有時候會感覺自己電腦行為有點奇怪, 比如總是打開莫名其妙的網(wǎng)站, 或者偶爾變卡(網(wǎng)絡(luò)/CPU), 似乎自己"中毒"了, 但X60安全衛(wèi)士或者X訊電腦管家掃描之后又說你電腦"非常安全", 那么有可能你已經(jīng)被黑客光顧過了. 這種時候也許要專業(yè)的取證人員出場, 但似乎又有點小提大作. 因此本文介紹一些低成本的自檢方法, 對于個人用戶可以快速判斷自己是否已經(jīng)被入侵過.

1. 異常的日志記錄

通常我們需要檢查一些可疑的事件記錄, 比如:

“Event log service was stopped.”(事件記錄服務(wù)已經(jīng)停止)
“Windows File Protection is not active on this system.”(Windows文件保護未開啟)
“The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(受保護的系統(tǒng)文件XXX無法還原)
“The MS Telnet Service has started successfully.”(Telnet服務(wù)開啟成功)

除此之外, 還可以看看有沒有大量失敗的登錄日志或者被鎖定的賬戶.

查看事件日志有兩種方式:

1) 通過圖形界面查看, 開始->運行 eventvwr.msc

2) 通過命令行查看, 主要是使用eventquery.vbs腳本:

C:> eventquery.vbs | more

或者只看某個條目下的日志:

C:> eventquery.vbs /L security

eventquery.vbs是使用可以查看命令行幫助或者微軟的官方文檔.

2. 異常的進程和服務(wù)

即在我們熟知的Windows任務(wù)管理器中查看是否有奇怪的進程在運行, 重點關(guān)注用戶名是SYSTEM(系統(tǒng))或者Administrator(管理員), 以及在管理員組的用戶. 當(dāng)然, 你最好能熟悉正常的進程和服務(wù), 不然也不知道某個進程是不是"異常"的. 如果不熟悉也不要緊, 對著任務(wù)管理器不認識的進程, 挨個google一遍也就能大概了解了.

查找異常進程

使用Ctrl+Alt+Del快捷鍵或者開始->運行taskmgr.exe打開任務(wù)管理器即可看到運行中的進程. 當(dāng)然也可以使用命令行查看進程:

C:> tasklist
C:> wmic process list full

查找異常服務(wù)

1). 圖形界面: 開始->運行 services.msc

2). 命令行:

C:> net start C:> sc query

查找和每個進程關(guān)聯(lián)的服務(wù):

C:> tasklist /svc

3. 異常的文件和注冊表

如果磁盤可用空間突然減小, 我們可以查找文件看是否有異常. 通過開始菜單依次點擊:

開始->查找->文件或目錄

然后設(shè)置查找選項, 比如文件大小大于10000KB, 或者創(chuàng)建/修改時間在一周以內(nèi), 并搜索相關(guān)文件.

對于注冊表, 通常是查找自啟動的注冊點, 并檢查對應(yīng)的應(yīng)用程序, 常見的啟動點為:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunonceEx

注: HKLM和HKCU分別是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的縮寫.

查看注冊表有兩種方式:

1) 圖形界面: 開始->運行 regedit.exe

2) 命令行reg query <key>, 例:

C:> reg query HKCUSoftwareMicrosoftWindowsCurrentVersionRun

當(dāng)然除此之外還有很多注冊點可以進行自啟動, 這個在下面說.

4. 異常的計劃任務(wù)

接下來是查看異常的計劃任務(wù), 重點關(guān)注那些以管理員組或者SYSTEM權(quán)限, 或者是以空白用戶名定時啟動的任務(wù).

查看定時任務(wù)

1) 圖形界面, 可以通過開始菜單搜索Task Scheduler打開, 或者:

開始->運行 taskschd.msc /s

2) 命令行輸出計劃任務(wù):

C:> schtasks

查看自啟動程序

1) 圖形界面, 開始->運行 msconfig.exe

2) 命令行:

C:> wmic startup list full

其他自啟動入口

要注意的是, msconfig這些命令只是列出了部分開機自動啟動的程序, Windows開機自啟動的方式很多, 包括劫持系統(tǒng)程序/動態(tài)運行庫等方式, 其中涉及到許多注冊表入口, 感興趣的朋友可以查看網(wǎng)上的其他文章.

5. 異常的網(wǎng)絡(luò)流量

常用的網(wǎng)絡(luò)相關(guān)自檢命令:

檢查防火墻配置:

C:> netsh firewall show config

查看共享文件, 檢查是否是主動分享的:

C:> net view 127.0.0.1

查看本機活躍的會話:

C:> net session

查看本機對其他系統(tǒng)打開的會話:

C:> net use

查看NetBIOS over TCP/IP 的激活狀態(tài):

C:> nbtstat -S

查看當(dāng)前網(wǎng)絡(luò)連接和監(jiān)聽情況:

C:> netstat -na

持續(xù)輸出上述信息, 每3秒刷新一次:

C:> netstat -na 3

查看網(wǎng)絡(luò)連接對應(yīng)的進程id(-o)和進程名字(-b)

C:> netstat -naob

注: netstat -b 除了顯示進程名字, 還顯示了進程所加載的DLL信息, 所以持續(xù)輸出的話會消耗比較多的CPU資源. 對于其他選項, 可以通過netstat -h查看幫助.

6. 異常帳號

重點查看新添加進管理員組的帳號.

1) 圖形界面方式:

開始->運行 lusrmgr.msc -> 點擊用戶組 -> 雙擊管理員

然后查看里面的用戶列表.

2) 命令行方式:

C:> net user
C:> net localgroup administrators

小結(jié)

當(dāng)發(fā)現(xiàn)電腦突然變卡的時, 應(yīng)當(dāng)及時查看任務(wù)管理器看是否有某個異常進程占用了大量CPU資源; 當(dāng)系統(tǒng)異常死機時, 應(yīng)當(dāng)及時檢查對應(yīng)日志, 看是否是某個程序執(zhí)行exp導(dǎo)致的崩潰. 總而言之, 最好經(jīng)常按照上述方式快速對系統(tǒng)做一遍檢查, 以即使找出可能是電腦入侵引起的反常跡象, 以免導(dǎo)致個人信息和財產(chǎn)遭受損害.

總結(jié)

以上是生活随笔為你收集整理的快速自检电脑是否被黑客入侵过(Windows版)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。