内网渗透之Windows痕迹清理

日志机制

Windows操作系统在运行的生命周期内，会以特定的数据结构方式来存储和记录系统运行的大量日志。主要包括Windows事件日志、Windows Web日志、Windows FTP服务日志、Exchange server邮件服务日志、数据库日志等。

Windows日志包含九个元素，分别是事件/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据。

系统内置三个核心的日志文件，分别是System系统日志、Security安全日志、Application应用日志，默认大小20兆。如果数据超过20兆，默认情况下，系统会优先覆盖过期的日志记录。应用程序服务日志的默认大小事1024KB。

Windows日志的记录流程：

1.svhost.exe中某些专门用于记录日志的线程启动日志记录功能；
2.记录的操作会先缓存为一段内存内容；
3.将内存内容通过wevtutil.exe解析为xml文件格式的文档；
4.将xml文件转换为可读的日志。

几种Windows日志类型：

1、系统日志：

2、security安全日志：

3、Application应用日志：

4、应用程序服务日志：

日志在注册表的键'HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog'，通过修改注册表中不同程序调用的日志记录程序或者链接库的路径，可以确保使用该程序时不会生成相关日志。

日志清理

清除日志

通过面板清除

进入Windows事件查看器

找到Windows日志

清除日志

留下日志清除事件

通过命令行清除

以管理员权限打开cmd

清除system系统日志命令

wevtutil cl system

清除application服务日志命令

wevtutil cl application

清除Security安全日志命令

wevtutil cl security

列出系统中所有日志名称

wevtutil el

查看系统创建访问时间等日志信息

wevtutil gli system

查看指定类别的日志内容

wevtutil qe /f:text system

管理员权限运行powershell

清理日志命令

PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"

meterpreter清理日志命令

run event_manager -i 查看时间日志

run event_manager -c 清除日志

clearev 可以清除系统、应用、安全日志，不会清除安装和powershell日志

停止日志记录线程

打开任务管理器-详细信息-svchost.exe

Phant0m下载（https://github.com/hlldz/Phant0m.git）

1、打开事件管理器-安全日志

管理员权限打开cmd，运行与安全有关日志，例如创建和删除用户（net user 用户名 密码 /add、 net user 用户名 /del）

刷新安全日志

2、管理员权限打开powershell，结束日志记录功能

通过powershell将执行命令从严格调整为不严格，查看执行策略（Get-ExecutionPolicy），修改策略（Set-ExecutionPolicy Unrestricted）

powershell中切换到脚本所在位置

使用脚本

查看Eventlog是否运行

创建和删除用户，查看是否有日志记录

恢复记录

打开任务管理器

打开服务

右键详细信息

结束

重新打开日志服务

痕迹伪造

伪造日志

以管理员身份运行powershell

eventcreate -I system(日志类型) -so administrator(谁生成的) -t warning(事件等级) -d "this is test"(日志内容) -id 500(事件id)

打开事件查看器-系统日志

伪造文件修改时间

powershell修改文件创建时间

查看文件创建时间 (ls 'test.txt').CreationTime="01/11/2001 01:00:00"

修改文件最后修改时间  (ls 'test.txt').LastWriteTime="01/11/2001 01:00:00"

修改文件最后访问时间  (ls 'test.txt').LastAccessTime="01/11/2001 01:00:00"

iis日志清理

IIS默认日志路径'%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\'

打开cmd，停止服务 net stop w3svc

删除日志下所有文件 del *.*

启用服务 net start w3svc

最近使用的文件清理

打开文件管理器

点击查看，选项-常规-隐私-清除文件资源管理器历史记录

命令手工删除

文件路径C:\Users\%USERNAME%\Recent

del /f /s /q "%userprofile%\Recent*.*"

远程桌面连接记录清理

日志记录路径%userprofile%\document\

日志记录文件名default.rdp

注册表记录

删除记录

创建bat脚本

@echo off

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Server"

cd %userprofile%\documents\

attrib Default.rdp -s -h

del Default.rdp

安全擦除数据

shift+del 快捷键永久删除

Cipher 命令多次覆写

Format 命令覆盖格式化