1． Windows本身自帶的netstat命令

　　關(guān)于netstat命令，我們先來(lái)看看windows幫助文件中的介紹：

　　Netstat

　　顯示協(xié)議統(tǒng)計(jì)和當(dāng)前的 TCP/IP 網(wǎng)絡(luò)連接。該命令只有在安裝了 TCP/IP 協(xié)議后才可以使用。

　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

　　參數(shù)

　　-a

　　顯示所有連接和偵聽(tīng)端口。服務(wù)器連接通常不顯示。

　　-e

　　顯示以太網(wǎng)統(tǒng)計(jì)。該參數(shù)可以與 -s 選項(xiàng)結(jié)合使用。

　　-n

　　以數(shù)字格式顯示地址和端口號(hào)（而不是嘗試查找名稱(chēng)）。

　　顯示每個(gè)協(xié)議的統(tǒng)計(jì)。默認(rèn)情況下，顯示 TCP、UDP、ICMP 和 IP 的統(tǒng)計(jì)。-p 選項(xiàng)可以用來(lái)指定默認(rèn)的子集。

　　-p protocol

　　顯示由 protocol 指定的協(xié)議的連接；protocol 可以是 tcp 或 udp。如果與 -s 選項(xiàng)一同使用顯示每個(gè)協(xié)議的統(tǒng)計(jì)，protocol 可以是 tcp、udp、icmp 或 ip。

　　-r

　　顯示路由表的內(nèi)容。

　　interval

　　重新顯示所選的統(tǒng)計(jì)，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統(tǒng)計(jì)。如果省略該參數(shù)，netstat 將打印一次當(dāng)前的配置信息。

　　好了，看完這些幫助文件，我們應(yīng)該明白netstat命令的使用方法了�，F(xiàn)在就讓我們現(xiàn)學(xué)現(xiàn)用，用這個(gè)命令看一下自己的機(jī)器開(kāi)放的端口。進(jìn)入到命令行下，使用netstat命令的a和n兩個(gè)參數(shù)：

　　C:\>netstat -an

　　Active Connections

　　Proto Local Address Foreign Address State
　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
　　UDP 0.0.0.0:445 0.0.0.0:0
　　UDP 0.0.0.0:1046 0.0.0.0:0
　　UDP 0.0.0.0:1047 0.0.0.0:0

　　解釋一下，Active Connections是指當(dāng)前本機(jī)活動(dòng)連接，Proto是指連接使用的協(xié)議名稱(chēng)，Local Address是本地計(jì)算機(jī)的 IP 地址和連接正在使用的端口號(hào)，F(xiàn)oreign Address是連接該端口的遠(yuǎn)程計(jì)算機(jī)的 IP 地址和端口號(hào)，State則是表明TCP 連接的狀態(tài)，你可以看到后面三行的監(jiān)聽(tīng)端口是UDP協(xié)議的，所以沒(méi)有State表示的狀態(tài)�？�！我的機(jī)器的7626端口已經(jīng)開(kāi)放，正在監(jiān)聽(tīng)等待連接，像這樣的情況極有可能是已經(jīng)感染了冰河！急忙斷開(kāi)網(wǎng)絡(luò)，用殺毒軟件查殺病毒是正確的做法。

　　2．工作在windows2000下的命令行工具fport

　　使用windows2000的朋友要比使用windows9X的幸運(yùn)一些，因?yàn)榭梢允褂胒port這個(gè)程序來(lái)顯示本機(jī)開(kāi)放端口與進(jìn)程的對(duì)應(yīng)關(guān)系。

　　D:\>fport.exe
　　FPort v1.33 - TCP/IP Process to Port Mapper
　　Copyright 2000 by Foundstone, Inc.
　　http://www.foundstone.com

　　Pid Process Port Proto Path
　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

　　是不是一目了然了。這下，各個(gè)端口究竟是什么程序打開(kāi)的就都在你眼皮底下了。如果發(fā)現(xiàn)有某個(gè)可疑程序打開(kāi)了某個(gè)可疑端口，可千萬(wàn)不要大意哦，也許那就是一只狡猾的木馬！

　　Fport的最新版本是2.0。在很多網(wǎng)站都提供下載，但是為了安全起見(jiàn)，當(dāng)然最好還是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip

　　3.與Fport功能類(lèi)似的圖形化界面工具Active Ports

　　Active Ports為SmartLine出品，你可以用來(lái)監(jiān)視電腦所有打開(kāi)的TCP/IP/UDP端口，不但可以將你所有的端口顯示出來(lái)，還顯示所有端口所對(duì)應(yīng)的程序所在的路徑，本地IP和遠(yuǎn)端IP(試圖連接你的電腦IP)是否正在活動(dòng)。下面是軟件截圖：

　　是不是很直觀？更棒的是，它還提供了一個(gè)關(guān)閉端口的功能，在你用它發(fā)現(xiàn)木馬開(kāi)放的端口時(shí)，可以立即將端口關(guān)閉。這個(gè)軟件工作在Windows NT/2000/XP平臺(tái)下。你可以在http://www.smartline.ru/software/aports.zip得到它。

　　其實(shí)使用windows xp的用戶(hù)無(wú)須借助其它軟件即可以得到端口與進(jìn)程的對(duì)應(yīng)關(guān)系，因?yàn)閣indows xp所帶的netstat命令比以前的版本多了一個(gè)O參數(shù)，使用這個(gè)參數(shù)就可以得出端口與進(jìn)程的對(duì)應(yīng)來(lái)。

　　上面介紹了幾種查看本機(jī)開(kāi)放端口，以及端口和進(jìn)程對(duì)應(yīng)關(guān)系的方法，通過(guò)這些方法可以輕松的發(fā)現(xiàn)基于TCP/UDP協(xié)議的木馬，希望能給你的愛(ài)機(jī)帶來(lái)幫助。但是對(duì)木馬重在防范，而且如果碰上反彈端口木馬，利用驅(qū)動(dòng)程序及動(dòng)態(tài)鏈接庫(kù)技術(shù)制作的新木馬時(shí)，以上這些方法就很難查出木馬的痕跡了。所以我們一定要養(yǎng)成良好的上網(wǎng)習(xí)慣，不要隨意運(yùn)行郵件中的附件，安裝一套殺毒軟件，像國(guó)內(nèi)的瑞星就是個(gè)查殺病毒和木馬的好幫手。從網(wǎng)上下載的軟件先用殺毒軟件檢查一遍再使用，在上網(wǎng)時(shí)打開(kāi)網(wǎng)絡(luò)防火墻和病毒實(shí)時(shí)監(jiān)控，保護(hù)自己的機(jī)器不被可恨的木馬入侵。