教你找到电脑中隐藏的入侵黑手小技巧

ZDNet软件频道 时间:2009-11-04 作者: | CCW 我要评论()
本文关键词:攻击防范 入侵 Windows
计算机突然死机,有时又自动重新启动,无端端的少了些文件,发现桌面刷新慢,没有运行什么大的程序,硬盘却在拼命的读写,系统也莫明其妙地对软驱进行搜索,杀毒软件和防火墙报警,发现系统的速度越来越慢,这时候你就要小心了。

  平时使用电脑的时候也许会遇到这样的情况:

  计算机突然死机,有时又自动重新启动,无端端的少了些文件,发现桌面刷新慢,没有运行什么大的程序,硬盘却在拼命的读写,系统也莫明其妙地对软驱进行搜索,杀毒软件和防火墙报警,发现系统的速度越来越慢,这时候你就要小心了。

  第一时间反应(养成一个好的习惯往碗可以减少所受的损失):用CTRL+ALT+DEL调出任务表,查看有什么程序在运行,如发现陌生的程序就要多加注意,一般来说,凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响(注意:这里说的是基本运行,先和大家说明白,关于这条我是在网络上关于这个研究的结果),所以大家可以关闭一些可疑的程序来看看,发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这也是一种可疑的现象也要特别注意,你这时是在连入Internet网或是局域网后才发现这些现象的话,不要怀疑,动手查看一下吧!,(注:也有可能是其它一些病毒在作怪)

  1 先升级杀毒软件到最新,对系统进行全面的检查扫描。

  2 点击工具→文件夹选项→查看 把隐藏受保护的操作系统文件(推荐)和隐藏已知文件类型的扩展名 这两项前面的勾去掉,以方便查看。

  3 查看Windows目录下的WIN.INI文件中开头的几行:[Windows] load= ren=这里放的是启动Windows自动执行的程序,可以看看对比对比一下。

  4 查看Windows目录下的SYSTEM.INI文件中的这几行:[386Enh] device=这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径,如:device=c:Windowssystem32 ianyangdemeng.exe(这里只是打个比方)

  5 查看开始菜单中的「程序」→「启动」。这里放的也是启动Windows自动执行的程序,如果有的话,它就放在C:WindowsStart MenuPrograms中,将它保存在较安全的地方后再删除,需要恢复时在拿出来恢复即可。

  6 在「开始」→「运行」中输入"MSCONFIG"查看是否有可疑的启动项,你也许会问,前面不是说了吗?其实,这两种方法是不同的,你分别用这两个方法查看一下就会发现不同了,至于要说更深入点,说实在话,我也不知道。呵呵不要笑话,希望高手出来解答一下!

  7 查看注册表,在「开始」→「运行」中输入“REGEDIT”。

  先对注册表进行备份,才对注册查看。(一定要养成一个习惯,在修改木文件时,对自己没有把握的需要先进行备份)

  查看 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和Run项,看看有没有可疑的程序。

  查看 HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND,看看是否有。EXE文件关联的木马,正确值为"%1"%*查看 HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND,看看是否有。INF文件关联的木马,正确值为"SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1查看 HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND,看看是否有。TXT文件关联的木马,正确值为%SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1启动CMD,输入NETSTAT -AN 查看有没有异常的端口。

  8 Windows中的执行文件。exe、。com、。dll ……它们都有可能是黑客放置的病毒或是黑客病毒的携带者。在系统正常的时候,把以上文件做一个备份,到需要的时候就可以写回去!

  9 在Windows目录下,看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件,不过,它只能在Windows工作而不能在DOS下使用。仔细看看有没有什么你不知道的驱动程序,把它记录下来,到百度查一下,一般这个自动批处理文件是不会被用到的。(只能凭经验判断了)

  10 查看c:autoexec.bat与c:config.sys,这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。

  11 右击「我的电脑」→事件查看器 查看安全日志,看看里面有没有可疑的内容。

  12 在CMD下输入NET USER 看看有没有可疑的用户,出现自己不曾设立的用户,马上用NET USER ABCD /DEL 把它删除(这里的ABCD是用户名,只要把它改成想要删除的用户就行了,也可去下个检查用户克隆器查看和其它一切能帮助到你的工具,有些黑客建立的用户用一般方法是看不见的,大家就要注意了。)

攻击防范

入侵

Windows

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134