# 默认位置:%SystemRoot%\System32\Winevt\Logs\System.evtx

# 默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx

# 默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p

开始→运⾏,输⼊ eventvwr 进⼊事件查看器，右边栏选择清除⽇志

# 方法一PowerShell -Command "& {Clear-Eventlog -Log 你要清理的日志(如Security)}"# 方法二Get-WinEvent -ListLog 你要清理的日志(如Security) -Force | % {Wevtutil.exe cl $_.Logname}

%SystemRoot%\System32\Winevt\Logs\

 # 查询要禁用的注册表reg query "HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog\"# 删除对应的注册表reg delete "HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog\System"  /f# 重启Windows Event Log（EventLog） 服务

# 进入cmd# 查询 wevtutil el所有系统日志(如要删除的日志名字清楚可以忽略此步骤)# 删除对应日志，以清空系统日志为例wevtutil cl system

wevtutil qe 你要清理的日志(如Security) /f:text /rd:true /c:删除行数(如10行)

# 1、删除Security下的单条日志(EventRecordID=2222)，并保存为tmp1.evtxwevtutil epl Security tmp1.evtx "/q:*[System [(EventRecordID!=2222)]]"# 2、结束日志进程(释放日志文件句柄)# 3、替换原日志文件# 4、重启日志服务

# 1、删除Security下的多条日志(EventRecordID为13030、13031和13032)，结果保存为tmp2.evtxwevtutil epl Security tmp2.evtx "/q:*[System [(EventRecordID>13032) or (EventRecordID<13030)]]"# 2、结束日志进程(释放日志文件句柄)# 3、替换原日志文件# 4、重启日志服务

# 1、删除SystemTime为2021-12-10T03:20:00至2021-12-10T03:21:00之间的日志，结果保存为1.evtxwevtutil epl Security 1.evtx "/q:*[System [TimeCreated[@SystemTime >'2021-12-10T03:21:00' or @SystemTime <'2021-12-10T03:20:00']]]"# 2、结束日志进程(释放日志文件句柄)# 3、替换原日志文件# 4、重启日志服务

# 进入Default.rdp所在路径cd %userprofile%\documents\# 使用attrib去掉Default.rdp文件的，系统文件属性(S)；隐藏文件属性(H)attrib Default.rdp -s -h# 删除del Default.rdp

# 查询远程连接在注册表中的键值reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default"# 删除对应的键值,如删除MRU0 "/v MRU0"reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /f /v MRU0

# 查询具体要删除的键值文件夹reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"# 确定要删除的文件夹进行删除reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server  Client\Servers\192.168.84.128" /f

# reg delete 参数说明reg delete <keyname> [{/v Valuename | /ve | /va}] [/f]<keyname1>指定要添加的子项或项的完整路径。/v <Valuename>删除子项下的特定项。如果未指定任何项，则将删除子项下的所有项和子项。/ve指定仅删除没有值的条目。/va删除指定子项下的所有条目。不会删除指定子项下的子项。/f删除现有的注册表子项或条目，而不要求确认。/?在命令提示符下显示帮助。

C:\Users\Administrator\AppData\Local\Microsoft\Windows\History

C:\Users\Administrator\Recent

cipher会分三次写入：第一次写入0x00，第二次写入0xff，最后一次写入随机数字

Linux清理登录记录以及Host记录方法隐藏远程ssh登录记录# 隐身登录系统，不会被w、who、last等指令检测到ssh -T [email protected]@host /bin/bash -i# 不记录ssh公钥在本地.ssh目录中ssh -o UserKnownHostsFile=/dev/null -T [email protected] /bin/bash –i

# 清空当前历史记录(只是清空缓存中的历史记录，伪删除)history -c# 将当前缓存中的历史记录写入文件(缓存中的记录是空的-用空的数据写入文件，将文件内容删除)history -w

# 设置当前shell内的命令不再记入日志中，命令会被记录到历史记录中，可以尝试在命令前添加空格让记录不被记录set +o history# 如果需要重新记入日志，可以设置-o参数set -o history

# 清除当前shell缓存命令记录，当前session之后的命令不会再记录，不会删除history⽂件中的记录。unset HISTORY HISTFILE HISTSAVE HISTZONE HISTLOG

删除指定命令记录方法# 筛选要删除的关键字history | grep "keyword"# 根据编号进行删除history -d num# 或者进行批量删除(只保留15行)sed -i '15,$d' .bash_history

# 将⽇志⽂件全部删除即将空字符写⼊⽇志⽂件，需要root权限，以下命令均可以实现：cat /dev/null > filename: > filename> filenameecho "" > filenameecho > filename

sed -i 's/要被取代的字符串/新的字符串/g' 目标文件

sed -i '/要删除的内容/'d 目标文件

# 1、将目标文件中带有关键字字样的记录删除，并保存为一个文件cat 目标文件| grep -v 关键字(带有关键字的记录删除) > 篡改后文件# 2、将伪造文件覆盖到目标文件上cat 篡改后文件 > 目标文件

shred -f -u -z -v -n 6 目标文件 参数说明：  -f, --force 必要时修改权限以使目标可写  -n, --iterations=N 覆盖N 次，而非使用默认的3 次  -u, --remove 覆盖后截断并删除文件  -v, --verbose 显示详细信息  -z, --zero 最后一次使用0 进行覆盖以隐藏覆盖动作

作者：CSDN博主「方寸明光」原文链接：https://blog.csdn.net/CoreNote/article/details/122071351