Windows 入侵痕跡清理技巧

資料來源: https://mp.weixin.qq.com/s?__biz=MzIyMDEzMTA2MQ==&mid=2651153495&idx=2&sn=b42e57178a274a52f56d37a196b3e4dc&chksm=8c217fcdbb56f6dbfcd2041c858d4e766dd83459eb930c35c028430ca3b3bf91b319acde1359&scene=126&sessionid=1604371752&key=7674ee21d747fecf70ce5df50f5cca7620651fa4384e178732a1c7710f2c99fb56bbdaa5a125cc392a59ad280e04d633e2402306a7933a13d92b00f1641a0d0ca9e960a40719ba9754191f6ce02889010c38b3378266db5f204ef19c67a3de583c450ee3c3f0f9ca67d1057924601c9a93cf838e6f4d28506fb04aa860fbe2d5&ascene=1&uin=MjIwODk2NDgxNw%3D%3D&devicetype=Windows+10+x64&version=6300002f&lang=zh_TW&exportkey=AsM4yU0hDuBVE0Q4ox1kxdc%3D&pass_ticket=N8f2biCdp3VWmTkLyNkyWuV3qO4atIvqstvm3wEwhj%2FRM1ihiT9koz%2BdRIg1jvH9&wx_header=0

windows 日誌路徑：

    系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx
    安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx
    应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx
    日志在注册表的键：HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
    
windows 日誌清除方式：

    （1）最簡單粗暴的方式
        開始→運行,輸入 eventvwr 進入事件查看器，右邊欄選擇清除日誌。

    （2）命令行一鍵清除Windows事件日誌

        PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"

        Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}   

 
        
    （3）利用腳本停止日誌的記錄

        通過該腳本遍歷事件日誌服務進程（專用svchost.exe）的線程堆棧，並標識事件日誌線程以殺死事件日誌服務線程。

        因此，系統將無法收集日誌，同時事件日誌服務似乎正在運行。

        github项目地址：https://github.com/hlldz/Invoke-Phant0m
    （4）Windows單條日誌清除

        該工具主要用於從Windows事件日誌中刪除指定的記錄。

        github项目地址：https://github.com/QAX-A-Team/EventCleaner
    （5）Windows日誌偽造

        使用eventcreate這個命令行工具來偽造日誌或者使用自定義的大量垃圾信息覆蓋現有日誌。

        eventcreate -l system -so administrator -t warning -d “this is a test” -id 500
02、IIS日誌

    IIS默認日誌路徑：

    %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\
    清除WWW日誌：

    停止服务：net stop w3svc
    删除日志目录下所有文件：del *.*
    启用服务：net start w3svc
03、利用Windows自帶命令進行安全擦除

    （1）Shift+Delete快捷鍵永久刪除

        直接刪除文件，還是能在回收站找到的，使用Shift+Delete快捷鍵可以直接永久刪除了。但是用數據恢復軟件，刪除的文件盡快恢復，否則新的文件存入覆蓋了原來的文件痕跡就很難恢復了。

    （2）Cipher 命令多次覆寫

        在刪除文件後，可以利用Cipher 命令通過/W 參數可反複寫入其他數據覆蓋已刪除文件的硬盤空間，徹底刪除數據防止被恢復。

        比如，刪除D:\tools目錄下的文件，然後執行這條命令：

        cipher /w:D:\tools
        這樣一來，D 盤上未使用空間就會被覆蓋三次：一次0x00、一次0xFF，一次隨機數，所有被刪除的文件就都不可能被恢復了。

    （3）Format命令覆蓋格式化
        Format 命令加上/P 參數後，就會把每個扇區先清零，再用隨機數覆蓋。而且可以覆蓋多次。比如：

        format D: /P:8
        這條命令表示把D 盤用隨機數覆蓋8 次。

04、清除遠程桌面連接記錄

    當通過本機遠程連接其他客戶端或服務器後，會在本機存留遠程桌面連接記錄。代碼保存為clear.bat文件，雙擊運行即可自動化清除遠程桌面連接記錄。

    @echo off
    reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
    reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
    reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
    cd %userprofile%\documents\
    attrib Default.rdp -s -h
    del Default.rdp

05、Metasploit 痕跡清除

    （1）查看事件日誌

        meterpreter > run event_manager  -i   
        [*] Retriving Event Log Configuration

        Event Logs on System
        ====================

         Name                    Retention  Maximum Size  Records
         ----                    ---------  ------------  -------
         Application             Disabled   20971520K     2149
         HardwareEvents          Disabled   20971520K     0
         Internet Explorer       Disabled   K             0
         Key Management Service  Disabled   20971520K     0
         Security                Disabled   20971520K     1726
         System                  Disabled   20971520K     3555
         Windows PowerShell      Disabled   15728640K     138

    （2）清除事件日志（包括六种日志类型）

        meterpreter > run event_manager  -c

    （3）另外，也可以輸入clearv命令清除目標系統的事件日誌（僅包含三種日誌類型）

        meterpreter > clearev 
        [*] Wiping 4 records from Application...
        [*] Wiping 8 records from System...
        [*] Wiping 7 records from Security...