反取证之痕迹擦除

1.系统日志

（1）应用程序日志：记录了重要的应用程序产生的错误和成功信息

（2）安全日志：windows系统的组件产生的日志

（3）系统日志：审核策略的日志

查看系统日志的方法为开始---设置---控制面板---管理工具--事件查看器。

 2.服务器日志

（1）IIS日志：用于记录网络用户活动的细节信息

（2）FTP日志：所有用户的访问信息

（3）DNS日志：DNS活动相关的事件信息

查看IIS日志的方法：开始--设置--控制面板--管理工具---internet信息服务管理器--网站属性--启用日志记录--属性。

3.系统防火墙日志

通常防火墙是拦截外部攻击的第一道屏障，防火墙不仅可以阻挡攻击，而且对外部计算机尝试攻击的事件会详细记录，此工作通常交给日志来做，由此可见日志同样扮演着相当重要的作用。

查看方法：网上邻居--属性--更改windows防火墙--高级--安全日志记录--设置

4.系统终端登录日志

当用户使用远程终端功能登录到远程服务器时，在登录列表都会显示登录过的计算机IP地址信息，而且在这里是无法进行删除的。这些登录日志没有存储在具体的文件中，该记录直接保存在注册系统中。

5.其他日志

除了系统相关的日志外，第三方应用软件也会自带日志记录功能，不过这类软件的日志一般很少人关注。取证人员同样很关心这些偏僻的日志，往往从这里会得到意外的收获。比如Serv-U和MSSQL。其实第三方服务器软件很多，可以在网上搜索一下。

6.系统日志的擦除

（1）系统常见日志以及服务器日志擦除

当黑客进入系统后，第一件事情就是关闭审核策略。关于审核策略的关闭操作如下：

开始--运行--输入secpol.msc--本地策略--审核策略--审核登录事件|审核账户登录事件--属性--取消成功对钩--应用--确定。

也可以利用我们上节课讲到的aio工具来完成日志的清除任务。具体的命令格式为：aio -cleanlog

它可以删除SMTP、应用程序、安全性、系统、IIS、FTP等所有可能存在的日志。

（2）终端日志清理

终端日志是保存在注册表系统中的，可以通过手工操作注册表删除对应的键值。黑客一般使用工具进行清除，如3389登录日志清除工具等。提示没有日志。

HKEY_CURRENT_USER\Software\Microsoft\Terminal ServerClient\Default 

7.数据库日志擦除

关于SQLserver日志的清除，黑客一般使用工具‘sqlserver日志清理专家’，运行该软件后，需要使用具有管理员权限的数据库账户进行登录，一般使用SA账户进行登录。然后直接删除日志即可。我没装SQL，就不演示这个工具了。

出处：http://blog.sina.com.cn/s/blog_6a8860d90101d5dk.html

注意：有时候日志被重定向到另外一台主机，被入侵主机没有登录权限，应用只有/bin/nologin权限
反取证之断链：http://www.freebuf.com/articles/web/148515.html