
渗透擦脚印之-清除3389连接记录
内网渗透时黑客常常会利用”跳板”主机连接许多内网IP地址的3389 在渗透结束时清除”脚印” 3389连接记录也是必清除项目之一
下面教你怎么删除这些记录
运行regedit
找到HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default
右边的那些键值就是记录了的IP或者域名了
另外最后一次的连接的IP或者域名还是会显示在远程桌面连接的连接目标输入框上面
这个信息储存在“我的文档”下的“Default.rdp”文件中,删之即可
另外 可以把HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default 这个键值的
权限设置为不可改写
同样Default.rdp也是,这样一来远程桌面连接就不会记录你的登陆信息
本文由网络安全攻防研究室(www.91ri.org) 信息安全小组原创.转载本文请著名原文地址及版权信息。
[…] 其他的Windows擦入侵脚印的办法可以参考:《渗透擦脚印之-清除3389连接记录…》《反侦察-网警你想如何抓到我》 […]