超實用!如何手工簡易排查電腦是否被入侵
春節漸行漸遠,
但「福利」不能停!
本次分享由美亞柏科控股子公司安勝
——ISEC實驗室攜重禮歸來,
手把手教你「如何手工簡易排查電腦是否被入侵過」,
小夥伴們快快來!
GIF
惡意軟體離我們並不遙遠,網路攻擊事件的頻繁發生是再正常不過的事情了;人總是會生病,計算機也一樣。如果你想知道自己的電腦是否「生病」了,那麼,你首先需要了解電腦「生病」時的一些癥狀。
一、電腦感染後最常見的現象
1.瀏覽器重定向
當你使用百度搜索時,點擊百度提供的鏈接,卻被引導至一個隨機鏈接上。你發現點擊的每一條鏈接都被重定向到了其他網站。如果存在此情況,表明你的系統已被病毒或惡意軟體感染。
2.主頁被篡改
比如你將最喜歡的體育新聞網站設成了主頁,但是不知為何,每次打開瀏覽器的時候,彈出的永遠是Yahoo.com的首頁。而且你還發現,在瀏覽器窗口中還出現了很多新的小工具圖標,這些圖標怎麼都刪不掉。那麼請你小心,你的電腦很可能已經感染了惡意軟體。
3.滿屏幕的彈窗
「滿屏幕的彈窗」指的是當你關閉了這個窗口之後,另一個窗口又彈出來了。而且當你沒有連網的時候,系統仍不斷地彈出各種各樣的通知窗口。現在有很多網站會彈出讓人反感的各種各樣的廣告,如果你的屏幕存在此情況,那麼你的電腦可能已經被惡意廣告或間諜軟體感染了。
4.計算機運行越來越慢
導致電腦運行速度越來越慢的因素有很多,可能是因為運行的程序太多了,也可能是硬碟的存儲空間不夠了,亦或是因為內存太小。如果排除以上三個原因,電腦依舊運行很慢的話,那麼你的電腦很可能已經中招了。
5.系統或程序不斷崩潰
導致系統或應用程序不斷崩潰的原因有很多,有可能是軟體和硬體之間存在兼容問題所導致的。但是如果中了像rootkits這種會感染Windows內核的惡意軟體,也會造成系統的不停崩潰。
6.出現異常圖標、錯誤的開始菜單或設備管理器條目
出現異常圖標、錯誤的開始菜單或設備管理器條目,有可能是因為下載安裝程序沒有注意,導致了一堆捆綁程序下載安裝,這種附帶在其他軟體上的程序,實際上就是惡意軟體。
二、如何自檢
1.異常的日誌記錄
通常,我們需要檢查一些可疑的事件記錄,通過圖形界面查看, 開始->運行 eventvwr.msc。比如:
「Event log service was stopped.」(事件記錄服務已經停止) 「Windows File Protection is not active on this system.」(Windows文件保護未開啟) 「The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…」(受保護的系統文件XXX無法還原) 「The MS Telnet Service has started successfully.」(Telnet服務開啟成功),除此之外, 還可以看看有沒有大量失敗的登錄日誌或者被鎖定的賬戶。
2.異常的進程和服務
.查找異常進程:
打開任務管理器查看是否有奇怪的進程在運行,重點關注的用戶名是SYSTEM(系統)、Administrator(管理員)以及在管理員組的用戶。當然, 你最好能熟悉正常的進程和服務,否則不清楚進程是否是"異常"的。
.查找異常服務:
圖形界面:開始->運行services.msc,查找和每個進程關聯的服務。
3.異常的文件和註冊表
如果磁碟的可用空間突然減小,我們可查看下文件是否有異常。通過開始菜單依次點擊: 開始->查找->文件或目錄,然後設置查找選項, 比如文件大於10000KB,或者創建、修改時間在一周以內,並搜索相關文件。
對於註冊表,通常是查找自啟動的註冊點,常見的啟動點為:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunonceEx
註:HKLM和HKCU分別是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的縮寫。
4.異常的計劃任務
查看異常的計劃任務, 重點關注那些以管理員組、SYSTEM許可權或者空白用戶名定時啟動的任務:
查看定時任務
開始->運行taskschd.msc /s,查看定時任務。
查看自啟動程序
開始->運行msconfig.exe,查看自啟動程序。
其他自啟動入口
要注意的是,msconfig這些命令只是列出了部分開機自啟動的程序,Windows開機自啟動的方式很多,包括劫持系統程序、動態運行庫等。
5.異常的網路流量
常用的網路相關自檢命令:
檢查防火牆配置:netsh firewall show config;
查看共享文件,檢查是否是主動分享的,net view 127.0.0.1;
查看本機活躍的會話,net session;
查看本機對其他系統打開的會話,net use;
查看NetBIOS over TCP/IP的激活狀態,nbtstat –S;
查看當前網路連接和監聽情況,netstat –na;
持續輸出上述信息, 每3秒刷新一次,netstat -na 3;
查看網路連接對應的進程id(-o)和進程名字(-b),netstat –naob。
6.異常帳號
使用命令行重點查看新添加進管理員組的賬號:
net user
net localgroup administrators
7.使用工具檢查
安裝殺毒軟體,能夠掃描出大部分的惡意軟體。ISEC實驗室研發的產品「計算機安全檢測系統SD307」,針對文件特徵值、數字簽名等信息做校驗,能夠很好的針對PE文件進行檢測。
互聯網的多元化與複雜性在給我們的生活帶來豐富和便利的同時,亦帶來了安全風險,建議大家定期對計算機進行安全掃描,養成良好的上網習慣,保護好自己的信息安全。
※機器人上崗,能接待能巡邏——媒體報道
※2017年網路安全行業大事記
TAG:美亞柏科 |