　25端口：简单邮件传输协议中定义的端口，用来提供邮件的发送服务; 　　110端口：邮件接受协议中定义的端口，用来提供邮件的接收服务。 　　提示：还有一些端口在Windows安装好后就会自动打开，笔者对这些端口做了一次调查，调查中发现，几乎所有的Windows系统中都要开放135、137、138和139端口，另外，在Windows 2000及以上的系统中445端口也是开放的。 　　1024以上的端口系统一般不固定给某个服务，它是动态分配的，因而这类端口又叫做动态端口(有些文章认为从1024到49151的端口比较固定地分配给一些服务，因而它们把这些端口细分为“注册端口”，实际上，系统通常从1024起就开始动态分配端口了)。动态端口任何网络程序都可以使用，只要程序向系统提出访问网络的申请，那么系统就可以从这些端口中分配一个供该程序使用，访问结束后，所占用的端口也会被释放，当有其它程序访问网络时，这些端口有可能会被再次使用。需要指出的是，从理论上讲，动态端口不应用作服务端口，但是，还是有一部分正常程序和大多数木马程序的服务端固定使用了一个或几个这一范围内的端口(大多数木马所使用的监听端口都可以自定义，这里所说的端口是指它默认的监听端口)监听网络。下面列出一些常用程序和已知木马默认的监听端口。 　　3389端口：Windows的终端服务或远程桌面默认的监听端口; 　　7626端口：木马冰河服务端默认的监听端口; 　　7306端口：木马网络精灵(NetSpy)服务端默认的监听端口; 　　6267端口：木马广外女生服务端默认的监听端口; 　　19191端口：木马蓝色火焰服务端默认的监听端口。 　　由于已知的木马实在太多，所以我们在这里不能一一列出，你可以根据下面介绍的方法查出处于监听状态的端口，然后在网上搜索该端口号，查询它是否是木马造成的。 　　利用Netstat命令查看端口 　　一台机器要和另一台机器通讯，首先要明确四个要素，即本机的IP地址，远程主机的IP地址，本机使用的通讯端口，远程主机使用的通讯端口。使用Netstat命令就能够查清这四个要素。Netstat是Windows自带的网络检测工具，只要安装了TCP/IP协议，我们就可以使用该命令。 　　Netstat命令格式和主要参数 　　Netstat [-a] [-e] [-n] [-o] [-s][-p proto][-r] [interval] 　　-a 该参数用来显示计算机包括LISTENIN状态的所有端口和全部连接; 　　-n 以数字格式的形式显示计算机除LISTENING状态的端口和网络地址; 　　-o 显示计算机除LISTENING状态的端口和网络地址，同时显示开启该端口进程的PID; 　　-e 列出端口上的数据流量(一般与参数s共同使用)，包括发送和接收的数据报的总字节数、错误数、删除数等; 　　-s 按照各个协议分别显示其统计数据。 　　端口的常见状态 　　LISTENING——这就是我们常说的监听端口，这种状态的端口一般由某个服务程序打开，等待其它主机来连接，因而这种端口又叫做服务端口; 　　ESTABLISHED——如果处于监听状态的端口已和其它主机建立了连接，那么端口的“LISTENING”状态就会变为“ESTABLISHED”状态; 　　SYN_SENT——大多数情况下，我们的电脑会主动打开一个端口去连接其它机器，这时端口的状态就表现为“SYN_SENT”，这种端口一般是由客户端程序打开，所以这种端口也叫做客户端口。客户端口如果和服务端口建立了连接，那么端口的状态就会由“SYN_SENT”状态变为“ESTA