¿Cómo sé si mi computadora ha sido pirateada?
Además, cómo determinar si ha sido invadido:
Juicio general:
1. Verifique los puertos, especialmente escanee todos los puertos abiertos de la máquina. desde otros hosts (si hay puertos ocultos en la máquina).
2. Verifique el proceso, especialmente utilizando un software de verificación de procesos con ruta y parámetros de inicio.
3. Verifique todos los elementos de inicio (incluidas muchas ubicaciones de inicio, como los servicios).
4. Verifique los proyectos asociados y los proyectos de complementos que pueden causar llamadas al programa.
Prevención avanzada: (Evita puertos, procesos, registros, etc. ocultos a nivel del kernel)
1. Comience con otros sistemas operativos que puedan leer archivos del sistema, verificar archivos y registros locales. superficie.
2. Analice las comunicaciones de red anormales comparando el tráfico total de la red y la suma del tráfico de cada socket y verificando los registros de comunicación de la red del enrutador.
Para detectar intrusos, consulte y siga los registros. (No sólo registros locales, sino también enrutadores, telecomunicaciones, etc.)
¿Cómo saber si hay un caballo de Troya instalado en la computadora?
2005-07-20
1. Método manual:
1. Verifique la conexión de red
Porque muchos troyanos monitorearán activamente. el puerto O conectarnos a una IP y un puerto específicos, por lo que no necesitamos procedimientos normales y podemos descubrir la presencia del troyano comprobando la conexión de red. Los pasos específicos son hacer clic en "Inicio" -> "Ejecutar" -> "cmd" y luego ingresar el comando netstat -an para ver todas las IP conectadas a su computadora y los puertos en los que su computadora está escuchando. Contiene cuatro partes: proto (modo de conexión), dirección local (dirección de conexión local), dirección externa (dirección de conexión local) y estado (estado actual del puerto). Con los detalles de este comando, podremos monitorear completamente las conexiones de red del ordenador.
2. Ver los servicios actualmente en ejecución.
Los servicios son uno de los métodos utilizados por muchos troyanos para mantenerse funcionando eternamente en el sistema. Podemos hacer clic en "Inicio" -> "Ejecutar" -> "cmd" y luego ingresar "net start" para ver qué servicios están abiertos en el sistema. Si descubrimos que un servicio no está abierto por nosotros mismos, podemos ir a "Servicio" en la herramienta de administración "Servicio", buscar el servicio correspondiente, detenerlo y desactivarlo.
3. Verifique los elementos de inicio del sistema
Debido a que el registro es relativamente complicado para los usuarios comunes, a los troyanos a menudo les gusta esconderse aquí. Verifique los elementos de inicio del registro de la siguiente manera: haga clic en "Inicio" -> "Ejecutar" -> "regedit" y luego verifique todos los valores clave que comiencen con "ejecutar" en HKEY_local_machine\software\Microsoft\Windows\current version;HKEY_Current_User\ Software\Microsoft\Windows\Versión actual Todos los valores clave que comienzan con "Ejecutar" Todos los valores clave que comienzan con "Ejecutar" bajo la clave de usuario. Predeterminado\Software\Microsoft\Windows\Versión actual.
System.ini en el directorio de instalación de Windows también es un lugar donde a los troyanos les gusta esconderse. Abra este archivo y vea si hay algo como shell = explorer.exe·file.exe en el campo [arranque] de este archivo. Si existe tal contenido, entonces file.exe es un caballo de Troya.
4. Verifique las cuentas del sistema
A los atacantes maliciosos les gusta tomar el control de su computadora manteniendo una cuenta en ella. El método que adoptaron es activar una cuenta predeterminada en un sistema, pero esta cuenta rara vez se usa, y luego actualizar los permisos de la cuenta a permisos de administrador. Este será el mayor riesgo de seguridad en el sistema. Un atacante malintencionado puede utilizar esta cuenta para obtener control arbitrario de su computadora. En este caso, puede utilizar los siguientes métodos para detectar la cuenta.
Haga clic en "Inicio" -> "Ejecutar" -> "cmd", luego ingrese net user en la línea de comando para ver qué usuarios están en la computadora y luego use "net user name" para ver esto. ¿Qué permisos tiene el usuario? En términos generales, excepto los administradores que pertenecen al grupo de administradores, nadie más debe pertenecer al grupo de administradores. Si encuentra un usuario integrado en el sistema que pertenece al grupo de Administradores, es casi seguro que esté comprometido. Utilice "nombre de usuario de red/del" para eliminar este usuario.