駭客安全離開之”擦PP”

經驗總結一些,把一些比較常用的駭客工具的使用方法寫出來,希望給大家一些協助

1.小榕的elsave清除日誌的使用:

　　先用ipc$管道進行串連:net use //ip/ipc$ "password" /user:""

　　清除目標系統的應用程式記錄檔:

　　elsave -s //ip -l "application" -C

　　清除目標系統的系統日誌:

　　elsave -s //ip -l "system"" -C

　　清除目標系統的安全日誌:

　　elsave -s //ip -l "security" -C

　　

　　2.windows2000日誌的清除:

　　www的日誌一般都在%winsystem%/system32/logfiles/w3svc1下面,包括www日誌和ftp日誌,一般先停止www服務後在刪除:net stop w3svc,然後將你留下了ip的日誌刪除,你也可以修改日誌.wwww日誌在w3svc1下面,ftp日誌在msftpsvc下面,每個日誌都是以:exXXXXXX.log為命名的,xxxxxx代表日期.

　　win2000中的其他一些日誌:

　　安全日誌:%winsystem%/system32/config/Secevent.evt

　　應用程式記錄檔:%winsystem%/system32/config/AppEvent.evt

　　系統日誌:%winsystem%/system32/config/SysEvent.evt

　　IIS的FTP日誌:%winsystem%/system32/logfiles/msftpsvc1/,預設每天一個日誌

　　IIS的www日誌:%winsystem%/system32/logfiles/w3svc1/ 預設每天一個日誌

　　Scheduler服務日誌:%winsystem%/schedlgu.txt

　　註冊表所在項目:

　　[HKLM]/system/CurrentControlSet/Services/Eventlog

　　Schedluler服務註冊表所在項目:

　　[HKLM]/SOFTWARE/Microsoft/SchedulingAgent

　　如果日誌被從新定位,路徑在註冊表裡面有記錄.
　　清除日誌

　　清除日誌必須先停掉相關的服務後才能進行:

　　www和ftp日誌必須想停w3svc: net stop w3svc

　　然後就可在相關日誌目錄下面把你想要刪除的日誌刪除.

　　Scheduler服務日誌必須想停止:Task Scheduler服務才能刪除日誌: net stop "Task Scheduler"

　　系統,安全,應用程式等日誌相關的服務是:Eventlog,但是該項目是無法直接停止的,我們可以先用ipc$串連過去,然後開啟"控制台"中的電腦管理中串連遠端電腦,從裡面刪除相關的內容,但是如果日記比較多的話,可能需要比較多的時間,而且對網速要求比較高.但是,我們可以利用一個工具:小榕的elsave來刪除.方法如上面第一項.

　　也可以利用小榕寫的一個工具:CleanIISLog來自動清除日誌,用法:

　　cleaniislog [logfile]　[.] [cleanIP]　.

　　說明: 清除的記錄檔,.代表所有 清除的日誌中哪個IP地址的記錄,.代表所有IP記錄

　　舉例:cleaniislog . 127.0.0.1

　　A.可以清除指定的的IP串連記錄，保留其他IP記錄。

　　B.當清除成功後，CleanIISLog會在系統日誌中將本身的運行記錄清除。

　　用法: CleanIISLog 　<.> 　<.>

　　: 指定要處理的記錄檔，如果指定為“.”，則處理所有的記錄檔注意：處理所有記錄檔需要很長的時間）。

　　: 指定要清除的IP記錄，如果指定為“.”，則清除所有的IP記錄（不推薦這樣做）。

　　CleanIISLog只能在本地運行，而且必須具有Administrators許可權。