Управление журналом событий

Временами лучше не иметь записей наших действий. Независимо от причины, мы можем найти обстоятельства, когда нам необходимо убрать журналы событий Windows. Глядя на источник скрипт winenum, расположенный в ‘scripts/meterpreter‘ мы можем видеть как работает эта функция.

Сценарий winenum
Dante

 

Давайте рассмотрим сценарий где нам необходимо очистить журнал событий, но вместо того чтобы использовать предварительно сделанные сценарии, для того чтобы сделать эту работу за нас, мы используем мощность ruby интерпретатора в Meterpreter, для того чтобы на лету очистить журналы. Во-первых, давайте посмотрим журнал событий ‘System‘ нашей Windows.

Лог событий System
Dante

 

Теперь зададим эксплоит ‘system‘ и вручную очистим журнал. Мы будем моделировать нашу команду от скрипта winenum. Запуск ‘log = client.sys.eventlog.open(‘system’)‘ откроет системный журнал для нас.

Очищаем журнал событий
Dante

 

Теперь мы увидим можем ли мы очистить журнал, запустив ‘log.clear‘.

Очистка log clear
Dante

 

Смотрим сработало ли?

Проверка очистки журнала
Dante

 

Успешно! Теперь мы можем взять это и создать свой собственный скрипт для очистки журнала событий.

Создание своего скрипта очистки
Dante

 

После записи нашего сценария, мы поместили его в ‘/usr/share/metasploit-framework/scripts/meterpreter/‘. Тогда, давайте вновь перезапустим эксплоит и посмотрим работает ли он.

Проверка работы скрипта очистки
Dante

 

И в системе осталось единственное ожидаемое событие 517 в журнале.

Единственное событие в журнале
Dante

 

Эта возможность Meterpreter. Мы создали полезный инструмент для того чтобы помочь нам скрыть наши действия.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *