在Win7系統(tǒng)中，如何才能快速的找到潛伏在系統(tǒng)中的木馬呢？用殺毒軟件，木馬防火墻，還是安全衛(wèi)士？其實不用這么麻煩，我們只需用到Win7系統(tǒng)中的一個命令netstat（該命令在WinXP和Vista中同樣可以使用），就可以通過檢測網(wǎng)絡(luò)連接來判定系統(tǒng)是否有木馬。這個netstat命令真的有如此之大的威力？讓我們來看看吧。

　　★編輯提示：用好netstat命令，木馬無處逃

　　netstat是一個DOS命令，是一個監(jiān)控TCP/IP網(wǎng)絡(luò)的非常有用的工具，它可以顯示路由表、實際的網(wǎng)絡(luò)連接以及每一個網(wǎng)絡(luò)接口設(shè)備的狀態(tài)信息。netstat用于顯示與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計數(shù)據(jù)，一般用于檢驗本機各端口的網(wǎng)絡(luò)連接情況。簡單的說，netstat命令可以檢查當(dāng)前電腦與網(wǎng)絡(luò)的連接。那么這和檢測木馬有什么關(guān)系呢？因為木馬與外界進(jìn)行通信，需要打開一個端口，而這個端口就可以被netstat命令所檢測到。另外，netstat命令配合不同的參數(shù)，可以達(dá)到更好的檢測效果，甚至可以還配合其他的命令干掉木馬的進(jìn)程，讓木馬報廢。

　　netstat命令的使用

點擊“開始”菜單→“運行”，輸入“cmd”運行“命令提示符”，輸入：“netstat -an”命令并回車， 這個命令能看到所有和本地計算機建立連接的IP，它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過這個命令的詳細(xì)信息，我們就可以完全監(jiān)控計算機上的連接，從而達(dá)到控制計算機的目的。通常我們使用這個命令就足夠了，另外我們還可以通過附帶一些參數(shù)來實現(xiàn)更多的檢測。

▲netstat命令運行參數(shù)用

　　netstat命令結(jié)束木馬進(jìn)程

　　下面我們嘗試用netstat命令配合其他的命令來結(jié)束木馬進(jìn)程。輸入如下命令：netstat -an -o并回車，-o參數(shù)的作用是顯示擁有的與每個連接關(guān)聯(lián)的進(jìn)程ID，也就是進(jìn)程的PID值，每個顯示的網(wǎng)絡(luò)連接后面都會顯示其PID值。如果你發(fā)現(xiàn)了其中有可疑的網(wǎng)絡(luò)連接，那么把其PID值記錄下來。

▲nnetstat命令顯示網(wǎng)絡(luò)連接PID

　　按下“Ctrl”+“Shift”+“Esc”鍵運行“任務(wù)管理器”，點擊“查看”菜單→“選擇列”，勾選其中的“PID（進(jìn)程標(biāo)識符）選項，點擊確定。然后切換到“進(jìn)程”標(biāo)簽，通過剛才記下的PID值在“任務(wù)管理器”中找到相應(yīng)的進(jìn)程。如果你對該進(jìn)程不熟悉，在Win7的任務(wù)管理器中，有對進(jìn)程的描述，通過描述我們就可以了解該進(jìn)程是否安全了。

▲n通過PID查找對應(yīng)進(jìn)程

　　如果確信該進(jìn)程有問題，那么我們就可以使用“Tasklist”命令來結(jié)束該進(jìn)程。回到“命令提示符”中，輸入命令“Taskkill /pid 1234”結(jié)束進(jìn)程，1234即危險進(jìn)程的PID值。這樣木馬的進(jìn)程就結(jié)束了，這時我們就可以通過殺毒軟件對木馬進(jìn)行查殺，將木馬清除干凈。