如何判断 *** 被黑客入侵了_如何判断 *** 被黑客入侵

怎样确认黑客入侵手机

有如下 *** 自查：

1、您的设备比平时更热

如果您的手机被黑客入侵，则操作系统背后会在后台运行许多未经授权的程序。这些可能是诸如广告软件，间谍软件，特洛伊木马之类的东西，所有这些都以不同方式为黑客赚钱。

这些将给设备的处理器和内存带来额外压力。反过来，这将导致处理器发热超过正常水平。如果您的设备比平时更热，请尝试找出原因。如果您无法深入浅出，可能会发生一些麻烦。

2、您的电池不能持续使用足够长的时间

多余的热量也会增加功率。即使您没有感到高温，您仍可能会注意到电池的电量消耗比以前快得多。同样，这可能是由于始终在后台运行未知程序。

3、您似乎正在使用比平时更多的数据

接下来是其他两个。大多数在后台运行的恶意程序将连接到Internet，以执行其被编程要执行的操作。例如将您的数据传输到第三方服务器或向您显示通常不会出现的广告。如果您未连接到Wi-Fi，则将使用移动数据。检查您的数据使用情况。

4、您的呼叫消息记录包括您未拨打的 *** 和未发送的消息

如果感染您手机的恶意软件具有拨打 *** 或发送消息的权限，那么这可能会使您付出巨大代价。一些黑客将对恶意软件进行编程，以拨打他们自己的特级费率 *** 线，而这可能会导致每分钟通话费用增加费用。

*** S消息也是如此。如果发现不知道的外拨 *** 号码或不记得的 *** ，请立即与 *** 提供商联系。

5、与以往相比，您看到的弹出广告数量更多

正如我们刚刚提到的，黑客赚钱的一种 *** 是通过增加基于广告的收入。他们通过强迫受害者查看比平常更多的广告来做到这一点。如果您注意到比平时更多的广告，则您的手机可能已感染了广告软件，并且很可能已被黑客入侵。

6、您的手机上有尚未安装的新应用

始终注意手机上的应用程序。由于多种原因之一，黑客可能会尝试安装错误的应用程序。如果那里有东西，而您不记得它是如何到达那里的，则可能是恶意第三方远程安装了它。

7、您的手机无法正常工作

正如我们已经提到的，黑客将尝试将其秘密程序安装到您的设备上。这些将尝试做很多事情，但是将在您不知情的情况下在后台运行。可以推断，如果您的手机在后台运行各种额外的小程序和协议，它将无法高效地执行其正常功能。

手机被黑了怎么办？

如果您的手机遭到了黑客入侵，则您必须迅速采取行动，确定恶意软件是否在手机话费中进行了未经授权的付款或进行了未经授权的通话收费，然后尝试收回资金。所以，平时要多学习 *** 安全相关知识，提高自己安全水平。

怎样知道电脑是否被入侵

收到的数据量比发送的数据量大的多属于正常现象，如果反之则极有可能是被远程入侵了。

此外判断是否被入侵的 *** ：

一般判断：

1、查看端口，特别是从其他主机上扫描本机所有开放端口（以防本机上被隐藏的端口）

2、查看进程，特别是用带有路径和启动参数的进程查看软件检查

3、检查所有启动项（包括服务等很多启动位置）

4、查看可引起程序调用的关联项、插件项

高级防范：（防止内核级隐藏端口、进程、注册表等）

1、用其他可读取本系统文件的os启动，检查本机文件、注册表

2、用 *** 总流量对比各套接字流量和、查看路由器 *** 通讯记录等 *** 分析异常网路通讯

要抓入侵人，查看并跟踪日志。（不光是本机的日志，包括路由器的，电信的等）

如何来知道电脑有没有被装了木马？

2005-07-20

一、手工 *** ：

1、检查 *** 连接情况

由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接 *** 的情况下，通过检查 *** 连情情况来发现木马的存在。具体的步骤是点击“开始”-“运行”-“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控电脑的 *** 连接情况。

2、查看目前运行的服务

服务是很多木马用来保持自己在系统中永远能处于运行状态的 *** 之一。我们可以通过点击“开始”-“运行”-“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。

3、检查系统启动项

由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。检查注册表启动项的 *** 如下：点击“开始”-“运行”-“regedit”，然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看，在该文件的[boot]字段中，是不是有shell=Explorer.exe file.exe这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！

4、检查系统帐户

恶意的攻击者喜在电脑中留有一个账户的 *** 来控制你的计算机。他们采用的 *** 就是激活一个系统中的默认账户，但这个账户却很少用的，然后把这个账户的权限提升为管理员权限，这个帐户将是系统中更大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况，可以用以下 *** 对账户进行检测。

点击“开始”-“运行”-“cmd”，然后在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不应该属于administrators组，如果你发现一个系统内置的用户是属于administrators组的，那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧！

入侵检测是检测什么

入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析 *** 行为、安全日志、审计数据、其它 *** 上可以获得的信息以及计算机系统中若干关键点的信息，检查 *** 或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在 *** 系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响 *** 性能的情况下能对 *** 进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充，帮助系统对付 *** 攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机 *** 系统中的若干关键点收集信息，并分析这些信息，看看 *** 中是否有违反安全策略的行为和遭到袭击的迹象。

入侵检测技术

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机 *** 中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统

入侵检测技术的分类：

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1 ．特征检测：

特征检测 (Signature-based detection) 又称 Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵 *** 检查出来，但对新的入侵 *** 无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2 ．异常检测：

异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

入侵检测系统的工作步骤

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解 *** 系统（包括程序、文件和硬件设备等）的任何变更，还能给 *** 安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得 *** 安全。而且，入侵检测的规模还应根据 *** 威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断 *** 连接、记录事件和报警等。

信息收集

入侵检测的之一步是信息收集，内容包括系统、 *** 、数据及用户活动的状态和行为。而且，需要在计算机 *** 系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的更好标识。

当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测 *** 系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。

1.系统和 *** 日志文件

黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和 *** 日志文件信息是检测入侵的必要条件。日志中包含发生在系统和 *** 上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

2.目录和文件中的不期望的改变

*** 环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。

3.程序执行中的不期望行为

*** 系统上的程序执行一般包括操作系统、 *** 服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与 *** 间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。

4. 物理形式的入侵信息

这包括两个方面的内容，一是未授权的对 *** 硬件连接；二是对物理资源的未授权访问。黑客会想方设法去突破 *** 的周边防卫，如果他们能够在物理 *** 问内部网，就能安装他们自己的设备和软件。依此，黑客就可以知道网上的由用户加上去的不安全（未授权）设备，然后利用这些设备访问 *** 。例如，用户在家里可能安装Modem以访问远程办公室，与此同时黑客正在利用自动工具来识别在公共 *** 线上的Modem，如果一拨号访问流量经过了这些自动工具，那么这一拨号访问就成为了威胁 *** 安全的后门。黑客就会利用这个后门来访问内部网，从而越过了内部 *** 原有的防护措施，然后捕获 *** 流量，进而攻击其它系统，并偷取敏感的私有信息等等。

信号分析

对上述四类收集到的有关系统、 *** 、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种 *** 用于实时的入侵检测，而完整性分析则用于事后分析。

1. 模式匹配

模式匹配就是将收集到的信息与已知的 *** 入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该 *** 的一大优点是只需收集相关的数据 *** ，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的 *** 一样，检测准确率和效率都相当高。但是，该 *** 存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

2.统计分析

统计分析 *** 首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与 *** 、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析 *** 如基于专家系统的、基于模型推理的和基于神经 *** 的分析 *** ，目前正处于研究热点和迅速发展之中。

3.完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变化。其优点是不管模式匹配 *** 和统计分析 *** 能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测 *** 还应该是 *** 安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对 *** 系统进行全面地扫描检查。

入侵检测系统典型代表

入侵检测系统的典型代表是ISS公司（国际互联网安全系统公司）的RealSecure。它是计算机 *** 上自动实时的入侵检测和响应系统。它无妨碍地监控 *** 传输并自动检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏洞和内部误用，从而更大程度地为企业 *** 提供安全。

入侵检测功能

·监督并分析用户和系统的活动

·检查系统配置和漏洞

·检查关键系统和数据文件的完整性

·识别代表已知攻击的活动模式

·对反常行为模式的统计分析

·对操作系统的校验管理，判断是否有破坏安全的用户活动。

·入侵检测系统和漏洞评估工具的优点在于：

·提高了信息安全体系其它部分的完整性

·提高了系统的监察能力

·跟踪用户从进入到退出的所有活动或影响

·识别并报告数据文件的改动

·发现系统配置的错误，必要时予以更正

·识别特定类型的攻击，并向相应人员报警，以作出防御反应

·可使系统管理人员最新的版本升级添加到程序中

·允许非专家人员从事系统安全工作

·为信息安全策略的创建提供指导

·必须修正对入侵检测系统和漏洞评估工具不切实际的期望：这些产品并不是无所不能的，它们无法弥补力量薄弱的识别和确认机制

·在无人干预的情况下，无法执行对攻击的检查

·无法感知公司安全策略的内容

·不能弥补 *** 协议的漏洞

·不能弥补由于系统提供信息的质量或完整性的问题

·它们不能分析 *** 繁忙时所有事务

·它们不能总是对数据包级的攻击进行处理

·它们不能应付现代 *** 的硬件及特性

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在 *** 系统受到危害之前拦截和响应入侵。从 *** 安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究

如何判定黑客正在攻击某个终端或 *** ？如何反制黑客侦察？

可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的 *** 服务端口来测试，效果是一样的。不过有一点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除 *** 故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。

相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了

如何判断你的无线路由器是否被入侵 详细�0�3

这种装置可以在局部区域 *** （LAN），有线，无线，或两者的组合的功能。 除了 这一点，无线路由器具有LAN 和WAN（广域网）端口，它充当 *** 的切换器。 更何况，这些路由器都带有无线天线，允许与其他未连接的设备。 有些人甚至包括作为附加的电缆调制解调器或DSL。因为他们的许多优点，无线路由器 已经成为家庭 *** 的标准，在一个非常快速的方式。 因此，这些设备被黑客攻击的人不希望支付上网费用。如果你是以下的人购买了此设备， 如果您担心您的无线路由器被黑客攻破，的步骤，可以帮助你，如果是这样的话。 � 下载说明。访问您的无线路由器的制造商的网站。一旦你进入网站，搜索关于 此事的指示或简单地寻找相应的磁盘成立。 � 登录。之一步，您需要做的，以确定是否已经被黑客入侵您的无线路由器，您 必须登录到路由器。但是，如果您无法登录，这意味着你的路由器已经被黑客 攻击，因为大多数的时间里，黑客会改变管理员密码。 � 检查您的安全状态。当您登录到路由器，看看安全“选项卡，并检查您的状态。 � 查看DHCP 客户端的列表。检查您的状态下的安全性“选项卡后，检查DHCP 客户端列表。如果情况下，你的电脑都认不出你的名字，这是作为一个明确的 迹象表明，已经被黑客入侵您的无线路由器。 � 但是，但是，问题是，当黑客们有能力使用您的Internet 访问权限，而不需要 登录。时，这是他们这些黑客的IP 地址硬编码标准的DHCP 客户端列表的范围之外。 � 复位。如果您的管理员密码的情况下，已改变，你无法登录到无线路由器，或 者，如果你不记得自己的密码，你便应该做的是，以确定是否有一种 *** 将其 复位。某些无线路由器已经包含了一个按钮复位的目的，你需要按几秒钟。这 将关闭路由器的电源，并打开备份。 � 新增的保安措施。当你能够重新设置您的无线路由器，请确保您添加额外的安 全性措施。您也可以选择添加一个地址过滤和工厂更改密码。 上网已成为人们的生活现在一个非常重要的组成部分。它提供了更快地访问信息和与来 击别人的家庭 *** 。正因为如此，重要的是，你需要额外小心，如果您正在使用这种设备的情况下。