我们经常会感觉电脑行为有点奇怪, 比如总是打开莫名其妙的网站, 或者偶尔变卡(网络/CPU), 似乎自己"中毒"了,

但X60安全卫士或者X讯电脑管家扫描之后又说你电脑"非常安全", 那么有可能你已经被黑客光顾过了. 这种时候也许要专业的取证人员出场,

但似乎又有点小提大作. 因此本文介绍一些低成本的自检方法, 对于个人用户可以快速判断自己是否已经被入侵过.

1. 异常的日志记录

通常我们需要检查一些可疑的事件记录, 比如:

“Event log service was stopped.”(事件记录服务已经停止)
“Windows File Protection is not active on this system.”(Windows文件保护未开启)
“The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(受保护的系统文件XXX无法还原)
“The MS Telnet Service has started successfully.”(Telnet服务开启成功)

除此之外, 还可以看看有没有大量失败的登录日志或者被锁定的账户.

查看事件日志有两种方式:

  1. 通过图形界面查看, 开始->运行 eventvwr.msc

  2. 通过命令行查看, 主要是使用eventquery.vbs脚本:

    C:> eventquery.vbs | more

或者只看某个条目下的日志:

C:> eventquery.vbs /L security

eventquery.vbs是使用可以查看命令行帮助或者微软的官方文档.

2. 异常的进程和服务

即在我们熟知的Windows任务管理器中查看是否有奇怪的进程在运行, 重点关注用户名是SYSTEM(系统)或者Administrator(管理员), 以及在管理员组的用户.

当然, 你最好能熟悉正常的进程和服务, 不然也不知道某个进程是不是"异常"的. 如果不熟悉也不要紧, 对着任务管理器不认识的进程, 挨个google一遍也就能大概了解了.

查找异常进程

使用Ctrl+Alt+Del快捷键或者开始->运行taskmgr.exe打开任务管理器即可看到运行中的进程. 当然也可以使用命令行查看进程:

C:> tasklist
C:> wmic process list full

查找异常服务

  • 1). 图形界面: 开始->运行 services.msc

  • 2). 命令行:

    C:> net start

    C:> sc query

查找和每个进程关联的服务:

C:> tasklist /svc

3. 异常的文件和注册表

如果磁盘可用空间突然减小, 我们可以查找文件看是否有异常. 通过开始菜单依次点击:

开始->查找->文件或目录

然后设置查找选项, 比如文件大小大于10000KB, 或者创建/修改时间在一周以内, 并搜索相关文件.

对于注册表, 通常是查找自启动的注册点, 并检查对应的应用程序, 常见的启动点为:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx

注: HKLM和HKCU分别是HKEY_LOCAL_MACHINEHKEY_CURRENT_USER的缩写.

查看注册表有两种方式:

  1. 图形界面: 开始->运行 regedit.exe

  2. 命令行reg query <key>, 例:

    C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run

当然除此之外还有很多注册点可以进行自启动, 这个在下面说.

4. 异常的计划任务

接下来是查看异常的计划任务, 重点关注那些以管理员组或者SYSTEM权限, 或者是以空白用户名定时启动的任务.

查看定时任务

  1. 图形界面, 可以通过开始菜单搜索Task Scheduler打开, 或者:

    开始->运行 taskschd.msc /s

  2. 命令行输出计划任务:

    C:> schtasks

查看自启动程序

  1. 图形界面, 开始->运行 msconfig.exe

  2. 命令行:

    C:> wmic startup list full

其他自启动入口

要注意的是, msconfig这些命令只是列出了部分开机自动启动的程序, Windows开机自启动的方式很多, 包括劫持系统程序/动态运行库等方式,

其中涉及到许多注册表入口, 感兴趣的朋友可以查看网上的其他文章.

5. 异常的网络流量

常用的网络相关自检命令:

  • 检查防火墙配置:

    C:> netsh firewall show config

  • 查看共享文件, 检查是否是主动分享的:

    C:> net view \127.0.0.1

  • 查看本机活跃的会话:

    C:> net session

  • 查看本机对其他系统打开的会话:

    C:> net use

  • 查看NetBIOS over TCP/IP 的激活状态:

    C:> nbtstat -S

  • 查看当前网络连接和监听情况:

    C:> netstat -na

  • 持续输出上述信息, 每3秒刷新一次:

    C:> netstat -na 3

  • 查看网络连接对应的进程id(-o)和进程名字(-b)

    C:> netstat -naob

注: netstat -b 除了显示进程名字, 还显示了进程所加载的DLL信息, 所以持续输出的话会消耗比较多的CPU资源.

对于其他选项, 可以通过netstat -h查看帮助.

6. 异常帐号

重点查看新添加进管理员组的帐号.

  1. 图形界面方式:

    开始->运行 lusrmgr.msc -> 点击用户组 -> 双击管理员

然后查看里面的用户列表.

  1. 命令行方式:

    C:> net user

    C:> net localgroup administrators

小结

当发现电脑突然变卡的时, 应当及时查看任务管理器看是否有某个异常进程占用了大量CPU资源; 当系统异常死机时,

应当及时检查对应日志, 看是否是某个程序执行exp导致的崩溃. 总而言之, 最好经常按照上述方式快速对系统做一遍检查,

以即使找出可能是电脑入侵引起的反常迹象, 以免导致个人信息和财产遭受损害.

快速自检电脑是否被黑客入侵过(Windows版)的更多相关文章

  1. 快速自检电脑是否被黑客入侵过(Linux版)

    之前写了一篇快速自检电脑是否被黑客入侵过(Windows版), 这次就来写写Linux版本的. 前言 严谨地说, Linux只是一个内核, GNU Linux才算完整的操作系统, 但在本文里还是用通俗 ...

  2. 快速自检电脑是否被黑客入侵过(Linux版)

    前言 严谨地说, Linux只是一个内核, `GNU Linux`才算完整的操作系统, 但在本文里还是用通俗的叫法, 把`Ubuntu`,`Debian`,`RedHat`,`CentOS`,`Arc ...

  3. Mysql被黑客入侵及安全措施总结

    情况概述 今天登陆在腾讯云服务器上搭建的 MySQL 数据库,发现数据库被黑了,黑客提示十分明显. MySQL 中只剩下两个数据库,一个是information_schema,另一个是黑客创建的PLE ...

  4. dotnet 使用 Qpush 快速从电脑到手机推送文字

    在手机打字总不是方便,于是就有了 Qpush 这个工具,通过这个工具可以快速从电脑到手机推送文字. 但是这个工具没有找到客户端,于是我就给他写了一个库,通过这个库可以快速进行开发 先介绍QPush 快 ...

  5. Dappy如何防止DNS黑客入侵

    作者:Raphaël 译者注:Dappy是RChain生态中的DNS[域名系统(服务)协议].Dappy基于RChain的技术架构保障了域名系统的安全性. Dappy是一个用于文件和Web应用程序的去 ...

  6. 微信电脑版真的要来了 微信Windows版客户端1.0 Alpha推出

    微信电脑版的搜索量一直很大,但只有网页版,之前也写了微信网页版APP - 网页微信客户端电脑版体验,在键盘上打字的感觉就是快.现在微信Windows版客户端1.0 Alpha推出了,来一睹芳容吧(20 ...

  7. 【黑客基础】Windows PowerShell 脚本学习(上)

    视频地址:[黑客基础]Windows PowerShell 脚本学习 2019.12.05 学习笔记 1.$PSVersionTable :查看PowerShell的版本信息. 2.PowerShel ...

  8. Serverless 初体验:快速开发与部署一个Hello World(Java版)

    昨天被阿里云的这个酷炫大屏吸引了! 我等85后开发者居然这么少!挺好奇到底什么鬼东西都是90.95后在玩?就深入看了一下. 这是一个关于Serverless的体验活动,Serverless在国内一直都 ...

  9. dede织梦如何防止被黑客入侵渗透?

    dede精简设置篇:避免被hack注射挂马 精简设置篇:不需要的功能统统删除.比如不需要会员就将member文件夹删除.删除多余组件是避免被hack注射的最佳办法.将每个目录添加空的index.htm ...

随机推荐

  1. [C语言]贪吃蛇_结构数组实现

    一.设计思路 蛇身本质上就是个结构数组,数组里存储了坐标x.y的值,再通过一个循环把它打印出来,蛇的移动则是不断地刷新重新打印.所以撞墙.咬到自己只是数组x.y值的简单比较. 二.用上的知识点 结构数 ...

  2. YYHS-Super Big Stupid Cross(二分+扫描线+平衡树)

    题目描述 “我是超级大沙茶”——Mato_No1 为了证明自己是一个超级大沙茶,Mato 神犇决定展示自己对叉(十字型)有多么的了 解. Mato 神犇有一个平面直角坐标系,上面有一些线段,保证这些线 ...

  3. gitlab与jenkins的自动化部署(通过webhook与ansilble)

    gitlab与jenkins的自动化部署(通过webhook与ansilble) 1.部署介绍 gitlab服务器:192.168.1.49:80jenkins服务器:192.168.1.49:818 ...

  4. 单独创建一个Android Test Project 时junit 的配置和使用

    现在的集成ADT后Eclipse都可以直接创建Android Test Project 如图所示: 命名后选择你要测试的单元程序,比如我自己准备测试sms,便可以如图所示那样选择 本人新建的测试工程为 ...

  5. 【转】Python正则表达式指南

    1. 正则表达式基础 1.1. 简单介绍 正则表达式并不是Python的一部分.正则表达式是用于处理字符串的强大工具,拥有自己独特的语法以及一个独立的处理引擎,效率上可能不如str自带的方法,但功能十 ...

  6. Java面向对象 网络编程 下

    Java面向对象 网络编程  下 知识概要:                   (1)Tcp 练习 (2)客户端向服务端上传一个图片. (3) 请求登陆 (4)url 需求:上传图片. 客户端:   ...

  7. Masonry框架源码深度解析

    Masonry是iOS在控件布局中经常使用的一个轻量级框架,Masonry让NSLayoutConstraint使用起来更为简洁.Masonry简化了NSLayoutConstraint的使用方式,让 ...

  8. Linux命令用法

    1.cut http://www.cnblogs.com/dong008259/archive/2011/12/09/2282679.html 2.sed http://www.cnblogs.com ...

  9. 压缩感知重构算法之压缩采样匹配追踪(CoSaMP)

    压缩采样匹配追踪(CompressiveSampling MP)是D. Needell继ROMP之后提出的又一个具有较大影响力的重构算法.CoSaMP也是对OMP的一种改进,每次迭代选择多个原子,除了 ...

  10. 【Win 10 应用开发】UI Composition 札记(一):视图框架的实现

    在开始今天的内容之前,老周先说一个问题,这个问题记得以前有人提过的. 设置 Windows.ApplicationModel.Core.CoreApplicationView.TitleBar.Ext ...