Registro detallado del sistema Windows 2000 y su método de eliminación

                  Los archivos de registro de Windows 2000 suelen tener registros de aplicaciones, registros de seguridad, registros del sistema, registros del servidor DNS, registros de FTP, registros WWW, etc., que pueden variar según los servicios que el servidor esté ejecutando. Cuando usamos la detección de transmisión por secuencias, como la detección de IPC, registraremos rápidamente el nombre de usuario, la hora, etc., utilizados en la detección de transmisión por secuencias en el registro de seguridad. Después de la detección de FTP, registrará inmediatamente la IP en el registro de FTP. Tiempo, nombre de usuario y contraseña utilizados para el sondeo, etc. Incluso esto requiere msvcp60.dll librería de enlace dinámico cuando la biblioteca, incluso la transmisión de vídeo para empezar, si el servidor no tiene este archivo se grabará en el registro de abajo, que es por qué no tomar una gran cantidad de sonda razones internas, que registrar su dirección IP sería fácil después ¡Encuéntrate, siempre y cuando él quiera encontrarte! ! También está el registro del Programador. Este es también un REGISTRO importante. Debe saber que este servicio inicia con frecuencia el srv.exe, que registra todos los comportamientos iniciados por el servicio del Programador, como el inicio y la finalización del servicio. La ubicación predeterminada del archivo de registro: registro de la aplicación, registro de seguridad, registro del sistema, ubicación predeterminada del registro de DNS:% systemroot% system32config, el tamaño de archivo predeterminado es 512 KB, el administrador cambiará este tamaño predeterminado. archivo de registro de seguridad:% SystemRoot% system32configSecEvent.EVT sistema de archivo de registro:%% archivos de registro de aplicación system32configSysEvent.EVT systemroot:% SystemRoot% system32configAppEvent.EVT de Internet Information Server FTP ubicación predeterminada de registro:% SystemRoot% system32logfilesmsftpsvc1, un registro diario de Información de Internet predeterminado servicios WWW ubicación predeterminada de registro:% SystemRoot% system32logfilesw3svc1, un servicio diario Programador de registro predeterminado registra la ubicación predeterminada:% SystemRoot% SchedLgU.txt más registros en la clave de registro: registro de aplicación, registro de seguridad, registro del sistema, registro del servidor DNS, Estos archivos de registro se encuentran en el registro:

 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog Es probable que algunos administradores reubiquen estos registros. Hay muchas sub-tablas en EVENTLOG, que pueden encontrar el directorio de ubicación de los registros anteriores. Schedluler registro del servicio en el registro 
 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgentFTP registro detallado y WWW: Registro FTP y WWW registro predeterminado, generar un archivo de registro de todos los días, incluyendo todos los registros de la época, el nombre del archivo es generalmente ex (año) (mes) ( fecha), por ejemplo ex001023, el registro es del 23 de octubre de, 2000 permitieron, esto se puede abrir directamente con el Bloc de notas, el siguiente ejemplo: 
 #Software: Microsoft Internet Information Server 5.0 (Microsoft IIS 5.0) # Versión: 1.0 ( versión 1.0) #Fecha: 20001023 0315 (fecha de inicio del servicio) #Fields: tiempo CIP csmethod csuristem scstatus 0315 127.0.0.1 [1] usuario uSER administator 331 la dirección IP 127.0.0.1 (intenta iniciar sesión administator llamado) 0318 127.0.0.1 [1] PASS - 530 (fallo de inicio de sesión) 032: 04 127.0.0.1 [1] usuario de NT 331 (nombre de usuario la dirección IP 127.0.0.1 de un usuario intenta iniciar sesión nt) 032: 06 127.0.0.1 [1] PASS - 530 (Falló el inicio de sesión) 032: 09 127.0.0.1 [1] USUARIO cyz 331 (Usuario con dirección IP 127.0.0.1 nombre de usuario cyz intentó iniciar sesión) 0322 127.0.0.1 [1] PASS - 530 (Inicio de sesión perdido ) 0322 127.0.0.1 [1] administrador USUARIO 331 (dirección IP 127.0.0.1 usuario nombrado administrador intenta conectarse) 127.0.0.1 0324 [1] PASS - 230 (inicio de sesión correcto) 127.0.0.1 0321 [1] MKD nt 550 ( nuevo directorio no) 127.0.0.1 0325 [1] dejar de fumar - 550 (salir del programa FTP) puede verse en el registro donde la dirección IP 127.0.0.1 usuario ha estado tratando de entrar en el sistema, para el nombre de cuatro de usuario y contraseña para el éxito, la gestión El administrador puede conocer de inmediato el tiempo de intrusión, la dirección IP y el nombre de usuario detectado del administrador. En el ejemplo anterior, el intruso finalmente se ingresa con el nombre de usuario del administrador. Luego considere reemplazar la contraseña del nombre de usuario o cambiar el nombre del usuario administrador. registro WWW: servicio WWW FTP con el mismo servicio, el registro se genera en el directorio% System32LogFilesW3SVC1% SystemRoot, el valor predeterminado es un archivo de registro de todos los días, el siguiente es un archivo de registro típico WWW 
 #Software: Microsoft Internet Information Server 5.0 # Version : 1,0 #Fecha: 20001023 03: 091 #Fields: fecha de deporte cip csusername sip tiempo csmethod csuristem csuriquery scstatus cs (UserAgent) 20001023 03: 091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla /4.0 + (compatible; + MSIE + 5,0; + de Windows + 98; + DigExt) 20001023 03: 094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla /4.0 + (compatible; + MSIE + 5,0; + de Windows + 98; + DigExt) Al analizar la sexta línea, se puede ver que el 23 de octubre de 2000, un usuario con una dirección IP de 192.168.1.26 accedió a una página iisstart.asp accediendo al puerto 80 de la máquina 192.168.1.37. El dispositivo es compatible; + MSIE + 5.0; + Windows + 98 + DigExt, un administrador experimentado puede usar el registro de seguridad, el registro de FTP y el registro de WWW para determinar la dirección IP y el tiempo de intrusión del intruso. Incluso si elimina los registros de FTP y WWW, pero aún los graba en el registro del sistema y el registro de seguridad, pero es mejor mostrar solo el nombre de su máquina, y no su IP, como las varias sondas anteriores, el sistema El registro producirá el siguiente registro: de un vistazo, el 23 de octubre de 2000, a las 16:17, el sistema advierte sobre ciertos eventos, hace doble clic en el primero y abre sus propiedades: el atributo registra el motivo de la advertencia. Debido a que alguien intentó iniciar sesión con el nombre de usuario del administrador, se produjo un error, la fuente es el servicio FTP. Al mismo tiempo, el registro de seguridad se grabará al mismo tiempo, podemos ver dos iconos: la clave (que indica el éxito) y la cerradura (que indica que el usuario está detenido cuando el usuario está haciendo algo). Cuatro iconos de bloqueo consecutivos indican cuatro fallos. Los tipos de eventos son el inicio de sesión y el inicio de sesión de la cuenta y el error de cierre de sesión. La fecha es el 18 de octubre de 2000 y la hora es 1002. Esto requiere una observación importante. Un evento de primera auditoría de dos puntos fracasado, que dan una descripción detallada de este evento, podemos ver que no hay estación de trabajo CYZ, acceda a este nombre de usuario administator máquina, pero a causa de nombre de usuario desconocido o error de contraseña (la contraseña real que estaba mal) Fracasado También hay un registro del servidor DNS, que es menos importante y se omite. Conozca los detalles de los registros de Windows 2000, lo siguiente debe aprender a eliminar estos registros: A través de lo anterior, sabemos que los archivos de registro generalmente tienen un servicio en la protección de fondo, además de los registros del sistema, registros de seguridad, registros de aplicaciones, etc., sus servicios son El proceso clave de Windos2000 y el archivo de registro, cuando se inicia Windows2000, inicia el servicio para proteger estos archivos, por lo que es difícil de eliminar, y el registro de FTP y el registro de WWW y Scedlgu se pueden eliminar fácilmente. Uno de los primeros en obtener la contraseña o grupo Admnistrator Administradores, a continuación, Telnet al host remoto, primero para tratar de eliminar el registro de FTP: 
 D: SERVER > del SchedLgU.txt D: Proceso de SERVERSchedLgU.Txt no puede acceder al archivo porque otro Este archivo está siendo utilizado por el programa. Dicho esto, hay una protección de servicio en segundo plano, ¡primero detén el servicio! 
 D: SERVIDOR > net stop El servicio en el "programador de tareas" depende del servicio del Programador de tareas. Al detener el servicio del Programador de tareas también se detienen estos servicios. 
 ¿Continúa esta operación el motor de almacenamiento remoto? (S /N) [N]: y El servicio del motor de almacenamiento remoto se está deteniendo ... El servicio del motor de almacenamiento remoto se ha detenido con éxito. El servicio Programador de tareas se está deteniendo. El servicio Programador de tareas se ha detenido correctamente. Bien, su servicio se detiene y el servicio que tiene dependencias también se detiene. Intenta borrarlo de nuevo! 
 D: SERVIDOR > del schedlgu.txt D: SERVIDOR > ¿No hay respuesta? Exitoso El siguiente es el registro de FTP y el registro de WWW. El principio es el mismo. ¡Detenga primero el servicio relacionado y luego elimine el registro! 
 D: SERVERsystem32LogFilesMSFTPSVC1 > del ex * .log D: SERVERsystem32LogFilesMSFTPSVC1 > por encima de las operaciones con éxito el registro de FTP eliminado! ¡Vuelve al registro de WWW! 
 D: SERVERsystem32LogFilesW3SVC1 > del ex * .log D: SERVERsystem32LogFilesW3SVC1 > ¡OK! Enhorabuena, los registros simples se han eliminado con éxito. Aquí están los registros de seguridad y los registros del sistema. El servicio que guarda estos registros es el Registro de eventos, ¡intente detenerlo! 
 D: SERVERsystem32LogFilesW3SVC1 > net stop eventlog Este servicio no puede aceptar la operación de "pausa" o "parada" solicitada. De ninguna manera, es un servicio clave. Si no utiliza herramientas de terceros, no hay posibilidad de eliminar el registro de seguridad y el registro del sistema en la línea de comandos. Por lo tanto, aún tiene que utilizar una forma sencilla pero lenta de bloquearse: abra el "Visor de eventos" en las "Herramientas de administración" del "Panel de control" (98 no, conozca los beneficios de usar Win2k), en el menú "Operación" El elemento tiene un menú llamado "Conectarse a otra computadora", ingresa la IP de la computadora remota, luego haz clic en el cigarrillo, espera por decenas de minutos, soporta la tortura como un choque, selecciona el registro de seguridad de la computadora remota, haz clic derecho sobre él. Propiedades: haga clic en el botón "Borrar registro" en las propiedades, ¡OK! El registro de seguridad se borra! Los mismos dolores para borrar el registro del sistema! Antes de utilizar la tercera herramienta, puede borrar de forma rápida y sin problemas los registros de FTP, WWW y Schedlgu. El registro del sistema y el registro de seguridad pertenecen al guardián estricto de Windows 2000. Solo puede abrirlo con el visor de eventos local. Debido a que en la interfaz gráfica, además de que la velocidad de la red es lenta, si tiene más dinero, el tiempo es libre, aún puede borrarlo. En resumen, se presentan el archivo de registro de Windows 2000 y el método de eliminación, pero debe ser un administrador. Tenga en cuenta que debe iniciar sesión como administrador o miembro del grupo de administración para abrir el registro de registro de seguridad. Este procedimiento se aplica a las computadoras con Windows 2000 Professional y a las computadoras con Windows 2000 Server que se ejecutan como servidores independientes o miembros.