渗透痕迹清道夫：清理Windows日志

为避免入侵操作行为被发现时，攻击者往往通过各种方式来隐藏自己操作痕迹。

为了方便管理员了解掌握电脑的运行状态，Windows提供了完善的日志功能，将系统服务、权限设置、软件运行等相关事件分门别类详细记录于日志之中。所以，通过观察、分析系统日志，有经验的管理员不但可以了解黑客对系统做了哪些改动，甚至还可能会找出入侵的来源，例如从ftp日志找出黑客登录的lP地址。为此，清除日志几乎成为黑客入门的必修课。

WndowsXP操作系统为例，它的日志系统由默认提供的日志、防火墙日志、ns服务器日志三大类组成。

Windows系统默认提供应用程序日志、安全性日志和系统日志。应用程序主要记录应用程序运行时出现的错误和特效事件。

例如：停止响应、数据启动、停止等。安全性日志用于记录管理员指定的审核事项，假如管理员没有在组策略中指定需要审核的内容及审核的方向，说明此日志为空白状态。

系统日志用于记录各类系统运行的信息。例如Telnet服务启动后，系统日志将会记录该服务启动的时间，并留下一条关elnet服务正处于运行状态的描述。

从以上的分析不难看出，对于没有安装附加组件的“肉鸡”而言，系统日志是清除的首要目标。

防火墙日志默认处于关闭状态，管理员启用了防火墙日志记录功能后，就会在vrindows目录内自动生成pfuwall.log文件，并记录相应的连接内容。假如找不到这个文件，则说明管理员没有启用防火墙日志功能

若用户安装了IIS服务器组件，就可以在“%systemroot%\system32\logfles\”中找到FTP、Web、Ils服务器等同志。

HTTPERR文件夹中存放的日志文件记录着Web运行、响应出错等信息，主要用于排解故障及优化Web服务，对黑客而言，其意义不大。

W3SVCl文件夹用于存放lP地址、用户名、服务器端口、用户所访问的UiRI资源、发出的URI查求等信息，管理员通过分析此文件可以找出黑客入侵的各种痕迹，所以，完成SQL注入、网站挂马等操作后，务必要清除此文件。

MSFTPSVC1文件夹保存着FTP日志，与前面介绍的Web、IIS日志相比，FTP日志更详细，不但包含用户登录操作，还包含用户的各种操作请求，例如记录用户利用UNICODE漏洞入侵服务器，就会留下相当多与cmd.exe有关的记录，所以，在成功入侵后，此日志须及时清除。

开始 ——> 程序 ——> 管理工具 ——> 计算机管理 ——> 系统工具 ——>事件查看器（然后清除日志）

或

开始 ——>运行 ——>

eventvwr.msc(％SystemRoot％＼system32＼eventvwr．msc /s)

即可打开事件查看器

1）应用程序日志文件

%sys temroot%\system32\config，默认文件大小512KB

注：应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的位置：

默认每天一个日志

6）Internet信息服务WWW日志默认位置

默认每天一个日志

7）Scheduler服务日志默认位置

当然，管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到程序日志，安全日志，系统日志，DNS服务器日志、Internet信息服务FTP日志默认位置、Internet信息服务WWW日志默认位置、Scheduler服务日志默认位置的定位目录。

Schedluler服务日志在注册表中的键（位置）

如果发现这些文件无法使用delete命令删除，该如何处理呢？

事实上，出于安全考虑，微软设计了不能暂停、停止的日志记录服务，应用程序日志、安全性日志和系统日志的日志记录文件从载入系统时起便处于使用状态，所以无法通过系统自带的文件删除功能将其删除。

虽然微软在图形界面的控制台提供了删除功能，但使用远程桌面需要更高的带宽，难以使用多级跳板，因此，黑客倾向于使用命令行工具清除Windows日志文件。其中，国内高手小榕编写的elsave就是清除Windows日志最经典的命令行工具。

elsave不但用于远程清除Windows日志文件，也可以备份远程日志文件。运行该工具的必要条件是获得管理员权限的commandShell。

或者我们可以自己动手写一个简单的VBS脚本，上传至需要清除日志的电脑，并在远程Shell中执行就可以。

长风实验室发布、转载的文章中所涉及的技术、思路和工具，仅供以网络安全为目的的学习交流使用，不得用作它途。部分文章来源于网络，如有侵权请联系删除。