渗透擦脚印之-清除3389连接记录

内网渗透时黑客常常会利用”跳板”主机连接许多内网IP地址的3389 在渗透结束时清除”脚印” 3389连接记录也是必清除项目之一

下面教你怎么删除这些记录

运行regedit

找到HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default

右边的那些键值就是记录了的IP或者域名了

另外最后一次的连接的IP或者域名还是会显示在远程桌面连接的连接目标输入框上面

这个信息储存在“我的文档”下的“Default.rdp”文件中,删之即可

另外  可以把HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default  这个键值的

权限设置为不可改写

同样Default.rdp也是,这样一来远程桌面连接就不会记录你的登陆信息

本文由网络安全攻防研究室(www.91ri.org) 信息安全小组原创.转载本文请著名原文地址及版权信息。