加载中…
个人资料
阿胜
阿胜
  • 博客等级:
  • 博客积分:0
  • 博客访问:59,469
  • 关注人气:1
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

两招让你知道谁在动你的电脑

(2007-05-08 17:56:21)
标签:

杂谈

'此文为原创,欢迎转载,转载请保留如下信息
转自露宿者之家 作者:露宿者 QQ:185635232 MSN:yueshenghe26@hotmail.com
先介绍一下就会使用到软件
comlog 一个用perl写的偷偷记录cmd.exe的程序
Kiwi Syslog Daemon 一个很专业的日志服务器软件
evtsys_exe 一个把系统日志发送到Syslog服务器的程序
 
 
一.使用comlog后台监听所有cmd.exe的调用
把comlog.zip解压缩后有五个文件cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和readme.txt都是说明文件,md5.txt包含这五个文件的md5校验和的值,我们可以使用md5sum.exe工具来检测一下他们是否遭受修改。
如果出现不一致,就证明程序遭受修改。
在校验无误之后,我们开始替换系统的cmd.exe。
把C:\WINDOWS\system32下的cmd.exe也改成cm_.exe,把comlog101目录下的cmd.exe复制到这里。在这段时间,系统会提醒你系统文件遭到修改,问你是否修复,选择取消就可以了。然后在C:\WINDOWS\Help目录下建一个叫"Tutor"的目录,这里是用来放cmd.exe的命令记录的地方,
当然你可以修改日志的存放位置,不过需要修改com101.pl,然后用Perl去编译生成cmd.exe和cm_.exe。 
详情请参照comlog.txt
现在我们运行cmd.exe,随便敲几个命令进去,然后去到C:\WINDOWS\Help\Tutor目录下,你就可以看到记录了。为了避免记录自己在cmd.exe的操作,我们可以把原来的cmd.exe(现在的cm_.exe)拷贝并重命名改成来执行(我改成了root.exe)。
PS:最后在system32目录下有下面这三个文件cmd.exe,cm_exe,root.exe

二.用syslog记录windows日志
安装日志服务器,我们选择Kiwi Syslog Daemon是因为它够专业并且有很多统计信息和支持产品,一路next直到安装完成。
安装完成后,仍需在Syslog Daemon的主面板的Manage菜单Install、Start服务即可。
启动服务后我们在命令模式输入netstat -an可以看到514端口
UDP 0.0.0.0:514 *:*
 
对于UNIX类主机之间记录日志,由于协议、软件和日志信息格式等都大同小异,因此实现起来比较简单,但是windows的系统日志格式不同,日志记录软件,方式等都不同。因此,我们需要第三方的软件evtsys (全称是evntlog to syslog)
来将windows的日志转换成syslog类型的日志后,转发给syslog服务器。
evtsys是一个非常小巧而且免费的第三方日志记录软件,下载地址如下:
https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys
文件才几十K大小,非常小巧,解压后是两个文件evtsys.dll和evtsys.exe
通过MD5检验后,把这两个文件拷贝到 c:\windows\system32目录下。
打开Windows命令提示符(开始->运行 输入root)
刚刚我已经将原版的cmd.exe重命名为root.exe了
C:\>evtsys –i –h 192.168.1.108
-i 表示安装成系统服务
-h 指定Syslog服务器的IP地址
这里我的Syslog服务器的IP地址是192.168.1.108,所以填192.168.1.108

如果要卸载evtsys,则:
net stop evtsys
evtsys -u
启动该服务:
C:\>net start evtsys
 
打开windows组策略编辑器 (开始->运行 输入 gpedit.msc)
在计算机配置—>windows设置-> 安全设置 -> 本地策略 ->审核策略 中,勾上你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。
这样你系统的应用程序日志,系统日志,安全日志都会发到日志服务器去了,这样我们就可以更加真实的了解到系统的运行情况。

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有