Windows入侵痕迹清理

最新推荐文章于 2024-01-26 17:11:22 发布
最新推荐文章于 2024-01-26 17:11:22 发布
阅读量7.5k 收藏 20
点赞数 3
分类专栏: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_Z_W_/article/details/104406072
版权

Windows入侵痕迹清理

环境:Win10、Win7、Winxp虚拟机等

 

Windows日志

包括五个类别:应用程序、安全、Setup、系统、转发事件

 

查看方式

1、此电脑-右键管理-Windows日志

2、powershell(管理员权限)

查看所有日志:Get-winEvent

查看应用程序类别下的日志:Get-WinEvent -FilterHashtable @{logname="Application";}

 

清除方式

1、wevtutil.exe

操作系统默认包含,支持系统:Win7及以上

常用命令如下:

(1) 统计日志列表,查询所有日志信息,包含时间,数目

wevtutil.exe gli Application

(2)查看指定类别的日志内容

wevtutil qe Application /f:text

(3)删除该类日志所有内容

wevtutil cl Application

Application日志已经全部被清除了,数目为0

 

(4)获取security的最近十条日志

wevtutil qe Security /f:text /rd:true /c:10

(5)获得Security的前十条Security日志

wevtutil qe Security /f:text /c:10

也可以使用wevtutil qe Security /f:xml /c:10查看xml格式获取日志对应的EventRecordID,默认视图是xml,命令也可以简写为wevtutil qe Security /rd:true /c:10

(6)导出指定日志保存

wevtutil.exe epl Security 1.evtx

(7)删除单条日志并保存

删除Security下的单条日志(EventRecordID=2067),并保存为1.evtx

wevtutil epl Security 1.evtx "/q:*[System [(EventRecordID!=2067)]]"

(8)删除多条日志并保存

删除Security下的单条日志(EventRecordID为2068、2069和2070),并保存为1.evtx

wevtutil epl Security 1.evtx "/q:*[System [(EventRecordID>2070) or (EventRecordID<2068)]]"

(9)删除指定时间段的日志

wevtutil查询日志信息,输出格式为text时,未考虑时区

Windows界面查看日志信息,显示的时间也未考虑时区

wevtutil查询日志信息,输出格式为xml时,考虑了时区

时间为:14:46:08.590

时间为:14:46:08.590

时间为:06:46:08.590422600Z

时间相差了8小时,所以在删除指定日期的日志时,需要根据xml格式的时间

删除2020-01-17T05:46:07至2020-01-17T06:46:08的日志

wevtutil epl Security 1.evtx "/q:*[System [TimeCreated[@SystemTime >'2020-01-17T06:46:08' or @SystemTime <'2020-01-17T05:46:07']]]"

 

 

2、利用脚本停止日志的记录

https://github.com/hlldz/Invoke-Phant0m

利用脚本让日志功能失效,无法记录日志

此时执行命令并未发现日志记录

把eventlog对应的svchost进程结束,重新开启Windows Event Log服务,可以发现日志又开始记录了

小晓晓晓林
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透基石篇—信息收集下
05-06 8832
前言: 目标资产信息搜集的程度,决定渗透过程的复杂程度。 目标主机信息搜集的深度,决定后渗透权限持续把控。 渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。 一、收集域内基础信息 首先得做准备工作,才可以查询。 1.查询域(需要启动Computer Browser服务) win7 在计算机管理--服务--找到CB服务,然后开启; 2.net view /domain #查找域 3.查询域内所有计算机 net view /domain :HACKE 4.查.
Windows10明文密码抓取
小晓晓晓林的博客
01-21 8524
procdump+mimikatz获取win10用户明文密码 测试环境:Win10 企业版LTSC 1809 工具下载:k8版本的mz64.exe、procdumpv9.0 原理:获取到内存文件lsass.exe进程(它用于本地安全和登陆策略)中存储的明文登录密码 利用前提:拿到了admin权限的cmd,管理员用密码登录机器,并运行了lsass.exe进程,把密码保存在内存文件lsass进...
Windows痕迹清除(wevtutil.exe、meterpreter)
robacco的博客
09-23 1487
Windows痕迹清除: 1、事件查看器:在命令运行窗口输入eventvwr.msc命令打开Windows事件查看器,或在控制面板 管理工具中打开事件查看器 Windows事件管理工具为wevtutil.exe(https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil),攻击...
墨者安全专家 v3.7.2.9
03-12
软件介绍 墨者安全专家第二代为您彻底免疫未知病毒,并且提供终身免费国际杀毒品牌趋势科技的优质产品! 墨者安全专家第二代是融合了反rootkit技术、用户权限管理技术和白名单技术并有机集成的免疫"革离"技术。同时第二代集终身 趋势免费杀毒、修复系统漏洞、上网痕迹清理、网络防火墙、系统实时保护、安全互助社区等强大功能于一身。特别是第二代的"革 离术",在第一代基础上能让用户简单利用权限管理等功能,并且有效阻止防火墙和杀毒软件尚未识别的安全危险,从源头上杜绝未 知病毒的侵入,在杀毒软件还未响应前对电脑进行免疫处理,从而提高了系统的安全门槛,真正为每一位用户提供全方位的系统安全 防护。 墨者安全专家第二代拥有六项功能: 1、墨者革离术第二代 运用了墨者研发的新型免疫防护技术,结合权限管理的功能,有效防止防火墙和杀毒软件尚未识别的安全危险(病毒和木马)入侵, 并在病毒库反映前把系统与安全隐患完全隔离,有效防止木马盗号等。 2、墨者查杀病毒 兼容主流杀毒软件,并可永久免费使用并升级全球杀毒知名企业趋势科技的杀毒产品,将病毒一网打尽。 3、墨者漏洞修补 通过全面扫描windows和软件中存在的系统漏洞,一键完成补丁的下载与安装,及时排除系统的安全隐患。 4、墨者保护隐私 及时清理上网历史记录、网银注册信息、系统临时文件及cookies等,全面保护个人隐私,防范由此带来的安全威胁。 5、墨者防火墙 快速评估系统的网络防护状态,通过配置病毒防火墙,控制非法网络访问,帮助用户有效抵御黑客攻击等安全风险。 6、墨者安防问答 在线提出您的系统安全问题,不仅有专家及时解答,更有24小时网友互助,让墨者的互动式咨询服务一步到位。
wevtutil工具查看系统日志event log
最新发布
Katherine1029的博客
01-26 805
/{sq | structuredquery}:[true|false] # 如果为 true,则 <PATH> 是包含结构化查询的文件的完整路径。* /{sbm | savebookmark}:VALUE #VALUE 是用于保存此查询的书签的文件的完整路径。* /{lf | logfile}:[true|false] #如果为 true,则 <PATH> 是日志文件的完整路径。* /{bm | bookmark}:VALUE # VALUE 是包含上一查询的书签的文件的完整路径。
Windows 入侵痕迹清理.pdf
07-05
Windows 入侵痕迹清理
防御闪避:Windows日志清理
weixin_51387754的博客
05-15 752
防御闪避是一种网络杀伤链攻击策略,其中包括攻击者用来防止在受到侵犯时被检测到的策略。 目录 使用Wevtutil命令清除事件日志 使用Powershell清除事件日志 Phantom Mimikatz MiniNT registry key Powershell Empire Metasploit 为了限制可用于检测和审核的数据量,攻击者可以禁用Windows事件日志记录。登录尝试,流程开发,其他用户和设备行为均记录在Windows事件日志中。情报软件和分析人员使用此信息来识别工件。 使用Wevtutil
wevtutil简介与使用
VinWqx的博客
02-21 2011
wevtutil是微软Windows eventlog有关的工具,可以用于检索有关事件日志、导出、清除、归档事件日志等。
Kali渗透测试:Windows事件管理工具wevtutil的使用方法
Liu_Bruce的博客
05-19 2642
Kali渗透测试:Windows事件管理工具wevtutil使用方法 渗透测试者发现可以利用事件日志(event logging)的方式来启动某一个程序。Windows系统对事件操作的工具就是Windows系统自带的wevtutil.exe(windows event utility),使您能够检索有关事件日志和发布者的信息。您还可以使用此命令安装和卸载事件清单、运行查询以及导出、存档和清除日志。 1. 语法(Syntax) wevtutil [{el | enum-logs}] [{gl | get-l
Windows7系统wevtutil.exe文件丢失问题
amio555的专栏
12-11 875
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wevtutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wevtutil.exe丢失要怎么解决?
web获取当前计算机域信息,【域渗透】获取域环境内用户登录信息
weixin_35582180的博客
07-26 1127
之前见到有人在讨论域内用户在域内的机器ip怎么查呢,集思广益,结合答复及自己的观点,总结了以下内容。0x00 adfind有时候管理员会设置域用户只可以登录指定的的域内计算机,使用 adfind或者 powerview导出域用户信息可以查看;12345678查看域内用户详细信息:adfind.exe -h DNS_SERVER_IP -sc u:rcoil(目标用户)adfind.exe -h D...
Windows 入侵痕迹清理.rar
09-07
Windows 入侵痕迹清理
这个是关于Windows入侵后的痕迹清理 的相关操作,具体请看资源描述
10-12
Windows入侵痕迹清理技巧有哪些,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。 为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏...
Windows XP电脑维护工具箱v2.5.0.0 绿色版
10-14
C、操作系统使用痕迹清理清理如打开过的文档记录,网页记录等使用电脑的痕迹,推荐全选删除; 05、网络安全防御 A、网址屏蔽恢复:输入网址,点击屏蔽后,该网址将无法打开;下拉提供恢复选项; B、删除所有...
Windows远程执行命令
小晓晓晓林的博客
01-21 9939
环境:Win10、Win7虚拟机 Windows远程命令执行 1、psexec.exe远程执行命令 psexec \\192.168.30.128 -u Administrator -p 123456789 cmd.exe 这里一开始登陆的是另一个管理员账号,但是一直被拒绝访问,后来把Administrator账号取消隐藏,一下就连接上。之后看到一篇文章也有一样的情况,只有Admin...
端口转发、映射、代理
小晓晓晓林的博客
02-20 8470
端口转发&端口映射 在实际渗透过程中,我们成功入侵了目标服务器。接着我们想在本机上通过浏览器或者其他客户端软件访问目标机器内部网络中所开放的端口,比如内网的3389端口、内网网站8080端口等等。传统的方法是利用nc、lcx等工具,进行端口转发。 0x01 什么是端口转发 端口转发就是将一个端口,这个端口可以本机的端口也可以是本机可以访问到的任意主机的端口,转发到任意一台可以访问到的...
Linux入侵痕迹清理
小晓晓晓林的博客
02-20 6759
Linux入侵痕迹清理 环境:Centos7、Kali虚拟机等 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp//此文件默认打开时乱码,可查到ip等信息 [root@localhost root]#last//此时即查不到用户登录信息 清除之前能看到之前其他机器的登录信息 清除登陆系...
清理入侵痕迹linux
10-21
清理入侵痕迹是指在Linux系统中检测和删除入侵者在系统中留下的痕迹和恶意代码,以恢复系统的安全性。以下是清理入侵痕迹的一些步骤和方法。 首先,我们需要检测系统中是否存在入侵痕迹。可以通过查看系统日志、检查系统文件的完整性、扫描恶意软件和根套件工具等方式来进行检测。 确定存在入侵痕迹后,下一步是对其进行清理。可以按照以下步骤进行清理: 1. 确定受损的文件和系统组件:在检测过程中,记录被篡改、删除或添加的文件和系统组件,以便后续清理操作。 2. 中断入侵者的访问:如果入侵者仍然有权限访问系统,应立即中断其访问权限,禁用已被破坏或以其他方式受损的账户,并更改相关账户的密码。 3. 清除恶意文件和代码:根据之前记录的信息,找到并删除入侵者留下的恶意文件和代码。可以使用命令行工具如rm来删除文件,使用文本编辑器来查找和删除恶意代码。 4. 更新和修复受损的系统组件:根据之前的记录,恢复受损或篡改的系统组件。可以重新安装受影响的软件包或使用系统提供的更新工具来修复文件。 5. 加固系统安全性:完成清理后,应加固系统的安全性,防止再次遭受入侵。可以采取以下措施:更新系统和软件包、安装防火墙、配置访问控制和权限、加密通信等。 最后,建议定期备份重要数据,并定期检查系统是否被入侵。在遭受入侵后,及时采取措施进行清理和加固,以保障系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值