如何知道是否有人可以遠端存取您的 Windows 電腦？

一些最危險的惡意軟體類型旨在遠端存取受害者的電腦，例如遠端存取木馬 (RAT) 和核心級rootkit。它們運轉時無聲，因此很難被發現。如果您擔心有人未經授權遠端存取您的 Windows PC，請了解如何確認和消除威脅。

當有人存取你的電腦時發出的警告信號

雖然大多數遠端存取嘗試都是無聲的，但它們仍然伴隨著一些警告信號。雖然這些跡象可能表明 Windows 的流行度，但綜合起來，它們可以成為遠端存取活動的有力證據。

• 滑鼠/鍵盤行為異常：如果遊標移動不規則或未經您的干預就輸入了文本，則可能是遠端工具造成的。即使沒有主動控制，這些工具仍然會導致遊標跳躍/傳送等問題。如果滑鼠和鍵盤開始執行諸如訪問瀏覽器的網址列和輸入網站位址之類的任務，則該訊號也可以作為確認。
• 自行開啟和關閉的程式：駭客還可以發送命令來開啟特定的應用程式（例如防毒軟體或命令提示字元），以獲得對系統的更多控製或停用安全功能。如果您看到程式自行打開和關閉，那就是一個警告信號。
• 建立新的未知使用者帳戶：某些不良行為者可能會嘗試建立輔助帳戶，以便在偵測到之後仍獲得持續存取權。他們可能會停用用戶切換功能以在鎖定螢幕上隱藏帳戶。前往Windows 設定 -> 帳戶，然後在家庭和其他使用者下找到輔助帳戶。

• 效能突然變慢：遠端控制操作也佔用大量資源，因此您可能會注意到效能突然下降。如果由於遠端控制操作而偶爾出現效能下降，則尤其值得考慮。
• Windows 遠端桌面自動啟用：Windows 遠端桌面相當脆弱，因此駭客經常使用此功能來建立遠端連線。此功能預設是停用的，因此如果在未經您幹預的情況下啟用該功能，則駭客可能會這樣做。在 Windows 設定中，前往系統 -> 遠端桌面並查看此功能是否已啟用。

如何確認你的電腦正在遠端存取

如果您注意到上述跡象，請採取必要的步驟來證實您的懷疑。您可以監控遠端存取過程中涉及的元件/應用程式的活動，以確認有人正在存取您的 Windows PC。以下是一些最可靠的方法：

檢查 Windows 事件檢視器日誌

Windows 事件檢視器是一款出色的內建工具，可透過監控 RDP 活動和登入日誌來監控使用者活動並協助偵測遠端存取嘗試。

在 Windows 搜尋中搜尋「事件檢視器」並開啟事件檢視器。

前往Windows 日誌 -> 安全，然後按一下事件 ID標籤以按 ID 對事件進行排序。搜尋 ID 為4624 的所有事件並檢查其詳細信息，以確保它們都不具有登入類型 10。事件 ID 4624 表示登入嘗試，登入類型 10 表示使用駭客可能使用的遠端存取服務進行遠端登入。

您也可以尋找事件 ID 4778，因為它顯示遠端會話重新連線。每個事件的詳細資訊頁面都會告訴您重要的識別信息，例如帳戶名稱或網路 IP 位址。

監控網路流量

遠端存取依賴網路連接，因此監控網路流量是檢測它的可靠方法。為此，我們建議使用 GlassWire 的免費版本，因為它既可以監控，又可以自動防止惡意連線。

在 GlassWire 應用程式中，您將看到GlassWire Protect部分下的所有應用程式連線。該應用程式將自動評估連接並標記不受信任的連接。在大多數情況下，該應用程式將能夠偵測惡意遠端連線並發出警告。

除了應用程式演算法之外，您還可以尋找諸如未知應用程式的高數據使用量之類的線索。遠端連線使用持久性數據，因此很容易檢測到。

查看計劃任務

許多遠端存取嘗試都是使用Windows 中的任務規劃程式工具進行管理的。這有助於它們在 PC 重新啟動後繼續運行並執行任務，而無需連續運行。如果您的電腦感染了病毒，您將在任務規劃程式中看到來自未知應用程式的任務。

在 Windows 搜尋中搜尋「任務計劃程式」並開啟任務計劃程式應用程式。在左側面板中，開啟任務計劃程序（本地）->任務計劃程序庫。尋找 Microsoft 以外的任何奇怪或可疑的資料夾。如果找到任何資料夾，請右鍵單擊該任務並選擇屬性。

在「屬性」中，查看「觸發器」和「操作」標籤以了解任務執行的操作和執行時間，這足以了解任務是否有問題。例如，如果任務在登入時或系統空閒時執行未知的應用程式或腳本，則該任務可能是惡意的。

如果您沒有發現可疑任務，您可能需要在 Microsoft 中尋找。複雜的惡意軟體可能隱藏在系統資料夾中。尋找看起來可疑的任務，例如具有“systemMonitor”之類的通用名稱或拼寫錯誤的名稱。幸運的是，您不必研究每個任務，因為大多數任務都是由微軟公司編寫的，可以放心地忽略它們。