官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Windows应急响应 | 入侵排查指南
- 关注
Windows应急响应 | 入侵排查指南
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
日志分析
web日志
dirpro扫描目录,sqlmap扫描dvwa
Python dirpro -u http://192.168.52.129 -b
sqlmap -u "http://192.168.52.129/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=bs8kg7ou7ru6dj4auppq32m663;security=low" --dbs
使用星图对日志文件进行分析,发现存在漏洞攻击行为,信息具体,可视化强。
windows系统日志
日志位置
windows 2000 专业版 /windows Server2003/windows XP
系统日志 C:\Windows\System32\config\SysEvent.evt
安全性日志 C:\Windows\System32\config\SecEvent.evt
应用程序日志 C:\Windows\System32\config\AppEvent.evt
Vista/win7/win8/win10/winser2008 以上
目录 %SystemRoot%\System32\Winevt\Logs\
系统日志 %SystemRoot%\System32\Winevt\Logs\System.evtx
安全性日志 %SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志 %SystemRoot%\System32\Winevt\Logs\Application.evtx
事件id
| 事件 ID (旧版本) | 事件 ID (新版本) | 描述 | 事件日志 |
|---|---|---|---|
| 528 | 4624 | 成功登录 | 安全 |
| 529 | 4625 | 失败登录 | 安全 |
| 680 | 4776 | 成功 / 失败的账户认证 | 安全 |
| 624 | 4720 | 创建用户 | 安全 |
| 636 | 4732 | 添加用户到启用安全性的本地组中 | 安全 |
| 632 | 4728 | 添加用户到启用安全性的全局组中 | 安全 |
| 2934 | 7030 | 服务创建错误 | 系统 |
| 2944 | 7040 | IPSEC 服务的启动类型已从禁用更改为自动启动 | 系统 |
| 2949 | 7045 | 服务创建 | 系统 |
日志清除相关
| 事件 | 事件 ID | 事件级别 | 事件日志 | 事件来源 |
|---|---|---|---|---|
| 事件日志服务关闭 | 1100 | 信息 | 安全 | EventLog |
| 事件日志被清除 | 104 | 信息 | 系统 | EventLog |
| 事件日志被清除 | 1102 | 信息 | 安全 | EventLog |
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
- 0 文章数
- 0 关注者
文章目录