iT邦幫忙

2021 iThome 鐵人賽

DAY 28
0
Security

資安由淺入深系列 第 28

【Day28】清除軌跡 ─ Windows篇(二)

哈囉~
昨天我們介紹了Windows Event log,
今天要來試試看怎麼清除Windows的log囉~/images/emoticon/emoticon35.gif

最暴力、最簡單的方式就是打開我們昨天的事件檢視器,
然後點選右側的「清除紀錄檔」。


使用wevtutil清除Windows Event logs

可讓您擷取事件記錄檔和發行者的相關資訊。 您也可以使用此命令來安裝和解除安裝事件資訊清單、執行查詢以及匯出、封存和清除記錄檔。

以系統管理員身分進入命令提示字元(cmd),可查看特定類型的紀錄

wevtutil.exe gli [要取得的記錄檔類型]

也可以透過wevtutil指令來刪除指定類型的紀錄

wevtutil.exe cl [要刪除的記錄檔類型]

透過以下command可以直接刪除Windows所有紀錄。

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"


使用PowerShell刪除Windows Event logs

PowerShell 是新式的命令 shell,包含其他常用 shell 的最佳功能。 不同于大部分僅接受並傳回文字的 shell,PowerShell 會接受並傳回 .NET 物件。

透過Get-EventLog選得所有的紀錄類型( -LogName * ),並一次刪除所有Windows紀錄。

Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }


之後就會看到事件檢視器的Log,都被清光光啦~


小結

今天我們利用Windows內建的 PowerShell 與 命令提示字元(cmd) 來清除日誌,
除了刪除本機日誌外,攻擊者也會試圖清除存在於網路上的軌跡
如刪除保存的session、退出時清除cookie、清除暫存、清除Cache等。

走囉!高歌離席~/images/emoticon/emoticon29.gif


上一篇
【Day27】清除軌跡 ─ Windows篇
下一篇
【Day29】清除軌跡 ─ Linux篇
系列文
資安由淺入深30

1 則留言

0
juck30808
iT邦新手 3 級 ‧ 2021-10-14 12:10:42

恭喜即將邁入完賽~/images/emoticon/emoticon08.gif

我要留言

立即登入留言