Windows 痕迹清理
前言
小黑za,小心一点儿,别露出了小鸡爪.
正文
日志清理
日志分类
- Application(应用程序):
- Securty(安全):
- Setup(Setup):
- System(系统):
- Forwarded Event (转发事件)
还是记录一下常见的 事件id:
4634 - 帐户被注销
4647 - 用户发起注销
4624 - 帐户已成功登录
4625 - 帐户登录失败
4648 - 试图使用明确的凭证登录(可以用以查看远程登陆的相关信息,比如远程登陆的IP地址等)
4698 -计划任务已创建
4699 -计划任务已删除
4700 -计划任务已启用
4701 -计划任务已停用
4702 -计划任务已更新
4657 -注册表值被修改
5039 -注册表项被虚拟化
4672 使用管理员进行登录
4720 创建用户
关闭日志服务
使用 Get-WmiObject -Class win32_service -Filter "name = 'eventlog'" 获取日志进程,
也可以使用 sc queryex eventlog.
之后使用 taskkill /f /pid 进程id 强制删除日志服务进程.
清理日志内容
// powershell
Clear-Eventlog -LogName Security
Clear-Eventlog -LogName System// cmd
// 删除应用日志
cmd /c wevtutil cl application删除近期访问过的文件和网页记录
del /f /s /q %userprofile%\Recent *.*删除 RDP 日志
# 删除 RDP 日志记录
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp数据覆盖
删除文件后,通过Windows 自带的命令工具 cipher,对删除文件的数据空间进行数据覆盖,实现真正的文件删除操作.
假设删除了 d:\tool下的文件,我们可以执行以下命令
cipher /w:d:\tool这样就实现了真正的删除.
工具
除了上文提到了LSTAR,这里推荐一个自己使用的 日志清理插件:EventLogMaster