Windows
手动
控制面板-管理工具-事件查看器-清除日志
wevtutil
wevtutil.exe el # 列出系统中所有日志名称
wevtutil.exe cl system # 清理系统日志
wevtutil.exe cl application # 清理应用程序日志
wevtutil.exe cl security # 清理安全日志
wevtutil.exe gli Application # 获取单个日志类别的信息,包括时间、数目
wevtutil.exe qe Application /f:text # 查看指定类别的日志内容
wevtutil.exe cl Application # 删除该类日志所有内容
wevtutil.exe qe Security /f:text /rd:true /c:10 # 获取security的最近十条日志
wevtutil.exe epl Security 1.evtx # 导出指定日志保存
wevtutil.exe epl Security 1.evtx "/q:*[System [(EventRecordID!=666)]]" # 删除Security下的单条日志(EventRecordID=666),并保存为1.evtx
wevtutil.exe epl Security 1.evtx "/q:*[System [(EventRecordID>555) or (EventRecordID<666)]]" # 删除Security下的多条日志(EventRecordID为小于666或大于555),并保存为1.evtx
wevtutil.exe epl Security 1.evtx "/q:*[System [TimeCreated[@SystemTime >'2021-08-20T10:41:08' or @SystemTime <'2021-08-20T9:41:07']]]" # 删除指定时间段的日志
meterpreter
run clearlogs
clearev # 清除windows中的应用程序日志、系统日志、安全日志
powershell
powershell -command "& {Clear-Eventlog -Log Application,System,Security}"
Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
清除recent
- 文件资源管理器中 查看->选项->在常规->隐私中选择清除
- 或直接打开
C:\Users\Administrator\Recent
并删除所有内容 - 或在命令行中输入
del /f /s /q “%userprofile%\Recent*.*
远程桌面记录清除
@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit
日志绕过
Windows日志对应于eventlog
服务,找到该服务对应的进程svchost.exe
,进而筛选出svchost.exe
进程中具体实现日志功能的线程,调用TerminateThread结束线程,破坏日志记录功能
Windows Event Log 服务需要调用wevtsvc.dll
,完整路径为%WinDir%\System32\wevtsvc.dll
,如果线程调用了wevtsvc.dll
,可以大致判定该线程实现了日志记录功能
工具:https://github.com/hlldz/Invoke-Phant0m
恢复方法:重启Windows Event Log 服务:net start eventlog
防恢复
多次擦除覆盖,以1.txt为例,删除后,新建1.txt,写入随机内容,再删除->新建同名文件->写入->删除,循环操作
Linux
清除历史命令记录
histroy -r # 删除当前会话历史记录
history -c # 删除内存中的所有命令历史
rm -rf ~/.bash_history # 删除历史文件中的内容
隐藏操作
[空格]set +o history
删除指定内容
sed -i '/xxx/'d filename # 删除带有xxx的日志
篡改日志
sed -i 's/123.123.123.123/127.0.0.1/g' filename # 将所有123.123.123.123ip替换为127.0.0.1
删除文件
shred -f -u -z -v -n 4 filename # 实现安全的从硬盘上擦除数据,默认覆盖3次,通过 -n指定数据覆盖次数
批量清理
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp