1.3 黑客入qin及异常表现

1.收集网络系统中的信息

收集信息，并且不会对目标产生危害，只是为进一步入qin提供有用信息。黑客可能会利用公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。

2.探测目标网络系统的安全漏洞

在收集到攻击目标的一定量信息后，黑客会探测目标网络上的每台主机，并且寻求系统内部的安全漏洞。

3.建立模拟环境，进行模拟攻击

在此前面所得的信息，建立一个类似攻击对象的模拟环境，然后对此模拟目标进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具的攻击回馈信息，可以进一步了解攻击过程中留下的‘痕迹’及被攻击方的状态，以此来定制一个比较周密的攻击策略。

4.具体实施网络攻击

**者根据前面所得的信息，建立一个类似攻击对象的模拟环境，然后对此模型目标进行一系列

1.3.1 进程异常

按快捷键Ctal Alt Del调出任务管理器，查看有什么进程在运行，如图所示

。如果发现陌生的进程，就要多加注意了，可以先关闭一些可疑的程序，

如果发现一些不正常的情况恢复了正常，那么就可以初步确定是中木马了。发现有个相同的程序在运行，而且还会随着时间的增多而增多，这也是一个可疑的现象，也要特别注意。如果在 连入lnternet或局域网后才发现这些现象，需要尽快查看一下是否有木马或者病毒。

1.3.2可疑启动项

可疑程序的另一特点是随着系统启动而运行。用户可以运行Mscnfig命令，启动 “系统配置”对话框，在“启动”选项卡中查看是否有可疑的程序随系统启动，如图。

可以禁用可疑的程序，从系统稳定性上判断该程序是否为病毒或者木马程序。用户也也可以使用第三方软件来禁用可疑启动项。

1.3.3注册表异常

该操作涉及比较专业的层次，用户最好在修改前对注册表进行备份。运行Regedit命令，调出“注册表编辑器”窗口，如图

。

查看相应的条目和值是否正常，如有异常，有可能是被黑客侵入。

1.3.4开放可疑端口

在侵入后，黑客有可能留下后门程序以监听客户端的请求。用户可以通过命令查看计算机是否开启了可疑端口。在命令提示符界面中，可以使用Netstat-an来查看异常端口。

1.3.5日志文件异常

一般情况下，黑客在侵入后将关于登录的信息删除。但是部分计算实力较弱或者大意的黑客会留下蛛丝马迹，如没有删除日志记录，或者将日志全部删除了。用户可以通过查看日志文件确定是否有黑客侵入。

在“计算机”上，单击鼠标右键，在弹出的快捷菜单中执行“管理”命令。在弹出“计算机管理”对话框选择“事件查看器——安全”选项，如图所示

。通过查看登录记录、时间来判断是否有黑客登录。另外，可以通过其他日志来判断是否有恶意程序运行或篡改系统文件。

1.3.6存在陌生用户

在侵入电脑后，黑客会创建有管理员权限的用户，以便使用该账户远程登录电脑或者启动程序和服务。用户可以使用命令查看是否有新建的陌生账户，如图所示

。

1.3.7存在陌生服务

黑客侵入后或者中木马后，会开启一些服务程序，为黑客提供各种数据信息。用户可以启动服务查看器，查看是否存在异常的服务，如图所示

。并及时关闭陌生服务。