​

文章來源：Bypass

為避免入侵行為被發現，攻擊者總是會通過各種方式來隱藏自己，比如：隱藏自己的真實IP、清除系統日誌、刪除上傳的工具、隱藏後門檔案、擦除入侵過程中所產生的痕跡等。

01、Windows日誌清除

windows 日誌路徑：

系統日誌：%SystemRoot%\System32\Winevt\Logs\System.evtx安全日誌：%SystemRoot%\System32\Winevt\Logs\Security.evtx應用程式日誌：%SystemRoot%\System32\Winevt\Logs\Application.evtx 日誌在登錄檔的鍵：HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

windows 日誌清除方式：

（1）最簡單粗暴的方式

開始→執行,輸入eventvwr進入事件檢視器，右邊欄選擇清除日誌。

（2）命令列一鍵清除Windows事件日誌

PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}" Get-WinEvent-ListLogApplication,Setup,Security-Force|%{Wevtutil.execl$_.Logname}

（3）利用指令碼停止日誌的記錄

通過該指令碼遍歷事件日誌服務程序（專用svchost.exe）的執行緒堆疊，並標識事件日誌執行緒以殺死事件日誌服務執行緒。

因此，系統將無法收集日誌，同時事件日誌服務似乎正在執行。

github專案地址：https://github.com/hlldz/Invoke-Phant0m

（4）Windows單條日誌清除

該工具主要用於從Windows事件日誌中刪除指定的記錄。

github專案地址：https://github.com/QAX-A-Team/EventCleaner

（5）Windows日誌偽造

使用eventcreate這個命令列工具來偽造日誌或者使用自定義的大量垃圾資訊覆蓋現有日誌。

eventcreate -l system -so administrator -t warning -d "this is a test" -id 500

02、IIS日誌

IIS預設日誌路徑：

%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\

清除WWW日誌：

停止服務：net stop w3svc刪除日誌目錄下所有檔案：del *.*啟用服務：net start w3svc

03、利用Windows自帶命令進行安全擦除

（1）Shift+Delete快捷鍵永久刪除

直接刪除檔案，還是能在回收站找到的，使用Shift+Delete快捷鍵可以直接永久刪除了。但是用資料恢復軟體，刪除的檔案儘快恢復，否則新的檔案存入覆蓋了原來的檔案痕跡就很難恢復了。

（2）Cipher 命令多次覆寫

在刪除檔案後，可以利用Cipher 命令通過 /W 引數可反覆寫入其他資料覆蓋已刪除檔案的硬碟空間，徹底刪除資料防止被恢復。

比如，刪除D:\tools目錄下的檔案，然後執行這條命令：

cipher /w:D:\tools

這樣一來，D 盤上未使用空間就會被覆蓋三次：一次 0x00、一次 0xFF，一次隨機數，所有被刪除的檔案就都不可能被恢復了。

（3）Format命令覆蓋格式化

Format 命令加上 /P 引數後，就會把每個扇區先清零，再用隨機數覆蓋。而且可以覆蓋多次。比如：

format D: /P:8

這條命令表示把 D 盤用隨機數覆蓋 8 次。

04、清除遠端桌面連線記錄

當通過本機遠端連線其他客戶端或伺服器後，會在本機存留遠端桌面連線記錄。程式碼儲存為clear.bat檔案，雙擊執行即可自動化清除遠端桌面連線記錄。

@echo offreg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /freg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /freg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"cd %userprofile%\documents\attrib Default.rdp -s -hdel Default.rdp

05、Metasploit 痕跡清除

（1）檢視事件日誌

meterpreter > run event_manager  -i [*] Retriving Event Log Configuration Event Logs on System====================  Name                    Retention  Maximum Size  Records ----                    ---------  ------------  ------- Application             Disabled 20971520K 2149 HardwareEvents          Disabled 20971520K 0 Internet Explorer       Disabled   K 0 Key Management Service  Disabled 20971520K 0 Security                Disabled 20971520K 1726 System                  Disabled 20971520K 3555 Windows PowerShell      Disabled 15728640K 138

（2）清除事件日誌（包括六種日誌型別）

meterpreter > run event_manager  -c

（3）另外，也可以輸入clearv命令清除目標系統的事件日誌（僅包含三種日誌型別）

meterpreter > clearev [*] Wiping 4 records from Application...[*] Wiping 8 records from System...[*] Wiping 7 records from Security...

​