¿Qué puertos abre Glacier Trojan?
Los troyanos más comunes actualmente suelen basarse en el protocolo TCP/UDP para la comunicación entre el cliente y el servidor. Dado que se utilizan estos dos protocolos, es inevitable utilizar el lado del servidor (es decir, ser. plantado). Máquina infectada con troyanos) abre el puerto de escucha para esperar conexiones. Por ejemplo, el famoso Glacier usa el puerto de escucha 7626, Back Orifice 2000 usa el 54320, etc. Luego, podemos usar el método de ver los puertos abiertos de esta máquina para verificar si nos han colocado troyanos u otros programas piratas. La siguiente es una introducción detallada al método. 1. El comando netstat que viene con Windows. Con respecto al comando netstat, primero echemos un vistazo a la introducción en el archivo de ayuda de Windows: Netstat muestra estadísticas del protocolo y conexiones de red TCP/IP actuales. Este comando sólo se puede utilizar después de instalar el protocolo TCP/IP. netstat [-a] [-e] [-n] [-s] [-p protocolo] [-r] [intervalo] Parámetros -a Muestra todas las conexiones y puertos de escucha. Las conexiones del servidor normalmente no aparecen. -e muestra estadísticas de Ethernet. Este parámetro se puede utilizar junto con la opción -s. -n Muestra direcciones y números de puerto en formato numérico (en lugar de intentar buscar nombres). -s muestra estadísticas para cada protocolo. De forma predeterminada, se muestran estadísticas para TCP, UDP, ICMP e IP. La opción -p se puede utilizar para especificar un subconjunto predeterminado. -p protocolo Muestra las conexiones para el protocolo especificado por protocolo, que puede ser tcp o udp. Si se usa con la opción -s para mostrar estadísticas para cada protocolo, el protocolo puede ser tcp, udp, icmp o ip. -r muestra el contenido de la tabla de enrutamiento. intervalo vuelve a mostrar las estadísticas seleccionadas, pausando el intervalo de segundos entre cada visualización. Presione CTRL+B para dejar de volver a mostrar estadísticas. Si se omite este parámetro, netstat imprimirá la información de configuración actual una vez. Bien, después de leer estos archivos de ayuda, deberíamos entender cómo usar el comando netstat. Ahora aprendamos y usémoslo ahora. Use este comando para ver los puertos abiertos de nuestra máquina. Ingrese la línea de comando y use los parámetros a y n del comando netstat: C:\>netstat -an Active Connections Proto Dirección local Dirección extranjera Estado TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0 .0.0:0 ESCUCHANDO TCP 0.0.0.0:7626 0.0.0.0:0 ESCUCHANDO UDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0: 0 Para explicarlo, Conexiones activas se refiere a la conexión activa actual en esta máquina, Proto se refiere al nombre del protocolo usado para la conexión, Dirección local es la dirección IP de la computadora local y el número de puerto que se usa para la conexión, y Dirección extranjera es la IP de la computadora remota conectada al puerto. Dirección y número de puerto, Estado indica el estado de la conexión TCP. Puede ver que el puerto de escucha en las siguientes tres líneas es el protocolo UDP, por lo que no hay ningún estado representado por Estado. ¡mirar! El puerto 7626 de mi máquina está abierto y está escuchando y esperando conexiones. En una situación como esta, ¡es muy probable que haya sido infectado por Glacier! Lo correcto es desconectarse de Internet inmediatamente y utilizar un software antivirus para comprobar si hay virus. 2. La herramienta de línea de comandos fport funciona en Windows 2000. Los amigos que usan Windows 2000 tienen más suerte que aquellos que usan Windows 9X, porque pueden usar el programa fport para mostrar la relación correspondiente entre los puertos abiertos de la máquina local y el proceso. Fport es un software producido por FoundStone que enumera todos los puertos TCP/IP y UDP abiertos en el sistema, así como la ruta completa, identificación PID, nombre del proceso y otra información de sus aplicaciones correspondientes.
Usado desde la línea de comando, consulte el ejemplo: D:\>fport.exe FPort v1.33 - Proceso TCP/IP para mapeador de puertos Copyright 2000 de Foundstone, Inc. Proceso Pid Ruta del protocolo del puerto 748 tcpsvcs -> 7 TCP C: \ WINNT\System32\ tcpsvcs.exe 748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe 748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe 416 svchost -> 135 TCP C:\WINNT \ system32\svchost.exe ¿Está claro de un vistazo? Ahora, qué programa abre cada puerto está justo delante de tus narices. Si encuentra un programa sospechoso abriendo un puerto sospechoso, no sea descuidado. ¡Tal vez sea un astuto troyano! La última versión de Fport es 2.0. Está disponible para descargar en muchos sitios web, pero por razones de seguridad, por supuesto, es mejor descargarlo desde su ciudad natal: /knowledge/zips/fport.zip 3. Active Ports, una herramienta de interfaz gráfica con funciones similares a Fport, es producido por SmartLine Puede usarlo para monitorear todos los puertos TCP/IP/UDP abiertos en su computadora. No solo muestra todos sus puertos, sino que también muestra las rutas de los programas correspondientes a todos los puertos, la IP local y la IP remota. (Intentando conectarse a su computadora) está activo. Aún mejor, también proporciona una función de cierre de puerto. Cuando lo usa para encontrar un puerto abierto por un troyano, puede cerrarlo inmediatamente. Este software funciona bajo la plataforma Windows NT/2000/XP. Puede agregar un parámetro O más al comando stat que la versión anterior. Usando este parámetro, puede obtener la correspondencia entre el puerto y el proceso. Lo anterior presenta varios métodos para ver los puertos abiertos de la máquina local y la relación correspondiente entre puertos y procesos. A través de estos métodos, puede descubrir fácilmente troyanos basados en el protocolo TCP/UDP. Espero que sea útil para su máquina favorita. . Sin embargo, la prevención de troyanos es importante, y si encuentra un troyano de puerto de rebote o un troyano nuevo creado con tecnología de biblioteca de vínculos dinámicos y controladores, será difícil detectar rastros del troyano utilizando los métodos anteriores. Por lo tanto, debemos desarrollar buenos hábitos de Internet, no ejecutar archivos adjuntos en correos electrónicos a voluntad e instalar un conjunto de software antivirus.
Por favor adopta si estás satisfecho