谁在占用本地端口: 
上面介绍的netstat -a命令只能查询出当前哪个端口被使用,无法找到究竟是什么程序在使用相应的端口。这样就为我们找出***带来的麻烦,如果发现某个可疑端口被占用的话,究竟是有用的程序在使用他还是感染的***或黑软在占用呢?所以说找出某个端口是由哪个程序调用的才是防范未知***和黑软的关键。

方法很简单我们使用netstat -a -o -b命令即可,同样在命令行模式输入前面的多参数命令。系统会多显示出一列,该列名为PID,也就是告诉我们是哪个PID在使用相应的端口,当然对于那些多个程序注入到同一个进程PID的情况也可以通过此命令查询出来,在每个连接的最后会显示出PID对应的文件名。(如图4)



从图4我们可以看出,第一行的连接是由PID 1276调用的,他实际上是由五个文件发起连接而成的,主程序为svchost.exe,连接过程中调用了系统文件夹c:\windows\system32下的四个DLL动态链接库文件。通过这个命令我们就可以将那些使用DLL注入方式隐藏自己的***和黑软揪出来了。

在执行netstat -a -o -b命令后,系统会不停的监视网络连接情况,查询出调用某连接某端口的程序,显示出该程序调用的所有DLL文件。如果在显示过程中我们想终止的话,这需要执行ctrl+c即可。

netstat -a -o -b命令是上面介绍的netstat -a命令的扩展,他不仅仅帮助我们清楚的了解当前系统端口被使用的情况,还进一步找出了哪个程序在调用相应的端口,为我们找出可疑端口,判断可疑进程,发现可疑程序提供了有力保障。即使是使用DLL注入方式隐藏的***也可以通过此方法找出来。

如:
解决:在cmd命令窗口输入netstat -abn ->c:/port80.txt 然后到c盘port80.txt文件中找到占用80端口的程序pid,记下pid。打开任务管理器,点击“查看”/选择列,勾选“PID(进程标识符)”,然后单击“进程”标签,找到80端口对应的pid,就可以看到是那个程序占用的了,更改这个程序的port,或结束该进程即可。