Introduksjon

En av de beste spørsmålene jeg ser på forumer er " Hvordan vet jeg om jeg har blitt hacket ".? Når noe rart skjer på en datamaskin for eksempel programmer nedleggelse på egenhånd, musen beveger seg av seg selv, eller CD stadig åpner og lukker på egen hånd, er det første som folk tror at de har blitt hacket. I de aller fleste tilfeller er det et ikke-skadelig forklaring på disse problemene som feil i maskinvare eller problematisk programvare, men det er bedre å være safe than sorry for ikke å undersøke dypere. Dessverre, det store flertallet av PC-brukere har ingen anelse om hvordan du skal gå om å avgjøre om deres datamaskin er hacket. Det er for disse menneskene, at jeg skriver denne opplæringen.

Før vi fortsetter, er det viktig å gå over noen grunnleggende informasjon. I dagens ganger, ordet hacker mer kjent som en som bryter seg inn i andres datamaskiner, nettsteder eller programvare uten tillatelse. Den opprinnelige definisjonen er faktisk noen som liker å forstå den interne driften av programvare, maskinvare, eller en elektrisk enhet for å endre den til sine egne formål. For denne artikkelen, vil vi fortsette å bruke ordet hacker for å beskrive noen som har brutt inn i en datamaskin for å unngå forvirring.

Det bør også bemerkes at i mange av tilfellene at folk tror de er hacket , de er i stedet infisert med malware som spyware, Scareware, eller trojanere. Derfor er det foreslått at du først bruke et anti-virus program eller anti-spyware program for å kontrollere datamaskinen infeksjoner før du fortsetter med resten av denne opplæringen. Hvis du trenger hjelp til å sjekke for å se om datamaskinen er infisert, gjerne lage et virus fjerning logg og legge det i våre fora for å bli kontrollert av en utdannet hjelper. En guide til hvordan du gjør dette finner du her:

forberedelse guide for bruk Før Malware Removal Tools og be om hjelp

I denne opplæringen vil jeg vise deg hvordan du kan finne ut om din Windows-maskin er hacket, og hvordan du kan gå om å rydde opp i filer som kan ha stått bak. Denne opplæringen vil også dekke de vanligste hack metoder og hvordan du kan gjenkjenne dem. Det er mer invasive hacking metoder som denne guiden ikke vil gå over i store lengden på grunn av deres sjelden bruk. I min erfaring, selv om de fleste av hacks som er gjort i masse, spesielt av script kiddies, vil være synlig ved metodene som er beskrevet nedenfor.

Siden dette er et avansert tema, noen av opplysningene diskutert i denne opplæringen kan vanskelig for begynnelsen databrukere. Hvis du har problemer med å forstå noen av punktene i opplæringen, gjerne spørre i forumet, og noen kan gi svar på dine spørsmål.

Hvorfor skulle noen ønsker å hacke meg?

Mange tror at den viktigste grunnen til at noen er hacking deres datamaskin er å komme tilbake på dem for noen personlig grunn. I virkeligheten er de fleste av hacks begått av de som ikke bryr seg hvem du er, men bare ønsker å bruke datamaskinens ressurser til ulovlige formål. Disse hacks er vanligvis utført av programmer eller skript som automatiserer prosessen med å hacke en datamaskin for hackeren. Når disse hacking programmene kjøres de skanne store deler av Internett for datamaskiner som har en bestemt programvare eller Windows sårbarhet. Når programmet oppdager et sårbart program vil den automatisk utnytte det og åpne en bakdør slik at hacker kan eksternt tilgang til den.

Når hacker har ekstern tilgang til datamaskinen han kan installere hva de vil, overføre filer, og se på dine data. Fra min erfaring de vanligste årsakene til at en datamaskin er hacket er:

Oppsett en FTP eller webserver å distribuere opphavsrettsbeskyttet materiale. Disse typer servere kalles Pubstros.

Oppsett en IRC klient /bot som brukes til DDOS andre datamaskiner, flom IRC brukere, skanne /hacke andre datamaskiner, og å distribuere opphavsrettsbeskyttet materiale som en filserver.

Bruk datamaskinen til å skanne andre eller banalisere i andre datamaskiner. Dette gir en hacker en større grad av anonymitet som de skal bruke datamaskinen til å utføre ulovlige handlinger.

Installer ransomware på datamaskinen som krypterer filene dine og deretter ber deg om å betale løsepenger for å dekryptere dem.


Uansett årsak, når en person begynner å bruke datamaskinen uten din tillatelse er det viktig å finne dem raskt som du er nødt til å forholde seg til konsekvensene av sine handlinger mens de er koblet til den.





Lage din Computer Forensics Tool belte


Det første du må gjøre før du kontrollerer maskinen er å skape en Computer Forensics Tool Belt. Dette verktøyet belte består av en rekke freeware verktøy som du kan bruke hele denne guiden for å undersøke aktiviteten på datamaskinen. Verktøyene vi anbefaler er:


Process Explorer - Dette programmet vil vise alle åpne prosesser og avgrense mellom de overordnede prosesser og prosesser som gytes av den overordnede. Dette er et svært nyttig program for å se hvilke programmer som kjører på datamaskinen, og hvordan de ble lansert


Process Monitor -. Dette programmet gir et sanntids visning av hele prosessen, Windows Registry, og filen aktivitet på datamaskinen . Dette er nyttig når du er bekymret for at en hacker kan være koblet til datamaskinen din, og du ønsker å få en generell ide om hva de gjør. Dette programmet kan raskt vise mye informasjon. Derfor kan du leke seg med dette programmet og oppsett filter for å få et generelt inntrykk av hvordan det fungerer


Vis skjulte. - Dette er et verktøy skrevet av BleepingComputer.com som vil vise alle skjulte mapper og filer hvis du ønsker, på datamaskinen. Som mange hackere skjule sine verktøy og filer i en skjult mappe, vil dette verktøyet gjøre det lettere å finne skjulte mapper som vises mistenkelig


TCPView -. TCPView er den virkelige arbeidshest for å oppdage hvis du har blitt hacket. Dette programmet vil liste opp alle programmer på datamaskinen som er koblet til en ekstern datamaskin eller venter på en tilkobling. Programmet vil også liste opp alle IP-adresser som er koblet til og med utføre reverse DNS på dem, slik at du kan få nyttig informasjon om hvem som er koblet


Treesize Free -. Dette programmet vil skanne harddisken og enkelt vis mapper på harddisker som bruker mest plass. Hvis du er bekymret for at serveren ble hacket til å distribuere opphavsrettsbeskyttet programmer og videoer, kan du bruke dette verktøyet til å søke etter store mapper som du deretter kan undersøke


Wireshark -. Wireshark er et nettverk sniffing verktøy som lar deg se dataene som flyter gjennom nettverket. Hvis du er bekymret du er hacket, kan du installere og bruke Wireshark til å se på den rå TCP /IP-pakker for å se om noen nefarious aktivitet foregår. Dette er et avansert verktøy og vil ikke bli dekket av denne opplæringen.


Før du fortsetter med resten av opplæringen, foreslår jeg at du laster ned hver av disse programmene og bli kjent med dem. Når du spiller med dem litt, bør du begynne å forstå hvordan de fungerer og hvordan man best kan bruke dem.





Hvordan kan jeg vite om jeg har blitt hacket?


Når datamaskinen er hacket og i bruk eksternt, er det å gjøre det over et TCP /IP-nettverk. Dette gir oss muligheten til å bruke verktøy som TCPView å raskt oppdage disse nettverkstilkoblinger og avslutte dem om nødvendig. Videre mer, hacker vet at på et tidspunkt deres point-of-entry vil bli låst igjen. Med dette i bakhodet, vil hacker vanligvis installere en bakdør som kjører på datamaskinen, slik at de vil være i stand til å komme tilbake i selv om du lappe datamaskinens sikkerhetshull. Den eneste gangen en hacker ikke la noe bak, er hvis de er hacking datamaskinen for spesifikk informasjon eller et element. De aller fleste av hacks, men er heldigvis ikke rettet mot en bestemt person eller et element og datamaskinen var bare uheldig å være koblet til Internett på feil tidspunkt.


Når du blir hacket, hackere kan også installere rotter, eller Remote Access trojanere og andre bakdører som gjør at hacker å kontrollere datamaskinen eksternt. Disse programmene lytte på TCP eller UDP-tilkoblinger og enten koble seg til en IRC (Internet Relay Chat) kanal der de kan styres av en operatør eller fungere som en bakdør for hackeren. Den gode nyheten er at denne typen programmer må bruke nettverket til å lage forbindelser, som åpner en bane som er lett synlige ved hjelp av et verktøy som TCPView.


For å se hvilke programmer som kjører eller lytter på TCP eller UDP porter på datamaskinen din, bør du kjøre TCPView. Når du begynner å TCPView det vil vise en liste over alle programmer på datamaskinen som er koblet til nettverket. Dette er vist i bildet nedenfor.








Som du ser i bildet ovenfor, vil TCPView vise alle programmer på datamaskinen som for øyeblikket koblet til en ekstern datamaskin via nettverket eller lytter etter innkommende tilkoblinger. Programmet er delt opp i 5 kolonner som gir nyttig informasjon. Disse søylene er:


Process: Denne kolonnen viser navnet på programmet som er koblet til den eksterne enheten, eller venter på en innkommende tilkobling


PID. Denne kolonnen viser prosess-ID for det aktuelle programmet


Protokoll:. Viser dette kolonnevidt bestemt rad bruker TCP eller UDP


Lokal adresse:. Denne kolonnen viser vertsnavnet eller IP-adressen til den lokale datamaskinens tilkobling ..


Lokal port: Denne kolonnen viser portnummeret som brukes av lokal tilkobling. Hvis portnummeret tilsvarer en standard service, vil den vise navnet på tjenesten i stedet


Remote Adresse:.. Dette er IP-adressen eller vertsnavnet eksterne enheten det aktuelle programmet er koblet til


Remote Port: Denne kolonnen viser portnummeret som brukes av den eksterne tilkoblingen. Hvis portnummeret tilsvarer en standard service, vil den vise navnet på tjenesten i stedet


State. Denne kolonnen viser tilstanden til programmets tilkobling. Disse statene er:


Etablert - En tilkobling som er etablert betyr at det er er en aktiv tilkobling mellom datamaskinen og den eksterne datamaskinen. Lukk Vent - Fjern tilkoblingen har lukket tilkoblingen. Dette innlegget vil til slutt tid ut og fjernes fra TCPView listen. Ventetid - Datamaskinen har lukket tilkoblingen. Dette innlegget vil til slutt tid ut og fjernes fra TCPView listen. Lytte - Denne statusen betyr at programmet lytter etter en innkommende tilkobling fra en ekstern datamaskin. Porten som den lytter på kan bli funnet i den lokale adressekolonnen.


Med ovennevnte informasjon kan du finne ut om en tilkobling eller et lytteprogram er legitim. For å se om trafikken er legitim du kan slå opp de eksterne adresser på et nettsted som http://www.dnsstuff.com/. Hvis den eksterne adressen ser ut som et kjent selskap eller en som er fornuftig at du ville bli koblet til, så du kan med rimelighet være trygg på at særlig tilknytning er legitim. På den annen side, hvis IP-adressen viser sin til et sted i et annet land som du ikke bør være koblet til, så du kan ha mer grunn til å være bekymret. Det bør bemerkes at når analysere tilkoblinger fra nettlesere, som du kan være legitimt koblet til servere over hele verden.


Du bør også undersøke programmene som er nevnt i TCPView. Hvis du ser en som du er usikker på, høyreklikk på den og velg Process Egenskaper. Dette vil åpne en liten dialogboks som viser informasjon om programmet. Dersom selskapet informasjonen er legitimt, så kan du gå videre. Hvis ikke, så kan det være lurt å undersøke dette nærmere ved å skanne det med http://www.virustotal.com/eller se hvem det er koblet til. Det bør bemerkes at det er mange programmer som legitimt vil bli venter på tilkoblinger eller er koblet til avsidesliggende steder. For eksempel er nettlesere, meldingsprogrammer, og Windows-systemfiler rutinemessig lytter eller er koblet til eksterne enheter. Vanlige Windows-filer som du ikke bør være bekymret er svchost.exe, wininit.exe, Services.exe, lsass.exe, og noen prosesser merket som systemprosesser.


La oss nå bruke et fiktivt undersøke av en datamaskin hacket med en Pubstro. TCPView på denne type datamaskin kan vise noe sånt som:








Legg merke til hvordan det er en prosess som heter pubstro.exe som lytter på en merkelig port. Hvis du gjør et søk etter pubstro.exe du kan ikke finne noen legitime oppføringer eller kan finne informasjon som henspiller på at dette ikke er en legitim fil. I så fall ville du høyreklikke på filen og undersøke dens egenskaper. Til slutt, hvis du er bekymret for legitimiteten av denne filen du ville høyreklikk på den og klikk på Avslutt prosess alternativet. Dette vil da avslutte prosessen og lukke lytte tilkobling.


Når du finner ut at et program ikke skal være der, må du finne ut hvor den er fra. For dette må du bruke et program som DDS eller Autoruns som viser alle programmer som automatisk starter i Windows. Når du har bestemt utsetting punktet, kan du fjerne det utgangspunktet slik at programmet ikke lenger er i gang.





Leter du etter mer mistenkelig aktivitet


Selv TCPView lett kan oppdage aktive tilkoblinger eller programmer som venter på en tilkobling, det er tider når vi ønsker å grave ned dypere etter mistenkelig ikke-nettverksrelatert aktivitet. For å gjøre dette bruker vi verktøy som Process Explorer, Process Monitor, Vis skjulte, Treesize Free, og Wireshark. Alle disse verktøyene har sine ulike bruksområder og kan hjelpe flekk ulike ledetråder som kan tyde på at du blir hacket. Denne delen vil gi en kort oversikt over hvordan du bruker hver av disse verktøyene.


Process Explorer kan brukes til å vise alle prosesser som kjører på datamaskinen. Dette gjør det mulig å få øye på prosesser som ikke står legitim og samle mer informasjon om dem. Å undersøke en prosess, dobbeltklikker du på den og en egenskaper skjermen åpnes. Dette skjermbildet inneholder en rekke kategorier som gir en mengde informasjon om den aktuelle prosessen. Spesielt vil du være opptatt med informasjonen på kategorien Bilde og kategorien Strings. Den strenger kategorien vil inneholde en liste over strenger innenfor den kjørbare. Disse strengene kan gi en anelse om hva prosessen gjør. Fanen bildet vil vise informasjon om hvem som opprettet filen, hva det heter, hvor den ligger på harddisken, og selve kommandoene som ble brukt til å kjøre programmet. Et eksempel på den type informasjon du kan vise til en prosess er vist nedenfor.








Process Monitor er et avansert, men et svært nyttig, verktøy . Hvis du kan mestre dette programmet, så du kan faktisk se all aktiviteten en bestemt prosess utfører på datamaskinen. Når du kjører, vil dette programmet umiddelbart begynne å vise en overveldende mengde data. For å dra nytte av Process Monitor, må du konfigurere visningsfiltre som vil tillate deg å spesifisere bestemte prosesser som du ønsker å se informasjon om. For eksempel, hvis vi ønsket å se bare den informasjon relatert til pubstro.exe prosessen, vi kan sette opp et filter som dette:








Dette filteret ville da bare vise informasjon relatert til pubstro.exe prosessen.


The Show Hidden er et helt grunnleggende verktøy som bare viser alle mappene på datamaskinen som har skjulte attributtet. Hvis du bruker -f kommandolinje argument, så vil det vise alle skjulte filer også. Når en datamaskin er hacket, skaper hacker vanligvis en mappe som inneholder en rekke verktøy og programmer som de trenger for å hacke andre datamaskiner eller oppstarts ulike programmer. Mesteparten av tiden, vil denne mappen være skjult slik at det ikke vil bli sett under tilfeldig bruk. Bruke Show Skjult du kan lage en liste over skjulte filer og mapper som kan deretter undersøkes for å se om de skulle være der. Vær oppmerksom på, at det vil være mange legitime skjulte mapper, så ikke slett noe med mindre du vet sikkert at det ikke hører hjemme.


Treesize Free er en annen nyttig program som det vil generere en liste over alle mappene på en stasjon, og hvor mye harddiskplass de tar opp. Når en hacker setter opp en Warez fordeling nettstedet på datamaskinen din, filene vanligvis tar opp mye plass. Ved hjelp av dette programmet kan du enkelt finne mapper som bruker mye plass og undersøke dem for mistenkelige filer.


Den siste programmet er et avansert verktøy kalt Wireshark, som lar deg se på dataene som strømmer over nettverket. Dette verktøyet er ikke lett å tolke, men når du mestrer det vil du raskt være i stand til å se den nøyaktige trafikken som flyter over nettverket, og hvor det kommer til å.





Hva om et verktøy heter et annet program er i gang, men jeg kan ikke finne det !!!?!?


Hvis du bruker et diagnostisk verktøy, og det sier at en bestemt programmet kjører, men du er ikke i stand til å finne det, må du først sørge for at du har muligheten satt for å se alle skjulte filer og systemfiler. Du kan aktivere denne innstillingen ved å følge trinnene i denne opplæringen: Hvordan se skjulte filer i Windows. Hvis du gjør en katalogoppføring fra Windows ledetekst, må du bruke /et flagg med dir-kommandoen for å se skjulte filer.


Når du har gjort disse endringene, hvis du fremdeles ikke kan se filene så er det mulig at et rootkit er installert på datamaskinen. En rootkit er et program som brukes til å skjule filer, Windows Services og Windows Registry informasjon slik at de ikke kan bli sett og fjernes med vanlig verktøy. Hvis en rootkit er involvert da fjerningen vil bli mye mer komplisert. Ikke bekymre deg om, er det fortsatt måter å oppdage disse rootkits og rengjør dem opp.


Det første steget er å skanne datamaskinen med et rootkit-detektor. Våre nedlasting delen har mange Rootkit lesere tilgjengelig med noen som blir listet nedenfor:

Malwarebytes Anti-Rootkit

Panda Anti-Rootkit

Trend Micro RootkitBuster
< li> RootRepeal

TDSSKiller

GMER

aswMBR


Velg ett av programmene ovenfor, eller så mange du vil, og skanne datamaskin med dem. Hvis de finner noen kjente rootkits eller uvanlige system kroker de vil forsøke å reparere dem for deg.


Hvis det ikke registreres rootkit, og du er sikker på at det er en som er involvert, kan du omgå rootkit og se skjulte filer ved hjelp av en oppstartbar CD. Når du arbeider med rootkits, er den enkleste løsningen for å starte datamaskinen i Windows Recovery Environment. Dette miljøet gir deg tilgang til filsystemet og Windows-registeret ved hjelp av en kommandolinje. Tutorials på hvordan du bruker og få tilgang til Windows Recovery Environment finner du nedenfor:


Hvordan installere og bruke Windows XP Recovery Console Hvordan bruke Ledetekst i Vista Windows Recovery Environment Hvordan bruke Windows 7 System Recovery Environment Ledetekst Hvordan bruke Windows 8 System Recovery Environment Command Prompt


Når du er oppstartet i utvinningen miljøet blir det ingen aktive infeksjoner eller rookits og du vil kunne finne og fjerne dem lett.





Annet Hacks? Og de er påviselig?
Hva jeg har dekket så langt er de mer generiske hacks som brukes. Denne opplæringen, men kan ikke dekke alle mulige hacks og måter å oppdage dem. Nedenfor er en kort oppsummering av noen andre typer hacks som kan oppstå


alternativ dataflyt. Alternativ datastrømmer ble innført i NTFS-volumer for å støtte Macintosh Hierarkiske File System og er allment udokumentert. Med bruk av alternativ dataflyt eller ADS, kan en hacker skjule filer, selv kjør, og gjøre dem nesten usynlige for operativsystemet og derfor selv. Det finnes verktøy der ute som gutter eller ADS Spy som vil gjøre deg i stand til å se annonser filer og fjerne dem


Kernel og Device Driver hacks. En erfaren hacker kan ha kunnskap til å faktisk patch system drivere, enhetsdrivere , samtaler eller system. Dette vil gjøre dem i stand til å gi kommandoer til OS som Ring0 eller på operativsystemets kjerne sikkerhetsnivå. Hvis en hack som dette skjer, vanligvis den beste situasjonen er å ta backup av dine data og installere OS. Dette er fordi hvis hackeren har den type tilgang til boksen, så du virkelig kan aldri være sikker på hva annet har blitt kompromittert. Hvis det er nødvendig å prøve og oppdage og fjerne disse typer hacks, kan du bruke SFC kommandoen fra Windows-gjenopprettingskonsollen til å finne lappet systemfiler.


Som alltid, hvis du trenger hjelp med noen av disse spørsmålene , gjerne spørre oss i Sikkerhetsforum.





Konklusjon


Til slutt, hvis datamaskinen er hacket deg trenger å ta beslutningen om å prøve og rydde opp, eller for å sikkerhetskopiere data og installere. Hvis du har tid og mulighet, så er det definitivt foreslått at du backup av dine data og reinstallere som du vil da vet du definitivt ha en ren datamaskin. På den annen side, hvis du ikke klarer å installere, kan du bruke fremgangsmåten ovenfor for å oppdage eventuelle hacks og rengjør dem opp. Dette må være en vurderingssak fra din side.


Hvis du har spørsmål om disse prosedyrene, ikke nøl med å spørre i våre Sikkerhetsforum. Anmeldelser




Previous:Hvordan du konfigurerer Windows-brannmuren i Windows XP
Next Page:Windows Alternate Data Streams