红队笔记之痕迹清理技术要点与实战方法总结 |
您所在的位置:网站首页 › 清理手机使用痕迹软件有哪些好 › 红队笔记之痕迹清理技术要点与实战方法总结 |
痕迹清理,是清理自己在目标机器上留下的所有操作痕迹。其主要目的是 避免溯源隐藏攻击方法为下一步渗透拖延时间每一项渗透动作都有其目的,我们都需要思考其是否真正的有必要,并不是每一次渗透均需要进行痕迹清理的动作。 痕迹清理的限制 痕迹清理这个动作本身也会产生痕迹,所以不存在完美的痕迹清理如果目标已经配置,第三方的日志记录平台,本机的痕迹清理作用微乎其微,除非我们可以拿下日记系统的控制权限。痕迹清理的技术要点 痕迹清理前需要先判断是否有必要清理痕迹。删除文件尽量使用复写方式,增加还原难度。如有必要可以伪造部分痕迹,混淆防守队溯源反向。定向删除优于全部删除,关闭日志等方式,增加被识别难度。如果痕迹清理的目的是为了下一步操作争取时间,那么我们需要去评估防守队的溯源时间,以安排后面的工作计划,当然极端情况我们可以在防守方休息时间段开展渗透。痕迹清理的步骤 1、清理的必要性主要区间与你的目的。 2、需要清理哪些内容需要根据你的攻击路径来判断,也就是说你整个攻击路径中哪些会留下痕迹,我们需要清楚,我们的清理工作也真实针对这些痕迹进行操作。 3、痕迹清理相对主要简单,在你明确了需要清理哪些痕迹后,只要寻找对应的清理方法即可,下文总结常用的痕迹清理方法。 Windows痕迹清理 Windows日志清理 Windows日志相关基础知识Windows的日志文件分为3类核心日志,分别是系统日志,程序日志,和安全日志 系统日志(SysEvent):记录操作系统产生的事件,如设备驱动无法正常启动或停止,系统进程崩溃等 # 默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx程序日志(AppEvent):包含操作应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息。 # 默认位置: %SystemRoot%\System32\Winevt\Logs\Application.evtx**安全日志(SecEvent)😗*包含安全性相关的事件。e.g.用户权限变更,登录及注销,文件/文件夹访问等信息。 # 默认位置: %SystemRoot%\System32\Winevt\Logs\Security.evtx1、系统内置3个核心日志文件(System、Security、Application);默认大小均20MB,数据超过20MB,默认系统将优先覆盖过期日志记录。应用程序、服务日志默认最大1024KB,超过最大限制也优先覆盖过期的日志记录 2、其他系统服务的日志也都储存在%SystemRoot%\System32\Winevt\Logs\下 操作系统日志记录大致流程 1、svhost启动EventLog开始记录日志 2、EventLog将操作记录先缓存为一段内存内容 3、Wevtutil将内存内容解析为xml并且通过gui界面可视化的展现给用户 其中svhost,EventLog,Wevtutil具体功能说明如下; svchost svchost主要是用来实现服务进程数据共享,以此来减少系统资源消耗,很多系统程序和服务使用svchost运行。 windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。 Event Log Event Log主要是管理windows管理事件和事件日志。它支持日志记录事件、查询事件、订阅事件、归档事件日志以及管理事件元数据。它可以用 XML 和纯文本两种格式显示事件。 wevtutil 检索有关事件日志和发布服务器的信息。 此外,还可以使用此命令来安装和卸载事件清单,运行查询,以及导出、存档和清除日志。详细可以参考微软官方介绍。 Windows日志清理方法Windows日志清理主要分为全量清理和定向清理,全量清理其动作较大容易被发现,定向清理相对比较隐蔽 全量删除方法 通过事件查看器删除开始→运⾏,输⼊ eventvwr 进⼊事件查看器,右边栏选择清除⽇志 这里需要注意日志清理因为本身也是系统事件所以也会被记录,这也就是不存在完美的日志清理 1、停止Windows Event Log(EventLog) 服务 2、删除对应的文件 %SystemRoot%\System32\Winevt\Logs\ 3、永久停用方法 # 查询要禁用的注册表 reg query "HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog\" # 删除对应的注册表 reg delete "HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog\System" /f # 重启Windows Event Log(EventLog) 服务进入meterpreter后直接执行clearev 定向清理方法 删除最近数据 wevtutil qe 你要清理的日志(如Security) /f:text /rd:true /c:删除行数(如10行) 删除某指定单条记录 # 1、删除Security下的单条日志(EventRecordID=2222),并保存为tmp1.evtx wevtutil epl Security tmp1.evtx "/q:*[System [(EventRecordID!=2222)]]" # 2、结束日志进程(释放日志文件句柄) # 3、替换原日志文件 # 4、重启日志服务 删除某指定多条记录 # 1、删除Security下的多条日志(EventRecordID为13030、13031和13032),结果保存为tmp2.evtx wevtutil epl Security tmp2.evtx "/q:*[System [(EventRecordID>13032) or (EventRecordID'2021-12-10T03:21:00' or @SystemTime |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |