首页 > Windows开发 > 详细

合天网安实验室:windows日志查看与清理

时间:2021-09-16 14:12:55      阅读:25      评论:0      收藏:0      [点我收藏+]

windows日志查看与清理(实验截图在下面!!

 一.预备知识

      系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误,不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。

      安全日志中存放了审核事件是否成功的信息。通过查看这些信息,可以了解到这些安全审核结果为成功还是失败。

      应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误,可以了解到哪些应用程序成功运行,产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。

      应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。如下:

      安全日志文件:%systemroot%\system32\config\SecEvent.EVT;

      系统日志文件:%systemroot%\system32\config\SysEvent.EVT;

      应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;

      DNS日志:%systemroot%\system32\config\DnsEvent.EVT;

      Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,

      Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,

      ftp和WWW服务,默认每天一个日志;

      Scheduler计划任务服务日志默认位置:%systemroot%\Tasks\schedlgu.txt,由于系统屏蔽的原因,只能在命令行下查看。

二.实验步骤

     日志查看:

     技术分享图片

 

  技术分享图片

 

技术分享图片

 

  日志清理:

  技术分享图片

技术分享图片

 

 

技术分享图片

 

 

实验具体步骤:

 

  

本实验分为两个任务,依次为:(1)日志查看;(2)日志清理。

 

日志查看

 

(1) 启动Windows实验台,点击:开始 - 控制面板 - 管理工具 - 事件查看器。如下图所示。

 

      技术分享图片

 

(2) 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。

 

      安全日志文件:%systemroot%\system32\config\SecEvent.EVT;

 

      系统日志文件:%systemroot%\system32\config\SysEvent.EVT;

 

      应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;

 

      DNS日志:%systemroot%\system32\config\DnsEvent.EVT;

 

      在事件查看器中右键应用程序(或安全性、系统、DNS服务器)查看属性可以得到日志存放文件的路径,并可修改日志文件的大小,清除日志。例如选中“应用程序”右键属性,如下图:

 

      技术分享图片

 

      选中事件查看器中左边的树形结构图中的日志类型(应用程序、安全性或系统),右击“查看”,并选择“筛选”。或者点击属性页面的筛选器标签,日志筛选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录

 

(3) 查看www和ftp日志文件夹下的日志文件

 

     (由于实验环境中不允许访问互联网,无法操作得出日志文件。请参考指导书使用个人电脑进行实验。)

 

     尝试对www服务中某一文件进行访问,则日志中则会有相应的日志记录如下图。

 

     技术分享图片

 

     日志中记录了访问www服务的请求地址,管理员可以根据请求地址,发现网络上的攻击,管理员可根据日志信息,采取一定的防护措施。

 

     技术分享图片

 

     ftp的日志中同样会记录ftp服务的登陆用户,以及登陆之后的操作。

 

(4) 计划任务日志

 

     当入侵者得到远程系统的shell之后,常会利用计划任务运行功能更加强大的木马程序,计划任务日志详细的记录的计划任务的执行时间,程序名称等详细信息。

 

     打开计划任务文件夹,点击“高级”-查看日志,即可查看计划任务日志。

 

     技术分享图片

 

 

 

日志清除

 

 

 

(1) 删除事件查看器中的日志

 

    主机下载使用elsave清除日志工具 

 

     下载地址:http://tools.hetianlab.com/tools/Elsave.rar

 

    先用ipc$管道进行连接,在cmd命令提示符下输入 net use \\对方IP(实验台IP)\ipc$ "密码" /user:"用户名";

 

     连接成功后,开始进行日志清除。

 

    清除目标系统的应用程序日志输入elsave.exe -s \\对方ip -l "application" -C

 

    清除目标系统的系统日志输入elsave.exe -s \\对方IP -l "system" -C

 

    清除目标系统的安全日志输入elsave.exe -s \\对方IP -l "security" -C

 

     输入如下图

 

     技术分享图片

 

    回车后可以查看远程主机内的系统日志已经被删除了

 

    技术分享图片

 

(2) 删除常见服务日志

 

    IIS的日志功能,它可以详细的记录下入侵全过程,如用unicode入侵时IE里打的命令,和对80端口扫描时留下的痕迹。  

 

    手动清除:日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。进入到远程主机后(也可直接在实验台中操作),cmd下切换到这个目录下,然后 del *.*。或者删除某一天的日志。如果无法删除文件,首先需要停止w3svc服务,再对日志文件进行删除,使用net 命令停止服务如下:

 

    C:\>net stop w3svc

 

    World Wide Web Publishing Service 服务正在停止。

 

    World Wide Web Publishing Service 服务已成功停止。

 

     日志w3svc停止后,然后清空它的日志, del *.*

 

     C:\>net start w3svc

 

     清除ftp日志,日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。

 

(3) 删除计划任务日志

 

    先来删除计划任务日志:

 

    在实验台中命令行进入日志所在文件夹下(%systemroot%\Tasks), 删除schedlgu.txt , 提示无法访问文件,因为另一个程序正在使用此文件。说明服务保护,需要先把服务停掉。命令行中输入net stop schedule;

 

    技术分享图片

 

    下面的服务依赖于Task Scheduler 服务。停止Task Scheduler 服务也会停止这些服务。

 

    Remote Storage Engine

 

    Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。

 

    如上显示服务停掉了,同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt;

 

    删除后需要再次启动该任务以便主机能够正常工作,输入net start schedule:

 

    技术分享图片

三.分析与思考

 

 

 1)还有哪些途径可以发现网络中存在的攻击或者入侵。

日志文件、进程、自启动项目、网络连接、安全模式、映像劫持、CPU时间

2)清理日志能否把所有的痕迹都清理干净。

 

 

 不能,还应删除操作记录,所做的每一个操作,都要被抹掉;所上传的工具,都应该被安全地删掉。

四.课后习题

 

 

 

 

 

技术分享图片

 

合天网安实验室:windows日志查看与清理

原文:https://www.cnblogs.com/Forestofyou/p/15270227.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!