怎么样查电脑被人入侵(超实用如何手工简易排查电脑是否被入侵)
本期“安仔课堂”,ISEC实验室老师手把手教你“如何手工简易排查电脑是否被入侵过”,小伙伴们快快来!
恶意软件离我们并不遥远,网络攻击事件的频繁发生是再正常不过的事情了;人总是会生病,计算机也一样。如果你想知道自己的电脑是否“生病”了,那么,你首先需要了解电脑“生病”时的一些症状。
一、电脑感染后最常见的现象
1.浏览器重定向
当你使用百度搜索时,点击百度提供的链接,却被引导至一个随机链接上。你发现点击的每一条链接都被重定向到了其他网站。如果存在此情况,表明你的系统已被病毒或恶意软件感染。
2.主页被篡改
比如你将最喜欢的体育新闻网站设成了主页,但是不知为何,每次打开浏览器的时候,弹出的永远是Yahoo.com的首页。而且你还发现,在浏览器窗口中还出现了很多新的小工具图标,这些图标怎么都删不掉。那么请你小心,你的电脑很可能已经感染了恶意软件。
3.满屏幕的弹窗
“满屏幕的弹窗”指的是当你关闭了这个窗口之后,另一个窗口又弹出来了。而且当你没有连网的时候,系统仍不断地弹出各种各样的通知窗口。现在有很多网站会弹出让人反感的各种各样的广告,如果你的屏幕存在此情况,那么你的电脑可能已经被恶意广告或间谍软件感染了。
4.计算机运行越来越慢
导致电脑运行速度越来越慢的因素有很多,可能是因为运行的程序太多了,也可能是硬盘的存储空间不够了,亦或是因为内存太小。如果排除以上三个原因,电脑依旧运行很慢的话,那么你的电脑很可能已经中招了。
5.系统或程序不断崩溃
导致系统或应用程序不断崩溃的原因有很多,有可能是软件和硬件之间存在兼容问题所导致的。但是如果中了像rootkits这种会感染Windows内核的恶意软件,也会造成系统的不停崩溃。
6.出现异常图标、错误的开始菜单或设备管理器条目
出现异常图标、错误的开始菜单或设备管理器条目,有可能是因为下载安装程序没有注意,导致了一堆捆绑程序下载安装,这种附带在其他软件上的程序,实际上就是恶意软件。
二、如何自检
1.异常的日志记录
通常,我们需要检查一些可疑的事件记录,通过图形界面查看,开始->运行eventvwr.msc。比如:
“Eventlogservicewasstopped.”(事件记录服务已经停止)“WindowsFileProtectionisnotactiveonthissystem.”(Windows文件保护未开启)“TheprotectedSystemfile[filename]wasnotrestoredtoitsoriginal,validversionbecauseoftheWindowsFileProtection…”(受保护的系统文件XXX无法还原)“TheMSTelnetServicehasstartedsuccessfully.”(Telnet服务开启成功),除此之外,还可以看看有没有大量失败的登录日志或者被锁定的账户。
2.异常的进程和服务
①.查找异常进程:
打开任务管理器查看是否有奇怪的进程在运行,重点关注的用户名是SYSTEM(系统)、Administrator(管理员)以及在管理员组的用户。当然,你最好能熟悉正常的进程和服务,否则不清楚进程是否是"异常"的。
②.查找异常服务:
图形界面:开始->运行services.msc,查找和每个进程关联的服务。
3.异常的文件和注册表
如果磁盘的可用空间突然减小,我们可查看下文件是否有异常。通过开始菜单依次点击:开始->查找->文件或目录,然后设置查找选项,比如文件大于10000KB,或者创建、修改时间在一周以内,并搜索相关文件。
对于注册表,通常是查找自启动的注册点,常见的启动点为:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx
注:HKLM和HKCU分别是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的缩写。
4.异常的计划任务
查看异常的计划任务,重点关注那些以管理员组、SYSTEM权限或者空白用户名定时启动的任务:
查看定时任务
开始->运行taskschd.msc/s,查看定时任务。
查看自启动程序
开始->运行msconfig.exe,查看自启动程序。
其他自启动入口
要注意的是,msconfig这些命令只是列出了部分开机自启动的程序,Windows开机自启动的方式很多,包括劫持系统程序、动态运行库等。
5.异常的网络流量
常用的网络相关自检命令:
检查防火墙配置:netshfirewallshowconfig;
查看共享文件,检查是否是主动分享的,netview\127.0.0.1;
查看本机活跃的会话,netsession;
查看本机对其他系统打开的会话,netuse;
查看NetBIOSoverTCP/IP的激活状态,nbtstat–S;
查看当前网络连接和监听情况,netstat–na;
持续输出上述信息,每3秒刷新一次,netstat-na3;
查看网络连接对应的进程id(-o)和进程名字(-b),netstat–naob。
6.异常帐号
使用命令行重点查看新添加进管理员组的账号:
netuser
netlocalgroupadministrators
7.使用工具检查
安装杀毒软件,能够扫描出大部分的恶意软件。ISEC实验室研发的产品“计算机安全检测系统SD307”,针对文件特征值、数字签名等信息做校验,能够很好的针对PE文件进行检测。
互联网的多元化与复杂性在给我们的生活带来丰富和便利的同时,亦带来了安全风险,建议大家定期对计算机进行安全扫描,养成良好的上网习惯,保护好自己的信息安全。