一、通过系统日志判断
事件查看器 - 按 `Win + R` 打开运行窗口,输入 `eventvwr.msc` 并回车。
- 在 Windows日志
-> 安全中查看登录记录、账户操作等事件,寻找异常登录(如陌生IP地址)或服务异常停止记录。
- 若发现系统账户被篡改(如权限提升),需立即处理。
审核策略配置
- 通过 `gpedit.msc` 调整审核策略,确保登录、账户管理等事件被记录。
- 重启计算机后,检查事件查看器中的审核日志,确认异常操作是否被记录。
二、进程与服务监控
任务管理器
- 按 `Ctrl + Shift + Esc` 打开任务管理器,查看进程列表。
- 识别异常进程:陌生程序、多实例相同程序、高CPU或内存占用的进程。
- 结束可疑进程后,系统性能是否恢复是初步判断依据。
系统服务与注册表
- 在 `services.msc` 中检查服务项,禁止未知或可疑服务自动启动。
- 使用 `regedit` 检查注册表启动项,移除异常条目(如 `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run` 中的非法程序)。
三、网络活动与端口扫描
网络连接监控
- 使用 `netstat -an` 命令查看开放端口,异常端口(如非标准端口或已知攻击端口)可能被利用。
- 结合网络监控工具(如360安全卫士)实时检测异常网络行为。
IP地址与域名查询
- 在事件查看器的安全日志中,记录的陌生IP地址可通过 `360搜索` 或 `WHOIS` 查询确认来源。
- 对境外异常IP(如以色列IP)需警惕,尤其是无明确业务关联时。
四、账户与权限检查
用户账户管理
- 通过 `net user` 命令查看系统账户和用户权限。
- 删除未经授权的账户(尤其是属于 `administrators` 组的账户),并检查账户历史操作记录。
权限提升迹象
- 若发现普通用户权限被篡改为管理员权限,或GUEST账户被提权,需立即修正。
五、其他辅助手段
杀毒与防护软件: 使用360安全卫士等工具进行全盘扫描,拦截未知程序和病毒。 系统文件检查
总结
判断电脑是否被入侵需综合分析系统日志、进程、网络等多方面信息。建议优先通过事件查看器和任务管理器进行初步排查,再结合网络监控和防护工具进行深度检测。若发现异常,立即断网并联系专业安全团队处理。
