本文讲的是
渗透技巧——Windows日志的删除与绕过,
0x00 前言
在渗透测试过程中,Windows日志往往会记录系统上的敏感操作,如添加用户,远程登录执行等。
对于一次完整的渗透测试,通常会选择对Windows日志进行清除和绕过,而对于防御者来说,了解常用的绕过方法也有助于更好的保护自己的系统。
所以本文将要介绍常见的Windows日志清除与绕过方法,分享经验,帮助大家。
0x01 简介
本文将要介绍以下内容:
Windows日志的常用清除方法
Windows日志的两种绕过方法
0x02 Windows日志
Windows日志包括五个类别:
应用程序
安全
Setup
系统
转发事件
查看方式:
1、通过面板
位置如下:
Control PanelSystem and Security-View event logs-Windows Logs
如下图
2、通过Powershell
常用命令如下:
(管理员权限)
查看所有日志:
Get-WinEvent
查看应用程序类别下的日志:
Get-WinEvent -FilterHashtable @{logname="Application";}
0x03 Windows日志的常用清除方法
1、wevtutil.exe
操作系统默认包含,支持系统:Win7及以上
常用命令如下:
(1) 统计日志列表,查询所有日志信息,包含时间,数目