超實用！如何手工簡易排查電腦是否被入侵

春節漸行漸遠，

但「福利」不能停！

本次分享由美亞柏科控股子公司安勝

——ISEC實驗室攜重禮歸來，

手把手教你「如何手工簡易排查電腦是否被入侵過」，

小夥伴們快快來！

GIF

惡意軟體離我們並不遙遠，網路攻擊事件的頻繁發生是再正常不過的事情了；人總是會生病，計算機也一樣。如果你想知道自己的電腦是否「生病」了，那麼，你首先需要了解電腦「生病」時的一些癥狀。

一、電腦感染後最常見的現象

1.瀏覽器重定向

當你使用百度搜索時，點擊百度提供的鏈接，卻被引導至一個隨機鏈接上。你發現點擊的每一條鏈接都被重定向到了其他網站。如果存在此情況，表明你的系統已被病毒或惡意軟體感染。

2.主頁被篡改

比如你將最喜歡的體育新聞網站設成了主頁，但是不知為何，每次打開瀏覽器的時候，彈出的永遠是Yahoo.com的首頁。而且你還發現，在瀏覽器窗口中還出現了很多新的小工具圖標，這些圖標怎麼都刪不掉。那麼請你小心，你的電腦很可能已經感染了惡意軟體。

3.滿屏幕的彈窗

「滿屏幕的彈窗」指的是當你關閉了這個窗口之後，另一個窗口又彈出來了。而且當你沒有連網的時候，系統仍不斷地彈出各種各樣的通知窗口。現在有很多網站會彈出讓人反感的各種各樣的廣告，如果你的屏幕存在此情況，那麼你的電腦可能已經被惡意廣告或間諜軟體感染了。

4.計算機運行越來越慢

導致電腦運行速度越來越慢的因素有很多，可能是因為運行的程序太多了，也可能是硬碟的存儲空間不夠了，亦或是因為內存太小。如果排除以上三個原因，電腦依舊運行很慢的話，那麼你的電腦很可能已經中招了。

5.系統或程序不斷崩潰

導致系統或應用程序不斷崩潰的原因有很多，有可能是軟體和硬體之間存在兼容問題所導致的。但是如果中了像rootkits這種會感染Windows內核的惡意軟體，也會造成系統的不停崩潰。

6.出現異常圖標、錯誤的開始菜單或設備管理器條目

出現異常圖標、錯誤的開始菜單或設備管理器條目，有可能是因為下載安裝程序沒有注意，導致了一堆捆綁程序下載安裝，這種附帶在其他軟體上的程序，實際上就是惡意軟體。

二、如何自檢

1.異常的日誌記錄

通常，我們需要檢查一些可疑的事件記錄，通過圖形界面查看, 開始->運行 eventvwr.msc。比如:

「Event log service was stopped.」(事件記錄服務已經停止) 「Windows File Protection is not active on this system.」(Windows文件保護未開啟) 「The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…」(受保護的系統文件XXX無法還原) 「The MS Telnet Service has started successfully.」(Telnet服務開啟成功)，除此之外, 還可以看看有沒有大量失敗的登錄日誌或者被鎖定的賬戶。

2.異常的進程和服務

.查找異常進程：

打開任務管理器查看是否有奇怪的進程在運行，重點關注的用戶名是SYSTEM(系統)、Administrator(管理員)以及在管理員組的用戶。當然, 你最好能熟悉正常的進程和服務，否則不清楚進程是否是"異常"的。

.查找異常服務：

圖形界面：開始->運行services.msc，查找和每個進程關聯的服務。

3.異常的文件和註冊表

如果磁碟的可用空間突然減小，我們可查看下文件是否有異常。通過開始菜單依次點擊: 開始->查找->文件或目錄，然後設置查找選項, 比如文件大於10000KB，或者創建、修改時間在一周以內，並搜索相關文件。

對於註冊表，通常是查找自啟動的註冊點，常見的啟動點為：

HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce

HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce

HKCUSoftwareMicrosoftWindowsCurrentVersionRunonceEx

註：HKLM和HKCU分別是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的縮寫。

4.異常的計劃任務

查看異常的計劃任務, 重點關注那些以管理員組、SYSTEM許可權或者空白用戶名定時啟動的任務：

查看定時任務

開始->運行taskschd.msc /s，查看定時任務。

查看自啟動程序

開始->運行msconfig.exe，查看自啟動程序。

其他自啟動入口

要注意的是，msconfig這些命令只是列出了部分開機自啟動的程序，Windows開機自啟動的方式很多，包括劫持系統程序、動態運行庫等。

5.異常的網路流量

常用的網路相關自檢命令：

檢查防火牆配置：netsh firewall show config；

查看共享文件，檢查是否是主動分享的，net view 127.0.0.1；

查看本機活躍的會話，net session；

查看本機對其他系統打開的會話，net use；

查看NetBIOS over TCP/IP的激活狀態，nbtstat –S；

查看當前網路連接和監聽情況，netstat –na；

持續輸出上述信息, 每3秒刷新一次，netstat -na 3；

查看網路連接對應的進程id(-o)和進程名字(-b)，netstat –naob。

6.異常帳號

使用命令行重點查看新添加進管理員組的賬號：

net user

net localgroup administrators

7.使用工具檢查

安裝殺毒軟體，能夠掃描出大部分的惡意軟體。ISEC實驗室研發的產品「計算機安全檢測系統SD307」，針對文件特徵值、數字簽名等信息做校驗，能夠很好的針對PE文件進行檢測。

互聯網的多元化與複雜性在給我們的生活帶來豐富和便利的同時，亦帶來了安全風險，建議大家定期對計算機進行安全掃描，養成良好的上網習慣，保護好自己的信息安全。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！