网络安全实验二：3.windows日志查看与清理

步骤一：日志查看

①

 

 

 

在事件查看器中右键应用程序（或安全性、系统、DNS服务器）查看属性可以得到日志存放文件的路径，并可修改日志文件的大小，清除日志。例如选中“应用程序”右键属性，如下图：

 

 

 

 ②筛选

 

③个人电脑：C:\Windows\System32\LogFiles\setupcln

 

④ 查看www和ftp日志文件夹下的日志文件

 尝试对www服务中某一文件进行访问，则日志中则会有相应的日志记录如下图。

     

     日志中记录了访问www服务的请求地址，管理员可以根据请求地址，发现网络上的攻击，管理员可根据日志信息，采取一定的防护措施。

     

     ftp的日志中同样会记录ftp服务的登陆用户，以及登陆之后的操作。

 ⑤计划任务日志

当入侵者得到远程系统的shell之后，常会利用计划任务运行功能更加强大的木马程序，计划任务日志详细的记录的计划任务的执行时间，程序名称等详细信息。

     打开计划任务文件夹，点击“高级”-查看日志，即可查看计划任务日志

 

 步骤二：日志清除

①先切换到主机虚拟机上，再下载使用elsave清除日志工具， 下载地址：http://tools.hetianlab.com/tools/Elsave.rar

 

 ②查看ip地址：cmd内输入 ipconfig，再enter

主机ip地址：10.1.1.12

试验台ip地址：10.1.1.13

先用ipc$管道进行连接，在cmd命令提示符下输入 net use \\对方IP（实验台IP）\ipc$ "密码" /user:"用户名"；

 

     连接成功后，开始进行日志清除。

 

 

回车后可以查看远程主机内的系统日志已经被删除了

 

 

 ③删除常见服务日志

 IIS的日志功能，它可以详细的记录下入侵全过程，如用unicode入侵时IE里打的命令，和对80端口扫描时留下的痕迹。　 

    手动清除：日志的默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志。进入到远程主机后（也可直接在实验台中操作），cmd下切换到这个目录下，然后 del *.*。或者删除某一天的日志。如果无法删除文件，首先需要停止w3svc服务，再对日志文件进行删除，使用net 命令停止服务如下：

    C:\>net stop w3svc

    World Wide Web Publishing Service 服务正在停止。

    World Wide Web Publishing Service 服务已成功停止。

     日志w3svc停止后，然后清空它的日志, del *.*

     C:\>net start w3svc

     清除ftp日志，日志默认位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日志，清除方法同上。

④删除计划任务日志

 

 先来删除计划任务日志：

 

    在实验台中命令行进入日志所在文件夹下（%systemroot%\Tasks）， 删除schedlgu.txt ， 提示无法访问文件，因为另一个程序正在使用此文件。说明服务保护，需要先把服务停掉。命令行中输入net stop schedule;

 

    

 

    下面的服务依赖于Task Scheduler 服务。停止Task Scheduler 服务也会停止这些服务。

 

    Remote Storage Engine

 

    Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。

 

    如上显示服务停掉了，同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt；

 

    删除后需要再次启动该任务以便主机能够正常工作，输入net start schedule：

 

    

 分析与思考

1）还有哪些途径可以发现网络中存在的攻击或者入侵。

网络通信中寻找符合网络入侵模式的数据包而发现攻击特征

2）清理日志能否把所有的痕迹都清理干净。

不能

答题