在Win7系统中,如何才能快速的找到潜伏在系统中的木马呢?用杀毒软件,木马防火墙,还是安全卫士?其实不用这么麻烦,我们只需用到Win7系统中的一个命令netstat(该命令在WinXP和Vista中同样可以使用),就可以通过检测网络连接来判定系统是否有木马。这个netstat命令真的有如此之大的威力?让我们来看看吧。
★编辑提示:用好netstat命令,木马无处逃
netstat是一个DOS命令,是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。简单的说,netstat命令可以检查当前电脑与网络的连接。那么这和检测木马有什么关系呢?因为木马与外界进行通信,需要打开一个端口,而这个端口就可以被netstat命令所检测到。另外,netstat命令配合不同的参数,可以达到更好的检测效果,甚至可以还配合其他的命令干掉木马的进程,让木马报废。
netstat命令的使用
点击“开始”菜单→“运行”,输入“cmd”运行“命令提示符”,输入:“netstat -an”命令并回车, 这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。通常我们使用这个命令就足够了,另外我们还可以通过附带一些参数来实现更多的检测。
▲netstat命令运行参数用
netstat命令结束木马进程
下面我们尝试用netstat命令配合其他的命令来结束木马进程。输入如下命令:netstat -an -o并回车,-o参数的作用是显示拥有的与每个连接关联的进程ID,也就是进程的PID值,每个显示的网络连接后面都会显示其PID值。如果你发现了其中有可疑的网络连接,那么把其PID值记录下来。
▲nnetstat命令显示网络连接PID
按下“Ctrl”+“Shift”+“Esc”键运行“任务管理器”,点击“查看”菜单→“选择列”,勾选其中的“PID(进程标识符)选项,点击确定。然后切换到“进程”标签,通过刚才记下的PID值在“任务管理器”中找到相应的进程。如果你对该进程不熟悉,在Win7的任务管理器中,有对进程的描述,通过描述我们就可以了解该进程是否安全了。
▲n通过PID查找对应进程
如果确信该进程有问题,那么我们就可以使用“Tasklist”命令来结束该进程。回到“命令提示符”中,输入命令“Taskkill /pid 1234”结束进程,1234即危险进程的PID值。这样木马的进程就结束了,这时我们就可以通过杀毒软件对木马进行查杀,将木马清除干净。