|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機(jī)、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 日志對于系統(tǒng)安全的作用是顯而易見的,無論是網(wǎng)絡(luò)管理員還是黑客都非常重視日志,一個有經(jīng)驗的管理員往往能夠迅速通過日志了解到系統(tǒng)的安全性能,而一個聰明的黑客往往會在入侵成功 后迅速清除掉對自己不利的日志。下面我們就來討論一下日志的安全和創(chuàng)建問題。一:概述: Windows 2000的系統(tǒng)日志文件有應(yīng)用程序日志,安全日志、系統(tǒng)日志、DNS服務(wù)器日志等等,應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置:%systemroot%\system32\config,默認(rèn)文件大小512KB。 安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系統(tǒng)日志文件:%systemroot%\system32\config\SysEvent.EVT 應(yīng)用程序日志文件:%systemroot%\system32\config\AppEvent.EVT 這些LOG文件在注冊表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目錄。 二:作為網(wǎng)絡(luò)管理員: [page_break]該腳本利用的是WMI對象, WMI(Windows Management Instrumentation)技術(shù)是微軟提供的Windows下的系統(tǒng)管理工具。通過該工具可以在本地或者管理客戶端系統(tǒng)中幾乎一切的信息。很多專業(yè)的網(wǎng)絡(luò)管理工具都是基于WMI開發(fā)的。該工具在Win2000以及WinNT下是標(biāo)準(zhǔn)工具,在Win9X下是擴(kuò)展安裝選項。所以以下的代碼在2000以上均可運行成功。 strComputer = "." [page_break]下面給出備份application日志的代碼: backuplog.vbs strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate,(Backup)}!\\" & _ strComputer & "\root\cimv2") '獲得 VMI對象 Set colLogFiles = objWMIService.ExecQuery _ ("Select * from Win32_NTEventLogFile where LogFileName='Application'") '獲取日志對象中的應(yīng)用程序日志 For Each objLogfile in colLogFiles errBackupLog = objLogFile.BackupEventLog("f:\application.evt") '將日志備份為f:\application.evt If errBackupLog <> 0 Then Wscript.Echo "The Application event log could not be backed up." else Wscript.Echo "success backup log" End If Next 程序說明:如果備份成功將窗口提示:"success backup log" 否則提示:"The Application event log could not be backed up",此處備份的日志為application 備份位置為f:\application.evt,可以自行修改,此處備份的格式為evt的原始格式,用記事本打開則為亂碼,這一點他不如dumpel用得方便。 三:作為黑客 [page_break]在上面的代碼中,建立一個數(shù)組,為application,security,system如果還有其他日志也可以加入數(shù)組。 然后用一個for 循環(huán),刪除數(shù)組中的每一個元素,即各個日志. 2、創(chuàng)建日志: 刪除日志后,任何一個有頭腦的管理員面對空空的日志,馬上就會反應(yīng)過來被入侵了,所以一個聰明的黑客的學(xué)會如何偽造日志: (1)利用腳本編程中的eventlog方法是創(chuàng)造日志變得非常簡單;下面看一個代碼 createlog.vbs set ws=wscript.createobject("Wscript.shell") ws.logevent 0 ,"write log success" '創(chuàng)建一個成功執(zhí)行日志 這個代碼很容易閱讀,首先獲得wscript的一個shell對象,然后利用shell對象的logevent方法 logevent的用法:logevent eventtype,"description" [,remote system] eventtype 為日志類型,可以使用的如下:0 代表成功執(zhí)行;1 執(zhí)行出錯;2 警告;4 信息;8 成功審計;16 故障審計 所以上面代碼中,把0改為1,2,4,8,16均可,引號下的為日志描述。 這種方法寫的日志有一個缺點,只能寫到應(yīng)用程序日志,而且日至來源只能為wsh,即Windows scripting host,所以不能起太多的隱蔽作用。 (2)微軟為了方便系統(tǒng)管理員和程序員,在xp下有個新的命令行工具,eventcreate.exe,利用它,創(chuàng)建日志更加簡單。 eventcreate -s server -l logname -u username -p password -so source -t eventtype -id id -d description 含義:-s 為遠(yuǎn)程主機(jī)創(chuàng)建日志: -u 遠(yuǎn)程主機(jī)的用戶名 -p 遠(yuǎn)程主機(jī)的用戶密碼 -l 日志;可以創(chuàng)建system和application 不能創(chuàng)建security日志, -so 日志來源,可以是任何日志 -t 日志類型 如information信息,error錯誤,warning 警告, -d 日志描述,可以是任意語句 -id 自主日志為1-1000之內(nèi) 例如,我們要本地創(chuàng)建一個系統(tǒng)日志,日至來源為admin,日志類型是警告,描述為"this is a test",事件ID為500 可以用如下參數(shù) eventcreate -l system -so administrator -t warning -d "this is a test" -id 500 這個工具不能創(chuàng)建安全日志。至于如何創(chuàng)建安全日志,希望大家能夠找到一個好方法。 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個人學(xué)習(xí)測試使用,請在下載后24小時內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機(jī)站 關(guān)于本站
