Windows 入侵痕迹清理技巧
文章来源:Bypass
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。
01、Windows日志清除
windows 日志路径:
系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx
安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx
日志在注册表的键:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
windows 日志清除方式:
(1)最简单粗暴的方式
开始→运行,输入 eventvwr
进入事件查看器,右边栏选择清除日志。
(2)命令行一键清除Windows事件日志
PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"
Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
(3)利用脚本停止日志的记录
通过该脚本遍历事件日志服务进程(专用svchost.exe)的线程堆栈,并标识事件日志线程以杀死事件日志服务线程。
因此,系统将无法收集日志,同时事件日志服务似乎正在运行。
github项目地址:https://github.com/hlldz/Invoke-Phant0m
(4)Windows单条日志清除
该工具主要用于从Windows事件日志中删除指定的记录。
github项目地址:https://github.com/QAX-A-Team/EventCleaner
(5)Windows日志伪造
使用eventcreate这个命令行工具来伪造日志或者使用自定义的大量垃圾信息覆盖现有日志。
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
02、IIS日志
IIS默认日志路径:
%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\
清除WWW日志:
停止服务:net stop w3svc
删除日志目录下所有文件:del *.*
启用服务:net start w3svc
03、利用Windows自带命令进行安全擦除
(1)Shift+Delete快捷键永久删除
直接删除文件,还是能在回收站找到的,使用Shift+Delete快捷键可以直接永久删除了。但是用数据恢复软件,删除的文件尽快恢复,否则新的文件存入覆盖了原来的文件痕迹就很难恢复了。
(2)Cipher 命令多次覆写
在删除文件后,可以利用Cipher 命令通过 /W 参数可反复写入其他数据覆盖已删除文件的硬盘空间,彻底删除数据防止被恢复。
比如,删除D:\tools
目录下的文件,然后执行这条命令:
cipher /w:D:\tools
这样一来,D 盘上未使用空间就会被覆盖三次:一次 0x00、一次 0xFF,一次随机数,所有被删除的文件就都不可能被恢复了。
(3)Format命令覆盖格式化
Format 命令加上 /P 参数后,就会把每个扇区先清零,再用随机数覆盖。而且可以覆盖多次。比如:
format D: /P:8
这条命令表示把 D 盘用随机数覆盖 8 次。
04、清除远程桌面连接记录
当通过本机远程连接其他客户端或服务器后,会在本机存留远程桌面连接记录。代码保存为clear.bat
文件,双击运行即可自动化清除远程桌面连接记录。
@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
05、Metasploit 痕迹清除
(1)查看事件日志
meterpreter > run event_manager -i
[*] Retriving Event Log Configuration
Event Logs on System
====================
Name Retention Maximum Size Records
---- --------- ------------ -------
Application Disabled 20971520K 2149
HardwareEvents Disabled 20971520K 0
Internet Explorer Disabled K 0
Key Management Service Disabled 20971520K 0
Security Disabled 20971520K 1726
System Disabled 20971520K 3555
Windows PowerShell Disabled 15728640K 138
(2)清除事件日志(包括六种日志类型)
meterpreter > run event_manager -c
(3)另外,也可以输入clearv命令清除目标系统的事件日志(仅包含三种日志类型)
meterpreter > clearev
[*] Wiping 4 records from Application...
[*] Wiping 8 records from System...
[*] Wiping 7 records from Security...
Windows 入侵痕迹清理技巧相关推荐
- windows清理_Windows入侵痕迹清理技巧方法总结
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- Windows 入侵痕迹清理
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- java怎么清楚项目痕迹_Windows 入侵痕迹清理技巧
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- WINDOWS之入侵痕迹清理总结
Windows的日志文件通常有应用程序日志,安全日志.系统日志.DNS服务器日志.FTP日志.WWW日志等等. 应用程序日志文件:%systemroot%\system32\config\AppEve ...
- Windows主机入侵痕迹排查办法
目录 1.排查思路 1.1.初步筛选排查资产 1.2.确定排查资产 1.3.入侵痕迹排查 2.排查内容 2.1.windows主机 2.1.1.网络连接 2.1.2.敏感目录 2.1.3.后门文件 2 ...
- Windows日志识别入侵痕迹
有小伙伴问:网络上大部分windows系统日志分析都只是对恶意登录事件分析的案例,可以通过系统日志找到其他入侵痕迹吗? 答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令. ...
- 渗透测试-后渗透-痕迹清理
https://mp.weixin.qq.com/s/bc2zKlsQSTMPVMPfQyrXSA 后渗透-痕迹清理Windows修改文件时间戳 登陆到服务器,对它的⽂件进行了修改,修改后的⽂件的时间 ...
- 【Network Security!】入侵痕迹清除,修改系统日志
搞渗透的同学都会碰到这个问题,如何清理入侵痕迹?比较多见的就是覆盖日志或者直接删除,感觉这种方法太暴力了,直接删除或者覆盖多少都会有破绽,有人提醒说可以尝试修改日志,碰巧在网上看到一个相关的脚本,拿来 ...
- 防止黑客入侵的五大技巧
2019独角兽企业重金招聘Python工程师标准>>> 防止黑客入的方法有很多,但是世界上没有绝对安全的系统.我们只可以尽量避免被入侵,最大的程度上减少伤亡.那么,接下来天下数据将为 ...
- win电脑C/D盘清理技巧
dir /AD 查看当前路径下的所有文件夹 ; 1. 下载 和安装 磁盘文件占用空间分析工具TreeSize Free 可以查看某个目录下的每个文件/文件夹占用的磁盘空间大小, 大文件夹使用win自带 ...
最新文章
- 撩课-Web大前端每天5道面试题-Day7
- Leetcode 面试题 01.01. 判定字符是否唯一 (每日一题 20211012)
- 转载:从集群计算到云计算
- C++ Multimaps
- 3dContactPointAnnotationTool开发日志(二十)
- Step by Step 使用AET 创建Product extension fields
- ASP.NET Core 中是否有 PostAsJsonAsync() 方法?
- python 读行为数组_python将多列文件读入数组
- [转载] 解析Java的JNI编程中的对象引用与内存泄漏问题
- Randomatic mac - AE随机摆动的字母图层效果脚本
- linux 下root 口令破解(二) ——说一下grub的密码和安全模式
- FIREDAC(DELPHI10 or 10.1)提交数据给ORACLE数据库的一个不是BUG的BUG
- poi导出excel报错Failed to read zip entry source
- C盘空间不足怎么办?试试这款软件
- c语言自学文档,自学c语言(全套资料)
- Linux学习笔记(三) -- Visual Studio Code 的安装与卸载
- Dex.top新手使用教程
- Phonetic symbol 单元音 - 长元音 -- ɜː (新) / ə: (旧) 与 ɔː
- 冒泡排序c语言子程序,C语言之冒泡排序算法
- 中国己内酰胺市场前景策略分析与投资调研评估报告2022年版