【Day28】清除轨迹 ─ Windows篇(二)

哈罗～
昨天我们介绍了Windows Event log，
今天要来试试看怎麽清除Windows的log罗～

最暴力、最简单的方式就是打开我们昨天的事件检视器，
然後点选右侧的「清除纪录档」。

使用wevtutil清除Windows Event logs

可让您撷取事件记录档和发行者的相关资讯。 您也可以使用此命令来安装和解除安装事件资讯清单、执行查询以及汇出、封存和清除记录档。

以系统管理员身分进入命令提示字元(cmd)，可查看特定类型的纪录。

wevtutil.exe gli [要取得的记录档类型]

也可以透过wevtutil指令来删除指定类型的纪录。

wevtutil.exe cl [要删除的记录档类型]

透过以下command可以直接删除Windows所有纪录。

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

使用PowerShell删除Windows Event logs

PowerShell 是新式的命令 shell，包含其他常用 shell 的最佳功能。 不同于大部分仅接受并传回文字的 shell，PowerShell 会接受并传回 .NET 物件。

透过Get-EventLog选得所有的纪录类型( -LogName * )，并一次删除所有Windows纪录。

Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

之後就会看到事件检视器的Log，都被清光光啦～

小结

今天我们利用Windows内建的 PowerShell 与 命令提示字元(cmd) 来清除日志，
除了删除本机日志外，攻击者也会试图清除存在於网路上的轨迹，
如删除保存的session、退出时清除cookie、清除暂存、清除Cache等。

走罗！高歌离席～