Логи Firewall и скрытие своего присутствия
@webwareПривет, в этой статье займемся включением логов Firewall в Windows, затем безопасно их удалим, тем самым скрыв следы нашего присутствия в системе, имея активную сессию meterpreter.
Для начала необходимо настроить логирование соединений в тестируемой системе, на практике это, вероятно кто-то (одмин) уже сделал за вас, делается это следующим образом:
После, убеждаемся, что файл логов создан и в него пишется информация:
Теперь, когда у нас есть активная сессия meterpreter,
на целевом хосте, необходимо повысить привилегии до системных, используя любую технику:
Открываем shell на удаленном хосте и переходим в директорию с файлом логов:
Видим тот самый файл логирования:
Заглянем внутрь:
> type pfirewall.log
Затем необходимо отключить файрволл, для того, чтобы мы могли его спокойно удалить:
> netsh firewall set opmode mode=disable
Удаляем файл логов командой:
> del pfirewall.log
Попытка прочесть его не увенчается успехом, файла более не существует.
Все, спасибо за внимание.
Источник codeby.net