CurrPorts使用介绍

介绍&使用

CurrPorts是一个检测连接工具，可以列出所有TCP和UDP的连接以及打开的端口、应用程序等。

CurrPorts运行后即可看到应用程序的进程名称、进程id、协议、本地端口、本地地址、远程端口、远程地址、进程路径等信息，如下图。

点击标题栏相应的项，可根据相应项进行排序，例如点击进程id后，id会从小到大进行排列，如下图。

选中某一个应用程序，双击可显示其详细信息，例如双击谷歌浏览器进程，显示信息如下图。

对于可疑的应用程序，怀疑为木马病毒时，可以点击右键选择close selected tcp connections，即关闭选定的tcp连接，进行关闭，然后观察该程序是否会打开新的端口，如果还会自动打开新端口，则可以定位到该程序的具体位置，根据程序的路径、名称等信息进行进一步的判断。

Currports也支持多个进程选中进行关闭操作，同时currports也可以将列表信息进行报告导出，为html格式，在view菜单栏下的html report即可导出，如下图。

Procexp使用

对于currports检测出的可以程序，我们可以使用procexp来进一步判断，判断依据可以根据之前介绍autoruns使用时的方法，看下描述以及公司信息等来确定，如下图。

再一个，可以多关注下进程的数量，如果一个进程有两个进程树，而本地又只登录了一个用户的情况下，则有可能是木马病毒插入了进程。例如常见的notpad等编辑器进程等。

另外，双击进程可弹出属性框，可查看安全、性能、线程等信息。如下图。

如果确定为恶意程序，则可以直接节数进程树以此来终止木马程序的所有相关进程，同时也可以结合autoruns对服务、自启动等项进行检查，删除其自动加载。

总结

通过使用autoruns、procexp、currports相结合，来提高检查效率，清除干净木马病毒。