Windows日誌怎麼清除?Windows入侵痕跡清理技巧

2020-11-29 中華網

為避免入侵行為被發現,攻擊者總是會通過各種方式來隱藏自己,比如:隱藏自己的真實IP、清除系統日誌、刪除上傳的工具、隱藏後門文件、擦除入侵過程中所產生的痕跡等。

01、Windows日誌清除

windows 日誌路徑:

系統日誌:%SystemRoot%\System32\Winevt\Logs\System.evtx

安全日誌:%SystemRoot%\System32\Winevt\Logs\Security.evtx

應用程式日誌:%SystemRoot%\System32\Winevt\Logs\Application.evtx

日誌在註冊表的鍵:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

windows 日誌清除方式:

(1)最簡單粗暴的方式

開始→運行,輸入 eventvwr 進入事件查看器,右邊欄選擇清除日誌。

(2)命令行一鍵清除Windows事件日誌

PowerShell-Command"&{Clear-Eventlog-LogApplication,System,Security}"

Get-WinEvent-ListLogApplication,Setup,Security-Force|%{Wevtutil.execl$_.Logname}

(3)利用腳本停止日誌的記錄

通過該腳本遍歷事件日誌服務進程(專用svchost.exe)的線程堆棧,並標識事件日誌線程以殺死事件日誌服務線程。

因此,系統將無法收集日誌,同時事件日誌服務似乎正在運行。

(4)Windows單條日誌清除

該工具主要用於從Windows事件日誌中刪除指定的記錄。

(5)Windows日誌偽造

使用eventcreate這個命令行工具來偽造日誌或者使用自定義的大量垃圾信息覆蓋現有日誌。

eventcreate-lsystem-soadministrator-twarning-d"thisisatest"-id500

02、IIS日誌

IIS默認日誌路徑:

%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\

清除WWW日誌:

停止服務:net stop w3svc

刪除日誌目錄下所有文件:del *.*

啟用服務:net start w3svc

03、利用Windows自帶命令進行安全擦除

(1)Shift+Delete快捷鍵永久刪除

直接刪除文件,還是能在回收站找到的,使用Shift+Delete快捷鍵可以直接永久刪除了。但是用數據恢復軟體,刪除的文件儘快恢復,否則新的文件存入覆蓋了原來的文件痕跡就很難恢復了。

(2)Cipher 命令多次覆寫

在刪除文件後,可以利用Cipher 命令通過 /W 參數可反覆寫入其他數據覆蓋已刪除文件的硬碟空間,徹底刪除數據防止被恢復。

比如,刪除D:\tools目錄下的文件,然後執行這條命令:

cipher/w:D:\tools

這樣一來,D 盤上未使用空間就會被覆蓋三次:一次 0x00、一次 0xFF,一次隨機數,所有被刪除的文件就都不可能被恢復了。

(3)Format命令覆蓋格式化

Format 命令加上 /P 參數後,就會把每個扇區先清零,再用隨機數覆蓋。而且可以覆蓋多次。比如:

formatD:/P:8

這條命令表示把 D 盤用隨機數覆蓋 8 次。

04、清除遠程桌面連接記錄

當通過本機遠程連接其他客戶端或伺服器後,會在本機存留遠程桌面連接記錄。代碼保存為clear.bat文件,雙擊運行即可自動化清除遠程桌面連接記錄。

@echooff

regdelete"HKEY_CURRENT_USER\Software\Microsoft\TerminalServerClient\Default"/va/f

regdelete"HKEY_CURRENT_USER\Software\Microsoft\TerminalServerClient\Servers"/f

regadd"HKEY_CURRENT_USER\Software\Microsoft\TerminalServerClient\Servers"

cd%userprofile%\documents\

attribDefault.rdp-s-h

delDefault.rdp

05、Metasploit 痕跡清除

(1)查看事件日誌

meterpreter>runevent_manager-i

[*]RetrivingEventLogConfiguration

EventLogsonSystem

====================

NameRetentionMaximumSizeRecords

--------------------------------

ApplicationDisabled20971520K2149

HardwareEventsDisabled20971520K0

InternetExplorerDisabledK0

KeyManagementServiceDisabled20971520K0

SecurityDisabled20971520K1726

SystemDisabled20971520K3555

WindowsPowerShellDisabled15728640K138

(2)清除事件日誌(包括六種日誌類型)

meterpreter>runevent_manager-c

(3)另外,也可以輸入clearv命令清除目標系統的事件日誌(僅包含三種日誌類型)

meterpreter>clearev

[*]Wiping4recordsfromApplication...

[*]Wiping8recordsfromSystem...

[*]Wiping7recordsfromSecurity...

責任編輯:kj005

文章投訴熱線:156 0057 2229 投訴郵箱:29132 36@qq.com

相關焦點

  • Windows主機入侵痕跡排查辦法
    為了確保實施人員在有限的時間範圍內,可以高效且保證質量的前提下完成主機入侵痕跡排查工作,本人總結了自己的一些經驗,下面的內容特此分享主機入侵痕跡排查服務中重點、關鍵的排查項,僅作為參考使用。 1.1初步篩選排查資產 一般情況下,客戶資產都比較多,想要對所有的資產主機進行入侵痕跡排查基本不太現實,等你全部都排查完了,攻擊者該做的事早就做完了,想要的目的也早就達到了。那麼針對客戶資產量大的情況,我們應該怎麼處理?
  • 網站伺服器被入侵該如何查詢攻擊日誌
    當windows伺服器遭到入侵時,在運行過程中經常需要檢索和深入分析相應的安全日誌。除安全防護設備外,系統軟體內置系統日誌是調查取證的關鍵材料,但此類系統日誌數量非常龐大,須要對windows安全日誌開展合理深入分析,以獲取我們需要的有用信息,這一點尤為重要。
  • windows系統安裝方法匯總
    現在日常辦公一般都離不開電腦了,但是電腦在使用過程中有很多因素會導致電腦出現問題,可能不得不進行重裝系統,但是現在還有很多小夥伴不清楚怎麼進行重裝系統,其實重裝系統並不難,下面小編就給大家匯總了一些windows系統的安裝方法,希望能夠幫助到大家。
  • 修復Windows 10 20H2安裝卡住或失敗故障,一試就靈
    此工具還可以幫助修復一些常見的windows update錯誤代碼:0x80073712、0x800705B4、0x80004005、0x8024402F、0x80070002、0x80070643、0x80070003、0x8024200B、0x80070422、0x80070020等。在執行任何其他解決方案之前,我們建議運行該工具並讓windows自行解決問題。
  • NOD32誤殺c:\windows\system32\imm32.dll的解決方法
    今天(2010年10月6日)Nod32更新了病毒庫之後,不停的報c:\windows\system32\imm32.dll文件為win32/kheagol.D 特洛伊木馬,而且還無法清除。 今天(2010年10月6日)Nod32更新了病毒庫(5509病毒庫)之後,不停的報c:\windows\system32\imm32.dll文件為win32/kheagol.D 特洛伊木馬,而且還無法清除。
  • windows系統安裝方法詳細介紹
    不過,有很多的小夥伴都不知道應該怎麼重裝系統。接下來小編就給各位玩家小夥伴詳細的講解一下windows系統安裝方法詳細介紹,一起來看看吧。不過,有很多的小夥伴都不知道應該怎麼重裝系統。接下來小編就給各位玩家小夥伴詳細的講解一下windows系統安裝方法詳細介紹,一起來看看吧。
  • windows 檢查php版本專題及常見問題 - CSDN
    phpstudy下安裝NGOOS2.0(Windows7版本)說明:Phpstudy配置僅在windows7 X64環境下測試運行成功,本配置針對於php7.0非線程安全(NTS)及ngoos2.0的安裝。
  • Windows 10 Version 1511中英文鏡像下載
    Windows 10 Multiple Editions Version 1511 (x64) Windows 10 (Multiple Editions), Version 1511 (x86) – DVD   文件名: cn_windows_10_multiple_editions_version_1511_x86_dvd_7223635
  • 搭載M1晶片的蘋果筆記本要是不能安裝windows,你還買嗎?
    買蘋果電腦,安裝windows是很多人都愛幹的事情,很多人畢竟很多人買回蘋果MacBook第一件事就是安裝Windows 10。而如今蘋果新款的筆記本是搭載M1晶片,是ARM架構的,而之前windows系統是不支持的!所以很多人在購買之前就在網上問了這樣一件事,那麼搭載M1晶片的蘋果筆記本會支持windows晶片嗎?
  • 如果我們力推深度Linux系統,會取代微軟的Windows系統嗎?
    當linux遇上Windows孰強孰弱實際上,很多人對於windows的看法是,它更適合單個的用戶;而linux適合的是喜歡倒騰電腦的用戶。會覺得linux有點難度,windows簡單很多,雖然微軟的windows有太多的弊端了,可是你得知道的是,大部分用戶還是選擇了微軟,驅動多,操作簡單,更傻瓜式。
  • 直接下載:Windows 10秋季更新官方中文原版鏡像
    【64位簡體中文專業/家庭版】Version 1709文件名:cn_windows_10_multi-edition_version_1709_updated_sept_2017_x64_dvd_100090804.isoSHA1:9306895149F9328CDB77FF28368F83EE984BDC30
  • 為什麼很多人買了蘋果電腦,卻要裝windows系統?原因其實很現實
    不過現在我最近發現了一個奇怪的現象,公司裡不少銷售人員也開始購買Mac電腦,而且大多數人買了蘋果電腦以後,卻要安裝windows系統,這讓我非常好奇:為什麼大多數人購買了Mac以後卻要安裝Windows系統呢?其實原因很現實!
  • OriginOS對比Windows Phone,三點對比後發現不同
    殊不知,應用在手機上的作業系統還有windows phone、Symbian等,它們也都有著各自的優勢,是值得體驗的系統。今天,基於市場中出現了vivo全新發布的OriginOS與windows phone存在相似之處的聲音,那我們就通過兩款系統的對比,看看OriginOS是否有新升級?創新之處又體現在哪裡?
  • 乾貨| 黑客入侵?這裡有詳細的應急排查手冊!
    7.關鍵字匹配,通過確定後的入侵時間,以及webshell或js文件的關鍵字(比如博彩類),可以在IIS 日誌中進行過濾匹配,比如經常使用:8.有了這些我們就可以對windows日誌進行分析了 比如我們分析域控日誌的時候,想要查詢帳戶登陸過程中,用戶正確,密碼錯誤的情況,我們需要統計出源IP,時間,用戶名時,我們可以這麼寫(當然也可以結合一些統計函數,分組統計等等)
  • windows系統如何關閉應用進程
    很多企業內的員工其實對電腦操作並不是十分了解,在隨便下載安裝一些軟體以及不規範操作之後電腦往往十分的卡頓,歸根結底還是一些不必要的進程佔用了系統資源,那麼windows系統如何管理進程,關閉非必要進程從而保證電腦穩定健康的運行呢?下面小編就來跟大家探討下解決辦法。
  • Windows 10藍屏死機新增QR碼:可助用戶快速獲取解決方案
    上面新增了這樣一段文字:關於該問題及可能解決方案的信息請訪問:http://windows.com/stopcode如果你需要一位技術支持人員,請給他們提供這個信息:Stop code: BAD_POOL_HEADER當然,最明顯的一個調整則是左邊的QR碼,它能向用戶快速提供解決方案。
  • winlogon.exe怎麼解決?解決方法及查殺流程
    這隻鴿子提示:中招後,貼日誌求助的日子即將結束!做好系統基礎安全防護是每個用戶的當務之急。「基礎安全防護」絕不僅僅是打幾個補丁的問題。熟悉一兩個性能好的安全軟體的使用也是必要的。否則,中招後,你自己就著急吧!這隻鴿子的要害是c:\windows\winlogon.dll。
  • 這個windows命令,做成快捷方式,實現一秒快速關機重啟電腦
    想讓電腦快速關機重啟,這個原理其實很簡單,無非是調用到windows自身的一個程序,這個程序是shutdown.exe,可以有多種運行參數,通過指定這個程序的運行參數,來實現多種關機方式,重啟方式,和定時關機等等。因此,利用這個程序的這一點,做成一個桌面快捷方式,來達到快速運行關機程序的目的。非常方便,下面就是具體的做法。
  • windows下如何把一個十進位數轉成二進位
    /** 將一個十進位的正整數按二進位形式輸出* */#include <stdio.h>#include <windows.h>#define INDEX 64