然后在“扫描类型”栏中选中“所有端口定义”单选项,在后面的空白栏中输入“1-65535”,这表示要扫描目标机器“1-65535”的端口。点击“开始”按钮,SuperScan就开始扫描目标机器的端口,并在下方的列表框中显示出开放的端口号,用户就可知道本地系统中有哪些端口开放了,如果发现不熟悉的端口号可以通过网络查询“常用端口对应表”,了解相关端口号的具体情况。
提示:常用端口对应表请参看http://www.mh.fy.cn/2005/常用网络端口对应表.txt。
3.如何辨别漏洞
如果碰到某些高端端口已开放,而且在“常用端口对应表”中无法查找到时,你就得留意了。为了防止可疑的高端端口对本地系统带来安全隐患,或引来致命攻击,建议大家在第一时间内升级病毒和网络防火墙,即时查杀和封堵系统中存在的可疑程序。
方法总结:利用SuperScan虽然可以清楚地查看本地系统的端口开放情况,但它有很大的不足。你找到的可疑端口一定就是病毒或木马留下的后门吗?这个很难说,也许这个端口是你不了解的本地系统中的正常应用程序所使用的端口,如果不假思索封闭该端口,很可能会影响系统的运行。
窗户打开了,但进来的一定就是新鲜空气吗?它也很可能是蚊虫和细菌乘虚而入的通道。要想保证本地系统的安全,必须快速、准确地找出哪些是高危险端口。
笔者刚才提到了SuperScan对端口进行自检的不足,那么如何才能确定某个端口就是“恐怖分子”所为呢?单纯通过端口号进行判断会证据不足的,这时不妨利用与该可疑端口相关联的进程来取证,找到使用该端口的进程,通过分析它的进程名、路径和主程序名,来进行锁定。这样一来,对可疑端口地判断就比较准确了。
Windows系统自带的命令或工具无法查看端口和进程的关联,这时不妨考虑动用第三方工具(如Fport和Active Ports等)。下面笔者就介绍一下如何查看端口与进程的关联。
小知识:关联
所谓端口和进程的关联,是指某个程序的进程使用哪个或哪些通信端口进行通信,这样一来进程就会和这些通信端口建立起联系,这就是大家所说的关联。
1.快捷,用命令查关联
Fport(下载地址:http://www.foundstone.com/knowledge/zi /fport.zip)是一个命令行工具,在Windows系统“命令提示符”窗口中运行“Fport”命令后回车,就会显示本地系统中所有进程的通信情况,而且每个进程项目所包含的信息都很详细。