Red team-後滲透清除入侵軌跡
目錄
說明
在渗透完成之後,為了降低被發現的機率,攻擊者需要將自己的入侵軌跡清除。當然如果時間不夠,目標又有可利用的漏洞,直接作加密勒索一波也是常見的方式。
以下提供了windows軌跡清除的方式。
windows
Windows 主要清除的內容為event log跟recent的內容。
wevtutil el 列出系統中所有日誌名稱
wevtutil cl system 清理系統日誌
wevtutil cl application 清理應用程式日誌
wevtutil cl security 清理安全性日誌
除了系統日誌外,如果問標是Web,也記得一併刪除wed access log。