【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 如何检查自己的电脑是否成为他人的“肉鸡” [打印本页]

作者: 冰绿茶 时间: 2008-7-18 19:11 标题: 如何检查自己的电脑是否成为他人的“肉鸡”

如何检查自己的电脑是否成为他人的“肉鸡”
如果你阅读过上一篇文件：《“肉鸡”电脑的“商业价值”》，相信你再也不想把自己的电脑赤裸裸暴露在黑客面前。

我们势必需要经常性的检查自己的电脑是不是被入侵，如果发现入侵，就得想尽一切办法将木马程序清除出去，必要时，宁可格式化重装，也不给攻击者留下任何机会。

接下来，我们介绍一下“肉鸡”电脑的一些现象，提醒网友遇到这些现象时，要注意检查。文章的最后会介绍几个工具软件协助分析本机的安全性。

现象1：QQ、MSN的异常登录提醒
你在登录QQ时，系统提示上一次的登录IP和你完全不相干。比如，你明明就只在上海的家里上过，QQ却提醒你上一次登录地点在沈阳。

还有，当你登录MSN时，可能有朋友给你发消息，问你刚发了什么，你却很清楚自己从未给这个朋友发过什么消息。

现象2：网络游戏登录时发现装备丢失或和你上次下线时的位置不符，甚至用正确的密码无法登录。
很显然，你没有登录这个游戏的时候，别人替你登录过。

现象3：有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作。

你没动，那就是有人在动。注意，这种鼠标的移动轨迹和性能差光电鼠标自动漂移明显不同。你就能感觉到，这是有人在动你的电脑。

现象4：正常上网时，突然感觉很慢，硬盘灯在闪烁，就象你平时在COPY文件。
这种情况很可能是攻击者在尝试COPY你的文件，在大量COPY文件时，磁盘的读写明显会增加，系统也会变慢。此时，你应该毫不犹豫地拔掉网线，立即检查你的系统进程是否异常。

现象5：当你准备使用摄像头时，系统提示，该设备正在使用中。
完了，攻击者已经在盗用你的摄像头了，这种情况下，摄像头的工作状态是不可见的。
强烈建议你不用摄像头时，把镜头给盖上，攻击者看到黑乎乎的影像时，自然会明白是什么问题。

现象6：在你没有使用网络资源时，你发现网卡灯在不停闪烁。如果你设定为连接后显示状态，你还会发现屏幕右下角的网卡图标在闪。
正常情况下，当你少用或不用网络资源时，网卡的闪烁会不明显，通过网络传递的数据流量也不会太高。

以上现象，基本是主观感觉，并不十分准确，但需要提醒您注意。

接下来，我们可以借助一些软件来观察网络活动情况，以检查系统是否被入侵。

1.注意检查防火墙软件的工作状态
比如网镖。在网络状态页，会显示当前正在活动的网络连接，仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机，就要小心了。

2.推荐使用tcpview，可以非常清晰的查看当前网络的活动状态。
一般的木马连接，是可以通过这个工具查看到结果的。
这里说一般的木马连接，是区别于某些精心构造的rootkit木马采用更高明的隐藏技术，不易被发现的情况。

tcpview.PNG (26.06 KB)

2008-6-5 18:24

3.使用清理专家进行在线诊断，特别注意全面诊断的进程项
清理专家会对每一项进行安全评估，当遇到未知项时，需要特别小心。

kasmain.PNG (64.13 KB)

2008-6-5 18:24

4.清理专家百宝箱的进程管理器
可以查找可疑文件，帮你简单的检查危险程序所在

kasmain1.PNG (31.7 KB)

2008-6-5 18:24提问请注意详细描述现象、操作过程，如果是病毒报告，应说明病毒名，染毒文件路径、文件名等，什么现象都不描述只发一个日志的帖子将被直接删除。

请新会员关注新手杀毒入门

作者: 燕燕子 时间: 2008-7-18 19:11

老大出品，必属精品！！！死生契阔，与子成说。执子之手，与子偕老。承君此诺,必守一生。
英雄剑，美人泪，黄花孤魂长相随；饮者歌，将进酒，最是无奈不见醉！
→→点击进入我的小站（ie67技术社区—我们的社区）←←

作者: CID6 时间: 2008-7-18 19:11

学习来啰仙女们偷换了一个人类的婴儿，留下了一个仙女的孩子，这个被暗中偷换后的婴儿是非常漂亮的，但是性格奇特、与人类疏远。

作者: 清凉一吻 时间: 2008-7-18 19:11

偶也来看看想念是会呼吸的痛，告诫自己不要去想可是控制不住，想念仍是想念
天鹅一去鸟不回，良字无点双人陪，受字又有友来换，您若无心能愿谁？
『┈莪℡餙飯妳啝ωǒ說話╭ァ峩匜囍歡妳蓶獨伿対莪沈黙﹖﹌°

作者: 独角兽 时间: 2008-7-18 19:11

这是必不可少的常识呀，，，
经验难得，，，，

作者: 鸥飞007 时间: 2008-7-18 19:11

好帖子啊
顶咯中国加油
http://www.xianip.com/showip.php?id=

作者: 发车狂 时间: 2008-7-18 19:11

学习了，谢谢！
〔花边故事〕为什麽受伤的总是我――大猫的自白

作者: 怀化游子 时间: 2008-7-18 19:11

人怎么这么少?

作者: 椰子郎 时间: 2008-7-18 19:11

我该怎么办？
我的电脑中毒了，很严重的哪种，我看过“毒霸变灰的染毒实例及完整解决方案”，不会弄，怎么办？我的电脑跟里面说的一模一样。现在杀不了毒，电脑会在杀毒过程中响报警音乐和自动关机。谁可以帮帮我？我的QQ是619757270。

作者: 新精英 时间: 2008-7-18 19:11

我的电脑就是楼主说的第一种情况呀

作者: 东莞高步康 时间: 2008-7-18 19:11

有时在用 TCPView 查看网络连接时，看到SYSTEM有连接，始终怀疑系统中内鬼在与外界连接。

据说有无进程、无DLL、无硬盘文件的木马，是不是这些木马就在系统中呢？

对于这些系统内鬼却又如何查找？难道是象有些贴子中说的，立即断电它就死了？
附件

080606.png (9.35 KB)
2008-6-6 21:03

作者: 小苹果 时间: 2008-7-18 19:11

我查找到可疑文件和危险程序，那又如何解决？？？？

作者: sherwood5 时间: 2008-7-18 19:11

帮帮我！！！！

作者: sherwood5 时间: 2008-7-18 19:11

很强很牛X

作者: 容总 时间: 2008-7-18 19:11

引用:
原帖由 htt 于 2008-6-6 21:03 发表

有时在用 TCPView 查看网络连接时，看到SYSTEM有连接，始终怀疑系统中内鬼在与外界连接。

据说有无进程、无DLL、无硬盘文件的木马，是不是这些木马就在系统中呢？

对于这些系统内鬼却又如何查找？难道是象有 ...
有不少采用rootkit技术进行隐藏的木马，很难被检测到，清除也相当困难，需要使用反rootkit的工具进行检测和清除。

有的rootkit非常难清除，可能不得不重装系统。提问请注意详细描述现象、操作过程，如果是病毒报告，应说明病毒名，染毒文件路径、文件名等，什么现象都不描述只发一个日志的帖子将被直接删除。

作者: 云少 时间: 2008-7-18 19:11

帮老大顶

作者: 发现者 时间: 2008-7-18 19:11

回复 1楼的帖子

作者: chenjindong 时间: 2010-7-19 12:38

学习了，谢谢！

作者: threeni 时间: 2010-8-28 18:20

学习来啰仙女们偷换了一个人类的婴儿，留下了一个仙女的孩子，这个被暗中偷换后的婴儿是非常漂亮的，但是性格奇特、与人类疏远。

作者: 清风易 时间: 2010-11-4 17:26

呵呵谢谢了不错啊

作者: 纷飞 时间: 2011-7-18 22:42

看了，不错

作者: 1bluering 时间: 2011-9-27 21:22

不知用360后会不会好点。

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)