Windows入侵痕迹清理

zz/2024/5/23 2:40:45

Windows入侵痕迹清理

环境:Win10、Win7、Winxp虚拟机等

 

Windows日志

包括五个类别:应用程序、安全、Setup、系统、转发事件

 

查看方式

1、此电脑-右键管理-Windows日志

2、powershell(管理员权限)

查看所有日志:Get-winEvent

查看应用程序类别下的日志:Get-WinEvent -FilterHashtable @{logname="Application";}

 

清除方式

1、wevtutil.exe

操作系统默认包含,支持系统:Win7及以上

常用命令如下:

(1) 统计日志列表,查询所有日志信息,包含时间,数目

wevtutil.exe gli Application

(2)查看指定类别的日志内容

wevtutil qe Application /f:text

(3)删除该类日志所有内容

wevtutil cl Application

Application日志已经全部被清除了,数目为0

 

(4)获取security的最近十条日志

wevtutil qe Security /f:text /rd:true /c:10

(5)获得Security的前十条Security日志

wevtutil qe Security /f:text /c:10

也可以使用wevtutil qe Security /f:xml /c:10查看xml格式获取日志对应的EventRecordID,默认视图是xml,命令也可以简写为wevtutil qe Security /rd:true /c:10

(6)导出指定日志保存

wevtutil.exe epl Security 1.evtx

(7)删除单条日志并保存

删除Security下的单条日志(EventRecordID=2067),并保存为1.evtx

wevtutil epl Security 1.evtx "/q:*[System [(EventRecordID!=2067)]]"

(8)删除多条日志并保存

删除Security下的单条日志(EventRecordID为2068、2069和2070),并保存为1.evtx

wevtutil epl Security 1.evtx "/q:*[System [(EventRecordID>2070) or (EventRecordID<2068)]]"

(9)删除指定时间段的日志

wevtutil查询日志信息,输出格式为text时,未考虑时区

Windows界面查看日志信息,显示的时间也未考虑时区

wevtutil查询日志信息,输出格式为xml时,考虑了时区

时间为:14:46:08.590

时间为:14:46:08.590

时间为:06:46:08.590422600Z

时间相差了8小时,所以在删除指定日期的日志时,需要根据xml格式的时间

删除2020-01-17T05:46:07至2020-01-17T06:46:08的日志

wevtutil epl Security 1.evtx "/q:*[System [TimeCreated[@SystemTime >'2020-01-17T06:46:08' or @SystemTime <'2020-01-17T05:46:07']]]"

 

 

2、利用脚本停止日志的记录

https://github.com/hlldz/Invoke-Phant0m

利用脚本让日志功能失效,无法记录日志

此时执行命令并未发现日志记录

把eventlog对应的svchost进程结束,重新开启Windows Event Log服务,可以发现日志又开始记录了


http://www.ngui.cc/zz/1995937.html

相关文章

后渗透-痕迹清理

文章目录win修改文件时间戳linux修改文件时间戳清除history历史命令记录清除系统日志痕迹隐藏远程SSH登陆记录清除web入侵痕迹Linux删除登录日志和操作信息win 修改文件时间戳 有时我们登陆到服务器&#xff0c;对它的⽂件进行了修改&#xff0c;修改后的⽂件的时间戳会更新到…

java怎么清楚项目痕迹_Windows 入侵痕迹清理技巧

为避免入侵行为被发现&#xff0c;攻击者总是会通过各种方式来隐藏自己&#xff0c;比如&#xff1a;隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。01、Windows日志清除windows 日志路径&#xff1a;系统日志&#xff1a;%Sy…

内网渗透结束,痕迹清理必备手段

痕迹清理 在我们做完一系列的内网渗透操作后&#xff0c;必然会留下一些蛛丝马迹&#xff0c;因此我们需要给自己”擦屁股“。本篇只介绍如何清除系统日志、修改文件时间戳。 痕迹清理 Powershell 修改文件时间戳 有时候我们在登陆目标桌面后&#xff0c;根据需求可能会动用…

红队笔记之痕迹清理技术要点与实战方法总结

文章目录痕迹清理技术要点说明Windows痕迹清理Windows日志清理Windows日志相关基础知识Windows日志清理方法全量删除方法通过事件查看器删除通过PowerShell删除暴力删除日志文件使用wevtutil命令行删除msf一键清理定向清理方法删除最近数据删除某指定单条记录删除某指定多条记录…

后渗透痕迹清理记录

简介 渗透测试结束后&#xff0c;为了减少被发现和追溯的概率&#xff0c;有必要清除自己的攻击痕迹&#xff0c;这里注意记录一下自己收集记录的一些技巧,注意是清理掉访问日志等各种记录&#xff0c;愿用的上。 Windows日志清理 开始程序-->管理工具-->计算机管理--&g…

计算机操作痕迹清除,如何彻底清除电脑使用痕迹

1. 清除近使用过的文档记录&#xff1a;右键点击“开始”按钮&#xff0c;选择“属性”&#xff0c;在弹出的设置任务栏和开始菜单属性对话窗中点“自定义”按钮&#xff0c; “高级”标签下点“清除列表”2. 删除临时文件夹中的内容&#xff1a;手工清除在下列位置中的内容&am…

痕迹清理

5.4. 痕迹清理 5.4.1. Windows 操作日志&#xff1a;3389登录列表、文件访问日志、浏览器日志、系统事件登录日志&#xff1a;系统安全日志 5.4.2. Linux 清除历史unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE/dev/null;kill -9 $$ kill histor…

入侵痕迹清理

技术交流 关注微信公众号 Z20安全团队 , 回复 加群 &#xff0c;拉你入群 一起讨论技术。 直接公众号文章复制过来的&#xff0c;排版可能有点乱&#xff0c; 可以去公众号看。 在授权攻防演练中&#xff0c;攻击结束后&#xff0c;如何不留痕迹的清除日志和操作记录&#xff0…

痕迹清除的几种方式

痕迹清除 目的&#xff0c;清除自己入侵目标主机的痕迹&#xff08;不可能完全清除&#xff09; windows默认日志文件地址 Windows日志文件默认位置是“%systemroot%\system32\config 安全日志文件&#xff1a;%systemroot%\system32\config \SecEvent.EVT 系统日志文件&#x…

JS实现俄罗斯方块有声游戏Tetris Game JavaScript/TypeScript AudioContext

Tetris Game / 俄罗斯方块 扫码体验 https://capricorncd.github.io/tetris/dist 游戏截图 键盘操作 Left: ←, Right: →, Rotate: ↑, Down: ↓, OK: Space, Start/Pause: Enter, Restart: Shift 初始化方法 <!DOCTYPE html> <html lang"en"> <…