struct
{
char str[10]
}a[3]
int main()
{
FILE *fp=fopen("log","r")
int i,t
if(fp==NULL)return 1
for(i=0i<3i++)
{
fscanf(fp,"id.%d string:%s\n",&t,a[i].str) //读到结构体存储
printf("id.%d string:%s\n",i+1,a[i].str) //输出
}
fclose(fp)
return 0
}
打开CSDN APPCopyright © 1999-2020, CSDN.NET, All Rights Reserved
打开APP
windows日志文件查看与清理 原创
2021-09-12 19:17:02
暗哑于秋~
码龄3年
关注
日志查看
(1) 启动Windows实验台,点击:开始 - 控制面板 - 管理工具 - 事件查看器。如下图所示。在这里插入图片描述
(2) 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
DNS日志:%systemroot%\system32\config\DnsEvent.EVT;
在事件查看器中右键应用程序(或安全性、系统、DNS服务器)查看属性可以得到日志存放文件的路径,并可修改日志文件的大小,清除日志。例如选中“应用程序”右键属性,如下图:
在这里插入图片描述
选中事件查看器中左边的树形结构图中的日志类型(应用程序、安全性或系统),右击“查看”,并选择“筛选”。或者点击属性页面的筛选器标签,日志筛选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录
(3) 查看www和ftp日志文件夹下的日志文件
(由于实验环境中不允许访问互联网,无法 *** 作得出日志文件。请参考指导书使用个人电脑进行实验。)
尝试对www服务中某一文件进行访问,则日志中则会有相应的日志记录如下图。
在这里插入图片描述
日志中记录了访问www服务的请求地址,管理员可以根据请求地址,发现网络上的攻击,管理员可根据日志信息,采取一定的防护措施。
在这里插入图片描述
ftp的日志中同样会记录ftp服务的登陆用户,以及登陆之后的 *** 作。
(4) 计划任务日志
当入侵者得到远程系统的shell之后,常会利用计划任务运行功能更加强大的木马程序,计划任务日志详细的记录的计划任务的执行时间,程序名称等详细信息。
打开计划任务文件夹,点击“高级”-查看日志,即可查看计划任务日志。
在这里插入图片描述
日志清除
(1) 删除事件查看器中的日志
主机下载使用elsave清除日志工具
下载地址:http://tools.hetianlab.com/tools/Elsave.rar
先用ipcKaTeX parse error: Undefined control sequence: \ipc at position 42: …e \\对方IP(实验台IP)\̲i̲p̲c̲ “密码” /user:“用户名”;
连接成功后,开始进行日志清除。
清除目标系统的应用程序日志输入elsave.exe -s \对方ip -l “application” -C
清除目标系统的系统日志输入elsave.exe -s \对方IP -l “system” -C
清除目标系统的安全日志输入elsave.exe -s \对方IP -l “security” -C
输入如下图
在这里插入图片描述
回车后可以查看远程主机内的系统日志已经被删除了
在这里插入图片描述
(2) 删除常见服务日志
IIS的日志功能,它可以详细的记录下入侵全过程,如用unicode入侵时IE里打的命令,和对80端口扫描时留下的痕迹。
手动清除:日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。进入到远程主机后(也可直接在实验台中 *** 作),cmd下切换到这个目录下,然后 del .。或者删除某一天的日志。如果无法删除文件,首先需要停止w3svc服务,再对日志文件进行删除,使用net 命令停止服务如下:
C:>net stop w3svc
World Wide Web Publishing Service 服务正在停止。
World Wide Web Publishing Service 服务已成功停止。
日志w3svc停止后,然后清空它的日志, del .
C:>net start w3svc
清除ftp日志,日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。
(3) 删除计划任务日志
先来删除计划任务日志:
在实验台中命令行进入日志所在文件夹下(%systemroot%\Tasks), 删除schedlgu.txt , 提示无法访问文件,因为另一个程序正在使用此文件。说明服务保护,需要先把服务停掉。命令行中输入net stop schedule
在这里插入图片描述
下面的服务依赖于Task Scheduler 服务。停止Task Scheduler 服务也会停止这些服务。
Remote Storage Engine
Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。
如上显示服务停掉了,同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt;
删除后需要再次启动该任务以便主机能够正常工作,输入net start schedule:
在这里插入图片描述
答案
在这里插入图片描述
分析与思考
1、还有哪些途径可以发现网络中存在的攻击或者入侵。
日志文件、进程、自启动项目、网络连接、安全模式、映像劫持、CPU时间
2、清理日志能否把所有的痕迹都清理干净。
不能,还应删除 *** 作记录,所做的每一个 *** 作,都要被抹掉所上传的工具,都应该被安全地删掉
补充
电脑被入侵排查方法
在攻击结束后,如何不留痕迹的清除日志和 *** 作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个 *** 作,都要被抹掉你所上传的工具,都应该被安全地删掉。
打开CSDN,阅读体验更佳
什么是Windows日志?_运维有小邓@的博客_windows日志
Windows日志特指Windows *** 作系统中各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些 *** 作时,这些日志文件通...
继续访问
Windows升级日志文件可以删除吗?_石大师的博客_日志文件可以...
3、等到搜索完毕后,按下CTRL + A 快捷键,全选Log文件,按下del键删除。 4、最后清空回收站,就可以删除Windows升级日志文件了。
继续访问
Windows系统冗余log的清理bat脚本
Windows系统冗余log的清理bat脚本
继续访问
热门推荐 Windows系统日志分析
Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下 Windows系统的日志分为三种 系统日志:System.evtx (系统组件等日志) 应用程序日志: Application.evtx (应用程序等日志) 安全日志:Security.evtx(系统登录等日志) win+r打开运行窗口中输入eventvwr.msc打开时间查看器,或者cmd中输入eventvwr.msc ...
继续访问
Widows Log Files (windows日志文件)_DoveFeng的博客_w11日志...
DNS Client service默认没有设置日志纪录。可以通过在%systemroot%/system32 目录下手动添加dnsrslvr.log文件,用来纪录事件日志 :/WINDOWS/system32/>echo "" >dnsrslvr.log 在Windows XP和windows server2003中,必须明显指定给 NETWORK...
继续访问
win10如何查看服务器日志文件,高手解读win10怎么查看日志文件的 *** 作教程...
1、右键左下角"菜单"键,然后点击"事件查看器"。 2、然后点击"Windows日志",就能够进行查看了。 win10怎么查看日志文件的问题是不是大家根据以上提供的教程就处理好了呢?我们高兴能够在这里帮助到你。
继续访问
最新发布 应急响应-日志分析
日志概述在Windows系统中,日志文件包括:系统日志、安全性日志、应用程序日志:如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。系统:1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
继续访问
windows查看服务器启动日志文件,windows服务器日志查看工具
windows服务器日志查看工具 内容精选换一换本节 *** 作指导用户查看Windowsd性云服务器的登录日志。本节 *** 作以2012 *** 作系统云服务器为例。登录d性云服务器。选择“开始 >管理工具 >事件查看器 ”。打开“ Windows日志 >安全 >筛选当前日志”。筛选事件ID为4776的事件即为远程登录日志。您还可以使用4624和4625查看登录信息。4624:Wind...
继续访问
windows日志总结_ordar123的博客_windows日志
windows日志总结 开启审核策略 运行secpol.msc可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件,比如登录事件,进程创建事件等等。
继续访问
Windows系统服务器系统日志在哪里查看?_PAINzw的博客_服务器...
5.根据文件位置,咱们去C盘/Windows/system32/winevt/logs找到系统日志,即可查看,我个人觉得一个一个找文件挺麻烦的,所以我是直接找到system32文件夹后直接搜索【logs】文件夹,一步到位 注意:选择系统日志可进行查看,并且在日志管理页面中...
继续访问
在windows下,使用命令清除日志信息
清除日志信息的命令:del C:/winnt/system32/logfiles/*.* del C:/winnt/system32/config/*.evt del C:/winnt/system32/dtclog/*.* del C:/winnt/system32/*.log del C:/winnt/system32/*.txt del C:/winnt/*.txt
继续访问
安全清理大部分的C盘内存(一般10GB以上)
1.我电脑清理后腾出了80G的C盘空间,用了以下方法 如果感觉有用请关注,点赞,收藏! 下次分享更有用的干货~ 1.先用清理软件(360,腾讯管家) 用360清理发现,windows search日志占用了70多个G空间,先清除! 该日志文件有撒用呢? 如果没有这个日志文件,我们在文件系统进行搜索的时候就会比较慢了,而且还会出现这样的字样。 这个日志主要是用来存索引的, 删除了只会在下次搜索东西的时候比较慢! 对其他没有任何影响!!!! 2.禁用该日志文件 1...
继续访问
计算机 *** 作日志文件,教你完全读懂Windows日志文件
日志文件,它记录着Windows 及其各种服务运行的每个细节,对加强 Windows的稳定和安全性,起着十分 重要的作用。但许多用户不注意对它保护,一些“不速之客”很随便 就将日志文件清空,给系统带来严重的安全隐患。一、什么是日志文件日志文件是Windows 中一个比较特殊的文件,它记录着Windows 中所发作 的一切,如各种系统服务的启动、运行、关闭等信息。 Windows日志包括应用程序、安...
继续访问
windows日志查看与清理
使用elsave清除日志工具 先用ipc$管道进行连接,在cmd命令提示符下输入 net use \\对方IP(实验台IP)\ipc$ "密码" /user:"用户名"; 连接成功后,开始进行日志清除。 清除目标系统的应用程序日志输入elsave.exe -s \\对方ip -l "application" -C 清除目标系统的系统日志输入elsave.exe -s \\对方IP -l "system" -C 清除目标系统的安全日志输入elsave.ex...
继续访问
Windows下如何查看十几G的日志文件
周二工作中,为了查明一个bug产生的原因,记录了近30个小时的test环境的日志文件hrmkq.log。拿到的日志文件解压后有30G,这是任何文本编辑器都无法处理的大小。这里介绍一下windows环境分析大文件的好工具——LogViewer (http://www.uvviewsoft.com/logviewer/index.htm)。 官方介绍 UVviewsoft LogViewer 是一款无限大小的文本日志文件的查看器。(UVviewsoft LogViewer is a viewer for t
继续访问
2.3 IIS日志分析:手动清除IIS日志
IIS 日志
继续访问
Windows环境使用tail命令动态查询日志文件
Windows环境使用tail命令动态查询日志文件
继续访问
Windows常用快捷键
Windows常用快捷键 系统快捷键 快捷键 作用 Windows+E 打开我的电脑 Window+Prtscr 屏幕截图并放在剪贴板里面,并存储文件到图片文件夹 Window+数字键 打开任务栏第几个应用程序 Window+D 显示桌面/最小化窗口,可返回 Window+Q 搜索 Window+M 最小化所有窗口/不可返回 Window+R 打开运行对话框...
继续访问
日志文件
1. 日志文件 日志文件可以记录系统在什么时间、哪个主机、哪个服务、出现了什么信息等内容,这些信息也包括用户识别数据、系统故障排除须知等信息 日志文件就是记录系统活动信息的几个文件,如:何时、何地(来源IP)、何人(什么服务名称)、做了什么 *** 作(信息登录)换句话说就是记录系统在什么时候由哪个进程做了什么样的 *** 作时,发生了何种的事件 日志文件的作用: 解决系统方面的错误 解决网络服务的问题 过往事件记事本 ...
继续访问
win7开机慢_电脑慢怎么办?小白如何快速提升电脑的速度,只要这9步!全网最详细、简单落地,小白易上手 *** 作方法...
重要说明:按此教程 *** 作完成后,电脑速度至少提升100%以上试想一下,如果电脑反应速度慢,我们的效率如何提升?别人1秒钟可以 *** 作的事情,我们可能10秒还完成不了,别人1小时能 *** 作的事情,我们可能3小时间都完成不了,这就是工欲善其事,必先利其器!创业就跟打战一样,俗话说商场如战场,落后就会挨打,中国近两百年就是这样过来的,不过,现在中国慢慢赶上来了,各种先进的武器装备都奋力赶上,很多还做到世界第一。所...
继续访问
关于Windows日志
什么是 Windows日志? Windows网络 *** 作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些 *** 作时,这些日志文件通常会记录下我们 *** 作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等。 应用程序日志记录的是应用程序在系统中产生的事件信息。
继续访问
WindowsNT/2000的系统日志文件
一.Windows日志系统 WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。日志文件默认存放位置:%systemroot%\system32\config,默认文件大小51
继续访问
SAP 事务代码 sm21-系统日志
对Windows下日志清除的一些总结
这几日研究的课题是系统日志的清理,主要参考的书籍是《暗战强人. 黑客攻防实战高级演练》,虽然讲到的技术比较老,但对于刚入门 的我还是收获较大。 在Windows系统中,日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等,其扩展名为.log、 .txt。我们先来熟悉下各个日志文件存放的位置及相应的服务。 系统
继续访问
在windows服务器实现Linux cat/dev/null > 文件 功能
1. 前提是windows装了powershell 2. 使用Clear-Content命令清空文件中内容 >所谓清空文件,就是将一个文本文件里面的内容全部删除,但是不删除文件本身 3. 案例 PS E:\ifield\logs>PS E:\ifield\logs>Clear-Content .\log.log PS E:\ifield\logs>...
继续访问
windows日志文件
动态链接库函数启动器——Rundll32经常听到有些朋友说:呀!系统的注册表启动项目有rundll32.exe,系统进程也有rundll32.exe,是不是病毒呀?其实,这是对rundll32.exe接口不了解,它的原理非常简单,了解并掌握其原理对于我们平时的应用非常有用,如果能理解了原理,我们就能活学活用,自己挖掘DLL参数应用技巧。
Rundll32.exe和Rundll.exe的区别
所谓Rundll.exe,可以把它分成两部分,Run(运行)和DLL(动态数据库),所以,此程序的功能是运行那些不能作为程序单独运行的DLL文件。而Rundll32.exe则用来运行32位DLL文件。Windows 2000/XP都是NT内核系统,其代码都是纯32位的,所以在这两个系统中,就没有rundll.exe这个程序。
相反,Windows 98代码夹杂着16位和32位,所以同时具有Rundll32.exe和Rundll.exe两个程序。这就是为什么Windows 98的System文件夹为主系统文件夹,而到了Windows 2000/XP时就变成System32为主系统文件夹(这时的System文件夹是为兼容16位代码设立的)。
Rundll.exe是病毒?
无论是Rundll32.exe或Rundll.exe,独立运行都是毫无作用的,要在程序后面指定加载DLL文件。在Windows的任务管理器中,我们只能看到rundll32.exe进程,而其实质是调用的DLL。我们可以利用进程管理器等软件(本刊2004年21期有介绍)来查看它具体运行了哪些DLL文件。
有些木马是利用Rundll32.exe加载DLL形式运行的,但大多数情况下Rundll32.exe都是加载系统的DLL文件,不用太担心。另外要提起的是,有些病毒木马利用名字与系统常见进程相似或相同特点,瞒骗用户。所以,要确定所运行的Rundll32.exe是在%systemroot%system32目录下的,注意文件名称也没有变化。
相信大家在论坛上很常看见那些高手给出的一些参数来简化 *** 作,如rundll32.exe shell32.dll,Control_RunDLL,取代了冗长的“开始→设置→控制面板”,作为菜鸟的我们心里一定痒痒的。他们是怎么知道答案的?我们如何自己找到答案?分析上面命令可以知道,其实就是运行Rundll32.exe程序,指定它加载shell32.dll文件,而逗号后面的则是这个DLL的参数。了解了其原理,下面就可以自己挖掘出很多平时罕为人知的参数了。
第一步:运行eXeScope软件,打开一个某个DLL文件,例如shell32.dll。
第二步:选择“导出→SHELL32.DLL”,在右边窗口就可以看到此DLL文件的参数了。
第三步:这些参数的作用一般可以从字面上得知,所以不用专业知识。要注意的是,参数是区分大小写的,在运行时一定要正确输入,否则会出错。现在随便找一个参数,例如RestartDialog,从字面上理解应该是重启对话框。组合成一个命令,就是Rundll32.exe shell32.dll,RestartDialog ,运行后可以看见平时熟悉的Windows重启对话框。
现在,我们已经学会了利用反编译软件来获取DLL文件中的参数,所以以后看到别人的一个命令,可以从调用的DLL文件中获取更多的命令。自己摸索,你就能了解更多调用DLL文件的参数了。
小资料
常用的rundll32参数
命令: rundll32.exe shell32.dll,Control_RunDLL
功能: 显示控制面板
命令: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1
功能: 显示“控制面板→辅助选项→键盘”
命令: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1
功能: 执行“控制面板→添加新硬件”
命令: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter
功能: 执行“控制面板→添加新打印机”
命令:rundll32.exe DISKCOPY.DLL,DiskCopyRunDll
功能:启动软盘复制窗口
iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些 Windows系统工具,该进程的安全等级是建议删除。
这个东西可以说是病毒,也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况还有一种情况,就是 IEXPLORE.EXE在C:\WINDOWS\system32\下面,那么这个十有八九都是病毒。
系统进程--伪装的病毒 iexplore.exe
Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”。偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
现象:
1、系统进程中有iexplore.exe运行,注意,是小写字母
2、搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
解决办法:
1、到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
2、到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run “mssysint”= iexplore.exe,删除其键值。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)