本文目录一览:
用netstat命令查看系统是否有病毒或其它异常
在windows和各种*nux中都有netstat命令,只是命令用法略有不同,下面以windows和linux为例做介绍。
病毒、木马在windows系统中真是多如牛毛,再加上一些什么钓鱼网站的,使很多人因此十分害怕使用电脑,更害怕在网上使用网银。其实要防止自己的信息或某某密码不被盗取也不是太难的事,针对个人PC现有的技术有杀毒软件、防火墙软件、使用安全证书等等,都能具有很好的安全保障作用。但就这样很多人还是不敢使用网银或与金钱相关的网上交易。
下面我就从netstat命令简单的说明一下如何清楚的看到自己的PC是否存在安全问题 。
windows:
C:\netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 192.168.1.103:139 0.0.0.0:0 LISTENING
TCP 192.168.1.103:1129 192.168.1.96:22 ESTABLISHED
TCP 192.168.1.103:1705 211.154.219.17:80 CLOSE_WAIT
TCP 192.168.1.103:1968 207.46.110.59:1863 ESTABLISHED
TCP 192.168.1.103:2104 121.0.19.173:16000 ESTABLISHED
UDP 192.168.1.103:123 *:*
UDP 192.168.1.103:137 *:*
UDP 192.168.1.103:138 *:*
UDP 192.168.1.103:1900 *:*
这个命令可以看到本机与外部的所有TCP、UDP连接,Local Address表示的是本机的开放端口,Foreign Address表示的是外部的被连接端口。
211.154.219.17:80表示我正在使用http协议浏览某个网页;
207.46.110.59:1863表示我正在使用MSN;
121.0.19.173:16000表示我正在使用淘宝旺旺
如此类推,可以一项一项的看,是否有自己不清楚的连接正在与不明身份的网络进行通讯,从而发现网络异常,再判断是病毒、木马还是什么其它问题造成的。
命令也可以这样使用:
C:\netstat -an -p tcp(查看所有TCP连接)
C:\netstat -an -p udp(查看所有UDP连接)
也可以netstat -h看帮助后,自由发挥。
Linux:
# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.1.96:1521 192.168.1.99:40678 ESTABLISHED
tcp 0 0 192.168.1.96:1521 192.168.1.90:40343 ESTABLISHED
udp 0 0 127.0.0.1:32768 0.0.0.0:*
udp 0 0 0.0.0.0:707 0.0.0.0:*
udp 0 0 0.0.0.0:736 0.0.0.0:*
查看与上面windows基本一样,这里我要说的是,linux一般是做服务器使用,当服务器被非法入侵后可能会被当做攻击其它服务器的肉机,这时我们也可以通过上面的命令查看自己的机器是否在攻击其它机器。从而采取相应的处理方法。
# netstat -ntlp
查看本机开启的TCP端口,也就是对外提供的TCP服务
# netstat -nulp
查看本机开启的UDP端口,也就是对外提供的UDP服务
明确了服务器开放的端口,也就明确了服务器是否被非法对外提供了其它服务。
# netstat --help
查看帮助信息,也可以自由发挥它的其它功能。
如何查看自己电脑是否中木马?
用杀毒软件 查看 以及没有软件 使用doc命令怎样查看
首先打开开始=》运行=》输入“cmd”然后回车
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local
aDDRess(本地连接地址)、foreign
address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机
的目的。
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了
特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net
start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net
user+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个
系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net
user用户名/del”来删掉这个用户吧!
如何判断我的电脑里是否有木马病毒啊???
首先,查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。
1、查看system.ini文件
选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”
,如果不是这样,就可能中了木马了。下图所示为正常时的情况:
2、查看win.ini文件
选中win.ini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空
3、查看启动组
再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词,
极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都
屏蔽掉了
4、查看注册表
由“开始-运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:
“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己
不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的
服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项
“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入
Explorer=“CWINDOWSexpiorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母
的差别!
通过类似的方法对下列各个主键下面的键值进行检查:
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
如果操作系统是Windows NT,还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。
当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。
如果有留意,注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。
4、其它方法
上网过程中,在进行一些计算机正常使用操作时,发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。
如果怀疑你现在正在被木马控制,那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话,最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法:
由“开始-运行”,输入command,确定,开一个MS-DOS窗口。或者由“开始-程序-MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示:
显示出来的结果表示为四列,其意思分别为Proto:协议,Local Address:本地地址,Foreign Address
:远程地址,State:状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常(比如大于5000
),而Foreign Address中的地址又不为正常网络浏览的地址,那么可以判断你的机器正被
Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非
法连接你计算机的木马客户端。
当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat命令将看不
到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口
。对于Windows98来说,正常情况下,会出现如下的一些处于监听状态的端口(安装有NETBEUI协议):
如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络服务操作,那么在监听该
端口的就是特洛伊木马了!如下图所示的23456和23457端口都处于监听状态,很明显是木马造成的。
注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)没有运行任何
网络冲浪软件,也没有进行过任何网络操作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。
如何查看自己电脑是否有病毒,或者是木马攻击?
查看电脑是否入侵,是否留有后门:
1、查看任务管理器--进程,是否有可疑程序。查看详细信息是否有可疑程序。必要时详情中点击程序右击打开文件所在的位置看看,再右击程序属性看创建日期及修改日期,看是否最新更新过系统或驱动,没有就要注意了。
2、win+R --cmd--输入:netstat -ano 看是否有可疑IP在进行外网链接,状态中后面数字为pid 。
解释:
listening:端口在监听,等待连接但是未连接;
time wait状态:曾经有过连接但当前断开了,最后一次连接状态。
established状态:连接中。
fin_wait_2:第二次fin应答状态。
close_wait: 已关闭连接的状态。
fin_wait: 关闭连接发fin应答状态。
3、看时间查看器--windows日志--系统,安全--信息--下部的常规--看服务文件名是否有可疑程序。
4、明知道是木马,杀毒不了,建议备份数据后重装电脑,加强防火墙及端口权限。不要浏览没有icp备案、不良信息的网站,
5、平时使用电脑比较快,看文件视频浏览网页不卡,但是遇到突然网页卡死或无网络、网络非常慢等要检查网线是否正常后查看是否被攻击。被攻击后建议备份数据重新装系统。
防止入侵:
1、加强防火墙管理。
2、加强端口进出入站规则。
3、加强远程权限管理。
4、加强共享文件管理。
5、不看不良网站。
其他命令:
1、通过端口找pid:netstat -aon|findstr "8008";
2、通过pid找程序:tasklist|findstr "3306";
3、查看ip,端口, pid信息:netstat -ano。
如何用最简单的方法检查计算机是否中了木马病毒?
严格来讲,木马和病毒是两种概念。木马是一种载体,最终的目的是把宿主程序(一般是后门程序和病毒程序)植入目标计算机。
所以你的问题的答案应该是这样的:
对于木马程序,首先应该查看系统进程(使用windows2000/xp的任务管理器或者第三方软件)中有没有异常活动的进程,如果有,仔细检查该进程的来源。
再用工具查看windows的启动项,用winxp下的msconfig或者其他工具都可以。一般木马的入口都在这里,把可疑的启动项禁止,再次启动以确认。
使用netstat程序或者其他工具查看本机的端口开放情况,对于无法确认的开放端口,察看其监听程序是否为合法软件。
最后,可以用专用工具来查杀,比如木马防线,木马克星等工具,防病毒软件在这方面的功能比较弱,但也有一定的功效。
从netstat -an看电脑是否中毒
本来在运行栏里运行DOS命令就是一闪而过,要想停住看,只能用CMD或者在命令提示符状态。运行netstat命令并不能确定电脑是否中毒,它只能是辅助你查看端口使用状态,看看是否有异常,你朋友说的不算错,不过也并不准确,如果你系统内装了很多东西,比如杀毒软件,网络电视等等,它们本身需要自动升级,所以会监视端口,通过这个命令找病毒,除非你经验丰富,对你自己电脑里的进程,自启动项,非系统服务,非系统驱动,要非常熟悉,才容易发现异常。这条命令对你的判断有很重要的参考价值,不过如果有窗口化的类似工具软件,一样可以查端口,并且可以查很多其它可疑项,比如进程,端口,服务,驱动,模块,线程,自启动,等等,你是不是会更感兴趣呢?毕竟对于netstat命令本身来讲,功能相对单一,并且所显示信息不多,如果你需要类似窗口环境下的软件,我能帮你提供。