一、日志查看
(1) 啟動Windows實驗台,點擊:開始 - 控制面板 - 管理工具 - 事件查看器。
(2) 應用程序日志、安全日志、系統日志、DNS日志默認位置:%sys temroot%\system32\config,默認文件大小512KB,管理員可以改變這個默認大小。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系統日志文件:%systemroot%\system32\config\SysEvent.EVT;
應用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
DNS日志:%systemroot%\system32\config\DnsEvent.EVT;
在事件查看器中右鍵應用程序(或安全性、系統、DNS服務器)查看屬性可以得到日志存放文件的路徑,並可修改日志文件的大小,清除日志。
選中事件查看器中左邊的樹形結構圖中的日志類型(應用程序、安全性或系統),右擊“查看”,並選擇“篩選”。或者點擊屬性頁面的篩選器標簽,日志篩選器將會啟動。通過篩選器系統會過濾出管理員希望查看的日志記錄
(3) 查看www和ftp日志文件夾下的日志文件
(由於實驗環境中不允許訪問互聯網,無法操作得出日志文件。請參考指導書使用個人電腦進行實驗。)
嘗試對www服務中某一文件進行訪問,則日志中則會有相應的日志記錄如下圖。
日志中記錄了訪問www服務的請求地址,管理員可以根據請求地址,發現網絡上的攻擊,管理員可根據日志信息,采取一定的防護措施。
ftp的日志中同樣會記錄ftp服務的登陸用戶,以及登陸之后的操作。
(4) 計划任務日志
當入侵者得到遠程系統的shell之后,常會利用計划任務運行功能更加強大的木馬程序,計划任務日志詳細的記錄的計划任務的執行時間,程序名稱等詳細信息。
打開計划任務文件夾,點擊“高級”-查看日志,即可查看計划任務日志。
二、日志清除
(1) 刪除事件查看器中的日志
主機下載使用elsave清除日志工具
下載地址:http://tools.hetianlab.com/tools/Elsave.rar
先用ipc$管道進行連接,在cmd命令提示符下輸入 net use \\對方IP(實驗台IP)\ipc$ "密碼" /user:"用戶名";
連接成功后,開始進行日志清除。
清除目標系統的應用程序日志輸入elsave.exe -s \\對方ip -l "application" -C
清除目標系統的系統日志輸入elsave.exe -s \\對方IP -l "system" -C
清除目標系統的安全日志輸入elsave.exe -s \\對方IP -l "security" -C
(2) 刪除常見服務日志
IIS的日志功能,它可以詳細的記錄下入侵全過程,如用unicode入侵時IE里打的命令,和對80端口掃描時留下的痕跡。
手動清除:日志的默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日志。進入到遠程主機后(也可直接在實驗台中操作),cmd下切換到這個目錄下,然后 del *.*。或者刪除某一天的日志。如果無法刪除文件,首先需要停止w3svc服務,再對日志文件進行刪除,使用net 命令停止服務如下:
C:\>net stop w3svc
World Wide Web Publishing Service 服務正在停止。
World Wide Web Publishing Service 服務已成功停止。
日志w3svc停止后,然后清空它的日志, del *.*
C:\>net start w3svc
清除ftp日志,日志默認位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默認每天一個日志,清除方法同上。
(3) 刪除計划任務日志
先來刪除計划任務日志:
在實驗台中命令行進入日志所在文件夾下(%systemroot%\Tasks), 刪除schedlgu.txt , 提示無法訪問文件,因為另一個程序正在使用此文件。說明服務保護,需要先把服務停掉。命令行中輸入net stop schedule;
下面的服務依賴於Task Scheduler 服務。停止Task Scheduler 服務也會停止這些服務。
Remote Storage Engine
Task Scheduler 服務正在停止. Task Scheduler 服務已成功停止。
如上顯示服務停掉了,同時也停掉了與它有依賴關系的服務。再來刪除schedlgu.txt;
刪除后需要再次啟動該任務以便主機能夠正常工作,輸入net start schedule:
2)清理日志能否把所有的痕跡都清理干凈。