如今網上黑客橫行，稍不留神就可能被黑客光顧，避如前段時間我們空間商的服務器就被入侵了，數據都被刪光了，所以要想在網上生存，做好安全措施是必不可少的。一般我們都只重視對機器進行安全設置，而往往忽略了被入侵后的信息收集問題，今天我就介紹三種讓黑客留下痕跡的方法，希望能對大家有所幫助。

一、利用“木馬”進行記錄

1.木馬簡介

這里要用到的是一個很特殊的dll木馬，它可以把通過終端登陸的用戶名、密碼，以及域信息記錄到指定文件中。不要以為這些信息沒什么用哦！有時候就得*這些零散的信息來找入侵的人。

在下載的壓縮包內，有三個文件：

SysGina32.dll--這個就是可以記錄用戶名和密碼的東東了。

Gina.exe--這是安裝DLL木馬用的程序，有了它后安裝起來就很方便了。

使用方法.txt--這個很熟悉吧！中文幫助文件哦！有什么不懂的可以查查。

2.安裝木馬

先把SysGina32.dll和Gina.exe放在同一目錄下，并將Gina.exe改名為svchost.exe(你也可以改成其它名字，為的是不讓黑客注意到)，然后打開CMD，切換到保存這兩個文件的文件夾，輸入命令：svchost.exe -install，當出現“All Done，Gina setup success”信息時，安裝就成功了。

注意：

a.該木馬已被殺毒軟件查殺，所以安裝時請關閉殺毒軟件(不是關閉防火墻哦！)，而且以后重啟時殺毒軟件不能一起啟動，以后殺一次毒重新裝一次該木馬。不過如果你能讓該木馬不被殺毒軟件的話，那就沒這么麻煩了。

b.為了不讓黑客發現我們設的陷阱，最好將Gina.exe文件改名，而且要改的藝術一點，比如上面我把它改成了“svchost.exe”，這樣就很難發現了，如果你改成了其它名字，安裝時命令就要換成“文件名.exe -install”。

c.SysGina32.dll和Gina.exe這兩個文件不一定要復制到系統安裝目錄的system32下，不過最好不要太引人注意，如果被黑客發現，那就可能適得其反了(木馬也會記下你的密碼的)。

d.如果出現的信息是“Found Exist Gina”，這說明你機器已經裝過該木馬了，此時鍵入“Y”覆蓋即可。

3.查看“蹤跡”

經過以上設置后，如果有人通過終端服務登錄你的機器，那么他的用戶名和密碼就會被記錄到“C:＼WINNT＼system32＼GinaPwd.txt”這個文件中，打開這文件就可以看到入侵者的蹤跡了。由于該木馬也會記錄你的密碼，所以每次進入機器時，請先打開GinaPwd.txt這文件，把你的用戶名和密碼刪掉，順便查一下有沒有其它人登錄過。

4.刪除木馬

如果你的機器不幸被人中了該木馬，那么請按如下方法刪除：

先下載該木馬，在CMD下輸入命令：gina.exe -remove，當出現“ Gina Dll was removed success”時，就表示刪除成功了，接著重啟機器即可。

注意：如果你把gina.exe改名了，命令也要做相應改變：文件名.exe -

二、寫個批處理記錄黑客行蹤

1.認識批處理

對于批處理文件，你可以把它理解成批量完成你指定命令的文件，它的擴展名為 .bat 或 .cmd，只要在文本文件中寫入一些命令，并把它保存為.bat 或 .cmd格式，然后雙擊該文件，系統就會按文本文件中的命令逐條執行，這樣可以節省你許多的時間。

2.編寫批處理文件

打開記事本，然后輸入如下命令：

@echo off 
date /t >>d:＼3389.txt 
attrib +s +h d:＼3389.bat 
attrib +s +h d:＼3389.txt 
time /t >>d:＼3389.txt 
netstat -an |find "ESTABLISHED" |find ":3389" >>d:＼3389.txt

然后把文件保存為d:＼3389.bat，這里我解釋一下命令的意思，date和time是用于獲取系統時間的，這樣可以讓你知道黑客在某天的某個時刻入侵。“attrib +s +h d:＼3389.bat”和“attrib +s +h d:＼3389.txt”這兩個命令是用來隱藏3389.bat和3389.txt這兩個文件的，因為在登錄時，由于會啟動d:＼3389.bat這個文件，所以會有一個CMD窗口一閃而過，有經驗的黑客應該能判斷出這窗口是記錄用的，所以他可能會到處找這個記錄文件，用了以上兩個命令后，即使他用系統自帶的搜索功能以3389為關鍵字進行搜索，也找不到上面3389.bat和3389.txt這兩個文件，哈哈！很棒吧！至于“netstat -an |find "ESTABLISHED" |find ":3389" >>d:＼3389.txt”這個命令則是記錄通過終端的連結狀況的，明白了吧！

接下來我們要讓系統啟動時自動運行d:＼3389.bat這文件，我用的方法是修改注冊表，依次展開：HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon，找到“Userinit”這個鍵值，這個鍵值默認為c:＼WINNT＼system32＼userinit.exe，不知你注意到沒有，在最后有一個逗號，我們要利用的就是這逗號，比如我上面寫的3389.bat文件路徑為d:＼3389.bat，那么我只要在逗號后面加上“d:＼3389.bat”即可，這樣啟動時3389.bat這文件就會運行，選這個鍵值的原因是因為它隱蔽，如果是加在Run鍵值下的話是很容易被發現的。最后提醒一點，鍵值末尾的逗號別忘了加上去哦！

4.查看記錄

前面我們用了attrib命令把3389.bat和3389.txt這兩個文件隱藏起來，下面我們來讓它們重新顯示。

打開CMD，切換到保存這兩個文件的路徑，這里是切換到“d:＼”目錄，輸入命令：attrib -s -h d:＼3389.bat和attrib -s -h d:＼3389.txt，這時再到d盤看看，是不是出現了？打開文件即可查看登錄情況，從中我們可以看出，10.51.5.36這IP連結到了我的3389端口(我的IP是10.51.5.35)。

三、記錄黑客動作

有了以上兩道防線，我們就能知道黑客的用戶名、密碼、以及入侵時的IP了，不過這樣好像還不夠，要是能知道黑客都干了些什么就更好了，下面我們再設置一個陷阱，這里要用到的工具是“計算機系統日志”。

該軟件的特色就是可以在后臺記錄所有運行過的程序和窗口名稱，并且有具體的時期，以及登錄的用戶名，很恐怖哦！下面咱們來設陷阱吧！

1.記錄日志

雙擊壓縮包內的主程序，點擊“軟件試用”進入主界面，在“日志文件保存路徑”處點擊“瀏覽”選擇保存路徑并進行命名，這里保存在c:＼winnt＼log.txt。然后鉤選“日志記錄隨計算機自動啟動”。

注意：

a.為了防止黑客找到記錄日志的文件，你可以用上面提到的命令：attrib +s +h c:＼winnt＼log.txt進行隱藏。

b.最好不要將這個記錄文件和上面的3389.txt放一個目錄下，這樣萬一被發現其中一個，不至于使另一個也一同被發現。

c.軟件在“任務管理器”的進程中顯示名稱為“syslog”，而且未注冊版本會在20分鐘后自動停止記錄，所以只能用來對付菜鳥黑客啦！而且還得先花點“銀子”，哈哈！

接下來在“程序密碼保護”處輸入一個復雜點的密碼，點擊“開始日志”。這時軟件會提醒你隱藏后的熱鍵為“Ctrl+Q”，請記住這個熱鍵，以后要喚出軟件時就得*它了。

2.查看動作

想知道這樣設置后記錄下來的東西是什么樣嗎？那就快來看看吧。怎么樣？對這種記錄結果你還滿意嗎？

以上就是我比較推薦的三種方法了，都非常的實用，你不妨也試試哦！