在控制台中執行 Shutdown - m \pc name 指令後,它會在 Shutdown 的 Windows PC 上建立一個事件日誌。有沒有辦法繞過事件日誌來顯示誰遠端執行了命令?
答案1
wevtutil cl可以清除特定的事件日誌。要在遠端系統上使用它,您需要使用 PsExec 之類的東西。您還必須在shutdown發出命令和系統實際關閉之間的小時間視窗內清除日誌。
但是,清除事件日誌的操作會在系統日誌中產生新事件。該事件說明了哪個日誌被清除以及是誰執行的。當然,用戶可能會表現得好像SYSTEM您正在使用 PsExec,但該事件肯定會引起任何觀眾的驚訝。如果這種情況發生多次,我確信目標電腦的所有者會設置某種形式的審核來抓住你。
我無法想像有什麼好的理由這樣做,特別是考慮到您還將在過程中刪除可能重要的日誌。不要做任何會讓你後悔的事。