如何知道自己的电脑被监控？

2023年10月14日更新：

终于！很多人想要自动化的方法，觉得文中的手动查找方法太麻烦了。经过一番摸索，我发现微软官方的Sysinternal Suite工具集极其强大，几乎可以满足我们自动化检查计算机木马病毒的需求。有了它，就可以用程序代替我们进行文中的检查操作，工具集中不同工具的作用用法我已经在专栏中更新：

fatmo：神器！如何通过微软官方工具集Sysinternals Suite完成所有入侵检查！

因为这个工具集工具繁多，我也在不断的探索，所以这篇文章会一直更新，一旦我有了新的收获，就会添加进去。

2023年10月1日更新：

这个回答没过几天，收藏量已经突破1k6了，说明大伙对于学习电脑被监控的自检与防护方法的需求还是很大的。评论区和私信也有人跟我反馈了许多问题，因此我决定开一个专栏，面向大众来讲述一些如何发现自己的电脑是否被入侵监控、是否中病毒感染、是否被偷跑挖矿程序等方法与如何自救。专题名就叫《个人计算机入侵与中毒自救指南》：

1. 因为是面向大众的专栏，因此我会尽量避免使用专业的术语以及复杂的技术，力求能够做到"一键"解决问题，起码要让零基础读者看懂，能操作。
2. 我会从原因、简单原理介绍、具体实操步骤等方面，循序渐进的拆解每一个方法。并从最简单的方法过渡到最难的方法，让学习曲线平滑。如果你从一开始一步步阅读到后期，我相信你也能熟练的排查自己电脑的风险，并能够触类旁通，自我学习到专栏以外的知识。
3. 即使我尽量把流程简单化，依然不可避免的会遇到一些问题。我同样会尽量全面的收集总结这些问题，当遇到问题时可以直接从文章里自查。
4. 专栏文章持续更新，欢迎关注~

fatmo：致《个人计算机入侵与中毒自救指南》读者

---

原回答：

我看其他回答里提到了使用netstat来检查网络连接情况，这个思路是对的，但是过程还是太简略了，没有一定的知识积累根本没法直接判断出来netstat的哪些ip是可疑的，哪些进程是可疑的。这里我给出一个无脑判断的方法，即使是电脑小白也可以快速判断。

风险发现

网络层面判断是否被监控

1. 按下Win+R键，输入"cmd"，弹出命令执行窗口:

2. 输入"netstat -ano"，然后回车，这时控制台会按照如下格式打印自己的电脑跟外部ip的网络交互情况：

3. 重点关注外部地址一栏，外部地址的格式是"xxx.xxx.xxx.xxx:xxxx"，冒号前面的那一串是IP地址，后面是端口号。如果外部地址是"0.0.0.0:0"和"127.0.0.1:xxx"的行，直接无视掉

4. 出去上面排除掉的行后，剩下的每一行每一行的看，把外部地址的IP复制下来，粘贴到威胁情报查询平台进行查询，我这里直接给出几个查询平台：

奇安信威胁情报中心360安全大脑微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区

5. 以奇安信威胁情报中心为例，我们把IP地址复制到搜索框，回车。就弹出这个界面：

6. 如果IP被判为可疑，那就要小心了，先把这个IP地址和对应的PID号记录下来(这一行的最后一列那个数字)。我们继续从进程层面来分析。

进程层面判断是否被监控

1. 前面的步骤跟之前说的一样，先用"netstat -ano"列出来，现在我们关注每一行的PID号，就是最后一列那个数字

2. 再打开一个cmd，先输入"powershell"，回车执行，再输入如下命令，查看进程具体信息（把命令的YourPID替换为你进程的PID）:

3. 可以看到很多信息，我们只关注ExecutablePath，打开文件管理器，进入ExecutablePath的路径，把这个文件找出来

4. 然后，还是进入我之前给出的威胁情报平台，找到文件分析的查询功能，把文件上传上去

5. 这里多给几个专门针对恶意文件、病毒等进行在线检测的网站：

VirScan - 多引擎文件在线检测平台VirusTotal腾讯哈勃分析系统

6. 如果判定为可疑，我们同样把IP地址和PID记录下来

风险排除

下面所讲述的排除方法，小白请谨慎操作，因为你也可能判断不了你记录的程序是否是系统关键程序，记录的IP是否是系统关键程序连接的IP。若不会备份恢复，可能会导致系统的功能出现问题。

阻断可疑IP连接

1. 打开左下角菜单栏，点击设置按钮

3. 在搜索框搜索防火墙，点击"防火墙与网络保护"

4. 然后点击:"高级设置"->"入站规则"->"新建规则"->"自定义"->"所有程序"->"协议和端口"->填入记录的可疑IP，然后点击确定

5. 观察系统功能是否有影响，如果有影响，就把规则删除。

删除可疑进程文件

1. 找到之前记录的可疑文件路径
2. 然后重命名该文件
3. 在cmd里执行操作，杀掉进程

4. 观察系统功能是否有影响，如果有影响，就把文件重新命名回去，然后重新启动程序。

问题归纳

这里归纳整理以下评论区和私信的问题，方便后来的人自查：

1.

问：这个方法获取不到UDP连接

答：事实上是可以获取到UDP连接的

2.

问：Get-WmiObject -Query "Select * From Win32_Process Where ProcessID='YourPID'"，无效指令怎么回事

答：两种可能：1. 没有在powershell下运行；2. 没有修改YourPID字段

3.

问：可执行文件路径是空是啥情况

答：多种情况，比如当前控制台权限不够获取到可执行权限路径。可以尝试从任务管理器的表格里勾选上PID（把鼠标移到任务管理器表头，右键），然后按照PID排序，把那个进程找出来，右键"打开文件所在位置"找到程序路径。

4.

问：请问，Foreign Address为[::]:0，或者是*:*是怎么回事呢？以及PID相同的不同ID是否是同一个进程？

答：Foreign Address为[::]:0指的是监听任意ipv6连接，*:*指的是任意ipv4连接。意思是你的机器开放了一个端口用于给外部连接；只要PID相同就是同一个进程。

问：哦，那这两个不显示的地址是否是安全的？以及同一个PID下的不同Foreign Address，是不是只要查一个就可以了？

答：1.不一定安全，这种情况是进程直接开放的端口让人连接，你要看看进程具体是什么，是正常的对外服务才行；2.同一个PID不同的Foreign Address都要查，有的木马会用进程注入技术，你可以理解为木马和正常进程变成一个进程

5.

问：输入powershell的时候提示“无法加载，因为在此系统上禁止运行脚本”

答：系统禁止powershell的运行，可以换一个方式找到程序文件：

从任务管理器的表格里勾选上PID，然后按照PID排序，把那个进程找出来，右键"打开文件所在位置"找到程序路径。

6.

问：pid是0怎么办，很多ip的pid都是0，它们是同质化的吗

答：

你看看pid是0的连接状态是不是TIME_WAIT，一般状态都会是TIME_WAIT，指的是这个连接已经结束了，进程已经关闭，只是端口还占用一会确保对方收到关闭连接的通知。

7.

问：能不能反监控？

答：难，即使顺着这个ip找到那台机器，那台机器也可能只是入侵者的跳板

8.

问：有没有自动化的命令软件啥的，一个一个粘贴好麻烦

答：后续专栏里会更新自动化的方法，但是需要跟着专栏积累前置知识

9.

问：请问可以发一个MAC版的吗

答：

后续更新在专栏吧，包括手机端的版本

10.

问：99%的监控应该来自内网吧？

答：

类似学校机房等场景那肯定是来自内网。但是本回答的场景是黑客入侵，内网外网都会有。