¿Cómo comprobar si su computadora portátil está siendo monitoreada?
Juicio general:
1. Verifique los puertos, especialmente escanee todos los puertos abiertos en esta máquina desde otros hosts (para evitar puertos ocultos en esta máquina)
2. Verifique el proceso, especialmente use el proceso con la ruta y los parámetros de inicio para verificar el software
3. Verifique todos los elementos de inicio (incluidos los servicios y muchas otras ubicaciones de inicio)
4, ver elementos relacionados y complementos que pueden provocar llamadas a programas
Prevención avanzada: (evitar puertos, procesos, registros, etc. ocultos a nivel del kernel)
1. Utilice otros programas que pueda leer esto Inicie el sistema operativo del archivo del sistema y verifique los archivos y el registro locales
2. Utilice el tráfico total de la red para comparar el tráfico de cada socket y verifique los registros de comunicación de la red del enrutador para analizar la red anormal comunicación
Método: 1. Verifique la conexión de red
Dado que muchos troyanos escucharán activamente el puerto o se conectarán a una IP y un puerto específicos, podemos conectarnos a la red sin una conexión normal. programa Descubra la presencia de troyanos comprobando la conectividad de la red. Los pasos específicos son hacer clic en "Inicio" -gt; "Ejecutar" -gt; "cmd" y luego ingresar netstat
-an. Este comando puede ver todas las IP conectadas a su computadora y detectarlas. su computadora puerto de escucha, que contiene cuatro partes: proto (método de conexión), dirección local
(dirección de conexión local), dirección extranjera
(dirección para establecer una conexión con el local). ), estado (estado actual del puerto). A través de la información detallada de este comando, podemos monitorear completamente la conexión de red de la computadora.
2. Ver los servicios actualmente en ejecución
Los servicios son uno de los métodos utilizados por muchos troyanos para mantenerse siempre ejecutándose en el sistema. Podemos hacer clic en "Inicio" -gt; "Ejecutar" -gt; "cmd" y luego ingresar "net
start" para ver qué servicios están abiertos en el sistema. No lo abrimos nosotros mismos. Para los servicios, podemos ingresar "Servicio" en la herramienta de administración "Servicio", buscar el servicio correspondiente, detenerlo y deshabilitarlo.
3. Verifique los elementos de inicio del sistema
Dado que el registro es relativamente complicado para los usuarios comunes, a los troyanos a menudo les gusta esconderse aquí. El método para verificar los elementos de inicio del registro es el siguiente: haga clic en "Inicio" -gt; "Ejecutar" -gt; "regedit" y luego verifique todos los valores clave que comiencen con "ejecutar" en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows. \CurrentVersion; HKEY_CURRENT_USER\ Todos los valores clave que comienzan con "ejecutar" en Software\Microsoft\Windows\CurrentVersion; todos los valores clave que comienzan con "ejecutar" en HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion.
System.ini en el directorio de instalación de Windows también es un lugar donde a los troyanos les gusta esconderse. Abra este archivo y vea si hay contenido como shell=Explorer.exe
file.exe en el campo [inicio] del archivo. Si existe dicho contenido, entonces file.exe aquí Es un caballo de Troya. ¡programa!
4. Verifique la cuenta del sistema
A los atacantes maliciosos les gusta dejar una cuenta en la computadora para controlarla.
El método que utilizaron fue activar una cuenta predeterminada en el sistema, pero esta cuenta rara vez se usa y luego actualizar los permisos de esta cuenta a permisos de administrador. Esta cuenta será el mayor riesgo de seguridad en el sistema. Un atacante malintencionado puede utilizar esta cuenta para obtener control arbitrario de la computadora. En este caso, se pueden utilizar los siguientes métodos para detectar la cuenta.
Haga clic en "Inicio"-gt; "Ejecutar"-gt; "cmd", luego ingrese net user en la línea de comando
Verifique qué usuarios hay en la computadora y luego use "nombre de usuario de usuario de red" para comprobar a qué permisos pertenece este usuario. Generalmente, excepto el Administrador, que pertenece al grupo de Administradores, los demás no deben pertenecer al grupo de Administradores si se descubre que pertenece a un usuario integrado en el sistema. el grupo de Administradores, es casi seguro que será invadido. Utilice rápidamente "usuario de red nombre de usuario/del" para eliminar este usuario.