您的当前位置:首页 > 消防

有关中国安全厂商所抓不到的西方黑客痕迹的假想和疑问

2019/8/14 1:00:50 我要评论

前一阵子看到这篇文章,文中描述的日志删除工具着实让小菜们大开眼界了。没想到今天还真遇到奇葩事了。。根据文中给出的炮灰IP,发现4个IP只有两个还活着,于是随手复制了203.162.1.195这个IP开搞。同段IP1.200上不知何时shift已被前人换成了cmd,直接登上去查看日志发现奇怪的现象。一般来说事件查看器安全性这里每登陆一次会产生7、8条记录的样子,下面是我在自己机器上登陆的记录。


 但是当时在机器上看到的日志记录是这样的。

 ,全部是系统事件,一律都是如下消息

 ,那么疑问来了,当时是用administrator这个账号登陆的,但是怎么登陆都不会日志记录产生;如何在显示日志的情况下不再记录日志(用习科白皮书上的方法设置seurity.evt的权限也会达到不记录日志的功能,但是也会什么都看不到了);当时使用1.195这台机子的黑客会不会也来过1.200上面?一些假想也随之产生了:卧槽,这台机子上会不会以前有过大牛使用过0day程序对事件查看器做过手脚,用恢复工具能不能恢复出点什么来??
 


相关阅读:
抖音号 http://wawa15888.com/