netstat -nb
用這個命令能看到和外部的IP連接情況,并且是什么行程的,
TCPView
除了能用netstat命令,還可以使用圖形化界面的TCPView,它可以非常條理地列出目前電腦的網路連接狀況,可以查詢到目前連線有哪些軟體連接到了網路,也可以知道該程式所使用的埠,它占用了多大的帶寬使用了多少流量,
應急回應的時候,通過它可以發現不正常的網路連接,發現原理就是:無論是挖礦病毒、僵尸網路、肉雞、CC服務器、內網傳播等惡意行為都需要與其他主機進行通信,則本地必須呼叫相應的IP、域名鏈接,包括本地地址、本地埠、遠程地址、遠程埠等操作,如果遠程地址為一個惡意網站,便可以輕易獲取到系統的中毒行程,快捷的定位到具體問題,
通過此圖可以發現mssecsvc.exe對大量隨機的外網IP的445埠進行SYN包的探測,說明它在掃描,這就是Wannacry病毒的傳播程序,
TCPView下載地址
https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview
參考
https://blog.csdn.net/namechenfl/article/details/90767222
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/73500.html
標籤:其他