如何判断电脑已经被黑客“拿下”

 

教你一招怎么找到黑客留下的踪影
当电脑出现异常时，可以确定是否有别人进入到你的系统，这个方法的主角就是“系统日志”。
可以通过“控制面板→管理工具”下的“事件查看器”查看系统日志。“系统日志”会记录系统的各种信息，包括启动、登录等等，它像监视器一样监视着电脑的一举一动，自然入侵者登录你的电脑时也记录在其中。不过默认设置的“事件查看器”对于某些不在记录范围内的事件，它会置之不理，比如系统登录、账号操作等等，而这些又是入侵者一定会进行的操作，所以我们需要重新进行配置，操作过程很简单。
第一步 点击“开始→运行”，输入“gpedit.msc”，打开“组策略”窗口。
第二步 在左侧窗口依此展开“计算机配置→Windows设置→ 安全设置→本地策略→审核策略”。
第三步 双击“审核策略更改”，勾选“成功”和“失败”。再按同样方法分别设置“审核登录事件”、“审核账户登录事件”及“审核账户管理”三项。经过这些设置，当入侵者远程登录系统，用黑客软件扫描你的电脑时(黑客软件通过反复登录系统检测是否为空口令)，或是添加账号等操作都会被记下来了。
不过黑客也不傻，他们通常会把保存在“C:\\W I N D OWS \\system32\\config\\”下的三个EVT文件删除，这样日志文件就会清空，不过它们在删除的同时，也会留下一条日志文件(用来记录入侵者删除了日志)，所以如果你看到日志文件只有一条了，那也要注意了