危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20580914

查间谍,用TCPEye

在各种木马横飞的今天,很多连上Internet的电脑都在用户毫不知晓的情况下沦为他人的“肉鸡”,经常被用来当作傀儡机进行DDOS攻击(Distributed Den/al Of Service-分布式拒绝服务攻击)。虽然我们有N多种的收费或免费的杀毒软件可供选择,但很多木马在经过精心修改特征码等手段处理之后成为“免杀”型的“良民”,可以在杀毒软件的眼皮底下任意进出系统;此时,高手通常建议大家可以使用Windows自带的“Netstat -an”在CMD命令行窗口下进行TCP/IP网络的通信监控(显示路由表、实际的网络连接及网络接口设备的状态信息等),或者是使用冰刃IceSword专用工具来查探系统中的木马后门、进程及端口通信和注册表等信息。其实,我们还可以来试试TCPEye,一个使用非常方便的网络监控小工具,能够显示系统当前打开的所有TCP/IP及UDP端口等信息。

首先下载TCPEyesetup.rar,大小为1.36MB,解压缩之后双击生成的setup.exe应用程序进行安装——选择安装语言(默认为English)、点击几次Next相Install按钮即可完成。然后运行TCPEye,它会马上显示出当前系统中所有打开的TCPfIP和UDP端口,还有Local Address(本地地址)、Remote Address(远程地址)、State(状态)、Protocol(协议)、Country(国家)、Process Path(进程路径)、Product Name(进程名称)等丰富的信息。如果你想要查看所有运行的进程的话,可以单击右键选择第二项“All Endpoints”(全都),TCPEye很快又显示出N多的进程信息。

如果怀疑某个显示出来的进程有猫腻的话(以CntvCBoxService.exe为例-CNTV-CBox网络电视客户端),可以在该显示记录上单击右键并选择“Cechk Whit Virus Total”(检测病毒),TCPEye很快就进行Virus Total Uploader操作。将CntvCBoxService.exe上传到Vitus Total网站,显示出它的MD5值、Date First Seen(首次发现日期)和Date Last Seen(最后发现日期),还有DetectionRatio(检测比率>--0/43,说明该程序在使用包括麦咖啡、DrWeb和卡巴斯基在内的43种杀毒软件检测中没有不良记录,是个正常的进程。此时我们可以直接点击“What do you wish to do?”下方的Reanalyse按钮(再次分析)重新进行检测。如果经过这样的在线检测之后发现间谍进程的话,那就要毫不客气地在该进程上单击右键选择“End Porcess”结束其运行。

另外,TCPEye还提供了一个侦查某进程路由地址的功能----在进程上右击选择最下面的“GeoIPTool”,马上我们就会看到该进程对应的lP地址、地区、城市、经纬度和物理位置地图,非常不错。

要知道,如果检查的进程是木马的话,不就找到其宿主的“老窝”了么?当然,TCPEye的功能还远不止如此,怎么样,不妨一试?