系统日志巧搬家 防止黑客删除记录

核心提示：有经验的网管员通过日志文件就可以知道蛛丝马迹，搜集到与安全有关的网络入侵证据（比如相关的IP地址、登录帐号等信息），系统日志巧搬家 防止黑客删除记录，同样，少有头脑的黑客就会在撤离时用工具或手工方式清除所有的日志内容（俗称擦脚印或擦PP等），再结合着系统安装的防火墙和杀毒软件、木马检测软件进行防护，虽然日志文件搬家的方

有经验的网管员通过日志文件就可以知道蛛丝马迹，搜集到与安全有关的网络入侵证据（比如相关的IP地址、登录帐号等信息）。

同样，少有头脑的黑客就会在撤离时用工具或手工方式清除所有的日志内容（俗称擦脚印或擦PP等），或者干脆伪造假日志等。因此，对于日志文件的保护一定要慎重，比较可行的简易办法是为日志文件搬家，更改其默认的路径到别人想不到的地方。

一、查看默认日志路径

依次打开“控制面板 | 管理工具 | 计算机管理”，选中左侧窗口中的“事件查看器”，下面则有“应用程序”、“安全性”、“系统”三项。以第一个“应用程序”为例，在上面点击鼠标右键，选择“属性”，在“日志名称” 处显示Windows2000的默认日志存放路径为：“c:winntsystem32configappevent.evt”字样。其他两项也是如此。如图1所示。

图1 修改计算机管理设置

接下来，用户到D盘建立一系列深目录以存放新日志文件，如D:1234567，起名的原则就是要“越不起眼，越好”。

二、更改系统注册表

点击“开始 | 运行”，输入“regedit”并回车，即打开注册表编辑器。找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog，三个日志都在其下。还是以应用程序为例，选中“application”后，右侧窗口中有个名为“file”的项，它的原始数据是“%systemroot%system32configappevent.evt”，即系统默认的路径与文件名。双击它，在弹出的窗口中修改其值为“d:1234567appevent.evt”，依次类推，再分别把Security和System项下的“file”键更改为“d:1234567secevent.evt”和“d:1234567sysevent.evt”，最后按F5刷新一下，关闭注册表。如图2所示。

图2 执行注册表编辑

来到c:wintsystem32config文件夹下把appenvet.evt、secevent.evt和sysevent.evt这三个日志文件复制并粘贴到新路径d:1234567中。重新启动机器，再来到“事件查看器”窗口插一下日志文件的属性，发现路径名已经更改了。

至此，再结合着系统安装的防火墙和杀毒软件、木马检测软件进行防护。虽然日志文件搬家的方式不能起到彻底保护的目的，但足可以令实施偷窥的黑客挠头了，感兴趣的朋友试试吧！