返回
日志大战windows日志

日志大战windows日志

ID:15546000

大小:28.50 KB

页数:6页

时间:2018-08-04

日志大战windows日志_第1页
日志大战windows日志_第2页
日志大战windows日志_第3页
日志大战windows日志_第4页
日志大战windows日志_第5页
资源描述:

《日志大战windows日志》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、日志大战Windows日志http://anqn.com/article/h/2006-01-14/a0977170.shtml二、通过日志找黑客如果想全盘掌握计算机在最近时间内的操作,只要查阅相关的日志就可以知晓。这里就通过实例分析一个WWW日志,看看是如何发现访问者的踪迹的。我们知道,WWW日志默认情况下每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex041010,就是2004年10月10日产生的日志,用记事本就可直接打开。下面是一个典型的WWW日志文件内容片段:#Software:MicrosoftInternetInfo

2、rmationServices5.0 (微软IIS5.0)#Version:1.0 (版本1.0)#Date:2004101007:31 (服务启动时间日期)#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent) 2004101009:29220.202.242.10220.202.242.9880GET/default.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 200410101

3、0:15220.202.242.25220.202.242.9880GET/vod/default.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) …………通过分析第五行,就可以得知2004年10月10日,IP地址为220.202.242.10的用户通过访问IP地址为220.202.242.10机器的80端口,查看了一个网页default.asp。并且还可以知道该用户的浏览器为IE5.0。小提示:其实,这些在系统日志和安全日志中也会进行记录,不过只显示了你的机器名,并没有你的IP。所以即使你删掉FTP

4、和WWW日志,在系统日志和安全日志还是会有记录。三、日志保护跟我来Windows日志引发的较量,其实就是网络管理员和非法入侵者的较量。作为一名合格的网络管理员,如何来优化、保护日志呢?1.优化配置日志我们知道,日志的默认大小为512KB,如果超出则会报错,并且不会再记录任何日志。所以要优化配置日志,首要任务是更改默认大小,具体方法:在注册表中展开如下子键:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog对应的每个日志如系统、安全、应用程序等均有一个Maxsize键值,将其更改为一个合适的大小(建议至少

5、要能容纳一个星期的记录),如图2所示。图2小提示:为了防止他人轻意发现、查看日志定位到一个隐藏的位置。2.定时备份日志网络管理员应该养成备份日志的良好习惯,要备份日志,推荐使用微软的resourceKit工具包中的dumpel.exe,其语法格式为:dumpel-ffile[-s\server][-llog[-msource]][-en1n2n3..][-r][-t][-dx],其中-llog可选的有:system,security,application等。若想把目标服务器CATV上的系统日志转存为bksystem.log,只要运行如下命令即可:dumpel-fbksy

6、stem.log-s\CATV-lsystem。四、日志的清除伪造难道因为有日志记录,黑客就停止了入侵吗?不!这是不可能的,日志记录了我们的行踪,把它清除掉不就得了!然后再伪造一份假的日志,想找到我,没门!1.清除日志很简单成功入侵后,黑客要做的第一件事就是清除日志,下面先来看看如何清除安全日志、系统日志、应用程序日志,借助小榕的Elsave.exe就可以轻松实现。这里假设已经获取了目标主机的管理员帐户,并允许IPC连接。首先与对方建立IPC会话:netuse\192.168.0.2123/user:snow,然后运行如下命令:E:ELSAVE.EXE-s\192.

7、168.0.2-l"system"-CE:ELSAVE.EXE-s\192.168.0.2-l"application"-CE:ELSAVE.EXE-s\192.168.0.2-l"security"–C这样就依次清除了系统日志,应用程序日志,安全日志了(如图3)!其实利用这个软件还可进行备份日志,只要加一个参数-ffilename就可以了。图3还一种比较简单但有点费时的方法:在“管理工具”中打开“事件查看器”,点击“操作”菜单中的“连接到另一台计算机”项,选择“连接到另一台计算机”,输入远程计算机的IP,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。