这里我给出一个无脑判断的方法,即使是电脑小白也可以快速判断。
2. 输入"netstat -ano",然后回车,这时控制台会按照如下格式打印自己的电脑跟外部ip的网络交互情况:
协议 本地地址 外部地址 状态 PID
3. 重点关注外部地址一栏,外部地址的格式是"xxx.xxx.xxx.xxx:xxxx",冒号前面的那一串是IP地址,后面是端口号。如果外部地址是"0.0.0.0:0"和"127.0.0.1:xxx"的行,直接无视掉
4. 除去上面排除掉的行后,剩下的每一行每一行的看,把外部地址的IP复制下来,粘贴到威胁情报查询平台进行查询,我这里直接给出几个查询平台:
奇安信威胁情报中心 https://ti.qianxin.com/
360安全大脑 https://ti.360.cn/
微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区 https://x.threatbook.com/
5. 以奇安信威胁情报中心为例,我们把IP地址复制到搜索框,回车。就弹出这个界面:
6. 如果IP被判为可疑,那就要小心了,先把这个IP地址和对应的PID号记录下来(这一行的最后一列那个数字)。我们继续从进程层面来分析。
2. 再打开一个cmd,先输入"powershell",回车执行,再输入如下命令,查看进程具体信息(把命令的YourPID替换为你进程的PID):
Get-WmiObject -Query "Select * From Win32_Process Where ProcessID='YourPID'"
3. 可以看到很多信息,我们只关注ExecutablePath,打开文件管理器,进入ExecutablePath的路径,把这个文件找出来
4. 然后,还是进入我之前给出的威胁情报平台,找到文件分析的查询功能,把文件上传上去
5. 这里多给几个专门针对恶意文件、病毒等进行在线检测的网站:
VirScan - 多引擎文件在线检测平台 https://www.virscan.org/
VirusTotal https://www.virustotal.com/gui/home/upload
腾讯哈勃分析系统 https://habo.qq.com/
6. 如果判定为可疑,我们同样把IP地址和PID记录下来
下面所讲述的排除方法,小白请谨慎操作,因为你也可能判断不了你记录的程序是否是系统关键程序,记录的IP是否是系统关键程序连接的IP。若不会备份恢复,可能会导致系统的功能出现问题。
3. 在搜索框搜索防火墙,点击"防火墙与网络保护"
4. 然后点击:"高级设置"->"入站规则"->"新建规则"->"自定义"->"所有程序"->"协议和端口"->填入记录的可疑IP,然后点击确定
5. 观察系统功能是否有影响,如果有影响,就把规则删除。
taskkill /PID your_PID /F
4. 观察系统功能是否有影响,如果有影响,就把文件重新命名回去,然后重新启动程序。
页面更新:2024-03-05
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号