Как узнать открытые порты и поиск вредоносного ПО.

2014-05-02 Комментарии: 16 Посмотров: 42674

Если перед Вами встал вопрос, как узнать открытые порты и программы, которые «Висят» на этих портах, то в этом случаи можно обойтись без стороннего софта и выполнить задачу средствами самой Windows!

Но, прежде чем начать и приступить к выявлению открытых портов и программы, которые на них висят, я хотел-бы, для общего понимания пояснить простейшим языком, и рассказать вкратце о том, что такое порт и тип программ работающих по типу «Сервер – Клиент»

Что такое порт и тип программ Сервер – Клиент?

Как вы понимаете, я не буду особо глубоко вникать в суть вопроса, и рассказывать на техническом, сложном  языке о том, что такое порт, зачем он нужен итд. Я постараюсь коротко и на понятном языке объяснить для заинтересованных людей о том, что это такое и зачем!

Если говорить о вредоносных программах то ситуация выглядит вот так. Имеются две программы «Программа — Сервер» и «Программа – Клиент» Принцип работы подобных вещей такой:

Программа – Сервер: Всегда запускается на компьютере, к которому нужно получить не правомерный доступ.

Программа – Клиент: Запускается самим создателям или просто пользователем с целью управления удаленным компьютером!

Человек используя «Клиент» отправляет нужные ему команды, которые понимает сервер. Сервер в свою очередь принимает команды и выполняет соответствующие действия на удалённом компьютере.

Подобные вредоносные вещи, о которых идёт речь в данный момент имеют названия «BackDoor»  Один из типов вредоносного программного обеспечения.

Думаю тут понятно. Сервер запускается на компьютере, который нужно ограбить, клиент запускается на компьютере, с которого происходит атака.

Как происходит подключения?
Что бы «Клиент» имел возможность подключиться к «Серверу» и получить доступ к удалённому компьютеру «Сервер» открывает какой-то «ПОРТ» и ждёт подключения от клиента. Порт может быть открыт любой, но в диапазоне «От 0 до 65535» таковы ограничения протокола «TCP/IP»

В момент запуска «Сервера» происходит следующие: Программа – сервер открывает некий порт, например «3123» когда от клиента приходит запрос на порт «3123», сервер понимает, что это ему и обрабатывает полученные данные.

К слову: Клиент, всегда должен точно знать, на каком порту весит сервер.

Так как существуют и легальные программы, которые используют определённые порты, например почтовые клиенты, всегда забирают себе 25 порт для отправки почты и 110 для приёма. Существует множество других популярных программ и по этой причины для всех популярных вещей зарезервирован диапазон «От 0 до 1023»

Поэтому вредоносные программы редко использую номера портов из диапазона «От 0 до 1023». Если Вы заметили, что, например порт 3123 открыт, и Вы не способствовали его открытию, стоит убедиться, что порт используется легальной программой, в противном же случае стоит найти и завершить программу, которая открыла данный порт…

Как узнать открытые порты и программы, которые их используют?

Как я сказал выше, мы будем узнавать открытые порты средствами «Windows» не используя сторонние программы и тем более online сервисы. Для работы нам понадобится только командная строка.

Запускаем «cmd.exe» получаем список открытых портов, а так же «PID» процессов, которые используют порты. Для этого используем команду «netstat» с параметрами «-a -o» и для удобства сохраняем результат выполнения команды в файл «*.txt» на диск «С:\»

Конечный вариант команды такой:

netstat -a -o > C:\Port.txt

После нажатия клавиши «Enter» нужно будет немного подождать, не долго.

как узнать открытые порты

После выполнения команды на диске «С» появится файл «Port.txt» В этом файле мы можем узнать открытые порты и «PID» процессов, которыми заняты порты.

Просматривая файл можно заметить не один открытый порт на компьютере, а некоторые из них весьма подозрительные. На скриншоте ниже я отметил уже знакомый нам порт «3123» предлагаю посмотреть, какой программой он был открыт.

как узнать какие порты открыты

Для получения имени процесса по его «PID» используем команду «tasklist» и смотрим, что за гадость открыла на нашем компьютере данный порт.

Для справки: Можно было изначально использовать команду «netstat» с параметрами «-a -b» в этом случаи мы сразу получили бы имена процессов.

Результат выполнения команды «tasklist» так же сохраняем в файл на диск, для удобного просмотра.

Команда:

tasklist > C:\ PID.txt

в итоге получаем файл «PID.txt» и зная что порт «3123» открыла программа с «PID — 3264» находим его и смотрим имя процесса.

проверка открытых портов

Как видим имя программы «123.exe» не стал фантазировать, решил просто назвать «123» и все))

Именно эта программа открыла порт. Далее в диспетчере задачь смотрим место, где находится этот файл, и решаем, что с ним делать дальше.

Сбор информации о файле и портах:

После получения списка открытых портов, можно узнать о них больше информации. Просто воспользуйтесь поиском «google.ru» и смотрите, что пишут о том или ином порте, а затем уже делайте выводы.

Так же ищите в сети названия процессов, которые Вам кажутся подозрительными.

Можно найти много информации и узнать несет за собой такой-то процесс угрозу или нет. Дело в том, что некоторые системные процессы тоже могут открыть какой-то порт для своих целей и убивать их не нужно, так как, это может привести к каким-то сбоям в работе всей системы.

В заключении.
Мы узнали  — Как узнать открытые порты, на компьютере используя команду «netstat» Вы можете получить больше информации в самой справке по данной команде.

Как я уже говорил выше, можно было просто использовать параметры команды «-a -b» и не париться с получением имени процесса командой «tasklist» Сделал я так специально, что бы вкратце продемонстрировать для общего понимания работу команды «tasklist»

Надеюсь, у меня получилось понятно ответить на вопрос, Как узнать открытые порты. И у Вас больше не возникнет сложностей, если Вам нужно будет узнать открытые порты и программы которые их используют.

2014-05-02 Комментарии: 16 Посмотров: 42674Помогла статья? Оставьте отзыв
5-3-2014Эльдар: lifevinet.ru

Довольно полезная информация. Можно будет на работе воспользоваться и проверить порты на сервере. Спасибо)

Ответить
5-3-2014Вера: port-mona.ru

ответ на ввод команды:

«netstat не является внутренней или внешней командой, исполняемой программой или пакетным файлом»

Следовательно, никакой список не появляется. Почему?

Ответить
    5-3-2014Админ

    Вера! Попробуйте указать полный путь до утилиты, вот так:
    C:\Windows\System32\netstat.exe -a -o
    Скопируйте и в командную строку, должно заработать!

    Ответить
      5-4-2014Вера

      Спасибо, получилось, но картина неприглядная:
      из 76 только 15 находятся в пределе «от 0 до 1023».
      А какой программой можно проверить порты? AVZ ещё ни разу ничего толкового не выдала кроме надписи: «Перехватчик не определён»

      Ответить
5-4-2014Админ

Вера! Раз полный путь до утилиты netstat сработал, а просто команда «netstat -a -o» нет, то у Вас явные проблемы с переменной «PATH» И будет правильно это исправить.

Скорее всего, значение переменной PATH было сбито какой-то программой… Нужно это исправить.

Откройте: Свойства компьютераДополнительные параметры системы. Далее на вкладке «Дополнительно» в самом низу кнопка «Переменные среды…» В списке «Системные переменный» найдите переменную «path» и кнопкой «Изменить» поменяйте её значение на это:

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;
%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\
….
Теперь команда «netstat » будет работать!

Что касается ПОРТОВ! попробуйте другой антивирус. Я не использую антивирусы для таких целей… так как, программа, которая открыла порт, может быть безобидной, а антивирус может ругаться на сетевую активность В общем как-то так)))
По этому все проверяю руками, беру имя файла и в инет собирать информацию.

Ответить
    5-4-2014Вера

    Спасибки!

    Ответить
      5-4-2014Админ

      Рад был помочь !!! ))

      Ответить
5-6-2014Арсений

Добрый день!)) Я хотел зарегистрировать в Вашем блоге. Но не нахожу такой кнопки. Как быть? Если что, кнопку включить можно в настройках WP.

Ответить
    5-6-2014Админ

    Приветствую, Арсений! Я не предусмотрел возможности регистрации пользователей на блоге!
    Зачем? ))) После регистрации пользователь не чего нового для себя не увидит ))

    Спасибо за комментарий )))

    Ответить
      5-6-2014Арсений

      Жутко хочу )) зарегаться тут :)

      Ответить
12-4-2015Сергей

При записи в файл ругается — «Отказано в доступе»

Ответить
    12-4-2015winkomp.ru: winkomp.ru

    Откройте CMD от администратора и выполните netstat -a -o > C:\Port.txt

    Ответить
12-5-2015Александр

Спасибо. Хорошие статьи. Поучительные. Многое подчерпнул.

Ответить
    12-5-2015winkomp.ru: winkomp.ru

    Александр и Вам спасибо, заходите — все самое интересное ещё впереди ))

    Ответить
6-9-2016Андрей

Полезная штука

Ответить
8-12-2016Артем

Спасибо за полезную статью!)) Немножко утолили мою жажду интересов)))

Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *