在如今的網絡中,上網的首選工作就是要防黑。結果不外乎兩種,一種是黑客在我們嚴密的立體式防御中損兵折將;另一種就是黑客進入了我們的系統,那它究竟給我們修改了什麼?做了哪些破壞呢?有經驗的網管員通過日志文件就可以知道蛛絲馬跡,搜集到與安全有關的網絡入侵證據(比如相關的IP地址、登錄帳號等信息)。
同樣,有頭腦的黑客就會在撤離時用工具或手工方式清除所有的日志內容(俗稱擦腳印或擦PP等),或者干脆偽造假日志等。因此,對於日志文件的保護一定要慎重,比較可行的簡易辦法是為日志文件搬家,更改其默認的路徑到別人想不到的地方。
一、查看默認日志路徑
依次打開“控制面板\管理工具\計算機管理”,選中左側窗口中的“事件查看器”,下面則有“應用程序”、“安全性”、“系統”三項。IT八哥網(http://www.it8g.com)以第一個“應用程序”為例,在上面點擊鼠標右鍵,選擇“屬性”,在“日志名稱” 處顯示Windows2000的默認日志存放路徑為:“c:\winnt\system32\config\appevent.evt”字樣。其他兩項也是如此。
接下來,用戶到D盤建立一系列深目錄以存放新日志文件,如D:\01\02\03\04\05\06\07,起名的原則就是要“越不起眼,越好”。
二、更改系統注冊表
點擊“開始\運行”,輸入“regedit”並回車,即打開注冊表編輯器。找到HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Eventlog,三個日志都在其下。還是以應用程序為例,選中“application”後,右側窗口中有個名為“file”的項,它的原始數據是“%systemroot%\system32\config\appevent.evt”,即系統默認的路徑與文件名。雙擊它,在彈出的窗口中修改其值為“d:\01\02\03\04\05\06\07\appevent.evt”,依次類推,再分別把Security和System項下的“file”鍵更改為“d:\01\02\03\04\05\06\07\secevent.evt”和“d:\01\02\03\04\05\06\07\sysevent.evt”,最後按F5刷新一下,關閉注冊表。
來到c:\wint\system32\config文件夾下把appenvet.evt、secevent.evt和sysevent.evt這三個日志文件復制並粘貼到新路徑d:\01\02\03\04\05\06\07中。重新啟動機器,再來到“事件查看器”窗口插一下日志文件的屬性,發現路徑名已經更改了。
至此,再結合著系統安裝的防火牆和殺毒軟件、木馬檢測軟件進行防護。雖然日志文件搬家的方式不能起到徹底保護的目的,但足可以令實施偷窺的黑客撓頭了,感興趣的朋友試試吧!