端口/dos基本命令/扫描工具/日志查看

1、http使用80端口，FTP使用21号端口（主要用于文件传输），23-Telent（远程登录），25-SMTP（简单邮件传输），135-RPC，4000-腾讯，110-POP3（接收邮件），53-DNS协议，161-SNMP（管理网络设备），一台电脑一般有65535个端口

按端口号分类：公认端口（0~1023，木马一般不会用）、注册端口（1024~49151）、动态和/或私有端口（49152~65535）

按协议类型分类：面向连接的TCP（传输控制协议）、面向无连接的UDP（用户数据报协议）

2、显示活动的TCP连接和UDP连接的端口号和状态

cmd

netstat  /a  /n

3、关闭相应服务阻止访问端口

控制面板—管理工具—服务—属性—常规—启动类型—禁用

4、限制访问指定端口

控制面板—管理工具—本地安全策略—IP安全策略，在本地计算机—创建—输入名称（限制访问XX端口）—完成—去掉“添加向导”勾选框—添加—添加—去掉向导勾选框—添加—上任何IP地址，下我的IP地址—切换至协议选项卡—选择TCP协议，从任意端口到此端口，输入数字—确定，点击筛选器操作—添加—阻止—确定，重新进入本地安全策略—IP安全策略，右键，分配，重启计算机生效

5、关闭隐藏进程，用ECQ-PS软件

6、查看远程电脑进程

cmd

tasklist  /s  远程电脑IP地址（如192.168.1.122） /u  用户账户（如admin）/p  密码（如111111）

7、常用基本命令

ping 检查网络是否通畅和网络连接速度

netstat 查看网络状态，检验各端口网络连接情况

-a 显示所有连接和监听窗口
-n 以数字形式显示地址和端口号
-r显示核心路由表，格式同“route -e”。
-v 显示所有可执行组件
-p 显示proto指定协议信息。
-b 显示在创建每个连接或侦听端口时涉及的可执行程序。
-e 显示以太网统计。此选项可以与 -s 选项结合使用。
-o 显示拥有的与每个连接关联的进程 ID。
-s 显示每个协议的统计。

net 管理用户，初始命令 net localgroup

8、dos基本命令

dir显示文件和文件夹，“dir D：”显示D盘下文件，“dir D：/A”显示所有文件，包括隐藏的，/S 显示子文件夹文件，/P分屏显示，/B只显示文件名

CD用来退出或进入文件夹，“CD…”返回上一层目录，“CD\”返回到当前目录根目录下，“cd 文件夹名”直接进入文件夹

mr 新建文件夹，rd 删除文件夹

del 删除文件

copy 复制文件 "copy E:\dd.txt D:\" E盘下dd复制到D盘下

9、搜索网络信息

查看对方ip地址：cmd-nslookup，查看本机所用的DNS服务器，输入要查询的域名即可看到想应的IP地址，也可直接ping 地址 查看域名ip地址

查看对方物理地址：ping 目标主机，看是否连通，arp -a，找到ip地址对应的物理地址

10、IPScan，网段扫描工具，管理局域网下所有计算机

lanexplorer局域网下文件搜索工具

MBSA扫描电脑下漏洞，局域网下也可

scanport端口扫描工具，superscan，在线端口扫描也有网站

SSS专业漏洞扫描工具，x-scan安全漏洞扫描软件

爱莎网络监控器，可监控网页、邮件等，可禁止局域网内电脑上网

流光扫描器，检测POP3/FTP主机中用户密码安全漏洞

11、加壳工具：ASProtect、EXECrptor、Themida、EncrypePE、TTProtect、Armadilo等

压缩壳工具：UPX、ASPack、ECompact等

检测是否加过壳：PEID

脱壳：UnAspack

12、查看各个日志

查看上网时间

控制面板-管理工具-事件查看器-windows日志-系统-筛选当前日志-事件来源：remoteaccess，返回事件查看器

查看开关机记录

控制面板-管理工具-事件查看器-windows日志-系统-筛选当前日志-事件来源：eventlog，返回事件查看器

查看系统异常日志

控制面板-管理工具-事件查看器-windows日志-系统-筛选当前日志-事件来源：winlogon，返回事件查看器