不要以为只有专业的大软件才可以追踪木马的踪迹，微软的工具软件PortReporter就可以完成对本机网络通讯进行记录和分析的功能，她不仅扫描计算机目前正在打开的TCP和UDP端口，而且可以跟踪记录TCP和UDP端口变化过程，比如木马悄悄打开的端口或者其他用户远程登录你的计算机上传一些乱七八糟的文件，所做的一切都被PortReporter详细的记录下了，通过分析日志就一目了然了。即使你使用不同的帐号登录计算机，PortReporter依然忠实的记录所有使用者的帐号和登录后所有网络通讯作为。日志是以文本文件的格式保存的，用记事本就可以打开。

　　一、安装和卸载PortReporter

　　PortReporter可以安装在Microsoft Windows Server 2003, Microsoft Windows XP, or Microsoft Windows 2000操作系统上，不要提Windows 98，微软公司已经不再提供对Windows 98的技术支持，虽然微软公司依然提供对Windows 2000的技术支持，但是PortReporter在2000上不能充分发挥她的效能。在Windows Server 2003 和基于Windows XP内核技术的计算机上，这个服务可以提供多种功能：监视正在使用的端口，端口对应的进程，这个进程是应用程序还是系统的服务，已经该进程打开的模块，还有使用者的帐号等，而在2000系列操作系统上，这个服务只记录什么时候哪些端口被使用。

　　下载下来的是一个自解压的EXE文件，还原后得到4个文件。

　　安装时只需要执行其中的Pr-Setup.exe 文件就可以了，通过这个程序来安装Port Reporter服务，Pr-Setup.exe安装过程重要做了两项工作：一是增加下面的注册项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\PortReporter 再是安装Port Reporter服务，使用户在控制台中能够控制该服务的启动和停止。

　　Pr-Setup.exe有2个参数-D和-U-D 允许用户把Port Reporter安装到指定目录，比如你可以将Port Reporter安装到d:\tools\port reporter\下就使用这个参数。如果不带任何参数直接允许Pr-Setup.exe那么Port Reporte安装在drive:\Program Files\PortReporter目录中。默认安装时的过程-U 执行pr-setup.exe -u就可以卸载Port Reporter。