用命令检查电脑是否被安装木马-阿里云开发者社区

开发者社区> 阿里云SAP上云> 正文
登录阅读全文

用命令检查电脑是否被安装木马

简介:      一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。 检测网络连接   如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
     一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。

检测网络连接

  如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

具体的命令格式是:

netstat -an

     这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。

例:

C:\>netstat -an

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3306           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:5001           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:8009           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:8080           0.0.0.0:0              LISTENING
  TCP    10.10.3.88:139         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:1025         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:1033         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1035         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1036         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1037         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1038         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1039         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1040         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1041         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1042         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1043         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1044         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1045         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1046         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1047         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1048         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1049         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1050         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1051         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1052         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1053         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1054         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1055         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1056         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1057         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1058         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1059         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1060         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1061         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1062         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1063         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1064         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1065         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1066         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1067         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1068         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1069         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1070         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1071         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1072         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1073         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1074         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1075         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1076         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1077         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:1078         127.0.0.1:3306         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1033         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1035         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1036         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1037         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1038         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1039         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1040         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1041         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1042         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1043         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1044         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1045         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1046         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1047         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1048         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1049         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1050         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1051         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1052         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1053         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1054         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1055         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1056         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1057         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1058         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1059         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1060         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1061         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1062         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1063         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1064         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1065         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1066         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1067         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1068         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1069         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1070         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1071         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1072         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1073         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1074         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1075         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1076         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1077         ESTABLISHED
  TCP    127.0.0.1:3306         127.0.0.1:1078         ESTABLISHED
  TCP    127.0.0.1:8005         0.0.0.0:0              LISTENING
  UDP    0.0.0.0:445            *:*
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:1085           *:*
  UDP    0.0.0.0:4500           *:*
  UDP    10.10.3.88:123         *:*
  UDP    10.10.3.88:137         *:*
  UDP    10.10.3.88:138         *:*
  UDP    10.10.3.88:1900        *:*
  UDP    127.0.0.1:123          *:*
  UDP    127.0.0.1:1027         *:*
  UDP    127.0.0.1:1028         *:*
  UDP    127.0.0.1:1034         *:*
  UDP    127.0.0.1:1087         *:*
  UDP    127.0.0.1:1900         *:*

禁用不明服务

  很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。

C:\>net start
已经启动以下 Windows 服务:

   Apache Tomcat
   Application Layer Gateway Service
   Automatic Updates
   COM+ Event System
   Computer Browser
   Cryptographic Services
   DCOM Server Process Launcher
   DHCP Client
   Distributed Link Tracking Client
   DNS Client
   Event Log
   Fast User Switching Compatibility
   IPSEC Services
   Logical Disk Manager
   MySql
   Network Connections
   Network Location Awareness (NLA)
   Plug and Play
   Print Spooler
   Protected Storage
   Remote Access Connection Manager
   Remote Procedure Call (RPC)
   Secondary Logon
   Security Accounts Manager
   Security Center
   Server
   Shell Hardware Detection
   SSDP Discovery Service
   System Event Notification
   Task Scheduler
   TCP/IP NetBIOS Helper
   Telephony
   Terminal Services
   Themes
   WebClient
   Windows Audio
   Windows Firewall/Internet Connection Sharing (ICS)
   Windows Management Instrumentation
   Windows Time
   Windows User Mode Driver Framework
   Wireless Zero Configuration
   Workstation

命令成功完成。

轻松检查账户

  很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。

  首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!

例:


C:\>net user

\\C7B3006173B14F3 的用户帐户

-------------------------------------------------------------------------------
Administrator            Guest                    user1
命令成功完成。

C:\>net user user1
用户名                 user1
全名                   user1
注释
用户的注释
国家(地区)代码         000 (系统默认值)
帐户启用               Yes
帐户到期               从不

上次设置密码           2007/4/10 下午 06:05
密码到期               2007/5/23 下午 04:52
密码可更改             2007/4/10 下午 06:05
需要密码               Yes
用户可以更改密码       Yes

允许的工作站           All
登录脚本
用户配置文件
主目录
上次登录               2007/4/10 下午 06:05

可允许的登录小时数     All

本地组成员             *Users
全局组成员             *None
命令成功完成。

C:\>

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: