از کجا بفهمیم سیستم هک شده و بهش نفوذ شده

سلام سوالتون خیلی کلی هست و در مورد اینکه ایا نفوذی انحام شده، کانکشن یا پورت غیر مجازی باز شده یا دسترسی غیر مجازی به سرویس یا فولددری گرفته شده و عامل و باعث اون چی بوده و چطور میشه اون رو برطرف کرد جای بحث داره .

در مورد کانشکن ها و پورت های سیستم میتونید از 

netstat -an 
netstat -anob (خروجی دقیق تر)

در cmd استفاده کنید.

در مورد اینکه چه کارهایی انجام داده اند باید لاگ ها و ترافیک شبکه رو مانیتور و بررسی کنید.

با سلام

باید از ابزار های مانیتورینگ لاگ مثل اسپلانک و Graylog  استفاده کنید. یا لاگ هارا ذخیره کنید با WireShark  تحلیل کنید

یا به صورت موردی یا کیس میتونید به EventViewr  یا با دستورات CMD بتوانید Connection  های مربوط به کلاینت را مشاهده بفرمایید.