locked
遠端登入XP系統的log檔案位在何處? RRS feed

  • 一般討論

  • Dear 各位大大

    想請問一個多年前的問題

    當時XP紅色警界病毒與疾風病毒風行時

    有見過有篇文章在windows xp裡有一個log檔,記錄著登入的ip或連線的ip與檔案

    這個log檔很少人知道,但裡面有詳細記載不管是用網芳或是遠端登入時對方的ip與時間,也可知道電腦有沒有被入侵

    請問這個log檔位在哪邊(可直接用記事本開啟),不知是否還有大大記得這個記錄檔

    另外想了解現在的win7或win8是否還有這個log檔的存在

    還煩請各位大大解惑,謝謝

    2014年6月6日 上午 02:37

所有回覆

  • 您好!

    您指的是事件檢視器裡的記錄嗎?還是GPO裡的稽核原則?

    2014年6月6日 上午 02:48
    版主
  • 大大好

    與事件檢視器和GPO完全沒有關係

    我印象中是藏在wiindows下某個資料夾內的檔案直接用記事本打開

    裡面記錄著所有連線的時間與對方的ip

    這個檔案很少人知道

    但忘了在哪

    謝謝




    2014年6月6日 上午 04:08
  • Hi david_chang_

    你說的是利用nbtstat跑出來的資料嗎

    2014年6月9日 上午 10:28
  • Hi david_chang_

    歡迎您將後續測試結果回報至論壇,

    以利討論的進行並幫助其他有類似問題的朋友. 謝謝您!

    2014年6月11日 上午 06:44
  • 不是

    是一個文字檔_

    那時是window server 2000剛出來的時候

    不需下達任何指令

    就在某個資料夾的文字檔,好像沒副檔名直接用記事本打開就可以看到曾連過你電腦的ip是哪個ip


    2014年6月12日 上午 06:08
  • 可以的話,提供在Win2000看到的檔案及位置,
    或許才有機會確定是否之後的版本有。

    否則,一般來說,
    只要有在 GPO 開啟相關稽核設定,
    在事件檢視器就能找到了。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2014年6月12日 上午 08:56
    版主
  • Hi david_chang_

    你說的是C:\Windows\System32\Drivers\etc底下的hosts的檔案嗎?

    2014年6月12日 上午 10:12
  • Dear 大大

    感謝大大的回覆

    該檔案路徑有點類似,

    但不是此檔,此檔是設定直接指dns

    而我所說的那個檔案內容有點類型iis的log

    幾點幾分某個ip有連線過


    2014年6月17日 上午 01:07
  • 感謝大大回覆

    此檔案與GPO無關係

    因為xp一裝好就有此檔,記錄著曾連線到本機與本機連現到別人電腦ip

    當初會知道這個檔案是由一位資策會的老師提供

    如果電腦遭到入侵連線,該log也會有對方ip記錄

    因時間有點久遠已找不到該老師

    所以才來這詢問

    謝謝

    2014年6月17日 上午 01:12
  • Hi david_chang_

    我這幾天安裝一個乾淨的系統找了一下

    真的沒有那樣子的東西

    不知道你還有沒有印象這檔案大約在哪裡

    因為我也不清楚你印象中的那一個檔案

    2014年6月18日 上午 07:32
  • Hi david_chang_

    您說的log是否為%systemroot%\system32\LogFiles\Firewall\pfirewall.log

    這個log必須從Windows防火牆內開啟,一般預設是關閉的

    紀錄的log情況如下圖

    2014年6月23日 上午 05:40
  • 感謝大大協助找詢

    雖然有點類似

    但並不是這個檔

    因為沒有UDP與TCP的出現

    只有自己連到別人與別人連到自己電腦的IP記錄

    所以當時很火紅的紅色警戒病毒或疾風只要一看我說的LOG檔馬上就知道

    也就是凡走過必留下痕跡

    我很肯定的是無需啟用任何服務

    我在想會不會是微軟在HOTFIX改掉了

    可能要找沒有winxp sp1的OS找看看

    2014年6月27日 上午 12:52
  • Hi david_chang_

    請問您是看到這樣的Log嗎?

    2014年6月27日 上午 06:47
  • 感謝大大努力的協助找詢

    滿接近的

    但印象中與iis無關

    (會列出不只是IIS,例如到某個user帳號的桌面開啟什麼檔也會列出)

    如果是要另外啟用服務的話那就不是了

    請問這個檔是在??


    2014年6月30日 上午 12:59
  • 你說的事xxx.dat的檔案嗎?你想要做壞事齁這檔案可以查到一些軌跡


    小白技術沒關係 金錢的力量 決定服務的高低

    2014年7月1日 上午 03:42
  • Hi david_chang_

    當時的紅色警戒病毒是透過IIS的漏洞造成的,
    確認是否有被感染此病毒的方式,就是透過這個IIS的LOG來查看,
    此LOG的位置C:\Windows\System32\LogFiles\W3SVC1\

    在Windows Client系統預設IIS服務並沒有安裝,所以當然也不會有這個LOG

    如果這不是您所需要的LOG,請您再提供更多的資訊,才有辦法給您進一步的協助,謝謝。

    2014年7月1日 上午 04:46
  • yes

    裡面也就是會記錄哪個ip曾經連線過我的電腦

    請問大大是否知道在哪

    這樣如果檔案有被更動過

    至少有軌跡可尋

    我印象中也是XXX.dat


    2014年7月1日 上午 07:18