使用fport與Mport進(jìn)行端口安全檢查

通過本案例可以學(xué)習(xí)到：（1）在DOS提示符或者Telnet等類似Shell狀態(tài)下如何檢測(cè)端口（2）使用fport、mport、pskill等工具檢測(cè)和殺死木馬程序Fport是FoundStone出品的一個(gè)用來列出系統(tǒng)中所有打開的TCP/IP和UDP端口，以及它們對(duì)應(yīng)應(yīng)用程序的完整路徑、PID標(biāo)識(shí)、進(jìn)程名稱等信息的軟件。其早期版本不支持WindowsXp操作系統(tǒng)，其最新版本為2.0。mport.exe跟fport.exe實(shí)現(xiàn)的功能差不多，運(yùn)行fport需要管理員權(quán)限，而mport可以在WindowsNT、Windows2000、WindowsXP以及Windows2000等操作系統(tǒng)中運(yùn)行，但是mport無其它參數(shù)。Fport可以帶參數(shù)，其命令格式為"Fport/參數(shù)"，其參數(shù)含義如下：?使用幫助p按照端口進(jìn)行排序a按照應(yīng)用程序進(jìn)行排序i按照PID號(hào)進(jìn)行排序ap按照應(yīng)用程序路徑進(jìn)行排序（1）使用mport查看系統(tǒng)打開的端口和網(wǎng)絡(luò)連接情況。進(jìn)入DOS提示符，并到mport當(dāng)前路徑下，直接輸入mport即可列出系統(tǒng)中網(wǎng)絡(luò)協(xié)議、IP地址、端口、連接地址、狀態(tài)以及進(jìn)程等信息，如圖1所示。MetcorCSlacktMjit;>Th(&PrE?tgTCPTCPStateLISTENINGLISTEHINGLISTBNMGLISTENINGLISTENINGLISTENINGUETENINCi14STH1INGLISTENiHGTIHt.UfilJFptaignAHTe示歩B.0.9.0"59S<0-0a0.S5i?i77HopperV1.1ForMTzZK/XP?Ig??kcS2636砒IbVsb￡v?exe-3712ALsIkHkiiSu.exe=36320$hH晶MetcorCSlacktMjit;>Th(&PrE?tgTCPTCPStateLISTENINGLISTEHINGLISTBNMGLISTENINGLISTENINGLISTENINGUETENINCi14STH1INGLISTENiHGTIHt.UfilJFptaignAHTe示歩B.0.9.0"59S<0-0a0.S5i?i77HopperV1.1ForMTzZK/XP?Ig??kcS2636砒IbVsb￡v?exe-3712ALsIkHkiiSu.exe=36320$hH晶x^v-flxc?3&32a^lrilaiSu.exe；3b32?7?￡3S16127,13.0.1:1034127.0.0.1:12025127.0.0.1：120BB127-0-8.i：12ll0127,0.8,1：121i?127.0.0.1=12143192.168?：L?￡±13書192.160ul.h：10868KH.flvHs38￥74e.0.0rB：41358.0.0.0=2144B0.9.0=166320.er0.0：26867B.B.O.B：248260-0.0.0^573942B2,J02.210a74;4?99g滬L啟叭!li：WinMPPdri|^55e.0.B.8：￡35127.0.0.1-895svehosfft?cxci<72opanupn占客.exa=1476E快霆方朮到CID.EMH4-^in^E>npnrtTGFXIPProeessToPorti92.168.124.1=139192atean丄今0^+0.0：509H.0.e.B：ie2&0.0.0/0=329360,8.0-B：2128CLOSE.WRITLTSTEH1NGLISTENINGIJDPIJDPIJDPJDPJDPIJDPJDFJDF8,U,B.Bl4S8a127.0.0,15113192.168.1.61123192x166.1.6:137192.168.l?6U3ft19^.168.1IflaatS■丄盤4亠丄蘭123Systam-4￡孵丄曰苗二昨opernwprtfts?ex^i:1轉(zhuǎn)怎■dljj?縣xei-2636nnhHft&$：u-esee&aslnVobSu.ex^：3?12a^lkH^iSu.ex?i-3S32砒hHziJS譏靶Ma：3&32a^iIiJIli.*^u,ex.e:T?t=3Bi6ISvstspiProcbssKflwM.eJDPJDPJDPJDPv<h5lPSLI3：tup192.L6B.124,1U37l?2.1b6.124.1：138L?2.16B.i24ail9&fl192.168.239.1=123圖1使用mport查看端□和連接說明如果通過mport查出來的程序如果是木馬程序，則需要知道其進(jìn)程后面的數(shù)字，該數(shù)字就是PID號(hào)。使用"pskillpid"殺死木馬程序進(jìn)程，例如要?dú)⑺繿lg.exe,則輸入"pskill2180"即可。使用fport查看系統(tǒng)網(wǎng)絡(luò)連接和端□情況。操作系統(tǒng)中自帶的netstat.exe程序只能查看應(yīng)用程序打開的端□以及對(duì)外連接情況，不能查看其對(duì)應(yīng)端□和連接的應(yīng)用程序名稱和路徑。輸入"fport/ap"命令，按照應(yīng)用程序路徑來查看端□開放情況，如圖2所示。

圖2使用fport查看端口情況說明使用fport必須具有管理員權(quán)限，fport可以查看程序的具體路徑，通過路徑以及名稱可以判斷程序是正常程序還是木馬程序打開的端口。通過fport找到木馬程序的路徑后，使用pskill結(jié)束進(jìn)程，然后到到其相應(yīng)的路徑下將該木馬程序刪除掉。小結(jié)一般情況下不使用fport和mport來查看端口開放情況，在有一些特殊情況下，系統(tǒng)或者