多軟件會在后臺讀寫磁盤和訪問網(wǎng)絡(luò)。如果后臺進程的磁盤讀寫數(shù)據(jù)量過大,會導(dǎo)致系統(tǒng)運行速度緩慢;頻繁訪問網(wǎng)絡(luò)則會導(dǎo)致網(wǎng)速降低;而一些木馬也會通過訪問網(wǎng)絡(luò)和木馬服務(wù)器來通信。那么,如何快速地找出后臺正在讀寫磁盤和使用網(wǎng)絡(luò)的程序,又如何通過網(wǎng)絡(luò)連接歷史揪出可疑程序呢?下面筆者介紹一些實用的方法。
文|俞木發(fā)
1. 使用任務(wù)管理器找出此類程序
如果懷疑自己的電腦有異常,那么可以利用任務(wù)管理器來查看和判斷。啟動任務(wù)管理器后切換到“進程”選項卡,然后分別點擊“磁盤”和“網(wǎng)絡(luò)”執(zhí)行排序。這樣,當前正在后臺訪問磁盤和網(wǎng)絡(luò)的進程,會按照實際讀寫數(shù)據(jù)量和網(wǎng)絡(luò)流量的大小排序。然后我們再根據(jù)本機的實際情況來判斷,就可以很快地找出異常程序。比如筆者的電腦在前臺并沒有運行大型程序,任務(wù)管理器中卻顯示磁盤占比為100%,其中“Mainfree.exe”進程正在瘋狂地讀寫磁盤。
那么這是一個什么程序呢?切換到“詳細信息”選項卡,在標題欄右擊并點擊“選擇列”,在打開的窗口中勾選“命令行”,這樣就可以在窗口中看到進程的詳細路徑。返回圖1所示的窗口并選中“Mainfree.exe”進程,右擊并選擇“轉(zhuǎn)到詳細信息”,可以自動定位到指定的進程,再右擊該進程并選擇“打開文件所在的位置”。最后通過查看文件屬性、安裝路徑,就可以判斷為一個異常進程。用安全軟件掃描并清除后,電腦運行速度就恢復(fù)了正常。
2. 查看程序使用網(wǎng)絡(luò)的歷史
如前言所述,一些木馬進程會通過網(wǎng)絡(luò)和服務(wù)器通信,但是很多時候只是定時聯(lián)系或者每天只聯(lián)系一次,而且在聯(lián)系完成后很多進程還會自動退出,這樣依靠任務(wù)管理器就無法查看。此時可以再借助“網(wǎng)絡(luò)和Internet”組件查看聯(lián)網(wǎng)的歷史記錄。
在任務(wù)欄的搜索框中輸入“網(wǎng)絡(luò)和Internet”,接著在打開該窗口后選中本機的網(wǎng)卡,如通過有線上網(wǎng)的用戶選擇“以太網(wǎng)”,點擊“數(shù)據(jù)使用量”。
在打開的窗口中就可以看到最近30天所有進程的聯(lián)網(wǎng)記錄,將鼠標懸停在程序上即可看到具體的路徑信息。這里我們可以根據(jù)程序路徑、名稱等加以甄別,比如筆者的電腦中名為“annid.exe”的進程聯(lián)網(wǎng)就比較可疑,不僅程序名怪異,而且是安裝在用戶的臨時目錄中。最終通過查看文件屬性和殺毒掃描,發(fā)現(xiàn)正是一個后門病毒。
3. 通過資源監(jiān)視器篩選活動進程
任務(wù)管理器可以顯示當前所有活動的進程,但是無法篩選進程。同時,對于網(wǎng)絡(luò)連接的進程,也無法看到連接遠程服務(wù)器的IP地址,這樣不方便快速地找到和甄別可疑進程。可以借助“資源監(jiān)視器”組件來彌補任務(wù)管理器的上述不足。
比如通過圖1已經(jīng)知道“mainfree.exe”進程讀寫磁盤占比較高,啟動資源監(jiān)視器后切換到“磁盤”選項卡,勾選“mainfree.exe”進程,在下方展開“磁盤活動”,可以看到當前正在讀寫的文件信息,更便于甄別進程的性質(zhì)。如該進程讀寫的是F盤目錄下的文件,可以通過這個提示,打開具體文件查看屬性,判斷其是否為惡意文件。
而要查看進程的網(wǎng)絡(luò)連接信息,則可以切換到“網(wǎng)絡(luò)”選項卡,展開下方的“網(wǎng)絡(luò)活動”,可以看到進程連接的IP地址、連接端口等信息。通過IP地址可以對連接信息加以判斷,比如發(fā)現(xiàn)“mainfree.exe”進程連接的都是國外的IP,而本機自身需要的軟件并沒有需要連接到國外IP的,因此該進程就極為可疑。
4. 借助第三方軟件實時查看
利用第三方軟件,可以在桌面上實時地查看后臺進程讀寫磁盤和連接網(wǎng)絡(luò)的有關(guān)信息。比如Process Hacke(http://processhacker.sourceforge.net/),啟動后會自動最小化到任務(wù)欄托盤中,點擊程序圖標并選擇“I/O”,再點擊鎖定按鈕,還可以讓其始終在前臺顯示,這樣在桌面上就可以實時地看到當前讀寫磁盤的進程了。
如果要查看后臺進程網(wǎng)絡(luò)連接的信息,在圖7所示的界面中點擊“I/O”旁邊的下拉按鈕,切換到“Network”即可。而要查看更詳細的連接信息(如連接的端口等),則需要切換到程序主窗口,定位到“Network”選項卡中查看。CF
篇小故事:
故事中,一臺臺電腦都宛如一座微縮的城堡,城堡之下暗流涌動!
想象那鍵盤敲擊聲下,隱藏著的是漫無目的的網(wǎng)頁瀏覽、未經(jīng)授權(quán)的軟件安裝,又或是私人事務(wù)的侵占,這一切如同暗夜中的細流,悄無聲息地侵蝕著企業(yè)的效率與安全防線。
作為企業(yè)的守護者,掌握查看電腦使用記錄的方法便顯得尤為重要。以下,便是一系列高效、實用的電腦使用記錄查看方法,收藏此篇,讓管理無死角,效率再升級!
1. 利用系統(tǒng)事件查看器
Windows系統(tǒng)內(nèi)置的“事件查看器”是窺探電腦活動軌跡的窗口。通過它,管理者可以查詢到登錄活動、系統(tǒng)錯誤、應(yīng)用程序日志等多種信息。
步驟:打開“運行”對話框,輸入eventvwr.msc,即可進入事件查看器,按需篩選查看。
2. 安裝監(jiān)控軟件
市面上諸多專業(yè)的電腦監(jiān)控軟件,如域智盾、中科安企等,能夠提供更為全面、細致的監(jiān)控服務(wù)。安裝后,只需簡單配置,即可實現(xiàn)全方位監(jiān)控。
域智盾軟件支持7天免費試用!機不可失,時不再來。如果想要了解更多內(nèi)容或有意試用的,歡迎點擊下方藍色文字“添加我為微信好友”!
添加我為微信好友
功能詳情:
屏幕監(jiān)控:可以通過屏幕快照、屏幕錄像、實時屏幕等功能,實時監(jiān)控員工的電腦屏幕操作,方便及時發(fā)現(xiàn)并應(yīng)對任何潛在的安全威脅。
上網(wǎng)行為管理:監(jiān)控和記錄員工對終端電腦的操作,包括瀏覽的網(wǎng)頁、社交媒體的使用、郵件的收發(fā)等,以規(guī)范用戶上網(wǎng)行為。
網(wǎng)站訪問控制:管理端可以規(guī)定僅可以訪問哪些網(wǎng)站或不能訪問哪些網(wǎng)站,避免因為一些惡意網(wǎng)站的訪問,帶來網(wǎng)絡(luò)安全的危害。
聊天記錄監(jiān)控:通過記錄QQ、釘釘、微信等通訊工具的聊天內(nèi)容,查看哪位員工使用哪一臺電腦,向誰發(fā)生了什么。
遠程控制:軟件支持同時遠程操作多臺電腦,遠程控制攝像頭可以通過網(wǎng)絡(luò)隨時隨地進行監(jiān)視和控制,不受時空的限制。
違規(guī)操作檢測與告警:當電腦存在非法越權(quán)訪問、數(shù)據(jù)篡改等違規(guī)行為時,系統(tǒng)會發(fā)出告警,防止數(shù)據(jù)泄露或損壞。
3. 網(wǎng)絡(luò)流量分析
網(wǎng)絡(luò)流量分析是揭示電腦使用行為的另一把鑰匙。
通過路由器或防火墻的日志,可以追蹤到每臺電腦的網(wǎng)絡(luò)訪問記錄,包括訪問的網(wǎng)站、上傳下載的數(shù)據(jù)量等。
對于異常的網(wǎng)絡(luò)活動,及時介入調(diào)查,能有效防止數(shù)據(jù)泄露等安全事件的發(fā)生。
4.遠程桌面管理
對于分散在不同地點的員工,遠程桌面管理工具如TeamViewer等,不僅便于技術(shù)支持,也是查看員工電腦實時狀態(tài)的有效手段。
管理者可以遠程查看員工電腦屏幕,確保他們正專注于工作,而非其他無關(guān)事務(wù)。
通過上述方法,企業(yè)可以更加精準地掌握員工電腦使用情況,及時發(fā)現(xiàn)并糾正不當行為,為企業(yè)的穩(wěn)健發(fā)展保駕護航!
些小伙伴上班的時候電腦在家或者在宿舍,或者電腦里有比較隱私的東西,擔心別人瀏覽過,其實只需要一步就能看到電腦最近被瀏覽了什么東西。
首先進入桌面,雙擊打開我的電腦,進入資源管理器界面
進入我的電腦后首先點擊“ 查看” ,然后點擊右側(cè)的“ 選項”
進入“ 選項”功能后,勾選在快速訪問中顯示最近使用的文件,點擊應(yīng)用
回到此電腦,點擊快速訪問選項卡,如下圖所示
這樣,電腦最近所有打開的文件都會顯示在下方,是不是很簡單
如果是想看自己的電腦都是打開了那些網(wǎng)站,也是很簡單的,打開自己電腦里安裝的瀏覽器,一般都會有歷史記錄這個選項,里面就是曾經(jīng)所有打開的網(wǎng)站