轻轻松松防毒 命令行下的抗毒精英

三、 Netstat——端口侦探

　　如今的木马越来越多，对用户的威胁也越来越大，于是出现许多专门用于木马查杀的工具。其实只要我们合理使用命令行下的Netstat命令就能查出大部分隐藏在电脑中的木马。

　　我们知道，大部分木马感染系统后都留有服务端口，而这类服务端口通常都处于LISTENING状态,因而从端口的使用情况可以查到木马的踪迹，而这利用Netstat命令就能轻松实现。在命令行中运行“Netstat –a”，这个命令将显示一个所有的有效连接信息列表（如图3），包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接。其中Proto代表协议，Local Address代表本机地址，该地址冒号后的数字就是开放的端口号，Foreign Address代表远程地址，如果和其它机器正在通信，显示的就是对方的地址，State代表状态，显示的LISTENING表示处于侦听状态，就是说该端口是开放的，由于木马开启后门成功后该后门处于LISTENING状态，因此你需要注意的就是处于LISTENING状态的端口，如果该端口号陌生，而且端口号数很大，你就应该有所警觉。

　　还可以查看使用端口所对应的进程来进一步确认，这就需要加上参数“-O”,运行“Netstat –ao”命令就会显示一个所有的有效连接信息列表，并给出端口对应的PID号。

    四、 FIND——捆绑克星

　　相信许多人都上过文件捆绑木马的当，表面看起来是一张漂亮MM的图片，而暗地里却隐藏着木马，这种通过文件捆绑进行隐藏是木马的惯用伎俩。而对可疑文件进行必要的检查及时处理往往就能防止产生更严重的后果，于是网上也出现了一些检查捆绑文件的工具。

　　在Windows中，也可通过命令行巧妙地进行简单的检查。这里要用到字符串搜索命令——FIND，它的主要功能是在文件中搜索字符串，可以利用它进行捆绑文件的检查。方法为：在命令行下运行“FIND /C /I "This program"  待查文件的路径 ”（不包括外面的引号），如果是EXE文件，正常情况下返回值应该为“1”，如果出现大于1的情况，你就必须小心了；如果是图片之类的不可执行文件，正常情况下返回值应该为“0”，如果出现大于0的情况，就应该引起注意。