|
|
登录后,购买下载资源更方便!
您需要 登录 才可以下载或查看,没有账号?立即注册
×
现在大部分家庭是通过路由器构成一个小型网络,网络基本全天在线,这样电脑只要一开机就可以连接到互联网中。虽然这样做非常方便,但是也可能为黑客打开了方便之门,他们可能会偷偷连入你的电脑中,伺机窃取资料。而这些操作都是在系统后台进行,怎么才能揪出这背后的黑手?4 K% p i- h j& ]0 W
寻找内网中的联网主机
' r1 i$ O1 \; ^3 H/ Y攘外必先安内,首先查找内网中的可疑连接。运行网络嗅探软件WhoIsConnectedSniffer(http://tinyurl.com/lsxjktv,需要先安装WinPcap),第一次运行,在弹出的询问窗口中选择“WinPcap Packer Capture Drive”项,再在下方列表中选择当前电脑的IP地址,最后点击OK完成设置进入软件界面(图1)。4 F% U- }1 E- J& \) W, d
9 |& {4 i5 G8 d9 O! S6 `从界面列表中,可以看到多个不同的IP地址,其中一个是路由器的,另外则是连到路由器的其他电脑或设备。通过“Name”项可以查看明称,这里很容易发现可疑的连接,比如蹭网的连接等(图2)。
+ J: ^7 w5 Z9 R; f. |/ X& N2 j% W( s" U
找出系统中的恶意软件' e5 r4 Q1 y# Y, h6 W
无论是黑客控制也好,恶意程序感染系统也罢,我们都需要将它找出来清除掉。首先找到一台正在联网的电脑,尽量关闭其中正在运行的程序,避免它们对分析过程进行干扰。接下来运行“PC Hunter”(http://appwan.net/?p=483),点击窗口中的“网络”标签,就可以看到这台电脑所有的网络连接情况(图3)。在“远程地址”列表中,查看是否存在WhoIsConnectedSniffer列表中出现过的IP地址。如果存在则可能这台电脑正在被人偷窥或控制,如果没有的话就需要对其他的电脑进行分析。" A( q& J6 b. g2 F2 I4 S) Z- I4 G
2 B2 W. I+ M4 Z% Z3 C d
通过“进程ID”列表查看到,正在进行网络连接的进程ID信息。接下来点击“PC Hunter”窗口中的“进程”标签,在列表中找到刚刚记录下的进程ID信息。在这个进程上右击,选择“暂停进程运行”命令(图4)。然后通过WhoIsConnectedSniffer的列表,查看是否还在进行数据的连接操作,如果没有的话则说明这个进程可能是幕后黑手,需要进行处理。: ]1 }* g% j6 d, Z* F+ _% R+ z$ Q2 p
# f6 w9 u' u, b: s, [
首先通过进程名称找到该文件,稳妥起见最好将其上传到VirusTotal这类网站进行分析。如果的确是恶意文件的话,在“PC Hunter”的“进程”标签中,右击它,选择“结束进程时删除文件”即可。当然也可能不是恶意程序,但是程序没问题不代表其中的所有模块也没问题,继续右击它,选择“查看进程模块”,在弹出的对话框中查看有没有可疑的模块,如果有,则右击选择“删除模块文件”命令即可。. ~/ N$ s1 T7 M8 A
|
|
: @' Y2 z2 E# m4 ]. v6 c
$ M9 l7 ?7 y2 A4 H; E1 }# M4 {
& {# J/ l+ S0 s d( R+ E