使用AIO软件清除日志

使用AIO软件清除日志

 simeon原创

 

郑重声明：

本章介绍的内容只是为了让读者了解黑客攻击的一般原理和方法，从而加强网络安全的意识，并非让读者真正的成为危害网络及社会的黑客。由于读者利用本章介绍的某些方法和工具对网络或别人的系统造成了危害或严重后果，作者不负任何责任。由此带来的一切法律后果由使用者自负

 

通过本案例可以学习到：

（ 1 ）了解 AIO 软件的相关知识

（ 2 ）使用工具软件 AIO 清除日志

入侵者在攻击过程或者在被控制计算机上执行的一些操作“痕迹”都会或多或少留在系统中，例如通过 SQL 注入时，如果 Web 服务器设置了日志记录，则该日志记录文件将会记录入侵的 IP 地址、时间、操作等信息，通过这些信息可以进行追踪、判断以及还原攻击过程，是入侵者留下的入侵证据，在网络攻防中习惯称为消除痕迹，也有人称之为“擦屁屁”。

本案例通过使用 AIO.exe 工具软件来清除系统中的所有日志文件。 AIO 是 ALL In One 的缩写，它是幻影的多种工具整合，拥有 MT 的功能，同时还有一些其它功能。 AIO 中的一个比较实用的功能是使用“ AIO -CleanLog ”命令来清除系统中的所有日志，该功能主要用来删除在入侵或者操作时被系统软件所记录的日志文件。

& 说明

AIO 是 Ph4nt 0m 众多工具中的一个， Ph4nt 0m 是一个著名的安全组织，其 Blog 地址为： [url]http://pstgroup.blogspot.com/[/url] ，官方站点为： [url]http://www.ph4nt[/url] 0m .org-a.googlepages.com/ ，该站点对于国内某些用户可能无法访问，如果无法访问请编辑 hosts 表“ %windir%\system32\drivers\etc\hosts ”在该文件中增加一行内容“ 72.14.219.190 pstgroup.blogspot.com ”即可访问。

  上传并测试 AIO.exe 软件能否正常运行。 AIO 功能超越 mt.exe ，因此有一些杀毒软件会禁止 AIO.exe 运行。将 AIO.exe 上传到被控制计算机上，然后直接输入“ AIO ”，如果正常，则会给出相应的使用帮忙提示，如图 1 所示。

 

图 1 测试 AIO 能否正常运行

J 技巧

在取得 Shell 的情况下，如果不能运行 AIO.exe ，则可以使用“ net start ”命令查看系统中的所有服务，找到杀毒软件服务名称，将其关闭即可。

  执行清除日志命令。输入“ AIO -CleanLog ”命令后， AIO 程序会自动清除系统中的 IIS 日志、 Ftp 日志、应用程序日志、安全日志等。清除时，会给出相应的提示，如图 2 所示。

 

图 2 清除系统中的所有日志

 & 说明

AIO 在清除日志完毕后会提示任务完成（ Mission Accomplished ），然后在 Shell 中删除 AIO.exe 软件，至此已经清除了入侵过程或者在被控制计算机上进行操作的一些日志记录，除非使用一些恢复软件，一般用户是找不到入侵“痕迹”的。

 

本文出自 “simeon技术专栏” 博客，谢绝转载！