在Win7系統中,如何才能快速的找到潛伏在系統中的木馬呢?用殺毒軟件,木馬防火牆,還是安全衛士?其實不用這麼麻煩,我們只需用到Win7系統中的一個命令netstat(該命令在WinXP和Vista中同樣可以使用),就可以通過檢測網絡連接來判定系統是否有木馬。這個netstat命令真的有如此之大的威力?讓我們來看看吧。
用好netstat命令,木馬無處逃
netstat是一個DOS命令,是一個監控TCP/IP網絡的非常有用的工具,它可以顯示路由表、實際的網絡連接以及每一個網絡接口設備的狀態信息。netstat用於顯示與IP、TCP、UDP和ICMP協議相關的統計數據,一般用於檢驗本機各端口的網絡連接情況。簡單的說,netstat命令可以檢查當前電腦與網絡的連接。那麼這和檢測木馬有什麼關系呢?因為木馬與外界進行通信,需要打開一個端口,而這個端口就可以被netstat命令所檢測到。另外,netstat命令配合不同的參數,可以達到更好的檢測效果,甚至可以還配合其他的命令干掉木馬的進程,讓木馬報廢。
netstat命令的使用
點擊“開始”菜單→“運行”,輸入“cmd”運行“命令提示符”,輸入:“netstat -an”命令並回車, 這個命令能看到所有和本地計算機建立連接的IP,它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息,我們就可以完全監控計算機上的連接,從而達到控制計算機的目的。通常我們使用這個命令就足夠了,另外我們還可以通過附帶一些參數來實現更多的檢測。
按下“Ctrl”+“Shift”+“Esc”鍵運行“任務管理器”,點擊“查看”菜單→“選擇列”,勾選其中的“PID(進程標識符)選項,點擊確定。然後切換到“進程”標簽,通過剛才記下的PID值在“任務管理器”中找到相應的進程。如果你對該進程不熟悉,在Win7的任務管理器中,有對進程的描述,通過描述我們就可以了解該進程是否安全了。
如果確信該進程有問題,那麼我們就可以使用“Tasklist”命令來結束該進程。回到“命令提示符”中,輸入命令“Taskkill /pid 1234”結束進程,1234即危險進程的PID值。這樣木馬的進程就結束了,這時我們就可以通過殺毒軟件對木馬進行查殺,將木馬清除干淨。