入侵后的痕跡清理

入侵后的痕跡清理-電腦資料入侵后的痕跡清理安全日志、系統(tǒng)日志、DNS日志默認位置復制內(nèi)容到剪貼板代碼:%systemroot%\system32\config系統(tǒng)日志文件復制內(nèi)容到剪貼板代碼:％systemroot%\system32\config\SysEvent.EVT應用程序日志文件復制內(nèi)容到剪貼板代碼:％systemroot%\system32\config\AppEvent.EVTFTP日志默認位置復制內(nèi)容到剪貼板代碼：％systemroot%\system32\logfiles\msftpsvc1\，默認每天一個WWW日志默認位置復制內(nèi)容到剪貼板代碼：％systemroot%\system32\logfiles\w3svc1\默認每天一個日志以上日志在注冊表里的鍵：應用程序日志，安全日志，系統(tǒng)日志，DNS服務器日志，它們這些LOG文件在注冊表中的：復制內(nèi)容到剪貼板代碼:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog鑰匙（表示成功）和鎖（表示當用戶在做什么時被系統(tǒng)停止）。接連四個鎖圖標，表示四次失敗審核，事件類型是帳戶登錄和登錄、注銷失敗怎樣刪除這些日志：通過上面，得知日志文件通常有某項服務在后臺保護，除了系統(tǒng)日志、安全日志、應用程序日志等等，它們的服務是Windos2000的關(guān)鍵進程，而且與注冊表文件在一塊，當Windows2000啟動后，啟動服務來保護這些文件，所以很難刪除.下面就是很難的安全日志和系統(tǒng)日志了，守護這些日志的服務是EventLog，試著停掉它！復制內(nèi)容到剪貼板代碼：D:\SERVER\system32\LogFiles\W3SVC1>netstopeventlog這項服務無法接受請求的〃暫停〃或〃停止〃操作。怎么清除系統(tǒng)日志.怎么利用工具清除IIS日志怎么清除歷史和cookie怎么察看防火墻Blackice的日志netstat-an表示的什么意思系統(tǒng)日志通過手工很難清除.這里我們介紹一個工具clearlog.exe使用方法:復制內(nèi)容到剪貼板代碼:Usage:clearlogs[\\computername]<-app/-sec/-sys>-app=應用程序日志-sec=安全日志-sys二系統(tǒng)日志a.可以清除遠程計算機的日志**先用ipc連接上去:復制內(nèi)容到剪貼板代碼:netuse\\ip\ipc$密碼/user:用戶名**然后開始清除:方法復制內(nèi)容到剪貼板代碼:clearlogs\\ip-app這個是清除遠程計算機的應用程序日志復制內(nèi)容到剪貼板代碼:clearlogs\\ip-sec這個是清除遠程計算機的安全日志復制內(nèi)容到剪貼板代碼:clearlogs\\ip-sys這個是清除遠程計算機的系統(tǒng)日志b.清除本機日志:如果和遠程計算機的不能空連接.那么就需要把這個工具傳到遠程計算機上面然后清除.方法:復制內(nèi)容到剪貼板代碼:clearlogs-app這個是清除遠程計算機的應用程序日志復制內(nèi)容到剪貼板代碼：clearlogs-sec這個是清除遠程計算機的安全日志復制內(nèi)容到剪貼板代碼：clearlogs-sys這個是清除遠程計算機的系統(tǒng)日志安全日志已經(jīng)被清除.Success:Theloghasbeencleared成功.離開你的肉雞了.例如建立一個c.bat復制內(nèi)容到剪貼板代碼:rem=============================二開始@echooffclearlogs-appclearlogs-secclearlogs-sysdelclearlogs.exedelc.batexit

rem結(jié)束rem在你的計算機上面測試的時候可以不要@echooff可以顯示出來.你可以看到結(jié)果第一行表示:運行時不顯示窗口第二行表示:清除應用程序日志第三行表示:清除安全日志第四行表示:清除系統(tǒng)日志第五行表示:刪除clearlogs.exe這個工具第六行表示:刪除c.bat這個批處理文件第七行表示:退出用AT命令.建立一個計劃任務.這個命令在原來的教程里面和雜志里面都有.你可以去看看詳細的使用方法AT時間c:\c.bat之后你就可以安全離開了.這樣才更安全一點.清除iis日志：工具:cleaniis.exe使用方法:復制內(nèi)容到剪貼板代碼:iisantidoteiisantidotestopstopopitonwillstopiisbeforeclearingthefilesandrestartitafterexemple:c:\winnt\system32\logfiles\w3svc1\dontforgetthe\使用方法解釋：cleaniis.exeiis日志存放的路徑清除參數(shù)什么意思呢？？我來給大家舉個例子吧：復制內(nèi)容到剪貼板代碼:cleaniisc:\winnt\system32\logfiles\w3svc1\這個表示清除這個目錄里面的所以的日志復制內(nèi)容到剪貼板代碼：c:\winnt\system32\logfiles\w3svc1代表是iis日志的位置(windowsnt/2000)這個路徑可以改變復制內(nèi)容到剪貼板代碼:c:\windows\system32\logfiles\w3svc1代表是iis日志的位置(windowsxp/2003)這個路徑可以改變這個測試表示在日志里面沒有這個ip地址.我們看一下日志的路徑再來看一下我們的ip()已經(jīng)沒有了.已經(jīng)全部清空.同樣這個也可以建立批處理.方法同上面的那個.清除歷史記錄及運行的日志:cleaner.exe直接運行就可以了.察看blackice的日志.這個地方我們可以清除的看到防火墻的日志.這個表示有人發(fā)過來帶有病毒的email附件.ip是：16tcp_probe_other表示通過tcp掃描或者利用別的和你建立連接通信這個表示通過端口80掃描iis病毒nimda這里需要很多的計算機協(xié)議知識.同時也需要對英語有了解才能更好的分析如果對英語不好你可以裝一個金山詞