2010-05-14 12:50:22
豬媽媽
三個小命令 檢查電腦是否被安裝木馬
如果你懷疑自己的計算機上被別人安裝了木馬,或者是中了病毒,但是手裡沒有完善的工具來檢測是不是真有這樣的事情發生,那可以使用Windows自帶的網絡命令來看看誰在連接你的計算機。
具體的命令格式是:netstat -an -o命令能看到所有和本地計算機建立連接的IP,它包含四個部分——proto(連接方式)、localaDDRess(本地連接地址)、foreignaddress(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息,我們就可以完全監控計算機上的連接,從而達到控制計算機的目的。
1.我們通過:開始·運行· (視窗鍵+R) 輸入cmd·輸入netstat -an -o(注意空格)可以看見如圖:
2.我給大家介紹關於它的具體意思:
例如:TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860
proto(連接方式)指:協議類型,主要含tcp,udp
local address(本地連接地址):因為我的本地ip是192.168.0.56所以就是他了。2150是你電腦所開的端口。
foreign address(和本地建立連接的地址)指:入侵電腦的ip地址(當你訪問一些網站,網站中的每個內容比如圖片、flash等都要單獨建立一個連接,也會連接你的電腦。說入侵電腦不是很恰當。例如:訪問百度:可能出現:TCP 192.168.0.56:1045 202.108.250.249:80 ESTABLISHED) 221.130.44.194它跟我連上的。8080:它是以8080端口給我發起的連接。
state(當前端口狀態):如:
TIME_WAIT:的意思是結束了這次連接 (例如:如果瀏覽網頁完畢,那就變為TIME_WAIT狀態)
LISTENING:正在監聽 只有tcp端口才可以這樣(如果是udp的話,那麼肯定是木馬) 端口為開放。
ESTABLISHED:正在共享,表示兩者連接著
CLOSE_WAIT:連接並沒有正確關閉 依然是處於等待應用程序等待關閉(CLOSE_WAIT)的情況中 如果一直都處於CLOSE_WAIT狀態,有可能是應用程序異常退出並且沒有恰當地處理這個異常
SYN_SENT:表示請求連接,當你要訪問其它的計算機的服務時首先要發個同步信號給該端口,此時狀態為SYN_SENT,如果連接成功了就變為ESTABLISHED,此時SYN_SENT狀態非常短暫。但如果發現SYN_SENT非常多且在向不同的機器發出,那你的機器可能中了衝擊波或震盪波之類的病毒了。這類病毒為了感染別的計算機,它就要掃描別的計算機,在掃描的過程中對每個要掃描的計算機都要發出了同步請求,這也是出現許多SYN_SENT的原因。
對於其他的狀態你可以在百度搜索一下就ok了。
pid(會話)接下來將講到。
3.我們主要是看狀態和pid,主要注意ESTABLISHED狀態。因為他表示是跟我們的電腦已經連上。
當為ESTABLISHED狀態並不一定是木馬。上面我也說了如訪問百度。
分析:
我們要辨別是否是木馬。還得用一個命令:tasklist
開始·運行·(視窗鍵+R) 輸入cmd·輸入tasklist得到如圖:
其實它顯示的是進程信息。
例如:
TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860
我們現在只注意pid,我們可以看出它的pid為2860.然後在tasklist
命令下找到pid為2860的進程。如我的:
FetionVM.exe 2860 0 71,804 K
我就知道是以FetionVM.exe (飛信進程)跟我電腦相連。當然我們知道它是飛信進程(安全進程)。所以我們就不用擔心了。當我們不知道進程是什麼意思時,在百度查查就ok了。未知進程就要注意了,可能是木馬進程。
二、禁用不明服務
很多朋友在某天系統重新啟動後會發現計算機速度變慢了,不管怎麼優化都慢,用殺毒軟件也查不出問題,這個時候很可能是別人通過入侵你的計算機後給你開放了特別的某種服務,比如IIS信息服務等,這樣你的殺毒軟件是查不出來的。但是別急,可以通過“netstart”來查看系統中究竟有什麼服務在開啟,如果發現了不是自己開放的服務,我們就可以有針對性地禁用這個服務了。
方法就是直接輸入“開始·運行·(視窗鍵+R) ·輸入cmd·輸入net start”來查看服務,再用“net stop server”來禁止服務。
禁用服務方法:開始·運行·(視窗鍵+R) 輸入msconfig
進入服務管理器方法:在“開始·運行·(視窗鍵+R) ·輸入services.msc,也可以從“控制面版-管理工具-服務”打開服務管理器。可以進行服務修改。
三、輕鬆檢查賬戶
很長一段時間,惡意的攻擊者非常喜歡使用克隆賬號的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認賬戶,但這個賬戶是不經常用的,然後使用工具把這個賬戶提升到管理員權限,從表面上看來這個賬戶還是和原來一樣,但是這個克隆的賬戶卻是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機
為了避免這種情況,可以用很簡單的方法對賬戶進行檢測。
首先在命令行下輸入net user,查看計算機上有些什麼用戶,然後再使用“netuser+用戶名”查看這個用戶是屬於什麼權限的,一般除了Administrator是administrators組的,其他都不是!如果你發現一個系統內置的用戶是屬於administrators組的,那幾乎肯定你被入侵了,而且別人在你的計算機上克隆了賬戶。快使用“netuser用戶名/del(注意空格)”來刪掉這個用戶吧!
1.當我們輸入:開始·運行 (視窗鍵+R) ·輸入cmd·輸入net user可以得到如圖:
我的出現:RICKY(我的)等於Administrator(管理員權限) Guest(來賓用戶) HelpAssistant (遠程桌面助手)出現這三個正常。出現其他的用戶就要注意了。
當命令刪除不了用戶時。我就只有手動刪除。
方法:點擊我的電腦右鍵·管理·本地用戶和組·用戶。
我們就可以看見用命令所看到的用戶。在用戶名上右鍵·刪除即可。
具體的命令格式是:netstat -an -o命令能看到所有和本地計算機建立連接的IP,它包含四個部分——proto(連接方式)、localaDDRess(本地連接地址)、foreignaddress(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息,我們就可以完全監控計算機上的連接,從而達到控制計算機的目的。
1.我們通過:開始·運行· (視窗鍵+R) 輸入cmd·輸入netstat -an -o(注意空格)可以看見如圖:
2.我給大家介紹關於它的具體意思:
例如:TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860
proto(連接方式)指:協議類型,主要含tcp,udp
local address(本地連接地址):因為我的本地ip是192.168.0.56所以就是他了。2150是你電腦所開的端口。
foreign address(和本地建立連接的地址)指:入侵電腦的ip地址(當你訪問一些網站,網站中的每個內容比如圖片、flash等都要單獨建立一個連接,也會連接你的電腦。說入侵電腦不是很恰當。例如:訪問百度:可能出現:TCP 192.168.0.56:1045 202.108.250.249:80 ESTABLISHED) 221.130.44.194它跟我連上的。8080:它是以8080端口給我發起的連接。
state(當前端口狀態):如:
TIME_WAIT:的意思是結束了這次連接 (例如:如果瀏覽網頁完畢,那就變為TIME_WAIT狀態)
LISTENING:正在監聽 只有tcp端口才可以這樣(如果是udp的話,那麼肯定是木馬) 端口為開放。
ESTABLISHED:正在共享,表示兩者連接著
CLOSE_WAIT:連接並沒有正確關閉 依然是處於等待應用程序等待關閉(CLOSE_WAIT)的情況中 如果一直都處於CLOSE_WAIT狀態,有可能是應用程序異常退出並且沒有恰當地處理這個異常
SYN_SENT:表示請求連接,當你要訪問其它的計算機的服務時首先要發個同步信號給該端口,此時狀態為SYN_SENT,如果連接成功了就變為ESTABLISHED,此時SYN_SENT狀態非常短暫。但如果發現SYN_SENT非常多且在向不同的機器發出,那你的機器可能中了衝擊波或震盪波之類的病毒了。這類病毒為了感染別的計算機,它就要掃描別的計算機,在掃描的過程中對每個要掃描的計算機都要發出了同步請求,這也是出現許多SYN_SENT的原因。
對於其他的狀態你可以在百度搜索一下就ok了。
pid(會話)接下來將講到。
3.我們主要是看狀態和pid,主要注意ESTABLISHED狀態。因為他表示是跟我們的電腦已經連上。
當為ESTABLISHED狀態並不一定是木馬。上面我也說了如訪問百度。
分析:
我們要辨別是否是木馬。還得用一個命令:tasklist
開始·運行·(視窗鍵+R) 輸入cmd·輸入tasklist得到如圖:
其實它顯示的是進程信息。
例如:
TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860
我們現在只注意pid,我們可以看出它的pid為2860.然後在tasklist
命令下找到pid為2860的進程。如我的:
FetionVM.exe 2860 0 71,804 K
我就知道是以FetionVM.exe (飛信進程)跟我電腦相連。當然我們知道它是飛信進程(安全進程)。所以我們就不用擔心了。當我們不知道進程是什麼意思時,在百度查查就ok了。未知進程就要注意了,可能是木馬進程。
二、禁用不明服務
很多朋友在某天系統重新啟動後會發現計算機速度變慢了,不管怎麼優化都慢,用殺毒軟件也查不出問題,這個時候很可能是別人通過入侵你的計算機後給你開放了特別的某種服務,比如IIS信息服務等,這樣你的殺毒軟件是查不出來的。但是別急,可以通過“netstart”來查看系統中究竟有什麼服務在開啟,如果發現了不是自己開放的服務,我們就可以有針對性地禁用這個服務了。
方法就是直接輸入“開始·運行·(視窗鍵+R) ·輸入cmd·輸入net start”來查看服務,再用“net stop server”來禁止服務。
禁用服務方法:開始·運行·(視窗鍵+R) 輸入msconfig
進入服務管理器方法:在“開始·運行·(視窗鍵+R) ·輸入services.msc,也可以從“控制面版-管理工具-服務”打開服務管理器。可以進行服務修改。
三、輕鬆檢查賬戶
很長一段時間,惡意的攻擊者非常喜歡使用克隆賬號的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認賬戶,但這個賬戶是不經常用的,然後使用工具把這個賬戶提升到管理員權限,從表面上看來這個賬戶還是和原來一樣,但是這個克隆的賬戶卻是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機
為了避免這種情況,可以用很簡單的方法對賬戶進行檢測。
首先在命令行下輸入net user,查看計算機上有些什麼用戶,然後再使用“netuser+用戶名”查看這個用戶是屬於什麼權限的,一般除了Administrator是administrators組的,其他都不是!如果你發現一個系統內置的用戶是屬於administrators組的,那幾乎肯定你被入侵了,而且別人在你的計算機上克隆了賬戶。快使用“netuser用戶名/del(注意空格)”來刪掉這個用戶吧!
1.當我們輸入:開始·運行 (視窗鍵+R) ·輸入cmd·輸入net user可以得到如圖:
我的出現:RICKY(我的)等於Administrator(管理員權限) Guest(來賓用戶) HelpAssistant (遠程桌面助手)出現這三個正常。出現其他的用戶就要注意了。
當命令刪除不了用戶時。我就只有手動刪除。
方法:點擊我的電腦右鍵·管理·本地用戶和組·用戶。
我們就可以看見用命令所看到的用戶。在用戶名上右鍵·刪除即可。
上一篇:婚紗照和紀念冊也可以這麼幸福
下一篇:檢查木馬的方法