痕迹清理，是清理自己在目标机器上留下的所有操作痕迹。其主要目的是

每一项渗透动作都有其目的，我们都需要思考其是否真正的有必要，并不是每一次渗透均需要进行痕迹清理的动作。

痕迹清理的限制

痕迹清理的技术要点

痕迹清理的步骤

1、清理的必要性主要区间与你的目的。

2、需要清理哪些内容需要根据你的攻击路径来判断，也就是说你整个攻击路径中哪些会留下痕迹，我们需要清楚，我们的清理工作也真实针对这些痕迹进行操作。

3、痕迹清理相对主要简单，在你明确了需要清理哪些痕迹后，只要寻找对应的清理方法即可，下文总结常用的痕迹清理方法。

Windows的日志文件分为3类核心日志，分别是系统日志，程序日志，和安全日志

系统日志(SysEvent)：记录操作系统产生的事件，如设备驱动无法正常启动或停止，系统进程崩溃等

程序日志(AppEvent)：包含操作应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息。

**安全日志(SecEvent)😗*包含安全性相关的事件。e.g.用户权限变更，登录及注销，文件/文件夹访问等信息。

1、系统内置3个核心日志文件（System、Security、Application）;默认大小均20MB,数据超过20MB，默认系统将优先覆盖过期日志记录。应用程序、服务日志默认最大1024KB，超过最大限制也优先覆盖过期的日志记录

2、其他系统服务的日志也都储存在%SystemRoot%\System32\Winevt\Logs\下

操作系统日志记录大致流程

1、svhost启动EventLog开始记录日志

2、EventLog将操作记录先缓存为一段内存内容

3、Wevtutil将内存内容解析为xml并且通过gui界面可视化的展现给用户

其中svhost，EventLog，Wevtutil具体功能说明如下；

svchost

svchost主要是用来实现服务进程数据共享,以此来减少系统资源消耗,很多系统程序和服务使用svchost运行。

windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot%system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向svchost，由svchost调用相应服务的动态链接库来启动服务。

Event Log

Event Log主要是管理windows管理事件和事件日志。它支持日志记录事件、查询事件、订阅事件、归档事件日志以及管理事件元数据。它可以用 XML 和纯文本两种格式显示事件。 EventLog的启动需要依赖于svchost，启动示例如下；

wevtutil

检索有关事件日志和发布服务器的信息。 此外，还可以使用此命令来安装和卸载事件清单，运行查询，以及导出、存档和清除日志。详细可以参考微软官方介绍。

Windows日志清理主要分为全量清理和定向清理，全量清理其动作较大容易被发现，定向清理相对比较隐蔽

开始→运⾏,输⼊ eventvwr 进⼊事件查看器，右边栏选择清除⽇志

这里需要注意日志清理因为本身也是系统事件所以也会被记录，这也就是不存在完美的日志清理

1、停止Windows Event Log（EventLog） 服务

2、删除对应的文件

%SystemRoot%\System32\Winevt\Logs\

3、永久停用方法

进入meterpreter后直接执行clearev