引言
从防御者视角来说,回溯攻击过程中日志分析是不可或缺的一个环节,国内对此日志方面的攻防探讨甚少,笔者结合自己渗透过程中的一些经验,浅显的谈一谈在攻击者的角度如何来利用日志,希望此文能抛砖引玉,改变国内安全从业者跪舔国外安全研究人员的这种“拿来主义”。
思路
就日志来说,见过不少较为暴力的方式是将整个日志进行删除,此种攻击行为笔者通常称之为不优雅,真正高阶的渗透应该是悄然而入再隐秘而出。因此,可以总结出如下能够在渗透过程中对日志发起的攻击:
1.有选择性的删除(修改)日志
2.阻止本地日志的产生
3.对抗实时日志采集系统
选择性日志删除实现
我们知道Windows日志是以实体文件保存在磁盘上的,因此可以很容易的想到一个实现选择性修改或者删除日志的方式,既是通过修改文件内容来达到此目的。
Windows日志文件的格式在NT5及NT6上有较大的差异,主要异同如下:
NT5中的日志文件结构为二进制文件,涉及的结构体可以通过翻阅MSDN查到( EVENTLOGHEADER、EVENTLOGRECORD、EVENTLOGEOF 其一地址为 EVENTLOGRECORD (winnt.h) - Win32 apps | Microsoft Learn ),NT5下日志文件的保存路径为 %Syste