Windwos 7下查木马 netstat命令帮你忙

在Win7系统中，如何快速发现潜伏在系统中的木马？用杀毒软件，木马防火墙，还是安全卫士？其实没必要这么麻烦。我们只需要在Win7系统中使用一个命令netstat(这个命令在WinXP和Vista中也可以使用)，通过检测网络连接就可以确定系统中是否存在木马。这个netstat命令真的这么强大吗？让我们看一看。

编者：用好netstat命令，木马无处可逃。

Netstat是一个DOS命令，是监控TCP/IP网络的一个非常有用的工具。它可以显示路由表、实际网络连接和每个网络接口设备的状态信息。Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检查本机各端口的网络连接。简单地说，netstat命令可以检查当前计算机和网络之间的连接。那么这和检测木马有什么关系呢？因为木马与外界通信，需要打开一个端口，这个端口可以被netstat命令检测到。此外，不同参数的netstat命令可以达到更好的检测效果，甚至可以配合其他命令杀死木马进程，使木马报废。

netstat命令的使用

点击状态菜单运行，输入cmd运行命令提示符，输入命令“netstat -an”后回车。这个命令可以看到所有连接到本地计算机的IP，它包含四个部分：——协议(连接方法)，本地地址(本地连接地址)和外地地址(和本地连接地址)。通过这个命令的详细信息，我们可以完全监控计算机上的连接，从而控制计算机。通常，我们使用这个命令就足够了。另外，我们可以通过附加一些参数来实现更多的检测。

netstat命令运行参数

netstat命令结束特洛伊木马进程。

让我们尝试使用netstat命令和其他命令来结束特洛伊木马程序。输入以下命令：netstat -an -o，然后按Enter键。-o参数的功能是显示与每个连接相关联的进程ID，即进程的PID值。PID值将在每次显示网络连接后显示。如果发现可疑的网络连接，请记录其PID值。

nnetstat命令显示网络连接PID。

按Ctrl、Shift和ESC运行任务管理器，单击视图菜单选择列，选中PID(进程标识符)选项，然后单击确定。然后切换到“进程”选项卡，通过刚才记下的PID值在“任务管理器”中找到对应的进程。如果你不熟悉这个过程，在Win7的任务管理器里有这个过程的描述。通过描述，我们可以知道该过程是否安全。

n通过PID找到对应的进程

如果我们确信这个过程有问题，那么我们可以使用“Tasklist”命令来结束这个过程。回到命令提示符，输入命令“Taskkill /pid 1234”结束进程，1234是危险进程的pid值。木马的这个过程结束了，接下来我们就可以通过杀毒软件查杀木马，清理木马了。