如今网上黑客横行，稍不留神就可能被黑客光顾，避如前段时间我们空间商的服务器就被入侵了，数据都被删光了，所以要想在网上生存，做好安全措施是必不可少的。一般我们都只重视对机器进行安全设置，而往往忽略了被入侵后的信息收集问题，今天我就介绍三种让黑客留下痕迹的 *** ，希望能对大家有所帮助。 一、利用“木马”进行记录 1.木马简介 这里要用到的是一个很特殊的dll木马，它可以把通过终端登陆的用户名、密码，以及域信息记录到指定文件中。不要以为这些信息没什么用哦！有时候就得*这些零散的信息来找入侵的人。 在下载的压缩包内，有三个文件： SysGina32.dll--这个就是可以记录用户名和密码的东东了。 Gina.exe--这是安装DLL木马用的程序，有了它后安装起来就很方便了。 使用 *** .txt--这个很熟悉吧！中文帮助文件哦！有什么不懂的可以查查。 2.安装木马 先把SysGina32.dll和Gina.exe放在同一目录下，并将Gina.exe改名为svchost.exe(你也可以改成其它名字，为的是不让黑客注意到)，然后打开CMD，切换到保存这两个文件的文件夹，输入命令：svchost.exe -install，当出现“All Done，Gina setup success”信息时，安装就成功了。 注意： a.该木马已被杀毒软件查杀，所以安装时请关闭杀毒软件(不是关闭防火墙哦！)，而且以后重启时杀毒软件不能一起启动，以后杀一次毒重新装一次该木马。不过如果你能让该木马不被杀毒软件的话，那就没这么麻烦了。 b.为了不让黑客发现我们设的陷阱，更好将Gina.exe文件改名，而且要改的艺术一点，比如上面我把它改成了“svchost.exe”，这样就很难发现了，如果你改成了其它名字，安装时命令就要换成“文件名.exe -install”。 c.SysGina32.dll和Gina.exe这两个文件不一定要复制到系统安装目录的system32下，不过更好不要太引人注意，如果被黑客发现，那就可能适得其反了(木马也会记下你的密码的)。 d.如果出现的信息是“Found Exist Gina”，这说明你机器已经装过该木马了，此时键入“Y”覆盖即可。 3.查看“踪迹” 经过以上设置后，如果有人通过终端服务登录你的机器，那么他的用户名和密码就会被记录到“C:＼WINNT＼system32＼GinaPwd.txt”这个文件中，打开这文件就可以看到入侵者的踪迹了。由于该木马也会记录你的密码，所以每次进入机器时，请先打开GinaPwd.txt这文件，把你的用户名和密码删掉，顺便查一下有没有其它人登录过。 4.删除木马 如果你的机器不幸被人中了该木马，那么请按如下 *** 删除： 先下载该木马，在CMD下输入命令：gina.exe -remove，当出现“ Gina Dll was removed success”时，就表示删除成功了，接着重启机器即可。 注意：如果你把gina.exe改名了，命令也要做相应改变：文件名.exe - 二、写个批处理记录黑客行踪 1.认识批处理 对于批处理文件，你可以把它理解成批量完成你指定命令的文件，它的扩展名为 .bat 或 .cmd，只要在文本文件中写入一些命令，并把它保存为.bat 或 .cmd格式，然后双击该文件，系统就会按文本文件中的命令逐条执行，这样可以节省你许多的时间。 2.编写批处理文件 打开记事本，然后输入如下命令： @echo off date /t >>d:＼3389.txt attrib +s +h d:＼3389.bat attrib +s +h d:＼3389.txt time /t >>d:＼3389.txt netstat -an |find "ESTABLISHED" |find ":3389" >>d:＼3389.txt 然后把文件保存为d:＼3389.bat，这里我解释一下命令的意思，date和time是用于获取系统时间的，这样可以让你知道黑客在某天的某个时刻入侵。“attrib +s +h d:＼3389.bat”和“attrib +s +h d:＼3389.txt”这两个命令是用来隐藏3389.bat和3389.txt这两个文件的，因为在登录时，由于会启动d:＼3389.bat这个文件，所以会有一个CMD窗口一闪而过，有经验的黑客应该能判断出这窗口是记录用的，所以他可能会到处找这个记录文件，用了以上两个命令后，即使他用系统自带的搜索功能以3389为关键字进行搜索，也找不到上面3389.bat和3389.txt这两个文件，哈哈！很棒吧！至于“netstat -an |find "ESTABLISHED" |find ":3389" >>d:＼3389.txt”这个命令则是记录通过终端的连结状况的，明白了吧！ 接下来我们要让系统启动时自动运行d:＼3389.bat这文件，我用的 *** 是修改注册表，依次展开：HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon，找到“Userinit”这个键值，这个键值默认为c:＼WINNT＼system32＼userinit.exe，不知你注意到没有，在最后有一个逗号，我们要利用的就是这逗号，比如我上面写的3389.bat文件路径为d:＼3389.bat，那么我只要在逗号后面加上“d:＼3389.bat”即可，这样启动时3389.bat这文件就会运行，选这个键值的原因是因为它隐蔽，如果是加在Run键值下的话是很容易被发现的。最后提醒一点，键值末尾的逗号别忘了加上去哦！ 4.查看记录 前面我们用了attrib命令把3389.bat和3389.txt这两个文件隐藏起来