不要以为只有专业的大软件才可以追踪木马的踪迹,微软的工具软件PortReporter就可以完成对本机网络通讯进行记录和分析的功能,她不仅扫描计算机目前正在打开的TCP和UDP端口,而且可以跟踪记录TCP和UDP端口变化过程,比如木马悄悄打开的端口或者其他用户远程登录你的计算机上传一些乱七八糟的文件,所做的一切都被PortReporter详细的记录下了,通过分析日志就一目了然了。即使你使用不同的帐号登录计算机,PortReporter依然忠实的记录所有使用者的帐号和登录后所有网络通讯作为。日志是以文本文件的格式保存的,用记事本就可以打开。
一、安装和卸载PortReporter
PortReporter可以安装在Microsoft Windows Server 2003, Microsoft Windows XP, or Microsoft Windows 2000操作系统上,不要提Windows 98,微软公司已经不再提供对Windows 98的技术支持,虽然微软公司依然提供对Windows 2000的技术支持,但是PortReporter在2000上不能充分发挥她的效能。在Windows Server 2003 和基于Windows XP内核技术的计算机上,这个服务可以提供多种功能:监视正在使用的端口,端口对应的进程,这个进程是应用程序还是系统的服务,已经该进程打开的模块,还有使用者的帐号等,而在2000系列操作系统上,这个服务只记录什么时候哪些端口被使用。这个只有153K大的软件可以从微软的网站上免费下载:
图 1
下载下来的是一个自解压的EXE文件,还原后得到4个文件如图2中显示。
图 2
安装时只需要执行其中的Pr-Setup.exe 文件就可以了,通过这个程序来安装Port Reporter服务,Pr-Setup.exe安装过程重要做了两项工作:
- 一是增加下面的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\PortReporter - 再是安装Port Reporter服务,使用户在控制台中能够控制该服务的启动和停止。
Pr-Setup.exe有2个参数-D和-U
- -D
> 允许用户把Port Reporter安装到指定目录,比如你可以将Port Reporter安装到d:\tools\port reporter\下就使用这个参数。如果不带任何参数直接允许Pr-Setup.exe那么Port Reporte安装在drive:\Program Files\PortReporter目录中。
>
> 图3显示的是默认安装时的过程
>
> 
>
> 图 3
- -U
> 执行pr-setup.exe -u就可以卸载Port Reporter。
> 二、配置Port Reporter服务
>
>> 安装完成后Port Reporter服务并不立即起作用,要运行它就必须手工启动这个服务。打开管理工具中的服务对话框,如图4所示启动服务,服务启动之后没有任何的提示,其实这个时候它已经在记录了。
>
> 
>
> 图 4
>
> 2个小技巧:启动服务时,如果不使用任何参数,日志文件被放在%systemroot%\System32\LogFiles\PortReporter目录中,如果没有这个目录,启动服务时会自动新建该目录。
>
>
> * 第一个技巧就是使用参数 -ld 可以指定日志保存目录,如果你的计算机有多人同时用,把日志保存到你的个人目录不是更安全吗。比如可以这样输入参数:-ld ‘c:\program files\port reporter’。这样你的日志就被保存到c:\program files\port reporter目录了。
>
> * 第二个技巧是修改日志文件大小,默认启动时日志最大为5M,超过5M后,就建新的日志文件。使用 -ls参数可以设置日志文件大小(1M-100M),比如设置日志文件大小为8M:-ls 8000,注意这里的单位是KB。图5设置启动参数。
>
>
> 
>
> 图 5
>
> 不过在Windows XP中文版下用-ld时不成功,显示错误如图6
>
> 
>
> 图 6
>
> 三、日志的浏览
>
> 打开保存日志文件的目录,默认是%systemroot%\System32\LogFiles\PortReporter,如果你使用-LD修改了保存位置打开相应的目录,进入这个目录,我们可以看到三个文件 :
>
> PR-INITIAL-.log
> PR-PORTS-.log
> PR-PIDS-.log
>
> 
>
> 图 7
>
> 其中代表日志文件创建时间,格式是year-month-day-hour-minute-second比如图中文件的创建时间是2004年3月21日10时27分17秒。图中有6个文件是因为我修改了系统时钟造成的,PortReporter忠实的记录了这一过程。
>
> PR-INITIAL-.log文件
>
>> 这个文件主要记录了服务启动初始化的时候整个系统里面所有进程对网络的使用情况。具体每个人计算机不同,花费的时间不同,当然记录的内容也不同。
>>
>> 
>>
>> 图 8
>>
>> 上图显示的是在2000启动服务得到的日志,其中的表头含义是:PID:Process(进程号)Port(端口)Local IP(本地IP)State(状态) Remote IP:Port(远程IP和端口)。图中显示我打开了WINVNC的服务端口5905/5805,并且有一台IP为61.53.187.237的远程计算机正在连接(ESTABLISHED/活动连接状态)我的计算机(本地IP219.154.214.162);图中还显示我打开了8085-8093端口,这几个端口是提供WWW服务打开的端口(LISTENING/侦听状态),不是默认的80。
>>
>> 如果日志文件比较大,浏览起来就费力了,这一点不如有些专业软件直观,如果能有树型结构就更方便阅读了,不过这个软件毕竟才153K,功能奢侈不到那去。另外,PID也可以通过任务管理器看到:单击进程选项卡,如果没有 PID 列,请单击查看、选择列,然后单击选中"PID"(进程标识符)复选框。单击标为"PID"的列标题,按进程的 PID 对进程进行排序。这样,就可以轻易找到进程 ID。netstat -ano 命令可用来确定哪个进程(程序)侦听给定的端口。
>
> PR-PIDS-.log文档
>
>> 它针对每个PID都做了记录,也就是端口对应的进程。 如果有新的程序被安装并且使用了新的UDP端口,那么这个文件将记录有关变化。
>
> PR-PORTS-*.log文件
>
>> 这个文件记录了当前所有侦听端口,并且记录了每个端口所对应的应用程序(也许其中就有木马)。如果你浏览了网页比如WWW.163.COM,或者打开了应用程序(QQ),该文件都做了详细的记录,包括通讯时间,两端IP和端口等信息,是不是有点被监视的感觉,显然木马也逃脱不了监视。PR-PORTS的格式是这样的
> date,time,protocol,local port,local IP address,remote port,remote IP address,PID,module,user context
> 04/3/21,10:27:9,TCP,4522,219.154.214.162,8080,61.53.187.157,1036,MyIE.exe,
1<mie\ppope>
2>>
3>> 图9显示的是浏览163网站时的记录
4>>
5>> 
6>>
7>> 图 9
8>>
9>> 图10显示的是使用WINVNC时的通讯记录
10>>
11>> 
12>>
13>> 图 10
14>>
15>> **四、几个典型用途**
16>>
17>> 1、检查木马悄悄打开的端口
18>>
19>> 一般中木马的计算机都会被木马打开一个或多个端口,等待远端连接该端口,通过这个端口,不怀好意的网客可以轻易获取重要信息甚至直接控制被中了木马的计算机。通过分析port reporter日志文件,对比知名的木马端口,你可以立即发现木马的行踪,有了PID可以查找到木马相对应的应用程序,接下来就是消灭木了。
20> 常见的木马端口可以在网上查到。
21>>
22>> 2、关闭不必要的端口
23>>
24>> Windows安装有许多的服务,他们大多会打开很多端口,这些端口直接暴露在外网中是很危险,通过分析过分析port reporter日志文件可以知道已经打开了哪些端口,如果确实需要就保留,不希望暴露的端口就坚决关闭。比如80是提供WWW服务的端口,如果你不提供WWW服务就没有必要开放80端口,一个危险的端口是23不是特别需要就关闭它。关闭端口的方法包括关闭相应的服务或使用网络防火墙。
25>>
26>> 3、谁动你的奶酪
27>>
28>> 如果有人趁你不在的机会偷偷登录你的计算机,或者使用的是公共的计算机,而其中某个人下载安装了不该安装的软件或浏览恶意网页而中毒,通过分析port reporter日志文件可以查询具体登录的网址,并且能发现恶意网页的IP和端口以及相应的应用程序,屏蔽或清除恶意代码也就有了线索。
29>>
30>> 4、谁登录了共享目录
31>>
32>> 如果要监视谁正在使用的共享目录,可以通过Windows的有关组件看到,比如在Windows 98/Me中使用“网络监视器”可以查看目前谁在使用你的计算机上的资源,在Windows 2000/XP中,网络监视器不再监测访问本机的连接及来访者的访问信息,但来可以通过下面的方法监视:控制面板-管理工具-计算机管理,在右边的目录树中双击展开“共享文件夹”,下面共有三个选项:“共享”、“会话”和“打开文件”等。 但是你不能24小说盯着屏幕,也许有人上传了乱七八糟的文件,这时使用port reporter服务24小时动态监视,通过日志就能查出谁使用了你的共享目录,包括时间和IP等信息都在日志中有详细的记载。
33>>
34>> **总结**
35>>
36>> PortReporter是以后台服务的方式运行的,只要你启用她,她就默默的监视并记录网络通讯过程。显然,日志中的信息对发现木马和解决网络问题都非常有用,通过分析日志对提高你的计算机安全性能也大有帮助。而且这个软件是微软发布的,毕竟是自家的东西,应该和Windows结合更紧密,让用户更有安全感。</mie\ppope>