查找被黑客入侵后的痕迹
Wi
dows系统中的日志功能，在黑客入侵的过程中，肯定会在系统中留下一些痕迹，这些痕迹都会被日志功能完整地记录下来。只要我们合理地设置日志功能，甚至可以推理出黑客整个入侵过程，这犹如给系统安装了一个监视器，即使电脑不幸被黑客光顾，也能让系统管理员一目了然。如何查看日志在Wi
dows2000以上的系统中，其默认具备了三种日志，即“应用程序日志”“安全、性日志”“系统日志”、。打开“控制面板”→“管理工具”→“事件查看器”，在这里我们可以查看这三种日志的具体情况，这些日志文件分别保存在“CWINNTsystem32co
figAppEve
tEvt”“CWINNTSystem32co
figSecEve
tEvt”“CWINNTsystem32、、co
figSysEve
tEvt”这三个位置，可以直接打开查看里面的内容。如果我们在Wi
dows系统中开启了I
ter
etI
formatio
Services（IIS）服务，那么还会生成IIS日志，用来记录Web事件。IIS的日志保存在cwi
dowssystem（wi
dows2000为cwi
tsystem32）目录下的logfiles文件夹中。除此之外，数据库、FTP软件、杀毒软件、防火墙等等软件都会生成相应的日志文件，这些软件的日志文件保存位置各不相同，具体可以查看软件中的说明。系统日志的简单配置系统日志虽然能完整地将系统中发生的某些事件记录下来，但是它也是很“挑食”的，对于某些不在它记录范围内的事件，它会置之不理，包括系统登陆事件，系统帐户操作事件等等。黑客入侵系统后往往会进行帐户操作，如果能将它对帐户进行的操作记录下来，对我们了解黑客的行为是很有用的。因此我们可以对系统日志功能做一些简单地配置，使其发挥更强大的作用。点击“开始”→“运行”，输入“gpeditmsc”运行“组策略”，依次展开“计算机配置”→“安全设置”→“本地策略”→“审核策略”。在这里我们可以增加审核的项目，对在审核范围内的项目的操作都会被记录进日志。双击右侧的“审核策略更改”，在“审核这些操作”处将“成功”和“失败”两个项目前面的单选框都勾选上。图1增加需要审核的项目用相同的方法设置“审核登陆事件”“审核帐户登陆事件”“审核帐户管理”、、。经过设置后，不管对审核的事件内容进行了成功或者失败的操作，其结果都将会被记录进日志。例如黑客远程破解Wi
dows登陆密码，其每次输入的错误密码都将被记录。查找黑客留下的痕迹配置完系统日志后，我们来进行一次模拟入侵，看看黑客在入侵过程中会在目标系统的日志里留下怎样的痕迹。信息刺探黑客入r