這裡我給出一個無腦判斷的方法,即使是電腦小白也可以快速判斷。
風險發現
網絡層面判斷是否被監控
- 按下Win+R鍵,輸入"cmd",彈出指令執行視窗:
2. 輸入"netstat -ano",然後回車,這時控制台會按照如下格式列印自己的電腦跟外部ip的網絡互動情況:
協定 本地位址 外部位址 狀态 PID
3. 重點關注外部位址一欄,外部位址的格式是"xxx.xxx.xxx.xxx:xxxx",冒号前面的那一串是IP位址,後面是端口号。如果外部位址是"0.0.0.0:0"和"127.0.0.1:xxx"的行,直接無視掉
4. 除去上面排除掉的行後,剩下的每一行每一行的看,把外部位址的IP複制下來,粘貼到威脅情報查詢平台進行查詢,我這裡直接給出幾個查詢平台:
奇安信威脅情報中心 https://ti.qianxin.com/
360安全大腦 https://ti.360.cn/
微步線上X情報社群-威脅情報查詢_威脅分析平台_開放社群 https://x.threatbook.com/
5. 以奇安信威脅情報中心為例,我們把IP位址複制到搜尋框,回車。就彈出這個界面:
6. 如果IP被判為可疑,那就要小心了,先把這個IP位址和對應的PID号記錄下來(這一行的最後一列那個數字)。我們繼續從程序層面來分析。
程序層面判斷是否被監控
- 前面的步驟跟之前說的一樣,先用"netstat -ano"列出來,現在我們關注每一行的PID号,就是最後一列那個數字
2. 再打開一個cmd,先輸入"powershell",回車執行,再輸入如下指令,檢視程序具體資訊(把指令的YourPID替換為你程序的PID):
Get-WmiObject -Query "Select * From Win32_Process Where ProcessID='YourPID'"
3. 可以看到很多資訊,我們隻關注ExecutablePath,打開檔案管理器,進入ExecutablePath的路徑,把這個檔案找出來
4. 然後,還是進入我之前給出的威脅情報平台,找到檔案分析的查詢功能,把檔案上傳上去
5. 這裡多給幾個專門針對惡意檔案、病毒等進行線上檢測的網站:
VirScan - 多引擎檔案線上檢測平台 https://www.virscan.org/
VirusTotal https://www.virustotal.com/gui/home/upload
騰訊哈勃分析系統 https://habo.qq.com/
6. 如果判定為可疑,我們同樣把IP位址和PID記錄下來
風險排除
下面所講述的排除方法,小白請謹慎操作,因為你也可能判斷不了你記錄的程式是否是系統關鍵程式,記錄的IP是否是系統關鍵程式連接配接的IP。若不會備份恢複,可能會導緻系統的功能出現問題。
阻斷可疑IP連接配接
- 打開左下角菜單欄,點選設定按鈕
3. 在搜尋框搜尋防火牆,點選"防火牆與網絡保護"
4. 然後點選:"進階設定"->"入站規則"->"建立規則"->"自定義"->"所有程式"->"協定和端口"->填入記錄的可疑IP,然後點選确定
5. 觀察系統功能是否有影響,如果有影響,就把規則删除。
删除可疑程序檔案
- 找到之前記錄的可疑檔案路徑
- 然後重命名該檔案
- 在cmd裡執行操作,殺掉程序
taskkill /PID your_PID /F
4. 觀察系統功能是否有影響,如果有影響,就把檔案重新命名回去,然後重新啟動程式。