返回目录:win7问题
内容导航:
一、电脑被秘密接入?教你三招如何“抓现行”
来源:微信公众号 数据安全与取证(ID:Cflab_net)
因日常工作需要,你的电脑会连上很多网站,但并非所有的连接你都知情。当然,有些连接无关紧要,但有些你所不知道的秘密连接可能是利用你的网络连接而蓄意接入的恶意软件、监视软件或广告程序!
今天,给大家介绍三个方法——如何查看电脑是否有“不为己知”的连接。这些方法免费实用,能立刻实践!
本文要点
netstat命令行
TCP工具
CurrPorts工具
取证神助攻工具集介绍
接下来我们开始详述每一种方法的具体操作。
方法一:命令行查看现有网络连接
这种方法就是使用netstat命令行让计算机将一定时间内所有的网络连接全部列出来!
此法适用于Windows系统,从 Windows XP Service Pack 2 到 Windows 10 均可行;且此命令在PowerShell (命令工具) 和 Command Prompt (命令提示符窗口) 使用效果一样。
对于Windows 8 和 10,你可以按下“Windows + X” 打开在Power User 菜单,然后选择 “PowerShell (管理员)”来运行;如果你打算用命令提示符,同样也要以管理员身份运行。
在 Windows 7 系统中,你需要敲击 “Start” 键,然后在搜索栏输入 “PowerShell”,右键点击并以管理员身份运行;对于 Windows 7 之前的系统,你可能需要在命令提示符窗口完成了。
Power User Menu
在窗口中,输入以下命令行,然后回车。
netstat -abf 5 > activity.txt
这里,我们在netstat命令行中使用了4个修饰符,其意义如下:
-a 显示所有的连接和监听端口;
-b 在结果中添加与之有连接的应用程序;
-f 显示每个连接项的DNS全称 (如此一来,就容易发现是在何处连接的);
5 命令计算机每5秒钟检测一次连接 (便于追踪)。
而接下来的 “>” 是为了把结果存储在一个名为“activity.txt” 的文件中。
在输入完该命令后,等几分钟后,再输入 “Ctrl+C” 停止数据记录。
在PowerShell中输入命令行
停止数据记录后,打开 activity.txt 文件查看结果,你可以直接在命令窗口中输入 “activity.txt” 后回车直接在记事本中打开该文件。
activity.txt
当然,如果之后你想查看该文件,或用其他编辑器打开,也可以去文件的存储位置WindowsSystem32 文件夹中找到它。
WindowsSystem32
这个 activity.txt 文件,把你电脑上包括浏览器、IM客户端、邮件等所有的联网记录全部列了出来(注:运行命令时所记录的那段时间内),其中包括已建立的连接、应用程序或服务监听的开放端口,以及连入某个网站的进程。
如果你看到某些不熟悉的程序名或者网址,你按照名字可以自行搜索,有些可能是任务管理器中必需的进程,但有些可能是恶意网站,所以你得弄清楚并找到解决办法。
方法二:使用TCP View工具查看
TCP View 是SysInternals 工具箱内一个非常实用的好工具,你可以用这个工具迅速查看哪些电脑进程与哪些网络资源连接,你甚至还能直接关闭该进程、断开连接,或是快速查看该进程的更多信息。在诊断电脑问题或获取信息方面,这个工具绝对是首选!
TCP View
注意,当你第一次加载TCP View时,你可能会看到一大堆 [系统进程与各种网址] 的连接,通常来讲这不是什么大问题。
如果所有的连接都处于TIME_WAIT状态,这意味着当前连接正在关闭且并无指定连接,既然没有指定连接的PID,那么指定的方向应该显示为PID 0。一般来说,这种情况的出现,是因为你在加载TCP前,确实连入了许多东西,不过在你关掉那些连接后,TCP View上的这些显示就会去掉了。
方法三:使用CurrPorts工具查看
另外一个免费工具是CurrPorts,它能显示电脑当前所有开着的TCP/IP和UDP端口,比TCP View 的功能要更集中一点。
CurrPorts
针对每个端口,CurrPorts 会将打开该端口的所有进程信息都列出来。你可以选择关闭连接,或是复制端口信息到剪贴板,又或是将该信息以其他文件格式存储。
在CurrPorts的主窗口中,你还能重新排序显示栏和你所存储的文件。针对某一栏的列表,直接点击该栏的标头。
CurrPorts 从 Windows NT 到 Windows 10 都能运行,只要注意它有单独的64位Windows版本,你可以自行在其网站上查询更多用法哦。
完
Wendy感觉命令行的方法立刻就能试,不妨先用命令行查查看?
有件重要的事,你必须知道!
本文中提及的两个工具来自两个超级棒的工具集,分别属于Microsoft和Nirsoft。
针对Windows系统的分析,这俩所提供的工具集堪称取证神器!
▍SysInternal工具集
Sysinternals 之前为Winternals公司提供的免费工具,为解决工程师平常在工作上遇到的各种问题。
由于其对Windows系统分析的十分出色,微软在2006年7月收购了Winternals。
Sysinternals Suite包含一系列免费的系统工具,其中有大名鼎鼎的Process Explorer、FileMon、RegMon等。
其中的工具包从注册表分析到进程监视、资源管理器,从碎片整理到加密文件,几乎应有尽有,简直是个百宝箱,取证利器!
▍Nirsoft工具集
Nirsoft 也是个百宝箱,囊括的工具Wendy一时间根本数不过来,只想快点分享给大家。
更贴心的是,人家根据功能都分好类了,给部分截个图你们自己感受下:
Nirsoft
嘿嘿,有没有被我感动到?放心,后期会有更多好工具+技术实践分享给到家,只要你相信我,Wendy会尽其所能回馈大家的信任!
二、怎么检测我的电脑系统有没有被人动了手脚在远程秘密监控?
如果要检测,有以下几个方法可以尝试一下:1、360等安全软件
但此类软件只能检测木马类远程控制,无法检测正常的远程控制类程序,所以这个检测不出也属于正常,何况这种大多是靠特征码检测的。
2、网络连接检测工具
最好用的就是windows本身的命令,netstat -b,可以显示所有网络连接状态,但缺点是命令行模式,并非可视化,现在有许多可视化的软件,比如360安全软件里的功能大全-->360流量防火墙等,这些都是可视化的,看起来是哪个软件连接哪个远程连接IP都可以看到。
以上2个方法只能是被动查看,只能等人家连接你电脑时才知道,如果要主动发现,可能需要一点技术,但是还是可以先做一下的有以下几点:
1、360安全卫士里的系统修复和优化加速,关闭不必要的自动启动的软件或服务。
2、现在一般都用电脑连接路由器上网,可以从路由器在线管理的软件里查看上传速度,一般如果不是玩游戏,速度不会有多少的,但如果是远程控制类的话一般会使用上行速度,所以也可以查看的。
三、如何破解电脑秘密`
1.开机启动WinXP,当运行到“正在启动Windows
XP”的提示界面时,按“F8”键调出系统启动选择菜单,选择“带命令行安全模式”;
2.当运行停止后,会列出“Administrator”和其它用户的选择菜单,选择“Administrator”后回车,进入命令行模式;
3.键入命令““net
user
(用户名)
1234”这是更改该用户密码的命令,命令中的“1234”是更改后的新密码。。
4.重新启动计算机,在登录窗口中输入刚刚更改的新密码便可成功登陆。
5.最后,到控制面板用户帐户管理,把密码删除即可。
四、怎样破解电脑秘密?
1)如果是计算机管理员密码忘了,请用下面的方法试试(不行到维修那里花一点钱,让他们用光盘或U盘帮助你破解)。方法:
使用 PE光盘 引导系统(一些带工具箱的GHOST系统盘也有这个功能),在出现选项菜单的界面,按箭头键移动到 “清除管理员密码”上,再按回车键,即可快速清除“Administrator账户”密码;
拿出系统光盘,再重启,即可清空密码、管理员账号、登录系统。
再不行,就重新安装操作系统。
2)如果可以进入系统破译密码用下面的软件(前提是可以进入这个系统,如果进不去就是暴力清除密码,下载网址传给你的消息中了,如果收不到到网上搜索下载)
1、LSASecretsView 1.21 汉化版
(华军)
解压并安装软件,点击桌面上的钥匙图标,单击DefaultPassword(不设密码的没有),看右下角就会看到破解的密码。
2、Proactive System Password Recovery V4.1.3.445 汉化版
(破译密码的软件、也可查询密码,在进入系统的情况下操作)
Proactive System Password Recovery (英文版,破译密码的软件、也可查询密码,在进入系统的情况下操作)