红队战术-躲避日志检查

前言

windows事件日志简介：Windows 系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

禁用Windows事件日志记录，是最常规红队手法，为了减少可用于安全人员检测和审核的数据量，提高红队活动的隐蔽性，红队人员可以禁用Windows事件日志记录。在windows各种日志中，最常用被安全人员审计的日志，有应用程序日志，系统日志，安全日志。

实操

1.使用Wevtutil命令清除事件日志

Wevtutil是一个系统工具，可以查找事件日志和发布者的详细信息，也可以使用此命令来安装和卸载事件清单，导出，归档和清除日志，是一个及其好用的系统日志管理工具。

权限：管理员权限

命令：wevtutil cl 日志类型

比如这里我去清除安全日志：

wevtutil cl security

就清除了安全日志，完全可以做成一个批处理程序，来批量清楚日志。

wevtutil cl security
wevtutil cl Setup
wevtutil cl System
wevtutil cl Aplication
wevtutil cl Forwarded Events

2.使用Powershell清除事件日志

另一种方法是使用PowerShell清除日志。

权限：管理员权限

命令：以管理员身份运行Powershell并执行以下命令

Clear-Eventlog -LogName Security
Clear-Eventlog -LogName System

上面的命令将从系统和安全性内部清除所有日志。

这个也可以完全写成ps1脚本，你直接把你要清除日志的命令写到ps1脚本里面就行，用法和批处理脚本一样。

3.Phantom

该脚本遍历事件日志服务进程（特定于svchost.exe）的线程堆栈，并标识事件日志线程以杀死事件日志服务线程，因此，系统将无法收集日志，同时，事件日志服务也正在运行。

github：https://github.com/hlldz/Invoke-Phant0m

Phant0m的工作原理如下：

1. 在目标操作系统中检测Windows事件日志服务的过程。

2. 获取线程列表并标识Windows事件日志服务线程ID。

3. 终止有关Windows事件日志服务的所有线程。

简而言之，Windows事件日志服务主进程还在，但是运行着各种功能的线程已经没了。

powershell -ep bypass
.\Invoke-Phant0m.ps1

4.Mimikatz

这个就不用多说，不仅可以窃取凭据，还可以从事件查看器中清除日志。

以管理员身份运行mimikatz并执行以下命令：

privilege::debug
event::

5.MiniNT registry key

您可以使用注册表，如下所述创建新的注册表项，然后重新启动计算机以重新加载配置单元。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt"

该注册表键原理是禁用事件查看器，从而限制其生成日志。

但是有点风险，我用windows 7 sp2 测试，会出现开不了鸡的情况。

6.Metasploit

在Metasploit会话中，可以从事件查看器中清除应用程序，安全性和系统日志。

执行命令

clearev

红队技术博大精深，值得好好钻研，细品，每天进步一点点，日积月累也是很大的技术积累。

欢迎大家加入知识星球交流学习，感受网络安全的魅力。

END