怀疑电脑最近被同事进入过,有没有办法查找记录,被拷贝了哪些资料?
可以查,我知道电脑只要运行都会强制运行日志,不过外行人都看不懂的~ 一般查看日志都是黑客入侵后需要抹除操作记录隐藏身份的时候才会去操作, 去找一些电脑达人帮忙吧。
给你介绍几种方法:
1.运行recent,可以看到在本地硬盘上的操作,(包括打开的电影,word文档等).还可以运行Local Settings,有个History的文件夹,里面的记录更详细.
若要查看上网记录,运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的.
2."我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator"-"Recent"(最近打开文件的历史记录)
3.C:\Documents and Settings\Administrator\Recent
Administrator改成你的拥护名
或者直接去C:\Documents and Settings找
看是哪个用户,点开该文件夹后加\Recent
这里面就是电脑使用记录
看过什么文件,什么时候
包括点过那几个盘,都很详细的记录
或者直接点 开始----运行---recent
4.文件访问记录:开始/运行 recent
电脑日志记录:开始/控制面板/性能和维护(经典视图里去掉这个)/管理工具/事件查看器,看看里面的记录
PS:日志保存时间有限, 过多的操作有可能会覆盖前面的操作。
PS2:以上个人意见 , 我也是电脑小白。
遭受黑客攻击后怎样查询被攻击了
安全总是相对的,再安全的服务器也有可能遭受到攻击。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响。
一、处理服务器遭受攻击的一般思路
系统遭受攻击并不可怕,可怕的是面对攻击束手无策,下面就详细介绍下在服务器遭受攻击后的一般处理思路。
1.切断网络
所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。
2.查找攻击源
可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
3.分析入侵原因和途径
既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。
4.备份用户数据
在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
5.重新安装系统
永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。
6.修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
7.恢复数据和连接网络
将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启网络连接,对外提供服务。
二、检查并锁定可疑用户
当发现服务器遭受攻击后,首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。
1.登录系统查看可疑用户
通过root用户登录,然后执行“w”命令即可列出所有登录过系统的用户,如下图所示。
通过这个输出可以检查是否有可疑或者不熟悉的用户登录,同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。
2.锁定可疑用户
一旦发现可疑用户,就要马上将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的),于是首先锁定此用户,执行如下操作:
[root@server ~]# passwd -l nobody锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,根据上面“w”命令的输出,即可获得此用户登录进行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3 [root@server ~]# kill -9 6051这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。
3.通过last命令查看用户登录事件
last命令记录着所有用户登录系统的日志,可以用来查找非授权用户的登录事件,而last命令的输出结果来源于/var/log/wtmp文件,稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪,但是还是会露出蛛丝马迹在此文件中的。
三、查看系统日志
查看系统日志是查找攻击源最好的方法,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令。
四、检查并关闭系统可疑进程
检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径
网络安全警察是怎样查处黑客的,是通过查找其IP地址么
网络安全警察是通过查找其IP地址的。
网警抓黑客的主要技术是计算机取证技术,又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学,是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术,即删除或者隐藏证据从而使网警的取证工作无效。
扩展资料:
分析数据常用的手段有:
1.用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说:在上午10点的时候发生了入侵事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件 。
2.由于黑客在入侵时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复 。
3.对系统中所有加密的文件进行解密 。
4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。
上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。
如果电脑被黑客攻击,黑客会看到已经删除了的搜索记录吗?
不能说绝对可以 要看你是怎么删除的 如果你就是手动删除的 一般都删不干净 你可以用 360安全卫士 里面有清除使用记录 那个删的干净!并且黑客攻击 有很多种 也并不是每个黑客攻击都是可以 看你电脑 使用你电脑的 有些也只是 破坏你的系统而已
中所有加密的文件进行解密 。4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如
时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复 。3.对系统中所有加密的文件进行解密 。4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(
istrator改成你的拥护名 或者直接去C:\Documents and Settings找 看是哪个用户,点开该文件夹后加\Recent 这里面就是电脑使用记录 看过什么文件,什么时候 包括点过那几个盘,