dos命令查看进程和端口

用dos命令查看进程和结束进程

Tasklist

命令用来显示运行在本地或远程计算机上的所有进程，带有多个执行参数。 使用格式

Tasklist [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V]

[/FI filter] [/FO format] [/NH]

参数含义

/S system 指定连接到的远程系统。

/U [domain\]user 指定使用哪个用户执行这个命令。

/P [password] 为指定的用户指定密码。

/M [module] 列出调用指定的DLL模块的所有进程。如果没有指定模块名，显示每个进程加载的所有模块。

/SVC 显示每个进程中的服务。

/V 显示详细信息。

/FI filter 显示一系列符合筛选器指定的进程。

/FO format 指定输出格式，有效值：TABLE、LIST、CSV。

/NH 指定输出中不显示栏目标题。只对TABLE和CSV格式有效。

应用实例。

1.查看本机进程

在“命令提示符”中输入Tasklist命令即可显示本机的所有进程(图1)。本机的显示结果由5部分组成：图像名(进程名)、PID、会话名、会话#和内存使用。

2.查看远程系统的进程

在命令提示符下输入“Tasklist /s 218.22.123.26 /u jtdd /p 12345678”(不包括引号)即可查看到IP地址为218.22.123.26的远程系统的进程(图2)。其中/s参数后的“218.22.123.26”指要查看的远程系统的IP地址，/u后的“jtdd”指Tasklist命令使用的用户账号，它必须是远程系统上的一个合法账号，/p后的“12345678”指jtdd账号的密码。

注意：使用Tasklist命令查看远程系统的进程时，需要远程机器的RPC服务的支持，否则，该命令不能正常使用。

3.查看系统进程提供的服务

Tasklist命令不但可以查看系统进程，而且还可以查看每个进程提供的服务。如查看本机进程SVCHOST.EXE提供的服务，在命令提示符下输入“Tasklist /svc”命令即可(图

3)。你会惊奇地发现，有4个SVCHOST.EXE进程，而总共有二十几项服务使用这个进程。 对于远程系统来说，查看系统服务也很简单，使用“Tasklist /s 218.22.123.26 /u jtdd

/p 12345678 /svc”命令，就可以查看IP地址为218.22.123.26的远程系统进程所提供的服务。

4.查看调用DLL模块文件的进程列表

要查看本地系统中哪些进程调用了shell32.dll模块文件，只需在命令提示符下输入“Tasklist /m shell32.dll”即可显示这些进程的列表。

5.使用筛选器查找指定的进程

在命令提示符下输入“TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running”，就可以列出系统中正在运行的非SYSTEM状态的所有进程。其中“/FI”为筛选器参数，“ne”和“eq”为关系运算符“不相等”和“相等”。

Taskkill

结束一个或多个任务或进程。可以根据进程 ID 或图像名来结束进程。

谈到“Tasklist”命令，我们就不得不提到它的孪生兄弟“Taskkill”命令，顾名思义，它是用来关掉进程的。

要关掉本机的notepad.exe进程，有两种方法：

1.先使用Tasklist查找它的PID，假设系统显示本机notepad.exe进程的PID值为1132，然后运行“Taskkill /pid 1132”命令即可。其中“/pid”参数后面是要终止进程的PID值。

2.直接运行“Taskkill /IM notepad.exe”命令，其中“/IM”参数后面为进程的图像名。

3.强行关闭进程命, Taskkill /IM notepad.exe /f。

语法

taskkill [/s Computer [/u Domain\UserName [/p Password]]] {[/fi Filter [/fi Filter

[ ...]]] [{/pid ProcessID | /im ImageName}] | /pid ProcessID | /im ImageName} [/f]

[/t]

参数

/s Computer 指定远程计算机名称或 IP 地址（不能使用反斜杠）。该默认值是本地计算机。 /u Domain\UserName 使用 UserName 或 Domain\UserName 指定的用户的帐户权限运行该命令。仅在指定 /s 后才能指定 /u。默认值是当前登录发布命令的计算机的用户具有的权限。

/p Password 指定在 /u 参数中指定的用户帐户的密码。

/fi Filter 指定将要终止或不终止的进程的类型。可以指定多个筛选器。使用通配符 (*) 指定所有任务或图像名称。以下是有效的筛选器名称、运算符和值：

名称 运算符 值

Status eq, ne RUNNING | NOT RESPONDING | UNKNOWN

Imagename eq, ne 任何有效字符串。

PID eg, ne, gt, lt, ge, le 任何有效的正整数。

Session eg, ne, gt, lt, ge, le 任何有效的会话数。

CPUTime eq, ne, gt, lt, ge, le 格式为 HH:MM:SS 的有效时间。MM 和 SS 参数应在 0 到 59 之间，HH 参数可以是任何一个有效的无符号数值。

Memusage eg, ne, gt, lt, ge, le 任何有效的整数。

Username eq, ne 任何有效的用户名 ([Domain\]UserName)。

Services eq, ne 任何有效字符串。

Windowtitle eq, ne 任何有效字符串。

Modules eq, ne 任何有效字符串。

/pid ProcessID 指定将终止的进程的进程 ID。

/im ImageName 指定将终止的进程的图像名称。使用通配符 (*) 指定所有图像名称。

/f 指定将强制终止的进程。对于远程进程可忽略此参数，所有远程进程都将被强制终止。

/t 终止指定的进程与该进程启动的任何子进程。

/? 在命令提示符下显示帮助。

注释

• 指定远程系统时，不支持“WindowTitle”和“Status”筛选器。

• 只有与筛选器一起指定时，通配符 (*) 才能被接受。

• 无论是否指定 /f 参数，都会始终强制执行对远程进程的终止操作。

• 向 HOSTNAME 筛选器提供计算机名将导致关机和中止所有进程。

• 使用 tasklist 确定要终止的进程的进程 ID (PID)。

• Taskkill 替代了 Kill 工具。

示例

下面的示例说明如何使用 taskkill 命令：

taskkill /pid 1230 /pid 1241 /pid 1253

taskkill /f /fi "USERNAME eq NT AUTHORITY\SYSTEM" /im notepad.exe

taskkill /s srvmain /f /im notepad.exe

taskkill /s srvmain /u maindom\hiropln /p p@ssW23 /fi "IMAGENAME eq note*" /im * taskkill /s srvmain /u maindom\hiropln /fi "USERNAME ne NT*" /im *

taskkill /pid 2134 /t /fi "username eq administrator"

taskkill /f /fi "PID ge 1000" /im *

netstat命令，查看端口及协议

1. netstat -a查看开启哪些端口

2. netstat -n查看端口的网络连接情况

3. netstat -v查看正在进行的工作

4. netstat -p tcp/ip查看某协议使用情况

5. netstat -s 查看正在使用的所有协议使用情况

第二篇：dos命令查看端口状态

1.Windows本身自带的netstat命令

Netstat

显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

参数

-a -显示所有连接和侦听端口。服务器连接通常不显示。

-e -显示以太网统计。该参数可以与 -s 选项结合使用。

-n -以数字格式显示地址和端口号(而不是尝试查找名称)。

-s -显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。

-p protocol -显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。

-r -显示路由表的内容。

interval

重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。

好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。进入到命令行下，使用netstat命令的a和n两个参数:

C:\>netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING

UDP 0.0.0.0:445 0.0.0.0:0

UDP 0.0.0.0:1046 0.0.0.0:0

UDP 0.0.0.0:1047 0.0.0.0:0

解释一下，Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机的 IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的 IP 地址和端口号，State则是表明TCP 连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。看!我的机器的7626端口已经开放，正在监听等待连接，像这 样的情况极有可能是已经感染了冰河!急忙断开网络，用杀毒软件查杀病毒是正确的做法。

2.工作在windows2000下的命令行工具fport

使用windows2000的朋友要比使用windows9X的幸运一些，因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。

Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用，请看例子:

D:\>fport.exe

FPort v1.33 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

Pid Process Port Proto Path

748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe

748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe

748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe

416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

是不是一目了然了。这下，各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口，可千万不要大意哦，也许那就是一只狡猾的木马!

?

? BYLD幸福

? 赞 1 ? 2010-7-4 00:11 ? 2楼（1）查看共享资源的方

法

使

用命

令查

看：在

命令

行方

式下，

执行

netsh

are命

令，可

查看

到当

前计算机所共享的资源。

如果对“命令提示符”的界面不习惯，可以依次打开“控制面板→管理工具→计算机管理→共享文件夹”，查看电脑中所有的共享资源。

(2)删除共

享资源

通过修改注册表来实现，在开始菜单的运行对话框中，输入regedit，启动注册表编辑器，然后依次展开以下各键： HEKY_LOCAL_MACHINE-->System-->CurrentControl

Set-->Services-->LanmanServer-->Paramaters

然后在Paramaters子键上，用鼠标右键单击，在弹出的菜单中选择新建双字节键，然后将键名改为“AutoShareWks”，然后同用样的方法

再创建一个名为“AutoShareServer”的双字节键，其值设置为默认的0值。

感染病毒后，计算机运行速度和上网速度将大大变慢，甚至无法上网或上网时断时续，同时对整个网络也

?

? BYLD幸福

? 会加重负荷，对整个运行速度造成影响。 ? 2010-7-4 00:24 ? 回复 3楼 关闭本机不用的端口，这是防范木马的第一道防线。默认情况下Windows有很多端口是开放的，在你上网的时候，木马、病毒和黑客就可以通过这些端口连上你的电脑，为了保护你的系统，应该封闭这些端口，主要有：TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900

端口，一些流行木马病毒的后门端口（如 TCP 2513、2745、3127、6129 端口），以及远程服务访问端口3389。

其中137、138、139、445端口都是为共享而开的，是NetBios协议的应用，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是：单击“开始”/控制面板/系统/硬件/设备管理器，单击“查看”菜单下的“显示隐藏的设备”，单击“非即插即用驱动程序”，找到Netbios over Tcpip禁用该设备，重新启动后即可。

关闭UDP123端口：单击“开始”/设置/控制面板，双击“管理工具”/服务，停止windows time服务即可，关闭UDP 123端口，可以防范某些蠕虫病毒。

关闭UDP1900端口：在控制面板中双击“管理工具”/服务，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDoS攻击。

?

? BYLD幸福

? 其他端口你可以用网络防火墙关闭之，或者在控制面板中，双击“管理工具”/本地安全策略，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭这些端口。 ? 2010-7-4 00:34 ? 4楼 二、删除系统中无用的帐号 进入MS-DOS模式，输入命令net user回车，显示本地计算机上有哪些用户账户；如果有无用的帐号（例如lacl），就删除该帐号，输入命令net user lacl /delete回车

即可（注意参数“/”的左边，至少要保留一个空格）

其中Guest和Administrator这两个帐号，是不允许删除的，但你应该修改它们的密码，为它们设置新的密码，例如键入命令net user Guest abc123回车，把Guest的密码改为abc123。

三、勤升级杀毒软件，启用隐私保护

在网吧等公共场所上网时，你一定要选择有杀毒软件保护的正规网吧，以免自己的游戏帐号被盗，要知道“网吧传奇杀手”在任一台机器上运行，即可窃取网吧内全体玩家的传奇帐号密码！注意查看网吧安装的杀毒软件，瑞星杀毒软件16.35.20以上版可以彻底查杀“网吧传奇杀手”病毒。另外，游戏前一要查杀自己的电脑，下网前一定要更换自己的密码，下次游戏时使用新密码。

如果你在家上网，应该安装带有隐私信息保护的杀毒软件（例如KV2004、诺顿安全特警等），注意及时升级到最新病毒库，打开病毒实时监控，因为有些比较厉害的木马，如果杀毒软件未升级到最新版是查不出来的。

?

? BYLD幸福

? 此外，你还要启动杀毒软件的隐私信息保护监视功能，将网游账号及密码设为隐私保护状态，这样即使你不小心中了木马，也不用担心帐号、密码被木马窃取。例如在KV2004中设置方法是： 点击“工具”/选项菜单，点击“实时监控”，钩选“隐私保护”；单击“隐私保护设置”按钮，随后弹出一个窗口，在“检测到私密信息后处理方式”一栏选择“禁止发送私密信息”，然后单击“增加”按钮（如下图1），添加要保护的帐号和密码。添加时，在“私密信息类型”中选择“用户定义”，在“私密信息内容”中输入帐号（或密码）的前几位或中间几位，最后任意输入用户等信息，按“确定”完成。www.j ? 2010-7-4 00:35 ? 回复 5楼 完成以上“隐私保护”监视功能的设置以后，如果你的电脑中帐号、密码被不明程序向外传输，这时候KV2004的“隐私保护”监控就会发出警报，这样即可有效阻止木马、黑客程序盗取用户密码等机密文件。

四、使用第三方防火墙，锁住你的密码

安装使用防火墙，是防范木马的很好方法。由于WinXP自带的放火墙和ADSL猫的NAT方式，不能阻挡从内到外的连接，因此建议使用第三方防火墙，只要你发现可疑程序向外连接，就可以在防火墙中，把它设置成不允许访问网络，阻挡木马从内到外的连接。

建议你安装使用ZoneAlarm Pro、诺顿安全特警、天网防火墙、金山网镖6等第三方防火墙，这类防火墙各大网站都有下载。其中金山网镖6有一个独特功能，就是可以检查你的系统是否有漏洞，如果查出漏洞，它还会让你下载安装补丁、堵住漏洞。建议你上网前用它检查一下，

然后再启动第三方防火墙上网。下面我们介绍ZoneAlarm Pro使用方法，其他防火墙限于篇幅，我们就不展开介绍了。

软件小资料

最新版本：ZoneAlarm Pro 6.1.737.000

软件大小：10,290 KB

运行平台：WinXP/2000/NT/Me/9X

下载地址：[点击下载]

ZoneAlarm是目前最优秀的个人综合防火墙，与其他个人防火墙软件相比，ZoneAlarm占用资源少，能保护个人隐私安全，防范木马把你的游戏帐号、密码向外发送。此外，它对应用程序的控制也更安全，即使策略允许通过，它也要检查应用程序访问设置；其专家级的规则制定功能也更加强大，可以控制到MAC级别，能够定义组、时间控制和控制到数据链路层，在目前所有的个人防火墙中，只有ZoneAlarm能够控制到数据链路层。

（1）用ZoneAlarm防范木马方法

ZoneAlarm防火墙具有三个安全级别（高、中和低），分成信任、封锁和 Internet三个区域。单击“防火墙”/常规，把“Internet安全防护”调到“高”（如下图2），这样你的电脑在网络上就隐藏起来了，而且别人还不能使用你的共享资源。

? 2010-7-4 00:36

?

?

? BYLD幸福

?

?

? BYLD幸福

?

?

? BYLD幸福

? 6楼 单击“警报/日志”查看本机以前曾受到哪些攻击（如下图3），例如图中互联网上213.7.104.171的电脑试图连接本机的139端口，被防火墙拦截，我们应该永远禁止它连接，把它添加到封锁区域，点击等级为“高”记录，右击鼠标选择菜单“添加区域”/封锁，把对方的IP添加到封锁区域。对付恶意网站，你可以把它添加到封锁区域，禁止它以后攻击你的电脑。 ? 2010-7-4 00:36 ? 7楼 小提示：如果发现可疑的IP要求连接你的电脑，你应该把该IP添加到封锁区域、禁止它连接，对于同一个局域网中的电脑，应该把它加到信任区域，以便别人能共享你电脑中的资源。 ? 2010-7-4 00:36 ? 8楼 在“程序控制”中，你可以设置4个安全级别来管理应用程序和组件。如果设置为“低”级别，程序和组件都可以直接访问网络；“中”级别时，程序需要确认才能访问网络，组件可直接访问网络；设置为“高”级别，程序和组件都需要确认才可访问网络。

单击“程序控制”/常规，把“应用程序控制”调为“高（”如下图4），“警报建议”调为“自动”，开启“自动封锁”，以便你在指定时间或屏幕保护时，能自动锁定网络

?

? BYLD幸福

?

?

? BYLD幸福

? ? 2010-7-4 00:37 ? 回复 9楼 单击“程序控制”/程序，为每一个应用程序设置权限。应用程序的权限包括访问权限、服务权限和发送邮件权限（如下图5），访问权限表示能否主动访问外部对象，服务权限表示是否允许开启服务端口，提供给外人连接。图中绿色的“√”表示允许连接；红色的“×”为禁止连接；“？”表示每次出现连接企图时，都会先提出询问。你应该按右下方的“添加”按钮，把常用的软件（例如IE、Word、outlook等）都添加进来，然后单击小图标，为每个权限设置“允许”、“封锁”或“询问”，例如把Foxmail设置为允许发送邮件和向外访问，但禁止服务权限，把怀疑为木马的程序，都设置成不允许访问网络，这样就能阻挡木马从内到外的连接。 ? 2010-7-4 00:37 ? 回复 10楼 最后单击导航条中的“病毒监控”，开启病毒监控，单击“邮件防护”，启用附件保护和寄出电子邮件保护。 （2）防范恶意网页

为了阻止下载恶意网页和电子邮件，保护机器的安全，你可以在“隐私保护”中，把“活动码控制”设为“开启”，然后点击右边的“自定义”（如下图6），设置封锁MIME对象、嵌入对象（Java和ActiveX）。

? 2010-7-4 00:37

? 回复

?

? BYLD幸福

?

?

? BYLD幸福

? 11楼 单击“程序控制”/程序，为每一个应用程序设置权限。应用程序的权限包括访问权限、服务权限和发送邮件权限（如下图5），访问权限表示能否主动访问外部对象，服务权限表示是否允许开启服务端口，提供给外人连接。图中绿色的“√”表示允许连接；红色的“×”为禁止连接；“？”表示每次出现连接企图时，都会先提出询问。你应该按右下方的“添加”按钮，把常用的软件（例如IE、Word、outlook等）都添加进来，然后单击小图标，为每个权限设置“允许”、“封锁”或“询问”，例如把Foxmail设置为允许发送邮件和向外访问，但禁止服务权限，把怀疑为木马的程序，都设置成不允许访问网络，这样就能阻挡木马从内到外的连接。 ? 2010-7-4 00:38 ? 回复 12楼 最后单击导航条中的“病毒监控”，开启病毒监控，单击“邮件防护”，启用附件保护和寄出电子邮件保护。 （2）防范恶意网页

为了阻止下载恶意网页和电子邮件，保护机器的安全，你可以在“隐私保护”中，把“活动码控制”设为“开启”，然后点击右边的“自定义”（如下图6），设置封锁MIME对象、嵌入对象（Java和ActiveX）。

? 2010-7-4 00:38

? 回复

13楼

（3）保护你的密码

?

? BYLD幸福

?

?

? BYLD幸福

?

? 有些木马会偷偷记录你键盘输入的各种密码，然后发送给它的主人，只要你在ZoneAlarm中如下设置，即可阻止木马发送你的密码。 设置方法：单击“ID锁”，在“常规”选项卡中，把“ID封锁”调为“高”；然后打开“个人隐私”选项卡（如下图7），点击“添加”按钮，输入要保护的帐号、密码，把你的密码全部添加进去。这样以后一旦你的密码向外发送，ZoneAlarm就会报警，即使对方收到密码，也全部都是“*”而无法阅读。 ? 2010-7-4 00:38 ? 回复 15楼 二、使用进程查看工具 有些木马运行后，你在任务管理器中看不到它的进程，这时候你可以使用专门的进程查看工具，例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等，用它们来检查系统中的进程，看看有没有可疑的进程，如果发现可疑进程立刻封杀之，例如常见的木马进程如下: ? 2010-7-4 00:39 ? 回复 16楼 进程查看工具下载地址： WinProcV1.32

? BYLD幸福

? ?

? BYLD幸福

? 系统查看大师V1.0 柳叶擦眼V4.0 IceSwordV1.04 进程杀手V2.5 三、用Tcpview观察连接情况 使用Tcpview （下载地址）、Active Ports等软件，观察计算机的进程和端口。一旦发现可疑的进程，有可疑的端口打开了，就要立即关闭它。建议你经常用Tcpview检查连接情况（如下图9），这样就能随时发现哪个连接有可能是非法连接。 ? 2010-7-4 00:39 ? 17楼 用Tcpview观察连接情况 例如图9中本机打开了TCP 135和2513两个端口，这两个端口正在监听、等待外界的连接。其中TCP 135端口是RPC服务打开的端口，一般不要通过停止RPC服

务来关闭，因为如果你把RPC服务停掉，虽然可以关闭135端口，但是计算机也关机了。冲击波病毒利用的就是135端口，为了防范黑客利用该端口攻击，建议你使用第三方防火墙，设置外界不能连接本机的135端口，这样来堵住135端口。

另外，图9中TCP 2513端口是灰鸽子（GrayPigeon.exe）打开的，这里有个常识请你记住，如果你发现TCP协议的linsten在1025端口以上，则可能是木马，你就要警惕了。图中GrayPigeon.exe打开了本机的TCP 2513端口监听，采用主动连接方式（非反弹连接），等待远方电脑的连接，可以断定这是非法连接。

此时你应该右击该连接，选择连接属性，记录下执行文件GrayPigeon.exe的名称和位置，然后选择“End Process”结束连接，最后再删除对应的执行文件。

四、检查与启动相关的文件

（1）检查启动组

启动组是木马藏身的好地方，WinXP启动组对应的文件夹为：C:\Documents and Settings\帐户\「开始」菜单\程序\启动，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders，右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动"，你应该检查这些地方。

（2）检查Autoexec.bat、Config.sys和Winstart.bat

Autoexec.bat和Config.sys都位于C盘根目录下 ，在它们中也可以加载木马程序，但这并不多见，你不能掉以轻心，最好检查一下。

Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件，在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马，因此你要打开它检查。

（3）检查Win.ini和System.ini

Win.ini位于Windows的安装目录下，其[windows]字段中有启动命令“load=”和“run=”，通常“=”后面是空白的，

如果后面跟着程序，比如：run=c:\windows\spy.exe load=c:\windows\spy.exe ，这个spy.exe很可能就是木马程序！

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处，木马通常会将该句变为这样：shell=Explorer.exe spy.exe，注意这里的spy.exe就是木马服务端程序！ 检查System.ini中的[386Enh]字段，此段内的“driver=路径\程序名”，也是木马经常隐藏的地方；检查System.ini中的[mic]、[drivers]、[drivers32]三个字段，它们也是添加木马的好场所。

五、检查系统目录中文件

木马也可能藏在系统目录中。启动资源管理器，点击“工具”/文件夹选项/查看，设置显示全部文件（包括受保护文件），不要隐藏已知文件的扩展名，然后打开Windows\ 及 Windows\system32目录中的文件，按建立时间排序，找出建立时间或修改时间异常的程序，记录下来。

六、在注册表中检查

单击“开始”/运行，键入Regedit打开注册表，检查其中是否有木马，记录下来，暂时不要更改。

（1）检查自启动项

查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值，检查其中是否有程序，木马喜欢藏在这些位置。

此外，使用组策略也能让木马在系统登录时自动启动（方法如下），该方法添加的自启动程序也被记录在注册表中，但是非以上介绍的那些注册表位置。如果你怀疑自己中了木马，在上面的注册表项中又找不到它，建议你检查注册表的HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\Explorer\Run项，或是进入“组策略”的“在用户登录时运行这些程序”，看看其中有无启动的程序。

组策略添加自启动木马程序的方法：在“开始→运行”中执行“Gpedit.msc”打开“组策略”，展开“本地计算机策略→用户配置→管理模板→系统→登录”，双击“在用户登录时运行这些程序”子项，选定“设置”项中的“已启用”项，单击“显示”按钮弹出“显示内容”窗口，再单击“添加”按钮，在“添加项目”窗口内的文本框中，输入要自启动的木马程序路径即可。

（2）检查文件关联是否被修改

国产木马还喜欢修改文件关联，例如TXT文件通常是由记事本（Notepad.exe）来打开的，如果你中了国产木马冰河之后，则会被修改为用木马程序打开，因此只要你一打开文本文件，就会自动启动木马。

木马修改文件关联的方法是：修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。

注意：木马不仅仅只会修改TXT文件的关联，有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马，你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值是否正常。

? 2010-7-4 00:40

? 回复

18楼

木马清除技巧篇

?

? BYLD幸福 一、使用反木马软件清除木马

使用专门的反木马软件，及时升级软件和病毒库，这是查杀木马最简单的方法。目前反木马软件数量众多，著名的有金山毒霸木马专杀、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。

（1）金山毒霸木马专杀

软件版本：2004.9.27.2

软件大小：9.06 MB

下载地址：[点击下载]

金山木马专杀是一个木马专杀工具（能查杀2万多种木马），可以有效地保护你的QQ号码、网游以及网络支付安全，

快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。如果你要查杀激活状态的木马，可以单击“快速扫描”按钮（如下图10），即顺序扫描内存、注册表、系统所在目录下的系统文件夹、程序文件和个人保存信息使用的临时文件夹，查杀激活状态的木马。完全扫描对机器所有位置都进行扫描，包括内存、注册表、与之相连的软盘、光盘、闪盘以及所有硬盘，因此也是最安全的扫描，可以清除系统中所有的木马。

? 2010-7-4 00:40 ?

? 回复

19楼

金山毒霸木马专杀

（2）木马克星（Iparmor）

?

软件版本：5.46 ? BYLD幸福

?

?

? BYLD幸福

? 软件大小：3709KB 下载地址：[点击下载] 木马克星（如下图11）是国人开发的一款防杀木马的软件，擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大（安装文件只有3.7MB），可以用闪存随身携带，方便你在网吧电脑中安装使用。另外，木马克星还可以让你轻松地监视系统中当前运行的各个进程、网络状态、系统共享情况等，防止木马的入侵。 ? 2010-7-4 00:41 ? 20楼 木马克星 单击“系统进程”，你可以查看系统中有哪些进程在运行，用鼠标左键点取后，再用键盘上的“Delete”键即可删除进程；而“网络状态”里，则可以看到目前的网络情况，如果tcp协议的linsten在1025端口以上，则可能是木马，

大家就要警惕了。

（3）The Cleaner Professional

软件版本：4.1

软件大小：4519KB

下载地址：[点击下载]

?

? BYLD幸福

? The Cleaner Professional 是MooSoft公司开发的查杀木马软件，可以查杀各种木马、蠕虫、键盘记录机、间谍程序等。软件包括Cleaner、TCActive、TCMonitor等组件，其中Cleaner专门查杀木马等病毒，TCActive用来显示当前正在运行的所有进程，TCMonitor负责后台监视系统文件和注册表是否被修改，如果发现被修改即报警。 （4）TrojanHunter 软件版本：3.9 软件大小：6942KB 下载地址：[点击下载] TrojanHunter（如下图12）是一款非常不错的防木马软件，可以在Win9X/NT/2000/XP系统中运行，能够发现流行的木马。 ? 2010-7-4 00:41 ? 21楼 （5）Anti-Trojan Shield 软件版本：1.4.15 软件大小：4451KB

下载地址：[点击下载]

Anti-Trojan Shield（如下图13）是一款享誉欧洲的专业木马侦测、拦截及清除软件，目前可以查杀9468种木马和病毒，其特点是界面简捷，虽是英文但只要你会用杀

毒软件，就能很容易操作该软件。

?

? BYLD幸福

? ? 2010-7-4 00:41 ? 回复 22楼 （6）木马清除大师正式版 软件版本：2.15 软件大小：4634KB

下载地址：[点击下载]

木马清除大师（BeatTrojan）能查杀5800余种国际国内流行木马、网络游戏盗号工具、QQ盗密码工具、幽灵后门，查杀率在95%以上，正式版还加强了对第五代木马的查杀，更加人性化的进程管理设计，能完美的查杀各种无进程木马。

二、手工清除木马

手工清除木马应按照以下的顺序进行：用TcpView先查看进程，把可疑进程文件名和所在位置记录下来，然后停止可疑进程；在注册表里查找可疑进程文件，并将相关的键值全部删掉；到可疑进程文件所在位置删除之按照上面“手工查找木马技巧”介绍的方法清理注册表相关表项，检查与启动相关的文件、系统目录中文件，删除所有可疑文件。

有些木马，因为使用了线程注入或三线程保护方式，需要使用相关工具进行清除。对于exe文件关联类木马，清除之后可能会出现exe文件无法打开的现象，假如系统中没有相关进程监视这个表项，你可以这样处理：将regedit.exe 复制为 regedit.com，并运行 regedit.com，将 exe 文件关联改回来即可

?

? BYLD幸福

? ? 2010-7-4 00:42 ? 回复 23楼 关闭病毒入侵和传播通常使用的137、138、139和445端口。关闭这些端口后，将无法再使用网上邻居和文件共享功能。因此，强烈建议用户关闭这些端口，要传递文件可以使用ＱＱ或发邮件方式。

关闭137、138和139端口的方法：

在桌面的“网上邻居”上用鼠标右键单击，在弹出的菜单中选择“属性”，打开“网络和拨号连接”，然后在“本地连接”上用鼠标右键单击，然后在弹出的对话框中选择“属性”，以打开“本地连接属性”对话框，接着进行以下2步操作：

(1)在列表框中选择“Microsoft网络的文件和打印机共享”，然后单击“卸载”按钮，将文件和打印机共享删除。

(2)在列表框中选择“Internet协议（TCP/IP）”，接着单击“属性”按钮，在弹出的对话框中继续单击“高级”按钮，单击选中 “WINS”选项卡，在该设置界面，单击选中“禁用TCP/IP协议上的NetBIOS”,然后一路单击“确定”按钮结束配置修改操作。

关闭445端口的方法：

在“开始”菜单中选择“运行”，在弹出的对话框中输入“regedit”命令，然后单击确定按钮，启动注册表编辑器。依次展开以下注册表项，

HKEY_LOCAL_MACHINE-->SYSTEM-->CurrentControlSet-->Services-->NetBT-->Parameters

?

? 红袖舔厢

?

?

? 红袖舔厢

? 在Parameters注册表项上单击鼠标右键，在弹出的菜单中，选择新建－－>双字节值，然后将新建的这个注册表项更名为SMBDeviceEnabled，最后关闭退出注册表。 进行以上操作后，重新启动操作系统，以后这４个端口就不会再开放了。 5.访问网页时，若网页弹出提示框，要求安装什么插件时，一定要看清楚是安装什么东西，不要不加思索地同意安装，这类安装最具危险性。 ? 2010-7-4 00:51 ? 回复 24楼 Netstat是DOS命令,是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息.Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。 ? 2010-7-5 21:22 ? 回复 25楼 一般用netstat -na 来显示所有连接的端口并用数字表示. netstat命令的功能是显示网络连接、路由表和网络接口信息，可以让用户得知目前都有哪些网络连接正在运作。 命令格式

该命令（linux下）的一般格式为 ： netstat [选项] 选项的含义

命令中各选项的含义如下： -a 显示所有socket，包括正在监听的。 -c 每隔1秒就重新显示一遍，直到

?

? 红袖舔厢

?

?

? 红袖舔厢

? 用户中断它。 -i 显示所有网络接口的信息，格式同“ipconfig -e”。 -n 以网络IP地址代替名称，显示出网络连接情形。 -r 显示核心路由表，格式同“route -e”。 ? 2010-7-5 21:22 ? 回复 26楼 t 显示TCP协议的连接情况 -u 显示UDP协议的连接情况。 -v 显示正在进行的工作。 -A 显示任何关联的协议控制块的地址。主要用于调试 -a 显示所有套接字的状态。在一般情况下不显示与服务器进程相关联的套接字 -i 显示自动配置接口的状态。那些在系统初始引导后配置的接口状态不在输出之列 ? 2010-7-5 21:23 ? 回复 27楼 m 打印网络存储器的使用情况 -n 打印实际地址，而不是对地址的解释或者显示主机，网络名之类的符号 -r 打印路由选择表 -f address -family对于给出名字的地址簇打印统计数字和控制块信息。到目前为止，唯一支持的地址簇是inet -I int

erface 只打印给出名字的接口状态 -p protocol-name 只打印给出名字的协议的统计数字和协议控制块信息 -s 打印每个协议的统计数字 -t 在输出显示中用时间信息代替队列长度信息。 netstat命令的列标题

? 2010-7-5 21:24

? 回复

28楼

Name 接口的名字

Mtu 接口的最大传输单位 Net/Dest 接口所在的网

?

? 红袖舔厢 络 Address 接口的IP地址 Ipkts 接收到的数据包数目 Ierrs 接收到时已损坏的数据包数目 Opkts 发

送的数据包数目 Oeers 发送时已损坏的数据包数目 Collisions 由这个接口所记录的网络冲突数目

? 2010-7-5 21:25 ?

? 回复

29楼

常用选项

netstat -s--本选项能够按照各个协议分别显示其统计

?

? 红袖舔厢 数据。如果你的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么你就可以

用本选项来查看一下所显示的信息。你需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。 netstat -e--本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量）。

? 2010-7-5 21:25 ?

? 回复

30楼

其他

netstat -r--本选项可以显示关于路

?

? 红袖舔厢 由表的信息，类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外，还显示当前有效的连

? 接。 netstat -a--本选项显示一个所

有的有效连接信息列表，包括已建立的

连接（ESTABLISHED），也包括监听

连接请求（LISTENING）的那些连

接。 netstat -n--显示所有已建立的

有效连接。

? 2010-7-5 21:26

?

31楼

netstat -an中state含义

LISTEN：侦听来自远方的TCP端

?

? 红袖舔厢 口的连接请求 SYN-SENT：再发送连接请求后等待匹配的连接请求 S

YN-RECEIVED：再收到和发送一个连

接请求后等待对方对连接请求的确认

32楼 ?

ESTABLISHED：代表一个打开的连接

FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认 FIN-WAIT-2：从远程TCP等待连接中断请求 CLOSE-WAIT：等待从本地用户发来的连接中断请求 CLOSING：等待远程TCP对连接中断的确认 LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认 TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认 CLOSED：没有任何连接状态 其实可以man netstat , 看其中的stat部分解释

? 2010-7-5 21:28

?

33楼

netstat -abnov ，显示的该进程发起的程序进程或者文件列表。此命令常用来

?

?

红袖舔厢

判断是否有可疑进程，之后进行相关操作 ?

?

?

红袖舔厢

?

?

?

BYLD幸福

?

?

2010-7-5 21:38

? 回复

34楼

在运行里输入regedit

然后找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account

可以看到有多个用户

注意..当到了SAM的时候..要给administrator读取和写入权!!!再按F5..

?

2010-7-5 22:30

? 35楼

下面说一下常见的漏洞的端口如何关闭：

1.关闭139端口:右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。

2.右击-网上邻居-属性/本地连接-属性，在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。

3.关闭445端口:打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]下增加一个dword键项,命名为"SmbDeviceEnabled"(不包含引号),将值设为0。

4。关闭3389端口:右击我的电脑，点属性--远程，把允许从这台计算机发送远程协助邀请前的勾去掉。

5。关闭135端口:

如何关闭135端口

Windows XP系统

运行dcomcnfg，展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”；然后切换到“默认协议”，删除“面向连接的TCP/IP”。

以上选项有对应的注册表键值，因此也可通过注册表来修改：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM的值改为“N”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中删除“ncacn_ip_tcp”

此外，还需要停用“Distributed Transaction Coordinator”服务。

重启之后， 135端口就没有了。

关闭不必须用的服务:

在控制面板中,找到管理工具,在其下面打开服务。将下列的项目开闭：

Server（先禁用，然后再停止掉。）

Telnet（先禁用，然后再停止掉。）

为了您的系统安全，最好将以上两个危险服务给关闭掉

? 2010-7-17 23:15

? 回复

36楼

在组策略下做下面的设定：

?

? BYLD幸福

?

?

? BYLD幸福 开始--运行，输入gpedit.msc回车。 1.计算机配置--安全设置--安全选项 启用: 交互式登录:不显示上次的用户名 网络访问:不允许SAM账户的匿名枚举 网络访问:不允许SAM账户和共享的匿名枚举 网络访问:可远程访问的注册表路径下,将所有选中,点右键删除,应用--确定 2.计算机配置--安全设置--用户权利指派 从网络访问此计算机,里边的所有用户全部删除 从远端强制关机,删除全部用户 彻底关闭系统还原 ? 2010-7-17 23:25 ? 回复 37楼 右击我的电脑,点属性--系统还原--去掉在所有驱动器上关闭系统还原前的勾 组策略里,计算机配置--管理模板--windows组件--wind

? ?

? BYLD幸福

? ?

? BYLD幸福 owsInstaller--启用关闭创建系统还原检查点 计算机配置--管理模板--系统--系统还原--启用关闭系统还原 把以上都设置好了，大家再来检测一下自己机器有没有危险吧。。。 1.察看本地共享资源 运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。 ? 2010-7-17 23:26 ? 回复 38楼 2.删除共享(每次输入一个） net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e，f，……可以继续删除） ? 2010-7-17 23:27 ? 回复 39楼 3.删除ipc$空连接 在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数

值名称RestrictAnonymous的数值数据由0改为1。

?

做了以上的设置,总是要比没有防护好得多。。。

这样就会增加系统安全。。。从而保护您的系统不受别人入侵