南順網絡
快速自(zì)檢電腦是否被黑客入侵過(Windows版)
我們經常會感覺電腦行為(wèi)有點奇怪, 比如(rú)總是打開莫名其妙的(de)網站, 或者偶爾變卡(網絡/CPU), 似乎自(zì)己"中毒"了,
但X60安全衛士或者X訊電腦管家掃描之後又說你電腦"非常安全", 那麽有可(kě)能你已經被黑客光顧過了. 這種時候也許要專業的(de)取證人員出場,
但似乎又有點小提大作. 因此本文介紹一(yī)些低(dī)成本的(de)自(zì)檢方法, 對于個人用戶可(kě)以快速判斷自(zì)己是否已經被入侵過.
1. 異常的(de)日志記錄
通常我們需要檢查一(yī)些可(kě)疑的(de)事件記錄, 比如(rú):
“Event log service was stopped.”(事件記錄服務已經停止) “Windows File Protection is not active on this system.”(Windows文件保護未開啓) “The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(受保護的(de)系統文件XXX無法還原) “The MS Telnet Service has started successfully.”(Telnet服務開啓成功)
除此之外, 還可(kě)以看看有沒有大量失敗的(de)登錄日志或者被鎖定的(de)賬戶.
查看事件日志有兩種方式:
1) 通過圖形界面查看, 開始->運行 eventvwr.msc
2) 通過命令行查看, 主要是使用eventquery.vbs腳本:
C:> eventquery.vbs | more
或者隻看某個條目下的(de)日志:
C:> eventquery.vbs /L security
eventquery.vbs是使用可(kě)以查看命令行幫助或者微軟的(de)官方文檔.
2. 異常的(de)進程和(hé)服務
即在我們熟知的(de)Windows任務管理(lǐ)器中查看是否有奇怪的(de)進程在運行, 重點關注用戶名是SYSTEM(系統)或者Administrator(管理(lǐ)員), 以及在管理(lǐ)員組的(de)用戶.
當然, 你最好能熟悉正常的(de)進程和(hé)服務, 不然也不知道(dào)某個進程是不是"異常"的(de). 如(rú)果不熟悉也不要緊, 對着任務管理(lǐ)器不認識的(de)進程, 挨個google一(yī)遍也就能大概了解了.
查找異常進程
使用Ctrl+Alt+Del快捷鍵或者開始->運行taskmgr.exe打開任務管理(lǐ)器即可(kě)看到運行中的(de)進程. 當然也可(kě)以使用命令行查看進程:
C:> tasklist C:> wmic process list full
查找異常服務
1). 圖形界面: 開始->運行 services.msc
2). 命令行:
C:> net start
C:> sc query
查找和(hé)每個進程關聯的(de)服務:
C:> tasklist /svc
3. 異常的(de)文件和(hé)注冊表
如(rú)果磁盤可(kě)用空間突然減小, 我們可(kě)以查找文件看是否有異常. 通過開始菜單依次點擊:
開始->查找->文件或目錄
然後設置查找選項, 比如(rú)文件大小大于10000KB, 或者創建/修改時間在一(yī)周以內(nèi), 并搜索相關文件.
對于注冊表, 通常是查找自(zì)啓動的(de)注冊點, 并檢查對應的(de)應用程序, 常見的(de)啓動點為(wèi):
HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx
注: HKLM和(hé)HKCU分别是HKEY_LOCAL_MACHINE和(hé)HKEY_CURRENT_USER的(de)縮寫.
查看注冊表有兩種方式:
1) 圖形界面: 開始->運行 regedit.exe
2) 命令行reg query <key>, 例:
C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
當然除此之外還有很多注冊點可(kě)以進行自(zì)啓動, 這個在下面說.
4. 異常的(de)計劃任務
接下來是查看異常的(de)計劃任務, 重點關注那些以管理(lǐ)員組或者SYSTEM權限, 或者是以空白用戶名定時啓動的(de)任務.
查看定時任務
1) 圖形界面, 可(kě)以通過開始菜單搜索Task Scheduler打開, 或者:
開始->運行 taskschd.msc /s
2) 命令行輸出計劃任務:
C:> schtasks
查看自(zì)啓動程序
1) 圖形界面, 開始->運行 msconfig.exe
2) 命令行:
C:> wmic startup list full
其他自(zì)啓動入口
要注意的(de)是, msconfig這些命令隻是列出了部分開機自(zì)動啓動的(de)程序, Windows開機自(zì)啓動的(de)方式很多, 包括劫持系統程序/動态運行庫等方式,
其中涉及到許多注冊表入口, 感興趣的(de)朋(péng)友可(kě)以查看網上的(de)其他文章(zhāng).
5. 異常的(de)網絡流量
常用的(de)網絡相關自(zì)檢命令:
檢查防火牆配置:
C:> netsh firewall show config
查看共享文件, 檢查是否是主動分享的(de):
C:> net view \127.0.0.1
查看本機活躍的(de)會話:
C:> net session
查看本機對其他系統打開的(de)會話:
C:> net use
查看NetBIOS over TCP/IP 的(de)激活狀态:
C:> nbtstat -S
查看當前網絡連接和(hé)監聽情況:
C:> netstat -na
持續輸出上述信息, 每3秒刷新一(yī)次:
C:> netstat -na 3
查看網絡連接對應的(de)進程id(-o)和(hé)進程名字(-b)
C:> netstat -naob
注: netstat -b 除了顯示進程名字, 還顯示了進程所加載的(de)DLL信息, 所以持續輸出的(de)話會消耗比較多的(de)CPU資源.
對于其他選項, 可(kě)以通過netsat /h查看幫助.
6. 異常帳号
重點查看新添加進管理(lǐ)員組的(de)帳号.
1) 圖形界面方式:
開始->運行 lusrmgr.msc -> 點擊用戶組 -> 雙擊管理(lǐ)員
然後查看裏面的(de)用戶列表.
2) 命令行方式:
C:> net user C:> net localgroup administrators
小結
當發現電腦突然變卡的(de)時, 應當及時查看任務管理(lǐ)器看是否有某個異常進程占用了大量CPU資源; 當系統異常死機時,
應當及時檢查對應日志, 看是否是某個程序執行exp導緻的(de)崩潰. 總而言之, 最好經常按照上述方式快速對系統做(zuò)一(yī)遍檢查,
以即使找出可(kě)能是電腦入侵引起的(de)反常迹象, 以免導緻個人信息和(hé)财産遭受損害.
編輯:--ns868
