目录
使用Wevtutil命令清除事件日志
使用Powershell清除事件日志
Phantom
Mimikatz
MiniNT registry key
Powershell Empire
Metasploit
为了限制可用于检测和审核的数据量,攻击者可以禁用Windows事件日志记录。登录尝试,流程开发,其他用户和设备行为均记录在Windows事件日志中。情报软件和分析人员使用此信息来识别工件。
使用Wevtutil命令清除事件日志
这是一个系统工具,可让您查找事件日志和发布者的详细信息。您也可以使用此命令来安装和卸载事件清单,导出,归档和清除日志。
事件查看器——安全
以管理员权限执行以下命令:
wevtutil cl security
😊 现在已清除所有日志,但是将生成一个事件ID为1102的日志,用于清除日志
使用Powershell清除事件日志
另一种方法是使用PowerShell清除日志,因为您可以观察到该计算机具有系统和安全日志。
以管理员身份运行Powershell并执行以下命令:
Clear-Eventlog -LogName Security Clear-Eventlog -LogName System
上面的命令将从系统和安全性内部清除所有日志。
Phantom
该脚本遍历事件日志服务进程(特定于svchost.exe)的线程堆栈,并标识事件日志线程以杀死事件日志服务线程。因此,系统将无法收集日志,同时,事件日志服务似乎正在运行。从这里下载
powershell -ep bypass .\Invoke-Phant0m.ps1
Mimikatz
当涉及红色分组方法时,我们怎么能忘掉mimikatz?Mimikatz是最有效的方法,它使您不仅可以窃取凭据,还可以从事件查看器中清除日志。
以管理员身份运行mimikatz并执行以下命令:
privilege::debug event::
MiniNT registry key
您可以使用注册表,如下所述创建新的注册表项,然后重新启动计算机以重新加载配置单元。
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt"
该键禁用事件查看器,从而限制其生成日志。
Powershell Empire
PowerShell Empire还可以用于清除日志,对事件日志线程进行分类以及销毁事件日志服务线程。
使用以下命令为受关注的代理执行模块:
usemodule management/phant0m execute
Metasploit
最后但并非最不重要的一点是,我们拥有Metasploit框架,可以从事件查看器中清除应用程序,安全性和系统日志。在meterperter会话中,您可以执行以下命令。
meterpreter > clearev
