Cuando ya se obtenido acceso al sistema con los privilegios pertinentes, es factible limpiar o borrar los archivos donde ser registran los diversos eventos del sistema, o mejor conocidos como “Archivos Logs”. El propósito de este procedimiento es ocultar las acciones realizadas durante el ingreso al sistema o acciones posteriores.

Los archivos de registros de eventos (log files) registran los diversos eventos suscitados en el sistema, como cuando un usuario hace “login” en la computadora, o como cuando un programa encuentra un error. Sea cual fuere los tipos de eventos, Windows registra el evento en un registro de eventos que puede ser leído. Esta información puede incluir, eventos de aplicaciones (programas), eventos relacionados a la seguridad, eventos de configuración, eventos del sistema, entre otros. Los archivos también pueden ayudar a identificar y diagnosticar el origen de los problemas en Windows u otro programas.

WevUtil es una utilidad en línea de comando la cual permite obtener información sobre los registros de eventos y publicadores. También se puede utilizar este comando para instalar y desinstalar manifiestos de eventos, ejecutar consultas, y para exportar, archivar, y limpiar registros (logs).

Para el siguiente ejemplo ya se tiene acceso shell en un Sistema Windows 7 con los privilegios del usuario Administrador.

Para visualizar mejor el ejercicio se procede a abrir el Visor de Eventos en el Sistema Windows 7.

Para limpiar solo un registro de evento específico, se debe en primera instancia conocer su nombre. La opción “el” muestra el nombre de todos los registros.

C:\> wevtutil el

Debido a la extensión del listado resultante, se utilizan comandos windows para copiar el listado hacia un archivo, para luego buscar todas las ocurrencias de la palabra “security” dentro de este archivo.

C:\> wevtutil el > logs.txt
C:\> type logs.txt | find /i "security"

Se utiliza la opción “gl” para mostrar la información de configuración para el log especificado, lo cual incluye si el log está habilitado o no, el límite máximo correspondiente al tamaño del archivo log, y la ruta al archivo donde se almacena el log.

C:\> wevtutil gl Security

La opción “gli” muestra información sobre el estado de un archivo de registro o registro de evento.

C:\> wevtutil gli Security

Identificado el nombre del archivo de registro (log), se procede a realizar la clásica limpieza de la totalidad del archivo log de nombre “Security”. Aunque puede ser seleccionado cualquiera de los archivos de registros de eventos.

C:\> wevtutil cl Security

Al visualizar nuevamente el contenido del archivo log "Security" con el Visor de Eventos de Windows 7, se registra solo la existencia de un único evento.

wevtutil proporciona diversas opciones, las cuales permiten modificar la configuración de archivos logs específicos, archivar un archivo de registro (log) específico, exportar los eventos desde un registro de eventos, entre otras opciones

Se debe tener en consideración sobre esta acción de limpieza, que no se realizado un borrado seguro o sanitización de la zona donde residía este archivo. De esta manera sería factible la recuperación de parte o la totalidad del archivo, y consecuentemente de los eventos contenidos en este.

Fuentes:

http://windows.microsoft.com/en-us/windows/what-information-event-logs-e...
http://winaero.com/blog/how-to-clear-the-windows-event-log-from-the-comm...
http://technet.microsoft.com/en-us/library/cc722318.aspx