济南大学信息科学与工程学院网络信息对抗课件 第17讲.ppt

第17讲 日志清除技术 答疑地点：12J810|12J806 网络答疑：QQ：252175436 答疑时间：周三上午9:30-11:00 内容提纲 Windows日志原理 IPC$空链接 LINUX日志原理 防御技术和方案 * * Windows日志原理 日志文件是一类文件系统的集合，通过对日志进行统计、分析、综合，可有效的掌握系统的运行状况。 因此，无论是系统管理员还是黑客都极其重视日志文件。管理员可以通过日志文件查看系统的安全性，找到入侵者的IP地址和各种入侵证据。 黑客会在入侵成功后迅速清除对自己不利的日志，以免留下蛛丝马迹。 * * Windows日志原理 Windows的日志文件通常有应用程序日志，安全日志、系统日志、IIS日志等等，可能会根据服务器所开启的服务不同。 * * Windows日志原理 各日志文件的默认位置如下： 安全日志文件：%systemroot%\system32\config\SecEvent.EVT 系统日志文件：%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志 Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志 * * Windows日志原理 * * 在事件日志中，以下面几种情况来表示整个系统运行过程中出现的事件： 1）“错误”是指比较严重的问题，通常是出现了数据丢失或功能丢失； 2）“警告”则表明情况暂时不严重，但可能会在将来引起错误，比如磁盘空间太少等； 3）“信息”则是记录运行成功的事件。另外，安全日志则直接以成功审核和失败审核来标识事件的成功与否。 IPC$空链接 在清除系统日志、安全日志和应用程序日志时，我们需要首先和目标机器建立IPC$空链接。 IPC$(Internet Process Connection)是共享命名管道的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。 * * IPC$空链接 IPC$有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。 在初次安装系统时就打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。 所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低 * * IPC$空链接 * * 删除远程主机日志时可能会用到的相关命令： 1） 建立空连接: net use \\IP\ipc$ /user: 2） 建立非空连接: net use \\IP\ipc$ psw /user:account 3） 查看远程主机的共享资源 net view \\IP 4 ）查看本地主机的共享资源（可以看到本地的默认共享） net share 5 ）得到远程主机的用户名列表 nbtstat -A IP IPC$空链接 6 ）得到本地主机的用户列表 net user 7 ）查看远程主机的当前时间 net time \\IP 8 ）显示本地主机当前服务 net start 9 ）启动/关闭本地服务 net start 服务名 /y net stop 服务名 /y 10） 映射远程共享: net use z: \\IP\baby 此命令将共享名为baby的共享资源映射到z盘 * * IPC$空链接 11 ）删除共享映射 net use c: /del 删除映射的c盘，其他盘类推 net use * /del /y删除全部 12） 向远程主机复制文件 copy \路径\srv.exe \\IP\共享目录名，如： copy ccbirds.exe \\*.*.*.*\c 即将当前目录下的文件复制到对方c盘内 13） 远程添加计划任务 at \\ip 时间 程序名，如： at \\ 11:00 love.exe * * LINUX日志 LINUX网管员主要是靠系统的LOG，来获得入侵的痕迹。当然也有第三方工具记录入侵系统的痕迹。主要的日志子系统： 1.连接时间日志--由多个程序执行，把记录写入到/var/log/wtmp和/var/run/