有时候会觉得本身电脑行为有点奇怪, 好比总是打开莫名其妙的网站, 或者偶尔变卡(网络/CPU), 似乎本身"中毒"了, 但X60安适卫士或者X讯电脑管家扫描之后又说你电脑"非常安适", 那么有可能你已经被黑客帮衬过了. 这种时候也许要专业的取证人员进场, 但似乎又有点小提高文. 因此本文介绍一些低本钱的自检要领, 对付小我私家用户可以快速判断本身是否已经被入侵过.
1. 异常的日志记录凡是我们需要查抄一些可疑的事件记录, 好比:
“Event log service was stopped.”(事件记录处事已经遏制) “Windows File Protection is not active on this system.”(Windows文件掩护未开启) “The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(受掩护的系统文件XXX无法还原) “The MS Telnet Service has started successfully.”(Telnet处事开启告成)除此之外, 还可以看看有没有大量掉败的登录日志或者被锁定的账户.
检察事件日志有两种方法:
1) 通过图形界面检察, 开始->运行 eventvwr.msc
2) 通过命令行检察, 主要是使用eventquery.vbs脚本:
C:> eventquery.vbs | more或者只看某个条目下的日志:
C:> eventquery.vbs /L securityeventquery.vbs是使用可以检察命令行辅佐或者微软的官方文档.
2. 异常的进程和处事即在我们熟知的Windows任务打点器中检察是否有奇怪的进程在运行, 重点存眷用户名是SYSTEM(系统)或者Administrator(打点员), 以及在打点员组的用户. 固然, 你最好能熟悉正常的进程和处事, 不然也不知道某个进程是不是"异常"的. 如果不熟悉也没关系, 对着任务打点器不认识的进程, 挨个google一遍也就能概略了解了.
查找异常进程使用Ctrl+Alt+Del快捷键或者开始->运行taskmgr.exe打开任务打点器即可看到运行中的进程. 固然也可以使用命令行检察进程:
C:> tasklist C:> wmic process list full 查找异常处事1). 图形界面: 开始->运行 services.msc
2). 命令行:
C:> net start C:> sc query
查找和每个进程关联的处事:
C:> tasklist /svc 3. 异常的文件和注册表如果磁盘可用空间俄然减小, 我们可以查找文件看是否有异常. 通过开始菜单依次点击:
开始->查找->文件或目录然后设置查找选项, 好比文件巨细大于10000KB, 或者创建/改削时间在一周以内, 并搜索相关文件.
对付注册表, 凡是是查找自启动的注册点, 并查抄对应的应用措施, 常见的启动点为:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx注: HKLM和HKCU分袂是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的缩写.
检察注册表有两种方法:
1) 图形界面: 开始->运行 regedit.exe
2) 命令行reg query <key>, 例:
C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run固然除此之外还有很多注册点可以进行自启动, 这个不才面说.
4. 异常的打算任务接下来是检察异常的打算任务, 重点存眷那些以打点员组或者SYSTEM权限, 或者是以空白用户名按时启动的任务.
检察按时任务1) 图形界面, 可以通过开始菜单搜索Task Scheduler打开, 或者:
开始->运行 taskschd.msc /s2) 命令行输出打算任务:
C:> schtasks 检察自启动措施1) 图形界面, 开始->运行 msconfig.exe
2) 命令行:
C:> wmic startup list full 其他自启动入口要注意的是, msconfig这些命令只是列出了部分隔机自动启动的措施, Windows开机自启动的方法很多, 包孕劫持系统措施/动态运行库等方法, 此中涉及到许多注册表入口, 感兴趣的伴侣可以检察网上的其他文章.
5. 异常的网络流量常用的网络相关自检命令:
查抄防火墙配置:
C:> netsh firewall show config
检察共享文件, 查抄是否是主动分享的:
C:> net view \127.0.0.1
检察本机活跃的会话:
C:> net session
检察本机对其他系统打开的会话:
C:> net use
检察NetBIOS over TCP/IP 的激活状态:
C:> nbtstat -S
检察当前网络连接和监听情况:
C:> netstat -na
连续输出上述信息, 每3秒刷新一次:
C:> netstat -na 3
检察网络连接对应的进程id(-o)和进程名字(-b)
C:> netstat -naob
注: netstat -b 除了显示进程名字, 还显示了进程所加载的DLL信息, 所以连续输出的话会消耗对照多的CPU资源. 对付其他选项, 可以通过netstat -h检察辅佐.
6. 异常帐号重点检察新添加进打点员组的帐号.
1) 图形界面方法:
开始->运行 lusrmgr.msc -> 点击用户组 -> 双击打点员然后检察里面的用户列表.
2) 命令行方法:
C:> net user C:> net localgroup administrators 小结