Hogyan lehet megtalálni a nyitott portok és keresni malware
De mielőtt elkezdenénk, és kezdjük azonosítani nyitott portok és programokat, amelyek lógnak, én lenne, a közös megértés megmagyarázni egyszerű nyelven, és mondja el röviden, hogy mi van a kikötő és a fajta program fut egy „szerver - kliens "
Mi a port és az alkalmazás típusától szerver - kliens?
Mint tudja, nem fogom ásni mélyen a lényege a probléma, és beszéljen a műszaki, a komplex nyelvi, hogy a port, hogy miért van szükség, és így tovább. Megpróbálom röviden és közérthetően elmagyarázni érdeklődők arról, hogy mi az, és miért!
Ha beszélünk malware, akkor a helyzet úgy néz ki, mint ez. Két program „program - kiszolgáló” és „program - ügyfél” működési elve olyan dolgok, mint a következő:
Program - Server. Mindig fut a számítógépen, amelyre szeretné megkapni nincs jogos hozzáférést.
Program - Client. Ez fut az alkotók vagy egyszerűen a felhasználó számára egy távoli számítógéphez!
Az ember egy „ügyfél” küldi a megfelelő parancsokat, aki megérti a szerveren. A szerver viszont megkapja a parancsokat, és végrehajtja a megfelelő lépéseket a távoli számítógépen.
Az ilyen rosszindulatú dolog kérdéses pillanatnyilag nevezték «BackDoor» Az egyik típusú rosszindulatú szoftverek.
akkor azt hiszem egyértelmű. A szerver fut a számítógépen, amit akar rabolni, a kliens számítógépen fut, ahonnan a támadás zajlik.
Hogy a kapcsolat?
Mi lenne az „Ügyfél” képes volt csatlakozni a „kiszolgáló” és a hozzáférést a távoli számítógéphez „kiszolgáló” nyit néhány „port”, és vár a kapcsolatot az ügyféllel. Port nyitható bárki, de a tartományban „0-65535” korlátozások vannak protokoll «TCP / IP»
Abban az időben a dob „Server” származik az alábbiak szerint: A program - a szerver nyit egy portot, mint például a „3123”, ha egy kérés érkezik a kliens port „3123”, a szerver felismeri, hogy ez, és feldolgozza az adatokat.
Mellesleg: az ügyfél mindig pontosan tudja, melyik port a kiszolgáló súlya.
Mivel vannak legitim programok használata, adott portok, mint például az e-mail kliens, mindig magát port 25 e-mailt küldeni, és 110 a fogadásra. Sok más népszerű programok, és emiatt az összes népszerű dolog fenntartva számos „0-1023”
Ezért malware ritkán használja port számok „0-1023” tartományban. Ha észrevette, hogy például 3123 port nyitva van, és még nem járult hozzá a felfedezés, meg kell győződnie arról, hogy a port használják legitim alkalmazások, de egyébként meg kell találni, és töltse ki a programot, amely megnyitotta a port ...
Hogyan lehet megtalálni a nyitott portok és programok használata őket?
Ahogy azt fentebb már említettük, megtudjuk, nyitott portok révén «Ablakok» használata nélkül a harmadik féltől származó programok és még több online szolgáltatások. A munka, szükségünk van a parancssorban, csak.
Fuss «cmd.exe» listájának lekérését nyitott portok, valamint a «PID» folyamatokat használó portok. Ehhez használd a „netstat” paraméterekkel „-a -o”, és a kisboltban az eredmény a parancs „* .txt” fájlt a lemezen a „C: \”
A végleges változat a parancsot:
Megnyomása után a «Enter» gombot kell várni egy kicsit, nem tartott sokáig.
A parancs után vezetni a „C” lesz «Port.txt» fájl Ebben a fájlban találunk nyitott portok, a „PID” folyamat, amely forgalmas kikötő.
Megtekintése közben egy fájlt, akkor nem tudja betartani egy nyitott port a számítógépen, és néhány közülük nagyon gyanús. A lenti képen azt már jeleztem már ismert port „3123” ajánlatok milyen program volt nyitott.
Ahhoz, hogy a folyamat nevét az ő «PID» használd ezt a parancsot «tasklist» és látni, hogy milyen dolgok nyitott a mi számítógép porton.
A rekord: Lehet kezdetben használni a parancsot «netstat» paraméterekkel «-a -b» Ebben az esetben mi csak kap a nevét folyamatokat.
Végül eljutunk a fájlt «PID.txt», és tudván, hogy a port „3123” nyitotta meg a programot «PID - 3264" találni, és látni a folyamat neve.
Mint látható «123.exe» program neve nem álom, úgy döntöttem, hogy csak hívja „123”, és minden))
Ez a program nyitott port. Ezután nézze meg a feladatkezelő, hol van ez a fájl, és eldönteni, mi legyen a következő lépés.
Információk összegyűjtése a fájlt és portok:
Miután megkapta a listát a nyitott portok, meg lehet tanulni róluk több információt. Csak keresni «google.ru» és mit írnak erről, vagy hogy portot, majd következtetéseket levonni.
Csak nézd meg a hálózat nevét a folyamatokat, amelyek úgy tűnik gyanúsnak.
Megtalálható rengeteg információt, és tudja maga után vonja egy ilyen folyamat veszélyt, vagy sem. Az a tény, hogy néhány rendszer folyamatok is nyílt néhány port saját céljaikra, és nem kell megölni, mert ez vezethet valamilyen hiba az egész rendszer.
Összefoglalva.
Megtanultuk - Hogyan talál nyitott portok. A számítógépet a parancs «netstat» Akkor minél több információt a legtöbb segítséget a parancsot.
Amint azt már említettük, akkor csak a következő parancs paramétereit «-a -b» és nem gőz, hogy nevet «tasklist» parancsot folyamat történik Annyira különleges, ami rövid időre közös megértése «tasklist» Team munka
Remélem sikerült egyértelműen megválaszolni a kérdést, hogyan találok nyitott portok. És jobb, ha nem lehet probléma, ha meg kell találni a nyitott portok és programok használják őket.