网吧被计费软件挖矿了吗？如何识别网吧被挖矿？

网吧闲谈

网吧被计费软件挖矿了吗？如何识别网吧被挖矿？

2018-01-24 作者:小唐点击: 672次

一网吧疑似被挖矿：rundll32.exe路径并非在systm32下而是在syswow64下面，这个进程占用十分高，而且重点是只有某计费软件有，是双系统，一卡通里并没有这个进程，这个进程无法关闭，提示是系统进程，不知道什么原因触发的，游戏都卡的没法玩。

但不一定是被该计费软件挖矿了，一个很简单的办法就是看一下这个进程的命令行加载的是哪个DLL，如果没有命令行就查看下该进程的内存看看加载了哪个DLL，如果进程是被人写入的DLL不是加载的，那就看看进程启动记录好了，找到启动它的进程。

网吧被万象挖矿了吗？如何识别网吧被挖矿？

挖矿目前无非两种，GPU和CPU挖矿，通过相关工具查看进程的GPU和CPU占用率即可。process explorer就全部能看，但是建议打开之前修改下进程文件的名称。
还有一种查看挖矿的方法是在路由器查看当前客户机的网络访问对应的协议，某些路由器的协议识别还是很准的，能直接显示哪种挖矿协议在工作。查到网吧被恶意挖矿后，可以结合Process monitor来查找来源，并使用维护大师安全中心来屏蔽挖矿程序。
目前不少挖矿程序已经默认躲避主流行为监测软件的检测，打开任务管理器process monnitor;process explorer;process hacker等，你可以尝试用这些软件一个一个来试看下某个进程是否占用CPU或者GPU的资源，在根据自己的判断来甄别此进程是否异常。
之前5636论坛有个帖子“查到网吧被恶意挖矿后，教你查找来源”，里面有视频教程。论坛地址：（https://www.5636.com/bbs/post/884897）

（本文由5636联盟小编整理，转载请注明来源，否则禁止转载！）