使用fport与Mport进行端口安全检查

通过本案例可以学习到：（1）在DOS提示符或者Telnet等类似Shell状态下如何检测端口（2）使用fport、mport、pskill等工具检测和杀死木马程序Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。其早期版本不支持WindowsXp操作系统，其最新版本为2.0。mport.exe跟fport.exe实现的功能差不多，运行fport需要管理员权限，而mport可以在WindowsNT、Windows2000、WindowsXP以及Windows2000等操作系统中运行，但是mport无其它参数。Fport可以带参数，其命令格式为"Fport/参数"，其参数含义如下：?使用帮助p按照端口进行排序a按照应用程序进行排序i按照PID号进行排序ap按照应用程序路径进行排序（1）使用mport查看系统打开的端口和网络连接情况。进入DOS提示符，并到mport当前路径下，直接输入mport即可列出系统中网络协议、IP地址、端口、连接地址、状态以及进程等信息，如图1所示。MetcorCSlacktMjit;>Th(&PrE?tgTCPTCPStateLISTENINGLISTEHINGLISTBNMGLISTENINGLISTENINGLISTENINGUETENINCi14STH1INGLISTENiHGTIHt.UfilJFptaignAHTe示歩B.0.9.0"59S<0-0a0.S5i«i77HopperV1.1ForMTzZK/XP«Ig»«kcS2636砒IbVsb£v・exe-3712ALsIkHkiiSu.exe=36320$hH晶MetcorCSlacktMjit;>Th(&PrE?tgTCPTCPStateLISTENINGLISTEHINGLISTBNMGLISTENINGLISTENINGLISTENINGUETENINCi14STH1INGLISTENiHGTIHt.UfilJFptaignAHTe示歩B.0.9.0"59S<0-0a0.S5i«i77HopperV1.1ForMTzZK/XP«Ig»«kcS2636砒IbVsb£v・exe-3712ALsIkHkiiSu.exe=36320$hH晶x^v-flxc?3&32a^lrilaiSu.exe；3b32?7?£3S16127,13.0.1:1034127.0.0.1:12025127.0.0.1：120BB127-0-8.i：12ll0127,0.8,1：121i»127.0.0.1=12143192.168・：L・£±13书192.160ul.h：10868KH.flvHs38¥74e.0.0rB：41358.0.0.0=2144B0.9.0=166320.er0.0：26867B.B.O.B：248260-0.0.0^573942B2,J02.210a74;4«99g沪L启叭!li：WinMPPdri|^55e.0.B.8：£35127.0.0.1-895svehosfft・cxci<72opanupn占客.exa=1476E快霆方朮到CID.EMH4-^in^E>npnrtTGFXIPProeessToPorti92.168.124.1=139192atean丄今0^+0.0：509H.0.e.B：ie2&0.0.0/0=329360,8.0-B：2128CLOSE.WRITLTSTEH1NGLISTENINGIJDPIJDPIJDPJDPJDPIJDPJDFJDF8,U,B.Bl4S8a127.0.0,15113192.168.1.61123192x166.1.6:137192.168.l«6U3ft19^.168.1IflaatS■丄盘4亠丄兰123Systam-4£孵丄曰苗二昨opernwprtfts・ex^i:1轉怎■dljj・县xei-2636nnhHft&$：u-esee&aslnVobSu.ex^：3?12a^lkH^iSu.ex«i-3S32砒hHziJS讥靶Ma：3&32a^iIiJIli.*^u,ex.e:T?t=3Bi6ISvstspiProcbssKflwM.eJDPJDPJDPJDPv<h5lPSLI3：tup192.L6B.124,1U37l?2.1b6.124.1：138L?2.16B.i24ail9&fl192.168.239.1=123图1使用mport查看端□和连接说明如果通过mport查出来的程序如果是木马程序，则需要知道其进程后面的数字，该数字就是PID号。使用"pskillpid"杀死木马程序进程，例如要杀死alg.exe,则输入"pskill2180"即可。使用fport查看系统网络连接和端□情况。操作系统中自带的netstat.exe程序只能查看应用程序打开的端□以及对外连接情况，不能查看其对应端□和连接的应用程序名称和路径。输入"fport/ap"命令，按照应用程序路径来查看端□开放情况，如图2所示。

图2使用fport查看端口情况说明使用fport必须具有管理员权限，fport可以查看程序的具体路径，通过路径以及名称可以判断程序是正常程序还是木马程序打开的端口。通过fport找到木马程序的路径后，使用pskill结束进程，然后到到其相应的路径下将该木马程序删除掉。小结一般情况下不使用fport和mport来查看端口开放情况，在有一些特殊情况下，系统或者