Pide ayuda
Los archivos de registro de Windows generalmente incluyen registros de aplicaciones, registros de seguridad, registros del sistema, registros del servidor DNS, registros FTP, registros WWW, etc. Estos registros pueden variar según el servidor Dependiendo de los servicios habilitados. Cuando usamos la detección de transmisión, como la detección de IPC, registraremos rápidamente el nombre de usuario, la hora, etc. utilizados para la detección de transmisión en el registro de seguridad. Después de usar la detección de FTP, también registraremos inmediatamente el nombre de usuario y la hora utilizados para la transmisión. detección en el log FTP IP detectada, hora, nombre de usuario y contraseña, etc. Incluso el inicio de Liuying requiere la biblioteca de enlaces dinámicos msvcp60.dll. Si este archivo no existe en el servidor, se registrará en el registro. Por eso no debe utilizar hosts nacionales para detectarlo. IP. ¡Es fácil encontrarte si él quiere encontrarte! Además, el registro del Programador también es un registro importante. Debe saber que este servicio inicia el srv.exe de uso común. Registra todos los comportamientos iniciados por el servicio del Programador, como el inicio y la detención de servicios.
Ubicación predeterminada para archivos de registro:
Ubicación predeterminada para registros de aplicaciones, registros de seguridad, registros del sistema y registros DNS: systemroot/system32/config, [antes de escribir en la barra de direcciones la dirección y presione Enter]
El tamaño de archivo predeterminado es 512 KB y el administrador cambiará este tamaño predeterminado.
Archivo de registro de seguridad: systemroot/system32/config/SecEvent.EVT
Archivo de registro del sistema: archivo de registro del sistema: systemroot/system32/config/SysEvent.EVT
edlgu.txt
Los registros anteriores en la clave de registro:
Registro de aplicaciones, registro de seguridad, registro del sistema, registro del servidor DNS, son estos archivos de LOG en el registro:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog
Algunos administradores pueden reubicar estos registros. Una subtabla en EVENTLOG tiene muchas subtablas que pueden buscar el directorio donde se encuentra el registro anterior.
Registros del servicio Scheduler en el registro
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent
Detalles del registro FTP y WWW:
Registros FTP y Los registros WWW generan un archivo de registro que contiene todos los registros del día de forma predeterminada todos los días. El nombre del archivo suele ser ex (año) (mes) (día). Por ejemplo, ex001023, que es el registro generado el 23 de octubre de 2000. El Bloc de notas se puede abrir directamente, como en el siguiente ejemplo:
#Software: Microsoft Internet Information Services 5.0 (Microsoft IIS5.0)
#Versión: 1.0 (Versión 1.0)
#Fecha: 20001023 0315 (fecha y hora de inicio del servicio)
#Campo: hora cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USUARIO administrador 331 ( Dirección IP 127.0.0.1 Nombre de usuario (el administrador intentó iniciar sesión)
0318 127.0.0.1 [1]PASS - 530 (Error de inicio de sesión)
032:04 127.0.0.1 [1]USUARIO nt 331 (dirección IP intentando iniciar sesión como 127.0.0.0.1 nombre de usuario nt)
032:06 127.0.0.1 [1]PASS - 530 (fallo de inicio de sesión)
032: 09 127.0.0.1 [1 ]USUARIO cyz 331 (la dirección IP es 127.0.0.0.1 nombre de usuario cyz intentando iniciar sesión)
0322 127.0.0.1 [1]PASS - 530 (fallo de inicio de sesión)
0322 127.0.0.1 [1]USUARIO administrador 331 (El nombre de usuario administrador con la dirección IP 127.0.0.1 intentó iniciar sesión)
0324 127.0.0.1 [1]PASS - 230 (Inicio de sesión exitoso )
0321 127.0.0.1 [1]MKD nt.1 [1]MKD nt 550 (Error al crear un nuevo directorio)
0325 127.0.0.1 [1]SALIR - 550 ( Salga del programa FTP)
Se puede ver en el registro que el usuario con la dirección IP 127.0.0.1 ha estado intentando iniciar sesión en el sistema durante mucho tiempo y cambió su nombre de usuario y contraseña cuatro veces antes de tener éxito. iniciando sesión. Fueron necesarios cuatro cambios de nombre de usuario y contraseña antes de tener éxito. El administrador puede conocer inmediatamente la hora de la intrusión, la dirección IP y el nombre de usuario de detección del administrador. Por ejemplo, si el intruso finalmente ingresó con el nombre de usuario de administrador en el ejemplo anterior, entonces puede considerar cambiar la contraseña de este nombre de usuario. o cambiar el nombre del usuario administrador.
Registro WWW:
El servicio WWW es el mismo que el servicio FTP. Los registros se generan desde el directorio raíz del sistema/System32/LogFiles/W3SVC1. De forma predeterminada, se genera un archivo de registro. todos los días El siguiente es un archivo de registro WWW típico
#Software.
Microsoft Internet Information Services 5.0
#Versión: 1.0
#Fecha: 20001023 03:091
#Campos: fecha hora cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Como se desprende del análisis de la sexta línea, Octubre 2000 El día 23, el usuario con dirección IP 192.168.1.26 navegó por la página iisstart.asp accediendo al puerto 80 de la máquina con dirección IP 192.168.1.37. 37
Incluso si elimina los registros FTP y WWW, aún se registrarán en el registro del sistema y en el registro de seguridad, pero mejor aún mostrarán solo el nombre de su máquina y no su IP, por ejemplo, después de lo anterior. Después de varias detecciones, el registro del sistema generará el siguiente registro: De un vistazo, puede ver que a las 16:17 del 23 de octubre de 2000, el sistema parecía estar advertido debido a ciertos eventos. Haga doble clic en el primer evento para abrir sus propiedades:
Las propiedades registran el motivo de la advertencia:
Esto se debe a que alguien intentó iniciar sesión con el nombre de usuario de administrador y se produjo un error. ocurrió en el servicio FTP. Al mismo tiempo, el registro de seguridad también indica que podemos ver dos íconos: clave (que indica éxito) y candado (que indica que el sistema bloquea al usuario mientras está en funcionamiento). Cuatro íconos de candado seguidos indican cuatro fallas de auditoría. El tipo de evento es fallas de inicio de sesión y cierre de sesión de la cuenta. La fecha es el 18 de octubre de 2000 y la hora es 1002. Esto es en lo que debemos centrarnos.
Haga doble clic en el primer evento de auditoría fallido para obtener una descripción detallada del evento. Puede saber que hay una estación de trabajo CYZ. Inicia sesión en esta máquina con el nombre de usuario administrador. es desconocida o la contraseña es incorrecta (en realidad, contraseña incorrecta).
Después de comprender los detalles de los registros de Windows, aprendamos cómo eliminarlos:
A través de la introducción anterior, los archivos de registro generalmente están protegidos por servicios en segundo plano. Además, existen los del Sistema. Los registros, registros de seguridad, registros de aplicaciones, etc., y sus servicios son procesos clave de Windos y están junto con los archivos de registro. Cuando se inicia Windows, los servicios se inician para proteger estos servicios. Al iniciar, los servicios se inician para proteger estos archivos y, por lo tanto, son difíciles de eliminar, mientras que los registros FTP y WWW, así como los registros Scedlgu, se pueden eliminar fácilmente.
Primero, debe obtener la contraseña de Administrador o un miembro del grupo de Administradores, luego Telnet al host remoto, primero intente eliminar el registro FTP:
D:/SERVERgt; del schedlgu.txt
D:/SERVER/SchedLgU.Txt
El proceso no puede acceder al archivo porque otro programa lo está usando.
Como se mencionó anteriormente, hay una protección de servicio en segundo plano. ¡Primero detenga el servicio!
D:/SERVERgt;net stop "programador de tareas"
Los siguientes servicios dependen del servicio del programador de tareas.
Detener el servicio Programador de tareas también detiene estos servicios.
Motor de Almacenamiento Remoto
¿Quieres continuar con esta operación? (Y/N) [N]: Sí
El servicio del motor de almacenamiento remoto se está deteniendo....
El servicio del motor de almacenamiento remoto se detuvo correctamente.
El servicio Programador de tareas se está deteniendo.
El servicio del Programador de tareas se detuvo correctamente.
Vale, tanto él como los servicios de los que depende están detenidos. ¡Intenta eliminarlo de nuevo!
D:/SERVERgt; del schedlgu.txt
D:/SERVERgt
¿No hay respuesta? ¡Éxito! El siguiente son los registros FTP y los registros WWW. ¡El principio es el mismo! Primero detenga los servicios relevantes y luego elimine los registros.
D:/SERVER/system32/LogFiles/MSFTPSVC1gt; del ex*.log
D:/SERVER/system32/LogFiles/MSFTPSVC1gt
Lo anterior; ¡El registro FTP de operaciones se eliminó exitosamente! ¡Y luego están los registros WWW!
D:/SERVER/system32/LogFiles/W3SVC1gt; del ex*.log
D:/SERVER/system32/LogFiles/W3SVC1gt
¡OK! Felicitaciones, el registro simple se eliminó exitosamente. A continuación se muestran los registros de seguridad físicos y los registros del sistema. El servicio que protege estos registros es el registro de eventos, ¡intente deshabilitarlo!
D: /SERVER/system32/LogFiles/W3SVC1gt;net stop eventlog
Este servicio no puede aceptar la operación de "pausa" o "detención" solicitada.
De ninguna manera, este es un servicio crítico.
¡No hay forma de eliminar registros de seguridad y registros del sistema en la línea de comando sin utilizar una herramienta de terceros! Por lo tanto, todavía tienes que usar un método simple pero terriblemente lento: abre el "Visor de eventos" en las "Herramientas administrativas" en el "Panel de control" (no lo he usado desde 1998, así que conoces los beneficios de usar Win2k ), y en el menú Hay un menú llamado "Conectarse a otra computadora" en el elemento "Operación" Ingrese la IP de la computadora remota, luego encienda un cigarrillo, espere decenas de minutos, soporte la tortura de un bloqueo. y seleccione la dirección IP del registro de seguridad de la computadora remota, haga clic derecho y seleccione sus propiedades:
Haga clic en el botón "Borrar registro" en las propiedades, ¡OK! ¡El registro de seguridad está borrado!
En lo anterior, sin utilizar la tercera herramienta, puede borrar los registros FTP, WWW y Schedlgu de forma muy rápida y sin problemas. En otras palabras, los registros del sistema y los registros de seguridad son objetos de protección estricta para Windows 2000. , solo puedes usar el visor de eventos local para abrirlo, porque en la interfaz gráfica, junto con la baja velocidad de la red, si tienes más dinero y tiempo de sobra, ¡aún puedes borrarlo! él. En resumen, se presentan los archivos de registro y los métodos de eliminación de Windows 2000, pero debe ser administrador. Tenga en cuenta que debe iniciar sesión como administrador o miembro del grupo de administración para abrir el registro de seguridad. Este programa está disponible para computadoras con Windows 2000 Professional y computadoras con Windows 2000 Server que se ejecutan como servidores independientes o servidores miembro.
Este es el final de la conferencia sobre conocimientos de seguridad de Windows 2000. Todavía quedan algunas palabras por decir. Como puede ver, aunque FTP y otros registros se pueden borrar rápidamente, los registros del sistema y de seguridad no. tan rápido, entonces se puede eliminar sin problemas. Si encuentra un administrador inteligente y transfiere el archivo de registro a otro lugar, será aún más problemático, ¡así que me gustaría darle un consejo!
Esta es la primera vez que intento utilizar un servidor de hosting en China.