windows日志查看與清理

日志查看 

(1) 應用程序日志、安全日志、系統日志、DNS日志默認位置：%sys temroot%\system32\config，默認文件大小512KB，管理員可以改變這個默認大小。

      安全日志文件：%systemroot%\system32\config\SecEvent.EVT；

      系統日志文件：%systemroot%\system32\config\SysEvent.EVT；

      應用程序日志文件：%systemroot%\system32\config\AppEvent.EVT；

      DNS日志：%systemroot%\system32\config\DnsEvent.EVT；

      在事件查看器中右鍵應用程序（或安全性、系統、DNS服務器）查看屬性可以得到日志存放文件的路徑，並可修改日志文件的大小，清除日志。例如選中“應用程序”右鍵屬性，如下圖：

      

      選中事件查看器中左邊的樹形結構圖中的日志類型（應用程序、安全性或系統），右擊“查看”，並選擇“篩選”。或者點擊屬性頁面的篩選器標簽，日志篩選器將會啟動。通過篩選器系統會過濾出管理員希望查看的日志記錄

(2) 查看www和ftp日志文件夾下的日志文件

     （由於實驗環境中不允許訪問互聯網，無法操作得出日志文件。請參考指導書使用個人電腦進行實驗。）

     嘗試對www服務中某一文件進行訪問，則日志中則會有相應的日志記錄如下圖。

     

     日志中記錄了訪問www服務的請求地址，管理員可以根據請求地址，發現網絡上的攻擊，管理員可根據日志信息，采取一定的防護措施。

     ftp的日志中同樣會記錄ftp服務的登陸用戶，以及登陸之后的操作。

(3) 計划任務日志

     當入侵者得到遠程系統的shell之后，常會利用計划任務運行功能更加強大的木馬程序，計划任務日志詳細的記錄的計划任務的執行時間，程序名稱等詳細信息。

     打開計划任務文件夾，點擊“高級”-查看日志，即可查看計划任務日志。

     

日志清除

(1) 刪除事件查看器中的日志

    主機下載使用elsave清除日志工具 

     下載地址：http://tools.hetianlab.com/tools/Elsave.rar

      需要將elsave.exe  copy到system32目錄下使用

    先用ipc$管道進行連接，在cmd命令提示符下輸入 net use \\對方IP（實驗台IP）\ipc$ "密碼" /user:"用戶名"；

     連接成功后，開始進行日志清除。

    清除目標系統的應用程序日志輸入elsave.exe -s \\對方ip -l "application" -C

    清除目標系統的系統日志輸入elsave.exe -s \\對方IP -l "system" -C

    清除目標系統的安全日志輸入elsave.exe -s \\對方IP -l "security" -C

     輸入如下圖

     

      

    回車后可以查看遠程主機內的系統日志已經被刪除了

      

(2) 刪除常見服務日志

    IIS的日志功能，它可以詳細的記錄下入侵全過程，如用unicode入侵時IE里打的命令，和對80端口掃描時留下的痕跡。　 

    手動清除：日志的默認位置：%systemroot%\system32\logfiles\w3svc1\，默認每天一個日志。進入到遠程主機后（也可直接在實驗台中操作），cmd下切換到這個目錄下，然后 del *.*。或者刪除某一天的日志。如果無法刪除文件，首先需要停止w3svc服務，再對日志文件進行刪除，使用net 命令停止服務如下：

    C:\>net stop w3svc

    World Wide Web Publishing Service 服務正在停止。

    World Wide Web Publishing Service 服務已成功停止。

     日志w3svc停止后，然后清空它的日志, del *.*

     C:\>net start w3svc

     清除ftp日志，日志默認位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，默認每天一個日志，清除方法同上。

(3) 刪除計划任務日志

    先來刪除計划任務日志：

    在實驗台中命令行進入日志所在文件夾下（%systemroot%\Tasks）， 刪除schedlgu.txt ， 提示無法訪問文件，因為另一個程序正在使用此文件。說明服務保護，需要先把服務停掉。命令行中輸入net stop schedule;

    

    下面的服務依賴於Task Scheduler 服務。停止Task Scheduler 服務也會停止這些服務。

    Remote Storage Engine

    Task Scheduler 服務正在停止. Task Scheduler 服務已成功停止。

    如上顯示服務停掉了，同時也停掉了與它有依賴關系的服務。再來刪除schedlgu.txt；

    刪除后需要再次啟動該任務以便主機能夠正常工作，輸入net start schedule：

    

 

分析與思考

1）還有哪些途徑可以發現網絡中存在的攻擊或者入侵。

1、查看任務管理器--進程，是否有可疑程序。查看詳細信息是否有可疑程序。必要時詳情中點擊程序右擊打開文件所在的位置看看，再右擊程序屬性看創建日期及修改日期，看是否最新更新過系統或驅動，沒有就要注意了。
2、看時間查看器--windows日志--系統，安全--信息--下部的常規--看服務文件名是否有可疑程序。
3、平時使用電腦比較快，看文件視頻瀏覽網頁不卡，但是遇到突然網頁卡死或無網絡、網絡非常慢等要檢查網線是否正常后查看是否被攻擊。被攻擊后建議備份數據重新裝系統。
2）清理日志能否把所有的痕跡都清理干凈。

否