Windows系統的日志文件有應用程序日志、安全日志、系統日志等,它們默認的地址為:%systemroot%\system32\config。當然有的管理員為了更好地保存系統日志文件,往往將這些日志文件的地址進行重新的定位,其中在EVENTLOG下面有很多子表,在裡面可查到以上日志的定位目錄。
如果用戶想要清除自己系統中的日志文件,首先需要用管理員賬號登錄Windows系統,接著在“控制面板”中進入“管理工具”,再雙擊裡面的“事件查看器”。然後選擇打開我們需要清除的日志文件,比如用戶想清除安全日志,可以右鍵點擊“安全性”選項,在彈出的菜單中選擇“屬性”命令。接下來在彈出的對話框中,點擊下面“清除日志”按鈕就可以清除了。
剛剛介紹了對於本地的日志文件的清除,但是如果是一名黑客,入侵系統成功後第一件事便是清除日志。黑客會使用兩個辦法來清除遠程計算機上的日志文件。其中一是自己編寫批處理文件來解決,編寫一個能清除日志的批處理非常簡單:
@del c:\winnt\system32\logfiles\*.*
@del c:\winnt\system32\config\*.evt
@del c:\winnt\system32\dtclog\*.*
@del c:\winnt\system32\*.log
@del c:\winnt\system32\*.txt
@del c:\winnt*.txt
@del c:\winnt*.log
@del c:\dellog.bat
把上面的內容保存為dellog.bat備用。Tw.wINgwiT.cOm接著通過IPC共享連接到遠程計算機上,將這個批處理文件上傳到遠程計算機系統並執行,即可清除肉雞上的日志文件。
另外,清除日志文件還可以借助第三方軟件,比如小榕的elsave.exe就是一款可以清除遠程以及本地系統中系統日志、應用程序日志、安全日志的軟件。elsave.exe使用起來很簡單,首先還是利用管理員賬號建立IPC連接,接著在命令行下執行清除命令,這樣就可以刪除這些系統中的網絡日志文件。
From:http://tw.wingwit.com/Article/Software/201309/729.html