Board logo

标题: 如何检查自己的电脑是否成为他人的“肉鸡” [打印本页]

作者: 冰绿茶    时间: 2008-7-18 19:11     标题: 如何检查自己的电脑是否成为他人的“肉鸡”

如何检查自己的电脑是否成为他人的“肉鸡”
如果你阅读过上一篇文件:《“肉鸡”电脑的“商业价值”》,相信你再也不想把自己的电脑赤裸裸暴露在黑客面前。

我们势必需要经常性的检查自己的电脑是不是被入侵,如果发现入侵,就得想尽一切办法将木马程序清除出去,必要时,宁可格式化重装,也不给攻击者留下任何机会。

接下来,我们介绍一下“肉鸡”电脑的一些现象,提醒网友遇到这些现象时,要注意检查。文章的最后会介绍几个工具软件协助分析本机的安全性。

现象1:QQ、MSN的异常登录提醒
你在登录QQ时,系统提示上一次的登录IP和你完全不相干。比如,你明明就只在上海的家里上过,QQ却提醒你上一次登录地点在沈阳。

还有,当你登录MSN时,可能有朋友给你发消息,问你刚发了什么,你却很清楚自己从未给这个朋友发过什么消息。

现象2:网络游戏登录时发现装备丢失或和你上次下线时的位置不符,甚至用正确的密码无法登录。
很显然,你没有登录这个游戏的时候,别人替你登录过。

现象3:有时会突然发现你的鼠标不听使唤,在你不动鼠标的时候,鼠标也会移动,并且还会点击有关按钮进行操作。

你没动,那就是有人在动。注意,这种鼠标的移动轨迹和性能差光电鼠标自动漂移明显不同。你就能感觉到,这是有人在动你的电脑。

现象4:正常上网时,突然感觉很慢,硬盘灯在闪烁,就象你平时在COPY文件。
这种情况很可能是攻击者在尝试COPY你的文件,在大量COPY文件时,磁盘的读写明显会增加,系统也会变慢。此时,你应该毫不犹豫地拔掉网线,立即检查你的系统进程是否异常。

现象5:当你准备使用摄像头时,系统提示,该设备正在使用中。
完了,攻击者已经在盗用你的摄像头了,这种情况下,摄像头的工作状态是不可见的。
强烈建议你不用摄像头时,把镜头给盖上,攻击者看到黑乎乎的影像时,自然会明白是什么问题。

现象6:在你没有使用网络资源时,你发现网卡灯在不停闪烁。如果你设定为连接后显示状态,你还会发现屏幕右下角的网卡图标在闪。
正常情况下,当你少用或不用网络资源时,网卡的闪烁会不明显,通过网络传递的数据流量也不会太高。

以上现象,基本是主观感觉,并不十分准确,但需要提醒您注意。

接下来,我们可以借助一些软件来观察网络活动情况,以检查系统是否被入侵。

1.注意检查防火墙软件的工作状态
比如网镖。在网络状态页,会显示当前正在活动的网络连接,仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机,就要小心了。

2.推荐使用tcpview,可以非常清晰的查看当前网络的活动状态。
一般的木马连接,是可以通过这个工具查看到结果的。
这里说一般的木马连接,是区别于某些精心构造的rootkit木马采用更高明的隐藏技术,不易被发现的情况。
   tcpview.PNG (26.06 KB)

2008-6-5 18:24

3.使用清理专家进行在线诊断,特别注意全面诊断的进程项
清理专家会对每一项进行安全评估,当遇到未知项时,需要特别小心。
   kasmain.PNG (64.13 KB)

2008-6-5 18:24

4.清理专家百宝箱的进程管理器
可以查找可疑文件,帮你简单的检查危险程序所在
   kasmain1.PNG (31.7 KB)

2008-6-5 18:24提问请注意详细描述现象、操作过程,如果是病毒报告,应说明病毒名,染毒文件路径、文件名等,什么现象都不描述只发一个日志的帖子将被直接删除。

请新会员关注新手杀毒入门
作者: 燕燕子    时间: 2008-7-18 19:11

老大出品,必属精品!!!死生契阔,与子成说。执子之手,与子偕老。承君此诺,必守一生。
英雄剑,美人泪,黄花孤魂长相随;饮者歌,将进酒,最是无奈不见醉!

→→点击进入我的小站(ie67技术社区—我们的社区)←←
作者: CID6    时间: 2008-7-18 19:11

学习来啰仙女们偷换了一个人类的婴儿,留下了一个仙女的孩子,这个被暗中偷换后的婴儿是非常漂亮的,但是性格奇特、与人类疏远。
作者: 清凉一吻    时间: 2008-7-18 19:11

偶也来看看想念是会呼吸的痛,告诫自己不要去想可是控制不住,想念仍是想念
天鹅一去鸟不回,良字无点双人陪,受字又有友来换,您若无心能愿谁?
『┈莪℡餙飯妳啝ωǒ說話╭ァ峩匜囍歡妳蓶獨伿対莪沈黙﹖﹌°
作者: 独角兽    时间: 2008-7-18 19:11

这是必不可少的常识呀,,,
经验难得,,,,
作者: 鸥飞007    时间: 2008-7-18 19:11

好帖子啊
顶咯中国加油
http://www.xianip.com/showip.php?id=
作者: 发车狂    时间: 2008-7-18 19:11

学习了,谢谢!
〔花边故事〕为什麽受伤的总是我――大猫的自白
作者: 怀化游子    时间: 2008-7-18 19:11

人怎么这么少?
作者: 椰子郎    时间: 2008-7-18 19:11

我该怎么办?
我的电脑中毒了,很严重的哪种,我看过“毒霸变灰的染毒实例及完整解决方案”,不会弄,怎么办?我的电脑跟里面说的一模一样。现在杀不了毒,电脑会在杀毒过程中响报警音乐和自动关机。谁可以帮帮我?我的QQ是619757270。
作者: 新精英    时间: 2008-7-18 19:11


我的电脑就是楼主说的第一种情况呀
作者: 东莞高步康    时间: 2008-7-18 19:11

有时在用  TCPView  查看网络连接时,看到SYSTEM有连接,始终怀疑系统中内鬼在与外界连接。

据说有无进程、无DLL、无硬盘文件的木马,是不是这些木马就在系统中呢?

对于这些系统内鬼却又如何查找?难道是象有些贴子中说的,立即断电它就死了?
附件
080606.png (9.35 KB)
2008-6-6 21:03
作者: 小苹果    时间: 2008-7-18 19:11

我查找到可疑文件和危险程序,那又如何解决????
作者: sherwood5    时间: 2008-7-18 19:11

帮帮我!!!!
作者: sherwood5    时间: 2008-7-18 19:11

很强很牛X
作者: 容总    时间: 2008-7-18 19:11

引用:
原帖由 htt 于 2008-6-6 21:03 发表
有时在用  TCPView  查看网络连接时,看到SYSTEM有连接,始终怀疑系统中内鬼在与外界连接。

据说有无进程、无DLL、无硬盘文件的木马,是不是这些木马就在系统中呢?

对于这些系统内鬼却又如何查找?难道是象有 ...
有不少采用rootkit技术进行隐藏的木马,很难被检测到,清除也相当困难,需要使用反rootkit的工具进行检测和清除。

有的rootkit非常难清除,可能不得不重装系统。提问请注意详细描述现象、操作过程,如果是病毒报告,应说明病毒名,染毒文件路径、文件名等,什么现象都不描述只发一个日志的帖子将被直接删除。
作者: 云少    时间: 2008-7-18 19:11

帮老大顶
作者: 发现者    时间: 2008-7-18 19:11

回复 1楼 的帖子
作者: chenjindong    时间: 2010-7-19 12:38

学习了,谢谢!

作者: threeni    时间: 2010-8-28 18:20

学习来啰仙女们偷换了一个人类的婴儿,留下了一个仙女的孩子,这个被暗中偷换后的婴儿是非常漂亮的,但是性格奇特、与人类疏远。
作者: 清风易    时间: 2010-11-4 17:26

呵呵  谢谢了  不错啊
作者: 纷飞    时间: 2011-7-18 22:42

看了,不错
作者: 1bluering    时间: 2011-9-27 21:22

不知用360后会不会好点。




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2