使用fport与Mport进行端口安全检查

通过本案例可以学习到：（1）在DOS提示符或者Telnet等类似Shell状态下如何检测端口（ 2）使用 fport、mport、pskill 等工具检测和杀死木马程序Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及 它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。其早期版本不支持 Windows Xp操作系统，其最新版本为2.0。mport.exe跟fport.exe实现的功能差不多，运 行fport需要管理员权限，而mport可以在Windows NT、Windows 2000、Windows XP以及 Windows 2000等操作系统中运行，但是mport无其它参数。Fport可以带参数，其命令格式 为Fport /参数，其参数含义如下：? 使用帮助p 按照端口进行排序a 按照应用程序进行排序i 按照PID号进行排序ap 按照应用程序路径进行排序（1）使用mport查看系统打开的端口和网络连接情况。进入DOS提示符，并到mport 当前路径下，直接输入mport即可列出系统中网络协议、IP地址、端口、连接地址、状态 以及进程等信息，如图1所示。MetcorCSlacktMjit; Th(& PrE?tgTCPTCPStateLISTENINGLISTEHINGLISTBNMG LISTENING LISTENING LISTENING UETENINCi 14STH1ING LISTENiHG TIHt.UfilJFptaign AHTe示歩B.0.9.059S0-0a0.S5ii77Hopper V1.1 For MTzZK/XPIg kcS2636砒 IbVs bv exe - 3712 ALsIkHkiiSu .exe =3632 0$ hH晶 xv-flxc ?3&32 alrilaiSu.exe；3b32 ?7?3S16127,13.0.1:1034 127.0.0.1:12025 127.0.0.1：120BB 127-0-8.i：12ll0 127,0.8,1：121i 127.0.0.1=12143 192.168 ：L13 书 192.160ul.h：10868KH.flvHs3874e.0.0rB：41358.0.0.0=2144B 0.9.0=166320.er0.0：26867B.B.O.B：248260-0.0.0573942B2,J02.210a74;499g沪L启叭! li： Win MPPdri|55e.0.B.8：35127.0.0.1-895svehosfft cxc i npnrtTGFXIP Proeess To Porti92.168.124.1=139192 ate an丄今 0 + 0.0：509H.0.e.B：ie2&0.0.0/0=329360,8.0-B：2128CLOSE. WRITLTSTEH1NG LISTENINGIJDP IJDP IJDP JDP JDP IJDP JDF JDF8,U,B.Bl4S8a127.0.0,15113192.168.1.61123 192x166.1.6:137192.168.l6U3ft19.168.1IflaatS 丄盘4亠丄兰123Systam-4孵丄曰苗二昨o pern wprtfts exi: 1 轉怎dljj 县xei -2636 nn hHft &$：u - e see & aslnVobSu .ex ：3?12 alkHiSu .exi -3S32 砒hHziJS讥靶Ma ：3&32 ai IiJIli. *u , e x.e : T?t=3Bi6IS vs ts pi Proc bss Kflw M.eJ DP JDPJ DPJ DPvh 5l PSLI3：t up192. L6B.124,1U37 l?2.1b6.124.1：138L?2.16B.i24ail9&fl192.168.239.1=123图1使用mport查看端和连接说明(1) 如果通过mport查出来的程序如果是木马程序，则需要知道其进程后面的数字， 该数字就是PID号。(2) 使用pskillpid杀死木马程序进程，例如要杀死alg.exe,则输入pskill 2180 即可。(3) 使用fport查看系统网络连接和端情况。操作系统中自带的netstat.exe程序 只能查看应用程序打开的端以及对外连接情况，不能查看其对应端和连接的应用程序名 称和路径。输入fport /ap命令，按照应用程序路径来查看端开放情况，如图2所示。图 2 使用 fport 查看端口情况说明(1) 使用fport必须具有管理员权限，fport可以查看程序的具体路径，通过路径以 及名称可以判断程序是正常程序还是木马程序打开的端口。(2) 通过fport找到木马程序的路径后，使用pskill结束进程，然后到到其相应的路 径下将该木马程序删除掉。小结一般情况下不使用 fport 和 mport 来查看端口开放情况，在有一些特殊情况下，系统或 者木马程序禁止使用GUI程序时，就需要使用fport、mport、pskill、pulist等Dos下的 软件来查看网络连接情况、端口开放情况、应用程序路径、PID等，然后使用pskill工具 结束进程。总的来说fport和mport是一款不错安全检测辅助工具。