应当及时检查对应日志

时间:2021-11-05 06:53:07

有时候会觉得本身电脑行为有点奇怪, 好比总是打开莫名其妙的网站, 或者偶尔变卡(网络/CPU), 似乎本身"中毒"了, 但X60安适卫士或者X讯电脑管家扫描之后又说你电脑"非常安适", 那么有可能你已经被黑客帮衬过了. 这种时候也许要专业的取证人员进场, 但似乎又有点小提高文. 因此本文介绍一些低本钱的自检要领, 对付小我私家用户可以快速判断本身是否已经被入侵过.

1. 异常的日志记录

凡是我们需要查抄一些可疑的事件记录, 好比:

“Event log service was stopped.”(事件记录处事已经遏制) “Windows File Protection is not active on this system.”(Windows文件掩护未开启) “The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(受掩护的系统文件XXX无法还原) “The MS Telnet Service has started successfully.”(Telnet处事开启告成)

除此之外, 还可以看看有没有大量掉败的登录日志或者被锁定的账户.

检察事件日志有两种方法:

1) 通过图形界面检察, 开始->运行 eventvwr.msc

2) 通过命令行检察, 主要是使用eventquery.vbs脚本:

C:> eventquery.vbs | more

或者只看某个条目下的日志:

C:> eventquery.vbs /L security

eventquery.vbs是使用可以检察命令行辅佐或者微软的官方文档.

2. 异常的进程和处事

即在我们熟知的Windows任务打点器中检察是否有奇怪的进程在运行, 重点存眷用户名是SYSTEM(系统)或者Administrator(打点员), 以及在打点员组的用户. 固然, 你最好能熟悉正常的进程和处事, 不然也不知道某个进程是不是"异常"的. 如果不熟悉也没关系, 对着任务打点器不认识的进程, 挨个google一遍也就能概略了解了.

查找异常进程

使用Ctrl+Alt+Del快捷键或者开始->运行taskmgr.exe打开任务打点器即可看到运行中的进程. 固然也可以使用命令行检察进程:

C:> tasklist C:> wmic process list full 查找异常处事

1). 图形界面: 开始->运行 services.msc

2). 命令行:

C:> net start C:> sc query

查找和每个进程关联的处事:

C:> tasklist /svc 3. 异常的文件和注册表

如果磁盘可用空间俄然减小, 我们可以查找文件看是否有异常. 通过开始菜单依次点击:

开始->查找->文件或目录

然后设置查找选项, 好比文件巨细大于10000KB, 或者创建/改削时间在一周以内, 并搜索相关文件.

对付注册表, 凡是是查找自启动的注册点, 并查抄对应的应用措施, 常见的启动点为:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx

注: HKLM和HKCU分袂是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的缩写.

检察注册表有两种方法:

1) 图形界面: 开始->运行 regedit.exe

2) 命令行reg query <key>, 例:

C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run

固然除此之外还有很多注册点可以进行自启动, 这个不才面说.

4. 异常的打算任务

接下来是检察异常的打算任务, 重点存眷那些以打点员组或者SYSTEM权限, 或者是以空白用户名按时启动的任务.

检察按时任务

1) 图形界面, 可以通过开始菜单搜索Task Scheduler打开, 或者:

开始->运行 taskschd.msc /s

2) 命令行输出打算任务:

C:> schtasks 检察自启动措施

1) 图形界面, 开始->运行 msconfig.exe

2) 命令行:

C:> wmic startup list full 其他自启动入口

要注意的是, msconfig这些命令只是列出了部分隔机自动启动的措施, Windows开机自启动的方法很多, 包孕劫持系统措施/动态运行库等方法, 此中涉及到许多注册表入口, 感兴趣的伴侣可以检察网上的其他文章.

5. 异常的网络流量

常用的网络相关自检命令:

查抄防火墙配置:

C:> netsh firewall show config

检察共享文件, 查抄是否是主动分享的:

C:> net view \127.0.0.1

检察本机活跃的会话:

C:> net session

检察本机对其他系统打开的会话:

C:> net use

检察NetBIOS over TCP/IP 的激活状态:

C:> nbtstat -S

检察当前网络连接和监听情况:

C:> netstat -na

连续输出上述信息, 每3秒刷新一次:

C:> netstat -na 3

检察网络连接对应的进程id(-o)和进程名字(-b)

C:> netstat -naob

注: netstat -b 除了显示进程名字, 还显示了进程所加载的DLL信息, 所以连续输出的话会消耗对照多的CPU资源. 对付其他选项, 可以通过netstat -h检察辅佐.

6. 异常帐号

重点检察新添加进打点员组的帐号.

1) 图形界面方法:

开始->运行 lusrmgr.msc -> 点击用户组 -> 双击打点员

然后检察里面的用户列表.

2) 命令行方法:

C:> net user C:> net localgroup administrators 小结