《黑客第19章》-公开·课件设计.pptVIP

19.1.1 日志的详细定义 1. 日志文件的默认位置 ⑴ DNS日志的默认位置：%systemroot%\system32\config，默认文件大小为512KB，管理员都会改变这个默认大小。 ⑵ 安全日志文件默认位置：%systemroot%\system32\config\SecEvent.EVT。 ⑶ 系统日志文件默认位置：%systemroot%\system32\config\sysEvent.EVT。 ⑷ 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT。 ⑸ Internet 信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志。 ⑹ Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志。 ⑺ Scheduler服务日志默认位置：%systemroot%\schedlgu.txt。 2. 日志在注册表里的键 ⑴ 应用程序日志、安全日志、系统日志、DNS服务器日志的文件在注册表中的键为：HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog，有的管理员很可能将这些日志重定位。其中Eventlog下面有很多子表，里面可查看到以上日志的定位目录。 ⑵ Schedluler服务日志在注册表中的键为：HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\SchedulingAgent。 ⑶ FTP和WWW日志 FTP日志和WWW日志在默认情况下，每天生成一个日志文件，包括当天的所有记录。文件名通常为ex（年份）（月份）（日期），从日志里能看出黑客入侵时间，使用的IP地址以及探测时使用的用户名，这样使得管理员可以想出相应的对策。 19.1.2 为什么要清除日志 Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等，这些根据用户的系统开启的服务的不同而有所不同。 当在系统上进行一些操作时，这些日志文件通常会记录下大家操作的一些相关内容，这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测，系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等，用FTP探测后，就会在FTP日志中记下IP、时间、探测所用的用户名等。 在Windows系统中，日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等，其扩展名为log.txt。 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己，网络上有很多专门进行此类功能的程序，例如Zap、Wipe等。 当前的计算机病毒越来越复杂，对于网上求助这种远程的判断和分析来说，必须借助第三方的软件分析，借助日志文件的内容，高手们能够分析出用户的系统的大部分故障以及IE浏览器被劫持、恶意插件、流氓软件以及部分的木马病毒等。 为了防止管理员发现计算机被黑客入侵后，通过日志文件查到黑客的来源，入侵者都会在断开与入侵自己的主机连接前删除入侵时的日志。 19.2 清除日志文件 19.2.1 分析入侵日志 19.2.2 手工清除日志文件 19.2.3 利用工具清除日志文件 19.2.2 手工清除日志文件 这里以删除IIS日志为例，来介绍手工删除日志的方法，具体的操作步骤如下。 ? 由于IIS日志一般都保存在“C:\Windows\system32\LogFiles\W3SVC1”目录下。所以可以在该目录下可看到所有的IIS文件。 ? 右击要删除的日志文件并按下del键，即可看到【删除文件或文件夹时出错】提示框，要删除IIS中的www和FTP日志必须先关闭相应的服务才可以进行。 ? 出现这种情况是因为相应的服务还在运行，此时在【Internet信息服务】窗口中可以看到网站正在运行。 19.2.2 手工清除日志文件 ? 右击“默认网站”图标，在弹出的快捷菜单中选择【停止】菜单项，即可将其停止。 ? 如果想彻底删除日志文件，则可以在【服务】窗口中的【服务】列表中右击【Event Log】服务，在弹出的快捷菜单中选择【属性】菜单项，即可打开【Event Log（本地计算机）属性】对话