Day-209-渗透测试中的痕迹清理与反取证技术

# Day 232: 渗透测试中的痕迹清理与反取证技术

> 渗透测试系列第 22 天 | 预计阅读时间：28 分钟 | 难度：★★★★★

---

## 清单 目录
1. [痕迹清理概述](#痕迹清理概述)
2. [Windows 痕迹清理](#windows-痕迹清理)
3. [Linux 痕迹清理](#linux-痕迹清理)
4. [日志清理技术](#日志清理技术)
5. [文件痕迹清理](#文件痕迹清理)
6. [注册表痕迹清理](#注册表痕迹清理)
7. [内存痕迹清理](#内存痕迹清理)
8. [网络痕迹清理](#网络痕迹清理)
9. [反取证技术](#反取证技术)
10. [检测与恢复](#检测与恢复)
11. [实战案例](#实战案例)
12. [总结与思考](#总结与思考)
13. [参考资料](#参考资料)

---

## 痕迹清理概述

### 什么是痕迹清理

痕迹清理（Covering Tracks）是渗透测试和攻击链中的最后关键阶段，指攻击者在完成渗透目标后，清除或修改在目标系统中留下的各种痕迹，以逃避检测、延缓发现、增加取证难度的过程。

```
┌─────────────────────────────────────────────────────────────────┐
│                    攻击链中的痕迹清理                            │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│  初始访问 → 权限提升 → 权限维持 → 横向移动 → 数据窃取 → 痕迹清理 │
│                                                          ↑      │
│                                                     本阶段重点  │
│                                                                 │
│  清理目标：                                                      │
│  ├── 系统日志 (事件日志、认证日志、应用日志)                     │
│  ├── 文件痕迹 (上传的工具、脚本、后门)                           │
│  ├── 注册表痕迹 (持久化项、配置修改)                             │
│  ├── 内存痕迹 (进程、连接、注入代码)                             │
│  └── 网络痕迹 (连接记录、流量日志)                               │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘
```

### 为什么需要痕迹清理

在渗透测试中，我观察到痕迹清理的必要性体现在以下几个方面：

1. **延长访问窗口**: 延缓被发现的时间，保持访问权限
2. **增加取证难度**: 使安全团队难以还原攻击路径
3. **保护攻击工具**: 隐藏使用的工具和技术细节
4. **模拟真实威胁**: APT 攻击者会主动清理痕迹
5. **测试检测能力**: 评估客户的日志保护和取证能力

### ! 道德与法律警示

```
┌─────────────────────────────────────────────────────────────────┐
│ !  重要警示：痕迹清理的双刃剑                                  │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│  在授权渗透测试中：                                              │
│  + 可以模拟攻击者的清理技术                                     │
│  + 测试客户的日志保护和恢复能力                                 │
│  + 评估取证和响应流程                                           │
│  - 但必须在测试结束后恢复所有日志 (如合同要求)                   │
│  - 不得破坏生产系统的审计能力                                   │
│  - 不得清除与测试无关的日志                                     │
│                                                                 │
│  在非授权场景中：                                                │
│  - 清除日志是违法行为，会加重法律责任                           │
│  - 现代安全系统有多重日志备份，清理往往无效                     │
│  - 清理行为本身会触发告警                                       │
│                                                                 │
│  本文内容仅用于：                                                │
│  - 授权渗透测试                                                  │
│  - 安全研究和教学                                                │
│  - 防御方了解攻击手法                                            │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘
```

### 痕迹清理的核心原则

| 原则 | 说明 | 重要性 |
|------|------|--------|
| **选择性** | 只清理与攻击相关的痕迹，保留其他日志 | ★★★★★ |
| **精确性** | 准确定位要清理的日志条目，避免大范围删除 | ★★★★★ |
| **时序性** | 注意日志时间戳的一致性，避免留下破绽 | ★★★★☆ |
| **备份意识** | 清理前备份原始日志，便于测试后恢复 | ★★★★★ |
| **隐蔽性** | 清理操作本身也要隐蔽，避免触发告警 | ★★★★☆ |

### 痕迹分类

```
攻击痕迹分类
├── 日志痕迹
│   ├── 系统日志 (Windows Event Log, Linux syslog)
│   ├── 认证日志 (Security Log, auth.log)
│   ├── 应用日志 (IIS, Apache, 数据库)
│   └── 安全软件日志 (AV, EDR, Firewall)
├── 文件痕迹
│   ├── 上传的工具和脚本
│   ├── 创建的后门和持久化文件
│   ├── 临时文件和缓存
│   └── 修改的系统文件
├── 注册表痕迹 (Windows)
│   ├── 持久化键值
│   ├── 配置修改
│   └── 最近访问记录
├── 内存痕迹
│   ├── 恶意进程
│   ├── 注入的代码
│   └── 网络连接
└── 网络痕迹
    ├── 防火墙日志
    ├── IDS/IPS 日志
    ├── 代理日志
    └── DNS 查询记录
```

---

## Windows 痕迹清理

### 1. Windows 事件日志清理

#### 事件日志类型

Windows 系统有多种事件日志，攻击者可能留下痕迹的位置包括：

| 日志类型 | 日志名称 | 记录内容 |
|----------|----------|----------|
| **系统日志** | System | 系统组件事件、服务启动停止 |
| **安全日志** | Security | 登录、权限使用、对象访问 |
| **应用日志** | Application | 应用程序事件 |
| **PowerShell** | Microsoft-Windows-PowerShell/Operational | PowerShell 命令执行 |
| **Sysmon** | Microsoft-Windows-Sysmon/Operational | 详细系统监控 (如安装) |
| **终端服务** | Microsoft-Windows-TerminalServices | RDP 连接记录 |

#### 查看事件日志

```powershell
# 列出所有事件日志
Get-WinEvent -ListLog * | Select-Object LogName, RecordCount

# 查看安全日志 (最近 50 条)
Get-WinEvent -LogName Security -MaxEvents 50

# 查看特定事件 ID
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 20
# 4624 = 成功登录
# 4625 = 失败登录
# 4672 = 特权登录
# 4688 = 进程创建
# 4698 = 计划任务创建
# 7045 = 服务安装

# 查看 PowerShell 日志
Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" -MaxEvents 20

# 查看 Sysmon 日志
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -MaxEvents 20
```

#### 清除事件日志 (不推荐)

```powershell
# ! 警告：清除日志会触发告警，仅用于授权测试

# 方法 1: 使用 wevtutil
wevtutil cl Security      # 清除安全日志
wevtutil cl System        # 清除系统日志
wevtutil cl Application   # 清除应用日志
wevtutil cl "Microsoft-Windows-PowerShell/Operational"

# 方法 2: 使用 PowerShell
Clear-EventLog -LogName Security
Clear-EventLog -LogName System

# 方法 3: 选择性清除 (更隐蔽)
# 导出日志
Get-WinEvent -LogName Security | Export-Clixml security_backup.xml

# 过滤并重新写入 (复杂，可能留下痕迹)
$events = Get-WinEvent -LogName Security
$suspicious = $events | Where-Object {
    $_.Id -eq 4624 -and $_.Message -like "*attacker*"
}
# 注意：Windows 事件日志不支持直接删除单条记录
```

#### 禁用事件日志 (更隐蔽)

```powershell
# 临时禁用事件日志服务
Stop-Service EventLog -Force
Set-Service EventLog -StartupType Disabled

# 禁用特定日志
wevtutil sl Security /e:false
wevtutil sl System /e:false

# 修改日志大小限制 (导致旧日志被覆盖)
wevtutil sl Security /ms:1048576  # 设置为 1MB
wevtutil sl Security /ab:true     # 启用自动备份 (但备份可被删除)

# 恢复
Start-Service EventLog
Set-Service EventLog -StartupType Auto
wevtutil sl Security /e:true
```

#### 检测日志清除

```powershell
# 检测日志清除事件
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=1102} -MaxEvents 10
# 1102 = 审计日志已清除

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=104} -MaxEvents 10
# 104 = 日志文件已清除

# 检测日志服务停止
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7036} | 
    Where-Object {$_.Message -like "*Windows Event Log*stopped*"}
```

### 2. PowerShell 历史清理

#### PowerShell 历史记录位置

```
# 当前用户 PowerShell 历史
$env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

# 系统位置
C:\Users\<Username>\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\
```

#### 清除 PowerShell 历史

```powershell
# 清除当前会话历史
Clear-History

# 清除历史文件
Remove-Item $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt -Force

# 禁用历史记录
Set-PSReadLineOption -HistorySaveStyle SaveNothing

# 防止历史写入
New-Item -Path $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ -Name ConsoleHost_history.txt -ItemType File -Force
Set-Content -Path $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt -Value ""
Set-ItemProperty -Path $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt -Name IsReadOnly -Value $true
```

#### 检测 PowerShell 历史清除

```powershell
# 检查历史文件是否存在
Test-Path $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

# 检查文件是否被清空
(Get-Content $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt).Count

# 检查文件修改时间
Get-Item $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt | Select-Object LastWriteTime
```

### 3. 最近访问记录清理

#### 最近文档记录

```powershell
# 清除最近文档历史
Remove-Item "$env:APPDATA\Microsoft\Windows\Recent\*" -Force

# 清除 Office 最近文件
Remove-Item "$env:APPDATA\Microsoft\Office\Recent\*" -Force

# 清除快速访问
Remove-Item "$env:APPDATA\Microsoft\Windows\Recent\AutomaticDestinations\*" -Force
Remove-Item "$env:APPDATA\Microsoft\Windows\Recent\CustomDestinations\*" -Force
```

#### 运行对话框历史

```powershell
# 清除运行对话框历史 (需要修改注册表)
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" -Name "*" -ErrorAction SilentlyContinue
```

#### 资源管理器历史

```powershell
# 清除文件资源管理器历史
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU" -Name "*" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU" -Name "*" -ErrorAction SilentlyContinue
```

---

## Linux 痕迹清理

### 1. Shell 历史清理

#### Bash 历史位置

```bash
# 当前用户历史文件
~/.bash_history

# 其他 shell 历史
~/.zsh_history    # Zsh
~/.sh_history     # Ksh
~/.csh_history    # Csh
```

#### 清除 Shell 历史

```bash
# 清除当前会话历史
history -c

# 清除历史文件
rm -f ~/.bash_history
rm -f ~/.zsh_history

# 清除并防止新历史写入
cat /dev/null > ~/.bash_history
chmod 000 ~/.bash_history

# 或链接到 /dev/null
ln -sf /dev/null ~/.bash_history

# 禁用历史 (在当前会话)
set +o history
unset HISTFILE
HISTSIZE=0
HISTFILESIZE=0

# 清除特定命令历史
sed -i '/sensitive_command/d' ~/.bash_history
```

#### 检测历史清除

```bash
# 检查历史文件
ls -la ~/.bash_history
wc -l ~/.bash_history

# 检查历史文件是否被清空
if [ ! -s ~/.bash_history ]; then
    echo "警告：历史文件为空"
fi

# 检查历史文件修改时间
stat ~/.bash_history

# 检查 HISTFILE 环境变量
echo $HISTFILE
```

### 2. Linux 日志清理

#### 常见日志位置

```bash
# 系统日志
/var/log/syslog          # Debian/Ubuntu
/var/log/messages        # RHEL/CentOS

# 认证日志
/var/log/auth.log        # Debian/Ubuntu
/var/log/secure          # RHEL/CentOS

# 命令日志
/var/log/bash.log
/var/log/audit/audit.log

# 应用日志
/var/log/apache2/        # Apache
/var/log/nginx/          # Nginx
/var/log/mysql/          # MySQL
/var/log/postgresql/     # PostgreSQL
```

#### 清除日志文件

```bash
# ! 警告：清除日志会触发告警

# 方法 1: 清空文件 (保留文件 inode)
cat /dev/null > /var/log/auth.log
cat /dev/null > /var/log/syslog

# 方法 2: 使用 truncate
truncate -s 0 /var/log/auth.log

# 方法 3: 删除文件 (可能被检测)
rm -f /var/log/auth.log

# 方法 4: 选择性清除
grep -v "attacker" /var/log/auth.log > /tmp/auth.log.clean
mv /tmp/auth.log.clean /var/log/auth.log

# 方法 5: 修改时间戳
touch -d "2026-01-01 00:00:00" /var/log/auth.log
```

#### 禁用日志记录

```bash
# 停止 rsyslog 服务
systemctl stop rsyslog
systemctl disable rsyslog

# 停止 syslog-ng
systemctl stop syslog-ng

# 停止 auditd
systemctl stop auditd
systemctl disable auditd

# 修改 rsyslog 配置
vim /etc/rsyslog.conf
# 注释掉所有日志规则
```

#### 检测日志清除

```bash
# 检查日志文件大小
ls -lh /var/log/

# 检查日志文件是否被清空
for log in /var/log/*.log; do
    if [ ! -s "$log" ]; then
        echo "警告：$log 为空"
    fi
done

# 检查日志服务状态
systemctl status rsyslog
systemctl status auditd

# 检查日志文件修改时间
stat /var/log/auth.log
```

### 3. 临时文件清理

```bash
# 清除临时文件
rm -rf /tmp/*
rm -rf /var/tmp/*

# 清除用户临时文件
rm -rf ~/.cache/*
rm -rf ~/.local/share/Trash/*

# 清除编辑器临时文件
rm -f ~/.viminfo
rm -f ~/.local/state/vim/viminfo
rm -f *~  # 备份文件
rm -f .*.swp  # Vim swap 文件

# 清除下载文件
rm -rf ~/Downloads/*
```

---

## 日志清理技术

### 1. 选择性日志清除

#### 精确删除特定条目

```powershell
# Windows: 导出并过滤日志
$events = Get-WinEvent -LogName Security
$filtered = $events | Where-Object {
    -not ($_.Id -eq 4624 -and $_.Message -like "*192.168.1.100*")
}
# 注意：Windows 不支持直接删除单条，需要变通方法

# 更实际的方法：只清除特定时间段的日志
$startTime = Get-Date "2026-04-12 08:00"
$endTime = Get-Date "2026-04-12 10:00"
Get-WinEvent -LogName Security | Where-Object {
    $_.TimeCreated -ge $startTime -and $_.TimeCreated -le $endTime
} | ForEach-Object {
    # 无法直接删除，但可以记录用于后续掩盖
}
```

```bash
# Linux: 选择性清除
# 使用 sed 删除包含特定内容的行
sed -i '/attacker/d' /var/log/auth.log
sed -i '/192.168.1.100/d' /var/log/auth.log

# 使用 grep 过滤
grep -v "attacker" /var/log/auth.log > /tmp/clean.log
mv /tmp/clean.log /var/log/auth.log

# 使用 awk 删除特定时间段
awk '!/2026-04-12 0[89]:/' /var/log/auth.log > /tmp/clean.log
mv /tmp/clean.log /var/log/auth.log
```

### 2. 日志注入 (混淆)

#### 原理

通过注入大量无关日志，使攻击痕迹淹没在噪音中。

```powershell
# Windows: 生成大量事件
1..1000 | ForEach-Object {
    Write-EventLog -LogName Application -Source "Application Error" -EventId 1000 `
        -Message "Test event $_" -EntryType Information
}

# 使用 eventcreate
for /L %i in (1,1,1000) do eventcreate /ID %i /L APPLICATION /T INFORMATION /SO "Test" /D "Test event"
```

```bash
# Linux: 生成大量日志
for i in {1..1000}; do
    logger "Test message $i"
done

# 使用 logger
yes "Test message" | head -1000 | logger
```

### 3. 日志时间戳伪造

#### Windows 时间戳修改

```powershell
# 修改文件时间戳
$(Get-Item "C:\path\to\file.log").LastWriteTime = Get-Date "2026-01-01 00:00:00"
$(Get-Item "C:\path\to\file.log").CreationTime = Get-Date "2026-01-01 00:00:00"
$(Get-Item "C:\path\to\file.log").LastAccessTime = Get-Date "2026-01-01 00:00:00"
```

#### Linux 时间戳修改

```bash
# 使用 touch 修改时间
touch -d "2026-01-01 00:00:00" /var/log/auth.log

# 使用 touch 复制另一个文件的时间
touch -r /etc/passwd /var/log/auth.log

# 修改多个时间
touch -a -d "2026-01-01" /var/log/auth.log  # 访问时间
touch -m -d "2026-01-01" /var/log/auth.log  # 修改时间
```

---

## 文件痕迹清理

### 1. 上传工具清理

#### 常见上传位置

```
Windows:
├── C:\Users\Public\
├── C:\Temp\
├── C:\Windows\Temp\
├── %APPDATA%\
├── %LOCALAPPDATA%\Temp\
└── 当前用户桌面

Linux:
├── /tmp/
├── /var/tmp/
├── /home/user/
├── /opt/
└── 当前目录
```

#### 清理上传文件

```powershell
# Windows: 清理常见位置
Remove-Item "C:\Users\Public\*.exe" -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Temp\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Windows\Temp\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "$env:APPDATA\*.exe" -Force -ErrorAction SilentlyContinue
Remove-Item "$env:LOCALAPPDATA\Temp\*" -Recurse -Force -ErrorAction SilentlyContinue

# 安全删除 (覆盖后删除)
$sensitiveFile = "C:\temp\tool.exe"
$bytes = New-Object byte[] (Get-Item $sensitiveFile).Length
$rand = New-Object Random
$rand.NextBytes($bytes)
[System.IO.File]::WriteAllBytes($sensitiveFile, $bytes)
Remove-Item $sensitiveFile -Force
```

```bash
# Linux: 清理常见位置
rm -f /tmp/*.exe /tmp/*.sh /tmp/*.py 2>/dev/null
rm -f /var/tmp/*.exe /var/tmp/*.sh 2>/dev/null

# 安全删除 (使用 shred)
shred -u -z -n 3 /tmp/tool.exe
# -u: 删除文件
# -z: 最后用零覆盖
# -n 3: 覆盖 3 次

# 使用 dd 覆盖后删除
dd if=/dev/urandom of=/tmp/tool.exe bs=1M count=10 conv=notrunc
rm -f /tmp/tool.exe

# 批量查找并删除
find /tmp /var/tmp /home -name "*.exe" -o -name "mimikatz*" -o -name "psexec*" 2>/dev/null | xargs rm -f
```

### 2. 持久化文件清理

```powershell
# Windows: 清理持久化文件
# 启动文件夹
Remove-Item "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\*" -Force

# 计划任务
Get-ScheduledTask | Where-Object {$_.TaskName -like "*update*" -or $_.TaskName -like "*maintain*"} | Unregister-ScheduledTask -Confirm:$false

# 服务
Get-Service | Where-Object {$_.Name -like "*Security*" -or $_.DisplayName -like "*Update*"} | Stop-Service -Force
sc delete "SecurityService"
```

```bash
# Linux: 清理持久化文件
# crontab
crontab -r

# systemd 服务
systemctl disable security-update.service
rm -f /etc/systemd/system/security-update.service

# 启动脚本
rm -f /etc/rc.local
rm -f /etc/init.d/backdoor
```

### 3. 文件恢复防护

#### 为什么普通删除不够

```
普通删除 (rm / del):
├── 只删除文件索引 (inode)
├── 数据仍留在磁盘上
├── 可使用数据恢复工具恢复
│   ├── Windows: Recuva, EasyRecovery
│   └── Linux: photorec, testdisk
└── 取证时可恢复

安全删除:
├── 多次覆盖数据
├── 删除文件索引
└── 难以恢复
```

#### 安全删除工具

```powershell
# Windows: 使用 Cipher (内置)
cipher /w:C:\Temp  # 覆盖空闲空间

# 使用 SDelete (Sysinternals)
sdelete -p 3 -s C:\Temp\*  # 安全删除，3 次覆盖

# PowerShell 自定义函数
function Remove-Secure {
    param($Path)
    $file = Get-Item $Path
    $length = $file.Length
    $stream = $file.OpenWrite()
    $random = New-Object Random
    $buffer = New-Object byte[] 4096
    
    for ($i = 0; $i -lt 3; $i++) {  # 3 次覆盖
        $stream.Seek(0, 0) | Out-Null
        for ($j = 0; $j -lt $length; $j += 4096) {
            $random.NextBytes($buffer)
            $stream.Write($buffer, 0, [Math]::Min(4096, $length - $j))
        }
        $stream.Flush()
    }
    $stream.Close()
    Remove-Item $Path -Force
}
```

```bash
# Linux: 安全删除工具
# shred (GNU coreutils)
shred -u -z -n 5 sensitive.file

# srm (secure-delete 包)
apt install secure-delete
srm -z sensitive.file

# wipe
apt install wipe
wipe -r /path/to/directory

# dd 覆盖整个分区 (极端情况)
dd if=/dev/urandom of=/dev/sdX bs=1M
```

---

## 注册表痕迹清理

### 1. 持久化注册表清理

```powershell
# 清理 Run 键
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "Update" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "Security" -ErrorAction SilentlyContinue

# 清理 RunOnce 键
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name "*" -ErrorAction SilentlyContinue

# 清理服务
Remove-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\SecurityService" -Recurse -Force -ErrorAction SilentlyContinue

# 清理 COM 劫持
# 需要先备份原始值，然后恢复
```

### 2. 最近访问注册表清理

```powershell
# 清理 RunMRU (运行对话框)
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" -Name "*" -ErrorAction SilentlyContinue

# 清理 LastVisitedPidlMRU
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU" -Name "*" -ErrorAction SilentlyContinue

# 清理 OpenSavePidlMRU
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU" -Name "*" -ErrorAction SilentlyContinue

# 清理 RecentApps
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentApps" -Name "*" -ErrorAction SilentlyContinue
```

### 3. USB 设备历史清理

```powershell
# 清理 USB 设备历史
Remove-Item -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Enum\USBStor" -Recurse -Force -ErrorAction SilentlyContinue
```

---

## 内存痕迹清理

### 1. 进程清理

```powershell
# Windows: 终止恶意进程
Get-Process | Where-Object {$_.Name -like "*mimikatz*" -or $_.Name -like "*psexec*"} | Stop-Process -Force

# 清除进程内存 (需要特殊工具)
# 使用 PowerShell 清空进程工作集
$process = Get-Process -Name "cmd"
$process.MinWorkingSet = 0
$process.MaxWorkingSet = 0
```

```bash
# Linux: 终止进程
pkill -f mimikatz
pkill -f psexec
kill -9 $(pgrep -f backdoor)

# 清除进程痕迹
# 重启系统是最彻底的清理方式
```

### 2. 网络连接清理

```powershell
# Windows: 关闭网络连接
netstat -ano | findstr "ESTABLISHED" | ForEach-Object {
    $pid = $_.Split()[-1]
    Stop-Process -Id $pid -Force
}

# 重置 TCP/IP 栈
netsh int ip reset
netsh winsock reset
```

```bash
# Linux: 关闭连接
netstat -antp | grep ESTABLISHED | awk '{print $7}' | cut -d'/' -f1 | xargs kill -9

# 清除网络连接追踪
rm -f /proc/net/nf_conntrack
```

---

## 网络痕迹清理

### 1. 本地网络配置清理

```powershell
# Windows: 清除 DNS 缓存
ipconfig /flushdns

# 清除 ARP 缓存
arp -d *

# 清除路由表
route -f

# 清除 NetBIOS 缓存
nbtstat -R
```

```bash
# Linux: 清除 DNS 缓存
systemctl restart systemd-resolved
# 或
/etc/init.d/nscd restart

# 清除 ARP 缓存
ip neigh flush all

# 清除路由缓存
ip route flush cache
```

### 2. 远程日志清理

```
! 注意：远程日志通常无法清理

远程日志位置:
├── SIEM 系统 (Splunk, ELK, QRadar)
├── 集中式日志服务器
├── 云审计日志 (CloudTrail, Azure Activity Log)
├── 网络流量记录 (NetFlow, PCAP)
└── 第三方安全服务

这些日志:
+ 独立于目标系统存储
+ 通常有多个备份
+ 清理尝试会触发告警
+ 是取证的主要来源

应对策略:
- 测试前了解日志架构
- 避免触发远程告警
- 使用加密和代理隐藏流量
- 接受无法完全清理的事实
```

---

## 反取证技术

### 1. 数据隐藏

#### 隐写术

```bash
# 将数据隐藏到图片中
steghide embed -cf cover.jpg -ef secret.txt -p password

# 提取隐藏数据
steghide extract -sf cover.jpg -p password

# 检测隐写
steghide info cover.jpg
stegseek cover.jpg /usr/share/wordlists/rockyou.txt
```

#### 替代数据流 (ADS)

```powershell
# Windows: 创建 ADS
echo "secret data" > C:\temp\file.txt:secret.txt
type C:\temp\file.txt:secret.txt

# 隐藏可执行文件
type malware.exe > legitimate.exe:malware.exe
start legitimate.exe:malware.exe

# 检测 ADS
dir /R
Get-Item -Path .\* -Stream *

# 清除 ADS
Remove-Item -Path .\file.txt -Stream secret.txt
```

### 2. 时间戳伪造

```powershell
# Windows: 伪造文件时间
$(Get-Item "malware.exe").CreationTime = Get-Date "2020-01-01"
$(Get-Item "malware.exe").LastWriteTime = Get-Date "2020-01-01"
$(Get-Item "malware.exe").LastAccessTime = Get-Date "2020-01-01"
```

```bash
# Linux: 伪造文件时间
touch -d "2020-01-01 00:00:00" malware.exe
touch -r /etc/passwd malware.exe  # 复制系统文件时间
```

### 3. 根目录隐藏

```bash
# Linux: 使用隐藏目录
mkdir /tmp/.hidden_dir
mv tools /tmp/.hidden_dir/

# 检测隐藏目录
ls -la /tmp/
find /tmp -name ".*" -type d
```

### 4. 加密保护

```powershell
# 加密敏感文件
$plain = "secret data"
$encrypted = $plain | ConvertTo-SecureString -AsPlainText -Force -Key (1..32)
$encrypted | ConvertFrom-SecureString | Out-File encrypted.txt

# 使用 VeraCrypt 创建加密卷
# 下载：https://www.veracrypt.fr/
```

---

## 检测与恢复

### 1. 痕迹检测技术

#### Windows 检测

```powershell
# 检测日志清除
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=1102,104} -MaxEvents 10

# 检测历史清除
if (-not (Test-Path $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt)) {
    Write-Host "警告：PowerShell 历史文件不存在"
}

# 检测异常时间戳
Get-ChildItem -Path C:\ -Recurse -ErrorAction SilentlyContinue | 
    Where-Object {$_.CreationTime -gt $_.LastWriteTime} |
    Select-Object FullName, CreationTime, LastWriteTime

# 检测 ADS
Get-ChildItem -Recurse | Get-Item -Stream * | Where-Object {$_.Stream -ne ':$DATA'}
```

#### Linux 检测

```bash
#!/bin/bash
# 检测日志清除

echo "=== 检查空日志文件 ==="
find /var/log -type f -empty

echo "=== 检查日志服务状态 ==="
systemctl status rsyslog
systemctl status auditd

echo "=== 检查历史文件 ==="
for user in $(cut -f1 -d: /etc/passwd); do
    home=$(getent passwd $user | cut -d: -f6)
    if [ -f "$home/.bash_history" ]; then
        lines=$(wc -l < "$home/.bash_history")
        if [ $lines -eq 0 ]; then
            echo "警告：$user 的历史文件为空"
        fi
    fi
done

echo "=== 检查异常时间戳 ==="
find / -type f -newermt "2026-04-12" ! -newermt "2026-04-13" -exec ls -la {} \;
```

### 2. 日志恢复技术

#### Windows 日志恢复

```powershell
# 从备份恢复
# 如果有 VSS 快照
vssadmin list shadows
vssadmin revert shadow

# 从事件转发恢复
# 如果配置了 WEF (Windows Event Forwarding)
# 联系 SIEM 管理员获取备份日志

# 从卷影副本恢复
Get-ChildItem "\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy*\Windows\System32\winevt\Logs\" -Recurse
```

#### Linux 日志恢复

```bash
# 从备份恢复
# 检查是否有日志轮转备份
ls -la /var/log/*.gz
ls -la /var/log/*.1

# 从远程日志服务器恢复
# 联系 SIEM 管理员

# 从文件系统快照恢复
# 如果使用 LVM 或 ZFS
lvscan
mount /dev/vg0/snap_root /mnt/snap
cp /mnt/snap/var/log/auth.log /var/log/
```

### 3. 取证工具

| 工具 | 用途 | 平台 |
|------|------|------|
| **Autopsy** | 数字取证平台 | Windows/Linux |
| **Volatility** | 内存取证 | Windows/Linux/Mac |
| **FTK Imager** | 磁盘镜像分析 | Windows |
| **Wireshark** | 网络流量分析 | 跨平台 |
| **Log2Timeline** | 时间线分析 | Linux |
| **Plaso** | 时间线引擎 | 跨平台 |
| **Sleuth Kit** | 文件系统取证 | Linux |

---

## 实战案例

### 案例一：渗透测试后的痕迹清理

#### 场景描述

在某金融机构的红队演练中，我成功完成了所有测试目标，现在需要清理痕迹以评估客户的检测和恢复能力。

#### 清理清单

```
清理前准备:
□ 备份所有修改的日志 (用于测试后恢复)
□ 记录所有上传的文件路径
□ 记录所有创建的持久化机制
□ 记录所有修改的配置

清理步骤:
┌─────────────────────────────────────────────────────────┐
│ Step 1: 终止所有恶意进程                                │
│ - 停止后门进程                                          │
│ - 停止 C2 通信进程                                       │
│ - 清理内存注入                                          │
├─────────────────────────────────────────────────────────┤
│ Step 2: 删除上传文件                                    │
│ - 使用安全删除 (覆盖后删除)                              │
│ - 清理临时目录                                          │
│ - 清理回收站                                            │
├─────────────────────────────────────────────────────────┤
│ Step 3: 清除持久化机制                                  │
│ - 删除注册表 Run 键                                      │
│ - 删除计划任务                                          │
│ - 删除恶意服务                                          │
│ - 删除 WMI 订阅                                          │
├─────────────────────────────────────────────────────────┤
│ Step 4: 清理日志                                        │
│ - 选择性清除相关日志条目                                │
│ - 或禁用日志服务 (测试期间)                              │
│ - 记录清除的日志范围                                    │
├─────────────────────────────────────────────────────────┤
│ Step 5: 清理网络痕迹                                    │
│ - 清除 DNS 缓存                                          │
│ - 清除 ARP 缓存                                          │
│ - 关闭所有 C2 连接                                       │
├─────────────────────────────────────────────────────────┤
│ Step 6: 验证清理效果                                    │
│ - 运行检测脚本检查残留痕迹                              │
│ - 确认无明显的攻击指标                                  │
└─────────────────────────────────────────────────────────┘

清理后:
□ 向客户提交完整的清理报告
□ 提供备份日志用于恢复
□ 协助客户验证系统状态
□ 提交完整的攻击路径文档
```

#### 经验教训

1. **清理前备份至关重要**: 确保能完全恢复系统状态
2. **选择性清理优于全部清除**: 避免触发告警
3. **远程日志无法清理**: 接受这一事实，专注于本地痕迹
4. **清理本身会留下痕迹**: 日志清除事件本身会被记录
5. **文档化所有操作**: 便于测试后恢复和报告

### 案例二：取证与恢复演练

#### 场景描述

某企业在发现可疑活动后，启动应急响应流程，尝试恢复被清除的日志并重建攻击路径。

#### 恢复过程

```
Step 1: 评估损害
- 确定哪些日志被清除
- 检查是否有备份
- 评估恢复可能性

Step 2: 从备份恢复
- 从 VSS 快照恢复 Windows 日志
- 从日志轮转文件恢复 Linux 日志
- 从 SIEM 系统获取远程日志

Step 3: 时间线重建
- 使用 Log2Timeline 创建事件时间线
- 关联多个日志源
- 识别攻击各阶段

Step 4: 残留痕迹分析
- 检查注册表残留
- 分析文件系统元数据
- 检查网络流量记录

Step 5: 攻击路径还原
- 初始访问点：钓鱼邮件 (08:00)
- 权限提升：本地漏洞 (08:15)
- 横向移动：PsExec (08:30)
- 数据窃取：SMB 传输 (09:00)
- 痕迹清理：日志清除 (09:30)
```

#### 防御改进

1. **启用日志保护**: 配置日志服务器只读权限
2. **实时日志转发**: 所有日志实时发送到 SIEM
3. **日志完整性监控**: 使用文件完整性监控保护日志
4. **定期备份**: 定期备份日志到离线存储
5. **告警配置**: 日志清除事件立即告警

---

## 总结与思考

### 核心要点回顾

1. **痕迹清理是攻击链的最后环节**
   - 延缓被发现的时间
   - 增加取证难度
   - 但现代系统有多重日志备份

2. **Windows 主要清理目标**
   - 事件日志 (System, Security, Application)
   - PowerShell 历史
   - 注册表持久化
   - 最近访问记录

3. **Linux 主要清理目标**
   - Shell 历史 (.bash_history 等)
   - 系统日志 (syslog, auth.log)
   - 临时文件
   - Cron 持久化

4. **安全删除的重要性**
   - 普通删除可恢复
   - 使用 shred、sdelete 等工具
   - 多次覆盖数据

5. **反取证技术**
   - 数据隐藏 (隐写、ADS)
   - 时间戳伪造
   - 加密保护

### 深入思考

#### 为什么痕迹清理往往无效？

1. **多重日志备份**: SIEM、云审计、网络流量记录
2. **实时日志转发**: 日志在产生时就已发送
3. **只读日志存储**: WORM (Write Once Read Many) 存储
4. **清理行为本身**: 清除日志会留下新日志
5. **残留痕迹**: 注册表、文件系统元数据、内存转储

#### 渗透测试中是否应该清理痕迹？

这是一个需要权衡的问题：

**支持清理的理由**:
- 模拟真实 APT 攻击
- 测试客户的检测和恢复能力
- 评估取证流程

**反对清理的理由**:
- 可能破坏生产系统
- 违反合同条款
- 增加法律风险
- 现代系统清理往往无效

**我的建议**:
- 在合同中明确是否清理
- 清理前完整备份
- 测试后完全恢复
- 重点测试检测能力而非清理能力

### 实战建议

1. **对红队人员**:
   - 清理前完整备份
   - 详细记录所有操作
   - 测试后完全恢复
   - 不要依赖清理来隐藏攻击

2. **对蓝队人员**:
   - 配置实时日志转发
   - 保护日志完整性
   - 监控日志清除事件
   - 定期测试恢复流程

3. **对组织**:
   - 部署 SIEM 集中日志
   - 配置日志只读存储
   - 定期备份日志
   - 建立应急响应流程

---

## 参考资料

### 学习资源

- **SANS Institute - Covering Tracks**
  - https://www.sans.org/white-papers/covering-tracks/

- **NIST SP 800-86 - Digital Forensics**
  - https://csrc.nist.gov/publications/detail/sp/800-86/final

- **OWASP Forensics Project**
  - https://owasp.org/www-project-forensics/

### 工具资源

| 工具 | 用途 | 链接 |
|------|------|------|
| **SDelete** | Windows 安全删除 | https://docs.microsoft.com/en-us/sysinternals/downloads/sdelete |
| **shred** | Linux 安全删除 | GNU coreutils |
| **steghide** | 隐写工具 | http://steghide.sourceforge.net/ |
| **Autopsy** | 数字取证 | https://www.autopsy.com/ |
| **Volatility** | 内存取证 | https://www.volatilityfoundation.org/ |
| **Log2Timeline** | 时间线分析 | https://github.com/log2timeline/log2timeline |
| **VeraCrypt** | 磁盘加密 | https://www.veracrypt.fr/ |

### 书籍推荐

1. **《File System Forensic Analysis》**
   - 作者：Brian Carrier
   - 文件系统取证经典

2. **《Practical Forensic Analysis》**
   - 作者：Michael Munn
   - 实战取证技术

3. **《Incident Response & Computer Forensics》**
   - 作者：Jason T. Luttgens 等
   - 应急响应与取证

4. **《Red Team Development and Operations》**
   - 章节：Covering Tracks and Anti-Forensics

---

*365 天信息安全技术系列 | Day 232 | 渗透测试系列 | 痕迹清理与反取证技术*
*创建时间：2026-04-12 | 作者：安全专家 · 严谨专业版*