windows 系统日志文件保护

windows 系统日志文件保护

ID:19773454

大小:119.00 KB

页数:6页

时间:2018-10-06

windows 系统日志文件保护_第1页
windows 系统日志文件保护_第2页
windows 系统日志文件保护_第3页
windows 系统日志文件保护_第4页
windows 系统日志文件保护_第5页
资源描述:

《windows 系统日志文件保护》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Windows系统日志文件的保护、备份和分析Windows系统以它的易用性倍受网管员的青睐,国内相当部分的大型网站都是用Windows2000/XP系统建立的。Windows系统使用的人多了,研究它安全的人也多了。在此我要提醒一下网管们,虽然你补上了所有的安全补丁,但是谁又知道新的漏洞何时又会被发现呢?所以也应该做好系统日志的保护工作。作为黑客,他们也是最关心系统日志的,一旦他们入侵成功,要做的第一件事就是删除你的日志文件,使你在被入侵后无法追踪黑客行为,以及检查黑客所做的操作行为。日志文件就像飞机中

2、的“黑匣子”一样重要,因为里面保存着黑客入侵行为的所有罪证。日志的移位与保护Windows2000的系统日志文件包括:应用程序日志、安全日志、系统日志、DNS服务日志,以及FTP连接日志和HTTPD日志等。在默认情况下日志文件大小为512KB,日志保存的默认的位置如下:安全日志文件:%systemroot%system32configSecEvent.EVT系统日志文件:%systemroot%system32configSysEvent.EVT应用程序日志文件:%systemroot%

3、system32configAppEvent.EVTFTP连接日志和HTTPD事务日志:%systemroot%system32LogFiles,下面还有子文件夹,分别对应该FTP和Web服务的日志,其对应的后缀名为.Log。在此笔者把系统默认为.EVT扩展名的日志文件统称为事件日志,笔者看了好多文章介绍对事件日志移位能做到很好的保护。移位虽是一种保护方法,但只要在命令行输入dirc:*.evt/s(如系统安装在D盘,则盘符为D),一下就可查找到事件日志位置。日志移位要通过修改注册表来完成

4、,我们找到注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog位置,下面的Application、Security、System几个子键,分别对应“应用程序日志”、“安全日志”、“系统日志”。如何修改注册表,下面我们来看看Application子键,如图1所示。图1File项就是“应用程序日志”文件存放的位置,把此键值改为我们要存放日志文件的文件夹,然后再把%systemroot%system32configappeve

5、nt.evt文件拷贝到此文件夹,再重启机器。在此介绍移位的目的是为了充分利用Windows2000在NTFS格式下的“安全”属性,如果不移位也无法对文件进行安全设置操作,右击移位后的文件夹选择“属性”,进入“安全”选项卡,不选择“允许将来自父系的可继承权限传播给该对象”,添加“System”组,分别给Everyone组“读取”权限,System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。进行了上面的设置后,再直接通过DelC:*.Ev

6、t/s/q来删除是删不掉的;对系统正在使用的记录文件在命令行形式中用上面的命令也是拒绝操作的。日志文件的备份基于WMI技术的日志备份脚本WMI(WindowsManagementInstrumentation)技术是微软提供的Windows下的系统管理工具,基于WMI开发的脚本均可在Windows2000/NT上成功运行。微软提供了一个脚本,利用WMI将日志文件大小设为25MB,并允许日志自动覆盖14天前的日志。我们只需把该脚本保存为.vbs扩展名的文件就可以使用,我们还可以修改上面的脚本来备份日志文

7、件,笔者在此建议,在备份日志时一定将EVT的后缀名改为其他后缀保存(如.C),目的是让攻击者不易找到。通过dumpel工具的备份可用微软ResourceKit工具箱中的dumpel.exe工具备份日志文件,其格式为:dumpel-ffile[-s\server][-llog[-msource]][-en1n2n3..][-r][-t][-dx] -s\server输出远程计算机日志,如果是本地,这个可以省略。-ffilename输出日志的位置和文件名。-lloglog可选为System,Secur

8、ity,Application,可能还有别的如DNS等。如要把目标服务器Server上的系统日志转存为Systemlog.log可以用如下格式:dumpel\server-lsystem-fSystemlog.log 如果利用计划任务还可以实现定期备份系统日志。HTTPD事务日志的分析Microsoft的IIS5自公布到现在,被黑客利用的漏洞是很多的,像.ida/.idq、unicode、WebDavx3和一些未知的漏洞,我们备份日志的目的就是为了分析

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。