本文目录一览:
windows下哪个文件夹最有可能出现黑客入侵痕迹?
一般是系统所在目录,最容易出现,因为系统日志之类的文件,都保存在系统所在目录里的。
黑客入侵会留下痕迹吗
真正的黑客攻击手机会留下痕迹,不真正的黑客他不会留下痕迹,因为他竟然是黑色,它就是根本就让你找不着他。
Windows下哪rvv个文件夹最有可能出现黑客入侵痕迹?
1. 异常的日志记录
通常我们需要检查一些可疑的事件记录, 比如:
除此之外, 还可以看看有没有大量失败的登录日志或者被锁定的账户.
查看事件日志有两种方式:
1) 通过图形界面查看, 开始-运行 eventvwr.msc
2) 通过命令行查看, 主要是使用eventquery.vbs脚本:
或者只看某个条目下的日志:
eventquery.vbs是使用可以查看命令行帮助或者微软的官方文档.
2. 异常的进程和服务
即在我们熟知的Windows任务管理器中查看是否有奇怪的进程在运行, 重点关注用户名是SYSTEM(系统)或者Administrator(管理员), 以及在管理员组的用户.当然, 你最好能熟悉正常的进程和服务, 不然也不知道某个进程是不是"异常"的. 如果不熟悉也不要紧, 对着任务管理器不认识的进程, 挨个google一遍也就能大概了解了.
查找异常进程
使用Ctrl+Alt+Del快捷键或者开始-运行taskmgr.exe打开任务管理器即可看到运行中的进程. 当然也可以使用命令行查看进程:
查找异常服务
1). 图形界面: 开始-运行 services.msc
2). 命令行:
C: net startC: sc query
查找和每个进程关联的服务:
3. 异常的文件和注册表
如果磁盘可用空间突然减小, 我们可以查找文件看是否有异常. 通过开始菜单依次点击:
然后设置查找选项, 比如文件大小大于10000KB, 或者创建/修改时间在一周以内, 并搜索相关文件.
对于注册表, 通常是查找自启动的注册点, 并检查对应的应用程序, 常见的启动点为:
注: HKLM和HKCU分别是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的缩写.
查看注册表有两种方式:
1) 图形界面: 开始-运行 regedit.exe
2) 命令行reg query key, 例:
当然除此之外还有很多注册点可以进行自启动, 这个在下面说.
4. 异常的计划任务
接下来是查看异常的计划任务, 重点关注那些以管理员组或者SYSTEM权限, 或者是以空白用户名定时启动的任务.
查看定时任务
1) 图形界面, 可以通过开始菜单搜索Task Scheduler打开, 或者:
2) 命令行输出计划任务:
查看自启动程序
1) 图形界面, 开始-运行 msconfig.exe
2) 命令行:
其他自启动入口
要注意的是, msconfig这些命令只是列出了部分开机自动启动的程序, Windows开机自启动的方式很多, 包括劫持系统程序/动态运行库等方式,其中涉及到许多注册表入口, 感兴趣的朋友可以查看网上的其他文章.
5. 异常的网络流量
常用的网络相关自检命令:
检查防火墙配置:
C: netsh firewall show config
查看共享文件, 检查是否是主动分享的:
C: net view \127.0.0.1
查看本机活跃的会话:
C: net session
查看本机对其他系统打开的会话:
C: net use
查看NetBIOS over TCP/IP 的激活状态:
C: nbtstat -S
查看当前网络连接和监听情况:
C: netstat -na
持续输出上述信息, 每3秒刷新一次:
C: netstat -na 3
查看网络连接对应的进程id(-o)和进程名字(-b)
C: netstat -naob
注: netstat -b 除了显示进程名字, 还显示了进程所加载的DLL信息, 所以持续输出的话会消耗比较多的CPU资源. 对于其他选项, 可以通过netstat -h查看帮助.
6. 异常帐号
重点查看新添加进管理员组的帐号.
1) 图形界面方式:
然后查看里面的用户列表.
2) 命令行方式:
电脑被黑客侵入后会出现哪些现象?
第一标志:电脑频繁随机弹出窗口。如果你电脑有这样的现象,你可能已经遭到黑客攻击了。您的系统已经遭到破坏。恶意软件可绕过浏览器的抑制随机弹出窗口anti-up的机制。
第二标志,您的浏览器突然多了一个新的工具栏,这是很常见的事情。但是应该警惕了。来路不明的新工具栏,最好还是把它删除。如果不不能轻易的删除它,你可以重新把浏览器设置到默认选项。如果你想添加新的工具栏,在安装时要阅读许可协议,并确保工具栏是合法程序。但绝大多数人都不看许可协议,恶意软件就有了可乘之机。
第三标志:安装意外的软件。安装意外的软件意味着您的计算机系统有可能遭到黑客攻击。早期的恶意软件,大多数程序是计算机病毒。但现在的多数恶意软件程序是木马,这些木马通常很像合法的程序。很多时候这些恶意软件是通过合法安装其他程序时被安装到你的电脑,阅读许可协议是非常重要的。许可协议可能已经表明,他们将会安装一个或者多个其他程序。有时您可选择不安装,有时你没有这种选择。
第四标志:您搜索的页面,跳转到其他网页。许多黑客通过重新定向,让你跳转到其他网站,而这个网站并不是你想浏览的网站。当你点击网页时,黑客即可获取利益。如果您既有假工具栏程序,又被重新定向。你应该仔细察看你的系统,删除恶意程序软件,以摆脱跳转到其他网页的状况。