㈠ 怎樣知道電腦是否被入侵
收到的數據量比發送的數據量大的多屬於正常現象,如果反之則極有可能是被遠程入侵了。
此外判斷是否被入侵的方法:
一般判斷:
1、查看埠,特別是從其他主機上掃描本機所有開放埠(以防本機上被隱藏的埠)
2、查看進程,特別是用帶有路徑和啟動參數的進程查看軟體檢查
3、檢查所有啟動項(包括服務等很多啟動位置)
4、查看可引起程序調用的關聯項、插件項
高級防範:(防止內核級隱藏埠、進程、注冊表等)
1、用其他可讀取本系統文件的os啟動,檢查本機文件、注冊表
2、用網路總流量對比各套接字流量和、查看路由器網路通訊記錄等方法分析異常網路通訊
要抓入侵人,查看並跟蹤日誌。(不光是本機的日誌,包括路由器的,電信的等)
如何來知道電腦有沒有被裝了木馬?
2005-07-20
一、手工方法:
1、檢查網路連接情況
由於不少木馬會主動偵聽埠,或者會連接特定的IP和埠,所以我們可以在沒有正常程序連接網路的情況下,通過檢查網路連情情況來發現木馬的存在。具體的步驟是點擊「開始」->「運行」->「cmd」,然後輸入netstat -an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的埠,它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前埠狀態)。通過這個命令的詳細信息,我們就可以完全監控電腦的網路連接情況。
2、查看目前運行的服務
服務是很多木馬用來保持自己在系統中永遠能處於運行狀態的方法之一。我們可以通過點擊「開始」->「運行」->「cmd」,然後輸入「net start」來查看系統中究竟有什麼服務在開啟,如果發現了不是自己開放的服務,我們可以進入「服務」管理工具中的「服務」,找到相應的服務,停止並禁用它。
3、檢查系統啟動項
由於注冊表對於普通用戶來說比較復雜,木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下:點擊「開始」->「運行」->「regedit」,然後檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值。
Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看,在該文件的[boot]欄位中,是不是有shell=Explorer.exe file.exe這樣的內容,如有這樣的內容,那這里的file.exe就是木馬程序了!
4、檢查系統帳戶
惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認賬戶,但這個賬戶卻很少用的,然後把這個賬戶的許可權提升為管理員許可權,這個帳戶將是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況,可以用以下方法對賬戶進行檢測。
點擊「開始」->「運行」->「cmd」,然後在命令行下輸入net user,查看計算機上有些什麼用戶,然後再使用「net user 用戶名」查看這個用戶是屬於什麼許可權的,一般除了Administrator是administrators組的,其他都不應該屬於administrators組,如果你發現一個系統內置的用戶是屬於administrators組的,那幾乎可以肯定你被入侵了。快使用「net user用戶名/del」來刪掉這個用戶吧!
㈡ 如何查看自己電腦是否有病毒,或者是木馬攻擊
查看電腦是否入侵,是否留有後門:
1、查看任務管理器--進程,是否有可疑程序。查看詳細信息是否有可疑程序。必要時詳情中點擊程序右擊打開文件所在的位置看看,再右擊程序屬性看創建日期及修改日期,看是否最新更新過系統或驅動,沒有就要注意了。
2、win+R --cmd--輸入:netstat -ano 看是否有可疑IP在進行外網鏈接,狀態中後面數字為pid 。
解釋:
listening:埠在監聽,等待連接但是未連接;
time wait狀態:曾經有過連接但當前斷開了,最後一次連接狀態。
established狀態:連接中。
fin_wait_2:第二次fin應答狀態。
close_wait: 已關閉連接的狀態。
fin_wait: 關閉連接發fin應答狀態。
3、看時間查看器--windows日誌--系統,安全--信息--下部的常規--看服務文件名是否有可疑程序。
4、明知道是木馬,殺毒不了,建議備份數據後重裝電腦,加強防火牆及埠許可權。不要瀏覽沒有icp備案、不良信息的網站,
5、平時使用電腦比較快,看文件視頻瀏覽網頁不卡,但是遇到突然網頁卡死或無網路、網路非常慢等要檢查網線是否正常後查看是否被攻擊。被攻擊後建議備份數據重新裝系統。
防止入侵:
1、加強防火牆管理。
2、加強埠進出入站規則。
3、加強遠程許可權管理。
4、加強共享文件管理。
5、不看不良網站。
其他命令:
1、通過埠找pid:netstat -aon|findstr "8008";
2、通過pid找程序:tasklist|findstr "3306";
3、查看ip,埠, pid信息:netstat -ano。
㈢ 我的電腦被黑了 怎麼檢測
1。把網線拔了看看還卡不卡。如果還卡,證明不是被遠程式控制制。
2。如果還卡,證明你中毒了或者有其他原因,垃圾文件,不必要的啟動項和服務等。
3。刪除sdo用戶。
4。用360安全衛士聯網查殺木馬,清理垃圾、不必要的啟動項、服務。用超級兔子清理注冊表。
還卡的話建議換Win7吧。下載Win7:
一、查電腦有沒有被控制過
控制面板-管理工具-事件查看器,然後你去看看自己的電腦有沒有被黑過留下的痕跡。入侵者在入侵並控制系統之前,往往會用掃描工具或者手動掃描的方法來探測系統,以獲取更多的信息。而這種掃描行為都會被系統服務日誌記錄下來。如,一個
IP
連續多次呈現在系統的各種服務日誌中,或一個
IP
連續多次在同一系統多個服務建立了空連接,這很有可能是入侵者在搜集某個服務的版本信息。
二、現在電腦是否被控制
1、按Ctrl
+Alt+
Del,打開任務管理器,查看「進程」
里有沒有特別的進程,如有結束它。
2、觀察任務欄上的兩個小電腦圖標
,看它是否持續閃爍,點開觀察數據流量,一般被監控的電腦都有大量的數據流量產生。
3、注意一些常用的東西有沒有被修改
,使用
QQ、360、迅雷、網路電視等有無異常
,如有要馬上撥下網線,用查殺木馬軟體查殺。
三、被黑處理
1、用360安全衛士,查殺。
2、還原或重裝系統。
3、如果你用的帳號密碼被盜,趕緊修改帳號密碼。
四、防止黑客入侵
1、及時360安全衛士、QQ醫生、金山毒霸等,更新Windows安全補丁。
2、安裝360安全衛士、瑞星殺毒軟體、瑞星個人防火牆、金山毒霸、江民、天網等防火牆和反病毒軟體,並實時更新病毒庫。
3、密碼不要太過於簡單,建議用戶使用位數大於6位、有字母和數字交替組成的復雜密碼,可以增加猜中和破解難度,保障您的密碼安全。
4、關閉磁碟共享
也就是C、D、E、F、G、H
等
。開始->運行
輸入cmd回車,在cmd輸入
net
share
c$
/delete
(
再把C換D
,依次下去。也可在我的電腦窗口,右擊磁碟盤符,從級聯菜單中選」共享」設置關閉磁碟共享。
5、關閉遠程訪問
右擊我的電腦-屬性
-遠程,去掉「允許遠程用戶訪問此計算機」前面的勾選。
6、關掉一些完全沒必要的服務
右鍵單擊「我的電腦(計算機)」-「管理」-「服務和應用程序」-「服務」,在右窗格將不需要的服務設為禁用,將不經常使用的服務設為手動。
附;十大必須禁止的服務。
7、在使用中注意,不要隨便打開來歷不明的網站,也不要隨便接收來歷不明的郵件等;運行可執行文件一定要經過嚴格的檢驗,切勿隨便打開來歷不明的可執行文件