日誌清理

(1) 啟動Windows實驗臺，點選：開始 - 控制面板 - 管理工具 - 事件檢視器。

(2) 應用程式日誌、安全日誌、系統日誌、DNS日誌預設位置：%sys temroot%\system32\config，預設檔案大小512KB，管理員可以改變這個預設大小。

安全日誌檔案：%systemroot%\system32\config\SecEvent.EVT；

系統日誌檔案：%systemroot%\system32\config\SysEvent.EVT；

應用程式日誌檔案：%systemroot%\system32\config\AppEvent.EVT；

DNS日誌：%systemroot%\system32\config\DnsEvent.EVT；

在事件檢視器中右鍵應用程式（或安全性、系統、DNS伺服器）檢視屬性可以得到日誌存放檔案的路徑，並可修改日誌檔案的大小，清除日誌。

選中事件檢視器中左邊的樹形結構圖中的日誌型別（應用程式、安全性或系統）右擊“檢視”，並選擇“篩選”

或者點選屬性頁面的篩選器標籤，日誌篩選器將會啟動。通過篩選器系統會過濾出管理員希望檢視的日誌記錄

(3) 檢視www和ftp日誌資料夾下的日誌檔案

嘗試對www服務中某一檔案進行訪問，則日誌中則會有相應的日誌記錄如下圖。

日誌中記錄了訪問www服務的請求地址，管理員可以根據請求地址，發現網路上的攻擊，管理員可根據日誌資訊，採取一定的防護措施。

ftp的日誌中同樣會記錄ftp服務的登陸使用者，以及登陸之後的操作。

(4) 計劃任務日誌

當入侵者得到遠端系統的shell之後，常會利用計劃任務執行功能更加強大的木馬程式，計劃任務日誌詳細的記錄的計劃任務的執行時間，程式名稱等詳細資訊。

開啟計劃任務資料夾，點選“高階”-檢視日誌，即可檢視計劃任務日誌。

二、日誌清理

(1) 刪除事件檢視器中的日誌

主機下載使用elsave清除日誌工具

下載地址：http://tools.hetianlab.com/tools/Elsave.rar

先用ipc$管道進行連線，在cmd命令提示符下輸入 net use \\對方IP（實驗臺IP）\ipc$ "密碼" /user:"使用者名稱"；

連線成功後，開始進行日誌清除。

清除目標系統的應用程式日誌輸入elsave.exe -s \\對方ip -l "application" -C

清除目標系統的系統日誌輸入elsave.exe -s \\對方IP -l "system" -C

清除目標系統的安全日誌輸入elsave.exe -s \\對方IP -l "security" -C

回車後可以檢視遠端主機內的系統日誌已經被刪除了

(2) 刪除常見服務日誌

IIS的日誌功能，它可以詳細的記錄下入侵全過程，如用unicode入侵時IE裡打的命令，和對80埠掃描時留下的痕跡。　

手動清除：日誌的預設位置：%systemroot%\system32\logfiles\w3svc1\，預設每天一個日誌。進入到遠端主機後（也可直接在實驗臺中操作），cmd下切換到這個目錄下，然後 del *.*。或者刪除某一天的日誌。如果無法刪除檔案，首先需要停止w3svc服務，再對日誌檔案進行刪除，使用net 命令停止服務如下：

C:\>net stop w3svc

World Wide Web Publishing Service 服務正在停止。

World Wide Web Publishing Service 服務已成功停止。

日誌w3svc停止後，然後清空它的日誌, del *.*

C:\>net start w3svc

清除ftp日誌，日誌預設位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，預設每天一個日誌，清除方法同上。

(3) 刪除計劃任務日誌

先來刪除計劃任務日誌：

在實驗臺中命令列進入日誌所在資料夾下（%systemroot%\Tasks）， 刪除schedlgu.txt ， 提示無法訪問檔案，因為另一個程式正在使用此檔案。說明服務保護，需要先把服務停掉。命令列中輸入net stop schedule;

下面的服務依賴於Task Scheduler 服務。停止Task Scheduler 服務也會停止這些服務。

Remote Storage Engine

Task Scheduler 服務正在停止. Task Scheduler 服務已成功停止。

如上顯示服務停掉了，同時也停掉了與它有依賴關係的服務。再來刪除schedlgu.txt；

刪除後需要再次啟動該任務以便主機能夠正常工作，輸入net start schedule：