وبلاگ فربد | Farbod Blog

سلام دوستان :)

توی یکی از پست های قبلی یاد گرفتیم که چجوری یک پیلود reverse_tcp با پایتون بسازیم و دستورات دلخواهمون رو روی سیستم هدف اجرا کنیم.

اما وقتی ما کار هایی رو روی سیستممون انجام میدیم ویندوز یکسری لاگ درست میکنه که ممکنه با مشاهده لاگ ها سیستم هدف به برنامه ما پی ببره و اون رو پاک کنه.

بنابراین توی این پست میخوایم با هم اسکریپتی بنویسیم که تمام لاگ های سیستم ویندوزی رو پاک کنه

خب اول از همه باید بدونیم این لاگ ها کجا ذخیره میشن و چجوری پاک میشن.

خب دکمه windows + R رو بزنید تا صفحه استارت براتون باز بشه بعد بنویسید eventvwr:

خب حالا میتونید این پنجره رو مشاهده کنید:

خب حالا برید توی بخش Windows Logs

اینجا میتونید لاگ های security , application, setup و system رو مشاهده کنید.

هر کدوم از دسته بندی ها مخصوص یک لاگ خاص هستند. مثلا بخش security مربوط به لاگ های امنیتی ویندوز میشه.

برای پاک کردن لاگ ها میتونین با استفاده از روش گرافیکی یا اسکریپت عمل کنید.

روش گرافیکی به این صورته:

روی لاگ مد نظرتون راست کلیک کنید و گزینه Clear Log رو بزنید:

خب این روش گرافیکی بود.

بریم سراغ روش کنسولی.

توی ویندوز ابزاری هست به نام wevtutil. این ابزار توی پوشه System32 قرار داره.

روش پاک کردن لاگ با استفاده از این ابزار به این صورت هست:

wevtutil cl <Log Name>

به جای Log Name باید اسم لاگی که میخوایم رو بزاریم مثلا:

wevtutil cl System

به جای System هم هر لاگی رو میتونید بزارید. 

توجه کنید که این دستور باید با دسترسی Administrator اجرا بشه.

سورس:

from subprocess import check_output

eventlogs = ['Security' , 'Application' , 'System' , 'Setup', 'Internet Explorer']

for event in eventlogs:
    try:
        check_output(["wevtutil.exe" , "cl" , event.strip("\r")])
        print("[+] {} Logs Deleted .".format(event))
    except:
        print("[-] {} Logs Not Deleted .".format(event))

توضیح : اول تابع check_output رو از ماژول subproccess ایمپورت کردیم. 

بعد یک لیست به اسم eventlogs تعریف کردیم که اینجا لاگ هایی که میخوایم پاک کنیم رو قرار میدیم.

بعد یک for نوشتیم که تمام لاگ هایی که داخل لیست نوشتیم با استفاده از ابزار wevtutil پاک میکنه. 

اگر تونست همه رو پاک کنه به ما میگه که فلان لاگ رو پاک کرد. و اگر نتونست پاک کنه به ما میگه که نتونست لاگ مد نظر رو پاک کنه.

خب حالا بریم eventviewer رو ببینیم.

لاگ های setup:

لاگ های application:

لاگ های internet explorer:

لاگ های security:

توی لاگ های security میتونید یک لاگ مشاهده کنید که میگه یکی اومد همه چی رو پاک کرد و رفت !!!

امیدوارم براتون مفید بوده باشه D: