currports

介绍&使用 CurrPorts是一个检测连接工具，可以列出所有TCP和UDP的连接以及打开的端口、应用程序等。 CurrPorts运行后即可看到应用程序的进程名称、进程id、协议、本地端口、本地地址、远程端口、远程地址、进程路径等信息，如下图。 点击标题栏相应的项，可根据相应项进行排序，例如点击进程id后，id会从小到大进行排列，如下图。 选中某一个应用程序，双击可显示其详细信息，例如双击谷歌浏览器进程，显示信息如下图。 对于可疑的应用程序，怀疑为木马病毒时，可以点击右键选择close selected tcp connections，即关闭选定的tcp连接，进行关闭，然后观察该程序是否会打开新的端口，如果还会自动打开新端口，则可以定位到该程序的具体位置，根据程序的路径、名称等信息进行进一步的判断。 Currports也支持多个进程选中进行关闭操作，同时currports也可以将列表信息进行报告导出，为html格式，在view菜单栏下的html report即可导出，如下图。 Procexp 使用 对于currports检测出的可以程序，我们可以使用procexp来进一步判断，判断依据可以根据之前介绍autoruns使用时的方法，看下描述以及公司信息等来确定，如下图。 再一个，可以多关注下进程的数量，如果一个进程有两个进程树，而本地又只登录了一个用户的情况下