入侵系统后的清除痕迹:清除日志与篡改日志

已于 2024-08-24 13:17:13 修改
阅读量823 收藏
点赞数 11
分类专栏: 入侵系统后的清除痕迹 文章标签: 运维 windows
于 2024-04-21 14:51:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daihaon/article/details/138033151
版权

        Windows系统每天都会自动添加日志,以记录管理员的一举一动。我们可以删除和查看这些日志,方法如下:

1.打开桌面,找到此电脑,右键选择管理

2.选择事件查看器,选择Windows日志

3.最后依次点击“应用程序”,“安全”,“Setup”,“系统”,“Forwarded Events”并依次清除日志,不要保存即可。

另附一键清除所有事件日志代码片(自取):

@echo off

FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo All Event Logs have been cleared!
goto theEnd

:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof

:noAdmin
echo Current user permissions to execute this .BAT file are inadequate.
echo This .BAT file must be run with administrative privileges.
echo Exit now, right click on this .BAT file, and select "Run as administrator".  
pause >nul

:theEnd
Exit

注意重点!!!上面的代码片以bat格式保存后,还要再右键选择以管理员身份运行,不然就会出现这种情况:

原图:知乎@红头发蓝胖子,https://zhuanlan.zhihu.com/p/706917575 ,版权声明

另外,在清除入侵痕迹时,篡改日志似乎比清除日志更加可靠,甚至可以伪造别的ip入侵现场。现在有EVT编辑器可篡改Windows系统日志,可具体到指定的任何一条,可篡改时间,可排序。百度搜索EVT编辑器,或直接跳转链接下载。http://eventlog.cn

CWE-117日志伪造漏洞:

下列Web应用程序代码会尝试从一个请求对象中获取整值,如果数值未被解析为整数,输入就会被记录到日志中,附带一条提示相关情况的错误信息。

String val = request.getParameter("val");
try {
  int value = Integer.parseInt(val);
}
catch (NumberFormatException) {
log.info("Failed to parse val = " + val);
}
...

DEAD TIDE
关注
  • 11
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows日志清除和Dll注入实现及排查小记
dayouzi的博客
08-07 1093
关于Windows日志清除和Dll注入实现及排查的一些记录
windows日志查看与清理实验笔记
weixin_52034407的博客
03-31 954
windows日志查看与清理实验笔记。
windows系统日志清理
11-14
能够在为在Windows系统下定时清理服务器生成的日志,里面包括详细的操作说明及源码
linux中如何清除入侵痕迹
a807719447的专栏
09-30 1011
1、清除登入日志 echo >/var/log/wtmp 2、清除登入失败日志 echo >/var/log/btmp 3、去除last login回显信息,将以下行注释掉重启 sshd服务 vi /etc/ssh/sshd_config #PrintLastLog yes service sshd restart 或者 /etc/init.d/sshd resta...
windows日志清理
bylfsj的博客
10-16 936
1.系统日志清除
【红队战术】系统日志清除
黑剑
07-24 2165
攻击者可能清除Windows事件日志以隐藏入侵活动。Windows事件日志是计算机警报和通知的记录。系统定义的事件源共有三种:系统、应用程序和安全性,并具有五种事件类型:错误、警告、信息、成功审核和失败审核。
清除入侵日志工具
08-18
然而,一些高级的网络攻击者尝试清除篡改日志以掩盖其踪迹,使得调查变得困难。"清除入侵日志工具"就是针对这种情况设计的,它的主要目标是帮助网络安全专业人员检测并恢复被篡改或删除的日志数据,以便进行有效...
入侵后的日志清除教程
10-10
2. **篡改日志时间戳**:通过修改日志文件的时间戳,攻击者可以使自己的活动看起来像是合法用户或系统进程的一部分,混淆视听。 3. **覆盖日志**:利用系统自带的或者自编的日志清理工具,定期覆盖日志内容,使分析...
Windows日志入侵检测
09-28
黑客在入侵系统后,试图消除其活动的证据。初级黑客可能选择删除日志文件,但高级黑客更倾向于修改日志内容,以避免被系统管理员通过日志追踪。为此,网络上出现了许多工具,如Zap和Wipe,专门用于篡改日志记录。 ...
Windows日志清除工具
10-29
可以备份、清除Windows日志,使用自定义的大量垃圾信息覆盖现有日志
删除Windows10事件查看器中的所有日志小程序
06-04
删除win10事件查看器中的所有日志.BAT
linux安全与后门安装及日志的管理
05-17
后门安装通常是攻击者为了持久控制和隐藏其活动而采取的手段,而清除日志则是为了掩盖入侵痕迹。 **日志清理的动机** 攻击者在侵入系统后,通常试图清除日志以避免留下证据。日志文件,如`/var/log/lastlog`, `...
带你更深入的了解Linux文件系统(超详细!)(inode号耗尽故障处理、恢复误删文件以及分析日志文件)
Xucf1
12-03 1010
文章目录一、inode耗尽故障处理1.准备2.模拟i节点耗尽故障3.修复故障二、恢复误删的文件1.准备(编译安装extundelete)2.模拟删除3.执行恢复操作三、xfs类型的文件备份和恢复1.概述2.命令格式3.常用选项4.使用限制5.操作步骤四、分析日志文件1.日志的功能2.日志的分类3.常见的日志文件4.日志文件分析5.内核及系统日志6.日志记录的一般格式7.用户日志分析8.程序日志分析9.日志管理策略(小结) 一、inode耗尽故障处理 之前我们学习过,每个文件与inode是相互对应的关系,
Windows 入侵痕迹清理技巧
KHOST的博客
09-21 1185
文章来源:Bypass 为避免入侵行为被发现,攻击者总是通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。 01、Windows日志清除 windows 日志路径: 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx应用程序日志:...
Windows系统日志清理和Linux系统日志清理
weixin_43822401的博客
05-20 476
Windows系统日志清理和Linux系统日志清理。
windows下定期清理日志文件
持续疯长,往天那边去
05-24 1163
FOR /F "skip=5 delims=" %%G IN ('dir /b /O-D /A-D') DO del "%%G" Will delete all files except the 5 newest ones. I couldn't find a one-liner to keep all files newer than 5 days so for that you ...
Windows入侵日志清除
难办就别办的博客
03-15 1169
应用程序日志、安全日志系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员都改变这个默认大小。Windows 7的日志文件通常有应用程序日志,安全日志系统日志、DNS服务器日志、FTP日志、WWW日志等等。日志文件通常有某项效劳在后台维护,除了体系日志安全日志应用程序日志等等,它们的效劳是Windows 7的要害进程,并且与注册表文件在一块,当Windows 7启动后,发动效劳来维护这些文。清除Windows 7使用痕迹日志
黑客是如何在入侵后完美清理日志的总结
weixin_33812433的博客
04-23 321
一:开始 - 程序 - 管理工具 - 计算机管理 - 系统工具 -事件查看器,然后清除日志。 二: Windows2000的日志文件通常有应用程序日志,安全日志系统日志、DNS服务器日志、FTP日志、WWW日志等等。 日志文件默认位置: 应用程序日志、安全日志系统日志、DNS日志默认位置:%sys temroot%"system32"config,默认文件大小512KB,管理员都改变这...
828华为云征文|部署全平台实时协作 Markdown 笔记平台 CodiMD
最新发布
特立独行的博客
09-06 1542
作为一个以Markdown为基础的实时协作笔记平台,CodiMD 不仅能极大提高你的团队协作效率,还能确保所有内容的可控性和自主权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值