現在大部分家庭是通過路由器構成一個小型網絡,網絡基本全天在線,這樣電腦只要一開機就可以連接到互聯網中。雖然這樣做非常方便,但是也可能為黑客打開了方便之門,他們可能會偷偷連入你的電腦中,伺機竊取資料。而這些操作都是在系統後台進行,怎麼才能揪出這背後的黑手?下面系統之家告訴你如何檢查網絡是否被入侵。
尋找內網中的聯網主機
攘外必先安內,首先查找內網中的可疑連接。運行網絡嗅探軟件WhoIsConnectedSniffer(http://tinyurl.com/lsxjktv,需要先安裝WinPcap),第一次運行,在彈出的詢問窗口中選擇“WinPcap Packer Capture Drive”項,再在下方列表中選擇當前電腦的IP地址,最後點擊OK完成設置進入軟件界面(圖1)。
從界面列表中,可以看到多個不同的IP地址,其中一個是路由器的,另外則是連到路由器的其他電腦或設備。通過“Name”項可以查看明稱,這裡很容易發現可疑的連接,比如蹭網的連接等(圖2)。
找出系統中的惡意軟件
無論是黑客控制也好,惡意程序感染系統也罷,我們都需要將它找出來清除掉。首先找到一台正在聯網的電腦,盡量關閉其中正在運行的程序,避免它們對分析過程進行干擾。接下來運行“PC Hunter”(http://appwan.net/?p=483),點擊窗口中的“網絡”標簽,就可以看到這台電腦所有的網絡連接情況(圖3)。在“遠程地址”列表中,查看是否存在WhoIsConnectedSniffer列表中出現過的IP地址。如果存在則可能這台電腦正在被人偷窺或控制,如果沒有的話就需要對其他的電腦進行分析。
通過“進程ID”列表查看到,正在進行網絡連接的進程ID信息。接下來點擊“PC Hunter”窗口中的“進程”標簽,在列表中找到剛剛記錄下的進程ID信息。在這個進程上右擊,選擇“暫停進程運行”命令(圖4)。然後通過WhoIsConnectedSniffer的列表,查看是否還在進行數據的連接操作,如果沒有的話則說明這個進程可能是幕後黑手,需要進行處理。
首先通過進程名稱找到該文件,穩妥起見最好將其上傳到VirusTotal這類網站進行分析。如果的確是惡意文件的話,在“PC Hunter”的“進程”標簽中,右擊它,選擇“結束進程時刪除文件”即可。當然也可能不是惡意程序,但是程序沒問題不代表其中的所有模塊也沒問題,繼續右擊它,選擇“查看進程模塊”,在彈出的對話框中查看有沒有可疑的模塊,如果有,則右擊選擇“刪除模塊文件”命令即可。
本文來自於【系統之家】 www.xp85.com