反取证之痕迹擦除
1.系統日志
(1)應用程序日志:記錄了重要的應用程序產生的錯誤和成功信息
(2)安全日志:windows系統的組件產生的日志
(3)系統日志:審核策略的日志
查看系統日志的方法為開始---設置---控制面板---管理工具--事件查看器。
?
?2.服務器日志
(1)IIS日志:用于記錄網絡用戶活動的細節信息
(2)FTP日志:所有用戶的訪問信息
(3)DNS日志:DNS活動相關的事件信息
查看IIS日志的方法:開始--設置--控制面板--管理工具---internet信息服務管理器--網站屬性--啟用日志記錄--屬性。
?
3.系統防火墻日志
通常防火墻是攔截外部攻擊的第一道屏障,防火墻不僅可以阻擋攻擊,而且對外部計算機嘗試攻擊的事件會詳細記錄,此工作通常交給日志來做,由此可見日志同樣扮演著相當重要的作用。
查看方法:網上鄰居--屬性--更改windows防火墻--高級--安全日志記錄--設置
?
4.系統終端登錄日志
當用戶使用遠程終端功能登錄到遠程服務器時,在登錄列表都會顯示登錄過的計算機IP地址信息,而且在這里是無法進行刪除的。這些登錄日志沒有存儲在具體的文件中,該記錄直接保存在注冊系統中。
5.其他日志
除了系統相關的日志外,第三方應用軟件也會自帶日志記錄功能,不過這類軟件的日志一般很少人關注。取證人員同樣很關心這些偏僻的日志,往往從這里會得到意外的收獲。比如Serv-U和MSSQL。其實第三方服務器軟件很多,可以在網上搜索一下。
?
6.系統日志的擦除
(1)系統常見日志以及服務器日志擦除
當黑客進入系統后,第一件事情就是關閉審核策略。關于審核策略的關閉操作如下:
開始--運行--輸入secpol.msc--本地策略--審核策略--審核登錄事件|審核賬戶登錄事件--屬性--取消成功對鉤--應用--確定。
也可以利用我們上節課講到的aio工具來完成日志的清除任務。具體的命令格式為:aio -cleanlog
它可以刪除SMTP、應用程序、安全性、系統、IIS、FTP等所有可能存在的日志。
(2)終端日志清理
終端日志是保存在注冊表系統中的,可以通過手工操作注冊表刪除對應的鍵值。黑客一般使用工具進行清除,如3389登錄日志清除工具等。提示沒有日志。
?
HKEY_CURRENT_USER\Software\Microsoft\Terminal ServerClient\Default?
?
7.數據庫日志擦除
關于SQLserver日志的清除,黑客一般使用工具‘sqlserver日志清理專家’,運行該軟件后,需要使用具有管理員權限的數據庫賬戶進行登錄,一般使用SA賬戶進行登錄。然后直接刪除日志即可。我沒裝SQL,就不演示這個工具了。
轉載于:http://blog.sina.com.cn/s/blog_6a8860d90101d5dk.html
總結
- 上一篇: 批处理-字符串操作
- 下一篇: Dos批处理常用命令大全扫盲篇