windows痕跡清理

日誌路徑：

系統日誌：%SystemRoot%\System32\Winevt\Logs\System.evtx
安全日誌：%SystemRoot%\System32\Winevt\Logs\Security.evtx
應用程式日誌：%SystemRoot%\System32\Winevt\Logs\Application.evtx

日誌在登錄檔的鍵：HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

清理方式

進入事件檢視器，右側清除日誌

效果如下：

命令列清除

PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"

Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
 

指令碼停止日誌的記錄

通過該指令碼遍歷事件日誌服務程序（專用svchost.exe）的執行緒堆疊，並標識事件日誌執行緒以殺死事件日誌服務執行緒。

github專案地址：https://github.com/hlldz/Invoke-Phant0m

單條日誌清除

github專案地址：https://github.com/QAX-A-Team/EventCleaner

日誌偽造

偽造日誌或者使用自定義的大量垃圾資訊覆蓋現有日誌
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500

IIS相關

日誌路徑：
%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\
 

清除WWW日誌：
停止服務：net stop w3svc
刪除日誌目錄下所有檔案：del *.*
啟用服務：net start w3svc

利用Windows自帶命令進行安全擦除

Shift+Delete快捷鍵永久刪除

直接刪除檔案，還是能在回收站找到的，使用Shift+Delete快捷鍵可以直接永久刪除了。但是用資料恢復軟體，刪除的檔案儘快恢復，否則新的檔案存入覆蓋了原來的檔案痕跡就很難恢復了。

Cipher 命令多次覆寫

在刪除檔案後，可以利用Cipher 命令通過 /W 引數可反覆寫入其他資料覆蓋已刪除檔案的硬碟空間，徹底刪除資料防止被恢復。
cipher /w:C:\tools 
 

Format命令覆蓋格式化

Format 命令加上 /P 引數後，就會把每個扇區先清零，再用隨機數覆蓋。而且可以覆蓋多次。比如：
format D: /P:8
這條命令表示把 D 盤用隨機數覆蓋 8 次。

清除遠端桌面連線記錄

當通過本機遠端連線其他客戶端或伺服器後，會在本機存留遠端桌面連線記錄。程式碼儲存為clear.bat檔案，雙擊執行即可自動化清除遠端桌面連線記錄。
@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp

Metasploit 痕跡清除

檢視事件日誌
meterpreter > run event_manager -i  
清除事件日誌（包括六種日誌型別）
meterpreter > run event_manager -c
另外，也可以輸入clearv命令清除目標系統的事件日誌（僅包含三種日誌型別）
meterpreter > clearev