1.系統日志

（1）應用程序日志：記錄了重要的應用程序產生的錯誤和成功信息

（2）安全日志：windows系統的組件產生的日志

（3）系統日志：審核策略的日志

查看系統日志的方法為開始---設置---控制面板---管理工具--事件查看器。

?

?2.服務器日志

（1）IIS日志：用于記錄網絡用戶活動的細節信息

（2）FTP日志：所有用戶的訪問信息

（3）DNS日志：DNS活動相關的事件信息

查看IIS日志的方法：開始--設置--控制面板--管理工具---internet信息服務管理器--網站屬性--啟用日志記錄--屬性。

?

3.系統防火墻日志

通常防火墻是攔截外部攻擊的第一道屏障，防火墻不僅可以阻擋攻擊，而且對外部計算機嘗試攻擊的事件會詳細記錄，此工作通常交給日志來做，由此可見日志同樣扮演著相當重要的作用。

查看方法：網上鄰居--屬性--更改windows防火墻--高級--安全日志記錄--設置

?

4.系統終端登錄日志

當用戶使用遠程終端功能登錄到遠程服務器時，在登錄列表都會顯示登錄過的計算機IP地址信息，而且在這里是無法進行刪除的。這些登錄日志沒有存儲在具體的文件中，該記錄直接保存在注冊系統中。

5.其他日志

除了系統相關的日志外，第三方應用軟件也會自帶日志記錄功能，不過這類軟件的日志一般很少人關注。取證人員同樣很關心這些偏僻的日志，往往從這里會得到意外的收獲。比如Serv-U和MSSQL。其實第三方服務器軟件很多，可以在網上搜索一下。

?

6.系統日志的擦除

（1）系統常見日志以及服務器日志擦除

當黑客進入系統后，第一件事情就是關閉審核策略。關于審核策略的關閉操作如下：

開始--運行--輸入secpol.msc--本地策略--審核策略--審核登錄事件|審核賬戶登錄事件--屬性--取消成功對鉤--應用--確定。

也可以利用我們上節課講到的aio工具來完成日志的清除任務。具體的命令格式為：aio -cleanlog

它可以刪除SMTP、應用程序、安全性、系統、IIS、FTP等所有可能存在的日志。

（2）終端日志清理

終端日志是保存在注冊表系統中的，可以通過手工操作注冊表刪除對應的鍵值。黑客一般使用工具進行清除，如3389登錄日志清除工具等。提示沒有日志。

?

HKEY_CURRENT_USER\Software\Microsoft\Terminal ServerClient\Default?

?

7.數據庫日志擦除

關于SQLserver日志的清除，黑客一般使用工具‘sqlserver日志清理專家’，運行該軟件后，需要使用具有管理員權限的數據庫賬戶進行登錄，一般使用SA賬戶進行登錄。然后直接刪除日志即可。我沒裝SQL，就不演示這個工具了。

轉載于：http://blog.sina.com.cn/s/blog_6a8860d90101d5dk.html

總結

以上是生活随笔為你收集整理的反取证之痕迹擦除的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。