教你一招怎么找到黑客留下的蹤影
當(dāng)電腦出現(xiàn)異常時(shí)，可以確定是否有別人進(jìn)入到你的系統(tǒng)，這個(gè)方法的主角就是“系統(tǒng)日志”。
可以通過(guò)“控制面板→管理工具”下的“事件查看器”查看系統(tǒng)日志。“系統(tǒng)日志”會(huì)記錄系統(tǒng)的各種信息，包括啟動(dòng)、登錄等等，它像監(jiān)視器一樣監(jiān)視著電腦的一舉一動(dòng)，自然入侵者登錄你的電腦時(shí)也記錄在其中。不過(guò)默認(rèn)設(shè)置的“事件查看器”對(duì)于某些不在記錄范圍內(nèi)的事件，它會(huì)置之不理，比如系統(tǒng)登錄、賬號(hào)操作等等，而這些又是入侵者一定會(huì)進(jìn)行的操作，所以我們需要重新進(jìn)行配置，操作過(guò)程很簡(jiǎn)單。
第一步 點(diǎn)擊“開(kāi)始→運(yùn)行”，輸入“gpedit.msc”，打開(kāi)“組策略”窗口。
第二步 在左側(cè)窗口依此展開(kāi)“計(jì)算機(jī)配置→Windows設(shè)置→ 安全設(shè)置→本地策略→審核策略”。
第三步 雙擊“審核策略更改”，勾選“成功”和“失敗”。再按同樣方法分別設(shè)置“審核登錄事件”、“審核賬戶登錄事件”及“審核賬戶管理”三項(xiàng)。經(jīng)過(guò)這些設(shè)置，當(dāng)入侵者遠(yuǎn)程登錄系統(tǒng)，用黑客軟件掃描你的電腦時(shí)(黑客軟件通過(guò)反復(fù)登錄系統(tǒng)檢測(cè)是否為空口令)，或是添加賬號(hào)等操作都會(huì)被記下來(lái)了。
不過(guò)黑客也不傻，他們通常會(huì)把保存在“C:\\W I N D OWS \\system32\\config\\”下的三個(gè)EVT文件刪除，這樣日志文件就會(huì)清空，不過(guò)它們?cè)趧h除的同時(shí)，也會(huì)留下一條日志文件(用來(lái)記錄入侵者刪除了日志)，所以如果你看到日志文件只有一條了，那也要注意了