:::

軟體應用 hirokofan - 軟體應用 | 2011-10-30 | 人氣:3658

TCPView是SysinternalsSuite中的一個程式,他可以秀出現在電腦的網路連線狀態,功能和netstat差不多但更方便。在資安預警情報的警報單中有提到這個程式,目的就是要靠他來檢查是否有預期以外的程式和黑名單IP連接(以連到遠端的IP和port識別)

開啟後會像這樣子,哪些程式用了什麼協定,本地端、遠端使用的port是什麼都會顯示出來。作業系統開的port則會在State那邊顯示「LISTENING」,各port的用途可參考維基百科這篇TCP/UDP埠列表,如果監聽的不是系統內建也不是使用者自己開的port,就要注意是不是被開後門了。(比如說不是網站伺服器卻在聽80port一定有問題)

如果字體太小可以從Options裡面調Font,預設是8,我都調到10。如果要讓TCPView的視窗在桌面最上方顯示,就在這選Always On Top。

按下工具列上的「A」可以取消反解,DomainName會變成IP,port名稱也會變成數字。

按下工具列上那隻蔥....只會秀出已經連線的。

在程式上面按右鍵,可以選ProcessProperties來看程式的資訊,如果要關閉程式就點EndProcess。(這一部份是procexp比較強,procexp還可以馬上丟到搜尋引擎去找。)

像這個是firefox,廠商、路徑都沒有問題。(有些惡意程式會用同名檔案放在別的目錄下讓使用者無法察覺)

如果覺得連過去的網站有問題,可以用who is來查詢,或是直接CloseConnection切斷。(cwb.hinet.net是中央氣象局,氣象局的網站在hinet上)

who is查詢的結果,這個是google的。