所以这个问题真的有两个方面。

1. 我现在能做什么。我被黑了。

一个。您可以查看系统日志。与其尝试解析系统上的不同日志，不如使用时间线工具（例如 log2timeline）更容易。这将收集所有时间线证据工件并将它们放入易于阅读的 .csv 文件中。时间线信息实际上是将所有可用的日志源集中在一个地方。这确实可以帮助您确定各种妥协指标，并帮助您找到需要花一些时间挖掘系统的地方。

湾。你真的需要尽快捕捉你的记忆快照。很有可能您的系统上仍然存在恶意软件残余或有关攻击者的缓存网络信息。有几种免费的内存获取工具可用，例如 MoonSols DumpIt。一旦你有了你的记忆副本，你就需要对其进行分析，并且可以使用像 Mandiant Redline 这样的工具（也是免费的）。

C。如果你真的很想找到你的系统上的内容，你真的应该对你的硬盘驱动器进行取证并处理图像，以确保问责制。有一些免费的 HDD 成像工具，例如 FTK Imager。获得 HDD 的快照后，您可以通过像 Autopsy forensic 套件这样的取证采集工具包运行它。然后，您可以针对坏文件哈希列表运行文件，该列表将根据过去对恶意软件的哈希值对您 PC 上的恶意文件发出警报。您可以在取证采集工具中加载哈希列表并针对您的文件系统运行它。您可以在 NSRL（国家软件参考库）中找到免费和最新的哈希列表。

2.如何防止将来被黑客入侵。

一个。最好在您的 PC 上使用日志收集和分析工具，即 HIDS 代理。OSSEC 是一个运行良好的开源 HIDS 代理。它从您的 PC 收集日志并监控系统关键文件和注册表项。

湾。使用 NIDS 系统是个好主意。这将观察电线上的妥协迹象。suricata 等工具提供了出色的监控功能。查看 SecurityOnion。它是一个包含 suricata 等工具的 linux 发行版。它使设置 NIDS 系统变得超级容易。

C。您确实需要掌握修补程序。使用漏洞评估工具，例如 OpenVAS（开源）。这将帮助您掌握网络上的漏洞。

d。制定可靠的事件响应计划！！！这太重要了。

e. 遵循 SANS 的 20 大关键安全控制。

答案很大程度上取决于您正在运行什么（例如，个人 PC 与大型公司服务器、正在使用的操作系统）。我的第一步是联系该领域的专业人士。如果您可以访问计算机安全团队/IT 部门（例如公司内部），我会立即咨询他们。如果您在美国，您可能可以利用计算机应急准备团队提供的资源：https ://www.us-cert.gov/ 在全球范围内，您可以在这里找到可以帮助您的团队：http:// www.first.org/

如果这是您的个人 PC，并且您无法联系到其他计算机安全专家，我会断开计算机与 Internet 的连接以防止进一步损坏（如果可行），然后查看日志文件以查找黑客所做的事情。您如何执行此操作取决于您运行的操作系统。有一些工具可以更轻松地查看日志文件（包括 Splunk）。如果您正在运行 Linux 服务器，那么这个问题对于取证也可能很有用：您如何知道您的服务器已被入侵？ 另一个很好的类似问题是：Web 服务器妥协后的取证

您可以在我刚刚问的这个问题下找到一些更好的日志文件审查工具：https : //security.stackexchange.com/questions/71526/good-log-file-review-tools