Мистер tails - IT блог

Проявляю IT активность в пределах третей от солнца планеты!

Главная страница » Как узнать открытые порты и поиск вредоносного ПО.

Как узнать открытые порты и поиск вредоносного ПО.


Но, прежде чем начать и приступить к выявлению открытых портов и программы, которые на них висят, я хотел-бы, для общего понимания пояснить простейшим языком, и рассказать вкратце о том, что такое порт и тип программ работающих по типу «Сервер – Клиент»

Что такое порт и тип программ Сервер – Клиент?

Как вы понимаете, я не буду особо глубоко вникать в суть вопроса, и рассказывать на техническом, сложном  языке о том, что такое порт, зачем он нужен итд. Я постараюсь коротко и на понятном языке объяснить для заинтересованных людей о том, что это такое и зачем!

Если говорить о вредоносных программах то ситуация выглядит вот так. Имеются две программы «Программа — Сервер» и «Программа – Клиент» Принцип работы подобных вещей такой:

Программа – Сервер: Всегда запускается на компьютере, к которому нужно получить не правомерный доступ.

Программа – Клиент: Запускается самим создателям или просто пользователем с целью управления удаленным компьютером!

Человек используя «Клиент» отправляет нужные ему команды, которые понимает сервер. Сервер в свою очередь принимает команды и выполняет соответствующие действия на удалённом компьютере.

Подобные вредоносные вещи, о которых идёт речь в данный момент имеют названия «BackDoor»  Один из типов вредоносного программного обеспечения.

Думаю тут понятно. Сервер запускается на компьютере, который нужно ограбить, клиент запускается на компьютере, с которого происходит атака.

Как происходит подключения?
Что бы «Клиент» имел возможность подключиться к «Серверу» и получить доступ к удалённому компьютеру «Сервер» открывает какой-то «ПОРТ» и ждёт подключения от клиента. Порт может быть открыт любой, но в диапазоне «От 0 до 65535» таковы ограничения протокола «TCP/IP»

В момент запуска «Сервера» происходит следующие: Программа – сервер открывает некий порт, например «3123» когда от клиента приходит запрос на порт «3123», сервер понимает, что это ему и обрабатывает полученные данные.

К слову: Клиент, всегда должен точно знать, на каком порту весит сервер.

Так как существуют и легальные программы, которые используют определённые порты, например почтовые клиенты, всегда забирают себе 25 порт для отправки почты и 110 для приёма. Существует множество других популярных программ и по этой причины для всех популярных вещей зарезервирован диапазон «От 0 до 1023»

Поэтому вредоносные программы редко использую номера портов из диапазона «От 0 до 1023». Если Вы заметили, что, например порт 3123 открыт, и Вы не способствовали его открытию, стоит убедиться, что порт используется легальной программой, в противном же случае стоит найти и завершить программу, которая открыла данный порт…

Как узнать открытые порты и программы, которые их используют?

Как я сказал выше, мы будем узнавать открытые порты средствами «Windows» не используя сторонние программы и тем более online сервисы. Для работы нам понадобится только командная строка.

Запускаем «cmd.exe» получаем список открытых портов, а так же «PID» процессов, которые используют порты. Для этого используем команду «netstat» с параметрами «-a -o» и для удобства сохраняем результат выполнения команды в файл «*.txt» на диск «С:\»

Конечный вариант команды такой:

netstat -a -o > C:\Port.txt

После нажатия клавиши «Enter» нужно будет немного подождать, не долго.

как узнать открытые порты

После выполнения команды на диске «С» появится файл «Port.txt» В этом файле мы можем узнать открытые порты и «PID» процессов, которыми заняты порты.

Просматривая файл можно заметить не один открытый порт на компьютере, а некоторые из них весьма подозрительные. На скриншоте ниже я отметил уже знакомый нам порт «3123» предлагаю посмотреть, какой программой он был открыт.

как узнать какие порты открыты

Для получения имени процесса по его «PID» используем команду «tasklist» и смотрим, что за гадость открыла на нашем компьютере данный порт.

Для справки: Можно было изначально использовать команду «netstat» с параметрами «-a -b» в этом случаи мы сразу получили бы имена процессов.

Результат выполнения команды «tasklist» так же сохраняем в файл на диск, для удобного просмотра.

Команда:

tasklist > C:\ PID.txt

в итоге получаем файл «PID.txt» и зная что порт «3123» открыла программа с «PID — 3264» находим его и смотрим имя процесса.

проверка открытых портов

Как видим имя программы «123.exe» не стал фантазировать, решил просто назвать «123» и все))

Именно эта программа открыла порт. Далее в диспетчере задачь смотрим место, где находится этот файл, и решаем, что с ним делать дальше.

Сбор информации о файле и портах:

После получения списка открытых портов, можно узнать о них больше информации. Просто воспользуйтесь поиском «google.ru» и смотрите, что пишут о том или ином порте, а затем уже делайте выводы.

Так же ищите в сети названия процессов, которые Вам кажутся подозрительными.

Можно найти много информации и узнать несет за собой такой-то процесс угрозу или нет. Дело в том, что некоторые системные процессы тоже могут открыть какой-то порт для своих целей и убивать их не нужно, так как, это может привести к каким-то сбоям в работе всей системы.

В заключении.
Мы узнали  — Как узнать открытые порты, на компьютере используя команду «netstat» Вы можете получить больше информации в самой справке по данной команде.

Как я уже говорил выше, можно было просто использовать параметры команды «-a -b» и не париться с получением имени процесса командой «tasklist» Сделал я так специально, что бы вкратце продемонстрировать для общего понимания работу команды «tasklist»

Надеюсь, у меня получилось понятно ответить на вопрос, Как узнать открытые порты. И у Вас больше не возникнет сложностей, если Вам нужно будет узнать открытые порты и программы которые их используют.


Комментариев: 16


Эльдар
Ответить
Довольно полезная информация. Можно будет на работе воспользоваться и проверить порты на сервере. Спасибо)
Вера
Ответить
ответ на ввод команды: "netstat не является внутренней или внешней командой, исполняемой программой или пакетным файлом" Следовательно, никакой список не появляется. Почему?
    Админ
    Ответить
    Вера! Попробуйте указать полный путь до утилиты, вот так: C:\Windows\System32\netstat.exe -a -o Скопируйте и в командную строку, должно заработать!
    Вера
    Ответить
    Спасибо, получилось, но картина неприглядная: из 76 только 15 находятся в пределе «от 0 до 1023». А какой программой можно проверить порты? AVZ ещё ни разу ничего толкового не выдала кроме надписи: «Перехватчик не определён»
Админ
Ответить
Вера! Раз полный путь до утилиты netstat сработал, а просто команда "netstat -a -o" нет, то у Вас явные проблемы с переменной "PATH" И будет правильно это исправить. Скорее всего, значение переменной PATH было сбито какой-то программой... Нужно это исправить. Откройте: Свойства компьютера - Дополнительные параметры системы. Далее на вкладке "Дополнительно" в самом низу кнопка "Переменные среды..." В списке "Системные переменный" найдите переменную "path" и кнопкой "Изменить" поменяйте её значение на это: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;
%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\ .... Теперь команда "netstat " будет работать! Что касается ПОРТОВ! попробуйте другой антивирус. Я не использую антивирусы для таких целей... так как, программа, которая открыла порт, может быть безобидной, а антивирус может ругаться на сетевую активность В общем как-то так))) По этому все проверяю руками, беру имя файла и в инет собирать информацию.
    Вера
    Ответить
    Спасибки!
    Админ
    Ответить
    Рад был помочь !!! ))
Арсений
Ответить
Добрый день!)) Я хотел зарегистрировать в Вашем блоге. Но не нахожу такой кнопки. Как быть? Если что, кнопку включить можно в настройках WP.
    Админ
    Ответить
    Приветствую, Арсений! Я не предусмотрел возможности регистрации пользователей на блоге! Зачем? ))) После регистрации пользователь не чего нового для себя не увидит )) Спасибо за комментарий )))
    Арсений
    Ответить
    Жутко хочу )) зарегаться тут :)
Сергей
Ответить
При записи в файл ругается - "Отказано в доступе"
    lwin.ru
    Ответить
    Откройте CMD от администратора и выполните netstat -a -o > C:\Port.txt
Александр
Ответить
Спасибо. Хорошие статьи. Поучительные. Многое подчерпнул.
    lwin.ru
    Ответить
    Александр и Вам спасибо, заходите - все самое интересное ещё впереди ))
Андрей
Ответить
Полезная штука
Артем
Ответить
Спасибо за полезную статью!)) Немножко утолили мою жажду интересов)))

Оставить комментарий