13.3 清除自己留下的痕迹

攻击者在入侵目标计算机后,目标计算机会自动留下攻击者的痕迹,而这些痕迹就记录在Windows事件日志和IIS日志中,狡猾、高明的攻击者一般都会在入侵后清除自己留下的痕迹,以防被管理员发现。

008Q 什么是Windows事件日志?

A Windows事件日志记录了在系统或程序中发生的、要求通知用户的重要事情,它可以帮助用户预测潜在的系统问题。

在Windows系统中,事件是指在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。Windows日志可以帮助用户确定和诊断当前系统问题的根源,还可以帮助用户预测潜在的系统问题。在Windows 7中,Windows事件日志包括应用程序、安全和系统日志,以及安装程序和ForwardedEvents日志。

·应用程序日志:包含由应用程序或程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。

·安全日志:包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如,如果已启用登录审核,则对系统的登录尝试将记录在安全日志中。

·系统日志:包含Windows系统组件记录的事件。例如,在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统日志所记录的事件类型由Windows预先确定。

·安装程序日志:包含与应用程序安装有关的事件。

·ForwardedEvents日志:用于存储从远程计算机收集的事件。若要从远程计算机收集事件,必须创建事件订阅。若要了解有关事件订阅的信息,请参阅事件订阅。

应用程序和服务日志

Windows 7系统中除了前面介绍的Windows事件日志之外,还包括应用程序和服务日志,应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或服务的事件,而非可能影响整个系统的事件。