| 出版日期:2003-07-28 总期号:528 本年期号:28 |
|
 |
擦亮眼睛盯紧端口
伍班权 您在上网的时候,是不是常常想了解本地端口的使用情况,但用netstat命令又觉得麻烦,而且提供的信息不够详尽,那么就来试试Antiy Ports这款工具吧!它是一款绿色软件,而且功能强大,使我们对端口的使用情况一目了然。 您或许听说过Antiy Ghostbusters——大名鼎鼎的“捉鬼队”,一个专业级的特洛伊木马检测和系统安全工具,不仅能清除已知木马,还能发现部分未知木马。自带应用程序网络访问管理功能,允许用户设置应用程序的网络访问规则,切断未知木马的通讯。Antiy Ports为其同胞兄弟,下载地址是:http://www.antiy.net/download/antiyports.exe。虽然名声还没有老大Antiy Ghostbusters大,但其特有的功能还是不能小瞧。软件很小,才200多KB,绿色软件,无需安装(如图1)。从图中,您可以看出到本机所开的TCP和UDP协议端口及其所属Process。这样你就能轻易发现可疑的木马程序进程及其在本机监听的端口。当然,你也可以用它来管理系统进程及对外服务等,是不是觉得很方便? 现在,我们就来模拟一次Antiy Ports是如何发现可疑端口及其允许所属程序的。我当然不会用木马在自己的电脑上实验。实验用的是NC(netcat.exe)——锋利的“瑞士军刀”。首先利用NC(c:\nc.exe)在本地监听一端口,运行命令:nc l p 1414。 这样,NC就在本机1414端口上监听着,等待外部连接。现在,我们运行Antiy Ports,显示结果所示。 
图1 这时再看Antiy Ports就可以发现,Local Ports处增加了“1414”,所属Process为:C:\nc.exe。这样,我们就监测到运行N C所监听的端口及其所属Process。是不是很简单?比扫描快多了吧? 顺便再介绍一款相关工具——Fport.exe,DOS界面下的“Antiy Ports”,产自FoundStone,功能和Antiy Ports很相似,能列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息。 其实,在DOS下运行netstat an,也能达到查看本机所监听端口的目的,不过并没有列出所属运行程序。 |
||||||||||||||||||||||
