win 的入侵日志简单处理(日志清理)

前言

入侵日志处理作为后渗透环节的重要组成部分,可能很多朋友在实际渗透中,对它貌似都并不怎么上心[ 但这确实又很重要 ],利用win带的 wevtutil 日志管理工具[win 7以后自带,03之前的系统就不说了吧,大家都很熟悉了]可以很方便[‘不过,有点儿太方便了’]的帮我们处理一些敏感的系统安全类日志,既然要涉及到系统的安全审计,’管理员权限’ 自然是少不了的:

# wevtutil el | more                  查看系统日志列表项
# wevtutil cl "windows powershell"         清除powershell日志
# wevtutil cl "security"              清除系统安全日志
# wevtutil cl "system"                 清除系统日志
# wevtutil cl "application"              清除应用程序日志

第一种

利用常规for循环 一句话清除所有系统日志:

for /F "tokens=*" %a in ('wevtutil.exe el') DO wevtutil.exe cl "%a"

第二种

如果你弹回来的是一个ps的shell,也可直接用ps来批量删日志:

PS C:\> wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}

清理完成

删完之后你会发现整个世界瞬间就安静了,是的,没错,直接整个全部清空,简单粗暴,尼玛……可能wevtutil里面还有一些可以筛选日志的选项是我暂时还没发现吧,后期看到了再陆续补充上来,实在不行就只能自己写脚本了[也许powershell会是个不错的选择]

总结

日志全删肯定不是一个好办法,但是是最稳的方法,日志全删容易被发现,这就不用多说了

最好的办法就是替换日志

文章来源:

https://klionsec.github.io/2017/05/19/wevtutil/
-------------本文结束❤感谢阅读-------------

本文标题:win 的入侵日志简单处理(日志清理)

文章作者:MaiKeFee

发布时间:2019年09月14日

最后更新:2019年09月14日

原始链接:http://MaiKeFee.com/archives/7ed32148.html