20CN网络安全小组论坛 - 病毒专区 - 用DOS命令检查特洛伊木马！

论坛: 病毒专区标题: 用DOS命令检查特洛伊木马！

作者: fqjpower [fqjpower]

论坛用户

随着计算机网络的愈发普及，网络安全问题尤为引人关注，特洛伊木马就是大家挥之不去的痛。怎样才能阻止木马的进出呢？利用杀毒防黑软件固然可以做到。但是在没有这些软件的情况系下，该怎么办呢？其实可以利用Windows自带的netstat命令来控制木马的进出。
　　正所谓“磨刀不误砍材功”。首先，先为大家介绍介绍Windows自带的网络命令―netstat。netstat命令运行在DOS窗口或命令行下，可以使用户了解到自己的主机是怎样与Internet相连接的，这有助于用户了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，如网络连接、路由表和网络接口等信息，也可以让用户得知目前总共有哪些网络连接正在运行。
　　netstat命令格式如下：
　　netstat [-r] [-s] [-n] [-a]。当然，你也可以利用“netstat /?”命令来查看一下该命令的使用格式以及详细的参数说明。如图所示：

　netstat参数含义如下：
　　-r 显示本机路由表的内容；
　　-s 显示每个协议的使用状态（包括TCP协议、UDP协议、IP协议）；
　　-n 以数字表格形式显示地址和端口；
　　-a 显示所有主机的端口号。
　　例如：运行Netstat -a命令将显示计算机上网时与外部之间的所有连接，计算机端口与外部的连接情况等；而Netstat -s命令则显示电脑网络连接协议的统计信息。这样你就可以看到当前你的电脑上网络在进行哪些连接，数据包发送和接收的详细情况等等。下面是Netstat -s的输出情况，如图所示：

　　好了，介绍了netstat命令之后，在让我们来了解一下特洛伊木马的基础知识。特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹；所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。
　　从木马的发展来看，基本上可以分为两个阶段，最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。可以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。害怕了吧？没有关系，下面就让我们利用Windows自带的网络命令――netstat命令来控制木马的进出。
如果你感觉你的机器突然间变的很慢，而且还经常有异常情况的发生，诸如鼠标不听使唤啊，无故自动关机，自动重启之类的现象，那么你的计算机八成成为别人的养马场了，怎么办？不用急。在“开始”中选择“运行”之后输入“command”然后输入“netstat　-a”命令，如图所示：

果然不出所料。看见了吗？触目惊心的7626赫然屏幕之上，多么让人害怕啊，要知道，着可是赫赫有名的冰河默认所开设的端口号啊，怎么办？呵呵，下面的工作不用我说了吧，当然是干掉它了，难道让它祸害你不成？你可以利用杀毒软件来查杀。
　　当然，利用netstat命令还可以在QQ中查找好友的IP地址（无需显IP地址的QQ）。方法很简单，只要先请好友到QQ的“二人世界”里，然后在命令行下输入“netstat -n”命令，之后给你的好友发送一条信息，之后再输入一遍“netstat　-n”命令，就可以看到你的QQ好友的IP地址了。
　　想不到小小的DOS命令还有这么大的用途吧？DOS虽然没落了，但在某些情况下，它往往能化烦琐为简单，或腐朽为神奇，对网络和系统感兴趣的朋友，再用心研究研究它吧，没准你会有更大的发现！

[此贴被如风(fqjpower) 在 01月12日22时39分编辑过]

地主发表时间: 04-01-12 22:37

论坛: 病毒专区