电脑日志怎么看,请看我来说明。
出于工作需要,除了自己的Mac笔记本,Wendy还配了一个Windows台式机。笔记本随身携带倒没什么,但最近总觉得每次上班打开Windows台式机后跟前一天离开的时候不一样!但到处问也不是太好,只有自己动手查。
好在不难,如果你刚好也有这种怀疑的话,赶快来和我一起实践一下!看看究竟有没有人偷偷登录过我们的电脑。
正文:
我们都知道,电脑的任何活动都会留下痕迹的,这也是为什么我们能进行计算机取证。今天就给大家分享一个简单的方法,告诉你如何查看电脑的登录情况。
1. 右键“我的电脑”,选择管理,打开「事件查看器」;或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。
2. 在「事件查看器」窗口,展开电脑日志,选择“安全”,登录日志就显示出来了。
3. 接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。
每当用户执行了某些操作,审核日志就会记录一个审核项,我们可以审核操作中的成功尝试和失败尝试。
安全审核对于任何企业系统来说都极其重要,因为审核日志能记录是否发生了违反安全的事件。如果检测到入侵,正确的审核设置所生成的审核日志则能包含有关入侵的重要信息。
我们看到,任务栏里面能展示许多时间有关信息:登录时间、退出时间以及其他等等细节。
4. 筛选「事件ID」。在窗口的右栏里有筛选器,我们可以根据自己的情况有目的地筛选日志记录。
在我的情况中,需要筛选的事件ID是“4624”,这个ID表示成功登陆。
在日志中,不同的登录情况有不同的事件ID编号,如“4672”表示有特殊权限的登录,这些编号是有规定的,大家自己可以去查查看哦。
5. 查看某一条登陆记录的详细信息。
动态链接库函数启动器——Rundll32经常听到有些朋友说:呀!系统的注册表启动项目有rundll32.exe,系统进程也有rundll32.exe,是不是病毒呀?其实,这是对rundll32.exe接口不了解,它的原理非常简单,了解并掌握其原理对于我们平时的应用非常有用,如果能理解了原理,我们就能活学活用,自己挖掘DLL参数应用技巧。
Rundll32.exe和Rundll.exe的区别
所谓Rundll.exe,可以把它分成两部分,Run(运行)和DLL(动态数据库),所以,此程序的功能是运行那些不能作为程序单独运行的DLL文件。而Rundll32.exe则用来运行32位DLL文件。Windows 2000/XP都是NT内核系统,其代码都是纯32位的,所以在这两个系统中,就没有rundll.exe这个程序。
相反,Windows 98代码夹杂着16位和32位,所以同时具有Rundll32.exe和Rundll.exe两个程序。这就是为什么Windows 98的System文件夹为主系统文件夹,而到了Windows 2000/XP时就变成System32为主系统文件夹(这时的System文件夹是为兼容16位代码设立的)。
Rundll.exe是病毒?
无论是Rundll32.exe或Rundll.exe,独立运行都是毫无作用的,要在程序后面指定加载DLL文件。在Windows的任务管理器中,我们只能看到rundll32.exe进程,而其实质是调用的DLL。我们可以利用进程管理器等软件(本刊2004年21期有介绍)来查看它具体运行了哪些DLL文件。
有些木马是利用Rundll32.exe加载DLL形式运行的,但大多数情况下Rundll32.exe都是加载系统的DLL文件,不用太担心。另外要提起的是,有些病毒木马利用名字与系统常见进程相似或相同特点,瞒骗用户。所以,要确定所运行的Rundll32.exe是在%systemroot%system32目录下的,注意文件名称也没有变化。
相信大家在论坛上很常看见那些高手给出的一些参数来简化操作,如rundll32.exe shell32.dll,Control_RunDLL,取代了冗长的“开始→设置→控制面板”,作为菜鸟的我们心里一定痒痒的。他们是怎么知道答案的?我们如何自己找到答案?分析上面命令可以知道,其实就是运行Rundll32.exe程序,指定它加载shell32.dll文件,而逗号后面的则是这个DLL的参数。了解了其原理,下面就可以自己挖掘出很多平时罕为人知的参数了。
第一步:运行eXeScope软件,打开一个某个DLL文件,例如shell32.dll。
第二步:选择“导出→SHELL32.DLL”,在右边窗口就可以看到此DLL文件的参数了。
第三步:这些参数的作用一般可以从字面上得知,所以不用专业知识。要注意的是,参数是区分大小写的,在运行时一定要正确输入,否则会出错。现在随便找一个参数,例如RestartDialog,从字面上理解应该是重启对话框。组合成一个命令,就是Rundll32.exe shell32.dll,RestartDialog ,运行后可以看见平时熟悉的Windows重启对话框。
现在,我们已经学会了利用反编译软件来获取DLL文件中的参数,所以以后看到别人的一个命令,可以从调用的DLL文件中获取更多的命令。自己摸索,你就能了解更多调用DLL文件的参数了。
小资料
常用的rundll32参数
命令: rundll32.exe shell32.dll,Control_RunDLL
功能: 显示控制面板
命令: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1
功能: 显示“控制面板→辅助选项→键盘”
命令: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1
功能: 执行“控制面板→添加新硬件”
命令: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter
功能: 执行“控制面板→添加新打印机”
命令:rundll32.exe DISKCOPY.DLL,DiskCopyRunDll
功能:启动软盘复制窗口
iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些 Windows系统工具,该进程的安全等级是建议删除。
这个东西可以说是病毒,也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况还有一种情况,就是 IEXPLORE.EXE在C:\WINDOWS\system32\下面,那么这个十有八九都是病毒。
系统进程--伪装的病毒 iexplore.exe
Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”。偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
现象:
1、系统进程中有iexplore.exe运行,注意,是小写字母
2、搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
解决办法:
1、到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
2、到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run “mssysint”= iexplore.exe,删除其键值。
显示器亮了吗?如果不亮基本是内存问题(但是基本会报警,一长二短)
如果你问的是开机LOGO的话,那个在BIOS里是可以关闭的,
看什么时候的电脑了,基本不会很贵,不是什么大问题(除非是主板问题)
