专业虚拟主机提供商! 正规合法诚信公司、拥有ICP/ISP双经营许可证
域名空间实时开通立即使用,几分钟即可完成
安全方便的网上支付,超强的域名空间管理程序
我要购买空间,请点这里
我要注册域名,请点这里
我要建设网站,请点这里
我要续费域名,请点这里
我要续费空间,请点这里
我要在线支付,请点这里
首 页 特惠套餐 域名注册 虚拟主机 托管租用 FTP空间 数据库 企业邮局 网站建设 联系我们 付款方式
 | 网站首页 | 虚拟主机资讯 | 域名注册资讯 | 托管租用资讯 | 网络编程 | 网站备案 | 系统安全 | 源码下载 | 
您现在的位置: IDC资讯网 >> 系统安全 >> 正文
最新推荐  更多内容
最新热门  更多内容
  • 没有热点文章
  • windows日志的保护与伪造           ★★★
    windows日志的保护与伪造
    点击数: 更新时间:2009-8-6 21:10:38

    日志对于系统安全的作用是显而易见的,无论是网络管理员还是黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客往往会在入侵成功后迅速清除掉对自己不利的日志。下面我们就来讨论一下日志的安全和创建问题。

    一、概述:Windows2000的系统日志文件有应用程序日志,安全日志、系统日志、DNS服务器日志等等,应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB。

    安全日志文件:%systemroot%\system32\config\SecEvent.EVT

    系统日志文件:%systemroot%\system32\config\SysEvent.EVT

    应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT

    这些LOG文件在注册表中的:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

    有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。

    二、作为网络管理员

    1、日志的安全配置

    默认的条件下,日志的大小为512KB大小,如果超出则会报错,并且不会再记录任何日志。所以首要任务是更改默认大小,具体方法:注册表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog对应的每个日志如系统,安全,应用程序等均有一个maxsize子键,修改即可。

    下面给出一个来自微软站点的一个脚本,利用VMI来设定日志最大25MB,并允许日志自行覆盖14天前的日志:

    该脚本利用的是WMI对象,WMI(WindowsManagementInstrumentation)技术是微软提供的Windows下的系统管理工具。通过该工具可以在本地或者管理客户端系统中几乎一切的信息。很多专业的网络管理工具都是基于WMI开发的。该工具在Win2000以及WinNT下是标准工具,在Win9X下是扩展安装选项。所以以下的代码在2000以上均可运行成功。

    以下为引用的内容:
      strComputer="."
      SetobjWMIService=GetObject("winmgmts:"_
      &"{impersonationLevel=impersonate,(Security)}!\\"&_
      strComputer&"\root\cimv2")'获得VMI对象
      SetcolLogFiles=objWMIService.ExecQuery_
      ("Select*fromWin32_NTEventLogFile")
      ForeachobjLogfileincolLogFiles
      strLogFileName=objLogfile.Name
      SetwmiSWbemObject=GetObject_
      ("winmgmts:{impersonationLevel=Impersonate}!\\.\root\cimv2:"_
      &"Win32_NTEventlogFile.Name='"&strLogFileName&"'")
      wmiSWbemObject.MaxFileSize=2500000000
      wmiSWbemObject.OverwriteOutdated=14
      wmiSWbemObject.Put_
      Next

    将上述脚本用记事本存盘为vbs为后缀的即可使用。

    另外需要说明的是代码中的strComputer="."在windows脚本中的含义相当于localhost,如果要在远程主机上执行代码,只需要把"."改动为主机名,当然首先得拥有对方主机的管理员权限并建立IPC连接.本文中的代码所出现的strComputer均可作如此改动。

    2、日志的查询与备份

    一个优秀的管理员是应该养成备份日志的习惯,如果有条件的话还应该把日志转存到备份机器上或直接转储到打印机上,笔者还有一篇文章《利用脚本编程格式化输出系统日志》,详细的讲述了利用windows脚本把日志转储并输出成html页已便于查询,有兴趣的可以查看,在这里推荐微软的resourceKit工具箱中的dumpel.exe,他的常用方法:

    dumpel-ffilename-s\\server-llog

    -ffilename输出日志的位置和文件名

    -s\\server输出远程计算机日志

    -lloglog可选的为system,security,application,可能还有别的如DNS等

    如要把目标服务器server上的系统日志转存为backupsystem.log可以用以下格式:

    dumpel\\server-lsystem-fbackupsystem.log

    再利用计划任务可以实现定期备份系统日志。

    另外利用脚本编程的VMI对象也可以轻而易举的实现日志备份:

    下面给出备份application日志的代码:

    以下为引用的内容:
      backuplog.vbs
      strComputer="."
      SetobjWMIService=GetObject("winmgmts:"_
      &"{impersonationLevel=impersonate,(Backup)}!\\"&_
      strComputer&"\root\cimv2")'获得VMI对象
      SetcolLogFiles=objWMIService.ExecQuery_
      ("Select*fromWin32_NTEventLogFilewhereLogFileName='Application'")'获取日志对象中的应用程序日志
      ForEachobjLogfileincolLogFiles
      errBackupLog=objLogFile.BackupEventLog("f:\application.evt")'将日志备份为f:\application.evt
      IferrBackupLog<>0Then
      Wscript.Echo"TheApplicationeventlogcouldnotbebackedup."
      elseWscript.Echo"successbackuplog"
      EndIf
      Next

    程序说明:如果备份成功将窗口提示:"successbackuplog"否则提示:"TheApplicationeventlogcouldnotbebackedup",此处备份的日志为application备份位置为f:\application.evt,可以自行修改,此处备份的格式为evt的原始格式,用记事本打开则为乱码,这一点他不如dumpel用得方便。

    三、作为黑客

    1、日志清除

    一个入侵系统成功后的黑客第一件事便是清除日志,如果以图形界面远程控制对方机器或是从终端登陆进入,删除日志不是一件困难的事,由于日志虽然也是作为一种服务运行,但不同于http,ftp这样的服务,可以在命令行下先停止,再删除,在m命令行下用netstopeventlog是不能停止的,所以有人认为在命令行下删除日志是很困难的,实际上不是这样,下面介绍几种方法:

    (1)借助第三方工具:如小榕的elsave.exe远程清除system,applicaton,security的软件,使用方法很简单,首先利用获得的管理员账号与对方建立ipc会话,netuse\\ippass/user:user

    然后命令行下:elsave-s\\ip-lapplication-C,这样就删除了安全日志。

    其实利用这个软件还可以进行备份日志,只要加一个参数-ffilename就可以了,在此不再详述。

    (2)利用脚本编程中的VMI,也可以实现删除日志,首先获得object对象,然后利用其clearEventLog()方法删除日志。源代码:

    以下为引用的内容:
      cleanevent.vbs
      strComputer="."
      SetobjWMIService=GetObject("winmgmts:"_
      &"{impersonationLevel=impersonate,(Backup)}!\\"&_
      strComputer&"\root\cimv2")
      dimmylogs(3)
      mylogs(1)="application"
      mylogs(2)="system"
      mylogs(3)="security"
      forEachlogsinmylogs
      SetcolLogFiles=objWMIService.ExecQuery_
      ("Select*fromWin32_NTEventLogFilewhereLogFileName='"&logs&"'")
      ForEachobjLogfileincolLogFiles
      objLogFile.ClearEventLog()
      Next
      next

    在上面的代码中,建立一个数组,为application,security,system如果还有其他日志也可以加入数组。

    然后用一个for循环,删除数组中的每一个元素,即各个日志。

    2、创建日志

    删除日志后,任何一个有头脑的管理员面对空空的日志,马上就会反应过来被入侵了,所以一个聪明的黑客的学会如何伪造日志:

    (1)利用脚本编程中的eventlog方法是创造日志变得非常简单;下面看一个代码

    以下为引用的内容:
      createlog.vbs
      setws=wscript.createobject("Wscript.shell")
      ws.logevent0,"writelogsuccess"'创建一个成功执行日志

    这个代码很容易阅读,首先获得wscript的一个shell对象,然后利用shell对象的logevent方法

    logevent的用法:logeventeventtype,"description"[,remotesystem]

    eventtype为日志类型,可以使用的如下:0代表成功执行,1执行出错,2警告,4,信息,8成功审计16故障审计

    所以上面代码中,把0改为1,2,4,8,16均可,引号下的为日志描述。

    这种方法写的日志有一个缺点,只能写到应用程序日志,而且日至来源只能为wsh,即windowsscriptinghost,所以不能起太多的隐蔽作用。

    (2)微软为了方便系统管理员和程序员,在xp下有个新的命令行工具,eventcreate.exe,利用它,创建日志更加简单。

    eventcreate-sserver-llogname-uusername-ppassword-sosource-teventtype-idid-ddescription

    含义:-s为远程主机创建日志:-u远程主机的用户名-p远程主机的用户密码

    -l日志;可以创建system和application不能创建security日志

    -so日志来源,可以是任何日志-t日志类型如information信息,error错误,warning警告

    -d日志描述,可以是任意语句-id自主日志为1-1000之内

    例如,我们要本地创建一个系统日志,日至来源为admin,日志类型是警告,描述为"thisisatest",事件ID为500

    可以用如下参数

    eventcreate-lsystem-soadministrator-twarning-d"thisisatest"-id500

    这个工具不能创建安全日志。至于如何创建安全日志,希望大家能够找到一个好方法!


    以上内容均来自网络,由 稳速网络 搜集整理,如有侵权请联系我们立即删除,如转载请注明原文出处,并保留以下内容。
        [稳速网络] http://www.765.com.cnhttp://www.wsu.cn 是深圳市稳速网络科技有限公司的网络服务品牌,专业经营域名注册虚拟主机网站建设服务器租用托管等业务。经过多年的高速发展,“稳速网络”已经成为我国一家知名的互联网服务提供商。
    文章录入:admin    责任编辑:admin 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    资讯中心首页
    | 虚拟主机资讯 | 域名注册资讯 | 托管租用资讯 | 网络编程 | 网站备案 | 系统安全 | 源码下载 |
    关于我们 | 联系我们 | 产品价格 | 代理加盟 | 咨询反馈 | 诚聘英才 | 在线对话系统 | ASP技术网 | 帮助中心 | 网站地图
    ICP/ISP证B2-20050322
    ICP/ISP经营许可证编号:粤ICP证B2-20050322 网站备案号:粤B2-20050322号
    客服热线:0755-26499456 0755-26499435 [共8线] 24小时值班:0755-21852765 [更多]
    客服QQ:
    [ 63103 ]
    [ 959260 ]
    代理咨询:
    [ 519065 ]
    [更多]
    客户服务中心:深圳市南山区桃园路前海金岸金丰阁706  邮编:518052
    本站推广词:动态空间 | 网站空间 | 虚拟主机 | 深圳网站建设 | 空间购买 | 域名空间 | ASP空间申请购买
    服务范围:广州·深圳·东莞·珠海·汕头·惠州·中山·佛山·上海·重庆等全国其它地区
    广东省深圳市稳速网络科技有限公司版权所有 严禁以任何形式进行复制、抄袭