Có phải máy tính của tôi tự mở khóa?


8

Tôi thức dậy vào khoảng giữa trưa và thấy máy tính của mình đã được mở khóa, mặc dù đã nhớ khóa nó vào đêm hôm trước và không sử dụng nó kể từ đó. Tôi đã kiểm tra nhật ký bảo mật và thấy một sự kiện "đăng nhập" từ 11:16 sáng. Chỉ có điều là, tôi đã ngủ, và không ai khác có quyền truy cập vào máy tính của tôi biết mật khẩu của tôi. Để an toàn, tôi đang quét virus, nhưng cho đến nay nó vẫn chưa tìm thấy gì. Những gì có thể đã xảy ra?

Văn bản của mục nhật ký sự kiện dưới đây.

Bằng cách này, tôi đã kiểm tra và có một "logoff" sự kiện trong khoảng thời gian tôi nhớ khóa máy tính của tôi đêm qua.

Nhật ký nhập cảnh:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          1/29/2014 11:16:10 AM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      FLARNDT
Description:
An account was successfully logged on.

Subject:
        Security ID:            SYSTEM
        Account Name:           FLARNDT$
        Account Domain:         WORKGROUP
        Logon ID:               0x3E7

Logon Type:                     5

Impersonation Level:            Impersonation

New Logon:
        Security ID:            SYSTEM
        Account Name:           SYSTEM
        Account Domain:         NT AUTHORITY
        Logon ID:               0x3E7
        Logon GUID:             {00000000-0000-0000-0000-000000000000}

Process Information:
        Process ID:             0x188
        Process Name:           C:\Windows\System32\services.exe

Network Information:
        Workstation Name:      
        Source Network Address: -
        Source Port:            -

Detailed Authentication Information:
        Logon Process:          Advapi  
        Authentication Package: Negotiate
        Transited Services:     -
        Package Name (NTLM only):       -
        Key Length:             0

This event is generated when a logon session is created. It is generated on the computer that was accessed.

The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).

The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.

The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The impersonation level field indicates the extent to which a process in the logon session can impersonate.

The authentication information fields provide detailed information about this specific logon request.
        - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4624</EventID>
    <Version>1</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2014-01-29T16:16:10.375881200Z" />
    <EventRecordID>96945</EventRecordID>
    <Correlation />
    <Execution ProcessID="380" ThreadID="8756" />
    <Channel>Security</Channel>
    <Computer>FLARNDT</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">FLARNDT$</Data>
    <Data Name="SubjectDomainName">WORKGROUP</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="TargetUserSid">S-1-5-18</Data>
    <Data Name="TargetUserName">SYSTEM</Data>
    <Data Name="TargetDomainName">NT AUTHORITY</Data>
    <Data Name="TargetLogonId">0x3e7</Data>
    <Data Name="LogonType">5</Data>
    <Data Name="LogonProcessName">Advapi  </Data>
    <Data Name="AuthenticationPackageName">Negotiate</Data>
    <Data Name="WorkstationName">
    </Data>
    <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x188</Data>
    <Data Name="ProcessName">C:\Windows\System32\services.exe</Data>
    <Data Name="IpAddress">-</Data>
    <Data Name="IpPort">-</Data>
    <Data Name="ImpersonationLevel">%%1833</Data>
  </EventData>
</Event>

Chỉ có một tài khoản có thể truy cập trên máy tính của bạn?
Rudolph

Không có quá nhiều nghiên cứu ở đây, có vẻ như 'services.exe' bật lên một vài lần trong nhật ký của bạn. Nhìn lên tôi thấy điều này: bleepingcomputer.com/startups/service.exe-11447.html khiến tôi tin rằng nó có thể là virus hoặc một cái gì đó tương tự.
Callen L


2
"Loại đăng nhập 5" = Dịch vụ. Đó là một dịch vụ đăng nhập (như HỆ THỐNG). Nó (có lẽ) lành tính, và chắc chắn sẽ không đăng nhập bạn vào máy tính để bàn của bạn, vì vậy đó không phải là điều đã làm. Bạn đã thực sự "đăng xuất" vào đêm hôm trước, hay chỉ "khóa nó" như bạn nói?
Ƭᴇcʜιᴇ007

1
Ngoài ra, miễn là services.exekhông bị tấn công và thay thế (điều này khá khó thực hiện trong những ngày này), thì đó C:\Windows\System32\services.exelà một tiện ích Windows hợp lệ và hoàn toàn bình thường mà HĐH yêu cầu.
Ƭᴇcʜιᴇ007

Câu trả lời:


5

Tôi không biết bất kỳ cách lập trình nào để mở khóa máy trạm từ một chương trình đang chạy (như virus, trừ khi nó làm tổn hại nghiêm trọng đến bảo mật Windows). Khác với ai đó ở bàn phím, điều đó khiến khả năng phần mềm điều khiển từ xa có thể gửi tổ hợp phím, đôi khi có kèm theo vi-rút. Ngay cả với kịch bản này, kẻ tấn công vẫn cần biết mật khẩu của bạn.

Hãy tìm cụ thể các sự kiện có nguồn gốc từ "Kiểm toán bảo mật" với ID sự kiện 4800 (khóa) và 4801 (mở khóa). Những điều đó sẽ tương quan trực tiếp với việc khóa và mở khóa thực tế của phiên của bạn ... Các sự kiện đăng nhập / đăng xuất khác thường được tạo trong nền cho những điều bạn không nhất thiết mong đợi.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.