在Win7係統（tǒng）中，如何才能快速的（de）找（zhǎo）到潛伏在係統中（zhōng）的木馬呢？用殺毒軟件，木馬防火牆，還是安全衛士？其實不用這麽麻（má）煩，我們（men）隻需用到Win7係統中的一個命令netstat（該命令在WinXP和Vista中同樣可以使用），就可以通過檢測網絡連接來判定係（xì）統是否有木馬。這個netstat命令真的有如（rú）此之（zhī）大（dà）的威力？讓（ràng）我們來看看吧。

　　★編（biān）輯提示：用好（hǎo）netstat命令，木（mù）馬無處（chù）逃

　　netstat是一個DOS命令，是一個監控TCP/IP網絡的非常有用的工具，它可以顯（xiǎn）示路由表（biǎo）、實際的（de）網絡連接以（yǐ）及每一個網絡接（jiē）口設備（bèi）的狀態信息。netstat用於顯示與IP、TCP、UDP和ICMP協議相關的統計數據，一般用於（yú）檢驗本機各端口的網絡連接情況。簡單的說（shuō），netstat命令（lìng）可以檢（jiǎn）查當前電腦與網絡的連接。那麽這和檢測木馬有什麽關係呢？因為木馬與（yǔ）外界進行通信，需要打開一個端口，而這個端口就可以被netstat命令所檢測到。另外，netstat命令配合不同的參數，可以達（dá）到更好的檢測效果，甚（shèn）至可以還配合其他的命令幹（gàn）掉木（mù）馬的進程（chéng），讓木馬報廢。

　　netstat命令的使用

點擊“開始”菜單（dān）→“運行”，輸（shū）入“cmd”運行“命令提示符”，輸入：“netstat -an”命令並回車， 這個命令能看到所有和本地計算機建立連接的（de）IP，它包含四個部分——proto(連（lián）接方式)、local address(本地（dì）連接地址)、foreign address(和本地（dì）建立連接的地（dì）址)、state(當前端口狀態)。通過這個（gè）命令的詳細（xì）信息，我們就可以完全監控計算機上的連（lián）接，從而達（dá）到控製計算機的目的（de）。通常（cháng）我們使用這個（gè）命令就足夠了，另（lìng）外我們還可以通過附帶一些參數來（lái）實現更多的檢測。

▲netstat命令（lìng）運行參數用

　　netstat命令結束木馬進程

　　下（xià）麵我（wǒ）們嚐試用netstat命（mìng）令配合其他的命令來（lái）結束木馬進（jìn）程。輸入如下命令：netstat -an -o並（bìng）回車，-o參數的作用（yòng）是顯示擁有的與每個連接關聯的進程ID，也就是進程的PID值，每個（gè）顯示的（de）網絡連（lián）接後麵（miàn）都會顯示其PID值。如果你發現了其中有可疑的網絡連接，那麽把其PID值記錄下來。

▲nnetstat命令顯示（shì）網絡連接PID

　　按下“Ctrl”+“Shift”+“Esc”鍵運行“任務管理器”，點擊“查看”菜（cài）單→“選擇列”，勾選其中的“PID（進程標識符）選項，點擊確（què）定。然後（hòu）切換到“進（jìn）程”標簽，通過剛才記下的PID值在“任務管理器”中找到相應的進（jìn）程。如果你對該進程不熟悉，在Win7的（de）任務管理器中，有對進程的描述，通過描述我（wǒ）們就可以了解該進程是否安全（quán）了。

▲n通過PID查找對應進程

　　如果（guǒ）確信該進程有問題，那麽我們就可以使用“Tasklist”命令來（lái）結束該進程。回到“命（mìng）令提示符”中，輸入命令“Taskkill /pid 1234”結束進程，1234即危險進程的PID值。這樣木馬的進程就結束了，這時我們就可以通過殺毒軟件對（duì）木（mù）馬進行查殺，將木馬清除幹淨。