Windows日志清除绕过

字数统计: 1k字   |   阅读时长≈ 4分

在我们日常的攻防演练过程中,登录横向等行为大部分会记录在 Windows 日志中,这将会增加被溯源的风险,针对于windows日志痕迹清除主要总结了以下这些方法

0x01 关闭日志服务

#找出日志进程的PID  
Get-WmiObject -Class win32\_service -Filter "name = 'eventlog'" 
#kill掉对应PID  
taskkill /F /PID 1792

image_GasRFIcNrh.png

重启可进行恢复

image_SXP36zkZbR.png

0x02 wevtutil

它是一个系统工具,可让您查找有关事件日志和发布者的详细信息。您还可以使用此命令安装和卸载事件清单、导出、存档和清除日志。

统计日志列表,查询所有日志信息,包含时间,数目
wevtutil.exe gli Application

7CJpJDZGxfHuRQnFe35Feb_7fEi99B1yY.png

查看指定类别的日志内容
wevtutil qe /f:text Application

erLiChLMuDg8wSkAhyNwEb_30KQ2priW3.png

删除该类日志所有内容
wevtutil cl Application

ePfYP4ys5TC3DCsRLyNEye_2LOMRfvjxH.png

74mU9si2SVbSKQZep8UkL7_f8tJOo9zBW.png

但清除完会留下1012或104的系统日志

6RnXS1Hr43QJHXugmXY3nk_czepRGDjja.png

获取最近十条日志
wevtutil.exe qe Security /f:text /rd:true /c:10

mSNMxDRG8sdj67ux7pbhU8_g0z4qs83sC.png

日志导出过滤

wevtutil.exe epl Security 1.evtx  
过滤分两种:  
  

按日志号过滤:
wevtutil epl Security 1.evtx “/q: *[System [(EventID!=1112)]]“  


通过加or语句
wevtutil epl Security 1.evtx “/q:*[System [(EventID>13032) or (EventRecordID<13030)]]“  


按时间过滤:
wevtutil epl Security new.evtx “/q: *[System [TimeCreated[@SystemTime >’2021-09-08T17:21:00’ or @SystemTime <’2021-09-08T09:20:00’]]]“
这里删除SystemTime为2021-08-20T03:20:002018-08-29T03:21:00之间的日志,结果保存为new.evtx,然后可以把删除处理后的日志进行重新导入  


组合过滤:
wevtutil epl Security asd.evtx “/q:(Event/System/TimeCreated[@SystemTime >’2021-09-07T03:21:00’ or @SystemTime <’2021-09-04T03:20:00’]) and Event/System/EventID=4624”  


注意:首先需要确定系统时间,如图时差为8小时,对应清除日志时间要向前移8小时
wevtutil.exe qe Security /f:xml /rd:true /c:1

image_RY0Pkf1NU6.png
编译:通过GitHub的项目重新进行导入

https://github.com/3gstudent/Homework-of-C-Language/blob/master/DeleteRecordbyTerminateProcess(ReplaceFile).cpp

编译前添加

#include <stdio.h>
#include <tchar.h>

该项目原理:
1、解除本身日志文件的占用  
2、结束日志进程  
3、释放日志文件句柄  
4、替换日志文件  
5、重启日志服务

wrnxgA98mQJcds399S9yxb_WMbqwJoSoD.png

运行完成后把删除处理后的日志重新导入安全日志,但会留下7034的系统日志

6joud56Vw4kHPChD4mBzhY_V2t4sDbPvx.png

0x03 EventLogMaster

这是一款用于日志清除的Cobalt Strike插件,可指定地址、ip等

https://github.com/QAX-A-Team/EventLogMaster

image_MZj6DOhPaJ.png

如图所示源地址172.20.10.3记录在remoteconnectionmanager日志中,选择相应的日志类型并填写好源地址进行清除

image_GHwrizQ6la.png

image_6ts958y1DY.png

成功清除该IP相关的日志

image_9j0eq0TsEO.png

0x04 Powershell

执行以下两条命令

Clear-Eventlog -LogName Security
Clear-Eventlog -LogName System

7iMB6ftagrTCEmsHC4cwGY_nD7VYLCip9.png

清除完会分别留下104和1102的清除日志

nQHN7FEF95nk1gXtwnBGC6_UNn1toCo5u.png

hw4uDD45yxkMPqE8F99EXZ_UeUMd_e9RT.png

0x05 Phantom

在Windows操作系统上,svchost.exe管理服务,而服务实际上是在svchost.exe下作为线程运行的。Phant0m以事件日志服务为目标,找到负责事件日志服务的进程,它会检测并终止负责事件日志服务的线程。因此,虽然事件日志服务似乎在系统中运行,但是Phant0m终止了线程而没有终止进程,所以系统不收集日志。

项目地址:https://github.com/hlldz/Phant0m

可以通过编译后的exe程序或者项目的cs插件运行

5dqVh2ZGjD6PFuyu9Q1vSy_yrMFX_yW9R.png

或通过Powershell分别执行以下三条命令

1、powershell -ep bypass
2、Import-Module .\\Invoke-Phant0m.ps1
3、Invoke-Phant0m

oFpGJDYjyYuFbu947Txzef_1F-kLEURrv.png

0x06 MiniNT注册表

可以使用注册表,创建一个新的注册表项,然后重新启动机器以加载配置单元。

reg add “HKEY\_LOCAL\_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\MiniNt”

此键禁用事件查看器,从而限制它生成日志。

j4j93MHSf5XpK9uTqtD43Y_pGwFvhsKot.png

ituLMk8YdyxN9dfnpStWHc_qKsbqEAU7r.png

删除重启后可正常查看日志

qvC2TJJ5BCz5HXokM4fUKK_Y8IGx7akLt.png


谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

俗话说“好记性不如烂笔头”,各个安全社区各自为战,当我们想要搜索某一方面的文章的时候总是得在各个平台之间来回横跳,于是乎,一个平台文章聚合搜索的想法诞生了。
然后正好我想有一个自己的博客,于是乎两者融合在了一起。
下面简单介绍各个导航的区别:
个人文章:本人的笔记、复现、总结等或者本人参与的共同创作。
收集文章:手工从公众号收集保存的文章,更新频率看本人喜好所以比较慢。
聚合文章:从各大平台收集整理,由工具实现,每天更新。
很惭愧,只做了一点微小的工作。