日志机制
Windows操作系统在运行的生命周期内,会以特定的数据结构方式来存储和记录系统运行的大量日志。主要包括Windows事件日志、Windows Web日志、Windows FTP服务日志、Exchange server邮件服务日志、数据库日志等。
Windows日志包含九个元素,分别是事件/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据。
系统内置三个核心的日志文件,分别是System系统日志、Security安全日志、Application应用日志,默认大小20兆。如果数据超过20兆,默认情况下,系统会优先覆盖过期的日志记录。应用程序服务日志的默认大小事1024KB。
Windows日志的记录流程:
1.svhost.exe中某些专门用于记录日志的线程启动日志记录功能;
2.记录的操作会先缓存为一段内存内容;
3.将内存内容通过wevtutil.exe解析为xml文件格式的文档;
4.将xml文件转换为可读的日志。
几种Windows日志类型:
1、系统日志:
2、security安全日志:
3、Application应用日志:
4、应用程序服务日志:
日志在注册表的键’HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog’,通过修改注册表中不同程序调用的日志记录程序或者链接库的路径,可以确保使用该程序时不会生成相关日志。
日志清理
清除日志
通过面板清除
进入Windows事件查看器
找到Windows日志
清除日志
留下日志清除事件
通过命令行清除
以管理员权限打开cmd
清除system系统日志命令
wevtutil cl system
清除application服务日志命令
wevtutil cl application
清除Security安全日志命令
wevtutil cl security
列出系统中所有日志名称
wevtutil el
查看系统创建访问时间等日志信息
wevtutil gli system
查看指定类别的日志内容
wevtutil qe /f:text system
管理员权限运行powershell
清理日志命令
PowerShell -Command “& {Clear-Eventlog -Log Application,System,Security}”
meterpreter清理日志命令
run event_manager -i 查看时间日志
run event_manager -c 清除日志
clearev 可以清除系统、应用、安全日志,不会清除安装和powershell日志
停止日志记录线程
打开任务管理器-详细信息-svchost.exe
Phant0m下载(https://github.com/hlldz/Phant0m.git)
1、打开事件管理器-安全日志
管理员权限打开cmd,运行与安全有关日志,例如创建和删除用户(net user 用户名 密码 /add、 net user 用户名 /del)
刷新安全日志
2、管理员权限打开powershell,结束日志记录功能
通过powershell将执行命令从严格调整为不严格,查看执行策略(Get-ExecutionPolicy),修改策略(Set-ExecutionPolicy Unrestricted)
powershell中切换到脚本所在位置
使用脚本
查看Eventlog是否运行
创建和删除用户,查看是否有日志记录
恢复记录
打开任务管理器
打开服务
右键详细信息
结束
重新打开日志服务
痕迹伪造
伪造日志
以管理员身份运行powershell
eventcreate -I system(日志类型) -so administrator(谁生成的) -t warning(事件等级) -d “this is test”(日志内容) -id 500(事件id)
打开事件查看器-系统日志
伪造文件修改时间
powershell修改文件创建时间
查看文件创建时间 (ls ‘test.txt’).CreationTime=“01/11/2001 01:00:00”
修改文件最后修改时间 (ls ‘test.txt’).LastWriteTime=“01/11/2001 01:00:00”
修改文件最后访问时间 (ls ‘test.txt’).LastAccessTime=“01/11/2001 01:00:00”
iis日志清理
IIS默认日志路径’%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\’
打开cmd,停止服务 net stop w3svc
删除日志下所有文件 del *.*
启用服务 net start w3svc
最近使用的文件清理
打开文件管理器
点击查看,选项-常规-隐私-清除文件资源管理器历史记录
命令手工删除
文件路径C:\Users\%USERNAME%\Recent
del /f /s /q “%userprofile%\Recent*.*”
远程桌面连接记录清理
日志记录路径%userprofile%\document\
日志记录文件名default.rdp
注册表记录
删除记录
创建bat脚本
@echo off
reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default” /va /f
reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” /f
reg add “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Server”
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
安全擦除数据
shift+del 快捷键永久删除
Cipher 命令多次覆写
Format 命令覆盖格式化
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
6665
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
