Windows:
1、禁止在登录界面显示新建账号
2、REG ADD "HKEY_LOCAL/-MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v username(需要隐藏的用户名) /T REG_DWORD /D 0
3、del %WINDIR%\*.LOG /a/s/q/f :删除windows目录下的所有日志文件
Linux:
History:历史命令行
history -c 进行清除
chattr +i .bash_history:赋予 .bash_history文件以i属性--不可写,需将文件删除,再创建一个新的文件
日志:/var/log/目录下
auth.log / secure
btmp / wtmp(以下四个文件必须通过命令显示)
lastlog / failog
其他日志和HIDS等
隐藏痕迹
• 禁止在登陆界面显示新建账号
• REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0
// 不在windos登陆界面显示某账号 但是会在net user 和图形化界面看到 网上有很多别的方法藏
• del %WINDIR%\*.log /a/s/q/f //强制安静地删除所有的log文件
• History //ls -l .bash_history 在这个文件下
history -c 清除记录
lsattr 用于查看属性 chattr用于改变属性 可以改属性让文件不能被修改
• 日志
• auth.log / secure //在/var/log/下 用于存放系统登录日志和身份认证的记录
• btmp / wtmp //用last命令查看 系统账号登录信息
• lastlog / faillog
• 其他日志和 HIDS 等
隐藏痕迹
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0
#禁止在登陆界面显示新建账号
del %WINDIR%\*.log /a/s/q/f
#静默删除日志
history -c #删除历史记录
linux中给文件加-i属性后无法操作
linux中日志
• auth.log / secure
• btmp / wtmp
• lastlog / faillog
• 其他日志和 HIDS 等
sysinternals suite
Dump SAM
fgdump
mimikatz
