此外判断是否被入侵的方法:
一般判断:
1、查看端口,特别是从其他主机上扫描本机所有开放端口(以防本机上被隐藏的端口)
2、查看进程,特别是用带有路径和启动参数的进程查看软件检查
3、检查所有启动项(包括服务等很多启动位置)
4、查看可引起程序调用的关联项、插件项
高级防范:(防止内核级隐藏端口、进程、注册表等)
1、用其他可读取本系统文件的os启动,检查本机文件、注册表
2、用网络总流量对比各套接字流量和、查看路由器网络通讯记录等方法分析异常网路通讯
要抓入侵人,查看并跟踪日志。(不光是本机的日志,包括路由器的,电信的等)
如何来知道电脑有没有被装了木马?
2005-07-20
一、手工方法:
1、检查网络连接情况
由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的Systemini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorerexe fileexe这样的内容,如有这样的内容,那这里的fileexe就是木马程序了!
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”->“运行”->“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!你用nestat -na查的时候会看到后面开的哪些端口 当开的端口大于1024尤其是4000以上的时候 你就要注意了。。因为现在的许多木马是开的动态端口。当大端口被打开时就需要注意。像鸽子的默认端口就是8000另外你可以输入net user去查看是不是有其他的用户。如果有的话你在输入net user+这个用户名。查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。
查杀后门的话 如果你确定了你机子上已经中了木马。但杀毒杀不鸟的话。就手动去查杀吧。这个比较复杂。几句话说不清楚。网上游很多资料。你一搜就知道了。现象1:QQ、MSN的异常登录提醒
你在登录QQ时,系统提示上一次的登录IP和你完全不相干。比如,你明明就只在上海的家里上过,QQ却提醒你上一次登录地点在沈阳。
还有,当你登录MSN时,可能有朋友给你发消息,问你刚发了什么,你却很清楚自己从未给这个朋友发过什么消息。
现象2:网络游戏登录时发现装备丢失或和你上次下线时的位置不符,甚至用正确的密码无法登录
很显然,你没有登录这个游戏的时候,别人替你登录过。
现象3:有时会突然发现你的鼠标不听使唤,在你不动鼠标的时候,鼠标也会移动,并且还会点击有关按钮进行 *** 作
你没动,那就是有人在动。注意,这种鼠标的移动轨迹和性能差光电鼠标自动漂移明显不同。你就能感觉到,这是有人在动你的电脑。
现象4:正常上网时,突然感觉很慢,硬盘灯在闪烁,就象你平时在COPY文件
这种情况很可能是攻击者在尝试COPY你的文件,在大量COPY文件时,磁盘的读写明显会增加,系统也会变慢。此时,你应该毫不犹豫地拔掉网线,立即检查你的系统进程是否异常。
现象5:当你准备使用摄像头时,系统提示,该设备正在使用中
完了,攻击者已经在盗用你的摄像头了,这种情况下,摄像头的工作状态是不可见的。
强烈建议你不用摄像头时,把镜头给盖上,攻击者看到黑乎乎的影像时,自然会明白是什么问题。
现象6:在你没有使用网络资源时,你发现网卡灯在不停闪烁
如果你设定为连接后显示状态,你还会发现屏幕右下角的网卡图标在闪。正常情况下,当你少用或不用网络资源时,网卡的闪烁会不明显,通过网络传递的数据流量也不会太高。
最后用户还可以借助一些软件来观察网络活动情况,以检查系统是否被入侵。
1注意检查防火墙软件的工作状态
在网络状态页,会显示当前正在活动的网络连接,仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机,就要小心了。
2一般的木马连接,是可以通过这个工具查看到结果的。
这里说一般的木马连接,是区别于某些精心构造的rootkit木马采用更高明的隐藏技术,不易被发现的情况。
3用金山卫士可以查找可疑文件,帮你简单的检查危险程序所在
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)