如何知道你是否被黑客攻击

在之前的文章中，我向您展示了如何创建更强大的密码以及如何防止您的家庭系统受到损害，但人们总是问我：“如何判断我的系统是否已被黑客入侵？”

这个问题的答案并不简单。黑客软件变得如此复杂，以至于一旦嵌入到您的系统中，通常很难检测到。虽然是杀毒/反恶意软件通常可以有效地防止您的系统受到感染，但在许多情况下，一旦它被感染，该软件就无法检测或消除感染。

这样做的原因是最好的恶意软件会嵌入到您的系统文件中，并且看起来像是关键Windows系统文件的一部分。通常，它会自行替换系统文件，保留相同的文件名和功能，但添加自己的功能。通过这种方式，它的外观和行为类似于操作系统正常运行所需的系统文件，只有附加功能才能让远程黑客随意访问您的系统和系统资源。

为什么黑客想要使用您的计算机

虽然我们熟悉黑客可能会寻求我们的信用卡号码，银行账户和身份的想法，但一些黑客只是在寻求使用您的计算机。通过感染全世界成千上万甚至数百万台计算机，他们可以创建所谓的“僵尸网络”。

僵尸网络只是由单个命令和控制中心控制的受感染计算机网络。我估计所有消费级计算机中有30％到50％是一个僵尸网络或另一个僵尸网络的一部分。

这个僵尸网络可用于许多看似无害的活动和更多恶意活动。僵尸网络可用于发送垃圾邮件，破解密码，执行分布式拒绝服务（DDoS）攻击等。在所有情况下，它们都使用您无法使用的系统资源。您可能会检测到自己的系统运行缓慢或不稳定。

让我们来看看我们如何检测您的系统是否发生了此类安全漏洞。

步骤1 ：运行防病毒软件

注意：虽然防病毒软件和反恶意软件软件在检测到的内容方面可能有所不同，但在本文中，我将统称为防病毒软件（或AV）。确保您有一个可以检测病毒和恶意软件，包括特洛伊木马，蠕虫，间谍软件，rootkit，键盘记录程序等等，这是很好的。

市场上有很多好的防病毒软件。问题是即使是最好的也不会检测到所有已知恶意软件的5到10％。然后，每天都会出现未知的恶意软件。黑客一直在开发新软件，通常是现有恶意软件的变种，但又足以避开这些软件开发人员的签名检测。在这些情况下，您的AV软件是无用的。

尽管如此，我仍然建议你购买一个声誉良好的AV软件品牌，并保持最新。这些更新至关重要，因为它们代表了“狂野”中新的黑客软件的签名。使该软件能够进行“主动检测”和响应，因为一旦恶意软件嵌入您的计算机，有时就无法检测和删除。

步骤2：检查任务管理器

当您怀疑自己被黑客入侵时，首先要检查的是Windows任务管理器。您可以通过按键盘上的Ctrl + Alt + Del并选择弹出菜单底部的“任务管理器”来访问它，或者只需在“开始”菜单的运行行中键入“任务管理器”即可访问它。

当您打开任务管理器并单击“进程”选项卡时，您应该有一个类似于下面的窗口。请注意底部的CPU使用情况。在这台受感染的机器中，系统处于空闲状态，CPU使用率达到93％左右！显然，这个系统正在发生一些事情。

下面，您将在未受感染的系统上看到相同的任务管理器。系统空闲时，CPU使用率低于10％。

步骤3：在Windows中检查系统完整性检查程序

现在我们已经知道我们的系统出了什么问题，让我们深入研究一下，看看我们是否可以识别它。

通常，恶意软件会将自身嵌入到系统文件中，这可以解释为什么AV软件无法检测或删除它。Microsoft在Windows中构建了一个名为sfc.exe的系统完整性检查程序，该程序应该能够测试这些系统文件的完整性。从Microsoft的文档中，它描述了这个实用程序说：

“系统文件检查器是Windows中的一个实用程序，允许用户扫描Windows系统文件中的损坏并恢复损坏的文件。”

这里的想法是该工具或实用程序检查是否对系统文件进行了任何更改并尝试修复它们。我们来试试吧。右键单击打开命令提示符，然后选择以管理员身份运行。然后键入以下命令（确保之后按Enter键）。

sfc / scannow

步骤:4：使用Netstat检查网络连接

如果我们系统上的恶意软件对我们造成任何伤害，则需要与黑客运行的命令和控制中心进行通信。某个地方的某个人必须远程控制它以使其按照自己的意愿行事，然后提取他们想要的东西。

Microsoft在Windows中构建了一个名为netstat的实用程序。Netstat旨在识别与系统的所有连接。让我们尝试使用它来查看是否存在任何异常连接。

再次打开命令提示符并使用以下命令。

netstat -ano

步骤5：使用WireShark检查网络连接

如果我们可以安装第三方软件来分析与我们计算机的连接，我们可能能够识别某个恶意实体与我们计算机之间的通信。完成此任务的完美软件称为Wireshark。

Wireshark是一个免费的基于GUI的工具，它将显示进出我们计算机的所有数据包。通过这种方式，我们可能能够识别那些耗尽我们所有CPU周期并使我们的系统变得如此迟缓的讨厌的恶意软件。

由于Wireshark是一个应用程序而不是Windows系统的一部分，因此不太可能被恶意软件控制和操纵。你可以在这里下载Wireshark 。安装完成后，单击您的活动界面，您将看到如下所示的屏幕打开。

然后，Wireshark可以捕获进出系统的所有数据包，以便以后进行分析。

这里的关键是寻找不属于“正常”通信的异常数据包。当然，不用说你首先应该知道什么是“正常”。

我们可以通过在主菜单和图标下方的过滤器窗口中键入Wireshark来创建过滤器。Wireshark中的过滤器完全是一个独立的学科，超出了本文的范围，但我将在此处为您介绍一个简单的过程。

在这种情况下，我的IP地址是192.168.1.103，所以我键入：

ip.src == 192.168.1.103

此过滤器仅显示来自我的系统（ip.src）的流量。由于我还想过滤1500以上和60000以下的端口，我可以添加：

和tcp.port> 1500和tcp.port <60000

生成的过滤器只显示符合所有这些条件的流量，即它应该是：

• 来自我的IP地址（ip.src == 192.168.1.103）

• 来自我的一个高于1500的TCP端口（tcp.port> 1500）

• 来自60000以下的TCP端口之一（tcp.port <60000）

当我在筛选器窗口中输入所有这些内容时，它会从粉红色变为绿色，表示我的语法正确，如下面的屏幕截图所示。

现在，单击过滤器窗口右侧的“ 应用”按钮，将此过滤器应用于所有流量。执行此操作时，您将开始仅筛选满足这些条件的流量。

现在关键是在这里寻找与系统“正常”流量无关的异常流量。这可能具有挑战性。要识别恶意流量，您需要在浏览器中键入计算机正在与之通信的未知IP地址（请参阅框中的IP地址），然后检查它是否是合法网站。如果没有，应该立即对这种流量进行一些怀疑。

检测您的计算机是否感染了恶意软件不一定是一项简单的任务。当然，对于大多数人来说，仅依靠防病毒软件是最好和最简单的技术。鉴于此软件不完善，此处概述的一些技术可能有效地确定您是否真的被黑客入侵。