Windows入侵痕迹清理

最新推荐文章于 2024-07-01 10:23:20 发布
最新推荐文章于 2024-07-01 10:23:20 发布
阅读量7.7k 收藏 21
点赞数 3
分类专栏: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_Z_W_/article/details/104406072
版权

Windows入侵痕迹清理

环境:Win10、Win7、Winxp虚拟机等

 

Windows日志

包括五个类别:应用程序、安全、Setup、系统、转发事件

 

查看方式

1、此电脑-右键管理-Windows日志

2、powershell(管理员权限)

查看所有日志:Get-winEvent

查看应用程序类别下的日志:Get-WinEvent -FilterHashtable @{logname="Application";}

 

清除方式

1、wevtutil.exe

操作系统默认包含,支持系统:Win7及以上

常用命令如下:

(1) 统计日志列表,查询所有日志信息,包含时间,数目

wevtutil.exe gli Application

(2)查看指定类别的日志内容

wevtutil qe Application /f:text

(3)删除该类日志所有内容

wevtutil cl Application

Application日志已经全部被清除了,数目为0

 

(4)获取security的最近十条日志

wevtutil qe Security /f:text /rd:true /c:10

(5)获得Security的前十条Security日志

wevtutil qe Security /f:text /c:10

也可以使用wevtutil qe Security /f:xml /c:10查看xml格式获取日志对应的EventRecordID,默认视图是xml,命令也可以简写为wevtutil qe Security /rd:true /c:10

(6)导出指定日志保存

wevtutil.exe epl Security 1.evtx

(7)删除单条日志并保存

删除Security下的单条日志(EventRecordID=2067),并保存为1.evtx

wevtutil epl Security 1.evtx "/q:*[System [(EventRecordID!=2067)]]"

(8)删除多条日志并保存

删除Security下的单条日志(EventRecordID为2068、2069和2070),并保存为1.evtx

wevtutil epl Security 1.evtx "/q:*[System [(EventRecordID>2070) or (EventRecordID<2068)]]"

(9)删除指定时间段的日志

wevtutil查询日志信息,输出格式为text时,未考虑时区

Windows界面查看日志信息,显示的时间也未考虑时区

wevtutil查询日志信息,输出格式为xml时,考虑了时区

时间为:14:46:08.590

时间为:14:46:08.590

时间为:06:46:08.590422600Z

时间相差了8小时,所以在删除指定日期的日志时,需要根据xml格式的时间

删除2020-01-17T05:46:07至2020-01-17T06:46:08的日志

wevtutil epl Security 1.evtx "/q:*[System [TimeCreated[@SystemTime >'2020-01-17T06:46:08' or @SystemTime <'2020-01-17T05:46:07']]]"

 

 

2、利用脚本停止日志的记录

https://github.com/hlldz/Invoke-Phant0m

利用脚本让日志功能失效,无法记录日志

此时执行命令并未发现日志记录

把eventlog对应的svchost进程结束,重新开启Windows Event Log服务,可以发现日志又开始记录了

小晓晓晓林
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 入侵痕迹清理
09-08 4万+
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。 01、Windows日志清除 windows 日志路径: 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 安全日志:%SystemRoot%\System32\Winevt...
内网渗透基石篇—信息收集下
05-06 8873
前言: 目标资产信息搜集的程度,决定渗透过程的复杂程度。 目标主机信息搜集的深度,决定后渗透权限持续把控。 渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。 一、收集域内基础信息 首先得做准备工作,才可以查询。 1.查询域(需要启动Computer Browser服务) win7 在计算机管理--服务--找到CB服务,然后开启; 2.net view /domain #查找域 3.查询域内所有计算机 net view /domain :HACKE 4.查.
后渗透篇:清理windows入侵痕迹总结【详细】
Vdieoo的博客
12-03 6248
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 清理windows入侵痕迹 0x01 前言 了解为什么需要清除入侵痕迹? 一、设置跳板 二、必不可少的跳板 三、代理服务器简介 1)http代理服务器 2)Sock5代理服务器 3)VPN代理服务器 四、使用Tor隐身 了解需要删除哪些日志? 1.默认提供的日志 2.防火墙日志 3.IIS日志 4、netstat-an表示什么意思? 0x02 清除Windows日志 0x01.1异常场景解决方案 0...
Windows 入侵痕迹清理.pdf
07-05
Windows 入侵痕迹清理
启动应用程序出现wevtutil.exe找不到问题解决
最新发布
wbcmbfy的博客
07-01 935
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wevtutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wevtutil.exe丢失要怎么解决?
教你彻底清除入侵后的重要痕迹
http://www.softwareace.cn 王牌软件
08-01 1273
今天,来教大家清理入侵后的三个重要痕迹。包括应用程序日志,安全日志,系统日志。 DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%system32config
如何清除windows入侵的记录
刘书的IT博客
10-25 2121
安全日志    系统日志   DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%system32configSecEvent.EVT   系统日志文件:%systemroot%system32configSysEvent.EVT   应用程序日志文件:%systemroot%s
Kali渗透测试:Windows事件管理工具wevtutil的使用方法
Liu_Bruce的博客
05-19 3007
Kali渗透测试:Windows事件管理工具wevtutil使用方法 渗透测试者发现可以利用事件日志(event logging)的方式来启动某一个程序。Windows系统对事件操作的工具就是Windows系统自带的wevtutil.exe(windows event utility),使您能够检索有关事件日志和发布者的信息。您还可以使用此命令安装和卸载事件清单、运行查询以及导出、存档和清除日志。 1. 语法(Syntax) wevtutil [{el | enum-logs}] [{gl | get-l
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
WeiyiGeek 唯一极客IT知识分享
04-11 1008
wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。路径下,但不支持使用文本编辑器打开。
黑客必会之——Windows入侵痕迹清理--你学会了吗?
C语言C++学习俱乐部:765860056
09-28 1876
前言 为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。 1、Windows日志清除 windows 日志路径: 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx应用程序日志:%SystemRoot%\System32\Winevt\Log.
Linux入侵痕迹清理
小晓晓晓林的博客
02-20 6832
Linux入侵痕迹清理 环境:Centos7、Kali虚拟机等 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp//此文件默认打开时乱码,可查到ip等信息 [root@localhost root]#last//此时即查不到用户登录信息 清除之前能看到之前其他机器的登录信息 清除登陆系...
Windows 入侵痕迹清理.rar
09-07
Windows 入侵痕迹清理
wevtutil工具查看系统日志event log
Katherine1029的博客
01-26 941
/{sq | structuredquery}:[true|false] # 如果为 true,则 <PATH> 是包含结构化查询的文件的完整路径。* /{sbm | savebookmark}:VALUE #VALUE 是用于保存此查询的书签的文件的完整路径。* /{lf | logfile}:[true|false] #如果为 true,则 <PATH> 是日志文件的完整路径。* /{bm | bookmark}:VALUE # VALUE 是包含上一查询的书签的文件的完整路径。
Windows应急响应基础
Canterlot的博客
09-04 1294
包含了windows应急响应的基础知识、操作方法和相关工具的用法
应急响应处置现场流程 - 日志分析08
战神/calmness的博客
02-05 3147
应急响应处置现场流程 - 日志分析 1.Windows系统 1)日志概述在Windows系统中,日志文件包括:系统日志、安全性日志及应用程序日志,对于应急响应工程师来说这三类日志需要熟练掌握,其位置如下。 在Windows 2000 专业版/Windows XP/Windows Server 2003(注意日志文件的后缀名是evt): 系统中:系统日志的位置为C:\WINDOWS\System32\config\SysEvent.evt; 安全性日志的位置为C:\WINDOWS\Syste.
web获取当前计算机域信息,【域渗透】获取域环境内用户登录信息
weixin_35582180的博客
07-26 1228
之前见到有人在讨论域内用户在域内的机器ip怎么查呢,集思广益,结合答复及自己的观点,总结了以下内容。0x00 adfind有时候管理员会设置域用户只可以登录指定的的域内计算机,使用 adfind或者 powerview导出域用户信息可以查看;12345678查看域内用户详细信息:adfind.exe -h DNS_SERVER_IP -sc u:rcoil(目标用户)adfind.exe -h D...
windows文件执行记录的获取与清除
热门推荐
Shanfenglan's blog
12-29 3万+
文章目录前言日志查看1. 进程创建记录2.Program Inventory Event Log3.Program-Telemetry Event Log4.查询特定类别日志日志删除1.删除全部的某类日志2.逐条删除日志2.1 导出Security2.2批量删除指定条目的日志2.3 还原evtx文件绕过windows的日志记录功能参考文章 前言 本文主要介绍了如何利用命令行来获取或者清除文件执行记录等日志。对日志的删除需要在管理员权限下才可以,图形化界面查看日志的命令为eventvwr。 日志查看 1. 进
Windows痕迹清除(wevtutil.exe、meterpreter)
robacco的博客
09-23 1644
Windows痕迹清除: 1、事件查看器:在命令运行窗口输入eventvwr.msc命令打开Windows事件查看器,或在控制面板 管理工具中打开事件查看器 Windows事件管理工具为wevtutil.exe(https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil),攻击...
删除win10事件查看器中的所有日志的批处理命令
ZaiDong
04-24 4744
wevtutil.exe cl "Application" wevtutil.exe cl "HardwareEvents" wevtutil.exe cl "Internet Explorer" wevtutil.exe cl "Key Management Service" wevtutil.exe cl "Microsoft-AppV-Client/Admin" wevtutil.exe ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值