登录后,购买下载资源更方便!
您需要 登录 才可以下载或查看,没有账号?立即注册
×
现在大部分家庭是通过路由器构成一个小型网络,网络基本全天在线,这样电脑只要一开机就可以连接到互联网中。虽然这样做非常方便,但是也可能为黑客打开了方便之门,他们可能会偷偷连入你的电脑中,伺机窃取资料。而这些操作都是在系统后台进行,怎么才能揪出这背后的黑手?
9 X7 X" M1 X+ ~+ o2 R寻找内网中的联网主机' T0 V0 d, n, u7 h7 D( \$ e
攘外必先安内,首先查找内网中的可疑连接。运行网络嗅探软件WhoIsConnectedSniffer(http://tinyurl.com/lsxjktv,需要先安装WinPcap),第一次运行,在弹出的询问窗口中选择“WinPcap Packer Capture Drive”项,再在下方列表中选择当前电脑的IP地址,最后点击OK完成设置进入软件界面(图1)。
1 K ~7 x! K6 q* D) F3 D* L+ w) ?
3 ]0 c% Q3 h8 i) Z从界面列表中,可以看到多个不同的IP地址,其中一个是路由器的,另外则是连到路由器的其他电脑或设备。通过“Name”项可以查看明称,这里很容易发现可疑的连接,比如蹭网的连接等(图2)。
" [. E, [( O- {7 ]- t+ u/ c z! v$ `2 H- @7 d& r
找出系统中的恶意软件2 ?+ M: i7 h$ S# K
无论是黑客控制也好,恶意程序感染系统也罢,我们都需要将它找出来清除掉。首先找到一台正在联网的电脑,尽量关闭其中正在运行的程序,避免它们对分析过程进行干扰。接下来运行“PC Hunter”(http://appwan.net/?p=483),点击窗口中的“网络”标签,就可以看到这台电脑所有的网络连接情况(图3)。在“远程地址”列表中,查看是否存在WhoIsConnectedSniffer列表中出现过的IP地址。如果存在则可能这台电脑正在被人偷窥或控制,如果没有的话就需要对其他的电脑进行分析。
) l- {* z4 ^0 _" O. e; j% j
, X4 s+ Y8 u7 N8 v2 Z通过“进程ID”列表查看到,正在进行网络连接的进程ID信息。接下来点击“PC Hunter”窗口中的“进程”标签,在列表中找到刚刚记录下的进程ID信息。在这个进程上右击,选择“暂停进程运行”命令(图4)。然后通过WhoIsConnectedSniffer的列表,查看是否还在进行数据的连接操作,如果没有的话则说明这个进程可能是幕后黑手,需要进行处理。. _$ n) c, \ T8 H, ]
# i6 g0 u' Z8 W首先通过进程名称找到该文件,稳妥起见最好将其上传到VirusTotal这类网站进行分析。如果的确是恶意文件的话,在“PC Hunter”的“进程”标签中,右击它,选择“结束进程时删除文件”即可。当然也可能不是恶意程序,但是程序没问题不代表其中的所有模块也没问题,继续右击它,选择“查看进程模块”,在弹出的对话框中查看有没有可疑的模块,如果有,则右击选择“删除模块文件”命令即可。) d1 @: l; w K
|
|
" j" i: A9 }* @" a$ e! f1 E' m3 N
