欢迎来到天天文库
浏览记录
ID:26944407
大小:360.82 KB
页数:16页
时间:2018-11-30
《《日志清除技术》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第17讲日志清除技术答疑地点:12J810
2、12J806网络答疑:QQ:252175436答疑时间:周三上午9:30-11:00内容提纲Windows日志原理IPC$空链接LINUX日志原理防御技术和方案2021/9/212Windows日志原理日志文件是一类文件系统的集合,通过对日志进行统计、分析、综合,可有效的掌握系统的运行状况。因此,无论是系统管理员还是黑客都极其重视日志文件。管理员可以通过日志文件查看系统的安全性,找到入侵者的IP地址和各种入侵证据。黑客会在入侵成功后迅速清除对自己不利的日志,以免留下蛛丝马迹。202
3、1/9/213Windows日志原理Windows的日志文件通常有应用程序日志,安全日志、系统日志、IIS日志等等,可能会根据服务器所开启的服务不同。2021/9/214Windows日志原理各日志文件的默认位置如下:安全日志文件:%systemroot%system32configSecEvent.EVT系统日志文件:%systemroot%system32configSysEvent.EVT应用程序日志文件:%systemroot%system32configAppEvent.EVTInternet信息
4、服务FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认每天一个日志Internet信息服务WWW日志默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日志2021/9/215Windows日志原理2021/9/216在事件日志中,以下面几种情况来表示整个系统运行过程中出现的事件:1)“错误”是指比较严重的问题,通常是出现了数据丢失或功能丢失;2)“警告”则表明情况暂时不严重,但可能会在将来引起错误,比如磁盘空间太少等;
5、3)“信息”则是记录运行成功的事件。另外,安全日志则直接以成功审核和失败审核来标识事件的成功与否。IPC$空链接在清除系统日志、安全日志和应用程序日志时,我们需要首先和目标机器建立IPC$空链接。IPC$(InternetProcessConnection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。2021/9/217IPC$空链接IPC$有一个特点,即在同一时间内,两个IP之间只允许建立一
6、个连接。在初次安装系统时就打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低2021/9/218IPC$空链接2021/9/219删除远程主机日志时可能会用到的相关命令:1)建立空连接:netuse\IPipc$""/user:""2)建立非空连接:netuse\IPipc$"psw"/user:"account"3)查看远程主机的共享资源netview\IP4)查看
7、本地主机的共享资源(可以看到本地的默认共享)netshare5)得到远程主机的用户名列表nbtstat-AIPIPC$空链接6)得到本地主机的用户列表netuser7)查看远程主机的当前时间nettime\IP8)显示本地主机当前服务netstart9)启动/关闭本地服务netstart服务名/ynetstop服务名/y10)映射远程共享:netusez:\IPbaby此命令将共享名为baby的共享资源映射到z盘2021/9/2110IPC$空链接11)删除共享映射netusec:/del删除映射的c盘,其他盘类推ne
8、tuse*/del/y删除全部12)向远程主机复制文件copy路径srv.exe\IP共享目录名,如:copyccbirds.exe\*.*.*.*c即将当前目录下的文件复制到对方c盘内13)远程添加计划任务at\ip时间程序名,如:at\127.0.0.011:00love.exe2021/9/2111LINUX日志LINUX网管员主要是靠系统的LOG,来获得入侵的痕迹。当然也有第三方工具记录入侵系统的痕迹。主要的日志子系统:1.连接时间日志--由多个程序执行,把记录写入到/var/log/wtmp和/va
9、r/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。2.进程统计--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。3.错误日志--由s
此文档下载收益归作者所有