windows日志痕迹清除

Windows日志清除

获取日志分类列表：

wevtutil el >1.txt
获取单个日志类别的统计信息：eg.

wevtutil gli "windows powershell
回显：

creationTime: 2016-11-28T06:01:37.986Z
lastAccessTime: 2016-11-28T06:01:37.986Z
lastWriteTime: 2017-08-08T08:01:20.979Z
fileSize: 1118208
attributes: 32
numberOfLogRecords: 1228
oldestRecordNumber: 1
查看指定日志的具体内容：

wevtutil qe /f:text "windows powershell"
删除单个日志类别的所有信息：

wevtutil cl "windows powershell"

破坏Windows日志记录功能

利用工具

Invoke-Phant0m

Windwos-EventLog-Bypass

msf
run clearlogs
clearev
3389登陆记录清除
@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit