********************************************************************************
RCLS v1.05
Remote Clear eventLogs Script, by zzzEVAzzz
Welcome to visite www.isgrey.com
Usage:
cscript c:\scriptpath\RCLS.vbe targetIP username password [lognamelist]
lognamelist:
logname1[,logname2...] clear specified logs
*|-a|-all clear all logs
-v|-view|NULL enum log names
********************************************************************************
描述:远程清除目标事件日志的windows脚本。
特点:不依赖于目标的ipc$开放与否。
原理:直接访问目标的windows管理规范服务(WMI)。该服务为系统重要服务,默认启动。
支持平台:win2kpro win2kserver winxp win.net
使用方法:
在命令行方式下使用windows自带的脚本宿主程序cscript.exe调用脚本,例如:
c:\>cscript RCLS.vbe <目标IP> <用户名> <密码> [日志名列表]
日志名列表是用逗号","分隔的目标事件日志英文名。
比如system是系统日志,application是应用程序日志,security是安全日志。
这三种日志是系统默认就有的,可以分别使用sys,app,sec作为缩写表示。
对于其他日志需要写明完整英文名(以注册表为准)。
使用*、-a或-all做参数代替日志名列表将清除全部的日志。
没有日志名列表或者使用-v、-view做参数,可以列举目标所有的日志种类的英文名。
空密码用两个双引号""表示。
如果要对本地使用,IP地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用""表示)。
如果日志很多,响应会较慢,请等待。
此脚本处于测试阶段,仅限灰色轨迹论坛内部流传。请不要对外公布。谢谢合作。
本人提供有限技术支持,有问题请到论坛发短消息给我。我的ID是zzzevazzz
脚本已做简单加密,暂不公布源代码。(写得烂,不好意思公布啦)
最后更新:2002-8-24
更新记录:
1.05 更改了输出显示格式。
1.04 解决一些错误格式参数的响应问题。
1.03 增加了日志名缩写表示功能。
1.02 增加列举目标日志种类和清除指定日志的功能。
1.01 解决空密码的问题。
1.00 完成基本功能,清除目标全部日志。