当前位置：首页 > 实用文档 > 其他范文> 教你找到电脑中隐藏的入侵的黑手

教你找到电脑中隐藏的入侵的黑手

时间：2022-09-09 07:52:18 其他范文收藏本文下载本文

教你找到电脑中隐藏的入侵的黑手（合集5篇）由网友“西伯利亚理发师”投稿提供，小编在这里给大家带来教你找到电脑中隐藏的入侵的黑手，希望大家喜欢!

教你找到电脑中隐藏的入侵的黑手

篇1：教你找到电脑中隐藏的入侵的黑手

也许会遇到这样的情况:

计算机突然死机，有时又自动重新启动,无端端的少了些文件,发现桌面刷新慢,没有运行什么大的程序，硬盘却在拼命的读写,系统也莫明其妙地对软驱进行搜索,杀毒软件和防火墙报警,发现系统的速度越来越慢,这时候你就要小心了.

第一时间反应(养成一个好的习惯往碗可以减少所受的损失):用CTRL＋ALT＋DEL调出任务表，查看有什么程序在运行,如发现陌生的程序就要多加注意,一般来说,凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响(注意:这里说的是基本运行,先和大家说明白,关于这条我是在网络上关于这个研究的结果),所以大家可以关闭一些可疑的程序来看看,发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了,发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多,这也是一种可疑的现象也要特别注意,你这时是在连入Internet网或是局域网后才发现这些现象的话，不要怀疑,动手查看一下吧!,(注:也有可能是其它一些病毒在作怪)

1 先升级杀毒软件到最新,对系统进行全面的检查扫描.

2 点击工具→文件夹选项→查看把隐藏受保护的操作系统文件(推荐)和隐藏已知文件类型的扩展名这两项前面的勾去掉,以方便查看.

3 查看Windows目录下的WIN.INI文件中开头的几行：

load=

ren=

这里放的是启动Windows自动执行的程序,可以看看对比对比一下.

4 查看Windows目录下的SYSTEM.INI文件中的这几行：

device=

这里是放置系统本身和外加的驱动程序，外加的驱动程序一般都用全路径，如：

device=c:windowssystem32tianyangdemeng.exe(这里只是打个比方)

5 查看开始菜单中的【程序】→【启动】。

这里放的也是启动Windows自动执行的程序，如果有的话,它就放在C:WindowsStart MenuPrograms中,将它保存在较安全的地方后再删除，需要恢复时在拿出来恢复即可。

6 在开始】→【运行】中输入“MSCONFIG”查看是否有可疑的启动项,你也许会问,前面不是说了吗?其实,这两种方法是不同的,你分别用这两个方法查看一下就会发现不同了,至于要说更深入点,说实在话,我也不知道.呵呵不要笑话,希望高手出来解答一下!

7 查看注册表,在【开始】→【运行】中输入“REGEDIT”，

先对注册表进行备份,才对注册查看。(一定要养成一个习惯,在修改木文件时,对自己没有把握的需要先进行备份)

查看 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和Run项，看看有没有可疑的程序.

查看 HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND,看看是否有.EXE文件关联的木马,正确值为“%1”%*

查看 HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND,看看是否有.INF文件关联的木马,正确值为"SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1

查看 HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND,看看是否有.TXT文件关联的木马,正确值为%SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1

启动CMD,输入NETSTAT -AN 查看有没有异常的端口.

8 Windows中的执行文件.exe、.com、.dll ……它们都有可能是放置的病毒或是病毒的携带者。在系统正常的时候，把以上文件做一个备份，到需要的时候就可以写回去！

9 在Windows目录下，看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件，不过,它只能在Windows工作而不能在DOS下使用。仔细看看有没有什么你不知道的驱动程序,把它记录下来,到百度查一下,一般这个自动批处理文件是不会被用到的.(只能凭经验判断了) 10 查看c:autoexec.bat与c:config.sys，这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序.

11 右击【我的电脑】→事件查看器查看安全日志,看看里面有没有可疑的内容.

12 在CMD下输入NET USER 看看有没有可疑的用户,出现自己不曾设立的用户,马上用NET USER ABCD /DEL 把它删除(这里的ABCD是用户名,只要把它改成想要删除的用户就行了,也可去下个检查用户克隆器查看和其它一切能帮助到你的工具,有些建立的用户用一般方法是看不见的,大家就要注意了)

篇2：藏私隐藏电脑中的秘密下

用回收站隐藏文件用回收站来隐藏文件

大家都知道回收站是用来存放被删除的的文件的，其实它也能用来隐藏文件，

打开“控制面板”下的“文件夹选项”，在“查看”里面点选“显示所有文件和文件夹”，然后单击“确定”。如果你用的是win的系统，一定要把“隐藏受保护的操作系统文件”前面的钩去掉

完成上面的工作后，我们进入系统的根目录，就可以找个文件夹名为recycled的文件夹。

然后用右键点击该文件夹，在弹出的快捷菜单中选中“启用缩略图查看方式”，再点击“应用”，系统会将该文件夹的“只读”属性选中，我们再右键点击该文件夹，点击弹出菜单里的“属性”，再把“只读”属性去掉，然后点击“确定”，

此时该文件夹的图标变成了一个跟普通文件夹一样的形状，打开该文件夹，好了，把你需要隐藏的文件资料放进去吧，然后再次用右键点击该文件夹，选中快捷菜单中的“属性”，把属性窗口里的“只读”属性再加上去，单击“确定”，此时文件夹变成了原来的模样了。

回到桌面，打开“回收站”看看，刚才我们要隐藏的文件一个都看不见了，即使你对回收站进行“清空回收站”操作也没有关系，不信，你再把文件夹的“只读”属性去掉看看，原来的文件是否都在？

篇3：藏私隐藏电脑中的秘密上

在公司和在家里的电脑中，总是有些不想让人看见的小秘密，为了不让别个偷看或无意看见，我们得想办法将其隐藏起来，

我们可以通过几种方法将你的文件隐藏起来，如果你需要的话，连驱动器都能被隐藏，下面，我们就一步一步的教你隐藏文件。

利用隐藏属性来隐藏文件

如果你的周围都是些电脑水平很菜的朋友，用这个方法就足够了。它是利用修改文件的属性来达到隐藏的目的的。电脑里的文件都有三个属性：只读、隐藏、存档，

首先，我们先找到要隐藏的文件，把鼠标放到文件上单击右键，弹出一个快捷菜单，点击最下面的“属性”，弹出一个“属性”窗口，把常规选项卡里的“隐藏属性”前的复选框选中，然后单击确定。

如果此时你的文件变成半透明状态的话，或者文件不见了，说明我们设置成功了。接下来，我们打开“控制面板”里的文件夹选项，点击“查看”选项卡，找到“隐藏文件和文件夹”，下面有两个选项：

不显示隐藏的文件和文件夹：选中这项，将看不见所有属性为“隐藏”的文件。

显示所以文件和文件夹：选中这项，所有属性为“隐藏”的文件就以半透明的方面显示。

篇4：如何删除品牌电脑中的隐藏分区

首先进入磁盘管理，但是并没有发现任何隐藏分区，硬盘型号是WD800，也就是说标称容量80G，实际容量应该是74G，但在磁盘管理中只能看到66G，下了个PQMagic也只能看到66G，重启后进入BIOS中只能看到标称容量为71G。显然厂家做了手脚，有9G的空间凭空消失了。

问了问Google才知道，这种技术叫做HPA（参考），具体原理就是在硬盘某个地方设置读取硬盘的最大扇区号，这样Windows甚至BIOS都无法读取更高扇区的内容了，从而达到完全隐藏扇区的目的。有个工具名叫UlockHPA，用它就可以将隐藏分区转换成普通分区。

下载了UlockHPA后发现，该软件只能在纯DOS下运行。该机器没有软驱，也不支持USB启动，手边还没有Win98启动光盘，怎么办呢？后来发现一个软件vFloppy，用它可以创建虚拟的软驱镜像，然后让系统从该镜像启动，即可进入纯DOS了，

OK，这样操作方法就明了了。用到的软件有（下载地址请自己Google）：

vFloppy 1.5

Windows98启动软盘镜像

UlockHPA

操作方法如下：

先把UlockHPA程序放到C盘根目录下（C盘应该是FAT32格式）；

运行vFloppy 1.5，选择Windows98启动软盘镜像，点击“应用”制作好启动镜像；

重启，出现XP的启动菜单，选择“由虚拟软盘启动”，进入纯DOS；

进入C盘，执行 ulockhpa -D 删除隐藏分区；

重启，按DEL进入BIOS，查看硬盘标称容量已经变成80G；

进入Windows，右键单击“我的电脑”选择“管理”，打开“磁盘管理”，可以看到硬盘最后多了个8G多的未格式化分区；

右键单击此分区，“更改驱动器名和路径”，删掉盘符。

接下来就可以用这个分区做你想做的事情了，我把它作为还原精灵的隐藏分区来使用了，还能剩下不少。

篇5：如何找到电脑中的自启程序

如果系统启动时自动加载的程序过多，会造成启动速度缓慢，而很多病毒或者木马也是在系统启动时自动加载的，所以了解怎样在Windows中查找自启动程序是非常重要的。一、在“启动”文件夹中寻找

“启动”文件夹一般位于“系统盘符Documents and Settings用户名开始菜单程序启动”目录(Win 2000/XP)或“系统盘符WINDOWSStart MenuPrograms启动”目录。通过快捷方式的属性可以查出程序所在的位置。二、从自动批处理文件中寻找

在Win98中，Autoexec.bat和Winstart.bat文件中的程序在开机时自动执行；而在WinMe/2000/XP/2003中，这两个批处理文件默认不被执行。三、从系统配置文件中寻找

在有些系统配置文件中也可以找到自启动程序的踪迹，如Config.sys、Win.ini、System.ini、Wininit.ini和Msdos.sys等。四、通过“系统配置实用程序”寻找

在“开始→运行”中键入“msconfig.exe”启动“系统配置实用程序”，进入“启动”选项卡，即可查看随系统启动的程序名称和位置。

注意：Win 2000本身没有Msconfig程序，可以从Win XP/2003中提取。五、从计划任务中寻找

在“控制面板”中双击“任务计划”就可以查看是否有计划任务随系统一起启动。六、使用“系统信息”寻找

进入“系统信息”主界面，依次展开分支“软件环境→启动程序”，就可以在右窗格中查看自启动程序名称和位置。七、使用“组策略”寻找

在Win2000/XP/2003中，在“开始→运行”中键入“gpedit.msc”，打开“组策略”，依次展开“用户配置→管理模板→系统→登录/注销”，双击“在用户登录时运行这些程序”，单击“显示”按钮，即可查看自启动程序。八、通过注册表寻找

在注册表中，可以从下列键值中查找自启动程序的名称和位置。

1.Userinit键

位于“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit”，

这个键允许指定用逗号分隔的多个程序。

2.ExplorerRun键

位于“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun”和“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun”。

3.RunServicesOnce键

RunServicesOnce键用来启动服务程序，在用户登录之前启动，具体位置是“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce”和“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce”。

4.RunServices键

RunServices键指定的程序在RunServicesOnce指定的程序之后运行，不过仍在用户登录之前。具体位置是：“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices”和“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices”。

5.Run键

Run是自动运行程序最常用的键，位置在“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”和“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”。

6.Load键

位于“HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload”。

另外还有RunOnce、RunOnceSetup等键。九、使用工具软件

除了使用系统提供的工具以外，我们还可以求助于第三方软件，比如Windows优化大师、RegRun Gold等等。