红队战术-躲避日志检查

  • A+
所属分类:安全文章

点击蓝字关注我哦


前言

windows事件日志简介:Windows 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

禁用Windows事件日志记录,是最常规红队手法,为了减少可用于安全人员检测和审核的数据量,提高红队活动的隐蔽性,红队人员可以禁用Windows事件日志记录。在windows各种日志中,最常用被安全人员审计的日志,有应用程序日志,系统日志,安全日志。



实操

1.使用Wevtutil命令清除事件日志

Wevtutil是一个系统工具,可以查找事件日志和发布者的详细信息,也可以使用此命令来安装和卸载事件清单,导出,归档和清除日志,是一个及其好用的系统日志管理工具。

红队战术-躲避日志检查

权限:管理员权限

命令:wevtutil cl 日志类型

比如这里我去清除安全日志:

wevtutil cl security

就清除了安全日志,完全可以做成一个批处理程序,来批量清楚日志。

wevtutil cl securitywevtutil cl Setupwevtutil cl Systemwevtutil cl Aplicationwevtutil cl Forwarded Events

2.使用Powershell清除事件日志

另一种方法是使用PowerShell清除日志。

权限:管理员权限

命令:以管理员身份运行Powershell并执行以下命令

Clear-Eventlog -LogName SecurityClear-Eventlog -LogName System


上面的命令将从系统和安全性内部清除所有日志。

这个也可以完全写成ps1脚本,你直接把你要清除日志的命令写到ps1脚本里面就行,用法和批处理脚本一样。

3.Phantom

该脚本遍历事件日志服务进程(特定于svchost.exe)的线程堆栈,并标识事件日志线程以杀死事件日志服务线程,因此,系统将无法收集日志,同时,事件日志服务也正在运行。

github:https://github.com/hlldz/Invoke-Phant0m

Phant0m的工作原理如下:

1. 在目标操作系统中检测Windows事件日志服务的过程。
2. 获取线程列表并标识Windows事件日志服务线程ID。
3. 终止有关Windows事件日志服务的所有线程。

红队战术-躲避日志检查


简而言之,Windows事件日志服务主进程还在,但是运行着各种功能的线程已经没了。

powershell -ep bypass.Invoke-Phant0m.ps1

4.Mimikatz

这个就不用多说,不仅可以窃取凭据,还可以从事件查看器中清除日志。

以管理员身份运行mimikatz并执行以下命令:

privilege::debugevent::

5.MiniNT registry key

您可以使用注册表,如下所述创建新的注册表项,然后重新启动计算机以重新加载配置单元。

reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlMiniNt"


该注册表键原理是禁用事件查看器,从而限制其生成日志。

但是有点风险,我用windows 7 sp2 测试,会出现开不了鸡的情况。

6.Metasploit

在Metasploit会话中,可以从事件查看器中清除应用程序,安全性和系统日志。

执行命令

clearev

红队技术博大精深,值得好好钻研,细品,每天进步一点点,日积月累也是很大的技术积累。

欢迎大家加入知识星球交流学习,感受网络安全的魅力。

红队战术-躲避日志检查

红队战术-躲避日志检查


红队战术-躲避日志检查



红队战术-躲避日志检查

END

红队战术-躲避日志检查


红队战术-躲避日志检查


看完记得点赞,关注哟,爱您!


请严格遵守网络安全法相关条例!此分享主要用于学习,切勿走上违法犯罪的不归路,一切后果自付!



关注此公众号,回复"Gamma"关键字免费领取一套网络安全视频以及相关书籍,公众号内还有收集的常用工具!

在看你就赞赞我!
红队战术-躲避日志检查

红队战术-躲避日志检查
红队战术-躲避日志检查
红队战术-躲避日志检查
扫码关注我们
红队战术-躲避日志检查


扫码领hacker资料,常用工具,以及各种福利


红队战术-躲避日志检查

转载是一种动力 分享是一种美德

   

本文始发于微信公众号(Gamma实验室):红队战术-躲避日志检查

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: