怎么样查电脑被人入侵(超实用如何手工简易排查电脑是否被入侵)

本期“安仔课堂”，ISEC实验室老师手把手教你“如何手工简易排查电脑是否被入侵过”，小伙伴们快快来！

恶意软件离我们并不遥远，网络攻击事件的频繁发生是再正常不过的事情了；人总是会生病，计算机也一样。如果你想知道自己的电脑是否“生病”了，那么，你首先需要了解电脑“生病”时的一些症状。

一、电脑感染后最常见的现象

1.浏览器重定向

当你使用百度搜索时，点击百度提供的链接，却被引导至一个随机链接上。你发现点击的每一条链接都被重定向到了其他网站。如果存在此情况，表明你的系统已被病毒或恶意软件感染。

2.主页被篡改

比如你将最喜欢的体育新闻网站设成了主页，但是不知为何，每次打开浏览器的时候，弹出的永远是Yahoo.com的首页。而且你还发现，在浏览器窗口中还出现了很多新的小工具图标，这些图标怎么都删不掉。那么请你小心，你的电脑很可能已经感染了恶意软件。

3.满屏幕的弹窗

“满屏幕的弹窗”指的是当你关闭了这个窗口之后，另一个窗口又弹出来了。而且当你没有连网的时候，系统仍不断地弹出各种各样的通知窗口。现在有很多网站会弹出让人反感的各种各样的广告，如果你的屏幕存在此情况，那么你的电脑可能已经被恶意广告或间谍软件感染了。

4.计算机运行越来越慢

导致电脑运行速度越来越慢的因素有很多，可能是因为运行的程序太多了，也可能是硬盘的存储空间不够了，亦或是因为内存太小。如果排除以上三个原因，电脑依旧运行很慢的话，那么你的电脑很可能已经中招了。

5.系统或程序不断崩溃

导致系统或应用程序不断崩溃的原因有很多，有可能是软件和硬件之间存在兼容问题所导致的。但是如果中了像rootkits这种会感染Windows内核的恶意软件，也会造成系统的不停崩溃。

6.出现异常图标、错误的开始菜单或设备管理器条目

出现异常图标、错误的开始菜单或设备管理器条目，有可能是因为下载安装程序没有注意，导致了一堆捆绑程序下载安装，这种附带在其他软件上的程序，实际上就是恶意软件。

二、如何自检

1.异常的日志记录

通常，我们需要检查一些可疑的事件记录，通过图形界面查看,开始->运行eventvwr.msc。比如:

“Eventlogservicewasstopped.”(事件记录服务已经停止)“WindowsFileProtectionisnotactiveonthissystem.”(Windows文件保护未开启)“TheprotectedSystemfile[filename]wasnotrestoredtoitsoriginal,validversionbecauseoftheWindowsFileProtection…”(受保护的系统文件XXX无法还原)“TheMSTelnetServicehasstartedsuccessfully.”(Telnet服务开启成功)，除此之外,还可以看看有没有大量失败的登录日志或者被锁定的账户。

2.异常的进程和服务

①.查找异常进程：

打开任务管理器查看是否有奇怪的进程在运行，重点关注的用户名是SYSTEM(系统)、Administrator(管理员)以及在管理员组的用户。当然,你最好能熟悉正常的进程和服务，否则不清楚进程是否是"异常"的。

②.查找异常服务：

图形界面：开始->运行services.msc，查找和每个进程关联的服务。

3.异常的文件和注册表

如果磁盘的可用空间突然减小，我们可查看下文件是否有异常。通过开始菜单依次点击:开始->查找->文件或目录，然后设置查找选项,比如文件大于10000KB，或者创建、修改时间在一周以内，并搜索相关文件。

对于注册表，通常是查找自启动的注册点，常见的启动点为：

HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx

注：HKLM和HKCU分别是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的缩写。

4.异常的计划任务

查看异常的计划任务,重点关注那些以管理员组、SYSTEM权限或者空白用户名定时启动的任务：

查看定时任务

开始->运行taskschd.msc/s，查看定时任务。

查看自启动程序

开始->运行msconfig.exe，查看自启动程序。

其他自启动入口

要注意的是，msconfig这些命令只是列出了部分开机自启动的程序，Windows开机自启动的方式很多，包括劫持系统程序、动态运行库等。

5.异常的网络流量

常用的网络相关自检命令：

检查防火墙配置：netshfirewallshowconfig；

查看共享文件，检查是否是主动分享的，netview\127.0.0.1；

查看本机活跃的会话，netsession；

查看本机对其他系统打开的会话，netuse；

查看NetBIOSoverTCP/IP的激活状态，nbtstat–S；

查看当前网络连接和监听情况，netstat–na；

持续输出上述信息,每3秒刷新一次，netstat-na3；

查看网络连接对应的进程id(-o)和进程名字(-b)，netstat–naob。

6.异常帐号

使用命令行重点查看新添加进管理员组的账号：

netuser

netlocalgroupadministrators

7.使用工具检查

安装杀毒软件，能够扫描出大部分的恶意软件。ISEC实验室研发的产品“计算机安全检测系统SD307”，针对文件特征值、数字签名等信息做校验，能够很好的针对PE文件进行检测。

互联网的多元化与复杂性在给我们的生活带来丰富和便利的同时，亦带来了安全风险，建议大家定期对计算机进行安全扫描，养成良好的上网习惯，保护好自己的信息安全。