windows端口中木馬問題解決總結(jié)

2015-11-24 09:39 作者：admin 瀏覽量：

　　電腦上1024以下的端口一般被固定分配給一些服務(wù)，這些端口以及和它對應(yīng)和服務(wù)已經(jīng)“家喻戶曉，婦孺皆知”，所以這些端口有叫公認端口，例如80端口被固定給Web服務(wù)，21端口被固定給FTP服務(wù)等，如果你的電腦安裝并啟用了這些服務(wù)，那么在你的電腦上這些端口應(yīng)該是開放的。下面是常見的一些公認端口。

　　80端口：超文本傳輸協(xié)議中定義的端口，用來提供網(wǎng)頁(WEB)服務(wù);及網(wǎng)絡(luò)運維外包

　　21端口：文件傳輸協(xié)議中定義的端口，用來提供文件的上傳與下載服務(wù);

　　23端口：遠程登錄協(xié)議中定義的端口，用來提供遠程維護服務(wù);

　　25端口：簡單郵件傳輸協(xié)議中定義的端口，用來提供郵件的發(fā)送服務(wù);

　　110端口：郵件接受協(xié)議中定義的端口，用來提供郵件的接收服務(wù)。

　　提示：還有一些端口在Windows安裝好后就會自動打開，筆者對這些端口做了一次調(diào)查，調(diào)查中發(fā)現(xiàn)，幾乎所有的Windows系統(tǒng)中都要開放135、137、138和139端口，另外，在Windows 2000及以上的系統(tǒng)中445端口也是開放的。

　　1024以上的端口系統(tǒng)一般不固定給某個服務(wù)，它是動態(tài)分配的，因而這類端口又叫做動態(tài)端口(有些文章認為從1024到49151的端口比較固定地分配給一些服務(wù)，因而它們把這些端口細分為“注冊端口”，實際上，系統(tǒng)通常從1024起就開始動態(tài)分配端口了)。動態(tài)端口任何網(wǎng)絡(luò)程序都可以使用，只要程序向系統(tǒng)提出訪問網(wǎng)絡(luò)的申請，那么系統(tǒng)就可以從這些端口中分配一個供該程序使用，訪問結(jié)束后，所占用的端口也會被釋放，當(dāng)有其它程序訪問網(wǎng)絡(luò)時，這些端口有可能會被再次使用。需要指出的是，從理論上講，動態(tài)端口不應(yīng)用作服務(wù)端口，但是，還是有一部分正常程序和大多數(shù)木馬程序的服務(wù)端固定使用了一個或幾個這一范圍內(nèi)的端口(大多數(shù)木馬所使用的監(jiān)聽端口都可以自定義，這里所說的端口是指它默認的監(jiān)聽端口)監(jiān)聽網(wǎng)絡(luò)。下面列出一些常用程序和已知木馬默認的監(jiān)聽端口。

　　3389端口：Windows的終端服務(wù)或遠程桌面默認的監(jiān)聽端口;

　　7626端口：木馬冰河服務(wù)端默認的監(jiān)聽端口;

　　7306端口：木馬網(wǎng)絡(luò)精靈(NetSpy)服務(wù)端默認的監(jiān)聽端口;

　　6267端口：木馬廣外女生服務(wù)端默認的監(jiān)聽端口;

　　19191端口：木馬藍色火焰服務(wù)端默認的監(jiān)聽端口。

　　由于已知的木馬實在太多，所以我們在這里不能一一列出，你可以根據(jù)下面介紹的方法查出處于監(jiān)聽狀態(tài)的端口，然后在網(wǎng)上搜索該端口號，查詢它是否是木馬造成的。

　　利用Netstat命令查看端口

　　一臺機器要和另一臺機器通訊，首先要明確四個要素，即本機的IP地址，遠程主機的IP地址，本機使用的通訊端口，遠程主機使用的通訊端口。使用Netstat命令就能夠查清這四個要素。Netstat是Windows自帶的網(wǎng)絡(luò)檢測工具，只要安裝了TCP/IP協(xié)議，我們就可以使用該命令。

　　Netstat命令格式和主要參數(shù)

　　Netstat [-a] [-e] [-n] [-o] [-s][-p proto][-r] [interval]

　　-a 該參數(shù)用來顯示計算機包括LISTENIN狀態(tài)的所有端口和全部連接;

　　-n 以數(shù)字格式的形式顯示計算機除LISTENING狀態(tài)的端口和網(wǎng)絡(luò)地址;

　　-o 顯示計算機除LISTENING狀態(tài)的端口和網(wǎng)絡(luò)地址，同時顯示開啟該端口進程的PID;

　　-e 列出端口上的數(shù)據(jù)流量(一般與參數(shù)s共同使用)，包括發(fā)送和接收的數(shù)據(jù)報的總字節(jié)數(shù)、錯誤數(shù)、刪除數(shù)等;

　　-s 按照各個協(xié)議分別顯示其統(tǒng)計數(shù)據(jù)。

　　端口的常見狀態(tài)

　　LISTENING——這就是我們常說的監(jiān)聽端口，這種狀態(tài)的端口一般由某個服務(wù)程序打開，等待其它主機來連接，因而這種端口又叫做服務(wù)端口;

　　ESTABLISHED——如果處于監(jiān)聽狀態(tài)的端口已和其它主機建立了連接，那么端口的“

　　LISTENING”狀態(tài)就會變?yōu)椤癊STABLISHED”狀態(tài);

　　SYN_SENT——大多數(shù)情況下，我們的電腦會主動打開一個端口去連接其它機器，這時端口的狀態(tài)就表現(xiàn)為“SYN_SENT”，這種端口一般是由客戶端程序打開，所以這種端口也叫做客戶端口?？蛻舳丝谌绻头?wù)端口建立了連接，那么端口的狀態(tài)就會由“SYN_SENT”狀態(tài)變?yōu)椤癊STABLISHED”狀態(tài);

　　TIME_WAIT——處于ESTABLISHED狀態(tài)的端口，如果連接被結(jié)束，那么端口的狀態(tài)就會變?yōu)門IME_WAIT狀態(tài)。

　　在上術(shù)參數(shù)中，我們經(jīng)常使用的有三個：“Netstat -a”、“Netstat n”和“Netstat -o”

　　1.“Netstat -a”主要用來查看本地計算機都開放了哪些監(jiān)聽端口，如圖1所示，被監(jiān)聽的端口中出現(xiàn)了7626端口，那么我們初步可以斷定，這臺計算機可能被植入了冰河木馬。

　　2.“Netstat n”和“Netstat -o”(和Netstat –n命令相比，該命令雖然不解析地址，但可以查看發(fā)起連接進程的PID，知道了發(fā)起該連接進程的PID，借助其它一些軟件，我們就可以知道該PID對應(yīng)的應(yīng)用程序)主要用來查看本機與外部的網(wǎng)絡(luò)連接。和傳統(tǒng)的木馬相比，現(xiàn)在還有一種木馬使用反彈端口，也就是說這種木馬的服務(wù)端并不是開一個監(jiān)聽端口等待客戶端來連接，而是服務(wù)端主動去連接客戶端監(jiān)聽的端口，對付這種木馬，我們就要使用“Netstat n”或“Netstat -o”查看本機與外部的網(wǎng)絡(luò)連接狀況。如圖2所示，我沒有使用IE等任何軟件與外部發(fā)生連接，可電腦卻長時間地與“211.99.188.167”主機的8000端口連接著，通過對PID的查詢，發(fā)現(xiàn)這一連接竟然是IE瀏覽器發(fā)起的，通過其它一些手段，初步斷定，我的電腦可能被植入了反彈端口的木馬——灰鴿子。

　　在常規(guī)的檢查中，我們一般把參數(shù)“-a”和“-n”、“-o”聯(lián)合起來使用。在命令提示符窗口中輸入“Netstat –an”或“Netstat –ao”，這樣，我們不僅能查看本機開放了哪些監(jiān)聽端口，還能以IP地址形式查看本機的網(wǎng)絡(luò)程序都連接到哪些網(wǎng)絡(luò)主機?？梢赃x用小艾計算機網(wǎng)絡(luò)維護外包服務(wù)）

　　使用軟件掃描端口

　　掃描端口的軟件比較多，這里建議大家使用SuperScan，它是國外著名安全團體GoundStone推出的一款端口掃描工具，它不僅能夠掃描端口，而且還內(nèi)置了一個特洛伊木馬的端口列表文件，利用該列表文件，我們就可以直接掃描自己的電腦是否中了木馬。

　　1.端口掃描：啟動SuperScan單擊“本機”或“網(wǎng)絡(luò)”按鈕，你的局域網(wǎng)IP或公網(wǎng)IP就填寫到“起始IP”和“終止IP”文本框中了，接下來，選擇“所有端口”單選框并在文本框中鍵入1到65535的所有端口，最后單擊“開始”進行掃描。掃描結(jié)束后，下面的窗口中會列出你的系統(tǒng)中開放的全部監(jiān)聽端口，如果端口是木馬開放的，它還能根據(jù)特洛伊木馬的端口列表文件給出該木馬的名稱或描述。

　　2.掃描木馬：上面介紹的方法我們由于要對全部端口進行掃描，所花費的時間比較長，如果你只掃描木馬，可以使用特洛伊木馬的端口列表文件。

　　第一步：在SuperScan的界面上單擊“端口設(shè)置”打開“編輯端口列表”對話框，在“端口列表清單”中選擇“trojans.lst”文件(圖4)，在下面的窗口中列出了木馬使用的端口號和木馬的描述，你可以選擇一部分端口進行掃描，也可心單擊“全部選擇”選擇列表中的所有端口進行掃描。

　　第二步：在SuperScan的界面上，點擊“列表中的每個端口”掃描“trojans.lst”文件中列出的全部端口，“所有列表中選擇的端口”只掃描在“trojans.lst”文件中選擇的端口，你也可以鍵入一個起始端口號和結(jié)束端口號，然后選擇“列表中的端口”掃描“trojans.lst”文件中這一范圍內(nèi)的端口

　　第三步：選擇好掃描的端口后，然后在“起始IP”和“終止IP”中輸入自己的公網(wǎng)IP地址，單擊“開始”就可以掃描木馬了。

　　基本上所有的木馬都是基于TCP/IP通訊的客戶端/服務(wù)端結(jié)構(gòu)的系統(tǒng)，服務(wù)端被安裝后，會在被監(jiān)控端打開一個監(jiān)聽端口等待客戶端來連接，一般情況下，不同的木馬，默認打開的監(jiān)聽端口不同，所以，查看你電腦上打開的監(jiān)聽端口，可以判斷你的電腦是否中了木馬以及中了何種木馬。

　　最后小提示：在Internet上，新的木馬層出不窮，為了能讓SuperScan識別出這些木馬，我們可以把新出現(xiàn)的木馬加入到“trojans.lst”文件中。在“編輯端口列表”對話框上選擇“trojans.lst”文件，在左側(cè)“端口”的文本框中輸入木馬使用的默認端口號，在“形容”文本框中輸入該木馬的名稱或說明，最后單擊“添加”，新的木馬就添加到右側(cè)的端口列表中了，單擊“保存”，我們可以把該列表另存為其它文件，但然也可以繼續(xù)保存在“trojans.lst”文件中。