admin 管理员组文章数量: 887007
Windows取证
基础
取证通常作为一个公司的事件响应调查人员或者司法调查的取证人员,通过调查被入侵的机器,将被入侵者的行为轨迹梳理出来,还原整个入侵的过程。对于入侵者而言,了解电子取证,可以更全面的了解到自己能够在系统中留下的痕迹,从而具有针对性的消除痕迹,而对于取证人员来说,电子取证无疑是了解整个入侵过程的关键。电子取证近年来也发展为了一个独立的学科,其中在安全竞赛中,电子取证也作为一部分考察内容,被纳入到杂项的大类中,也有只考察取证的竞赛。下面从技术层面介绍Windows取证的相关知识。
审查日志
windows操作系统事件日志
C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)
- 应用程序日志 App Event.Evtx(Application.evtx)
- 安全日志 SecEvent.Evtx
- 系统日志 SysEvent.Evtx
事件查看器
日志分析工具
微软官方的日志分析:https://wwwblogs/haoliansheng/p/4040208.html
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\11.evtx"
LogParser.exe -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|') as UserName,EXTRACT_TOKEN(Strings,5,'|') as ProcessName FROM c:\11.evtx where EventID=4688"
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-F89oqjP6-1648259564999)(]
3、管理账号登录
在创建管理账户后,尝试远程登录到目标主机,获取敏感信息。
mstsc /v 10.1.1.188
Windows日志分析:
在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如:
本文标签: Windows
版权声明:本文标题:Windows取证一 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1733400585h1585904.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论