TCPView for Windows

TCPView是一個用來顯示系統中全部的TCP和UDP端點（endpoint）列表的Windows程序，包括本地和遠程的網絡地址，以及TCP鏈接的狀態。在Windows Server 200八、Vista、NT、2000和XP上，TCPView還會顯示擁有端點的進程名。TCPView是Windows自帶的netstat程序的一個子集，可是信息更加豐富且方便實用。隨TCPView一塊兒下載的還有一個功能相同的命令行版本Tcpvcon。

Sysinternals網址：http://technet.microsoft.com/en-us/Sysinternals/bb897437.aspx

1、TCPView警察看守的叫端口
通俗地講，端口（Port）就是電腦向網絡開放的信息出入「門戶」。和小區大門不一樣的是，在電腦上這種「門戶」有個256×256（65535）個，並且它們還有多種狀態。
1.端口的分類
根據端口和服務的綁定狀況，端口可分爲公認端口、註冊端口和動態端口。
公認端口：0～1023。這個範圍內的端口系統通常保留給一些經常使用的系統服務，好比WEB服務使用80端口，FTP服務使用21端口。由於這些端口和服務造成了一一對應關係，已被你們所公認，因此這些端口叫作公認端口。
註冊端口：1024～49151。這個範圍內的端口比較鬆散地綁定於一些服務，也就是說，和公認端口相比，這些端口和服務並無造成一一對應關係，許多服務可綁定於這些端口，這些端口一樣可用於許多其它目的
動態端口：49152～65535。這個範圍內的端口通常不爲服務所使用，它經常被動態分配給客戶端，於是這個範圍內的端口叫作動態端口。須要注意的是在實際應用中，端口從1024起就開始動態分配了。
小提示：爲了防止和系統服務發生衝突，大多數木馬和病毒的服務端使用1024以上的端口。爲了躲避掃描軟件對端口的掃描，木馬和病毒使用的端口有高端化的傾向，即儘可能使用一些端口號較大的端口。
2.端口的狀態
一個端口能夠有多個狀態。端口的狀態不一樣，在電腦中所起的做用就不相同。下面介紹幾個常見的端口狀態。
LISTENING：即端口的監聽狀態。處於這種狀態的端口就是咱們常說的監聽端口，這種狀態的端口通常由某個服務程序打開，等待其它主機來鏈接，於是這種端口又叫作服務端口。
ESTABLISHED：即端口的鏈接狀態。若是處於監聽狀態的端口已和其它主機創建了鏈接，那麼端口的「LISTENING」狀態就會變爲「ESTABLISHED」狀態。
SYN_SENT：大多數狀況下，咱們的電腦會主動打開一個端口去鏈接其它機器，這時端口的狀態就表現爲「SYN_SENT」。處於這種狀態的端口通常是由客戶端程序打開，因此這種端口也叫作客戶端口。客戶端口若是和服務端口創建了鏈接，那麼端口的狀態就會由「SYN_SENT」狀態變爲「ESTABLISHED」狀態。
TIME_WAIT：處於「ESTABLISHED」狀態的端口，若是鏈接被結束，那麼端口的狀態就會變爲「TIME_WAIT」狀態，它表示該端口曾經被訪問過，如今訪問結束了。
小提示：在上述全部的端口狀態中，監聽狀態的端口尤爲值得注意，特別是1024以上的監聽端口，頗有可能就是木馬服務端打開的服務端口。
2、TCPView的十八般武藝
理解了端口的種類和狀態之後，下面來看TCPView這個免費警察的十八般武藝。
實例1：查看端口及狀態
Windows也內置了一個查看端口的程序「Netstat」，但它是命令行模式的，不易操做。TCPView的特色就是可以以圖形界面的方式實時顯示電腦中全部打開的端口及狀態。

實例2：查看進程及位置
TCPView可以查看進程對應的程序在硬盤上的保存位置。

實例3：關閉鏈接及進程
在TCPView中，咱們不只能夠關閉和外部發生的鏈接，還能夠強制結束進程。在該進程上點擊右鍵，在彈出的菜單上選擇「關閉鏈接」。