[转载]网管 VS 黑客日志大战Windows日志(页 1) - 网络攻防技术{ Hacking and Defence } - 邪恶八进制信息安全团队技术讨论组努力为祖国的信息安全撑起一片蓝天

金州 2006-1-11 23:43

[转载]网管 VS 黑客日志大战Windows日志

信息来源：安全之难
时刻默默无闻地记录着您在计算机上的一举一动…… 
 这意味着什么……
 这意味着：如果计算机出了故障或者崩溃，我们就可以从日志文件中找到引起系统故障或崩溃的蛛丝马迹！
 这也意味着：如果是你秘密潜入别人的计算机，你的行踪也毫不例外的被Windows一一记录，<A class=Channel_KeyLink href="http://www.sollit.com/">网络</A>管理员就可通过日志来跟踪、发现<A class=Channel_KeyLink href="http://www.sollit.com/">黑客</A>。
作为<A class=Channel_KeyLink href="http://www.sollit.com/">网络</A>管理员，如何来优化、保护日志呢？而作为<A class=Channel_KeyLink href="http://www.sollit.com/">黑客</A>，又将如何来毁灭日志、伪造日志呢？一场由Windows日志引发的较量正在激情上演……
鉴于日志在系统安全中举足轻重的作用，一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能，而一个聪明的<A class=Channel_KeyLink href="http://www.sollit.com/">黑客</A>往往会在入侵成功后迅速清除掉对自己不利的日志，甚至伪造出一份日志以此来误导网管。

一、与日志亲密接触
Windows的日志文件通常有应用程序日志，安全日志、系统日志、DNS<A class=Channel_KeyLink href="http://www.sollit.com/">服务</A>器日志、FTP日志、WWW日志等等，可能会根据<A class=Channel_KeyLink href="http://www.sollit.com/">服务</A>器所开启的<A class=Channel_KeyLink href="http://www.sollit.com/">服务</A>不同。
Windows的应用程序日志、安全日志、系统日志、DNS日志默认位置为：%sys temroot%\ system32\config，默认文件大小512KB，管理员可以自行改变这个默认大小。这些LOG文件在注册表中的位置为（如图1）：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog。

图1
 <IMG title="网管 VS <a class='Channel_KeyLink' href='http://www.sollit.com'>黑客</a> 日志大战Windows日志" style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid" alt="网管 VS <a class='Channel_KeyLink' href='http://www.sollit.com'>黑客</a> 日志大战Windows日志" src="http://sollit.com/news/UploadFiles_9994/200601/20060110231509993.jpg" align=no>

小知识：安全日志文件名称为SecEvent.evt，系统日志文件名称为SysEvent.evt，应用程序日志文件名称为AppEvent.evt， Internet信息<A class=Channel_KeyLink href="http://www.sollit.com/">服务</A>FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，Internet信息<A class=Channel_KeyLink href="http://www.sollit.com/">服务</A>WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，FTP、WWW默认每天产生一个日志。
二、通过日志找<A class=Channel_KeyLink href="http://www.sollit.com/">黑客</A>
如果想全盘掌握计算机在最近时间内的操作，只要查阅相关的日志就可以知晓。这里就通过实例分析一个WWW日志，看看是如何发现访问者的踪迹的。
我们知道，WWW日志默认情况下每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期），例如ex041010，就是2004年10月10日产生的日志，用记事本就可直接打开。下面是一个典型的WWW日志文件内容片段：
#Software: Microsoft Internet Information Services 5.0　（微软IIS5.0）
#Version: 1.0　（版本1.0）
#Date: 20041010 07:31　（<A class=Channel_KeyLink href="http://www.sollit.com/">服务</A>启动时间日期） 
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)　 
20041010 09:29 220.202.242.10 220.202.242.98 80 GET /default.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)　 
20041010 10:15 220.202.242.25 220.202.242.98 80 GET /vod/default.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)　 
…………
通过分析第五行，就可以得知2004年10月10日，IP地址为220.202.242.10的用户通过访问IP地址为220.202.242.10机器的80端口，查看了一个网页default.asp。并且还可以知道该用户的浏览器为IE 5.0。
小提示：其实，这些在系统日志和安全日志中也会进行记录，不过只显示了你的机器名，并没有你的IP。所以即使你删掉FTP和WWW日志，在系统日志和安全日志还是会有记录。 
三、日志保护跟我来
Windows日志引发的较量，其实就是<A class=Channel_KeyLink href="http://www.sollit.com/">网络</A>管理员和非法入侵者的较量。作为一名合格的<A class=Channel_KeyLink href="http://www.sollit.com/">网络</A>管理员，如何来优化、保护日志呢？ 
1.优化配置日志 
我们知道，日志的默认大小为512KB，如果超出则会报错，并且不会再记录任何日志。所以要优化配置日志，首要任务是更改默认大小，具体方法：在注册表中展开如下子键：HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Eventlog对应的每个日志如系统、安全、应用程序等均有一个Maxsize键值，将其更改为一个合适的大小（建议至少要能容纳一个星期的记录），如图2所示。

图2
<IMG title="网管 VS <a class='Channel_KeyLink' href='http://www.sollit.com'>黑客</a> 日志大战Windows日志" style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid" alt="网管 VS <a class='Channel_KeyLink' href='http://www.sollit.com'>黑客</a> 日志大战Windows日志" src="http://sollit.com/news/UploadFiles_9994/200601/20060110231511284.jpg" align=no>

小提示：为了防止他人轻意发现、查看日志定位到一个隐藏的位置。

2．定时备份日志
<A class=Channel_KeyLink href="http://www.sollit.com/">网络</A>管理员应该养成备份日志的良好习惯，要备份日志，推荐使用微软的resource Kit工具包中的dumpel.exe，其语法格式为：dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-dx] ，其中-l log可选的有：system，security，application等。 若想把目标<A class=Channel_KeyLink href="http://www.sollit.com/">服务</A>器CATV上的系统日志转存为bksystem.log，只要运行如下命令即可：dumpel -f bksystem.log -s \\CATV -l system。

四、日志的清除伪造
难道因为有日志记录，<A class=Channel_KeyLink href="http://www.sollit.com/">黑客</A>就停止了入侵吗？不！这是不可能的，日志记录了我们的行踪，把它清除掉不就得了！然后再伪造一份假的日志，想找到我，没门！
1.清除日志很简单
成功入侵后，<A class=Channel_KeyLink href="http://www.sollit.com/">黑客</A>要做的第一件事就是清除日志，下面先来看看如何清除安全日志、系统日志、应用程序日志，借助小榕的Elsave.exe就可以轻松实现。这里假设已经获取了目标主机的管理员帐户，并允许IPC连接。首先与对方建立IPC会话：net use \\192.168.0.2 123 /user:snow ，然后运行如下命令：
E:\ELSAVE.EXE -s \\192.168.0.2 -l "system" -C 
E:\ELSAVE.EXE -s \\192.168.0.2 -l "application" -C 
E:\ELSAVE.EXE -s \\192.168.0.2 -l "security" –C

这样就依次清除了系统日志，应用程序日志，安全日志了（如图3）！其实利用这个软件还可进行备份日志，只要加一个参数 -f filename就可以了。

图3
<IMG title="网管 VS <a class='Channel_KeyLink' href='http://www.sollit.com'>黑客</a> 日志大战Windows日志" style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid" alt="网管 VS <a class='Channel_KeyLink' href='http://www.sollit.com'>黑客</a> 日志大战Windows日志" src="http://sollit.com/news/UploadFiles_9994/200601/20060110231513623.jpg" align=no>

还一种比较简单但有点费时的方法：在“管理工具”中打开“事件查看器”，点击“操作”菜单中的“连接到另一台计算机”项，选择“连接到另一台计算机”，输入远程计算机的IP，连接成功后，选择右侧窗口中远程计算机的“安全性”日志，右击并选择“属性”，在弹出的“安全性 属性”对话框中，点击“清除日志”按钮（如图4），OK！安全日志清除完毕，同样可以清除系统日志及应用程序日志。

图4
<IMG title="网管 VS <a class='Channel_KeyLink' href='http://www.sollit.com'>黑客</a> 日志大战Windows日志" style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid" alt="网管 VS <a class='Channel_KeyLink' href='http://www.sollit.com'>黑客</a> 日志大战Windows日志" src="http://sollit.com/news/UploadFiles_9994/200601/20060110231515159.jpg" align=no>

而要清除WWW日志，就稍微麻烦一点了。如果目标主机允许以图形界面远程登录的话，这就好办了。登录后直接用记事本打开日志文件，把内容清空然后保存即可。
另外，还可以通过停止WWW<A class=Channel_KeyLink href="http://www.sollit.com/">服务</A>来彻底清除，运行命令：net stop w3svc，将w3svc<A class=Channel_KeyLink href="http://www.sollit.com/">服务</A>停止，接着转移到WWW日志存放目录，运行命令：<?XML:NAMESPACE PREFIX = ST1 /><ST1:STATE><ST1:PLACE>del</ST1:PLACE></ST1:STATE> *.*，然后再重新开启w3svc<A class=Channel_KeyLink href="http://www.sollit.com/">服务</A>：net start w3svc。

小提示：FTP、Scheduler日志的清除与WWW类似。

2.伪造日志并不难 
删除日志后，任何一个有头脑的管理员面对空空的日志,马上就会反应过来被入侵了，所以一个聪明的<A class=Channel_KeyLink href="http://www.sollit.com/">黑客</A>得学会如何来伪造日志。 
我们可以利用脚本<A class=Channel_KeyLink href="http://www.sollit.com/">编程</A>来伪造日志（要略懂一些脚本<A class=Channel_KeyLink href="http://www.sollit.com/">编程</A>才行哦~~~），当然，还有一种简单的办法，那就是利用Windows XP中的命令行工具eventcreate.exe，它能够创建一个自定义事件 ID 和消息于某指定事件日志里。其用法如下：
EVENTCREATE [/S system [/U username [/P [password]]]] /ID eventid [/L logname] [/SO srcname] /T type /D description。
例如，要在本地创建一个系统日志，日至来源为administrator，日志类型是警告，描述为“this is a test”，事件ID为500，使用命令：
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
随着<A class=Channel_KeyLink href="http://www.sollit.com/">网络</A><A class=Channel_KeyLink href="http://www.sollit.com/">技术</A>的不断发展，日志的较量将愈演愈烈……

页: [1]

邪恶八进制信息安全团队技术讨论组's Archiver

[转载]网管 VS 黑客 日志大战Windows日志

[转载]网管 VS 黑客日志大战Windows日志