Skip to content

Latest commit

 

History

History
250 lines (126 loc) · 5.59 KB

[星冥安全]-2023-7-28-Windows日志清除绕过.md

File metadata and controls

250 lines (126 loc) · 5.59 KB

Windows日志清除绕过

星冥安全 星冥安全

星冥安全

微信号 xingmingsec

功能介绍 星冥安全,专注于分享红蓝对抗、内网渗透、web安全、数据安全、云安全、应急响应、信息安全、网络安全攻防对抗知识。关注了解更多安全知识,感兴趣的可加入知识星球(星冥安全)!

__发表于

收录于合集

#windows 3 个

#windows日志 1 个

#日志清除 1 个

在我们日常的攻防演练过程中,登录横向等行为大部分会记录在 Windows 日志中,这将会增加被溯源的风险,针对于windows日志痕迹清除主要总结了以下这些方法

0x01 关闭日志服务

#找出日志进程的PID    
Get-WmiObject -Class win32\_service -Filter "name = 'eventlog'"    
  
#kill掉对应PID    
taskkill /F /PID 1792

重启可进行恢复

0x02 wevtutil

它是一个系统工具,可让您查找有关事件日志和发布者的详细信息。您还可以使用此命令安装和卸载事件清单、导出、存档和清除日志。

统计日志列表,查询所有日志信息,包含时间,数目
wevtutil.exe gli Application

查看指定类别的日志内容
wevtutil qe /f:text Application

删除该类日志所有内容
wevtutil cl Application

但清除完会留下1012或104的系统日志

获取最近十条日志
wevtutil.exe qe Security /f:text /rd:true /c:10

日志导出过滤

wevtutil.exe epl Security 1.evtx    
过滤分两种:    
    
按日志号过滤:    
wevtutil epl Security 1.evtx "/q: \*\[System \[(EventID!=1112)\]\]"    
    
通过加or语句    
wevtutil epl Security 1.evtx "/q:\*\[System \[(EventID>13032) or (EventRecordID<13030)\]\]"    
    
按时间过滤:    
wevtutil epl Security new.evtx "/q: \*\[System \[TimeCreated\[@SystemTime >'2021-09-08T17:21:00' or @SystemTime <'2021-09-08T09:20:00'\]\]\]"    
这里删除SystemTime为2021-08-20T03:20:00至2018-08-29T03:21:00之间的日志,结果保存为new.evtx,然后可以把删除处理后的日志进行重新导入    
    
组合过滤:    
wevtutil epl Security asd.evtx "/q:(Event/System/TimeCreated\[@SystemTime >'2021-09-07T03:21:00' or @SystemTime <'2021-09-04T03:20:00'\]) and Event/System/EventID=4624"    
    
注意:首先需要确定系统时间,如图时差为8小时,对应清除日志时间要向前移8小时    
wevtutil.exe qe Security /f:xml /rd:true /c:1


编译:通过GitHub的项目重新进行导入

https://github.com/3gstudent/Homework-of-C- Language/blob/master/DeleteRecordbyTerminateProcess(ReplaceFile).cpp

编译前添加

#include <stdio.h>
#include <tchar.h>

该项目原理:  
1、解除本身日志文件的占用    
2、结束日志进程    
3、释放日志文件句柄    
4、替换日志文件    
5、重启日志服务

运行完成后把删除处理后的日志重新导入安全日志,但会留下7034的系统日志

0x03 EventLogMaster

这是一款用于日志清除的Cobalt Strike插件,可指定地址、ip等

https://github.com/QAX-A-Team/EventLogMaster

如图所示源地址172.20.10.3记录在remoteconnectionmanager日志中,选择相应的日志类型并填写好源地址进行清除

成功清除该IP相关的日志

0x04 Powershell

执行以下两条命令

Clear-Eventlog -LogName Security  
Clear-Eventlog -LogName System

清除完会分别留下104和1102的清除日志

0x05 Phantom

在Windows操作系统上,svchost.exe管理服务,而服务实际上是在svchost.exe下作为线程运行的。Phant0m以事件日志服务为目标,找到负责事件日志服务的进程,它会检测并终止负责事件日志服务的线程。因此,虽然事件日志服务似乎在系统中运行,但是Phant0m终止了线程而没有终止进程,所以系统不收集日志。

项目地址:https://github.com/hlldz/Phant0m

可以通过编译后的exe程序或者项目的cs插件运行

或通过Powershell分别执行以下三条命令

1、powershell -ep bypass  
  
2、Import-Module .\\Invoke-Phant0m.ps1  
  
3、Invoke-Phant0m

0x06 MiniNT注册表

可以使用注册表,创建一个新的注册表项,然后重新启动机器以加载配置单元。

reg add “HKEY\_LOCAL\_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\MiniNt”

此键禁用事件查看器,从而限制它生成日志。

删除重启后可正常查看日志

转载:https://forum.butian.net/share/1717作者:hyyrent欢迎大家去关注作者

欢迎师傅加入安全交流群(qq群:611901335),或者后台回复加群

如果想和我一起讨论,欢迎加入我的知识星球!!!

扫描下图加入freebuf知识大陆

师傅们点赞、转发、在看就是最大的支持

**
**

后台回复知识星球或者知识大陆也可获取加入链接(两个加其一即可)

预览时标签不可点

微信扫一扫
关注该公众号

知道了

微信扫一扫
使用小程序

取消 允许

取消 允许

: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看