一、日志文件的特殊性

      要了解日志文件，首先就要從它的特殊性講起，說它特殊是因?yàn)檫@個(gè)文件由系統(tǒng)管理，并加以保護(hù)，一般情況下普通用戶不能隨意更改。我們不能用針對(duì)普通TXT文件的編輯方法來編輯它。例如WPS系列、Word系列、寫字板、Edit等等，都奈何它不得。我們甚至不能對(duì)它進(jìn)行“重命名”或“刪除”、“移動(dòng)”操作，否則系統(tǒng)就會(huì)很不客氣告訴你:訪問被拒絕。當(dāng)然，在純DOS的狀態(tài)下，可以對(duì)它進(jìn)行一些常規(guī)操作(例如Win98狀態(tài)下)，但是你很快就會(huì)發(fā)現(xiàn)，你的修改根本就無濟(jì)于事，當(dāng)重新啟動(dòng)Windows 98時(shí)，系統(tǒng)將會(huì)自動(dòng)檢查這個(gè)特殊的文本文件，若不存在就會(huì)自動(dòng)產(chǎn)生一個(gè)；若存在的話，將向該文本追加日志記錄。

     二、黑客為什么會(huì)對(duì)日志文件感興趣

黑客們?cè)讷@得服務(wù)器的系統(tǒng)管理員權(quán)限之后就可以隨意破壞系統(tǒng)上的文件了，包括日志文件。但是這一切都將被系統(tǒng)日志所記錄下來，所以黑客們想要隱藏自己的入侵蹤跡，就必須對(duì)日志進(jìn)行修改。最簡(jiǎn)單的方法就是刪除系統(tǒng)日志文件，但這樣做一般都是初級(jí)黑客所為，真正的高級(jí)黑客們總是用修改日志的方法來防止系統(tǒng)管理員追蹤到自己，網(wǎng)絡(luò)上有很多專門進(jìn)行此類功能的程序，例如Zap、Wipe等。

     三、Windows系列日志系統(tǒng)簡(jiǎn)介

     1.Windows 98的日志文件

因目前絕大多數(shù)的用戶還是使用的操作系統(tǒng)是Windows 98，所以本節(jié)先從Windows 98的日志文件講起。Windows 98下的普通用戶無需使用系統(tǒng)日志，除非有特殊用途，例如，利用Windows 98建立個(gè)人Web服務(wù)器時(shí)，就會(huì)需要啟用系統(tǒng)日志來作為服務(wù)器安全方面的參考，當(dāng)已利用Windows 98建立個(gè)人Web服務(wù)器的用戶，可以進(jìn)行下列操作來啟用日志功能。

     (1)在“控制面板”中雙擊“個(gè)人Web服務(wù)器”圖標(biāo)；(必須已經(jīng)在配置好相關(guān)的網(wǎng)絡(luò)協(xié)議，并添加“個(gè)人Web服務(wù)器”的情況下)。

     (2)在“管理”選項(xiàng)卡中單擊“管理”按鈕； 　　

     (3)在“Internet服務(wù)管理員”頁中單擊“WWW管理”； 　　

     (4)在“WWW管理”頁中單擊“日志”選項(xiàng)卡； 　　

    (5)選中“啟用日志”復(fù)選框，并根據(jù)需要進(jìn)行更改。 將日志文件命名為“Inetserver_event.log”。如果“日志”選項(xiàng)卡中沒有指定日志文件的目錄，則文件將被保存在Windows文件夾中。

    普通用戶可以在Windows 98的系統(tǒng)文件夾中找到日志文件schedlog.txt。我們可以通過以下幾種方法找到它。在“開始”/“查找”中查找到它，或是啟動(dòng)“任務(wù)計(jì)劃程序”，在“高級(jí)”菜單中單擊“查看日志”來查看到它。Windows 98的普通用戶的日志文件很簡(jiǎn)單，只是記錄了一些預(yù)先設(shè)定的任務(wù)運(yùn)行過程，相對(duì)于作為服務(wù)器的NT操作系統(tǒng)，真正的黑客們很少對(duì)Windows 98發(fā)生興趣。所以Windows 98下的日志不為人們所重視。

    2.Windows NT下的日志系統(tǒng)

    Windows NT是目前受到攻擊較多的操作系統(tǒng)，在Windows NT中，日志文件幾乎對(duì)系統(tǒng)中的每一項(xiàng)事務(wù)都要做一定程度上的審計(jì)。Windows NT的日志文件一般分為三類：

    系統(tǒng)日志 ：跟蹤各種各樣的系統(tǒng)事件，記錄由 Windows NT 的系統(tǒng)組件產(chǎn)生的事件。例如，在啟動(dòng)過程加載驅(qū)動(dòng)程序錯(cuò)誤或其它系統(tǒng)組件的失敗記錄在系統(tǒng)日志中。

    應(yīng)用程序日志：記錄由應(yīng)用程序或系統(tǒng)程序產(chǎn)生的事件，比如應(yīng)用程序產(chǎn)生的裝載dll(動(dòng)態(tài)鏈接庫)失敗的信息將出現(xiàn)在日志中。

    安全日志 ：記錄登錄上網(wǎng)、下網(wǎng)、改變?cè)L問權(quán)限以及系統(tǒng)啟動(dòng)和關(guān)閉等事件以及與創(chuàng)建、打開或刪除文件等資源使用相關(guān)聯(lián)的事件。利用系統(tǒng)的“事件管理器”可以指定在安全日志中記錄需要記錄的事件，安全日志的默認(rèn)狀態(tài)是關(guān)閉的。

Windows NT的日志系統(tǒng)通常放在下面的位置，根據(jù)操作系統(tǒng)的不同略有變化。


C:\systemroot\system32\config\sysevent.evt
C:\systemroot\system32\config\secevent.evt
C:\systemroot\system32\config\appevent.evt


      Windows NT使用了一種特殊的格式存放它的日志文件，這種格式的文件可以被事件查看器讀取，事件查看器可以在“控制面板”中找到，系統(tǒng)管理員可以使用事件查看器選擇要查看的日志條目，查看條件包括類別、用戶和消息類型。

      3.Windows 2000的日志系統(tǒng) 與Windows NT一樣，Windows 2000中也一樣使用“事件查看器”來管理日志系統(tǒng)，也同樣需要用系統(tǒng)管理員身份進(jìn)入系統(tǒng)后方可進(jìn)行操作。

     在Windows 2000中，日志文件的類型比較多，通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等等，可能會(huì)根據(jù)服務(wù)器所開啟的服務(wù)不同而略有變化。啟動(dòng)Windows 2000時(shí)，事件日志服務(wù)會(huì)自動(dòng)啟動(dòng)，所有用戶都可以查看“應(yīng)用程序日志”，但是只有系統(tǒng)管理員才能訪問“安全日志”和“系統(tǒng)日志”。系統(tǒng)默認(rèn)的情況下會(huì)關(guān)閉“安全日志”，但我們可以使用“組策略”來啟用“安全日志”開始記錄。安全日志一旦開啟，就會(huì)無限制的記錄下去，直到裝滿時(shí)停止運(yùn)行。