Мануал/Книга Удаление логов на windows дедике

[Benihowy]

Ну ты и тип =) Личная система должна быть полностью зашифрована. Доверять кому то не стоит, держа личные данные на удалённом сервере, а потом пытаясь зачищать логи. Виртуалки на своём компьютере можно поднять, зашифровать. Хочешь hyper-v шифруй, чем пользовался, о том говорю.

Ну так создайте виртуалку, установите ОС, зашифруйте и зайдите в нее. Потом сделайте снапшот. Поработайте и почистите все логи, а через время восстановите снапшот, и что произойдет в таком случаи?

 

[Stanford]

Ну так создайте виртуалку, установите ОС, зашифруйте и зайдите в нее. Потом сделайте снапшот. Поработайте и почистите все логи, а через время восстановите снапшот, и что произойдет в таком случаи?

Не пользуюсь снэпшотами. В любом случае на зашифрованной системе не имеет значение какие логи хранятся, доступ только у меня. Шифрование придумали, чтобы не волноваться за снэпшоты или логи. Зачем мне затирать логи на зашифрованной системе?

 

[Stanford]

Обфускации чего?

Он имеет ввиду затирание файлов перед удалением, удаление в несколько проходов, иначе все эти удалённые логи очень легко восстановить. Конечно зависит от того какой диск, сколько времени прошло после удаления. В общем удаление здесь описанное не сильно затруднит структурам восстановить данные, а вот удаление логов само по себе будет считаться сокрытием улик =)

 

[bratva]

Не пользуюсь снэпшотами. В любом случае на зашифрованной системе не имеет значение какие логи хранятся, доступ только у меня. Шифрование придумали, чтобы не волноваться за снэпшоты или логи. Зачем мне затирать логи на зашифрованной системе?

В определенных жизненных ситуациях лучше не иметь ничего явно зашифрованного в радиусе 100 метров. Для расшифровки не нужно даже пароли к ключам вспоминать - иногда достаточно незнакомому дяде повысить голос, что подтолкнет на мысль о скором насилии, чтобы большинство из нас расшифровало все из головы на чистый листочек обычной шариковой ручкой и поставили подпись в конце.

Отсюда логи затираются как правило для того, чтобы не дать причины этому незнакомому дяде повысить голос (или как минимум - повысить голос на вас).

 

[Benihowy]

Не пользуюсь снэпшотами. В любом случае на зашифрованной системе не имеет значение какие логи хранятся, доступ только у меня. Шифрование придумали, чтобы не волноваться за снэпшоты или логи. Зачем мне затирать логи на зашифрованной системе?

Мда, нужно объяснить каждому. Дедик представляет из себя виртуалку, к которой дают доступ юзеру.

 

[Stanford]

Для расшифровки не нужно даже пароли к ключам вспоминать

Это важный этап, шифрование. Ты никогда не успеешь затереть данные, не забыв какие то метаданные. После шифрования идёт пароль nuke на примере kali, который отлично затирает основной пароль, чтобы даже при верном пароле, никакой дядя вася не смог получить доступ к данным.

Дедик представляет из себя виртуалку, к которой дают доступ юзеру

Доверять свои данные непонятному удалённому серверу, в жизни не стану.

 

[Benihowy]

Доверять свои данные непонятному удалённому серверу, в жизни не стану.

Всем плевать на то кому вы доверяете свои данные. В теме речь не идет об этом.

 

[Stanford]

Всем плевать на то кому вы доверяете свои данные. В теме речь не идет об этом.

В теме туфта. Восстановить можно.

 

[peregrett]

Отсутствует чистка реестра.
Отсутствует чистка логов отдельных программ.
Отсутствует чистка кукисов браузера и всякая прочая белиберда.

:start
cmdow @ /HID

wevtutil.exe cl Application
wevtutil.exe cl Security
wevtutil.exe cl Setup
wevtutil.exe cl System
wevtutil.exe cl ForwardedEvents
%WINDIR%\system32\rundll32.exe

FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo Event Logs have been cleared!
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
echo You must run this script as an Administrator!
echo.
:theEnd


rd /s /q %systemdrive%\$RECYCLE.BIN

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h


DEL /S /Q /A c:\*.log
DEL /S /Q /A c:\*.tmp
DEL /F /S /Q /A "%USERPROFILE%\Roaming\Macromedia\*"
DEL /F /S /Q /A "%USERPROFILE%\Roaming\Adobe\*"
DEL /F /S /Q /A "C:\Windows\Temp\*"
DEL /F /S /Q /A "C:\Temp\*"
DEL /F /S /Q /A "%USERPROFILE%\AppData\Local\Temp\*"
cd %USERPROFILE%\AppData\Local\Temp
rmdir /s /q %USERPROFILE%\AppData\Local\Temp
pushd %TEMP% && rd /s /q . > nul 2>&1
pushd %WinDir%\TEMP && rd /s /q . > nul 2>&1
pushd %TMP% && rd /s /q . > nul 2>&1
pushd %WinDir%\TMP && rd /s /q . > nul 2>&1
pushd %TEMP% && rd /s /q . > nul 2>&1
pushd %WinDir%\Temp && rd /s /q . > nul 2>&1
pushd %TMP% && rd /s /q . > nul 2>&1
pushd %WinDir%\tmp && rd /s /q . > nul 2>&1
pushd "%USERPROFILE%\Local Settings\Application Data\Temp" && rd /s /q . > nul 2>&1
pushd "%USERPROFILE%\AppData\Roaming\Adobe\" && rd /s /q . > nul 2>&1
pushd "%USERPROFILE%\Local Settings\Temporary Internet Files\" && rd /s /q . > nul 2>&1
pushd "%USERPROFILE%\Local Settings\History" && rd /s /q . > nul 2>&1
pushd %USERPROFILE%\Cookies && rd /s /q . > nul 2>&1
pushd "%USERPROFILE%\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\" && rd /s /q . > nul 2>&1

pushd %USERPROFILE%\Application Data\Microsoft\CryptNetURLCache\Content\ && rd /s /q . > nul 2>&1
pushd %USERPROFILE%\Application Data\Microsoft\CryptNetURLCache\MetaData\ && rd /s /q . > nul 2>&1
pushd %USERPROFILE%\Local Settings\Application Data\IconCache.db && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\All Users\Application Data\Temp\" && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\Default User\Cookies\" && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\Default User\Local Settings\Temp\" && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\" && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\LocalService\Cookies\" && rd /s /q . > nul 2>&1
pushd "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\" && rd /s /q . > nul 2>&1


pushd "c:\Program Files\Light\myprofile\jumpListCache\" && rd /s /q . > nul 2>&1
pushd "c:\Program Files\Light\myprofile\thumbnails\" && rd /s /q . > nul 2>&1
pushd "c:\Program Files\Light\myprofile\cache2\entries\" && rd /s /q . > nul 2>&1
DEL /S /Q /A "c:\Program Files\Light\*.sqlite"
DEL /S /Q /A "c:\Program Files\Light\*.txt"

DEL /F /S /Q /A "%USERPROFILE%\AppData\Roaming\Download Master\temp\*"
DEL /F /S /Q /A "%USERPROFILE%\AppData\Roaming\Download Master\logs\*"

Некоторые файлы в папаке "c:\Program Files\" должны быть заменены либо удалены.
Скопировать в батник и запускать при необходимости.

+ склинер и всё

 

[joe_halisi]

это очевидно, но все равно здорово, спасибо, что поделились!