********************************************************************************
RCLS v1.05
Remote Clear eventLogs Script, by zzzEVAzzz
Welcome to visite www.isgrey.com
Usage:
cscript c:\scriptpath\RCLS.vbe targetIP username password [lognamelist]
lognamelist:
logname1[,logname2...] clear specified logs
*|-a|-all clear all logs
-v|-view|NULL enum log names
********************************************************************************
描述:遠(yuǎn)程清除目標(biāo)事件日志的windows腳本。
特點(diǎn):不依賴于目標(biāo)的ipc$開放與否。
原理:直接訪問目標(biāo)的windows管理規(guī)范服務(wù)(WMI)。該服務(wù)為系統(tǒng)重要服務(wù),默認(rèn)啟動。
支持平臺:win2kpro win2kserver winxp win.net
使用方法:
在命令行方式下使用windows自帶的腳本宿主程序cscript.exe調(diào)用腳本,例如:
c:\&;cscript RCLS.vbe 目標(biāo)IP> 用戶名> 密碼> [日志名列表]
日志名列表是用逗號","分隔的目標(biāo)事件日志英文名。
比如system是系統(tǒng)日志,application是應(yīng)用程序日志,security是安全日志。
這三種日志是系統(tǒng)默認(rèn)就有的,可以分別使用sys,app,sec作為縮寫表示。
對于其他日志需要寫明完整英文名(以注冊表為準(zhǔn))。
使用*、-a或-all做參數(shù)代替日志名列表將清除全部的日志。
沒有日志名列表或者使用-v、-view做參數(shù),可以列舉目標(biāo)所有的日志種類的英文名。
空密碼用兩個雙引號""表示。
如果要對本地使用,IP地址為127.0.0.1或者一個點(diǎn)(用.表示),用戶名和密碼都為空(用""表示)。
如果日志很多,響應(yīng)會較慢,請等待。
此腳本處于測試階段,僅限灰色軌跡論壇內(nèi)部流傳。請不要對外公布。謝謝合作。
本人提供有限技術(shù)支持,有問題請到論壇發(fā)短消息給我。我的ID是zzzevazzz
腳本已做簡單加密,暫不公布源代碼。(寫得爛,不好意思公布啦)
最后更新:2002-8-24
更新記錄:
1.05 更改了輸出顯示格式。
1.04 解決一些錯誤格式參數(shù)的響應(yīng)問題。
1.03 增加了日志名縮寫表示功能。
1.02 增加列舉目標(biāo)日志種類和清除指定日志的功能。
1.01 解決空密碼的問題。
1.00 完成基本功能,清除目標(biāo)全部日志。