Hi 各位前輩: 主要狀況為:目前在公司工作時，時常會有重要郵件跳到垃圾桶，或是檔案被更改儲存位 置甚至遭到刪除，甚至檔案被無預警關閉，一開始以為是自己誤動作，但偶然去 windows 事件紀錄簿查詢log file，發現再出現異常狀況時候都會有如同網路文章中所註 記: 遠端讀寫C$, D$, E$..的事件(Security Event ID 5140)，但是回頭查詢4624的網路 登入資訊在那個時間點卻沒有 登入型別為10（遠端互動），實在難以找到對方IP，推 測估計對方為公司同區域網路內人員，不知用什麼方式入侵我主機(ex:在D槽安裝後門程 式 或是 C槽有隱藏帳戶?)，已經換過密碼，也查詢過帳戶，沒有可以之處，不知前輩 們是否可以給予建議，在電腦如何設定可以找到對方IP，或是推薦同業可以處理分析此問 題的 單位 或 人員 或網站，再麻煩IT前輩們幫忙，謝謝。(推文或是回信都可以) (我這邊有windows 登入事件紀錄檔案，以及windows遠端讀寫事件紀錄檔案， 若是前輩需要可以來信給我，我再寄給前輩們，謝謝。([email protected]) 附件1為今日(7/28)下午遠端讀取紀錄(約在下午4:50，如下圖1) (縮圖網址被判定為廣告，來信提供給您) 回頭對照附件2的4624登入紀錄(如下圖2)，我也看不出所以然，還煩請幫忙分析，謝謝。 (縮圖網址被判定為廣告，來信提供給您) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.156.119 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1595945542.A.0D5.html