在网络发展如此迅速的今天,各种网络攻击层出不穷,那么如何知道自己的电脑是否被木马攻击呢?下面就教大家一个简单的方法。
一般的木马攻击都是基于TCP/ID协议的某个端口进入你的电脑的。只要知道你的电脑都开了哪些端口,端口的状态就可以知道电脑是否已被木马攻击,我们这里以windows系统为例。
首先,打开“开始”菜单下的“运行”窗口,输入cmd后确定。开打开的窗口中输入Windows本身自带的netstat命令netstat -an后,就会看到本机上的一些端口和状态了。(如图)
图1
图中的Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称(TCP和UDP),Local Address是本地计算机的 IP 地址和连接正在使用的端口号(冒号后的数字),Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态(LISTENING侦听状态;ESTABLISHED建立连接状态;TIME_WAIT结束连接状态;SYN_SENT请求连接状态;),UDP协议是监听端口,所以没有State表示的状态。
如果你的机器除了WINDOWS中开放的端口:139; 用在NetMeeting的端口:1503和1720以外的端口已开放,就应引起重视,进一步判断是否为木马入侵。如:机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!要马上断开网络,用杀毒软件查杀病毒进行查杀。
以下是常见木马使用端口,可以参照一下。
31338=back orifice
8102=网络神偷
31338=deepbo
2000=黑洞2000
31339=netspy dk
2001=黑洞2001
31666=bowhack
6267=广外女生
34324= biggluck
7306=网络精灵3.0,netspy3.0
40412 =the spy
7626=冰河
40421= masters paradise
8011=wry,赖小子,火凤凰
40422= masters paradise 1.x
23444=网络公牛,netbull
40423= masters paradise 2.x
23445=网络公牛,netbull
40426= masters paradise 3.x
19191=蓝色火焰
50505 =sockets de troie
27374=sub seven 2.0+,77,东方魔眼
50766 =fore
53001 =remote windows shutdown
121 =bo jammerkillahv
61466 =telecommando
666 =satanz backdoor
65000 =devil
1001= silencer
6400= the thing
1600 =shivka-burka
12346 =netbus 1.x
1807= spysender
20034 = netbus pro
1981= shockrave
1243 =subseven
1001= webex
30100= netsphere
1011= doly trojan
1001= silencer
1170 =psyber stream server
20000= millenium
1234= ultors trojan
65000= devil 1.03
1245 =voodoo doll
7306= netmonitor
1492 =ftp99cmp
1170 =streaming audio trojan
1999 =backdoor
30303 =socket23
2001= trojan cow
6969 =gatecrasher
2023= ripper
61466= telecommando
2115= bugs
12076 =gjamer
2140 =deep throat
4950= icqtrojen
2140= the invasor
16969= priotrity
2801= phineas phucker
1245 = vodoo
30129 =masters paradise
5742 = wincrash
3700= portal of doom
2583 = wincrash2
4092 =wincrash
1033 =netspy
4590 =icqtrojan
1981 = shockrave
5000 =sockets de troie
555= stealth spy
减小字体
增大字体