多軟件會在后臺讀寫磁盤和訪問網絡。如果后臺進程的磁盤讀寫數據量過大�����,會導致系統運行速度緩慢;頻繁訪問網絡則會導致網速降低��;而一些木馬也會通過訪問網絡和木馬服務器來通信�����。那么��,如何快速地找出后臺正在讀寫磁盤和使用網絡的程序,又如何通過網絡連接歷史揪出可疑程序呢�����?下面筆者介紹一些實用的方法����。
文|俞木發
1. 使用任務管理器找出此類程序
如果懷疑自己的電腦有異常,那么可以利用任務管理器來查看和判斷�。啟動任務管理器后切換到“進程”選項卡��,然后分別點擊“磁盤”和“網絡”執行排序。這樣��,當前正在后臺訪問磁盤和網絡的進程�����,會按照實際讀寫數據量和網絡流量的大小排序。然后我們再根據本機的實際情況來判斷,就可以很快地找出異常程序��。比如筆者的電腦在前臺并沒有運行大型程序�����,任務管理器中卻顯示磁盤占比為100%���,其中“Mainfree.exe”進程正在瘋狂地讀寫磁盤�����。
那么這是一個什么程序呢?切換到“詳細信息”選項卡�,在標題欄右擊并點擊“選擇列”����,在打開的窗口中勾選“命令行”��,這樣就可以在窗口中看到進程的詳細路徑�����。返回圖1所示的窗口并選中“Mainfree.exe”進程,右擊并選擇“轉到詳細信息”,可以自動定位到指定的進程�����,再右擊該進程并選擇“打開文件所在的位置”�。最后通過查看文件屬性�����、安裝路徑���,就可以判斷為一個異常進程��。用安全軟件掃描并清除后,電腦運行速度就恢復了正常����。
2. 查看程序使用網絡的歷史
如前言所述��,一些木馬進程會通過網絡和服務器通信,但是很多時候只是定時聯系或者每天只聯系一次,而且在聯系完成后很多進程還會自動退出�����,這樣依靠任務管理器就無法查看�。此時可以再借助“網絡和Internet”組件查看聯網的歷史記錄���。
在任務欄的搜索框中輸入“網絡和Internet”����,接著在打開該窗口后選中本機的網卡����,如通過有線上網的用戶選擇“以太網”,點擊“數據使用量”。
在打開的窗口中就可以看到最近30天所有進程的聯網記錄����,將鼠標懸停在程序上即可看到具體的路徑信息�。這里我們可以根據程序路徑�、名稱等加以甄別���,比如筆者的電腦中名為“annid.exe”的進程聯網就比較可疑�����,不僅程序名怪異���,而且是安裝在用戶的臨時目錄中��。最終通過查看文件屬性和殺毒掃描,發現正是一個后門病毒�。
3. 通過資源監視器篩選活動進程
任務管理器可以顯示當前所有活動的進程���,但是無法篩選進程�。同時���,對于網絡連接的進程�����,也無法看到連接遠程服務器的IP地址����,這樣不方便快速地找到和甄別可疑進程��?����?梢越柚百Y源監視器”組件來彌補任務管理器的上述不足。
比如通過圖1已經知道“mainfree.exe”進程讀寫磁盤占比較高�����,啟動資源監視器后切換到“磁盤”選項卡�����,勾選“mainfree.exe”進程,在下方展開“磁盤活動”����,可以看到當前正在讀寫的文件信息��,更便于甄別進程的性質。如該進程讀寫的是F盤目錄下的文件���,可以通過這個提示,打開具體文件查看屬性���,判斷其是否為惡意文件。
而要查看進程的網絡連接信息��,則可以切換到“網絡”選項卡����,展開下方的“網絡活動”,可以看到進程連接的IP地址、連接端口等信息�。通過IP地址可以對連接信息加以判斷���,比如發現“mainfree.exe”進程連接的都是國外的IP���,而本機自身需要的軟件并沒有需要連接到國外IP的�����,因此該進程就極為可疑�����。
4. 借助第三方軟件實時查看
利用第三方軟件��,可以在桌面上實時地查看后臺進程讀寫磁盤和連接網絡的有關信息����。比如Process Hacke(http://processhacker.sourceforge.net/)�����,啟動后會自動最小化到任務欄托盤中����,點擊程序圖標并選擇“I/O”�����,再點擊鎖定按鈕��,還可以讓其始終在前臺顯示,這樣在桌面上就可以實時地看到當前讀寫磁盤的進程了。
如果要查看后臺進程網絡連接的信息���,在圖7所示的界面中點擊“I/O”旁邊的下拉按鈕,切換到“Network”即可。而要查看更詳細的連接信息(如連接的端口等),則需要切換到程序主窗口���,定位到“Network”選項卡中查看。CF
篇小故事:
故事中,一臺臺電腦都宛如一座微縮的城堡���,城堡之下暗流涌動!
想象那鍵盤敲擊聲下,隱藏著的是漫無目的的網頁瀏覽����、未經授權的軟件安裝����,又或是私人事務的侵占�,這一切如同暗夜中的細流��,悄無聲息地侵蝕著企業的效率與安全防線���。
作為企業的守護者��,掌握查看電腦使用記錄的方法便顯得尤為重要。以下���,便是一系列高效、實用的電腦使用記錄查看方法�,收藏此篇����,讓管理無死角��,效率再升級���!
1. 利用系統事件查看器
Windows系統內置的“事件查看器”是窺探電腦活動軌跡的窗口���。通過它�����,管理者可以查詢到登錄活動、系統錯誤�����、應用程序日志等多種信息。
步驟:打開“運行”對話框,輸入eventvwr.msc��,即可進入事件查看器�,按需篩選查看���。
2. 安裝監控軟件
市面上諸多專業的電腦監控軟件��,如域智盾�、中科安企等��,能夠提供更為全面��、細致的監控服務。安裝后�����,只需簡單配置���,即可實現全方位監控��。
域智盾軟件支持7天免費試用���!機不可失����,時不再來�。如果想要了解更多內容或有意試用的,歡迎點擊下方藍色文字“添加我為微信好友”����!
添加我為微信好友
功能詳情:
屏幕監控:可以通過屏幕快照���、屏幕錄像����、實時屏幕等功能�,實時監控員工的電腦屏幕操作�����,方便及時發現并應對任何潛在的安全威脅����。
上網行為管理:監控和記錄員工對終端電腦的操作�,包括瀏覽的網頁、社交媒體的使用、郵件的收發等�,以規范用戶上網行為�。
網站訪問控制:管理端可以規定僅可以訪問哪些網站或不能訪問哪些網站��,避免因為一些惡意網站的訪問�,帶來網絡安全的危害�����。
聊天記錄監控:通過記錄QQ���、釘釘�����、微信等通訊工具的聊天內容,查看哪位員工使用哪一臺電腦��,向誰發生了什么�����。
遠程控制:軟件支持同時遠程操作多臺電腦���,遠程控制攝像頭可以通過網絡隨時隨地進行監視和控制,不受時空的限制��。
違規操作檢測與告警:當電腦存在非法越權訪問�����、數據篡改等違規行為時���,系統會發出告警�,防止數據泄露或損壞。
3. 網絡流量分析
網絡流量分析是揭示電腦使用行為的另一把鑰匙。
通過路由器或防火墻的日志�����,可以追蹤到每臺電腦的網絡訪問記錄�����,包括訪問的網站�����、上傳下載的數據量等。
對于異常的網絡活動�,及時介入調查�,能有效防止數據泄露等安全事件的發生�����。
4.遠程桌面管理
對于分散在不同地點的員工�,遠程桌面管理工具如TeamViewer等���,不僅便于技術支持���,也是查看員工電腦實時狀態的有效手段�。
管理者可以遠程查看員工電腦屏幕�,確保他們正專注于工作,而非其他無關事務�。
通過上述方法�,企業可以更加精準地掌握員工電腦使用情況��,及時發現并糾正不當行為���,為企業的穩健發展保駕護航�!
些小伙伴上班的時候電腦在家或者在宿舍�,或者電腦里有比較隱私的東西,擔心別人瀏覽過�����,其實只需要一步就能看到電腦最近被瀏覽了什么東西����。
首先進入桌面,雙擊打開我的電腦���,進入資源管理器界面
進入我的電腦后首先點擊“ 查看” ,然后點擊右側的“ 選項”
進入“ 選項”功能后����,勾選在快速訪問中顯示最近使用的文件���,點擊應用
回到此電腦����,點擊快速訪問選項卡��,如下圖所示
這樣����,電腦最近所有打開的文件都會顯示在下方��,是不是很簡單
如果是想看自己的電腦都是打開了那些網站,也是很簡單的�����,打開自己電腦里安裝的瀏覽器��,一般都會有歷史記錄這個選項�,里面就是曾經所有打開的網站
