快速自檢電腦是否被黑客入侵過(Windows版)
我們經常會感覺電腦行為有點奇怪, 比如總是開啟莫名其妙的網站, 或者偶爾變卡(網路/CPU), 似乎自己"中毒"了,
但X60安全衛士或者X訊電腦管家掃描之後又說你電腦"非常安全", 那麼有可能你已經被黑客光顧過了. 這種時候也許要專業的取證人員出場,
但似乎又有點小提大作. 因此本文介紹一些低成本的自檢方法, 對於個人使用者可以快速判斷自己是否已經被入侵過.
1. 異常的日誌記錄
通常我們需要檢查一些可疑的事件記錄, 比如:
“Event log service was stopped.”(事件記錄服務已經停止) “Windows File Protection is not active on this system.”(Windows檔案保護未開啟) “The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(受保護的系統檔案XXX無法還原) “The MS Telnet Service has started successfully.”(Telnet服務開啟成功)
除此之外, 還可以看看有沒有大量失敗的登入日誌或者被鎖定的賬戶.
檢視事件日誌有兩種方式:
1) 通過圖形介面檢視, 開始->執行 eventvwr.msc
2) 通過命令列檢視, 主要是使用eventquery.vbs
指令碼:
C:> eventquery.vbs | more
或者只看某個條目下的日誌:
C:> eventquery.vbs /L security
eventquery.vbs是使用可以檢視命令列幫助或者微軟的官方文件.
2. 異常的程序和服務
即在我們熟知的Windows工作管理員中
檢視是否有奇怪的程序在執行, 重點關注使用者名稱是SYSTEM(系統)
或者Administrator(管理員)
當然, 你最好能熟悉正常的程序和服務, 不然也不知道某個程序是不是"異常"的. 如果不熟悉也不要緊, 對著工作管理員不認識的程序, 挨個google一遍也就能大概瞭解了.
查詢異常程序
使用Ctrl+Alt+Del
快捷鍵或者開始->執行taskmgr.exe
開啟工作管理員即可看到執行中的程序. 當然也可以使用命令列檢視程序:
C:> tasklist
C:> wmic process list full
查詢異常服務
- 1). 圖形介面: 開始->執行
services.msc
2). 命令列:
C:> net start
C:> sc query
查詢和每個程序關聯的服務:
C:> tasklist /svc
3. 異常的檔案和登錄檔
如果磁碟可用空間突然減小, 我們可以查詢檔案看是否有異常. 通過開始選單依次點選:
開始->查詢->檔案或目錄
然後設定查詢選項, 比如檔案大小大於10000KB, 或者建立/修改時間在一週以內, 並搜尋相關檔案.
對於登錄檔, 通常是查詢自啟動的註冊點, 並檢查對應的應用程式, 常見的啟動點為:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx
注: HKLM和HKCU分別是
HKEY_LOCAL_MACHINE
和HKEY_CURRENT_USER
的縮寫.
檢視登錄檔有兩種方式:
1) 圖形介面: 開始->執行 regedit.exe
2) 命令列reg query <key>
, 例:
C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
當然除此之外還有很多註冊點可以進行自啟動, 這個在下面說.
4. 異常的計劃任務
接下來是檢視異常的計劃任務, 重點關注那些以管理員組或者SYSTEM許可權, 或者是以空白使用者名稱定時啟動的任務.
檢視定時任務
1) 圖形介面, 可以通過開始選單搜尋Task Scheduler
開啟, 或者:
開始->執行 taskschd.msc /s
2) 命令列輸出計劃任務:
C:> schtasks
檢視自啟動程式
1) 圖形介面, 開始->執行 msconfig.exe
2) 命令列:
C:> wmic startup list full
其他自啟動入口
要注意的是, msconfig這些命令只是列出了部分開機自動啟動的程式, Windows開機自啟動的方式很多, 包括劫持系統程式/動態執行庫等方式,
其中涉及到許多登錄檔入口, 感興趣的朋友可以檢視網上的其他文章.
5. 異常的網路流量
常用的網路相關自檢命令:
檢查防火牆配置:
C:> netsh firewall show config
檢視共享檔案, 檢查是否是主動分享的:
C:> net view \127.0.0.1
檢視本機活躍的會話:
C:> net session
檢視本機對其他系統開啟的會話:
C:> net use
檢視NetBIOS over TCP/IP 的啟用狀態:
C:> nbtstat -S
檢視當前網路連線和監聽情況:
C:> netstat -na
持續輸出上述資訊, 每3秒重新整理一次:
C:> netstat -na 3
檢視網路連線對應的程序id(-o)和程序名字(-b)
C:> netstat -naob
注: netstat -b 除了顯示程序名字, 還顯示了程序所載入的DLL資訊, 所以持續輸出的話會消耗比較多的CPU資源.
對於其他選項, 可以通過netstat -h
檢視幫助.
6. 異常帳號
重點檢視新新增進管理員組的帳號.
1) 圖形介面方式:
開始->執行 lusrmgr.msc -> 點選使用者組 -> 雙擊管理員
然後檢視裡面的使用者列表.
2) 命令列方式:
C:> net user
C:> net localgroup administrators
小結
當發現電腦突然變卡的時, 應當及時檢視工作管理員看是否有某個異常程序佔用了大量CPU資源; 當系統異常宕機時,
應當及時檢查對應日誌, 看是否是某個程式執行exp導致的崩潰. 總而言之, 最好經常按照上述方式快速對系統做一遍檢查,
以即使找出可能是電腦入侵引起的反常跡象, 以免導致個人資訊和財產遭受損害.
相關推薦
快速自檢電腦是否被黑客入侵過(Windows版)
我們經常會感覺電腦行為有點奇怪, 比如總是開啟莫名其妙的網站, 或者偶爾變卡(網路/CPU), 似乎自己"中毒"了, 但X60安全衛士或者X訊電腦管家掃描之後又說你電腦"非常安全", 那麼有可能你已經被黑客光顧過了. 這種時候也許要專業的取證人員出場, 但似乎又有點小提大作. 因此本文介紹一些低成本的自檢方法
美國男子電腦被黑客入侵 卻對他說“很感激”
來自亞利桑那州的Andy Gregg在聽到一個陌生人通過他的Nest智慧攝像頭對他說話了嚇了一跳,對方告訴Andy,他的密碼在網上被洩露後,這個小裝置已經遭到了破壞,這將他暴露在一個由惡意網路攻擊者組成的全球網路面前。 這個安全攝像頭可以連線網際網路,並提供24小時直播,攝像頭和麥克風可以讓人在家門口與人交
dede織夢如何防止被黑客入侵滲透?
程序 滲透 con 可能 自己 模塊 新的 tro 系統數據庫 dede精簡設置篇:避免被hack註射掛馬 精簡設置篇:不需要的功能統統刪除。比如不需要會員就將member文件夾刪除。刪除多余組件是避免被hack註射的最佳辦法。將每個目錄添加空的index.html,
新弄的香港VPS被黑客入侵,特此記錄
昨天:遠端時,發現VPS的某個程序異常:VPS的XenGuestAgent.exe程序竟然吃了1G虛擬記憶體。 雖然知道這程序不正常,但是這程序資訊非常少,只能結束掉處理。 今天: 又上去看了一下,突然看到這程序又佔了1G虛擬記憶體。更一看,發現存在數字型的程序名稱,一
Mysql被黑客入侵及安全措施總結
情況概述 今天登陸在騰訊雲伺服器上搭建的Mysql資料庫,發現數據庫被黑了,黑客提示十分明顯。 Mysql中只剩下兩個資料庫,一個是information_schema,另一個是黑客建立的PLEASE_READ,其中有一張info表,內容如下: Info
mysql max_allowed_packet 反復被重置,原來是服務器被黑客攻擊了。
function 測試的 binlog /var/ 用戶 bin alt 團隊 提供服務 最近做個項目,由於團隊人員不在同一個辦公地點,就弄了一臺外網掛靠機做開發和測試環境。 在開發和測試的過長中,mysql 頻繁的報:Caused by: com.mysql.jdbc.P
戴爾電腦回收站被清空了該怎麽辦 回收站清空了怎麽恢復
戴爾電腦回收站被清空了該怎麽辦 回收站可以放電腦中很多暫時不需要的數據文件,當我們再需要的時候,就可以去回收站將需要的文件再次調出來。可是當我們誤清空回收站,找不到文件的時候,該怎麽辦?現在小編教你們如何來恢復回收站的文件。 第一步:搜索“互盾刪除文件恢復大師”,將軟件下載安裝
三星電腦回收站被清空了還能恢復嗎
電腦就和人的大腦一樣的,儲存了非常多的東西,而電腦中的回收站已相當於大腦中的一部分,我們會把有些怎是用不到的文件放入電腦回收站中,但是有時候一忙清理回收站的時候就會忘了裏面還有一些我們以後有可能會用到的定西,怎麽辦呢?只能恢復呀。 用互盾電腦數據恢復軟件,這個軟件能恢復很多倍誤刪的文件,先看看恢復的
時常被黑客攻擊,看我如何做好防禦?
添加 可能 exe col net 日誌 sys 文本 table 前言:習慣性每天都看阿裏雲日誌,發現有個IP每天都來嘗試攻擊我服務器,然後就有了下文。 X.X.X.78這個IP地址,每天都來嘗試搞我服務器。當然,咱們也不能慫,對吧? 通過直接訪問IPX.X.X.78得
電腦裏被徹底刪除的文件怎麽找回 文件恢復
有時候我們在刪除文件的時候,都會使用快捷鍵來幫助我們節省時間,那小編我呢就是其中一員,經常使用shift+delete來刪除沒用的文件,因為我不喜歡回收站裏有東西,所以小編的電腦回收站一直都是空的,然而有一天我就後悔了,有一個文件還放在一個沒用的文件夾裏面,我當時沒想到就直接把那個文件夾刪除了,但是就
win7電腦桌面壁紙曝光過高影響圖標怎麽辦?親測實用解決方法
content 描述 系統設置 rdquo upload 桌面背景 應用 title img 現在用win7系統的人應該還是挺多的吧,雖然說windows家族已經升級到現在的win11了,相信大多數人家用的電腦系統還是win7吧,今天要講的是一個壁紙曝光度過高的解決辦法,雖
用WiFi時如何避免被黑客攻擊
ddos 大金ddos互聯網時代,什麽最重要?是WiFi,還是寬帶?都不對,交電費最重要。開個玩笑。確實,日常生活中大家已經離不開WiFi了吧?WiFi的好處無需贅言,但是相應的,它的危險性也值得我們商榷。那麽,該如何保證自己的安全呢?1.免費WiFi慎用 ddos網頁端 ddos ddos攻擊 www
網站被黑客掃描撞庫該怎麽應對防範?
撞庫攻擊 網絡安全 在安全領域向來是先知道如何攻,其次才是防。在介紹如何防範網站被黑客掃描撞庫之前,先簡單介紹一下什麽是撞庫:撞庫是黑客通過收集互聯網已泄露的用戶和密碼信息,生成對於的字典表,嘗試批量登錄其他網站後,得到一系列可以登錄的用戶。因為很多用戶在不同網站使用的賬號密碼大多是相同的,因此黑客可
實驗十:黑客入侵技術基本流程
黑客入侵技術基本流程說明:警告!警告!警告! 如果因個人學習後作出對社會造成危害或者經濟損失的,本人概不負責,我只是提供一個學習的平臺,我只是一個引路人,真正能否是否掌握這門技術需要看個人的造化,但是學習後千萬不要用來做一些對社會造成危害的事情,一切責任後果都由當事人自己承擔,好奇是會害死貓的,千萬不要用來幹
powershell腳本:你的文件已經被黑客篡改.ps1
round 名稱 rom sil ont match each read 系統 本人原創powershell腳本分享。 腳本用途:列出某目錄下,所有軟件簽名不符的文件。 系統需求: win7 + powershell 2.0 及 以上。 #nd你
郭盛華的傳奇人生,從電腦民工到“黑客”教父
前景 傳奇 就是 未來 全球 是把 http jpeg 臺電腦 俗話說:“不想當將軍的士兵不是好士兵”,沒有人願意打工一輩子。現在互聯網時代更是如此,只要一臺電腦加上一技之長,你就可以創業了,而且成本也不高。 郭盛華,這位叱咤風雲的“黑客”大俠,業界無人不曉,日本人
win8系統電腦出現CPU使用頻率過高的修復方法分享
腦的使用 詳細 .html 相同 使用 修復方法 targe 我們 如果 我們在電腦的使用中,如果是面對電腦的小夥伴都我們在電腦的使用中如果CPU的使用中出現了使用頻率過高的話我們的電腦會不會運行就會變慢呢,今天看到有小夥伴在問,我們的win8系統電腦出現CPU的使用頻率過
電腦上被永久刪除的文件如何恢復
出現 安裝軟件 人性 ces 技術 而是 存儲 在家 water ? ? ?大家在使用電腦的時候是不是出現過這些問題,桌面文件使用快捷鍵刪除、硬盤被格式化、電腦裏面的文件被殺毒軟件刪除等情況,遇到對於自己很重要的文件在這樣的情況我們都會焦急如焚。其實這些情況都是可以解決的
不可不知!未來警惕被黑客植入微芯片
植入物 黑客 重要 nan 設備 整形 保持 變化 發的 未來科技太可怕了,預防警惕被黑客植入微芯片!1998年,英國科學家凱文?沃裏克成為第一個接收RFID微芯片植入物的人。但從那時起,植入芯片發展一直很緩慢。墨爾本大學工程學院計算與信息系統系研究員凱拉?赫弗南(Ka
cmd黑客入侵命令大全
pass padmin 目標地址 目錄 計算機 指定 同文件 當前 刪除目錄 nbtstat -A ip 對方136到139其中一個端口開了的話,就可查看對方最近登陸的用戶名(03前的為用戶名)-註意:參數-A要大寫 tracert -參數 ip(或計算機名) 跟蹤路由(