查看端口，讓木馬無處隱身

基本上所有的木馬都是基于TCP/IP通訊的客戶端/服務端結構的系統，服務端被安裝后，會在被監控端打開一個監聽端口等待客戶端來連接，一般情況下，不同的木馬，默認打開的監聽端口不同，所以，查看你電腦上打開的監聽端口，可以判斷你的電腦是否中了木馬以及中了何種木馬。
　　辨認系統的默認端口
　　電腦上1024以下的端口一般被固定分配給一些服務，這些端口以及和它對應和服務已經“家喻戶曉，婦孺皆知”，所以這些端口有叫公認端口，例如80端口被固定給Web服務，21端口被固定給FTP服務等，如果你的電腦安裝并啟用了這些服務，那么在你的電腦上這些端口應該是開放的。下面是常見的一些公認端口。
　　80端口：超文本傳輸協議中定義的端口，用來提供網頁（WEB）服務；
　　21端口：文件傳輸協議中定義的端口，用來提供文件的上傳與下載服務；
　　23端口：遠程登錄協議中定義的端口，用來提供遠程維護服務；
　　25端口：簡單郵件傳輸協議中定義的端口，用來提供郵件的發送服務；
　　110端口：郵件接受協議中定義的端口，用來提供郵件的接收服務。
　　提示：還有一些端口在Windows安裝好后就會自動打開，筆者對這些端口做了一次調查，調查中發現，幾乎所有的Windows系統中都要開放135、137、138和139端口，另外，在Windows 2000及以上的系統中445端口也是開放的。
　　1024以上的端口系統一般不固定給某個服務，它是動態分配的，因而這類端口又叫做動態端口（有些文章認為從1024到49151的端口比較固定地分配給一些服務，因而它們把這些端口細分為“注冊端口”，實際上，系統通常從1024起就開始動態分配端口了）。動態端口任何網絡程序都可以使用，只要程序向系統提出訪問網絡的申請，那么系統就可以從這些端口中分配一個供該程序使用，訪問結束后，所占用的端口也會被釋放，當有其它程序訪問網絡時，這些端口有可能會被再次使用。需要指出的是，從理論上講，動態端口不應用作服務端口，但是，還是有一部分正常程序和大多數木馬程序的服務端固定使用了一個或幾個這一范圍內的端口（大多數木馬所使用的監聽端口都可以自定義，這里所說的端口是指它默認的監聽端口）監聽網絡。下面列出一些常用程序和已知木馬默認的監聽端口。
　　3389端口：Windows的終端服務或遠程桌面默認的監聽端口；
　　7626端口：木馬冰河服務端默認的監聽端口；
　　7306端口：木馬網絡精靈（NetSpy）服務端默認的監聽端口；
　　6267端口：木馬廣外女生服務端默認的監聽端口；
　　19191端口：木馬藍色火焰服務端默認的監聽端口。
　　由于已知的木馬實在太多，所以我們在這里不能一一列出，你可以根據下面介紹的方法查出處于監聽狀態的端口，然后在網上搜索該端口號，查詢它是否是木馬造成的。
　　利用Netstat命令查看端口
　　一臺機器要和另一臺機器通訊，首先要明確四個要素，即本機的IP地址，遠程主機的IP地址，本機使用的通訊端口，遠程主機使用的通訊端口。使用Netstat命令就能夠查清這四個要素。Netstat是Windows自帶的網絡檢測工具，只要安裝了TCP/IP協議，我們就可以使用該命令。
　　Netstat命令格式和主要參數
　　Netstat [-a] [-e] [-n] [-o] [-s][-p proto][-r] [interval]
　　-a 該參數用來顯示計算機包括LISTENIN狀態的所有端口和全部連接；
　　-n 以數字格式的形式顯示計算機除LISTENING狀態的端口和網絡地址；
　　-o 顯示計算機除LISTENING狀態的端口和網絡地址，同時顯示開啟該端口進程的PID；
　　-e 列出端口上的數據流量（一般與參數s共同使用），包括發送和接收的數據報的總字節數、錯誤數、刪除數等；
　　-s 按照各個協議分別顯示其統計數據。 端口的常見狀態
　　LISTENING——這就是我們常說的監聽端口，這種狀態的端口一般由某個服務程序打開，等待其它主機來連接，因而這種端口又叫做服務端口；
　　ESTABLISHED——如果處于監聽狀態的端口已和其它主機建立了連接，那么端口的“LISTENING”狀態就會變為“ESTABLISHED”狀態；
　　SYN_SENT——大多數情況下，我們的電腦會主動打開一個端口去連接其它機器，這時端口的狀態就表現為“SYN_SENT”，這種端口一般是由客戶端程序打開，所以這種端口也叫做客戶端口。客戶端口如果和服務端口建立了連接，那么端口的狀態就會由“SYN_SENT”狀態變為“ESTABLISHED”狀態；
　　TIME_WAIT——處于ESTABLISHED狀態的端口，如果連接被結束，那么端口的狀態就會變為TIME_WAIT狀態。
　　在上術參數中，我們經常使用的有三個：“Netstat -a”、“Netstat n”和“Netstat -o”
　　⒈“Netstat -a”主要用來查看本地計算機都開放了哪些監聽端口，如圖1所示，被監聽的端口中出現了7626端口，那么我們初步可以斷定，這臺計算機可能被植入了冰河木馬。
　　⒉“Netstat n”和“Netstat -o”（和Netstat –n命令相比，該命令雖然不解析地址，但可以查看發起連接進程的PID，知道了發起該連接進程的PID，借助其它一些軟件，我們就可以知道該PID對應的應用程序）主要用來查看本機與外部的網絡連接。和傳統的木馬相比，現在還有一種木馬使用反彈端口，也就是說這種木馬的服務端并不是開一個監聽端口等待客戶端來連接，而是服務端主動去連接客戶端監聽的端口，對付這種木馬，我們就要使用“Netstat n”或“Netstat -o”查看本機與外部的網絡連接狀況。如圖2所示，我沒有使用IE等任何軟件與外部發生連接，可電腦卻長時間地與“211.99.188.167”主機的8000端口連接著，通過對PID的查詢，發現這一連接竟然是IE瀏覽器發起的，通過其它一些手段，初步斷定，我的電腦可能被植入了反彈端口的木馬——灰鴿子。
　　在常規的檢查中，我們一般把參數“-a”和“-n”、“-o”聯合起來使用。在命令提示符窗口中輸入“Netstat –an”或“Netstat –ao”，這樣，我們不僅能查看本機開放了哪些監聽端口，還能以IP地址形式查看本機的網絡程序都連接到哪些網絡主機。
　　使用軟件掃描端口
　　掃描端口的軟件比較多，這里建議大家使用SuperScan，它是國外著名安全團體GoundStone推出的一款端口掃描工具，它不僅能夠掃描端口，而且還內置了一個特洛伊木馬的端口列表文件，利用該列表文件，我們就可以直接掃描自己的電腦是否中了木馬。
　　⒈端口掃描：啟動SuperScan單擊“本機”或“網絡”按鈕，你的局域網IP或公網IP就填寫到“起始IP”和“終止IP”文本框中了，接下來，選擇“所有端口”單選框并在文本框中鍵入1到65535的所有端口，最后單擊“開始”進行掃描。掃描結束后，下面的窗口中會列出你的系統中開放的全部監聽端口，如果端口是木馬開放的，它還能根據特洛伊木馬的端口列表文件給出該木馬的名稱或描述（如圖3）。
　　⒉掃描木馬：上面介紹的方法我們由于要對全部端口進行掃描，所花費的時間比較長，如果你只掃描木馬，可以使用特洛伊木馬的端口列表文件。
　　第一步：在SuperScan的界面上單擊“端口設置”打開“編輯端口列表”對話框，在“端口列表清單”中選擇“trojans.lst”文件（圖4），在下面的窗口中列出了木馬使用的端口號和木馬的描述，你可以選擇一部分端口進行掃描，也可心單擊“全部選擇”選擇列表中的所有端口進行掃描。
　　第二步：在SuperScan的界面上，點擊“列表中的每個端口”掃描“trojans.lst”文件中列出的全部端口，“所有列表中選擇的端口”只掃描在“trojans.lst”文件中選擇的端口，你也可以鍵入一個起始端口號和結束端口號，然后選擇“列表中的端口”掃描“trojans.lst”文件中這一范圍內的端口
　　第三步：選擇好掃描的端口后，然后在“起始IP”和“終止IP”中輸入自己的公網IP地址，單擊“開始”就可以掃描木馬了。
　　小提示：在Internet上，新的木馬層出不窮，為了能讓SuperScan識別出這些木馬，我們可以把新出現的木馬加入到“trojans.lst”文件中。在“編輯端口列表”對話框上選擇“trojans.lst”文件，在左側“端口”的文本框中輸入木馬使用的默認端口號，在“形容”文本框中輸入該木馬的名稱或說明，最后單擊“添加”，新的木馬就添加到右側的端口列表中了，單擊“保存”，我們可以把該列表另存為其它文件，但然也可以繼續保存在“trojans.lst”文件中。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]