Windows痕迹清除(wevtutil.exe、meterpreter)

最新推荐文章于 2024-12-27 08:30:00 发布
最新推荐文章于 2024-12-27 08:30:00 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: 网络后门与痕迹清除实验 文章标签: wevtutil
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/robacco/article/details/91356568
版权

Windows痕迹清除

事件查看器:在命令运行窗口输入eventvwr.msc命令打开Windows事件查看器,或在控制面板管理工具中打开事件查看器。

Windows事件管理工具为wevtutil.exe(https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil),攻击者可以在后台使用wevtutil工具清除某类日志或者修改该类日志的配置,达到隐蔽攻击痕迹的目的。

应用程序日志、安全、系统日志是Windows系统中三个核心日志,默认大小为20480KB,

Windows 7 日志文件默认存放位置为C:\Windows\System32\winevt\Logs。当存储的事件日志超过20M时,系统将会覆盖旧的事件日志。

1、双击相应事件即可查看该事件属性

2、创建管理员账号backdoor在目标系统中留下的日志文件如下:

4720, 4722, 4723, 4724, 4725, 4726, 4738等事件ID表示用户账号的改变,比如用户账号的创建,删除,和改变密码等。

3、使用该账号登录目标系统时,在目标系统中留下的日志文件如下:

事件ID为4624的表示所有用户登录成功事件,4625表示用户登录失败事件,尝试查看4625事件的详细信息,检查系统是否有登录失败的事件。

此外系统还会记录注册表、防火墙、对象访问等事件日志。

系统日志清除

1、使用工具wevtutil.exe。下载地址:https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil

2、修改日志配置:

按需要覆盖事件(旧事件优先):表示当日志文件达到上限时,会把一些旧的日志文件记录删除掉,以存储新的日志信息。

不覆盖事件:表示当日志文件达到上限值之后,系统不会继续记录新的事件信息。需要系统管理员手工清楚日志文件后,系统才会记录记录日志信息。

wevtutil sl System /ms:10485760 /rt:true
wevtutil gl system /f:text


config.xml

<?xml version="1.0" encoding="UTF-8"?>
<channel name="System" isolation="System"
         xmlns="http://schemas.microsoft.com/win/2004/08/events">
  <logging>
    <retention>true</retention>
    <autoBackup>false</autoBackup>
    <maxSize>10485760</maxSize>
  </logging>
  <publishing>
  </publishing>
</channel>

3、甚至可以关闭日志记录:

示例清除系统日志:

wevtutil sl "Microsoft-Windows-Windows Firewall With Advanced Security/Firewall" /e:false
wevtutil cl "System"

meterpreter清除日志:

修改文件的访问时间:

 timestomp test_1.txt -f test.txt

逃避日志记录攻击过程
战神/calmness的博客
06-23 342
简述 windows事件日志简介:Windows 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 禁用Windows事件日志记录,是最常规红队手法,为了减少可用于安全人员检测和审核的数据量,提高红队活动的隐蔽性,红队人员可以禁用Windows事件日志记录。在windows各种日志中,最常用被安全人员审计的日志,有应用程序日志,系统日志,安全日志。 手法 1.使用Wevtutil命令清除事件日志 Wevt
内网渗透-Windows&Linux痕迹清除
lza20001103的博客
09-26 6398
Windows&Linux痕迹清除 文章目录Windows&Linux痕迹清除前言Windows痕迹清除Windows日志清理meterpreter清理日志Linux痕迹清除后记 前言 当我们进行内网一系列的渗透之后,就会留下一些命令的痕迹,我们离开的时候,为了防止管理员发现,我们就需要进行内网渗透最后一个环节的内容了,就是进行痕迹清除。命令有点多,大家好好做一下笔记吧。 Windows痕迹清除 Windows日志 如何查看: 事件查看器->windows日志 win+r eventv
启动应用程序出现wevtutil.exe找不到问题解决
wbcmbfy的博客
07-01 1285
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wevtutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wevtutil.exe丢失要怎么解决?
Windows7系统wevtutil.exe文件丢失问题
amio555的专栏
12-11 932
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wevtutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wevtutil.exe丢失要怎么解决?
wevtutil.exe文件丢失导致程序无法运行问题
2301_76755223的博客
04-17 780
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wevtutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wevtutil.exe丢失要怎么解决?
.NET内网实战:调用wevtutil进程实现痕迹清理
ahhacker86的专栏
12-27 825
本文内容部分节选自小报童《.NET 通过调用wevtutil进程实现痕迹清理》,保持长期更新!
Windows 入侵痕迹清理
热门推荐
09-08 4万+
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。 01、Windows日志清除 windows 日志路径: 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 安全日志:%SystemRoot%\System32\Winevt...
Windows 入侵痕迹清理技巧
09-09 4万+
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。01、Windows日志清除...
黑客攻击服务器之后如何清除痕迹?如何进行伪装和逃脱追踪?
代码讲故事
12-28 2410
黑客攻击服务器之后如何清除痕迹?如何进行伪装和逃脱追踪?附完整执行代码。 在攻击结束后,如何不留痕迹清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。 黑客的一次攻击行为,主要由:隐藏自己 -- 预攻击探测 -- 攻击行为 -- 擦除痕迹 四个步骤构成。 一般完整的攻击过程都是先隐藏自身,在隐藏好自己后再进行预攻击探测,检测目标机器的各种属性和具备的被攻击条件,然后采取相应的攻击方法进行破坏,达到自己的目的,
wevtutil简介与使用
VinWqx的博客
02-21 2666
wevtutil是微软Windows eventlog有关的工具,可以用于检索有关事件日志、导出、清除、归档事件日志等。
Windows入侵痕迹清理
小晓晓晓林的博客
02-20 7920
Windows入侵痕迹清理 环境:Win10、Win7、Winxp虚拟机等 Windows日志 包括五个类别:应用程序、安全、Setup、系统、转发事件 查看方式 1、此电脑-右键管理-Windows日志 2、powershell(管理员权限) 查看所有日志:Get-winEvent 查看应用程序类别下的日志:Get-WinEvent -FilterHashtabl...
Windows日志清除和Dll注入实现及排查小记
dayouzi的博客
08-07 1449
关于Windows日志清除和Dll注入实现及排查的一些记录
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
WeiyiGeek 唯一极客IT知识分享
04-11 1473
wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。路径下,但不支持使用文本编辑器打开。
Windows】系统日志不会查?一文教你用 `wevtutil` 命令
weixin_39372311的博客
11-22 774
wevtutil
删除Windows 日志
我的LOG
07-28 2586
删除Windows 日志 停止Windows Event Log(EventLog) 服务 删除 对应的 文件 %SystemRoot%\System32\Winevt\Logs\ 删除对应名字的注册表文件HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog\ 不然重启后会在Logs 文件中重新生成 重启Windows Event Log(EventLog) 服务 ...
Windows事件日志分析工具介绍,零基础入门到精通,收藏这一篇就够了
Python_0011的博客
12-17 1569
6、连接其他计算机事件查看器不仅可以显示本地计算机的日志,还可以配置为收集来自网络中其他计算机的日志。7、日志事件导出右键点击你想要导出的日志或在右侧菜单栏,选择“将所有事件另存为”,然后选择保存路径和文件格式,即可完成导出。03命令行工具 (wevtutil)1、打开命令行窗口按下Win + R键,打开“运行”对话框。输入cmd,点击确定或回车。2、基本命令获取wevtutil的帮助信息wevtutil /?3、使用案例参考041、打开PowerShell按下Win + R键,打开“运行”对话框。
删除win10事件查看器中的所有日志的批处理命令
ZaiDong
04-24 5011
wevtutil.exe cl "Application" wevtutil.exe cl "HardwareEvents" wevtutil.exe cl "Internet Explorer" wevtutil.exe cl "Key Management Service" wevtutil.exe cl "Microsoft-AppV-Client/Admin" wevtutil.exe ...
渗透测试之痕迹清除
qq_29864185的博客
07-01 3531
痕迹清除 当我们达到了目的之后,有时候只是为了黑入网站挂黑页,炫耀一下;或者在网站留下一个后门,作为肉鸡,没事的时候上去溜达溜达;亦或者挂入挖矿木马;但是大家千万不要干这些事,这些都是违法的! 我这里只是教大家在渗透进去之后如何清除我们留下的一部分痕迹,并不能完全清除,完全清除入侵痕迹是不可能的!主要是增加管理员发现入侵者的时间成本和人力成本。只要管理员想查,无论你怎么清除,还是能查到的。 最主要还是要以隐藏自身身份为主,最好的手段是在渗透前挂上代理,然后在渗透后痕迹清除Windows系统
windows日志总结
ordar123的博客
06-09 8531
运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件,比如登录事件,进程创建事件等等。我们可以挨个手动修改审核策略的属性,将审核操作选上成功和失败。当然有简单方法:将下面脚本另存为bat,然后管理员运行就可以打开全部策略了。 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的
红日靶场2
最新发布
04-02
<think>嗯,用户想找关于红日靶场的IT内容或技术资料,特别是涉及IT安全、靶场平台、漏洞测试和网络安全的信息。首先,我需要回顾一下用户提供的引用内容,看看哪些部分可以应用到这里。引用[1]提到红日靶场模拟了国内企业的实际业务场景,包括CMS、漏洞管理、域管理等,这应该和用户的需求相关。引用[2]和[3]分别涉及Weblogic漏洞利用和具体的工具使用,比如Redis、MDUT等,还有CVE漏洞的利用。引用[4]是关于日志清理的命令,可能和渗透后的痕迹清理有关。 用户的问题是要寻找相关的技术资料,可能需要包括靶场的设计理念、具体漏洞的利用方法、使用的工具以及渗透测试的步骤。我需要把这些信息整合起来,按照用户要求的格式,分点回答,结构清晰,同时生成相关问题。 接下来要确保回答中提到的技术点都有对应的引用来源,比如红日靶场的环境设计引用[1],Weblogic漏洞引用[2],工具使用引用[3],日志清理引用[4]。同时,需要检查用户提供的系统级指令,比如数学表达式使用$...$,但在这个问题中可能用不上,不过要留意是否有数学相关的内容。用户还要求生成相关问题,这部分需要围绕红日靶场的技术点来提问,比如渗透测试流程、漏洞利用方法、工具使用等。 另外,要确保回答用中文,并且引用标识自然添加在段落末尾。例如,在提到靶场设计时引用[^1],提到Weblogic漏洞时引用[^2],工具使用引用[^3],日志清理引用[^4]。需要避免使用Markdown格式,但用户给的示例中使用了代码块,可能需要在回答中包含代码示例,比如日志清理的命令,这时候用反引号包裹。 最后,生成的相关问题要围绕红日靶场的不同方面,比如环境搭建、漏洞分析、工具使用、渗透技巧等,确保问题具有针对性和实用性,帮助用户进一步探索相关内容。</think>### 红日靶场 IT安全技术解析 红日靶场作为国内领先的渗透测试训练平台,其核心价值在于**真实企业场景模拟**和**ATT&CK攻防框架实践**。以下是关键技术要点: #### 1. 靶场环境架构设计 - **多维度渗透路径**:覆盖Web应用层(如CMS漏洞)、中间件层(WebLogic漏洞)、内网域控等层级 - **典型漏洞集成**- **典型漏洞集成**: - **WebLogic反序列化漏洞**(CVE-2016-0638):通过`WebLogicTool`扫描验证,利用工具直接执行系统命令 ```bash java -jar WebLogicTool.jar -t CVE-2016-0638 -u http://target:7001 ``` - **Laravel远程代码执行**(CVE-2021-3129):使用专用EXP工具实现RCE #### 2. 渗透测试技术栈 - **工具链配置**: - 数据库利用:`Redis Insight`管理Redis数据库,`MDUT`进行多数据库联合攻击 - 后门维持:`Godzilla v2.96`和`中国蚁剑`双通道Webshell管理 - 横向移动:`cdk`检测容器环境漏洞,`mimikatz`抓取域凭据 - **痕迹清理技术**: ```powershell wevtutil cl security # 清除安全日志 wevtutil cl system # 清除系统日志 ``` 需配合`meterpreter`的`clearev`模块实现自动化清理 #### 3. 域渗透专项训练 - **黄金票据伪造**:通过域控服务器获取KRBTGT账户的NTLM哈希 - **SMB中继攻击**:利用Responder工具捕获Net-NTLMv2哈希 - **GPO策略利用**:通过组策略部署恶意计划任务
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值