一 日志查看

1）启动Windows实验台，点击：开始 - 控制面板 - 管理工具 - 事件查看器

2）查看属性。

例如选中“应用程序”右键属性可以得到日志存放文件的路径，并可修改日志文件的大小，清除日志

应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\system32\config，默认文件大小512KB，管理员可以改变这个默认大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT；

系统日志文件：%systemroot%\system32\config\SysEvent.EVT；

应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT；

DNS日志：%systemroot%\system32\config\DnsEvent.EVT；

选中事件查看器中左边的树形结构图中的日志类型（应用程序、安全性或系统），右击“查看”，并选择“筛选”。或者点击属性页面的筛选器标签，日志筛选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录

3）查看www和ftp日志文件夹下的日志文件

 虚拟机中找不到文件~~

4）计划任务日志

当入侵者得到远程系统的shell之后，常会利用计划任务运行功能更加强大的木马程序，计划任务日志详细的记录的计划任务的执行时间，程序名称等详细信息。

打开计划任务文件夹，点击“高级”-查看日志，即可查看计划任务日志。

二 日志清除

1） 删除事件查看器中的日志

主机下载使用elsave清除日志工具，下载地址：http://tools.hetianlab.com/tools/Elsave.rar

先用ipc$管道进行连接，在cmd命令提示符下输入 net use \\对方IP（实验台IP）\ipc$ "密码" /user:"用户名"；

连接成功后，开始进行日志清除

清除目标系统的应用程序日志输入 elsave.exe -s \\对方ip -l "application" -C

清除目标系统的系统日志输入elsave.exe -s \\对方IP -l "system" -C

清除目标系统的安全日志输入elsave.exe -s \\对方IP -l "security" -C

例如：清除系统日志

这样系统日志就被删除了

(2) 删除常见服务日志

IIS的日志功能，它可以详细的记录下入侵全过程，如用unicode入侵时IE里打的命令，和对80端口扫描时留下的痕迹。

手动清除：日志的默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志。进入到远程主机后（也可直接在实验台中操作），cmd下切换到这个目录下，然后 del *.*。或者删除某一天的日志。如果无法删除文件，首先需要停止w3svc服务，再对日志文件进行删除，使用net 命令停止服务如下：

C:\>net stop w3svc

日志w3svc停止后，然后清空它的日志,del *.*

清除ftp日志，日志默认位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日志，清除方法同上。

 该虚拟机中也没有这服务~~

(3) 删除计划任务日志

在实验台中命令行进入日志所在文件夹下（%systemroot%\Tasks）， 删除schedlgu.txt ， 提示无法访问文件，因为另一个程序正在使用此文件。说明服务保护，需要先把服务停掉。命令行中输入net stop schedule;

下面的服务依赖于Task Scheduler 服务。停止Task Scheduler 服务也会停止这些服务。

Remote Storage Engine

Task Scheduler 服务正在停止

Task Scheduler 服务已成功停止。

如上显示服务停掉了，同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt；

删除后需要再次启动该任务以便主机能够正常工作，输入net start schedule：