网络安全公司Fox-IT上周发布了一个Python脚本“danderspritz-evtx”，可恢复被NSA黑客工具DanderSpritz删除的事件日志条目。

黑客工具 DanderSpritz工作原理

DanderSpritz 是“影子经纪人”（Shadow Brokers）公开的NSA远控工具，该工具基于FuzzBunch框架设计，可以清除事件日志。

NSA通常将DanderSpritz与FuzzBunch一起使用。NSA黑客使用FuzzBunch在目标电脑上加载并运行漏洞利用，之后部署DanderSpritz查找并提取敏感数据，向附近的电脑传播，并清除攻击痕迹。

Kudelski Security今年5月曾写道， 可以将DanderSpritz想象成国家版的Metasploit Meterpreter，但前者还带有自动化反病毒检测和规避功能，以及大量先前无法检测到的工具，可用于转储密码、收集信息、保持持久性并横向移动。

为什么数据并未被删除？

DanderSpritz包含Eventlogedit插件，能操纵Windows的事件日志文件帮助攻击者隐藏行踪。

Eventlogedit插件存在漏洞

Fox-IT表示，研究人员在Eventlogedit插件中发现一个漏洞，即Eventlogedit实际上并未删除事件日志条目，而只是未加以引用，将其合并。按照研究人员的解释，使用Eventlogedit时，将被删除的日志记录本身未被编辑或删除，只不过未被引用。它通过操纵之前记录的记录头来实现。

Eventlogedit将欲被删除记录的大小加入之前记录的大小中，从而合并这两条记录。包括记录头在内的被删记录目前仅被认为是此前记录的多余数据。日志查看器不会显示这种多余数据或垃圾数据。

DanderSpritz会默认将一个或多个“篡改”日志条目与之前的清洁日志条目合并。当Windows事件日志应用程序读取经过篡改过的日志文件时，它会读取清洁版本，查看结束标签，并忽略未引用“不良”事件的所有内容。

这种技俩允许攻击者隐藏恶意行踪。借助Fox-IT开发的danderspritz-evtx脚本，调查人员可以重建原始日志文件，追踪攻击者的活动。

由于DanderSpritz已被泄露超过半年，这就意味着除了NSA黑客，其它网络犯罪组织和恶意攻击者可能已经将这种技术整合在自己的工具之中。

此脚本是调查被入侵设备的必需工具，用户可在GitHub上获取，地址请戳！