Windows 入侵痕迹清理

为避免入侵行为被发现，攻击者总是会通过各种方式来隐藏自己，比如：隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。

---

01、Windows日志清除

windows 日志路径：

系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx
安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx

日志在注册表的键：HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

windows 日志清除方式：

（1）最简单粗暴的方式，开始→运行,输入 eventvwr 进入事件查看器，右边栏选择清除日志。

（2）命令行一键清除Windows事件日志：

（a）PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"
（b）Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}

（3）利用脚本停