計算機網(wǎng)絡安全實驗報告

計算機網(wǎng)絡安全實驗報告指導老師：班級：學號：姓名：

第一次、密碼破解技術1、Windows本地密碼破解（LC）實驗實驗目的及要求掌握賬號口令破解技術的基本原理、常用方法及相關工具掌握如何有效防范類似攻擊的方法和措施實驗原理獲取用戶口令的方式一般有如下幾種方法，弱口令掃描，Sniffer密碼嗅探，暴力破解，打探、套取或合成口令等手段。系統(tǒng)用戶賬號口令的破解主要是基于字符串匹配的破解方法。最基本的方法有兩個，窮舉法和字典法。窮舉法是將字符或數(shù)字按照窮舉的規(guī)則生成口令字符串，然后對賬號口令進行遍歷嘗試。在口令組合稍微復雜的情況下，窮舉法的破解速度很低。相對于窮舉法，字典法相對來說效率較高，它是原理是，用口令字典中實現(xiàn)定義的常用字符去嘗試匹配口令。由此看來，如果你的口令是一個單詞或者是簡單的數(shù)字組合，或者是你的生日等組合那么破解者合一很容易的破解口令。此次試驗使用L0phtCrack工具進行暴力破解（窮舉法和字典法都屬于暴力破解）。實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：L0phtCrackV6.0.15實驗步驟在主機內建立用戶，test1使用快速口令破解（用戶密碼設置為123123）空密碼和簡單密碼一下就破解出來了，用時3秒普通口令破解（用戶密碼設置為security1）復雜一點的密碼用快速破解無效，使用普通口令破解選項破解，用時18秒復雜口令破解（用戶密碼設置為security123）復雜密碼用普通口令破解選項無法破解，使用復雜口令破解選項用時35秒。實驗總結暴力破解理論上可以破解任何口令，但如果口令過于復雜，暴力破解需要的時間會很長，在這段時間內，增加了用戶發(fā)現(xiàn)入侵和破解行為的機會，以采取某種措施來阻止破解，所以口令越復雜越好。一般設置口令要遵循這幾項原則：①口令長度不小于8個字符；②包含有大寫和小寫的英文字母、數(shù)字和特殊符號的組合；③不包含姓名、用戶名、單詞、日期以及這幾項的組合；④定期修改口令，并且對新口令做較大的改動。2、本地密碼破解（pwdump）實驗實驗目的及要求掌握賬號口令破解技術的基本原理、常用方法及相關工具掌握如何有效防范類似攻擊的方法和措施實驗原理攻擊原理：獲取用戶口令的方式一般有如下幾種方法，弱口令掃描，Sniffer密碼嗅探，暴力破解，打探、套取或合成口令等手段。系統(tǒng)用戶賬號口令的破解主要是基于字符串匹配的破解方法。最基本的方法有兩個，窮舉法和字典法。窮舉法是將字符或數(shù)字按照窮舉的規(guī)則生成口令字符串，然后對賬號口令進行遍歷嘗試。在口令組合稍微復雜的情況下，窮舉法的破解速度很低。相對于窮舉法，字典法相對來說效率較高，它是原理是，用口令字典中實現(xiàn)定義的常用字符去嘗試匹配口令。由此看來，如果你的口令是一個單詞或者是簡單的數(shù)字組合，或者是你的生日等組合那么破解者合一很容易的破解口令。本次實驗采用pwdump7.exe工具得到操作系統(tǒng)內保存的賬號和hash值，利用ophcrack工具暴力匹配hash所對應的密碼。實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：pwdump7.exe、ophcrack實驗步驟添加新用戶test1,密碼1234運行pwdump7.exe，得到本機上所以用戶的賬號和密碼hash值，并保存在userP_h.txt中運行ophcrack軟件，加載彩虹表xp_free_fast，點擊Load按鈕，選擇Singlehash，將test1用戶的hash值粘貼到彈出的對話框中，點擊Crack進行破解得到破解結果實驗總結暴力破解理論上可以破解任何口令，但如果口令過于復雜，暴力破解需要的時間會很長，在這段時間內，增加了用戶發(fā)現(xiàn)入侵和破解行為的機會，以采取某種措施來阻止破解，所以口令越復雜越好。一般設置口令要遵循這幾項原則：①口令長度不小于8個字符；②包含有大寫和小寫的英文字母、數(shù)字和特殊符號的組合；③不包含姓名、用戶名、單詞、日期以及這幾項的組合；④定期修改口令，并且對新口令做較大的改動。3、本地密碼直接查看實驗實驗目的及要求掌握用SAMInside工具破解本地系統(tǒng)賬號口令的基本原理和方法掌握如何有效防范類似攻擊的方法和措施實驗原理攻擊原理：獲取用戶口令的方式一般有如下幾種方法，弱口令掃描，Sniffer密碼嗅探，暴力破解，打探、套取或合成口令等手段。系統(tǒng)用戶賬號口令的破解主要是基于字符串匹配的破解方法。最基本的方法有兩個，窮舉法和字典法。窮舉法是將字符或數(shù)字按照窮舉的規(guī)則生成口令字符串，然后對賬號口令進行遍歷嘗試。在口令組合稍微復雜的情況下，窮舉法的破解速度很低。相對于窮舉法，字典法相對來說效率較高，它是原理是，用口令字典中實現(xiàn)定義的常用字符去嘗試匹配口令。由此看來，如果你的口令是一個單詞或者是簡單的數(shù)字組合，或者是你的生日等組合那么破解者合一很容易的破解口令。SAMInside能破解經(jīng)Syskey工具對SAM密碼進行加密的密碼。原理是暴力破解。實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：SAMInsideV、SAMCopyer實驗步驟及結果使用Syskey工具對本地的SAM密碼文件進行加密使用SAMInside工具破解Syskey加密過的密碼利用小工具復制SAM和system文件（開機狀態(tài)下無法復制）到c:/sam生成Syskey文件導入破解文件開始破解、破解成功實驗總結暴力破解理論上可以破解任何口令，但如果口令過于復雜，暴力破解需要的時間會很長，在這段時間內，增加了用戶發(fā)現(xiàn)入侵和破解行為的機會，以采取某種措施來阻止破解，所以口令越復雜越好。一般設置口令要遵循這幾項原則：①口令長度不小于8個字符；②包含有大寫和小寫的英文字母、數(shù)字和特殊符號的組合；③不包含姓名、用戶名、單詞、日期以及這幾項的組合；④定期修改口令，并且對新口令做較大的改動。第二次、網(wǎng)絡掃描與嗅探1、網(wǎng)絡連通性探測實驗實驗目的及要求了解網(wǎng)絡連通性測試的方法和工作原理掌握ping命令的用法能夠判斷網(wǎng)絡主機間是否連實驗原理Ping原理：ping程序能夠用來探測兩個主機之間是否連通。它使用ICMP協(xié)議發(fā)送ICMP回送請求消息給目的主機，ICMP協(xié)議規(guī)定，目的主機必須返回ICMP回送應答消息給源主機。如果源主機在一定時間內收到應答，則認為主機可達。源主機在一定時間內未收到應答，并不肯定這個主機沒有連接在網(wǎng)絡上或者此IP不存在，因為可能是目的主機中的防火墻作了相應設置。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：PING.EXE實驗步驟與結果了解ping命令的詳細參數(shù)說明查看目標主機是否在線實驗結果顯示，目標主機可能不在線，或者開啟了防火墻。查看主機能否到達網(wǎng)關從返回結果顯示，本主機能到達網(wǎng)關，說明網(wǎng)絡是通的。實驗總結通過ping命令能夠查看主機網(wǎng)絡的連通性是否正常。2、主機信息探測實驗實驗目的及要求了解網(wǎng)絡掃描技術的基本原理掌握nmap工具的使用方法和各項功能通過使用namp工具，對網(wǎng)絡中的主機信息等進行探測掌握針對網(wǎng)絡掃描技術的防御方法實驗原理主機信息探測的原理基于ICMPecho掃描的原理是：利用ICMP協(xié)議的規(guī)定判斷主機是否在線，可以通過設置（防火墻等）讓目標主機不回應。這種掃描方式不能算真正意義上的掃描。高級的ICMP掃描技術主要是利用ICMP協(xié)議最基本的用途——報錯，若接收到的數(shù)據(jù)包協(xié)議項出現(xiàn)錯誤，那么接收端將產(chǎn)生一個“目標主機不可達”ICMP的錯誤報文，這個錯誤報文是根據(jù)協(xié)議自動產(chǎn)生的。全連接掃描是TCP端口掃描的基礎，現(xiàn)有的全連接掃描有TCPconnect掃描和TCP反向查詢掃描等。TCPconnect掃描的原理是：掃描主機通過TCP/IP協(xié)議的三次握手與目標主機的指定端口建立一次完整的連接。連接有系統(tǒng)調用connect開始。如果端口開放，則連接將建立成功；否則，返回-1則表示端口關閉。撿來連接成功：響應掃描主機的SYN/ACK連接請求，這一響應表明目標端口處于監(jiān)聽（打開）的狀態(tài)。如果目標端口處于關閉狀態(tài)，則目標主機會向掃描主機發(fā)送RST的響應。Nmap掃描工具介紹Nmap是俗稱“掃描器之王”的工具軟件。Nmap能得到被掃描主機端口的列表，給出端口的服務名（如果可能）、端口號、狀態(tài)和協(xié)議等信息。根據(jù)使用的功能選項，Nmap也可以報告遠程主機，使用的操作系統(tǒng)類型，TCP序列、運行綁定到每個端口上的應用程序的用戶名、DNS名、主機地址是否欺騙地址等。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：nmap實驗步驟及結果主機信息探測（探測內容：主機是否在線。若在線該主機開放的端口和主機的操作系統(tǒng)信息。）查看nmap的命令幫助掃描局域網(wǎng)網(wǎng)段端口掃描（使用TCPSYN掃描探測0的主機信息）指定端口掃描操作系統(tǒng)信息掃描Ident掃描實驗總結在使用計算機時要加強安全意識，對掃描軟件的基本防范方法是使用防火墻并關閉不必要的端口。3、路由信息探測實驗實驗目的及要求了解路由的概念和工作原理掌握探測路由的工具的使用方法通過使用tracert工具，對網(wǎng)絡中的路由信息等進行探測，學會排查網(wǎng)絡故障實驗原理Tracert（跟蹤路由）是路由跟蹤實用程序，用于確定IP數(shù)據(jù)包訪問目標所采取的路徑。Tracert命令用IP生存時間(TTL)字段和ICMP錯誤消息來確定從一個主機到網(wǎng)絡上其他主機的路由。通過向目標發(fā)送不同IP生存時間(TTL)值的“Internet控制消息協(xié)議(ICMP)”回應數(shù)據(jù)包，Tracert診斷程序確定到目標所采取的路由。要求路徑上的每個路由器在轉發(fā)數(shù)據(jù)包之前至少將數(shù)據(jù)包上的TTL遞減1。數(shù)據(jù)包上的TTL減為0時，路由器應該將“ICMP已超時”的消息發(fā)回源系統(tǒng)。Tracert先發(fā)送TTL為1的回應數(shù)據(jù)包，并在隨后的每次發(fā)送過程將TTL遞增1，直到目標響應或TTL達到最大值，從而確定路由。通過檢查中間路由器發(fā)回的“ICMP已超時”的消息確定路由。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：tracert.exe實驗步驟及結果Tracert命令的詳細參數(shù)說明查看到達目的地所經(jīng)過的路由-d參數(shù)不將地址解析成主機名指定跟蹤的最大跳數(shù)實驗總結根據(jù)整個實驗的原理和流程，能夠知道tracert工具的用途：能后排除網(wǎng)絡中的故障。而避免路由信息探測的防范方法是：通過配置路由器，使路由器直接丟棄TTL過期的數(shù)據(jù)包，并屏蔽ICMP報文。4、域名信息探測實驗實驗目的及要求了解域名的概念和工作原理掌握探測域名的工具的使用方法和各項功能，如Nslookup等通過使用Nslookup工具，獲得子域名信息實驗原理域名是企業(yè)、政府、非政府組織等機構或者個人在域名注冊商那里注冊的名稱，是互聯(lián)網(wǎng)上企業(yè)或機構間相互聯(lián)絡的網(wǎng)絡地址。它解決了IP在互聯(lián)網(wǎng)中通訊不容易記憶的問題。域名的工作原理簡答敘述為：主機要訪問互聯(lián)網(wǎng)上的某個網(wǎng)址，則它在自己的瀏覽器總輸入網(wǎng)址，瀏覽器自動向DNS服務器發(fā)出請求，請求返回網(wǎng)址的IP，DNS服務器將查詢到的IP返回給請求的主機，主機根據(jù)DNS返回的IP找到要訪問的網(wǎng)站，從而實現(xiàn)訪問。本次實驗中使用Nslookup工具完成域名信息的查詢。Nslookup是一個檢測網(wǎng)絡中DNS服務器是否能正確實現(xiàn)域名解析的命令行工具。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：Nslookup.exe實驗步驟查詢域名信息：通過nslookup獲得子域名：實驗總結Nslookup是一個用于檢測和排錯的命令行工具，我們學會了對Nslookup的使用，將對我們對網(wǎng)絡管理有很大的好處。第三次、網(wǎng)絡欺騙技術1、ARP_DNS欺騙實驗實驗目的及要求在ARP欺騙技術的基礎上進行DNS欺騙了解DNS欺騙的基本原理熟悉DNS欺騙的工具的使用，以及完成實驗過程實驗原理DNS欺騙原理：正常DNS請求的過程為：①用戶在瀏覽器中輸入需訪問的網(wǎng)址>②計算機向DNS發(fā)出請求>③DNS經(jīng)處理分析得到該網(wǎng)址對于的IP>④DNS將IP地址返回給請求的計算機>⑤用戶正常登陸到所需要訪問的網(wǎng)址。而DNS欺騙發(fā)生在③④⑤步，攻擊者冒充域名服務器，然后將自己的網(wǎng)址冒名頂替真實網(wǎng)站。在③④步，攻擊者將偽造DNS回復報告，返回的將是攻擊者所指定的IP,第⑤步用戶訪問將是“陷阱網(wǎng)站”。 DNS欺騙實現(xiàn)：一般通過DNS服務器高速緩存中毒或者DNSID欺騙來實現(xiàn)。DNS服務器高速緩存中毒的原理是：攻擊者通過欺騙的手法，修改了DNS緩存中的正確信息，實際上是對DNS高速緩存進行攻擊，改變高速緩存中的信息，讓DNS提供非正確的IP地址給用戶，已達到攻擊者的目的。DNSID欺騙原理是：攻擊者通過截獲域中DNS服務器返回給用戶主機請求信息中的隨機數(shù)，然后偽造一個DNS回復（偽造IP）給用戶，已達到欺騙的目的。 網(wǎng)絡欺騙軟件Cain，可以實現(xiàn)網(wǎng)絡嗅探、網(wǎng)絡欺騙、破解加密口令、分析路由協(xié)議等功能，是本次實驗的重要軟件。實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：Cain實驗拓撲結構實驗步驟將網(wǎng)絡欺騙工具Cain安裝在筆記本-02（IP：30）上。在筆記本-02上掃描局域網(wǎng)主機。（設置步驟如下）ARP欺騙偽裝成網(wǎng)關ARP欺騙成功。ARP-DNS欺騙訪問跳轉到(湖北民族學院)主頁,DNS欺騙成功。實驗總結針對整個實驗的原理和過程，總結出如下防范DNS攻擊的幾個觀點：①通過手工修改本地hosts文件能夠避免攻擊；②加密主機對外的數(shù)據(jù)；③及時更新補丁，軟件，采用專殺工具；④使用代理也能避免攻擊；⑤加強管理人員思想上的意識，提高管理技能。本實驗是在ARP欺騙的基礎上進行的，在ARP欺騙的基礎上可以嗅探出局域網(wǎng)內的眾多重要信息，故在局域網(wǎng)內對ARP欺騙和DNS欺騙的防范很重要。2、ARP欺騙實驗實驗目的及要求通過ARP欺騙技術獲取網(wǎng)站用戶名、密碼等信息了解ARP欺騙的基本原理熟悉ARP欺騙的工具的使用，以及完成實驗。實驗原理ARP欺騙原理：局域網(wǎng)內主機最終都是通過ARP協(xié)議進行通信的。當局域網(wǎng)內有ARP應答包的時候，局域網(wǎng)內主機會更新ARP緩存表。ARP欺騙原理是向局域網(wǎng)內主機廣播ARP應答包，以冒充局域網(wǎng)內其它主機，其它主機收到ARP應答包，更新ARP緩存，相信冒充的主機，從而欺騙的主機達到欺騙的目的。若欺騙的主機向主機A冒充自己是主機B，向主機B冒充自己是主機A,主機A,B的通訊數(shù)據(jù)都經(jīng)過欺騙的主機傳輸，這種ARP欺騙叫中間人攻擊。若欺騙的主機欺騙一方，可使一方斷網(wǎng)。實驗拓撲結構實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：Cain實驗步驟將網(wǎng)絡欺騙工具Cain安裝在筆記本-02（IP：30）上。在筆記本-02上掃描局域網(wǎng)主機。（設置步驟如下）ARP欺騙偽裝成網(wǎng)關ARP欺騙成功。實驗總結ARP欺騙是局域網(wǎng)內常見的攻擊形式，影響力也較大。要防范ARP欺騙，用戶可采用雙向綁定mac地址的方法防止ARP欺騙，局域網(wǎng)內主機上面綁定網(wǎng)關的網(wǎng)卡MAC地址，網(wǎng)關上也同樣綁定你這臺主機的靜態(tài)MAC地址?；蚴褂肁RP防火墻來阻止ARP欺騙，這些都是常用的方法。3、MAC地址欺騙實驗實驗目的及要求了解MAC地址作用掌握查看MAC地址及修改MAC地址的方法實驗原理MAC地址是燒制在網(wǎng)卡里面的一個字符串，一般能在全球范圍內能唯一標識網(wǎng)卡本身。主機連接在網(wǎng)絡中，會在主機網(wǎng)絡中的路由器中建立一個IP地址與MAC地址的對應表，只有IP-MAC地址對應的合法注冊主機才能得到正確的ARP應答，來控制IP-MAC不匹配的主機與外界通訊，達到防范IP地址的盜用。這能給管理員管理網(wǎng)絡帶來方便。MAC地址的作用就是最終標識主機，使主機能收發(fā)數(shù)據(jù)。實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：ipconfig.exe實驗步驟查看網(wǎng)卡的MAC地址修改MAC地址MAC地址發(fā)生變化，修改成功。實驗總結通過以上方法可以完成MAC地址的修改，從而可以在某些進行了IP、MAC地址綁定的場景中，突破綁定。4、DOS攻擊實驗實驗目的及要求掌握拒絕法務攻擊軟件的使用了解SQL注入的基本原理掌握拒絕服務攻擊原理了解工具的各項功能能舉一反三，使用其他類似工具完成注入實驗原理拒絕服務攻擊的目的是使計算機或網(wǎng)絡無法提供正常的服務。最常見的DoS攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡，是得所有可用網(wǎng)絡資源都被消耗殆盡，最終導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。Ping攻擊原理：利用ping命令向目標主機發(fā)送大量的ICMPEcho請求，從而導致對方內存分配錯誤，造成tcp/ip堆棧崩潰，致使對方當機。實驗環(huán)境操作系統(tǒng)：Web服務器(被攻擊服務器):MicrosoftWindowsXPprofessional攻擊端：MicrosoftWindows7旗艦版軟件：藍天CC攻擊器（2.0）實驗拓撲結構實驗步驟搭建被攻擊服務器服務器端設置的部分截圖攻擊端測試Web服務器搭建是否成功攻擊Web服務器在攻擊端進行攻擊參數(shù)設置點擊【開始攻擊】后在Web服務器端查看服務器資源消耗情況攻擊前Web服務器CPU占用為10%,網(wǎng)絡基本上空閑攻擊后Web服務器CPU占用為100%,網(wǎng)絡開始繁忙實驗總結DOS及DDOS攻擊是一種常見的攻擊方式，危害較大。我們可以采用加固操作系統(tǒng)，配置操作系統(tǒng)各種參數(shù)以及加固系統(tǒng)穩(wěn)定性。同時利用防火墻技術，啟動防DoS/DDOS屬性，降低DOS攻擊的可能，通過對報文種類、來源等各項特性設置閥值參數(shù)，保證主要服務穩(wěn)定可靠的資源供給，同時優(yōu)化路由和網(wǎng)絡結構并對路由器進行正確的配置，也可以起到防范拒絕服務攻擊的效果。第四次、日志清除技術1、Windows日志工具清除實驗實驗目的及要求了解IIS日志文件清除的基本原理。掌握CleanIISLog.exe工具的使用方法和各項功能。通過使用CleanIISLog.exe工具清除本機上的IIS日志。掌握針對日志清除攻擊的防御方法。實驗原理Windows日志原理：日志文件是一類文件系統(tǒng)的集合，通過對日志進行統(tǒng)計、分析、綜合，可有效的掌握系統(tǒng)的運行狀況。因此，無論是系統(tǒng)管理員還是黑客都極其重視日志文件。Windows的日志文件通常有應用程序日志，安全日志、系統(tǒng)日志、IIS日志等等，可能會根據(jù)服務器所開啟的服務不同，日志的種類有所不同。應用程序日志主要跟蹤應用程序關聯(lián)的事件，比如應用程序產(chǎn)生的像裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。系統(tǒng)日志主要跟蹤各種各樣的系統(tǒng)事件，包括Windows系統(tǒng)組件出現(xiàn)的問題，比如跟蹤系統(tǒng)啟動過程中的事件、硬件和控制器的故障、啟動時某個驅動程序加載失敗等。安全日志主要跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權限以及系統(tǒng)啟動和關閉。黑客入侵系統(tǒng)成功后第一件事便是清除日志，但是由于日志文件通常有某項服務在后臺保護，因此在清除這些日志之前需要先停止他們的保護程序。守護系統(tǒng)日志、安全日志、應用程序日志的服務是EventLog，是Windows的關鍵進程，而且與注冊表文件在一塊，當Windows啟動后，自動啟動服務來保護這些文件。而在命令行下用netstopeventlog來停止EventLog是不能停止的，我們只有借助第三方工具，如elsave.exe來遠程清除系統(tǒng)日志、安全日志和應用程序日志。守護iis日志的服務是w3svc。因此在刪除iis日志之前要先通過命令：netstopw3svc停止w3svc服務。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：CleanIISLog.exe實驗拓撲實驗步驟獲取IIS日志文件的存放路徑和文件名查看日志文件查看CleanIISLog軟件幫助信息在17的主機上訪問IIS中的網(wǎng)頁使用CleanIISLog.exe清除IIS日志實驗總結本實驗通過CleanIISLog軟件來修改日志文件中的內容，尤其是清除IP地址以及文件名稱尤為有用，清除后，日志文件依然存在。2、Windows日志工具清除實驗實驗目的及要求熟悉各種日志存放的默認位置，查看方式掌握aio清除日志的方法掌握針對工具日志清除的防御方法實驗原理Windows日志原理：日志文件是一類文件系統(tǒng)的集合，通過對日志進行統(tǒng)計、分析、綜合，可有效的掌握系統(tǒng)的運行狀況。因此，無論是系統(tǒng)管理員還是黑客都極其重視日志文件。Windows的日志文件通常有應用程序日志，安全日志、系統(tǒng)日志、IIS日志等等，可能會根據(jù)服務器所開啟的服務不同，日志的種類有所不同。應用程序日志主要跟蹤應用程序關聯(lián)的事件，比如應用程序產(chǎn)生的像裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。系統(tǒng)日志主要跟蹤各種各樣的系統(tǒng)事件，包括Windows系統(tǒng)組件出現(xiàn)的問題，比如跟蹤系統(tǒng)啟動過程中的事件、硬件和控制器的故障、啟動時某個驅動程序加載失敗等。安全日志主要跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權限以及系統(tǒng)啟動和關閉。黑客入侵系統(tǒng)成功后第一件事便是清除日志，但是由于日志文件通常有某項服務在后臺保護，因此在清除這些日志之前需要先停止他們的保護程序。守護系統(tǒng)日志、安全日志、應用程序日志的服務是EventLog，是Windows的關鍵進程，而且與注冊表文件在一塊，當Windows啟動后，自動啟動服務來保護這些文件。而在命令行下用netstopeventlog來停止EventLog是不能停止的，我們只有借助第三方工具，如elsave.exe來遠程清除系統(tǒng)日志、安全日志和應用程序日志。守護iis日志的服務是w3svc。因此在刪除iis日志之前要先通過命令：netstopw3svc停止w3svc服務。此次實驗利用aio軟件刪除日志。aio軟件功能強大，除了日志刪除外，還可以用于賬戶拷貝、服務創(chuàng)建等。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：aio.exe實驗步驟查看Windows日志找到系統(tǒng)日志、應用程序日