法神直播间txt下载八零:中了鸽子后的反入侵怎么做?技术答案

日因下载一个汉化的：DameWare NT Utilities 4.9.2.6 mini control而中了鸽子的招

整个过程如下：
1.由于习惯常在cmd下用netstat -an命令发现了一个奇怪的连接：
TCP 192.168.0.8:3155 220.176.15.46:1986 ESTABLISHED
TCP 192.168.0.8:3156 61.145.121.115:80 ESTABLISHED

当时我是没有开任何的浏览器。。看到熟悉的80就引起注意了。鉴于近来鸽子乱飞。。第一时间就怀疑到是中了鸽子。

2.立马上黑基下了所有关于杀鸽子的工具。发现只有用下面这个工具才找到了它的踪迹：

3.判断80端口的是鸽子的访问地址。用于定位入侵者的ip及端口
马上扫80端口的机子

d:\hacker\ipc>s tcp 61.145.121.115 1-6000 1024
TCP Port Scanner V1.1 By WinEggDrop

Normal Scan: About To Scan 6000 Ports Using 1024 Thread
61.145.121.115 80 Open
Scan 61.145.121.115 Complete In 0 Hours 0 Minutes 21 Seconds. Found 1 Open Ports

但是用ie打开提示：

找不到网页
您要查看的网页可能已被删除、名称已被更改，或者暂时不可用。

--------------------------------------------------------------------------------

请尝试以下操作:

如果您已经在地址栏中输入该网页的地址，请确认其拼写正确。

打开 61.145.121.115 主页，然后查找指向您感兴趣信息的链接。
单击后退按钮，尝试其他链接。
单击搜索，寻找 Internet 上的信息。

HTTP 404 - 未找到文件
Internet Explorer

ip138.com IP查询(搜索IP地址的地理位置)
您查询的IP:61.145.121.115
查询结果1：广东省 广州市 电信
查询结果2：广东省广州市 ADSL

估计。。中转的机子可能是网吧的服务器之类的非http服务器。。要想从中转机入手找入侵者。。在这卡住。

4.看一下入侵者的地理：
ip138.com IP查询(搜索IP地址的地理位置)
您查询的IP:220.176.14.66
查询结果1：江西省 赣州市 电信
查询结果2：江西省赣州市 (安远县)ADSL

5.打开procexp.exe。。密切注意开启的进程。把可疑的关了。

6.尝试用net send 220.176.14.66 “what do you want to do?"
提示失败。

7.据说还可用sniffer之类的看对方取了些什么数据。。但是我不会看抓包下来的数据