前言
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。
1、Windows日志清除
windows 日志路径:
系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx日志在注册表的键:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
windows 日志清除方式:
(1)最简单粗暴的方式
开始→运行,输入 eventvwr 进入事件查看器,右边栏选择清除日志。
(2)命令行一键清除Windows事件日志
PowerShell -Command"& {Clear-Eventlog -Log
Application,System,Security}"Get-WinEvent-ListLog
Application,Setup,Security -Force | % {Wevtutil.exe cl$_.Lognam