【3.A.S.T】网络安全爱好者 » 反黑知识 » 如何检查自己的电脑是否成为他人的“肉鸡”

冰绿茶 发表于 2008-7-18 19:11

如何检查自己的电脑是否成为他人的“肉鸡”

如何检查自己的电脑是否成为他人的“肉鸡”
如果你阅读过上一篇文件：《[url=http://bbs.duba.net/thread-21934696-1-1.html]“肉鸡”电脑的“商业价值”[/url]》，相信你再也不想把自己的电脑赤裸裸暴露在黑客面前。

我们势必需要经常性的检查自己的电脑是不是被入侵，如果发现入侵，就得想尽一切办法将木马程序清除出去，必要时，宁可格式化重装，也不给攻击者留下任何机会。

接下来，我们介绍一下“肉鸡”电脑的一些现象，提醒网友遇到这些现象时，要注意检查。文章的最后会介绍几个工具软件协助分析本机的安全性。

现象1：QQ、MSN的异常登录提醒
你在登录QQ时，系统提示上一次的登录IP和你完全不相干。比如，你明明就只在上海的家里上过，QQ却提醒你上一次登录地点在沈阳。

还有，当你登录MSN时，可能有朋友给你发消息，问你刚发了什么，你却很清楚自己从未给这个朋友发过什么消息。

现象2：网络游戏登录时发现装备丢失或和你上次下线时的位置不符，甚至用正确的密码无法登录。
很显然，你没有登录这个游戏的时候，别人替你登录过。

现象3：有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作。

你没动，那就是有人在动。注意，这种鼠标的移动轨迹和性能差光电鼠标自动漂移明显不同。你就能感觉到，这是有人在动你的电脑。

现象4：正常上网时，突然感觉很慢，硬盘灯在闪烁，就象你平时在COPY文件。
这种情况很可能是攻击者在尝试COPY你的文件，在大量COPY文件时，磁盘的读写明显会增加，系统也会变慢。此时，你应该毫不犹豫地拔掉网线，立即检查你的系统进程是否异常。

现象5：当你准备使用摄像头时，系统提示，该设备正在使用中。
完了，攻击者已经在盗用你的摄像头了，这种情况下，摄像头的工作状态是不可见的。
强烈建议你不用摄像头时，把镜头给盖上，攻击者看到黑乎乎的影像时，自然会明白是什么问题。

现象6：在你没有使用网络资源时，你发现网卡灯在不停闪烁。如果你设定为连接后显示状态，你还会发现屏幕右下角的网卡图标在闪。
正常情况下，当你少用或不用网络资源时，网卡的闪烁会不明显，通过网络传递的数据流量也不会太高。

以上现象，基本是主观感觉，并不十分准确，但需要提醒您注意。

接下来，我们可以借助一些软件来观察网络活动情况，以检查系统是否被入侵。

1.注意检查防火墙软件的工作状态
比如网镖。在网络状态页，会显示当前正在活动的网络连接，仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机，就要小心了。

2.推荐使用tcpview，可以非常清晰的查看当前网络的活动状态。
一般的木马连接，是可以通过这个工具查看到结果的。
这里说一般的木马连接，是区别于某些精心构造的rootkit木马采用更高明的隐藏技术，不易被发现的情况。
[img]http://bbs.duba.net/images/default/attachimg.gif[/img]  [img]http://bbs.duba.net/attachments/month_0806/20080605_f6dd0ce55949ca102130Xlkys7Dn6zi2.png[/img] [img]http://bbs.duba.net/images/attachicons/image.gif[/img][url=http://bbs.duba.net/attachment.php?aid=16158224&nothumb=yes]tcpview.PNG[/url] (26.06 KB)

2008-6-5 18:24

3.使用清理专家进行在线诊断，特别注意全面诊断的进程项
清理专家会对每一项进行安全评估，当遇到未知项时，需要特别小心。
[img]http://bbs.duba.net/images/default/attachimg.gif[/img]  [img]http://bbs.duba.net/attachments/month_0806/20080605_1625628ee8a20a0114e1lPEvhepH5JGV.png[/img] [img]http://bbs.duba.net/images/attachicons/image.gif[/img][url=http://bbs.duba.net/attachment.php?aid=16158225&nothumb=yes]kasmain.PNG[/url] (64.13 KB)

2008-6-5 18:24

4.清理专家百宝箱的进程管理器
可以查找可疑文件，帮你简单的检查危险程序所在
[img]http://bbs.duba.net/images/default/attachimg.gif[/img]  [img]http://bbs.duba.net/attachments/month_0806/20080605_4c8ee6fe4082e16e60d8qqdGG1VgSdmQ.png[/img] [img]http://bbs.duba.net/images/attachicons/image.gif[/img][url=http://bbs.duba.net/attachment.php?aid=16158226&nothumb=yes]kasmain1.PNG[/url] (31.7 KB)

2008-6-5 18:24提问请注意详细描述现象、操作过程，如果是病毒报告，应说明病毒名，染毒文件路径、文件名等，什么现象都不描述只发一个日志的帖子将被直接删除。

请新会员关注[url=http://bbs.duba.net/forum-6316-1.html]新手杀毒入门[/url]

燕燕子 发表于 2008-7-18 19:11

老大出品，必属精品！！！[url=http://www.ie67.com/]死生契阔，与子成说。执子之手，与子偕老。承君此诺,必守一生。
英雄剑，美人泪，黄花孤魂长相随；饮者歌，将进酒，最是无奈不见醉！[/url]
[url=http://www.ie67.com/]→→点击进入我的小站（ie67技术社区—我们的社区）←←[/url]

CID6 发表于 2008-7-18 19:11

学习来啰仙女们偷换了一个人类的婴儿，留下了一个仙女的孩子，这个被暗中偷换后的婴儿是非常漂亮的，但是性格奇特、与人类疏远。

清凉一吻 发表于 2008-7-18 19:11

偶也来看看想念是会呼吸的痛，告诫自己不要去想可是控制不住，想念仍是想念
天鹅一去鸟不回，良字无点双人陪，受字又有友来换，您若无心能愿谁？
『┈莪℡餙飯妳啝ωǒ說話╭ァ峩匜囍歡妳蓶獨伿対莪沈黙﹖﹌°

独角兽 发表于 2008-7-18 19:11

这是必不可少的常识呀，，，
经验难得，，，，

鸥飞007 发表于 2008-7-18 19:11

好帖子啊
顶咯中国加油
[url=http://www.xianip.com/?i=]http://www.xianip.com/showip.php?id=[/url]

发车狂 发表于 2008-7-18 19:11

学习了，谢谢！
[url=http://bbs.duba.net/thread-21952265-1-1.html]〔花边故事〕为什麽受伤的总是我――大猫的自白[/url]

怀化游子 发表于 2008-7-18 19:11

人怎么这么少?

椰子郎 发表于 2008-7-18 19:11

我该怎么办？
我的电脑中毒了，很严重的哪种，我看过“毒霸变灰的染毒实例及完整解决方案”，不会弄，怎么办？我的电脑跟里面说的一模一样。现在杀不了毒，电脑会在杀毒过程中响报警音乐和自动关机。谁可以帮帮我？我的QQ是619757270。

新精英 发表于 2008-7-18 19:11

[img]http://bbs.duba.net/images/smilies/default/51.gif[/img]
我的电脑就是楼主说的第一种情况呀

东莞高步康 发表于 2008-7-18 19:11

有时在用  TCPView  查看网络连接时，看到SYSTEM有连接，始终怀疑系统中内鬼在与外界连接。

据说有无进程、无DLL、无硬盘文件的木马，是不是这些木马就在系统中呢？

对于这些系统内鬼却又如何查找？难道是象有些贴子中说的，立即断电它就死了？
附件
[img]http://bbs.duba.net/images/attachicons/image.gif[/img][url=http://bbs.duba.net/attachment.php?aid=16159215&nothumb=yes]080606.png[/url] (9.35 KB)
2008-6-6 21:03

小苹果 发表于 2008-7-18 19:11

我查找到可疑文件和危险程序，那又如何解决？？？？

sherwood5 发表于 2008-7-18 19:11

帮帮我！！！！ [img]http://bbs.duba.net/images/smilies/huoju/chinaz6.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz2.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz14.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz10.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz1.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz3.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz11.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz8.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz5.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz7.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz15.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz12.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz4.gif[/img] [img]http://bbs.duba.net/images/smilies/huoju/chinaz13.gif[/img][img]http://bbs.duba.net/images/smilies/huoju/chinaz9.gif[/img]

sherwood5 发表于 2008-7-18 19:11

很强很牛X[img]http://bbs.duba.net/images/smilies/default/20.gif[/img]

容总 发表于 2008-7-18 19:11

引用:
原帖由 htt 于 2008-6-6 21:03 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3118718&ptid=21935214][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
有时在用  TCPView  查看网络连接时，看到SYSTEM有连接，始终怀疑系统中内鬼在与外界连接。

据说有无进程、无DLL、无硬盘文件的木马，是不是这些木马就在系统中呢？

对于这些系统内鬼却又如何查找？难道是象有 ...
有不少采用rootkit技术进行隐藏的木马，很难被检测到，清除也相当困难，需要使用反rootkit的工具进行检测和清除。

有的rootkit非常难清除，可能不得不重装系统。提问请注意详细描述现象、操作过程，如果是病毒报告，应说明病毒名，染毒文件路径、文件名等，什么现象都不描述只发一个日志的帖子将被直接删除。

云少 发表于 2008-7-18 19:11

帮老大顶[img]http://bbs.duba.net/images/smilies/default/43.gif[/img]

发现者 发表于 2008-7-18 19:11

回复 1楼 的帖子

chenjindong 发表于 2010-7-19 12:38

学习了，谢谢！
{:Yem74:Y}

threeni 发表于 2010-8-28 18:20

学习来啰仙女们偷换了一个人类的婴儿，留下了一个仙女的孩子，这个被暗中偷换后的婴儿是非常漂亮的，但是性格奇特、与人类疏远。

清风易 发表于 2010-11-4 17:26

呵呵  谢谢了  不错啊

纷飞 发表于 2011-7-18 22:42

看了，不错

1bluering 发表于 2011-9-27 21:22

不知用360后会不会好点。

查看完整版本: 如何检查自己的电脑是否成为他人的“肉鸡”