在Windows和Linux系统下隐藏痕迹的小技巧

在学习中记录的一些隐藏的小技巧，有新的知识再进行补充~

Windows：

禁止在登录界面显示新建的名为username的账号：

REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SpecialAccounts\UserList” /v username /T REG_DWORD /D 0

删除日志：

del %WINDIR%\*.log /a/s/q/f

或者通过打开运行，输入compmgmt.msc：

然后在系统工具>日志事件浏览中右键其中的一项，然后清除所有日志即可。

在Win7中还可以：

查看Security日志详细信息：

C:\Windows\system32>wevtutil gl security

清空SECURITY/SYSTEM/APPLICATION日志:

C:\Windows\system32>wevtutil cl security

C:\Windows\system32>wevtutil cl system

C:\Windows\system32>wevtutil cl application

Linux：

History：

命令使用历史保存在.bash_history文件和history命令的相关文件中。
删除history命令的记录：

history -c

可以看到该命令只删除了history命令的记录，并没有对.bash_history文件的记录清楚掉。

清空.bash_history文件：

echo '' > ~/.bash_history

可见，该命令只清除了.bash_history文件的内容，但没有清除history命令的记录。

因此要想都清除掉必须同时进行清除操作：

日志：

下面需要关注和修改的几个文件，但不会都存在。

auth.log / secure

last 命令可查看登陆系统成功的记录：

记录保存在/var/log/wtmp

清除：

echo ‘’ > /var/log/wtmp

lastb命令可查看登陆系统失败的记录：

记录保存在/var/log/btmp，注意一点的是这里关于登陆失败的记录是远程登陆而不是本地的。

以Kali中的日志为示范，一开始查看是没有远程登陆失败的信息的，接着我们先开启ssh服务，然后用其他主机对其进行ssh远程连接但是不输入正确的密码，之后查看到记录后再清除：

echo ‘’ > /var/log/btmp

lastlog / faillog