渗透中关于痕迹清理汇总

0x01 前言

在进行渗透测试中为避免入侵行为被发现，攻击者总是会通过各种方式来隐藏自己，比如：隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。对于一次完整的渗透测试，通常会选择对Windows日志进行清除和绕过，而对于防御者来说，了解常用的绕过方法也有助于更好的保护自己的系统。
下面就是纸飞机安全总结的一些、欢迎补充

0x02 windows日志清理

• wevtutil.exe

获取日志信息：

wevtutil.exe gli Application

删除该日志所有信息：

wevtutil cl Application

• 破坏Windows日志记录功能
  利用工具：

Invoke-Phant0m
Windwos-EventLog-Bypass

若是在MSF内可以使用如下语句进行：

run clearlogs
clearev

• 自编写BAT脚本3389登陆记录清除

@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit