用户
搜索

该用户从未签到

i春秋-呆萌菜鸟

Rank: 1

4

主题

5

帖子

68

魔法币
收听
0
粉丝
0
注册时间
2019-3-28
发表于 2019-10-8 15:55:07 479024
0x1

在工作中比较常见的一个场景就是,服务器已经被日了,黑客已经通过远程桌面连接过服务器了,我们需要通过rdp的登录日志来找到黑客连接所使用的ip。

我们可以通过 右击计算机 ->管理 -> 事件查看器

微信截图_20191008154447.png

找到 事件ID为 4624 事件

微信截图_20191008154746.png

微信截图_20191008154814.png

0x2

在服务器上登录日志比较少的时候,通过事件查看器还是比较方便的。

但是如果登录日志很多,通过事件查看器效率就比较低这个时候就需要借助第三方工具来配合审计。

推荐使用 LogParser.exe,配合命令行使用很方便。

在服务器下命令行里面执行

LogParser.exe -stats:OFF -i:EVT "SELECT TimeGenerated AS Date, EXTRACT_TOKEN(Strings, 5, '|') as Username, EXTRACT_TOKEN(Strings, 6, '|') as Domain, EXTRACT_TOKEN(Strings, 8, '|') as LogonType,EXTRACT_TOKEN(strings, 9, '|') AS AuthPackage, EXTRACT_TOKEN(Strings, 11, '|') AS Workstation, EXTRACT_TOKEN(Strings, 17, '|') AS ProcessName, EXTRACT_TOKEN(Strings, 18, '|') AS SourceIP FROM Security WHERE EventID = 4624 AND Username NOT IN ('SYSTEM'; 'ANONYMOUS LOGON'; 'LOCAL SERVICE'; 'NETWORK SERVICE') AND Domain NOT IN ('NT AUTHORITY') AND LogonType = '10' ORDER BY timegenerated DESC" -oATAGRID

可以更直观的展示服务器的登录成功的日志

微信截图_20191008154917.png

0x3

日志的清除

我们在连接服务器干了坏事以后,怎么通过清理windows系统的日志来防止被对方管理员溯源。

a.直接清理全部日志,简单粗暴
wevtutil cl "System"wevtutil cl "Application"wevtutil cl "Security"
微信截图_20191008155018.png

优点:无需第三方软件,简单快捷,简单粗暴

缺点:会留下日志清理的记录,动静太明显

微信截图_20191008155203.png



b. 通过工具清理单条日志

在大部分情况中清理全部日志会引起警觉,我们可以通过软件来更优雅的完成这件事。

游客,如果您要查看本帖隐藏内容请回复

用法1:

EventCleaner suspend 暂停日志记录


微信截图_20191008155315.png



运行以后,日志服务会挂起,继续操作Windows不会产生新日志。

EventCleaner normal 可以恢复记录

微信截图_20191008155343.png

用法2:删除某单条日志

EventCleaner closehandle 获取日志文件权限

微信截图_20191008155405.png

删除掉某条日志

EventCleaner ID

微信截图_20191008155432.png


nice..                  
使用道具 举报 回复
在大部分情况中清理全部日志会引起警觉,我们可以通过软件来更优雅的完成这件事
使用道具 举报 回复
在大部分情况中清理全部日志会引起警觉,我们可以通过软件来更优雅的完成这件事
使用道具 举报 回复
哈哈哈            
使用道具 举报 回复
我想知道这个工具,支持哪些系统,还是所有系统都支持
使用道具 举报 回复
发表于 2019-10-11 11:08:19
Windows rdp远程日志 取证与清除 [修改]
使用道具 举报 回复
666666666666666666666666666666666
使用道具 举报 回复
发表于 2019-10-11 08:32:03
{:3_44:}{:3_44:}{:3_44:}{:3_44:}
使用道具 举报 回复
感谢楼主分享
使用道具 举报 回复
这个工具好啊。
使用道具 举报 回复
感谢分享
使用道具 举报 回复
发表于 2019-10-9 12:38:17
哈哈哈哈哈哈哈,看看
使用道具 举报 回复
发表于 2019-10-10 08:54:36
感谢楼主分享。。
有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
使用道具 举报 回复
发表于 2019-10-10 11:46:47
不错 不错 学习下
使用道具 举报 回复
发表于 2019-10-10 14:51:26
好东西
使用道具 举报 回复
发表于 2019-10-10 21:51:52
大佬 66666
使用道具 举报 回复
发表于 2019-10-11 09:18:49
正在这个东西
使用道具 举报 回复
发表于 2019-10-11 09:44:48
感谢楼主分享
使用道具 举报 回复
发表于 2019-10-11 10:43:46
来看看,谢谢分享
使用道具 举报 回复

感谢分享
使用道具 举报 回复
1234下一页
发新帖
您需要登录后才可以回帖 登录 | 立即注册