win系统中如何排查电脑是否被监控、远程录像、端口监听

阿泽

一、先说明（小白必看）

我们要查的是：

• 电脑有没有被远程控制
• 有没有偷偷开端口监听（被人连进来）
• 有没有可疑进程、后台录像 / 监控软件
• 有没有开机自启流氓软件
  

二、准备工作：打开管理员命令行（必须）

步骤 1：以管理员身份打开 CMD

• 快捷键按键盘：
  Win + R （一起按）
  

   2.输入命令
      CMD 回车或者点击确认

• 菜单搜索管理员运行
  
  • Win10/11：对着开始菜单搜索 “cmd”→右键 → 以管理员身份运行
  • Win7：开始 → 搜索 cmd →右键 → 管理员身份运行
    
  重点：默认 打开这个直接输入cmd  会直接跳转搜索框
  

三、查当前所有网络连接（看谁在连你）

这一步最关键：看有没有人远程连接你、偷偷上传数据

在黑色 CMD 窗口里输入下面命令，输完按回车：

命令 1：查看所有网络连接 + 端口

1. netstat -ano

复制代码

单词注释（小白必懂）

• netstat：查看网络状态
• -a：显示所有连接和监听端口
• -n：用数字显示 IP、端口（不翻译名字，更快更准）
• -o：显示PID（进程 ID，用来抓幕后程序）
  

1.   协议    本地地址              外部地址                   状态            PID
   
2.   TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1060
   
3.   TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
   
4.   TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       1320
   
5.   TCP    0.0.0.0:5040           0.0.0.0:0              LISTENING       7208
   
6.   TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING       4
   
7.   TCP    0.0.0.0:7680           0.0.0.0:0              LISTENING       11832
   
8.   TCP    0.0.0.0:49664          0.0.0.0:0              LISTENING       836
   
9.   TCP    0.0.0.0:49665          0.0.0.0:0              LISTENING       756
   
10.   TCP    0.0.0.0:49666          0.0.0.0:0              LISTENING       1496
    
11.   TCP    0.0.0.0:49667          0.0.0.0:0              LISTENING       1588
    
12.   TCP    0.0.0.0:49668          0.0.0.0:0              LISTENING       2908
    
13.   TCP    0.0.0.0:49669          0.0.0.0:0              LISTENING       3600
    
14.   TCP    0.0.0.0:49671          0.0.0.0:0              LISTENING       3944
    
15.   TCP    0.0.0.0:49682          0.0.0.0:0              LISTENING       828
    
16.   TCP    0.0.0.0:50005          0.0.0.0:0              LISTENING       6256
    
17.   TCP    127.0.0.1:4001         0.0.0.0:0              LISTENING       2708
    
18.   TCP    127.0.0.1:4301         0.0.0.0:0              LISTENING       2708
    
19.   TCP    127.0.0.1:4310         0.0.0.0:0              LISTENING       2708
    
20.   TCP    127.0.0.1:5283         0.0.0.0:0              LISTENING       2708
    
21.   TCP    127.0.0.1:5284         0.0.0.0:0              LISTENING       6256
    
22.   TCP    127.0.0.1:9210         0.0.0.0:0              LISTENING       2708
    
23.   TCP    127.0.0.1:10000        0.0.0.0:0             LISTENING       10112

复制代码

简单判断（超级重要）

• 外部地址是：127.0.0.1 或 localhost
  → 正常，自己连自己。
  
  
• 外部地址是你局域网（比如 192.168.x.x、10.x.x.x）
  → 可能是路由器、共享、打印机，一般正常。
  
  
• 外部地址是陌生公网 IP（不是上面两种）
  → 高度可疑！ 可能被远程控制 / 上传数据。
  

四、通过 PID 抓到 “谁在联网”（抓内鬼）
步骤 1：打开任务管理器

• 键盘：
  Ctrl + Shift + Esc （三键一起按）
  

步骤 2：调出 PID 列（必须做）

• 点击顶部：详细信息（Win10/11）
  Win7：进程 → 查看 → 选择列
• 勾选：
  PID（进程标识符）
  

步骤 3：对应 netstat 里的 PID 查程序


例子：
你看到 netstat 里一行：

1. TCP   0.0.0.0:3389   LISTENING   PID  1234

复制代码

就在任务管理器里找 PID = 1234

• 显示是：TeamViewer、AnyDesk、向日葵 → 远程软件
• 显示是：svchost.exe、explorer.exe → 系统正常
• 显示乱码英文、不知名 exe → 可疑
  

五、查高危远程端口（最容易被监控）

下面这些端口一旦开着，就可能被远程控制：

常见监控 / 远程端口（记住就行）

• 3389 → Windows 远程桌面
• 5900 → VNC 远程监控
• 443 → 可能是远程控制 / 上传
• 5353、7070、8080 → 部分监控软件
• 9000、9001 → 部分录屏、直播类监控
  

快速过滤命令（直接复制）

1. netstat -ano | findstr ":3389"
   
2. netstat -ano | findstr ":5900"
   
3. netstat -ano | findstr ":443"

复制代码

注释

• findstr：搜索关键词
• ":3389"：只看远程桌面端口
  

有结果 = 端口开着
没结果 = 安全

六、查电脑有没有被开启远程桌面


步骤 5：检查系统远程开关

• 此电脑 / 我的电脑 → 右键 → 属性
• 点：远程设置 / 远程桌面
• 看：
  
  • 允许远程连接到此计算机
    如果打勾 → 可能被监控！
    → 建议取消勾选。
    

七、查开机自启（监控软件最爱自启）

步骤 6：打开启动项管理

• 任务管理器（Ctrl+Shift+Esc）
• 点：启动应用 / 启动
  

排查规则

• 名字像：monitor、spy、record、screen
• 不知道是什么、厂商不明
  → 全部禁用
  

八、用命令查用户 & 隐藏账户（防止后门）


命令 1：查看电脑所有用户

1. net user

复制代码

注释

• net user：列出所有账户
  正常一般只有：Administrator、Guest、你自己的账号
  

多出来陌生账号 → 危险。

九、最简单总结：你只要做这 4 条就够安全

• 管理员 CMD 输：
  
  1. netstat -ano

  复制代码
  主要排查对未知的局域网IP，看有没有陌生公网 IP。如【192.168.0.1是公司内外】，【27.80.33.24】是公司外网
  
• 任务管理器看 PID，找到对自己不认识的软件应用名称来排查。
  
• 关闭win系统本身的远程开关，防止局域网远程连接监控。
  
• 到系统任务管理器中把不认识的软件禁止掉自动启动程序。
  

总结：核心 TCP 状态翻译 + 详解

一：这是最关键的部分，每个状态对应 TCP 连接的不同阶段：

英文状态	标准翻译	通俗解释	业务场景说明
LISTENING	监听中	端口处于开放状态，等待外部连接请求	服务器端口（如 80、443、4304、4296），表示服务正在运行，等待客户端连接
ESTABLISHED	已建立链接	TCP 三次握手完成，连接正常、数据可正常传输	正常的业务连接，比如你访问的网站、API 接口、监控设备的在线连接
TIME_WAIT	等待超时	主动关闭连接的一方，等待 2MSL 时间（约 1-2 分钟），确保对端收到关闭确认	连接已断开，系统等待资源回收，属于正常现象，大量出现可能是短连接频繁建立导致
CLOSE_WAIT	等待关闭	被动关闭连接的一方，收到对端的关闭请求，等待本地应用程序关闭连接	若大量长时间存在，通常是应用程序 bug（未正确关闭连接），会占用系统资源

二、逐行关键信息翻译（核心行）

1. 监听状态（LISTENING）

• 127.0.0.1:9210  0.0.0.0:0  LISTENING  0
  翻译：本地回环地址 9210 端口，监听中，无远程连接，队列长度 0
  说明：仅本机可访问的服务端口
• 0.0.0.0:0  LISTENING  4304 / 0.0.0.0:0  LISTENING  4296
  翻译：本机所有网卡的对应端口（4304/4296），监听中
  说明：对外提供服务的端口，允许外部设备连接
• 0.0.0.0:0  LISTENING  4
  翻译：本机所有网卡的对应端口，监听中，队列长度 4
  

2. 已建立连接（ESTABLISHED，正常业务连接）

• xxx.0.107:49690  121.196.106.171:443  ESTABLISHED  4232
  翻译：本机端口 49690，与远程 IP 121.196.106.171 的 443 端口（HTTPS）建立了正常连接，队列长度 4232
  说明：443 是 HTTPS 加密网页端口，代表你正在访问该 HTTPS 网站
• 其余大量 ESTABLISHED 行，均为正常的在线业务连接，多数远程端口为 443（HTTPS），80（HTTP），属于正常网络访问
  

3. 等待关闭（CLOSE_WAIT，需关注）

• xxx.0.107:49957  122.224.33.57:49156  CLOSE_WAIT  2708
  翻译：本机端口 49957，与远程 IP 122.224.33.57 的连接处于等待关闭状态，队列长度 2708
  说明：对端已发起关闭，本地应用未及时处理，若大量存在需排查应用是否卡死 / 未正确释放连接
  

4. 等待超时（TIME_WAIT，正常回收）

• xxx.0.107:50615  14.215.55.56:443  TIME_WAIT  0
  翻译：本机端口 50615，与远程 IP 14.215.55.56 的 443 端口连接已断开，系统等待超时回收资源
  说明：正常的连接关闭流程，无需干预，短时间大量出现是正常的