偶遇“事件日志已满”-重提伪造日志

昨日安装了深度5.6版，跑些简单应用在上面，因为机器不在旁边，所以装了VNC远程管理。

今日用VNC连接却发现出了问题：

reportevent:事件日志文件已满。(1502)

没想到深度默认配置的没有日志轮询，恐怕是个小小的问题。

sc config ；net stop 都不能对服务进行修改

安全日志文件：%systemroot%/system32/config/SecEvent.EVT

系统日志文件：%systemroot%/system32/config/SysEvent.EVT

应用程序日志文件：%systemroot%/system32/config/AppEvent.EVT

删除不了！

遇到这个情况基本上只能插显示器了。人懒。不想弄。突然想起了偷懒的小伎俩，考虑远程删除日志。

翻了翻N年前存的资料找到一段代码：

cleanevent.vbs
strComputer = "."
Set bjWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate,(Backup)}!\\" & _
        strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
    ("Select * from Win32_NTEventLogFile where LogFileName='"&logs&"'")
For Each objLogfile in colLogFiles 
        objLogFile.ClearEventLog()   
Next
next

幸好还之前装了SSH，可以连接进去执行脚本。

c:\cleanevent.vbs

c:\shutdown -f -r

就OK了。

说到这不得不提到流光之父安全软件泰斗--小榕。

他曾发布过一个工具：elsave.exe

首先利用获得的管理员账号与对方建立ipc会话，net use \\ip pass /user: user

然后命令行下：elsave -s \\ip -l application -C，这样就删除了安全日志。

其实利用这个软件还可以进行备份日志，只要加一个参数 -f filename就可以了。

也可以备份后重新倒回到系统。呵呵，伪造日志。