用命令检查电脑是否被入侵

夜游

用命令检查电脑是否被入侵

1.检测网络连接
　　如果你怀疑自己的计算机上被别人安装了木马、者是中了病毒或被入侵，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，

看到了吧~！

通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。


2.禁用不明服务
    很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，

呵呵~！看到喽~！这是我的机子上开启的服务~！

如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。用“net stop server”来禁止服务。
很简单~~这里我就不演示了~！

3.轻松检查账户
   很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况，可以用很简单的方法对账户进行检测。

　　首先在命令行下输入net user，查看计算机上有些什么用户，这两个就是我机子上的用户喽~！
然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!
不过我这里例外两个都是我建的  呵呵~！
如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。我们可以用“net user用户名/del”来删掉这个用户！
我这里就不删了 呵呵~！

夜游

~~~~~~~~~~~~~~~~~~~~~~~~~

艳阳天

第一个一开就消失，怎么看呀

今生凌缘

顶！！1！！！！！！！！！！！！！！！！！！！！！！！经常要用到的

夜游

原帖由 艳阳天 于 2006-4-25 09:37 发表
第一个一开就消失，怎么看呀

先打CMD啊

00xttqt00

thallous who
is name

夜游

揍过~~~~~~~~~~

小偷爱上警察

没用！  那么多服务，鬼看得出哪个是不是自己开的，哪个关了会有什么影响。

闲人

好帖````````````````````````````````````

夜游

原帖由 小偷爱上警察 于 2006-4-26 16:08 发表
没用！  那么多服务，鬼看得出哪个是不是自己开的，哪个关了会有什么影响。

什么叫你多看点书~没要天天游戏~~~~~~~~

qqvp112

我改不了啊.................

夜游

什么资料？？？？？~~~~~~~~~~~

真心爱你

：netstat -an　　师兄你说的这个命令好象用不得呀　

小偷爱上警察

原帖由 夜游 于 2006-4-27 07:34 发表

什么叫你多看点书~没要天天游戏~~~~~~~~

晕倒,难道就为你那个烂命令去买书回来研究啊?
可以学的东西很多,没必要在一棵树上吊死啊.
整天只想着是不是有人入侵了自己电脑的人是SB!
我装个天网,用了N年就没见谁入侵过我的电脑.用下优化大师关空连接就OK了.
不如多学点对以后找工作有用的东西.不就一个NETSTAT嘛谁不会啊.

天祯

net view
net use x:  \\IP\共享名
cd x:
xcopy

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

　　Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

　　Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

　　Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

　　Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

　　其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。


　　权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。





　　我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。

　　Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户