個人計算機入侵與中毒自救指南：如何知道自己的電腦被監控？

這裡我給出一個無腦判斷的方法，即使是電腦小白也可以快速判斷。

風險發現

網絡層面判斷是否被監控

1. 按下Win+R鍵，輸入"cmd"，彈出指令執行視窗:

2. 輸入"netstat -ano"，然後回車，這時控制台會按照如下格式列印自己的電腦跟外部ip的網絡互動情況：

協定  本地位址          外部位址        狀态           PID           

3. 重點關注外部位址一欄，外部位址的格式是"xxx.xxx.xxx.xxx:xxxx"，冒号前面的那一串是IP位址，後面是端口号。如果外部位址是"0.0.0.0:0"和"127.0.0.1:xxx"的行，直接無視掉

4. 除去上面排除掉的行後，剩下的每一行每一行的看，把外部位址的IP複制下來，粘貼到威脅情報查詢平台進行查詢，我這裡直接給出幾個查詢平台：

奇安信威脅情報中心 https://ti.qianxin.com/

360安全大腦 https://ti.360.cn/

微步線上X情報社群-威脅情報查詢_威脅分析平台_開放社群 ​https://x.threatbook.com/

5. 以奇安信威脅情報中心為例，我們把IP位址複制到搜尋框，回車。就彈出這個界面：

6. 如果IP被判為可疑，那就要小心了，先把這個IP位址和對應的PID号記錄下來(這一行的最後一列那個數字)。我們繼續從程序層面來分析。

程序層面判斷是否被監控

1. 前面的步驟跟之前說的一樣，先用"netstat -ano"列出來，現在我們關注每一行的PID号，就是最後一列那個數字

2. 再打開一個cmd，先輸入"powershell"，回車執行，再輸入如下指令，檢視程序具體資訊（把指令的YourPID替換為你程序的PID）:

Get-WmiObject -Query "Select * From Win32_Process Where ProcessID='YourPID'"           

3. 可以看到很多資訊，我們隻關注ExecutablePath，打開檔案管理器，進入ExecutablePath的路徑，把這個檔案找出來

4. 然後，還是進入我之前給出的威脅情報平台，找到檔案分析的查詢功能，把檔案上傳上去

5. 這裡多給幾個專門針對惡意檔案、病毒等進行線上檢測的網站：

VirScan - 多引擎檔案線上檢測平台 https://www.virscan.org/

VirusTotal https://www.virustotal.com/gui/home/upload

騰訊哈勃分析系統 https://habo.qq.com/

6. 如果判定為可疑，我們同樣把IP位址和PID記錄下來

風險排除

下面所講述的排除方法，小白請謹慎操作，因為你也可能判斷不了你記錄的程式是否是系統關鍵程式，記錄的IP是否是系統關鍵程式連接配接的IP。若不會備份恢複，可能會導緻系統的功能出現問題。

阻斷可疑IP連接配接

1. 打開左下角菜單欄，點選設定按鈕

3. 在搜尋框搜尋防火牆，點選"防火牆與網絡保護"

4. 然後點選:"進階設定"->"入站規則"->"建立規則"->"自定義"->"所有程式"->"協定和端口"->填入記錄的可疑IP，然後點選确定

5. 觀察系統功能是否有影響，如果有影響，就把規則删除。

删除可疑程序檔案

1. 找到之前記錄的可疑檔案路徑
2. 然後重命名該檔案
3. 在cmd裡執行操作，殺掉程序

taskkill /PID your_PID /F           

4. 觀察系統功能是否有影響，如果有影響，就把檔案重新命名回去，然後重新啟動程式。