我能否通过“netstat”判断是否有人在监视我的计算机?

tag-icon tag-icon command-line home-networking netstat
我能否通过“netstat”判断是否有人在监视我的计算机?

我有很多问题。但是,首先我想用最简单、最简短的方式开始。我想弄清楚为什么当我输入 cmd 提示符时,netstat -a我会得到大量的 IP 地址和链接,我几乎可以肯定这些地址和链接是错误的。

或者可能是我的 IT/计算机网络老公在窥探。我绝对没有什么可隐瞒的,也不明白他为什么会担心。以他的网络安全培训水平,我家无线网络中的“漏洞”是毫无道理的。

所以,我想查明他是否确实在偷窥。我应该注意什么?有害? UDP 是必需的吗?

以下列举一些:

TCP    my ip address here:49372    server-205-251-203-249:80  ESTABLISHED
TCP   my ip:49388    star-01-02-lax1:80     ESTABLISHED
 TCP    :49443    r-199-59-148-16:443    TIME_WAIT
 TCP    :49448    209-18-46-66:80        ESTABLISHED
 TCP    :49449    a96-7-48-51:80         ESTABLISHED
 TCP    :49450    65.55.25.44:80         ESTABLISHED
 TCP    :49451    a96-7-48-64:80         ESTABLISHED
 TCP    :49454    65.55.184.15:443       ESTABLISHED
 TCP    :49455    TheTank:445            SYN_SENT
 TCP    :49456    TheTank:445            SYN_SENT
 TCP    :49457    TheTank:445            SYN_SENT
 TCP    :49458    TheTank:139            SYN_SENT
 TCP    :49459    android_f2f09956193035b1:9100  SYN_SENT
 TCP    :49460    dfw06s17-in-f7:443     ESTABLISHED

有趣的是,他上周刚买了一部 Android 手机(之前我们有 iPhone),突然我ANDROID_F…在命令输出中看到了上述内容。

答案1

你使用 netstat 的问题是,你错过了真的可消化的信息

尝试netstat -ba- 这将为您提供使用端口和主机名的程序二进制文件的名称,并将为您提供所有正在使用的端口。如果您想要 IP 地址,请使用netstat -ban

我注意到计算机是爱说话的小东西。它们不断地告诉对方“我在这里”,“这是我的 IP 地址,请退出!”甚至自言自语(真的!)。除非您确切知道自己在寻找什么,否则噪音实在太多了。

答案2

您正在查看网络端口看到的所有内容。网络层面发生的事情比您预期的要多得多。

“android_”的存在仅仅意味着 iPhone 已连接到网络,或者已插入网络共享选项。

而且,我使用电脑时的理念是假装有人一直在看着你。这样你就不会惹上麻烦(或者更好地掩盖你的踪迹)。

答案3

首先更新您的防病毒软件,检查文件或文件夹的任何豁免,并询问您是否发现任何免于扫描的内容,然后运行完整扫描。然后,您可以通过查看防火墙规则来缩小范围,看看是否有任何异常。根据您是否识别出任何异常,然后研究它们是否合法。为了更进一步,如果您此时没有发现任何东西,那么您可以通过运行本地蜜罐来缩小要检查的数据包捕获范围。(建议禁用甚至卸载任何防病毒应用程序,因为它们的思维和行为方式。)

http://lmgtfy.com/?q=windows+honeypot

然后根据您对流量的发现以及谷歌搜索的结果,确定一些可能的可疑活动。

第二次得到wireshark然后进行数据包捕获,然后根据您之前发现的可能可疑活动对其进行分析。如果这太复杂,您可以开始创建防火墙规则来阻止您之前发现的所有内容运行蜜罐,看看是否有任何规则被某人神奇地禁用或删除,然后您就会知道罪魁祸首。下面是我编写的一个很好的脚本,用于以可跟踪且易于阅读的方式导出您当前的防火墙规则:

cd\
mkdir "C:\Windows Firewall Configs"
cd "C:\Windows Firewall Configs"
netsh advfirewall firewall show rule name=all > "C:\Windows Firewall Configs\Firewall Rules Export-%computername%-%date:~4,2%-%date:~7,2%-%date:~-4%.txt"
netsh advfirewall export > "C:\Windows Firewall Configs\Firewall Rules Export-%computername%-%date:~4,2%-%date:~7,2%-%date:~-4%.wfw"

这将在您的 C 盘上名为“Windows 防火墙配置”的文件夹中创建 2 个文件。

Firewall Rules Export-YourComputerName-MM-DD-YYYY.txt
Firewall Rules Export-YourComputerName-MM-DD-YYYY.wfw

txt 文件是人类可读的,而 wfw 文件是现有 Windows 防火墙规则的实际导出/备份。如果您需要导入以前的备份,请运行:

netsh advfirewall import "C:\Windows Firewall Configs\Firewall Rules Export-YourComputerName-MM-DD-YYYY.wfw"

你可以简单地将所有内容复制并粘贴到 .CMD 文件中,然后使用任务计划程序安排每日备份,然后随着时间的推移确定使用免费工具所做的更改,例如合并比较两个文件,查看有何不同,并根据证据得出结论。

相关内容