用Netstat命令查木马

Author: 崔宏慧 Date: 2001年 2期

    谈到“特洛伊木马”，想必网友们都会知道它是通过各种途径将服务器端程序加载到被控计算机内，待其与外界建立连接，再在主机一侧利用客户端程序通过某个端口来控制对方。目前网络中常见的木马大约有200多种，你可能冷不防地就中了木马，一但你和外界连接，你的爱机将完全处在黑客的监视之下。那么如何才能判断你是否中了木马？
　　    其实在WIN95/98/NT安装目录下便有一个Netstat命令，利用该工具可以显示有关统计信息和当前TCP/IP网络的连接情况。
　　    其格式是：Netstat  [-参数1]?燵-参数2]??
　　    利用a这个参数就可以显示所有与该机建立连接的端口信息。以下给出网络通信中最常用的几个端口：用于FTP（文件传输协议）的端口：21；
　　    用于TELNET（远程登录协议）的端口：23；??
　　    用于SMTP（邮件传输协议）的端口：25；??
　　    用于DNS（域名服务，即域名与IP之间的转换）的端口：53；??
　　    用于HTTP（超文本传输协议）的端口：80；??
　　    用于POP3（电子邮件的一种接收协议）的端口：110；??
　　    WINDOWS中开放的端口：139；
　　    除此之外，若还有其他端口开放，就应引起重视，进一步判断是否为木马入侵。以下列出几个流行的木马所使用的通信端口（有的木马端口可以重定义，下面只是其默认端口）：?牔?
　　    BO（31337）；YAI（1999）:DEEP THROAT（2140，3150）:NETBUS（12345）;冰河（7626）;SUB7（1243，27374）;?牔?
　　    你可以通过监视以上这些端口是否开放来判断自己是否中了木马。若遭到了木马的袭击就应清除相应的木马程序。由于手工清除比较繁琐，建议大家还是选用几款专业的木马清除软件，如：ZoneAlarm（http://www.zonelabs.com），TrojanRemover（http://members.aol.com）??
　　    Netstat的主要参数还有:??
　　    e:显示以太网的统计信息（一般与参数s共同使用）;?牔?
　　    n:以数字格式显示地址和端口信息;??
　　    s:显示TCP、ICMP、IP及UDP的协议的统计情况。
　　    听了我一番介绍以后，你是不是觉得Netstat挺有用？好了，快回去试试吧，看看自己有没有中木马？
　　
　　