windows日志的保護與偽造

日志對于系統(tǒng)安全（服務器租用找：51033397）的作用是顯而易見的，無論是網(wǎng)絡管理員還是黑客都非常重視日志，一個有經(jīng)驗的管理員往往能夠迅速通過日志了解到系統(tǒng)的安全（服務器租用找：51033397）性能，而一個聰明的黑客往往會在入侵成功后迅速清除掉對自己不利的日志。下面我們就來討論一下日志的安全（服務器租用找：51033397）和創(chuàng)建問題。

一、概述：Windows2000的系統(tǒng)日志文件有應用程序日志，安全（服務器租用找：51033397）日志、系統(tǒng)日志、DNS億恩科技服務器日志等等，應用程序日志、安全（服務器租用找：51033397）日志、系統(tǒng)日志、DNS日志默認位置：%systemroot%\system32\config，默認文件大小512KB。

安全（服務器租用找：51033397）日志文件：%systemroot%\system32\config\SecEvent.EVT

系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT

應用程序日志文件：%systemroot%\system32\config\AppEvent.EVT

這些LOG文件在注冊表中的：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目錄。

二、作為網(wǎng)絡管理員

1、日志的安全（服務器租用找：51033397）配置

默認的條件下，日志的大小為512KB大小，如果超出則會報錯，并且不會再記錄任何日志。所以首要任務是更改默認大小，具體方法：注冊表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog對應的每個日志如系統(tǒng)，安全（服務器租用找：51033397），應用程序等均有一個maxsize子鍵，修改即可。

下面給出一個來自微軟站點的一個腳本，利用VMI來設定日志最大25MB,并允許日志自行覆蓋14天前的日志：

該腳本利用的是WMI對象,WMI(WindowsManagementInstrumentation)技術是微軟提供的Windows下的系統(tǒng)管理工具。通過該工具可以在本地或者管理客戶端系統(tǒng)中幾乎一切的信息。很多專業(yè)的網(wǎng)絡管理工具都是基于WMI開發(fā)的。該工具在Win2000以及WinNT下是標準工具，在Win9X下是擴展安裝選項。所以以下的代碼在2000以上均可運行成功。

以下為引用的內(nèi)容： 　　strComputer="." 　　SetobjWMIService=GetObject("winmgmts:"_ 　　&"{impersonationLevel=impersonate,(Security)}!\\"&_ 　　strComputer&"\root\cimv2")'獲得VMI對象 　　SetcolLogFiles=objWMIService.ExecQuery_ 　　("Select*fromWin32_NTEventLogFile") 　　ForeachobjLogfileincolLogFiles 　　strLogFileName=objLogfile.Name 　　SetwmiSWbemObject=GetObject_ 　　("winmgmts:{impersonationLevel=Impersonate}!\\.\root\cimv2:"_ 　　&"Win32_NTEventlogFile.Name='"&strLogFileName&"'") 　　wmiSWbemObject.MaxFileSize=2500000000 　　wmiSWbemObject.OverwriteOutdated=14 　　wmiSWbemObject.Put_ 　　Next

將上述腳本用記事本存盤為vbs為后綴的即可使用。

另外需要說明的是代碼中的strComputer="."在windows腳本中的含義相當于localhost,如果要在遠程億恩科技主機上執(zhí)行代碼，只需要把"."改動為億恩科技主機名，當然首先得擁有對方億恩科技主機的管理員權限并建立IPC連接.本文中的代碼所出現(xiàn)的strComputer均可作如此改動。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]