路過MIS的睏貓

        利用CPorts 檢測木馬簡易教學

        平常我對於防毒軟體檢測木馬通常抱著保留的態度 , 因為防毒軟體只能防已知木馬

        但萬一有新的木馬出來時, 若防毒軟體公司沒收到最新的資料

        該防毒軟體就不可能達成保護的效果

        所以求人不如求己, 過度依賴防毒軟體未必能保證自己安全

        目前我所提供的方法, 適用於灌了 N 套防毒軟體掃描後

還是無法確認自己到底有沒有中木馬的人

        CPorts 這套軟體的功能在於掃描電腦中所有的通訊埠 , 而且列出的資訊非常詳盡

        若一部電腦處於乾淨無木馬狀態, 掃描結果應該如下圖所示

        Local Port                自己電腦上的通訊埠

        Local Address          自己電腦的 IP

        Remote Port             遠端連線電腦的通訊埠

        Remote Port             遠端連線電腦的 IP

        State                        Listening 代表等待連線    Established 代表已建立連線中

        Process Name          通訊程式名稱

        Precess Path            每支通訊程式在硬碟中的所在位置

        Product Name          軟體產品註冊名稱

        System 代表 Windows 系統本身的服務 , 平常可以忽略, 但也可檢查目前電腦有多少埠是打開著的

        一般而言可以利用防火牆或 控制台->系統管理工具->服務 選項將多餘的 Port 關閉

        而我們檢測木馬就是要看屬於非 System 的通訊狀態…

        由上圖可以檢測到有 6 個程式正在執行 , State 欄位的狀態為 Listening / Established

        代表處於 等待連線/正在連線 的狀態 , 這時候我們觀看 Product Name

        如果以乾淨電腦而言, 應該只會看到 Microsoft(R) Windows(R) XXXXXX  的說明

        如果有任何程式不屬於 MS 所有, 就要注意是否為其他自己已知軟體的服務

        通常自己安裝的軟體自己一定會知道的, 像上圖的 InterBase Server 一樣

        現在為了測試木馬 , 我特地將一隻木馬放到自己電腦

        把 CPorts 軟體開著 , 然後執行天堂二 ( 用視窗模式 )

        進入天二後, 然後在 CPorts 中按 reflash 的按鈕 ( 隨便輸入一組不相關的密碼或許也行 )

        此時赫然發現木馬已經啟動如下圖 … ( 為了抓圖畫面乾淨,已經關閉L2,所以沒顯示L2的連線 )

        而且遠方通訊端的 IP 為 219.153.10.36 狀態為連線中

        而且經過 IP 查詢 ( 利用 nslookup 219.153.10.36 )

該 ip 網址為 www.1ineage2.com.tw ( 1ineage2 開頭是 1 而不是 L )

        是知名的木馬網址 ….       ( 不用為我擔心 , 我拿的是 7 天試玩帳號測試的 )

        若不幸檢測真的中木馬的人, 要立刻採取動作

        用滑鼠選擇那個服務然後按右鍵 , 會出來如下圖的選單

        選單的第一和第二項 Close Selected XXX 和 Kill Processes OF XXXX

        分別為關閉該服務的連線和關閉使用該埠的軟體

        然後立刻到天二官網修改自己的密碼 , 修改時為了保險起見

        還是要多讓 CPorts reflash 幾次 , 確認木馬軟體沒有繼續工作

        改完密碼後就請重灌或 Ghost 還原電腦吧

祝大家都能順利遠離木馬的摧殘 ….. 阿門 …

Cports 下載可到 google 搜尋 Cports

或到 http://www.nirsoft.net/utils/cports.html 官網下載 ...

另外這是原作者整理的繁體中文化版本

cports.zip