Windows2000的日志文件通常有應(yīng)用程序日志��,安全日志、系統(tǒng)日志��、DNS服務(wù)器日志�、 FTP日志、WWW日志等等���,可能會(huì)根據(jù)服務(wù)器所開(kāi)啟的服務(wù)不同�����。 一般步驟如下: 1.清除IIs的日志���。 可不要小看IIS的日志功能�����,它可以詳細(xì)的記錄下你的入侵全過(guò)程,如 如你用unicod
Windows2000的日志文件通常有應(yīng)用程序日志��,安全日志��、系統(tǒng)日志���、DNS服務(wù)器日志���、
FTP日志�����、WWW日志等等�,可能會(huì)根據(jù)服務(wù)器所開(kāi)啟的服務(wù)不同����。
一般步驟如下:
1.清除IIs的日志。
可不要小看IIS的日志功能�,它可以詳細(xì)的記錄下你的入侵全過(guò)程,如
如你用unicode入侵時(shí)ie里打的命令,和對(duì)80端口掃描時(shí)留下的痕跡�����。你可能就因?yàn)閷?duì)
其不注意�,而被網(wǎng)管盯上,說(shuō)不定還會(huì).......呵呵
那我們就可手動(dòng)清除吧
1.日志的默認(rèn)位置:%systemroot%system32logfilesw3svc1�,默認(rèn)每天一個(gè)日志
那我們就切換到這個(gè)目錄下吧
del *.*
你大概想是安全了吧,那就dir一下吧
咦,咦,今天的日志怎么還在����,不要慌�����。因?yàn)閣3svc服務(wù)還開(kāi)著��,那我們?cè)趺辞宄@個(gè)日志文件呢?
方法一:如有33可以登錄,那就用notepad打開(kāi)���,把Ctrl+A 然后del吧。
方法二:net 命令
C:>net stop w3svc
World Wide Web Publishing Service 服務(wù)正在停止.(可能會(huì)等很長(zhǎng)的時(shí)間�����,也可能不成功)
World Wide Web Publishing Service 服務(wù)已成功停止����。
好了w3svc停止了,我們可以清空它的日志了,del *.*吧
還有不要忘了再打開(kāi)w3svc服務(wù)呀
C:>net start w3svc
2.清除ftp日志���。
FTP日志默認(rèn)位置:%systemroot%sys tem32logfilesmsftpsvc1,默認(rèn)每天一個(gè)日志
清除方法同上
3.清除Scheduler日志
Scheduler服務(wù)日志默認(rèn)位置:%systemroot%schedlgu.txt
清除方法同上
4.應(yīng)用程序日志�、安全日志、系統(tǒng)日志�、DNS日志默認(rèn)位置:%systemroot%sys tem32config
清除方法同上
注意以上三個(gè)目錄可能不在上面的位置,那是因?yàn)楣芾韱T做的修改
可以讀取注冊(cè)表值得到他們的位置
應(yīng)用程序日志,安全日志�����,系統(tǒng)日志���,DNS服務(wù)器日志�����,它們這些LOG文件在注冊(cè)表中的:
HKEY_LOCAL_MACHINEsys temCurrentControlSetServicesEventlog
Schedluler服務(wù)日志在注冊(cè)表中
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent
5.我是借鑒了別人文章(其實(shí)就是抄了)
OK!恭喜����,現(xiàn)在簡(jiǎn)單的日志都已成功刪除�����。下面就是很難的安全日志和系統(tǒng)日志了�����,守護(hù)這些日志的服務(wù)是Event Log�����,試著停掉它!
D:SERVERsys tem32LogFilesW3SVC1>net stop eventlog
這項(xiàng)服務(wù)無(wú)法接受請(qǐng)求的 "暫停" 或 "停止" 操作。
KAO����,I 服了 U,沒(méi)辦法�����,它是關(guān)鍵服務(wù)����。如果不用第三方工具,在命令行上根本沒(méi)有刪除安全日志和系統(tǒng)日志的可能!所以還是得用雖然簡(jiǎn)單但是速度慢得死機(jī)的辦法:打開(kāi)“控制面板”的“管理工具”中的“事件查看器”(98沒(méi)有�����,知道用Win2k的好處了吧)���,在菜單的“操作”項(xiàng)有一個(gè)名為“連接到另一臺(tái)計(jì)算機(jī)”的菜單����,點(diǎn)擊它如下圖所示:
輸入遠(yuǎn)程計(jì)算機(jī)的IP�,然后點(diǎn)支煙,等上數(shù)十分鐘��,忍受象死機(jī)的折磨����,然后打開(kāi)下圖:
選擇遠(yuǎn)程計(jì)算機(jī)的安全性日志,右鍵選擇它的屬性:
點(diǎn)擊屬性里的“清除日志”按鈕����,OK!安全日志清除完畢!同樣的忍受痛苦去清除系統(tǒng)日志!
6.上面大部分重要的日志你都已經(jīng)清除了。然后要做的就是以防萬(wàn)一還有遺漏的了�。
那就這樣做吧 del以下的一些文件
winnt*.log
system32下
logfiles*.*
dtclog*.*
config*.evt
*.log
*.txt
到目前為止,我所知的大部分的日志我們已經(jīng)教會(huì)了你清除的方法,那你就學(xué)以致用吧����。
其實(shí)這篇文章的主要日的,不是教你怎么清除日志�����,而是教你寫一個(gè)日志清除的工具�����。
就當(dāng)我前面說(shuō)的都是屁話吧�。
現(xiàn)在轉(zhuǎn)入正題:
前面你已經(jīng)看到了要清除全部的日志的過(guò)程,是不是很繁呀���,手動(dòng)可是要花不少時(shí)間����。有時(shí)
候還不一定可以清除干凈。那就于編程的朋友來(lái)說(shuō)���,那就會(huì)想�����,可以我會(huì)編程�����,我怕什么�����。
那我們就動(dòng)手吧�。
你已經(jīng)了解了��,要清除一些日志��,首先要關(guān)閉一些服務(wù)程序
那我就先教你怎么寫一個(gè)可以看機(jī)器的服務(wù)程序的dos小工具吧���,具體實(shí)現(xiàn)看我以前的文章
《如果做一個(gè)dos下的服務(wù)程序查看器》
工具名serName.exe
運(yùn)行一下serName.exe吧
serName.exe -t 1 -t 1
呵呵����,所有的機(jī)器正在運(yùn)行的服務(wù)程序顯示出來(lái)了吧�����。
記住你要關(guān)的服務(wù)程序名吧���,����,下面會(huì)有用的����。
那編程的第二步就是實(shí)現(xiàn)關(guān)w3svc和shedule還有ftp等服務(wù)程序了。
我寫的代碼如下
對(duì)著msdn慢慢看吧���。(不難的�,有什么不懂不要來(lái)問(wèn)我)
void StopServices(LPCTSTR lpServiceName)
{
SC_HANDLE scman = ::OpenSCManager(NULL,NULL,SC_MANAGER_ENUMERATE_SERVICE);
if(scman)
{
SC_HANDLE sh = ::OpenService(scman,lpServiceName,SERVICE_STOP);
if(sh)
{
BOOL bControl;
SERVICE_STATUS ServiceStatus;
bControl=ControlService(sh,SERVICE_CONTROL_STOP,&ServiceStatus);
DWORD dwControl;
if(bControl)
{
printf("success to stop the service "%s"n",lpServiceName);
}
else
{
dwControl=::GetLastError();
switch(dwControl){
case ERROR_ACCESS_DENIED :printf("The specified handle was not opened with the necessary access.n");break;
case ERROR_SERVICE_NOT_ACTIVE :printf("The service has not been started.n");break;
case ERROR_DEPENDENT_SERVICES_RUNNING :printf("The service cannot be stopped because other running services are dependent on it.n");break;
case ERROR_INVALID_SERVICE_CONTROL:printf("The requested control code is not valid, or it is unacceptable to the service.n");break;
