一、日志文件与日志注册表
系统日志:
%SystemRoot%\System32\Winevt\Logs\System.evtx
安全日志:
%SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志:
%SystemRoot%\System32\Winevt\Logs\Application.evtx
日志在注册表的键:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
二、日志文件的全面清理
1、手动:事件查看器---删除
2、命令行:
cmd:
wevtutil el 列出系统中所有日志名称
wevtutil cl system 清理系统日志
wevtutil cl application 清理应用程序日志
wevtutil cl security 清理安全日志
powershell:
PowerShell -Command "&{Clear-Eventlog -Log Application,System,Security}"
Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
msf:
meterpreter> clearev
三、最近文件的清理
1.方法1: del /f/s/q "%userprofile%\Recent*.*"
2.方法2:C:\Users\Administrator\Recent
四、文件的覆写删除
cipher /w:D:\test
format D: /p:20
五、停止日志记录
1.基于powershell
https://github.com/hlldz/Phant0m
2.基于c
https://github.com/QAX-A-Team/EventCleaner