查看进程占用端口

北大青鸟昌平校区提供


[转帖]查看开放端口判断木马
当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，
既然利用到这两个协议，就不可避免要在server端（就是被种了木马的机器了）打开监
听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626，Back Orifice 2000
则是使用54320等等。那么，我们可以利用查看本机开放端口的方法来检查自己是否被
种了木马或其它黑客程序。以下是详细方法介绍。
1． Windows本身自带的netstat命令
关于netstat命令，我们先来看看windows帮助文件中的介绍：

Netstat
显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以
使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

参数
-a
显示所有连接和侦听端口。服务器连接通常不显示。
-e
显示以太网统计。该参数可以与 -s 选项结合使用。
-n
以数字格式显示地址和端口号（而不是尝试查找名称）。
-s
显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP

北大青鸟昌平校区提供


[转帖]查看开放端口判断木马
当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，
既然利用到这两个协议，就不可避免要在server端（就是被种了木马的机器了）打开监
听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626，Back Orifice 2000
则是使用54320等等。那么，我们可以利用查看本机开放端口的方法来检查自己是否被
种了木马或其它黑客程序。以下是详细方法介绍。
1． Windows本身自带的netstat命令
关于netstat命令，我们先来看看windows帮助文件中的介绍：

Netstat
显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以
使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

参数
-a
显示所有连接和侦听端口。服务器连接通常不显示。
-e
显示以太网统计。该参数可以与 -s 选项结合使用。
-n
以数字格式显示地址和端口号（而不是尝试查找名称）。
-s
显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP

Mysql3306端口被占用，妙招轻松解决

早晨发现mysql服务器意外停止服务，造成网站无法打开，查看mysql日志（注：该日志在msyql安装目录下data文件夹里，文件名是机器名.err,该文件可用记事本打开）发现如下问题; 120525 3:35:48 InnoDB: Starting shutdown...

120525 3:35:51 InnoDB: Shutdown completed; log sequence number 0 11838312

120525 3:35:51 [Note] D:\\Program Files\\MySQL\\MySQL Server 5.0\\bin\\mysqld-nt: Shutdown complete

120525 4:01:57 InnoDB: Started; log sequence number 0 11838312

120525 4:01:57 [ERROR] Do you already have another mysqld server running on port: 3306 ? 120525 4:01:57 [ERROR] Aborting

OGG查看进程内存使用情况 及修改进程最大允许内存值说明

1 查看OGG进程内存使用情况

1) 启动OGG控制台

oracle用户进入到OGG安装目录，使用如下命令启动OGG控制台； 输入命令：./ggsci

2) 查看OGG进程，确保OGG进程为Running状态

输入命令：info all

（吉林MDS生产库上的OGG抽取进程名为mocs）

3) 查看抽取进程内存使用情况

输入命令：send extract extmocs, cachemgr cachestats （请根据现场实际情况修改抽取进程名）

命令执行结果中，vm current表示extmocs进程当前占用内存值，vm used max表示extmocs进程最大占用内存值，cache size表示extmocs进程最大允许内存值，默认情况下，OGG会根据当前系统物理内存大小设置一个默认值。如下图所示：

4) 查看OGG抽取进程抽取数据量

现场可定时对抽取进程的内存使用情况进行监控，如果抽取进程占用内存特别大，即vm current或cache size的值特别大，通过如下命令查看OGG同步数据量。

输入命令：stats extmocs hourly

（请根据现场实际情况修改抽

OGG查看进程内存使用情况 及修改进程最大允许内存值说明

1 查看OGG进程内存使用情况

1) 启动OGG控制台

oracle用户进入到OGG安装目录，使用如下命令启动OGG控制台； 输入命令：./ggsci

2) 查看OGG进程，确保OGG进程为Running状态

输入命令：info all

（吉林MDS生产库上的OGG抽取进程名为mocs）

3) 查看抽取进程内存使用情况

输入命令：send extract extmocs, cachemgr cachestats （请根据现场实际情况修改抽取进程名）

命令执行结果中，vm current表示extmocs进程当前占用内存值，vm used max表示extmocs进程最大占用内存值，cache size表示extmocs进程最大允许内存值，默认情况下，OGG会根据当前系统物理内存大小设置一个默认值。如下图所示：

4) 查看OGG抽取进程抽取数据量

现场可定时对抽取进程的内存使用情况进行监控，如果抽取进程占用内存特别大，即vm current或cache size的值特别大，通过如下命令查看OGG同步数据量。

输入命令：stats extmocs hourly

（请根据现场实际情况修改抽

Caption

System Idle Process System

SMSS.EXE

csrss.exe

winlogon.exe services.exe

lsass.exe

svchost.exe svchost.exe svchost.exe svchost.exe svchost.exe kxescore.exe KSafeSvc.exe spoolsv.exe Explorer.EXE KSafeTray.exe TrueImageMonitor.exe schedhlp.exe kxetray.exe

ctfmon.exe

ishare_user.exe svchost.exe searchindexer.exe wscntfy.exe afcdpsrv.exe

alg.exe

svchost.exe conime.exe

klive.exe

excel.exe

cmd.exe

wmic.exe

wmiprvse.exe

wmic:root\cli>

CommandLine

\SystemRoot\System32\smss.exe

C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSectio

无进程无端口DLL木马的设计与实现

摘 要

随着网络技术的发展，越来越多的人开始接触到互联网。在人们感叹互联网功能强大的同时，面对了越来越多的网络信息安全的问题。网络木马程序对于网络信息安全是一个极大的挑战，它不同于计算机病毒，它能够盗取他人主机上的信息，或者拦截、监听、篡改他人发布到互联网上的信息。

DLL木马正是在研究木马程序的工作原理和工作方式的前提下，利用线程插入技术设计并开发出一种动态连接的木马，并且实现无进程和无端口的特点。木马设计主要侧重于将进程隐藏、端口隐藏和破坏word文档这三个功能实现并且有机的结合起来，对木马的远程注入有待进一步研究。

论文介绍了木马程序的工作原理和实现的功能，描述了主要的API函数，并且总结了一些查杀DLL木马的方法。

关键词：木马；线程插入；动态链接库；无进程

The Design and Implement of No-process and No-port DLL

Trojan Horse

Abstract

With the development of the network technology, more and more people begin to use Internet. A

1、

噪声查看

信噪比临界值为24DB，低于该值则表示信噪比过低，噪声过大。 7246：

4.1、根据故障modem的MAC地址查看故障modem所属CMTS上行端口。例如

sh cable modem 001e.693a.013a

I/F就是该modem所属CMTS上行端口

4.2、查看该上行端口的信噪比

sh controllers cable 6/1 upstream 2

US phy MER即是该上行端口信噪比，上例信噪比为28.808DB，噪声情况正常。

4.3、如果上行端口信噪比正常，则查看Cable Modem 单体噪声

sh cable modem 001e.693a.013a phy

USMER即是该Cable Modem单体信噪比，上行信噪比为30.79DB，噪声情况正常。

4.4、统计上行端口在线modem的数量 Show cable modem summary

REG代表在线猫数，一般来说在线猫数不超过80为好，否则容易导致个别用户无法上网

4.5、查看上行信道利用率

通过查看4.4的命令，如果大量的modem处于INIT(RC)状态，例如C3/0/U2端口下有大量猫处于INIT(RC)状态，则通过命令

西 安 邮 电 大 学

（计算机学院）

课内实验报告

实验名称： 端口地址转换和端口转发

专业名称： 班 级： 学生姓名： 学号（8位）： 指导教师：

实验日期：

一．实验目标：

通过本实验来配置端口地址转换（NAT）和端口转发 二．实验内容： 步骤1：

根据拓扑图搭建和配置网络。

步骤2：

由于没有启用路由选择协议，所以需要在NAT路由器上配置一条到Internet的缺省路由，命令如下：

如果是用路由器而不是用PC来做web服务器，则需要在提供Web服务的路由器上配置一条静态缺省路由，命令如下：

步骤3：

创建一条能让所有内部用户访问Internet的标准ACL。命令如下：

由于单一一个内部全局地址200.200.100.1同时用于代表多个内部局部地址192.168.1.x，所有在NAT的S0/0接口上应用访问控制列表并配置NAT地址复用（overload）。

这种配置使得用户能够访问Internet，但它阻止了外部用户直接从外部访问内部主机。

指定NAT的内部接口和外部接口。

步骤4：

在内部用户的工作站上

常见端口

0|无效端口,通常用于分析操作系统

1|传输控制协议端口服务多路开关选择器 2|管理实用程序 3|压缩进程

5|远程作业登录 7|回显 9|丢弃

11|在线用户 13|时间 17|每日引用

18|消息发送协议 19|字符发生器

20|FTP文件传输协议(默认数据口) 21|FTP文件传输协议(控制) 22|SSH远程登录协议

23|telnet(终端仿真协议),木马Tiny Telnet Server开放此端口 24|预留给个人用邮件系统

25|SMTP服务器所开放的端口，用于发送邮件 27|NSW 用户系统 FE 29|MSG ICP

31|MSG验证,木马Master Paradise、HackersParadise开放此端口 33|显示支持协议

35|预留给个人打印机服务 37|时间

38|路由访问协议 39|资源定位协议 41|图形

42|主机名服务 43|who is服务

44|MPM(消息处理模块)标志协议 45|消息处理模块

46|消息处理模块(默认发送口) 47|NI FTP

48|数码音频后台服务 49|TACACS登录主机协议 50|远