谁在占用本地端口:
上面介绍的netstat -a命令只能查询出当前哪个端口被使用,无法找到究竟是什么程序在使用相应的端口。这样就为我们找出木马带来的麻烦,如果发现某个可疑端口被占用的话,究竟是有用的程序在使用他还是感染的木马或黑软在占用呢?所以说找出某个端口是由哪个程序调用的才是防范未知木马和黑软的关键。
方法很简单我们使用netstat -a -o -b命令即可,同样在命令行模式输入前面的多参数命令。系统会多显示出一列,该列名为PID,也就是告诉我们是哪个PID在使用相应的端口,当然对于那些多个程序注入到同一个进程PID的情况也可以通过此命令查询出来,在每个连接的最后会显示出PID对应的文件名。(如图4)
图4(点击看大图)
从图4我们可以看出,第一行的连接是由PID 1276调用的,他实际上是由五个文件发起连接而成的,主程序为svchost.exe,连接过程中调用了系统文件夹c:\windows\system32下的四个DLL动态链接库文件。通过这个命令我们就可以将那些使用DLL注入方式隐藏自己的木马和黑软揪出来了。
在执行netstat -a -o -b命令后,系统会不停的监视网络连接情况,查询出调用某连接某端口的程序,显示出该程序调用的所有DLL文件。如果在显示过程中我们想终止的话,这需要执行ctrl+c即可。
netstat -a -o -b命令是上面介绍的netstat -a命令的扩展,他不仅仅帮助我们清楚的了解当前系统端口被使用的情况,还进一步找出了哪个程序在调用相应的端口,为我们找出可疑端口,判断可疑进程,发现可疑程序提供了有力保障。即使是使用DLL注入方式隐藏的木马也可以通过此方法找出来。
如:
解决:在cmd命令窗口输入netstat -abn ->c:/port80.txt 然后到c盘port80.txt文件中找到占用80端口的程序pid,记下pid。打开任务管理器,点击“查看”/选择列,勾选“PID(进程标识符)”,然后单击“进程”标签,找到80端口对应的pid,就可以看到是那个程序占用的了,更改这个程序的port,或结束该进程即可。