在控制面板中执行 Shutdown - m \pc name 命令后,它会在关机的 Windows PC 上创建一个事件日志。有没有办法绕过事件日志显示谁远程执行了该命令?
答案1
wevtutil cl可以清除特定事件日志。要在远程系统上使用它,您需要使用类似 PsExec 的工具。您还必须在shutdown发出命令和系统实际关闭之间的短暂时间窗口中清除日志。
但是,清除事件日志的行为会在系统日志中生成一个新事件。该事件会说明清除了哪个日志以及是谁清除的。当然,用户可能会像SYSTEM使用 PsExec 一样出现,但该事件肯定会引起任何观察者的注意。如果这种情况多次发生,我敢肯定目标机器的所有者会设置某种形式的审计来抓住你。
我实在想不出有什么好的理由这样做,尤其是考虑到你还会在这个过程中抹去可能很重要的日志。不要做任何你会后悔的事。