ตรวจสอบ โทรจัน || แฮกเกอร์ ทุก 5 วินาทีด้วยคำสั่งเดียวป้องกันโดนแฮกจริงๆได้เลยครับ
Command : สำหรับตรวจสอบการเชื่อมต่อที่มีในเครื่องเราทุกๆ 5 วินาที
netstat -ano 5 |find /i "established"
netstat -ano 5 |find /i "listening"
จะได้ผลลัพธ์
Local Address : คือ IP ฝั่งเรา และ PORT ที่ใช้งานให้สังเกตุหมายเลขพอร์ตแปลกๆที่เปิด
Foreign Address : คือ IP ที่เข้ามาติดต่อรับส่งข้อมูลกับเครื่องเรา (อาจเป็นไอพีของแฮกเกอร์)
PID : คือหมายเลข Process ID
ในแถบ STATE หรือสถานะการติดต่อหลักๆที่เรามักจะเห็น ESTABLISHED
คือ สถานะที่กำลังติดต่อ รับหรือส่ง ข้อมูลกับเรา
แต่ไม่ได้หมายความว่า จะมี "แฮกเกอร์" แฮกเข้ามาในเครื่องเราซะเสมอไป
อาจเป็นได้ทั้ง IP เว็บที่คุณกำลังเปิด , โปรแกรมที่กำลังรันอยู่บนเครื่อง ลฯล
LISTENING คือ สถานะรอการติดต่อ หลักๆแล้วเราจะเจอแค่ 2 สถานะนี้
เพิ่มเติมสามารถอ่านได้ที่ท้ายบทความครับ
ปล.ตอนทดสอบให้เราปิดเบราเซอร์ , เกมส์ , โปรแกรม ลฯล
ที่ใช้การติดต่อทางอินเตอร์เน็ตออกทั้งหมดแล้ว จะเห็น IP ที่น่าสงสัยง่ายขึ้น
########################################################################
ถึงขั้น..ตามถอนรากถอนโคน
โดยการนำ PID ของการเชื่อมต่อที่น่าสงสัยไปเช็คใน Task Manager
กด CTRL+ALT+DELETE เปิด Task Manager ขึ้นมา
ในแถบ Processes หา PID ที่สงสัย
และเราจะได้ไฟล์ที่มาของการเชื่อมต่อ...
หลังจากนั้นลองคลิกขวาเลือก Properties เพื่อดูที่อยู่ไฟล์
หรือทำการ End Procress ทิ้งไปก่อนถ้ามั่นใจว่าเป็นไฟล์อันตราย
Window + R เพื่อเรียก Run >regedit
>edit>find > ใส่ชื่อไฟล์ที่เราสงสัย
เมื่อเจอและมั่นใจว่ามันคือ โทรจัน หรือ Backdoor ให้ลบทิ้ง
และอย่าลืมตามไปเซิสหาเพื่อลบในไดว์ C:/ D:/
รวมทั้งเช็ค Window Start up
โดยการไปที่ Start > Run > Msconfig ในแถบ Startup
แค่นี้ก็ป้องกันโดนแฮกได้ในระดับหนึ่งแล้วละครับ :D
########################################################################
แหล่งข้อมูลเพิ่มเติมเรื่อง TCP STATE
- TCP Connection States and Netstat Output - http://support.microsoft.com/kb/137984
- TCP State Transition Diagram - http://www4.cs.fau.de/Projects/JX/Projects/TCP/tcpstate.html
- STATE ต่างๆของคำสั่ง netstat - http://www.thaiadmin.org/board/index.php?topic=16686.0
########################################################################
