返回
《日志清除技术》ppt课件

《日志清除技术》ppt课件

ID:26944407

大小:360.82 KB

页数:16页

时间:2018-11-30

《日志清除技术》ppt课件_第1页
《日志清除技术》ppt课件_第2页
《日志清除技术》ppt课件_第3页
《日志清除技术》ppt课件_第4页
《日志清除技术》ppt课件_第5页
资源描述:

《《日志清除技术》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第17讲日志清除技术答疑地点:12J810

2、12J806网络答疑:QQ:252175436答疑时间:周三上午9:30-11:00内容提纲Windows日志原理IPC$空链接LINUX日志原理防御技术和方案2021/9/212Windows日志原理日志文件是一类文件系统的集合,通过对日志进行统计、分析、综合,可有效的掌握系统的运行状况。因此,无论是系统管理员还是黑客都极其重视日志文件。管理员可以通过日志文件查看系统的安全性,找到入侵者的IP地址和各种入侵证据。黑客会在入侵成功后迅速清除对自己不利的日志,以免留下蛛丝马迹。202

3、1/9/213Windows日志原理Windows的日志文件通常有应用程序日志,安全日志、系统日志、IIS日志等等,可能会根据服务器所开启的服务不同。2021/9/214Windows日志原理各日志文件的默认位置如下:安全日志文件:%systemroot%system32configSecEvent.EVT系统日志文件:%systemroot%system32configSysEvent.EVT应用程序日志文件:%systemroot%system32configAppEvent.EVTInternet信息

4、服务FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认每天一个日志Internet信息服务WWW日志默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日志2021/9/215Windows日志原理2021/9/216在事件日志中,以下面几种情况来表示整个系统运行过程中出现的事件:1)“错误”是指比较严重的问题,通常是出现了数据丢失或功能丢失;2)“警告”则表明情况暂时不严重,但可能会在将来引起错误,比如磁盘空间太少等;

5、3)“信息”则是记录运行成功的事件。另外,安全日志则直接以成功审核和失败审核来标识事件的成功与否。IPC$空链接在清除系统日志、安全日志和应用程序日志时,我们需要首先和目标机器建立IPC$空链接。IPC$(InternetProcessConnection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。2021/9/217IPC$空链接IPC$有一个特点,即在同一时间内,两个IP之间只允许建立一

6、个连接。在初次安装系统时就打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低2021/9/218IPC$空链接2021/9/219删除远程主机日志时可能会用到的相关命令:1)建立空连接:netuse\IPipc$""/user:""2)建立非空连接:netuse\IPipc$"psw"/user:"account"3)查看远程主机的共享资源netview\IP4)查看

7、本地主机的共享资源(可以看到本地的默认共享)netshare5)得到远程主机的用户名列表nbtstat-AIPIPC$空链接6)得到本地主机的用户列表netuser7)查看远程主机的当前时间nettime\IP8)显示本地主机当前服务netstart9)启动/关闭本地服务netstart服务名/ynetstop服务名/y10)映射远程共享:netusez:\IPbaby此命令将共享名为baby的共享资源映射到z盘2021/9/2110IPC$空链接11)删除共享映射netusec:/del删除映射的c盘,其他盘类推ne

8、tuse*/del/y删除全部12)向远程主机复制文件copy路径srv.exe\IP共享目录名,如:copyccbirds.exe\*.*.*.*c即将当前目录下的文件复制到对方c盘内13)远程添加计划任务at\ip时间程序名,如:at\127.0.0.011:00love.exe2021/9/2111LINUX日志LINUX网管员主要是靠系统的LOG,来获得入侵的痕迹。当然也有第三方工具记录入侵系统的痕迹。主要的日志子系统:1.连接时间日志--由多个程序执行,把记录写入到/var/log/wtmp和/va

9、r/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。2.进程统计--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。3.错误日志--由s

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。