精华内容
下载资源
问答
  • linux 系统管理员.pdf 书籍

    热门讨论 2012-02-13 11:02:45
    9.4.2 如何利用tar恢复文件 246 9.5 多级备份 247 9.6 要备份什么 248 9.7 压缩备份 248 第10章 时间同步 250 10.1 时区概论 250 10.2 硬件及软件时钟 250 10.3 时间的显示与设置 251 10.4 时间有误怎么办 252 第三...
  • 这种分类方法不仅从理论上环环相扣,全面介绍数据库管理人员需要掌握的相关理论知识和工作技能,也从不同层次上体现了数据库管理员的工作内容及工作的要点和难点,能够科学地指导数据库管理员的日常工作。...
  • windows文件执行记录的获取与清除

    万次阅读 2020-12-29 15:58:56
    文章目录前言日志查看1. 进程创建记录2.Program Inventory Event Log3.Program-Telemetry Event Log4....对日志的删除需要在管理员权限下才可以,图形化界面查看日志的命令为eventvwr。 日志查看 1. 进

    前言

    本文主要介绍了如何利用命令行来获取或者清除文件执行记录等日志。对日志的删除需要在管理员权限下才可以,图形化界面查看日志的命令为eventvwr。

    日志查看

    1. 进程创建记录

    进程创建记录事件id一般为(592/4688),可以通过命令行的命令进行查看:

    wevtutil qe security /rd:true /f:text /q:"Event[System[(EventID=4688)]]"
    

    在这里插入图片描述

    2.Program Inventory Event Log

    主要用于记录软件活动摘要、安装的程序、安装的Internet Explorer加载项、更新的应用程序、已删除的应用程序,相关事件id如下:

    800 (summary of software activities)
    900 & 901 (new Internet Explorer add-on)
    903 & 904 (new application installation)
    905 (updated application)
    907 & 908 (removed application)

    查询命令:

    wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-Inventory
    

    3.Program-Telemetry Event Log

    在应用程序启动时为应用程序处理应用程序兼容性缓存请求,相关事件id:500/505

    wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-Telemetry
    

    在这里插入图片描述

    4.查询特定类别日志

    日志一共分五种:

    application
    security
    setup
    system
    forwarded events

    在这里插入图片描述

    #查询应用日志的方法

    wevtutil qe /f:text Application
    

    #查询应用日志的整体状态信息

    wevtutil gli Application
    

    日志删除

    1.删除全部的某类日志

    #删除全部的应用日志

    wevtutil gli Application
    wevtutil cl Application
    wevtutil gli Application
    

    在这里插入图片描述

    2.逐条删除日志

    2.1 导出Security

    #这条命令可以导出日志文件,下面的wevtutil epl命令也会导出,所以执行下面的命令的时候不用事先导出日志文件。

    wevtutil.exe epl Security 1.evtx
    

    2.2批量删除指定条目的日志

    #删除security下指定eventrecordID的日志记录

    wevtutil epl Security 1.evtx "/q:*[System [(EventRecordID>13032) or (EventRecordID<13030)]]"
    

    #删除指定systemtime区间的日志

    1.查询最新的一条日志的事件

    wevtutil.exe qe Security /f:xml /rd:true /c:1
    

    在这里插入图片描述

    wevtutil.exe qe Security /f:text /rd:true /c:1
    

    在这里插入图片描述

    发现一个是早晨9.09,一个是下午的17.09。我们删除这两个时间段之间的所有日志,并将结果保存为1.evtx:

    wevtutil epl Security 1.evtx "/q:*[System [TimeCreated[@SystemTime >'2020-12-28T09:09:35' or @SystemTime <'2020-12-28T17:09:35']]]"
    

    2.3 还原evtx文件

    没找到方案。

    绕过windows的日志记录功能

    绕过原理:
    Windows日志对应于eventlog服务,找到该服务对应的进程svchost.exe,进而筛选出svchost.exe进程中具体实现日志功能的线程,调用TerminateThread结束线程,破坏日志记录功能,实现日志功能的线程都有个共同点,那就是调用了wevtsvc.dll。

    工具实现:
    Invoke-Phant0m

    执行命令Invoke-Phant0m即可:

    powershell -exec bypass "Import-Module C:\Users\test\Desktop\Invoke-Phant0m.ps1;Invoke-Phant0m"
    

    在这里插入图片描述
    恢复net start eventlog

    参考文章

    windows取证——文件执行记录的获取和清除
    渗透技巧——Windows单条日志的删除
    渗透技巧——Windows日志的删除与绕过

    展开全文
  • 为了确保创建安全的环境,Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回答这些问题。 AccessEnum 这一简单...
  • vss如何使用(图解)

    热门讨论 2011-04-25 15:10:48
    你还必须确定是要删除文件,但使其能够恢复,还是永久性地破坏它。 VSS中有以下三种途径可以实现从数据库中移走文件。 3.3.3.9.1删除(delete) 将文件从项目中移走。该文件仍然存在于你的VSS数据库和其它共享该...
  • LINUX系统管理白皮书

    2011-10-21 18:37:45
    9.4.2 如何利用tar恢复文件 246 9.5 多级备份 247 9.6 要备份什么 248 9.7 压缩备份 248 第10章 时间同步 250 10.1 时区概论 250 10.2 硬件及软件时钟 250 10.3 时间的显示与设置 251 10.4 时间有误怎么办 252 第三...
  • Linux系统管理白皮书

    2008-11-20 14:22:26
    9.4.2 如何利用tar恢复文件 246 9.5 多级备份 247 9.6 要备份什么 248 9.7 压缩备份 248 第10章 时间同步 250 10.1 时区概论 250 10.2 硬件及软件时钟 250 10.3 时间的显示与设置 251 10.4 时间有误怎么办 252 第三...
  • 9.4.2 如何利用tar恢复文件 246 9.5 多级备份 247 9.6 要备份什么 248 9.7 压缩备份 248 第10章 时间同步 250 10.1 时区概论 250 10.2 硬件及软件时钟 250 10.3 时间的显示与设置 251 10.4 时间有误怎么办 252 第三...
  • Sam R.Alapati是世界顶尖的Oracle技术专家,一位经验丰富的数据库管理员,有20多年从业经历。他拥有Oracle OCP DBA证书和HP UNIX System Administrator证书,曾经担任Oracle公司的高级顾问,并在AT&T、雷曼兄弟、...
  • linux系统管理大全

    热门讨论 2008-07-01 13:18:37
    其他问题 176 19.1 PLIP的空打印机电缆 176 19.2 示范smail配置文件 176 第二部分 Linux系统管理员指南 作者简介 本书简介 前言 第1章 Linux系统综述 189 1.1 操作系统的各个组件 189 ...
  • 可添加简历模板文件,让应聘者根据您的要求填写简历,同时支持在线应聘功能,让应聘者直接通过网站发送简历,企业管理员可在后台查看应聘信息。 7、FLASH图片模块:可在线添加修改首页的Flash图片信息,如图片,...
  • 授予管理员 DCOM 远程启动权限 33 使用 Citrix XenApp Advanced Configuration 33 使用 Advanced Configuration 进行远程监视时节省带宽 33 配置 Advanced Configuration 以便于屏幕阅读程序访问 33 管理 Citrix ...
  • E1 N, f& V* e4 p3 S首先,也是最重要的一点,就是你必须有安装活动目录的管理员权限,否则无法安装。' E/ P8 R' x% B$ f( q7 h5 i 3 ^7 w8 h% q+ a) v" n$ D0 K; C在安装活动目录之前,要确保计算机满足基本系统...
  • 2、新增“签到状态申辩”和处理申辩的功能,现在您可以向管理员提出有异议的签到记录并且要求管理员修正你的签到记录了。 3、增强了请假审批功能,现在您可以为各部门分别自定义请假审批流程了 4、新加入节假日...
  • 20.8 不要把FILE、PROCESS 或 SUPER权限授予管理员以外的帐号: 86 20.9 load data local带来的安全问题: 87 20.10 尽量避免通过symlinks访问表: 88 20.11 使用merge存储引擎潜藏的安全漏洞: 88 20.12 防止DNS...
  • Alapati 世界顶尖的Oracle技术专家,一位经验丰富的数据库管理员,有20多年从业经历。他拥有Oracle OCP DBA证书和HP-UX CSA证书,曾经担任Oracle公司的高级顾问,并在AT&T、雷曼兄弟、NBC等世界顶级公司担任DBA。...
  •  《循序渐进oracle:数据库管理、优化与备份恢复》从基础知识入手,详细讨论了oracle数据库的创建、从oem到grid control、oracle的字符集、用户的创建与管理、表空间和数据文件、自动存储管理(asm)、临时表空间和...
  • 千里马酒店前台管理系统V7使用手册

    热门讨论 2011-06-16 14:09:38
    通常此工作由数据库管理员完成,操作步骤参见SQL Server的使手说明书。 2.4.3 软件启动 运行“开始-程序-千里马-前台管理”。 第一次运行会自动弹出程序设置窗口,以后需更改设置,可先按“CTRL”键不放手,然后...
  • Ubuntu权威指南(2/2)

    2010-12-05 09:01:53
    5.6 删除文件 118 5.7 显示当前工作目录 119 5.8 改换目录 119 5.9 创建目录 121 5.10 移动目录 121 5.11 复制目录 121 5.12 删除目录 122 5.13 比较文件之间的差别 123 5.13.1 使用diff命令比较两个 ??文件 123 ...
  • Ubuntu权威指南(1/2)

    2010-12-05 08:57:03
    5.6 删除文件 118 5.7 显示当前工作目录 119 5.8 改换目录 119 5.9 创建目录 121 5.10 移动目录 121 5.11 复制目录 121 5.12 删除目录 122 5.13 比较文件之间的差别 123 5.13.1 使用diff命令比较两个 ??文件 123 ...
  • 目标 2-2 数据库管理工具 2-3 Oracle 通用安装程序 2-4 交互式安装 2-5 使用反应文件的非交互式安装 2-6 Oracle 数据库配置助手 2-8 最优灵活体系结构(OFA) 2-9 Oracle 软件和文件位置 2-10 数据库管理员用户 ...
  • 通过作者历时3年的写作,本书介绍了Oracle的安装及卸载、数据库的启动关闭、表空间和数据文件管理、Oracle网络管理、口令文件管理、内存管理、进程管理、用户管理、数据的导入导出、备份与恢复、模式对象的管理...
  • 通过作者历时3年的写作,本书介绍了Oracle的安装及卸载、数据库的启动关闭、表空间和数据文件管理、Oracle网络管理、口令文件管理、内存管理、进程管理、用户管理、数据的导入导出、备份与恢复、模式对象的管理...
  • C#编程经验技巧宝典

    热门讨论 2008-06-01 08:59:33
    111 <br>0184 如何在ASP.NET中获取文件的扩展名 111 <br>0185 如何在ASP.NET中用URL在页面之间传值 112 <br>0186 如何使用IsPostBack实现ASP.NET页面加载 112 <br>0187 如何利用输出缓存技术缓存...
  • windowsnt 技术内幕

    2014-04-09 20:47:17
    Domain Admins(域管理员)组的详细说明 赋予拨号进入权限 理解用户配置文件(User Profile) 为Windows用户创建并使用登录脚本文件(Logon Script) 创建漫游式用户配置文件(Roaming User Profile) 创建强制性用户配置...
  • rar压缩软件.rar

    2016-02-13 10:52:44
    d 从压缩文件中删除文件。请注意,如果这个命令导致压缩文件中所有文件 全部删除,这个空的压缩文件将被删除。 e 不带压缩路径解压文件。 解压的文件不包括它们的路径部分,因此所有文件都创建到同一个目标...

空空如也

空空如也

1 2 3 4 5 ... 7
收藏数 139
精华内容 55
关键字:

如何利用管理员权限删除文件