更新时间:2022-12-02 GMT+08:00
步骤3:网络分析
该章节为您介绍如何通过TCPView工具查看当前TCP连接状态,排查可疑进程,可疑进程一般用红色标记。
前提条件
推荐下载“TCPView”工具。
操作步骤
- 打开“TCPView”文件夹,双击“Tcpview.exe”文件,在弹出的对话框中,单击“Agree”。
- 查看当前TCP连接状态,判断该进程是否为木马程序。
- 如果发现存在不知名进程,并且存在大量的SYN_SENT状态的连接,该进程疑似为木马程序。
- 如果某个进程的连接的端口非常有规律(如6666,2333等),或者在RemoteAddress这一栏自动解析的host中包含mine,pool,xmr等关键字,该进程疑似被感染病毒。
- (仅供参考)您可以通过安全检测网站,检测外网远程地址或者URL进行在线查询判断。
- 检测地址:https://x.threatbook.cn/
- 微步检测IP:需要检测的网站IP。
父主题: 方案一:工具溯源排查
