Suppression des traces

À la suite de la compromission d’un système, les actions sont très fréquemment enregistrées par les mécanismes de logs des systèmes d’exploitation. Sous Windows, ces derniers sont principalement contenus au sein des familles Application, Security et System qu’il est possible de visualiser au sein de l’Event Viewer :

images/16EP01.png

Afin de rester sous les radars, il est possible d’utiliser la commande clearev (pour Clear Event Log). Il est nécessaire de disposer des droits SYSTEM pour utiliser cette commande :

meterpreter > clearev  
[*] Wiping 97 records from Application...  
[*] Wiping 451 records from System...  
[*] Wiping 835 records from Security... 

Ainsi, à la suite de l’exécution de cette commande, plus aucun log n’est disponible au sein de l’Event Viewer :

images/16EP02.png

Bien que le résultat soit au rendez-vous, la suppression de l’ensemble des logs peut attirer l’attention d’un administrateur système.

Toujours sous Windows, le script event_manager est également particulièrement utile et est plus avancé que clearev. En effet, event_manager permet d’être beaucoup plus souple sur l’effacement des logs. De plus, un plus grand nombre de logs est pris en compte :

meterpreter > run event_manager -h  
Meterpreter Script for Windows Event...
Pour consulter la suite, découvrez le livre suivant :
couv_EPMETAS.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Garder un accès aux machines
Suivant
Présentation du Social-Engineering Toolkit