我看it邦回答还满多了~
因为自己也不熟这块
虽然应该帮不上忙
刚刚看到你的这个问题
我自己也好奇了一下如果被别人连线了要怎么查对方IP
google了一下 几乎都是提到 event 4624
看到国外一篇文章讲远端桌面连线的追查IP
就顺便分享一下
打开event log 到下列路径
Applications and Services Logs -> Microsoft -> Windows ->
Terminal-Services-RemoteConnectionManager
筛选 event ID 1149 可以看到别人远端桌面连线过来的IP
文章中还有其他的你可以看看有没有帮助
http://woshub.com/rdp-connection-logs-forensics-windows/
自己试了一下的截图
https://i.imgur.com/jmiG9pV.png
https://i.imgur.com/bLBtcot.png
※ 引述《icurious (冲)》之铭言:
: Hi 各位前辈:
: 主要状况为:目前在公司工作时,时常会有重要邮件跳到垃圾桶,或是档案被更改储存位
: 置甚至遭到删除,甚至档案被无预警关闭,一开始以为是自己误动作,但偶然去
: windows 事件纪录簿查询log file,发现再出现异常状况时候都会有如同网络文章中所注
: 记: 远端读写C$, D$, E$..的事件(Security Event ID 5140),但是回头查询4624的网络
: 登入资讯在那个时间点却没有 登入型别为10(远端互动),实在难以找到对方IP,推
: 测估计对方为公司同局域网路内人员,不知用什么方式入侵我主机(ex:在D槽安装后门程
: 式 或是 C槽有隐藏帐户?),已经换过密码,也查询过帐户,没有可以之处,不知前辈
: 们是否可以给予建议,在电脑如何设定可以找到对方IP,或是推荐同业可以处理分析此问
: 题的 单位 或 人员 或网站,再麻烦IT前辈们帮忙,谢谢。(推文或是回信都可以)
: (我这边有windows 登入事件纪录档案,以及windows远端读写事件纪录档案,
: 若是前辈需要可以来信给我,我再寄给前辈们,谢谢。([email protected])
: 附件1为今日(7/28)下午远端读取纪录(约在下午4:50,如下图1)
: (缩图网址被判定为广告,来信提供给您)
: 回头对照附件2的4624登入纪录(如下图2),我也看不出所以然,还烦请帮忙分析,谢谢。
: (缩图网址被判定为广告,来信提供给您)