Главная » Безопасность » Как узнать открытые порты и поиск вредоносного ПО.

Как узнать открытые порты и поиск вредоносного ПО.

2014-05-02 16 46298 Обратная связь

Но, прежде чем начать и приступить к выявлению открытых портов и программы, которые на них висят, я хотел-бы, для общего понимания пояснить простейшим языком, и рассказать вкратце о том, что такое порт и тип программ работающих по типу «Сервер – Клиент»

Что такое порт и тип программ Сервер – Клиент?

Как вы понимаете, я не буду особо глубоко вникать в суть вопроса, и рассказывать на техническом, сложном  языке о том, что такое порт, зачем он нужен итд. Я постараюсь коротко и на понятном языке объяснить для заинтересованных людей о том, что это такое и зачем!

Если говорить о вредоносных программах то ситуация выглядит вот так. Имеются две программы «Программа — Сервер» и «Программа – Клиент» Принцип работы подобных вещей такой:

Программа – Сервер: Всегда запускается на компьютере, к которому нужно получить не правомерный доступ.

Программа – Клиент: Запускается самим создателям или просто пользователем с целью управления удаленным компьютером!

Человек используя «Клиент» отправляет нужные ему команды, которые понимает сервер. Сервер в свою очередь принимает команды и выполняет соответствующие действия на удалённом компьютере.

Подобные вредоносные вещи, о которых идёт речь в данный момент имеют названия «BackDoor»  Один из типов вредоносного программного обеспечения.

Думаю тут понятно. Сервер запускается на компьютере, который нужно ограбить, клиент запускается на компьютере, с которого происходит атака.

Как происходит подключения?
Что бы «Клиент» имел возможность подключиться к «Серверу» и получить доступ к удалённому компьютеру «Сервер» открывает какой-то «ПОРТ» и ждёт подключения от клиента. Порт может быть открыт любой, но в диапазоне «От 0 до 65535» таковы ограничения протокола «TCP/IP»

В момент запуска «Сервера» происходит следующие: Программа – сервер открывает некий порт, например «3123» когда от клиента приходит запрос на порт «3123», сервер понимает, что это ему и обрабатывает полученные данные.

К слову: Клиент, всегда должен точно знать, на каком порту весит сервер.

Так как существуют и легальные программы, которые используют определённые порты, например почтовые клиенты, всегда забирают себе 25 порт для отправки почты и 110 для приёма. Существует множество других популярных программ и по этой причины для всех популярных вещей зарезервирован диапазон «От 0 до 1023»

Поэтому вредоносные программы редко использую номера портов из диапазона «От 0 до 1023». Если Вы заметили, что, например порт 3123 открыт, и Вы не способствовали его открытию, стоит убедиться, что порт используется легальной программой, в противном же случае стоит найти и завершить программу, которая открыла данный порт…

Как узнать открытые порты и программы, которые их используют?

Как я сказал выше, мы будем узнавать открытые порты средствами «Windows» не используя сторонние программы и тем более online сервисы. Для работы нам понадобится только командная строка.

Запускаем «cmd.exe» получаем список открытых портов, а так же «PID» процессов, которые используют порты. Для этого используем команду «netstat» с параметрами «-a -o» и для удобства сохраняем результат выполнения команды в файл «*.txt» на диск «С:\»

Конечный вариант команды такой:

netstat -a -o > C:\Port.txt

После нажатия клавиши «Enter» нужно будет немного подождать, не долго.

как узнать открытые порты

После выполнения команды на диске «С» появится файл «Port.txt» В этом файле мы можем узнать открытые порты и «PID» процессов, которыми заняты порты.

Просматривая файл можно заметить не один открытый порт на компьютере, а некоторые из них весьма подозрительные. На скриншоте ниже я отметил уже знакомый нам порт «3123» предлагаю посмотреть, какой программой он был открыт.

как узнать какие порты открыты

Для получения имени процесса по его «PID» используем команду «tasklist» и смотрим, что за гадость открыла на нашем компьютере данный порт.

Для справки: Можно было изначально использовать команду «netstat» с параметрами «-a -b» в этом случаи мы сразу получили бы имена процессов.

Результат выполнения команды «tasklist» так же сохраняем в файл на диск, для удобного просмотра.

Команда:

tasklist > C:\ PID.txt

в итоге получаем файл «PID.txt» и зная что порт «3123» открыла программа с «PID — 3264» находим его и смотрим имя процесса.

проверка открытых портов

Как видим имя программы «123.exe» не стал фантазировать, решил просто назвать «123» и все))

Именно эта программа открыла порт. Далее в диспетчере задачь смотрим место, где находится этот файл, и решаем, что с ним делать дальше.

Сбор информации о файле и портах:

После получения списка открытых портов, можно узнать о них больше информации. Просто воспользуйтесь поиском «google.ru» и смотрите, что пишут о том или ином порте, а затем уже делайте выводы.

Так же ищите в сети названия процессов, которые Вам кажутся подозрительными.

Можно найти много информации и узнать несет за собой такой-то процесс угрозу или нет. Дело в том, что некоторые системные процессы тоже могут открыть какой-то порт для своих целей и убивать их не нужно, так как, это может привести к каким-то сбоям в работе всей системы.

В заключении.
Мы узнали  — Как узнать открытые порты, на компьютере используя команду «netstat» Вы можете получить больше информации в самой справке по данной команде.

Как я уже говорил выше, можно было просто использовать параметры команды «-a -b» и не париться с получением имени процесса командой «tasklist» Сделал я так специально, что бы вкратце продемонстрировать для общего понимания работу команды «tasklist»

Надеюсь, у меня получилось понятно ответить на вопрос, Как узнать открытые порты. И у Вас больше не возникнет сложностей, если Вам нужно будет узнать открытые порты и программы которые их используют.


2014-05-02 16 46298

Вы можете оставить комментарий, заполнив только поле для текста комментария. Поля «Имя» и «Сайт» заблокированы, так как были внесены поправки в законе «152 фз о персональных данных» Да! Мы можем, разместить на сайте «пользовательское соглашение» и вернуть форму комментариев в адекватное состояние.

Но делать этого, мы, конечно же не будем!

Комментариев: 16

  • Аноним:

    Довольно полезная информация. Можно будет на работе воспользоваться и проверить порты на сервере. Спасибо)

  • Аноним:

    ответ на ввод команды:

    «netstat не является внутренней или внешней командой, исполняемой программой или пакетным файлом»

    Следовательно, никакой список не появляется. Почему?

    • Аноним:

      Вера! Попробуйте указать полный путь до утилиты, вот так:
      C:\Windows\System32\netstat.exe -a -o
      Скопируйте и в командную строку, должно заработать!

    • Аноним:

      Спасибо, получилось, но картина неприглядная:
      из 76 только 15 находятся в пределе «от 0 до 1023».
      А какой программой можно проверить порты? AVZ ещё ни разу ничего толкового не выдала кроме надписи: «Перехватчик не определён»

  • Аноним:

    Вера! Раз полный путь до утилиты netstat сработал, а просто команда «netstat -a -o» нет, то у Вас явные проблемы с переменной «PATH» И будет правильно это исправить.

    Скорее всего, значение переменной PATH было сбито какой-то программой… Нужно это исправить.

    Откройте: Свойства компьютераДополнительные параметры системы. Далее на вкладке «Дополнительно» в самом низу кнопка «Переменные среды…» В списке «Системные переменный» найдите переменную «path» и кнопкой «Изменить» поменяйте её значение на это:

    %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;
    %SYSTEMROOT%\System32\WindowsPowerShell\v1.0\
    ….
    Теперь команда «netstat » будет работать!

    Что касается ПОРТОВ! попробуйте другой антивирус. Я не использую антивирусы для таких целей… так как, программа, которая открыла порт, может быть безобидной, а антивирус может ругаться на сетевую активность В общем как-то так)))
    По этому все проверяю руками, беру имя файла и в инет собирать информацию.

  • Аноним:

    Добрый день!)) Я хотел зарегистрировать в Вашем блоге. Но не нахожу такой кнопки. Как быть? Если что, кнопку включить можно в настройках WP.

    • Аноним:

      Приветствую, Арсений! Я не предусмотрел возможности регистрации пользователей на блоге!
      Зачем? ))) После регистрации пользователь не чего нового для себя не увидит ))

      Спасибо за комментарий )))

    • Аноним:

      Жутко хочу )) зарегаться тут :)

  • Аноним:

    При записи в файл ругается — «Отказано в доступе»

    • Аноним:

      Откройте CMD от администратора и выполните netstat -a -o > C:\Port.txt

  • Аноним:

    Спасибо. Хорошие статьи. Поучительные. Многое подчерпнул.

    • Аноним:

      Александр и Вам спасибо, заходите — все самое интересное ещё впереди ))

  • Аноним:

    Полезная штука

  • Аноним:

    Спасибо за полезную статью!)) Немножко утолили мою жажду интересов)))

  • Оставить комментарий



    Параграф с текстом 3