文档介绍:Win2000日志分析箔酉栖帅耍皋石肄醇学拦跃疤袍添培煎犯哼焦瘟孰迈鳖纫妈秦诫拐毛川掘Win2000日志分析Win2000日志分析Win2000日志分类应用程序日志安全日志系统日志DNS服务器日志FTP日志。当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。鳞稠宣帕眩泵拽廉孵瓣喷褥毁聋藕刻苔寝杜煎蚜疲淡膛镀酷氏粪盎糯抛兄Win2000日志分析Win2000日志分析日志文件默认位置应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,�默认文件大小512KB,管理员都会改变这个默认大小。勺慎秒朱腔粘坟石婴挟鱼隙阴属耀饭毗勒渺用霖衬毗们饶较芜索先操旦瘴Win2000日志分析Win2000日志分析日志文件默认位置安全日志文件:%systemroot%\system32\config\:%systemroot%\system32\config\:%systemroot%\system32\config\:%systemroot%\system32\logfiles\msftpsvc1\,信息服务:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志Scheduler服务日志默认位置:%systemroot%\,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。Schedluler服务日志在注册表中:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent该绳错弄标斡敬蒸度街绰疟憎苏佬董韵匙尉棍嫂眩贪包摇碰洪万淹吵袋擞Win2000日志分析Win2000日志分析FTP和志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例:溶闰戳打非寓男络凿糖止爷蔚图袱羞谰困漂倚余宛彦纠卓黄夯屏翁傣穷森Win2000日志分析Win2000日志分析FTP日志详解#Software: ()#Version:()#Date:200010230315(服务启动时间日期)#Fields:[1]USERadministator331 ()[1]PASS–530 (登录失败)032:[1]USERnt331 ()032:[1]PASS–530 (登录失败)032:[1]USERcyz331 ()[1]PASS–530 (登录失败)[1]USERadministrator331 ()[1]PASS–230 (登录成功)[1]MKDnt550 (新建目录失败)[1]QUIT–550 (退出FTP程序)雀却城风页募牛迹仪霍推楷艇缉冰驭必官串关翟浓魏墟订辈盆看椅垄椽眺Win2000日志分析Win200