日志清除技术(1)ppt课件

1、第17讲 日志去除技术 答疑地点：12J810|12J806网络答疑：252175436 答疑时间：周三上午9:30-11:00内容提纲 Windows日志原理 IPC$空链接 LINUX日志原理 防御技术和方案Windows日志原理 日志文件是一类文件系统的集合，经过对日志进展统计、分析、综合，可有效的掌握系统的运转情况。 因此，无论是系统管理员还是黑客都极其注重日志文件。管理员可以经过日志文件查看系统的平安性，找到入侵者的IP地址和各种入侵证据。 黑客会在入侵胜利后迅速去除对本人不利的日志，以免留下蛛丝马迹。2021-11-263Windows日志原理 Windows的日志文件通常有运用程

2、序日志，平安日志、系统日志、IIS日志等等，能够会根据效力器所开启的效力不同。2021-11-264Windows日志原理 各日志文件的默许位置如下： 平安日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EVT 运用程序日志文件：%systemroot%system32configAppEvent.EVT Internet信息效力FTP日志默许位置：%systemroot%system32logfilesmsftpsvc1，默许每天一个日志 Internet信息效力WWW

3、日志默许位置：%systemroot%system32logfilesw3svc1，默许每天一个日志2021-11-265Windows日志原理2021-11-266 在事件日志中，以下面几种情况来表示整个系统运转过程中出现的事件： 1“错误是指比较严重的问题，通常是出现了数据丧失或功能丧失； 2“警告那么阐明情况暂时不严重，但能够会在未来引起错误，比如磁盘空间太少等； 3“信息那么是记录运转胜利的事件。另外，平安日志那么直接以胜利审核和失败审核来标识事件的胜利与否。IPC$空链接 在去除系统日志、平安日志和运用程序日志时，我们需求首先和目的机器建立IPC$空链接。 IPC$(Internet

4、 Process Connection)是共享命名管道的资源，它是为了让进程间通讯而开放的命名管道，经过提供可信任的用户名和口令，衔接双方可以建立平安的通道并以此通道进展加密数据的交换，从而实现对远程计算机的访问。2021-11-267IPC$空链接 IPC$有一个特点，即在同一时间内，两个IP之间只允许建立一个衔接。 在初次安装系统时就翻开了默许共享，即一切的逻辑共享(c$,d$,e$)和系统目录winnt或windows(admin$)共享。 一切的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统平安性的降低2021-11-268IPC$空链接2021-11-269 删

5、除远程主机日志时能够会用到的相关命令： 1 建立空衔接: net use IPipc$ /user: 2 建立非空衔接: net use IPipc$ psw /user:account 3 查看远程主机的共享资源 net view IP 4 查看本地主机的共享资源可以看到本地的默许共享 net share 5 得到远程主机的用户名列表 nbtstat -A IPIPC$空链接6 得到本地主机的用户列表net user7 查看远程主机的当前时间net time IP8 显示本地主机当前效力net start9 启动/封锁本地效力net start 效力名 /ynet stop 效力名 /y10

6、 映射远程共享:net use z: IPbaby此命令将共享名为baby的共享资源映射到z盘2021-11-2610IPC$空链接 11 删除共享映射 net use c: /del 删除映射的c盘，其他盘类推 net use * /del /y删除全部 12 向远程主机复制文件 copy 途径srv.exe IP共享目录名，如： copy ccbirds.exe *.*.*.*c 即将当前目录下的文件复制到对方c盘内 13 远程添加方案义务 at ip 时间 程序名，如： at 11:00 love.exe2021-11-2611LINUX日志 LINUX网管员主要是靠

7、系统的LOG，来获得入侵的痕迹。当然也有第三方工具记录入侵系统的痕迹。主要的日志子系统： 1.衔接时间日志-由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员可以跟踪谁在何时登录到系统。 2.进程统计-由系统内核执行。当一个进程终止时，为每个进程往进程统计文件pacct或acct中写一个记录。进程统计的目的是为系统中的根本效力提供命令运用统计。 3.错 误 日 志 - 由 syslogd8执 行。各 种 系 统 守 护 进 程、用 户 程 序 和 内 核 通 过 syslog3向 文件/var/log/m

8、essages报告值得留意的事件。2021-11-2612常用的日志文件如下 access-log：记录HTTP/web的传输 acct/pacct：记录用户命令 aculog：记录MODEM的活动 btmp：记录失败的记录 lastlog：记录最近几次胜利登录的事件和最后一次不胜利的登录 messages：从syslog中记录信息有的链接到syslog文件 sudolog：记录运用sudo发出的命令 sulog：记录运用su命令的运用 syslog：从syslog中记录信息通常链接到messages文件 utmp：记录当前登录的每个用户 wtmp：一个用户每次登录进入和退出时间的永久记录 x

9、ferlog：记录FTP会话2021-11-2613LINUX日志 redhat的系统日志文件通常是存放在/var/log 和 /var/run目录下的。通常我们可以查看syslog.conf来看看日志配置的情况。2021-11-2614防御技术和方案 1修正注册表从而制止Guest访问事件日志 2) 对日志进展平安配置, 更改日志默许大小 3防备ipc$入侵 1制止空衔接进展枚举 在本地平安设置本地战略平安选项在对匿名衔接的额外限制中做相应设置。 2制止默许共享 a查看本地共享资源 运转-cmd-输入net share b删除共享重起后默许共享依然存在 net share ipc$ /del

10、ete net share admin$ /delete net share c$ /delete net share d$ /delete假设有e,f,可以继续删除 c停顿server效力 net stop server /y 重新启动后server效力会重新开启2021-11-2615防御技术和方案d制止自动翻开默许共享此操作并未封锁ipc$共享运转-regeditserver版:找到主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters把AutoShareServerDWORD的键值改为:00000000。pro版:找到主键HKEY_LOCAL_M