我想知道怎么知道自己电脑有没有被入侵
提问者:o_镜水丶梦月o | 浏览 次 | 提问时间:2016-12-20 | 回答数量:3
察看你的计算机日志,方法是鼠标右键“我的电脑”—管理—选择事件查看器 ,仔细看看里面的安全,看看有谁成功登陆了你的机器,如果发现你的日志里什么都没有或则很少,最近几日的日志突然没了...
已有3条答案
察看你的计算机日志,方法是鼠标右键“我的电脑”—管理—选择事件查看器 ,仔细看看里面的安全,看看有谁成功登陆了你的机器,如果发现你的日志里什么都没有或则很少,最近几日的日志突然没了就说明你的机器可能被入侵了。
1.用CTRL+ALT+DEL调出任务管理器,查看有什么程序在运行,如发现陌生的程序就要多加注意,大家可以关闭一些可疑的程序来看看,如果发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这也是一种可疑的现象也要特别注意;
2.在「开始」→「运行」中输入"MSCONFIG"查看是否有可疑的启动项;
3.查看注册表。在「开始」→「运行」中输入“REGEDIT”。 先对注册表进行备份,再对注册表查看HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices和Run项,看看有没有可疑的程序。
4.在「开始」→「运行」中输入"CMD"启动CMD,输入NETSTAT-AN查看有没有异常的端口;
5.在Windows目录下,看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件,不过,它只能在Windows工作而不能在DOS下使用。仔细看看有没有什么你不知道的驱动程序,把它记录下来;
6.查看c:\\autoexec.bat与c:\\config.sys,这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序;
7.右击「我的电脑」→事件查看器查看安全日志,看看里面有没有可疑的内容;
8.启动CMD,然后输入“NETUSER”看看有没有可疑的用户,出现自己不曾设立的用户,马上用NETUSER****/DEL把它删除。
forever丿雨
回答数:11617 | 被采纳数:1
2016-12-21 14:32:18
这个问题其实很简单,你可以通过查看系统日志,查看进程表有无可疑进程和DOS下查看系统用户来分析。DOS查看用户你要进行以下操作:运行--CMD--输入net user(查看有哪些用户)--net start (查看开启了哪些服务)--net user 要删掉的用户名 /delete--再输入一次net user查看用户名是否还在。如果不行的话选择安全模式下执行上面的操作 。如果是发现可以进程,你需要下载一个间谍专家分析那个EXE程序调用哪些DLL,在注册表下删除RUN里的开机运行,再用类似360安全卫士或者超级兔子KILL掉可疑程序的DLL调用文件,并关闭该程序开启的后台端口即可。