컴퓨터가 해킹되었는지 신속하게 자체 검사(Windows 버전)

https://www.pppan.net/blog/detail/2017-11-08-windows-self-check
1. 비정상적인 로깅
일반적으로 우리는 의심스러운 사건 기록을 검사해야 한다. 예를 들어 다음과 같다.

“Event log service was stopped.”(          )
“Windows File Protection is not active on this system.”(Windows       )
“The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(        XXX    )
“The MS Telnet Service has started successfully.”(Telnet      )

이외에도 대량의 실패한 로그인 로그나 잠긴 계정이 있는지 확인할 수 있다.
이벤트 로그를 보는 방법은 다음과 같습니다.
1) GUI 보기, 시작 -> 실행eventvwr.msc2) 명령줄을 통해 볼 때 주로 eventquery.vbs 스크립트를 사용합니다.

C:> eventquery.vbs | more

또는 항목 아래의 로그만 봅니다.

C:> eventquery.vbs /L security

eventquery.vbs는 명령행 도움말이나 마이크로소프트의 공식 문서를 볼 수 있습니다.
2. 비정상적인 프로세스와 서비스
즉, 우리가 잘 알고 있는 Windows 에서 이상한 프로세스가 실행 중인지 확인하고 사용자 이름SYSTEM( )이나 Administrator( ), 그리고 관리자 그룹에 있는 사용자를 주목한다.물론, 당신은 정상적인 프로세스와 서비스를 익히는 것이 가장 좋다. 그렇지 않으면 어떤 프로세스가 이상한지 알 수 없다.익숙하지 않아도 상관없습니다. 작업 관리자가 모르는 프로세스에 대해 구글에서 한 번씩 대충 알 수 있습니다.
예외 프로세스 찾기Ctrl+Alt+Del 단축키나 시작-> 실행taskmgr.exe을 사용하여 작업 관리자를 열면 실행 중인 프로세스를 볼 수 있습니다.물론 명령줄을 사용하여 프로세스를 볼 수도 있습니다.

C:> tasklist
C:> wmic process list full

예외 서비스 찾기

1). 그래픽 인터페이스: 시작-> 실행services.msc

2). 명령줄: C:> net start C:> sc query

각 프로세스와 연관된 서비스를 찾으려면 다음과 같이 하십시오.

C:> tasklist /svc

3. 비정상적인 파일과 레지스트리
만약 디스크의 사용 가능한 공간이 갑자기 줄어들면, 우리는 파일을 찾아서 이상이 있는지 확인할 수 있다.시작 메뉴에서 클릭:

  ->  ->     

그리고 파일 크기가 10000KB보다 크거나 창설/수정 시간이 일주일 이내인 경우 관련 파일을 검색할 수 있는 검색 옵션을 설정합니다.
레지스트리의 경우 일반적으로 에서 시작한 등록 포인트를 찾고 애플리케이션을 확인하며, 일반적인 시작 포인트는 다음과 같습니다.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx

주: HKLM과 HKCU는 각각 HKEY_LOCAL_MACHINE와 HKEY_CURRENT_USER의 줄임말이다.
레지스트리를 보는 방법은 다음과 같습니다.
1) 그래픽 인터페이스: 시작 -> 실행regedit.exe2) 명령행reg query , 예:

C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run

물론 이 외에도 많은 등록점이 자체 가동을 할 수 있다. 이것은 아래에서 말한다.
4. 비정상적인 계획 작업
다음은 관리자 그룹이나 SYSTEM 권한이나 공백 사용자 이름으로 정해진 시간에 시작하는 작업에 대한 비정상적인 계획 작업을 살펴보는 것입니다.
정시 작업 보기
1) GUI를 사용하여 메뉴 검색Task Scheduler을 시작하거나 다음을 수행할 수 있습니다.

  ->   taskschd.msc /s

2) 명령행 출력 계획 작업:

C:> schtasks

시작 프로그램 보기
1) 그래픽 인터페이스, 시작 -> msconfig를 실행합니다.exe
2) 명령줄:

C:> wmic startup list full

기타 자동 시작 포털
주의해야 할 것은 msconfig 이 명령들은 일부 켜진 자동 시작 프로그램만 열거하고 Windows 켜진 자동 시작 방식은 매우 많은데 시스템 프로그램/동적 실행 라이브러리 납치 등을 포함한다. 그 중에서 많은 등록표 입구가 관련되어 있고 관심 있는 친구는 인터넷의 다른 글을 볼 수 있다.
5. 비정상적인 네트워크 트래픽
일반적인 네트워크 관련 자체 검사 명령:

방화벽 구성 확인: C:> netsh firewall show config

공유 파일을 보고 주동적으로 공유했는지 확인: C:> netview\127.0.0.1

활성 세션 보기: C:> net session

다른 시스템에 대해 본 컴퓨터가 연 세션 보기: C:> netuse

NetBIOS over TCP/IP 활성화 상태 보기: C:> nbtstat -S

현재 네트워크 연결과 감청 상황 보기: C:> netstat-na

상기 정보를 지속적으로 출력하고 3초마다 갱신: C:> netstat-na3

네트워크 연결에 대응하는 프로세스 id(-o)와 프로세스 이름(-b) 보기 C:> netstat-naob

주:netstat-b는 프로세스 이름 외에 프로세스가 불러온 DLL 정보를 표시하기 때문에 출력을 계속하면 비교적 많은 CPU 자원을 소모할 수 있습니다.다른 옵션에 대해서는 netstat -h에서 도움말을 볼 수 있습니다.
6.이상 계정
관리자 그룹에 새로 추가된 계정을 중점적으로 보십시오.
1) 그래픽 인터페이스 방법:

  ->   lusrmgr.msc ->       ->      

그리고 안에 있는 사용자 목록을 확인하세요.
2) 명령줄 방식:

C:> net user
C:> net localgroup administrators

소결
컴퓨터가 갑자기 카드로 변하는 것을 발견할 때 작업 관리자가 어떤 이상 프로세스가 대량의 CPU 자원을 차지하는지 제때에 확인해야 한다.시스템이 비정상적으로 다운되었을 때, 프로그램이 exp를 실행하여 충돌을 일으켰는지 즉시 로그를 검사해야 한다.요컨대, 컴퓨터 침입으로 인한 비정상적인 징후를 찾아내더라도 개인정보와 재산이 손해를 입지 않도록 항상 상술한 방식에 따라 시스템을 신속하게 검사하는 것이 좋다.