入侵后的保护措施

    不管是个人普通电脑还是公司用电脑，保护好入侵现场是十分必要的，入侵现场作为经济损失评估和追踪入侵者的重要证据。发生网络入侵后，如果有安全事件应急方案，应当按照应急方案或者措施执行。

    （1）报告上司、网警、公安部门或国家安全局

    在计算机被入侵后，一般采用三种方式：一种就是彻底格式化硬盘，重新安装操作系统和软件；另外一种方法是安装一些木马查找软件，查杀木马和病毒后继续使用，最后一种就是利用原来系统中的Ghost备份进行恢复。正确的方法应该是评估计算机中资料的价值，根据其计算机的重要情况，一旦发现计算机被入侵后，应立刻将网络断开，并报告公司安全部门或网警或国家安全局等处理网络安全事件的部门，然后再做相应的处理。

    （2）保留证据

        在发生网络入侵后，一个很重要的步骤就是保留证据，面对入侵，最可能留下证据的就是硬盘，下面给出一些可供参考的保留证据步骤：

    ①使用软驱启动并克隆整个硬盘。在选择克隆硬盘时通过软盘启动并克隆是为了保证系统的时间不被更改。操作系统的一些文件会在启动计算机时进行时间的更新，为了保证时间的准确性，应该从软驱启动并通过软盘来克隆硬盘中的系统盘以及其它物理盘。

    ②将被入侵硬盘存封，保留最直接证据。

    ③还原操作系统使被攻击服务器或者个人电脑恢复正常。

    ④修改在本机上使用的相关软件以及操作系统账号的登录密码

    ⑤如果是服务器，则需要通知网络用户更改相应的密码

    具体的安全检查方法

    （1）检查计算机用户

    在被入侵的计算机中，极有可能添加了新用户或者对用户进行了克隆。可以按以下方式进行检查：

    ①查看目前用户。使用“net localgroup administrators”查看当前的具有管理员权限用户列表，也可以通过执行“lusrmgr.msc”命令来查看本地用户和组。