當(dāng)前位置 : 首頁>軟件學(xué)院>操作系統(tǒng)>系統(tǒng)技巧>正文

修改系統(tǒng)日志路徑保障記錄安全

http://www.yibo1263.com　2009/3/11 13:01:35 　來源:東北IT網(wǎng) 　編輯:葉子

　　在如今的網(wǎng)絡(luò)中，上網(wǎng)的首選工作就是要防黑。結(jié)果不外乎兩種，一種是黑客在我們嚴(yán)密的立體式防御中損兵折將;另一種就是黑客進(jìn)入了我們的系統(tǒng)，那它究竟給我們修改了什么?做了哪些破壞呢?有經(jīng)驗(yàn)的網(wǎng)管員通過日志文件就可以知道蛛絲馬跡，搜集到與安全有關(guān)的網(wǎng)絡(luò)入侵證據(jù)(比如相關(guān)的IP地址、登錄帳號(hào)等信息)�！　�

　　同樣，有頭腦的黑客就會(huì)在撤離時(shí)用工具或手工方式清除所有的日志內(nèi)容(俗稱擦腳印或擦PP等)，或者干脆偽造假日志等。因此，對(duì)于日志文件的保護(hù)一定要慎重，比較可行的簡(jiǎn)易辦法是為日志文件搬家，更改其默認(rèn)的路徑到別人想不到的地方�！　�

　　一、查看默認(rèn)日志路徑　　

　　依次打開“控制面板＼管理工具＼計(jì)算機(jī)管理”，選中左側(cè)窗口中的“事件查看器”，下面則有“應(yīng)用程序”、“安全性”、“系統(tǒng)”三項(xiàng)。IT八哥網(wǎng)（http://www.it8g.com）以第一個(gè)“應(yīng)用程序”為例，在上面點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”，在“日志名稱” 處顯示W(wǎng)indows2000的默認(rèn)日志存放路徑為：“c:＼winnt＼system32＼config＼appevent.evt”字樣。其他兩項(xiàng)也是如此�！　�

　　接下來，用戶到D盤建立一系列深目錄以存放新日志文件，如D:＼01＼02＼03＼04＼05＼06＼07，起名的原則就是要“越不起眼，越好”�！　�

　　二、更改系統(tǒng)注冊(cè)表　　

　　點(diǎn)擊“開始＼運(yùn)行”，輸入“regedit”并回車，即打開注冊(cè)表編輯器。找到HKEY_LOCAL_MACHINE＼SYSTEM＼ CurrentControlSet＼Services＼Eventlog，三個(gè)日志都在其下。還是以應(yīng)用程序?yàn)槔x中“application”后，右側(cè)窗口中有個(gè)名為“file”的項(xiàng)，它的原始數(shù)據(jù)是“%systemroot%＼system32＼config＼appevent.evt”，即系統(tǒng)默認(rèn)的路徑與文件名。雙擊它，在彈出的窗口中修改其值為“d:＼01＼02＼03＼04＼05＼06＼07＼appevent.evt”，依次類推，再分別把Security和System項(xiàng)下的“file”鍵更改為“d:＼01＼02＼03＼04＼05＼06＼07＼secevent.evt”和“d:＼01＼02＼03＼04＼05＼06＼07＼sysevent.evt”，最后按F5刷新一下，關(guān)閉注冊(cè)表�！　�

　　來到c:＼wint＼system32＼config文件夾下把a(bǔ)ppenvet.evt、secevent.evt和sysevent.evt這三個(gè)日志文件復(fù)制并粘貼到新路徑d:＼01＼02＼03＼04＼05＼06＼07中。重新啟動(dòng)機(jī)器，再來到“事件查看器”窗口插一下日志文件的屬性，發(fā)現(xiàn)路徑名已經(jīng)更改了�！　�

　　至此，再結(jié)合著系統(tǒng)安裝的防火墻和殺毒軟件、木馬檢測(cè)軟件進(jìn)行防護(hù)。雖然日志文件搬家的方式不能起到徹底保護(hù)的目的，但足可以令實(shí)施偷窺的黑客撓頭了，感興趣的朋友試試吧!

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费