前言

相信各个师傅都收到了消息，今年的护网将是常态化护网，周期非常的长。在这几天，已经有各大厂商开始陆续的收集简历了吧，相信以护网的薪酬，大家都想分一杯羹。那么我们学会应急响应是必不可少的！让我们也马上卷起来吧！

引用文献

应急响应篇之Windows日志分析_哔哩哔哩_bilibili

正式开始

学习准备：分析日志前期准备

安全日志是什么？

安全日志(Security.evtx)：登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。

分析日志前置条件，每次分析前务必打开！！！

将这些策略全部打开！！！

知识点一：日志是否被清除过？

日志清除记录：事件ID-1102

如果攻击者清除了日志信息，那么事件ID-1102就可以进行记录。

你看我现在很多的日志，我点击右侧的清理日志会怎样？

噢，日志记录就会被清理，也就无法进行正常的排查。

所以当我们每次进行应急响应前，首先要检查日志有没有被删除过，如果没有再继续进行下一步。

如果日志被清理的话，就要换另外的一种应急响应方式了~

扩展：

在日志事件中，执行日志清除动作的是system权限的账户，这肯定是有问题的。

因为正常情况下普通用户是没有权限去清除日志的，除非绕过了UAC的普通账户，又或者是system权限的账户

当然，还可能是因为日志满了，所以被覆盖了，可以通过这里来调整日志记录的大小

知识点二：出站入站连接记录：事件ID-5156、5158

5156：代表出战入站连接日志，本机访问了哪些端口和ip以及哪些ip和端口访问了你，都会被记录。这个事件表示Windows系统允许了一个网络连接。它帮助安全人员了解哪些网络流量是被允许的，从而能够监控和识别任何异常或未经授权的网络活动。

这个事件对应到了一些常见的问题，攻击的ip是什么？攻击者的对外ping了多少次？

都可以靠这个事件来解决

我作为一个攻击者，已经控制了这台机器，为了测试它的联通性我在ping我的地址。

蓝队视角：

我发现我的电脑，服务器不正常了，我要看看网络日志，看看有没有奇怪的操作。那么我就看5156事件

哦豁有6条日志，我点开看看

然后我们一查这个IP，欸嘿不对劲，那么我们是不是就排查出问题了~

或者有人使用了远程登录

那么我们就可以在这个窗口使用Ctrl+F，搜索3389

注意这里的进程ID不代表是事件ID噢，要区分！！！

如果是以木马文件为连接的话，还可以看到木马文件的所在地噢

5185：这个事件表示Windows系统允许了一个应用程序或服务绑定到网络上的某个端口。它有助于安全人员确保只有合法的应用程序和服务才能访问网络资源，从而维护系统的安全性。

总结

想要该事件的ID日志，三要素（三个中有一个都可以进行快速的锁定）：

1.恶意进程名

2.恶意IP

3.攻击者的入侵时间

知识点二：账户管理记录：事件ID-4720、4726|SAM事件4656

4720可以查看创建的用户，即使是隐藏用户都可以查看到。

4726则是可以查看到被删除的用户。该事件日志中还可以查看该任务的发起者。

4656则是记录若权限不足，则会被该事件记录下来，但是需要注意的是该事件不会是4720，而是4656.因为只有对SAM有更改权限才能对用户进行创建。无论是创建成功还是失败，都会触发SAM的请求句柄事件。

例如：

这里我创建了一个用户，并添加到了管理者的组中

那么我们一查4720

就可以看到一个相信的信息。

主要应对攻击者创建用户后删除用户的事件。

适用的范围有：

1.攻击者在攻击时间范围内创建了什么账户

2.攻击者创建用户的时间

3.攻击者在什么时候第一次远程登录了恶意账户通过日志：5156

分析3389、445、5985、5986端口

知识点三：安全组管理记录：事件ID-4732、4733

4732中可以查看攻击者将创建的用户加入到了哪个用户组中，上面的步骤我们将用户移动到了管理组中

4733则是查看用户从哪个组中移除了

适用的范围有：

在什么时候mirage账号具备远程登录权限？

值得注意的是：首先远程登录需要在远程登录用户组里，或者这个账号是管理员权限。普通账号是没有远程登录的。

知识点四：用户登录成功与失败记录：事件ID-4624、4625、4634

4624查看用户什么时候登录了

4625查看用户什么时候登录失败了

4634查看用户什么时候注销了

4624事件，像这种使用3389登录的，登录成功后就会在日志上进行一个记录

我们就可以筛选，4624事件，登录类型为7的日志，就是别人使用3389端口登录我们服务器的次数了~而4625就刚好记录的是别人登录失败的次数。值得注意的是，只要是登录就会被4624 4625进行记录，并不是专指3389的登录。

适用范围：

知道别人登录了我们的服务器多少次

服务器遭受了多少次的爆破

知识点五：凭证验证及特殊登录记录：事件ID-4776、4672

凭证验证是指，当你要去访问目标主机的FTP、Samba、RDP服务的时候，目标主机就会发起验证请求，要求你输入凭证（指用户名和密码）。例如以下就是一次smb的登录过程，日志会详细的记录登录者的工作站、登录账户信息。

事件ID 4776记录了NTLM身份验证时计算机验证帐户凭据的尝试，包括成功和失败的情况。

事件ID 4672代表了“被授予特殊权限的用户登录”，这是一个重要的安全日志事件。

知识点六：计划任务事件ID-4698、4699、4700、4701、4702

计划任务创建4698

计划任务删除4699

已经启用的计划任务4700

已经禁用的计划任务4701

计划任务已经更新的4702

例如：

这里我创建了一个计划任务

这里就会有详细的信息~

知识点七：进程创建及终止记录：事件ID-4688、4689

要记录该日志，需要编辑完毕本地审计策略后重启计算机，重启后便可以记录每一个被启动的进程日志，包括软件进程。那么就可以根据是否有运行WINWORD.EXE来判断

4688事件，比如黑客在桌面上放置的了一个进程木马。

从这里可以看出，攻击者是从桌面创建的这个进程，那么说明攻击者的方式可能就是远程登录连接，通过桌面就可以连接了。

那么如果是cmd或者PowerShell那么就应该是通过木马病毒、CS、蚂剑、等工具进行连接。

扩展：

1.挖矿什么时候进行的

2.勒索病毒什么时候开始运行的

总结

还有许许多多的事件并未提及，希望大家有条件可以自己去搜搜，熟练的使用这些事件能让你的应急响应能力得到巨大的提升，最后祝大家天天开心、快快乐乐~

免责声明

• 本文所包含的内容仅用于教育和研究目的，旨在提高信息安全意识，帮助用户了解网络安全防护的重要性。

• 文章中提及的任何渗透测试技巧、工具或方法，仅供合法授权的安全研究和测试使用。在进行任何渗透测试或安全测试之前，请确保您已获得相关系统或网络所有者的明确授权。

• 本文作者不对任何因使用文章内容而导致的非法活动、损害或其他不良后果承担任何责任。读者在实施任何技术之前应确保遵守所有适用的法律法规。

• 本文内容不支持或鼓励任何形式的恶意攻击、未授权的入侵或网络犯罪。

• 本文内容仅限于教育用途，不得以任何方式用于未经授权的网络安全攻击或破坏行为。