windows建立会话查看木马
2016-06-16 11:10
447 查看
通过查看可疑会话可以确认是否中了木马。
某单位的服务器最近出现异常,网络管理员感觉有人在操作他的服务器,于是他怀疑服务器中了木马。他想查看一下服务器是否中了木马,如何确认呢?
只要你的计算机中了木马,木马程序会自动运行,或者作为你的计算机上的一个服务,或者是开机就自动运行,然后就在后台偷偷地和远程的客户端连接。攻击者就可以看到哪些中了木马的计算机在运行,便可以操作中了木马的计算机。如果计算机中了木马,木马程序会自动和外网的客户端建立连接,我们可以通过查看计算机的对外连接来确认是否中了木马。
这位网管可以如下这样做。
首先需要登录计算机,但不访问任何网络资源,并且保证Windows没有在后台更新系统,杀毒软件也没有更新病毒库(因为这些活动也会建立会话,干扰你查找木马)。
如图1-19所示,运行netstat -nob 查看有没有到Internet上的连接,可以看到源端口和目标端口,源地址和目标地址,以及建立会话的进程或程序。
之后主要查看与外网地址连接的会话,如果有连接,那可能就是木马程序,即可看到进程号和该进程号对应的程序。
补充知识
还有一种方法查找木马,就是使用微软自带的系统配置工具msconfig。木马一般会在操作的电脑上伪装成服务,或将自己放置在自动启动项,我们可以检查服务和自动启动项,查找可疑服务或程序。
(1)选择"开始"→"运行"命令,打开"运行"对话框,输入msconfig,单击"确定"按钮,打开"系统配置实用程序"对话框。
(2)如图1-20所示,切换到"服务"选项卡,选中"隐藏所有Microsoft服务"复选框,查看是否有可疑的服务。
(3)如图1-21所示,切换到"启动"选项卡,查看有没有可疑的自动启动项。如果有可疑的启动项,则将其禁用。
原文地址
某单位的服务器最近出现异常,网络管理员感觉有人在操作他的服务器,于是他怀疑服务器中了木马。他想查看一下服务器是否中了木马,如何确认呢?
只要你的计算机中了木马,木马程序会自动运行,或者作为你的计算机上的一个服务,或者是开机就自动运行,然后就在后台偷偷地和远程的客户端连接。攻击者就可以看到哪些中了木马的计算机在运行,便可以操作中了木马的计算机。如果计算机中了木马,木马程序会自动和外网的客户端建立连接,我们可以通过查看计算机的对外连接来确认是否中了木马。
这位网管可以如下这样做。
首先需要登录计算机,但不访问任何网络资源,并且保证Windows没有在后台更新系统,杀毒软件也没有更新病毒库(因为这些活动也会建立会话,干扰你查找木马)。
如图1-19所示,运行netstat -nob 查看有没有到Internet上的连接,可以看到源端口和目标端口,源地址和目标地址,以及建立会话的进程或程序。
![]() |
图1-19 通过netstat -nob查看连接 |
补充知识
还有一种方法查找木马,就是使用微软自带的系统配置工具msconfig。木马一般会在操作的电脑上伪装成服务,或将自己放置在自动启动项,我们可以检查服务和自动启动项,查找可疑服务或程序。
(1)选择"开始"→"运行"命令,打开"运行"对话框,输入msconfig,单击"确定"按钮,打开"系统配置实用程序"对话框。
(2)如图1-20所示,切换到"服务"选项卡,选中"隐藏所有Microsoft服务"复选框,查看是否有可疑的服务。
![]() |
图1-20 隐藏所有Microsoft服务 |
![]() |
(点击查看大图)图1-21 查看启动项 |
相关文章推荐
- 如何重装TCP/IP协议
- Windows 8 官方高清壁纸欣赏与下载
- 谁是桌面王者?Win PK Linux三大镇山之宝
- 对《大家都在点赞 Windows Terminal,我决定给你泼一盆冷水》一文的商榷
- Windows Clang开发环境备忘
- 从Windows系统下访问Linux分区相关软件
- 每日安全资讯:研究人员发现能逃避杀毒软件检测的 Linux 后门
- 对《大家都在点赞 Windows Terminal,我决定给你泼一盆冷水》一文的商榷
- Windows下搭建本地SVN服务器
- 每日安全资讯:阻止了 WannaCry 传播的安全研究员被控传播银行木马
- 使用Windows原生命令一键清空剪贴板
- windows用windeployqt发布qt quick application程序
- 利用开源软件打造自己的全功能远程工具
- Windows 8虚拟机不能全屏的解决方法
- Visual Studio 2012 示例代码浏览器 - 数以千计的开发示例近在手边,唾手可得
- Visual Studio 2012 示例代码浏览器 - 数以千计的开发示例近在手边,唾手可得
- 微软镜像下载