系统入侵首先从账号权限修改开始，常见的操作有，给自己开新账号，修改已有账号权限，如：提升guest账号为管理员等，如果手工去检查账号的变化，不仅繁琐，而且会遗漏，因为有经验的黑客操作后，会清除事件日志。理想的方式是，只要服务器账号权限发生改变，就即时通知相关人员。在.net中，提供了EventLog对象，我们可以利用EventLog的EntryWrittenEvent事件来监控账号相关的操作。st