如何创建伪日志

zz7061098

一、执行外部程序

DIM objShell
set objShell=("")
iReturn=(" /C set var=world", 1, TRUE)

保存为.vbs文件即可。在这段代码中，我们首先设置了一个环境变量，其名为var，而值为world，用户可以使用%Comspec%来代替，并且可以把命令：set var=world改成其它的命令，这样就可以使它可以运行任意的命令。

二、利用脚本伪造日志

set ws=("")
0 ,"write log success" '创建一个成功执行日志

将上面的代码保存为即可。这段代码很容易理解，首先获得wscript的一个shell对象，然后利用shell对象的 logevent方法。logevent的用法：logevent eventtype,"description" [, remote system]，其中eventtype为日志类型，可以使用的参数如下：0代表成功执行，1执行出错，2警告，4信息，8成功审计，16 故障审计。所以上面代码中，把0改为1,2,4,8,16均可，引号中的内容为日志描述。利用这种方法写的日志有一个缺点，即只能写到应用程序日志，而且 日志来源只能为WSH，即Windows Scripting Host，所以不能起太多的隐蔽作用，在此仅供大家参考。