来源:硅谷动力
　　在如今网络中上网首选工作就是要防黑结果不外乎两种种是黑客在我们严密立体式防御中损兵折将;另种就是黑客进入了我们系统那它究竟给我们修改了什么?做了哪些破坏呢?有经验网管员通过日志文件就可以知道蛛丝马迹搜集到和安全有关网络入侵证据(比如相关IP地址、登录帐号等信息)
　　同样有头脑黑客就会在撤离时用工具或手工方式清除所有日志内容或者干脆伪造假日志等因此对于日志文件保护定要慎重比较可行简易办法是为日志文件搬家更改其默认路径到别人想不到地方
　　、查看默认日志路径
　　依次打开“控制面板＼管理工具＼计算机管理”选中左侧窗口中“事件查看器”下面则有“应用”、“安全性”、“系统” 3项以第个“应用”为例在上面点击鼠标右键选择“属性”在“日志名称” 处显示Windows2000默认日志存放路径为:“c:＼winnt＼system32＼config＼appevent.evt”字样其他两项也是如此
　　接下来用户到D盘建立系列深目录以存放新日志文件如D:＼01＼02＼03＼04＼05＼06＼07起名原则就是要“越不起眼越好”
　　 2、更改系统注册表
　　点击“开始＼运行”输入“regedit”并回车即打开注册表编辑器找到HKEY_LOCAL_MACHINE＼SYSTEM＼ CurrentControlSet＼Services＼Eventlog 3个日志都在其下还是以应用为例选中“application”后右侧窗口中有个名为“file”项它原始数据是“%systemroot%＼system32＼config＼appevent.evt”即系统默认路径和文件名双击它在弹出窗口中修改其值为“d:＼01＼02＼03＼04＼05＼06＼07＼appevent.evt”依次类推再分别把Security和项下“file”键更改为“d:＼01＼02＼03＼04＼05＼06＼07＼secevent.evt”和“d:＼01＼02＼03＼04＼05＼06＼07＼sysevent.evt”最后按F5刷新下关闭注册表
　　来到c:＼w＼system32＼config文件夹下把appenvet.evt、secevent.evt和sysevent.evt这 3个日志文件复制并粘贴到新路径d:＼01＼02＼03＼04＼05＼06＼07中重新启动机器再来到“事件查看器”窗口插下日志文件属性发现路径名已经更改了
　　至此再结合着系统安装防火墙和杀毒软件Software、木马检测软件Software进行防护虽然日志文件搬家方式不能起到彻底保护目但足可以令实施偷窥黑客挠头了感兴趣朋友试试吧!