Логи Firewall и скрытие своего присутствия

Привет, в этой статье займемся включением логов Firewall в Windows, затем безопасно их удалим, тем самым скрыв следы нашего присутствия в системе, имея активную сессию meterpreter.

Для начала необходимо настроить логирование соединений в тестируемой системе, на практике это, вероятно кто-то (одмин) уже сделал за вас, делается это следующим образом:

После, убеждаемся, что файл логов создан и в него пишется информация:

Теперь, когда у нас есть активная сессия meterpreter,

на целевом хосте, необходимо повысить привилегии до системных, используя любую технику:

Открываем shell на удаленном хосте и переходим в директорию с файлом логов:

Видим тот самый файл логирования:

Заглянем внутрь:

> type pfirewall.log

Затем необходимо отключить файрволл, для того, чтобы мы могли его спокойно удалить:

> netsh firewall set opmode mode=disable

Удаляем файл логов командой:

> del pfirewall.log

Попытка прочесть его не увенчается успехом, файла более не существует.

Все, спасибо за внимание. Источник