win32防止被删日志的非主流保护

得把这些凌乱记录下来，以免再次需要时找得头破血流。。。

虽然有点忙羊补牢的味道，但总比被入侵后无计可施，无处可跟踪好。。

通过对IP记录，接合系统登录日志分析，抽取入侵者IP后，就可以更好对IIS日志进行过滤分析了。

1，找一隐秘地方新建一个文件夹（避免灰客们乱窜发现日志），比如C:\windows\b_log(文件夹新建)，在文件夹下新建一批处理文件3389log.bat，cmd代码内容如下：
1.@echo off
2.date /t >>C:\WINDOWS\b_log\3389log.log
3.time /t >>C:\WINDOWS\b_log\3389log.log
4.netstat -an | find “:3389″ | find “ESTABLISHED” >> C:\WINDOWS\b_log\3389log.log

2，开始–》运行–>命令gpedit.msc进入策略管理编辑器

3，用户配置–》Windows配置–》脚本–》属性登录–》添加

4，在脚本名上填入新建的批处理3389log.bat文件就可以了。

OK，当启动时候，无知觉中登录者IP和时间就被记录下了。。。