防御闪避:Windows日志清理

防御闪避是一种网络杀伤链攻击策略，其中包括攻击者用来防止在受到侵犯时被检测到的策略。

为了限制可用于检测和审核的数据量，攻击者可以禁用Windows事件日志记录。登录尝试，流程开发，其他用户和设备行为均记录在Windows事件日志中。情报软件和分析人员使用此信息来识别工件。

使用Wevtutil命令清除事件日志
这是一个系统工具，可让您查找事件日志和发布者的详细信息。您也可以使用此命令来安装和卸载事件清单，导出，归档和清除日志。

事件查看器——安全

以管理员权限执行以下命令：

wevtutil cl security

😊 现在已清除所有日志，但是将生成一个事件ID为1102的日志，用于清除日志

使用Powershell清除事件日志

另一种方法是使用PowerShell清除日志，因为您可以观察到该计算机具有系统和安全日志。

以管理员身份运行Powershell并执行以下命令：

Clear-Eventlog -LogName Security
Clear-Eventlog -LogName System

上面的命令将从系统和安全性内部清除所有日志。

Phantom
该脚本遍历事件日志服务进程（特定于svchost.exe）的线程堆栈，并标识事件日志线程以杀死事件日志服务线程。因此，系统将无法收集日志，同时，事件日志服务似乎正在运行。从这里下载

powershell -ep bypass
.\Invoke-Phant0m.ps1

Mimikatz

当涉及红色分组方法时，我们怎么能忘掉mimikatz？Mimikatz是最有效的方法，它使您不仅可以窃取凭据，还可以从事件查看器中清除日志。

以管理员身份运行mimikatz并执行以下命令：

privilege::debug
event::

MiniNT registry key

您可以使用注册表，如下所述创建新的注册表项，然后重新启动计算机以重新加载配置单元。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt"

该键禁用事件查看器，从而限制其生成日志。

Powershell Empire

PowerShell Empire还可以用于清除日志，对事件日志线程进行分类以及销毁事件日志服务线程。

使用以下命令为受关注的代理执行模块：

usemodule management/phant0m
execute

Metasploit

最后但并非最不重要的一点是，我们拥有Metasploit框架，可以从事件查看器中清除应用程序，安全性和系统日志。在meterperter会话中，您可以执行以下命令。

meterpreter > clearev