电脑被秘密接入?教你三招如何“抓现行”
2018-04-04 11:47
204 查看
来源:微信公众号 数据安全与取证(ID:Cflab_net)
因日常工作需要,你的电脑会连上很多网站,但并非所有的连接你都知情。当然,有些连接无关紧要,但有些你所不知道的秘密连接可能是利用你的网络连接而蓄意接入的恶意软件、监视软件或广告程序!今天,给大家介绍三个方法——如何查看电脑是否有“不为己知”的连接。这些方法免费实用,能立刻实践!本文要点netstat命令行
TCP工具
CurrPorts工具
取证神助攻工具集介绍
接下来我们开始详述每一种方法的具体操作。方法一:命令行查看现有网络连接这种方法就是使用netstat命令行让计算机将一定时间内所有的网络连接全部列出来!此法适用于Windows系统,从 Windows XP Service Pack 2 到 Windows 10 均可行;且此命令在PowerShell (命令工具) 和 Command Prompt (命令提示符窗口) 使用效果一样。对于Windows 8 和 10,你可以按下“Windows + X” 打开在Power User 菜单,然后选择 “PowerShell (管理员)”来运行;如果你打算用命令提示符,同样也要以管理员身份运行。在 Windows 7 系统中,你需要敲击 “Start” 键,然后在搜索栏输入 “PowerShell”,右键点击并以管理员身份运行;对于 Windows 7 之前的系统,你可能需要在命令提示符窗口完成了。
Power User Menu在窗口中,输入以下命令行,然后回车。netstat -abf 5 > activity.txt这里,我们在netstat命令行中使用了4个修饰符,其意义如下:-a 显示所有的连接和监听端口;-b 在结果中添加与之有连接的应用程序;-f 显示每个连接项的DNS全称 (如此一来,就容易发现是在何处连接的);5 命令计算机每5秒钟检测一次连接 (便于追踪)。而接下来的 “>” 是为了把结果存储在一个名为“activity.txt” 的文件中。在输入完该命令后,等几分钟后,再输入 “Ctrl+C” 停止数据记录。
在PowerShell中输入命令行停止数据记录后,打开 activity.txt 文件查看结果,你可以直接在命令窗口中输入 “activity.txt” 后回车直接在记事本中打开该文件。
activity.txt当然,如果之后你想查看该文件,或用其他编辑器打开,也可以去文件的存储位置\Windows\System32 文件夹中找到它。
\Windows\System32这个 activity.txt 文件,把你电脑上包括浏览器、IM客户端、邮件等所有的联网记录全部列了出来(注:运行命令时所记录的那段时间内),其中包括已建立的连接、应用程序或服务监听的开放端口,以及连入某个网站的进程。如果你看到某些不熟悉的程序名或者网址,你按照名字可以自行搜索,有些可能是任务管理器中必需的进程,但有些可能是恶意网站,所以你得弄清楚并找到解决办法。方法二:使用TCP View工具查看TCP View 是SysInternals 工具箱内一个非常实用的好工具,你可以用这个工具迅速查看哪些电脑进程与哪些网络资源连接,你甚至还能直接关闭该进程、断开连接,或是快速查看该进程的更多信息。在诊断电脑问题或获取信息方面,这个工具绝对是首选!
TCP View注意,当你第一次加载TCP View时,你可能会看到一大堆 [系统进程与各种网址] 的连接,通常来讲这不是什么大问题。如果所有的连接都处于TIME_WAIT状态,这意味着当前连接正在关闭且并无指定连接,既然没有指定连接的PID,那么指定的方向应该显示为PID 0。一般来说,这种情况的出现,是因为你在加载TCP前,确实连入了许多东西,不过在你关掉那些连接后,TCP View上的这些显示就会去掉了。方法三:使用CurrPorts工具查看另外一个免费工具是CurrPorts,它能显示电脑当前所有开着的TCP/IP和UDP端口,比TCP View 的功能要更集中一点。
CurrPorts针对每个端口,CurrPorts 会将打开该端口的所有进程信息都列出来。你可以选择关闭连接,或是复制端口信息到剪贴板,又或是将该信息以其他文件格式存储。在CurrPorts的主窗口中,你还能重新排序显示栏和你所存储的文件。针对某一栏的列表,直接点击该栏的标头。CurrPorts 从 Windows NT 到 Windows 10 都能运行,只要注意它有单独的64位Windows版本,你可以自行在其网站上查询更多用法哦。完Wendy感觉命令行的方法立刻就能试,不妨先用命令行查查看?有件重要的事,你必须知道!本文中提及的两个工具来自两个超级棒的工具集,分别属于Microsoft和Nirsoft。针对Windows系统的分析,这俩所提供的工具集堪称取证神器!▍SysInternal工具集Sysinternals 之前为Winternals公司提供的免费工具,为解决工程师平常在工作上遇到的各种问题。由于其对Windows系统分析的十分出色,微软在2006年7月收购了Winternals。Sysinternals Suite包含一系列免费的系统工具,其中有大名鼎鼎的Process Explorer、FileMon、RegMon等。其中的工具包从注册表分析到进程监视、资源管理器,从碎片整理到加密文件,几乎应有尽有,简直是个百宝箱,取证利器!▍Nirsoft工具集Nirsoft 也是个百宝箱,囊括的工具Wendy一时间根本数不过来,只想快点分享给大家。更贴心的是,人家根据功能都分好类了,给部分截个图你们自己感受下:
嘿嘿,有没有被我感动到?放心,后期会有更多好工具+技术实践分享给到家,只要你相信我,Wendy会尽其所能回馈大家的信任!
因日常工作需要,你的电脑会连上很多网站,但并非所有的连接你都知情。当然,有些连接无关紧要,但有些你所不知道的秘密连接可能是利用你的网络连接而蓄意接入的恶意软件、监视软件或广告程序!今天,给大家介绍三个方法——如何查看电脑是否有“不为己知”的连接。这些方法免费实用,能立刻实践!本文要点netstat命令行
TCP工具
CurrPorts工具
取证神助攻工具集介绍
接下来我们开始详述每一种方法的具体操作。方法一:命令行查看现有网络连接这种方法就是使用netstat命令行让计算机将一定时间内所有的网络连接全部列出来!此法适用于Windows系统,从 Windows XP Service Pack 2 到 Windows 10 均可行;且此命令在PowerShell (命令工具) 和 Command Prompt (命令提示符窗口) 使用效果一样。对于Windows 8 和 10,你可以按下“Windows + X” 打开在Power User 菜单,然后选择 “PowerShell (管理员)”来运行;如果你打算用命令提示符,同样也要以管理员身份运行。在 Windows 7 系统中,你需要敲击 “Start” 键,然后在搜索栏输入 “PowerShell”,右键点击并以管理员身份运行;对于 Windows 7 之前的系统,你可能需要在命令提示符窗口完成了。
Power User Menu在窗口中,输入以下命令行,然后回车。netstat -abf 5 > activity.txt这里,我们在netstat命令行中使用了4个修饰符,其意义如下:-a 显示所有的连接和监听端口;-b 在结果中添加与之有连接的应用程序;-f 显示每个连接项的DNS全称 (如此一来,就容易发现是在何处连接的);5 命令计算机每5秒钟检测一次连接 (便于追踪)。而接下来的 “>” 是为了把结果存储在一个名为“activity.txt” 的文件中。在输入完该命令后,等几分钟后,再输入 “Ctrl+C” 停止数据记录。
在PowerShell中输入命令行停止数据记录后,打开 activity.txt 文件查看结果,你可以直接在命令窗口中输入 “activity.txt” 后回车直接在记事本中打开该文件。
activity.txt当然,如果之后你想查看该文件,或用其他编辑器打开,也可以去文件的存储位置\Windows\System32 文件夹中找到它。
\Windows\System32这个 activity.txt 文件,把你电脑上包括浏览器、IM客户端、邮件等所有的联网记录全部列了出来(注:运行命令时所记录的那段时间内),其中包括已建立的连接、应用程序或服务监听的开放端口,以及连入某个网站的进程。如果你看到某些不熟悉的程序名或者网址,你按照名字可以自行搜索,有些可能是任务管理器中必需的进程,但有些可能是恶意网站,所以你得弄清楚并找到解决办法。方法二:使用TCP View工具查看TCP View 是SysInternals 工具箱内一个非常实用的好工具,你可以用这个工具迅速查看哪些电脑进程与哪些网络资源连接,你甚至还能直接关闭该进程、断开连接,或是快速查看该进程的更多信息。在诊断电脑问题或获取信息方面,这个工具绝对是首选!
TCP View注意,当你第一次加载TCP View时,你可能会看到一大堆 [系统进程与各种网址] 的连接,通常来讲这不是什么大问题。如果所有的连接都处于TIME_WAIT状态,这意味着当前连接正在关闭且并无指定连接,既然没有指定连接的PID,那么指定的方向应该显示为PID 0。一般来说,这种情况的出现,是因为你在加载TCP前,确实连入了许多东西,不过在你关掉那些连接后,TCP View上的这些显示就会去掉了。方法三:使用CurrPorts工具查看另外一个免费工具是CurrPorts,它能显示电脑当前所有开着的TCP/IP和UDP端口,比TCP View 的功能要更集中一点。
CurrPorts针对每个端口,CurrPorts 会将打开该端口的所有进程信息都列出来。你可以选择关闭连接,或是复制端口信息到剪贴板,又或是将该信息以其他文件格式存储。在CurrPorts的主窗口中,你还能重新排序显示栏和你所存储的文件。针对某一栏的列表,直接点击该栏的标头。CurrPorts 从 Windows NT 到 Windows 10 都能运行,只要注意它有单独的64位Windows版本,你可以自行在其网站上查询更多用法哦。完Wendy感觉命令行的方法立刻就能试,不妨先用命令行查查看?有件重要的事,你必须知道!本文中提及的两个工具来自两个超级棒的工具集,分别属于Microsoft和Nirsoft。针对Windows系统的分析,这俩所提供的工具集堪称取证神器!▍SysInternal工具集Sysinternals 之前为Winternals公司提供的免费工具,为解决工程师平常在工作上遇到的各种问题。由于其对Windows系统分析的十分出色,微软在2006年7月收购了Winternals。Sysinternals Suite包含一系列免费的系统工具,其中有大名鼎鼎的Process Explorer、FileMon、RegMon等。其中的工具包从注册表分析到进程监视、资源管理器,从碎片整理到加密文件,几乎应有尽有,简直是个百宝箱,取证利器!▍Nirsoft工具集Nirsoft 也是个百宝箱,囊括的工具Wendy一时间根本数不过来,只想快点分享给大家。更贴心的是,人家根据功能都分好类了,给部分截个图你们自己感受下:
嘿嘿,有没有被我感动到?放心,后期会有更多好工具+技术实践分享给到家,只要你相信我,Wendy会尽其所能回馈大家的信任!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- unity3d游戏开发之如何快速接入渠道SDK
- 如何正确设置电脑的缓存 |加快电脑反应速度
- 如何让路由器外部的电脑能访问路由器内部的WEB服务器[TP-LINK]
- 如何选购平板电脑
- Vista中低端电脑如何打开Aero效果或者就是3D效果
- 虚拟机Linux如何使用笔记本电脑的前置摄像头
- 如何备份远程服务器上的ORACLE数据库到本地电脑
- 如何在电脑中查看手机log
- Windows电脑如何共享文件给Mac苹果电脑【详细教程】
- c# 如何获得你电脑安装的所有程序信息
- Adsense的秘密(第5章 - 如何最大化广告的可见度和响应度)
- Win8如何使用软件让内存虚拟硬盘提高电脑运行速度
- 如何保护我们的电脑安全
- 微信的视频如何找到文件并发送到电脑
- WebEx如何录制电脑内的声音
- 教你最简单的方法让X8如何用WLAN连接电脑上网,那个网速才是飞一般的感觉
- 【91xcz】经常上网有可能犯电脑病 如何预防电脑病
- 如何关闭win7笔记本电脑屏幕的正前方摄像头
- 轻松教你如何用自己的电脑做服务器
- 百万电脑被病毒秘密控制 院士专家共商出路