---

當(dāng)你的才華

還撐不起你的野心時(shí)

那你就應(yīng)該靜下心來學(xué)習(xí)

---

目錄

清理windows入侵痕跡

0x01 前言

了解為什么需要清除入侵痕跡？

一、設(shè)置跳板

二、必不可少的跳板

三、代理服務(wù)器簡(jiǎn)介

1）http代理服務(wù)器

2）Sock5代理服務(wù)器

3）VPN代理服務(wù)器

四、使用Tor隱身

了解需要?jiǎng)h除哪些日志？

1．默認(rèn)提供的日志

2．防火墻日志

3．IIS日志

4、netstat?-an?表示什么意思?

0x02 清除Windows日志

0x01.1?異常場(chǎng)景解決方案

0x01.2?FTP和WWW日志詳解：

WWW日志：

0x01.3 知道了Windows2000日志的詳細(xì)情況，下面就要學(xué)會(huì)怎樣刪除這些日志：

0x02?工具清楚Windows 日志

0x03 清除防火墻日志

0x03 清除IIS日志

0x04 清除歷史記錄及運(yùn)行的日志

0x05 察看blackice的日志

0x06 粉碎文件

粉碎與刪除的區(qū)別

0x07 粉碎數(shù)字文件

0x08 檢驗(yàn)清除效果

0x09 什么是COFEE?

0x10?試用COFEE探查痕跡

0x11 最后的忠告

---

?

清理windows入侵痕跡

0x01 前言

了解為什么需要清除入侵痕跡？

一、設(shè)置跳板

? ? ? 網(wǎng)絡(luò)入侵的背后將會(huì)誕生一場(chǎng)永不落冪的追蹤與反追蹤游戲，在這場(chǎng)貓捉老鼠的游戲中，黑客一旦失敗，可能會(huì)有牢獄之災(zāi)。為了避免被發(fā)現(xiàn)，黑客通常會(huì)使用各種隱匿行蹤的技術(shù)手段，其中最常用的就是設(shè)置及使用跳板(Springboard)。

二、必不可少的跳板

? ? ? 假如自己使用的電腦為A主機(jī)，需要^侵的電腦為X主機(jī)，那么黑客通常會(huì)在A主機(jī)使用代理服務(wù)，讓A主機(jī)的所有通信繞道至國(guó)外的代理服務(wù)器B，然后通過B控制國(guó)內(nèi)另一臺(tái)被植入木馬的主機(jī)C，從主機(jī)C控制另一臺(tái)被植入木馬或存在漏洞的主機(jī)D，最后通過主機(jī)D發(fā)動(dòng)對(duì)X主機(jī)的入侵操作，從B主機(jī)到D主機(jī)這一系列作為中繼的主機(jī)鏈就是跳板，9.1

? ? ? 為什么要繞這么太一個(gè)圈子呢？下面我們假設(shè)X主機(jī)的管理員發(fā)現(xiàn)了入侵行為并馬上聯(lián)合網(wǎng)警反追蹤入侵者，根據(jù)X主機(jī)的日志和訪問記錄，他們決定先反向追蹤至主機(jī)D，如果黑客對(duì)主機(jī)D的漏洞修補(bǔ)得比較好，那么遠(yuǎn)程獲得D主機(jī)控制權(quán)并從中查出幕后的主機(jī)C需要較長(zhǎng)時(shí)間，即使有網(wǎng)警和服務(wù)供應(yīng)商的全力配合，找到D主機(jī)并現(xiàn)場(chǎng)取證至少需要數(shù)小時(shí)，依此類推，當(dāng)跳板延伸至國(guó)外時(shí)，假如沒有獲得國(guó)際組織的協(xié)助，反向追蹤幾乎成了不可能完成的任務(wù)，即使獲得協(xié)助+其處理難度也將大幅提升，黑客就可以有足夠的時(shí)間安全撤退

? ? ? 其中．B、C和D主機(jī)就是跳板。作為跳板的主機(jī)鏈越長(zhǎng)，黑客的安全保障系數(shù)越高。不過，隨著跳板數(shù)量的增加，網(wǎng)絡(luò)延遲會(huì)不斷累加，越洋連接的速度會(huì)變得更緩慢，甚至出現(xiàn)操作超時(shí)、連接中斷的現(xiàn)象，這樣會(huì)導(dǎo)致入侵的過程更漫長(zhǎng)，也增加了被發(fā)現(xiàn)的風(fēng)險(xiǎn)。因此，在實(shí)際操作時(shí)需要在跳板數(shù)量及連接速度方面取’個(gè)較佳的平衡點(diǎn)。

?

三、代理服務(wù)器簡(jiǎn)介

? ? ? “肉雞”和代理服務(wù)器混合組成的跳板鏈?zhǔn)呛诳统Ｓ玫碾[匿方式之一。在這個(gè)跳板組合中，“肉雞”由于完全受控于黑客，入侵后可以輕易擦除使用痕跡，而代理服務(wù)器卻不受控于黑客，所以選擇時(shí)需要更謹(jǐn)慎。

? ? ? 代理服務(wù)器(ProxyServer)是網(wǎng)絡(luò)信息的中轉(zhuǎn)站，它接收客戶端的訪問請(qǐng)求，并以自己的身份轉(zhuǎn)發(fā)此請(qǐng)求。對(duì)于接收信息的一方而占，就像代理服務(wù)器向它提出請(qǐng)求一樣，從而保護(hù)了客戶端，增加了反向追蹤的難度。

? ? ? 根據(jù)代理服務(wù)的功能劃分，代理服務(wù)器可以分為http代理服務(wù)器、sock5代理服務(wù)器、VPN代理服務(wù)器等。

1）http代理服務(wù)器

? ? ? http代理服器是一種最常見的代理服務(wù)器，它的優(yōu)點(diǎn)是響應(yīng)速度快、延遲相對(duì)較低及數(shù)量眾多，

? ? ? 通常不費(fèi)吹灰之力就町以找到一個(gè)不錯(cuò)的http代理服務(wù)器。不過，它的缺點(diǎn)也比較明顯，僅能響應(yīng)http通信協(xié)議，并濾除80、8080等Web常用端口外的其他端口訪問請(qǐng)求。雖然可毗使用httptogocck5類的軟件進(jìn)行轉(zhuǎn)換，但始終不如Socki代理服務(wù)器或VPN代理服務(wù)器方便。

2）Sock5代理服務(wù)器

? ? ? Sock5代理服務(wù)器是黑客們的最愛。它對(duì)訪問協(xié)議、訪問端口方面均沒有限制，可以轉(zhuǎn)發(fā)各種協(xié)議的通信請(qǐng)求，讓黑客可咀自由使用各種黑客軟件度工具。其缺點(diǎn)是Sock5服務(wù)器相對(duì)比較難找，響應(yīng)速度會(huì)稍慢一點(diǎn)。

3）VPN代理服務(wù)器

? ? ? VPN代理服務(wù)器可以在本機(jī)及遠(yuǎn)端VPN服務(wù)器間形成點(diǎn)對(duì)點(diǎn)通信通道，以便防范局域剛偵聽及監(jiān)測(cè)。假如黑客所處奉地網(wǎng)絡(luò)環(huán)境比較復(fù)雜，例如在咖啡廳、機(jī)場(chǎng)、校園或企內(nèi)時(shí)，使用VPl.1代理服務(wù)器是最佳的選擇。

搜索代理服務(wù)器

? ? ? 如何才能找到合適的代理服務(wù)器呢？

? ? ? 常用的方法有兩個(gè)：

• 是從代理網(wǎng)站搜索
• 使用代理超人這一類智能代理軟件自動(dòng)搜索及設(shè)置

1. 代理網(wǎng)站

? ? ? “代理中國(guó)”、“代理服務(wù)器網(wǎng)”等代理服務(wù)器列表網(wǎng)站每天都會(huì)分門別類提供許多高速的代理服務(wù)器列表。由于使用的用戶數(shù)量相當(dāng)多，此類代理服務(wù)器的隱匿性相當(dāng)不錯(cuò)，遺憾的是其速度比較慢。圖9-2為代理中國(guó)提供的Sock5代理列表。

2. 代理超人自動(dòng)搜索

? ? ? 代理超人是一款集代理搜索、驗(yàn)證、管理和設(shè)置于～體的軟件。它可以使用多達(dá)1∞線程自動(dòng)搜索及驗(yàn)證代理服務(wù)器，并依照傳輸速度迅速排序，為用戶提供優(yōu)質(zhì)的代理服務(wù)器列表，它的智能理功能還可以讓所有軟件無須修改現(xiàn)有的設(shè)置即可使用代理服務(wù)器上網(wǎng)，大大簡(jiǎn)化了代理服務(wù)器的設(shè)置工作。略感遺憾的是，它僅提供圖形設(shè)置界面，黑客們無法通過命令行操控及調(diào)整該軟件。

? ? ? Stepl單擊“搜索”按鈕，并選擇“搜索代理”命令，9-3。即可搜索出數(shù)量眾多的代理服務(wù)器。

? ? ? Step2搜索完畢后，單擊“搜索”按鈕，選擇“驗(yàn)證全部代理”命令，9-4。即自動(dòng)檢查代理服務(wù)器是否可用及連接速度有多快。

? ? ? $top3驗(yàn)證完畢，單擊“使用”按鈕，選擇“啟用代理”命令，9-5。即可完成瀏覽器的代理服務(wù)囂設(shè)置。若使用其他軟件，則需要手動(dòng)設(shè)置

? ? ? 啟用代理后，用戶可以通過瀏覽器進(jìn)入一些lP檢測(cè)網(wǎng)站（如www.xxx．com）檢查代理是否成功啟用。本例啟用了一個(gè)美國(guó)代理服務(wù)器，查詢結(jié)果9。

?

四、使用Tor隱身

? ? ? 除了使用代理之外，許多黑客還喜歡使用Tor來隱匿自己。Tor的全稱是TheOnionRouter，許多黑客稱之為洋蔥路由。在介紹Tor之前，我們先來玩—個(gè)智能問答游戲，一棵樹藏在地面什么地方才會(huì)既不引人往目，也難以將它找出來呢？嗯，體也町以先想五分鐘。答案是，將樹藏在森林里。

? ? ? 由于森林有無數(shù)大小不一的樹木，這些樹木提供了天然的掩護(hù)，要想從中找出藏起來的那棵樹還真不是一般的困難。摹于這種構(gòu)想，人們?cè)O(shè)計(jì)了Tor。Tor隱身原理9-8。

? ? ? Tor允許所有加入Tor網(wǎng)絡(luò)的電腦將自己變成虛擬路由器，使用這些虛擬路由器，Tor用戶將擁有無窮無盡的可用路徑和訪問出口。

程序需要使用網(wǎng)絡(luò)時(shí)將進(jìn)行以下動(dòng)作：

①客廣端的Tor程序?qū)㈦S機(jī)選擇一個(gè)虛擬路由器作為進(jìn)入結(jié)點(diǎn)，傳送信息并附送跳轉(zhuǎn)的次數(shù)要求(N)。

@收到信息的虛擬路由器將隨機(jī)尋找另一個(gè)結(jié)點(diǎn)傳送信息并附送跳轉(zhuǎn)的次數(shù)要求(N-I)，而且會(huì)臨時(shí)記錄此鏈路信息來源方、發(fā)送方。

③重復(fù)上一步的操作，直至跳轉(zhuǎn)次數(shù)從N降至0，中轉(zhuǎn)的虛擬路由器為信息尋找一個(gè)提供出口功能的虛擬路由器，經(jīng)出r跳出Tor網(wǎng)絡(luò)。對(duì)于接收方而言，就像出口虛擬路由器向其發(fā)送請(qǐng)求，而無法追尋信息的直正來源。

④信息返叫時(shí)，各虛擬路由器根據(jù)記錄依次回傳信息，最終返回給原始信息發(fā)送者。

⑤這種臨時(shí)組建的傳輸鏈路將維持l到數(shù)分鐘，然后重新隨機(jī)組建一次，9-9

由于每個(gè)中繼虛擬路由器均可作為入口，而每個(gè)中繼路由器沒有完整的路徑資料，所以，除了入口虛擬路由器之外，Tor網(wǎng)絡(luò)中即使存在監(jiān)測(cè)者，也難以逆推信息的真實(shí)來源。此外，頻繁變更的傳輸鏈路既增加了監(jiān)測(cè)難度，也讓入侵防御方難以通過封鎖IP地址區(qū)段等手段防御入侵。

使用Tor的方法如下：

? ? ? Stepl安裝完畢，Tor默認(rèn)自動(dòng)搜索中繼虛擬路由器作為八口，初次使用時(shí)，搜索過程可能長(zhǎng)達(dá)十多分鐘，請(qǐng)耐心等候．

? ? ? Step2連接后，任務(wù)管理器的圖標(biāo)變成綠色，表示Tor已經(jīng)處于工作狀態(tài)，9-10。它默認(rèn)提供了Http與Sock5兩種代理，其中，Http代理為127.0.0.1:8118;soc,k5代理為127.0.0.1:9050。

? ? ? 假如出現(xiàn)“沒有可用鏈路”的提示信息，說明無法連接入口，9-11。用戶可以參考以下方法獲取及添加初始入口。

? ? ? Stepl編寫主題和正文為getbridges的電子郵件，并發(fā)送給bridges@torproject．org，以荻取入口網(wǎng)橋，9-12。

? ? ? Stop2在系統(tǒng)托盤區(qū)域的Tor圖標(biāo)上右擊，選擇“控制面板”命令，在彈出的對(duì)話框中單擊“設(shè)定”按鈕，9-13。打開“設(shè)置”窗口。

? ? ? Step3在“設(shè)置”窗口中單擊“網(wǎng)絡(luò)”按鈕，選擇“我的ISP阻擋了對(duì)Tor網(wǎng)絡(luò)的連接”復(fù)選框，輸入步驟1獲取的網(wǎng)橋，單擊+按鈕，最后單擊“確定”按鈕，9-14

? ? ? Step4返回控制面板，9-15。單擊“啟動(dòng)Tor”按鈕，重新啟動(dòng)Tor即可解決“沒有可用鏈路”的問題。

設(shè)置及使用代理服務(wù)器

? ? ? 大多數(shù)黑客軟件并沒有詳細(xì)的使用說明，用戶可以嘗試打開相關(guān)的設(shè)之項(xiàng)查看是否有相關(guān)的代理服務(wù)器設(shè)置。對(duì)于具有代理設(shè)置功能的黑客軟件，如NBIS等，只需將搜索獲得的代理服務(wù)器IP地址及端口填寫進(jìn)去即可。

? ? ? 以NBIS為例，設(shè)置代理服務(wù)器的方法為：單擊“程序設(shè)置”按鈕，在“HTTP代理”欄位輸入代理，9-16。最后單擊“確定”按鈕。這樣就町以使用代理服務(wù)器為中轉(zhuǎn)掃描指定的網(wǎng)站了

沒法設(shè)置代理的軟件如何使用跳板

? ? ? 相當(dāng)多黑客工具和軟件的功能比較簡(jiǎn)單，并沒有提供網(wǎng)絡(luò)代理設(shè)置功能，那么，這一類軟件如何使用代理工作呢？方法很簡(jiǎn)單，只需安裝一個(gè)轉(zhuǎn)換軟件即iT．如SocksCap32，此類軟件可以截取本機(jī)發(fā)送的數(shù)據(jù)包，從而為無法設(shè)置代理的telnet等命令行工具插上代理跳板的翅膀。

? ? ? 以下是設(shè)置SocksCap32，并讓Telnet使用跳板的操作過程l。

? ? ? Stepl打開SocksCap32后，單擊“文件”按鈕，選擇‘設(shè)置”命令，在打開對(duì)話框的"SOCKS服務(wù)器”文本框中輸入Sock代理服務(wù)器的lP地址，并在“端口”位置設(shè)置服務(wù)器的端口，接著單擊‘確定”按鈕9-17

? ? ? Step2打開“SocksCap控制臺(tái)”對(duì)話框，單擊“新建”按鈕出的對(duì)話框中輸入標(biāo)識(shí)項(xiàng)名稱，在“命令行”欄位設(shè)置Telnet命令的詳細(xì)路徑，9-18。最后單擊“確定”按鈕

? ? ? Step3雙擊新建的Telnet_proxy項(xiàng)目，即可啟動(dòng)使用Socks代理服務(wù)器跳板的Telnet了，9-19。

?

了解需要?jiǎng)h除哪些日志？

? ? ? 為了方便管理員了解掌握電腦的運(yùn)行狀態(tài)，Windows提供了完善的日志功能，將系統(tǒng)服務(wù)、權(quán)限設(shè)置、軟件運(yùn)行等相關(guān)事件分門別類詳細(xì)記錄于日志之中。所以，通過觀察、分析系統(tǒng)日志，有經(jīng)驗(yàn)的管理員不但可以了解黑客對(duì)系統(tǒng)做了哪些改動(dòng)，甚至還可能會(huì)找出入侵的來源，例如從ftp日志找出黑客登錄的lP地址。為此，清除日志幾乎成為黑客入門的必修課。

? ? ? WndowsXP操作系統(tǒng)為例，它的日志系統(tǒng)由默認(rèn)提供的日志、防火墻日志、ns服務(wù)器日志三大類組成。

1．默認(rèn)提供的日志

? ? ? Windows系統(tǒng)默認(rèn)提供應(yīng)用程序日志、安全性日志和系統(tǒng)日志。應(yīng)用程序主要記錄應(yīng)用程序運(yùn)行時(shí)出現(xiàn)的錯(cuò)誤和特效事件。

? ? ? 例如：停止響應(yīng)、數(shù)據(jù)啟動(dòng)、停止等。安全性日志用于記錄管理員指定的審核事項(xiàng)，假如管理員沒有在組策略中指定需要審核的內(nèi)容及審核的方向，說明此日志為空白狀態(tài)。

? ? ? 系統(tǒng)日志用于記錄各類系統(tǒng)運(yùn)行的信息。例如Telnet服務(wù)啟動(dòng)后，系統(tǒng)日志將會(huì)記錄該服務(wù)啟動(dòng)的時(shí)間，并留下一條關(guān)elnet服務(wù)正處于運(yùn)行狀態(tài)的描述。

? ? ? 從以上的分析不難看出，對(duì)于沒有安裝附加組件的“肉雞”而言，系統(tǒng)日志是清除的首要目標(biāo)。

2．防火墻日志

? ? ? 防火墻日志默認(rèn)處于關(guān)閉狀態(tài)，管理員啟用了防火墻日志記錄功能后，就會(huì)在vrindows目錄內(nèi)自動(dòng)生成pfuwall.log文件，并記錄相應(yīng)的連接內(nèi)容。假如找不到這個(gè)文件，則說明管理員沒有啟用防火墻日志功能

3．IIS日志

? ? ? 若用戶安裝了IIS服務(wù)器組件，就可以在“%systemroot%\system32\logfles\”中找到FTP、Web、Ils服務(wù)器等同志。

? ? ? HTTPERR文件夾中存放的日志文件記錄著Web運(yùn)行、響應(yīng)出錯(cuò)等信息，主要用于排解故障及優(yōu)化Web服務(wù)，對(duì)黑客而言，其意義不大。

? ? ? W3SVCl文件夾用于存放lP地址、用戶名、服務(wù)器端口、用戶所訪問的UiRI資源、發(fā)出的URI查求等信息，管理員通過分析此文件可以找出黑客入侵的各種痕跡，所以，完成SQL注入、網(wǎng)站掛馬等操作后，務(wù)必要清除此文件。

? ? ? MSFTPSVC1文件夾保存著FTP日志，與前面介紹的Web、IIS日志相比，FTP日志更詳細(xì)，不但包含用戶登錄操作，還包含用戶的各種操作請(qǐng)求，例如記錄用戶利用UNICODE漏洞入侵服務(wù)器，就會(huì)留下相當(dāng)多與cmd.exe有關(guān)的記錄，所以，在成功入侵后，此日志須及時(shí)清除

4、netstat?-an?表示什么意思?

　　使用這個(gè)命令可以察看到和本機(jī)的所有的連接.

　　Proto?Local?Address?Foreign?Address?State

　　協(xié)議?本地端口及IP地址?遠(yuǎn)程端口及IP地址?狀態(tài)

　　LISTENING?監(jiān)聽狀態(tài)?表示等待對(duì)方連接

　　ESTABLISHED?正在連接著.

　　TCP?協(xié)議是TCP

　　UDP?協(xié)議是UDP

　　TCP?192.168.0.10:1115?61.186.97.54:80?ESTABLISHED

　　這個(gè)表示?利用tcp協(xié)議?本機(jī)ip(192.168.0.10)通過端口:1115?和遠(yuǎn)程ip(61.186.97.54)端口:80連接

　　80端口?表示?http?就是你在訪問這個(gè)網(wǎng)站.一般情況下遠(yuǎn)程ip的端口:?80?21?8000?這個(gè)都是正常的.?如果是別的?就可以看一下你的計(jì)算機(jī)了

?

---

0x02 清除Windows日志

開始 ——>?程序 ——> 管理工具 ——> 計(jì)算機(jī)管理 ——> 系統(tǒng)工具 ——>事件查看器（然后清除日志）

或

開始 ——>運(yùn)行 ——>eventvwr.msc(％SystemRoot％＼system32＼eventvwr．msc /s)

即可打開事件查看器

1）應(yīng)用程序日志文件

%systemroot%\system32\config\AppEvent.EVT;

2）安全日志文件

%systemroot%\system32\config\SecEvent.EVT;

3）系統(tǒng)日志文件

%systemroot%\system32\config\SysEvent.EVT;

4）DNS日志默認(rèn)位置

%sys temroot%\system32\config，默認(rèn)文件大小512KB

注：應(yīng)用程序日志，安全日志，系統(tǒng)日志，DNS服務(wù)器日志，它們這些LOG文件在注冊(cè)表中的位置：

　　HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

5）Internet信息服務(wù)FTP日志默認(rèn)位置

%systemroot%\system32\logfiles\msftpsvc1\，默認(rèn)每天一個(gè)日志

6）Internet信息服務(wù)WWW日志默認(rèn)位置

%systemroot%\system32\logfiles\w3svc1\，默認(rèn)每天一個(gè)日志

7）Scheduler服務(wù)日志默認(rèn)位置

%sys temroot%\schedlgu.txt

?

以上日志在注冊(cè)表里的鍵：　　

　　當(dāng)然，管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到程序日志，安全日志，系統(tǒng)日志，DNS服務(wù)器日志、Internet信息服務(wù)FTP日志默認(rèn)位置、Internet信息服務(wù)WWW日志默認(rèn)位置、Scheduler服務(wù)日志默認(rèn)位置的定位目錄。

　　Schedluler服務(wù)日志在注冊(cè)表中的鍵（位置）　　

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

0x01.1?異常場(chǎng)景解決方案

發(fā)現(xiàn)這些文件無法使用delete命令刪除，該如何處理呢？

? ? ? 事實(shí)上，出于安全考慮，微軟設(shè)計(jì)了不能暫停、停止的日志記錄服務(wù)，應(yīng)用程序日志、安全性日志和系統(tǒng)日志的日志記錄文件從載入系統(tǒng)時(shí)起便處于使用狀態(tài)，所以無法通過系統(tǒng)自帶的文件刪除功能將其刪除

? ? ? 雖然微軟在圖形界面的控制臺(tái)提供了刪除功能，但使用遠(yuǎn)程桌面需要更高的帶寬，難以使用多級(jí)跳板，因此，黑客傾向于使用命令行工具清除Windows臼志文件。其中，國(guó)內(nèi)高手小榕編寫的elsave就是清除Windows日志最經(jīng)典的命令行工具。

? ? ? elsave不但用于遠(yuǎn)程清除Windows日志文件，也可以備份遠(yuǎn)程日志文件。

? ? ? 運(yùn)行該工具的必要條件是獲得管理員權(quán)限的commandShell。

-s\\lP或電腦名稱：用于指定遠(yuǎn)程主機(jī)，若不指定遠(yuǎn)程主機(jī)，默認(rèn)的操作對(duì)象為本機(jī)的日志記錄

-1日志名稱：用于指定需要操作的日志名稱。其中，應(yīng)用程序日志的名稱為application、系統(tǒng)日志的名稱為system、安全日志的名稱為secunty

-F路徑及名稱：制作日志的副本并保存至指定位置。

-c：清空指定的日志

范例

? ? ? 清除主機(jī)192.168.1.66的系統(tǒng)日志。

? ? ? 假如找不到elsave這個(gè)清除日志的專用工具，沒關(guān)系！我們可以自己動(dòng)手寫一個(gè)簡(jiǎn)單的VBS腳本，上傳至需要清除日志的電腦，并在遠(yuǎn)程Shell中執(zhí)行就可以

0x01.2?FTP和WWW日志詳解：

　　FTP日志和WWW日志默認(rèn)情況，每天生成一個(gè)日志文件，包含了該日的一切記錄，文件名通常為ex(年份)(月份)(日期)，例如ex001023，就是2000年10月23日產(chǎn)生的日志，用記事本就可直接打開

如下例：

#Software: Microsoft Internet Information Services 5.0(微軟IIS5.0)

#Version: 1.0 (版本1.0)

#Date: 20001023 0315 (服務(wù)啟動(dòng)時(shí)間日期)

#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administator 331　(IP地址為127.0.0.1用戶名為administator試圖登錄)

0318 127.0.0.1 [1]PASS – 530　(登錄失敗)

032:04 127.0.0.1 [1]USER nt 331　(IP地址為127.0.0.1用戶名為nt的用戶試圖登錄)

032:06 127.0.0.1 [1]PASS – 530　(登錄失敗)

032:09 127.0.0.1 [1]USER cyz 331　(IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄)

0322 127.0.0.1 [1]PASS – 530　(登錄失敗)

0322 127.0.0.1 [1]USER administrator 331　(IP地址為127.0.0.1用戶名為administrator試圖登錄)

0324 127.0.0.1 [1]PASS – 230　(登錄成功)

0321 127.0.0.1 [1]MKD nt 550　(新建目錄失敗)

0325 127.0.0.1 [1]QUIT – 550　(退出FTP程序)

　　從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時(shí)間、IP地址以及探測(cè)的用戶名，如上例入侵者最終是用administrator用戶名進(jìn)入的，那么就要考慮更換此用戶名的密碼，或者重命名administrator用戶。

WWW日志：

　　WWW服務(wù)同F(xiàn)TP服務(wù)一樣，產(chǎn)生的日志也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目錄下，默認(rèn)是每天一個(gè)日志文件，下面是一個(gè)典型的WWW日志文件

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 20001023 03:091

#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

? ? ? ?通過分析第六行，可以看出2000年10月23日，IP地址為192.168.1.26的用戶通過訪問IP地址為192.168.1.37機(jī)器的80端口，查看了一個(gè)頁面iisstart.asp,這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經(jīng)驗(yàn)的管理員就可通過安全日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時(shí)間。

　　 既使你刪掉FTP和WWW日志，但是還是會(huì)在系統(tǒng)日志和安全日志里記錄下來，但是較好的是只顯示了你的機(jī)器名，并沒有你的IP。

　　屬性里記錄了出現(xiàn)警告的原因，是因?yàn)橛腥嗽噲D用administator用戶名登錄，出現(xiàn)一個(gè)錯(cuò)誤，來源是FTP服務(wù)。

　　有兩種圖標(biāo)：鑰匙(表示成功)和鎖(表示當(dāng)用戶在做什么時(shí)被系統(tǒng)停止)。接連四個(gè)鎖圖標(biāo)，表示四次失敗審核，事件類型是帳戶登錄和登錄、注銷失敗，日期為2000年10月18日，時(shí)間為1002，這就需要重點(diǎn)觀察。

　　雙點(diǎn)第一個(gè)失敗審核事件的，即得到此事件的詳細(xì)描述。

　　經(jīng)過分析我們可以得知有個(gè)CYZ的工作站，用administator用戶名登錄本機(jī)，但是因?yàn)橛脩裘粗蛎艽a錯(cuò)誤(實(shí)際為密碼錯(cuò)誤)未能成功。另外還有DNS服務(wù)器日志，不太重要，就此略過(其實(shí)是我沒有看過它)。

0x01.3 知道了Windows2000日志的詳細(xì)情況，下面就要學(xué)會(huì)怎樣刪除這些日志：

　　通過上面，得知日志文件通常有某項(xiàng)服務(wù)在后臺(tái)保護(hù)，除了系統(tǒng)日志、安全日志、應(yīng)用程序日志等等，它們的服務(wù)是Windos2000的關(guān)鍵進(jìn)程，而且與注冊(cè)表文件在一塊，當(dāng)Windows2000啟動(dòng)后，啟動(dòng)服務(wù)來保護(hù)這些文件，所以很難刪除，而FTP日志和WWW日志以及Scedlgu日志都是可以輕易地刪除的。首先要取得Admnistrator密碼或Administrators組成員之一，然后Telnet到遠(yuǎn)程主機(jī)，先來試著刪除FTP日志：

D:\SERVER>del schedlgu.txt

D:\SERVER\SchedLgU.Txt

　　進(jìn)程無法訪問文件，因?yàn)榱硪粋€(gè)程序正在使用此文件。說過了，后臺(tái)有服務(wù)保護(hù)，先把服務(wù)停掉!

　　D:\SERVER>net stop "task scheduler"

　　下面的服務(wù)依賴于 Task Scheduler 服務(wù)。停止 Task Scheduler 服務(wù)也會(huì)停止這些服務(wù)。

　　Remote Storage Engine

　　是否繼續(xù)此操作? (Y/N) [N]: y

　　Remote Storage Engine 服務(wù)正在停止....

　　Remote Storage Engine 服務(wù)已成功停止。

　　Task Scheduler 服務(wù)正在停止.

　　Task Scheduler 服務(wù)已成功停止。

　　OK，它的服務(wù)停掉了，同時(shí)也停掉了與它有依賴關(guān)系的服務(wù)。再來試著刪一下!

D:\SERVER>del schedlgu.txt

D:\SERVER>

　　沒有反應(yīng)?成功了!下一個(gè)是FTP日志和WWW日志，原理都是一樣，先停掉相關(guān)服務(wù)，然后再刪日志!

D:\SERVER\system32\LogFiles\MSFTPSVC1>del ex*.log

D:\SERVER\system32\LogFiles\MSFTPSVC1>

　　以上操作成功刪除FTP日志!再來WWW日志!

D:\SERVER\system32\LogFiles\W3SVC1>del ex*.log

D:\SERVER\system32\LogFiles\W3SVC1>

　　現(xiàn)在簡(jiǎn)單的日志都已成功刪除。下面就是很難的安全日志和系統(tǒng)日志了，守護(hù)這些日志的服務(wù)是Event Log，試著停掉它!

　　D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog

?

---

0x02?工具清楚Windows 日志

1.?系統(tǒng)日志?通過手工很難清除.?這里我們介紹一個(gè)工具?clearlog.exe

使用方法:

Usage:?clearlogs?[\computername]?<-app?/?-sec?/?-sys>

-app?=?應(yīng)用程序日志

-sec?=?安全日志

-sys?=?系統(tǒng)日志

　　a.?可以清除遠(yuǎn)程計(jì)算機(jī)的日志

**?先用ipc連接上去:?net?use?\ipipc$?密碼/user:用戶名

**?然后開始清除:?方法

clearlogs?\ip?-app?這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的應(yīng)用程序日志

clearlogs?\ip?-sec?這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的安全日志

clearlogs?\ip?-sys?這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的系統(tǒng)日志

　　b.清除本機(jī)日志:?如果和遠(yuǎn)程計(jì)算機(jī)的不能空連接.?那么就需要把這個(gè)工具傳到遠(yuǎn)程計(jì)算機(jī)上面

　　然后清除.?方法:

clearlogs?-app?這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的應(yīng)用程序日志

clearlogs?-sec?這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的安全日志

clearlogs?-sys?這個(gè)是清除遠(yuǎn)程計(jì)算機(jī)的系統(tǒng)日志

　　安全日志已經(jīng)被清除.Success:?The?log?has?been?cleared?成功.

　　為了更安全一點(diǎn).同樣你也可以建立一個(gè)批處理文件.讓自動(dòng)清除.?做好批處理文件.然后用at命令建立一個(gè)計(jì)劃任務(wù).?讓自動(dòng)運(yùn)行.?之后你就可以離開你的肉雞了.

　　例如建立一個(gè)?c.bat

rem?==============================?開始

@echo?off

clearlogs?-app

clearlogs?-sec

clearlogs?-sys

del?clearlogs.exe

del?c.bat

exit

rem?==============================?結(jié)束

　　在你的計(jì)算機(jī)上面測(cè)試的時(shí)候?可以不要?@echo?off?可以顯示出來.?你可以看到結(jié)果

　　第一行表示:?運(yùn)行時(shí)不顯示窗口

　　第二行表示:?清除應(yīng)用程序日志

　　第三行表示:?清除安全日志

　　第四行表示:?清除系統(tǒng)日志

　　第五行表示:?刪除?clearlogs.exe?這個(gè)工具

　　第六行表示:?刪除?c.bat?這個(gè)批處理文件

　　第七行表示:?退出

用AT命令.?建立一個(gè)計(jì)劃任務(wù).?這個(gè)命令在原來的教程里面和雜志里面都有.?你可以去看看詳細(xì)的使用方法

　　AT?時(shí)間?c:c.bat

　　之后你就可以安全離開了.?這樣才更安全一點(diǎn).

---

?

0x03 清除防火墻日志

? ? ? 與系統(tǒng)日志一樣，防火墻日志由對(duì)應(yīng)的服務(wù)保護(hù)。由于防火墻服務(wù)允許停用，所以清除防火墻日志比清除系統(tǒng)日志要簡(jiǎn)單一些。只要Telnet登錄的用戶具有管理員身份就可以使用netstop命令停止防火墻服務(wù)和清除防火墻日志了。

1）清理防火墻記錄的痕跡

cd logfiles/firewall

2）觀察防火墻的當(dāng)前目錄

type pfirewall.log

3）讀取防火墻日志

Netsh firewall set opmode mode= DISABLE

4）關(guān)閉防火墻

Del pfirewall.log

5）刪除日志文件

type pfirewall.log

注：簡(jiǎn)單粗暴的刪除真的省事，可是少了大量日志記錄，還是會(huì)被發(fā)現(xiàn)異常，

? ? ? 那么有沒有解決的辦法呢？刪除不是好的選擇，因?yàn)閿嚅_連接的時(shí)候，有的監(jiān)管軟件會(huì)記錄你的離開，審核日志的時(shí)候，你有離開的記錄，沒有進(jìn)入的記錄，這就很讓人懷疑了。

? ? ??所以刪除帶有自己訪問記錄的條目，或者修改日志內(nèi)容是最好的選擇。把自己的訪問ip和，mac記錄刪除或者修改掉。

拓展命令

? 刪除Internet臨時(shí)文件

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 8

? 刪除cookies

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 2

? 刪除歷史記錄

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 1

? 從數(shù)據(jù)中刪除

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 16

?? 刪除密碼

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 32

? 刪除所有

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 255

? 刪除加載項(xiàng)存儲(chǔ)的所有+文件和設(shè)置

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 4351

?

0x03 清除IIS日志

1、手動(dòng)清除IIS日志釋放空間

? ? ? IIS存放日志文件的默認(rèn)存儲(chǔ)路徑是“C:/WINDOWS/system32/LogFiles/W3SVC1/”，依次打開“我的電腦”，C盤，Windows文件夾，system32文件夾，logfiles文件夾，發(fā)現(xiàn)里面還有多個(gè)子文件夾，每個(gè)文件夾都對(duì)應(yīng)一個(gè)IIS站點(diǎn)。

? ? ? 我們逐個(gè)打開這些文件夾查看，發(fā)現(xiàn)里面有大量以.log后綴結(jié)尾的文件，這就是IIS日志文件。它們不僅數(shù)量多，而且每個(gè)文件占用字節(jié)數(shù)也大，如下圖：

??我們?nèi)x這些文件，然后按Shift+DEL強(qiáng)行刪除。再打開“我的電腦”，發(fā)現(xiàn)C盤“可用空間變多了

2、如何不記錄IIS日志

? ? ? 如果網(wǎng)站的訪問量特別大，管理員覺得每段時(shí)間都需要去清除一次IIS日志比較麻煩，那么在IIS的站點(diǎn)中設(shè)定可以不記錄IIS日志。

方法如下：

? ? ? 打開“Internet 信息服務(wù)(IIS)管理器”，選擇到不需要記錄IIS日志的站點(diǎn)，按下鼠標(biāo)右鍵，選擇“屬性”，在默認(rèn)的“網(wǎng)站”選項(xiàng)卡中將“啟用記錄的復(fù)選勾”去掉，點(diǎn)“確定”。如下圖：

????

????設(shè)置完成后，再重啟IIS或者服務(wù)器，設(shè)置即可生效。?

?3、自動(dòng)刪除IIS日志的程序

? ?IIS在運(yùn)行的過程中日志會(huì)不停地增長(zhǎng)，若iis的網(wǎng)站被頻繁的調(diào)用或不當(dāng)?shù)恼{(diào)用，則會(huì)產(chǎn)生很多日志。對(duì)于系統(tǒng)盤或者磁盤空間不夠的服務(wù)器來說。IIS日志自動(dòng)清理則非常有必要。

????IIS日志清理代碼如下：

1，文件名：rmiislog.js

腳本內(nèi)容：

function dellogfile(beforedays)

{

var fso = new ActiveXObject("Scripting.FileSystemObject");

var dir = fso.GetFolder("c:\\WINDOWS\\system32\\LogFiles");??? //改成你的 IIS 日志目錄

for (var fc = new Enumerator(dir.SubFolders); !fc.atEnd(); fc.moveNext())?

{

if (fc.item().name.substr(0,5) == "W3SVC")?

{

for (var logfiles = new Enumerator(fc.item().Files); !logfiles.atEnd(); logfiles.moveNext())?

{

var fileName = logfiles.item().name;

var year = "20" + fileName.substr(2, 2);

var mouth = fileName.substr(4, 2);

var day = fileName.substr(6, 2);

var days = Math.round(((new Date()).getTime() - Date.UTC(year, mouth - 1, day)) / 1000 / 60 / 60 / 24);

if (days >= beforedays) logfiles.item().Delete();

}

}

}

}

dellogfile(30);//刪除30天前的日志

2，批處理腳本

文件名：rmiislog.bat

腳本內(nèi)容：

cscript rmiislog.js

網(wǎng)上找到個(gè)更簡(jiǎn)潔的.bat 批處理清理IIS日志的腳本，代碼如下：

一，新建一個(gè)文檔，重新命名為iisclear.bat

二，編輯文檔，輸入一下內(nèi)容

:: 清理IIS日志文件

:: 備份MySql數(shù)據(jù)庫

@echo off

title 清理IIS日志文件

:: IIS日志文件目錄

set log_dir="C:\inetpub\logs\LogFiles"

:: 保留日志天數(shù)

set bak_dat=15

:: 刪除日志文件

forfiles /p %log_dir% /S /M *.log /D -%bak_dat% /C "cmd /c echo 正在刪除@relpath 文件… & echo. & del @file"

三，保存，測(cè)試運(yùn)行

? ? ? 總之，IIS在運(yùn)行的過程中日志會(huì)不停地http://www.hx-dxds.com/增長(zhǎng)，若IIS的網(wǎng)站被頻繁的調(diào)用或不當(dāng)?shù)恼{(diào)用，則會(huì)產(chǎn)生很多日志，對(duì)于系統(tǒng)盤或者磁盤空間不夠的服務(wù)器來說，IIS日志自動(dòng)清理則非常有必要。

注：服務(wù)器的一些狀況和訪問IP的來源都會(huì)記錄在IIS日志中，所以IIS日志對(duì)每個(gè)服務(wù)器管理者非常的重要，如果入侵者技術(shù)比較高明，會(huì)刪除IIS日志文件以抹去痕跡，這時(shí)可以到事件查看器看來自W3SVC的警告信息，往往能找到一些線索，當(dāng)然，對(duì)于訪問量特別大的Web服務(wù)器，僅靠人工分析幾乎是不可能的了！

4. 工具清理

? ? ? 目前對(duì)于網(wǎng)站的入侵方式主要是注入,然后再提權(quán)拿下服務(wù)器，這樣主要的日志痕跡都留在了IIS日志里,所以只需要把我們?cè)贗IS日志中的IP地址清除掉就可以了。

? ? ? 這樣清理的話更不會(huì)讓對(duì)方管理員起疑心。那么真的要我們把IIS服務(wù)停掉,然后用記事本打開日志文件一點(diǎn)一點(diǎn)改嗎?當(dāng)然不是了，只需要使用CleanIISLog工具就可以輕松搞定了。
??CleanIISLog工具的用法:

? ? ? ?在CMD中執(zhí)行CleanIISLog ，IP地址就可以清楚所有IIS日志中有關(guān)IP的連接記錄了,保留其它IP記錄
當(dāng)清楚成功后，CleanIISLog會(huì)在系統(tǒng)日志中將本身的運(yùn)行記錄清楚。如果IIS的日志文件不是默認(rèn)的話,可以執(zhí)行CleanIISLog IIS日志路徑 服務(wù)器IP地址來指定IIS日志的路徑.注意：此工具只能在本地運(yùn)行,而且必須具有Administrators權(quán)限.

最后到此為止，Web、FTP日志文件清除完畢，余下的httper日志受http.sys核心程序保護(hù)而難以清除，由于其中并沒有入侵痕跡，所以無須理會(huì)此日志。切記當(dāng)ns的相關(guān)服務(wù)處于使用狀態(tài)時(shí)，Web、FTP等日志也處于鎖定狀態(tài)，用戶需要先停止相關(guān)的服務(wù)，才能清除相關(guān)的日志記錄。

?

0x04 清除歷史記錄及運(yùn)行的日志

　cleaner.exe

?

0x05 察看blackice的日志

這個(gè)地方我們可以清除的看到 防火墻的日志.

這個(gè)表示 有人發(fā)過來帶有病毒的email附件. ip是: 220.184.153.116

tcp_probe_other 表示 通過tcp 掃描 或者利用別的和你建立連接 通信

這個(gè)表示通過端口 80 掃描iis

病毒 nimda

這里需要很多的計(jì)算機(jī)協(xié)議知識(shí). 同時(shí)也需要對(duì)英語有了解

才能更好的分析 如果對(duì)英語不好 你可以裝一個(gè)金山詞霸.

一般情況下 我們可以 對(duì)一些可以不用管.

一般這三種情況 不用去管.

最上面的 critical 這個(gè) 可以去關(guān)注一下 . 一般是確實(shí)有別的計(jì)算機(jī)掃描或者入侵你的計(jì)算機(jī)

count 代表次數(shù) intruder 是對(duì)方的ip event 是通過什么方式(協(xié)議) 掃描或者想入侵的

time表示時(shí)間

　

0x06 粉碎文件

在《越獄》第一季中，男主角邁克將存放越獄計(jì)劃的硬盤扔到河里就以為萬事無憂了。事隔幾個(gè)月后，FBI在河里撈出了那塊泡湯的硬盤，并通過技術(shù)恢復(fù)了部分?jǐn)?shù)據(jù)，從而展開了一場(chǎng)追逐男主角的行動(dòng)。別以為這是電影杜撰的故事，事實(shí)上，警方數(shù)據(jù)恢復(fù)的手段比你想象的要高明得多。所以，對(duì)于重要的資料，黑客們必須謹(jǐn)慎對(duì)待。

粉碎與刪除的區(qū)別

許多用戶以為按【Shift+Dell組合鍵就可以將文件從磁盤徹底抹去，事實(shí)上這種認(rèn)識(shí)有所偏頗。要深入研究這個(gè)問題，需要從文件系統(tǒng)的構(gòu)成談起。

當(dāng)用戶創(chuàng)建一個(gè)文件時(shí)，操作系統(tǒng)先在文件系統(tǒng)的目錄區(qū)域創(chuàng)建一個(gè)分配條目，指定文件數(shù)據(jù)保存的區(qū)域并將數(shù)據(jù)保存其中，再次創(chuàng)建文件時(shí)，操作系統(tǒng)會(huì)檢查現(xiàn)有的條目，找到用于保存數(shù)據(jù)的區(qū)域并創(chuàng)建新的條目，避免新數(shù)據(jù)覆蓋舊數(shù)據(jù)。當(dāng)用戶刪除文件時(shí)，操作系統(tǒng)僅刪除了目標(biāo)區(qū)域的分配條目，這樣，新創(chuàng)建的文件即可覆蓋舊文件的數(shù)據(jù)，從而回收被占用的儲(chǔ)存空間。

對(duì)于日常使用，這種設(shè)計(jì)非常簡(jiǎn)便；對(duì)于重要資料而言，刪除操作有明顯的漏洞，因?yàn)橄到y(tǒng)僅刪除了分配條目，并沒有刪除文件包含的數(shù)據(jù)，所以，利用一些簡(jiǎn)單的數(shù)據(jù)恢復(fù)軟件（如EasyRecovery、FinalData等）．即可直接恢復(fù)被刪除的數(shù)據(jù)。

與刪除操作不同的是，粉碎文件在刪除條目之前，先通過條目了解文件儲(chǔ)存的數(shù)據(jù)隧域，多次隨機(jī)在此區(qū)域?qū)懭霐?shù)據(jù)，讓原有的文件內(nèi)容變得支離破碎，然后才刪除文件對(duì)應(yīng)的條目。不難看出，粉碎文件比系統(tǒng)默認(rèn)的刪除操作要可靠得多，所以，對(duì)于不再使用的、具有重要內(nèi)容的文件，雖好加以粉碎烈避免后患。

?

0x07 粉碎數(shù)字文件

? ? ? 粉碎數(shù)字文件的工具有很多，在Linux、UNIX環(huán)境中可以使用Wipe，而在Windows環(huán)境中，AnalogXSuperShredder、UltraStuedder都是不錯(cuò)的工縣。假如你懶得動(dòng)手去找這些專業(yè)工具，不妨使用瑞星、360殺毒軟件附帶的文件粉碎組件，相對(duì)而言，它們的粉碎效果比專業(yè)軟件要差一些。下面以AnalogXSuperShredder為例，介紹粉碎數(shù)字文件的方法。

? ? ? Stepl1打開AnalogXSuperShredder后，單擊Operation按鈕，可以查看粉碎文件的詳細(xì)操作。本倒單擊Add按鈕，在Priority欄內(nèi)輸入4，在Operator欄內(nèi)選擇XOR（異或處理），在Bytepattern設(shè)置運(yùn)算參數(shù)為11。以上設(shè)置新增了一個(gè)粉碎步驟。它將默認(rèn)的粉碎結(jié)果與十六進(jìn)制數(shù)II異或處理，最后再次將結(jié)果入文件相應(yīng)的內(nèi)容區(qū)域。不難看出，新增粉碎的步驟越多，粉碎效果就越佳，所需的時(shí)間也越長(zhǎng)。完成設(shè)置后，單擊OK按鈕返回上一個(gè)對(duì)話框，最后單擊Done按鈕。

? ? ? Step2單擊Config按鈕，在Numberofpasses欄內(nèi)設(shè)置粉碎次數(shù)（默認(rèn)值為1），最后單擊OK按鈕。粉碎的次數(shù)越高，粉碎效果就越佳，所需的時(shí)間也越長(zhǎng)

? ? ? Step3單擊SelectFile按鈕，選擇待粉碎的文件，單擊“打開”按鈕，然后在彈出的對(duì)話框中單擊“是“按鈕，即完成粉碎操作。

?

0x08 檢驗(yàn)清除效果

? ? ? 學(xué)習(xí)清除痕跡后，假如想檢驗(yàn)一下清除的效果，那么，最好自己架設(shè)一個(gè)實(shí)驗(yàn)環(huán)境，當(dāng)你用盡所有方法清除痕跡后，嘗試使用國(guó)際警用取證工具-COFEE檢測(cè)還有哪些痕跡沒清除干凈。

?

0x09 什么是COFEE?

? ? ? COFEE全稱為“計(jì)算機(jī)在線法庭科學(xué)證據(jù)提取器(ComputerOnlineForensicEvidence Extractor)”，它是一個(gè)由微軟和美國(guó)白領(lǐng)犯罪中心（NationalWhiteCollarCrimeCenter,NW3C）共同開發(fā)的取證工具。在微軟官方的COFEE酋頁上有以下描述

? ? ? 其大意是說，有了COFEE，沒有合適的計(jì)算機(jī)取證能力的執(zhí)法機(jī)構(gòu)也可以輕松、可靠而且高效地收集現(xiàn)場(chǎng)證據(jù)。一個(gè)只有最基礎(chǔ)的計(jì)算機(jī)知識(shí)的人也可以在不超過10分鐘的時(shí)間里學(xué)會(huì)如何使用配置COFEE設(shè)備，然后像專家一樣收集重要的犯罪證據(jù)，其操作難度就像將U盤插入電腦那樣簡(jiǎn)單。簡(jiǎn)而言之，COFEE是微軟為國(guó)外執(zhí)法機(jī)構(gòu)提供的一種專用取證工具，也是用來對(duì)付黑客犯罪的重要取證工具。

?

0x10?試用COFEE探查痕跡

? ? ? 由于COFEE的使用是如此簡(jiǎn)單，假如你想做一個(gè)不留痕跡的黑客，那么它就是最好的對(duì)練工具。嘗試在自己架設(shè)的服務(wù)器上執(zhí)行清除痕跡的工作，然后使用COFEE來“取證”檢查。下面，我們來看看如何使用COFEE。圖9·28為使用COFEE的三個(gè)階段

? ? ? 使用COFEE探查要經(jīng)過三個(gè)階段：第一階段安裝COFEE并生成COFEEU盤；

? ? ? 第二階段使用COFEEU盤探查目標(biāo)電腦；

? ? ? 第三階段將完成收集任務(wù)的COFEEU盤重新插入安裝了COFEE的電腦，生成探查報(bào)告。

1．安裝COFEE，生成COFEEU盤

? ? ? 安裝COFEE操作非常簡(jiǎn)單，只需多次單擊Next按鈕即可完成，這里就不做介紹了。下面將介紹生成COFEEU盤的方法，具體的操作如下：

將U盤插入U(xiǎn)SB端口后，運(yùn)行COFEE主程序，9-29。

在COFEEUSB欄位選擇U盤，在Mode欄位選擇取證方式，最后單擊Generate按鈕，制作COFEE盤

2．使用COFEEU盤探查目標(biāo)電腦

? ? ? 進(jìn)入操作系統(tǒng)后，將COFEEU盤插入待探查的電腦的USB端口，當(dāng)出現(xiàn)自動(dòng)運(yùn)行的提示時(shí)，選擇Executerunner,exe選項(xiàng)，最后單擊“確定”按鈕，COFEE便自動(dòng)展開探查工作。

探查完畢，命令執(zhí)行窗口就會(huì)自動(dòng)關(guān)閉，此時(shí)可斷開U盤連接，進(jìn)入下一階段的工作。

3．生成探壹報(bào)告

完成探查后，將COFEEU盤重新插入安裝了COFEE軟件的電腦USB端口，參考以下操作，以便生成探查報(bào)告。

運(yùn)行COFEE主程序。

切換至Report選項(xiàng)卡，單擊RawInpmFolder欄位旁邊的按鈕，選擇COFEEU盤收集原始數(shù)據(jù)的文件夾，單擊“確定”按鈕。

單擊OutputFolder欄位旁邊的按鈕，然后選擇報(bào)告文件的存放位置，接著單擊“確定”按鈕，最后單擊Generate按鈕

進(jìn)入存放報(bào)告文件的位置后，通過瀏覽器打開index.html，即可看到COFEE生成的報(bào)告。

? ? ? 仔細(xì)檢查生成的報(bào)告，查看是否殘留泄露行蹤的信息。如果清除痕跡的操作完全讓COFEE無可奈何，恭喜！你已經(jīng)向高級(jí)黑客又跨進(jìn)了一步。

?

0x11 最后的忠告

? ? ? 追蹤與反追蹤、隱身與反隱身之間的技術(shù)對(duì)抗，從電腦網(wǎng)絡(luò)發(fā)明之后就一直都沒有停止過，倘若你認(rèn)為掌握了一些反追蹤與隱身技術(shù)，就可以為所欲為，那么，這樣將會(huì)令自己置身于極大的危險(xiǎn)之中。不要忘記，像凱文·米特尼克、凱文·鮑爾森這樣的世界頭號(hào)黑客也有被警察堵住投進(jìn)監(jiān)牢的一天！

參考鏈接：

? ? ? ? ? ? ? ??http://www.520ve.com/1655.html

? ? ? ? ? ? ? ??https://www.cnblogs.com/milantgh/p/3602191.html

? ? ? ? ? ? ? ??https://blog.csdn.net/liushu_it/article/details/49403035

?

---

我不需要自由，只想背著她的夢(mèng)

一步步向前走，她給的永遠(yuǎn)不重

---

?

總結(jié)

以上是生活随笔為你收集整理的后渗透篇：清理windows入侵痕迹总结【详细】的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。