通过TCP连接查找木马

  编者按：杀毒软件，你有；网络防火墙，你也有；各种防范步伐，你都略知一二。然而，面对各种不稳固因素，你能包管本身永不中招？千万别在出现异常情况时六神无主，自检，它能帮你找出宁静隐患、订定防守战略。沉着应对宁静问题，得从自检开端。自本期开端，我们将为各人带来自检三部曲，指导各人学会自检。本日，将先容的便是针对TCP毗连的自检。
  病毒和木马对小我私家电脑的威胁越来越大，它们不光破坏当地电脑的安定，乃至完全摧毁电脑，而且它们还会利用网络技能，开启多个TCP毗连熏染网络中的其他电脑，使病毒或木马的破坏力大大加强。俗话说“打蛇要打七寸”，如何将这些来自于网络的威胁降到最低点，非常重要的一个防范步伐便是管好电脑中的TCP毗连，每每自检尤为重要。
  电脑中的TCP毗连分为两种，一种是本机中伤害历程开启的由内到外的TCP毗连，另一种是来自外部恶意打击的外部TCP毗连。对付这两种TCP毗连，需要采用差别的自检和处理方法，本日我们就会为各人先容这两种方法。
  小知识：当用户使用某些伤害的网络服务，或某些病毒、黑客控制系统的工夫，就会先使用TCP协议创立端对端的毗连，然落伍行下一步的操纵，这便是所谓的恶意TCP毗连。
  细心：检测由内向外的TCP毗连
  宁静警报：报警！报警！网内突发流传性极强的打击性变乱，它不光熏染当地系统，形成盘算机异常，而且它还经过网络扩散，开启少量的TCP毗连，熏染网络中的其他机器。此时，对付这种还未探明具体成因的恶意变乱，可对由内向外的TCP毗连进行自检，找出并关闭异常或恶意的网络历程。
  如果你的电脑不幸中了某些病毒或木马（如震荡波、打击波等），它们在熏染当地Windows系统的同时，还会开启很多由内到外的TCP毗连以打击网络中的其他电脑，此时如果杀毒软件不克不及进行查杀，那么你就会在无形中充当病毒的爪牙。
  岂能轻易当爪牙？虽然此时不克不及彻底清除病毒，但我们完全可以减缓病毒的危害性，制止病毒、木马创立由内向外的TCP毗连，防止它们进一步扩散。
  1．请来Tcpview
  虽然用Windows系统自带的“NETSTAT”下令可以检测本机的TCP毗连情况，但该下令毕竟是基于下令行方法的，使用起来非常不方便，而且TCP毗连情况不克不及实时更新。因而笔者发起各人使用“Tcpview”这款东西
  在Tcpview的网络毗连显示框中，会显示出所有历程的网络毗连情况，包括病毒创立的由内到外的TCP毗连。这些毗连信息还是实时静态变革的，可以或许显示出细致的TCP毗连参数信息，如历程名、历程ID、毗连使用的协议、当地地点和端标语。现在，经过Tcpview步伐，就可以很容易地分析出每个TCP毗连的情况。
  2．仔细检查TCP毗连
  如果你发现Tcpview网络毗连显示框中有不熟悉的历程名（图1），而且这个历程的TCP毗连数目非常多，变革频率也很快，这说明这些TCP毗连大概便是系统中存在的病毒或木马创立的由内到外的TCP毗连。
  为了防止恶意步伐的蔓延和流传，可以记载相干历程使用的当地端标语，然后右键点击这些历程项目，选择“End Process”竣事这些由内到外的TCP毗连。接下来，就利用网络防火墙关闭病毒所使用的端口，禁止病毒开启恶意的TCP毗连。
  笔者在此还发起各人一定要给Windows XP系统安置SP2补丁，它可以将步伐开启的线程数限定在10个以内，这样也就有用地限定了病毒创立的由内到外的TCP毗连数。
  方法总结：以上方法实用于对本机中的病毒或木马创立的TCP毗连进行自检，也便是对由内到外的TCP毗连进行检测，这可以有用地缓解这些害群之马所带来的危害。但笔者还是要提示各人，要想彻底清除这些由内到外的TCP毗连，还需要即时晋级杀毒软件，安置Windows系统的相应补丁步伐。
  --------------------------------------------------------------------------------
  谨慎：严查外部TCP毗连
  宁静警报：报警！报警！本机某个端口忽然有少量TCP毗连，严重斲丧本机的网络资源，网络速度急剧低落且不稳固，疑是来自外部的病毒或黑客打击。
  除了病毒或木马会利用由内到外的TCP毗连，危害网络中的其他电脑外。本机也大概遭到来自外部的打击，如病毒或黑客打击本机的某个网络端口，固然这些打击也是利用TCP毗连实现的，差别的是它们都是来自外部的恶意TCP毗连。因而针对本机能否遭到外部TCP毗连打击的检测，非常须要。
  要想知道本机能否遭到外部TCP毗连的打击，就需要经过监控某个端口来实现，使用“TCP打击监控器v1.0”这款东西是不错的选择。
  1．配置监控参数
  如果笔者想监控Windows XP系统的IIS服务器的80端口能否遭到打击，可运行TCP打击监控器，起首在“监控端口”栏中输出“80”，然后根据需要设置好“革新周期”和“单IP最小毗连数”，接下来该东西就会监控IIS服务器的80端口的外部TCP毗连情况（图2）。
  2．从记载中找出打击源
  在“TCP毗连数”栏中细致地记载着每个与IIS服务器创立TCP毗连的机器的IP地点，并且还记载了这个IP的TCP毗连数。
  如果短工夫内，来自某个IP地点的TCP毗连数非常多，那么很有大概便是使用这个IP地点的机器对IIS服务在进行TCP打击，这是非常伤害的。由于这些来自外部的TCP打击很大概是病毒或黑客所为，为了包管IIS服务器的宁静，我们可以在IIS服务器或网络防火墙中，彻底禁止该IP地点提倡的访问，这样就摆脱了外部恶意TCP毗连的打击， Windows系统会越发宁静。
  方法总结：此方法实用于对来自外部的TCP毗连进行自检，做好对这些外部的TCP毗连的监控和自检事情，过滤有害的外部TCP毗连，可以或许最大限制地加重外部病毒或黑客打击所带来的危害。
  本期，我们先容了如何对由内到外和外部的TCP毗连进行自检。高效地完成自检事情，对防止病毒和木马的流传、打击有着重要的作用。固然，任何恶意的TCP毗连都是针对某个端口而创立的，因而做好端口的自检事情非常重要。在下期，我们将会为各人先容如何对端口进行自检，敬请期待。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：