1.3 黑客入qin及異常表現

1.收集網絡系統中的信息

收集信息，并且不會對目标産生危害，隻是為進一步入qin提供有用信息。黑客可能會利用公開協議或工具，收集駐留在網絡系統中的各個主機系統的相關信息。

2.探測目标網絡系統的安全漏洞

在收集到攻擊目标的一定量信息後，黑客會探測目标網絡上的每台主機，并且尋求系統内部的安全漏洞。

3.建立模拟環境，進行模拟攻擊

在此前面所得的信息，建立一個類似攻擊對象的模拟環境，然後對此模拟目标進行一系列的攻擊。在此期間，通過檢查被攻擊方的日志，觀察檢測工具的攻擊回饋信息，可以進一步了解攻擊過程中留下的‘痕迹’及被攻擊方的狀态，以此來定制一個比較周密的攻擊策略。

4.具體實施網絡攻擊

**者根據前面所得的信息，建立一個類似攻擊對象的模拟環境，然後對此模型目标進行一系列

1.3.1 進程異常

按快捷鍵Ctal Alt Del調出任務管理器，查看有什麼進程在運行，如圖所示

。如果發現陌生的進程，就要多加注意了，可以先關閉一些可疑的程序，

如果發現一些不正常的情況恢複了正常，那麼就可以初步确定是中木馬了。發現有個相同的程序在運行，而且還會随着時間的增多而增多，這也是一個可疑的現象，也要特别注意。如果在 連入lnternet或局域網後才發現這些現象，需要盡快查看一下是否有木馬或者病毒。

1.3.2可疑啟動項

可疑程序的另一特點是随着系統啟動而運行。用戶可以運行Mscnfig命令，啟動 “系統配置”對話框，在“啟動”選項卡中查看是否有可疑的程序随系統啟動，如圖。

可以禁用可疑的程序，從系統穩定性上判斷該程序是否為病毒或者木馬程序。用戶也也可以使用第三方軟件來禁用可疑啟動項。

1.3.3注冊表異常

該操作涉及比較專業的層次，用戶最好在修改前對注冊表進行備份。運行Regedit命令，調出“注冊表編輯器”窗口，如圖

。

查看相應的條目和值是否正常，如有異常，有可能是被黑客侵入。

1.3.4開放可疑端口

在侵入後，黑客有可能留下後門程序以監聽客戶端的請求。用戶可以通過命令查看計算機是否開啟了可疑端口。在命令提示符界面中，可以使用Netstat-an來查看異常端口。

1.3.5日志文件異常

一般情況下，黑客在侵入後将關于登錄的信息删除。但是部分計算實力較弱或者大意的黑客會留下蛛絲馬迹，如沒有删除日志記錄，或者将日志全部删除了。用戶可以通過查看日志文件确定是否有黑客侵入。

在“計算機”上，單擊鼠标右鍵，在彈出的快捷菜單中執行“管理”命令。在彈出“計算機管理”對話框選擇“事件查看器——安全”選項，如圖所示

。通過查看登錄記錄、時間來判斷是否有黑客登錄。另外，可以通過其他日志來判斷是否有惡意程序運行或篡改系統文件。

1.3.6存在陌生用戶

在侵入電腦後，黑客會創建有管理員權限的用戶，以便使用該賬戶遠程登錄電腦或者啟動程序和服務。用戶可以使用命令查看是否有新建的陌生賬戶，如圖所示

。

1.3.7存在陌生服務

黑客侵入後或者中木馬後，會開啟一些服務程序，為黑客提供各種數據信息。用戶可以啟動服務查看器，查看是否存在異常的服務，如圖所示

。并及時關閉陌生服務。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!