在Win7系统中,如何快速发现潜伏在系统中的木马?用杀毒软件,木马防火墙,还是安全卫士?其实没必要这么麻烦。我们只需要在Win7系统中使用一个命令netstat(这个命令在WinXP和Vista中也可以使用),通过检测网络连接就可以确定系统中是否存在木马。这个netstat命令真的这么强大吗?让我们看一看。
编者:用好netstat命令,木马无处可逃。
Netstat是一个DOS命令,是监控TCP/IP网络的一个非常有用的工具。它可以显示路由表、实际网络连接和每个网络接口设备的状态信息。Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检查本机各端口的网络连接。简单地说,netstat命令可以检查当前计算机和网络之间的连接。那么这和检测木马有什么关系呢?因为木马与外界通信,需要打开一个端口,这个端口可以被netstat命令检测到。此外,不同参数的netstat命令可以达到更好的检测效果,甚至可以配合其他命令杀死木马进程,使木马报废。
netstat命令的使用
点击“状态”菜单“运行”,输入“cmd”运行“命令提示符”,然后输入:“netstat -an”命令。此命令可以查看所有与本地计算机建立连接的IP。它包含四个部分:——协议(连接模式)、本地地址(本地连接地址)和外地地址(和本地连接地址)。通过这个命令的详细信息,我们可以完全监控计算机上的连接,从而控制计算机。通常,我们使用这个命令就足够了。另外,我们可以通过附加一些参数来实现更多的检测。
netstat命令运行参数
netstat命令结束特洛伊木马进程。
让我们尝试使用netstat命令和其他命令来结束特洛伊木马程序。输入以下命令:netstat -an -o,然后按Enter键。-o参数的功能是显示与每个连接相关联的进程ID,即进程的PID值。PID值将在每次显示网络连接后显示。如果发现可疑的网络连接,请记录其PID值。
nnetstat命令显示网络连接PID。
按“Ctrl”“Shift”“Esc”键运行“任务管理器”,单击“视图”菜单“选择列”,检查“PID(进程标识符)”选项,然后单击“确定”。然后切换到‘进程’选项卡,通过刚刚记下的PID值在‘任务管理器’中找到对应的进程。如果你不熟悉这个过程,在Win7的任务管理器里有这个过程的描述。通过描述,我们可以知道该过程是否安全。
n通过PID找到对应的进程
如果我们确定这个过程有问题,那么我们可以使用‘task list’命令来结束这个过程。回到‘命令提示符’,输入命令‘Taskkill/pid 1234’结束进程,1234是危险进程的PID值。木马的这个过程结束了,接下来我们就可以通过杀毒软件查杀木马,清理木马了。
