在Win7系統(tǒng)中，如何才能快速的找到潛伏在系統(tǒng)中的木馬呢？用殺毒軟件，木馬防火墻，還是安全衛(wèi)士？其實(shí)不用這么麻煩，我們只需用到Win7系統(tǒng)中的一個(gè)命令netstat（該命令在WinXP和Vista中同樣可以使用），就可以通過檢測網(wǎng)絡(luò)連接來判定系統(tǒng)是否有木馬。這個(gè)netstat命令真的有如此之大的威力？讓我們來看看吧。

　　★編輯提示：用好netstat命令，木馬無處逃

　　netstat是一個(gè)DOS命令，是一個(gè)監(jiān)控TCP/IP網(wǎng)絡(luò)的非常有用的工具，它可以顯示路由表、實(shí)際的網(wǎng)絡(luò)連接以及每一個(gè)網(wǎng)絡(luò)接口設(shè)備的狀態(tài)信息。netstat用于顯示與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計(jì)數(shù)據(jù)，一般用于檢驗(yàn)本機(jī)各端口的網(wǎng)絡(luò)連接情況。簡單的說，netstat命令可以檢查當(dāng)前電腦與網(wǎng)絡(luò)的連接。那么這和檢測木馬有什么關(guān)系呢？因?yàn)槟抉R與外界進(jìn)行通信，需要打開一個(gè)端口，而這個(gè)端口就可以被netstat命令所檢測到。另外，netstat命令配合不同的參數(shù)，可以達(dá)到更好的檢測效果，甚至可以還配合其他的命令干掉木馬的進(jìn)程，讓木馬報(bào)廢。

　　netstat命令的使用

點(diǎn)擊“開始”菜單→“運(yùn)行”，輸入“cmd”運(yùn)行“命令提示符”，輸入：“netstat -an”命令并回車， 這個(gè)命令能看到所有和本地計(jì)算機(jī)建立連接的IP，它包含四個(gè)部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過這個(gè)命令的詳細(xì)信息，我們就可以完全監(jiān)控計(jì)算機(jī)上的連接，從而達(dá)到控制計(jì)算機(jī)的目的。通常我們使用這個(gè)命令就足夠了，另外我們還可以通過附帶一些參數(shù)來實(shí)現(xiàn)更多的檢測。

▲netstat命令運(yùn)行參數(shù)用

　　netstat命令結(jié)束木馬進(jìn)程

　　下面我們嘗試用netstat命令配合其他的命令來結(jié)束木馬進(jìn)程。輸入如下命令：netstat -an -o并回車，-o參數(shù)的作用是顯示擁有的與每個(gè)連接關(guān)聯(lián)的進(jìn)程ID，也就是進(jìn)程的PID值，每個(gè)顯示的網(wǎng)絡(luò)連接后面都會顯示其PID值。如果你發(fā)現(xiàn)了其中有可疑的網(wǎng)絡(luò)連接，那么把其PID值記錄下來。

▲nnetstat命令顯示網(wǎng)絡(luò)連接PID

　　按下“Ctrl”+“Shift”+“Esc”鍵運(yùn)行“任務(wù)管理器”，點(diǎn)擊“查看”菜單→“選擇列”，勾選其中的“PID（進(jìn)程標(biāo)識符）選項(xiàng)，點(diǎn)擊確定。然后切換到“進(jìn)程”標(biāo)簽，通過剛才記下的PID值在“任務(wù)管理器”中找到相應(yīng)的進(jìn)程。如果你對該進(jìn)程不熟悉，在Win7的任務(wù)管理器中，有對進(jìn)程的描述，通過描述我們就可以了解該進(jìn)程是否安全了。

▲n通過PID查找對應(yīng)進(jìn)程

　　如果確信該進(jìn)程有問題，那么我們就可以使用“Tasklist”命令來結(jié)束該進(jìn)程。回到“命令提示符”中，輸入命令“Taskkill /pid 1234”結(jié)束進(jìn)程，1234即危險(xiǎn)進(jìn)程的PID值。這樣木馬的進(jìn)程就結(jié)束了，這時(shí)我們就可以通過殺毒軟件對木馬進(jìn)行查殺，將木馬清除干凈。