windows日志的保護(hù)與偽造
創(chuàng)建時(shí)間:2002-08-18
文章屬性:原創(chuàng)
文章提交:netone (netonego_at_ccermail.net)
windows日志的保護(hù)與偽造
日志對(duì)于系統(tǒng)安全的作用是顯而易見的,無論是網(wǎng)絡(luò)管理員還是黑客都非常重視日志����,一個(gè)有經(jīng)驗(yàn)的管理員往往能夠迅速通過日志了解到系統(tǒng)的安全性能,而一個(gè)聰明的黑客往往會(huì)在入侵成功后迅速清除掉對(duì)自己不利的日志�����。下面我們就來討論一下日志的安全和創(chuàng)建問題�。
一:概述:Windows2000的系統(tǒng)日志文件有應(yīng)用程序日志,安全日志�、系統(tǒng)日志、DNS服務(wù)器日志等等��,應(yīng)用程序日志����、安全日志����、系統(tǒng)日志���、DNS日志默認(rèn)位置:%systemroot%\system32\config,默認(rèn)文件大小512KB�。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系統(tǒng)日志文件:%systemroot%\system32\config\SysEvent.EVT
應(yīng)用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
這些LOG文件在注冊(cè)表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表�,里面可查到以上日志的定位目錄。
二:作為網(wǎng)絡(luò)管理員:
1���。日志的安全配置:
默認(rèn)的條件下�,日志的大小為512KB大小�,如果超出則會(huì)報(bào)錯(cuò),并且不會(huì)再記錄任何日志�。所以首要任務(wù)是更改默認(rèn)大小,具體方法:注冊(cè)表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog對(duì)應(yīng)的每個(gè)日志如系統(tǒng)���,安全����,應(yīng)用程序等均有一個(gè)maxsize子鍵����,修改即可���。
下面給出一個(gè)來自微軟站點(diǎn)的一個(gè)腳本,利用VMI來設(shè)定日志最大25MB,并允許日志自行覆蓋14天前的日志:
該腳本利用的是WMI對(duì)象, WMI(Windows Management Instrumentation)技術(shù)是微軟提供的Windows下的系統(tǒng)管理工具���。通過該工具可以在本地或者管理客戶端系統(tǒng)中幾乎一切的信息���。很多專業(yè)的網(wǎng)絡(luò)管理工具都是基于WMI開發(fā)的。該工具在Win2000以及WinNT下是標(biāo)準(zhǔn)工具����,在Win9X下是擴(kuò)展安裝選項(xiàng)。所以以下的代碼在2000以上均可運(yùn)行成功�。
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Security)}!\\" & _
strComputer & "\root\cimv2") ‘獲得VMI對(duì)象
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile")
For each objLogfile in colLogFiles
strLogFileName = objLogfile.Name
Set wmiSWbemObject = GetObject _
("winmgmts:{impersonationLevel=Impersonate}!\\.\root\cimv2:" _
& "Win32_NTEventlogFile.Name=‘" & strLogFileName & "‘")
wmiSWbemObject.MaxFileSize = 2500000000
wmiSWbemObject.OverwriteOutdated = 14
wmiSWbemObject.Put_
Next
將上述腳本用記事本存盤為vbs為后綴的即可使用。
另外需要說明的是代碼中的strComputer="."在windows腳本中的含義相當(dāng)于localhost,如果要在遠(yuǎn)程主機(jī)上執(zhí)行代碼�����,只需要把"."改動(dòng)為主機(jī)名,當(dāng)然首先得擁有對(duì)方主機(jī)的管理員權(quán)限并建立IPC連接.本文中的代碼所出現(xiàn)的strComputer均可作如此改動(dòng).
2�。日志的查詢與備份:
一個(gè)優(yōu)秀的管理員是應(yīng)該養(yǎng)成備份日志的習(xí)慣,如果有條件的話還應(yīng)該把日志轉(zhuǎn)存到備份機(jī)器上或直接轉(zhuǎn)儲(chǔ)到打印機(jī)上��,筆者還有一篇文章《利用腳本編程格式化輸出系統(tǒng)日志》,詳細(xì)的講述了利用windows腳本把日志轉(zhuǎn)儲(chǔ)并輸出成html頁已便于查詢�����,有興趣的可以查看���,在這里推薦微軟的resourceKit工具箱中的dumpel.exe���,他的常用方法:
dumpel -f filename -s \\server -l log
-f filename 輸出日志的位置和文件名
-s \\server 輸出遠(yuǎn)程計(jì)算機(jī)日志
-l log log 可選的為system,security,application,可能還有別的如DNS等
如要把目標(biāo)服務(wù)器server上的系統(tǒng)日志轉(zhuǎn)存為backupsystem.log可以用以下格式:
dumpel \\server -l system -f backupsystem.log
再利用計(jì)劃任務(wù)可以實(shí)現(xiàn)定期備份系統(tǒng)日志����。
另外利用腳本編程的VMI對(duì)象也可以輕而易舉的實(shí)現(xiàn)日志備份:
下面給出備份application日志的代碼:
backuplog.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2") ‘獲得 VMI對(duì)象
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=‘Application‘") ‘獲取日志對(duì)象中的應(yīng)用程序日志
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("f:\application.evt") ‘將日志備份為f:\application.evt
If errBackupLog <> 0 Then
Wscript.Echo "The Application event log could not be backed up."
else Wscript.Echo "success backup log"
End If
Next
程序說明:如果備份成功將窗口提示:"success backup log" 否則提示:"The Application event log could not be backed up",此處備份的日志為application 備份位置為f:\application.evt,可以自行修改,此處備份的格式為evt的原始格式�,用記事本打開則為亂碼,這一點(diǎn)他不如dumpel用得方便���。
三:作為黑客
1�����。日至清除
一個(gè)入侵系統(tǒng)成功后的黑客第一件事便是清除日志��,如果以圖形界面遠(yuǎn)程控制對(duì)方機(jī)器或是從終端登陸進(jìn)入�,刪除日志不是一件困難的事,由于日志雖然也是作為一種服務(wù)運(yùn)行���,但不同于http,ftp這樣的服務(wù)�,可以在命令行下先停止����,再刪除,在m命令行下用net stop eventlog是不能停止的�����,所以有人認(rèn)為在命令行下刪除日志是很困難的�����,實(shí)際上不是這樣��,下面介紹幾種方法:
1.借助第三方工具:如小榕的elsave.exe遠(yuǎn)程清除system,applicaton,security的軟件�����,使用方法很簡(jiǎn)單��,首先利用獲得的管理員賬號(hào)與對(duì)方建立ipc會(huì)話���,net use \\ip pass /user: user
然后命令行下:elsave -s \\ip -l application -C���,這樣就刪除了安全日志���。
其實(shí)利用這個(gè)軟件還可以進(jìn)行備份日志,只要加一個(gè)參數(shù) -f filename就可以了��,在此不再詳述�。
2.利用腳本編程中的VMI,也可以實(shí)現(xiàn)刪除日志���,首先獲得object對(duì)象�,然后利用其clearEventLog() 方法刪除日志���。源代碼:
cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=‘"&logs&"‘")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
next
在上面的代碼中,建立一個(gè)數(shù)組,為application,security,system如果還有其他日志也可以加入數(shù)組。
然后用一個(gè)for 循環(huán),刪除數(shù)組中的每一個(gè)元素,即各個(gè)日志.
2�。創(chuàng)建日志:
刪除日志后,任何一個(gè)有頭腦的管理員面對(duì)空空的日志,馬上就會(huì)反應(yīng)過來被入侵了,所以一個(gè)聰明的黑客的學(xué)會(huì)如何
偽造日志:
1����。利用腳本編程中的eventlog方法是創(chuàng)造日志變得非常簡(jiǎn)單;下面看一個(gè)代碼
createlog.vbs
set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success" ‘創(chuàng)建一個(gè)成功執(zhí)行日志
這個(gè)代碼很容易閱讀��,首先獲得wscript的一個(gè)shell對(duì)象,然后利用shell對(duì)象的logevent方法
logevent的用法:logevent eventtype,"description" [,remote system]
eventtype 為日志類型����,可以使用的如下:0 代表成功執(zhí)行,1 執(zhí)行出錯(cuò) ����,2 警告 , 4���,信息 ��,8 成功審計(jì) 16 故障審計(jì)
所以上面代碼中�����,把0改為1,2,4,8,16均可�����,引號(hào)下的為日志描述��。
這種方法寫的日志有一個(gè)缺點(diǎn)�����,只能寫到應(yīng)用程序日志�����,而且日至來源只能為wsh,即windows scripting host,所以不能起太多的隱蔽作用����。
2,微軟為了方便系統(tǒng)管理員和程序員����,在xp下有個(gè)新的命令行工具,eventcreate.exe,利用它���,創(chuàng)建日志更加簡(jiǎn)單�����。
eventcreate -s server -l logname -u username -p password -so source -t eventtype -id id -d description
含義:-s 為遠(yuǎn)程主機(jī)創(chuàng)建日志: -u 遠(yuǎn)程主機(jī)的用戶名 -p 遠(yuǎn)程主機(jī)的用戶密碼
-l 日志;可以創(chuàng)建system和application 不能創(chuàng)建security日志����,
-so 日志來源,可以是任何日志 -t 日志類型 如information信息����,error錯(cuò)誤,warning 警告���,
-d 日志描述,可以是任意語句 -id 自主日志為1-1000之內(nèi)
例如����,我們要本地創(chuàng)建一個(gè)系統(tǒng)日志,日至來源為admin,日志類型是警告,描述為"this is a test",事件ID為500
可以用如下參數(shù)
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
這個(gè)工具不能創(chuàng)建安全日志����。至于如何創(chuàng)建安全日志,希望大家能夠找到一個(gè)好方法�����!
|
