黑客进入日志如何记录吗_日志怎样查看系统黑客攻击

hacker|
122

文章目录:

如何查看自己的电脑 是否被黑客入侵过

1.用CTRL+ALT+DEL调出任务管理器,查看有什么程序在运行,如发现陌生的程序就要多加注意,大家可以关闭一些可疑的程序来看看,如果发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这也是一种可疑的现象也要特别注意,你这时是在连入Internet网或是局域网后才发现这些现象的话,不要怀疑,动手查看一下吧(注:也有可能是其它一些病毒在作怪)

2.在「开始」→「运行」中输入"MSCONFIG"查看是否有可疑的启动项。

3.查看注册表。在「开始」→「运行」中输入“REGEDIT”。 先对注册表进行备份,再对注册表查看。(一定要养成一个习惯,在修改木文件时,对自己没有把握的需要先进行备份)查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和Run项,看看有没有可疑的程序。

4.在「开始」→「运行」中输入"CMD"启动CMD,输入NETSTAT-AN查看有没有异常的端口。

5.在Windows目录下,看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件,不过,它只能在Windows工作而不能在DOS下使用。仔细看看有没有什么你不知道的驱动程序,把它记录下来,到百度查一下,一般这个自动批处理文件是不会被用到的。(只能凭经验判断了)

6.查看c:\autoexec.bat与c:\config.sys,这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。

7.右击「我的电脑」→事件查看器查看安全日志,看

如果别人用黑客设置了我的电脑,我怎么才可以知道?

黑客进入你的电脑后你电脑的日志会记录下来,不过一般黑客走时都会吧日志擦干净。黑客入侵你除非是电脑高手,否则很难发现。还有一般黑客不会对你电脑做什么,你要防的是骇客,他们是专搞破坏的

一般所谓的黑客在入侵完电脑后都要删除日志,是哪个日志,怎么打开查看?

1) Scheduler日志

Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation下为 SchedLog.txt

可以打开schedlgu.txt

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

先停掉他 net stop "task scheduler" (注意不停是删不掉的)

然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.

del sched*.txt

不过你如果不想删他,也可以改改它. 他的内容是这样的:

" "任务计划程序服务"

已退出于 01-5-22 20:37:34

"任务计划程序服务"

已启动于 01-5-25 7:07:37

"任务计划程序服务"

已启动于 01-5-25 7:26:36

"任务计划程序服务"

已退出于 01-5-25 8:47:54 "

很好改的.

(2) FTP日志

Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志.

格式是这样的 ex*.log .

注意这是一台NT4的LOGFILES下的文件:

这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .

00-12-04 06:28p ..

01-05-18 12:56p MSFTPSVC1

01-04-23 11:28a MSFTPSVC2

01-01-12 11:56a MSFTPSVC3

01-06-01 08:12a SMTPSVC1

01-09-20 08:55a W3SVC1

01-08-02 10:36a W3SVC10

01-10-11 04:48p W3SVC11

01-07-11 09:16a W3SVC2

01-10-11 10:31a W3SVC3

01-10-10 04:55p W3SVC4

01-09-28 01:43p W3SVC5

01-10-11 08:44a W3SVC6

01-10-11 08:00a W3SVC7

01-09-30 01:49p W3SVC8

01-10-11 08:03a W3SVC9

看看日志文件的格式:

c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log

192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0,

0, 0, 331, 0, [3]USER, anonymous, -,

192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53

0, 1326, [3]PASS, IE30User@, -,

关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.

法一: 这个时侯 net stop msftpsvc 停掉后台服务.

然后尽管 del 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开.

法二: 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦

实际上在得到ADMIN权限后,做这些事很容易.

法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧!

(3) WWW日志

Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志

注意这是一台NT4的LOGFILES下的文件:

这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .

00-12-04 06:28p ..

01-05-18 12:56p MSFTPSVC1

01-04-23 11:28a MSFTPSVC2

01-01-12 11:56a MSFTPSVC3

01-06-01 08:12a SMTPSVC1

01-09-20 08:55a W3SVC1

01-08-02 10:36a W3SVC10

01-10-11 04:48p W3SVC11

01-07-11 09:16a W3SVC2

01-10-11 10:31a W3SVC3

01-10-10 04:55p W3SVC4

01-09-28 01:43p W3SVC5

01-10-11 08:44a W3SVC6

01-10-11 08:00a W3SVC7

01-09-30 01:49p W3SVC8

01-10-11 08:03a W3SVC9

w3svc1 下的文件:

怀疑电脑最近被同事进入过,有没有办法查找记录,被拷贝了哪些资料?

可以查,我知道电脑只要运行都会强制运行日志,不过外行人都看不懂的~ 一般查看日志都是黑客入侵后需要抹除操作记录隐藏身份的时候才会去操作, 去找一些电脑达人帮忙吧。

给你介绍几种方法:

1.运行recent,可以看到在本地硬盘上的操作,(包括打开的电影,word文档等).还可以运行Local Settings,有个History的文件夹,里面的记录更详细.

若要查看上网记录,运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的.

2."我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator"-"Recent"(最近打开文件的历史记录)

3.C:\Documents and Settings\Administrator\Recent

Administrator改成你的拥护名

或者直接去C:\Documents and Settings找

看是哪个用户,点开该文件夹后加\Recent

这里面就是电脑使用记录

看过什么文件,什么时候

包括点过那几个盘,都很详细的记录

或者直接点 开始----运行---recent

4.文件访问记录:开始/运行 recent

电脑日志记录:开始/控制面板/性能和维护(经典视图里去掉这个)/管理工具/事件查看器,看看里面的记录

PS:日志保存时间有限, 过多的操作有可能会覆盖前面的操作。

PS2:以上个人意见 , 我也是电脑小白。

5条大神的评论

  • avatar
    访客 2022-07-12 上午 08:46:55

    -12-04 06:28p . 00-12-04 06:28p .. 01-05-18 12:56p MSFTPSVC1 01-04-23 11:28a MSFTPSVC2 01-01-12

  • avatar
    访客 2022-07-12 上午 04:48:22

    01-5-25 8:47:54 " 很好改的. (2) FTP日志 Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfile

  • avatar
    访客 2022-07-12 上午 05:18:27

    0, 0, 53 0, 1326, [3]PASS, IE30User@, -, 关于LOG文件的含意我就不解释了,浪费时间,嘿嘿. 法一: 这个时侯 net stop msftpsvc 停掉后台服务. 然后尽管 del 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET

  • avatar
    访客 2022-07-12 上午 11:04:09

    做这些事很容易. 法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧! (3) WWW日志 Internet信息服务WWW日志默认位置:%sys te

  • avatar
    访客 2022-07-12 上午 09:21:18

    忘了把时间改回来哦 实际上在得到ADMIN权限后,做这些事很容易. 法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧! (3) WW

发表评论