文章总结: Coda是一款使用Golang编写的跨平台入侵痕迹抹除工具,支持Windows和Linux系统。该工具提供三种核心功能:直接删除所有日志、备份大日志并删除小日志、恢复备份日志。其进阶用法Backup2Restore可在渗透前备份日志,执行敏感操作后恢复,制造监控盲区而非完全清除痕迹。工具详细列出了Windows和Linux系统下数十种日志文件路径,包括系统事件、安全审计、Web服务、数据库等多种类型。但需注意操作不可逆,可能对系统造成伤害。 综合评分: 72 文章分类: 红队,内网渗透,安全工具,渗透测试,应急响应
Coda:实现Windows/Linux入侵痕迹抹除
原创
网安武器库 网安武器库
网安武器库
2026年2月7日 22:19 山东
更多干货 点击蓝字 关注我们
注:本文仅供学习,坚决反对一切危害网络安全的行为。造成法律后果自行负责!
往期回顾
·OSV-Scanner:一款专门于发现开源软件漏洞的扫描器
·LingOps(灵控):AWD/AWDP 竞赛自动化平台
·融合AI引擎的日志应急响应溯源工具SSLogs–详细配置教程与使用方法
·AWD-H1M:AWD攻防竞赛自动化工具箱
·DumpGuard:首个公开绕过Windows Credential Guard的凭据提取工具
·FingerprintHub:识别网站和网络服务背后使用的技术栈
背景分析
随着网络安全技术的不断发展,攻击与防御的对抗日益激烈。现代安全设备(如SIEM系统、EDR工具、日志审计平台)的广泛部署,使得攻击者的操作痕迹更容易被捕获和分析。在此背景下,如何 快速、彻底地清除入侵痕迹 ,成为攻击者在完成目标操作后必须解决的核心问题。
Coda是一款使用Golang语言编写的入侵痕迹抹除工具,支持Windows和Linux系统。它能够帮助用户迅速消除系统中的入侵痕迹,保护操作的隐蔽性。
项目地址:
https://github.com/Symph0nia/Coda
在项目中使用:
go build ./main.go
介绍
核心功能
./main -D # 删除所有的日志信息./main -B # 删除大型的的日志信息,将小型的日志信息备份到/TEMP或/tmp文件夹下./main -R # 恢复备份的日志信息到原位置
原理
Coda的基本用法即直接删除所有的日志,从而实现对溯源的打击。
Coda的进阶用法为Backup 2 Restore
在渗透成功后,运行Coda -B,对当前的日志信息进行镜像保存,接下来可以进行敏感操作,例如数据获取,数据删除一类。
在渗透结束阶段,运行Coda -R,对已经保存的日志信息进行恢复,不对日志系统进行完全清除,从而实现一个优雅的空白监控时间。
注意事项Warning:
Coda对系统文件所造成的伤害是不可逆的,慎用。
目前的日志分类规则:大于100MB为大日志文件
清除日志列表
Windows:
| 日志文件路径 | 作用 |
| — | — |
| C:\\Windows\\System32\\winevt\\Logs\\Security.evtx | 记录安全相关事件,例如登录尝试、权限使用等。 |
| C:\\Windows\\System32\\winevt\\Logs\\Application.evtx | 记录应用程序相关事件,由应用程序生成的日志信息。 |
| C:\\Windows\\System32\\winevt\\Logs\\System.evtx | 记录系统级别事件,包括驱动程序加载、系统组件的启动和停止等。 |
| C:\\Program Files\\Apache Group\\Apache2\\logs\\access.log | 记录Apache服务器的访问日志,包括每个请求的详细信息。 |
| C:\\Program Files\\Apache Group\\Apache2\\logs\\error.log | 记录Apache服务器的错误日志,包括启动、运行时错误和异常。 |
| C:\\Program Files (x86)\\IIS Express\\Logs\\IISExpress.log | 记录IIS Express的日志,包括访问和错误信息。 |
| C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-User Profile Service%4Operational.evtx | 记录用户配置文件服务的操作日志。 |
| C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-DNS-Client%4Operational.evtx | 记录DNS客户端操作日志。 |
| C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-DNS-Server%4Analytical.evtx | 记录DNS服务器分析日志,用于诊断DNS问题。 |
| C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx | 记录高级安全Windows防火墙的操作日志。 |
| C:\\Windows\\System32\\LogFiles\\Firewall\\pfirewall.log | 记录Windows防火墙日志,包括被允许或被阻止的网络连接。 |
| C:\\Windows\\System32\\LogFiles\\W3SVC1\\ | 记录IIS Web服务的日志,包括访问和错误日志。 |
| C:\\Windows\\System32\\LogFiles\\HTTPERR\\httperr1.log | 记录IIS HTTP错误日志,包括无法处理的HTTP请求。 |
| C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-Security-Auditing.evtx | 记录安全审计日志,包括成功和失败的安全事件。 |
| C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-TaskScheduler%4Operational.evtx | 记录任务计划程序的操作日志。 |
| C:\\Windows\\Temp | 存储临时文件,通常用于短期存储。 |
| filepath.Join("C:\\Users", username, "AppData\\Local\\Temp") | 当前用户的本地临时文件夹,存储临时文件。 |
| filepath.Join("C:\\Users", username, "AppData\\LocalLow\\Temp") | 当前用户的本地低权限临时文件夹,存储低权限临时文件。 |
| filepath.Join("C:\\Users", username, "AppData\\Roaming\\Microsoft\\Windows\\Recent") | 记录当前用户最近访问的文件和文件夹。 |
| filepath.Join("C:\\Users", username, "AppData\\Local\\Microsoft\\Windows\\INetCache") | 存储浏览器缓存文件。 |
| filepath.Join("C:\\Users", username, "AppData\\Local\\Microsoft\\Windows\\History") | 存储浏览器历史记录。 |
| filepath.Join("C:\\Users", username, "Documents") | 当前用户的文档文件夹,存储用户的文档文件。 |
| filepath.Join("C:\\Users", username, "Downloads") | 当前用户的下载文件夹,存储用户下载的文件。 |
| C:\\inetpub\\logs\\LogFiles\\W3SVC1\\ | 记录IIS Web服务的访问日志。 |
| C:\\inetpub\\logs\\FailedReqLogFiles\\ | 记录IIS失败的请求日志,用于诊断失败的HTTP请求。 |
| C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-SMBClient\\Operational.evtx | 记录SMB客户端操作日志。 |
| C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-RemoteDesktopServices-RdpCoreTS\\Operational.evtx | 记录远程桌面服务操作日志。 |
| C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-TerminalServices-LocalSessionManager\\Operational.evtx | 记录终端服务本地会话管理器操作日志。 |
Linux:
| 日志文件路径 | 作用 |
| — | — |
| /var/log/syslog | 记录系统日志,包括内核消息、服务启动和停止、各种系统事件。 |
| /var/log/messages | 记录一般系统消息和非关键系统错误。 |
| /var/log/auth.log | 记录认证相关的日志,包括登录尝试、sudo使用等。 |
| /var/log/lastlog | 记录上次登录的信息。 |
| /var/log/wtmp | 记录登录和注销事件的永久日志。 |
| /var/log/btmp | 记录失败的登录尝试。 |
| /var/log/faillog | 记录失败的用户登录信息。 |
| /var/log/apache2/access.log | 记录Apache服务器的访问日志,包括每个请求的详细信息。 |
| /var/log/apache2/error.log | 记录Apache服务器的错误日志,包括启动、运行时错误和异常。 |
| /var/log/nginx/access.log | 记录Nginx服务器的访问日志,包括每个请求的详细信息。 |
| /var/log/nginx/error.log | 记录Nginx服务器的错误日志,包括启动、运行时错误和异常。 |
| /var/log/mysql/error.log | 记录MySQL数据库的错误日志,包括启动、运行时错误和异常。 |
| /var/log/mysql/mysql.log | 记录MySQL数据库的一般操作日志。 |
| /var/log/daemon.log | 记录守护进程的日志,包括系统服务的启动和停止。 |
| /var/log/kern.log | 记录内核日志,包括内核启动信息和运行时的错误。 |
| /var/log/mail.log | 记录邮件系统的日志,包括邮件传输信息。 |
| /var/log/mail.err | 记录邮件系统的错误日志。 |
| /var/log/secure | 记录安全相关的日志,包括登录、认证和授权信息。 |
| /var/log/audit/audit.log | 记录系统审计日志,包括SELinux和其他安全模块的事件。 |
| /var/log/sudo.log | 记录sudo命令的使用情况。 |
| /tmp/ | 临时文件目录,存储系统和用户的临时文件。 |
| /var/tmp/ | 临时文件目录,存储系统和用户的临时文件,通常比/tmp的生命周期更长。 |
| /home/*/.bash_history | 记录每个用户的bash历史命令。 |
| /home/*/.zsh_history | 记录每个用户的zsh历史命令。 |
| /root/.bash_history | 记录root用户的bash历史命令。 |
| /root/.zsh_history | 记录root用户的zsh历史命令。 |
| /var/log/sshd.log | 记录SSH守护进程的日志。 |
| /var/run/utmp | 记录当前登录用户的信息。 |
| /var/log/dmesg | 记录内核环形缓冲区的消息,通常包括系统启动信息。 |
| /var/log/yum.log | 记录Yum包管理器的操作日志。 |
| /var/log/apt/history.log | 记录APT包管理器的历史日志。 |
| /var/log/apt/term.log | 记录APT包管理器的终端日志,包括包安装和卸载的信息。 |
| /var/log/journal/ | systemd的日志目录,记录所有使用systemd管理的服务和系统事件。 |
| /var/log/rkhunter/rkhunter.log | 记录Rootkit Hunter的扫描日志。 |
| /var/log/chkrootkit/chkrootkit.log | 记录Chkrootkit工具的扫描日志。 |
| /var/log/docker.log | 记录Docker的日志,包括容器的启动和停止信息。 |
| /var/log/kubernetes/ | 记录Kubernetes的日志,包括集群中各组件的事件。 |
| /var/log/containers/ | 记录容器的日志,通常包括Docker和Kubernetes管理的容器。 |
| /var/log/postgresql/ | 记录PostgreSQL数据库的日志。 |
| /var/log/mongodb/mongod.log | 记录MongoDB数据库的日志,包括启动和运行时信息。 |
| /var/log/redis/redis.log | 记录Redis数据库的日志。 |
| /var/log/tomcat/ | 记录Tomcat应用服务器的日志,包括访问和错误日志。 |
| /var/log/glassfish/ | 记录GlassFish应用服务器的日志,包括访问和错误日志。 |
| /var/log/maillog | 记录邮件传输代理(MTA)的日志,包括邮件传输信息。 |
| /var/log/mail.err | 记录邮件传输代理(MTA)的错误日志。 |
| /var/log/firewalld | 记录Firewalld的日志,包括防火墙规则的应用和事件。 |
| /var/log/iptables.log | 记录Iptables的日志,包括防火墙规则的应用和事件。 |
| /var/log/samba/* | 记录Samba服务的日志,包括文件共享和打印服务的事件。 |
| /var/log/rsyncd.log | 记录Rsync守护进程的日志,包括文件同步和传输的事件。 |
| /var/log/wtmp.1 | 记录历史登录和注销事件的归档日志。 |
| /var/log/btmp.1 | 记录历史失败的登录尝试的归档日志。 |
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网安武器库 网安武器库 网安武器库《Coda:实现Windows/Linux入侵痕迹抹除》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论