通过修改系统日志的路径 保障记录安全

通过修改系统日志的路径 保障记录安全

2009/3/15 14:30:00来源:本站整理作者:我要评论(0)

 在如今的网络中,上网的首选工作就是要防黑。结果不外乎两种,一种是黑客在我们严密的立体式防御中损兵折将;另一种就是黑客进入了我们的系统,那它究竟给我们修改了什么?做了哪些破坏呢?有经验的网管员通过日志文件就可以知道蛛丝马迹,搜集到与安全有关的网络入侵证据(比如相关的IP地址、登录帐号等信息)。

    同样,有头脑的黑客就会在撤离时用工具或手工方式清除所有的日志内容,或者干脆伪造假日志等。因此,对于日志文件的保护一定要慎重,比较可行的简易办法是为日志文件搬家,更改其默认的路径到别人想不到的地方。  

    一、查看默认日志路径 

    依次打开“控制面板\管理工具\计算机管理”,选中左侧窗口中的“事件查看器”,下面则有“应用程序”、“安全性”、“系统”三项。以第一个“应用程序”为例,在上面点击鼠标右键,选择“属性”,在“日志名称” 处显示Windows2000的默认日志存放路径为:“c:\winnt\system32\config\appevent.evt”字样。其他两项也是如此。

    接下来,用户到D盘建立一系列深目录以存放新日志文件,如D:\01\02\03\04\05\06\07,起名的原则就是要“越不起眼,越好”。 

    二、更改系统注册表 

    点击“开始\运行”,输入“regedit”并回车,即打开注册表编辑器。找到HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Eventlog,三个日志都在其下。还是以应用程序为例,选中“application”后,右侧窗口中有个名为“file”的项,它的原始数据是“%systemroot%\system32\config\appevent.evt”,即系统默认的路径与文件名。双击它,在弹出的窗口中修改其值为“d:\01\02\03\04\05\06\07\appevent.evt”,依次类推,再分别把Security和System项下的“file”键更改为“d:\01\02\03\04\05\06\07\secevent.evt”和“d:\01\02\03\04\05\06\07\sysevent.evt”,最后按F5刷新一下,关闭注册表。  

    来到c:\wint\system32\config文件夹下把appenvet.evt、secevent.evt和sysevent.evt这三个日志文件复制并粘贴到新路径d:\01\02\03\04\05\06\07中。重新启动机器,再来到“事件查看器”窗口插一下日志文件的属性,发现路径名已经更改了。 

    至此,再结合着系统安装的防火墙和杀毒软件、木马检测软件进行防护。虽然日志文件搬家的方式不能起到彻底保护的目的,但足可以令实施偷窥的黑客挠头了,感兴趣的朋友试试吧!

阅读本文后您有什么感想? 已有 人给出评价!

  • 0 囧
      囧
  • 0 恶心
      恶心
  • 0 期待
      期待
  • 0
      难过
  • 0 不错
      不错
  • 0 关注
      关注
  • 最新评论
  • 热门评论
共有评论(0)条 查看全部评论
高兴 可 汗 我不要 害羞 好 下下下 送花 屎 亲亲

注:您的评论需要经过审核才会显示出来