(1)利用wireshark偵測到疑似被入侵的封包,其中192.168.0.101是區網中自己的電腦,62.128.100.221疑似遠方遙控的電腦。
(2)利用whois查詢發現遠端主機位置在烏克蘭。當然另一種可能是對方IP經過變造,只是目前不討論這種狀況。
(3)利用網站Geobytes裏的Free online IP Address Location Tool發現到該IP實際位置可能位於下方幾個城市中(雖然上面寫Tallinn是100%,但實測上沒那麼準)。
(4)利用netstat -ab(需管理員權限)這個dos指令,可以初步查到執行程式和遠端IP的相關性。
(5)接著定期以sfc /scannow掃描系統檔有無損毁,避免被惡意軟體置換後淪為僵屍電腦。
(6)另外發現一個blog有寫簡單的木馬偵測步驟,係利用netstat -an、net start/stop及net user等三個指令操作來完成。
以上就是簡單的入侵偵測步驟。
沒有留言:
張貼留言