❶ 我的语言栏没了,xp系统,可能是我昨晚把什么程序给删掉了,没找到logfiles文件夹……怎么办啊
原因一:“语言栏不见了怎么办”之任务栏这是最简单的导致语言栏不见了的原因,跟个人的误操作有关。解决过程如下:1. 右键单击桌面下方任务栏空白位置2. 在弹出的菜单上选择“工具栏”3. 在展开的二级菜单上,可以看到有“语言栏”这一项,如果它前面没有勾选,那么就左键点击它。OK,现在熟悉的语言栏图标又回到了桌面上。原因二:“语言栏不见了怎么办”之文字服务相对上面语言栏不见了的情况,这个稍显生僻,因为要点击设置的地方比较“深”,过程如下:1. 打开控制面板2. 点击“区域与语言选项”3. 打开第二个标签页“语言”4. 点击“文字服务和输入语言”栏目内的“详细信息”5. 在弹出的窗口上,找到最下方的“语言栏”,点击它,然后勾选“在桌面上显示语言栏”6. 如果5中提到的“语言栏”变灰,不能点击,那么需要单击此页面上的第二个标签页“高级”,并将“系统配置”中“关闭高级文字服务”前的勾去掉。然后再重复5的操作。原因三:“语言栏不见了怎么办”之ctfmon.exe如果上述两种方案,均不能解决语言栏不见了的问题,此时我们需要检查一下,在当前的系统进程中,是否有ctfmon.exe(这是windows 系统的文字服务)1. 右键点击桌面下方任务栏,左键点击“任务管理器”2. 选择第二个标签页“进程”3. 点击“映像名称”标签,按照字母顺序排列4. 检查ctfmon.exe5. 如果没有,点击任务管理器上的“文件”6. 点击新建任务“运行”,输入ctfmon.exe并回车。7. 如果提示错误,基本上都是本机的ctfmon.exe文件损坏或丢失,需要重新下载。原因四:“语言栏不见了怎么办”之自启动通过上面的三种方法,貌似搞定语言栏不见了的问题。但可能重启电脑之后,它又不见了……这时候所有人大概又会一声哀叹“语言栏不见了怎么办???”1. 这是由于ctfmon.exe,也就是上文提到的windows文字服务,没有随机自启动的缘故。点击桌面左下角开始——运行——输入“regedit”回车,打开注册表编辑器2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,新建一个字符串类型的键值ctfmon.exe,指向C:\windows\system32\ctfmon.exe以上总结了造成语言栏不见了的四种可能情况,以及对应的手动解决步骤。为了方便用户,金山网盾将这四类“语言栏不见了怎么办”的解决方案集成到产品中,只需要点击一键修复就可以解决
❷ XP的日志文件存放在哪个目录
你是指在哪里打开查看还是指存放在哪里? 如果是说在哪里打查看,请在“我的电脑”上点右键–点“管理”,在“事件查看器”里就可以查看相关日志了。 如果是说存放在哪里,请在系统安装盘,如C:\WINDOWS\system32\config\目录中的几个.Evt文件即是,但打开是乱码。 如果需要保存日志请在事件查看器里导出。IIS自带的日志文件默认存放在System32/LogFiles目录下,一般是按24小时滚动的,在IIS管理器中可以对它进行详细的配置。
❸ 网络提示711
我出现“711错误”的原因是:把“C:\Windows\System32”右键取得管理员权限导致的!在这里做一个调查,毕竟最近出现这个问题的朋友很多,大家说一下自己都是因为什么原因才出现的这个问题的?(新装的系统就这样?还是改了哪里之后?)有彻底解决的方案了么???(除了重装系统和系统还原)希望通过本帖在软媒能够为正在为这个问题烦恼的朋友们彻底地解决这个问题!采取的解决方法已经有以下几种,这也是到目前为止我能找到的所有方法:第一种方法:请看你的以下服务:服务名称:eventlog 显示名称: Windows Event Log 启动类型:自动服务名称:TapiSrv 显示名称: Telephony 启动类型:手动服务名称:SstpSvc 显示名称: Secure Socket Tunneling Protocol Service 启动类型:手动服务名称:Netman 显示名称: Network Connections 启动类型:手动服务名称:nsi 显示名称: Network Store Inte***ce Service 启动类型: 自动服务名称:RasMan 显示名称: Remote Access Connection Manager 启动类型:手动出现错误:711 的朋友, 我想大家的服务设置应该是出在了 我列出的第一个服务上 第一个服务描述:此服务管理事件和事件日志。它支持日志记录事件、查询事件、订阅事件、归档事件日志以及管理事件元数据。它可以用 XML 和纯文本两种格式显示事件。停止该服务可能危及系统的安全性和可靠性。由于禁用第一个服务, 将导致 服务名称:SstpSvc 显示名称: Secure Socket Tunneling Protocol Service 这个启动后自动停止而 服务名称:RasMan 显示名称: Remote Access Connection Manager 这个服务需要依赖它,第二种方法:这个问题很好解决!在命令符以管理员运行。。输入netsh winsock reset 回车,重启即可 第三种方法:找到 C:\Windows\System32\LogFiles\WMI 这个文件夹,只要将这个文件夹管理员取得所有权然后重启就行了! 使用魔方在系统设置右键菜单管理里面新增“获得管理员权限”的功能,然后就可以在上面这个文件夹上点击鼠标右键,管理员取得所有权即可解决。第四种:(这个方法没试,肯定管用,但不想每次关机都执行,感觉想掩耳盗铃啊~呵呵)看到由会员问——-把 C:\Windows\System32\LogFiles\WMI 这个文件夹取得管理权。之后重启,可以正常宽带连接。然后重启却又是这样的问题,只好又去取得那个文件的管理员权限,这样重启后又可以上了老这样重启确实很烦人,告诉大家个土办法,虽然土,但是确实方便,遇到问题不用老是取权限,重启了。其实道理一样,只不过写一个脚本并让他关机时自动运行一下就好了。方法如下:1,将下面的代码保存成.bat格式(名字自己娶一个就好,我设为711.bat) 放到不易删除的地方,代码为 @ECHO OFFtakeown /f "C:\Windows\System32\LogFiles\WMI" /r /d y && icacls "C:\Windows\System32\LogFiles\WMI" /grant administrators:F /t鼓励大家自己动手,丰衣足食。懒点的或不会保存的可以直接花点钱 下载下面的附件 已经写好了2,单击“开始” “运行”,在运行命令框中输入“Gpedit.msc”,打开组策略窗口 在左侧的控制台树窗格中,依次展开“计算机配置” “Windows设置” “脚本 启动/关机 ”节点 如图 ,双击右侧详细资料窗格中的“关机”项目,在弹出的“关机属性”对话框中点击“添加”按钮,将711.bat添加为新的计算机关机脚本 设置完成后,退出组策略窗口,重新启动计算机即可第五种:安装完成Windows7之后,发现设置拨号连接后发现不能拨号上网,不是711错误,就是1068依赖服务不能启动,或者691错误,等等,可谓出错信息五花八门!没法子,只好装回WindowsXP,然后上网搜索原因,这时才发现也有不少朋友出现同样的错误,经过对网上资料的查找及分析,以及下载备好所需要用到的软件之后,再次装回Windows7。试着用网上得到的资料来解决问题,搞到深更半夜,发现仍然出错,没法,重启再看看先,不行就睡觉,准备第二天再装回WindowsXp,一重启,惊喜来了,能够连接上网了,网页能够正常打开,成功!已是深夜2点,睡觉去了,zzzzzzz~~~~~~~通过几个小时的摸索,成功拨号上网!现在把可能的解决办法,写出来共享,不一定能解决所有朋友的问题,但可以一试!一、安装好Windows7,然后打开“控制面板”——》打开“网络和Internet”——》打开“查看网络状态和任务”,选择“设置新的连接或网络”,根据你的网络类型设置好连接,设置方法基本和WindowsXp一样。二、①“计算机–管理–服务和应用程序–服务”,找到“Remote Access Connection Manager”,看看“启动类型”里是否是“自动”,如果不是,就改为“自动”。再同理找到“Internet Connection Sharing(ICS)”,并设置“自动”。高比下载三、找到“ c:\windows\system32\logfiles”这个文件夹并打开。选中并右键单击“WMI”文件夹。选择“获取管理员权限”。四、重启电脑!五、单击右下角“”,点击“宽带连接”及“”按钮。图标“”变成“ ”,OK!打开网络和共享中心,用网通宽带转换工具转换用户名复制粘贴,输入密码就可以了。改下计算机名就ok了.右击计算机.点属性.点高级系统设置.再点计算机名.点击更改.把最上面计算机名用英文或字母重设一下.重启电脑.登录后重新设个连接就搞定了.我复制的 看起来很复杂 不知道能帮到你不
❹ XP系统怎样解决宽带连接错误711
1、打开“计算机”“C:WindowsSystem32LogFiles”文件夹,单击右键选择“属性”;2、点击“安全”选项,选择“高级”;3、点击“所有者”选项,选择“编辑”;4、 选择目前所使用的账户“aaa”,点击确定;5、 弹出选项框点击“确定;6、 点击“开始菜单”,对“计算机”单击右键选择“管理”转到第七步;7、 选择“服务”选项;8、 找到服务“Remote Access Auto Connection ManagerRemote ”,单击右键,选择“启动”;9、确认服务“Access Connection Manager”处于开启状态,如果未开启,单击右键选择“启动”;10、 确认服务“Telephony”处于开启状态,如果未开启,单击右键,选择“启动”;11、获取“C:WindowsSystem32LogFiles”文件夹权限并保证以上服务全部开启,解决宽带拨号711错误。上面就是XP系统怎样解决宽带连接错误711的介绍了,如果通过本文介绍的步骤还不能解决问题的话,可以重装系统处理。
❺ WIN XP Event Log 服务无法启动 1501 无法打开事件日志文件,事件日志服务没有启动。
换个软件补充回答: 今天启动任务管理器时,启动后出现“任务计划程序服务不可用……”,后面是什么读取数据失败,重新尝试数据连接等提示。操作中发现,其实任务管理服务是开启的,也能设置计划任务,只是不能显示详细的运行日志。到服务管理中查看task scheler服务时看到,服务是启动的,再看有两个依赖的服务,分别为:Remote Procere Call (PRC) 和Windows Event Log服务。检查后发现 Windows Event Log服务没有正常开启。可能因为某些原因使本来应该自动启动的这个服务没启动造成的。想办法启动这个服务后,再启动任务管理器就正常了。这个服务就是事件查看器需要的服务。但启动windows event log服务并不容易,费了不少劲,参看下一篇事件查看器打开之后“显示事件日志服务不可用,请验证服务是否在运行”,我马上就去『服务』里尝试启动Windows Event Log的服务,结果系统又提示Windows 无法启动 Windows Event Log 服务 (位于 本地计算机上)。错误 4201: 无法识别传来的实例名是否为有效的 WMI 数据提供程序。搜索相关的关键字,查看了几个链接之后,果然大多数的人也是不知道是什么原因导致事件查看器启动不能了,但是人多,点子也多,倒是有不少解决办法(或者说是偏方吧)以下3种方法,我都尝试了,也没解决,最后参照第3种方法但方式不同解决了。方法1,取得『%SystemRoot%\LogFiles』文件夹和『%SystemRoot%\System32\wbem』文件夹的权限(包括这两个文件夹的所有子文件夹的权限),简单点说,就是使你当前的帐户拥有这两个文件夹以及它们的子文件夹的绝对控制权限。这是最简单的方法,不少老外说,这样一弄,倒是解决了问题。不过对我的系统,没用;方法2,以不带网络的安全模式启动,运行命令行,输入“net stop winmgmt”(不带引号),确认WMI服务停止后,将『%SystemRoot%\System32\wbem』下的『Repository』文件夹重命名,然后再次转到命令行,输入“winmgmt /resetRepository”(不带引号),重启系统,测试事件查看器是否工作正常。这个方法据说效果最好,很多人靠这个修复了4201错误。很不走运,这个方法对我的系统还是无效;方法3,删除『%SystemRoot%\Logs』文件夹和『%SystemRoot%\System32\LogFiles』文件夹(不用担心删除后造成不好的结果,系统会自动重新建立它们的),不过由于系统正在访问这两个文件夹里的文件,即使你拥有它们的绝对控制权,你也还是无法删除它们的。此时就需要借助MoveFile这个软件了(下载页面: ),它可以在系统启动的时候对文件、文件夹进行移动、删除等操作,借助一个批处理,搞定。批处理内容如下:"X:\***\movefile.exe" "C:\Windows\System32\LogFiles" """X:\***\movefile.exe" "C:\Windows\Logs" ""仍然不幸,不能解决。后来发现,第3种方法本来应该删除C:\Windows\System32\LogFiles和C:\Windows\Logs文件夹,但实际上没有删除,于是想到了第4种方法:用unlocker强制删除C:\Windows\System32\LogFiles和C:\Windows\Logs文件夹。用unlocker删除C:\Windows\Logs文件夹倒是比较容易,先解锁,然后删除就行了。但删除C:\Windows\System32\LogFile文件夹时提示不能马上删除,下次启动时才删除,所以重启系统,结果发现重启后删除了文件中的部分内容,整个文件夹的属性中看到创建日期仍然是以前的日期,修改日期倒是今天,于是判断是删除不彻底。后来想到了,将C:\Windows\System32\LogFile文件夹改名应该可以,所以就用unlocker改名,仍然需要重启系统,重启后发现重命名成功,系统新建立了个C:\Windows\System32\LogFile文件夹。这时Windows Event Log(事件查看记录服务)已经成功启了。分析:第3、4其实想法是一样的,就是完全删除那两个目录,然后让windows重新建立,不过不知为什么第3方法不成功。也许vista分配权限的问题?这个就没再研究了,怕把系统给整坏了:)。
❻ XP系统系统日志
如果你已经用上了Windows XP,那么是否意识到不管你是否愿意,操作系统每天都在后台默默无闻地记录下所有的一举一动,相当于忠实的史官“铁笔写春秋”,这就是可以在“控制面板→管理工具”中找到的“事件查看器”,通过它可以了解系统的喜怒哀乐和一言一行,虽然都是一些流水账,但我们既可以从中品尝到成功的喜悦,也可以找到失败的原因,实在是一个忠实的系统助手。事件查看器能看些什么事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows XP的安全事件,下面笔者简单介绍:提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。1. 应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。2. 安全性日志记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
❼ 为什么我的XP系统的我的电脑的工具选项里没有文件夹选项
1.在运行里输入gpedit.msc2.选择用户配置-管理模板-WINDOWS组件-WINDOWS资源管理器3.双击从“工具”菜单中版删除“文件权夹选项”4.选择未配置或已禁用5.确定如果已经选择,就取消并再次选择
❽ 【高分】普通的个人电脑xp或win7系统有日志文件么它们的日志文件记录入侵者的ip和活动么在哪清除
系统日志源自航海日志:当人们出海远行的时候,总是要做好航海日志,以便为以后的工作做出依据。日志文件作为微软Windows系列操作系统中的一个比较特殊的文件,在安全方面具有无可替代的价值。日志每天为我们忠实的记录着系统所发生一切,利用系统日志文件,可以使系统管理员快速对潜在的系统入侵作出记录和预测,但遗憾的是目前绝大多数的人都忽略了它的存在。反而是因为黑客们光临才会使我们想起这个重要的系统日志文件。 7.1 日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如wps系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 7.1.1 黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 7.1.2 Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。 (1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。 将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志 :跟踪各种各样的系统事件,记录由 Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志 :记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。 Windows NT的日志系统通常放在下面的位置,根据操作系统的不同略有变化。 C:\systemroot\system32\config\sysevent.evt C:\systemroot\system32\config\secevent.evt C:\systemroot\system32\config\appevent.evt Windows NT使用了一种特殊的格式存放它的日志文件,这种格式的文件可以被事件查看器读取,事件查看器可以在“控制面板”中找到,系统管理员可以使用事件查看器选择要查看的日志条目,查看条件包括类别、用户和消息类型。 3.Windows 2000的日志系统 与Windows NT一样,Windows 2000中也一样使用“事件查看器”来管理日志系统,也同样需要用系统管理员身份进入系统后方可进行操作,如图7-1所示。 图7-1 在Windows 2000中,日志文件的类型比较多,通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而略有变化。启动Windows 2000时,事件日志服务会自动启动,所有用户都可以查看“应用程序日志”,但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会关闭“安全日志”,但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启,就会无限制的记录下去,直到装满时停止运行。 Windows 2000日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\sys tem32\config,默认文件大小512KB,但有经验的系统管理员往往都会改变这个默认大小。 安全日志文件:c:\sys temroot\sys tem32\config\SecEvent.EVT 系统日志文件:c:\sys temroot\sys tem32\config\SysEvent.EVT 应用程序日志文件:c:\sys temroot\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:c:\systemroot\sys tem32\logfiles\msftpsvc1\。 Internet信息服务WWW日志默认位置:c:\systemroot\sys tem32\logfiles\w3svc1\。 Scheler服务器日志默认位置:c:\systemroot\schedLGu.txt 。该日志记录了访问者的IP,访问的时间及请求访问的内容。 因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文件, FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以将该日志文件删除。具体方法本节略。 Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst,CLA)的工具,有很强的日志管理功能,它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录,而是通过分类的方式将各种事件整理好,让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个网络环境中多个系统的各种活动同时进行分析,避免了一个个单独去分析的麻烦。 4.Windows XP日志文件 说Windows XP的日志文件,就要先说说Internet连接防火墙(ICF)的日志,ICF的日志可以分为两类:一类是ICF审核通过的IP数据包,而一类是ICF抛弃的IP数据包。日志一般存于Windows目录之下,文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format),分为两部分,分别是文件头(Head Information)和文件主体(Body Information)。文件头主要是关于Pfirewall.log这个文件的说明,需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息,包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式,这与在常用日志分析工具中使用的格式类似。 当我们在WindowsXP的“控制面板”中,打开事件查看器,如图7-2所示。 就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件,当你单击其中任一文件时,就可以看见日志文件中的一些记录,如图7-3所示。 图7-2 图7-3 在高级设备中,我们还可以进行一些日志的文件存放地址、大小限制及一些相关操作,如图7-4所示。 图7-4 若要启用对不成功的连接尝试的记录,请选中“记录丢弃的数据包”复选框,否则禁用。另外,我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。 5.日志分析 当日志每天都忠实的为用户记录着系统所发生的一切的时候,用户同样也需要经常规范管理日志,但是庞大的日志记录却又令用户茫然失措,此时,我们就会需要使用工具对日志进行分析、汇总,日志分析可以帮助用户从日志记录中获取有用的信息,以便用户可以针对不同的情况采取必要的措施。 7.2 系统日志的删除 因操作系统的不同,所以日志的删除方法也略有变化,本文从Windows 98和Windows 2000两种有明显区别的操作系统来讲述日志的删除。 7.2.1 Windows 98下的日志删除 在纯DOS下启动计算机,用一些常用的修改或删除命令就可以消除Windows 98日志记录。当重新启动Windows98后,系统会检查日志文件的存在,如果发现日志文件不存在,系统将自动重建一个,但原有的日志文件将全部被消除。 7.2.2 Windows 2000的日志删除 Windows 2000的日志可就比Windows 98复杂得多了,我们知道,日志是由系统来管理、保护的,一般情况下是禁止删除或修改,而且它还与注册表密切相关。在Windows 2000中删除日志首先要取得系统管理员权限,因为安全日志和系统日志必须由系统管理员方可查看,然后才可以删除它们。 我们将针对应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件,就必须停止系统对日志文件的保护功能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件,但安全日志就必须要使用系统中的“事件查看器”来控制它,打开“控制面板”的“管理工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单,点击它如图7-5所示。 图7-5 输入远程计算机的IP,然后需要等待,选择远程计算机的安全性日志,点击属性里的“清除日志”按钮即可。7.3 发现入侵踪迹 如何当入侵者企图或已经进行系统的时候,及时有效的发现踪迹是目前防范入侵的热门话题之一。发现入侵踪迹的前题就是应该有一个入侵特征数据库,我们一般使用系统日志、防火墙、检查IP报头(IP header)的来源地址、检测Email的安全性以及使用入侵检测系统(IDS)等来判断是否有入侵迹象。 我们先来学习一下如何利用端口的常识来判断是否有入侵迹象: 电脑在安装以后,如果不加以调整,其默认开放的端口号是139,如果不开放其它端口的话,黑客正常情况下是无法进入系统的。如果平常系统经常进行病毒检查的话,而突然间电脑上网的时候会感到有反应缓慢、鼠标不听使唤、蓝屏、系统死机及其它种种不正常的情况,我们就可以判断有黑客利用电子信件或其它方法在系统中植入的特洛伊木马。此时,我们就可以采取一些方法来清除它,具体方法在本书的相关章节可以查阅。 7.3.1 遭受入侵时的迹象 入侵总是按照一定的步骤在进行,有经验的系统管理员完全可以通过观察到系统是否出现异常现象来判断入侵的程度。 1.扫描迹象 当系统收到连续、反复的端口连接请求时,就可能意味着入侵者正在使用端口扫描器对系统进行外部扫描。高级黑客们可能会用秘密扫描工具来躲避检测,但实际上有经验的系统管理员还是可以通过多种迹象来判断一切。 2.利用攻击 当入侵者使用各种程序对系统进行入侵时,系统可能报告出一些异常情况,并给出相关文件(IDS常用的处理方法),当入侵者入侵成功后,系统总会留下或多或少的破坏和非正常访问迹象,这时就应该发现系统可能已遭遇入侵。 3.DoS或DDoS攻击迹象 这是当前入侵者比较常用的攻击方法,所以当系统性能突然间发生严重下降或完全停止工作时,应该立即意识到,有可能系统正在遭受拒绝服务攻击,一般的迹象是CPU占用率接近90%以上,网络流量缓慢、系统出现蓝屏、频繁重新启动等。 7.3.2 合理使用系统日志做入侵检测 系统日志的作用和重要性大家通过上几节的讲述,相信明白了不少,但是虽然系统自带的日志完全可以告诉我们系统发生的任何事情,然而,由于日志记录增加得太快了,最终使日志只能成为浪费大量磁盘空间的垃圾,所以日志并不是可以无限制的使用,合理、规范的进行日志管理是使用日志的一个好方法,有经验的系统管理员就会利用一些日志审核工具、过滤日志记录工具,解决这个问题。 要最大程度的将日志文件利用起来,就必须先制定管理计划。 1.指定日志做哪些记录工作? 2.制定可以得到这些记录详细资料的触发器。 7.3.3 一个比较优秀的日志管理软件 要想迅速的从繁多的日志文件记录中查找到入侵信息,就要使用一些专业的日志管理工具。Surfstats Log Analyzer4.6就是这么一款专业的日志管理工具。网络管理员通过它可以清楚的分析“log”文件,从中看出网站目前的状况,并可以从该软件的“报告”中,看出有多少人来过你的网站、从哪里来、在系统中大量地使用了哪些搜寻字眼,从而帮你准确地了解网站状况。 这个软件最主要的功能有: 1、整合了查阅及输出功能,并可以定期用屏幕、文件、FTP或E-mail的方式输出结果; 2.可以提供30多种汇总的资料; 3.能自动侦测文件格式,并支持多种通用的log文件格式,如MS IIS的W3 Extended log格式; 4.在“密码保护”的目录里,增加认证(Authenticated)使用者的分析报告; 5.可按每小时、每星期、或每月的模式来分析; 6.DNS资料库会储存解析(Resolved)的IP地址; 7.每个分析的画面都可以设定不同的背景、字型、颜色。 发现入侵踪迹的方法很多,如入侵检测系统IDS就可以很好的做到这点。下一节我们将讲解详细的讲解入侵检测系统。 7.4 做好系统入侵检测 7.4.1 什么是入侵检测系统 在人们越来越多和网络亲密接触的同时,被动的防御已经不能保证系统的安全,针对日益繁多的网络入侵事件,我们需要在使用防火墙的基础上选用一种协助防火墙进行防患于未然的工具,这种工具要求能对潜在的入侵行为作出实时判断和记录,并能在一定程度上抗击网络入侵,扩展系统管理员的安全管理能力,保证系统的绝对安全性。使系统的防范功能大大增强,甚至在入侵行为已经被证实的情况下,能自动切断网络连接,保护主机的绝对安全。在这种情形下,入侵检测系统IDS(Intrusion Detection System)应运而生了。入侵检测系统是基于多年对网络安全防范技术和黑客入侵技术的研究而开发的网络安全产品 它能够实时监控网络传输,自动检测可疑行为,分析来自网络外部入侵信号和内部的非法活动,在系统受到危害前发出警告,对攻击作出实时的响应,并提供补救措施,最大程度地保障系统安全。 NestWatch 这是一款运行于Windows NT的日志管理软件,它可以从服务器和防火墙中导入日志文件,并能以HTML的方式为系统管理员提供报告。 7.4.2 入侵检测系统和日志的差异 系统本身自带的日志功能可以自动记录入侵者的入侵行为,但它不能完善地做好入侵迹象分析记录工作,而且不能准确地将正常的服务请求和恶意的入侵行为区分开。例如,当入侵者对主机进行CGI扫描时,系统安全日志能提供给系统管理员的分析数据少得可怜,几乎全无帮助,而且安全日志文件本身的日益庞大的特性,使系统管理员很难在短时间内利用工具找到一些攻击后所遗留下的痕迹。入侵检测系统就充分的将这一点做的很好,利用入侵检测系统提供的报告数据,系统管理员将十分轻松的知晓入侵者的某些入侵企图,并能及时做好防范措施。 7.4.3 入侵检测系统的分类 目前入侵检测系统根据功能方面,可以分为四类: 1.系统完整性校验系统(SIV) SIV可以自动判断系统是否有被黑客入侵迹象,并能检查是否被系统入侵者更改了系统文件,以及是否留有后门(黑客们为了下一次光顾主机留下的),监视针对系统的活动(用户的命令、登录/退出过程,使用的数据等等),这类软件一般由系统管理员控制。 2.网络入侵检测系统(NIDS) NIDS可以实时的对网络的数据包进行检测,及时发现端口是否有黑客扫描的迹象。监视计算机网络上发生的事件,然后对其进行安全分析,以此来判断入侵企图;分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。 3.日志分析系统(LFM) 日志分析系统对于系统管理员进行系统安全防范来说,非常重要,因为日志记录了系统每天发生的各种各样的事情,用户可以通过日志记录来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志分析系统的主要功能有:审计和监测、追踪侵入者等。日志文件也会因大量的记录而导致系统管理员用一些专业的工具对日志或者报警文件进行分析。此时,日志分析系统就可以起作用了,它帮助系统管理员从日志中获取有用的信息,使管理员可以针对攻击威胁采取必要措施。 4.欺骗系统(DS) 普通的系统管理员日常只会对入侵者的攻击作出预测和识别,而不能进行反击。但是欺骗系统(DS)可以帮助系统管理员做好反击的铺垫工作,欺骗系统(DS)通过模拟一些系统漏洞来欺骗入侵者,当系统管理员通过一些方法获得黑客企图入侵的迹象后,利用欺骗系统可以获得很好的效果。例如重命名NT上的administrator账号,然后设立一个没有权限的虚假账号让黑客来攻击,在入侵者感觉到上当的时候,管理员也就知晓了入侵者的一举一动和他的水平高低。 7.4.4 入侵检测系统的检测步骤 入侵检测系统一般使用基于特征码的检测方法和异常检测方法,在判断系统是否被入侵前,入侵检测系统首先需要进行一些信息的收集。信息的收集往往会从各个方面进行。例如对网络或主机上安全漏洞进行扫描,查找非授权使用网络或主机系统的企图,并从几个方面来判断是否有入侵行为发生。 检测系统接着会检查网络日志文件,因为黑客非常容易在会在日志文件中留下蛛丝马迹,因此网络日志文件信息是常常作为系统管理员检测是否有入侵行为的主要方法。取得系统管理权后,黑客们最喜欢做的事,就是破坏或修改系统文件,此时系统完整性校验系统(SIV)就会迅速检查系统是否有异常的改动迹象,从而判断入侵行为的恶劣程度。将系统运行情况与常见的入侵程序造成的后果数据进行比较,从而发现是否被入侵。例如:系统遭受DDoS分布式攻击后,系统会在短时间内性能严重下降,检测系统此时就可以判断已经被入侵。 入侵检测系统还可以使用一些系统命令来检查、搜索系统本身是否被攻击。当收集到足够的信息时,入侵检测系统就会自动与本身数据库中设定的已知入侵方式和相关参数匹配,检测准确率相当的高,让用户感到不方便的是,需要不断的升级数据库。否则,无法跟上网络时代入侵工具的步伐。入侵检测的实时保护功能很强,作为一种“主动防范”的检测技术,检测系统能迅速提供对系统攻击、网络攻击和用户误操作的实时保护,在预测到入侵企图时本身进行拦截和提醒管理员预防。 7.4.5 发现系统被入侵后的步骤 1.仔细寻找入侵者是如何进入系统的,设法堵住这个安全漏洞。 2.检查所有的系统目录和文件是否被篡改过,尽快修复。 3.改变系统中的部分密码,防止再次因密码被暴力破解而生产的漏洞。 7.4.6 常用入侵检测工具介绍 1.NetProwler 作为世界级的互联网安全技术厂商,赛门铁克公司的产品涉及到网络安全的方方面面,特别是在安全漏洞检测、入侵检测、互联网内容/电子邮件过滤、远程管理技术和安全服务方面,赛门铁克的先进技术的确让人惊叹!NetProwler就是一款赛门铁克基于网络入侵检测开发出的工具软件,NetProwler采用先进的拥有专利权的动态信号状态检测(SDSI)技术,使用户能够设计独特的攻击定义。即使最复杂的攻击也可以由它直观的攻击定义界面产生。 (1)NetProwler的体系结构 NetProwler具有多层体系结构,由Agent、Console和Manager三部分组成。Agent负责监视所在网段的网络数据包。将检测到的攻击及其所有相关数据发送给管理器,安装时应与企业的网络结构和安全策略相结合。Console负责从代理处收集信息,显示所受攻击信息,使你能够配置和管理隶属于某个管理器的代理。Manager对配置和攻击警告信息响应,执行控制台发布的命令,将代理发出的攻击警告传递给控制台。 当NetProwler发现攻击时,立即会把攻击事件记入日志并中断网络连接、创建一个报告,用文件或E-mail通知系统管理员,最后将事件通知主机入侵检测管理器和控制台。 (2)NetProwler的检测技术 NetProwler采用具有专利技术的SDSI(Stateful Dynamic Signature Inspection状态化的动态特征检测)入侵检测技术。在这种设计中,每个攻击特征都是一组指令集,这些指令是由SDSI虚处理器通过使用一个高速缓存入口来描述目前用户状态和当前从网络上收到数据包的办法执行。每一个被监测的网络服务器都有一个小的相关攻击特征集,这些攻击特征集都是基于服务器的操作和服务器所支持的应用而建立的。Stateful根据监视的网络传输内容,进行上下文比较,能够对复杂事件进行有效的分析和记录 基于SDSI技术的NetProwler工作过程如下: 第一步:SDSI虚拟处理器从网络数据中获取当今的数据包; 第二步:把获取的数据包放入属于当前用户或应用会话的状态缓冲中; 第三步:从特别为优化服务器性能的特征缓冲中执行攻击特征; 第四步:当检测到某种攻击时,处理器立即触发响应模块,以执行相应的响应措施。 (3)NetProwler工作模式 因为是网络型IDS,所以NetProwler根据不同的网络结构,其数据采集部分(即代理)有多种不同的连接形式:如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可。 (4)系统安装要求 用户将NetProwler Agent安装在一台专门的Windows NT工作站上,如果NetProwler和其他应用程序运行在同一台主机上,则两个程序的性能都将受到严重影响。网络入侵检测系统占用大量的资源,因此制造商一般推荐使用专门的系统运行驱动引擎,要求它有128M RAM和主频为400MHz的Intel Pentium II或Pentium
❾ xp系统文件夹选项找不到了
两种方法找到“显示文件夹选项” 1、在“运行”对话框中输入 gpedit.msc,然后单击确定,按钮即可启动WindowsXP组策略编辑器。依次展开 用户设置→管理模板→Windows组件→Windows资源管理器,双击右侧的 从工具菜单中删除文件夹选项 菜单,随后在弹出对话框中选择“禁止”选项。 2、通过注册表找回。点击“开始→运行”,输入regedit,进入注册表编辑器。依次展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”分支,在右侧窗口中找到“NoFileMenu”键,将键值修改为“0”,或者删除该键。最后重新启动Windows XP即可。
