Windows自带强大的入侵检测工具——Netstat 命令 查询是否中木马

前段时间有用户看了《如何迁移系统至SSD》这篇文章，私信问到PE工具

从硬盘拷数据是否会被操作系统记录。在此老毛桃也和大家说说，操作系统没有被运行是不会对系统进行监控的。

插播：Netstat命令

对于电脑数据的安全，相信很多朋友都曾有过担忧，尤其是比较重要的“机密”。电脑中木马病毒了？又或是电脑系统后台被秘密操控了？这一系列的“恐怖袭击”都会让电脑用户闻风丧胆。那么，日常操作电脑的过程中，我们有什么办法检测是否存在这些威胁吗？

答案：妥妥滴，必须有！

该怎么操作呢？那就是利用windows自带强大的入侵检测工具，查询可疑连接，接着打开任务管理器，找到对应的PID数值，右键点击“结束进程”。此时病毒还没有完全抵御入侵，想要更彻底点我们就需要进入组策略

新建规则了。

注意：有的电脑任务管理器中是看不到PID数值的，该如何设置呢？同时按下“Ctrl+Shift+Esc”打开任务管理器，有点点击显示栏，在菜单中勾选“PID”即可。

如何新建规则？

第一步：同时按下“win+r”打开运行窗口，在框内输入命令“gpedit.msc”，回车

第二步：打开本地组策略编辑器后，依次展开“计算机配置—windows配置—安全设置—IP安全策略，在 本地计算机”

第三步：右键点击选择“创建IP安全策略”，接下来根据协议新建IP安全策略-新建端口封堵入侵端口，即可彻底让电脑保持安全。

重点来了！我们如何利用windows自带的入侵检测工具（netstat命令

）查询是否中木马呢？打开管理员命令提示符窗口，输入命令即可查询！

netstat命令详解：

1、 netstat -a

使用这个命令可显示所有连接和侦听端口，可以查看计算机的系统服务是否正常，判断系统是否被种上木马。假若发现了不正常的端口和服务，我们需要即使关闭端口或服务。另外，它还可以作为一种实时入侵检测工具，判断是否有外部计算机连接本地计算机。

2、 netstat -n

-n参数可以显示本机和本机相连的外部主机的IP地址，而不像-a参数显示的只是计算机的NetBios名。

3、 netstat -r

netstat -r可以显示路由表的内容，类似route print(能让双网卡同时工作的非常实用的命令)。

4、 netstat -o

netstat -o可以显示本地与外部主机相连的PID数值，taskkill需要通过这个数值才能中断连接。