win7产生大量evtx文件_Windows XML Event Log (EVTX)单条日志清除(三)——通过解除文件占用删除当前系统单条日志记录...

最新推荐文章于 2024-06-23 10:54:37 发布
最新推荐文章于 2024-06-23 10:54:37 发布
阅读量1k 收藏
点赞数
文章标签: win7产生大量evtx文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29475917/article/details/113012833
版权

0x00前言

Windows XML Event Log (EVTX)单条日志清除系列文章的第三篇,介绍第一种删除当前系统evtx日志文件单条日志记录的方法:关闭服务对应的进程,释放文件句柄,解除文件占用,删除日志,重启服务

0x01简介

本文将要介绍以下内容:

通过c程序枚举服务信息,提取Eventlog服务对应进程svchost.exe的pid

通过c程序提权关闭Eventlog进程

通过c程序释放文件句柄

通过c程序删除单条日志文件

0x02删除思路

在上篇文章《Windows XML Event Log (EVTX)单条日志清除(二)——程序实现删除evtx文件的单条日志记录》介绍了删除单条日志记录的方法,但如果直接用来删除当前系统的日志,在打开文件时会报错,提示文件被占用

这是因为当前系统启动日志服务Eventlog后,会以独占模式打开日志文件,导致其他进程无法打开该日志文件,也就无法进行修改操作

有以下两种解决方法:

结束日志服务Eventlog对应的进程,释放文件句柄,获得修改日志文件的权限

获得日志服务Eventlog对应进程中指定日志文件的句柄,利用该句柄实现日志文件的修改

本文将要介绍第一种解决方法,分享在程序实现上的细节,最后开源实现代码

第二种解决方法会在之后的文章进行详细介绍

0x03获得Eventlog服务对应进程svchost.exe的pid

由于Windows系统有多个svchost.exe进程,无法直接搜索进程名"svchost.exe"获得Eventlog服

最低0.47元/天 解锁文章
man4acs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
win7产生大量evtx文件_Windows XML Event Log (EVTX)单条日志清除(四)——通过注入获取日志文件句柄删除当前系统单条日志记录...
weixin_42520573的博客
01-17 1052
0x00 前言Windows XML Event Log (EVTX)单条日志清除系列文章的第四篇,介绍第二种删除当前系统单条日志记录的方法:获得日志服务Eventlog对应进程中指定日志文件的句柄,通过Dll注入获得该句柄的操作权限,利用该句柄实现日志文件的修改0x01 简介本文将要介绍以下内容:利用思路程序实现枚举日志服务Eventlog对应进程的所有句柄,获得指定日志文件的句柄通过Dll注入...
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
01-18
Windows操作系统使用EVTXEvent Viewer Log)格式记录系统、应用程序和安全事件。这些日志包含丰富的信息,可以帮助我们诊断问题、追踪异常行为或审计系统活动。本教程将探讨如何使用Python来解析EVTX日志,过滤...
Eventlogedit-evtx--Evolution:从Windows XML事件日志EVTX文件删除单独的行
04-29
Eventlogedit-evtx--Evolution Remove individual lines from Windows XML Event Log (EVTX) files Support: Win7 and later Compare with DanderSpritz,my way don't need dll injection and support more version(Server2012 and later).(It can be used to delete the setup.evtx,others may be affected by competitive conditions.) Need more test and suggestions. The data structure and some code details are inspired
win7产生大量evtx文件_直接读取.evt / .evtx文件
weixin_31668255的博客
01-17 356
Hello does anybody know how to read .evt /.evtx which are Windows Event log files to read not using provided api's , I want to read them using FILE I/O apis in C/C++.Or how to convert those files into...
玄机——第五章 Windows 实战-evtx 文件分析 wp
最新发布
焦虑的焦虑
06-23 2864
第五章 Windows 实战-evtx 文件分析
win7产生大量evtx文件_Win7系统正确清除explorer病毒的方法步骤是什么?
weixin_39565910的博客
11-30 568
Win7系统当中如何清除explorer病毒?大家都知道,在电脑的资源管理器当中有一个explorer.exe进程,而有些电脑并且是会化成explorer.exe的模样隐藏在系统当中,并且产生interapi32.dll、interapi64.dll、exp1orer.exe三个文件,那么删除该病毒的正确方法是什么呢?接下来就为大家分享win7系统电脑清除explorer病毒的操作步骤。解决方法:...
win7产生大量evtx文件_为什么U盘不安全移除也不会丢失文件
weixin_39725873的博客
12-14 145
我们经常会被微软教育:拔出U盘前一定要安全移除:作为一个程序员,我也很理解这点。因为如果文件操作都立刻进行,效率非常低,尤其对于大量小文件而言更是如此。操作系统文件系统有个buffer,将数据暂时存储起来,在方便的时刻再一次写入设备。这个安全移除就是最后一个“方便的时刻”。不过,不知道你有没有发现,现在大部分人都是用完直接拔掉,也很少听说文件丢失,这是为什么呢?原因其实微软做过调查发现要求用户...
evtx:Windows XML事件日志EVTX)格式的快速(安全)解析器
04-29
Windows XML EventLog格式的跨平台解析器 特征 :locked: 使用100%安全防锈实现-并在防锈支持的所有平台(具有stdlib)上运行。 :high_voltage: 快速-请参阅下面的基准。 它比其他任何实现都要快几个数量级! :...
python-evtx:适用于最新Windows事件日志文件(.evtx)的纯Python解析器
05-04
python-evtx介绍python-evtx是用于最近的Windows事件日志文件文件扩展名为“ .evtx”的文件)的纯Python解析器。 该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。 例如,您可以使用python-evtx从Mac...
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录...
word行首空格下划线_Word2016版本在编辑文档时行尾空格下划线的问题
weixin_39850365的博客
12-19 242
您好,我是Jarl,一名独立顾问 (Independent Advisor) 和Windows 10的资深用户,很荣幸能为您提供技术支持。为了更清楚的了解您的情况,请问方便提供一些屏幕截图吗?另外,您可以逐一尝试下方常用的方法:*************************************************【#方法A】使用OFFICE安全模式,排除插件的原因:1. 同时按下键盘上...
python删除日志
qq_25126659的博客
06-16 634
python删除日志
python 清理日志
白云鹏的博客
10-19 800
# coding=UTF-8 # This Python file uses the following encoding: utf-8 import os, time, re, sys nowDate = time.strftime('%Y%m%d') lens = 2 def days(str1, str2): date1 = time.strptime(str1, '%Y%m%d') date2 = time.strptime(str2, '%Y%m%d') num =
windows内存占用过高
Alezan的博客
04-07 8817
Windows开机内存占用超过30%(6G/18G),Come on: Round 1 msconfig->常规:有选择的启动->服务->隐藏所有Microsoft服务,全部禁用。Ban了再说。需要的自己单独启。 发现触摸板配置没了(主要是连接外部设备时禁用触摸板的设置),查找刚刚关闭的服务,是SynTPEnhService(制造商:Synaptics),开启它。设置以后记得点击应用才会生效。 添加虚拟内存,设置->系统->关于->高级系统设置->高级-
解决windows10事件日志占满硬盘的问题...程序包 Microsoft.SkypeApp_*** 的 AppModel 运行时状态时失败...
a2081081的博客
10-28 3199
一步解决 使用管理员身份运行Windows PowerShell 输入“Get-AppxPackage -allusers *SkypeApp* | Remove-AppxPackage” 即可。 另外 使用管理员身份运行Windows PowerShell 输入 Get-AppxPackage | Select Name,PackageFullName 可查看已安装win10自带应用列表 win10自带应用具体可参考https://wenku.baidu.com/view/8b16caceb84.
win7产生大量evtx文件_文件共享服务器@进击的老叼
weixin_39926103的博客
12-18 165
一、共享服务器概述 通过网络提供文件共享服务,提供文件下载和上传服务(类似于FTP服务器) 二、创建共享 注:1)在本地登录时,只受NTFS权限的影响2)在远程登录时,将受共享及NTFS权限的共同影响,且取交集! 3)所以建议设置共享权限为everyone完全控制,然后具体的权限需求在NTFS权限中设置即 可。, 三、访问共享 判断题:服务器上有某文件夹:d:feifei 服务器IP:10.1.1...
如何删除window的文档记录?
记录技术点点之路
04-23 192
问题:电脑左下角“开始--文档”,这个地方有最近使用过的文档记录,如何删除?或者不让它记录呢?解决:1、任务栏空白处右键--属性--[开始]菜单--自定义--“要删除访问过的文档记录”(清除),点击后就把最近全部清除掉了。2、任务栏空白处右键--属性--[开始]菜单--自定义--“高级”--把“列出我最近打开的文档”前面的勾去掉,确定即可。这样在“开始”菜单里就不会出现“文档”了,同时也不会记录。...
python解析evtx文件
06-01
这个模块提供了解析Windows事件日志文件的功能。 首先需要安装evtx模块,可以使用pip命令来安装: ``` pip install python-evtx ``` 安装完成后,就可以使用evtx模块来解析evtx文件了。以下是一个示例代码: ```...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值