iis日志的查看
iis 日志记录webservice的方法
iis 日志记录webservice的方法(原创实用版4篇)《iis 日志记录webservice的方法》篇1在IIS 中记录WebService 的日志,可以通过以下步骤实现:1. 打开IIS 管理器,找到要记录日志的WebService。
2. 在WebService 的属性窗口中,选择“日志记录”选项卡。
3. 在“日志记录”选项卡中,选择“记录所有请求”或“记录选定请求”选项。
这将决定是否记录WebService 的所有请求或仅记录特定的请求。
4. 在“日志格式”下拉菜单中,选择所需的日志格式。
常见的日志格式包括“XML”和“文本”。
5. 在“记录目标”下拉菜单中,选择要将日志记录到的目标。
可以选择本地计算机、共享目录或其他计算机。
6. 单击“应用”按钮以保存更改并关闭属性窗口。
完成以上步骤后,IIS 将开始记录WebService 的请求和响应,并将其存储在指定的日志文件中。
《iis 日志记录webservice的方法》篇2在IIS 中记录WebService 的日志,可以通过以下步骤实现:1. 打开IIS 管理器,找到要记录日志的WebService。
2. 在WebService 的属性窗口中,选择“日志记录”选项卡。
3. 在“日志记录”选项卡中,选择“记录所有请求”或“记录选定请求”选项。
这将决定是否记录WebService 的所有请求或仅记录特定的请求。
4. 在“日志记录”选项卡中,选择要记录的日志级别。
例如,选择“详细”级别以记录所有请求的详细信息。
5. 在“日志记录”选项卡中,选择要记录的日志文件。
例如,选择“Application log”以将日志记录到应用程序日志文件中。
6. 保存更改并关闭属性窗口。
《iis 日志记录webservice的方法》篇3在IIS 中记录WebService 的日志,可以通过以下步骤实现:1. 打开IIS 管理器,找到要记录日志的WebService。
网站IIS日志的分析
1.日志的后缀名是log,用记事本打开选择格式里的“自动换行”,这样看起来就方便,同时搜索BaiduSpider和Googlebot这两个蜘蛛。
例如:百度蜘蛛2012-06-13 01:49:22 W3SVC177 116.255.169.37 GET / – 80 – 220.181.51.144 Baiduspider-favo+(+ baidu/search/spider ) 200 0 0 15256 197 265谷歌机器人2012-06-13 09:28:48 W3SVC177 116.255.169.37 GET /robots.txt – 80 – 222.186.24.26 Googlebot/2.1+(+ google /bot ) 200 0 0 985 200 31我们分段解释2012-06-13 01:49:22 蜘蛛爬取的时间点和日期W3SVC177 这个是机器码这个是惟一的我们不去管它116.255.169.37 这个IP地址是服务器的IP地址GET 代表事件GET后面就是蜘蛛爬取的网站页面,斜杠就代表首页80 是端口的意思220.181.51.144 这个IP则是蜘蛛的IP,这里告诉大家一个鉴别真假百度蜘蛛的方法,我们电脑点击开始运行输入cmd打开命令提示符,输入nslookup空格加蜘蛛IP点击回车,一般真百度蜘蛛都有自己的服务器IP而假蜘蛛则没有。
如果网站中出现了大量的假蜘蛛则说明有人冒充百度蜘蛛来采集你的内容,你就需要注意了,如果太猖獗那会很占用你的服务器资源,我们需要屏蔽他们的IP.200 0 0这里是状态码状态码的意思可以在百度里搜索下197 265最后两个数字则代表着访问和下载的数据字节数。
2.我们分析的时候先看看状态码 200代表下载成功,304代表页面未修改,500代表服务器超时,这些是一般的其他代码可以百度一下,对于不同的问题我们要处理。
3.我们要看蜘蛛经常爬取哪些页面,我们要记录下来,分析他们为什么会经常被蜘蛛爬取,从而分析出蜘蛛所喜欢内容。
IIS日志
日志文件位置默认情况下,IIS 将其日志文件存储在以下位置:%WINDIR%\System32\Logfiles此目录包含每个万维网(WWW) 和FTP 站点的不同目录。
默认情况下,日志会每天在目录中被创建和通过使用日期(例如,exYYMMDD.log)来命名。
有关如何设置日志记录的详细信息,请单击下面的文章编号,以转到Microsoft 知识库中相应的文章:313437如何在Internet Information Services (IIS)中启用日志记录HTTP1xx -信息这些状态代码表示临时的响应。
∙100-继续。
∙101-交换协议。
2xx -成功此类代码指示服务器成功地接受客户端请求。
∙200-确定。
∙201-创建。
∙202-接受。
∙203-非授权信息。
∙204-无内容。
∙205-重置内容。
∙206-部分的内容。
∙207-多状态(WebDav)。
3xx -重定向客户端浏览器必须采取更多措施,来满足请求。
例如,浏览器可能需要请求另一页在服务器上的或通过代理服务器重复请求。
∙301-被永久移动∙302-对象已移动。
∙304-未修改。
∙307-临时重定向。
4xx -客户端错误发生错误,并且客户端出现错误。
例如,客户端请求不存在的页面,或者客户端未提供有效的身份验证信息。
∙400-错误的请求。
∙401-访问被拒绝。
IIS 定义了几种不同的401 错误,它们指明更为具体的错误原因。
这些特定的错误代码在浏览器中显示,但并不显示在IIS 日志中:∙401.2-由于服务器配置,登录失败。
∙401.3-未经授权由于ACL 资源。
∙401.4-授权筛选器失败。
∙401.5- 通过ISAPI/CGI 应用程序授权失败。
∙401.7 –访问Web 服务器上的URL 授权策略被拒绝。
∙403-禁止。
∙403.1-执行访问被禁止。
∙403.2-读取访问被禁止。
∙403.3-写访问被禁止。
∙403.4-所需的SSL。
IIS日志-网站运维的好帮手
IIS⽇志-⽹站运维的好帮⼿对于⼀个需要长期维护的⽹站来说,如何让⽹站长久稳定运⾏是件很有意义的事情。
有些在开发阶段没有暴露的问题很有可能就在运维阶段出现了,这也是很正常的。
还有些时候,我们希望不断地优化⽹站,让⽹站更快速的响应⽤户请求,这些事情都发⽣在开发之后的运维阶段。
与开发阶段不同的,运维阶段不可能让你去调试程序,发现各类问题,我们只能通过各种系统⽇志来分析⽹站的运⾏状况,对于部署在IIS 上的⽹站来说,IIS⽇志提供了最有价值的信息,我们可以通过它来分析⽹站的响应情况,来判断⽹站是否有性能问题,或者存在哪些需要改进的地⽅。
IIS⽇志包含了哪些信息我前⾯说到【IIS⽇志提供了最有价值的信息】,这些信息有哪些呢?看看这个截图吧:这⾥⾯记录了:1. 请求发⽣在什么时刻,2. 哪个客户端IP访问了服务端IP的哪个端⼝,3. 客户端⼯具是什么类型,什么版本,4. 请求的URL以及查询字符串参数是什么,5. 请求的⽅式是GET还是POST,6. 请求的处理结果是什么样的:HTTP状态码,以及操作系统底层的状态码,7. 请求过程中,客户端上传了多少数据,服务端发送了多少数据,8. 请求总共占⽤服务器多长时间、等等。
这些信息在分析时有什么⽤途,我后⾯再说。
先对它有个印象就可以了。
IIS⽇志的配置默认情况下,IIS会产⽣⽇志⽂件,不过,还是有些参数值得我们关注。
IIS的设置界⾯如下(本⽂以 IIS 8 的界⾯为例)。
在IIS管理器中,选择某个⽹站,双击【⽇志】图标,请参考下图:此时(主要部分)界⾯如下:在截图中,⽇志的创建⽅式是每天产⽣⼀个新⽂件,按⽇期来⽣成⽂件名(这是默认值)。
说明:IIS使⽤UTC时间,所以我勾选了最下⾯的复选框,告诉IIS⽤本地时间来⽣成⽂件名。
点击【选择字段】按钮,将出现以下对话框:注意:建议勾选它们。
注意:【发送的字段数】和【接收的字节数】默认是没有选择的。
建议勾选它们。
⾄于其它字段,你可以根据需要来决定是否要勾选它们。
[SEO交流] iis日志完全篇如何有效的查看iis日志
![[SEO交流] iis日志完全篇如何有效的查看iis日志](https://img.taocdn.com/s3/m/33e51761783e0912a2162ad4.png)
iis日志完全篇导语:站长要知道自己的网站被访问的程度,被搜索引擎关注度,搜索引擎每天来抓取某个页面多少次,对某个页面的访问约频繁,说明蜘蛛对该页面约喜爱,该页面的seo优化是值得肯定的,但如何统计这些数据?站长通常的做法是:查看iis日志,,查看iis日志一般方法是在C:\WINDOWS\system32\LogFiles下的某个目录日志文件,是文本文件,从中可以看到一些信息,但是不便于统计和查询,如何更方便有效的掌握统计信息呢,这里我们详细来说明。
首先,让我们来了解如何设置和查看iis日志。
1. 在建立iis网站的时候,要设置iis日志的更新.比如在iis中的网站 这个网站,选择“属性”,在“网站”这个标签页中找到这一项,启用日志记录,为w3c扩展日志文件格式。
点击属性可以看到日志记录设置信息:这里不用详述,一看就明白。
日志文件存放在c:\windows\system32\LogFiles\下但是我们要解释下日志文件名:W3SVC158********\eyymmdd.log其中eyymmdd.log 代表某年某月某日的log文件在高级页上,我们看到:这是iis日志记录的字段记录,比如记录对方主机ip,服务器名,访问方法,等。
我们按默认设置。
之后在c:\windows\system32\LogFiles\下,就可以找到W3SVC158********文件夹了。
2. 如何查看iis日志.打开一个日志文件,我们看到:#Software: Microsoft Internet Information Services 6.0#Version: 1.0#Date: 2011-06-20 00:00:34#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ipcs(User-Agent) sc-status sc-substatus sc-win32-status2011-06-20 00:00:34 W3SVC158******** 116.252.182.32 GET /news/2011/0114/3556.html - 80 - 220.181.108.185Mozilla/5.0+(compatible;+Baiduspider/2.0;++/search/spider.html) 200 0 0 2011-06-20 00:00:35 W3SVC158******** 116.252.182.32 GET / news /2010/1226/ - 80 - 220.181.108.109Mozilla/5.0+(compatible;+Baiduspider/2.0;++/search/spider.html) 403 14 642011-06-20 00:00:56 W3SVC158******** 116.252.182.32 GET / news /2011/0523/4672_5.html - 80 - 203.208.60.187Mozilla/5.0+(compatible;+Googlebot/2.1;++/bot.html) 304 0 0我们用不同颜色标注了各行,其中#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ipcs(User-Agent) sc-status sc-substatus sc-win32-status代表了记录的字段,之前你选择“高级”设置时候勾选的字段就会记录接下来就是记录信息了,比如日期date 对应2011-06-20 s-ip 对应对方ip地址。
IIS日志查看器软件介绍
IIS日志查看器软件介绍
iis日志查看器是专为各大站长开发的一款网站日志分析软件,能够针对iis6、iis7大日志进行分析处理,帮助用户了解搜索引擎对你网站的爬行情况,总结搜索引擎规律,适用于seo人员和网站管理人员。
功能特点
1、分析日志详情,显示蜘蛛访客到访网址、时间、访者ip、状态码等;最全的条件筛选,网页与资源文件(jpgpnggifjscssxt等)分离查询,可根据多条件进行筛选;
2、可快捷验*受访url的在百度中的收录、访客ip归属地、定位该访客所有访问信息,助您排查网站是否受采集、受攻击。
3、日志导入本地数据库,方便存档。
4、最全的统计报表;可以:访客分类统计、url分组统计、状态码统计、ip分类统计、时间段统计等。
5、可使用sqlite语句进行自定义查询,字段为原iis日志字段名,查询便捷。
asp.net问题排查事件查看器IIS日志
问题排查事件查看器IIS⽇志事件查看器和IIS⽇志可帮助排查问题不能正常运⾏,事件查看器⾥会有记录。
iis⽇志中有访问记录。
转⾃:事件查看器事件查看器简介 ⽆论是普通计算机⽤户,还是专业计算机系统管理员,在操作计算机的时候都会遇到某些系统错误。
很多朋友经常为⽆法找到出错原因,解决不了故障问题感到困扰。
事实上,利⽤Windows内置的事件查看器,加上适当的⽹络资源,就可以很好地解决⼤部分的系统问题。
事件查看器的启动:可以通过单击⿏标右键⾄我的电脑,在弹出的快捷菜单下选择管理,会弹出计算机管理菜单,选择菜单下的事件查看器即可,单击会出现三个选项,其中的系统可以帮助⽤户查看电脑的上次开关机时间。
事件查看器可以做什么 微软在以Windows NT为内核的操作系统中集成有事件查看器,这些操作系统包括Windows 2000NTXP2003等。
事件查看器可以完成许多⼯作,⽐如审核系统事件和存放系统、安全及应⽤程序⽇志等。
系统⽇志中存放了Windows操作系统产⽣的信息、警告或错误。
通过查看这些信息、警告或错误,我们不但可以了解到某项功能配置或运⾏成功的信息,还可了解到系统的某些功能运⾏失败,或变得不稳定的原因。
安全⽇志中存放了审核事件是否成功的信息。
通过查看这些信息,我们可以了解到这些安全审核结果为成功还是失败。
应⽤程序⽇志中存放应⽤程序产⽣的信息、警告或错误。
通过查看这些信息、警告或错误,我们可以了解到哪些应⽤程序成功运⾏,产⽣了哪些错误或者潜在错误。
程序开发⼈员可以利⽤这些资源来改善应⽤程序。
点击“开始→运⾏”,输⼊eventvwr,点击“确定”,就可以打开事件查看器,它的界⾯如图所⽰。
查看事件的详细信息: 选中事件查看器左边的树形结构图中的⽇志类型(应⽤程序、安全性或系统),在右侧的详细资料窗格中将会显⽰出系统中该类的全部⽇志,双击其中⼀个⽇志,便可查看其详细信息。
在⽇志属性窗⼝中我们可以看到事件发⽣的⽇期、事件的发⽣源、种类和ID,以及事件的详细描述。
【推荐】网站iss日志-优秀word范文 (10页)
本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除!== 本文为word格式,下载后可方便编辑和修改! ==网站iss日志篇一:手动清除IIS日志手动清除IIS日志一、实验目的??? 了解IIS日志文件清除的基本原理。
手动清除本机上的IIS日志。
掌握针对日志清除攻击的防御方法。
二、实验要求认真阅读和掌握本实验相关的知识点。
? 上机实现软件的基本操作。
? 得到实验结果,并加以分析生成实验报告。
注:因为实验所选取的软件版本不同,学生要有举一反三的能力,通过对该软件的使用能掌握运行其他版本或类似软件的方法。
?三、实验步骤1、获取IIS日志文件的存放路径和文件名通过“控制面板”-“管理工具”-“Internet 信息服务”打开Internet 信息服务管理器,从“Internet 信息服务”依次展开至“网站”-“默认网站”,然后右键单击选择“属性”,打开默认网站属性配置窗口,如图1所示。
图1打开默认网站“属性”配置查看“W3C扩展日志文件”的保存位置。
在网站“属性”配置中,如果没有启用日志记录,则在系统中不会记录IIS的日志,默认是启用日志记录。
单击活动日志格式下面的“属性”按钮,在弹出的窗口中可以看到日志记录的保存位置,如图2所示,单击“扩展属性”可以查看日志记录的详细设置选项。
图2 查看W3C扩展日志文件的保存位置说明:①IIS日志文件一般是存放于系统目录的logfiles目录,例如在WindowsXP以及Windows201X操作系统中,默认日志文件存放于“C:\WINDOWS\system32\Logfiles\”目录下,日志文件夹以“W3SVC”进行命名,如果有多个网站目录,则会存在多个“W3SVC”目录。
2. 查看日志文件如果在IIS配置中启用了日志记录,则用户在访问网站时,系统会自动记录IIS日志,并生成log文件。
在本案例中直接打开“C:\WINDOWS\system32\Logfiles\W3SVC1\ex100507.log”日志文件,如图3所示,其中包含了用户访问的IP地址,访问的网站文件等信息图3 打开日志文件3.手动删除IIS日志文件启动DOS窗口,并到C:\WINDOWS\system32\Logfiles\目录下,然后输入dir命令;查看到该目录下的W3SVC目录,如图4所示。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如何查看服务器日志2008-11-30 18:40一、利用Windows自带的防火墙日志检测入侵下面是一条防火墙日志记录2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.1044959802005-01-1300:35:04:表示记录的日期时间OPEN:表示打开连接;如果此处为Close表示关闭连接TCP:表示使用的协议是Tcp61.145.129.133:表示本地的IP64.233.189.104:表示远程的IP4959:表示本地的端口80:表示远程的端口。
注:如果此处的端口为非80、21等常用端口那你就要注意了。
每一条Open表示的记录对应的有一条CLOSE记录,比较两条记录可以计算连接的时间。
注意,要使用该项,需要在Windows自带的防火墙的安全日志选项中勾选“记录成功的连接”选项。
二、通过IIS日志检测入侵攻击1、认识IIS日志IIS日志默认存放在System32\LogFiles目录下,使用W3C扩展格式。
下面我们通过一条日志记录来认识它的格式2005-01-0316:44:57218.17.90.60GET/Default.aspx-80-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+ CLR+1.1.4322)200002005-01-0316:44:57:是表示记录的时间;218.17.90.60:表示主机的IP地址;GET:表示获取网页的方法/Default.aspx:表示浏览的网页的名称,如果此外的内容不是你网站网页的名称,那就表示可能有人在用注入式攻击对你的网站进行测试。
如:“/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe/c+dir”这段格式的文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。
-80:表示服务器的端口。
-218.17.90.60:表示客户机的IP地址。
如果在某一时间或不同时间都有大量的同一IP对网站的连接那你就要注意了。
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322):表示用户的浏览器的版本操作系统的版本信息200:表示浏览成功,如果此处为304表示重定向。
如果此处为404则表示客户端错误未找到网页,如果服务器没有问题但出现大量的404错误也表示可能有人在用注入式攻击对你的网站进行测试。
2、检测IIS日志的方法明白了IIS日志的格式,就可以去寻找攻击者的行踪了。
但是人工检查每一条数据几乎是不可能的,所以我们可以利用Windows本身提供了一个命令findstr。
下面以寻找05年1月1日日志中包含CMD字段为例演示一下它的用法。
IIS日志路径已设为D\w3cCmd提示符下输入:findstr"cmd"d\w3c\ex050101.log回车。
怎么同一个IP出现了很多,那你可要注意了!下面是我写的几个敏感字符,仅供参考,你可以根据自己系统、网页定制自己的敏感字符,当然如果你根据这些字符作一个批处理命令就更方便了。
cmd、'、\\、..、;、and、webconfig、global、如果你感觉findstr功能不够直观强大,你可以AutoScanIISLogFilesV1.4工具。
它使用图形化界面一次可以检测多个文件。
下载地址:/Software/View-Software-1585.html如果你感觉这些IIS日志中的信息记录还不够多,那么你可以做一个隐藏网页,凡是登陆到网站上都会先定向到该网页,然后你可以在该网页中添加代码,获取用户的IP、操作系统、计算机名等信息。
并将其输入到数据库中,这样即使一个攻击者使用动态的IP只要他不换系统,即使删除了IIS日志,你也可以把他找出来。
三、通过查看安全日志检测是否有成功的入侵如果你你启用了登陆事件、策略更改、账户登陆、系统事件的成功失败的审核,那么任何成功的入侵都将在安全日志中留下痕迹推荐的作法:1、建议每天最少检查一次安全日志。
推荐重点检查的ID事件529:登录失败,试图使用未知用户名或带有错误密码的已知用户名进行登录。
528:用户成功登录到计算机上。
539:登录失败:登录帐号在登录尝试时被锁定。
此事件表明有人发动密码攻击但未成功,因而导致账户锁定682:用户重新连接到一个已经断开连接的终端服务器会话上。
终端服务攻击683:用户在没有注销的情况下与终端服务器会话断开连接。
终端服务攻击624:一个用户帐号被创建。
625:更改了用户账户类型626:启用了用户账户629:禁用了用户账户630:删除了用户账户以上5个事件可能是一个攻击者试图通过禁用或删除发动攻击时使用的账户来掩盖他们的踪迹。
577:用户试图执行受到权限保护的系统服务操作。
578:在已经处于打开状态的受保护对象句柄上使用权限。
577、578事件中详细信息中特权说明SeTcbPrivilege特权:此事件可以表明一个用户通过充当操作系统的一部分来试图提升安全权限,如一个用户试图将其账户添加到管理员组就会使用此特权SeSystemTimePrivilege特权:更改系统时间。
此事件可表明有一个用户尝试更改系统时间SeRemoteShutDownPrivilege:从远程系统强制关闭SeloadDriverPrivilege:加载或卸载驱动程序SeSecurityPrivilege:管理审计和安全日志。
在清除事件日志或向安全日志写入有关特权使用的事件是发生SeShutDownPrivilege:关闭系统SeTakeOwnershipPrivilege:取得文件或其他对象的所有权.此事件可表明有一个攻击者正在通过取得一个对象的所有权来尝试绕过当前的安全设置517:日志事件被清除或修改。
此事件可以表明一个攻击者企图通过修改或删除日志文件来掩盖他们的踪迹612:更改了审计策略。
此事件可以表明一个攻击者企图通过修改审计策略来掩盖他们的踪迹如为了掩盖删除日志文件的踪迹他可能先关闭系统事件的审核。
2、通过筛选器来查看重要性事件方法:点击事件查看器窗口中的查看菜单,点击筛选,点击筛选器,定义自己的筛选选项,确定即可。
3、在查看完成之后备份事件方法:点击事件查看器窗口中的操作菜单,点击导出列表,选择保存路径和文件名,如果保存类型选择了“文本文件(制表符分隔)”,将会保存为文本文件。
如果保存类型选择了“文本文件(逗号分隔)”,将会保存为Excel文件。
当然也可以选择另存日志文件。
如果感觉这样保存麻烦也可以使用微软的resourceKit工具箱中的dumpel.exe 配合计划任务可以实现定期备份系统日志。
4、删除检查过的日志文件,日志文件越少越容易发现问题。
5、配合系统日志程序日志检测可疑内容6、使用EventCombMT工具EventCombMT是一个功能强大的多线程工具,它可同时分析许多服务器中的事件日志,为包含在搜索条件中的每一台服务器生成一个单独的执行线程。
利用它你可以定义要搜索的单个事件ID或多个事件ID,用空格分格定义一个要搜索的事件ID范围。
如:528>ID<540将搜索限定为特定的事件日志。
如:只搜索安全日志将搜索限定为特定的事件消息。
如:成功审计将搜索限制为特定的事件源。
搜索事件说明内的特定文本。
定义特定的时间间隔以便从当前日期和时间向后扫描注:要使用该工具您需要安装WindowsServer2003ResourceKitTools.安装完成后在命令提示符下输入EventCombMT即可下载地址:/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en四、通过端口检测入侵攻击端口是攻击者最喜欢的进入的大门,所以我们要养成查看端口的习惯1、通过netstat命令。
CMD提示符下netstat-ano:检测当前开放的端口,并显示使用该端口程序的PID。
netstat-n:检测当前活动的连接如果通过以上命令发现有不明的端口开放了,不是中了木马就是开放新的服务。
处理方法:打开任务管理器,在查看菜单下选择列,勾选PID,点击确定。
然后根据开放端口使用的PID在任务管理器中查找使用该端口的程序文件名。
在任务管理器杀掉该进程。
如果任务管理器提示杀不掉,可以使用ntsd命令,格式如下:c:\>ntsd-cq-pPID。
如果使用该PID的进程不是单独的程序文件而是调用的Svchost或lsass(现在有很多木马可以做到这一点)。
那么需要你有很志业的知识才能查找到。
我的经验是下面的几种方法配合使用在服务中查找使用Svchost或lsass的可疑服务。
在命令提示符下输入tasklist/svc可以查看进程相关联的PID和服务。
利用Windows优化大师中的进程管理去查找Svchost或lsass中可疑的.dll。
检查System32下最新文件:在命令提示符sytem32路径下输入dir/od利用hijackthis工具可以查出系统启动的程序名和dll文件.下载地址:/soft/3992.htm发现可疑的dll后如果不知道是否为病毒文件去Google吧2、使用ActivePort软件ActivePort软件安装后用的是图形化界面,它可以显示所有开放的端口,当前活动的端口,并可以将端口、进程、程序名路径相关联。
并且可以利用它来中断某个活动的连接五、通过进程监控可疑程序如果发现不正常的进程,及时杀掉,如果在任务管理器中无法杀掉可以去查找可疑的服务,将服务关闭后再杀,当然也可以在提示符下利用ntsd命令。
格式为:ntsd-cq-pPID六、利用Svcmon.exe(serviceMonitoringTool)监视已安装的服务这个工具可以用来监视本地或者是远程计算机服务的状态改变,当它发现一个服务开始或者是停止的时候,这个工具将会通过发e-mail或者是ExchangeServer来通知你知道。
要想使用这个工具需要安装ResourceKit。
但是去MS的网站/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下载的ResourceKit 安装后没有找到这个工具,其实还有很多工具这个ResourceKit没有。
可能这是一个简单的ResourceKit 包。
后来又安装了2003光盘上的SupportTools也没找到它。