最坏的情况是：你有已经被黑的奇怪感觉，但是你不确定下一步应该怎么做。如果你和大部分的IT人士一样，你就不需要知道在哪儿查找系统被攻击的证据，那么你要如何判断你是否被攻击了呢？让我们看看在系统泄露后可以找到的更常见的证据吧。

　　开始，可疑的用户帐户（那些不符合特征或者习惯的账户应该在大部分的有效用户账户中禁止）应该禁用，研究一下并决定谁设置了账户以及设置的原因。如果开启了恰当的审计，审计日志可以显示谁创建这些账户。如果有可能确认账户创建的日期和时间，而且账户最终显示是黑客攻击的结果，你就可以在时间表中查看其它可能相符的审计日志事件。

　　为了确定可疑应用是否正在监听可以作为攻击的后门端口的入站连接，可以使用Microsoft Windows Sysinternals或者Fpipe from McAfee Inc. Foundstone部门的的TCPView等工具。这些Windows功能可以显示那些应用使用了系统上的开放端口。对于Unix系统，使用植入到操作系统中的netstat或者lsof。因为机敏的黑客可以使用木马（不会显示黑客打开的端口）替换netstat或lsof程序，最好可以从另一台计算机上使用Nmap端口扫描器扫描受攻击的系统。这样可以提供系统开放端口的不同角度的看法。攻击Windows服务器的黑客可能增加或者替换从以下区域通过注册表启动的程序：
• HKLM > Software > Microsoft > Windows > CurrentVersion> Run
• HKCU > Software > Microsoft > Windows > CurrentVersion> Run

　　恶意软件业可以从操作系统的工作表中启动。要查看Windows系统上计划运行那些工作，可以打开命令提示符，并键入AT。在Unix体统上，使用cron 或者crontab命令查看计划运行的工作表。

　　攻击Unix系统的黑客可能使用了rootkit。它可以帮助黑客通过攻击操作系统的漏洞或者安装应用或者根访问。因为黑客可以使用大量的rootkit,确定那些文件被修改了非常困难。有些程序可以帮助进行这项工作，例如chrootkit。黑客可以使用很多方法掩盖他的踪迹，但是查看上面提到的项目是确定你是否被黑的很好的开始。