windows痕跡清理
阿新 • • 發佈:2020-12-13
windows痕跡清理
日誌路徑:
系統日誌:%SystemRoot%\System32\Winevt\Logs\System.evtx
安全日誌:%SystemRoot%\System32\Winevt\Logs\Security.evtx
應用程式日誌:%SystemRoot%\System32\Winevt\Logs\Application.evtx
日誌在登錄檔的鍵:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
清理方式
進入事件檢視器,右側清除日誌
效果如下:
命令列清除
PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}" Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
指令碼停止日誌的記錄
通過該指令碼遍歷事件日誌服務程序(專用svchost.exe)的執行緒堆疊,並標識事件日誌執行緒以殺死事件日誌服務執行緒。
github專案地址:https://github.com/hlldz/Invoke-Phant0m
單條日誌清除
github專案地址:https://github.com/QAX-A-Team/EventCleaner
日誌偽造
偽造日誌或者使用自定義的大量垃圾資訊覆蓋現有日誌
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
IIS相關
日誌路徑: %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\
清除WWW日誌:
停止服務:net stop w3svc
刪除日誌目錄下所有檔案:del *.*
啟用服務:net start w3svc
利用Windows自帶命令進行安全擦除
Shift+Delete快捷鍵永久刪除
直接刪除檔案,還是能在回收站找到的,使用Shift+Delete快捷鍵可以直接永久刪除了。但是用資料恢復軟體,刪除的檔案儘快恢復,否則新的檔案存入覆蓋了原來的檔案痕跡就很難恢復了。
Cipher 命令多次覆寫
在刪除檔案後,可以利用Cipher 命令通過 /W 引數可反覆寫入其他資料覆蓋已刪除檔案的硬碟空間,徹底刪除資料防止被恢復。 cipher /w:C:\tools
Format命令覆蓋格式化
Format 命令加上 /P 引數後,就會把每個扇區先清零,再用隨機數覆蓋。而且可以覆蓋多次。比如:
format D: /P:8
這條命令表示把 D 盤用隨機數覆蓋 8 次。
清除遠端桌面連線記錄
當通過本機遠端連線其他客戶端或伺服器後,會在本機存留遠端桌面連線記錄。程式碼儲存為clear.bat檔案,雙擊執行即可自動化清除遠端桌面連線記錄。
@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
Metasploit 痕跡清除
檢視事件日誌
meterpreter > run event_manager -i
清除事件日誌(包括六種日誌型別)
meterpreter > run event_manager -c
另外,也可以輸入clearv命令清除目標系統的事件日誌(僅包含三種日誌型別)
meterpreter > clearev