黑客清除攻击痕迹

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：460500587

微信公众号：计算机与网络安全

ID：Computer-network

攻击者在入侵目标计算机后，目标计算机会自动留下攻击者的痕迹，而这些痕迹就记录在Windows事件日志和IIS日志中，狡猾、高明的攻击者一般都会在入侵后清除自己留下的痕迹，以防被管理员发现。

一、什么是Windows事件日志？

Windows事件日志记录了在系统或程序中发生的、要求通知用户的重要事情，它可以帮助用户预测潜在的系统问题。

在Windows系统中，事件是指在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。Windows日志可以帮助用户确定和诊断当前系统问题的根源，还可以帮助用户预测潜在的系统问题。在Windows 中，Windows事件日志包括应用程序、安全和系统日志，以及安装程序和ForwardedEvents日志。

应用程序日志：包含由应用程序或程序记录的事件。例如，数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。

安全日志：包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则对系统的登录尝试将记录在安全日志中。

系统日志：包含Windows系统组件记录的事件。例如，在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统日志所记录的事件类型由Windows预先确定。

安装程序日志：包含与应用程序安装有关的事件。

ForwardedEvents日志：用于存储从远程计算机收集的事件。若要从远程计算机收集事件，必须创建事件订阅。

应用程序和服务日志

Windows系统中除了Windows事件日志之外，还包括应用程序和服务日志，应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或服务的事件，而非可能影响整个系统的事件。

二、黑客怎样清除Windows默认日志？

首先远程打开目标计算机的“事件查看器”窗口，然后手动清除所有的Windows默认日志。

攻击者在入侵目标计算机后，目标计算机的事件查看器会记录入侵者的登录、注销、连接，甚至复制文件等操作，并把这些记录保存到日志文件中。因此为了以防万一，黑客都会手动清除这些默认的日志。

步骤1：单击“控制面板”命令，单击桌面左下角的“开始”按钮，在弹出的“开始”菜单中单击“控制面板”命令。

步骤2：单击“管理工具”链接，打开“控制面板”窗口，设置查看方式为“大图标”，单击“管理工具”链接。

步骤3：双击“事件查看器”快捷图标，打开“管理工具”窗口，双击“事件查看器”快捷图标。

步骤4：单击“属性”命令，打开“事件查看器”窗口，在左侧窗格中依次展开“Windows事件日志＞系统”选项，右击“系统”选项，在弹出的快捷菜单中单击“属性”命令。

步骤5：单击“清除日志”按钮，弹出“日志属性-系统”对话框，输入日志的最大容量，单击选中“按需要覆盖事件”单选按钮，单击“清除日志”按钮。

步骤6：确定清除日志，弹出“事件查看器”对话框，提示用户清除日志前可以保存其内容，若保存日志则单击“保存并清除”按钮，若不保存日志则单击“清除”按钮。

三、黑客怎样清除目标计算机的IIS日志？

首先利用文本文档创建能自动清除IIS日志的可执行文件，然后远程连接目标计算机并利用创建的文件清除IIS日志。

一般情况下，IIS的日志会忠实地记录它接收到的任何请求，一旦系统管理员定期查看IIS日志，便会很快发现有攻击者入侵，从而采取有效的措施保护自己的系统。因此黑客在入侵后便会立即清除IIS日志，让系统管理员不会发现自己的痕迹。

步骤1：输入删除日志文件的命令，新建并打开一个文本文档，在编辑区中输入删除C盘中日志文件的命令。

步骤2：单击“保存”命令，输入后在菜单栏中依次单击“文件＞保存”命令。

步骤3：重命名文本文档，选中新建的文本文档，按【F2】键，将其重命名为del.bat，然后按【Enter】键。

步骤4：确认更改文件扩展名，弹出“重命名”对话框，询问用户是否要确认更改，单击“是”按钮。

步骤5：输入触发运行del.bat文件的命令，继续新建一个文本文档，打开该文本文档，在编辑区中输入触发运行del.bat文件的命令，然后保存该文本文档。

步骤6：重命名文本文档，选中新建的文本文档，按【F2】键，将其重命名为clean.bat，然后按【Enter】键。

步骤7：清除IIS日志，利用net use命令与目标计算机建立IPC$链接，然后在命令提示符窗口中输入“clean.bat+空格+目标计算机IP地址”，例如输入"clean.bat 192.168.1.100"即可自动运行创建的clean.bat和del.bat文件，清除目标计算机中的IIS日志。

微信公众号：计算机与网络安全

ID：Computer-network