不幸的是，在 TalkTalk 泄露数据后，我家中有人被电话诈骗了。结果，他们允许远程访问两台计算机，并从他们的银行账户中转移了价值超过 10,000 英镑的资金。

这笔钱将由银行退还，但我的工作是试图找出受到损害的内容，我非常感谢以下方面的一些建议：

当我到达时，Windows 受到攻击者安装的 Syskey 的保护。由于攻击者已在电话中披露了该代码，因此该代码已为人所知。

我查看了浏览器历史记录，发现受害者下载了 Teamviewer 并允许远程连接到两台机器几个小时。Teamviewer 日志没有显示任何文件被传输，浏览器历史记录也没有显示除 Teamviewer 之外的任何文件被下载（当然它们可以被删除，但我认为受害者会质疑删除浏览器历史记录的各种位）。查看“最后修改”文件很长一段时间，我几乎可以肯定没有安装任何东西，并且查看启动和正在运行的进程我找不到任何过于可疑的东西。

受害者的故事是，屏幕上有一个命令提示符，上面有一堆文本，看起来像是两台机器上的文件路径在屏幕上飞舞。Rapport 日志显示，当时在两台机器上都开始了病毒扫描，这可能就是那个时候。

理想情况下，我想知道文件是否是从受攻击的计算机发送的，因为那里有私人物品。我一直在寻找有关来自 ISP 的网络流量粗略估计的信息，但即使有了这些信息，也很难知道 Teamviewer 正在运行。除了访问仍然存在的银行网站之外，浏览器历史记录并不多，而且我已经（用眼睛观察了几个小时）搜索了各种 Windows 事件日志，但没有发现太多的兴趣（除了找到 teamviewer 日志并说开始扫描）。

如果没有第三方程序并使用 CMD，攻击者如何发送文件？我会假设 FTP 作为 Windows 有一个内置的 FTP 客户端，但我找不到任何日志（如果有的话，我也不知道它会在哪里）。

到目前为止，我的解决方案是将两个磁盘的图像作为备份，并在两台机器上重新安装 Windows，然后将一些文档移回。虽然这主要保护了机器（社会工程除外），但它并没有告诉我太多关于 Teamviewer 会话期间发生的事情。cd不幸的是，受害者完全被蒙骗了，所以除了“一堆看起来像文件路径的文本”和一些命令之外，似乎没有一个很好的描述。

我想我的总体问题是：

如何仅使用内置的 Windows 功能移动文件，您知道它们会产生任何日志吗？你还有什么要检查或做的吗？在这样的攻击之后，您会亲自检查哪些不同的历史？

我有两台机器的完整映像，当我在那里将一台升级到 SSD 时，我还有一个完全可引导的硬盘驱动器，自从它受到攻击以来就没有改变过，所以日志通常仍然可用。