windows日志的保護(hù)與偽造

創(chuàng)建時(shí)間：2002-08-18
文章屬性：原創(chuàng)
文章提交：netone (netonego_at_ccermail.net)

windows日志的保護(hù)與偽造
日志對于系統(tǒng)安全的作用是顯而易見的，無論是網(wǎng)絡(luò)管理員還是黑客都非常重視日志，一個(gè)有經(jīng)驗(yàn)的管理員往往能夠迅速通過日志了解到系統(tǒng)的安全性能，而一個(gè)聰明的黑客往往會在入侵成功后迅速清除掉對自己不利的日志。下面我們就來討論一下日志的安全和創(chuàng)建問題。
一：概述：Windows2000的系統(tǒng)日志文件有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志等等，應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置：%systemroot%\system32\config，默認(rèn)文件大小512KB。
安全日志文件：%systemroot%\system32\config\SecEvent.EVT
系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT
應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT
這些LOG文件在注冊表中的：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目錄。



二：作為網(wǎng)絡(luò)管理員：
1。日志的安全配置：
默認(rèn)的條件下，日志的大小為512KB大小，如果超出則會報(bào)錯(cuò)，并且不會再記錄任何日志。所以首要任務(wù)是更改默認(rèn)大小，具體方法：注冊表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog對應(yīng)的每個(gè)日志如系統(tǒng)，安全，應(yīng)用程序等均有一個(gè)maxsize子鍵，修改即可。
  下面給出一個(gè)來自微軟站點(diǎn)的一個(gè)腳本，利用VMI來設(shè)定日志最大25MB,并允許日志自行覆蓋14天前的日志：
該腳本利用的是WMI對象, WMI(Windows Management Instrumentation)技術(shù)是微軟提供的Windows下的系統(tǒng)管理工具。通過該工具可以在本地或者管理客戶端系統(tǒng)中幾乎一切的信息。很多專業(yè)的網(wǎng)絡(luò)管理工具都是基于WMI開發(fā)的。該工具在Win2000以及WinNT下是標(biāo)準(zhǔn)工具，在Win9X下是擴(kuò)展安裝選項(xiàng)。所以以下的代碼在2000以上均可運(yùn)行成功。

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate,(Security)}!\\" & _
        strComputer & "\root\cimv2")               ‘獲得VMI對象
Set colLogFiles = objWMIService.ExecQuery _        
    ("Select * from Win32_NTEventLogFile")
For each objLogfile in colLogFiles
    strLogFileName = objLogfile.Name
    Set wmiSWbemObject = GetObject _
        ("winmgmts:{impersonationLevel=Impersonate}!\\.\root\cimv2:" _
            & "Win32_NTEventlogFile.Name=‘" & strLogFileName & "‘")
    wmiSWbemObject.MaxFileSize = 2500000000
    wmiSWbemObject.OverwriteOutdated = 14
    wmiSWbemObject.Put_
Next
將上述腳本用記事本存盤為vbs為后綴的即可使用。
另外需要說明的是代碼中的strComputer="."在windows腳本中的含義相當(dāng)于localhost,如果要在遠(yuǎn)程主機(jī)上執(zhí)行代碼，只需要把"."改動為主機(jī)名,當(dāng)然首先得擁有對方主機(jī)的管理員權(quán)限并建立IPC連接.本文中的代碼所出現(xiàn)的strComputer均可作如此改動.
2。日志的查詢與備份：
一個(gè)優(yōu)秀的管理員是應(yīng)該養(yǎng)成備份日志的習(xí)慣，如果有條件的話還應(yīng)該把日志轉(zhuǎn)存到備份機(jī)器上或直接轉(zhuǎn)儲到打印機(jī)上，筆者還有一篇文章《利用腳本編程格式化輸出系統(tǒng)日志》，詳細(xì)的講述了利用windows腳本把日志轉(zhuǎn)儲并輸出成html頁已便于查詢，有興趣的可以查看，在這里推薦微軟的resourceKit工具箱中的dumpel.exe，他的常用方法：
dumpel -f filename -s \\server -l log
-f filename 輸出日志的位置和文件名
-s \\server 輸出遠(yuǎn)程計(jì)算機(jī)日志
-l log   log 可選的為system,security,application,可能還有別的如DNS等
如要把目標(biāo)服務(wù)器server上的系統(tǒng)日志轉(zhuǎn)存為backupsystem.log可以用以下格式：
dumpel \\server -l system -f backupsystem.log
再利用計(jì)劃任務(wù)可以實(shí)現(xiàn)定期備份系統(tǒng)日志。
另外利用腳本編程的VMI對象也可以輕而易舉的實(shí)現(xiàn)日志備份：
下面給出備份application日志的代碼：
backuplog.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate,(Backup)}!\\" & _
        strComputer & "\root\cimv2")                ‘獲得 VMI對象
Set colLogFiles = objWMIService.ExecQuery _
    ("Select * from Win32_NTEventLogFile where LogFileName=‘Application‘")  ‘獲取日志對象中的應(yīng)用程序日志
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("f:\application.evt")   ‘將日志備份為f:\application.evt
    If errBackupLog <> 0 Then        
        Wscript.Echo "The Application event log could not be backed up."
    else Wscript.Echo "success backup log"
    End If
Next
程序說明：如果備份成功將窗口提示："success backup log" 否則提示："The Application event log could not be backed up",此處備份的日志為application 備份位置為f:\application.evt,可以自行修改，此處備份的格式為evt的原始格式，用記事本打開則為亂碼，這一點(diǎn)他不如dumpel用得方便。


三：作為黑客
1。日至清除
一個(gè)入侵系統(tǒng)成功后的黑客第一件事便是清除日志，如果以圖形界面遠(yuǎn)程控制對方機(jī)器或是從終端登陸進(jìn)入，刪除日志不是一件困難的事，由于日志雖然也是作為一種服務(wù)運(yùn)行，但不同于http,ftp這樣的服務(wù)，可以在命令行下先停止，再刪除，在m命令行下用net stop eventlog是不能停止的，所以有人認(rèn)為在命令行下刪除日志是很困難的，實(shí)際上不是這樣，下面介紹幾種方法:
   1.借助第三方工具：如小榕的elsave.exe遠(yuǎn)程清除system,applicaton,security的軟件，使用方法很簡單，首先利用獲得的管理員賬號與對方建立ipc會話，net use \\ip pass /user: user
然后命令行下：elsave -s \\ip -l application -C，這樣就刪除了安全日志。
其實(shí)利用這個(gè)軟件還可以進(jìn)行備份日志，只要加一個(gè)參數(shù) -f filename就可以了，在此不再詳述。
   2.利用腳本編程中的VMI，也可以實(shí)現(xiàn)刪除日志，首先獲得object對象，然后利用其clearEventLog() 方法刪除日志。源代碼：
cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate,(Backup)}!\\" & _
        strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
    ("Select * from Win32_NTEventLogFile where LogFileName=‘"&logs&"‘")
For Each objLogfile in colLogFiles  
        objLogFile.ClearEventLog()    
Next
next
在上面的代碼中,建立一個(gè)數(shù)組,為application,security,system如果還有其他日志也可以加入數(shù)組。
然后用一個(gè)for 循環(huán),刪除數(shù)組中的每一個(gè)元素,即各個(gè)日志.
2。創(chuàng)建日志：
刪除日志后,任何一個(gè)有頭腦的管理員面對空空的日志,馬上就會反應(yīng)過來被入侵了，所以一個(gè)聰明的黑客的學(xué)會如何
偽造日志：
    1。利用腳本編程中的eventlog方法是創(chuàng)造日志變得非常簡單；下面看一個(gè)代碼
createlog.vbs
set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success"    ‘創(chuàng)建一個(gè)成功執(zhí)行日志
這個(gè)代碼很容易閱讀，首先獲得wscript的一個(gè)shell對象，然后利用shell對象的logevent方法
logevent的用法：logevent eventtype,"description" [,remote system]
eventtype 為日志類型，可以使用的如下:0 代表成功執(zhí)行，1 執(zhí)行出錯(cuò) ，2 警告 ， 4，信息 ，8 成功審計(jì) 16 故障審計(jì)
所以上面代碼中，把0改為1,2,4,8,16均可，引號下的為日志描述。
這種方法寫的日志有一個(gè)缺點(diǎn)，只能寫到應(yīng)用程序日志，而且日至來源只能為wsh,即windows scripting host,所以不能起太多的隱蔽作用。
   2，微軟為了方便系統(tǒng)管理員和程序員，在xp下有個(gè)新的命令行工具，eventcreate.exe,利用它，創(chuàng)建日志更加簡單。
eventcreate -s server -l logname  -u username -p password -so source -t eventtype -id id -d description
含義：-s 為遠(yuǎn)程主機(jī)創(chuàng)建日志： -u 遠(yuǎn)程主機(jī)的用戶名 -p 遠(yuǎn)程主機(jī)的用戶密碼
-l 日志；可以創(chuàng)建system和application 不能創(chuàng)建security日志，
-so 日志來源，可以是任何日志 -t 日志類型 如information信息，error錯(cuò)誤,warning 警告，
-d 日志描述，可以是任意語句  -id 自主日志為1-1000之內(nèi)
例如，我們要本地創(chuàng)建一個(gè)系統(tǒng)日志，日至來源為admin,日志類型是警告,描述為"this is a test",事件ID為500
可以用如下參數(shù)
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
這個(gè)工具不能創(chuàng)建安全日志。至于如何創(chuàng)建安全日志，希望大家能夠找到一個(gè)好方法！