在Windows 2000中,日志文件就是系统的日记,它能按照既定的设置来记录所发生的事件,包括应用程序日志、安全日志和系统日志三类,分别对应于AppEvent.Evt、SecEvent.Evt和SysEvent.Evt三个文件,默认存放于C:WINNTsystem32config文件夹中。当系统发生一些大大小小的故障时,有经验的网管会从这些日志文件中找到一些蛛丝马迹,特别是一些与安全有关的网络入侵证据(可从中找到相关的IP地址、登录账号等信息)。
同样,稍稍有些头脑的黑客也深知此点,所以为了防止被抓住把柄,他们一般会在撤退时用工具或直接手工来清除所有的日志内容(这样的行为俗称“擦脚印”或“擦PP”等),或者干脆造份假日志等。因此对于日志文件的保护一定要慎重,比较可行的简易方法是为日志文件搬家,更改其默认的路径到别人想不到的地方。
1.默认的路径
图1 应用程序属性窗口
依次打开“控制面板→管理工具→计算机管理”,选中左侧窗格中的“事件查看器”,下面就出现“应用程序”、“安全性”和“系统”三项。以第一项“应用程序”为例,在上面点击鼠标右键,“属性”(如图1),在“日志名称”处明白地显示出Windows 2000的默认日志目的文件夹:“C:WINNTsystem32configAppEvent.Evt”。
2.设计新路径
到D盘建立一系列深目录以存放新日志文件,如D:�1�2�3�4�5�6�7,起名的原则就不要“见名知义”了,越不起眼儿越好。
3.更改注册表
点击“开始→运行”,填入“Regedit”(不包括两侧引号)并确定,打开注册表编辑器。找到HKEY_LOCAL_ MACHINESYSTEM CurrentControlSetEventlog,三个日志都在其下。还是以应用程序日志为例,选中“Application”后,右侧窗格中有个名为“File”的项,它的原始数据是“%SystemRoot%system32 configAppEvent.Evt”,即系统默认的路径与文件名。双击它,在弹出的窗口中修改其值为“D:�1�2�3�4�5 06�7AppEvent.Evt”,依此类推,再分别把Security和System项下的“File”键更改成“D:�1�2�3�4�5 06�7SecEvent.Evt”和“D:�1�2�3�4�5�6 07SysEvent.Evt”(如图2)。
图2 修改file键值
按F5键刷新一次注册表,关闭。
4.移动日志文件
到C:WINNT system32config文件夹下把AppEvent.Evt、SecEvent.Evt和SysEvent.Evt这三个日志文件Copy并粘贴到新路径D:�1�2�3�4�5�6�7中。
重新启动一次机器,再用“事件查看器”查一下应用程序日志文件的属性(如图3),路径名已经更改了。
图3 查看日志文件属性
为日志文件搬家的方法虽不能起彻底保护的作用,但足以令绝大多数耐心不够强的黑客挠头了,大家不妨一试。
