首页 > 专利信息

进程、端口、PID、木马---四者关系详解

进程、端口、PID 、木马---关系详解

如果发现一些从没见过的端口号，你怎样分辨出该端口是不是木马开放的端口?或者在进程列表中发现陌生的进程时，是否想知道该进程在你的系统中开了什么端口?或者配置木马web 时，会有80端口被占用的情况，怎么办？

一、进程--〉PID 号 (1)

二、PID 号--〉端口号 (3)

全息打印三、端口号--〉PID 号--〉进程 (4)

四、揭开进程之谜 (10)

一、进程--〉PID 号首先在开始菜单的“运行”框中输入“cmd ”进入命令提示符窗口，先键入“tasklist ”命令将列出系统正在运行的进程列表，就可以到你要查的进程所对应的“PID ”号了，比如查看的PID 号为

1536。

注：还可以查看调用DLL 模块文件的进程列表，Tasklist/M [module]，列出所有其中符合指定模式名的 DLL 模块的所有任务。如果没有指定模块名，则

显示每个任务加载的所有模块，如“Tasklist /m shell32.dll”即可显示这些进程的列表。

注意：一般灰鸽子木马分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为，然后黑客通过各种渠道传播这个木马，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载…… 运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和

G_Server_Hook.dll到windows目录下。、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；

水写布>过氧化氢灭菌器检测

G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。所以要到安全模式（按F8）下查一下以 _hook.dll结尾的文件，有时候会搜到mag_hook.dll，但是却不到与之对应的

<,mag.dll和magkey.dll文件，这说明mag_hook.dll不是病毒文件，其实没什么影响，它只是放大镜的动态连接库，平常的人很少使用放大镜的，如果你不使用放大镜，删除就可以了。如果还是不放心的话，在正常启动模式下，用Tasklist /m mag_hook.dll命令，查一下有没有进程调用此文件：滑水鞋

或者打开任务管理器，在菜单栏，选择“进程”—“查看”—“选择列”，在打开的选择项窗口中将“PID（进程标识符）”项选择钩上，这样任务管理器的进程中就会多出PID一项了。

气瓶推车

小技巧：①单击右键菜单中的标记，然后将你要标记的内容，再按一下“回车”键就可以把标记的内容复制到剪贴板上了；②清屏的命令为cls；③按方向键的右键，即可输入刚才输入的内容；

需要注意的是，相同的进程图像名，每次运行的“PID”号都不会相同，因为PID 的分配并不固定，是在进程启动是由系统随机分配的，所以进程每次启动的进程一般都不会一样。所以一旦该进程重启后（程序重新打开后），该“PID”号就会改变，这就需要重新查看。如用命令taskkill/结束正在运行的记事本，其PID分别为3096，重新打开记事本后，发现其PID为1844。

二、PID号--〉端口号

把进程的PID号记下后，接下来就用这个PID号把该进程所开的端口显示出来了。在当前的命令符下继续键入“netstat -ano findstr 1536”命令，其中“netstat -ano”参数表示以数字形式显示所有活动的TCP连接以及计算机正在侦听的TCP、UDP端口并且显示对应的进程ID PID 号；“findstr 1536”表示查进程PID为“1536”的TCP连接以及TCP、UDP端口的侦听情况（在实际应用中，需要把你刚才记下或复制的PID号替换掉这里的1536）。按“回车”键后，就会显示出该进程所开的端口号。可是netstat -ano findstr 1536这行命令好像执行不了。

我们可以明显地看出，PID为“1536”的进程所开启的端口有TCP的80、1032

旋流沉砂器

和UDP的3456端口。如果此时没有任何提示信息返回，则说明该进程没有开启任何端口。

三、端口号--〉PID号--〉进程

在cmd命令提示符窗口中输入“netstat -ano”命令，列出系统当前的端口列表，

“netstat -an -p tcp”命令），显示本机开放的所有端口。

本文发布于:2024-09-23 10:24:47，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/2/101652.html

上一篇：华为CSFB配置手册(华为)

下一篇：线程与线程，进程与进程之间的通信