利用进程和端口 来判断服务器是否被植入木马

          那么因此,我们只要找到了对应的端口号,那么再找到对应的进程,那么也可以找到对应的这个程序。那么咱们实际情况,在进行进程分析过程中,咱们要想分析当前计算机是否被植入木马,那么我们就要确定是否与外部建立通信,那咱们就可以从这一点入手。首先你来找一下,当前计算机是否与外部建立网络通信,通过查看它建立通信的 IP地址和端口号来查找一些可疑的解决端口,因为这些0~6535之间端口,有些端口时态已经固定分配给某些具体的这个进程,或者是应程序已知的一些端口是比较安全的。

那么如果说,它使用比较大的这个端口,或者说是一些非正常端口,比如说555端口,那么很有可能它就被植入木马,那么服务器就中了木马,那么此时我们就可以查看网络连接状态,找到对应的这个进程it我们通过netstat -an查看网络连接状态,并且通过find来寻找一下建立连接的这些网络状态。那么在它最后边这里会输出我们对应相关建立连接的在本机上的这个进程ID,通过进程ID我们就可以筛选出具体的这个程序,使用task list,然后斜杠svc开启,我们对应的这个开关来查,找我们对应的这个程序。那么之后find同样来寻找一下1044这样一个进程ID。之后,我们如果确定这个进程ID所对应的进程是一个恶意程序,或者是我们不知道程序,那么如果说你查看它可能会泄露你对应的数据,那么你就可以使用test kill斜杠这个 PID,然后具体的ID值,然后杠t来关闭对应的这个进程。

那么下面我们来进行演示,回到这里。首先我们CS来清一下屏,我们要查看一下当前计算机所对应建立的网络连接file的,一次tablet回车,那么此时他会查看建立连接状态的一些内容。那我们看一下tab,回车。那么可以看到,我们如果使用小写的话,它不会进行一个输出,因为咱们区分了这个大小写在这个位置find的命令,那么我们可以看到与外部建立了这样一个内容,当然如果说我们打开一个浏览器,那么你来访问一下,比如说访问baidu.com回撤,那么确定那此时我们再来查找一下建立连接的状态,可以发现有这么多对应的内容建立了连接,但是我们要寻找其中关键的一些部分,那么也就是对应的这个端口号。

分享: