admin管理员组文章数量:1567573
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
- 前言
- 一、windows操作系统基础入门
- 二、windows渗透痕迹清除
-
- 1.为避免入侵操作行为被发现时,攻击者往往通过各种方式来隐藏自己操作痕迹,比如:删除日志、隐藏后门、日志伪造。
前言
我们在做痕迹清理时,一定要对windows的基础理论,基础知识点明确于心,废话不多说,接下来开始学习。
记录MS08068学习红队三期windows痕迹清除
1、windows用户基础入门
2、windows用户命令入门
3、windows渗透痕迹清除
一、windows操作系统基础入门
1、了解windows用户
2、了解windows用户组
3、了解用户的权限划分
百度脑图:
https://naotu.baidu/file/80a2365213702de526fd9a988c91f572
二、windows渗透痕迹清除
1.为避免入侵操作行为被发现时,攻击者往往通过各种方式来隐藏自己操作痕迹,比如:删除日志、隐藏后门、日志伪造。
01、windows日志清除在哪?如何清除?:
window日志路径一般在如下几个地方:
备注:主机日志路径
系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx
安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx
日志在注册表的键:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
清除方法:
(1) 全部清除,容易被发现
方法一:cmd命令输入:eventvwr 打开事件管理器,如图,点击一键删除clear loading
方法二:通过命令删除:
- cmd环境:
PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"
PowerShell -Command "& {Get-WinEvent -ListLog Application,System,Security -Force | % {Wevtutil.exe cl $_.Logname}}"
- powershell环境:
Clear-Eventlog -Log Application,System,Security
Get-WinEvent -ListLog Application,System,Security -Force | % {
Wevtutil.exe cl $_.Logname}
(2)定向清除
(1)停止日志服务
方法一:工具实现
在我们清除日志的动作期间,这个清除动作已经被计算机记录,所有首先要停止日志记录,借助第三方工具:原理:定位并杀掉日志服务的相关进程,而对其应的svchost.exe进程并没有被杀掉,所以日志几率服务器看起来是正常运行。
项目地址:https://github/hlldz/Phant0m
工具老版本是用powershell写的,执行命令powershell -File Invoke-Phant0m,如果提示脚本文件无法执行,则可能是由于执行策略限制,通过命令修改执行策略即可(管理员权限):
新版本需要自己编译生成可执行文件,原理在于定位并杀死日志服务运行线程,工具提供了两种定位日志服务线程的方法,在编译时要注意选择下。注意待日志清除后要恢复日志服务,命令是net start evevtlog。
方法二:手动实现
首先利用ps命令找出日志记录服务器(eventlog)对应的进程PID,Get-WmiObject或Get-CimInstance命令都可以:
运行结果中可以看出eventlog服务对应的PID都是1736,然后利用工具找出pid=1706的进程:(此处利用的工具为process)
选择该scvhost.exe,点选右键->属性->线程,找出服务为eventlog的线程TID、如图:依次选择Kill这些线程,注意Suspend是不行的:
这样日志服务实际上就关闭了,但由于只是杀掉了其进程下运行的线程,而进程仍然存在,所以服务看起来是没有异样的,这和方法一中用工具实现的原理是相同的。
恢复正常:需要恢复日志记录服务时,在进程列表界面选择该scvhost.exe,点选右键->重新启动(restart),然后运行命令net start eventlog就可以了。
2、删除日志
一般我们获取shell时,在做敏感操作的时候,需要借助第三方工具清除单独日志,以下的工具就是奇安信工具,根据EventRecordID删除单挑日志功能。
项目地址:https://github/QAX-A-Team/EventCleaner
使用方法:
EventCleaner suspend # 暂停日志进程,停止日志记录
EventCleaner normal # 恢复日志进程
EventCleaner closehandle # 解除security.evtx的文件占坑
EventCleaner 100
2、应用日志
在删改windows安装的应用程序的日志相对简单,应为定位其中路径后就可以手动进行修改:总结三部曲。
1、找到应用程序的日志路径,
2、停止其响应服务。
3、对日志内容进行修改
停止服务的命令一般用net stop即可,如net stop “World Wide Publishing Service”,删除命令用Shift + Delete或cmd命令del。
(二)搜索&链接
获取shell后一般我们的操作会需要远程桌面链接,远程桌面链接会使我们留下痕迹
1、远程桌面记录
(1)删除缓存
缓存文件默认一般为:C:\Users\Administrator\Documents\Default.rdp ,已隐藏,可
版权声明:本文标题:红队渗透-window痕迹清除 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1725481793a1025227.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论