20CN网络安全小组论坛 - 菜鸟乐园 - 如果机子给黑客入侵了,我们要怎样查找呢

论坛: 菜鸟乐园标题: 如果机子给黑客入侵了,我们要怎样查找呢

复制本贴地址

作者: yygyjjj [yygyjjj]

论坛用户

比如说,我机子给黑客入侵了,通常他们会在那里下手脚的呀
比如安装些“木马”一般装在什么文件夹里面的，
注册表一般改的是什么

地主发表时间: 04-02-21 19:42

回复: lhh2003 [lhh2003]

论坛用户

一般会放在system32下，也可能在windows下，其实也无所谓，但黑客一般会起一些和系统文件名相近的名字，并会在注册表里加载启动项run下，有的会加载服务中，只要打开服务看看，有可疑禁止，再删出相应的文件，也可以netstat -an查看一下打开的端口，再对应删除就ok了，嘻嘻

B1层发表时间: 04-02-21 20:01

回复: haha52013 [haha52013]

论坛用户

你那么帅哪个敢弄你的机子？

B2层发表时间: 04-02-21 20:07

回复: NetDemen [haha52013]

论坛用户

B3层发表时间: 04-02-21 20:08

回复: cyshaoping [cyshaoping]

论坛用户

用fport看看可疑端口对应哪个程序，再到网上搜索这个程序，如果是病毒，会有很多资料的

B4层发表时间: 04-02-22 07:37

回复: chiru [chiru]

论坛用户

用antiyports看看是什么端口连接在什么IP地址去了。有没有可疑连接，然后找到执行操作的执行文件。杀掉。

B5层发表时间: 04-02-22 10:45

回复: newmyth21 [newmyth21]

论坛用户

看日志

B6层发表时间: 04-02-22 14:13

回复: desert [desert]

论坛用户

看到好几楼都提到可疑程序，但怎样才能看出他是可疑的程序呢？

B7层发表时间: 04-02-22 14:26

回复: fsqer [fsqer]

论坛用户

文弟弟太笨了！我看要他自己慢慢的来才行！他的基础太不好了！大家多点点他！

B8层发表时间: 04-02-22 14:26

回复: newmyth21 [newmyth21]

论坛用户

这就是经验了吧，看多了自然就会了，也可以找找这些文章来看看，网上一定有好多的。

B9层发表时间: 04-02-22 14:36

回复: lixing6841 [lixing6841]

论坛用户

看你的安全日记就知道了侵入人的IP和什么时间侵入的

B10层发表时间: 04-02-27 15:12

回复: zintaly [zintaly]

论坛用户

XP,日志怎么看?

B11层发表时间: 04-02-28 12:12

回复: lixing6841 [lixing6841]

论坛用户

在我的电脑里面的啊

B12层发表时间: 04-02-28 15:07

回复: lqfrla [lqfrla]

论坛用户

管理工具里

B13层发表时间: 04-02-28 18:16

回复: lixing6841 [lixing6841]

论坛用户

说的对

B14层发表时间: 04-03-08 20:36

回复: ghame [ghame]

论坛用户

现在的黑客入侵后一般都会删除日志的，就算他的技术做不到，网上也有很多成型的删除日志的工具。所以从日志入手发现痕迹的可能性一般不大。

B15层发表时间: 04-03-08 21:12

回复: xhw_73 [xhw_73]

论坛用户

看看登陆文件里的记录，我只知道一个windows2000或windows2003好象在这里（我的机子是在这里的，没有在别怪我呀）C:\winnt\system32\login file

B16层发表时间: 04-03-08 23:43

回复: foreverfly [foreverfly]

论坛用户

安全日记在哪呀
需要帮忙的菜鸟

B17层发表时间: 04-03-09 07:04

回复: lixing6841 [lixing6841]

论坛用户

你装了瑞星防火墙没有？装了瑞星防火墙的你就可以在瑞星里面看的啊

B18层发表时间: 04-03-19 16:12

回复: qwhacker [qwhacker]

控制面板―管理工具（需要切换到经典视图）－事件查看器

B19层发表时间: 04-03-23 18:30

论坛: 菜鸟乐园