快速自檢電腦是否被黑客入侵過(Windows版)（轉載）

 

 

咱們常常會感受電腦行爲有點奇怪, 好比老是打開莫名其妙的網站, 或者偶爾變卡(網絡/CPU), 彷佛本身"中毒"了, 但X60安全衛士或者X訊電腦管家掃描以後又說你電腦"很是安全", 那麼有可能你已經被黑客光顧過了. 這種時候也許要專業的取證人員出場, 但彷佛又有點小提大做. 所以本文介紹一些低成本的自檢方法, 對於我的用戶能夠快速判斷本身是否已經被入侵過.

1. 異常的日誌記錄

一般咱們須要檢查一些可疑的事件記錄, 好比:

「Event log service was stopped.」(事件記錄服務已經中止)
「Windows File Protection is not active on this system.」(Windows文件保護未開啓) 「The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…」(受保護的系統文件XXX沒法還原) 「The MS Telnet Service has started successfully.」(Telnet服務開啓成功)

除此以外, 還能夠看看有沒有大量失敗的登陸日誌或者被鎖定的帳戶.

查看事件日誌有兩種方式:

1) 經過圖形界面查看, 開始->運行 eventvwr.msc

2) 經過命令行查看, 主要是使用eventquery.vbs腳本:

C:> eventquery.vbs | more

或者只看某個條目下的日誌:

C:> eventquery.vbs /L security

eventquery.vbs是使用能夠查看命令行幫助或者微軟的官方文檔.

2. 異常的進程和服務

即在咱們熟知的Windows任務管理器中查看是否有奇怪的進程在運行, 重點關注用戶名是SYSTEM(系統)或者Administrator(管理員), 以及在管理員組的用戶. 固然, 你最好能熟悉正常的進程和服務, 否則也不知道某個進程是否是"異常"的. 若是不熟悉也沒關係, 對着任務管理器不認識的進程, 挨個google一遍也就能大概瞭解了.

查找異常進程

使用Ctrl+Alt+Del快捷鍵或者開始->運行taskmgr.exe打開任務管理器便可看到運行中的進程. 固然也可使用命令行查看進程:

C:> tasklist C:> wmic process list full

查找異常服務

• 1). 圖形界面: 開始->運行 services.msc

• 2). 命令行:

  C:> net start C:> sc query

查找和每一個進程關聯的服務:

C:> tasklist /svc

3. 異常的文件和註冊表

若是磁盤可用空間忽然減少, 咱們能夠查找文件看是否有異常. 經過開始菜單依次點擊:

開始->查找->文件或目錄

而後設置查找選項, 好比文件大小大於10000KB, 或者建立/修改時間在一週之內, 並搜索相關文件.

對於註冊表, 一般是查找自啓動的註冊點, 並檢查對應的應用程序, 常見的啓動點爲:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx

注: HKLM和HKCU分別是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的縮寫.

查看註冊表有兩種方式:

1) 圖形界面: 開始->運行 regedit.exe

2) 命令行reg query <key>, 例:

C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run

固然除此以外還有不少註冊點能夠進行自啓動, 這個在下面說.

4. 異常的計劃任務

接下來是查看異常的計劃任務, 重點關注那些以管理員組或者SYSTEM權限, 或者是以空白用戶名定時啓動的任務.

查看定時任務

1) 圖形界面, 能夠經過開始菜單搜索Task Scheduler打開, 或者:

開始->運行 taskschd.msc /s

2) 命令行輸出計劃任務:

C:> schtasks

查看自啓動程序

1) 圖形界面, 開始->運行 msconfig.exe

2) 命令行:

C:> wmic startup list full

其餘自啓動入口

要注意的是, msconfig這些命令只是列出了部分開機自動啓動的程序, Windows開機自啓動的方式不少, 包括劫持系統程序/動態運行庫等方式, 其中涉及到許多註冊表入口, 感興趣的朋友能夠查看網上的其餘文章.

5. 異常的網絡流量

經常使用的網絡相關自檢命令:

• 檢查防火牆配置:

  C:> netsh firewall show config

• 查看共享文件, 檢查是不是主動分享的:

  C:> net view \127.0.0.1

• 查看本機活躍的會話:

  C:> net session

• 查看本機對其餘系統打開的會話:

  C:> net use

• 查看NetBIOS over TCP/IP 的激活狀態:

  C:> nbtstat -S

• 查看當前網絡鏈接和監聽狀況:

  C:> netstat -na

• 持續輸出上述信息, 每3秒刷新一次:

  C:> netstat -na 3

• 查看網絡鏈接對應的進程id(-o)和進程名字(-b)

  C:> netstat -naob

注: netstat -b 除了顯示進程名字, 還顯示了進程所加載的DLL信息, 因此持續輸出的話會消耗比較多的CPU資源. 對於其餘選項, 能夠經過netsat /h查看幫助.

6. 異常賬號

重點查看新添加進管理員組的賬號.

1) 圖形界面方式:

開始->運行 lusrmgr.msc -> 點擊用戶組 -> 雙擊管理員

而後查看裏面的用戶列表.

2) 命令行方式:

C:> net user C:> net localgroup administrators

小結

當發現電腦忽然變卡的時, 應當及時查看任務管理器看是否有某個異常進程佔用了大量CPU資源; 當系統異常死機時, 應當及時檢查對應日誌, 看是不是某個程序執行exp致使的崩潰. 總而言之, 最好常常按照上述方式快速對系統作一遍檢查, 以即便找出多是電腦入侵引發的反常跡象, 以避免致使我的信息和財產遭受損害.