查看本机开放的端口 木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，既然利用到这两个协议，就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。

例如有名的冰河使用的监听端口是7626，Back Orifice 2000则是使用54320等等。

那么，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。

以下是介绍。

1.Windows本身自带的netstat命令 关于netstat命令，我们先来看看windows帮助文件中的介绍： Netstat 显示协议统计和当前的TCP/IP网络连接。

该命令只有在安装了TCP/IP协议后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 参数 -a 显示所有连接和侦听端口。

服务器连接通常不显示。

-e 显示以太网统计。

该参数可以与-s选项结合使用。

-n 以数字格式显示地址和端口号(而不是尝试查找名称)。

-s 显示每个协议的统计。

默认情况下，显示TCP、UDP、ICMP和IP的统计。

-p选项可以用来指定默认的子集。

-p protocol 显示由protocol指定的协议的连接；protocol可以是tcp或udp。

如果与-s选项一同使用显示每个协议的统计，protocol可以是tcp、udp、icmp或ip。

-r 显示路由表的内容。

interval 重新显示所选的统计，在每次显示之间暂停interval秒。

按CTRL+B停止重新显示统计。

如果省略该参数，netstat将打印一次当前的配置信息。

好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。

现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。

进入到命令行下，使用netstat命令的a和n两个参数： C:>netstat -an Active Connections ProtoLocal AddressForeign AddressState TCP0.0.0.0:800.0.0.0:0LISTENING TCP0.0.0.0:210.0.0.0:0LISTENING TCP0.0.0.0:76260.0.0.0:0LISTENING UDP0.0.0.0:4450.0.0.0:0 UDP0.0.0.0:10460.0.0.0:0 UDP0.0.0.0:10470.0.0.0:0 解释一下，ActiveConnections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机的IP地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的IP地址和端口号，State则是表明TCP连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。

看！我的机器的7626端口已经开放，正在监听等待连接，像这样的情况极有可能是已经感染了冰河！急忙断开网络，用杀毒软件查杀病毒是正确的做法。

你还可以去http://***.com/Down/ZzTool/ 找相关的软件什么的。