---

當你的才華

還撐不起你的野心時

那你就應該靜下心來學習

---

目錄

清理windows入侵痕跡

0x01 前言

了解為什么需要清除入侵痕跡？

一、設置跳板

二、必不可少的跳板

三、代理服務器簡介

1）http代理服務器

2）Sock5代理服務器

3）VPN代理服務器

四、使用Tor隱身

了解需要刪除哪些日志？

1．默認提供的日志

2．防火墻日志

3．IIS日志

4、netstat?-an?表示什么意思?

0x02 清除Windows日志

0x01.1?異常場景解決方案

0x01.2?FTP和WWW日志詳解：

WWW日志：

0x01.3 知道了Windows2000日志的詳細情況，下面就要學會怎樣刪除這些日志：

0x02?工具清楚Windows 日志

0x03 清除防火墻日志

0x03 清除IIS日志

0x04 清除歷史記錄及運行的日志

0x05 察看blackice的日志

0x06 粉碎文件

粉碎與刪除的區(qū)別

0x07 粉碎數字文件

0x08 檢驗清除效果

0x09 什么是COFEE?

0x10?試用COFEE探查痕跡

0x11 最后的忠告

---

?

清理windows入侵痕跡

0x01 前言

了解為什么需要清除入侵痕跡？

一、設置跳板

? ? ? 網絡入侵的背后將會誕生一場永不落冪的追蹤與反追蹤游戲，在這場貓捉老鼠的游戲中，黑客一旦失敗，可能會有牢獄之災。為了避免被發(fā)現，黑客通常會使用各種隱匿行蹤的技術手段，其中最常用的就是設置及使用跳板(Springboard)。

二、必不可少的跳板

? ? ? 假如自己使用的電腦為A主機，需要^侵的電腦為X主機，那么黑客通常會在A主機使用代理服務，讓A主機的所有通信繞道至國外的代理服務器B，然后通過B控制國內另一臺被植入木馬的主機C，從主機C控制另一臺被植入木馬或存在漏洞的主機D，最后通過主機D發(fā)動對X主機的入侵操作，從B主機到D主機這一系列作為中繼的主機鏈就是跳板，9.1

? ? ? 為什么要繞這么太一個圈子呢？下面我們假設X主機的管理員發(fā)現了入侵行為并馬上聯合網警反追蹤入侵者，根據X主機的日志和訪問記錄，他們決定先反向追蹤至主機D，如果黑客對主機D的漏洞修補得比較好，那么遠程獲得D主機控制權并從中查出幕后的主機C需要較長時間，即使有網警和服務供應商的全力配合，找到D主機并現場取證至少需要數小時，依此類推，當跳板延伸至國外時，假如沒有獲得國際組織的協助，反向追蹤幾乎成了不可能完成的任務，即使獲得協助+其處理難度也將大幅提升，黑客就可以有足夠的時間安全撤退

? ? ? 其中．B、C和D主機就是跳板。作為跳板的主機鏈越長，黑客的安全保障系數越高。不過，隨著跳板數量的增加，網絡延遲會不斷累加，越洋連接的速度會變得更緩慢，甚至出現操作超時、連接中斷的現象，這樣會導致入侵的過程更漫長，也增加了被發(fā)現的風險。因此，在實際操作時需要在跳板數量及連接速度方面取’個較佳的平衡點。

?

三、代理服務器簡介

? ? ? “肉雞”和代理服務器混合組成的跳板鏈是黑客常用的隱匿方式之一。在這個跳板組合中，“肉雞”由于完全受控于黑客，入侵后可以輕易擦除使用痕跡，而代理服務器卻不受控于黑客，所以選擇時需要更謹慎。

? ? ? 代理服務器(ProxyServer)是網絡信息的中轉站，它接收客戶端的訪問請求，并以自己的身份轉發(fā)此請求。對于接收信息的一方而占，就像代理服務器向它提出請求一樣，從而保護了客戶端，增加了反向追蹤的難度。

? ? ? 根據代理服務的功能劃分，代理服務器可以分為http代理服務器、sock5代理服務器、VPN代理服務器等。

1）http代理服務器

? ? ? http代理服器是一種最常見的代理服務器，它的優(yōu)點是響應速度快、延遲相對較低及數量眾多，

? ? ? 通常不費吹灰之力就町以找到一個不錯的http代理服務器。不過，它的缺點也比較明顯，僅能響應http通信協議，并濾除80、8080等Web常用端口外的其他端口訪問請求。雖然可毗使用httptogocck5類的軟件進行轉換，但始終不如Socki代理服務器或VPN代理服務器方便。

2）Sock5代理服務器

? ? ? Sock5代理服務器是黑客們的最愛。它對訪問協議、訪問端口方面均沒有限制，可以轉發(fā)各種協議的通信請求，讓黑客可咀自由使用各種黑客軟件度工具。其缺點是Sock5服務器相對比較難找，響應速度會稍慢一點。

3）VPN代理服務器

? ? ? VPN代理服務器可以在本機及遠端VPN服務器間形成點對點通信通道，以便防范局域剛偵聽及監(jiān)測。假如黑客所處奉地網絡環(huán)境比較復雜，例如在咖啡廳、機場、校園或企內時，使用VPl.1代理服務器是最佳的選擇。

搜索代理服務器

? ? ? 如何才能找到合適的代理服務器呢？

? ? ? 常用的方法有兩個：

• 是從代理網站搜索
• 使用代理超人這一類智能代理軟件自動搜索及設置

1. 代理網站

? ? ? “代理中國”、“代理服務器網”等代理服務器列表網站每天都會分門別類提供許多高速的代理服務器列表。由于使用的用戶數量相當多，此類代理服務器的隱匿性相當不錯，遺憾的是其速度比較慢。圖9-2為代理中國提供的Sock5代理列表。

2. 代理超人自動搜索

? ? ? 代理超人是一款集代理搜索、驗證、管理和設置于～體的軟件。它可以使用多達1∞線程自動搜索及驗證代理服務器，并依照傳輸速度迅速排序，為用戶提供優(yōu)質的代理服務器列表，它的智能理功能還可以讓所有軟件無須修改現有的設置即可使用代理服務器上網，大大簡化了代理服務器的設置工作。略感遺憾的是，它僅提供圖形設置界面，黑客們無法通過命令行操控及調整該軟件。

? ? ? Stepl單擊“搜索”按鈕，并選擇“搜索代理”命令，9-3。即可搜索出數量眾多的代理服務器。

? ? ? Step2搜索完畢后，單擊“搜索”按鈕，選擇“驗證全部代理”命令，9-4。即自動檢查代理服務器是否可用及連接速度有多快。

? ? ? $top3驗證完畢，單擊“使用”按鈕，選擇“啟用代理”命令，9-5。即可完成瀏覽器的代理服務囂設置。若使用其他軟件，則需要手動設置

? ? ? 啟用代理后，用戶可以通過瀏覽器進入一些lP檢測網站（如www.xxx．com）檢查代理是否成功啟用。本例啟用了一個美國代理服務器，查詢結果9。

?

四、使用Tor隱身

? ? ? 除了使用代理之外，許多黑客還喜歡使用Tor來隱匿自己。Tor的全稱是TheOnionRouter，許多黑客稱之為洋蔥路由。在介紹Tor之前，我們先來玩—個智能問答游戲，一棵樹藏在地面什么地方才會既不引人往目，也難以將它找出來呢？嗯，體也町以先想五分鐘。答案是，將樹藏在森林里。

? ? ? 由于森林有無數大小不一的樹木，這些樹木提供了天然的掩護，要想從中找出藏起來的那棵樹還真不是一般的困難。摹于這種構想，人們設計了Tor。Tor隱身原理9-8。

? ? ? Tor允許所有加入Tor網絡的電腦將自己變成虛擬路由器，使用這些虛擬路由器，Tor用戶將擁有無窮無盡的可用路徑和訪問出口。

程序需要使用網絡時將進行以下動作：

①客廣端的Tor程序將隨機選擇一個虛擬路由器作為進入結點，傳送信息并附送跳轉的次數要求(N)。

@收到信息的虛擬路由器將隨機尋找另一個結點傳送信息并附送跳轉的次數要求(N-I)，而且會臨時記錄此鏈路信息來源方、發(fā)送方。

③重復上一步的操作，直至跳轉次數從N降至0，中轉的虛擬路由器為信息尋找一個提供出口功能的虛擬路由器，經出r跳出Tor網絡。對于接收方而言，就像出口虛擬路由器向其發(fā)送請求，而無法追尋信息的直正來源。

④信息返叫時，各虛擬路由器根據記錄依次回傳信息，最終返回給原始信息發(fā)送者。

⑤這種臨時組建的傳輸鏈路將維持l到數分鐘，然后重新隨機組建一次，9-9

由于每個中繼虛擬路由器均可作為入口，而每個中繼路由器沒有完整的路徑資料，所以，除了入口虛擬路由器之外，Tor網絡中即使存在監(jiān)測者，也難以逆推信息的真實來源。此外，頻繁變更的傳輸鏈路既增加了監(jiān)測難度，也讓入侵防御方難以通過封鎖IP地址區(qū)段等手段防御入侵。

使用Tor的方法如下：

? ? ? Stepl安裝完畢，Tor默認自動搜索中繼虛擬路由器作為八口，初次使用時，搜索過程可能長達十多分鐘，請耐心等候．

? ? ? Step2連接后，任務管理器的圖標變成綠色，表示Tor已經處于工作狀態(tài)，9-10。它默認提供了Http與Sock5兩種代理，其中，Http代理為127.0.0.1:8118;soc,k5代理為127.0.0.1:9050。

? ? ? 假如出現“沒有可用鏈路”的提示信息，說明無法連接入口，9-11。用戶可以參考以下方法獲取及添加初始入口。

? ? ? Stepl編寫主題和正文為getbridges的電子郵件，并發(fā)送給bridges@torproject．org，以荻取入口網橋，9-12。

? ? ? Stop2在系統(tǒng)托盤區(qū)域的Tor圖標上右擊，選擇“控制面板”命令，在彈出的對話框中單擊“設定”按鈕，9-13。打開“設置”窗口。

? ? ? Step3在“設置”窗口中單擊“網絡”按鈕，選擇“我的ISP阻擋了對Tor網絡的連接”復選框，輸入步驟1獲取的網橋，單擊+按鈕，最后單擊“確定”按鈕，9-14

? ? ? Step4返回控制面板，9-15。單擊“啟動Tor”按鈕，重新啟動Tor即可解決“沒有可用鏈路”的問題。

設置及使用代理服務器

? ? ? 大多數黑客軟件并沒有詳細的使用說明，用戶可以嘗試打開相關的設之項查看是否有相關的代理服務器設置。對于具有代理設置功能的黑客軟件，如NBIS等，只需將搜索獲得的代理服務器IP地址及端口填寫進去即可。

? ? ? 以NBIS為例，設置代理服務器的方法為：單擊“程序設置”按鈕，在“HTTP代理”欄位輸入代理，9-16。最后單擊“確定”按鈕。這樣就町以使用代理服務器為中轉掃描指定的網站了

沒法設置代理的軟件如何使用跳板

? ? ? 相當多黑客工具和軟件的功能比較簡單，并沒有提供網絡代理設置功能，那么，這一類軟件如何使用代理工作呢？方法很簡單，只需安裝一個轉換軟件即iT．如SocksCap32，此類軟件可以截取本機發(fā)送的數據包，從而為無法設置代理的telnet等命令行工具插上代理跳板的翅膀。

? ? ? 以下是設置SocksCap32，并讓Telnet使用跳板的操作過程l。

? ? ? Stepl打開SocksCap32后，單擊“文件”按鈕，選擇‘設置”命令，在打開對話框的"SOCKS服務器”文本框中輸入Sock代理服務器的lP地址，并在“端口”位置設置服務器的端口，接著單擊‘確定”按鈕9-17

? ? ? Step2打開“SocksCap控制臺”對話框，單擊“新建”按鈕出的對話框中輸入標識項名稱，在“命令行”欄位設置Telnet命令的詳細路徑，9-18。最后單擊“確定”按鈕

? ? ? Step3雙擊新建的Telnet_proxy項目，即可啟動使用Socks代理服務器跳板的Telnet了，9-19。

?

了解需要刪除哪些日志？

? ? ? 為了方便管理員了解掌握電腦的運行狀態(tài)，Windows提供了完善的日志功能，將系統(tǒng)服務、權限設置、軟件運行等相關事件分門別類詳細記錄于日志之中。所以，通過觀察、分析系統(tǒng)日志，有經驗的管理員不但可以了解黑客對系統(tǒng)做了哪些改動，甚至還可能會找出入侵的來源，例如從ftp日志找出黑客登錄的lP地址。為此，清除日志幾乎成為黑客入門的必修課。

? ? ? WndowsXP操作系統(tǒng)為例，它的日志系統(tǒng)由默認提供的日志、防火墻日志、ns服務器日志三大類組成。

1．默認提供的日志

? ? ? Windows系統(tǒng)默認提供應用程序日志、安全性日志和系統(tǒng)日志。應用程序主要記錄應用程序運行時出現的錯誤和特效事件。

? ? ? 例如：停止響應、數據啟動、停止等。安全性日志用于記錄管理員指定的審核事項，假如管理員沒有在組策略中指定需要審核的內容及審核的方向，說明此日志為空白狀態(tài)。

? ? ? 系統(tǒng)日志用于記錄各類系統(tǒng)運行的信息。例如Telnet服務啟動后，系統(tǒng)日志將會記錄該服務啟動的時間，并留下一條關elnet服務正處于運行狀態(tài)的描述。

? ? ? 從以上的分析不難看出，對于沒有安裝附加組件的“肉雞”而言，系統(tǒng)日志是清除的首要目標。

2．防火墻日志

? ? ? 防火墻日志默認處于關閉狀態(tài)，管理員啟用了防火墻日志記錄功能后，就會在vrindows目錄內自動生成pfuwall.log文件，并記錄相應的連接內容。假如找不到這個文件，則說明管理員沒有啟用防火墻日志功能

3．IIS日志

? ? ? 若用戶安裝了IIS服務器組件，就可以在“%systemroot%\system32\logfles\”中找到FTP、Web、Ils服務器等同志。

? ? ? HTTPERR文件夾中存放的日志文件記錄著Web運行、響應出錯等信息，主要用于排解故障及優(yōu)化Web服務，對黑客而言，其意義不大。

? ? ? W3SVCl文件夾用于存放lP地址、用戶名、服務器端口、用戶所訪問的UiRI資源、發(fā)出的URI查求等信息，管理員通過分析此文件可以找出黑客入侵的各種痕跡，所以，完成SQL注入、網站掛馬等操作后，務必要清除此文件。

? ? ? MSFTPSVC1文件夾保存著FTP日志，與前面介紹的Web、IIS日志相比，FTP日志更詳細，不但包含用戶登錄操作，還包含用戶的各種操作請求，例如記錄用戶利用UNICODE漏洞入侵服務器，就會留下相當多與cmd.exe有關的記錄，所以，在成功入侵后，此日志須及時清除

4、netstat?-an?表示什么意思?

　　使用這個命令可以察看到和本機的所有的連接.

　　Proto?Local?Address?Foreign?Address?State

　　協議?本地端口及IP地址?遠程端口及IP地址?狀態(tài)

　　LISTENING?監(jiān)聽狀態(tài)?表示等待對方連接

　　ESTABLISHED?正在連接著.

　　TCP?協議是TCP

　　UDP?協議是UDP

　　TCP?192.168.0.10:1115?61.186.97.54:80?ESTABLISHED

　　這個表示?利用tcp協議?本機ip(192.168.0.10)通過端口:1115?和遠程ip(61.186.97.54)端口:80連接

　　80端口?表示?http?就是你在訪問這個網站.一般情況下遠程ip的端口:?80?21?8000?這個都是正常的.?如果是別的?就可以看一下你的計算機了

?

---

0x02 清除Windows日志

開始 ——>?程序 ——> 管理工具 ——> 計算機管理 ——> 系統(tǒng)工具 ——>事件查看器（然后清除日志）

或

開始 ——>運行 ——>eventvwr.msc(％SystemRoot％＼system32＼eventvwr．msc /s)

即可打開事件查看器

1）應用程序日志文件

%systemroot%\system32\config\AppEvent.EVT;

2）安全日志文件

%systemroot%\system32\config\SecEvent.EVT;

3）系統(tǒng)日志文件

%systemroot%\system32\config\SysEvent.EVT;

4）DNS日志默認位置

%sys temroot%\system32\config，默認文件大小512KB

注：應用程序日志，安全日志，系統(tǒng)日志，DNS服務器日志，它們這些LOG文件在注冊表中的位置：

　　HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

5）Internet信息服務FTP日志默認位置

%systemroot%\system32\logfiles\msftpsvc1\，默認每天一個日志

6）Internet信息服務WWW日志默認位置

%systemroot%\system32\logfiles\w3svc1\，默認每天一個日志

7）Scheduler服務日志默認位置

%sys temroot%\schedlgu.txt

?

以上日志在注冊表里的鍵：　　

　　當然，管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到程序日志，安全日志，系統(tǒng)日志，DNS服務器日志、Internet信息服務FTP日志默認位置、Internet信息服務WWW日志默認位置、Scheduler服務日志默認位置的定位目錄。

　　Schedluler服務日志在注冊表中的鍵（位置）　　

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

0x01.1?異常場景解決方案

發(fā)現這些文件無法使用delete命令刪除，該如何處理呢？

? ? ? 事實上，出于安全考慮，微軟設計了不能暫停、停止的日志記錄服務，應用程序日志、安全性日志和系統(tǒng)日志的日志記錄文件從載入系統(tǒng)時起便處于使用狀態(tài)，所以無法通過系統(tǒng)自帶的文件刪除功能將其刪除

? ? ? 雖然微軟在圖形界面的控制臺提供了刪除功能，但使用遠程桌面需要更高的帶寬，難以使用多級跳板，因此，黑客傾向于使用命令行工具清除Windows臼志文件。其中，國內高手小榕編寫的elsave就是清除Windows日志最經典的命令行工具。

? ? ? elsave不但用于遠程清除Windows日志文件，也可以備份遠程日志文件。

? ? ? 運行該工具的必要條件是獲得管理員權限的commandShell。

-s\\lP或電腦名稱：用于指定遠程主機，若不指定遠程主機，默認的操作對象為本機的日志記錄

-1日志名稱：用于指定需要操作的日志名稱。其中，應用程序日志的名稱為application、系統(tǒng)日志的名稱為system、安全日志的名稱為secunty

-F路徑及名稱：制作日志的副本并保存至指定位置。

-c：清空指定的日志

范例

? ? ? 清除主機192.168.1.66的系統(tǒng)日志。

? ? ? 假如找不到elsave這個清除日志的專用工具，沒關系！我們可以自己動手寫一個簡單的VBS腳本，上傳至需要清除日志的電腦，并在遠程Shell中執(zhí)行就可以

0x01.2?FTP和WWW日志詳解：

　　FTP日志和WWW日志默認情況，每天生成一個日志文件，包含了該日的一切記錄，文件名通常為ex(年份)(月份)(日期)，例如ex001023，就是2000年10月23日產生的日志，用記事本就可直接打開

如下例：

#Software: Microsoft Internet Information Services 5.0(微軟IIS5.0)

#Version: 1.0 (版本1.0)

#Date: 20001023 0315 (服務啟動時間日期)

#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administator 331　(IP地址為127.0.0.1用戶名為administator試圖登錄)

0318 127.0.0.1 [1]PASS – 530　(登錄失敗)

032:04 127.0.0.1 [1]USER nt 331　(IP地址為127.0.0.1用戶名為nt的用戶試圖登錄)

032:06 127.0.0.1 [1]PASS – 530　(登錄失敗)

032:09 127.0.0.1 [1]USER cyz 331　(IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄)

0322 127.0.0.1 [1]PASS – 530　(登錄失敗)

0322 127.0.0.1 [1]USER administrator 331　(IP地址為127.0.0.1用戶名為administrator試圖登錄)

0324 127.0.0.1 [1]PASS – 230　(登錄成功)

0321 127.0.0.1 [1]MKD nt 550　(新建目錄失敗)

0325 127.0.0.1 [1]QUIT – 550　(退出FTP程序)

　　從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時間、IP地址以及探測的用戶名，如上例入侵者最終是用administrator用戶名進入的，那么就要考慮更換此用戶名的密碼，或者重命名administrator用戶。

WWW日志：

　　WWW服務同FTP服務一樣，產生的日志也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目錄下，默認是每天一個日志文件，下面是一個典型的WWW日志文件

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 20001023 03:091

#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

? ? ? ?通過分析第六行，可以看出2000年10月23日，IP地址為192.168.1.26的用戶通過訪問IP地址為192.168.1.37機器的80端口，查看了一個頁面iisstart.asp,這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經驗的管理員就可通過安全日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時間。

　　 既使你刪掉FTP和WWW日志，但是還是會在系統(tǒng)日志和安全日志里記錄下來，但是較好的是只顯示了你的機器名，并沒有你的IP。

　　屬性里記錄了出現警告的原因，是因為有人試圖用administator用戶名登錄，出現一個錯誤，來源是FTP服務。

　　有兩種圖標：鑰匙(表示成功)和鎖(表示當用戶在做什么時被系統(tǒng)停止)。接連四個鎖圖標，表示四次失敗審核，事件類型是帳戶登錄和登錄、注銷失敗，日期為2000年10月18日，時間為1002，這就需要重點觀察。

　　雙點第一個失敗審核事件的，即得到此事件的詳細描述。

　　經過分析我們可以得知有個CYZ的工作站，用administator用戶名登錄本機，但是因為用戶名未知或密碼錯誤(實際為密碼錯誤)未能成功。另外還有DNS服務器日志，不太重要，就此略過(其實是我沒有看過它)。

0x01.3 知道了Windows2000日志的詳細情況，下面就要學會怎樣刪除這些日志：

　　通過上面，得知日志文件通常有某項服務在后臺保護，除了系統(tǒng)日志、安全日志、應用程序日志等等，它們的服務是Windos2000的關鍵進程，而且與注冊表文件在一塊，當Windows2000啟動后，啟動服務來保護這些文件，所以很難刪除，而FTP日志和WWW日志以及Scedlgu日志都是可以輕易地刪除的。首先要取得Admnistrator密碼或Administrators組成員之一，然后Telnet到遠程主機，先來試著刪除FTP日志：

D:\SERVER>del schedlgu.txt

D:\SERVER\SchedLgU.Txt

　　進程無法訪問文件，因為另一個程序正在使用此文件。說過了，后臺有服務保護，先把服務停掉!

　　D:\SERVER>net stop "task scheduler"

　　下面的服務依賴于 Task Scheduler 服務。停止 Task Scheduler 服務也會停止這些服務。

　　Remote Storage Engine

　　是否繼續(xù)此操作? (Y/N) [N]: y

　　Remote Storage Engine 服務正在停止....

　　Remote Storage Engine 服務已成功停止。

　　Task Scheduler 服務正在停止.

　　Task Scheduler 服務已成功停止。

　　OK，它的服務停掉了，同時也停掉了與它有依賴關系的服務。再來試著刪一下!

D:\SERVER>del schedlgu.txt

D:\SERVER>

　　沒有反應?成功了!下一個是FTP日志和WWW日志，原理都是一樣，先停掉相關服務，然后再刪日志!

D:\SERVER\system32\LogFiles\MSFTPSVC1>del ex*.log

D:\SERVER\system32\LogFiles\MSFTPSVC1>

　　以上操作成功刪除FTP日志!再來WWW日志!

D:\SERVER\system32\LogFiles\W3SVC1>del ex*.log

D:\SERVER\system32\LogFiles\W3SVC1>

　　現在簡單的日志都已成功刪除。下面就是很難的安全日志和系統(tǒng)日志了，守護這些日志的服務是Event Log，試著停掉它!

　　D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog

?

---

0x02?工具清楚Windows 日志

1.?系統(tǒng)日志?通過手工很難清除.?這里我們介紹一個工具?clearlog.exe

使用方法:

Usage:?clearlogs?[\computername]?<-app?/?-sec?/?-sys>

-app?=?應用程序日志

-sec?=?安全日志

-sys?=?系統(tǒng)日志

　　a.?可以清除遠程計算機的日志

**?先用ipc連接上去:?net?use?\ipipc$?密碼/user:用戶名

**?然后開始清除:?方法

clearlogs?\ip?-app?這個是清除遠程計算機的應用程序日志

clearlogs?\ip?-sec?這個是清除遠程計算機的安全日志

clearlogs?\ip?-sys?這個是清除遠程計算機的系統(tǒng)日志

　　b.清除本機日志:?如果和遠程計算機的不能空連接.?那么就需要把這個工具傳到遠程計算機上面

　　然后清除.?方法:

clearlogs?-app?這個是清除遠程計算機的應用程序日志

clearlogs?-sec?這個是清除遠程計算機的安全日志

clearlogs?-sys?這個是清除遠程計算機的系統(tǒng)日志

　　安全日志已經被清除.Success:?The?log?has?been?cleared?成功.

　　為了更安全一點.同樣你也可以建立一個批處理文件.讓自動清除.?做好批處理文件.然后用at命令建立一個計劃任務.?讓自動運行.?之后你就可以離開你的肉雞了.

　　例如建立一個?c.bat

rem?==============================?開始

@echo?off

clearlogs?-app

clearlogs?-sec

clearlogs?-sys

del?clearlogs.exe

del?c.bat

exit

rem?==============================?結束

　　在你的計算機上面測試的時候?可以不要?@echo?off?可以顯示出來.?你可以看到結果

　　第一行表示:?運行時不顯示窗口

　　第二行表示:?清除應用程序日志

　　第三行表示:?清除安全日志

　　第四行表示:?清除系統(tǒng)日志

　　第五行表示:?刪除?clearlogs.exe?這個工具

　　第六行表示:?刪除?c.bat?這個批處理文件

　　第七行表示:?退出

用AT命令.?建立一個計劃任務.?這個命令在原來的教程里面和雜志里面都有.?你可以去看看詳細的使用方法

　　AT?時間?c:c.bat

　　之后你就可以安全離開了.?這樣才更安全一點.

---

?

0x03 清除防火墻日志

? ? ? 與系統(tǒng)日志一樣，防火墻日志由對應的服務保護。由于防火墻服務允許停用，所以清除防火墻日志比清除系統(tǒng)日志要簡單一些。只要Telnet登錄的用戶具有管理員身份就可以使用netstop命令停止防火墻服務和清除防火墻日志了。

1）清理防火墻記錄的痕跡

cd logfiles/firewall

2）觀察防火墻的當前目錄

type pfirewall.log

3）讀取防火墻日志

Netsh firewall set opmode mode= DISABLE

4）關閉防火墻

Del pfirewall.log

5）刪除日志文件

type pfirewall.log

注：簡單粗暴的刪除真的省事，可是少了大量日志記錄，還是會被發(fā)現異常，

? ? ? 那么有沒有解決的辦法呢？刪除不是好的選擇，因為斷開連接的時候，有的監(jiān)管軟件會記錄你的離開，審核日志的時候，你有離開的記錄，沒有進入的記錄，這就很讓人懷疑了。

? ? ??所以刪除帶有自己訪問記錄的條目，或者修改日志內容是最好的選擇。把自己的訪問ip和，mac記錄刪除或者修改掉。

拓展命令

? 刪除Internet臨時文件

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 8

? 刪除cookies

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 2

? 刪除歷史記錄

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 1

? 從數據中刪除

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 16

?? 刪除密碼

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 32

? 刪除所有

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 255

? 刪除加載項存儲的所有+文件和設置

RunDll32.exe InetCpl.cpl，ClearMyTracksByProcess 4351

?

0x03 清除IIS日志

1、手動清除IIS日志釋放空間

? ? ? IIS存放日志文件的默認存儲路徑是“C:/WINDOWS/system32/LogFiles/W3SVC1/”，依次打開“我的電腦”，C盤，Windows文件夾，system32文件夾，logfiles文件夾，發(fā)現里面還有多個子文件夾，每個文件夾都對應一個IIS站點。

? ? ? 我們逐個打開這些文件夾查看，發(fā)現里面有大量以.log后綴結尾的文件，這就是IIS日志文件。它們不僅數量多，而且每個文件占用字節(jié)數也大，如下圖：

??我們全選這些文件，然后按Shift+DEL強行刪除。再打開“我的電腦”，發(fā)現C盤“可用空間變多了

2、如何不記錄IIS日志

? ? ? 如果網站的訪問量特別大，管理員覺得每段時間都需要去清除一次IIS日志比較麻煩，那么在IIS的站點中設定可以不記錄IIS日志。

方法如下：

? ? ? 打開“Internet 信息服務(IIS)管理器”，選擇到不需要記錄IIS日志的站點，按下鼠標右鍵，選擇“屬性”，在默認的“網站”選項卡中將“啟用記錄的復選勾”去掉，點“確定”。如下圖：

????

????設置完成后，再重啟IIS或者服務器，設置即可生效。?

?3、自動刪除IIS日志的程序

? ?IIS在運行的過程中日志會不停地增長，若iis的網站被頻繁的調用或不當的調用，則會產生很多日志。對于系統(tǒng)盤或者磁盤空間不夠的服務器來說。IIS日志自動清理則非常有必要。

????IIS日志清理代碼如下：

1，文件名：rmiislog.js

腳本內容：

function dellogfile(beforedays)

{

var fso = new ActiveXObject("Scripting.FileSystemObject");

var dir = fso.GetFolder("c:\\WINDOWS\\system32\\LogFiles");??? //改成你的 IIS 日志目錄

for (var fc = new Enumerator(dir.SubFolders); !fc.atEnd(); fc.moveNext())?

{

if (fc.item().name.substr(0,5) == "W3SVC")?

{

for (var logfiles = new Enumerator(fc.item().Files); !logfiles.atEnd(); logfiles.moveNext())?

{

var fileName = logfiles.item().name;

var year = "20" + fileName.substr(2, 2);

var mouth = fileName.substr(4, 2);

var day = fileName.substr(6, 2);

var days = Math.round(((new Date()).getTime() - Date.UTC(year, mouth - 1, day)) / 1000 / 60 / 60 / 24);

if (days >= beforedays) logfiles.item().Delete();

}

}

}

}

dellogfile(30);//刪除30天前的日志

2，批處理腳本

文件名：rmiislog.bat

腳本內容：

cscript rmiislog.js

網上找到個更簡潔的.bat 批處理清理IIS日志的腳本，代碼如下：

一，新建一個文檔，重新命名為iisclear.bat

二，編輯文檔，輸入一下內容

:: 清理IIS日志文件

:: 備份MySql數據庫

@echo off

title 清理IIS日志文件

:: IIS日志文件目錄

set log_dir="C:\inetpub\logs\LogFiles"

:: 保留日志天數

set bak_dat=15

:: 刪除日志文件

forfiles /p %log_dir% /S /M *.log /D -%bak_dat% /C "cmd /c echo 正在刪除@relpath 文件… & echo. & del @file"

三，保存，測試運行

? ? ? 總之，IIS在運行的過程中日志會不停地http://www.hx-dxds.com/增長，若IIS的網站被頻繁的調用或不當的調用，則會產生很多日志，對于系統(tǒng)盤或者磁盤空間不夠的服務器來說，IIS日志自動清理則非常有必要。

注：服務器的一些狀況和訪問IP的來源都會記錄在IIS日志中，所以IIS日志對每個服務器管理者非常的重要，如果入侵者技術比較高明，會刪除IIS日志文件以抹去痕跡，這時可以到事件查看器看來自W3SVC的警告信息，往往能找到一些線索，當然，對于訪問量特別大的Web服務器，僅靠人工分析幾乎是不可能的了！

4. 工具清理

? ? ? 目前對于網站的入侵方式主要是注入,然后再提權拿下服務器，這樣主要的日志痕跡都留在了IIS日志里,所以只需要把我們在IIS日志中的IP地址清除掉就可以了。

? ? ? 這樣清理的話更不會讓對方管理員起疑心。那么真的要我們把IIS服務停掉,然后用記事本打開日志文件一點一點改嗎?當然不是了，只需要使用CleanIISLog工具就可以輕松搞定了。
??CleanIISLog工具的用法:

? ? ? ?在CMD中執(zhí)行CleanIISLog ，IP地址就可以清楚所有IIS日志中有關IP的連接記錄了,保留其它IP記錄
當清楚成功后，CleanIISLog會在系統(tǒng)日志中將本身的運行記錄清楚。如果IIS的日志文件不是默認的話,可以執(zhí)行CleanIISLog IIS日志路徑 服務器IP地址來指定IIS日志的路徑.注意：此工具只能在本地運行,而且必須具有Administrators權限.

最后到此為止，Web、FTP日志文件清除完畢，余下的httper日志受http.sys核心程序保護而難以清除，由于其中并沒有入侵痕跡，所以無須理會此日志。切記當ns的相關服務處于使用狀態(tài)時，Web、FTP等日志也處于鎖定狀態(tài)，用戶需要先停止相關的服務，才能清除相關的日志記錄。

?

0x04 清除歷史記錄及運行的日志

　cleaner.exe

?

0x05 察看blackice的日志

這個地方我們可以清除的看到 防火墻的日志.

這個表示 有人發(fā)過來帶有病毒的email附件. ip是: 220.184.153.116

tcp_probe_other 表示 通過tcp 掃描 或者利用別的和你建立連接 通信

這個表示通過端口 80 掃描iis

病毒 nimda

這里需要很多的計算機協議知識. 同時也需要對英語有了解

才能更好的分析 如果對英語不好 你可以裝一個金山詞霸.

一般情況下 我們可以 對一些可以不用管.

一般這三種情況 不用去管.

最上面的 critical 這個 可以去關注一下 . 一般是確實有別的計算機掃描或者入侵你的計算機

count 代表次數 intruder 是對方的ip event 是通過什么方式(協議) 掃描或者想入侵的

time表示時間

　

0x06 粉碎文件

在《越獄》第一季中，男主角邁克將存放越獄計劃的硬盤扔到河里就以為萬事無憂了。事隔幾個月后，FBI在河里撈出了那塊泡湯的硬盤，并通過技術恢復了部分數據，從而展開了一場追逐男主角的行動。別以為這是電影杜撰的故事，事實上，警方數據恢復的手段比你想象的要高明得多。所以，對于重要的資料，黑客們必須謹慎對待。

粉碎與刪除的區(qū)別

許多用戶以為按【Shift+Dell組合鍵就可以將文件從磁盤徹底抹去，事實上這種認識有所偏頗。要深入研究這個問題，需要從文件系統(tǒng)的構成談起。

當用戶創(chuàng)建一個文件時，操作系統(tǒng)先在文件系統(tǒng)的目錄區(qū)域創(chuàng)建一個分配條目，指定文件數據保存的區(qū)域并將數據保存其中，再次創(chuàng)建文件時，操作系統(tǒng)會檢查現有的條目，找到用于保存數據的區(qū)域并創(chuàng)建新的條目，避免新數據覆蓋舊數據。當用戶刪除文件時，操作系統(tǒng)僅刪除了目標區(qū)域的分配條目，這樣，新創(chuàng)建的文件即可覆蓋舊文件的數據，從而回收被占用的儲存空間。

對于日常使用，這種設計非常簡便；對于重要資料而言，刪除操作有明顯的漏洞，因為系統(tǒng)僅刪除了分配條目，并沒有刪除文件包含的數據，所以，利用一些簡單的數據恢復軟件（如EasyRecovery、FinalData等）．即可直接恢復被刪除的數據。

與刪除操作不同的是，粉碎文件在刪除條目之前，先通過條目了解文件儲存的數據隧域，多次隨機在此區(qū)域寫入數據，讓原有的文件內容變得支離破碎，然后才刪除文件對應的條目。不難看出，粉碎文件比系統(tǒng)默認的刪除操作要可靠得多，所以，對于不再使用的、具有重要內容的文件，雖好加以粉碎烈避免后患。

?

0x07 粉碎數字文件

? ? ? 粉碎數字文件的工具有很多，在Linux、UNIX環(huán)境中可以使用Wipe，而在Windows環(huán)境中，AnalogXSuperShredder、UltraStuedder都是不錯的工縣。假如你懶得動手去找這些專業(yè)工具，不妨使用瑞星、360殺毒軟件附帶的文件粉碎組件，相對而言，它們的粉碎效果比專業(yè)軟件要差一些。下面以AnalogXSuperShredder為例，介紹粉碎數字文件的方法。

? ? ? Stepl1打開AnalogXSuperShredder后，單擊Operation按鈕，可以查看粉碎文件的詳細操作。本倒單擊Add按鈕，在Priority欄內輸入4，在Operator欄內選擇XOR（異或處理），在Bytepattern設置運算參數為11。以上設置新增了一個粉碎步驟。它將默認的粉碎結果與十六進制數II異或處理，最后再次將結果入文件相應的內容區(qū)域。不難看出，新增粉碎的步驟越多，粉碎效果就越佳，所需的時間也越長。完成設置后，單擊OK按鈕返回上一個對話框，最后單擊Done按鈕。

? ? ? Step2單擊Config按鈕，在Numberofpasses欄內設置粉碎次數（默認值為1），最后單擊OK按鈕。粉碎的次數越高，粉碎效果就越佳，所需的時間也越長

? ? ? Step3單擊SelectFile按鈕，選擇待粉碎的文件，單擊“打開”按鈕，然后在彈出的對話框中單擊“是“按鈕，即完成粉碎操作。

?

0x08 檢驗清除效果

? ? ? 學習清除痕跡后，假如想檢驗一下清除的效果，那么，最好自己架設一個實驗環(huán)境，當你用盡所有方法清除痕跡后，嘗試使用國際警用取證工具-COFEE檢測還有哪些痕跡沒清除干凈。

?

0x09 什么是COFEE?

? ? ? COFEE全稱為“計算機在線法庭科學證據提取器(ComputerOnlineForensicEvidence Extractor)”，它是一個由微軟和美國白領犯罪中心（NationalWhiteCollarCrimeCenter,NW3C）共同開發(fā)的取證工具。在微軟官方的COFEE酋頁上有以下描述

? ? ? 其大意是說，有了COFEE，沒有合適的計算機取證能力的執(zhí)法機構也可以輕松、可靠而且高效地收集現場證據。一個只有最基礎的計算機知識的人也可以在不超過10分鐘的時間里學會如何使用配置COFEE設備，然后像專家一樣收集重要的犯罪證據，其操作難度就像將U盤插入電腦那樣簡單。簡而言之，COFEE是微軟為國外執(zhí)法機構提供的一種專用取證工具，也是用來對付黑客犯罪的重要取證工具。

?

0x10?試用COFEE探查痕跡

? ? ? 由于COFEE的使用是如此簡單，假如你想做一個不留痕跡的黑客，那么它就是最好的對練工具。嘗試在自己架設的服務器上執(zhí)行清除痕跡的工作，然后使用COFEE來“取證”檢查。下面，我們來看看如何使用COFEE。圖9·28為使用COFEE的三個階段

? ? ? 使用COFEE探查要經過三個階段：第一階段安裝COFEE并生成COFEEU盤；

? ? ? 第二階段使用COFEEU盤探查目標電腦；

? ? ? 第三階段將完成收集任務的COFEEU盤重新插入安裝了COFEE的電腦，生成探查報告。

1．安裝COFEE，生成COFEEU盤

? ? ? 安裝COFEE操作非常簡單，只需多次單擊Next按鈕即可完成，這里就不做介紹了。下面將介紹生成COFEEU盤的方法，具體的操作如下：

將U盤插入USB端口后，運行COFEE主程序，9-29。

在COFEEUSB欄位選擇U盤，在Mode欄位選擇取證方式，最后單擊Generate按鈕，制作COFEE盤

2．使用COFEEU盤探查目標電腦

? ? ? 進入操作系統(tǒng)后，將COFEEU盤插入待探查的電腦的USB端口，當出現自動運行的提示時，選擇Executerunner,exe選項，最后單擊“確定”按鈕，COFEE便自動展開探查工作。

探查完畢，命令執(zhí)行窗口就會自動關閉，此時可斷開U盤連接，進入下一階段的工作。

3．生成探壹報告

完成探查后，將COFEEU盤重新插入安裝了COFEE軟件的電腦USB端口，參考以下操作，以便生成探查報告。

運行COFEE主程序。

切換至Report選項卡，單擊RawInpmFolder欄位旁邊的按鈕，選擇COFEEU盤收集原始數據的文件夾，單擊“確定”按鈕。

單擊OutputFolder欄位旁邊的按鈕，然后選擇報告文件的存放位置，接著單擊“確定”按鈕，最后單擊Generate按鈕

進入存放報告文件的位置后，通過瀏覽器打開index.html，即可看到COFEE生成的報告。

? ? ? 仔細檢查生成的報告，查看是否殘留泄露行蹤的信息。如果清除痕跡的操作完全讓COFEE無可奈何，恭喜！你已經向高級黑客又跨進了一步。

?

0x11 最后的忠告

? ? ? 追蹤與反追蹤、隱身與反隱身之間的技術對抗，從電腦網絡發(fā)明之后就一直都沒有停止過，倘若你認為掌握了一些反追蹤與隱身技術，就可以為所欲為，那么，這樣將會令自己置身于極大的危險之中。不要忘記，像凱文·米特尼克、凱文·鮑爾森這樣的世界頭號黑客也有被警察堵住投進監(jiān)牢的一天！

參考鏈接：

? ? ? ? ? ? ? ??http://www.520ve.com/1655.html

? ? ? ? ? ? ? ??https://www.cnblogs.com/milantgh/p/3602191.html

? ? ? ? ? ? ? ??https://blog.csdn.net/liushu_it/article/details/49403035

?

---

我不需要自由，只想背著她的夢

一步步向前走，她給的永遠不重

---

?

總結

以上是生活随笔為你收集整理的后渗透篇：清理windows入侵痕迹总结【详细】的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。