4.7.2 彻底清除痕迹

作者: 郭鑫/崔红霞/姜彬出处:电子工业出版社　2008-04-28 12:16　砖好评论条　进入论坛

阅读提示：《企业网络安全致胜宝典》第4章为大家展示的是操作系统漏洞隐患,本节主要讲的是彻底清除痕迹。

4.7.2 彻底清除痕迹

了解了Windows 2000日志的详细情况，下面看看黑客是怎样删除这些日志的。

通过上面的讲解，得知日志文件通常有某项服务在后台保护。除了系统日志、安全日志、应用程序日志等，它们的服务是Windows 2000的关键进程，而且与注册表文件在一起。当Windows 2000启动后，启动服务来保护这些文件，所以很难删除。而FTP日志和WWW日志及Scedlgu日志都是可以轻易地删除的。

首先要取得Admnistrator密码或Administrators组成员之一，然后Telnet到远程主机，如图4-46所示。

图4-46 Telnet登录到远程主机

黑客先来删除启动日志。删除时会显示进程无法访问文件，因为另一个程序正在使用此文件。先把后台程序关掉，进入WINNT目录下，如图4-47所示。

图4-47 进入远程电脑的WINNT目录

利用net stop “task scheduler”命令使目标服务器的计划任务的服务停止，同时也停止了与它有依赖关系的服务，如图4-48所示。

图4-48 停止计划任务服务

利用“del”命令，删除所有启动日志，如图4-49所示。

在WINNT目录下，键入“del schedlgu.txt”命令来删除启动日志。下一个是FTP日志，利用“cd”命令切换到winnt/system32/logfiles/msftpsvc1目录，如图4-50所示。

图4-49 删除启动日志

图4-50 切换到FTP目录

利用“net stop msftpsvc”命令停止FTP服务，如图4-51所示。
现在黑客可以利用“del”命令删除所有FTP日志了，如图4-52所示。

图4-51 停止FTP服务

图4-52 删除所有FTP日志

黑客使用“del ex*.log”命令，试图删除FTP服务的所有日志记录文件，以上操作成功则删除了FTP日志。再进入WWW日志目录下，如图4-53所示。

图4-53 切换到WWW日志目录

利用“net stop w3svc”命令，先停掉WWW服务，如图4-54所示。

图4-54 停止WWW服务

再键入“del ex*.log”命令，把WWW日志全部删除，如图4-55所示。

图4-55 删除所有WWW日志

为了不让目标服务器的管理员发现，黑客还要再把关掉的这些服务都打开，用到的是“net start”命令。命令格式为：net start 服务名。如图4-56所示。

现在简单的日志就都已删除了。下面就是很难删除的安全日志和系统日志。

图4-56 把刚才停止的服务器再次启动

打开【控制面板】→【管理工具】→【事件查看器】（Windows 98没有，Windows 2000里才有）对话框，在【操作】菜单里有一条名为【连接到另一台计算机】的菜单命令，如图4-57所示。

图4-57 “事件查看器”对话框

输入远程电脑的IP地址，单击【确定】按钮，如图4-58所示。

图4-58 “选择计算机”对话框

忍受像死机一样的折磨，然后显示远程计算机事件查看器已经连接，如图4-59所示。

图4-59 远程计算机事件查看器已经连接

选择远程计算机的【安全性】日志，单击鼠标右键选择它的【属性】菜单里的【清除所有事件】选项，如图4-60所示。

图4-60 清除远程日志

在弹出的对话框中单击【否】按钮，安全日志就全部清除完毕了，如图4-61所示。用同样的方法可以清除系统日志。

图4-61 清除确认

在不借助第三工具的情况下，能很快、很顺利地清除FTP、WWW和Schedular日志，就是系统日志和安全日志在Windows 2000的严密守护下，只能用本地的事件查看器来打开它。因为在图形界面下，加之网速又慢，所以清除它们有一定的困难。但如果黑客时间充足，还是可以清除它们的。综上所述，介绍了Windows 2000的日志文件及删除方法。需要注意的是黑客必须是Administrator权限，必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于 Windows 2000 Professional 计算机，也适用于作为独立服务器或成员服务器运行的 Windows 2000 Server 计算机。

至此，Windows 2000的日志清除就介绍完了。还有几句话要讲——虽然FTP等日志可以很快清除，但是系统日志和安全日志却不能那么快、那么顺利地删除，如果管理员聪明一些，将日志文件转移到另一个地方，那黑客清除起来就更是难上加难了。

【责任编辑：夏书 TEL：（010）68476606】

回书目 上一节 下一节

关于企业网络安全彻底清除痕迹企业网络安全致胜宝典的

文章

博文

帖子

· 4.7 清除攻击后的痕迹(04/28)

· 4.7.1 攻击后会留下哪些痕迹(04/28)

· 4.7.3 需要注意的事情(04/28)

· 4.6.4 DDoS攻击防范策略(04/28)

· 4.6.3 DDoS攻击工具(04/28)

· 网络技术术语英汉对照

· 蓝光DVD对阵网络高清下载遭遇严峻挑战

· 评论:中国网络实名制即将来临

· 网络工程师的明天

· 基于路由器网络诊断步骤和故障排除技巧

· 企业破产，谁来支付欠付劳动者的工资？安置费..

专题

我也说两句

叫好

拍砖

中国最大的网络技术网站 ·
技术成就梦想

·假期读书充电

· Linux结课考试自测获奖..
· 上周Linux系统命令的使..
· 上周真题冲刺测试获奖..
· 全国计算机等考四级模..
· 08年3月各大网上书店及..
· 网络工程师模拟测试获..

· 全国计算机软考考试指..
· 3月24日WCF聊天活动积..
· 全国计算机等级考试四..
· 软件项目估计：第2版
· 系统分析师基础知识自..
· 构建可扩展的Web站点的..

排行榜

·假期读书充电 (查看5862次)
·1.2 网络定义 (查看1094次)
·《网管员必读—网络应用》自测.. (查看883次)
·历次技术自测获奖网友详细信息 (查看848次)
·SQL Server入门到精通技术自测.. (查看795次)

·SQL Server入门到精通技术自测试题答案 (5个砖)
·网管员全真面试题自测获奖结果及答案解析 (4个砖)
·超级网管员——网络应用技术自测试题答案 (4个砖)
·免费讲座：搜索引擎营销打造成功网站 (3个砖)
·历次技术自测获奖网友详细信息 (3个砖)

·假期读书充电 (9个好)
·1.2 网络定义 (3个好)
·Visual C++数字图像处理开发入门与编程实践 (3个好)
·《游戏开发核心技术-剧本与角色创造》阅读不枯燥 (3个好)
·SQL Server入门到精通技术自测试题答案 (3个好)

·企业网络安全致胜宝典 (04月)
·2008年上半年全国软考冲刺辅导 (04月)
·SOA思想、技术与系统集成应用详解 (04月)
·网络服务器组建、配置和管理：Windows篇 (04月)
·网络服务器组建、配置和管理：Linux篇 (04月)

·首届中国IT工程师生态调查十大发现
·全国软考模拟测试之系统分析师

· 80后已成中国黑客主流 ..
· 体验Spring的IoC容器对..
· FTP用户权限/站点权限/..
· 通过流量监控快速判断..
· 黑客称有新招黑掉Oracl..
· 系统分析师专家模拟自测
· 调查显示超八成IT人有..
· 山东淄博推8M超级ADSL..

· 微软致雅虎收购最后通..
· 上周回顾:中国网民居全..
· TD芯片商凯明濒临倒闭 ..
· H3C独家纵横字谜游戏 ..
· 满意度不到30% 谁能尝..
· 周末病毒预报：变异脚..
· 2010年IT职场冷热职位..
· 中国仿冒Cisco设备内部..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖