16
2021
10

windows下看端口占用

HQY

谁在占用本地端口:
上面介绍的netstat -a命令只能查询出当前哪个端口被使用,无法找到究竟是什么程序在使用相应的端口。这样就为我们找出木马带来的麻烦,如果发现某个可疑端口被占用的话,究竟是有用的程序在使用他还是感染的木马或黑软在占用呢?所以说找出某个端口是由哪个程序调用的才是防范未知木马和黑软的关键。

方法很简单我们使用netstat -a -o -b命令即可,同样在命令行模式输入前面的多参数命令。系统会多显示出一列,该列名为PID,也就是告诉我们是哪个PID在使用相应的端口,当然对于那些多个程序注入到同一个进程PID的情况也可以通过此命令查询出来,在每个连接的最后会显示出PID对应的文件名。(如图4)


图4(点击看大图)


从图4我们可以看出,第一行的连接是由PID 1276调用的,他实际上是由五个文件发起连接而成的,主程序为svchost.exe,连接过程中调用了系统文件夹c:\windows\system32下的四个DLL动态链接库文件。通过这个命令我们就可以将那些使用DLL注入方式隐藏自己的木马和黑软揪出来了。

在执行netstat -a -o -b命令后,系统会不停的监视网络连接情况,查询出调用某连接某端口的程序,显示出该程序调用的所有DLL文件。如果在显示过程中我们想终止的话,这需要执行ctrl+c即可。

netstat -a -o -b命令是上面介绍的netstat -a命令的扩展,他不仅仅帮助我们清楚的了解当前系统端口被使用的情况,还进一步找出了哪个程序在调用相应的端口,为我们找出可疑端口,判断可疑进程,发现可疑程序提供了有力保障。即使是使用DLL注入方式隐藏的木马也可以通过此方法找出来。

如:
解决:在cmd命令窗口输入netstat -abn ->c:/port80.txt 然后到c盘port80.txt文件中找到占用80端口的程序pid,记下pid。打开任务管理器,点击“查看”/选择列,勾选“PID(进程标识符)”,然后单击“进程”标签,找到80端口对应的pid,就可以看到是那个程序占用的了,更改这个程序的port,或结束该进程即可。




遇到端口被占用的情况,这个时候我们就需要找出被占用端口的程序,然后结束它,本文为大家介绍如何查找被占用的端口。

1、打开命令窗口(以管理员身份运行)

开始—->运行—->cmd,或者是 window+R 组合键,调出命令窗口。

2、查找所有运行的端口

输入命令:

netstat -ano

该命令列出所有端口的使用情况。

在列表中我们观察被占用的端口,比如是 1224,首先找到它。

3、查看被占用端口对应的 PID

输入命令:

netstat -aon|findstr "8081"

回车执行该命令,最后一位数字就是 PID, 这里是 9088。

4、查看指定 PID 的进程

继续输入命令:

tasklist|findstr "9088"

回车执行该命令。

查看是哪个进程或者程序占用了 8081 端口,结果是:node.exe。

结束进程

强制(/F参数)杀死 pid 为 9088 的所有进程包括子进程(/T参数):

taskkill /T /F /PID 9088

或者是我们打开任务管理器,切换到进程选项卡,在PID一列查看9088对应的进程是谁,如果看不到PID这一列,如下图:

之后我们就可以结束掉这个进程,这样我们就可以释放该端口来使用了。


HQY
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。