如何判斷電腦是否被入侵挖礦

① 如何判斷自己的電腦是否被黑客入侵了解決的辦法急急急！！！

斷開網路——重新啟動計算機——在完全開機前按下f8進安全模式——用升級到最新的殺軟進行全盤掃描，看看有沒有間諜軟體——完成沒問題後開機——啟動防火牆——接入網路——看看防火牆有沒有報告有可疑埠活動，操作完後沒有說明基本安全。
殺軟盡量選有名的，防火牆推薦comodo，還有微軟的補丁打全。這些網上可疑搜的到。再推薦一個小工具——危險埠關閉軟體，防止黑客從這些埠入侵。

② GPUZ能看出來電腦是否被挖礦嗎

GPUZ只能查看顯卡參數，確定真假，至於挖礦挖出來暗傷，是沒辦法的。礦卡翻車也不是什麼奇怪的事情

③ 怎樣判斷電腦是否被入侵

病毒與軟、硬體故障的區別和聯系

電腦出故障不只是因為感染病毒才會有的，個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的，網路上的多是由於許可權設置所致。我們只有充分地了解兩者的區別與聯系，才能作出正確的判斷，在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見電腦故障症狀分析。

症狀 病毒的入侵的可能性 軟、硬體故障的可能性

經常死機：病毒打開了許多文件或佔用了大量內存；不穩定（如內存質量差，硬體超頻性能差等）；運行了大容量的軟體佔用了大量的內存和磁碟空間；使用了一些測試軟體（有許多BUG）；硬碟空間不夠等等；運行網路上的軟體時經常死機也許是由於網路速度太慢，所運行的程序太大，或者自己的工作站硬體配置太低。

系統無法啟動：病毒修改了硬碟的引導信息，或刪除了某些啟動文件。如引導型病毒引導文件損壞；硬碟損壞或參數設置不正確；系統文件人為地誤刪除等。

文件打不開：病毒修改了文件格式；病毒修改了文件鏈接位置。文件損壞；硬碟損壞；文件快捷方式對應的鏈接位置發生了變化；原來編輯文件的軟體刪除了；如果是在區域網中多表現為伺服器中文件存放位置發生了變化，而工作站沒有及時涮新服器的內容（長時間打開了資源管理器）。

經常報告內存不夠：病毒非法佔用了大量內存；打開了大量的軟體；運行了需內存資源的軟體；系統配置不正確；內存本就不夠（目前基本內存要求為128M）等。

提示硬碟空間不夠：病毒復制了大量的病毒文件（這個遇到過好幾例，有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了，一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小；安裝了大量的大容量軟體；所有軟體都集中安裝在一個分區之中；硬碟本身就小；如果是在區域網中系統管理員為每個用戶設置了工作站用戶的"私人盤"使用空間限制，因查看的是整個網路盤的大小，其實"私人盤"上容量已用完了。

軟盤等設備未訪問時出讀寫信號：病毒感染；軟盤取走了還在打開曾經在軟盤中打開過的文件。

出現大量來歷不明的文件：病毒復制文件；可能是一些軟體安裝中產生的臨時文件；也或許是一些軟體的配置信息及運行記錄。

啟動黑屏：病毒感染（記得最深的是98年的4.26，我為CIH付出了好幾千元的代價，那天我第一次開機到了Windows畫面就死機了，第二次再開機就什麼也沒有了）；顯示器故障；顯示卡故障；主板故障；超頻過度；CPU損壞等等

數據丟失：病毒刪除了文件；硬碟扇區損壞；因恢復文件而覆蓋原文件；如果是在網路上的文件，也可能是由於其它用戶誤刪除了。

鍵盤或滑鼠無端地鎖死：病毒作怪，特別要留意"木馬"；鍵盤或滑鼠損壞；主板上鍵盤或滑鼠介面損壞；運行了某個鍵盤或滑鼠鎖定程序，所運行的程序太大，長時間系統很忙，表現出按鍵盤或滑鼠不起作用。

系統運行速度慢：病毒佔用了內存和CPU資源，在後台運行了大量非法操作；硬體配置低；打開的程序太多或太大；系統配置不正確；如果是運行網路上的程序時多數是由於你的機器配置太低造成，也有可能是此時網路上正忙，有許多用戶同時打開一個程序；還有一種可能就是你的硬碟空間不夠用來運行程序時作臨時交換數據用。

系統自動執行操作：病毒在後台執行非法操作；用戶在注冊表或啟動組中設置了有關程序的自動運行；某些軟體安裝或升級後需自動重啟系統。

通過以上的分析對比，我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的，當我們發現異常後不要急於下斷言，在殺毒還不能解決的情況下，應仔細分析故障的特徵，排除軟、硬體及人為的可能性。

病毒的分類及各自的特徵

要真正地識別病毒，及時的查殺病毒，我們還有必要對病毒有一番較詳細的了解，而且越詳細越好！

病毒因為由眾多分散的個人或組織單獨編寫，也沒有一個標准去衡量、去劃分，所以病毒的分類可按多個角度大體去分。

如按傳染對象來分，病毒可以劃分為以下幾類：

a、引導型病毒

這類病毒攻擊的對象就是磁碟的引導扇區，這樣就能使系統在啟動時獲得優先的執行權，從而達到控制整個系統的目的，這類病毒因為感染的是引導扇區，所以造成的損失也就比較大，一般來說會造成系統無法正常啟動，但查殺這類病毒也較容易，多數殺毒軟體都能查殺這類病毒，如KV300、KILL系列等。

b、文件型病毒

早期的這類病毒一般是感染以exe、com等為擴展名的可執行文件，這樣的話當你執行某個可執行文件時病毒程序就跟著激活。近期也有一些病毒感染以dll、ovl、sys等為擴展名的文件，因為這些文件通常是某程序的配置、鏈接文件，所以執行某程序時病毒也就自動被子載入了。它們載入的方法是通過插入病毒代碼整段落或分散插入到這些文件的空白位元組中，如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中，感染後通常文件的位元組數並不見增加，這就是它的隱蔽性的一面。

c、網路型病毒

這種病毒是近幾來網路的高速發展的產物，感染的對象不再局限於單一的模式和單一的可執行文件，而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE文件進行感染，如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變，從原始的刪除、修改文件到現在進行文件加密、竊取用戶有用信息（如黑客程序）等，傳播的途經也發生了質的飛躍，不再局限磁碟，而是通過更加隱蔽的網路進行，如電子郵件、電子廣告等。

d、復合型病毒

把它歸為"復合型病毒"，是因為它們同時具備了"引導型"和"文件型"病毒的某些特點，它們即可以感染磁碟的引導扇區文件，也可以感染某此可執行文件，如果沒有對這類病毒進行全面的清除，則殘留病毒可自我恢復，還會造成引導扇區文件和可執行文件的感染，所以這類病毒查殺難度極大，所用的殺毒軟體要同時具備查殺兩類病毒的功能。

以上是按照病毒感染的對象來分，如果按病毒的破壞程度來分，我們又可以將病毒劃分為以下幾種：

a、良性病毒：

這些病毒之所以把它們稱之為良性病毒，是因為它們入侵的目的不是破壞你的系統，只是想玩一玩而已，多數是一些初級病毒發燒友想測試一下自己的開發病毒程序的水平。它們並不想破壞你的系統，只是發出某種聲音，或出現一些提示，除了佔用一定的硬碟空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣，只是想竊取你電腦中的一些通訊信息，如密碼、IP地址等，以備有需要時用。

b、惡性病毒

我們把只對軟體系統造成干擾、竊取信息、修改系統信息，不會造成硬體損壞、數據丟失等嚴重後果的病毒歸之為"惡性病毒"，這類病毒入侵後系統除了不能正常使用之外，別無其它損失，系統損壞後一般只需要重裝系統的某個部分文件後即可恢復，當然還是要殺掉這些病毒之後重裝系統。

c、極惡性病毒

這類病毒比上述b類病毒損壞的程度又要大些，一般如果是感染上這類病毒你的系統就要徹底崩潰，根本無法正常啟動，你保分留在硬碟中的有用數據也可能隨之不能獲取，輕一點的還只是刪除系統文件和應用程序等。

d、災難性病毒

這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度，這類病毒一般是破壞磁碟的引導扇區文件、修改文件分配表和硬碟分區表，造成系統根本無法啟動，有時甚至會格式化或鎖死你的硬碟，使你無法使用硬碟。如果一旦染上這類病毒，你的系統就很難恢復了，保留在硬碟中的數據也就很難獲取了，所造成的損失是非常巨大的，所以我們進化論什麼時候應作好最壞的打算，特別是針對企業用戶，應充分作好災難性備份，還好現在大多數大型企業都已認識到備份的意義所在，花巨資在每天的系統和數據備份上，雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果，但是還是放鬆這"萬一"。我所在的雀巢就是這樣，而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類，因為它不僅對軟體造成破壞，更直接對硬碟、主板的BIOS等硬體造成破壞。

如按其入侵的方式來分為以下幾種：

a、源代碼嵌入攻擊型

從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序，病毒是在源程序編譯之前插入病毒代碼，最後隨源程序一起被編譯成可執行文件，這樣剛生成的文件就是帶毒文件。當然這類文件是極少數，因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業的編程水平。

b、代碼取代攻擊型

這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊，這類病毒也少見，它主要是攻擊特定的程序，針對性較強，但是不易被發現，清除起來也較困難。

c、系統修改型

這類病毒主要是用自身程序覆蓋或修改系統中的某些文件來達到調用或替代操作系統中的部分功能，由於是直接感染系統，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。

d、外殼附加型

這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當於給程序添加了一個外殼，在被感染的程序執行時，病毒代碼先被執行，然後才將正常程序調入內存。目前大多數文件型的病毒屬於這一類。

有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我們可以按以下幾個方法來判斷。

1、反病毒軟體的掃描法

這恐怕是我們絕大數朋友首選，也恐怕是唯一的選擇，現在病毒種類是越來越多，隱蔽的手段也越來越高明，所以給查殺病毒帶來了新的難度，也給反病毒軟體開發商帶來挑戰。但隨著計算機程序開發語言的技術性提高、計算機網路越來越普及，病毒的開發和傳播是越來越容易了，因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至於這些反病毒軟體的使用在此就不必說敘了，我相信大家都有這個水平！

2、觀察法

這一方法只有在了解了一些病毒發作的症狀及常棲身的地方才能准確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時，我們首先要考慮的是病毒在作怪，但也不能一條胡洞走到底，上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛！對於如屬病毒引起的我們可以從以下幾個方面來觀察：

a、內存觀察

這一方法一般用在DOS下發現的病毒，我們可用DOS下的"mem/c/p"命令來查看各程序佔用內存的情況，從中發現病毒佔用內存的情況（一般不單獨佔用，而是依附在其它程序之中），有的病毒佔用內存也比較隱蔽，用"mem/c/p"發現不了它，但可以看到總的基本內存640K之中少了那麼區區1k或幾K。

b、注冊表觀察法

這類方法一般適用於近來出現的所謂黑客程序，如木馬程序，這些病毒一般是通過修改注冊表中的啟動、載入配置來達到自動啟動或載入的，一般是在如下幾個地方實現：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

等等。

c、系統配置文件觀察法

這類方法一般也是適用於黑客類程序，這類病毒一般在隱藏在system.ini 、wini.ini（Win9x/WinME）和啟動組中，在system.ini文件中有一個"shell="項，而在wini.ini文件中有"load= "、"run= "項，這些病毒一般就是在這些項目中載入它們自身的程序的，注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。具體也可參考我的《通通透透看木馬》一文。

d、特徵字元串觀察法

這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應的特徵代碼，如CIH病毒就會在入侵的文件中寫入"CIH"這樣的字元串，當然我們不可能輕易地發現，我們可以對主要的系統文件（如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現，當然編輯之前最好還要要備份，畢竟是主要系統文件。

e、硬碟空間觀察法

有些病毒不會破壞你的系統文件，而僅是生成一個隱藏的文件，這個文件一般內容很少，但所佔硬碟空間很大，有時大得讓你的硬碟無法運行一般的程序，但是你查又看不到它，這時我們就要打開資源管理器，然後把所查看的內容屬性設置成可查看所有屬性的文件（這方法應不需要我來說吧？），相信這個龐然大物一定會到時顯形的，因為病毒一般把它設置成隱藏屬性的。到時刪除它即可，這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例，明明只安裝了幾個常用程序，為什麼在C盤之中幾個G的硬碟空間顯示就沒有了，經過上述方法一般能很快地讓病毒顯形的。

④ 如何檢測CPU是否被挖過礦

CPU是否挖過礦，是看不出來的，因為CPU幾乎不會因為長時間滿負荷工作而導致外表嚴重老化變色之類的現象，這一點不像顯卡。顯卡長時間滿負荷挖礦，其PCB板上GPU核心附近的一些阻容元件會因長期高溫發黃變色，甚至PCB板也會變色。
由於顯卡上面不僅僅有GPU，還有顯存、供電單元、大量貼片阻容元件，長期挖礦會導致一些元件老化衰老，因此這類顯卡的壽命令人擔心。但CPU只要散熱一直良好，基本上不用怎麼擔心，絕大多數都是可以繼續長期服役的。

⑤ 怎麼查看電腦有沒有挖礦病毒

中挖礦病毒有以下幾種顯著的表現：
1.電腦異常運行緩慢
2.電腦異常死機/卡機
3.什麼都沒打開但是cpu佔用率非常高
4.網路緩慢，出現大量網路請求

⑥ 我電腦好像中挖礦木馬病毒了！怎麼能監測出來

可以打開騰訊智慧安全的頁面
然後在產品裡面找到御點終端全系統
接著在裡面選擇申請使用騰訊御點，再去用病毒查殺功能殺毒

⑦ 怎麼檢查自己電腦有沒有被人用來挖礦，比特幣

挖礦都是燒的顯卡，以下方法可以鑒定自己顯卡是不是礦卡

1：通過肉眼來識別這個硬體究竟是不是礦卡 ，其實通過其他方式也可以測出，就比如說你到電腦裡面去測礦卡的超頻性能，去跟官方的數據進行對比，測礦卡供電的穩定性，也可以測出來是不是礦卡。

2：第一點是先看礦卡上面有沒有什麼特別臟特別多的灰塵，各種油漬，如果沒有的話那證明賣家可能做了比較好的處理，或者不是礦卡。如果礦卡非常的臟的話，十有八九就是礦卡，那我們就要進行下一步的操作，就是拆開礦卡。

3：我們應該注意到是否有發票且帶保修，保修基本是在全國各地的保修點都可以保修的，這種才不是礦卡。

(7)如何判斷電腦是否被入侵挖礦擴展閱讀

如何避免買到礦卡：盡量到淘寶京東的官方旗艦店買新卡，圖便宜買二手顯卡的話就不敢保證了。

如果實在預算有限，一定要購買二手顯卡的話，也要盡量選擇個人購買，切勿相信什麼網吧倒閉，工作室或者公司倒閉，這種渠道大部分買過來的大部分都是礦卡，當然如果那個個人買家手裡也有大量的顯卡賣的話，那也要請謹慎對待，這種大概率也是礦卡。最後，也希望大家可以避免礦卡，買到自己心儀的顯卡，開心游戲。

⑧ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。