Удаляем следы работы в Windows | Как очистить логи на взломанной системе

Всем привет!

Очистка следов работы в операционной системе - один из важнейших этапов для скрытия каких либо действий.

Во время расследования криминалисты проверяют следы активности на компьютерах для выявления каких либо действий. Это один из примеров, почему вам стоит научиться работать с логами и понять как это работает.

Для начала разберёмся с некоторыми типами журналов и их расположением для примера.

Журналы DHCP-сервера - это журналы, в которых ведется учет присвоения IP-адресов в сети. В этом журнале хранятся все события при взаимодействии между потенциальным DHCP-клиентом и DHCP-сервером. Наибольший интерес здесь представляют MAC-адреса клиентов, которые будут занесены в соответствующий журнал событий.

Журналы DHCP хранятся в каталоге % SystemRoot% \ System32 \ dhcp

Журналы веб-сервера хранят сообщения обо всех действиях при взаимодействии между веб-сервером и клиентским веб-браузером.

Файлы журнала Internet Information Server (IIS) находятся в

% SystemDrive% \ inetpub \ logs \ LogFiles

Event logs фиксируют все, что происходит в системе, с момента ее включения и до выключения. В Windows 10 конфигурация журналов событий хранится в следующем разделе реестра:

HKLM \ System \ ControlSet00x \ Services \ EventLog

Чтобы просмотреть список имён доступных журналов событий в Windows 10, используйте команду

wevtutil el

Использование команды wevtutil gl <имя журнала> представит информацию о конфигурации для выбранного журнала:

Стоит отметить, что сами системные журналы Windows хранятся по пути C:\Windows\System32\winevt \Logs в локальной системе:

В Windows средство просмотра событий является приложением, которое объединяет журналы приложений, безопасности, установки и системы на единой информационной панели. Это приложение располагается в следующем каталоге:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Просмотрщик событий

Также для открытия средства просмотра событий в Windows достаточно ввести сочетание клавиш Win + R , и в окне «Выполнить» ввести eventvwr.msc и нажать OK:

В окне «Просмотр событий» журналы можно очистить, просто выбрав функцию «Очистить журнал» кнопкой на панели «Действия». Чтобы очистить журналы для определенной категории, например всех журналов, которые находятся в группе «Приложение», просто щелкните правой кнопкой мыши имя группы и выберите «Очистить журнал»:

Также можно очистить журналы с помощью консоли:

for / F "tokens = *"% 1 в ('wevtutil.exe el') DO wevtutil.exe cl "% 1"

Либо мы можем воспользоваться Powershell.

Для этого вводим следующую команду:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

После выполнения команды журналы стираются, как показано в средстве просмотра событий:

Meterpreter разработан, чтобы быть скрытым, мощным и динамически расширяемым. После успешного закрепления в системы вы можете использовать команду clearev для очистки журналов приложений, системы и безопасности:

clearev

Meterpreter очищает журналы каждой категории в целевой системе. Также указано количество очищенных записей.

В этой статье мы рассмотрели способы скрытия активности во время тестирования на проникновение, а также обычного использования системы.

На этом мы заканчиваем. Спасибо за внимание.

Следите за мной в соц-сетях:

• Tik-Tok: aferium

• Группа ВК: aferium_vk

• Телеграм: aferium

• Яндекс Дзен: aferium

• VC.RU: aferium

• Teletype: aferium