Windows

手动

控制面板-管理工具-事件查看器-清除日志

wevtutil

wevtutil.exe el # 列出系统中所有日志名称
wevtutil.exe cl system # 清理系统日志
wevtutil.exe cl application # 清理应用程序日志
wevtutil.exe cl security # 清理安全日志

wevtutil.exe gli Application # 获取单个日志类别的信息,包括时间、数目
wevtutil.exe qe Application /f:text # 查看指定类别的日志内容
wevtutil.exe cl Application # 删除该类日志所有内容
wevtutil.exe qe Security /f:text /rd:true /c:10 # 获取security的最近十条日志
wevtutil.exe epl Security 1.evtx # 导出指定日志保存
wevtutil.exe epl Security 1.evtx "/q:*[System [(EventRecordID!=666)]]" # 删除Security下的单条日志(EventRecordID=666),并保存为1.evtx
wevtutil.exe epl Security 1.evtx "/q:*[System [(EventRecordID>555) or (EventRecordID<666)]]" # 删除Security下的多条日志(EventRecordID为小于666或大于555),并保存为1.evtx
wevtutil.exe epl Security 1.evtx "/q:*[System [TimeCreated[@SystemTime >'2021-08-20T10:41:08' or @SystemTime <'2021-08-20T9:41:07']]]" # 删除指定时间段的日志

meterpreter

run clearlogs 
clearev        # 清除windows中的应用程序日志、系统日志、安全日志

powershell

powershell -command "& {Clear-Eventlog -Log Application,System,Security}"
Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}

清除recent

  1. 文件资源管理器中 查看->选项->在常规->隐私中选择清除
  2. 或直接打开 C:\Users\Administrator\Recent 并删除所有内容
  3. 或在命令行中输入del /f /s /q “%userprofile%\Recent*.*

远程桌面记录清除

@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit

日志绕过

Windows日志对应于eventlog服务,找到该服务对应的进程svchost.exe,进而筛选出svchost.exe进程中具体实现日志功能的线程,调用TerminateThread结束线程,破坏日志记录功能

Windows Event Log 服务需要调用wevtsvc.dll,完整路径为%WinDir%\System32\wevtsvc.dll,如果线程调用了wevtsvc.dll,可以大致判定该线程实现了日志记录功能

工具:https://github.com/hlldz/Invoke-Phant0m

恢复方法:重启Windows Event Log 服务:net start eventlog

防恢复

多次擦除覆盖,以1.txt为例,删除后,新建1.txt,写入随机内容,再删除->新建同名文件->写入->删除,循环操作

Linux

清除历史命令记录

histroy -r        # 删除当前会话历史记录
history -c        # 删除内存中的所有命令历史
rm -rf ~/.bash_history        # 删除历史文件中的内容

隐藏操作

[空格]set +o history

删除指定内容

sed -i '/xxx/'d  filename        # 删除带有xxx的日志

篡改日志

sed -i 's/123.123.123.123/127.0.0.1/g' filename        # 将所有123.123.123.123ip替换为127.0.0.1

删除文件

shred -f -u -z -v -n 4 filename        # 实现安全的从硬盘上擦除数据,默认覆盖3次,通过 -n指定数据覆盖次数

批量清理

echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
Copyright © d4m1ts 2023 all right reserved,powered by Gitbook该文章修订时间: 2024-05-09 15:10:18

results matching ""

    No results matching ""