命令提示netsat恶意软件检测

Question

我怀疑我的笔记本电脑里有恶意软件。有人能解释一下日志里发生了什么吗？我正在使用公共WiFi。

Answer 1

运行netstat -b显示当前连接的字段，其中包含以下信息：

协议: TCP或UDP，TCP是web流量。

本地地址:如果是127.0.0.1，它就在您的回送接口上(意思是您的计算机是如何与自己对话的)。在这种情况下，它看起来像桌面-D476NPG是您的计算机的名称。从它的外观来看，firefox插件正在使用它，它看起来是合法的。

当它是10.100.170.103时，它是您的正常网络接口。10.x地址表示您有一个使用RFC1918的10.x.x.x地址空间的局域网，并且很可能正在运行一个以.100地址开始的DHCP服务器。这表示您的计算机可能是网络上连接到以太网/wifi的第三个设备。

外部地址:您正在连接的远程服务器。在这种情况下，许多亚马逊服务器、MSN和其他典型的web流量。

有一个连接从10.100.170.103到192.168.18.240，这表明您可能在局域网或VPN连接上与另一个本地RFC1918子网连接。这也可能是一个错误配置的“双节点”设置的结果，其中本地路由器有一个IP范围，而无线路由器有另一个IP范围。在这两种情况下，数据都显示这是来自试图提供对等更新的Windows 10更新服务，因为它是默认配置的。

State:显示连接是否已建立(意指已连接)，或TIME_WAIT意义是否已完成。SYN_RECEIVED意味着远程主机已经发送了一个TCP SYNchronize请求连接，但没有发送回SYN确认您的主机的连接请求的ACKnowledgement。

考虑其他选项

netstat -b是查看计算机可能正在建立哪些连接的一种基本方法，但是很难阅读，并且取决于间隔可能会遗漏项目。像WireShark这样的数据包嗅探器，或者更好地连接到另一个网络设备，比如Snort或入侵检测系统，将会更有效。一些AntiVirus供应商还销售基于主机的入侵检测系统(HIDS)，该系统不断分析网络流量以确定是否存在可疑。