當(dāng)前位置 : 首頁>軟件學(xué)院>操作系統(tǒng)>系統(tǒng)技巧>正文

系統(tǒng)日志巧搬家防止黑客刪除記錄

http://m.yibo1263.com　2008/5/5 9:28:08 　來源:IT168 　編輯:張佳奇

　　在如今的網(wǎng)絡(luò)中，上網(wǎng)的首選工作就是要防黑。結(jié)果不外乎兩種，一種是黑客在我們嚴(yán)密的立體式防御中損兵折將；另一種就是黑客進(jìn)入了我們的系統(tǒng)，那它究竟給我們修改了什么？做了哪些破壞呢？有經(jīng)驗的網(wǎng)管員通過日志文件就可以知道蛛絲馬跡，搜集到與安全有關(guān)的網(wǎng)絡(luò)入侵證據(jù)（比如相關(guān)的IP地址、登錄帳號等信息）。

    同樣，少有頭腦的黑客就會在撤離時用工具或手工方式清除所有的日志內(nèi)容（俗稱擦腳印或擦PP等），或者干脆偽造假日志等。因此，對于日志文件的保護(hù)一定要慎重，比較可行的簡易辦法是為日志文件搬家，更改其默認(rèn)的路徑到別人想不到的地方。

    一、查看默認(rèn)日志路徑

    依次打開“控制面板 | 管理工具 | 計算機(jī)管理”，選中左側(cè)窗口中的“事件查看器”，下面則有“應(yīng)用程序”、“安全性”、“系統(tǒng)”三項。以第一個“應(yīng)用程序”為例，在上面點擊鼠標(biāo)右鍵，選擇“屬性”，在“日志名稱” 處顯示W(wǎng)indows2000的默認(rèn)日志存放路徑為：“c:winntsystem32configappevent.evt”字樣。其他兩項也是如此。如圖1所示。
     系統(tǒng)日志巧搬家防止黑客刪除記錄

     圖1 修改計算機(jī)管理設(shè)置
    接下來，用戶到D盤建立一系列深目錄以存放新日志文件，如D:1234567，起名的原則就是要“越不起眼，越好”。

    二、更改系統(tǒng)注冊表

    點擊“開始 | 運行”，輸入“regedit”并回車，即打開注冊表編輯器。找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog，三個日志都在其下。還是以應(yīng)用程序為例，選中“application”后，右側(cè)窗口中有個名為“file”的項，它的原始數(shù)據(jù)是“%systemroot%system32configappevent.evt”，即系統(tǒng)默認(rèn)的路徑與文件名。雙擊它，在彈出的窗口中修改其值為“d:1234567appevent.evt”，依次類推，再分別把Security和System項下的“file”鍵更改為“d:1234567secevent.evt
     系統(tǒng)日志巧搬家防止黑客刪除記錄

     圖2 執(zhí)行注冊表編輯
    來到c:wintsystem32config文件夾下把a(bǔ)ppenvet.evt、secevent.evt和sysevent.evt這三個日志文件復(fù)制并粘貼到新路徑d:1234567中。重新啟動機(jī)器，再來到“事件查看器”窗口插一下日志文件的屬性，發(fā)現(xiàn)路徑名已經(jīng)更改了。

    至此，再結(jié)合著系統(tǒng)安裝的防火墻和殺毒軟件、木馬檢測軟件進(jìn)行防護(hù)。雖然日志文件搬家的方式不能起到徹底保護(hù)的目的，但足可以令實施偷窺的黑客撓頭了，感興趣的朋友試試吧！

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·CPU占用率居高不下 SVCHOST進(jìn)程作怪

·五個最容易被忽略的配置項目

·找不到開始菜單中的注銷菜單的解決

·快速打開控制面板中選項方法

·Vista/win7中關(guān)機(jī)、睡眠和休眠的區(qū)別

·系統(tǒng)不臃腫軟件干凈卸載技巧總結(jié)

·關(guān)閉多余服務(wù) 加快游戲運行的速度

·停用XP十項無用服務(wù) 保障系統(tǒng)穩(wěn)定運行

·“花哨”玩法讓文件夾不再涉“黃”

·去掉Win XP右下角盜版的提示

·破解系統(tǒng)連接數(shù) 流暢觀看在線電影

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费