使用fport与Mport进行端口安全检查.doc

通过本案例可以学习到：     （1）在DOS提示符或者Telnet等类似Shell状态下如何检测端口     （2）使用fport、mport、pskill等工具检测和杀死木马程序     Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。其早期版本不支持Windows Xp操作系统，其最新版本为2.0。mport.exe跟fport.exe实现的功能差不多，运行fport需要管理员权限，而mport可以在Windows NT、Windows 2000、Windows XP以及Windows 2000等操作系统中运行，但是mport无其它参数。Fport可以带参数，其命令格式为"Fport /参数"，其参数含义如下：     ? 使用帮助     p   按照端口进行排序     a   按照应用程序进行排序     i    按照PID号进行排序     ap   按照应用程序路径进行排序     （1） 使用mport查看系统打开的端口和网络连接情况。进入DOS提示符，并到mport当前路径下，直接输入mport即可列出系统中网络协议、IP地址、端口、连接地址、状态以及进程等信息，如图1所示。     图1 使用mport查看端口和连接     说明     （1）如果通过mport查出来的程序如果是木马程序，则需要知道其进程后面的数字，该数字就是PID号。     （2）使用"pskill pid"杀死木马程序进程，例如要杀死alg.exe，则输入"pskill 2180"即可。     （3）使用fport查看系统网络连接和端口情况。操作系统中自带的netstat.exe程序只能查看应用程序打开的端口以及对外连接情况，不能查看其对应端口和连接的应用程序名称和路径。输入"fport /ap"命令，按照应用程序路径来查看端口开放情况，如图2所示。     图2 使用fport查看端口情况     说明     （1）使用fport必须具有管理员权限，fport可以查看程序的具体路径，通过路径以及名称可以判断程序是正常程序还是木马程序打开的端口。     （2）通过fport找到木马程序的路径后，使用pskill结束进程，然后到到其相应的路径下将该木马程序删除掉。     小结     一般情况下不使用fport和mport来查看端口开放情况，在有一些特殊情况下，系统或者木马程序禁止使用GUI程序时，就需要使用fport、mport、pskill、pulist等Dos下的软件来查看网络连接情况、端口开放情况、应用程序路径、PID等，然后使用pskill工具结束进程。总的来说fport和mport是一款不错安全检测辅助工具。