快速自检电脑是否被黑客入侵过(Windows版)
我们经常会感觉电脑行为有点奇怪, 比如总是打开莫名其妙的网站, 或者偶尔变卡(网络/CPU), 似乎自己"中毒"了,
但X60安全卫士或者X讯电脑管家扫描之后又说你电脑"非常安全", 那么有可能你已经被黑客光顾过了. 这种时候也许要专业的取证人员出场,
但似乎又有点小提大作. 因此本文介绍一些低成本的自检方法, 对于个人用户可以快速判断自己是否已经被入侵过.
1. 异常的日志记录
通常我们需要检查一些可疑的事件记录, 比如:
“Event log service was stopped.”(事件记录服务已经停止)
“Windows File Protection is not active on this system.”(Windows文件保护未开启)
“The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(受保护的系统文件XXX无法还原)
“The MS Telnet Service has started successfully.”(Telnet服务开启成功)
除此之外, 还可以看看有没有大量失败的登录日志或者被锁定的账户.
查看事件日志有两种方式:
通过图形界面查看, 开始->运行
eventvwr.msc
通过命令行查看, 主要是使用
eventquery.vbs
脚本:C:> eventquery.vbs | more
或者只看某个条目下的日志:
C:> eventquery.vbs /L security
eventquery.vbs是使用可以查看命令行帮助或者微软的官方文档.
2. 异常的进程和服务
即在我们熟知的Windows任务管理器中
查看是否有奇怪的进程在运行, 重点关注用户名是SYSTEM(系统)
或者Administrator(管理员)
, 以及在管理员组的用户.
当然, 你最好能熟悉正常的进程和服务, 不然也不知道某个进程是不是"异常"的. 如果不熟悉也不要紧, 对着任务管理器不认识的进程, 挨个google一遍也就能大概了解了.
查找异常进程
使用Ctrl+Alt+Del
快捷键或者开始->运行taskmgr.exe
打开任务管理器即可看到运行中的进程. 当然也可以使用命令行查看进程:
C:> tasklist
C:> wmic process list full
查找异常服务
1). 图形界面: 开始->运行
services.msc
2). 命令行:
C:> net start
C:> sc query
查找和每个进程关联的服务:
C:> tasklist /svc
3. 异常的文件和注册表
如果磁盘可用空间突然减小, 我们可以查找文件看是否有异常. 通过开始菜单依次点击:
开始->查找->文件或目录
然后设置查找选项, 比如文件大小大于10000KB, 或者创建/修改时间在一周以内, 并搜索相关文件.
对于注册表, 通常是查找自启动的注册点, 并检查对应的应用程序, 常见的启动点为:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx
注: HKLM和HKCU分别是
HKEY_LOCAL_MACHINE
和HKEY_CURRENT_USER
的缩写.
查看注册表有两种方式:
图形界面: 开始->运行
regedit.exe
命令行
reg query <key>
, 例:C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
当然除此之外还有很多注册点可以进行自启动, 这个在下面说.
4. 异常的计划任务
接下来是查看异常的计划任务, 重点关注那些以管理员组或者SYSTEM权限, 或者是以空白用户名定时启动的任务.
查看定时任务
图形界面, 可以通过开始菜单搜索
Task Scheduler
打开, 或者:开始->运行 taskschd.msc /s
命令行输出计划任务:
C:> schtasks
查看自启动程序
图形界面, 开始->运行 msconfig.exe
命令行:
C:> wmic startup list full
其他自启动入口
要注意的是, msconfig这些命令只是列出了部分开机自动启动的程序, Windows开机自启动的方式很多, 包括劫持系统程序/动态运行库等方式,
其中涉及到许多注册表入口, 感兴趣的朋友可以查看网上的其他文章.
5. 异常的网络流量
常用的网络相关自检命令:
检查防火墙配置:
C:> netsh firewall show config
查看共享文件, 检查是否是主动分享的:
C:> net view \127.0.0.1
查看本机活跃的会话:
C:> net session
查看本机对其他系统打开的会话:
C:> net use
查看NetBIOS over TCP/IP 的激活状态:
C:> nbtstat -S
查看当前网络连接和监听情况:
C:> netstat -na
持续输出上述信息, 每3秒刷新一次:
C:> netstat -na 3
查看网络连接对应的进程id(-o)和进程名字(-b)
C:> netstat -naob
注: netstat -b 除了显示进程名字, 还显示了进程所加载的DLL信息, 所以持续输出的话会消耗比较多的CPU资源.
对于其他选项, 可以通过netstat -h
查看帮助.
6. 异常帐号
重点查看新添加进管理员组的帐号.
图形界面方式:
开始->运行 lusrmgr.msc -> 点击用户组 -> 双击管理员
然后查看里面的用户列表.
命令行方式:
C:> net user
C:> net localgroup administrators
小结
当发现电脑突然变卡的时, 应当及时查看任务管理器看是否有某个异常进程占用了大量CPU资源; 当系统异常死机时,
应当及时检查对应日志, 看是否是某个程序执行exp导致的崩溃. 总而言之, 最好经常按照上述方式快速对系统做一遍检查,
以即使找出可能是电脑入侵引起的反常迹象, 以免导致个人信息和财产遭受损害.
快速自检电脑是否被黑客入侵过(Windows版)的更多相关文章
- 快速自检电脑是否被黑客入侵过(Linux版)
之前写了一篇快速自检电脑是否被黑客入侵过(Windows版), 这次就来写写Linux版本的. 前言 严谨地说, Linux只是一个内核, GNU Linux才算完整的操作系统, 但在本文里还是用通俗 ...
- 快速自检电脑是否被黑客入侵过(Linux版)
前言 严谨地说, Linux只是一个内核, `GNU Linux`才算完整的操作系统, 但在本文里还是用通俗的叫法, 把`Ubuntu`,`Debian`,`RedHat`,`CentOS`,`Arc ...
- Mysql被黑客入侵及安全措施总结
情况概述 今天登陆在腾讯云服务器上搭建的 MySQL 数据库,发现数据库被黑了,黑客提示十分明显. MySQL 中只剩下两个数据库,一个是information_schema,另一个是黑客创建的PLE ...
- dotnet 使用 Qpush 快速从电脑到手机推送文字
在手机打字总不是方便,于是就有了 Qpush 这个工具,通过这个工具可以快速从电脑到手机推送文字. 但是这个工具没有找到客户端,于是我就给他写了一个库,通过这个库可以快速进行开发 先介绍QPush 快 ...
- Dappy如何防止DNS黑客入侵
作者:Raphaël 译者注:Dappy是RChain生态中的DNS[域名系统(服务)协议].Dappy基于RChain的技术架构保障了域名系统的安全性. Dappy是一个用于文件和Web应用程序的去 ...
- 微信电脑版真的要来了 微信Windows版客户端1.0 Alpha推出
微信电脑版的搜索量一直很大,但只有网页版,之前也写了微信网页版APP - 网页微信客户端电脑版体验,在键盘上打字的感觉就是快.现在微信Windows版客户端1.0 Alpha推出了,来一睹芳容吧(20 ...
- 【黑客基础】Windows PowerShell 脚本学习(上)
视频地址:[黑客基础]Windows PowerShell 脚本学习 2019.12.05 学习笔记 1.$PSVersionTable :查看PowerShell的版本信息. 2.PowerShel ...
- Serverless 初体验:快速开发与部署一个Hello World(Java版)
昨天被阿里云的这个酷炫大屏吸引了! 我等85后开发者居然这么少!挺好奇到底什么鬼东西都是90.95后在玩?就深入看了一下. 这是一个关于Serverless的体验活动,Serverless在国内一直都 ...
- dede织梦如何防止被黑客入侵渗透?
dede精简设置篇:避免被hack注射挂马 精简设置篇:不需要的功能统统删除.比如不需要会员就将member文件夹删除.删除多余组件是避免被hack注射的最佳办法.将每个目录添加空的index.htm ...
随机推荐
- (Java后端 Java web)面试时如何展示自己非技术方面的能力(其实就是综合能力)
这篇文章的适用范围其实不仅限于Java后端或Java Web,不过其中有些是拿这方面举例的,在其它方面,大家可以举一反三,应该也能得到些启示. 我们在面试时,会发现有些候选人技术不错,比如在Java ...
- Java历程-初学篇 Day05选择结构(2)
一,switch 由于本作者学的是jdk6.0版本,我知道7.0可以使用字符串,但是我就不改了 语法: switch(char类型/int类型){ case 值: //输出 break; ... de ...
- 即时通信系统Openfire分析之五:会话管理
什么是会话? A拨了B的电话 电话接通 A问道:Are you OK? B回复:I have a bug! A挂了电话 这整个过程就是会话. 会话(Session)是一个客户与服务器之间的不中断的请求 ...
- Java高新技术 Myeclipse 介绍
Java高新技术 Myeclipse 介绍 知识概述: (1)Myeclipse开发工具介绍 (2)Myeclipse常用开发步骤详解 ...
- Ricequant-米筐金工-估值因子
Ricequant米筐金工--因子分析 作者:戴宇.小湖 上一篇介绍了单因子检验是因子分析前重要的一个步骤,是构建因子库.建立因子模型的基础,这篇报告首先对常见估值因子进行初步的检验. 第一篇.估值因 ...
- cocos2dx - 环境配置,项目创建
准备工具 cocos2dx当前最新版本:v3.9 官网下载地址: http://www.cocos.com/download/ python 2.7x最新版本:2.7.11 官 ...
- invalid types 'int[int]' for array subscript// EOF 输入多组数据//如何键盘输入EOF
数组维度搞错了 一次运行,要输入多组数据,直到读至输入文件末尾(EOF)为止 while(scanf("%d %d",&a, &b) != EOF) // 输入结束 ...
- uva242,Stamps and Envelope Size
这题紫薯上翻译错了 应该是:如果有多个并列,输出邮票种类最少的那个,如果还有并列,输出最大面值最小的那个 坑了我一个下午 dp[p][q]==1表示可以用不超过q张组成面额p 结合记忆化,p从1开始枚 ...
- python学习之第一课时--初始python
Python前世今世 python是什么 python是一门多种用途的编程语言,时常在扮演脚本语言的角色 python流行原因 软件质量 提高开发者效率(python代码大小为C/java的1/3-1 ...
- MQTT——入门介绍
笔者相信大家对HTTP一定不能陌生."HTTP协议的三次握手四次挥手"相信也略有耳闻.HTTP协议的优势相信大家都明白.不然他不会这流行.然而这并不能忽略他的缺点.最大的特点就是无 ...