如何判断电脑是否被黑客入侵[作者:|来源:|时间:2009-11-20| 收藏 推荐 ]【大 中 小】
从没外传的照片资料被人发到了网上?计算机有时死机,有时又重新启动;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,用右键打开【我的电脑】,查看【属性】→【性能】中的【系统资源】正常时一般都在90%以上;用CTRL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多。特别是在连入Internet网或是局域网后,如果你的机器有这些现象,就应小心了,当然也有可能是一些其它的在作怪。
  在清除这些的时候最好用最新的“杀虫剂”以防年久失效。如你手中没有杀毒,但是又确有不对劲的地方,是否,还需要你的经验来断定!以下是几个经验:
  1. 查看c:\autoexec.bat与c:\config.sys,这两个文件里有一些系统所需的驱动程序。看看有无加入什么奇特的驱动程序,如有怀疑的对象就在他的前面加上“REM”,恢复时将“REM”去掉就可以了。
  2. 再看看Windows目录下的WIN.INI文件中开头的几行:
  [WINDOWS]
  load=
  ren=
  这里放的是启动Windows后自动执行的程序,如中文之星就在这里。就可能在这儿,如有怀疑的对象就在它前面加上“;”,恢复时将“;”去掉就可以了。
  3. 查看Windows目录下的SYSTEM.INI文件中的这几行:
  [386Enh]
  device=
  这里一般是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径,
  如:
  device=c:\abcd\1234.386
  同样如有怀疑的对象就在前面加上“;”,恢复时将“;”去掉。
  4. 查看开始菜单中的【程序】→【启动】。
  这里放的也是启动Windows后自动执行的程序,如有怀疑的对象就在
  C:\Windows\Start Menu\Programs\启动中将它删除,恢复时从“回收站”恢复。
  5. 在Windows中,查看注册表。在【开始】→【运行】中执行“regedit”。
  在修改以前请一定先做好备份。在注册表中看看。
  \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
  CurrentVersion\RunServices和Run中执行了什么,
  有名的“back orifice”就在这里。
  6. Windows中的执行文件.exe、、.dll、.386 ……它们都有可能是或携带者。在系统正常的时候,最好对以上文件做一个备份,有备无患嘛!
  7. 在Windows目录下,看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件,不过它只能为Windows工作而不能用于DOS下
使用。仔细看看其中有无什么你不知道的驱动程序。一般这个自动批处理文件是不会被用到的。如你也怀疑它可以先备份一份,
  然后将它删除,再重新启动计算机。
  我经常干的一件事情是:
  经常运行MSCONFIG,看看有什么可以程序启动了。
  除了看这里运行的程序还要看系统启动的服务,可疑的就停了再说。
  -你越是经常看就越容易发现可疑的东西,就不会觉得复杂了。另外我每一个月就更新次WINDOWS,去下载补
本文来自:临晨2点30的blog(www.2d30)  原文链接:www.88ab/a/wangluoanquan/2009/1120/785.html
二、
如何判断电脑已经被黑客“拿下”
分类:系统日志
部分文章来自于网络,如有侵权请联系站长,以便及时卸下来
成为“肉鸡”后的症状:
1.当你正在浏览网页时,弹出广告是很正常的,但你没有打开浏览器时,它却自己跳出来了;
2.你在使用电脑时,弹出了警告窗口,而你却没有进行过任何危险操作;
3.某个进程长时间占用系统资源过多,而它又不是B T等下载类软件;
4.没有进行任何操作,硬盘频繁读取。要知道现在的电脑配置都很高了,除了玩游戏或运行大型软件外,很少有需要经常读写的操作。
5.经常出现某个正在使用的程序无响应,或频繁死机、重启;
6.鼠标或键盘会不听使唤;
7.软件(如浏览器)的设置被强行修改;
电脑出现异常时,一定要注意,查看一下是什么原因,是由于你安装的软件?还是电脑硬件出问题了呢?如果都不是,一定要马上解决问题,将损失降至最低点。
出现上面的问题,要立刻断网,以防入侵者窃取你的重要文件。还要注意,若某个月电话费中的信息费
过高,则要立刻修改ADSL密码,入侵者很可能用它在网上消费。
教你一招怎么到黑客留下的踪影
当电脑出现异常时,可以确定是否有别人进入到你的系统,这个方法的主角就是“系统日志”。
可以通过“控制面板→管理工具”下的“事件查看器”查看系统日志。“系统日志”会记录系统的各种信息,包括启动、登录等等,它像监视器一样监视着电脑的一举一动,自然入侵者登录你的电脑时也记录在其中。不过默认设置的“事件查看器”对于某些不在记录范围内的事件,它会置之不理,比如系统登录、账号操作等等,而这些又是入侵者一定会进行的操作,所以我们需要重新进行配置,操作过程很简单。
第一步 点击“开始→运行”,输入“gpedit.msc”,打开“组策略”窗口。
第二步 在左侧窗口依此展开“计算机配置→Windows设置→ 安全设置→本地策略→审核策略”。
第三步
双击“审核策略更改”,
回收站清空的文件怎么恢复
勾选“成功”和“失败”。再按同样方法分别设置“审核登录事件”、“审核账户登录事件”及“审核账户管理”三项。
经过这些设置,当入侵者远程登录系统,用黑客软件扫描你的电脑时(黑客软件通过反复登录系统检测是否为空口令),或是添加账号等操作都会被记下来了。
不过黑客也不傻,他们通常会把保存在“C:\\W I N D OWS \\system32\\config\\”下的三个EVT文件删除,这样日志文件就会清空,不过它们在删除的同时,也会留下一条日志文件(用来记录入侵者删除了日志),所以如果你看到日志文件只有一条了,那也要注意了。
友情提示:如果你觉得电脑有异常,可以一些网络端口查看软件来检查系统里打开的端口并查看相关联的进程,以了解系统里有哪些程序在于外界通信,你可以去下一个"意天Windows助手"她能查看系统里打开的端口,同是还能看到与端口关联的进程.
如果你怀疑自己的电脑上被放了远程控制软件,你可以先关闭所有网络应用程序(包括QQ,网页,网游)然后在DOS命令窗口里输入 netstat -o 这个命令,就可以看到你电脑上有什么连接了.如果连接的端口比较可疑,像什么8000,9000这类的,可能就是远程控制端口.再看看你的系统中有没有被加上可疑的用户,再把除你自己以外的用户禁用了.