一、日志文件與日志注冊表
系統日志:
%SystemRoot%\System32\Winevt\Logs\System.evtx
安全日志:
%SystemRoot%\System32\Winevt\Logs\Security.evtx
應用程序日志:
%SystemRoot%\System32\Winevt\Logs\Application.evtx
日志在注冊表的鍵:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
二、日志文件的全面清理
1、手動:事件查看器---刪除
2、命令行:
cmd:
wevtutil el 列出系統中所有日志名稱
wevtutil cl system 清理系統日志
wevtutil cl application 清理應用程序日志
wevtutil cl security 清理安全日志
powershell:
PowerShell -Command "&{Clear-Eventlog -Log Application,System,Security}"
Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
msf:
meterpreter> clearev
三、最近文件的清理
1.方法1: del /f/s/q "%userprofile%\Recent*.*"
2.方法2:C:\Users\Administrator\Recent
四、文件的覆寫刪除
cipher /w:D:\test
format D: /p:20
五、停止日志記錄
1.基於powershell
https://github.com/hlldz/Phant0m
2.基於c
https://github.com/QAX-A-Team/EventCleaner