Windows
的日志文件通常有應用程序日志
安全日志
系統日志
DNS服務器日志
FTP日志
WWW日
志等等
可能會根據服務器所開啟的服務不同
當我們用流光探測時
比如說IPC探測
就會在安全日志
裡迅速地記下流光探測時所用的用戶名
時間等等
用FTP探測後
也會立刻在FTP日志中記下IP
時間
探測所用的用戶名和密碼等等
甚至連流影啟動時需要msvcp
dll這個動庫鏈接庫
如果服務器沒有這
個文件都會在日志裡記錄下來
這就是為什麼不要拿國內主機探測的原因了
他們記下你的IP後會很容易
地找到你
只要他想找你!!還有Scheduler日志這也是個重要的LOG
你應該知道經常使用srv
exe就是通過這個服務來啟動的
其記錄著所有由Scheduler服務啟動的所有行為
如服務的啟動和停止
日志文件默認位置
應用程序日志
安全日志
系統日志
DNS日志默認位置
%systemroot%\system
\config
默認文件大小
KB
管理員都會改變這個默認大小
安全日志文件
%systemroot%\system
\config\SecEvent
EVT
系統日志文件
%systemroot%\system
\config\SysEvent
EVT
應用程序日志文件
%systemroot%\system
\config\AppEvent
EVT
Internet信息服務FTP日志默認位置
%systemroot%\system
\logfiles\msftpsvc
\
默認每天一個日志 Internet信息服務WWW日志默認位置
%systemroot%\system
\logfiles\w
svc
\
默認每天一個日志 Scheduler服務日志默認位置
%systemroot%\schedlgu
txt
以上日志在注冊表裡的鍵
應用程序日志
安全日志
系統日志
DNS服務器日志
它們這些LOG文件在注冊表中的
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
有的管理員很可能將這些日志重定位
其中EVENTLOG下面有很多的子表
裡面可查到以上日志的定位目錄
Schedluler服務日志在注冊表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
FTP和WWW日志詳解
FTP日志和WWW日志默認情況
每天生成一個日志文件
包含了該日的一切記錄
文件名通常為ex(年份)(月份)(日期)
例如ex
就是
年
月
日產生的日志
用記事本就可直接打開
如下例
#Software: Microsoft Internet Information Services
(微軟IIS
)
#Version:
(版本
)
#Date:
(服務啟動時間日期)
#Fields: time cip csmethod csuristem scstatus
[
]USER administator
(IP地址為
用戶名為administator試圖登錄)
[
]PASS –
(登錄失敗)
:
[
]USER nt
(IP地址為
用戶名為nt的用戶試圖登錄)
:
[
]PASS –
(登錄失敗)
:
[
]USER cyz
(IP地址為
用戶名為cyz的用戶試圖登錄)
[
]PASS –
(登錄失敗)
[
]USER administrator
(IP地址為
用戶名為administrator試圖登錄)
[
]PASS –
(登錄成功)
[
]MKD nt
(新建目錄失敗)
[
]QUIT –
(退出FTP程序)
從日志裡就能看出IP地址為
的用戶一直試圖登錄系統
換了四次用戶名和密碼才成功
管理員立即就可以得知管理員的入侵時間
IP地址以及探測的用戶名
如上例入侵者最終是用administrator用戶名進入的
那麼就要考慮更換此用戶名的密碼
或者重命名administrator用戶
WWW日志 WWW服務同FTP服務一樣
產生的日志也是在%systemroot%\System
\LogFiles\W
SVC
目錄下
默認是每天一個日志文件
下面是一個典型的WWW日志文件
#Software: Microsoft Internet Information Services
#Version:
#Date:
:
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
:
GET /iisstart
asp
Mozilla/
+(compatible;+MSIE+
;+Windows+
;+DigExt)
:
GET /pagerror
gif
Mozilla/
+(compatible;+MSIE+
;+Windows+
;+DigExt)
通過分析第六行
可以看出
年
月
日
IP地址為
的用戶通過訪問IP地址為
機器的
端口
查看了一個頁面iisstart
asp
這位用戶的浏覽器為
compatible;+MSIE+
;+Windows+
+DigExt
有經驗的管理員就可通過安全日志
FTP日志和WWW日志來確定入侵者的IP地址以及入侵時間
既使你刪掉FTP和WWW日志
但是還是會在系統日志和安全日志裡記錄下來
但是較好的是只顯示了你的
機器名
並沒有你的IP
例如上面幾個探測之後
系統日志將會產生下面的記錄
一眼就能看出
年
月
日
點
分
系統因為某些事件出現警告
雙擊頭一個
打開它的屬性
屬性裡記錄了出現警告的原因
是因為有人試圖用
administator用戶名登錄
出現一個錯誤
來源是FTP服務
同時安全記錄裡寫將同時記下
(Ekin:此圖不是此次示例的安全日志)
在上圖中可以看到兩種圖標
鑰匙(表示成功)和鎖(表示當用戶在做什麼時被系統停止)
接連四個
鎖圖標
表示四次失敗審核
事件類型是帳戶登錄和登錄
注銷失敗
日期為
年
月
日
時間為
這就需要重點觀察
雙點第一個失敗審核事件的
即得到此事件的詳細描述
如下圖
所示
分析上圖
我們可以得知有個CYZ的工作站
用administator用戶名登錄本機
但是因為用戶名未知或密
碼錯誤(實際為密碼錯誤)未能成功
另外還有DNS服務器日志
不太重要
就此略過(其實是我沒有看過它)
知道了Windows
日志的詳細情況
下面就要學會怎樣刪除這些日志:通過上面
得知日志文件通常有某項服務在後台保護
除了系統日志
安全日志
應用程序日志等等
它們的服務是Windos
的關鍵進程
而且與注冊表文件在一塊
當Windows
啟動後
啟動服務來保
護這些文件
所以很難刪除
而FTP日志和WWW日志以及Scedlgu日志都是可以輕易地刪除的
首先要取得Admnistrator密碼或Administrators組成員之一
然後Telnet到遠程主機
先來試著刪除FTP日志
D:\SERVER>del schedlgu
txt
D:\SERVER\SchedLgU
Txt
進程無法訪問文件
因為另一個程序正在使用此文件
說過了
後台有服務保護
先把服務停掉!
D:\SERVER>net stop
task scheduler
下面的服務依賴於 Task Scheduler 服務
停止 Task Scheduler 服務也會停止這些服務
Remote Storage Engine
是否繼續此操作? (Y/N) [N]: y
Remote Storage Engine 服務正在停止
Remote Storage Engine 服務已成功停止
Task Scheduler 服務正在停止
Task Scheduler 服務已成功停止
OK
它的服務停掉了
同時也停掉了與它有依賴關系的服務
再來試著刪一下!
D:\SERVER>del schedlgu
txt
D:\SERVER>
沒有反應?成功了!下一個是FTP日志和WWW日志
原理都是一樣
先停掉相關服務
然後再刪日志!
D:\SERVER\system
\LogFiles\MSFTPSVC
>del ex*
log
D:\SERVER\system
\LogFiles\MSFTPSVC
>
以上操作成功刪除FTP日志!再來WWW日志!
D:\SERVER\system
\LogFiles\W
SVC
>del ex*
log
D:\SERVER\system
\LogFiles\W
SVC
>
OK!恭喜
現在簡單的日志都已成功刪除
下面就是很難的安全日志和系統日志了
守護這些日志的服
務是Event Log
試著停掉它!
D:\SERVER\system
\LogFiles\W
SVC
>net stop eventlog
這項服務無法接受請求的
暫停
或
停止
操作
KAO
I 服了 U
沒辦法
它是關鍵服務
如果不用第三方工具
在命令行上根本沒有刪除安全日志和系
統日志的可能!所以還是得用雖然簡單但是速度慢得死機的辦法
打開
控制面板
的
管理工具
中的
事件查看器
(
沒有
知道用Win
k的好處了吧)
在菜單的
操作
項有一個名為
連接到另一台
計算機
的菜單
點擊它如下圖所示
輸入遠程計算機的IP
然後點支煙
等上數十分鐘
忍受象死機的折磨
然後打開下圖
選擇遠程計算機的安全性日志
右鍵選擇它的屬性
點擊屬性裡的
清除日志
按鈕
OK!安全日志清除完畢!同樣的忍受痛苦去清除系統日志!
目前在不借助第三工具的情況下
能很快
很順利地清除FTP
WWW還有Schedlgu日志
就是系統日志和
安全日志屬於Windows
的嚴密守護
只能用本地的事件查看器來打開它
因為在圖形界面下
加之網
速又慢
如果你銀子多
時間閒
還是可以清除它的
綜上所述
介紹了Windows
的日志文件以及刪
除方法
但是你必須是Administrator
注意必須作為管理員或管理組的成員登錄才能打開安全日志記錄
該過程適用於 Windows
Professional 計算機
也適用於作為獨立服務器或成員服務器運行的Windows
Server 計算機
至此
Windows
安全知識基礎講座完畢
還有幾句話要講
大家也看出來了
From:http://tw.wingwit.com/Article/os/xtgl/201311/9084.html
