黑客在入侵后完美清理日志的总结

核心提示： D:SERVER>del schedlgu.txtD:SERVERSchedLgU.Txt进程无法访问文件，因为另一个程序正在使用此文件，黑客在入侵后完美清理日志的总结(4)，说过了，后台有服务保护，一个人把另外一个人的东西藏起来了，结果那个人一急，先把服务停掉！D:SERVER&g

D:SERVER>del schedlgu.txt

D:SERVERSchedLgU.Txt

进程无法访问文件，因为另一个程序正在使用此文件。说过了，后台有服务保护，先把服务停掉！

D:SERVER>net stop "task scheduler"

下面的服务依赖于 Task Scheduler 服务。停止 Task Scheduler 服务也会停止这些服务。

Remote Storage Engine

是否继续此操作? (Y/N) [N]: y

Remote Storage Engine 服务正在停止....

Remote Storage Engine 服务已成功停止。

Task Scheduler 服务正在停止.

Task Scheduler 服务已成功停止。

OK，它的服务停掉了，同时也停掉了与它有依赖关系的服务。再来试着删一下！

D:SERVER>del schedlgu.txt

D:SERVER>

没有反应？成功了！下一个是FTP日志和WWW日志，原理都是一样，先停掉相关服务，然后再删日志！

D:SERVERsystem32LogFilesMSFTPSVC1>del ex*.log

D:SERVERsystem32LogFilesMSFTPSVC1>

以上操作成功删除FTP日志！再来WWW日志！

D:SERVERsystem32LogFilesW3SVC1>del ex*.log

D:SERVERsystem32LogFilesW3SVC1>

OK！恭喜，现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了，守护这些日志的服务是Event Log，试着停掉它！

D:SERVERsystem32LogFilesW3SVC1>net stop eventlog

这项服务无法接受请求的 "暂停" 或 "停止" 操作。没办法，它是关键服务。如果不用第三方工具，在命令行上根本没有删除安全日志和系统日志的可能！所以还是得用虽然简单但是速度慢得死机的办法：打开“控制面板”的“管理工具”中的“事件查看器”（98没有，知道用Win2k的好处了吧），在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单，点击它，输入远程计算机的IP，然后等上数十分钟，接着选择远程计算机的安全性日志，右键选择它的属性：点击属性里的“清除日志”按钮，OK！安全日志清除完毕！同样的忍受痛苦去清除系统日志！ 目前在不借助第三工具的情况下，能很快，很顺利地清除FTP、 WWW还有Schedlgu日志，就是系统日志和安全日志属于Windows2000的严密守护，只能用本地的事件查看器来打开它，因为在图形界面下，加之网速又慢，如果你银子多，时间闲，还是可以清除它的。综上所述，介绍了Windows2000的日志文件以及删除方法，但是你必须是 Administrator，注意必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于 Windows 2000 Professional 计算机，也适用于作为独立服务器或成员服务器运行的 Windows 2000 Server 计算机。

至此，Windows2000安全知识基础讲座完毕，还有几句话要讲，大家也看出来了，虽然FTP等等日志可以很快清除，但是系统日志和安全日志却不是那么快、那么顺利地能删除，如果遇到聪明的管理员，将日志文件转移到另一个地方，那更是难上加难，所以奉劝大家，千万不要拿国内的主机做试验，国内的法律很严呀！今天吃饭时，听说有两个人开玩笑，一个人把另外一个人的东西藏起来了，结果那个人一急，报案了，于是藏东西那个人被判四年刑！！法官说法律是不开玩笑的！！！所以大家一定要牢记这点！