我遇到了一个很奇怪的情况。
几天前,我回到家,发现我的电脑处于打开状态(但它不应该打开,我没有打开它)由于我很偏执,我试图弄清楚是什么打开了我的 PC 以及原因。
我对电脑并不陌生,因此我立即采取措施确保它停止。我采取的措施之一是使用事件查看器尝试查找任何线索。我注意到我的电脑似乎开机时间比我想要的要多。奇怪的“登录事件”发生在非常奇怪的时间,当我不在家或与电脑在同一个房间睡觉时(对我来说,这排除了家庭成员不尊重我的隐私的可能性)
下面是一些看似登录尝试的极端情况的屏幕截图,这让我更加偏执。
我在此期间采取的步骤: - 更改我的 Windows 登录代码 - 运行 malwarebytes 扫描 -> 未发现任何内容 - 运行我的 nod32 防病毒软件完整系统扫描 -> 未发现任何内容 - 运行卡巴斯基防病毒软件 -> 未发现任何内容 - 运行卡巴斯基 rootkit 删除工具 -> 未发现任何内容 - 检查 powercfg /waketimers,没有内容 - 在不使用计算机时手动拔下互联网电缆
有人知道这是病毒还是黑客在我不使用电脑时登录我的电脑,或者这是我忽略了什么吗?更重要的是,我正在寻找可以防止这种情况发生的方法。
顺便说一下,我只是在上次关闭电脑时才注意到这一点,我没有注意到任何其他事情,例如更改的文件、在我的任何其他帐户上尝试登录,我对大多数帐户都使用了双重身份验证。
答案1
您离开时发生的登录事件不一定是恶意的
即使没有入侵,系统也会经历登录事件,这非常正常。您甚至不需要安装任何第三方程序即可发生这种情况;Windows 本身会生成登录事件。
例如,Windows 出厂时就配置了任务计划程序中安排的各种任务。当其中一个任务运行时,它必须在用户帐户的上下文中启动,即使该帐户类似于内置帐户SYSTEM。这会生成登录事件,并记录到安全事件日志中,事件 ID 为 4624。
如何识别未经授权的登录
如果您怀疑有人未经授权使用您的计算机,则需要更仔细地查看事件本身。具体来说,您应该检查Logon Type区分以下字段的字段:如何帐户已登录。可能的类型为:
Type / Description
2 Interactive (logon at keyboard and screen of system)
3 Network (i.e. connection to shared folder on this computer from elsewhere on network)
4 Batch (i.e. scheduled task)
5 Service (Service startup)
7 Unlock (i.e. unnattended workstation with password protected screen saver)
8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information.
9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials. This logon type does not seem to show up in any events. If you want to track users attempting to logon with alternate credentials see 4648.
10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11 CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)
最能表明某人已获得交互式/远程访问权限的登录类型是2,7,10, 和11。
对于任何可疑的登录事件,请观察Account Name和 Account Domain字段,因为这些字段通常会识别登录用户的姓名。
如果您的系统已被入侵,则可能正在进行不必要的登录。但是,如果尝试登录但失败了,可以通过查看以下信息进行检查:安全日志中的事件 ID 4625 表示尝试登录但失败的事件。上面讨论的登录类型和其他字段也适用于这些事件。(请注意,必须先配置系统以记录这些事件,然后才能将它们捕获到事件查看器中。)