入侵后的痕跡清理

入侵后的痕跡清理-電腦資料入侵后的痕跡清理安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置復(fù)制內(nèi)容到剪貼板代碼:%systemroot%\system32\config系統(tǒng)日志文件復(fù)制內(nèi)容到剪貼板代碼:％systemroot%\system32\config\SysEvent.EVT應(yīng)用程序日志文件復(fù)制內(nèi)容到剪貼板代碼:％systemroot%\system32\config\AppEvent.EVTFTP日志默認(rèn)位置復(fù)制內(nèi)容到剪貼板代碼：％systemroot%\system32\logfiles\msftpsvc1\，默認(rèn)每天一個(gè)WWW日志默認(rèn)位置復(fù)制內(nèi)容到剪貼板代碼：％systemroot%\system32\logfiles\w3svc1\默認(rèn)每天一個(gè)日志以上日志在注冊(cè)表里的鍵：應(yīng)用程序日志，安全日志，系統(tǒng)日志，DNS服務(wù)器日志，它們這些LOG文件在注冊(cè)表中的：復(fù)制內(nèi)容到剪貼板代碼:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog鑰匙（表示成功）和鎖（表示當(dāng)用戶在做什么時(shí)被系統(tǒng)停止）。接連四個(gè)鎖圖標(biāo)，表示四次失敗審核，事件類型是帳戶登錄和登錄、注銷失敗怎樣刪除這些日志：通過(guò)上面，得知日志文件通常有某項(xiàng)服務(wù)在后臺(tái)保護(hù)，除了系統(tǒng)日志、安全日志、應(yīng)用程序日志等等，它們的服務(wù)是Windos2000的關(guān)鍵進(jìn)程，而且與注冊(cè)表文件在一塊，當(dāng)Windows2000啟動(dòng)后，啟動(dòng)服務(wù)來(lái)保護(hù)這些文件，所以很難刪除.下面就是很難的安全日志和系統(tǒng)日志了，守護(hù)這些日志的服務(wù)是EventLog，試著停掉它！復(fù)制內(nèi)容到剪貼板代碼：D:\SERVER\system32\LogFiles\W3SVC1>netstopeventlog這項(xiàng)服務(wù)無(wú)法接受請(qǐng)求的〃暫?！ɑ颉ㄍＶ埂ú僮?。怎么清除系統(tǒng)日志.怎么利用工具清除IIS日志怎么清除歷史和cookie怎么察看防火墻Blackice的日志netstat-an表示的什么意思系統(tǒng)日志通過(guò)手工很難清除.這里我們介紹一個(gè)工具clearlog.exe使用方法:復(fù)制內(nèi)容到剪貼板代碼:Usage:clearlogs[\\computername]<-app/-sec/-sys>-app=應(yīng)用程序日志-sec=安全日志-sys二系統(tǒng)日志a.可以清除遠(yuǎn)程計(jì)算機(jī)的日志**先用ipc連接上去:復(fù)制內(nèi)容到剪貼板代碼:netuse\\ip\ipc$密碼/user:用戶名**然后開(kāi)始清除:方法復(fù)制內(nèi)容到剪貼板代碼:clearlogs\\ip-app這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的應(yīng)用程序日志復(fù)制內(nèi)容到剪貼板代碼:clearlogs\\ip-sec這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的安全日志復(fù)制內(nèi)容到剪貼板代碼:clearlogs\\ip-sys這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的系統(tǒng)日志b.清除本機(jī)日志:如果和遠(yuǎn)程計(jì)算機(jī)的不能空連接.那么就需要把這個(gè)工具傳到遠(yuǎn)程計(jì)算機(jī)上面然后清除.方法:復(fù)制內(nèi)容到剪貼板代碼:clearlogs-app這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的應(yīng)用程序日志復(fù)制內(nèi)容到剪貼板代碼：clearlogs-sec這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的安全日志復(fù)制內(nèi)容到剪貼板代碼：clearlogs-sys這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的系統(tǒng)日志安全日志已經(jīng)被清除.Success:Theloghasbeencleared成功.離開(kāi)你的肉雞了.例如建立一個(gè)c.bat復(fù)制內(nèi)容到剪貼板代碼:rem=============================二開(kāi)始@echooffclearlogs-appclearlogs-secclearlogs-sysdelclearlogs.exedelc.batexit

rem結(jié)束rem在你的計(jì)算機(jī)上面測(cè)試的時(shí)候可以不要@echooff可以顯示出來(lái).你可以看到結(jié)果第一行表示:運(yùn)行時(shí)不顯示窗口第二行表示:清除應(yīng)用程序日志第三行表示:清除安全日志第四行表示:清除系統(tǒng)日志第五行表示:刪除clearlogs.exe這個(gè)工具第六行表示:刪除c.bat這個(gè)批處理文件第七行表示:退出用AT命令.建立一個(gè)計(jì)劃任務(wù).這個(gè)命令在原來(lái)的教程里面和雜志里面都有.你可以去看看詳細(xì)的使用方法AT時(shí)間c:\c.bat之后你就可以安全離開(kāi)了.這樣才更安全一點(diǎn).清除iis日志：工具:cleaniis.exe使用方法:復(fù)制內(nèi)容到剪貼板代碼:iisantidoteiisantidotestopstopopitonwillstopiisbeforeclearingthefilesandrestartitafterexemple:c:\winnt\system32\logfiles\w3svc1\dontforgetthe\使用方法解釋：cleaniis.exeiis日志存放的路徑清除參數(shù)什么意思呢？？我來(lái)給大家舉個(gè)例子吧：復(fù)制內(nèi)容到剪貼板代碼:cleaniisc:\winnt\system32\logfiles\w3svc1\這個(gè)表示清除這個(gè)目錄里面的所以的日志復(fù)制內(nèi)容到剪貼板代碼：c:\winnt\system32\logfiles\w3svc1代表是iis日志的位置(windowsnt/2000)這個(gè)路徑可以改變復(fù)制內(nèi)容到剪貼板代碼:c:\windows\system32\logfiles\w3svc1代表是iis日志的位置(windowsxp/2003)這個(gè)路徑可以改變這個(gè)測(cè)試表示在日志里面沒(méi)有這個(gè)ip地址.我們看一下日志的路徑再來(lái)看一下我們的ip()已經(jīng)沒(méi)有了.已經(jīng)全部清空.同樣這個(gè)也可以建立批處理.方法同上面的那個(gè).清除歷史記錄及運(yùn)行的日志:cleaner.exe直接運(yùn)行就可以了.察看blackice的日志.這個(gè)地方我們可以清除的看到防火墻的日志.這個(gè)表示有人發(fā)過(guò)來(lái)帶有病毒的email附件.ip是：16tcp_probe_other表示通過(guò)tcp掃描或者利用別的和你建立連接通信這個(gè)表示通過(guò)端口80掃描iis病毒nimda這里需要很多的計(jì)算機(jī)協(xié)議知識(shí).同時(shí)也需要對(duì)英語(yǔ)有了解才能更好的分析如果對(duì)英語(yǔ)不好你可以裝一個(gè)金山詞