Windows入侵痕迹清理技巧方法总结
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。
01、Windows日志清除
windows 日志路径:
- 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx
- 安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx
- 应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx
- 日志在注册表的键:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
windows 日志清除方式:
(1)最简单粗暴的方式
开始→运行,输入 eventvwr 进入事件查看器,右边栏选择清除日志。
(2)命令行一键清除Windows事件日志
- PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"
- Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
(3)利用脚本停止日志的记录
通过该脚本遍历事件日志服务进程(专用svchost.exe)的线程堆栈,并标识事件日志线程以杀死事件日志服务线程。
因此,系统将无法收集日志,同时事件日志服务似乎正在运行。
项目地址:https://github.com/hlldz/Invoke-Phant0m
(4)Windows单条日志清除
该工具主要用于从Windows事件日志中删除指定的记录。
项目地址:https://github.com/QAX-A-Team/EventCleaner
(5)Windows日志伪造
使用eventcreate这个命令行工具来伪造日志或者使用自定义的大量垃圾信息覆盖现有日志。
- eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
本文转载:Bypass,不代表 极安网 立场,转载请注明出处:https://secvery.com/293.html