windows文件执行记录的获取与清除

最新推荐文章于 2024-09-27 10:49:49 发布
最新推荐文章于 2024-09-27 10:49:49 发布
阅读量3.6w 收藏 10
点赞数 2
分类专栏: 渗透测试基础知识 内网渗透 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/111869492
版权

文章目录

前言

本文主要介绍了如何利用命令行来获取或者清除文件执行记录等日志。对日志的删除需要在管理员权限下才可以,图形化界面查看日志的命令为eventvwr。

日志查看

1. 进程创建记录

进程创建记录事件id一般为(592/4688),可以通过命令行的命令进行查看:

wevtutil qe security /rd:true /f:text /q:"Event[System[(EventID=4688)]]"

在这里插入图片描述

2.Program Inventory Event Log

主要用于记录软件活动摘要、安装的程序、安装的Internet Explorer加载项、更新的应用程序、已删除的应用程序,相关事件id如下:

800 (summary of software activities)
900 & 901 (new Internet Explorer add-on)
903 & 904 (new application installation)
905 (updated application)
907 & 908 (removed application)

查询命令:

wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-Inventory

3.Program-Telemetry Event Log

在应用程序启动时为应用程序处理应用程序兼容性缓存请求,相关事件id:500/505

wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-Telemetry

在这里插入图片描述

4.查询特定类别日志

日志一共分五种:

application
security
setup
system
forwarded events

在这里插入图片描述

#查询应用日志的方法

wevtutil qe /f:text Application

#查询应用日志的整体状态信息

wevtutil gli Application

日志删除

1.删除全部的某类日志

#删除全部的应用日志

wevtutil gli Application
wevtutil cl Application
wevtutil gli Application

在这里插入图片描述

2.逐条删除日志

2.1 导出Security

#这条命令可以导出日志文件,下面的wevtutil epl命令也会导出,所以执行下面的命令的时候不用事先导出日志文件。

wevtutil.exe epl Security 1.evtx

2.2批量删除指定条目的日志

#删除security下指定eventrecordID的日志记录

wevtutil epl Security 1.evtx "/q:*[System [(EventRecordID>13032) or (EventRecordID<13030)]]"

#删除指定systemtime区间的日志

1.查询最新的一条日志的事件

wevtutil.exe qe Security /f:xml /rd:true /c:1

在这里插入图片描述

wevtutil.exe qe Security /f:text /rd:true /c:1

在这里插入图片描述

发现一个是早晨9.09,一个是下午的17.09。我们删除这两个时间段之间的所有日志,并将结果保存为1.evtx:

wevtutil epl Security 1.evtx "/q:*[System [TimeCreated[@SystemTime >'2020-12-28T09:09:35' or @SystemTime <'2020-12-28T17:09:35']]]"

2.3 还原evtx文件

没找到方案。

绕过windows的日志记录功能

绕过原理:
Windows日志对应于eventlog服务,找到该服务对应的进程svchost.exe,进而筛选出svchost.exe进程中具体实现日志功能的线程,调用TerminateThread结束线程,破坏日志记录功能,实现日志功能的线程都有个共同点,那就是调用了wevtsvc.dll。

工具实现:
Invoke-Phant0m

执行命令Invoke-Phant0m即可:

powershell -exec bypass "Import-Module C:\Users\test\Desktop\Invoke-Phant0m.ps1;Invoke-Phant0m"

在这里插入图片描述
恢复net start eventlog

参考文章

windows取证——文件执行记录的获取和清除
渗透技巧——Windows单条日志的删除
渗透技巧——Windows日志的删除与绕过

Matlab+Qt开发笔记:使用Qt打开MAT文件并显示读取的数据
DevScribe的博客
09-15 726
在本文中,我们将探讨如何使用Qt框架来打开MAT文件并显示读取的数据。我们将使用Qt来实现一个简单的界面,用户可以选择MAT文件并查看其中的数据。上述代码创建了一个简单的窗口,包含一个选择文件的按钮和一个用于显示数据的文本框。选择文件后,代码将使用Matlab引擎读取MAT文件,并将数据显示在文本框中。通过调用Matlab引擎,我们可以在Qt应用程序中轻松读取和处理MAT文件中的数据。注意:在上述代码中,我们使用了Matlab引擎的功能来读取MAT文件。这将链接Matlab引擎库到我们的Qt项目中。
Qt界面数据存储获取——Matlab
PixelLogic的博客
08-07 351
本文将介绍如何在Qt中实现界面数据的存储和获取,并结合Matlab进行数据处理和分析。在获取界面数据后,可以将数据传递给Matlab进行进一步的科学计算和数据可视化。以上是关于Qt界面数据存储获取以及Matlab结合进行数据处理的简要介绍,希望能对读者在相关领域的开发和学习有所帮助。这样,界面上的数据就会被传递给Matlab进行处理,处理结果可以通过相应的方法获取并在界面上展示。这样,界面上的数据就会由自定义数据模型管理,可以通过调用对应的方法来存储和获取数据。结合Matlab进行数据处理和分析。
QT 保存控件信息到路径文本以及加载文本信息改变控件信息
chan23648的博客
07-25 1020
QT中读取控件数据到文本中,以及载入文本数据后实现改变控件状态
Qt之UI数据双向绑定初探
蚂蚁寻路
06-04 3316
Qt数据-UI双向绑定方式汇总
QT控件功能及使用方法
weixin_56105802的博客
07-12 1950
当对话框销毁时会发送QDialog::finished信号//设置标题// 设置为模态对话框新窗口启动分为模态和非模态:模态(Modal):模态指的是一种界面状态,当一个对话框或窗口是模态的时候,它会阻止用户其他界面元素进行交互,直到处理完当前对话框或窗口。在模态状态下,用户只能模态对话框或窗口进行交互,不能在其他地方进行操作,直到对话框或窗口被关闭或处理完成。模态对话框通常用于需要用户必须提供响应或完成特定任务的场景,如输入信息、确认操作或选择选项等。
Qt的基本控件——输入控件
m0_60259116的博客
01-06 3837
Qt的基本控件——输入控件
Qt自定义界面Matlab集成
最新发布
weixin_50547796的博客
09-27 170
通过使用Qt框架和Matlab引擎库,可以方便地创建自定义界面并集成Matlab的功能,本文中提供了一个详细的指南,介绍了如何使用C++和Qt来构建界面,以及如何使用Matlab引擎来执行Matlab命令,希望这篇文章对你有帮助。使用Qt Designer工具来设计界面,打开主窗口的.ui文件,并在设计器中添加所需的部件,如标签、按钮和文本框,根据你的需求调整它们的位置和大小,确保为每个部件分配适当的对象名称,以便在代码中引用它们。函数来启动Matlab引擎并执行相应的命令。
Qt 自定义界面 Matlab 的集成
m0_47037246的博客
07-03 471
Qt 是一个跨平台的 C++ 框架,具有强大的图形用户界面功能,而 Matlab 是一款强大的数值计算和数据可视化工具。本文将介绍如何通过 Qt 实现自定义界面,并集成 Matlab 功能。通过以上步骤,我们可以实现 Qt 自定义界面,并集成 Matlab 功能。开发者可以根据自己的需要进行界面设计和功能扩展,实现更加复杂和丰富的应用。希望这篇文章对你有所帮助!运行上述代码,将在 Qt 窗口中显示 Matlab 计算得到的图像。运行上述代码,将执行 Matlab 脚本,并输出变量 x 的数值。
Qt 数值输入组件和显示组件用法详解
ByteBuster的博客
09-03 349
在这个示例中,我们创建了一个 QLineEdit 组件,并使用 QIntValidator 将其限制为只允许输入整数。在这个示例中,我们创建了一个 QLabel 组件,并使用 QString::number() 方法将整数值转换为字符串,然后通过 QLabel::setText() 方法设置标签的文本内容。在 Qt 中,有许多用于处理数值输入和显示的组件,本文将详细介绍这些组件的用法,并提供相应的源代码示例。你可以根据自己的需求,进一步定制这些组件的外观和行为,以适应你的应用程序。
输入类控件
天行健、君子以自强不息
08-08 1335
Qt 中输入类控件 LineEdit、TextEdit、ComboBox、SpinBox、DateTimeEdit、Dial、Slider 的总结
Qt 5.9 matlab 2017b 混合编程基本流程--Qt5.9项目源码
03-04
Qt 5.9MATLAB 2017b混合编程的简单实例,包括Qt 5.9项目的全部源程序
Qt 基础组件复习/速学 输入控件篇input Widget
weixin_50873490的博客
06-18 496
12-input-widget · jbjnb/Qt demo - 码云 - 开源中国 (gitee.com)
QT通过控件的名字 得到控件指针
zvui_的博客
09-02 2769
常规做法: ui->pushButton_1->setText(“btn1”); 非常规做法: QPushButton* btn = QWidget::findChild<QPushButton*>(“pushButton_1”); btn->setText(“btn1”);
编写Qt Designer自定义控件(三)——给自定义控件添加属性
Giselite的专栏
10-11 2万+
接上文:编写Qt Designer自定义控件(二)——编写自定义控件界面        窗体控件都有属性,比如QLineEdit就有text属性,另外还有设置属性,比如QLineEdit的readOnly属性。下面就讲解一下如何给自己的控件添加属性的问题。对于我们的经纬度输入控件,它应该具有一个设置属性和一个值属性,我们把设置属性命名为inputMode,把值属性命名为value,先来讲解设
Qt中使用全局变量的两种方式
热门推荐
努力努力...
11-17 6万+
1、使用static关键字: 头文件声明:声明为public类型变量 mainwindow.h #ifndef MAINWINDOW_H #define MAINWINDOW_H #include namespace Ui { class MainWindow; } class MainWindow : public QMainWindow { Q_OBJECT public:A
Qt自定义控件创建和使用
黑山老妖的博客
03-31 9043
Qt自定义控件创建和使用 Qt中很方便的是使用各种自定义控件来分模块实现各种子功能,用于实现代码的解耦; 之前在使用Qt 5.12创建自定义控件时,出现了各种问题,多次重装QtCreator和VS,屡次失败,乃至一度放弃。话说写代码很简单,环境的配置却很难,不知道有多少人在各种开发环境的配置时,被这种挫败感打击而放弃; 不死心,从同事的实例中看到了自定义控件的有效实现,亲自实验,确实能用,写个备忘录记录一下; 一、创建自定义控件 1.首先新建项目,选择“其他项目”下的“Qt4设计师自定义控件” 2.新建一
QT不同界面引用变量、不同界面引用控件、将接收字符串进行分割
Lee1989
03-30 566
不同界面引用变量 1、在被引用文件的界面.h文件extern 变量注意不能在class里面。 2、在被引用文件的界面.cpp文件定义变量。 3、在引用文件的extern 变量进行使用。 不同界面引用控件 https://blog.csdn.net/qq_38836568/article/details/114502260?spm=1001.2101.3001.6650.2&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%
PyQt5 Qt控件属性 python 变量绑定
walaila的博客
08-19 1343
PyQt控件
Qt控件增加属性并通过添加的属性设置样式
maowendi的专栏
03-26 8100
Qt控件增加属性并通过添加的属性设置样式1.应用场景        在Qt应用编程中经常要对应用的界面进行美化,这里要用到样式表qss。下面说的方法适用于对某一种控件界面上有几种不用的风格样式,例如,界面上有两种风格的button2.设置方法        给要添加样式的button添加自定义属性        选中button,在属性窗口点击+号,添加自定义属性,属性为bool类型      ...
QtMatlab混合编程演示:解决Bug指南
QtMatlab混合编程是指利用Qt框架作为界面开发的基础,同时调用Matlab编写的算法和函数来完成复杂的数值计算任务。这种结合可以让开发者利用Qt界面设计能力和Matlab的强大数值计算能力,开发出既美观又功能强大的...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值