分类: 系统运维
2008-09-19 14:14:45
默认状态下,Windows XP系统会打开很多“服务端口”,同时在你上网的时候也会打开一些动态窗口。想要查看本地电脑打开了哪些端口、有哪些电脑正在与本地电脑交换数据,盖茨大叔已经在windows 系统内预置了查询手段,当然了,也有一些专门的程序可以查看。
首先让我们来看看,windows xp自带的查询手段吧,我们将用到的工具是windows xp内置的MSdos工具。
运行方法:直接用快捷键WIN+R调出运行程序栏,然后输入cmd,回车就可以进入到MSdos工具了。
我们需要使用到的命令为netstat(网络状况)。进入MSdos窗口,输入netstat,然后回车就可以看到目前本地连接的所有情况以及打开的窗口。
Proto表示连接使用的网络协议,Local Address代表本地电脑名称和打开的端口号(图中本机1024之前的端口已经全部被关闭了),Foreign Address是远程计算机的IP地址和端口号,State表明当前TCP的连接状态,图中established表示的是保持中的连接。此时我使用了2 个即时通讯软件都在线,表示本地正在与远程电脑保持连接。
如果你在DOS窗口中输入了netstat -nab命令,还将显示每个连接都是由哪些程序创建的。
上图中本地电脑的135端口,就是由svchost.exe程序创建的,该程序一共调用了5个组件(WS2_32.dll、 RPCRT4.dll、rpcss.dll、 svchost.exe、 ADVAPI32.dll)来完成创建工作。而下方打红框的则是上面那个保持连接的即时通讯软件,使用了本地电脑的1041端口,与远程的192.168.1.1相连接。
假如你发现本地电脑上出现了可疑的进程,就可以用该命令察看它调用的相关Dll文件,由此来确定是否为木马之类的黑客软件。
2.使用端口查看类软件
能实现netstat命令的端口监视类软件能查看本地计算机打开的端口,而且外观看起来更漂亮。这类软件非常多,著名的有Tcpview、Port Reporter、网络端口查看器等。小编比较推荐的是Tcpview,可以非常直观的让你监视本机的网络连接情况。
下面就请出“TCPView”,它一款静态显示当前PC的端口与线程的工具,占用资源少,在NT内核的系统如win2000、xp、2003等操作系统中使用可以显示端口所对应的程序图标,让你一眼就能看出某个端口是什么程序所打开的。
有些运行的程序名称可能会与系统内的程序名称一样或者类似,但实际上却是黑客软件。其实,我们可以从硬盘的路径判断出来,在某个程序上点右键,在弹出的菜单中选择 “进程属性”。
只要看看程序路径就知道是否为正常程序了,非常好用吧!