windows入侵痕跡清理

日誌清理

為了方便管理員瞭解掌握電腦的執行狀態，Windows提供了完善的日誌功能，將系統服務、許可權設定、軟體執行等相關事件分門別類詳細記錄於日誌之中。所以，透過觀察、分析系統日誌，有經驗的管理員不但可以瞭解駭客對系統做了哪些改動，甚至還可能會找出入侵的來源，例如從ftp日誌找出駭客登入的lP地址。為此，清除日誌幾乎成為駭客入門的必修課。

WndowsXP作業系統為例，它的日誌系統由預設提供的日誌、防火牆日誌、ns伺服器日誌三大類組成。

1．預設提供的日誌

Windows系統預設提供應用程式日誌、安全性日誌和系統日誌。應用程式主要記錄應用程式執行時出現的錯誤和特效事件。

例如：停止響應、資料啟動、停止等。安全性日誌用於記錄管理員指定的稽核事項，假如管理員沒有在組策略中指定需要稽核的內容及稽核的方向，說明此日誌為空白狀態。

系統日誌用於記錄各類系統執行的資訊。例如Telnet服務啟動後，系統日誌將會記錄該服務啟動的時間，並留下一條關elnet服務正處於執行狀態的描述。

從以上的分析不難看出，對於沒有安裝附加元件的“肉雞”而言，系統日誌是清除的首要目標。

2．防火牆日誌

防火牆日誌預設處於關閉狀態，管理員啟用了防火牆日誌記錄功能後，就會在vrindows目錄內自動生成pfuwall。log檔案，並記錄相應的連線內容。假如找不到這個檔案，則說明管理員沒有啟用防火牆日誌功能

3．IIS日誌

若使用者安裝了IIS伺服器元件，就可以在“%systemroot%\system32\logfles\”中找到FTP、Web、Ils伺服器等同志。

HTTPERR資料夾中存放的日誌檔案記錄著Web執行、響應出錯等資訊，主要用於排解故障及最佳化Web服務，對駭客而言，其意義不大。

W3SVCl資料夾用於存放lP地址、使用者名稱、伺服器埠、使用者所訪問的UiRI資源、發出的URI查求等資訊，管理員透過分析此檔案可以找出駭客入侵的各種痕跡，所以，完成SQL注入、網站掛馬等操作後，務必要清除此檔案。

MSFTPSVC1資料夾儲存著FTP日誌，與前面介紹的Web、IIS日誌相比，FTP日誌更詳細，不但包含使用者登入操作，還包含使用者的各種操作請求，例如記錄使用者利用UNICODE漏洞入侵伺服器，就會留下相當多與cmd。exe有關的記錄，所以，在成功入侵後，此日誌須及時清除

日誌清理

Eventvwr。msc

右鍵屬性清楚日誌

如果我們不想手工清除，我們可以下載clearlog。exe

使用方法：Usage： clearlogs ［\\computername］ <-app / -sec / -sys>

-app = 應用程式日誌 -sec = 安全日誌 -sys = 系統日誌a。可以清除遠端計算機的日誌** 先用ipc連線上去： net use \\ip\ipc$ 密碼/user：使用者名稱** 然後開始清除：方法 clearlogs \\ip -app 這個是清除遠端計算機的應用程式日誌clearlogs \\ip -sec 這個是清除遠端計算機的安全日誌clearlogs \\ip -sys 這個是清除遠端計算機的系統日誌

b。清除本機日誌：如果和遠端計算機的不能空連線。那麼就需要把這個工具傳到遠端計算機上面然後清除。方法：

clearlogs -app 這個是清除遠端計算機的應用程式日誌clearlogs -sec 這個是清除遠端計算機的安全日誌clearlogs -sys 這個是清除遠端計算機的系統日誌

安全日誌已經被清除。Success： The log has been cleared 成功。

破壞Windows日誌記錄功能

利用工具

· Invoke-Phant0m https：//github。com/hlldz/Invoke-Phant0m

· Windwos-EventLog-Bypass https：//github。com/3gstudent/Windows-EventLog-Bypass

msf

run clearlogs

clearev

3389登陸記錄清除

@echo off