-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Сперва надобно остановить службу Журнала событий, а затем отключить.
1. net stop eventlog /y
2. sc config eventlog start=disabled
Естественно cmd должна быть запущена с правами Администратора
1. net stop eventlog /y
2. sc config eventlog start=disabled
Естественно cmd должна быть запущена с правами Администратора
Запускай на виртуальной машине:
sc delete eventlog
sc delete wecsvc
Потом перезагрузка.
До перезагрузки можно использовать mimikatz, что-бы пропатчить память.
sc delete eventlog
sc delete wecsvc
Потом перезагрузка.
До перезагрузки можно использовать mimikatz, что-бы пропатчить память.
Дык, естественно, что у Журнала событий масса зависимостей. Ну, масса, это, конечно, я завернул. Но они есть. Сперва отключаются зависимые службы, а затем Журнал событий.
Если нужно "по науке" отключить, то я ночью отвечу. Если же Вы уже все решили - отпишитесь. Чтоб лишних букофф не набирал
Я бы не рекомендовал удалять службу Windows Event Collector. Я так понял, что цель не угробить систему, а скрыть следы действий. Хотя, отлючение Журнала как раз и покажет, что в системе кто-то бывал и что-то делал
Сергей Попов
Кодебай
Солидарен с Вами. Можно даже оформить в виде короткой заметки или мануала. По типу: проводил тестирование при помощи таких инструментов, во время тестирования возникли такие-то трудности, решил таким-то способом
Лично у меня на 7-ке внедрить получилось, а на 10 - нет. Но это было год назад, возможно, есть новая версия которая работает на 10-ке
Может быть в этой теме ты получишь ответы на свои вопросы ?
Проблема - Как почистить за собой логи и т.п?
Не так давно тоже решил пообрубать службы, которые не нужны и лишний раз трогают процессор и SSD.
Полезно, если ты немного параноик (ценишь свою железку) или имеешь 10-15 виртуальных машин, соответственно запускается не по одному экземпляру служб, а по 10-15 и в итоге прилично получается для процессора и диска, особенно при работе машины 24/7.
Предисловие по отключению службы "Журнал событий Windows"
Подготовка bat-файла
Полное отключение журнала событий в Windows 7 x64
Включение журнала событий в Windows 7 x64 (обратное действие)
Полезно, если ты немного параноик (ценишь свою железку) или имеешь 10-15 виртуальных машин, соответственно запускается не по одному экземпляру служб, а по 10-15 и в итоге прилично получается для процессора и диска, особенно при работе машины 24/7.
Предисловие по отключению службы "Журнал событий Windows"
- Используется на Windows 7 Pro SP1 x64 (на x86 не тестировал, но думаю, что всё будет точно также).
- Отключение зависимой службы "Планировщик заданий".
- Отключение целевой службы "Журнал событий Windows".
- Восстановление языковой панели в системном трее после отключения службы "Планировщик заданий".
- Точки восстановления системы не будут создаваться автоматически после отключения служб "Планировщик заданий" и "Журнал событий Windows" . Вручную их по прежнему можно будет создавать или удалять.
- Не будет работать дефрагментация дисков после отключения службы "Планировщик заданий". Служба дефрагментации при этом будет функционировать.
- Отключение журналирования событий без отключения службы - я находил на форумах такие варианты, т.е. не отключение самой службы журнала, а запрет записи в журналы. Не тестировал данный метод, пока что пользуюсь приведённым ниже.
- Приложение Z-Cron - одна из альтернатив стандартному планировщику заданий. Я находил информацию про замену стандартного планировщика на это приложение, но тестов не делал. По отзывам на зарубежном форуме вроде как нормальное приложение.
- От имени администратора - только так запускать bat-файлы. Это обязательный пункт.
- Перезагрузка системы потребуется после выполнения bat-файлов. Это обязательный пункт.
- Не было сбоев более полугода после выключения служб на моих системах данным способом. Дефрагментацию я не использую из-за установленных SSD, а планировщик пока что мне не нужен.
- Старый Macbook 2010 года (Model 7,1, Intel P8600, 2 ядра/2 потока) после отключения службы "Журнал событий Windows" стал, на глаз, работать шустрее. Соответственно, для слабых устройств это действие имеет смысл.
- Прикреплённые bat-файлы предварительно проверены на работоспособность на момент написания комментария, имеют правильную кодировку и запакованы в zip-архив.
Подготовка bat-файла
1. Скачиваем и устанавливаем текстовый редактор Notepad++, с помощью которого можно правильно изменять кодировку документа.
2. Создаём текстовый файл с любым названием и меняем его расширение с *.txt на *.bat.
3. Пишем что-либо в этом bat-файле на кириллице (русскими буквами).
4. Выделяем весь написанный текст (комбинация клавиш CTRL+A) и копируем его в буфер обмена (комбинация CTRL+C).
5. Нажимаем в Notepad++ (при выделенном тексте) вкладку Кодировки, выбираем там "Кодировки" -> "Кириллица" -> "OEM 866".
6. Нажимаем "Да" в запросе на смену кодировки.
7. Теперь копируем нижеприведённый код и вставляем его в подготолвленный bat вместо написанной кириллицы.
8. Почему именно кодировка OEM 866?
Кодировка OEM 866 позволит выводить в командной строке русские символы, в т.ч. заголовок окна и rem-строки.
9. Зачем менять описание службы?
Чтобы в services.msc было легче усмотреть или упорядочить отключённые службы.
Можно эти строки удалить, они лишь для удобства на будущее.
2. Создаём текстовый файл с любым названием и меняем его расширение с *.txt на *.bat.
3. Пишем что-либо в этом bat-файле на кириллице (русскими буквами).
4. Выделяем весь написанный текст (комбинация клавиш CTRL+A) и копируем его в буфер обмена (комбинация CTRL+C).
5. Нажимаем в Notepad++ (при выделенном тексте) вкладку Кодировки, выбираем там "Кодировки" -> "Кириллица" -> "OEM 866".
6. Нажимаем "Да" в запросе на смену кодировки.
7. Теперь копируем нижеприведённый код и вставляем его в подготолвленный bat вместо написанной кириллицы.
8. Почему именно кодировка OEM 866?
Кодировка OEM 866 позволит выводить в командной строке русские символы, в т.ч. заголовок окна и rem-строки.
9. Зачем менять описание службы?
Чтобы в services.msc было легче усмотреть или упорядочить отключённые службы.
Можно эти строки удалить, они лишь для удобства на будущее.
Полное отключение журнала событий в Windows 7 x64
Bash:
@echo off
title Отключение службы Журнал событий Windows и связанных служб
rem Цвет шрифта
color 02
rem Пауза в 2 секунды между задачами
set "pause=1>nul timeout /t 2 /nobreak"
echo ===============================================================
echo # ОТКЛЮЧЕНИЕ СЛУЖБЫ "ЖУРНАЛ СОБЫТИЙ WINDOWS" И СВЯЗАННЫХ СЛУЖБ
echo ===============================================================
%pause%
echo Отключение службы "Планировщик заданий"
rem Изменение описания службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule" /v "Description" /t REG_SZ /d "!null" /f
rem Изменение исполняемого файла службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule" /v "ImagePath" /t REG_EXPAND_SZ /d "null" /f
rem Изменение типа запуска службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule" /v "Start" /t REG_DWORD /d "0x00000004" /f
echo Важно: служба будет ОТКЛЮЧЕНА после перезагрузки системы!
echo ______________________________________
%pause%
echo Автозагрузка языковой панели в трее после отключения службы "Планировщик заданий"
rem Добавление в автозагрузку приложения ctfmon.exe из стандартных приложений Windows через реестр
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Language Panel Ctfmon" /t REG_SZ /d "C:\Windows\System32\ctfmon.exe" /f
echo Важно: языковая панель будет активирована после перезагрузки системы!
echo ______________________________________
%pause%
echo Отключение службы "Журнал событий Windows"
rem Изменение описания службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog" /v "Description" /t REG_SZ /d "!null" /f
rem Изменение исполняемого файла службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog" /v "ImagePath" /t REG_EXPAND_SZ /d "null" /f
rem Изменение исполняемой библиотеки службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog" /v "ServiceDll" /t REG_EXPAND_SZ /d "null" /f
rem Изменение типа запуска службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog" /v "Start" /t REG_DWORD /d "0x00000004" /f
echo Важно: служба будет ОТКЛЮЧЕНА после перезагрузки системы!
echo ______________________________________
%pause%
echo.
echo.
echo.
echo [FINAL] ЗАДАНИЯ ВЫПОЛНЕНЫ
echo [FINAL] НУЖНО ПЕРЕЗАГРУЗИТЬ СИСТЕМУ
pauseВключение журнала событий в Windows 7 x64 (обратное действие)
Bash:
@echo off
title Включение службы Журнал событий Windows и связанных служб
rem Цвет шрифта
color 0B
rem Пауза в 2 секунды между задачами
set "pause=1>nul timeout /t 2 /nobreak"
echo ===============================================================
echo # ВКЛЮЧЕНИЕ СЛУЖБЫ "ЖУРНАЛ СОБЫТИЙ WINDOWS" И СВЯЗАННЫХ СЛУЖБ
echo ===============================================================
%pause%
echo Запуск службы "Журнал событий Windows"
rem Возврат описания службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog" /v "Description" /t REG_SZ /d "@%SystemRoot%\system32\wevtsvc.dll,-201" /f
rem Возврат исполняемого файла службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog" /v "ImagePath" /t REG_EXPAND_SZ /d "%SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted" /f
rem Возврат исполняемой библиотеки службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog" /v "ServiceDll" /t REG_EXPAND_SZ /d "%SystemRoot%\System32\wevtsvc.dll" /f
rem Возврат типа запуска службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog" /v "Start" /t REG_DWORD /d "0x00000002" /f
echo Важно: служба будет ЗАПУЩЕНА после перезагрузки системы!
echo ______________________________________
%pause%
echo Удаление автозагрузки языковой панели в трее после отключения службы "Планировщик заданий"
rem Удаление из автозагрузки приложения ctfmon.exe из стандартных приложений Windows через реестр
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Language Panel Ctfmon" /f
echo Важно: языковая панель будет активирована после перезагрузки системы!
echo ______________________________________
%pause%
echo Запуск службы "Планировщик заданий"
rem Возврат описания службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule" /v "Description" /t REG_SZ /d "@%SystemRoot%\system32\schedsvc.dll,-101" /f
rem Возврат исполняемого файла службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule" /v "ImagePath" /t REG_EXPAND_SZ /d "%systemroot%\system32\svchost.exe -k netsvcs" /f
rem Возврат типа запуска службы в реестре
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule" /v "Start" /t REG_DWORD /d "0x00000002" /f
echo Важно: служба будет ЗАПУЩЕНА после перезагрузки системы!
echo ______________________________________
%pause%
echo.
echo.
echo.
echo [FINAL] ЗАДАНИЯ ВЫПОЛНЕНЫ
echo [FINAL] НУЖНО ПЕРЕЗАГРУЗИТЬ СИСТЕМУ
pause
Последнее редактирование:
Обучение наступательной кибербезопасности в игровой форме. Начать игру!