日志对于系统安全的作用是显而易见的,无论是网络管理员还是黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客往往会在入侵成功后迅速清除掉对自己不利的日志。下面我们就来讨论一下日志的安全和创建问题。 Spdns^com
一、概述:Windows2000的系统日志文件有应用程序日志,安全日志、系统日志、DNS服务器日志等等,应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB。 Www.Spdns.com
安全日志文件:%systemroot%\system32\config\SecEvent.EVT Www@Spdns@com
系统日志文件:%systemroot%\system32\config\SysEvent.EVT 中.国.南通服务器网
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT 中国南通服务器网,为中文网南通服务器网
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 中国南通服务器网
有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Www_Spdns_com
二、作为网络管理员 Www.Spdns.com
1、日志的安全配置 Spdns
默认的条件下,日志的大小为512KB大小,如果超出则会报错,并且不会再记录任何日志。所以首要任务是更改默认大小,具体方法:注册表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog对应的每个日志如系统,安全,应用程序等均有一个maxsize子键,修改即可。 Spdns
下面给出一个来自微软南通服务器网
-ffilename输出日志的位置和文件名 Spdns^com
-s\\server输出远程计算机日志 中.国.南通服务器网
-lloglog可选的为system,security,application,可能还有别的如DNS等 Spdns^com
如要把目标服务器server上的系统日志转存为backupsystem.log可以用以下格式: Spdns@com
dumpel\\server-lsystem-fbackupsystem.log Spdns_com
再利用计划任务可以实现定期备份系统日志。 Www~Spdns~com
另外利用脚本编程的VMI对象也可以轻而易举的实现日志备份: Www.Spdns.com
下面给出备份application日志的代码: Spdns^com
以下为引用的内容:
backuplog.vbs
strComputer="."
SetobjWMIService=GetObject("winmgmts:"_
&"{impersonationLevel=impersonate,(Backup)}!\\"&_
strComputer&"\root\cimv2")'获得VMI对象
SetcolLogFiles=objWMIService.ExecQuery_
("Select*fromWin32_NTEventLogFilewhereLogFileName='Application'")'获取日志对象中的应用程序日志
ForEachobjLogfileincolLogFiles
errBackupLog=objLogFile.BackupEventLog("f:\application.evt")'将日志备份为f:\application.evt
IferrBackupLog<>0Then
Wscript.Echo"TheApplicationeventlogcouldnotbebackedup." 南通服务器网
elseWscript.Echo"successbackuplog"
EndIf
Next |
南通服务器网
程序说明:如果备份成功将窗口提示:"successbackuplog"否则提示:"TheApplicationeventlogcouldnotbebackedup",此处备份的日志为application备份位置为f:\application.evt,可以自行修改,此处备份的格式为evt的原始格式,用记事本打开则为乱码,这一点他不如dumpel用得方便。 [南通服务器网]
三、作为黑客 中国.南通服务器网
1、日志清除 南通服务器网
一个入侵系统成功后的黑客第一件事便是清除日志,如果以图形界面远程控制对方机器或是从终端登陆进入,删除日志不是一件困难的事,由于日志虽然也是作为一种服务运行,但不同于http,ftp这样的服务,可以在命令行下先停止,再删除,在m命令行下用netstopeventlog是不能停止的,所以有人认为在命令行下删除日志是很困难的,实际上不是这样,下面介绍几种方法: Www_Spdns_com
(1)借助第三方工具:如小榕的elsave.exe远程清除system,applicaton,security的软件,使用方法很简单,首先利用获得的管理员账号与对方建立ipc会话,netuse\\ippass/user:user 中国南通服务器网
然后命令行下:elsave-s\\ip-lapplication-C,这样就删除了安全日志。 中国南通服务器网
其实利用这个软件还可以进行备份日志,只要加一个参数-ffilename就可以了,在此不再详述。 中国南通服务器网,为中文网南通服务器网
在上面的代码中,建立一个数组,为application,security,system如果还有其他日志也可以加入数组。 [南通服务器网]
然后用一个for循环,删除数组中的每一个元素,即各个日志。 中国.南通服务器网
2、创建日志 南通服务器网
删除日志后,任何一个有头脑的管理员面对空空的日志,马上就会反应过来被入侵了,所以一个聪明的黑客的学会如何伪造日志: Www~Spdns~com
(1)利用脚本编程中的eventlog方法是创造日志变得非常简单;下面看一个代码 中国.南通服务器网
以下为引用的内容:
createlog.vbs
setws=wscript.createobject("Wscript.shell")
ws.logevent0,"writelogsuccess"'创建一个成功执行日志 |
Spdns
这个代码很容易阅读,首先获得wscript的一个shell对象,然后利用shell对象的logevent方法 南通服务器网
logevent的用法:logeventeventtype,"description"[,remotesystem] Www~Spdns~com
eventtype为日志类型,可以使用的如下:0代表成功执行,1执行出错,2警告,4,信息,8成功审计16故障审计 中国.南通服务器网
所以上面代码中,把0改为1,2,4,8,16均可,引号下的为日志描述。 Spdns~com
这种方法写的日志有一个缺点,只能写到应用程序日志,而且日至来源只能为wsh,即windowsscriptinghost,所以不能起太多的隐蔽作用。 中.国南通服务器网
(2)微软为了方便系统管理员和程序员,在xp下有个新的命令行工具,eventcreate.exe,利用它,创建日志更加简单。 Spdns_com
eventcreate-sserver-llogname-uusername-ppassword-sosource-teventtype-idid-ddescription Spdns@com
含义:-s为远程主机创建日志:-u远程主机的用户名-p远程主机的用户密码 中.国.南通服务器网
-l日志;可以创建system和application不能创建security日志 中.国.南通服务器网
-so日志来源,可以是任何日志-t日志类型如information信息,error错误,warning警告 中国南通服务器网,为中文网南通服务器网
这个工具不能创建安全日志。至于如何创建安全日志,希望大家能够找到一个好方法! 中国.南通服务器网
|
