根据权威机构统计表明,个人计算机和企业服务器最惧怕的事件前三名依次为断电,断网和中毒。可见中毒是一件非常可怕的事情,严重影响了个人用户上网和企业服务器运转。当然中毒主要分两类,一类是感染普通病毒,这时我们只需要用最新的杀毒软件进行查杀即可,他给我们带来的无外乎是系统运行速度减慢等影响性能的危害;而另一类则是感染木马或被黑客入侵,如果这时我们不具备一定的防范能力的话,带来的后果也是恶劣的,一方面个人隐私会被人窃取,上网的一举一动都在别人的监视下进行,另一方面企业服务器上保存的大量珍贵数据将会丢失或泄露,同时提供的重要服务也将终止。
那么如何保证自己的计算机或服务器不被感染木马或被黑客入侵呢?实际上由于系统内部或多或少的存在着漏洞,而这些漏洞补丁的发布都属于亡羊补牢型,出现问题发现漏洞后软件和系统公司才会研究补丁。这种防范滞后于入侵的方式造成我们不可能百分之百的避免被黑,那么如何在第一时间了解服务器及个人计算机运行情况,在第一时间发现被黑或感染木马呢?今天就由笔者为大家介绍防范未知木马及黑客工具的三个小技巧。
一,原理篇:
木马和黑客工具都属于程序,那么他们在网络上传输数据时就一定会使用TCP/IP协议,当然目前还没有发现使用UPD来传输数据的木马和黑软,毕竟UPD的传输是没有保证的,很容易造成数据的丢失。既然他们都使用了TCP/IP协议进行数据传输那么一定会在本地计算机和远程计算机之间建立TCP/IP连接。而TCP/IP连接是基于端口的,也就是说木马或黑软会在本地计算机上开启某个端口和远程计算机的相应端口进行连接。不管是已经知道的木马还是未知木马都脱离不了这个传输机理。因此我们可以通过查询本地计算机上是否开启了可疑端口,然后进一步根据这个可疑端口查找调用他的程序来判断是否感染了木马或黑软。
|
既然知道了上面介绍的检测木马,黑软程序的原理,那么下面就要动手来查询到底本地计算机开启了哪些端口,如果发现有可疑或者不熟悉的端口被监听或打开甚至是正在连接的话,就一定要引起足够的重视了。
在windows 2000和windows XP系统中有一个小工具——netstat,他是系统自带的管理和监视网络连接的小程序。默认情况下netstat.exe位于系统文件夹中,即c:\windows\system32。(如图1)我们可以通过任务栏的“开始->运行->输入CMD回车”进入命令行模式来运行他。
 |
| 图1 |
默认情况下如果不加任何参数使用netstat是没有任何意义的,他不能反馈给用户任何网络连接信息。(如图2)
 |
| 图2 |
要想查询当前本地计算机都与网络有哪些TCP甚至是UDP连接的话,需要使用netstat -a命令。该命令将会显示本地计算机哪个端口与网络中某IP地址的相应端口连接状态。(如图3)其中proto列显示的是使用的连接协议,分为TCP和UDP两种,local address列基本上都是本地计算机的计算机名,冒号:后是对应的端口。foreign address显示的是网络中计算机名或他的IP地址,同样冒号:后是端口。最后的state列表示的为当前连接的状态。
小提示:
系统中的端口号是从0到65535,我们在实际查询过程中要特别注意1000到65535这些端口,他们才是木马和黑软经常使用的通讯端口。
netstat -a命令帮助我们查询了本地端口的使用情况,保证我们在第一时间发现可疑端口被占用。
|
|
