检测 Windows 主机变化

Question

有没有办法检测谁更改了主机文件？例如事件查看器、日志等。

tl;dr：绝对是的。

如果你有钱你可以使用玻璃丝没有任何麻烦。Glasswire 在安全设置中有一个选项可以监控“hosts”和“lmhosts”文件的变化。

如果您想要免费解决方案，请使用跟踪视图在 Windows 驱动程序工具包中。安装 Windows 驱动程序工具包 → 以管理员身份运行 TraceView → 创建新日志会话 → 内核记录器 → 文件 I/O → 将跟踪事件数据记录到文件 → 输入所需的 ETL 文件路径。

使用跟踪格式显示并找到所需的文件更改。所需命令：tracefmt.exe C:\path\to\ETL-File-Name.etl -displayonly| find /i "hosts"

如果你想要更多免费软件，我有一个开源项目追踪事件@GitHub 正在开发中。

Answer 1

有没有办法检测谁更改了主机文件？例如事件查看器、日志等。

tl;dr：绝对是的。

如果你有钱你可以使用玻璃丝没有任何麻烦。Glasswire 在安全设置中有一个选项可以监控“hosts”和“lmhosts”文件的变化。

如果您想要免费解决方案，请使用跟踪视图在 Windows 驱动程序工具包中。安装 Windows 驱动程序工具包 → 以管理员身份运行 TraceView → 创建新日志会话 → 内核记录器 → 文件 I/O → 将跟踪事件数据记录到文件 → 输入所需的 ETL 文件路径。

使用跟踪格式显示并找到所需的文件更改。所需命令：tracefmt.exe C:\path\to\ETL-File-Name.etl -displayonly| find /i "hosts"

如果你想要更多免费软件，我有一个开源项目追踪事件@GitHub 正在开发中。

相关内容