论文部分内容阅读
黑客进入我们的电脑是通过端口,不妨请TCPView来为我们看守。
以前,我住的这个小区很乱,撬门拧锁的事常有发生。最近,物业部门请了两个身强力壮的警察在小区门口日夜值班,至此这种混乱的局面才得以改善。在浩如烟海的Internet上,来自四面八方的黑客也常常偷偷从端口进入我们的电脑,那么我们能不能也为端口请一个值班“警察”保卫电脑的安全呢?
今天我们要请的免费值班“警察”叫做TCPView(下载地址http://www.newhua.com/soft/3483.htm),他是一个查看端口的绿色软件。在保卫端口的安全上,这个“警察”可谓十八般武艺俱全。在介绍它的武功之前,我们先来明确一个重要的概念——端口(Port)。
TCPView警察看守的叫端口
通俗地讲,端口(Port)就是电脑向网络开放的信息出入“门户”。和小区大门不同的是,在电脑上这种“门户”有个256×256(65535)个,而且它们还有多种状态。
根据端口和服务的绑定情况,端口可分为公认端口、注册端口和动态端口。
公认端口:0~1023。这个范围内的端口系统一般保留给一些常用的系统服务,比如WEB服务使用80端口,FTP服务使用21端口。因为这些端口和服务形成了一一对应关系,已被大家所公认,所以这些端口叫做公认端口。
注册端口:1024~49151。这个范围内的端口比较松散地绑定于一些服务,也就是说,和公认端口相比,这些端口和服务并没有形成一一对应关系,许多服务可绑定于这些端口,这些端口同样可用于许多其他目的。
动态端口:49152~65535。这个范围内的端口一般不为服务所使用,它常常被动态分配给客户端,因而这个范围内的端口叫做动态端口。需要注意的是在实际应用中,端口从1024起就开始动态分配了。
为了防止和系统服务发生冲突,大多数木马和病毒的服务端使用1024以上的端口。为了躲避扫描软件对端口的扫描,木马和病毒使用的端口有高端化的倾向,即尽量使用一些端口号较大的端口。
TCPView的十八般武艺
理解了端口的种类和状态以后,下面来看TCPView这个免费警察的十八般武艺。
实例1:查看端口及状态
Windows也内置了一个查看端口的程序“Netstat”,但它是命令行模式的,不易操作。TCPView的特点就是能够以图形界面的方式实时显示电脑中所有打开的端口及状态。如图1所示,进程标识符(PID)为2104的进程打开了7626端口,该端口目前处于监听状态(LISTENING),这是冰河木马使用的默认端口,有点可疑。
实例2:查看进程及位置
从图1以可以看出,2104号进程为“Exp1orer.exe”,这是Windows的资源管理器,它怎么会打开一个端口呢?奇怪!
TCPView能够查看进程对应的程序在硬盘上的保存位置。双击2104号进程,发现“Exp1orer.exe”保存在Windows目录,看样子,2104号进程确实是Windows资源管理器。
实例3:关闭连接及进程
在TCPView中,我们不仅可以关闭木马和外部发生的连接,还可以强制结束木马的进程。我们再次观察会发现2104号进程打开的7626端口已和外部的主机连接上了,即端口的状态由原来的监听状态(LISTENING)变为了现在的连接状态(ESTABLISHED),看来这个进程就是个木马,赶紧关闭它:在该进程上点击右键,在弹出的菜单上选择“关闭连接”。
以上就是使用TCPView在自己的电脑上发现木马的过程。当我们打开任务管理器,如果发现了两个“Explorer.exe”进程,仔细观察,才发现2104号进程是“Exp1orer.exe”(注意,“p”后面的字母为数字1)。木马真是太狡猾了,竟然用字母“l”和数字“1”的相似性来迷惑用户。
现在来清除木马:在2104号进程上点击右键,在弹出的菜单上选择“结束进程”,然后进程路径找到该木马,删除即可解除木马。
以前,我住的这个小区很乱,撬门拧锁的事常有发生。最近,物业部门请了两个身强力壮的警察在小区门口日夜值班,至此这种混乱的局面才得以改善。在浩如烟海的Internet上,来自四面八方的黑客也常常偷偷从端口进入我们的电脑,那么我们能不能也为端口请一个值班“警察”保卫电脑的安全呢?
今天我们要请的免费值班“警察”叫做TCPView(下载地址http://www.newhua.com/soft/3483.htm),他是一个查看端口的绿色软件。在保卫端口的安全上,这个“警察”可谓十八般武艺俱全。在介绍它的武功之前,我们先来明确一个重要的概念——端口(Port)。
TCPView警察看守的叫端口
通俗地讲,端口(Port)就是电脑向网络开放的信息出入“门户”。和小区大门不同的是,在电脑上这种“门户”有个256×256(65535)个,而且它们还有多种状态。
根据端口和服务的绑定情况,端口可分为公认端口、注册端口和动态端口。
公认端口:0~1023。这个范围内的端口系统一般保留给一些常用的系统服务,比如WEB服务使用80端口,FTP服务使用21端口。因为这些端口和服务形成了一一对应关系,已被大家所公认,所以这些端口叫做公认端口。
注册端口:1024~49151。这个范围内的端口比较松散地绑定于一些服务,也就是说,和公认端口相比,这些端口和服务并没有形成一一对应关系,许多服务可绑定于这些端口,这些端口同样可用于许多其他目的。
动态端口:49152~65535。这个范围内的端口一般不为服务所使用,它常常被动态分配给客户端,因而这个范围内的端口叫做动态端口。需要注意的是在实际应用中,端口从1024起就开始动态分配了。
为了防止和系统服务发生冲突,大多数木马和病毒的服务端使用1024以上的端口。为了躲避扫描软件对端口的扫描,木马和病毒使用的端口有高端化的倾向,即尽量使用一些端口号较大的端口。
TCPView的十八般武艺
理解了端口的种类和状态以后,下面来看TCPView这个免费警察的十八般武艺。
实例1:查看端口及状态
Windows也内置了一个查看端口的程序“Netstat”,但它是命令行模式的,不易操作。TCPView的特点就是能够以图形界面的方式实时显示电脑中所有打开的端口及状态。如图1所示,进程标识符(PID)为2104的进程打开了7626端口,该端口目前处于监听状态(LISTENING),这是冰河木马使用的默认端口,有点可疑。
实例2:查看进程及位置
从图1以可以看出,2104号进程为“Exp1orer.exe”,这是Windows的资源管理器,它怎么会打开一个端口呢?奇怪!
TCPView能够查看进程对应的程序在硬盘上的保存位置。双击2104号进程,发现“Exp1orer.exe”保存在Windows目录,看样子,2104号进程确实是Windows资源管理器。
实例3:关闭连接及进程
在TCPView中,我们不仅可以关闭木马和外部发生的连接,还可以强制结束木马的进程。我们再次观察会发现2104号进程打开的7626端口已和外部的主机连接上了,即端口的状态由原来的监听状态(LISTENING)变为了现在的连接状态(ESTABLISHED),看来这个进程就是个木马,赶紧关闭它:在该进程上点击右键,在弹出的菜单上选择“关闭连接”。
以上就是使用TCPView在自己的电脑上发现木马的过程。当我们打开任务管理器,如果发现了两个“Explorer.exe”进程,仔细观察,才发现2104号进程是“Exp1orer.exe”(注意,“p”后面的字母为数字1)。木马真是太狡猾了,竟然用字母“l”和数字“1”的相似性来迷惑用户。
现在来清除木马:在2104号进程上点击右键,在弹出的菜单上选择“结束进程”,然后进程路径找到该木马,删除即可解除木马。