电脑不稳定? 可能系统已被病毒渗透:怎样判断是否遭受入侵

已于 2023-05-20 12:11:01 修改
阅读量6.6k 收藏 60
点赞数 8
分类专栏: 网络安全 文章标签: 安全
于 2023-01-12 20:43:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263566/article/details/128643921
版权

数据来源 

        本文仅用于信息安全的学习,请遵守相关法律法规,严禁用于非法途径。若观众因此作出任何危害网络安全的行为,后果自负,与本人无关。 

通过系统命令排查账户安全

        query user                       # 查看当前登录账户

        logoff ID                           # 注销用户id,用户ID就是账户的回话名,如上图的,跟你自己在开始菜单选择注销一样

        net user                             #  查看所有用户

        net user username           # 查看指定用户登录情况,username(用户名)   

        lusrmgr.msc                      # 打开本地用户组,也可在在计算机管理哪里打开本地用户组

查看隐藏账号(一般隐藏账号是黑客攻击成功后留下的后门)

        使用 windows + R 键输入命令 regedit 打开注册表

        找到计算机 \HKEYA_LOCAL_MACHINE\SAM\SAM 右键给与用户读写权限

        刷新一下打开  HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\ 查看是否存在可疑用户

利用LogParser查看系统日志(可以分析电脑登录情况之类的,看有没有有异常登录)LogParser官网下载

百度网盘

查看用户登录情况:

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

查询登录成功的事件

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

其他使用方式:应急响应之windows日志分析工具logparser使用_log parser工具_見贤思齊的博客-CSDN博客 

示例:

1)导出windows的安全日志

 2)在你安装了LogParser的地方打开命令行输入命令,我的安装在C:\Program Files (x86)\Log Parser 2.2

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

3)查询登录成功的事件

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

Webshell排查使用

D盾进行检测

下载地址:http://www.d99net.net

通过web日志判断攻击方式

is7 默认日志存放位置

        C:\inetpub\logs\logFiles\随机目录名\

Weblogic 默认日志存放地址

        C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\logs\

系统启动项及定时任务

通过msconfig管理启动项

        windows + R 输入 msconfig

通过注册表查看

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 使用 windows + R 键输入命令 regedit 打开注册表 

Schtasks查看

        chcp 437                                 # 调用 chcp 命令,将控制台的活动代码页改为 437(United States),不然后面的名称是无法正常显示

        schtasks | more                      # 查看全部计划任务

        Schtasks /query /tn WpsUpdateTask_wangzijian   #  查看指定计划任务 

也可以使用图形界面的方式查看计划任务

 任务清单

        C:\Windows\System32\Tasks

删除任务计划

        SchTasks /Delete /TN   任务计划名称  # 建议刷除任务计划时以管理员登录

推荐一个图形界面管理的软件autoruns

汉化版

原版 

        autoruns(开机启动项管理工具),通常我们维护windows系统都会通过cmd命令直接打开系统配置程序,一个命令对应一个程序,逐个修改非常麻烦,autoruns这款启动项管理器将所有配置程序集中在了一起,方便你给系统设置配置。

狗蛋的博客之旅
关注
  • 8
    点赞
  • 60
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
Windows日志识别入侵痕迹
01-11 2万+
有小伙伴问:网络上大部分windows系统日志分析都只是对恶意登录事件分析的案例,可以通过系统日志找到其他入侵痕迹吗?答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。所有的web攻击行为会存留在web访问日志里,而执行操作系统命令的行为也会存在在系统日志。不同的攻击场景会产生不一样的系统日志,不同的Event ID代表了不同的意义,需要重点关注一些事件I...
计算机网络论文:分析计算机网络安全安全漏洞及解决措施.doc
06-10
其次,定期维护计算机系统至关重要,包括定期安全检查、病毒查杀和清理无用软件,以降低病毒渗透可能性。用户应具备基本的计算机维修和保养知识,以便快速响应系统问题。 总的来说,提升网络安全意识,强化硬件、...
你的电脑被黑客入侵过吗?教你快速自检
2301_80115097的博客
12-05 831
要注意的是, msconfig这些命令只是列出了部分开机自动启动的程序, Windows开机自启动的方式很多, 包括劫持系统程序/动态运行库等方式, 其中涉及到许多注册表入口, 感兴趣的朋友可以查看网上的。, 以及在管理员组的用户. 当然, 你最好能熟悉正常的进程和服务, 不然也不知道某个进程是不是"异常"的. 如果不熟悉也不要紧, 对着任务管理器不认识的进程, 挨个google一遍也就能大概了解了.然后设置查找选项, 比如文件大小大于10000KB, 或者创建/修改时间在一周以内, 并搜索相关文件.
Linux服务器安全基础 - 查看入侵痕迹
最新发布
dzqxwzoe的博客
06-01 1096
var/log/cron 记录了系统定时任务相关的日志/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息/var/log/secure:记录登录系统存取数据的文件;例如:pop3,ssh,telnet,ftp等都会记录在此./var/log/btmp:记录登录这的信息记录,被编码过,所以必须以last解析;例如:lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -nr。
利用IIS日志追查网站入侵
蓝法典的专栏
04-10 1353
作者:HaK_BaN[B.C.T] 网站:http://www.cnbct.org原件下载地址:http://www.cnbct.org/IISLOG.doc [已刊登黑客X档案] 以前黑站黑了很多,但是就没有想过会不会被追踪到,都没有想过怎么去擦自己的屁股,万万没想到在自己不再黑站的时候,却发现了自己的BBS被黑了。根据当初的判断,BBS程序是我们BCT小组成员编写的Lvbbs不会存在着上传漏洞
如何判断电脑是否被黑客入侵
weixin_44970417的博客
08-12 6084
电脑被黑客入侵后,系统会表现出不同程度的异状,我们可通过这些异常表现来判断自己的电脑是否被黑客入侵。 1、进程异常 Ctrl+Alt+Del——启动“任务管理器” 发现是否有陌生以及可疑的进程,若关闭了某些可疑程序,电脑恢复正常则可以初步判定中了木马。发现多个相同名字的程序正在运行,还会随着时间的增加而增多,这也是一种可疑现象。 2、可疑启动项 可疑程序的另一特点就是随程序启动而运行 msconfig——启动“系统配置” 查看是否有可疑程序从而禁用。 3、注册表异常 regedit——调出“注册表编辑
深度解析Linux通过日志反查入侵
bahuzhen6750的博客
07-13 831
有一个朋友的服务器发现有入侵的痕迹后来处理解决但是由于对方把日志都清理了无疑给排查工作增加了许多难度。刚好手里有些资料我就整理整理贴出来分享一下。其实日志的作用是非常大的。学会使用通过日志来排查解决我们工作中遇到的一些问题是很有必要的。 大纲 Linux日志系统简介 Linux日志分析 Linux日志入侵发现 实例分析 Linux日志系统简介 日志的主要用途是系统审计、监测...
windows入侵排查
weixin_53639243的博客
02-19 1081
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windows 服务器入侵排查的思路。
win7系统下被恶意软件入侵可能出现的现象汇总.docx
09-27
如果这些窗口内容低俗或含有欺诈信息,那么系统可能已被恶意软件渗透。解决方法是重启电脑进入安全模式,并使用可靠的反恶意软件工具进行扫描和清除。 4. 系统性能下降:恶意软件运行会在后台消耗系统资源,可能...
「勒索软件」基于机器学习的Web入侵检测模型应用分析 - 端点安全.zip
11-27
一旦数据被加密,企业可能遭受重大损失。基于机器学习的Web入侵检测模型可以在数据被加密前发现并阻止勒索软件,保护敏感信息免受泄露。同时,模型还可以用于监控数据备份过程,确保备份的完整性和安全性,以便在...
网络游戏-安全防范网络内固定防护对象的风险评估方法及系统.zip
09-19
通过定期的安全扫描和渗透测试,可以发现并修复这些漏洞,减少被攻击的可能性。 3. 风险计算:基于威胁和脆弱性的评估,计算出可能遭受损失的概率和影响程度。风险值通常由可能性和影响的乘积得出,为决策提供依据...
浅谈智能建筑中智能化系统的信息安全评估.rar
09-20
3. 控制措施评估:检查现有安全控制是否有效,包括访问控制、身份认证、数据加密、防火墙、入侵检测系统等,并识别可能的改进之处。 4. 系统配置审计:对比系统配置与最佳实践,确保所有设备和软件都是最新的,并...
快速自检电脑是否被黑客入侵过(Windows版)
热门推荐
3569
12-25 1万+
https://www.pppan.net/blog/detail/2017-11-08-windows-self-check 1. 异常的日志记录 通常我们需要检查一些可疑的事件记录, 比如: “Event log service was stopped.”(事件记录服务已经停止) “Windows File Protection is not active on this
经验分享:排查主机排查是否入侵
CCIE21820的博客
09-23 792
经验分享:排查主机排查是否入侵
基于Web日志的Web应用恶意用户行为异常检测(Anomaly Detection of Malicious Users Behaviors for Web Applications Based o)
一智哇的博客
03-29 5137
入侵检测;web日志;异常检测;用户行为分析;
应急响应-windows入侵检测分析、检测以及病毒查杀的权威性工具
xianjie0318的博客
07-09 2488
2.1 病毒分析 从windows系统信息、软件、进程、内核、注册表、网络、文件、服务等各类系统信息展示并给出分析,提供给专家或安全人员分析使用工具。 1)PCHunter:http://www.xuetr.com PC Hunter是一个Windows系统信息查看软件,同时也是一个手工杀毒辅助软件。 常用进程、内核驱动、端口、内核、磁盘、卷、键盘、网络层等过滤驱动检测、注册表编辑、进程iat、eat、inline hook、patches检测和恢复、文件系统、SPI、启动项、服务、Host文件、映像
Windows主机入侵痕迹排查办法
weixin_45727359的博客
01-11 1429
内容来源:FreeBuf一、排查思路在攻防演练保障期间,一线工程师在实施主机入侵痕迹排查服务时可能面临时间紧、任务急、需要排查的主机数量众多情况。为了确保实施人员在有限的时间范围内,可以...
简单渗透攻击
weixin_53443776的博客
03-20 7718
针对win(7/10)的简单渗透攻击 前言 这次只是个人的简单实验,请各位学习后不要用于不良途径,可以自行学习,但不要乱用哦! (!!!学习网络安全法!!!) 一、需要用到的工具 VMware(建议版本是15-16),分别有一台已经搭建好的kali与win(7/10)虚拟机 二、使用步骤 1.使用msf exploit入侵电脑(Win7/Win10皆可) 需要的工具:msfvenom . msfconsole (kali里面有) 制作一个简单的恶意软件,代码如下: msfvenom -p windows/m
阐述防火墙,入侵检测系统,反病毒设备,病毒检测的优势
04-07
防火墙:防火墙是一种网络安全设备,可以在网络与互联网之间建立一道防线,控制进出网络的流量,防止未经授权的访问和攻击,保护网络中的计算机和数据安全。防火墙的优势包括: 1. 防止未经授权的访问和攻击:防火墙可以限制网络流量,只允许经过授权的用户和流量进入网络,防止未经授权的访问和攻击。 2. 提高网络安全性:防火墙能够检测和阻止网络上的恶意流量,提高网络的安全性,保护网络中的计算机和数据安全。 3. 简化网络管理:防火墙可以对网络流量进行过滤和管理,帮助管理员更好地管理网络,降低网络管理的难度。 入侵检测系统入侵检测系统是一种网络安全设备,可以监测网络上的流量,检测和识别恶意行为,及时发现和阻止入侵攻击。入侵检测系统的优势包括: 1. 及时发现入侵攻击:入侵检测系统可以监测网络上的流量,及时发现入侵攻击,提高网络安全性。 2. 防止数据泄露:入侵检测系统可以检测和识别恶意行为,防止数据泄露和非法访问,保护网络中的数据安全。 3. 提高网络可用性:入侵检测系统可以预防和防止入侵攻击,提高网络可用性和稳定性。 反病毒设备:反病毒设备是一种网络安全设备,可以检测和清除计算机上的病毒和恶意软件。反病毒设备的优势包括: 1. 防止病毒感染:反病毒设备可以检测和清除计算机上的病毒和恶意软件,防止病毒感染和传播。 2. 保护计算机和数据安全:反病毒设备可以保护计算机和数据安全,防止病毒和恶意软件对计算机和数据进行破坏和盗窃。 3. 提高计算机性能和速度:反病毒设备可以清除计算机上的病毒和恶意软件,提高计算机的性能和速度,保持计算机的正常运行。 病毒检测:病毒检测是一种网络安全技术,可以检测和识别计算机上的病毒和恶意软件。病毒检测的优势包括: 1. 及时发现病毒和恶意软件:病毒检测可以检测和识别计算机上的病毒和恶意软件,及时发现病毒和恶意软件,提高计算机的安全性。 2. 防止病毒感染和传播:病毒检测可以防止病毒感染和传播,保护计算机和数据安全。 3. 提高计算机性能和速度:病毒检测可以清除计算机上的病毒和恶意软件,提高计算机的性能和速度,保持计算机的正常运行。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狗蛋的博客之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值