我們經常會感覺電腦行為有點奇怪, 比如總是開啟莫名其妙的網站, 或者偶爾變卡(網路/CPU), 似乎自己"中毒"了,
但X60安全衛士或者X訊電腦管家掃描之後又說你電腦"非常安全", 那麼有可能你已經被黑客光顧過了. 這種時候也許要專業的取證人員出場,
但似乎又有點小提大作. 因此本文介紹一些低成本的自檢方法, 對於個人使用者可以快速判斷自己是否已經被入侵過.

1. 異常的日誌記錄

通常我們需要檢查一些可疑的事件記錄, 比如:

“Event log service was stopped.”(事件記錄服務已經停止)
“Windows File Protection is not active on this system.”(Windows檔案保護未開啟)
“The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(受保護的系統檔案XXX無法還原)
“The MS Telnet Service has started successfully.”(Telnet服務開啟成功)
 

除此之外, 還可以看看有沒有大量失敗的登入日誌或者被鎖定的賬戶.

檢視事件日誌有兩種方式:

1) 通過圖形介面檢視, 開始->執行 eventvwr.msc

2) 通過命令列檢視, 主要是使用eventquery.vbs指令碼:

C:> eventquery.vbs | more

或者只看某個條目下的日誌:

C:> eventquery.vbs /L security

eventquery.vbs是使用可以檢視命令列幫助或者微軟的官方文件.

2. 異常的程序和服務

即在我們熟知的Windows工作管理員中檢視是否有奇怪的程序在執行, 重點關注使用者名稱是SYSTEM(系統)或者Administrator(管理員)

查詢異常程序

使用Ctrl+Alt+Del快捷鍵或者開始->執行taskmgr.exe開啟工作管理員即可看到執行中的程序. 當然也可以使用命令列檢視程序:

C:> tasklist
C:> wmic process list full

查詢異常服務

• 1). 圖形介面: 開始->執行 services.msc

• 2). 命令列:

  C:> net start
  C:> sc query

查詢和每個程序關聯的服務:

C:> tasklist /svc

3. 異常的檔案和登錄檔

如果磁碟可用空間突然減小, 我們可以查詢檔案看是否有異常. 通過開始選單依次點選:

開始->查詢->檔案或目錄

然後設定查詢選項, 比如檔案大小大於10000KB, 或者建立/修改時間在一週以內, 並搜尋相關檔案.

對於登錄檔, 通常是查詢自啟動的註冊點, 並檢查對應的應用程式, 常見的啟動點為:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx

注: HKLM和HKCU分別是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的縮寫.

檢視登錄檔有兩種方式:

1) 圖形介面: 開始->執行 regedit.exe

2) 命令列reg query <key>, 例:

C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run

當然除此之外還有很多註冊點可以進行自啟動, 這個在下面說.

4. 異常的計劃任務

接下來是檢視異常的計劃任務, 重點關注那些以管理員組或者SYSTEM許可權, 或者是以空白使用者名稱定時啟動的任務.

檢視定時任務

1) 圖形介面, 可以通過開始選單搜尋Task Scheduler開啟, 或者:

開始->執行 taskschd.msc /s

2) 命令列輸出計劃任務:

C:> schtasks

檢視自啟動程式

1) 圖形介面, 開始->執行 msconfig.exe

2) 命令列:

C:> wmic startup list full

其他自啟動入口

要注意的是, msconfig這些命令只是列出了部分開機自動啟動的程式, Windows開機自啟動的方式很多, 包括劫持系統程式/動態執行庫等方式,
其中涉及到許多登錄檔入口, 感興趣的朋友可以檢視網上的其他文章.

5. 異常的網路流量

常用的網路相關自檢命令:

• 檢查防火牆配置:

  C:> netsh firewall show config

• 檢視共享檔案, 檢查是否是主動分享的:

  C:> net view \127.0.0.1

• 檢視本機活躍的會話:

  C:> net session

• 檢視本機對其他系統開啟的會話:

  C:> net use

• 檢視NetBIOS over TCP/IP 的啟用狀態:

  C:> nbtstat -S

• 檢視當前網路連線和監聽情況:

  C:> netstat -na

• 持續輸出上述資訊, 每3秒重新整理一次:

  C:> netstat -na 3

• 檢視網路連線對應的程序id(-o)和程序名字(-b)

  C:> netstat -naob

注: netstat -b 除了顯示程序名字, 還顯示了程序所載入的DLL資訊, 所以持續輸出的話會消耗比較多的CPU資源.
對於其他選項, 可以通過netstat -h檢視幫助.

6. 異常帳號

重點檢視新新增進管理員組的帳號.

1) 圖形介面方式:

開始->執行 lusrmgr.msc -> 點選使用者組 -> 雙擊管理員

然後檢視裡面的使用者列表.

2) 命令列方式:

C:> net user
C:> net localgroup administrators

小結

當發現電腦突然變卡的時, 應當及時檢視工作管理員看是否有某個異常程序佔用了大量CPU資源; 當系統異常宕機時,
應當及時檢查對應日誌, 看是否是某個程式執行exp導致的崩潰. 總而言之, 最好經常按照上述方式快速對系統做一遍檢查,
以即使找出可能是電腦入侵引起的反常跡象, 以免導致個人資訊和財產遭受損害.