第六章_網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身.ppt

1、第六章 網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身,6,內(nèi)容提要,為了保持對已經(jīng)入侵的主機長久的控制，需要在主機上建立網(wǎng)絡(luò)后門，以后可以直接通過后門入侵系統(tǒng)。 當(dāng)入侵主機以后，通常入侵者的信息就被記錄在主機的日志中，比如IP地址、入侵的時間以及做了哪些破壞活動等等 為了入侵的痕跡被發(fā)現(xiàn)，需要隱藏或者清除入侵的痕跡 實現(xiàn)隱身有兩種方法： 設(shè)置代理跳板 清除系統(tǒng)日志。,6.1網(wǎng)絡(luò)后門,網(wǎng)絡(luò)后門是保持對目標主機長久控制的關(guān)鍵策略。可以通過建立服務(wù)端口和克隆管理員帳號來實現(xiàn)。 6.1.1 留后門的藝術(shù) 只要能不通過正常登錄進入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只要是不容易被發(fā)現(xiàn)的后門都是好后門。

2、留后門的原理和選間諜是一樣的，讓管理員看了感覺沒有任何特別的。,6.1.2 常見后門工具的使用,案例6-1 遠程啟動Telnet服務(wù) 利用主機上的Telnet服務(wù)，有管理員密碼就可以遠程登錄到對方的命令行，進而操作對方的文件系統(tǒng)。如果Telnet服務(wù)是關(guān)閉的，就不能登錄了。 默認情況下，Windows 2000 Server的Telnet是關(guān)閉的，可以在運行窗口中輸入tlntadmn.exe命令啟動本地Telnet服務(wù)，如圖6-1所示。,啟動本地Telnet服務(wù),在啟動的DOS窗口中輸入4就可以啟動本地Telnet服務(wù)了，如圖6-2所示。,遠程開啟對方的Telnet服務(wù),利用工具RTCS.vb

3、e可以遠程開啟對方的Telnet服務(wù)，使用該工具需要知道對方具有管理員權(quán)限的用戶名和密碼。 命令的語法是：“cscript RTCS.vbe 09 administrator 123456 1 23”， 其中cscript是操作系統(tǒng)自帶的命令 RTCS.vbe是該工具軟件腳本文件 IP地址是要啟動Telnet的主機地址 administrator是用戶名 123456是密碼 1是登錄系統(tǒng)的驗證方式 23是Telnet開放的端口 該命令根據(jù)網(wǎng)絡(luò)的速度，執(zhí)行的時候需要一段時間，開啟遠程主機Telnet服務(wù)的過程如圖6-3所示。,遠程開啟對方的Telnet服務(wù),確認對話框,執(zhí)行

4、完成后，對方的Telnet服務(wù)就被開啟了。在DOS提示符下，登錄目標主機的Telnet服務(wù)，首先輸入命令“Telnet 09”，因為Telnet的用戶名和密碼是明文傳遞的，首先出現(xiàn)確認發(fā)送信息對話框，如圖6-4所示。,登錄Telnet的用戶名和密碼,輸入字符“y”，進入Telnet的登錄界面，需要輸入主機的用戶名和密碼，如圖6-5所示。,登錄Telnet服務(wù)器,如果用戶名和密碼沒有錯誤，將進入對方主機的命令行，如圖6-6所示。 這個后門利用已經(jīng)得到的管理員密碼遠程開啟對方主機的Telnet服務(wù)，實現(xiàn)對目標主機的長久入侵。,案例6-2 記錄管理員口令修改過程,當(dāng)入侵到對方主

5、機并得到管理員口令以后，就可以對主機進行長久入侵了，但是一個好的管理員一般每隔半個月左右就會修改一次密碼，這樣已經(jīng)得到的密碼就不起作用了。 利用工具軟件Win2kPass.exe記錄修改的新密碼，該軟件將密碼記錄在Winnttemp目錄下的Config.ini文件中，有時候文件名可能不是Config，但是擴展名一定是ini，該工具軟件是有“自殺”的功能，就是當(dāng)執(zhí)行完畢后，自動刪除自己。,記錄管理員口令修改過程,首先在對方操作系統(tǒng)中執(zhí)行Win2KPass.exe文件，當(dāng)對方主機管理員密碼修改并重啟計算機以后，就在Winnttemp目錄下產(chǎn)生一個ini文件，如圖6-7所示。,案例6-3 建立Web

6、服務(wù)和Telnet服務(wù),使用工具軟件wnc.exe可以在對方的主機上開啟兩個服務(wù)：Web服務(wù)和Telnet服務(wù)。其中Web服務(wù)的端口是808，Telnet服務(wù)的端口是707。執(zhí)行很簡單，只要在對方的命令行下執(zhí)行一下wnc.exe就可以，如圖6-9所示。,建立Web服務(wù)和Telnet服務(wù),執(zhí)行完畢后，利用命令“netstat -an”來查看開啟的808和707端口，如圖6-10所示。,測試Web服務(wù),說明服務(wù)端口開啟成功，可以連接該目標主機提供的這兩個服務(wù)了。首先測試Web服務(wù)808端口，在瀏覽器地址欄中輸入“09:808”，出現(xiàn)主機的盤符列表，如圖6-11所示

7、。(說明Web服務(wù)已經(jīng)開啟）,看密碼修改記錄文件,可以下載對方硬盤，設(shè)置光盤上的任意文件（對于漢字文件名的文件下載有問題），可以到Winnt/temp目錄下查看對方密碼修改記錄文件，如圖6-12所示。,利用telnet命令連接707端口,可以利用“telnet 09 707”命令登錄到對方的命令行，執(zhí)行的方法如圖6-13所示。,登錄到對方的命令行,不用任何的用戶名和密碼就可以登錄對對方主機的命令行，如圖6-14所示。,自啟動程序,通過707端口也可以方便的獲得對方的管理員權(quán)限。 wnc.exe的功能強大，但是該程序不能自動加載執(zhí)行，需要將該文件加到自啟動程序列表中。 一般

8、將wnc.exe文件放到對方的winnt目錄或者winnt/system32目下，這兩個目錄是系統(tǒng)環(huán)境目錄，執(zhí)行這兩個目錄下的文件不需要給出具體的路徑。,將wnc.exe加到自啟動列表,首先將wnc.exe和reg.exe文件拷貝對方的winnt目錄下，利用reg.exe文件將wnc.exe加載到注冊表的自啟動項目中，命令的格式為： “reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v service /d wnc.exe”執(zhí)行過程如圖6-15所示。,修改后的注冊表,如果可以進入對方主機的圖形界面，可以查看一下對方的注冊表的

9、自啟動項，已經(jīng)被修改，如圖6-16所示。 Wnc.exe功能很強大，但是在服務(wù)器上開的端口808和707，容易被管理員發(fā)現(xiàn)。利用克隆管理員賬號建立后門比較隱蔽，一般不易被發(fā)現(xiàn)。,案例6-4 讓禁用的Guest具有管理權(quán)限,操作系統(tǒng)所有的用戶信息都保存在注冊表中，但是如果直接使用“regedit”命令打開注冊表，該鍵值是隱藏的，如圖6-17所示。,查看winlogon.exe的進程號,可以利用工具軟件psu.exe得到該鍵值的查看和編輯權(quán)。將psu.exe拷貝對方主機的C盤下，并在任務(wù)管理器查看對方主機winlogon.exe進程的ID號或者使用pulist.exe文件查看該進程的ID號，如圖6

10、-18所示。,執(zhí)行命令,該進程號為192，下面執(zhí)行命令“psu -p regedit -i pid”其中pid為Winlogon.exe的進程號，如圖6-19所示。,查看SAM鍵值,在執(zhí)行該命令的時候必須將注冊表關(guān)閉，執(zhí)行完命令以后，自動打開了注冊表編輯器，查看SAM下的鍵值，如圖6-20所示。,查看帳戶對應(yīng)的鍵值,查看Administrator和guest默認的鍵值，在Windows 2000操作系統(tǒng)上，Administrator一般為0 x1f4，guest一般為0 x1f5，如圖6-21所示。,帳戶配置信息,根據(jù)“0 x1f4”和“0 x1f5”找到Administrator和guest

11、帳戶的配置信息，如圖6-22所示。,拷貝管理員配置信息,在圖6-22右邊欄目中的F鍵值中保存了帳戶的密碼信息，雙擊“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進制信息，將這些二進制信息全選，并拷貝到出來，如圖6-23所示。,覆蓋Guest用戶的配置信息,將拷貝出來的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中，如圖6-24所示。,保存鍵值,Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Guest帳戶在禁用的狀態(tài)登錄，下一步將Guest帳戶信息導(dǎo)出注冊表。選擇User目錄，然后選擇菜單欄“注冊表”下的菜單項“導(dǎo)出注冊表文件”，將該鍵值保存為一個配置文件，如圖6-25所示。,

12、刪除Guest帳戶信息,打開計算機管理對話框，并分別刪除Guest和“00001F5”兩個目錄，如圖6-26所示。,刷新用戶列表,這時刷新對方主機的用戶列表，會出現(xiàn)用戶找不到的對話框，如圖6-27所示。,修改Guest帳戶的屬性,然后再將剛才導(dǎo)出的信息文件，再導(dǎo)入注冊表。再刷新用戶列表就不在出現(xiàn)該對話框了。 下面在對方主機的命令行下修改Guest的用戶屬性，注意：一定要在命令行下。 首先修改Guest帳戶的密碼，比如這里改成“123456”，并將Guest帳戶開啟和停止，如圖6-28所示。,查看guest帳戶屬性,再查看一下計算機管理窗口中的Guest帳戶，發(fā)現(xiàn)該帳戶使禁用的，如圖6-29所示

13、。,利用禁用的guest帳戶登錄,注銷退出系統(tǒng)，然后用用戶名：“guest”，密碼：“123456”登錄系統(tǒng)，如圖6-30所示。 不僅可以登錄，該賬號還擁有管理員的權(quán)限。,6.1.3 連接終端服務(wù)的軟件,終端服務(wù)是Windows操作系統(tǒng)自帶的，可以遠程通過圖形界面操縱服務(wù)器。在默認的情況下終端服務(wù)的端口號是3389?？梢栽谙到y(tǒng)服務(wù)中查看終端服務(wù)是否啟動，如圖6-31所示。,查看終端服務(wù)的端口,服務(wù)默認的端口是3389，可以利用命令“netstat -an”來查看該端口是否開放，如圖6-32所示。,連接到終端服務(wù),管理員為了遠程操作方便，服務(wù)器上的該服務(wù)一般都是開啟的。這就給黑客們提供一條可以遠

14、程圖形化操作主機的途徑。 利用該服務(wù)，目前常用的有三種方法連接到對方主機： 1、使用Windows 2000的遠程桌面連接工具。 2、使用Windows XP的遠程桌面連接工具。 3、使用基于瀏覽器方式的連接工具。,案例6-5 三種方法連接到終端服務(wù),第一種方法利用Windows 2000自帶的終端服務(wù)工具：mstsc.exe。該工具中只要設(shè)置要連接主機的IP地址和連接桌面的分辨率就可以，如圖6-33所示。,終端服務(wù),如果目標主機的終端服務(wù)是啟動的，可以直接登錄到對方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對方主機了，如圖6-24所示。,終端服務(wù),第二種方法是使用Windows

15、 XP自帶的終端服務(wù)連接器：mstsc.exe。界面比較簡單，只要輸入對方的IP地址就可以了，如圖6-25所示。,Web方式連接,第三種方法是使用Web方式連接，該工具包含幾個文件，需要將這些文件配置到IIS的站點中去，程序列表如圖6-26所示。,配置Web站點,將這些文件設(shè)置到本地IIS默認Web站點的根目錄，如圖6-27所示。,在瀏覽器中連接終端服務(wù),然后在瀏覽器中輸入“http:/localhost”打開連接程序，如圖6-28所示。,瀏覽器中的終端服務(wù)登錄界面,在服務(wù)器地址文本框中輸入對方的IP地址，再選擇連接窗口的分辨率，點擊按鈕“連接”連接到對方的桌面，如圖6-29所示。,圖形化連接

16、終端的總結(jié),圖形化連接并入侵對方的主機，操作比較直觀。但這依賴于對方服務(wù)器的基本配置，對方服務(wù)器必須已經(jīng)安裝并開啟了終端服務(wù)。 如果對方?jīng)]有安裝或開啟終端服務(wù)，下面介紹在命令行下安裝并開啟對方主機終端服務(wù)。,6.1.4 命令行安裝開啟對方的終端服務(wù)案例6-6 安裝并啟動終端服務(wù),假設(shè)對方不僅沒有開啟終端服務(wù)，而且沒有安裝終端服務(wù)所需要的軟件。 使用工具軟件djxyxs.exe，可以給對方安裝并開啟該服務(wù)。在該工具軟件中已經(jīng)包含了安裝終端服務(wù)所需要的所有文件，該文件如圖6-30所示。,上傳程序到指定的目錄,將該文件上傳并拷貝到對方服務(wù)器的Winnttemp目錄下（必須放置在該目錄下，否則安裝不成

17、功?。?，如圖6-31所示。,目錄列表,然后執(zhí)行djxyxs.exe文件，該文件會自動進行解壓將文件全部放置到當(dāng)前的目錄下，執(zhí)行命令查看當(dāng)前目錄下的文件列表，如圖6-32所示。,最后執(zhí)行當(dāng)前目錄下解壓出來的azzd.exe文件，將自動在對方的服務(wù)器上安裝并啟動終端服務(wù)。 安裝完成后，對方的服務(wù)器會自動重啟，之后就可以使用終端服務(wù)連接軟件登陸對方服務(wù)器了。,6.2 木馬,木馬是一種可以駐留在對方系統(tǒng)中的一種程序。 木馬一般由兩部分組成：服務(wù)器端和客戶端。 駐留在對方服務(wù)器的稱之為木馬的服務(wù)器端，遠程的可以連到木馬服務(wù)器的程序稱之為客戶端。 木馬的功能是通過客戶端可以操縱服務(wù)器，進而操縱對方的主機。

18、,6.2.1 木馬和后門的區(qū)別,木馬程序在表面上看上去沒有任何的損害，實際上隱藏著可以控制用戶整個計算機系統(tǒng)、打開后門等危害系統(tǒng)安全的功能。 木馬來自于“特洛伊木馬”，英文名稱為Trojan Horse。傳說希臘人圍攻特洛伊城，久久不能攻克，后來軍師想出了一個特洛伊木馬計，讓士兵藏在巨大的特洛伊木馬中部隊假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城中，到了夜里，特洛伊木馬內(nèi)的士兵便趁著夜里敵人慶祝勝利、放松警惕的時候從特洛伊木馬里悄悄地爬出來，與城外的部隊里應(yīng)外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。 木馬和后門都提供網(wǎng)絡(luò)后門的功能，但木馬的功能稍微

19、強大一些，它還有遠程控制的功能；后門只是提供客戶端能夠登錄對方的主機。,6.2.2常見木馬的使用,常見的簡單得木馬有NetBus遠程控制、“冰河”木馬、PCAnyWhere遠程控制等等。這里介紹一種最常見的木馬程序：“冰河”。 案例6-7 使用“冰河”進行遠程控制 “冰河”包含兩個程序文件，一個是服務(wù)器端，另一個是客戶端。“冰河8.2”得文件列表如圖6-33所示。,“冰河”的客戶端,win32.exe文件是服務(wù)器端程序，Y_Client.exe文件為客戶端程序。將win32.exe文件在遠程得計算機上執(zhí)行以后，通過Y_Client.exe文件來控制遠程得服務(wù)器，客戶端的主界面如圖6-34所示,

20、選擇配置菜單,將服務(wù)器程序種到對方主機之前需要對服務(wù)器程序做一些設(shè)置，比如連接端口，連接密碼等。選擇菜單欄“設(shè)置”下的菜單項“配置服務(wù)器程序”，如圖6-35所示。,設(shè)置“冰河”服務(wù)器配置,在出現(xiàn)的對話框中選擇服務(wù)器端程序win32.exe進行配置，并填寫訪問服務(wù)器端程序的口令，這里設(shè)置為“1234567890”，如圖6-36所示。,查看注冊表,點擊按鈕“確定”以后，就將“冰河”的服務(wù)器種到某一臺主機上了。執(zhí)行完win32.exe文件以后，系統(tǒng)沒有任何反應(yīng)，其實已經(jīng)更改了注冊表，并將服務(wù)器端程序和文本文件進行了關(guān)聯(lián)，當(dāng)用戶雙擊一個擴展名為txt的文件的時候，就會自動執(zhí)行冰河服務(wù)器端程序。前面章節(jié)

21、對此已經(jīng)做了介紹，當(dāng)計算機感染了“冰河”以后，查看被修改后的注冊表，如圖6-37所示。,使用冰河客戶端添加主機,沒有中冰河的情況下，該注冊表項應(yīng)該是使用notepad.exe文件來打開txt文件，而圖中的“SYSEXPLR.EXE”其實就是“冰河”的服務(wù)器端程序。 目標主機中了冰河了，可以利用客戶端程序來連接服務(wù)器端程序。在客戶端添加主機的地址信息，這里的密碼是就是剛才設(shè)置的密碼“1234567890”如圖6-38所示。,查看對方的目錄列表,點擊按鈕“確定”以后，查看對方計算機的基本信息了，對方計算機的目錄列表如圖6-39所示。,查看并控制遠程屏幕的菜單,從圖中可以看出，可以在對方計算機上進行

22、任意的操作。除此以外還可以查看并控制對方的屏幕等等，如圖6-40所示。,6.3 網(wǎng)絡(luò)代理跳板6.3.1網(wǎng)絡(luò)代理跳板的作用,當(dāng)從本地入侵其他主機的時候，自己的IP會暴露給對方。通過將某一臺主機設(shè)置為代理，通過該主機再入侵其他主機，這樣就會留下代理的IP地址，這樣就可以有效的保護自己的安全。二級代理的基本結(jié)構(gòu)如圖6-41所示。,本地通過兩級代理入侵某一臺主機，這樣在被入侵的主機上，就不會留下的自己的信息?？梢赃x擇更多的代理級別，但是考慮到網(wǎng)絡(luò)帶寬的問題，一般選擇兩到三級代理比較合適。 選擇代理服務(wù)的原則是選擇不同地區(qū)的主機作為代理。比如現(xiàn)在要入侵北美的某一臺主機，選擇南非的某一臺主機作為一級代理服

23、務(wù)器，選擇北歐的某一臺計算機作為二級代理，再選擇南美的一臺主機作為三級代理服務(wù)器，這樣很安全了。 可以選擇做代理的主機有一個先決條件，必須先安裝相關(guān)的代理軟件，一般都是將已經(jīng)被入侵的主機作為代理服務(wù)器。,6.3.2網(wǎng)絡(luò)代理跳板工具的使用,常用的網(wǎng)絡(luò)代理跳板工具很多，這里介紹一種比較常用而且功能比較強大的代理工具：Snake代理跳板。 Snake的代理跳板，支持TCP/UDP代理，支持多個（最多達到255）跳板。 程序文件為：SkSockServer.exe，代理方式為Sock5，并自動打開默認端口1813.監(jiān)聽。,案例6-8 使用Snake代理跳板,使用Snake代理跳板需要首先在每一級跳板主

24、機上安裝Snake代理服務(wù)器。程序文件是SkSockServer.exe，將該文件拷貝到目標主機上。 一般首先將本地計算機設(shè)置為一級代理，將文件拷貝到C盤根目錄下，然后將代理服務(wù)安裝到主機上。安裝需要四個步驟，如圖6-42所示。,查看開放的1122端口,第一步執(zhí)行“sksockserver -install”將代理服務(wù)安裝主機中 第二步執(zhí)行“sksockserver -config port 1122”將代理服務(wù)的端口設(shè)置為1122，當(dāng)然可以設(shè)置為其他的數(shù)值， 第三步執(zhí)行“sksockserver -config starttype 2”將該服務(wù)的啟動方式設(shè)置為自動啟動。 第四步執(zhí)行“net

25、start skserver”啟動代理服務(wù)。設(shè)置完畢以后使用“netstat -an”命令查看1122端口是否開放，如圖6-43所示。,代理級別配置工具,本地設(shè)置完畢以后，在網(wǎng)絡(luò)上其他的主機上設(shè)置二級代理，比如在IP為09的主機上也設(shè)置和本機同樣的代理配置。 使用本地代理配置工具：SkServerGUI.exe，該配置工具的主界面如圖6-44所示。,設(shè)置經(jīng)過的代理服務(wù)器,選擇主菜單“配置”下的菜單項“經(jīng)過的SKServer”，在出現(xiàn)的對話框中設(shè)置代理的順序，第一級代理是本地的1122端口，IP地址是，第二級代理是09，端口是1122

26、端口，注意將復(fù)選框“允許”選中，如圖6-45所示。,設(shè)置可以訪問代理的客戶端,設(shè)置可以訪問該代理的客戶端，選擇主菜單“配置”下的菜單項“客戶端”，這里只允許本地訪問該代理服務(wù)，所以將IP地址設(shè)置為，子網(wǎng)掩碼設(shè)置為“55”，并將復(fù)選框“允許”選中。如圖6-46所示。,啟動代理跳板,一個二級代理設(shè)置完畢，選擇菜單欄“命令”下的菜單項“開始”，啟動該代理跳板。如圖6-47所示 從圖6-46可以看出，該程序啟動以后監(jiān)聽的端口是“1913”。,安裝程序和漢化補丁,下面需要安裝代理的客戶端程序，該程序包含兩個程序，一個是安裝程序，一個漢化補丁，如果不安裝補丁程序

27、將不能使用。如圖6-48所示。,設(shè)置Socks代理,首先安裝sc32r231.exe，再安裝補丁程序HBC-SC32231-Ronnier.exe，然后執(zhí)行該程序，首先出現(xiàn)設(shè)置窗口如圖6-49所示。,代理客戶端的主界面,設(shè)置Socks代理服務(wù)器為本地IP地址，端口設(shè)置為跳板的監(jiān)聽端口“1913”，選擇Socks版本5作為代理。設(shè)置完畢后，點擊按鈕“確定”，主界面如圖6-50所示。,設(shè)置需要代理的應(yīng)用程序,添加需要代理的應(yīng)用程序，點擊工具欄圖標“新建”，比如現(xiàn)在添加Internet Explore添加進來，設(shè)置方式如圖6-51所示,設(shè)置完畢以后，IE的圖標就在列表中了，選中IE

28、圖標，然后點擊工具欄圖標“運行”，如圖6-52所示。,使用IE連接某地址,在打開的IE中連接某一個地址，比如“09”，如圖6-53所示。,查看使用代理的情況,在IE的連接過程中，查看代理跳板的對話框，可以看到連接的信息。這些信息在一次連接會話完畢后會自動消失，必須在連接的過程中查看，如圖6-54所示。,6.4清除日志,電影中通常會出現(xiàn)這樣的場景，當(dāng)有黑客入侵計算機系統(tǒng)的時候，需要全樓停電來捉住黑客，為什么停電就可以逮住黑客呢？這是因為當(dāng)黑客入侵系統(tǒng)并在退出系統(tǒng)之前都會清除系統(tǒng)的日志，如果突然停電，黑客將沒有機會刪除自己入侵的痕跡，所以就可以抓住黑客了。 清除日志是黑客入侵

29、的最后的一步，黑客能做到來無蹤去無影，這一步起到?jīng)Q定性的作用。,6.4.1清除IIS日志,當(dāng)用戶訪問某個IIS服務(wù)器以后，無論是正常的訪問還是非正常的訪問，IIS都會記錄訪問者的IP地址以及訪問時間等信息。這些信息記錄在WinntSystem32logFiles目錄下，如圖6-55所示。,IIS日志的格式,打開任一文件夾下的任一文件，可以看到IIS日志的基本格式，記錄了用戶訪問的服務(wù)器文件、用戶登的時間、用戶的IP地址以及用戶瀏覽器以及操作系統(tǒng)的版本號。如圖6-56所示,案例6-9 清除IIS日志,最簡單的方法是直接到該目錄下刪除這些文件夾，但是全部刪除文件以后，一定會引起管理員的懷疑。 一般

30、入侵的過程是短暫的，只會保存到一個Log文件，只要在該Log文件刪除所有自己的記錄就可以了。,清除IIS日志的全過程,使用工具軟件CleanIISLog.exe可以做到這一點，首先將該文件拷貝到日志文件所在目錄，然后執(zhí)行命令“CleanIISLog.exe ex031108.log 10”，第一個參數(shù)ex031108.log是日志文件名，文件名的后六位代表年月日，第二個參數(shù)是要在該Log文件中刪除的IP地址，也就是自己的IP地址。先查找當(dāng)前目錄下的文件，然后做清楚的操作，整個清除的過程如圖6-57所示。,6.4.2清除主機日志,主機日志包括三類的日志：應(yīng)用程序日志、安全日志和系統(tǒng)日志?？梢栽谟嬎銠C上通過控制面板下的“事件查看器”查看日志信息，如圖6-58所示。,清除主機日志,使用工具軟件clearel.exe，可以方便的清除系統(tǒng)日志，首先將該文件上傳到對方主機，然后刪除這三種日志的命令格式為： Clearel System Clearel Security Clearel Application Clearel All 這四條命令分別刪除系統(tǒng)日志、安全日志、應(yīng)用程序日志和刪除全部日志。命令執(zhí)行的過程如圖6-59所示。,事件查看器,執(zhí)行完畢后，再打開事件查看器，發(fā)現(xiàn)都已經(jīng)空了。如圖6-60所示。,案例6-11 程序分析：TCP協(xié)議建立服務(wù)端口,建立端口可以