檢查電腦是否被安裝木馬的命令實例圖解第1/2頁

看見很多人說：關於：“三個小命令 檢查電腦是否被安裝木馬” 這篇帖子看不懂。給我發小紙條問我能不能讓我幫忙寫詳細一點。由於放假沒有電腦沒有辦法寫。 一、檢測網絡連接

如果你懷疑自己的計算機上被別人安裝了木馬，或者是中了病毒，但是手裏沒有完善的工具來檢測是不是真有這樣的事情發生，那可以使用Windows自帶的網絡命令來看看誰在連接你的計算機。

具體的命令格式是：netstat -an -o命令能看到所有和本地計算機建立連接的IP，它包含四個部分——proto(連接方式)、local aDDRess(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息，我們就可以完全監控計算機上的連接，從而達到控制計算機的目的。

在看下面的內容之前，先看看： 教你認清網絡特殊用途IP地址
1.我們通過：開始·運行·輸入cmd·輸入netstat -an -o（注意空格）可以看見如圖：




2.我給大家介紹關於它的具體意思：

例如：TCP 192.168.0.56:2150 221.130.44.194:8080 ESTABLISHED 2860

proto(連接方式)指：協議類型，主要含tcp，udp

local address(本地連接地址)：因爲我的本地ip是192.168.0.56所以就是他了。2150是你電腦所開的端口。

foreign address(和本地建立連接的地址)指：入侵電腦的ip地址（當你訪問一些網站，網站中的每個內容比如圖片、flash等都要單獨建立一個連接，也會連接你的電腦。說入侵電腦不是很恰當。例如：訪問百度：可能出現：TCP 192.168.0.56:1045 202.108.250.249:80 ESTABLISHED） 221.130.44.194它跟我連上的。8080：它是以8080端口給我發起的連接。

state(當前端口狀態)：如：

TIME_WAIT:的意思是結束了這次連接 （例如：如果瀏覽網頁完畢，那就變爲TIME_WAIT狀態）

LISTENING:正在監聽 只有tcp端口纔可以這樣(如果是udp的話,那麼肯定是木馬) 端口爲開放。

ESTABLISHED:正在共享,表示兩者連接着

CLOSE_WAIT:連接並沒有正確關閉 依然是處於等待應用程序等待關閉(CLOSE_WAIT)的情況中 如果一直都處於CLOSE_WAIT狀態,有可能是應用程序異常退出並且沒有恰當地處理這個異常

SYN_SENT：表示請求連接，當你要訪問其它的計算機的服務時首先要發個同步信號給該端口，此時狀態爲SYN_SENT，如果連接成功了就變爲ESTABLISHED，此時SYN_SENT狀態非常短暫。但如果發現SYN_SENT非常多且在向不同的機器發出，那你的機器可能中了衝擊波或震盪波之類的病毒了。這類病毒爲了感染別的計算機，它就要掃描別的計算機，在掃描的過程中對每個要掃描的計算機都要發出了同步請求，這也是出現許多SYN_SENT的原因。

對於其他的狀態你可以在百度搜索一下就ok了。

pid（會話）接下來將講到。

12下一頁閱讀全文