红队笔记之痕迹清理技术要点与实战方法总结
文章目录
- 痕迹清理技术要点说明
- Windows痕迹清理
- Windows日志清理
- Windows日志相关基础知识
- Windows日志清理方法
- 全量删除方法
- 通过事件查看器删除
- 通过PowerShell删除
- 暴力删除日志文件
- 使用wevtutil命令行删除
- msf一键清理
- 定向清理方法
- 删除最近数据
- 删除某指定单条记录
- 删除某指定多条记录
- 按时间段删除
- Windows远程连接日志清理
- 近期访问记录清理
- 利用覆写增大溯源难度
- Linux痕迹清理
- Linux清理登录记录以及Host记录方法
- 隐藏远程ssh登录记录
- History清理
- History运行原理
- 全部删除历史记录
- 当前shell终止history记录
- 禁用History方法
- 删除指定命令记录方法
- Linux日志清理
- 全部删除
- 针对性修改或删除
- 利用覆写增大溯源难度
痕迹清理技术要点说明
痕迹清理,是清理自己在目标机器上留下的所有操作痕迹。其主要目的是
- 避免溯源
- 隐藏攻击方法
- 为下一步渗透拖延时间
每一项渗透动作都有其目的,我们都需要思考其是否真正的有必要,并不是每一次渗透均需要进行痕迹清理的动作。
痕迹清理的限制
- 痕迹清理这个动作本身也会产生痕迹,所以不存在完美的痕迹清理
- 如果目标已经配置,第三方的日志记录平台,本机的痕迹清理作用微乎其微,除非我们可以拿下日记系统的控制权限。
痕迹清理的技术要点
- 痕迹清理前需要先判断是否有必要清理痕迹。
- 删除文件尽量使用复写方式,增加还原难度。
- 如有必要可以伪造部分痕迹,混淆防守队溯源反向。
- 定向删除优于全部删除,关闭日志等方式,增加被识别难度。
- 如果痕迹清理的目的是为了下一步操作争取时间,那么我们需要去评估防守队的溯源时间,以安排后面的工作计划,当然极端情况我们可以在防守方休息时间段开展渗透。
痕迹清理的步骤
1、清理的必要性主要区间与你的目的。
2、需要清理哪些内容需要根据你的攻击路径来判断,也就是说你整个攻击路径中哪些会留下痕迹,我们需要清楚,我们的清理工作也真实针对这些痕迹进行操作。
3、痕迹清理相对主要简单,在你明确了需要清理哪些痕迹后,只要寻找对应的清理方法即可,下文总结常用的痕迹清理方法。
Windows痕迹清理
Windows日志清理
Windows日志相关基础知识
Windows的日志文件分为3类核心日志,分别是系统日志,程序日志,和安全日志
系统日志(SysEvent):记录操作系统产生的事件,如设备驱动无法正常启动或停止,系统进程崩溃等
# 默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx程序日志(AppEvent):包含操作应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息。
# 默认位置: %SystemRoot%\System32\Winevt\Logs\Application.evtx**安全日志(SecEvent)
红队笔记之痕迹清理技术要点与实战方法总结相关推荐
- 红队笔记之权限维持技术要点总结
在红队⾏动中在⽹络中获得最初的⽴⾜点是⼀项耗时的任务.因此,持久性是红队成功运作的关键,这将使团队能够专注于⽬标,⽽不会失去与指挥和控制服务器的通信.通俗来讲只要⽬标没有发现我们的攻击⾏为,可以⻓久保 ...
- 红队笔记之信息收集技术要点总结
文章目录 什么是信息收集 为什么要进行信息收集 如何进行信息收集 信息收集的主要对象 和人相关的收集 员工名称 电子邮箱 凭据 信息资产的收集 1.资产收集之主域名收集 2.资产收集之子域名收集 3. ...
- 红队笔记之反溯源技术在攻防过程中的应用
反溯源是攻防过程中的重要一环,其主要目的为防止防守方快速找出屏幕后,正在抠脚的你.渗透过程中有没有"事了拂衣去"的洒脱,很大程度在于过程中反溯源技术的应用程度.下文为笔者对于溯源技 ...
- 红队笔记之渗透测试流程以及各环节技术纲要
相比传统渗透测试,红队则更趋于真实的入侵活动,红队这个词汇最先来源于军方的红蓝对抗活动.每一步入侵操作都有着其特有的战术和技术手段,而这些战术手段在实际过程中都绝不会是完全孤立使用的,需要多个手段相互 ...
- 红队渗透-window痕迹清除
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.windows操作系统基础入门 二.windows渗透痕迹清除 1.为避免入侵操作行为被发现时,攻击者往往通过各种 ...
- js技术要点---document.write()方法在IE浏览器和火狐浏览器下面的兼容性问题
2.js技术要点---document.write("")方法在IE浏览器和火狐浏览器下面的兼容性问题 技术qq交流群:JavaDream:251572072 教程下载,在线交流 ...
- 红队笔记之内网信息搜集技术要点总结
在渗透测试中信息收集的深度与广度以及对关键信息的提取与关联,将影响渗透的质量.下文对整体技术要点进行总结. 1.明确要收集的内容: 2.分析要收集内容可能存储在系统的什么位置(收集方法): 3.明确收 ...
- windows opensshd 连接就close_基于Windows白名单执行Payload上线Metasploit 渗透红队笔记...
渗透攻击红队 一个专注于红队攻击的公众号 大家好,这里是 渗透攻击红队 的第 17 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深), 不出意外每天一更 基于白名单绕过 测试环境 攻击机 ...
- 红队笔记之邮箱伪造实战
文章目录 技术要点 理由的合理性 不管的危害性 操作的简易性 操作步骤 分析目标 准备软件 准备邮件服务 准备可以搭建smtp服务的服务器 安装smtp服务 配置smtp服务 启动smtp服务 测试s ...
- 红队笔记之杀软原理介绍与免杀技术总结
杀软的常用杀毒引擎 搞免杀之前呢肯定要对杀毒软件的查杀方法进行了解,了解后才能有效的制定绕过策略,以达到的免杀的目的,因为免杀本就是一个对抗的过程所以任何免杀都有着自己的时效性.下文将分别分析杀软的常 ...
最新文章
- 福利 |《非结构化数据分析》书评:探索非结构化数据的魅力
- SQL_Server_2005_日期和时间函数(描述及实例)
- 关于修改远程连接端口(3389端口修改)
- 吴恩达机器学习(第二章)——单变量线性回归
- 小白初学搭建 配置本地yum
- UI控件(UIToolbar)
- Java反射之内部类
- 工业机械人运动学正逆解,简单粗暴!!!!!!
- 根据录入的计算公式计算_超全的铝材重量计算公式
- WSH:Web Shell生成器和命令行接口工具
- win7无法连接WIFI,安装无线驱动 AR9485 WIFI Driver for Windows 7 (32-bit, 64-bit)
- 电商网站详情页系统架构
- 「面试必背」Linux面试题(2022最新版)
- 最好用的卸载软件工具(Your Uninstaller! PRO)
- 听见丨特斯拉电动卡车售价公布:100万元起 朱啸虎:ofo和摩拜会合并 但还要再经历一战
- C语言求空间两点之间的距离
- 11 个简单的 Java 性能调优技巧
- 在虚拟机中安装kali
- 暴风云视频平台SDK使用介绍(四)-- 视频播放(Android)
- 伸手系列-谷歌google支付-java
热门文章
- 红队笔记之权限维持技术要点总结