在收到一些用户的支持请求后,我在C:\WINDOWS\system32\drivers\etc\hosts
我的网站上找到了例如:
127.0.0.1 mywebsite.com
用户说他们没有成功,也许是第三方软件(例如防病毒软件)由于某些未知原因阻止了我的网站。
有一种方法可以检测谁更改了 hosts 文件? 例如事件查看器、日志等。
答案1
有没有办法检测谁更改了主机文件?例如事件查看器、日志等。
tl;dr:绝对是的。
如果你有钱你可以使用玻璃丝没有任何麻烦。Glasswire 在安全设置中有一个选项可以监控“hosts”和“lmhosts”文件的变化。
如果您想要免费解决方案,请使用跟踪视图在 Windows 驱动程序工具包中。安装 Windows 驱动程序工具包 → 以管理员身份运行 TraceView → 创建新日志会话 → 内核记录器 → 文件 I/O → 将跟踪事件数据记录到文件 → 输入所需的 ETL 文件路径。
使用跟踪格式显示并找到所需的文件更改。所需命令:tracefmt.exe C:\path\to\ETL-File-Name.etl -displayonly| find /i "hosts"
如果你想要更多免费软件,我有一个开源项目追踪事件@GitHub 正在开发中。