我开始怀疑我的电脑可能被未经授权的人访问了。比如我看到我的浏览器书签被更改等等。
那么,我该怎么做才能监控我的 PC 活动?我使用的是 Windows 7,但我想知道 Linux 用户在这种情况下可以做什么。
不要提及更改密码或简单的建议。我正在寻找某种工具或方法来监控我的电脑的活动。基本上是一个日志(文件)。
答案1
基本上你不能知道在没有对 PC 进行全面审核的情况下(不一定)。根据定义,控制您 PC 的人可以控制您在 PC 上看到的内容。
为了确保万无一失,您可以做的是使用 Linux Live CD 检查 PC(root kit 扫描、病毒扫描、检查您未安装/创建的文件等),因为它会在启动时绕过计算机上的内容。不要相信 Windows Live CD;Windows Live CD 的非官方来源以及自动运行等问题使其不可靠。
除了使用实时 CD,还可以从机器本身外部检查进出机器的网络流量。换句话说,查看路由器,或在机器和网络其余部分之间放置集线器或网络分接头(而不是交换机),然后检查来回的数据包、正在使用的协议、正在访问的 IP 地址/域、正在联系的端口等。理想情况下,您可以使用仅允许单向流量的电缆(即切断其返回线路)来执行此操作,以便检查流量的机器也不会受到损害。Wireshark 是您想要的用于实际检查 PC/笔记本电脑流量的工具。
如果您真正想要检查的机器是虚拟机,那就容易多了——只需在主机上运行 wireshark 并检查适当的(通常是虚拟的)接口,或者从主机扫描虚拟分区(可能将其转换为原始文件或使用 linux/unix noexec 标志挂载它之后,并且没有激活任何类似自动运行的功能)。
但是,话虽如此,如果事情已经发展到您无法再信任您的机器的地步,您可能应该考虑将其放弃并重新开始:重新安装机器,然后检查并恢复数据(不是程序;确保您的备份将两者分开)。
实际上,您需要对应用程序进行适当的权限分离和控制:在您的普通用户帐户上拥有非管理员权限,双向(进出)防火墙授权,以防止恶意应用程序使用 UPNP、NoScript(火狐插件)、Adblock 等打开端口。在商业情况下,应使用适当的外部防火墙和过滤代理、入侵检测系统、监控系统等,以确保您了解机器进出的情况,而无需需要訂閱。
答案2
查看 Windows 安全日志。您可以在那里查看有关登录的详细信息。如果您在登录时看到登录,则表明其他人使用了该登录。
右键单击我的电脑图标,选择管理、事件查看器、Windows 日志,然后选择安全。
答案3
也许没有完全回答你的问题,但无论如何你都会觉得这很有用:如果你真的很怀疑,你可以随时使用 Windows 内置搜索并扫描已修改的文件。按 Windows 键 + S,然后输入“modified:13/8/2011 .. 14/8/2011”以查找已修改的所有文件。从这里开始,你必须弄清楚你的某些文件是否在你不在的时候被修改过,以及是否可能是入侵者所为。除此之外,我建议你也阅读一下 Lee 在这里写的内容。这种方法可能没有多大用处,具体取决于潜在入侵者的技能。另外,仅供参考,Microsoft 提供了一个名为 autoruns (sysinternals) 的程序来帮助你找出哪些程序会自动启动。