您好,登錄后才能下訂單哦!
Windows入侵痕跡清理的技巧是什么,很多新手對(duì)此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來(lái)學(xué)習(xí)下,希望你能有所收獲。
為避免入侵行為被發(fā)現(xiàn),攻擊者總是會(huì)通過(guò)各種方式來(lái)隱藏自己,比如:隱藏自己的真實(shí)IP、清除系統(tǒng)日志、刪除上傳的工具、隱藏后門文件、擦除入侵過(guò)程中所產(chǎn)生的痕跡等。
01、Windows日志清除
windows 日志路徑:
系統(tǒng)日志:%SystemRoot%\System32\Winevt\Logs\System.evtx
安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx
應(yīng)用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx
日志在注冊(cè)表的鍵:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
windows 日志清除方式:
(1)最簡(jiǎn)單粗暴的方式
開始→運(yùn)行,輸入 eventvwr
進(jìn)入事件查看器,右邊欄選擇清除日志。
(2)命令行一鍵清除Windows事件日志
PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"
Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
(3)利用腳本停止日志的記錄
通過(guò)該腳本遍歷事件日志服務(wù)進(jìn)程(專用svchost.exe)的線程堆棧,并標(biāo)識(shí)事件日志線程以殺死事件日志服務(wù)線程。
因此,系統(tǒng)將無(wú)法收集日志,同時(shí)事件日志服務(wù)似乎正在運(yùn)行。
github項(xiàng)目地址:https://github.com/hlldz/Invoke-Phant0m
(4)Windows單條日志清除
該工具主要用于從Windows事件日志中刪除指定的記錄。
github項(xiàng)目地址:https://github.com/QAX-A-Team/EventCleaner
(5)Windows日志偽造
使用eventcreate這個(gè)命令行工具來(lái)偽造日志或者使用自定義的大量垃圾信息覆蓋現(xiàn)有日志。
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
02、IIS日志
IIS默認(rèn)日志路徑:
%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\
清除WWW日志:
停止服務(wù):net stop w3svc刪除日志目錄下所有文件:del *.*啟用服務(wù):net start w3svc
03、利用Windows自帶命令進(jìn)行安全擦除
(1)Shift+Delete快捷鍵永久刪除
直接刪除文件,還是能在回收站找到的,使用Shift+Delete快捷鍵可以直接永久刪除了。但是用數(shù)據(jù)恢復(fù)軟件,刪除的文件盡快恢復(fù),否則新的文件存入覆蓋了原來(lái)的文件痕跡就很難恢復(fù)了。
(2)Cipher 命令多次覆寫
在刪除文件后,可以利用Cipher 命令通過(guò) /W 參數(shù)可反復(fù)寫入其他數(shù)據(jù)覆蓋已刪除文件的硬盤空間,徹底刪除數(shù)據(jù)防止被恢復(fù)。
比如,刪除D:\tools
目錄下的文件,然后執(zhí)行這條命令:
cipher /w:D:\tools
這樣一來(lái),D 盤上未使用空間就會(huì)被覆蓋三次:一次 0x00、一次 0xFF,一次隨機(jī)數(shù),所有被刪除的文件就都不可能被恢復(fù)了。
(3)Format命令覆蓋格式化
Format 命令加上 /P 參數(shù)后,就會(huì)把每個(gè)扇區(qū)先清零,再用隨機(jī)數(shù)覆蓋。而且可以覆蓋多次。比如:
format D: /P:8
這條命令表示把 D 盤用隨機(jī)數(shù)覆蓋 8 次。
04、清除遠(yuǎn)程桌面連接記錄
當(dāng)通過(guò)本機(jī)遠(yuǎn)程連接其他客戶端或服務(wù)器后,會(huì)在本機(jī)存留遠(yuǎn)程桌面連接記錄。代碼保存為clear.bat
文件,雙擊運(yùn)行即可自動(dòng)化清除遠(yuǎn)程桌面連接記錄。
@echo offreg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /freg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /freg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"cd %userprofile%\documents\attrib Default.rdp -s -hdel Default.rdp
05、Metasploit 痕跡清除
(1)查看事件日志
meterpreter > run event_manager -i
[*] Retriving Event Log Configuration
Event Logs on System
====================
Name Retention Maximum Size Records
---- --------- ------------ -------
Application Disabled 20971520K 2149
HardwareEvents Disabled 20971520K 0
Internet Explorer Disabled K 0
Key Management Service Disabled 20971520K 0
Security Disabled 20971520K 1726
System Disabled 20971520K 3555
Windows PowerShell Disabled 15728640K 138
(2)清除事件日志(包括六種日志類型)
meterpreter > run event_manager -c
(3)另外,也可以輸入clearv命令清除目標(biāo)系統(tǒng)的事件日志(僅包含三種日志類型)
meterpreter > clearev [*] Wiping 4 records from Application...[*] Wiping 8 records from System...[*] Wiping 7 records from Security...
看完上述內(nèi)容是否對(duì)您有幫助呢?如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝您對(duì)億速云的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。